專(zhuān)利名稱(chēng):改進(jìn)的磁帶備份方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及用于在備份磁帶上備份數(shù)據(jù)的改進(jìn)方法����。
背景技術(shù):
在當(dāng)今社會(huì)中���,個(gè)人和企業(yè)在計(jì)算機(jī)系統(tǒng)上和通過(guò)計(jì)算機(jī)系統(tǒng)進(jìn)行活動(dòng)的數(shù)目日益增多。這些計(jì)算機(jī)系統(tǒng)�����,包括專(zhuān)用和非專(zhuān)用計(jì)算機(jī)網(wǎng)絡(luò)�,通常存儲(chǔ),歸檔和傳輸各種類(lèi)型的敏感信息���。因此存在確保存儲(chǔ)在這些系統(tǒng)上的以及在這些系統(tǒng)上傳輸?shù)臄?shù)據(jù)不能被讀取或泄密的日益增加的需要����。
一種用于保護(hù)計(jì)算機(jī)系統(tǒng)安全的常見(jiàn)解決方案是提供登錄和口令功能���。然而,關(guān)于口令問(wèn)題的大比例求助臺(tái)呼叫已經(jīng)證實(shí)口令管理是成本高昂的��。另外��,由于口令一般存儲(chǔ)在例如通過(guò)暴力攻擊易受不適當(dāng)訪問(wèn)影響的文件內(nèi),口令提供很少的安全性����。
另一種保證計(jì)算機(jī)系統(tǒng)安全的解決方案是提供密碼基礎(chǔ)設(shè)施。密
碼術(shù)一般指通過(guò)將數(shù)據(jù)變換或加密為不可讀格式保護(hù)數(shù)據(jù)��。僅有擁有加密密鑰(多個(gè))的那些人可以將數(shù)據(jù)解密為可使用的格式。密碼術(shù)用于識(shí)別用戶(hù)�����,例如驗(yàn)證��,以^更允許訪問(wèn)特權(quán)例如授權(quán)�����,以^更創(chuàng)建數(shù)字證書(shū)和簽名等�。 一種流行的密碼系統(tǒng)是公鑰系統(tǒng),公鑰系統(tǒng)使用兩個(gè)密鑰��,為公眾所知的公鑰和僅為個(gè)人或企業(yè)所有者所知的私鑰��。一般地,以一個(gè)密鑰加密的數(shù)據(jù)被以另一個(gè)密鑰解密����,并且任意一個(gè)密鑰都不可從另一個(gè)密鑰重新創(chuàng)建。不幸的是�,即使上面的典型公鑰密碼系統(tǒng)的安全性也高度依賴(lài)于 用戶(hù)。例如�����,密碼系統(tǒng)例如通過(guò)用戶(hù)瀏覽器將私鑰發(fā)給用戶(hù)���。然后缺 乏經(jīng)驗(yàn)的用戶(hù)一般將私鑰存儲(chǔ)在其他人通過(guò)開(kāi)放計(jì)算機(jī)系統(tǒng)�,諸如例
如����,Internet可訪問(wèn)的硬驅(qū)動(dòng)器上。在另一方面��,用戶(hù)可能為包含其 私鑰的文件選擇不好的名稱(chēng)�����,諸如例如"密鑰"����。上述和其他活動(dòng)的結(jié) 果是提供了密鑰或多個(gè)密鑰易于被危及的可能��。
除了上面的危險(xiǎn)之外���,用戶(hù)可能將他或她的私鑰存儲(chǔ)在配置有歸 檔或備份系統(tǒng)的計(jì)算機(jī)系統(tǒng)上,這潛在地導(dǎo)致私鑰的拷貝經(jīng)過(guò)多個(gè)計(jì) 算機(jī)存儲(chǔ)設(shè)備或其他系統(tǒng)�����。這種安全性缺口通常被稱(chēng)為"密鑰遷移"�����。 類(lèi)似于密鑰遷移���,許多應(yīng)用最多通過(guò)簡(jiǎn)單的登錄和口令訪問(wèn)提供對(duì)用 戶(hù)私鑰的訪問(wèn)。如前面所述�����,登錄和口令訪問(wèn)通常不提供足夠的安全 性���。
用于增加上述密碼系統(tǒng)的安全性的一種解決方案是包括生物測(cè) 定作為驗(yàn)證或授權(quán)的一部分��。生物測(cè)定一般包括可測(cè)量的物理特性�, 諸如例如,可由自動(dòng)系統(tǒng)檢查的指紋或語(yǔ)音����,諸如例如,指紋模式或 語(yǔ)音模式的模式匹配或識(shí)別����。在這種系統(tǒng)中,用戶(hù)的生物測(cè)定和/或密 鑰可以存儲(chǔ)在移動(dòng)計(jì)算設(shè)備上��,諸如例如��,智能卡�����,膝上型電腦�,個(gè) 人數(shù)字助理或移動(dòng)電話上,從而允許可以在移動(dòng)環(huán)境中使用該生物測(cè) 定或密鑰��。
上述的移動(dòng)生物測(cè)定密碼系統(tǒng)仍然具有各種缺點(diǎn)��。例如����,移動(dòng)用 戶(hù)可能丟失或損壞智能卡或便攜計(jì)算設(shè)備���,從而完全斷絕他或她對(duì)潛 在的重要數(shù)據(jù)的訪問(wèn)?�?商鎿Q地�����,惡意人員可能偷竊移動(dòng)用戶(hù)的智能 卡或便攜計(jì)算設(shè)備����,并且使用它有效地偷竊移動(dòng)用戶(hù)的數(shù)字憑證。在 另一方面�����,便攜計(jì)算設(shè)備可能被連接到開(kāi)放系統(tǒng)���,諸如Internet,并 且類(lèi)似于口令,存儲(chǔ)著生物測(cè)定的文件很可能由于用戶(hù)對(duì)安全性的粗 心大意或惡意入侵者受到危及�。
發(fā)明內(nèi)容
基于上述,存在提供安全性獨(dú)立于用戶(hù)同時(shí)仍然支持移動(dòng)用戶(hù)的
4密碼系統(tǒng)的需要�。
因此本發(fā)明的一個(gè)方面是提供一種用于幾乎保護(hù)任意類(lèi)型數(shù)據(jù) 不受未授權(quán)訪問(wèn)或使用的方法����。該方法包括將要被保護(hù)的數(shù)據(jù)解析����, 分割和/或劃分為兩個(gè)或多個(gè)部件或部分的一個(gè)或多個(gè)步驟。該方法還 包括對(duì)要被保護(hù)的數(shù)據(jù)加密��?��?梢栽跀?shù)據(jù)的首次解析��、分割和/或劃分 之前或之后執(zhí)行數(shù)據(jù)加密��。另外��,可以針對(duì)數(shù)據(jù)的一個(gè)或多個(gè)部分重 復(fù)加密步驟��。類(lèi)似地���,可以為數(shù)據(jù)的一個(gè)或多個(gè)部分重復(fù)解析、分割 和/或劃分步驟����。該方法可選擇地還包括在一個(gè)位置或多個(gè)位置存儲(chǔ)已 被加密的解析�、分割和/或劃分的數(shù)據(jù)�����。該方法可選擇地還包括為授權(quán) 的訪問(wèn)或使用將受保護(hù)的數(shù)據(jù)重新構(gòu)造或重新組裝為其原始形式�����。該 方法可被結(jié)合到能夠執(zhí)行該方法的所希望步驟的任意計(jì)算機(jī)����、服務(wù) 器、引擎等的操作中�。
本發(fā)明的另一個(gè)方面提供了一種用于幾乎保護(hù)任意類(lèi)型數(shù)據(jù)不 受未授權(quán)訪問(wèn)或使用的系統(tǒng)。該系統(tǒng)包括數(shù)據(jù)分割模塊��,密碼處理模 塊���,和可選擇地�,數(shù)據(jù)組裝模塊���。在一個(gè)實(shí)施例中�����,該系統(tǒng)還可以包 括可以存儲(chǔ)安全數(shù)據(jù)的 一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備���。
因此本發(fā)明的一個(gè)方面是提供一種具有服務(wù)器中心密鑰����,或換言 之在服務(wù)器上存儲(chǔ)著密碼密鑰和用戶(hù)驗(yàn)證數(shù)據(jù)的安全服務(wù)器或授信 引擎��。根據(jù)這個(gè)實(shí)施例�,用戶(hù)訪問(wèn)授信引擎以便執(zhí)行驗(yàn)證和密碼功能, 諸如但不限于����,例如,驗(yàn)證�,授權(quán),數(shù)字簽名以及證書(shū)的產(chǎn)生����、存儲(chǔ) 和檢索��,加密��,公證類(lèi)和委托類(lèi)活動(dòng)等�����。
本發(fā)明的另一個(gè)方面是提供一種可靠的或可信的驗(yàn)證處理���。另 外,在可信賴(lài)的肯定驗(yàn)證之后����,可以進(jìn)行多種不同活動(dòng),從給系統(tǒng)或 設(shè)備驗(yàn)證和訪問(wèn)提供密碼技術(shù)�����,到允許使用或控制 一種或多種電子設(shè) 備���。
本發(fā)明的另一個(gè)方面是在密碼密鑰和驗(yàn)證數(shù)據(jù)不會(huì)丟失�����,被偷竊 或受到危及的環(huán)境中提供密碼密鑰和驗(yàn)證數(shù)據(jù)���,從而有利地避免了連 續(xù)重發(fā)和管理新密鑰和驗(yàn)證數(shù)據(jù)的需要���。根據(jù)本發(fā)明的另一個(gè)方面�, 授信引擎允許用戶(hù)針對(duì)多個(gè)活動(dòng)、提供方和/或驗(yàn)證請(qǐng)求使用 一個(gè)密鑰
5對(duì)����。根據(jù)本發(fā)明的另一個(gè)方面,授信引擎在服務(wù)器側(cè)執(zhí)行密碼處理的 至少一個(gè)步驟�����,諸如但不限于���,加密�,驗(yàn)證�����,或簽名���,從而允許客戶(hù)
或用戶(hù)僅擁有最少的計(jì)算資源�����。
根據(jù)本發(fā)明的另 一個(gè)方面���,授信引擎包括用于存儲(chǔ)每個(gè)密碼密鑰 和驗(yàn)證數(shù)據(jù)的多個(gè)部分的 一個(gè)或多個(gè)倉(cāng)庫(kù)�����。通過(guò)數(shù)據(jù)分割處理創(chuàng)建這 些部分����,數(shù)據(jù)分割處理在沒(méi)有來(lái)自一個(gè)倉(cāng)庫(kù)中的多于一個(gè)位置或來(lái)自 多個(gè)倉(cāng)庫(kù)的預(yù)定部分的情況下禁止重新構(gòu)造�。根據(jù)另一個(gè)實(shí)施例,多 個(gè)倉(cāng)庫(kù)在地理上可位于遠(yuǎn)方�,從而無(wú)賴(lài)雇員或一個(gè)倉(cāng)庫(kù)處的受到危及 的系統(tǒng)將不能提供對(duì)用戶(hù)的密鑰或驗(yàn)證數(shù)據(jù)的訪問(wèn)。
根據(jù)另一個(gè)實(shí)施例���,驗(yàn)證處理有利地允許授信引擎并行地處理多 個(gè)驗(yàn)證活動(dòng)���。根據(jù)另一個(gè)實(shí)施例,授信引擎可以有利地追蹤失敗的訪 問(wèn)嘗試����,并且從而限制惡意入侵者可以嘗試破壞系統(tǒng)的次數(shù)�。
根據(jù)另一個(gè)實(shí)施例�����,授信引擎可以包括多個(gè)實(shí)例��,其中每個(gè)授信 引擎可以預(yù)測(cè)并且與其他授信引擎分?jǐn)偺幚碡?fù)載�。根據(jù)另 一個(gè)實(shí)施 例���,授信引擎可以包括冗余模塊�����,用于輪詢(xún)多個(gè)驗(yàn)證結(jié)果以便確保多 于一個(gè)系統(tǒng)驗(yàn)證用戶(hù)�。
因此�,本發(fā)明的一個(gè)方面包括可,皮遠(yuǎn)程訪問(wèn)的安全密碼系統(tǒng),其 用于存儲(chǔ)任意類(lèi)型數(shù)據(jù)���,包括但不限于將與多個(gè)用戶(hù)相關(guān)聯(lián)的多個(gè)私 有密碼密鑰���。該密碼系統(tǒng)將多個(gè)用戶(hù)中的每一個(gè)與所述多個(gè)私有密碼 密鑰中的一個(gè)或多個(gè)不同密鑰相關(guān)聯(lián),并且使用相關(guān)聯(lián)的一個(gè)或多個(gè) 不同密鑰為每個(gè)用戶(hù)執(zhí)行密碼功能�,而不向用戶(hù)發(fā)放多個(gè)私有密碼密 鑰���。該密碼系統(tǒng)包括具有至少一個(gè)服務(wù)器的倉(cāng)庫(kù)系統(tǒng),所述服務(wù)器存 儲(chǔ)將被保護(hù)的數(shù)據(jù)�,諸如多個(gè)私有密碼密鑰和多個(gè)登記驗(yàn)證數(shù)據(jù)。每 個(gè)登記驗(yàn)證數(shù)據(jù)標(biāo)識(shí)多個(gè)用戶(hù)中的一個(gè)��,并且多個(gè)用戶(hù)中的每一個(gè)用 戶(hù)與多個(gè)私有密碼密鑰中的一個(gè)或多個(gè)不同密鑰相關(guān)聯(lián)�����。該密碼系統(tǒng) 還可以包括驗(yàn)證引擎,其對(duì)通過(guò)多個(gè)用戶(hù)中的一個(gè)用戶(hù)接收的驗(yàn)證數(shù)
證數(shù)據(jù)進(jìn)行比較,從而產(chǎn)生驗(yàn)證結(jié)果。該密碼系統(tǒng)還可以包括密碼引 擎��,當(dāng)驗(yàn)證結(jié)果指示對(duì)多個(gè)用戶(hù)中的一個(gè)用戶(hù)的正確識(shí)別時(shí)����,密碼引
6擎使用從倉(cāng)庫(kù)系統(tǒng)接收的相關(guān)聯(lián)的一個(gè)或多個(gè)不同密鑰代表多個(gè)用戶(hù)中的這個(gè)用戶(hù)執(zhí)行密碼功能����。該密碼系統(tǒng)還可以包括事務(wù)處理引擎�����,其連接為將來(lái)自多個(gè)用戶(hù)的數(shù)據(jù)路由到倉(cāng)庫(kù)服務(wù)器系統(tǒng)���、驗(yàn)證引擎和密碼引擎。
本發(fā)明的另一個(gè)方面包括一種可選擇地可遠(yuǎn)程訪問(wèn)的安全密碼系統(tǒng)��。該密碼系統(tǒng)包括具有至少一個(gè)服務(wù)器的倉(cāng)庫(kù)系統(tǒng)���,所述服務(wù)器存儲(chǔ)至少 一個(gè)私鑰和任意其他數(shù)據(jù)����,諸如但不限于多個(gè)登記驗(yàn)證數(shù)據(jù),其中每個(gè)登記驗(yàn)證數(shù)據(jù)標(biāo)識(shí)可能的多個(gè)用戶(hù)中的一個(gè)用戶(hù)。該密碼系統(tǒng)還可以可選擇地包括驗(yàn)證引擎,其對(duì)通過(guò)用戶(hù)接收的驗(yàn)證數(shù)據(jù)和從所述倉(cāng)庫(kù)系統(tǒng)接收的相應(yīng)于該用戶(hù)的登記驗(yàn)證數(shù)據(jù)進(jìn)行比較���,從而產(chǎn)生驗(yàn)證結(jié)果。該密碼系統(tǒng)還包括密碼引擎�����,當(dāng)驗(yàn)證結(jié)果指示對(duì)用戶(hù)的正確識(shí)別時(shí),密碼引擎使用可以從倉(cāng)庫(kù)系統(tǒng)接收的至少 一個(gè)所述私鑰代表該用戶(hù)執(zhí)行密碼功能���。該密碼系統(tǒng)還可以可選擇地包括事務(wù)處理引擎,其連接為將來(lái)自用戶(hù)的數(shù)據(jù)路由到其他引擎或系統(tǒng)����,諸如但不限于倉(cāng)庫(kù)服務(wù)器系統(tǒng)、驗(yàn)證引擎和密碼引擎��。
本發(fā)明的另一個(gè)方面包括一種便于密碼功能的方法。該方法包括將多個(gè)用戶(hù)中的一個(gè)用戶(hù)與存儲(chǔ)在安全位置諸如安全服務(wù)器的多個(gè)私有密碼密鑰中的一個(gè)或多個(gè)密鑰相關(guān)聯(lián)����。該方法還包括從用戶(hù)處接
收驗(yàn)證數(shù)據(jù),并且對(duì)該驗(yàn)證數(shù)據(jù)和相應(yīng)于該用戶(hù)的驗(yàn)證數(shù)據(jù)進(jìn)行比較,從而檢驗(yàn)用戶(hù)的身份��。該方法還包括利用一個(gè)或多個(gè)密鑰執(zhí)行密碼功能����,而不向用戶(hù)發(fā)放一個(gè)或多個(gè)密鑰�����。
本發(fā)明的另 一個(gè)方面包括一種驗(yàn)證系統(tǒng)�����,其用于通過(guò)用戶(hù)的登記驗(yàn)證數(shù)據(jù)的安全存儲(chǔ)唯一地識(shí)別用戶(hù)����。該驗(yàn)證系統(tǒng)包括一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備�����,其中每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備包括存儲(chǔ)登記驗(yàn)證數(shù)據(jù)的至少一個(gè)部分的計(jì)算機(jī)可訪問(wèn)的存儲(chǔ)介質(zhì)��。該驗(yàn)證系統(tǒng)還包括與該數(shù)據(jù)存儲(chǔ)設(shè)備或多個(gè)設(shè)備通信的驗(yàn)證引擎���。驗(yàn)證引擎包括數(shù)據(jù)分割模塊�����,其對(duì)登記驗(yàn)證數(shù)據(jù)操作以便創(chuàng)建多個(gè)部分����,數(shù)據(jù)組裝模塊,其處理來(lái)自至少一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的多個(gè)部分以便組裝登記驗(yàn)證數(shù)據(jù),和數(shù)據(jù)比較模塊����,其從用戶(hù)處接收當(dāng)前驗(yàn)證數(shù)據(jù),并且對(duì)當(dāng)前驗(yàn)證數(shù)據(jù)和組裝的
7驗(yàn)證數(shù)據(jù)進(jìn)行比較以便確定用戶(hù)是否被唯一地識(shí)別�。
本發(fā)明的另 一個(gè)方面包括密碼系統(tǒng)。該密碼系統(tǒng)包括一個(gè)或多個(gè) 數(shù)據(jù)存儲(chǔ)設(shè)施���,其中每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施包括存儲(chǔ)一個(gè)或多個(gè)密碼密鑰 的至少 一個(gè)部分的計(jì)算機(jī)可訪問(wèn)的存儲(chǔ)介質(zhì)����。該驗(yàn)證系統(tǒng)還包括與該 數(shù)據(jù)存儲(chǔ)設(shè)施通信的密碼引擎���。密碼引擎還包括數(shù)據(jù)分割模塊,其對(duì) 密碼密鑰進(jìn)行操作以便創(chuàng)建多個(gè)部分,數(shù)據(jù)組裝模塊,其處理來(lái)自至 少一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的多個(gè)部分以便組裝密碼密鑰��,和密碼處理模 塊���,其接收組裝的密碼密鑰并且以其執(zhí)行密碼功能�����。
本發(fā)明的另 一個(gè)方面包括一種存儲(chǔ)任意類(lèi)型數(shù)據(jù)的方法,所述數(shù)
從而保護(hù)數(shù)據(jù)不受任何個(gè)人數(shù)據(jù)存儲(chǔ)設(shè)施危及���。該方法包括在授信引 擎處接收數(shù)據(jù),在授信引擎處將該數(shù)據(jù)和第一個(gè)基本上隨機(jī)的數(shù)值組 合以便形成第一組合值,并且將該數(shù)據(jù)和第二個(gè)基本上隨機(jī)的數(shù)值組 合以便形成第二組合值����。該方法包括創(chuàng)建第一個(gè)基本上隨機(jī)的數(shù)值和 第二組合值的第一配對(duì)�,創(chuàng)建第一個(gè)基本上隨機(jī)的數(shù)值和第二個(gè)基本 上隨機(jī)的數(shù)值的第二配對(duì)���,和在第一安全數(shù)據(jù)存儲(chǔ)實(shí)施中存儲(chǔ)第一配 對(duì)。該方法包括在遠(yuǎn)離第 一安全數(shù)據(jù)存儲(chǔ)設(shè)施的第二安全數(shù)據(jù)存儲(chǔ)設(shè) 施中存儲(chǔ)第二配對(duì)���。
本發(fā)明的另 一個(gè)方面包括一種存儲(chǔ)任意類(lèi)型數(shù)據(jù)的方法,所述數(shù) 據(jù)包括但不限于驗(yàn)證數(shù)據(jù)�,該方法包括接收數(shù)據(jù),將該數(shù)據(jù)和第一位 集合組合以便形成第二位集合����,和將該數(shù)據(jù)和第三位集合組合以便形 成第四位集合。該方法還包括創(chuàng)建第一位集合和第三位集合的第一配 對(duì)�。該方法還包括創(chuàng)建第一位集合和第四位集合的第二配對(duì)���,和在第 一計(jì)算機(jī)可訪問(wèn)存儲(chǔ)介質(zhì)中存儲(chǔ)笫 一和第二配對(duì)中的一個(gè)。該方法還 包括在第二計(jì)算機(jī)可訪問(wèn)介質(zhì)中存儲(chǔ)第一和第二配對(duì)中的另一個(gè)��。
本發(fā)明的另 一個(gè)方面包括在地理上位于遠(yuǎn)方的安全數(shù)據(jù)存儲(chǔ)設(shè) 備內(nèi)存儲(chǔ)密碼數(shù)據(jù)�����,從而保護(hù)密碼數(shù)據(jù)不受任何個(gè)人數(shù)據(jù)存儲(chǔ)設(shè)施的 危及的方法���。該方法包括在授信引擎處接收密碼數(shù)據(jù)���,在授信引擎處 將該密碼數(shù)據(jù)和第一個(gè)基本上隨機(jī)的數(shù)值組合以便形成第一組合值,以及將該密碼數(shù)據(jù)和第二個(gè)基本上隨機(jī)的數(shù)值組合以便形成第二組 合值���。該方法還包括創(chuàng)建第一個(gè)基本上隨機(jī)的數(shù)值和第二組合值的第 一配對(duì)�,創(chuàng)建第 一個(gè)基本上隨機(jī)的數(shù)值和第二個(gè)基本上隨機(jī)的數(shù)值的 第二配對(duì)��,和在第一安全數(shù)據(jù)存儲(chǔ)實(shí)施中存儲(chǔ)第一配對(duì)��。該方法還包 括在遠(yuǎn)離第 一安全數(shù)據(jù)存儲(chǔ)設(shè)施的第二安全數(shù)據(jù)存儲(chǔ)設(shè)施中存儲(chǔ)第 二配對(duì)��。
本發(fā)明的另一個(gè)方面包括一種存儲(chǔ)密碼數(shù)據(jù)的方法�����,包括接收驗(yàn) 證數(shù)據(jù)����,和將密碼數(shù)據(jù)和第一位集合組合以便形成第二位集合。該方
法還包括將密碼數(shù)據(jù)和第三位集合組合以便形成第四位集合���,創(chuàng)建第 一位集合和第三位集合的第一配對(duì)���,和創(chuàng)建第一位集合和第四位集合
的第二配對(duì)。該方法還包括在第 一計(jì)算機(jī)可訪問(wèn)存儲(chǔ)介質(zhì)中存儲(chǔ)第一 和第二配對(duì)中的一個(gè)����,并且在第二計(jì)算機(jī)可訪問(wèn)介質(zhì)中存儲(chǔ)第一和第 二配對(duì)中的另一個(gè)。
本發(fā)明的另一個(gè)方面包括處理密碼系統(tǒng)中任意類(lèi)型或形式的敏 感數(shù)據(jù)的方法�����,其中所述敏感數(shù)據(jù)僅在被授權(quán)用戶(hù)采用該敏感數(shù)據(jù)的 活動(dòng)期間以可用形式存在�。該方法還包括在軟件模塊中從第 一計(jì)算機(jī) 可訪問(wèn)存儲(chǔ)介質(zhì)接收大體隨機(jī)化或加密的敏感數(shù)據(jù),并且在軟件模塊 中從一個(gè)或多個(gè)其他計(jì)算機(jī)可訪問(wèn)存儲(chǔ)介質(zhì)接收可以是或可以不是 敏感數(shù)據(jù)的大體隨機(jī)化或加密的數(shù)據(jù)�����。該方法還包括在軟件模塊中處 理該大體隨機(jī)化或預(yù)加密的敏感數(shù)據(jù)和可以是或可以不是敏感數(shù)據(jù) 的大體隨機(jī)化或加密的數(shù)據(jù),以便組裝該敏感數(shù)據(jù)并且在軟件引擎中 釆用該敏感數(shù)據(jù)執(zhí)行活動(dòng)����。該活動(dòng)包括但不限于驗(yàn)證用戶(hù)和執(zhí)行密碼 功能中的一個(gè)。
本發(fā)明的另一個(gè)方面包括一種安全驗(yàn)證系統(tǒng)��。該安全驗(yàn)證系統(tǒng)包 括多個(gè)驗(yàn)證引擎�。每個(gè)驗(yàn)證引擎接收設(shè)計(jì)為以一種確定程度唯一標(biāo)識(shí) 用戶(hù)的登記驗(yàn)證數(shù)據(jù)。每個(gè)驗(yàn)證引擎接收當(dāng)前驗(yàn)證數(shù)據(jù)以便與登記驗(yàn) 證數(shù)據(jù)進(jìn)行比較�����,并且每個(gè)驗(yàn)證引擎確定一個(gè)驗(yàn)證結(jié)果���。該安全驗(yàn)證 系統(tǒng)還包括冗余系統(tǒng)�����,其接收至少兩個(gè)驗(yàn)證引擎的驗(yàn)證結(jié)果��,并且確 定用戶(hù)是否被唯一地識(shí)別��。本發(fā)明的另 一個(gè)方面包括一種運(yùn)動(dòng)中安全數(shù)據(jù)系統(tǒng)��,從而數(shù)據(jù)可 被以根據(jù)本發(fā)明受到保護(hù)的不同部分傳輸���,從而被危及的任意一個(gè)部 分不會(huì)提供足夠的數(shù)據(jù)以便恢復(fù)原始數(shù)據(jù)�����。這可被應(yīng)用于任意數(shù)據(jù)傳 輸,不論是有線的�、無(wú)線的還是物理的。
本發(fā)明的另 一個(gè)方面包括將本發(fā)明的安全數(shù)據(jù)解析器集成到存
儲(chǔ)或傳遞數(shù)據(jù)的任意適合的系統(tǒng)�����。例如�����,電子郵件系統(tǒng)�����,RAID系統(tǒng)����, 視頻廣播系統(tǒng),數(shù)據(jù)庫(kù)系統(tǒng),或可以在任意適合的級(jí)別集成安全數(shù)據(jù) 解析器的任意其他適合的系統(tǒng)����。
本發(fā)明的另一個(gè)方面包括使用任意適合的解析和分割算法以產(chǎn) 生數(shù)據(jù)的份?���?梢圆捎秒S機(jī)的算法、偽隨機(jī)的算法�����、確定性的算法或 其任意組合于解析和分割數(shù)據(jù)��。
下面結(jié)合附圖更詳細(xì)地描述本發(fā)明���,附圖旨在說(shuō)明而不是限制本 發(fā)明�����,并且其中
圖1示出了根據(jù)本發(fā)明的實(shí)施例的方面的密碼系統(tǒng)的方框圖���; 圖2示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖1的授信引擎的方框
圖3示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖2的事務(wù)處理引擎的 方框圖4示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖2的倉(cāng)庫(kù)的方框圖; 圖5示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖2的驗(yàn)證引擎的方框
圖6示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖2的密碼引擎的方框
圖7示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的方面的倉(cāng)庫(kù)系統(tǒng)的方
框圖8示出了根據(jù)本發(fā)明的實(shí)施例的方面的數(shù)據(jù)分割處理的流程
10圖9��,版面A示出了根據(jù)本發(fā)明的實(shí)施例的方面的登記處理的數(shù)
據(jù)流;
圖9����,版面B示出了根據(jù)本發(fā)明的實(shí)施例的方面的互操作性處理 的流程圖IO示出了根據(jù)本發(fā)明的實(shí)施例的方面的驗(yàn)證處理的數(shù)據(jù)流; 圖11示出了根據(jù)本發(fā)明的實(shí)施例的方面的簽署處理的數(shù)據(jù)流��; 圖12示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的方面的加密/解密處理 的數(shù)據(jù)流��;
圖13示出了根據(jù)本發(fā)明的另 一個(gè)實(shí)施例的方面的授信引擎系統(tǒng) 的簡(jiǎn)化方框圖14示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的方面的授信引擎系統(tǒng) 的簡(jiǎn)化方框圖15示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖14的冗余模塊的方
框圖16示出了根據(jù)本發(fā)明的一個(gè)方面的用于評(píng)估驗(yàn)證的處理�; 圖17示出了根據(jù)本發(fā)明圖16所示的一個(gè)方面的用于給驗(yàn)證分配 值的處理���;
圖18示出了圖17所示的本發(fā)明一個(gè)方面中的用于執(zhí)行信任仲裁 的處理����;
圖19示出了根據(jù)本發(fā)明的實(shí)施例的方面的用戶(hù)和提供方之間的 示例事務(wù)處理����,其中初始的基于Web的接觸導(dǎo)致雙方簽署的銷(xiāo)售合 同;
圖20示出了具有給用戶(hù)系統(tǒng)提供安全功能的密碼服務(wù)提供商模 塊的示例用戶(hù)系統(tǒng)�����;
圖21示出了具有加密和加密主密鑰與數(shù)據(jù)的存儲(chǔ)的用于解析���、 分割和/或劃分?jǐn)?shù)據(jù)的處理���;
圖22示出了具有加密和加密主密鑰與數(shù)據(jù)的分離存儲(chǔ)的用于解 析����、分割和/或劃分?jǐn)?shù)據(jù)的處理���;
圖23示出了具有加密和加密主密鑰與數(shù)據(jù)的存儲(chǔ)的用于解析�����、
ii分割和/或劃分?jǐn)?shù)據(jù)的中間密鑰處理�;
圖24示出了具有加密和加密主密鑰與數(shù)據(jù)的分離存儲(chǔ)的用于解析���、分割和/或劃分?jǐn)?shù)據(jù)的中間密鑰處理��;
圖25以小的工作組示出了對(duì)本發(fā)明的密碼方法和系統(tǒng)的利用���;
圖26是根據(jù)本發(fā)明的一個(gè)實(shí)施例的采用安全數(shù)據(jù)解析器的說(shuō)明性物理標(biāo)記安全系統(tǒng)的方框圖27是一種說(shuō)明性布置的方框圖,其中根據(jù)本發(fā)明的一個(gè)實(shí)施例�,將安全數(shù)據(jù)解析器集成到一個(gè)系統(tǒng)內(nèi);
圖28是根據(jù)本發(fā)明的一個(gè)實(shí)施例的說(shuō)明性運(yùn)動(dòng)中數(shù)據(jù)系統(tǒng)的方
框圖29是根據(jù)本發(fā)明的一個(gè)實(shí)施例的另 一個(gè)說(shuō)明性運(yùn)動(dòng)中數(shù)據(jù)系統(tǒng)的方框圖30-32是根據(jù)本發(fā)明的一個(gè)實(shí)施例集成有安全數(shù)據(jù)解析器的說(shuō)明性系統(tǒng)的方框圖33是根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于解析和分割數(shù)據(jù)的說(shuō)明性處理的處理流圖示�;
圖34是根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于將數(shù)據(jù)的多個(gè)部分恢復(fù)為原始數(shù)據(jù)的說(shuō)明性處理的處理流圖示��;
圖35是根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于在位級(jí)別分割數(shù)據(jù)的說(shuō)明性處理的處理流圖示����;
圖36是根據(jù)本發(fā)明的一個(gè)實(shí)施例���,可被以任意適合的添加���、刪除或修改按任意適合的組合使用的說(shuō)明性步驟和特征的處理流圖示;
圖37是根據(jù)本發(fā)明的一個(gè)實(shí)施例�,可被以任意適合的添加、刪除或修改按任意適合的組合使用的說(shuō)明性步驟和特征的處理流圖示�;
圖38是根據(jù)本發(fā)明的一個(gè)實(shí)施例����,可被以任意適合的添加�、刪除或修改按任意適合的組合使用的份中的密鑰和數(shù)據(jù)組件的存儲(chǔ)的簡(jiǎn)化方框圖39是根據(jù)本發(fā)明的一個(gè)實(shí)施例�,可被以任意適合的添加、刪除或修改按任意適合的組合使用的�,使用工作組密鑰的份中的密鑰和
12數(shù)據(jù)組件的存儲(chǔ)的簡(jiǎn)化方框圖40A和40B是根據(jù)本發(fā)明的一個(gè)實(shí)施例�,可被以任意適合的添加�����、刪除或修改按任意適合的組合使用的包頭產(chǎn)生和運(yùn)動(dòng)中數(shù)據(jù)的數(shù)據(jù)分割的簡(jiǎn)化和說(shuō)明性處理流圖示;
圖41是根據(jù)本發(fā)明的一個(gè)實(shí)施例�,可被以任意適合的添加、刪除或修改按任意適合的組合使用的說(shuō)明性份格式的簡(jiǎn)化方框圖���。
具體實(shí)施例方式
本發(fā)明的一個(gè)方面是提供一種密碼系統(tǒng)�����,其中一個(gè)或多個(gè)安全服務(wù)器或一個(gè)授信引擎存儲(chǔ)密碼密鑰和用戶(hù)驗(yàn)證數(shù)據(jù)。用戶(hù)通過(guò)對(duì)授信引擎的網(wǎng)絡(luò)訪問(wèn)訪問(wèn)常規(guī)密碼系統(tǒng)的功能��,然而,授信引擎不發(fā)放實(shí)際密鑰和其他驗(yàn)證數(shù)據(jù)��,并且因此密鑰和數(shù)據(jù)保持為是安全的�����。密鑰和驗(yàn)證數(shù)據(jù)的這個(gè)服務(wù)器中心存儲(chǔ)提供了獨(dú)立于用戶(hù)的安全性、便攜性�����、可用性和直》見(jiàn)性。
由于用戶(hù)可以信任或信賴(lài)密碼系統(tǒng)執(zhí)行用戶(hù)和文檔驗(yàn)證和其他密碼功能�����,各種功能可被結(jié)合到該系統(tǒng)內(nèi)�����。例如��,授信引擎提供商可以通過(guò)例如驗(yàn)證協(xié)議參與人�����,代表或?yàn)閰⑴c人數(shù)字簽署協(xié)議���,并且存儲(chǔ)由每個(gè)參與人數(shù)字簽署的協(xié)議的記錄���,確保防止協(xié)議抵賴(lài)。另外�,密碼系統(tǒng)可以監(jiān)視協(xié)議���,并且基于例如價(jià)格��,用戶(hù)��,提供方�,地理位置,使用位置等確定應(yīng)用不同程度的驗(yàn)證�。
為了便于完整理解本發(fā)明,詳細(xì)描述的剩余部分參考附圖描述本發(fā)明���,其中通篇以類(lèi)似的數(shù)字指示類(lèi)似的元件���。
圖1示出了根據(jù)本發(fā)明的實(shí)施例的方面的密碼系統(tǒng)100的方框圖。如圖1所示���,密碼系統(tǒng)IOO包括通過(guò)通信鏈路125通信的用戶(hù)系統(tǒng)105,授信引擎IIO���,證書(shū)頒發(fā)機(jī)構(gòu)115和提供方系統(tǒng)120。
根據(jù)本發(fā)明的一個(gè)實(shí)施例�,用戶(hù)系統(tǒng)105包括具有一個(gè)或多個(gè)微處理器諸如例如基于Intel的處理器的常規(guī)通用計(jì)算機(jī)。另外�����,用戶(hù)系統(tǒng)105包括適當(dāng)?shù)牟僮飨到y(tǒng),諸如例如能夠包括圖形或窗口的操作系統(tǒng)��,諸如Windows, Unix, Linux等�����。如圖1所示��,用戶(hù)系統(tǒng)105
13可以包括生物測(cè)定設(shè)備107�����。生物測(cè)定設(shè)備107可以有利地捕捉用戶(hù)的生物測(cè)定����,并且將捕捉的生物測(cè)定傳輸?shù)绞谛乓?10��。根據(jù)本發(fā)明的一個(gè)實(shí)施例�,生物測(cè)定設(shè)備可以有利地包括具有類(lèi)似于提交于1997年9月5日的題目為"RELIEF OBJECT IMAGE GENERATOR"的美國(guó)專(zhuān)利申請(qǐng)No. 08/926 ��,277����,提交于2000年4月26日的題目為
"IMAGING DEVICE FOR A RELIEF OBJECT AND SYSTEM ANDMETHOD OF USING THE IMAGE DEVICE"的美國(guó)專(zhuān)利申請(qǐng)No.09/558,634,提交于1999年11月5日的題目為"RELIEF OBJECTSENSOR ADAPTOR"的美國(guó)專(zhuān)利申請(qǐng)No. 09/435,011和提交于2000年1月5日的題目為"PLANAR OPTICAL IMAGE SENSOR ANDSYSTEM FOR GENERATING AN ELECTRONIC IMAGE OF ARELIEF OBJECT FOR FINGERPRINT READING"的美國(guó)專(zhuān)利申請(qǐng)No. 09/477,943中公開(kāi)的屬性和特征的設(shè)備,所有這些為當(dāng)前受讓人所有���,并且這里引用所有這些作為參考。
另外��,用戶(hù)系統(tǒng)105可以通過(guò)常規(guī)的服務(wù)提供商����,諸如例如撥號(hào),數(shù)字用戶(hù)線路(DSL)���,纜線調(diào)制解調(diào)器�����,光纖連接等連接到通信鏈路125�����。根據(jù)另一個(gè)實(shí)施例,用戶(hù)系統(tǒng)105通過(guò)網(wǎng)絡(luò)連接����,諸如例如����,局域網(wǎng)或廣域網(wǎng)連接通信鏈路125。根據(jù)一個(gè)實(shí)施例���,操作系統(tǒng)包括處理經(jīng)過(guò)通信鏈路125的所有進(jìn)入和外出消息流的TCP/IP棧��。
雖然參考前面的實(shí)施例公開(kāi)了用戶(hù)系統(tǒng)105,本發(fā)明不旨在局限于此�。而是本領(lǐng)域的技術(shù)人員從此處的公開(kāi)中將會(huì)認(rèn)識(shí)到用戶(hù)系統(tǒng)105的多種替代實(shí)施例���,包括能夠從另一個(gè)計(jì)算機(jī)系統(tǒng)發(fā)送或接收信息的幾乎任意計(jì)算設(shè)備�。例如���,用戶(hù)系統(tǒng)105可以包括但不限于可以與通信鏈路125交互的計(jì)算機(jī)工作站��,交互電視��,交互信息亭��,諸如數(shù)字助理��,移動(dòng)電話��,膝上計(jì)算機(jī)等的個(gè)人移動(dòng)計(jì)算設(shè)備�,無(wú)線通信設(shè)備,智能卡����,嵌入計(jì)算設(shè)備等���。在這些可替換系統(tǒng)中�,操作系統(tǒng)很可能不同��,并且適合于特定的設(shè)備��。然而���,根據(jù)一個(gè)實(shí)施例�����,操作系統(tǒng)有利地繼續(xù)提供建立與通信鏈路125的通信所需的適當(dāng)通信協(xié)議���。
圖l示出了授信引擎110��。根據(jù)一個(gè)實(shí)施例�,授信引擎110包括用于訪問(wèn)和存儲(chǔ)敏感信息的 一個(gè)或多個(gè)安全服務(wù)器���,敏感信息可以是 任意類(lèi)型或形式的數(shù)據(jù)����,諸如但不限于文本����,音頻,視頻���,用戶(hù)驗(yàn)證 數(shù)據(jù)和公共和私有密碼密鑰�����。根據(jù)一個(gè)實(shí)施例���,驗(yàn)證數(shù)據(jù)包括設(shè)計(jì)為
唯一標(biāo)識(shí)密碼系統(tǒng)100的用戶(hù)的數(shù)據(jù)。例如,驗(yàn)證數(shù)據(jù)可以包括用戶(hù) 識(shí)別碼��, 一個(gè)或多個(gè)生物測(cè)定�����,和由授信引擎110或用戶(hù)產(chǎn)生但是最
初由用戶(hù)在登記時(shí)回答的一 系列問(wèn)題和答案��。上述問(wèn)題可以包括人口
統(tǒng)計(jì)數(shù)據(jù)�,諸如出生地,地址��,周年紀(jì)念等����;個(gè)人數(shù)據(jù)�,諸如媽媽的 婚前姓名,最喜歡的水洪淋等���,或設(shè)計(jì)為唯一標(biāo)識(shí)用戶(hù)的其他數(shù)據(jù)�。 授信引擎110對(duì)與當(dāng)前事務(wù)處理相關(guān)聯(lián)的用戶(hù)驗(yàn)證數(shù)據(jù)和以前諸如在 登記過(guò)程中提供的驗(yàn)證數(shù)據(jù)進(jìn)行比較�。授信引擎110可以有利地請(qǐng)求 用戶(hù)在每次事務(wù)處理時(shí)產(chǎn)生驗(yàn)證數(shù)據(jù),或授信引擎110可以有利地允
許用戶(hù)周期地產(chǎn)生驗(yàn)證數(shù)據(jù)�����,諸如在一連串事務(wù)處理的開(kāi)始時(shí)或登錄
到特定提供方的Web站點(diǎn)時(shí)。
根據(jù)用戶(hù)產(chǎn)生生物測(cè)定數(shù)據(jù)的實(shí)施例�,用戶(hù)給生物測(cè)定設(shè)備107 提供物理特性,諸如但不限于�,臉部掃描,手掃描�,耳掃描�����,虹膜掃 描����,視網(wǎng)膜掃描,血管模式�,DNA��,指紋�,筆跡或語(yǔ)音����。生物測(cè)定設(shè) 備有利地產(chǎn)生物理特性的電子模式或生物測(cè)定。所述電子模式被出于 登記或驗(yàn)證目的通過(guò)用戶(hù)系統(tǒng)105傳輸?shù)绞谛乓?10��。
一旦用戶(hù)產(chǎn)生了適當(dāng)?shù)尿?yàn)證數(shù)據(jù)����,并且授信引擎110確定驗(yàn)證數(shù) 據(jù)(當(dāng)前驗(yàn)證數(shù)據(jù))和登記時(shí)提供的驗(yàn)證數(shù)據(jù)(登記驗(yàn)證數(shù)據(jù))之間 的肯定匹配�����,授信引擎110給用戶(hù)提供完整的密碼功能�����。例如�����,正確 驗(yàn)證的用戶(hù)可以有利地釆用授信引擎110執(zhí)行散列���,數(shù)字簽名,加密 和解密(通常僅被一塊稱(chēng)為加密)���,創(chuàng)建或分發(fā)數(shù)字證書(shū)等�。然而, 在授信引擎110之外不可獲得密碼功能中使用的私有密碼密鑰��,從而 確保了密碼密鑰的完整性�。
根據(jù)一個(gè)實(shí)施例,授信引擎110產(chǎn)生并且存儲(chǔ)密碼密鑰�。根據(jù)另 一個(gè)實(shí)施例,至少一個(gè)密碼密鑰被與每個(gè)用戶(hù)相關(guān)聯(lián)����。另外,當(dāng)密碼 密鑰包括公鑰技術(shù)時(shí)���,在其中產(chǎn)生與用戶(hù)相關(guān)聯(lián)的每個(gè)私鑰�,并且不 從授信引擎110發(fā)放私鑰��。因此只要用戶(hù)能夠訪問(wèn)授信引擎110����,用戶(hù)可以使用他或她的私鑰或公鑰執(zhí)行密碼功能。這種遠(yuǎn)程訪問(wèn)有利地
允許用戶(hù)保持完全的移動(dòng)性����,并且通過(guò)幾乎任意Internet連接諸如蜂 窩和衛(wèi)星電話�����,信息亭�,膝上計(jì)算才幾��,旅館房間訪問(wèn)密碼功能�。
根據(jù)另 一個(gè)實(shí)施例,授信引擎110使用為授信引擎110產(chǎn)生的密 鑰對(duì)執(zhí)行密碼功能����。根據(jù)這個(gè)實(shí)施例,授信引擎110首先驗(yàn)證用戶(hù)�, 并且在用戶(hù)已經(jīng)正確產(chǎn)生與登記驗(yàn)證數(shù)據(jù)匹配的驗(yàn)證數(shù)據(jù)之后,授信 引擎110使用它自己的密碼密鑰對(duì)代表被驗(yàn)證的用戶(hù)執(zhí)行密碼功能���。
本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到密碼密鑰可以有利 地包括對(duì)稱(chēng)密鑰�,公鑰和私鑰中的某些或全部��。另外����,本領(lǐng)域的技術(shù) 人員將從此處的公開(kāi)中認(rèn)識(shí)到�����,可以使用可以根據(jù)商業(yè)技術(shù)獲得的各 種算法實(shí)現(xiàn)上述密鑰,諸如例如RSA���, ELGAMAL等���。
圖1還示出了證書(shū)頒發(fā)才幾構(gòu)115。才艮據(jù)一個(gè)實(shí)施例�����,證書(shū)頒發(fā)機(jī) 構(gòu)115可以有利地包括頒發(fā)數(shù)字證書(shū)的可信任的第三方組織或公司�, 諸如例如,Verisign, Baltimore, Entrust等��。授信引擎110可以有利 地通過(guò)一個(gè)或多個(gè)常規(guī)數(shù)字證書(shū)協(xié)議����,諸如例如,PKCS10向證書(shū)頒 發(fā)機(jī)構(gòu)115傳輸對(duì)數(shù)字證書(shū)的請(qǐng)求����。作為響應(yīng),證書(shū)頒發(fā)機(jī)構(gòu)115將 以若干不同協(xié)議中的一個(gè)或多個(gè)例如PKCS7頒發(fā)數(shù)字證書(shū)�。根據(jù)一 個(gè)實(shí)施例��,授信引擎110從若干或全部著名證書(shū)頒發(fā)機(jī)構(gòu)115請(qǐng)求數(shù) 字證書(shū)�����,從而授信引擎110可以訪問(wèn)相應(yīng)于任意請(qǐng)求方的證書(shū)標(biāo)準(zhǔn)的 數(shù)字證書(shū)��。
根據(jù)另一個(gè)實(shí)施例�����,授信引擎110內(nèi)部地執(zhí)行證書(shū)頒發(fā)����。在這個(gè) 實(shí)施例中���,授信引擎110可以訪問(wèn)證書(shū)系統(tǒng)以便產(chǎn)生證書(shū)��,和/或可以 在請(qǐng)求證書(shū)時(shí)�,諸如例如���,在密鑰產(chǎn)生時(shí)�,或以請(qǐng)求時(shí)被請(qǐng)求的證書(shū) 標(biāo)準(zhǔn)中內(nèi)部地產(chǎn)生證書(shū)。將在下面更詳細(xì)地公開(kāi)授信引擎110���。
圖1還示出了提供方系統(tǒng)120。根據(jù)一個(gè)實(shí)施例�,提供方系統(tǒng)120 有利地包括Web服務(wù)器。典型的Web服務(wù)器使用若干Internet標(biāo)記 語(yǔ)言或文檔格式標(biāo)準(zhǔn)諸如超文本標(biāo)記語(yǔ)言(HTML)或可擴(kuò)展標(biāo)記語(yǔ) 言(XML)中的一種在Internet上提供內(nèi)容服務(wù)����。Web服務(wù)器從例 如Netscape和Internet Explorer的瀏覽器接受請(qǐng)求,然后返回適當(dāng)
16的電子文檔���?�?梢允褂萌舾煞?wù)器或客戶(hù)機(jī)側(cè)技術(shù)提升Web服務(wù)器 的能力����,使得超出其傳遞標(biāo)準(zhǔn)電子文檔的能力�����。例如���,這些技術(shù)包括 公共網(wǎng)關(guān)接口 (CGI)腳本��,安全套接字層(SSL)安全性和活動(dòng)服 務(wù)器頁(yè)面(ASP)����。提供方系統(tǒng)120可以有利地提供關(guān)于商業(yè),個(gè)人�����, 教育或其他事務(wù)處理的電子內(nèi)容�����。
雖然參考上面的實(shí)施例公開(kāi)了提供方系統(tǒng)120����,本發(fā)明不旨在局 限于此。而是本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到��,提供方系 統(tǒng)120可以有利地包括參考用戶(hù)系統(tǒng)105或其組合描述的任意設(shè)備�。
圖l還示出了連接用戶(hù)系統(tǒng)105,授信引擎IIO����,證書(shū)頒發(fā)機(jī)構(gòu) 115和提供方系統(tǒng)120的通信鏈路125。根據(jù)一個(gè)實(shí)施例���,通信鏈路 125優(yōu)選地包括Internet�。如在本公開(kāi)中通篇使用的,Internet是計(jì)算 機(jī)的全球網(wǎng)絡(luò)���。本領(lǐng)域的技術(shù)人員所公知的Internet的結(jié)構(gòu)包括網(wǎng)絡(luò) 主干���,從主干分支出的網(wǎng)絡(luò)����。這些分支又具有從它們分支出的網(wǎng)絡(luò)等 等。路由器在網(wǎng)絡(luò)層之間�����,然后在網(wǎng)絡(luò)間移動(dòng)信息包�����,直到該包到達(dá) 其目的地附近為止����。從目的地出發(fā),目的地網(wǎng)絡(luò)的主機(jī)將信息包發(fā)送 到適當(dāng)?shù)慕K端或節(jié)點(diǎn)���。在一個(gè)有利的實(shí)施例中�,如本領(lǐng)域所公知的, Internet路由集線器包括使用傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP )的域 名系統(tǒng)(DNS)服務(wù)器���。路由集線器通過(guò)高速通信鏈路連接到一個(gè)或 多個(gè)其他路由集線器����。
Internet的 一個(gè)流行部分是萬(wàn)維網(wǎng)����。萬(wàn)維網(wǎng)包括存儲(chǔ)著能夠顯示 圖形和文本信息的文檔的不同計(jì)算機(jī)。在萬(wàn)維網(wǎng)上提供信息的計(jì)算機(jī) 通常被稱(chēng)為"Web站點(diǎn)"�����。以具有相關(guān)聯(lián)的電子頁(yè)面的Internet地址定 義Web站點(diǎn)����。可由統(tǒng)一資源定位器(URL)標(biāo)識(shí)電子頁(yè)面�����。 一般地�����, 電子頁(yè)面是以組織文本、圖形圖像���、音頻�、視頻等形式呈現(xiàn)的文檔����。
雖然以其優(yōu)選實(shí)施例的方式公開(kāi)了通信鏈路125,本領(lǐng)域的普通 技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到通信鏈路125可以包括各種交互通 信鏈路�。例如��,通信鏈路125可以包括交互電視網(wǎng)絡(luò)�����,電話網(wǎng)絡(luò)�,無(wú) 線數(shù)據(jù)傳輸系統(tǒng),雙路電纜系統(tǒng)��,定制的私有或公有計(jì)算機(jī)網(wǎng)絡(luò)���,交 互式信息亭網(wǎng)絡(luò)��,自動(dòng)應(yīng)答機(jī)網(wǎng)絡(luò),直接鏈路���,衛(wèi)星或蜂窩網(wǎng)絡(luò)等���。
17圖2示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖1的授信引擎110 的方框圖。如圖2所示����,授信引擎110包括事務(wù)處理引擎205,倉(cāng)庫(kù) 210�����,驗(yàn)證引擎215和密碼引擎220�����。根據(jù)本發(fā)明的一個(gè)實(shí)施例�,授信 引擎110還包括海量存儲(chǔ)器225。如圖2進(jìn)一步所示����,事務(wù)處理引擎 205與倉(cāng)庫(kù)210、驗(yàn)證引擎215和密碼引擎220以及海量存儲(chǔ)器225 通信��。另外��,倉(cāng)庫(kù)210與驗(yàn)證引擎215�,密碼引擎220和海量存儲(chǔ)器 225通信��。另外����,驗(yàn)證引擎215與密碼引擎220通信��。根據(jù)本發(fā)明的 一個(gè)實(shí)施例���,上述通信中的某些或全部可以有利地包括XML文檔到 相應(yīng)于接收設(shè)備的IP地址的傳輸�。如前所述�����,XML文檔有利地允許 設(shè)計(jì)者創(chuàng)建自己所有的定制文檔標(biāo)簽��,使得能夠進(jìn)行應(yīng)用間和組織間 的數(shù)據(jù)定義����、傳輸��、驗(yàn)證和說(shuō)明���。另外�����,上述通信中的某些或全部可 以包括常規(guī)SSL技術(shù)�����。
根據(jù)一個(gè)實(shí)施例�����,事務(wù)處理引擎205包括數(shù)據(jù)路由設(shè)備����,諸如可 以從Netscape, Microsoft, Apache等獲得的常規(guī)Web服務(wù)器。例如���, Web服務(wù)器可以有利地接收來(lái)自通信鏈路125的進(jìn)入數(shù)據(jù)��。根據(jù)本發(fā) 明的 一個(gè)實(shí)施例�,該進(jìn)入數(shù)據(jù)被尋址到用于授信引擎110的前端安全 系統(tǒng)�����。例如,該前端安全系統(tǒng)可以有利地包括防火墻����,搜索已知攻擊 簡(jiǎn)檔的入侵檢測(cè)系統(tǒng)和/或病毒掃描器�。在穿過(guò)前端安全系統(tǒng)之后�,數(shù) 據(jù)被事務(wù)處理引擎205接收并且被路由到倉(cāng)庫(kù)210�,驗(yàn)證引擎215, 密碼引擎220和海量存儲(chǔ)器225之一。另外�����,事務(wù)處理引擎205監(jiān)視 來(lái)自驗(yàn)證引擎215和密碼引擎220的進(jìn)入數(shù)據(jù)�,并且通過(guò)通信鏈路125 將數(shù)據(jù)路由到特定系統(tǒng)。例如,事務(wù)處理引擎205可以有利地將數(shù)據(jù) 路由到用戶(hù)系統(tǒng)105、證書(shū)頒發(fā)機(jī)構(gòu)115或提供方系統(tǒng)120���。
根據(jù)一個(gè)實(shí)施例��,使用常規(guī)的HTTP路由技術(shù)����,諸如例如采用 URL或統(tǒng)一資源指示符(URI)路由數(shù)據(jù)��。URI類(lèi)似于URL���,然而 URI通常指示文件或動(dòng)作的來(lái)源�,例如可執(zhí)行、腳本等等�。因此,根 據(jù)一個(gè)實(shí)施例����,用戶(hù)系統(tǒng)105、證書(shū)頒發(fā)機(jī)構(gòu)115�����、提供方系統(tǒng)120 和授信引擎210的組件有利地在事務(wù)處理引擎205的通信URL或URI 內(nèi)包括足夠的數(shù)據(jù)����,以便在密碼系統(tǒng)中正確地路由數(shù)據(jù)。
18雖然參考其優(yōu)選實(shí)施例公開(kāi)了數(shù)據(jù)路由���,本領(lǐng)域的技術(shù)人員將認(rèn) 識(shí)到各種可能的路由方案或策略����。例如,可以有利地根據(jù)其格式�、內(nèi)
容等解包和識(shí)別XML或其他數(shù)據(jù)包,從而事務(wù)處理引擎205可以正 確地在授信引擎110中路由數(shù)據(jù)�。另外�,本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到, 諸如例如�,當(dāng)通信鏈路125包括局域網(wǎng)時(shí),可以有利地使得數(shù)據(jù)路由 適合于符合特定網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)傳輸協(xié)議���。
根據(jù)本發(fā)明的另一個(gè)實(shí)施例���,事務(wù)處理引擎205包括常規(guī)的SSL 加密技術(shù),從而在特定通信中����,上述系統(tǒng)可以使用事務(wù)處理引擎205 驗(yàn)證自身,并且反之亦然��。如在本公開(kāi)中使用的���,術(shù)語(yǔ)"1/2SSL"指服 務(wù)器是SSL驗(yàn)證的而客戶(hù)機(jī)不必如此的通信����,并且術(shù)語(yǔ)"全SSL"指客 戶(hù)機(jī)和服務(wù)器為SSL驗(yàn)證的通信。當(dāng)本公開(kāi)使用術(shù)語(yǔ)"SSL"時(shí)����,通信 可以包括1/2或全SSL。
當(dāng)事務(wù)處理引擎205將數(shù)據(jù)路由到密碼系統(tǒng)100的各種組件時(shí)�, 事務(wù)處理引擎205可以有利地創(chuàng)建審查線索。根據(jù)一個(gè)實(shí)施例����,審查 線索包括至少事務(wù)處理引擎205路由到密碼系統(tǒng)100各處的數(shù)據(jù)的類(lèi) 型和格式的記錄。這種審查數(shù)據(jù)可被有利地存儲(chǔ)在海量存儲(chǔ)器225內(nèi)��。
圖2還示出了倉(cāng)庫(kù)210�。根據(jù)一個(gè)實(shí)施例,倉(cāng)庫(kù)210包括一個(gè)或 多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施�,諸如例如,目錄服務(wù)器��,數(shù)據(jù)庫(kù)服務(wù)器等���。如圖 2所示�,倉(cāng)庫(kù)210存儲(chǔ)密碼密鑰和登記驗(yàn)證數(shù)據(jù)。密碼密鑰可以有利 地對(duì)應(yīng)于授信引擎110或?qū)?yīng)于密碼系統(tǒng)100的用戶(hù)�,諸如用戶(hù)或提 供方。登記驗(yàn)證數(shù)據(jù)可以有利地包括設(shè)計(jì)為唯一地標(biāo)識(shí)用戶(hù)的數(shù)據(jù)���, 諸如用戶(hù)ID���, 口令,對(duì)問(wèn)題的回答���,生物測(cè)定數(shù)據(jù)等?�?梢栽谟脩?hù)登 記時(shí)或在另 一 個(gè)可供選擇的稍后時(shí)間有利地獲取登記驗(yàn)證數(shù)據(jù)�。例 如,授信引擎IIO可以包括登記驗(yàn)證數(shù)據(jù)的周期或其他形式的更新或 重發(fā)�����。
根據(jù)一個(gè)實(shí)施例���,從事務(wù)處理引擎205到驗(yàn)證引擎215和密碼引 擎220以及從驗(yàn)證引擎215和密碼引擎220到事務(wù)處理引擎205的通 信包括安全通信���,諸如例如,常規(guī)的SSL技術(shù)。另外��,如前所述����,到 和來(lái)自倉(cāng)庫(kù)210的通信的數(shù)據(jù)可被 使用URL, URI, HTTP����,或XML
19文檔傳輸,其中在上述任意一個(gè)中有利地嵌入數(shù)據(jù)請(qǐng)求和格式�����。
如上所述���,倉(cāng)庫(kù)210可以有利地包括多個(gè)安全數(shù)據(jù)存儲(chǔ)設(shè)施��。在 這樣一個(gè)實(shí)施例中���,可以這樣配置安全數(shù)據(jù)存儲(chǔ)設(shè)施,從而對(duì)一個(gè)單 獨(dú)數(shù)據(jù)存儲(chǔ)設(shè)施的安全的危及不會(huì)危及存儲(chǔ)在其中的密碼密鑰或驗(yàn) 證數(shù)據(jù)���。例如�,根據(jù)這個(gè)實(shí)施例,對(duì)密碼密鑰和驗(yàn)證數(shù)據(jù)進(jìn)行數(shù)學(xué)操 作�,以便統(tǒng)計(jì)地并且充分地隨機(jī)化存儲(chǔ)在單個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施內(nèi)的數(shù) 據(jù)。根據(jù)一個(gè)實(shí)施例��,單個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的數(shù)據(jù)的隨機(jī)化致使數(shù)據(jù)不 可譯碼�����。因此��,對(duì)單個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的危及僅產(chǎn)生隨機(jī)化的不可譯碼 的數(shù)字�,并且整體上不會(huì)危及任意密碼密鑰或驗(yàn)證數(shù)據(jù)的安全性。
圖2還示出了包括驗(yàn)證引擎215的授信引擎110�。根據(jù)一個(gè)實(shí)施 例,驗(yàn)證引擎215包括配置為對(duì)來(lái)自事務(wù)處理引擎205的數(shù)據(jù)和來(lái)自 倉(cāng)庫(kù)210的數(shù)據(jù)進(jìn)行比較的數(shù)據(jù)比較器�����。例如�,在驗(yàn)證過(guò)程中���,用戶(hù) 將當(dāng)前驗(yàn)證數(shù)據(jù)提供給授信引擎110��,從而事務(wù)處理引擎205接收當(dāng) 前驗(yàn)證數(shù)據(jù)���。如前所述,事務(wù)處理引擎205優(yōu)選地識(shí)別URL或URI 中的數(shù)據(jù)請(qǐng)求,并且將驗(yàn)證數(shù)據(jù)路由到驗(yàn)證引擎215��。另外��,依據(jù)請(qǐng) 求��,倉(cāng)庫(kù)210將相應(yīng)于該用戶(hù)的登記驗(yàn)證數(shù)據(jù)轉(zhuǎn)發(fā)到驗(yàn)證引擎215���。 因此,驗(yàn)證引擎215具有當(dāng)前驗(yàn)證數(shù)據(jù)和登記驗(yàn)證數(shù)據(jù)兩者以便進(jìn)行 比較�����。
根據(jù)一個(gè)實(shí)施例���,到驗(yàn)證引擎的通信包括安全通信�����,諸如例如��, SSL技術(shù)�。附加地,可以在授信引擎110組件內(nèi)提供安全性����,諸如例 如,使用公鑰技術(shù)的超級(jí)加密�。例如��,根據(jù)一個(gè)實(shí)施例���,用戶(hù)以驗(yàn)證 引擎215的公鑰對(duì)當(dāng)前驗(yàn)證數(shù)據(jù)加密�。另外,倉(cāng)庫(kù)210還以驗(yàn)證引擎 215的公鑰對(duì)登記驗(yàn)證數(shù)據(jù)加密���。以這種方式�����,僅可以使用驗(yàn)證引擎 的私鑰對(duì)傳輸進(jìn)行解密��。
如圖2所示�,授信引擎110還包括密碼引擎220。根據(jù)一個(gè)實(shí)施 例�����,密碼引擎包括密碼處理模塊��,其被有利地配置為提供常規(guī)密碼功 能����,諸如例如,公鑰基礎(chǔ)設(shè)施(PKI)功能�。例如,密碼引擎220可 以有利地為密碼系統(tǒng)100的用戶(hù)頒發(fā)公鑰和私鑰�。以這種方式,密碼 密鑰被在密碼引擎220處產(chǎn)生并且被轉(zhuǎn)發(fā)到倉(cāng)庫(kù)210�����,從而在授信引擎110之外至少不可獲得私有密碼密鑰。根據(jù)另一個(gè)實(shí)施例�����,密碼引 擎220隨機(jī)化并且分割至少私有密碼密鑰數(shù)據(jù)����,從而僅存儲(chǔ)隨機(jī)化的 分割數(shù)據(jù)。類(lèi)似于登記驗(yàn)證數(shù)據(jù)的分割�����,分割處理確保在密碼引擎220 之外不可獲得存儲(chǔ)的密鑰���。根據(jù)另一個(gè)實(shí)施例,密碼引擎的功能可被 與驗(yàn)證引擎215組合并且由驗(yàn)證引擎215執(zhí)行�����。
根據(jù)一個(gè)實(shí)施例�,到和來(lái)自密碼引擎的通信包括安全通信,諸如 SSL技術(shù)�����。另外,可以有利地采用XML文檔傳輸數(shù)據(jù)和/或進(jìn)行密碼 功能請(qǐng)求����。
圖2還示出了具有海量存儲(chǔ)器225的授信引擎110。如前所述���, 事務(wù)處理引擎205保持相應(yīng)于審查線索的數(shù)據(jù)����,并且在海量存儲(chǔ)器225 中存儲(chǔ)這種數(shù)據(jù)��。類(lèi)似地�����,根據(jù)本發(fā)明的一個(gè)實(shí)施例����,倉(cāng)庫(kù)210保持 相應(yīng)于審查線索的數(shù)據(jù),并且在海量存儲(chǔ)器225中存儲(chǔ)這種數(shù)據(jù)�����。倉(cāng) 庫(kù)審查線索數(shù)據(jù)類(lèi)似于事務(wù)處理引擎205的審查線索數(shù)據(jù)����,因?yàn)閷彶?線索數(shù)據(jù)包括倉(cāng)庫(kù)210接收的請(qǐng)求和對(duì)其的響應(yīng)的記錄�。另外���,海量 存儲(chǔ)器225可用于存儲(chǔ)其中包含用戶(hù)的公鑰的數(shù)字證書(shū)����。
雖然參考其優(yōu)選和可替換實(shí)施例公開(kāi)了授信引擎110�,本發(fā)明不
旨在局限于此。而是本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到此處公開(kāi)的授信引擎 IIO的多種替換方案����。例如,授信引擎110可以有利地僅執(zhí)行驗(yàn)證��, 或可替換地僅執(zhí)行密碼功能中的某些或全部����,諸如數(shù)據(jù)加密和解密����。 根據(jù)這種實(shí)施例,可以有利地去除驗(yàn)證引擎215和密碼引擎220之一�����, 從而創(chuàng)建授信引擎110的更直觀的設(shè)計(jì)。另外����,密碼引擎220還可以 與證書(shū)頒發(fā)機(jī)構(gòu)通信,從而將證書(shū)頒發(fā)機(jī)構(gòu)包含在授信引擎IIO內(nèi)��。 根據(jù)另一個(gè)實(shí)施例�,授信引擎IIO可以有利地執(zhí)行驗(yàn)證和一個(gè)或多個(gè) 密碼功能,諸如例如�����,數(shù)字簽名��。
圖3示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖2的事務(wù)處理引擎 205的方塊圖����。根據(jù)這個(gè)實(shí)施例,事務(wù)處理引擎205包括具有處理線 程和偵聽(tīng)線程的操作系統(tǒng)305�。操作系統(tǒng)305可以有利地類(lèi)似于常規(guī) 大容量服務(wù)器,諸如例如�,可從Apache獲得的Web服務(wù)器中所常見(jiàn) 的操作系統(tǒng)。偵聽(tīng)線程監(jiān)視來(lái)自通信鏈路125,驗(yàn)證引擎215和密碼引擎220之一的進(jìn)入通信的進(jìn)入數(shù)據(jù)流����。處理線程識(shí)別進(jìn)入數(shù)據(jù)流的 特定數(shù)據(jù)結(jié)構(gòu),諸如例如�,前述的數(shù)據(jù)結(jié)構(gòu),從而將進(jìn)入數(shù)據(jù)路由到 通信鏈路125���、倉(cāng)庫(kù)210�����、驗(yàn)證引擎215�、密碼引擎220或海量存儲(chǔ) 225之一���。如圖3所示���,可以有利地通過(guò)例如SSL技術(shù)保護(hù)進(jìn)入和外 出數(shù)據(jù)。
圖4示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖2的倉(cāng)庫(kù)210的方塊 圖�����。根據(jù)這個(gè)實(shí)施例��,倉(cāng)庫(kù)210包括一個(gè)或多個(gè)輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP)服務(wù)器�����?�?梢詮母鞣N制造商諸如Netscape, ISO等制造商 獲得LDAP目錄服務(wù)器���。圖4還示出目錄服務(wù)器優(yōu)選地存儲(chǔ)相應(yīng)于密 碼密鑰的數(shù)據(jù)405和相應(yīng)于登記驗(yàn)證數(shù)據(jù)的數(shù)據(jù)410�����。根據(jù)一個(gè)實(shí)施 例�,倉(cāng)庫(kù)210包括將驗(yàn)證數(shù)據(jù)和密碼密鑰數(shù)據(jù)索引到唯一用戶(hù)ID的 單個(gè)邏輯存儲(chǔ)器結(jié)構(gòu)����。該單個(gè)邏輯存儲(chǔ)器結(jié)構(gòu)優(yōu)選地包括存儲(chǔ)在其內(nèi) 的數(shù)據(jù)的高度可信或高度安全的機(jī)制。例如����,倉(cāng)庫(kù)210的物理位置有 利地包括各種常規(guī)安全措施,諸如受限的雇員訪問(wèn)���,調(diào)制解調(diào)器監(jiān)視 系統(tǒng)等���。除了物理安全之外或取代物理安全����,計(jì)算機(jī)系統(tǒng)或服務(wù)器可 以有利地包括保護(hù)存儲(chǔ)的數(shù)據(jù)的軟件解決方案�。例如,倉(cāng)庫(kù)210可以 有利地創(chuàng)建和存儲(chǔ)相應(yīng)于采取的活動(dòng)的審查線索的數(shù)據(jù)415��。另外�����, 可以有利地以與常規(guī)SSL技術(shù)耦合的公鑰加密對(duì)進(jìn)入和外出通信加 密����。
根據(jù)另一個(gè)實(shí)施例,如參考圖7進(jìn)一步公開(kāi)的�����,倉(cāng)庫(kù)210可以包 括不同的并且物理分離的數(shù)據(jù)存儲(chǔ)設(shè)施�����。
圖5示出了根據(jù)本發(fā)明的實(shí)施例的方面的圖2的驗(yàn)證引擎215 的方塊圖���。類(lèi)似于圖3的事務(wù)處理引擎205�����,驗(yàn)證引擎215包括至少 具有常規(guī)Web服務(wù)器�,諸如例如��,可從Apache獲得的Web服務(wù)器 的修改版本的偵聽(tīng)和處理線程的操作系統(tǒng)505��。如圖5所示�,驗(yàn)證引 擎215包括到至少一個(gè)私鑰510的訪問(wèn)?����?梢杂欣厥褂盟借€510例 如對(duì)來(lái)自事務(wù)處理引擎205或倉(cāng)庫(kù)210的被以驗(yàn)證引擎215的相應(yīng)公 鑰加密的數(shù)據(jù)解密���。
圖5還示出了包括比較器515�����、數(shù)據(jù)分割模塊520和數(shù)據(jù)組裝模
22塊525的驗(yàn)證引擎215����。根據(jù)本發(fā)明的優(yōu)選實(shí)施例,比較器515包括 能夠比較關(guān)于上述生物測(cè)定驗(yàn)證數(shù)據(jù)的潛在復(fù)雜模式的技術(shù)�����。該技術(shù) 可以包括硬件�、軟件或用于模式比較的組合解決方案���,諸如例如��,表 示指紋模式或語(yǔ)音模式的那些模式比較����。另外��,根據(jù)一個(gè)實(shí)施例�����,驗(yàn) 證引擎215的比較器515可以有利地比較文檔的常規(guī)散列�,以便生成 比較結(jié)果�。根據(jù)本發(fā)明的一個(gè)實(shí)施例�,比較器515包括將啟發(fā)530應(yīng) 用于比較。啟發(fā)530可以有利地解決圍繞驗(yàn)證嘗試的各種環(huán)境����,諸如 例如�, 一天中的時(shí)間���、IP地址或子網(wǎng)掩碼�����、購(gòu)買(mǎi)簡(jiǎn)檔����、電子郵件地址�����、 處理器序列號(hào)或ID等���。
另外�,生物測(cè)定數(shù)據(jù)比較的特性可能導(dǎo)致根據(jù)當(dāng)前生物測(cè)定驗(yàn)證 數(shù)據(jù)和登記數(shù)據(jù)的匹配產(chǎn)生的不同置信程度。例如����,不同于僅可以返 回肯定或否定匹配的傳統(tǒng)口令,指紋可被確定為部分匹配��,例如��,90 %匹配�,75%匹配或10%匹配,而不是簡(jiǎn)單地正確或不正確���。其他生 物測(cè)定標(biāo)識(shí)符�����,諸如聲紋分析或面部識(shí)別可以分擔(dān)概率驗(yàn)證而不是絕 對(duì)驗(yàn)證的這種屬性���。
當(dāng)以這種概率驗(yàn)證工作,或在驗(yàn)證被認(rèn)為不絕對(duì)可靠的其他情況 下����,希望應(yīng)用啟發(fā)530確定驗(yàn)證中提供的置信級(jí)別是否足夠高到驗(yàn)證 正在進(jìn)行的事務(wù)處理。
某些時(shí)候,待解決的事務(wù)處理是可以在較低置信級(jí)別被接受為通 過(guò)驗(yàn)證的相對(duì)低價(jià)值的事務(wù)處理��。這可以包括具有與其相關(guān)聯(lián)的低貨 幣價(jià)值(例如���,$10的購(gòu)買(mǎi))的事務(wù)處理或低風(fēng)險(xiǎn)的事務(wù)處理(例如�����, 允許進(jìn)入僅對(duì)成員開(kāi)放的Web站點(diǎn))����。
相反����,對(duì)于其他事務(wù)處理的驗(yàn)證��,可能希望在允許進(jìn)行事務(wù)處理 之前需要高的驗(yàn)證置信程度�。這種事務(wù)處理可以包括大貨幣價(jià)值(例 如,簽署幾百萬(wàn)美元的供應(yīng)合同)的事務(wù)處理�����,或如果發(fā)生不正確的 驗(yàn)證的具有高風(fēng)險(xiǎn)的事務(wù)處理(例如�����,遠(yuǎn)程登錄政府計(jì)算機(jī))。
可以如下所述那樣結(jié)合置信級(jí)別和事務(wù)處理價(jià)值使用啟發(fā)530�����, 以便允許比較器提供動(dòng)態(tài)的上下文敏感的驗(yàn)證系統(tǒng)���。
根據(jù)本發(fā)明的另一個(gè)實(shí)施例�,比較器515可以有利地追蹤特定事
23務(wù)處理的驗(yàn)證嘗試����。例如,當(dāng)事務(wù)處理失敗時(shí)�����,授信引擎110可以請(qǐng) 求用戶(hù)重新輸入他或她的當(dāng)前驗(yàn)證數(shù)據(jù)���。驗(yàn)證引擎215的比較器515 可以有利地采用嘗試限制器535限制驗(yàn)證嘗試的次數(shù)��,從而阻止模仿 用戶(hù)的驗(yàn)證數(shù)據(jù)的暴力嘗試�。根據(jù)一個(gè)實(shí)施例�,嘗試限制器535包括 監(jiān)視事務(wù)處理的重復(fù)驗(yàn)證嘗試,并且例如將給定事務(wù)處理的驗(yàn)證嘗試 限制為3次的軟件模塊。因此��,嘗試限制器535將模仿個(gè)人的驗(yàn)證數(shù) 據(jù)的自動(dòng)嘗試限制為例如僅為3次"猜測(cè)"�����。在3次失敗之后�,嘗試限 制器535可以有利地拒絕附加的驗(yàn)證嘗試?���?梢杂欣赝ㄟ^(guò)例如不論 正被傳輸?shù)漠?dāng)前驗(yàn)證數(shù)據(jù)如何,比較器515返回否定結(jié)果來(lái)實(shí)現(xiàn)這種 拒絕�����。在另一方面���,事務(wù)處理引擎205可以有利地阻塞屬于其中以前 3次嘗試已經(jīng)失敗的事務(wù)處理的任意附加驗(yàn)證嘗試。
驗(yàn)證引擎215還包括數(shù)據(jù)分割模塊520和數(shù)據(jù)組裝模塊525�。數(shù) 據(jù)分割模塊520有利地包括具有對(duì)各種數(shù)據(jù)進(jìn)行數(shù)學(xué)操作,以便充分 隨機(jī)化數(shù)據(jù)并且將其分割為多個(gè)部分的能力的軟件��,硬件或組合模 塊��。根據(jù)一個(gè)實(shí)施例,不能根據(jù)單個(gè)部分創(chuàng)建原始數(shù)據(jù)����。數(shù)據(jù)組裝模 塊525有利地包括配置為對(duì)上述充分隨機(jī)化的部分進(jìn)行數(shù)學(xué)操作,從 而使其組合提供原始譯碼數(shù)據(jù)的軟件��,硬件或組合模塊��。根據(jù)一個(gè)實(shí) 施例��,驗(yàn)證引擎215采用數(shù)據(jù)分割模塊520隨機(jī)化登記驗(yàn)證數(shù)據(jù)并且 將其分割為多個(gè)部分����,并且采用數(shù)據(jù)組裝模塊525將這些部分重新組 裝為可以使用的登記驗(yàn)證數(shù)據(jù)。
圖6示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的方面的圖2的授信引擎 200的密碼引擎220的方框圖����。類(lèi)似于圖3的事務(wù)處理引擎205,密 碼引擎220包括至少具有諸如例如可從Apache獲得的Web服務(wù)器的 常規(guī)Web服務(wù)器的修改版本的處理和偵聽(tīng)線程的操作系統(tǒng)605�。如圖 6所示,密碼引擎220包括具有類(lèi)似于圖5的那^功能的數(shù)據(jù)分割模 塊610和數(shù)據(jù)組裝模塊620��。然而根據(jù)一個(gè)實(shí)施例�,與前面的登記驗(yàn) 證數(shù)據(jù)相反,數(shù)據(jù)分割模塊610和數(shù)據(jù)組裝^^塊620處理密碼密鑰數(shù) 據(jù)。雖然,本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到�����,數(shù)據(jù)分割模 塊610和數(shù)據(jù)組裝模塊620可與驗(yàn)證引擎215的那些數(shù)據(jù)分割模塊和
24數(shù)據(jù)組裝組合在一起�����。
密碼引擎220還包括配置為執(zhí)行多個(gè)密碼功能中的一種���、某些或 全部的密碼處理模塊625��。根據(jù)一個(gè)實(shí)施例,密碼處理^t塊625可以 包括軟件模塊或程序���、硬件�����,或這兩者。根據(jù)另一個(gè)實(shí)施例,密碼處 理模塊625可以執(zhí)行數(shù)據(jù)比較,數(shù)據(jù)解析�,數(shù)據(jù)分割,數(shù)據(jù)劃分����,數(shù) 據(jù)散列,數(shù)據(jù)加密或解密���,數(shù)字簽名檢驗(yàn)或創(chuàng)建�����,數(shù)字證書(shū)產(chǎn)生�����、存 儲(chǔ)或請(qǐng)求����,密碼密鑰生成等。另外���,本領(lǐng)域的技術(shù)人員將從此處的7> 開(kāi)中認(rèn)識(shí)到��,密碼處理模塊625可以有利地包括公鑰基礎(chǔ)設(shè)施����,諸如 Pretty Good Privacy ( PGP ),基于RSA的公鑰系統(tǒng)����,或各種可替換 的密鑰管理系統(tǒng)。另外��,密碼處理模塊625可以執(zhí)行公鑰加密����,對(duì)稱(chēng) 密鑰加密或這兩者�。除了前述之外,密碼處理才莫塊625可以包括一個(gè)
或多個(gè)用于實(shí)現(xiàn)無(wú)縫的透明的互操作性功能的計(jì)算機(jī)程序或模塊�����、硬 件��,或這兩者��。
本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到��,密碼功能可以包括 通常涉及密碼密鑰管理系統(tǒng)的多種或各種功能���。
圖7示出了根據(jù)本發(fā)明的實(shí)施例的幾方面的倉(cāng)庫(kù)系統(tǒng)700的簡(jiǎn)化 方框圖��。如圖7所示���,倉(cāng)庫(kù)系統(tǒng)700有利地包括多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施�����, 例如����,數(shù)據(jù)存儲(chǔ)設(shè)施Dl, D2���, D3和D4�����。然而��,本領(lǐng)域的普通技術(shù) 人員容易理解�,該倉(cāng)庫(kù)系統(tǒng)可以?xún)H具有一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施�。根據(jù)本發(fā) 明的一個(gè)實(shí)施例,數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中的每一個(gè)可以有利地包 括根據(jù)圖4的倉(cāng)庫(kù)210公開(kāi)的元件中的某些或全部���。類(lèi)似于倉(cāng)庫(kù)210��, 數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4優(yōu)選地通過(guò)常規(guī)的SSL與事務(wù)處理引擎205�����, 驗(yàn)證引擎215���,密碼引擎220通信���。傳輸例如XML文檔的通信鏈路�。 來(lái)自事務(wù)處理引擎205的通信有利地包括對(duì)數(shù)據(jù)的請(qǐng)求,其中該請(qǐng)求 被有利地廣播到每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4的IP地址�。在另 一方面, 事務(wù)處理引擎205可以基于許多標(biāo)準(zhǔn)�����,諸如例如�����,響應(yīng)時(shí)間����,服務(wù)器 負(fù)載��,維護(hù)調(diào)度等將請(qǐng)求廣播到特定的數(shù)據(jù)存儲(chǔ)設(shè)施�。
響應(yīng)來(lái)自事務(wù)處理引擎205的對(duì)數(shù)據(jù)的請(qǐng)求�����,倉(cāng)庫(kù)系統(tǒng)700有利 地將存儲(chǔ)的數(shù)據(jù)轉(zhuǎn)發(fā)到驗(yàn)證引擎215和密碼引擎220���。相應(yīng)的數(shù)據(jù)組
25裝模塊接收轉(zhuǎn)發(fā)的數(shù)據(jù)�,并且將數(shù)據(jù)組裝為可用格式���。在另一方面����,
從驗(yàn)證引擎215和密碼引擎220到數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4的通信可 以包括將被存儲(chǔ)的敏感數(shù)據(jù)的傳輸���。例如����,根據(jù)一個(gè)實(shí)施例���,驗(yàn)證引 擎215和密碼引擎220可以有利地釆用其各自的數(shù)據(jù)分割模塊將敏感 數(shù)據(jù)劃分為不可譯碼的部分���,然后將敏感數(shù)據(jù)的一個(gè)或多個(gè)不可譯碼 的部分傳輸?shù)教囟ǖ臄?shù)據(jù)存儲(chǔ)設(shè)施����。
根據(jù)一個(gè)實(shí)施例��,每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4包括單獨(dú)的并且 獨(dú)立存儲(chǔ)系統(tǒng)���,諸如例如�,目錄服務(wù)器�����。根據(jù)本發(fā)明的另一個(gè)實(shí)施例���, 倉(cāng)庫(kù)系統(tǒng)700包括多個(gè)地理上分離的獨(dú)立數(shù)據(jù)存儲(chǔ)系統(tǒng)。通過(guò)將敏感 數(shù)據(jù)分散到不同的并且獨(dú)立的存儲(chǔ)實(shí)施D1到D4,存儲(chǔ)實(shí)施D1到D4 中的某些或全部可以有利地在地理上分離��,除了附加的安全措施之 外����,倉(cāng)庫(kù)系統(tǒng)700提供了冗余性�。例如��,根據(jù)一個(gè)實(shí)施例�,僅需要來(lái) 自多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中的兩個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的數(shù)據(jù)來(lái)譯碼 并且重新組裝敏感數(shù)據(jù)。因此����,四個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中的多 至兩個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施可能由于維護(hù),系統(tǒng)故障�,電源故障等而不可操 作,而不會(huì)影響授信引擎110的功能��。另外�,根據(jù)一個(gè)實(shí)施例,由于 存儲(chǔ)在每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施內(nèi)的數(shù)據(jù)被隨機(jī)化并且是不可譯碼的�,對(duì)任
意單獨(dú)數(shù)據(jù)存儲(chǔ)設(shè)施的危及不必然危及該敏感數(shù)據(jù)。另外���,在具有地 理分離的數(shù)據(jù)存儲(chǔ)設(shè)施的實(shí)施例中���,危及多個(gè)在地理上位于遠(yuǎn)方的設(shè) 施變得更加困難。事實(shí)上�,甚至詐騙雇員破壞所需的多個(gè)獨(dú)立的地理 上位于遠(yuǎn)方的數(shù)據(jù)存儲(chǔ)設(shè)施也是極具挑戰(zhàn)性的。
雖然參考其優(yōu)選和可替換的實(shí)施例公開(kāi)了倉(cāng)庫(kù)系統(tǒng)700�����,本發(fā)明 不旨在局限于此。而是本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到倉(cāng) 庫(kù)系統(tǒng)700的許多替代方案����。例如,倉(cāng)庫(kù)系統(tǒng)700可以包括一個(gè)或兩 個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施��。另外��,可以數(shù)學(xué)地操作敏感數(shù)據(jù)��,從而需要 來(lái)自?xún)蓚€(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的部分以便重新組裝并且譯碼敏感數(shù) 據(jù)���。
如前所述��,驗(yàn)證引擎215和密碼引擎220中的每一個(gè)分別包括用 于分割任意類(lèi)型或形式的敏感數(shù)據(jù)�,諸如例如���,文本、音頻�、視頻、驗(yàn)證數(shù)據(jù)和密碼密鑰數(shù)據(jù)的數(shù)據(jù)分割模塊520和610�。圖8示出了根 據(jù)本發(fā)明的實(shí)施例的方面由數(shù)據(jù)分割模塊執(zhí)行的數(shù)據(jù)分割處理800的 流程圖���。如圖8所示,當(dāng)驗(yàn)證引擎215或密碼引擎220的數(shù)據(jù)分割模 塊接收到敏感數(shù)據(jù)"S"時(shí)����,數(shù)據(jù)分割處理800以步驟805開(kāi)始。優(yōu)選 地��,在步驟810,數(shù)據(jù)分割模塊然后產(chǎn)生大體隨機(jī)的數(shù)字�����、值或串或 位集合"A"�。例如,可以根據(jù)本領(lǐng)域普通技術(shù)人員可使用的用于產(chǎn)生 適合于在密碼應(yīng)用中使用的高質(zhì)量隨機(jī)數(shù)的許多不同常規(guī)技術(shù)產(chǎn)生 隨機(jī)數(shù)A�����。另外��,根據(jù)一個(gè)實(shí)施例��,隨機(jī)數(shù)A包括可以是任意適合長(zhǎng) 度的位長(zhǎng)度�����,諸如比敏感數(shù)據(jù)S的位長(zhǎng)度更短、更長(zhǎng)或相等�����。
另外����,在步驟820,數(shù)據(jù)分割處理800產(chǎn)生另一個(gè)統(tǒng)計(jì)上隨機(jī)的 數(shù)字"C"。根據(jù)優(yōu)選實(shí)施例��,可以有利地并行完成統(tǒng)計(jì)上隨機(jī)的數(shù)字 A和C的產(chǎn)生���。然后數(shù)據(jù)分割模塊將數(shù)字A和C與敏感數(shù)據(jù)S組合���, 從而產(chǎn)生新數(shù)字"B"和"D"�����。例如,數(shù)字B可以包括AXORS的二進(jìn) 制組合��,并且數(shù)字D可以包括CXORS的二進(jìn)制組合�。XOR函數(shù)或 "異或"函數(shù)是本領(lǐng)域的技術(shù)人員公知的。上述組合優(yōu)選地分別發(fā)生在 步驟825和830��,并且根據(jù)一個(gè)實(shí)施例���,上述組合還可以并行發(fā)生�。 數(shù)據(jù)分割處理800然后進(jìn)入步驟835����,其中配對(duì)隨機(jī)數(shù)A和C以及數(shù) 字B和D,從而沒(méi)有一個(gè)配對(duì)自身包含足夠的數(shù)據(jù)以便重新組裝和譯 碼原始敏感數(shù)據(jù)S�。例如,數(shù)字可,皮如下配對(duì)AC����, AD, BC和BD�。 根據(jù)一個(gè)實(shí)施例,上述配對(duì)中的每一個(gè)被分配到圖7的倉(cāng)庫(kù)Dl到D4 中的一個(gè)��。才艮據(jù)另一個(gè)實(shí)施例�����,上述配對(duì)中的每一個(gè)^皮隨機(jī)地分配到 倉(cāng)庫(kù)Dl到D4中的一個(gè)����。例如�����,在第一數(shù)據(jù)分割處理800過(guò)程中�, 配對(duì)AC可被通過(guò)例如對(duì)D2的IP地址的隨機(jī)選擇發(fā)送到倉(cāng)庫(kù)D2�����。 然后����,在第二數(shù)據(jù)分割處理800過(guò)程中,配對(duì)AC可^皮通過(guò)例如對(duì)D4 的IP地址的隨機(jī)選擇發(fā)送到倉(cāng)庫(kù)D4����。另外,配對(duì)可被全部存儲(chǔ)在一 個(gè)倉(cāng)庫(kù)上���,并且可被存儲(chǔ)在所述倉(cāng)庫(kù)上的分離的位置內(nèi)����。
基于上文���,數(shù)據(jù)分割處理800有利地將敏感數(shù)據(jù)的多個(gè)部分放置 在4個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中的每一個(gè)內(nèi)�����,從而沒(méi)有單個(gè)數(shù)據(jù)存 儲(chǔ)設(shè)施Dl到D4包括足夠的加密數(shù)據(jù)以便重建原始敏感數(shù)據(jù)S���。如前
27所述,這種將數(shù)據(jù)隨機(jī)化為不可單獨(dú)使用的加密部分增加了安全性����,
并且即使數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中的一個(gè)受到危及,也可提供數(shù)據(jù) 的持續(xù)可信�。
雖然參考其優(yōu)選實(shí)施例公開(kāi)了數(shù)據(jù)分割處理800,本發(fā)明不旨在 局限于此���。而是本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到數(shù)據(jù)分割 處理800的各種替代方案����。例如��,數(shù)據(jù)分割處理可以有利地將數(shù)據(jù)分 割為兩個(gè)數(shù)字��,例如隨機(jī)數(shù)字A和數(shù)字B�,并且隨機(jī)地通過(guò)兩個(gè)數(shù)據(jù) 存儲(chǔ)設(shè)施分配A和B�����。另外,數(shù)據(jù)分割處理800可以有利地通過(guò)產(chǎn)生 附加的隨機(jī)數(shù)在多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施之間分配數(shù)據(jù)�。數(shù)據(jù)可被分割為任 意所希望的��、所選擇的、預(yù)定的或隨機(jī)指定大小的單元�����,包括但不限 于位,多個(gè)位�,字節(jié)���,千字節(jié)�����,兆字節(jié)或更大的,或大小的任意組合 或序列����。另外���,分割處理中產(chǎn)生的不同大小的數(shù)據(jù)單元可以致使更難 以將數(shù)據(jù)恢復(fù)為可用形式,從而增加了敏感數(shù)據(jù)的安全性。本領(lǐng)域的 普通技術(shù)人員容易明了 ���,分割數(shù)據(jù)單元大小可以是各種數(shù)據(jù)單元大小 或大小模式或大小組合����。例如��,教據(jù)單元大小可被選擇為或預(yù)定為全 部是相同大小、不同大小的固定集合�����,幾種大小組合����,或隨機(jī)產(chǎn)生的 大小�����。類(lèi)似地�����,數(shù)據(jù)單元可根據(jù)固定或預(yù)定數(shù)據(jù)單元大小���,數(shù)據(jù)單元 大小的模式或組合,或隨機(jī)產(chǎn)生的數(shù)據(jù)單元大小或每份的大小被分配 到一個(gè)或多個(gè)份中���。
如前所述��,為了重建敏感數(shù)據(jù)S����,數(shù)據(jù)部分需要被去隨機(jī)化并且 重新組裝����。這個(gè)處理可以有利地分別發(fā)生在驗(yàn)證引擎215和密碼引擎 220的數(shù)據(jù)組裝模塊525和620中����。數(shù)字組裝模塊例如數(shù)據(jù)組裝模塊 525從數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4接收數(shù)據(jù)部分,并且將數(shù)據(jù)重新組裝為 可用形式�����。例如���,根據(jù)數(shù)據(jù)分割模塊520采用圖8的數(shù)據(jù)分割處理800 的一個(gè)實(shí)施例����,數(shù)據(jù)組裝模塊525使用來(lái)自數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4 中的至少兩個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的數(shù)據(jù)部分重建敏感數(shù)據(jù)S。例如���,這樣 分配AC, AD����, BC和BD的配對(duì)�����,佳J尋任意兩個(gè)配對(duì)提供A和B或 C和D之一�。注意,S-A XOR B或S-C XOR D指示當(dāng)數(shù)據(jù)組裝 模塊收到A和B或C和D之一時(shí)��,數(shù)據(jù)組裝模塊525可以有利地重新組裝敏感數(shù)據(jù)S���。因此����,當(dāng)例如其接收到來(lái)自數(shù)據(jù)存儲(chǔ)設(shè)施Dl到 D4的至少頭兩個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備的數(shù)據(jù)部分時(shí)���,數(shù)據(jù)組裝模塊525可 以組裝敏感數(shù)據(jù)S���,以響應(yīng)授信引擎110的組裝請(qǐng)求�����。
基于上述數(shù)據(jù)分割和組裝處理���,敏感數(shù)據(jù)S僅在授信引擎110 的有限區(qū)域內(nèi)以可使用格式存在。例如����,當(dāng)敏感數(shù)據(jù)S包括登記驗(yàn)證 數(shù)據(jù)時(shí),僅在驗(yàn)證引擎215中可以獲得可使用的未隨機(jī)化的登記驗(yàn)證 數(shù)據(jù)��。類(lèi)似地�����,當(dāng)敏感數(shù)據(jù)S包括私有密碼密鑰數(shù)據(jù)時(shí)���,僅在密碼引 擎220中可以獲得可以使用的未隨機(jī)化的私有密碼密鑰數(shù)據(jù)。
雖然參考其優(yōu)選實(shí)施例公開(kāi)了數(shù)據(jù)分割和組裝處理�����,本發(fā)明不旨 在局限于此。而是本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到用于分 割和重新組裝敏感數(shù)據(jù)S的多種替代方案��。例如�����,可以使用公鑰加密 進(jìn)一步保護(hù)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4處的數(shù)據(jù)�。另外���,本領(lǐng)域的普通 技術(shù)人員容易明了 �����,此處描述的數(shù)據(jù)分割模塊也是本發(fā)明的單獨(dú)的不 同的實(shí)施例���,其可結(jié)合到任意已有計(jì)算機(jī)系統(tǒng)、軟件套件����、數(shù)據(jù)庫(kù)或 其組合�,或本發(fā)明的其他實(shí)施例,諸如此處公開(kāi)和描述的授信引擎��、 驗(yàn)證引擎和事務(wù)處理引擎內(nèi)��,與其組合在一起��、或成為其一部分。
圖9A示出了根據(jù)本發(fā)明的實(shí)施例的方面的登記處理900的數(shù)據(jù) 流�����。如圖9A所示�����,當(dāng)用戶(hù)希望在密碼系統(tǒng)100的授信引擎110上登 記時(shí),登記處理卯0在步驟905開(kāi)始���。根據(jù)這個(gè)實(shí)施例�,用戶(hù)系統(tǒng)105 有利地包括客戶(hù)機(jī)側(cè)小程序�,諸如詢(xún)問(wèn)用戶(hù)以便輸入登記諸如人口統(tǒng) 計(jì)學(xué)數(shù)據(jù)和登記驗(yàn)證數(shù)據(jù)的基于Java的小程序�����。根據(jù)一個(gè)實(shí)施例��, 登記驗(yàn)證數(shù)據(jù)包括用戶(hù)ID�, 口令(多個(gè))��,生物測(cè)定(多個(gè))等�。根 據(jù)一個(gè)實(shí)施例,在詢(xún)問(wèn)處理過(guò)程中�����,客戶(hù)機(jī)側(cè)小程序優(yōu)選地與授信引 擎110通信,以便確保選擇的用戶(hù)ID是唯一的���。當(dāng)用戶(hù)ID不唯一時(shí)�, 授信引擎110可以有利地建議唯一的用戶(hù)ID���?���?蛻?hù)機(jī)側(cè)小程序收集登 記數(shù)據(jù)�,并且例如通過(guò)XML文檔將登記數(shù)據(jù)傳輸?shù)绞谛乓?10, 并且特別地傳輸?shù)绞聞?wù)處理引擎205�����。根據(jù)一個(gè)實(shí)施例�,以驗(yàn)證引擎 215的7^鑰對(duì)傳輸編碼。
根據(jù)一個(gè)實(shí)施例�,用戶(hù)在登記處理卯0的步驟905過(guò)程中執(zhí)行單
29個(gè)登記。例如����,用戶(hù)將他或她自己登記為特定人員,諸如Joeuser����。 當(dāng)Joe user 希望以Joe user, Mega公司的CEO登i己時(shí)�,那么才艮才居這 個(gè)實(shí)施例���,Joe user第二次登記�,接收第二個(gè)唯一用戶(hù)ID���,授信引擎 110便不將兩個(gè)身份相關(guān)聯(lián)。根據(jù)本發(fā)明的另一個(gè)實(shí)施例��,登記處理 900為單個(gè)用戶(hù)ID提供多個(gè)用戶(hù)身份����。因此,在上面的例子中�����,授信 引擎110有利地將Joe user的兩個(gè)身份相關(guān)聯(lián)�。如本領(lǐng)域的技術(shù)人員 將從此處的公開(kāi)中理解的,用戶(hù)可以具有許多身份�,例如,Joe user 戶(hù)主���,Joe user慈善基金會(huì)成員等��。盡管用戶(hù)可以具有多個(gè)身份���,根 據(jù)這個(gè)實(shí)施例���,授信引擎110優(yōu)選地僅存儲(chǔ)一組登記數(shù)據(jù)。另外�����,當(dāng) 需要時(shí)用戶(hù)可以有利地增加�����、編輯/更新或刪除身份�����。
雖然參考其優(yōu)選實(shí)施例公開(kāi)了登記處理900��,本發(fā)明不旨在局限 于此���。而是本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到用于收集登記 數(shù)據(jù)并且特別是登記驗(yàn)證數(shù)據(jù)的多種替換方案��。例如���,小程序可以是 基于公共對(duì)象模型(COM)的小程序等��。
在另一方面�,登記處理可以包括分級(jí)登記����。例如,最低級(jí)別的登 記���,用戶(hù)可以在通信鏈路125上登記而不產(chǎn)生關(guān)于他或她的身份的文 檔。根據(jù)一種增加級(jí)別的登記�����,用戶(hù)使用可信的第三方諸如數(shù)字^Hi 人登記��。例如用戶(hù)可以親自到可信的第三方�����,出示卞者如出生證明�����、駕 照、軍人ID等的憑證�����,并且可信的第三方可以有利地在登記遞交中 包括例如其數(shù)字簽名����。可信的第三方可以包括實(shí)際公證人�、諸如郵局
或車(chē)輛管理局的政府機(jī)構(gòu)、大公司中的登記雇員的人事人員等����。本領(lǐng) 域的技術(shù)人員將從此處的公開(kāi)中理解,在登記處理900過(guò)程中可以發(fā) 生多種不同級(jí)別的登記����。
在接收登記驗(yàn)證數(shù)據(jù)之后,在步驟915����,事務(wù)處理引擎205使用 常規(guī)的全SSL :^支術(shù)將登記驗(yàn)證數(shù)據(jù)轉(zhuǎn)發(fā)到驗(yàn)證引擎215。在步驟920�����, 驗(yàn)證引擎215使用驗(yàn)證引擎215的私鑰對(duì)登記驗(yàn)證數(shù)據(jù)解密。另外��, 驗(yàn)證引擎215采用數(shù)據(jù)分割模塊對(duì)登記驗(yàn)證數(shù)據(jù)進(jìn)行數(shù)學(xué)操作���,以便 將該數(shù)據(jù)分割為至少兩個(gè)獨(dú)立的不可譯碼的隨機(jī)化的數(shù)字�。如前所 述�,至少兩個(gè)數(shù)字可以包括在統(tǒng)計(jì)上隨機(jī)的數(shù)字和二進(jìn)制異或的數(shù)
30字。在步驟925���,驗(yàn)證引擎215將隨機(jī)化數(shù)字的每個(gè)部分轉(zhuǎn)發(fā)到數(shù)據(jù) 存儲(chǔ)設(shè)施Dl到D4之一�����。如前所述,驗(yàn)證引擎215還可以隨機(jī)化將 哪個(gè)部分傳輸?shù)侥膫€(gè)倉(cāng)庫(kù)�。
通常在登記處理900過(guò)程中,用戶(hù)還希望頒發(fā)數(shù)字證書(shū)�,從而他 或她可以從其他外部密碼系統(tǒng)100接收加密文檔。如前所述�,證書(shū)頒 發(fā)機(jī)構(gòu)115 —般地根據(jù)若干常規(guī)標(biāo)準(zhǔn)中的一個(gè)或多個(gè)頒發(fā)數(shù)字證書(shū)。 一般地����,數(shù)字證書(shū)包括每個(gè)人所知的用戶(hù)或系統(tǒng)的公鑰�����。
不論用戶(hù)是否在登記時(shí)或在另 一個(gè)時(shí)刻請(qǐng)求數(shù)字證書(shū)���,該請(qǐng)求通 過(guò)授信引擎110被傳輸?shù)津?yàn)證引擎215。根據(jù)一個(gè)實(shí)施例�����,請(qǐng)求包括 具有例如用戶(hù)的正確名稱(chēng)的XML文檔��。根據(jù)步驟935�,驗(yàn)證引擎215 將該請(qǐng)求傳輸?shù)矫艽a引擎220,指示密碼引擎220產(chǎn)生密碼密鑰或密 鑰對(duì)�����。
在請(qǐng)求之后���,在步驟935�,密碼引擎220產(chǎn)生至少一個(gè)密碼密鑰。 根據(jù)一個(gè)實(shí)施例�����,密碼處理模塊625產(chǎn)生密鑰對(duì)����,其中一個(gè)密鑰用作 私鑰,并且另一個(gè)用作公鑰����。密碼引擎220存儲(chǔ)私鑰,并且根據(jù)一個(gè) 實(shí)施例�����,存儲(chǔ)公鑰的拷貝��。在步驟945��,密碼引擎220將對(duì)數(shù)字證書(shū) 的請(qǐng)求傳輸?shù)绞聞?wù)處理引擎205�����。根據(jù)一個(gè)實(shí)施例���,該請(qǐng)求有利地包 括標(biāo)準(zhǔn)化的請(qǐng)求���,諸如嵌入在例如XML文檔內(nèi)的PKCSIO。對(duì)數(shù)字 證書(shū)的請(qǐng)求可以有利地相應(yīng)于一個(gè)或多個(gè)證書(shū)頒發(fā)機(jī)構(gòu)和該證書(shū)頒
發(fā)機(jī)構(gòu)要求的一個(gè)或多個(gè)標(biāo)準(zhǔn)格式�。
在步驟950,事務(wù)處理引擎205將這個(gè)請(qǐng)求轉(zhuǎn)發(fā)到證書(shū)頒發(fā)機(jī)構(gòu) 115���,在步驟955�����,證書(shū)頒發(fā)機(jī)構(gòu)115返回?cái)?shù)字證書(shū)�����。返回的數(shù)字證書(shū) 可以有利地為諸如PKCS7的標(biāo)準(zhǔn)化格式��,或一個(gè)或多個(gè)證書(shū)頒發(fā)機(jī) 構(gòu)115的專(zhuān)用格式����。在步驟960��,由事務(wù)處理引擎205接收數(shù)字證書(shū)����, 并且將一個(gè)拷貝轉(zhuǎn)發(fā)給用戶(hù)����,并且用授信引擎110存儲(chǔ)一個(gè)拷貝�。授 信引擎110存儲(chǔ)證書(shū)的一個(gè)拷貝,從而授信引擎110不需要依賴(lài)證書(shū) 頒發(fā)機(jī)構(gòu)115的可獲得性��。例如�����,當(dāng)用戶(hù)希望發(fā)送數(shù)字證書(shū)或第三方 請(qǐng)求用戶(hù)的數(shù)字證書(shū)時(shí)���,對(duì)數(shù)字證書(shū)的請(qǐng)求通常被發(fā)送到證書(shū)頒發(fā)機(jī) 構(gòu)115�����。然而���,如果證書(shū)頒發(fā)機(jī)構(gòu)115正在進(jìn)行維護(hù),或已經(jīng)出現(xiàn)故障或受到安全危及�,可能不可獲得數(shù)字證書(shū)。
在頒發(fā)密碼密鑰之后的任意時(shí)刻�����,密碼引擎220可以有利地采用 上述的數(shù)據(jù)分割處理800���,從而將密碼密鑰分割為獨(dú)立的不可譯碼的 隨機(jī)化的數(shù)字。類(lèi)似于驗(yàn)證數(shù)據(jù)����,在步驟965,密碼引擎220將隨機(jī) 化的數(shù)字傳輸?shù)綌?shù)據(jù)存儲(chǔ)設(shè)施Dl到D4��。
本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到��,用戶(hù)可以在登記之 后的任意時(shí)刻請(qǐng)求數(shù)字證書(shū)����。另外系統(tǒng)間的通信可以有利地包括全 SSL或公鑰加密技術(shù)。另外�����,登記處理可以從多個(gè)證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā) 多個(gè)數(shù)字證書(shū)��,包括授信引擎IIO之內(nèi)或之外的一個(gè)或多個(gè)私有證書(shū) 頒發(fā)機(jī)構(gòu)。
如步驟935到960中公開(kāi)的�����,本發(fā)明的一個(gè)實(shí)施例包括對(duì)最終存 儲(chǔ)在授信引擎110上的證書(shū)的請(qǐng)求���。根據(jù)一個(gè)實(shí)施例�����,由于密碼處理 模塊625頒發(fā)授信引擎110所使用的密鑰�,每個(gè)證書(shū)對(duì)應(yīng)于一個(gè)私鑰�����。 因此����,通過(guò)監(jiān)視用戶(hù)所擁有的或與用戶(hù)相關(guān)聯(lián)的證書(shū),授信引擎110 可以有利地提供互操作性��。例如��,當(dāng)密碼引擎220收到對(duì)密碼功能的 請(qǐng)求時(shí)��,密碼處理模塊625可以審查進(jìn)行請(qǐng)求的用戶(hù)所擁有的證書(shū), 以便確定用戶(hù)是否擁有與該請(qǐng)求的屬性匹配的私鑰�����。當(dāng)這種證書(shū)存在 時(shí)�,密碼處理模塊625可以使用該證書(shū)或與其相關(guān)聯(lián)的公鑰或私鑰執(zhí) 行所請(qǐng)求的功能����。當(dāng)這種證書(shū)不存在時(shí),密碼處理模塊625可以有利 地并且透明地執(zhí)行若干活動(dòng)�����,以便試圖補(bǔ)救適當(dāng)密鑰的缺失�����。例如�����, 圖9B示出了互操作性處理970的流程圖�,其根據(jù)本發(fā)明的實(shí)施例的 方面公開(kāi)了確保密碼處理模塊625使用適當(dāng)?shù)拿荑€執(zhí)行密碼功能的上 述步驟����。
如圖9B所示��,互操作性處理970以步驟972開(kāi)始��,其中密碼處 理^t塊925確定所希望的證書(shū)的類(lèi)型�����。根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,可 以有利地在對(duì)密碼功能的請(qǐng)求或由請(qǐng)求者提供的其他數(shù)據(jù)中指定證 書(shū)類(lèi)型�。根據(jù)另一個(gè)實(shí)施例,可根據(jù)請(qǐng)求的格式確定證書(shū)類(lèi)型����。例如, 密碼處理模塊925可以有利地識(shí)別相應(yīng)于特定的類(lèi)型的請(qǐng)求�����。
根據(jù)一個(gè)實(shí)施例����,證書(shū)類(lèi)型可以包括一個(gè)或多個(gè)算法標(biāo)準(zhǔn)��,例如,
32RSA, ELGAMAL等�����。另夕卜�����,證書(shū)類(lèi)型可以包括一個(gè)或多個(gè)密鑰類(lèi)型�����, 諸如對(duì)稱(chēng)密鑰���,公鑰,諸如256位密鑰的強(qiáng)加密密鑰�����,弱安全密鑰等。 另外��,證書(shū)類(lèi)型可以包括升級(jí)或取代一個(gè)或多個(gè)上述算法標(biāo)準(zhǔn)或密 鑰�����、 一個(gè)或多個(gè)消息或數(shù)據(jù)格式��、諸如Base32或Base64的一個(gè)或多 個(gè)數(shù)據(jù)封裝或編碼方案����。證書(shū)類(lèi)型還可以包括與一個(gè)或多個(gè)第三方密 碼應(yīng)用或接口、 一個(gè)或多個(gè)通信協(xié)議����、或一個(gè)或多個(gè)證書(shū)標(biāo)準(zhǔn)或協(xié)議 的兼容。本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到��,證書(shū)類(lèi)型中可 以存在其他不同����,并且可以如此處所>5^開(kāi)的那樣實(shí)現(xiàn)這些不同之間的 來(lái)回轉(zhuǎn)換。
一旦密碼處理模塊625確定了證書(shū)類(lèi)型����,互操作性處理970進(jìn)入 步驟974�,并且確定用戶(hù)是否擁有與步驟974中確定的類(lèi)型相匹配的 證書(shū)���。當(dāng)用戶(hù)擁有匹配的證書(shū)�,例如�����,授信引擎110可以例如通過(guò)其 以前的存儲(chǔ)器訪問(wèn)匹配的證書(shū)時(shí)��,密碼處理模塊825知道匹配的私鑰 也被存儲(chǔ)在授信引擎110內(nèi)�����。例如����,匹配的私鑰可以存儲(chǔ)在倉(cāng)庫(kù)210 或倉(cāng)庫(kù)系統(tǒng)700內(nèi)�����。密碼處理才莫塊625可以有利地請(qǐng)求從例如倉(cāng)庫(kù)210 匯集匹配的私鑰���,然后在步驟976���,使用匹配的私鑰執(zhí)行密碼活動(dòng)或 功能����。例如����,如前所述,密碼處理模塊625可以有利地執(zhí)行散列�,散 列比較,數(shù)據(jù)加密或解密��,數(shù)字簽名檢驗(yàn)或創(chuàng)建等��。
當(dāng)用戶(hù)不擁有匹配的證書(shū)時(shí)�����,互操作性處理970進(jìn)入步驟978�, 其中密碼處理模塊625確定用戶(hù)是否擁有交叉認(rèn)證的證書(shū)。根據(jù)一個(gè) 實(shí)施例���,當(dāng)?shù)?一證書(shū)頒發(fā)機(jī)構(gòu)確定信任來(lái)自第二證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū) 時(shí)��,發(fā)生證書(shū)頒發(fā)機(jī)構(gòu)之間的交叉認(rèn)證���。換言之���,第一證書(shū)頒發(fā)機(jī)構(gòu) 確定來(lái)自第二證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū)滿足某些質(zhì)量標(biāo)準(zhǔn),并且因此可被 "證明"為等同于第一證書(shū)頒發(fā)機(jī)構(gòu)自己的證書(shū)���。當(dāng)證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā) 例如具有多個(gè)信任級(jí)別的證書(shū)時(shí)����,交叉認(rèn)證變得更為復(fù)雜�。例如,第 一證書(shū)頒發(fā)機(jī)構(gòu)可能�,通常基于登記處理的可靠性程度���,為特定證書(shū) 提供三種信任級(jí)別�,而第二證書(shū)頒發(fā)機(jī)構(gòu)可能提供七種信任級(jí)別�。交 叉認(rèn)證可以有利地追蹤可以用第二證書(shū)頒發(fā)機(jī)構(gòu)的哪些級(jí)別和哪些 證書(shū)取代第一證書(shū)頒發(fā)機(jī)構(gòu)的哪些級(jí)別和哪些證書(shū)。當(dāng)在兩個(gè)證書(shū)頒發(fā)機(jī)構(gòu)之間正式地公開(kāi)地進(jìn)行上述交叉認(rèn)證時(shí)����,證書(shū)和級(jí)別彼此之間 的映射通常稱(chēng)為"鏈"����。
根據(jù)本發(fā)明的另 一個(gè)實(shí)施例����,密碼處理模塊625可以有利地開(kāi)發(fā) 證書(shū)頒發(fā)機(jī)構(gòu)達(dá)成協(xié)議的那些交叉認(rèn)證之外的交叉認(rèn)證�。例如,密碼 處理才莫塊625可以訪問(wèn)第一證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū)操作聲明(CPS)或 其他發(fā)表的政策聲明�,并且使用例如特定信任級(jí)別所需的驗(yàn)證標(biāo)記, 將第一證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū)匹配到另一個(gè)證書(shū)頒發(fā)機(jī)構(gòu)的那些證書(shū)�。
當(dāng)在步驟978中密碼處理模塊625確定用戶(hù)擁有交叉認(rèn)證的證書(shū) 時(shí),互操作性處理970進(jìn)入步驟976�����,并且使用交叉認(rèn)證的公鑰�����、私 鑰或這兩者執(zhí)行密碼活動(dòng)或功能�����?���?商鎿Q地��,當(dāng)密碼處理模塊625確 定用戶(hù)不擁有交叉認(rèn)證證書(shū)時(shí)����,互操作性處理970進(jìn)入步驟980,其 中密碼處理模塊625選擇頒發(fā)所請(qǐng)求的證書(shū)類(lèi)型或交叉認(rèn)證證書(shū)的證 書(shū)頒發(fā)機(jī)構(gòu)���。在步驟982���,密碼處理模塊625確定前面討論的用戶(hù)登 記驗(yàn)證數(shù)據(jù)是否滿足選擇的證書(shū)頒發(fā)機(jī)構(gòu)的驗(yàn)證要求。例如���,如果用 戶(hù)在網(wǎng)絡(luò)上通過(guò)例如回答人口統(tǒng)計(jì)和其他問(wèn)題登記����,所提供的驗(yàn)證數(shù) 據(jù)可以建立比提供生物測(cè)定數(shù)據(jù)和親臨諸如例如公證人處的第三方 的用戶(hù)低的信任級(jí)別�����。根據(jù)一個(gè)實(shí)施例���,可以有利地在選擇的證書(shū)頒 發(fā)機(jī)構(gòu)的CPS中提供上述驗(yàn)證要求�����。
當(dāng)用戶(hù)給授信引擎110提供了滿足選擇的證書(shū)頒發(fā)機(jī)構(gòu)的要求 的登記驗(yàn)證數(shù)據(jù)時(shí)�,互操作性處理970進(jìn)入步驟984�����,其中密碼處理 模塊825從選擇的證書(shū)頒發(fā)機(jī)構(gòu)獲取證書(shū)���。根據(jù)一個(gè)實(shí)施例�,密碼處 理模塊625通過(guò)登記處理900的下列步驟945到960獲取證書(shū)����,例如���, 密碼處理模塊625可以有利地采用密碼引擎220已經(jīng)可用的一個(gè)或多 個(gè)密鑰對(duì)中的一個(gè)或多個(gè)公鑰從證書(shū)頒發(fā)機(jī)構(gòu)請(qǐng)求證書(shū)�。根據(jù)另 一個(gè) 實(shí)施例���,密碼處理模塊625可以有利地產(chǎn)生一個(gè)或多個(gè)新的密鑰對(duì), 并且^f吏用相應(yīng)的7>鑰從證書(shū)頒發(fā)才幾構(gòu)請(qǐng)求證書(shū)���。
根據(jù)另一個(gè)實(shí)施例,授信引擎110可以有利地包括能夠頒發(fā)一種 或多種證書(shū)類(lèi)型的一個(gè)或多個(gè)證書(shū)頒發(fā)模塊��。根據(jù)這個(gè)實(shí)施例,證書(shū)
頒發(fā)模塊可以提供上述的證書(shū)����。當(dāng)密碼處理模塊625獲取證書(shū)時(shí)��,互
34操作性處理970進(jìn)入步驟976�����,并且使用相應(yīng)于獲取的證書(shū)的公鑰�����、 私鑰或這兩者執(zhí)行密碼活動(dòng)或功能�����。
當(dāng)用戶(hù)在步驟982中未向授信引擎110提供滿足所選擇的證書(shū)頒 發(fā)機(jī)構(gòu)的要求的登記驗(yàn)證數(shù)據(jù)時(shí)��,密碼處理模塊625在步驟986確定 是否存在具有不同驗(yàn)證要求的其他證書(shū)頒發(fā)機(jī)構(gòu)�����。例如�,密碼處理模
當(dāng)存在具有較低要求的上述證書(shū)頒發(fā)機(jī)構(gòu)時(shí)�,互操作性處理970 進(jìn)入步驟980,并且選擇該證書(shū)頒發(fā)機(jī)構(gòu)?�?商鎿Q地���,當(dāng)不存在這種 證書(shū)頒發(fā)機(jī)構(gòu)時(shí)����,在步驟988���,授信引擎110可以從用戶(hù)處請(qǐng)求附加 的驗(yàn)證標(biāo)記�。例如��,授信引擎110可以請(qǐng)求包括例如生物測(cè)定數(shù)據(jù)的 新的登記驗(yàn)證數(shù)據(jù)����。另夕卜,授信引擎110可以要求用戶(hù)親臨可信的第 三方并且提供適當(dāng)?shù)尿?yàn)證憑證,諸如例如��,在公證人目前出示駕照��, 社會(huì)保險(xiǎn)卡��,銀行卡�,出生證明,軍人ID等�。當(dāng)授信引擎110收到 更新的驗(yàn)證數(shù)據(jù)時(shí),互操作性處理970進(jìn)入步驟984����,并且獲取上述 選捧的證書(shū)。
通過(guò)上述的互操作性處理970�,密碼處理才莫塊625有利地提供不 同密碼系統(tǒng)之間的無(wú)縫的透明的轉(zhuǎn)換和變換。本領(lǐng)域的技術(shù)人員將從 此處的公開(kāi)中認(rèn)識(shí)到上述可互操作的系統(tǒng)的多種優(yōu)點(diǎn)和實(shí)現(xiàn)���。例如�, 互操作性處理970的上述步驟986可以有利地包括在下面更詳細(xì)討論 的信任仲裁的方面����,其中證書(shū)頒發(fā)機(jī)構(gòu)可以在特殊情況下接受較低級(jí) 別的交叉認(rèn)證。另外����,互操作性處理970可以包括確保諸如利用證書(shū) 撤銷(xiāo)列表(CRL )的標(biāo)準(zhǔn)證書(shū)撤銷(xiāo)的利用�,在線證書(shū)狀態(tài)協(xié)議(OCSP ) 等之間的互操作性�����。
圖10示出了根據(jù)本發(fā)明的實(shí)施例的方面的驗(yàn)證處理1000的數(shù)據(jù) 流�。根據(jù)一個(gè)實(shí)施例,驗(yàn)證處理1000包括從用戶(hù)處收集當(dāng)前驗(yàn)證數(shù) 據(jù)��,并且將其與用戶(hù)的登記驗(yàn)證數(shù)據(jù)進(jìn)行比較���。例如,驗(yàn)證處理IOOO 在步驟1005開(kāi)始�����,其中用戶(hù)希望與例如提供方執(zhí)行事務(wù)處理����。這種 事務(wù)處理可以包括例如選擇購(gòu)買(mǎi)選擇、請(qǐng)求訪問(wèn)提供方系統(tǒng)120的受限區(qū)域或設(shè)備等���。在步驟IOIO�����,提供方給用戶(hù)提供事務(wù)處理ID和驗(yàn) 證請(qǐng)求�。事務(wù)處理ID可以有利地包括具有與128位隨機(jī)值相成串連 接的32位時(shí)間戳的192位值,或與32位提供方特定常量相成串連接 的"現(xiàn)時(shí)(nonce)���,����,����。這種事務(wù)處理ID唯一地標(biāo)識(shí)事務(wù)處理,從而授 信引擎110可以拒絕模仿的事務(wù)處理�。
驗(yàn)證請(qǐng)求可以有利地包括特定的事務(wù)處理需要的驗(yàn)證級(jí)別。例 如�����,提供方可以指定待決事務(wù)處理所需的特定置信級(jí)別���。如果不能以 這個(gè)置信級(jí)別進(jìn)行驗(yàn)證��,如下面所述����,在沒(méi)有對(duì)用戶(hù)的進(jìn)一步驗(yàn)證以 便提升置信級(jí)別,或提供方和服務(wù)器之間關(guān)于驗(yàn)證的改變的情況下, 不發(fā)生該事務(wù)處理。下面將更完整地討論這些問(wèn)題����。
根據(jù)一個(gè)實(shí)施例,可以有利地由提供方側(cè)小程序或其他軟件程序 產(chǎn)生事務(wù)處理ID和驗(yàn)證請(qǐng)求��。另外�����,事務(wù)處理ID和驗(yàn)證數(shù)據(jù)的傳輸 可以包括使用常規(guī)SSL技術(shù)�����,諸如例如�����,1/2 SSL或換言之提供方側(cè) 驗(yàn)證的SSL加密的一個(gè)或多個(gè)XML文檔�。
在用戶(hù)系統(tǒng)105收到事務(wù)處理ID和驗(yàn)證請(qǐng)求之后,用戶(hù)系統(tǒng)105 從用戶(hù)處收集當(dāng)前驗(yàn)證數(shù)據(jù)�����,其中潛在地包括當(dāng)前生物測(cè)定信息�。用 戶(hù)系統(tǒng)105在步驟1015以驗(yàn)證引擎215的/>鑰至少對(duì)當(dāng)前驗(yàn)證數(shù)據(jù) "B,,和事務(wù)處理ID加密�����,并且將該數(shù)據(jù)傳輸?shù)绞谛乓?10。該傳輸 優(yōu)選地包括至少以常規(guī)的1/2 SSL技術(shù)加密的XML文檔��。在步驟 1020�����,事務(wù)處理引擎205接收該傳輸���,優(yōu)選地識(shí)別數(shù)據(jù)格式或URL 或URI中的請(qǐng)求���,并且將該傳輸轉(zhuǎn)發(fā)到驗(yàn)證引擎215���。
在步驟1015和1020中,提供方系統(tǒng)120在步驟1025使用優(yōu)選 的全SSL技術(shù)將事務(wù)處理ID和驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到授信引擎110��。這個(gè) 通信還可以包括提供方ID�����,雖然還可以通過(guò)事務(wù)處理ID的非隨才幾部 分傳輸提供方標(biāo)識(shí)��。在步驟1030和1035�,事務(wù)處理引擎205接收該 通信,在審查跟蹤中創(chuàng)建記錄�����,并且產(chǎn)生對(duì)將被從數(shù)據(jù)存儲(chǔ)設(shè)施Dl 到D4中匯集的用戶(hù)登記驗(yàn)證數(shù)據(jù)的請(qǐng)求。在步驟1040�����,倉(cāng)庫(kù)系統(tǒng)700 將相應(yīng)于用戶(hù)的登記驗(yàn)證數(shù)據(jù)的部分傳輸?shù)津?yàn)證引擎215�。在步驟 1045,驗(yàn)證引擎215使用其私鑰解密該傳輸��,并且對(duì)登記驗(yàn)證數(shù)據(jù)和
36用戶(hù)提供的當(dāng)前驗(yàn)證數(shù)據(jù)進(jìn)行比較�����。
步驟1045的比較可以有利地應(yīng)用前面提及的并且在下面更詳細(xì) 討論的啟發(fā)式上下文敏感的驗(yàn)證��。例如��,如果接收的生物測(cè)定信息不 能完美匹配����,則產(chǎn)生較低的置信匹配���。在特定實(shí)施例中�����,驗(yàn)證的置信 級(jí)別和事務(wù)處理的屬性以及用戶(hù)與提供方這兩者所希望的相平衡�。同 樣這將在下面更詳細(xì)地討論。
在步驟1050���,驗(yàn)證引擎215以步驟1045的比較結(jié)果填充驗(yàn)證請(qǐng) 求�����。才艮據(jù)本發(fā)明的一個(gè)實(shí)施例���,以驗(yàn)證處理1000的YES/NO或 TRUE/FALSE結(jié)果填充驗(yàn)證請(qǐng)求。在步驟1055����,將填充的驗(yàn)證請(qǐng)求 返回給提供方,以便提供方采取行動(dòng)�����,例如允許用戶(hù)完成發(fā)起驗(yàn)證請(qǐng) 求的事務(wù)處理����。根據(jù)一個(gè)實(shí)施例��,向用戶(hù)傳遞確認(rèn)消息��。
基于上述,驗(yàn)證處理1000有利地保持敏感數(shù)據(jù)的安全性�,并且
產(chǎn)生配置為保持敏感數(shù)據(jù)的完整性的結(jié)果。例如��,敏感數(shù)據(jù)僅被匯集
在驗(yàn)證引擎215內(nèi)����。例如��,登記驗(yàn)證數(shù)據(jù)不可譯碼��,直到其被數(shù)據(jù)匯
集模塊匯集在驗(yàn)證引擎215中為止,并且當(dāng)前驗(yàn)證數(shù)據(jù)不可譯碼���,直
到其被以常規(guī)SSL技術(shù)和驗(yàn)證引擎215的私鑰展開(kāi)為止���。另外,傳輸
到提供方的驗(yàn)證結(jié)果不包括敏感數(shù)據(jù)��,并且用戶(hù)可能甚至不知道他或
她是否產(chǎn)生了有效驗(yàn)證數(shù)據(jù)�。
雖然參考其優(yōu)選和可替換的實(shí)施例公開(kāi)了驗(yàn)證處理1000���,本發(fā)
明不旨在局限于此�。而是本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到
驗(yàn)證處理1000的多種替換方案。例如���,可以有利地以幾乎任意請(qǐng)求
應(yīng)用程序取代提供方�,甚至那些駐留在用戶(hù)系統(tǒng)105內(nèi)的請(qǐng)求應(yīng)用程
序�。例如�����,客戶(hù)機(jī)應(yīng)用程序,諸如Microsoft Word可以在解鎖文檔
之前使用應(yīng)用程序接口 ( API)或密碼API (CAPI)請(qǐng)求驗(yàn)證?��?商?br>
換地�����,郵件服務(wù)器���,網(wǎng)絡(luò)��,蜂窩電話�,個(gè)人或移動(dòng)計(jì)算設(shè)備��,工作站
等全都可以做出可由驗(yàn)證處理1000填寫(xiě)的驗(yàn)證請(qǐng)求����。事實(shí)上,在提
供上述可信的驗(yàn)證處理1000之后����,進(jìn)行請(qǐng)求的應(yīng)用程序或設(shè)備可以
提供對(duì)多種電子或計(jì)算機(jī)設(shè)備或系統(tǒng)的訪問(wèn)或使用。
另外��,在驗(yàn)證失敗的情況下����,驗(yàn)證處理1000可以采用多種替換過(guò)程。例如��,驗(yàn)證失敗可以保持相同的事務(wù)處理ID�,并且請(qǐng)求用戶(hù)重 新輸入他或她的當(dāng)前驗(yàn)證數(shù)據(jù)。如前所述�,使用相同的事務(wù)處理ID 允許驗(yàn)證引擎215的比較器監(jiān)視并且限制針對(duì)特定事務(wù)處理的驗(yàn)證嘗 試次數(shù),從而創(chuàng)建更安全的密碼系統(tǒng)100�。
另外,可以有利地采用驗(yàn)證處理1000開(kāi)發(fā)極好的單次登錄解決 方案�����,諸如解鎖敏感數(shù)據(jù)庫(kù)����。例如,成功或肯定的驗(yàn)證可以給通過(guò)驗(yàn) 證的用戶(hù)提供自動(dòng)訪問(wèn)幾乎無(wú)限數(shù)目的系統(tǒng)和應(yīng)用程序的任意數(shù)目 口令的能力�����。例如���,用戶(hù)的驗(yàn)證可以給用戶(hù)提供對(duì)與多個(gè)在線提供方���、 局域網(wǎng)����、各種個(gè)人計(jì)算設(shè)備、Internet服務(wù)提供商����、拍賣(mài)提供商����、投 資經(jīng)紀(jì)人等相關(guān)聯(lián)的口令�、登錄、金融憑證等的訪問(wèn)�����。通過(guò)采用敏感 數(shù)據(jù)庫(kù)��,由于不再需要通過(guò)關(guān)聯(lián)記憶口令���,用戶(hù)可以選擇真正大和隨 才幾的口令�。而是驗(yàn)^正處理1000提供對(duì)它們的訪問(wèn)�����。例如�,用戶(hù)可以 選擇長(zhǎng)度大于20個(gè)數(shù)字的隨機(jī)字母數(shù)字串,而不是與可記憶的數(shù)據(jù)����、 名稱(chēng)等相關(guān)聯(lián)的某些內(nèi)容��。
根據(jù)一個(gè)實(shí)施例���,與給定用戶(hù)相關(guān)聯(lián)的敏感數(shù)據(jù)庫(kù)可以有利地存 儲(chǔ)在倉(cāng)庫(kù)210的數(shù)據(jù)存儲(chǔ)設(shè)施內(nèi)�,或被分割并且存儲(chǔ)在倉(cāng)庫(kù)系統(tǒng)700 內(nèi)。根據(jù)這個(gè)實(shí)施例��,在肯定的用戶(hù)驗(yàn)證之后����,授信引擎110諸如例 如給適當(dāng)?shù)目诹罨蚪o進(jìn)行請(qǐng)求的應(yīng)用程序提供所請(qǐng)求的敏感數(shù)據(jù)。根 據(jù)另 一個(gè)實(shí)施例��,授信引擎110可以包括用于存儲(chǔ)敏感數(shù)據(jù)庫(kù)的單獨(dú) 系統(tǒng)�����。例如����,授信引擎110可以包括實(shí)現(xiàn)數(shù)據(jù)庫(kù)功能并且被形容為駐 留在授信引擎110的前述前端安全系統(tǒng)"之后"的獨(dú)立軟件引擎。根據(jù) 這個(gè)實(shí)施例���,在軟件引擎從授信引擎110收到指示肯定的用戶(hù)驗(yàn)證的 信號(hào)之后���,軟件引擎提供所請(qǐng)求的敏感數(shù)據(jù)�。
在另一個(gè)實(shí)施例中���,可由第三方系統(tǒng)實(shí)現(xiàn)該數(shù)據(jù)庫(kù)�����。類(lèi)似于軟件 引擎實(shí)施例�����,在第三方系統(tǒng)從授信引擎110收到指示肯定的用戶(hù)驗(yàn)證 的信號(hào)之后���,第三方系統(tǒng)可以有利地提供所請(qǐng)求的敏感數(shù)據(jù)。根據(jù)另 一個(gè)實(shí)施例�����,可以在用戶(hù)系統(tǒng)105上實(shí)現(xiàn)該數(shù)據(jù)庫(kù)��。在從授信引擎110 收到指示肯定的用戶(hù)驗(yàn)證的信號(hào)之后�,用戶(hù)側(cè)軟件引擎可以有利地提 供前述的數(shù)據(jù)。雖然參考其可替換的實(shí)施例公開(kāi)了前述的數(shù)據(jù)庫(kù),本領(lǐng)域的技術(shù) 人員將從此處的公開(kāi)中認(rèn)識(shí)到其多種附加實(shí)現(xiàn)����。例如���,特定數(shù)據(jù)庫(kù)可 以包括前述實(shí)施例中的某些或全部方面���。另外,任意前述數(shù)據(jù)庫(kù)可以 在不同時(shí)刻工作于一個(gè)或多個(gè)驗(yàn)證請(qǐng)求�����。例如����,任意數(shù)據(jù)庫(kù)可能需要 以每一個(gè)或多個(gè)事務(wù)處理、周期地�����、每一個(gè)或多個(gè)會(huì)話�����、對(duì)一個(gè)或多
個(gè)Web頁(yè)面或Web站點(diǎn)的每次訪問(wèn)、以一個(gè)或多個(gè)其他的指定間隔 等進(jìn)行驗(yàn)證�。
圖11示出了根據(jù)本發(fā)明的實(shí)施例的方面的簽署處理1100的數(shù)據(jù) 流。如圖11所示�,簽署處理1100包括類(lèi)似于前面參考圖IO描述的 驗(yàn)證處理1000的那些步驟。根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,簽署處理1100 首先驗(yàn)證用戶(hù)��,然后如下面更詳細(xì)討論的那樣執(zhí)行若干數(shù)字簽名功能 中的一個(gè)或多個(gè)����。根據(jù)另一個(gè)實(shí)施例,簽署處理1100可以有利地存 儲(chǔ)與其相關(guān)數(shù)據(jù)�����,諸如消息或文檔的散列等��?�?梢杂欣卦趯彶榛蛉?意其他情況中使用這種數(shù)據(jù)��,諸如例如��,當(dāng)參與方試圖抵賴(lài)事務(wù)處理 時(shí)。
如圖11所示����,在驗(yàn)證步驟中,用戶(hù)和提供方可以有利地就消息 諸如例如合同達(dá)成協(xié)議����。在簽署過(guò)程中���,簽署處理1100有利地確保 用戶(hù)簽署的合同與提供方提供的合同一致���。因此根據(jù)一個(gè)實(shí)施例�,提 供方和用戶(hù)將其消息或合同的相應(yīng)拷貝的散列包括在傳輸?shù)津?yàn)證引 擎215的數(shù)據(jù)中��。通過(guò)僅采用消息或合同的散列��,授信引擎110可以 有利地存儲(chǔ)數(shù)目顯著減少的數(shù)據(jù),提供了更有效和更具成本效益的密 碼系統(tǒng)����。另外��,可以有利地對(duì)存儲(chǔ)的散列和當(dāng)前涉及的文檔的散列進(jìn) 行比較�����,以便確定當(dāng)前涉及的文檔是否與由任意一方簽署的文檔匹 配���。確定文檔是否與事務(wù)處理所涉及的文檔 一致的能力提供了可被用 于對(duì)抗一方對(duì)事務(wù)處理的否認(rèn)要求的附加證據(jù)�。
在步驟1103,驗(yàn)證引擎215匯集登記驗(yàn)證數(shù)據(jù),并且對(duì)其和用 戶(hù)提供的當(dāng)前登記驗(yàn)證數(shù)據(jù)進(jìn)行比較���。當(dāng)驗(yàn)證引擎215的比較器指出 登記驗(yàn)證數(shù)據(jù)與當(dāng)前驗(yàn)證數(shù)據(jù)匹配時(shí)����,驗(yàn)證引擎215的比較器還對(duì)提 供方提供的消息的散列和用戶(hù)提供的消息的散列進(jìn)行比較��。因此�����,驗(yàn)
39證引擎215有利地確保用戶(hù)同意的消息與提供方同意的消息一致�。
在步驟1105,驗(yàn)證引擎215向密碼引擎220傳輸數(shù)字簽名請(qǐng)求。 根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,該請(qǐng)求包括消息或合同的散列����。然而,本 領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到,密碼引擎220可以對(duì)幾乎 任意類(lèi)型的數(shù)據(jù)加密���,包括但不限于�,視頻�����,音頻����,生物測(cè)定,圖像 或文本�����,以便形成所希望的數(shù)字簽名����。返回步驟1105,數(shù)字簽名請(qǐng)求 優(yōu)選地包括通過(guò)常規(guī)的SSL技術(shù)傳遞的XML文檔�����。
在步驟1110,驗(yàn)證引擎215向數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中的每一 個(gè)傳輸請(qǐng)求����,從而數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中的每一個(gè)傳輸其相應(yīng)于 簽署方的密碼密鑰或多個(gè)密鑰的相應(yīng)部分。根據(jù)另一個(gè)實(shí)施例����,密碼 引擎220釆用上面討論的互操作性處理970的步驟中的某些或全部, 從而密碼引擎220首先確定為簽署方從倉(cāng)庫(kù)210或倉(cāng)庫(kù)系統(tǒng)700請(qǐng)求 的適當(dāng)密鑰或多個(gè)密鑰����,并且采取行動(dòng)以便提供適當(dāng)?shù)钠ヅ涿荑€。根 據(jù)另一個(gè)實(shí)施例�����,驗(yàn)證引擎215或密碼引擎220可以有利地請(qǐng)求與簽 署方相關(guān)聯(lián)并且存儲(chǔ)在倉(cāng)庫(kù)210或倉(cāng)庫(kù)系統(tǒng)700內(nèi)的一個(gè)或多個(gè)密 鑰��。
根據(jù)一個(gè)實(shí)施例�,簽署方包括用戶(hù)和提供方之一或這兩者。在這 種情況下��,驗(yàn)證引擎215有利地請(qǐng)求相應(yīng)于用戶(hù)和/或提供方的密碼密 鑰��。根據(jù)另一個(gè)實(shí)施例���,簽署方包括授信引擎IIO��。在這個(gè)實(shí)施例中���, 授信引擎110證明驗(yàn)證處理1000正確地驗(yàn)證了用戶(hù)���、提供方或這兩 者。因此��,驗(yàn)證引擎215請(qǐng)求授信引擎110的密碼密鑰�,諸如例如, 屬于密碼引擎220的密鑰�,以便執(zhí)行數(shù)字簽名。根據(jù)另一個(gè)實(shí)施例��, 授信引擎110執(zhí)行類(lèi)似數(shù)字公證人的功能����。在這個(gè)實(shí)施例中,簽署方 包括用戶(hù)���、提供方或這兩者以及授信引擎110��。因此��,授信引擎110 提供用戶(hù)和/或提供方的數(shù)字簽名�����,然后以其自己的數(shù)字簽名指出正確 地驗(yàn)證了用戶(hù)和/或提供方���。在這個(gè)實(shí)施例中,驗(yàn)證引擎215可以有利 地請(qǐng)求相應(yīng)于用戶(hù),提供方或這兩者的密碼密鑰的匯集。根據(jù)另一個(gè) 實(shí)施例��,驗(yàn)證引擎215可以有利地請(qǐng)求相應(yīng)于授信引擎110的密碼密 鑰的匯集。
40根據(jù)另一個(gè)實(shí)施例,授信引擎110執(zhí)行委托類(lèi)功能。例如,授信引擎110可以代表第三方數(shù)字地簽署消息。在該情況下,驗(yàn)證引擎215請(qǐng)求與第三方相關(guān)聯(lián)的密碼密鑰。根據(jù)這個(gè)實(shí)施例�����,簽署處理1100可以有利地包括允許委托類(lèi)功能之前的第三方驗(yàn)證���。另外,驗(yàn)證處理IOOO可以包括對(duì)第三方限制的檢查����,諸如例如����,規(guī)定何時(shí)并且在何種情況下可以使用特定第三方的簽名的業(yè)務(wù)邏輯等���。
基于上文��,在步驟1110,驗(yàn)證引擎從數(shù)據(jù)存儲(chǔ)設(shè)施D1到D4請(qǐng)求相應(yīng)于簽署方的密碼密鑰�。在步驟1115���,數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4將其相應(yīng)于簽署方的密碼密鑰的相應(yīng)部分傳輸?shù)矫艽a引擎220�。根據(jù)一個(gè)實(shí)施例�����,上文傳輸包括SSL技術(shù)���。根據(jù)另一個(gè)實(shí)施例����,可以有利地以密碼引擎220的公鑰對(duì)上面的傳輸進(jìn)行超級(jí)加密�����。
在步驟1120���,密碼引擎220組裝簽署方的上述密碼密鑰并且以其對(duì)消息加密����,從而形成數(shù)字簽名(多個(gè))。在簽署處理1100的步驟1125�����,密碼引擎220將數(shù)字簽名(多個(gè))傳輸?shù)津?yàn)證引擎215����。在1130�,驗(yàn)證引擎215將填充的驗(yàn)證請(qǐng)求與散列消息的拷貝和數(shù)字簽名(多個(gè)) 一起傳輸?shù)绞聞?wù)處理引擎205。在步驟1135���,事務(wù)處理引擎205向提供方傳輸收據(jù)����,包括事務(wù)處理ID,對(duì)驗(yàn)證是否成功的指示����,以及數(shù)字簽名(多個(gè))����。根據(jù)一個(gè)實(shí)施例��,上述傳輸可以有利地包括授信引擎110的數(shù)字簽名�����。例如���,授信引擎110可以采用其私鑰對(duì)收據(jù)的散列加密���,從而形成數(shù)字簽名以便附加到對(duì)提供方的傳輸。
根據(jù)一個(gè)實(shí)施例����,事務(wù)處理引擎205還向用戶(hù)傳輸確認(rèn)消息。雖然參考其優(yōu)選和替換實(shí)施例公開(kāi)了簽署處理1100���,本發(fā)明不旨在局限
于此�。而是本領(lǐng)域的技術(shù)人員將從此處的^^開(kāi)中認(rèn)識(shí)到簽署處理1100的多種替換方案。例如����,可以用諸如電子郵件應(yīng)用程序的用戶(hù)應(yīng)用程序取代提供方。例如�����,用戶(hù)可能希望以他或她的數(shù)字簽名數(shù)字地簽署特定電子郵件����。在這種實(shí)施例中,簽署處理1100中的傳輸可以有利地僅包括消息的散列的一個(gè)拷貝�����。另外��,本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到多種客戶(hù)機(jī)應(yīng)用程序可以請(qǐng)求數(shù)字簽名����。例如����,客戶(hù)機(jī)應(yīng)用程序可以包括字處理器,電子表格,電子郵件�,語(yǔ)音郵件,對(duì)
41受限系統(tǒng)區(qū)域的訪問(wèn)等��。
另外�����,本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到���,簽署處理
1100的步驟1105到1120可以有利地采用圖9B的互操作性處理970的步驟中的某些或全部�,從而提供可能需要在不同簽名類(lèi)型下處理數(shù)字簽名的不同密碼系統(tǒng)之間的互操作性�。
圖12示出了根據(jù)本發(fā)明的實(shí)施例的方面的加密/解密處理1200的數(shù)據(jù)流。如圖12所示�,解密處理1200通過(guò)4吏用驗(yàn)證處理1000驗(yàn)證用戶(hù)而開(kāi)始。根據(jù)一個(gè)實(shí)施例��,驗(yàn)證處理1000在驗(yàn)證請(qǐng)求中包括同步會(huì)話密鑰�����。例如��,本領(lǐng)域的技術(shù)人員理解�,在常規(guī)的PKI技術(shù)中�,使用公鑰和私鑰加密或解密數(shù)據(jù)是數(shù)學(xué)密集的���,并且可能需要大量系統(tǒng)資源�。然而��,在對(duì)稱(chēng)密鑰密碼系統(tǒng)中���,或在消息的發(fā)送方和接收方共享用于加密和解密消息的單個(gè)公共密鑰的系統(tǒng)中����,數(shù)學(xué)操作顯著地較為簡(jiǎn)單并且較快���。因此����,在常規(guī)的PKI技術(shù)中���,消息的發(fā)送方將產(chǎn)生同步會(huì)話密鑰���,并且使用較簡(jiǎn)單���、較快的對(duì)稱(chēng)密鑰系統(tǒng)對(duì)消息加密���。然后�����,發(fā)送方以接收方的公鑰對(duì)會(huì)話密鑰加密��。加密的會(huì)話密鑰將被附加到同步加密的消息上��,并且這兩種數(shù)據(jù)都被發(fā)送到接收方��。接收方使用他或她的私鑰對(duì)會(huì)話密鑰解密�,然后使用會(huì)話密鑰解密該消息���?��;谏衔模瑢⑤^簡(jiǎn)單并且較快的對(duì)稱(chēng)密鑰系統(tǒng)用于大部分加密/解密處理�。因此,在解密處理1200中���,解密有利地假設(shè)已經(jīng)以用戶(hù)的公鑰對(duì)同步密鑰進(jìn)行了加密��。因此如前所述���,加密的會(huì)話密鑰被包括在驗(yàn)證請(qǐng)求中���。
返回到解密處理1200,在用戶(hù)在步驟1205已被驗(yàn)證之后��,驗(yàn)證引擎215將加密的會(huì)話密鑰轉(zhuǎn)發(fā)到密碼引擎220��。在步驟1210���,驗(yàn)證引擎215向數(shù)據(jù)存儲(chǔ)^1施Dl到D4中的每一個(gè)轉(zhuǎn)發(fā)請(qǐng)求�,請(qǐng)求用戶(hù)的密碼密鑰數(shù)據(jù)��。在步驟1215,每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4將其密碼密鑰的相應(yīng)部分傳輸?shù)矫艽a引擎220���。根據(jù)一個(gè)實(shí)施例����,以密碼引擎220的公鑰對(duì)上述傳輸加密�。
在解密處理1200的步驟1220,密碼引擎220匯集密碼密鑰并且以其解密會(huì)話密鑰���。在步驟1225�,密碼引擎將會(huì)話密鑰轉(zhuǎn)發(fā)到驗(yàn)證引擎215��。在步驟1227�,驗(yàn)證引擎215填充包括解密的會(huì)話密鑰的驗(yàn)證請(qǐng)求,并且將填充的驗(yàn)證請(qǐng)求傳輸?shù)绞聞?wù)處理引擎205�����。在步驟1230���,事務(wù)處理引擎205將驗(yàn)證請(qǐng)求與會(huì)話密鑰一起轉(zhuǎn)發(fā)到進(jìn)行請(qǐng)求的應(yīng)用程序或提供方��。然后根據(jù)一個(gè)實(shí)施例���,進(jìn)行請(qǐng)求的應(yīng)用程序或提供方使用會(huì)話密鑰對(duì)加密的消息進(jìn)行解密。
雖然參考其優(yōu)選的和可替換的實(shí)施例公開(kāi)了解密處理1200����,本
領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到解密處理1200的多種替換方案。例如�����,解密處理1200可以;故棄同步密鑰加密,并且依賴(lài)全7>鑰技術(shù)���。在這種實(shí)施例中����,進(jìn)行請(qǐng)求的應(yīng)用程序可將整個(gè)消息傳輸?shù)矫艽a引擎220���,或可以采用某種類(lèi)型的壓縮或可逆散列��,以便將消息傳輸?shù)矫艽a引擎220��。本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到上述通信可以有利地包括以SSL^支術(shù)打包的XML文檔��。
加密/解密處理1200還提供了對(duì)文檔或其他數(shù)據(jù)的加密�。因此在步驟1235����,進(jìn)行請(qǐng)求的應(yīng)用程序或提供方可以有利地向授信引擎110的事務(wù)處理引擎205傳輸對(duì)用戶(hù)的公鑰的請(qǐng)求。由于進(jìn)行請(qǐng)求的應(yīng)用程序或提供方使用用戶(hù)的公鑰例如加密將被用于加密文檔或消息的會(huì)話密鑰���,進(jìn)行請(qǐng)求的應(yīng)用程序或提供方做出這種請(qǐng)求�。如在登記處理卯O中所述,事務(wù)處理引擎205例如在海量存儲(chǔ)器225中存儲(chǔ)用戶(hù)的數(shù)字證書(shū)的拷貝���。因此����,在加密處理1200的步驟1240����,事務(wù)處理引擎205從海量存儲(chǔ)器225請(qǐng)求用戶(hù)的數(shù)字證書(shū)�����。在步驟1245����,海量存儲(chǔ)225將相應(yīng)于用戶(hù)的數(shù)字證書(shū)傳輸?shù)绞聞?wù)處理引擎205。在步驟1250�,事務(wù)處理引擎205將該數(shù)字證書(shū)傳輸?shù)竭M(jìn)行請(qǐng)求的應(yīng)用程序或提供方。根據(jù)一個(gè)實(shí)施例����,加密處理1200的加密部分不包括用戶(hù)的驗(yàn)證。這是由于進(jìn)行請(qǐng)求的提供方僅需要用戶(hù)的公鑰�,并且不需要任何敏感數(shù)據(jù)��。
本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到,如果特定用戶(hù)不具有數(shù)字證書(shū)���,授信引擎110可以采用登記處理900中的某些或全部��,以便為該特定用戶(hù)產(chǎn)生數(shù)字證書(shū)�。然后授信引擎110可以啟動(dòng)加密/解密處理1200,并且因此提供適當(dāng)?shù)臄?shù)字證書(shū)��。另外����,本領(lǐng)域的技術(shù)人員將從此處的公開(kāi)中認(rèn)識(shí)到,加密/解密處理1200的步驟1220和 1235到1250可以有利地采用圖9B的互操作性處理的步驟中的某些 或全部��,從而提供可能例如需要處理加密的不同密碼系統(tǒng)之間的互操 作性�����。
圖13示出了根據(jù)本發(fā)明的另 一個(gè)實(shí)施例的幾方面的授信引擎系 統(tǒng)1300的簡(jiǎn)化方框圖�����。如圖13所示�����,授信引擎系統(tǒng)1300包括多個(gè) 不同的授信引擎1305, 1310�����, 1315和1320��。為了便于更完整地理解 本發(fā)明���,圖13將每個(gè)授信引擎1305���, 1310�����, 1315和1320示出為具 有事務(wù)處理引擎����、倉(cāng)庫(kù)和驗(yàn)證引擎。然而��,本領(lǐng)域的技術(shù)人員將認(rèn)識(shí) 到����,每個(gè)事務(wù)處理引擎可以有利地包括參考圖l到8公開(kāi)的元件和通 信通道中的某些�、 一種組合或其全部����。例如, 一個(gè)實(shí)施例可以有利地 包括具有一個(gè)或多個(gè)事務(wù)處理引擎��,倉(cāng)庫(kù)和密碼服務(wù)器或其任意組合 的授信引擎���。
根據(jù)本發(fā)明的一個(gè)實(shí)施例����,授信引擎1305���, 1310�, 1315和1320 中的每一個(gè)在地理上分離��,從而例如授信引擎1305可以駐留在第一 位置��,授信引擎1310可以駐留在第二位置����,授信引擎1315可以駐留 在第三位置�����,并且授信引擎1320可以駐留在第四位置�。上述的地理 分離有利地減少了系統(tǒng)響應(yīng)時(shí)間�,同時(shí)提高了整個(gè)授信引擎系統(tǒng)1300 的安全性。
例如����,當(dāng)用戶(hù)登錄到密碼系統(tǒng)IOO上時(shí),用戶(hù)可以距第一位置最 近�����,并且可能希望被驗(yàn)證�。如參考圖10所述����,為了進(jìn)行驗(yàn)證,用戶(hù) 提供當(dāng)前驗(yàn)證數(shù)據(jù)諸如生物測(cè)定等�,并且對(duì)當(dāng)前驗(yàn)證數(shù)據(jù)和用戶(hù)的登 記驗(yàn)證數(shù)據(jù)進(jìn)行比較。因此�����,根據(jù)一個(gè)例子,用戶(hù)有利地將當(dāng)前驗(yàn)證 數(shù)據(jù)提供給在地理上最近的授信引擎1305��。授信引擎1305的事務(wù)處 理引擎1321然后將當(dāng)前驗(yàn)證數(shù)據(jù)轉(zhuǎn)發(fā)到同樣駐留在第一位置的驗(yàn)證 引擎1322����。根據(jù)另一個(gè)實(shí)施例,事務(wù)處理引擎1321將當(dāng)前驗(yàn)證數(shù)據(jù) 轉(zhuǎn)發(fā)到授信引擎1310�����, 1315或1320的驗(yàn)證引擎中的一個(gè)或多個(gè)����。
事務(wù)處理引擎1321還從例如授信引擎1305到1320中的每一個(gè) 的倉(cāng)庫(kù)請(qǐng)求登記驗(yàn)證數(shù)據(jù)的匯集。根據(jù)這個(gè)實(shí)施例��,每個(gè)倉(cāng)庫(kù)將其登
44記驗(yàn)證數(shù)據(jù)的部分提供給授信引擎1305的驗(yàn)證引擎1322�。然后驗(yàn)證 引擎1322采用例如來(lái)自頭兩個(gè)倉(cāng)庫(kù)的加密數(shù)據(jù)部分做出響應(yīng),并且 將登記驗(yàn)證數(shù)據(jù)組裝為譯碼形式�����。驗(yàn)證引擎1322對(duì)登記驗(yàn)證數(shù)據(jù)和 當(dāng)前驗(yàn)證數(shù)據(jù)進(jìn)行比較��,并且將驗(yàn)證結(jié)果返回授信引擎1305的事務(wù) 處理引擎1321��。
基于上文,授信引擎系統(tǒng)1300釆用多個(gè)在地理上分離的授信引 擎1305到1320中最近的一個(gè)執(zhí)行驗(yàn)證處理����。根據(jù)本發(fā)明的一個(gè)實(shí)施 例,可以有利地由在用戶(hù)系統(tǒng)105����、提供方系統(tǒng)120或證書(shū)頒發(fā)機(jī)構(gòu) 115中的一個(gè)或多個(gè)上執(zhí)行的客戶(hù)機(jī)側(cè)小程序處執(zhí)行將信息路由到最 近的事務(wù)處理引擎。根據(jù)可替換的實(shí)施例��,可以采用更復(fù)雜的判定處 理從授信引擎1305到1320中進(jìn)行選擇��。例如����,判定可以基于給定授 信引擎的可獲得性、可操作性��、連接速度����、負(fù)載���、性能�����、地理接近程 度或其組合�����。
以這種方式��,授信引擎系統(tǒng)1300降低了其響應(yīng)時(shí)間�����,同時(shí)保持 與地理上位于遠(yuǎn)方的數(shù)據(jù)存儲(chǔ)設(shè)施相關(guān)聯(lián)的安全性?xún)?yōu)點(diǎn)����,諸如參考圖 7討論的那些數(shù)據(jù)存儲(chǔ)設(shè)施,其中每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施存儲(chǔ)敏感數(shù)據(jù)的 隨機(jī)化的部分���。例如��,危及授信引擎1315的倉(cāng)庫(kù)1325不必然危及授 信引擎系統(tǒng)1300的敏感數(shù)據(jù)����。這是由于倉(cāng)庫(kù)1325僅包含毫無(wú)用處的 不可譯碼的隨機(jī)化的數(shù)據(jù)�����,而沒(méi)有更多部分。
根據(jù)另一個(gè)實(shí)施例���,授信引擎系統(tǒng)1300可以有利地包括被安排 為類(lèi)似于驗(yàn)證引擎的多個(gè)密碼引擎�。密碼引擎可以有利地執(zhí)行密碼功 能��,諸如參考圖1-8公開(kāi)的那些密碼功能��。根據(jù)另一個(gè)實(shí)施例,授 信引擎系統(tǒng)1300可以有利地以多個(gè)密碼引擎取代多個(gè)驗(yàn)證引擎,從 而執(zhí)行諸如參考圖1-8公開(kāi)的那些密碼功能����。根據(jù)本發(fā)明的另一個(gè) 實(shí)施例����,如前面公開(kāi)的��,授信引擎系統(tǒng)1300可以用具有驗(yàn)證引擎���、 密碼引擎或這兩者的功能中的某些或全部的引擎取代多個(gè)驗(yàn)證引擎 中的每一個(gè)。
雖然參考其優(yōu)選的和可替換的實(shí)施例公開(kāi)了授信引擎系統(tǒng) 1300,本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到授信引擎系統(tǒng)1300可以包括授信
45引擎1305到1320中的多個(gè)部分�����。例如���,授信引擎系統(tǒng)1300可以包 括一個(gè)或多個(gè)事務(wù)處理引擎, 一個(gè)或多個(gè)倉(cāng)庫(kù)����, 一個(gè)或多個(gè)驗(yàn)證引擎, 或一個(gè)或多個(gè)密碼引擎或其組合���。
圖14示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的方面的授信引擎系統(tǒng) 1400的簡(jiǎn)化方框圖����。如圖14所示,授信引擎系統(tǒng)1400包括多個(gè)授信 引擎1405, 1410, 1415和1420����。根據(jù)一個(gè)實(shí)施例�,每個(gè)授信引擎1405, 1410��, 1415和1420包括參考圖l-8公開(kāi)的授信引擎110的元件中的 某些或全部��。根據(jù)這個(gè)實(shí)施例���,當(dāng)用戶(hù)系統(tǒng)105�����,提供方系統(tǒng)120��, 或證書(shū)頒發(fā)機(jī)構(gòu)115的客戶(hù)機(jī)側(cè)小程序與授信引擎系統(tǒng)1400通信時(shí)���, 那些通信被發(fā)送到每個(gè)授信引擎1405到1420的IP地址���。另外,每 個(gè)授信引擎1405�����, 1410�, 1415和1420的每個(gè)事務(wù)處理引擎類(lèi)似于參 考圖13公開(kāi)的授信引擎1305的事務(wù)處理引擎1321運(yùn)行。例如�����,在 驗(yàn)證處理過(guò)程中�,每個(gè)授信引擎1405, 1410����, 1415和1420的每個(gè)事 務(wù)處理引擎將當(dāng)前驗(yàn)證數(shù)據(jù)傳輸?shù)狡湎鄳?yīng)的驗(yàn)證引擎����,并且傳輸請(qǐng)求 以便組裝存儲(chǔ)在每個(gè)授信引擎1405到1420的每個(gè)倉(cāng)庫(kù)內(nèi)的隨機(jī)化數(shù) 據(jù)�����。圖14未示出全部這些通信�����;這樣將使得圖示過(guò)度復(fù)雜�。繼續(xù)驗(yàn) 證處理��,每個(gè)倉(cāng)庫(kù)然后將其隨機(jī)化數(shù)據(jù)部分傳輸?shù)矫總€(gè)授信引擎1405 到1420的每個(gè)驗(yàn)證引擎��。每個(gè)授信引擎的每個(gè)驗(yàn)證引擎采用其比較 器確定當(dāng)前驗(yàn)證數(shù)據(jù)是否與由每個(gè)授信引擎1405到1420的倉(cāng)庫(kù)提供 的登記驗(yàn)證數(shù)據(jù)相匹配�。根據(jù)這個(gè)實(shí)施例���,每個(gè)驗(yàn)證引擎的比較結(jié)果 然后被傳輸?shù)搅硗馊齻€(gè)授信引擎的冗余模塊����。例如�����,授信引擎1405 的驗(yàn)證引擎的結(jié)果^皮傳輸?shù)绞谛乓?410, 1415和1420的冗余才莫塊��。 因此��,授信引擎1405的冗余模塊同樣會(huì)收到授信引擎1410��, 1415和 1420的驗(yàn)證引擎的結(jié)果�����。
圖15示出了圖14的冗余模塊的方框圖�。冗余模塊包括配置為從 三個(gè)驗(yàn)證可1擎接收驗(yàn)證結(jié)果,并且將該結(jié)果傳輸?shù)降谒膫€(gè)授信引擎的 事務(wù)處理引擎的比較器��。該比較器對(duì)來(lái)自三個(gè)驗(yàn)證引擎的驗(yàn)證結(jié)果進(jìn) 行比較�����,并且如果這些結(jié)果中的兩個(gè)一致��,比較器得出驗(yàn)證結(jié)果應(yīng)與 這兩個(gè)一致的驗(yàn)證引擎的結(jié)果相匹配的結(jié)論�。然后將這個(gè)結(jié)果傳輸回
46相應(yīng)于不與這三個(gè)驗(yàn)證引擎相關(guān)聯(lián)的授信引擎的事務(wù)處理引擎。
基于上文,冗余模塊根據(jù)從這樣的驗(yàn)證引擎接收的數(shù)據(jù)確定驗(yàn)證 結(jié)果����,這些驗(yàn)證引擎優(yōu)選地在地理上遠(yuǎn)離冗余模塊的授信引擎。通過(guò)
提供這種冗余功能�,授信引擎系統(tǒng)1400確保對(duì)授信引擎1405到1420 之一的驗(yàn)證引擎的危及不足以危及該特定授信引擎的冗余模塊的驗(yàn) 證結(jié)果。本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到����,授信引擎系統(tǒng)1400的冗余模 塊功能還可被應(yīng)用于每個(gè)授信引擎1405到1420的密碼引擎。然而�, 圖14未示出這種密碼引擎通信以避免復(fù)雜化。另外��,本領(lǐng)域的技術(shù) 人員將認(rèn)識(shí)到用于圖15的比較器的多種可替換的驗(yàn)證結(jié)果沖突解決 算法適用于本發(fā)明���。
根據(jù)本發(fā)明的另一個(gè)實(shí)施例���,授信引擎系統(tǒng)1400可以有利地在 密碼比較步驟中采用冗余模塊。例如�����,在一方或多方在特定事務(wù)處理 過(guò)程中提供的文檔的散列比較中����,可以有利地實(shí)現(xiàn)參考圖14和15公 開(kāi)的前述冗余模塊中的某些或全部。
雖然根據(jù)某些優(yōu)選的和可替換的實(shí)施例描述了上述發(fā)明�,本領(lǐng)域 的普通技術(shù)人員將從此處的公開(kāi)中明了其他實(shí)施例。例如�,授信引擎 110可以頒發(fā)短期證書(shū),其中私有密碼密鑰在預(yù)定的時(shí)間段中被發(fā)放 給用戶(hù)���。例如�����,當(dāng)前證書(shū)標(biāo)準(zhǔn)包括可被設(shè)置為在預(yù)定量的時(shí)間之后到 期的有效字段��。因此�����,授信引擎110可以向用戶(hù)發(fā)放在例如24小時(shí) 內(nèi)有效的私鑰�����。根據(jù)這種實(shí)施例����,授信引擎110可以有利地頒發(fā)將與 特定用戶(hù)相關(guān)聯(lián)的新的密碼密鑰對(duì),然后發(fā)放新密碼密鑰對(duì)的私鑰����。 然后, 一旦發(fā)放了私有密碼密鑰�����,授信引擎110立刻終止這種私鑰的 任意內(nèi)部有效使用��,這是由于授信引擎110不再能夠保證它的安全���。
另外��,本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到密碼系統(tǒng)IOO或授信引擎110 可以包括識(shí)別任意類(lèi)型的設(shè)備的能力����,諸如但不限于��,膝上計(jì)算機(jī)�, 蜂窩電話,網(wǎng)絡(luò)��,生物測(cè)定設(shè)備等�����。根據(jù)一個(gè)實(shí)施例�,這種識(shí)別可以 來(lái)自在對(duì)特定服務(wù)的請(qǐng)求中提供的數(shù)據(jù),諸如導(dǎo)致訪問(wèn)或使用的對(duì)驗(yàn) 證的請(qǐng)求���,對(duì)密碼功能的請(qǐng)求等�����。根據(jù)一個(gè)實(shí)施例���,上述請(qǐng)求可以包 括唯一設(shè)備標(biāo)識(shí)符,諸如例如���,處理器ID�����?����?商鎿Q地����,請(qǐng)求可以包括
47特定的可識(shí)別的數(shù)據(jù)格式中的數(shù)據(jù)。例如����,移動(dòng)和衛(wèi)星電話通常不包
括用于完整X509.V3強(qiáng)加密證書(shū)的處理能力,并且因此不能請(qǐng)求它 們���。根據(jù)這個(gè)實(shí)施例�����,授信引擎110可以識(shí)別出現(xiàn)的數(shù)據(jù)格式類(lèi)型�����, 并且僅以同樣的方法響應(yīng)��。
在上述系統(tǒng)的附加方面中�����,可以使用如下所述的各種技術(shù)提供上 下文敏感的驗(yàn)證����。上下文敏感的驗(yàn)證,例如圖16所示��,提供了不僅 評(píng)估用戶(hù)試圖驗(yàn)證自身時(shí)所發(fā)送的實(shí)際數(shù)據(jù)���,還評(píng)估關(guān)于該數(shù)據(jù)的產(chǎn) 生和傳遞的環(huán)境的可能。如下所述�,這種技術(shù)還可以支持用戶(hù)和授信 引擎IIO之間或提供方和授信引擎IIO之間特定于事務(wù)處理的信任仲 裁。
如上所述���,驗(yàn)證是證明用戶(hù)是其所聲稱(chēng)的人的處理���。 一般地,驗(yàn) 證需要向驗(yàn)證機(jī)構(gòu)證明某些事實(shí)�。本發(fā)明的授信引擎110代表用戶(hù)必 須向其驗(yàn)證自身的機(jī)構(gòu)。用戶(hù)必須通過(guò)下面方法中的任意一種向授信 引擎110證明他是其所聲稱(chēng)的人知道某些僅有該用戶(hù)才應(yīng)當(dāng)知道的 內(nèi)容(基于知識(shí)的驗(yàn)證)�,具有某些僅有該用戶(hù)才應(yīng)當(dāng)具有的內(nèi)容(基 于標(biāo)記的驗(yàn)證),或是處于某些僅有該用戶(hù)才應(yīng)當(dāng)如此的狀態(tài)(基于 生物測(cè)定的驗(yàn)證)�����。
基于知識(shí)的驗(yàn)證的例子包括但不限于口令����,PIN號(hào)�,或鎖組合�。 基于標(biāo)記的驗(yàn)證的例子包括但不限于房屋鑰匙,物理信用卡����,駕照, 或特定電話號(hào)碼�。基于生物測(cè)定的驗(yàn)證的例子包括但不限于指紋����,筆 跡分析,面部掃描���,手掃描�,耳掃描�,虹膜掃描,血管模式�,DNA�����, 聲音分析����,或視網(wǎng)膜掃描�。
每種驗(yàn)證類(lèi)型具有特定的優(yōu)點(diǎn)和缺點(diǎn)���,并且每一種提供了不同級(jí) 別的安全性��。例如��,與偷聽(tīng)別人的口令并且重復(fù)它相比����, 一般更難以 創(chuàng)建與別人匹配的偽造的指紋。每種驗(yàn)證還需要驗(yàn)證機(jī)構(gòu)知道不同類(lèi) 型的數(shù)據(jù)����,以便使用該形式的驗(yàn)證檢驗(yàn)?zāi)橙恕?br>
如此處使用的�����,"驗(yàn)證"廣泛地指檢驗(yàn)?zāi)橙说纳矸菔瞧渌暦Q(chēng)的全 部處理。"驗(yàn)證����,���,技術(shù)指基于特定知識(shí)�����、物理標(biāo)記或生物測(cè)定讀數(shù)的特 定類(lèi)型的驗(yàn)證�。"驗(yàn)證數(shù)據(jù)����,,指向驗(yàn)證機(jī)構(gòu)發(fā)送或證明以便確定身份的信息��。"登記數(shù)據(jù)"指最初提交給驗(yàn)證機(jī)構(gòu)以便建立用于與驗(yàn)證數(shù)據(jù)進(jìn) 行比較的基線的數(shù)據(jù)�����。"驗(yàn)證實(shí)例"指與以 一種驗(yàn)證技術(shù)進(jìn)行驗(yàn)證的嘗 試相關(guān)聯(lián)的數(shù)據(jù)����。
參考上面的圖io描述了驗(yàn)證用戶(hù)的處理中所涉及的內(nèi)部協(xié)議和
通信。這個(gè)處理中的發(fā)生上下文敏感驗(yàn)證的部分出現(xiàn)在作為圖10的 步驟1045示出的比較步驟中�。這個(gè)步驟發(fā)生在驗(yàn)證引擎215內(nèi),并 且涉及組裝從倉(cāng)庫(kù)210取回的登記數(shù)據(jù)410��,并且將用戶(hù)提供的驗(yàn)證 數(shù)據(jù)與其進(jìn)行比較����。在圖16示出并且在下面描述了這個(gè)處理的一個(gè) 特定實(shí)施例。
在圖16的步驟1600由驗(yàn)證引擎215接收用戶(hù)提供的當(dāng)前驗(yàn)證數(shù) 據(jù)和從倉(cāng)庫(kù)210取回的登記數(shù)據(jù)��。這兩組數(shù)據(jù)都可以包含與各個(gè)驗(yàn)證 技術(shù)相關(guān)的數(shù)據(jù)��。驗(yàn)證引擎215可以在步驟1605分離與每個(gè)單獨(dú)驗(yàn) 證實(shí)例相關(guān)聯(lián)的驗(yàn)證數(shù)據(jù)�����。這是對(duì)驗(yàn)證數(shù)據(jù)和用戶(hù)的登記數(shù)據(jù)的適當(dāng) 子集進(jìn)行比較所必須的(例如����,指紋驗(yàn)證數(shù)據(jù)應(yīng)當(dāng)與指紋登記數(shù)據(jù)而 不是口令登記數(shù)據(jù)比較)��。
一般地���,取決于哪些驗(yàn)證技術(shù)對(duì)于用戶(hù)來(lái)說(shuō)可用�,對(duì)用戶(hù)進(jìn)行驗(yàn) 證涉及一個(gè)或多個(gè)驗(yàn)證實(shí)例。這些方法受用戶(hù)在其登記處理過(guò)程中提 供的登記數(shù)據(jù)(如果用戶(hù)在登記時(shí)未提供視網(wǎng)膜掃描���,他不能使用視 網(wǎng)膜掃描驗(yàn)證自己)�,以及用戶(hù)當(dāng)前可以使用的裝置(例如��,如果用 戶(hù)在其當(dāng)前位置不具有指紋讀取器�,指紋驗(yàn)證是不現(xiàn)實(shí)的)的限制。 在某些情況下����,單個(gè)驗(yàn)證實(shí)例可能足以驗(yàn)證用戶(hù);然而���,在某些情況 下����,可以使用多個(gè)驗(yàn)證實(shí)例的組合���,以便為特定事務(wù)處理更確信地驗(yàn) 證用戶(hù)��。
每個(gè)驗(yàn)證實(shí)例由與特定驗(yàn)證技術(shù)(例如�,指紋�,口令�,智能卡等) 和為該特定技術(shù)捕捉和傳遞數(shù)據(jù)的環(huán)境有關(guān)的數(shù)據(jù)組成�。例如,試圖 通過(guò)口令驗(yàn)證的特定實(shí)例不僅將產(chǎn)生與口令自身有關(guān)的數(shù)據(jù)�,而且還 產(chǎn)生與口令嘗試相關(guān)的被稱(chēng)為"元數(shù)據(jù)"的環(huán)境數(shù)據(jù)。這種環(huán)境數(shù)據(jù)包 括諸如下面的信息特定驗(yàn)證實(shí)例發(fā)生的時(shí)間��,傳遞驗(yàn)證信息的網(wǎng)絡(luò) 地址�,以及可以確定的關(guān)于驗(yàn)證數(shù)據(jù)的起源的本領(lǐng)域技術(shù)人員知道的
49任意其他信息(連接類(lèi)型,處理器序列號(hào)等)����。
在許多情況下,僅可獲得少量的環(huán)境元數(shù)據(jù)����。例如,如果用戶(hù)位 于使用代理或網(wǎng)絡(luò)地址變換或掩蓋原始計(jì)算機(jī)地址的其他技術(shù)的網(wǎng) 絡(luò)上����,僅可以確定代理或路由器的地址��。類(lèi)似地�,在許多情況下,由 于禁止了系統(tǒng)操作員的這種特征的硬件或所使用的操作系統(tǒng)的限制�����,
或用戶(hù)系統(tǒng)和授信引擎110之間的連接的其他限制,不能獲得諸如處
理器序列號(hào)的信息��。
如圖16所示�, 一旦在步驟1605提取和分離了驗(yàn)證數(shù)據(jù)中出現(xiàn)的 各種驗(yàn)證實(shí)例��,驗(yàn)證引擎215評(píng)估每個(gè)實(shí)例指示用戶(hù)是其所聲稱(chēng)的人 的可靠性���。 一般基于若干因素確定單個(gè)驗(yàn)證實(shí)例的可靠性�����。這些可被 分組為在步驟1610評(píng)估的與驗(yàn)證技術(shù)相關(guān)聯(lián)的關(guān)于可靠性的因素���, 和在步驟1815評(píng)估的與提供的特定驗(yàn)證數(shù)據(jù)的可靠性有關(guān)的因素。 第一組包括但不限于使用的驗(yàn)證技術(shù)的固有可靠性�����,和該方法使用的 登記數(shù)據(jù)的可靠性����。第二組包括但不限于登記數(shù)據(jù)與驗(yàn)證實(shí)例提供的 數(shù)據(jù)之間的匹配程度�,以及與驗(yàn)證實(shí)例相關(guān)聯(lián)的元數(shù)據(jù)��。這些因素中 的每一個(gè)可#_獨(dú)立于其他因素改變����。
驗(yàn)證技術(shù)的固有可靠性基于冒充者提供別人的正確數(shù)據(jù)的困難 程度��,以及驗(yàn)證技術(shù)的整體錯(cuò)誤率。對(duì)于基于口令和知識(shí)的驗(yàn)證方法�, 由于不能防止某人向另 一人透露其口令并且第二個(gè)人使用該口令,這 種可靠性通常相當(dāng)?shù)?���。由于知識(shí)可被相當(dāng)容易地從一個(gè)人傳遞到另一 個(gè)人,即使更復(fù)雜的基于知識(shí)的系統(tǒng)也可能僅具有中等的可靠性�。由 于不能保證正確的人持有正確的標(biāo)記���,基于標(biāo)記的驗(yàn)證�,諸如采用正 確的智能卡或使用特定終端執(zhí)行驗(yàn)證���,與其自身使用具有類(lèi)似的低可 靠性����。
然而����,生物測(cè)定技術(shù)固有地更為可靠,這是由于即使是有意地���, 一般難以用常規(guī)方式給別人提供使用你自己的指紋的能力�。由于破壞 生物測(cè)定驗(yàn)證技術(shù)更為困難�����,生物測(cè)定方法的固有可靠性一般高于純 粹的基于知識(shí)或標(biāo)記的驗(yàn)證技術(shù)�。然而,即使是生物測(cè)定技術(shù)也可能 具有產(chǎn)生偽接受或偽拒絕的某些情況����。可以通過(guò)相同生物測(cè)定技術(shù)的不同實(shí)現(xiàn)的不同可靠性反映出這些情況�。例如,由于使用更高質(zhì)量的 光學(xué)器件�,或更好的掃描分辨率���,或減少誤接受或誤拒絕發(fā)生的某些 其他改進(jìn),由一個(gè)公司提供的指紋匹配系統(tǒng)可能提供比一個(gè)不同公司 所提供的更高的可靠性���。
注意可以用不同方式表達(dá)這種可靠性�����。希望以可由啟發(fā)530和驗(yàn) 證引擎215的算法使用以便計(jì)算每個(gè)驗(yàn)證的置信級(jí)別的某個(gè)度量表達(dá) 可靠性���。表達(dá)這些可靠性的一種優(yōu)選模式是表達(dá)為百分比或分?jǐn)?shù)。例 如��,可將固有可靠性97%分配給指紋����,而可以?xún)H將50%的固有可靠 性分配給口令。本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到這些特定的值僅是示例性 的�,并且可以在不同實(shí)現(xiàn)方式之間改變。
必須評(píng)定可靠性的第二個(gè)因素是登記的可靠性����。這是上述"分級(jí) 登記"處理的一部分。這個(gè)可靠性因素反映了在初始登記處理過(guò)程中 提供的標(biāo)識(shí)的可靠性。例如,如果個(gè)人最初以向公證人或其他公共官 員物理地出示其身份證明的方式登記�����,并且在該時(shí)刻記錄登記數(shù)據(jù)并 且進(jìn)行了公證����,該數(shù)據(jù)比在登記過(guò)程中在網(wǎng)絡(luò)上提供的并且僅以未真 正綁定到該個(gè)人的數(shù)字簽名或其他信息保證的數(shù)據(jù)更可靠。
具有不同可靠性級(jí)別的其他登記技術(shù)包括但不限于在授信引擎
110操作員的物理部門(mén)登記����;在用戶(hù)的工作位置登記;在郵局或交通 部門(mén)登記;通過(guò)授信引擎110操作員的分支方或可信方登記��;匿名或 冒名登記�,其中登記的身份與特定真實(shí)個(gè)體不一致,以及本領(lǐng)域已知 的這種其他方式��。
這些因素反映授信引擎110和在登記處理過(guò)程中提供的標(biāo)識(shí)的 來(lái)源之間的信任度���。例如�����,如果在提供身份證據(jù)的初始處理過(guò)程中與 雇員相關(guān)聯(lián)地執(zhí)行登記���,對(duì)于公司內(nèi)部來(lái)說(shuō)�,該信息可被認(rèn)為極其可 靠���,但是被政府機(jī)構(gòu)或竟?fàn)幷咝湃蔚某潭瓤赡茌^低���。因此,由這些其 他組織操作的授信引擎可給該登記分配不同級(jí)別的可靠性����。
類(lèi)似地,在網(wǎng)絡(luò)上提交的但被以在相同授信引擎110的以前登記 過(guò)程中提供的其他可信數(shù)據(jù)驗(yàn)證的附加數(shù)據(jù)可被如同原始登記數(shù)據(jù) 認(rèn)為是可靠的����,即使該稍后數(shù)據(jù)是在開(kāi)放網(wǎng)絡(luò)上提交的。在這種情況
51下�����,隨后的公證將有效地提高與原始登記數(shù)據(jù)相關(guān)聯(lián)的可靠性級(jí)別。 以這種方法為例����,通過(guò)向某個(gè)登記官員證明與登記數(shù)據(jù)匹配的個(gè)體身 份,則匿名或冒名登記可被提升為完全登記�。
上述可靠性因素一般為可以在任意特定驗(yàn)證實(shí)例之前確定的值。 這是由于它們基于登記和技術(shù)而不是實(shí)際驗(yàn)證���。在一個(gè)實(shí)施例中�����,基 于這些因素產(chǎn)生可靠性的步驟涉及尋找針對(duì)該特定驗(yàn)證技術(shù)的以前 確定的值和用戶(hù)的登記數(shù)據(jù)。在本發(fā)明的有利實(shí)施例的另 一個(gè)方面���, 這種可靠性可被包括在登記數(shù)據(jù)自身中�。以這種方式�����,這些因素可被
與從倉(cāng)庫(kù)210發(fā)送的登記數(shù)據(jù)一起自動(dòng)地傳遞給驗(yàn)證引擎215��。
雖然一般在任意單個(gè)驗(yàn)證實(shí)例之前確定這些因素�����,它們?nèi)匀粚?duì)為 用戶(hù)使用特定驗(yàn)證技術(shù)的每個(gè)驗(yàn)證實(shí)例具有影響。另外����,雖然值可能 隨著時(shí)間而改變(例如,如果用戶(hù)以更可靠的方式重新登記)���,它們 不依賴(lài)于驗(yàn)證數(shù)據(jù)本身���。相反,與單個(gè)特定實(shí)例的數(shù)據(jù)相關(guān)聯(lián)的可靠 性因素可以在每個(gè)場(chǎng)合改變����。如下所述必須為每個(gè)新驗(yàn)證評(píng)估這些因 素,以便在步驟1815產(chǎn)生可靠性評(píng)分����。
驗(yàn)證數(shù)據(jù)的可靠性反映用戶(hù)在特定驗(yàn)證實(shí)例中提供的數(shù)據(jù)和在 驗(yàn)證登記過(guò)程中提供的數(shù)據(jù)之間的匹配。這是驗(yàn)證數(shù)據(jù)是否與用戶(hù)所 聲稱(chēng)的個(gè)體的登記數(shù)據(jù)匹配的基本問(wèn)題�����。通常當(dāng)數(shù)據(jù)不匹配時(shí)��,認(rèn)為 用戶(hù)未被成功地驗(yàn)證并且驗(yàn)證失敗。對(duì)其進(jìn)行評(píng)估的方式可以根據(jù)使 用的驗(yàn)證技術(shù)而改變�����。由如圖5所示的驗(yàn)證引擎215的比較器515功 能執(zhí)行這種數(shù)據(jù)的比較�。
例如, 一般以二值方式評(píng)估口令的匹配����。換言之,口令或是完美 匹配或是失配����。通常不希望接受如果不是完全正確,接近正確口令的 部分匹配口令�。因此當(dāng)評(píng)估口令驗(yàn)證時(shí)���,比較器515返回的驗(yàn)證可靠
性通常為100% (正確)或0% (錯(cuò)誤)�����,不可能為中間值����。
與口令類(lèi)似的規(guī)則一般適用于基于標(biāo)記的驗(yàn)證方法,諸如智能
卡���。這是由于具有帶有類(lèi)似標(biāo)識(shí)符的智能卡或與正確的相類(lèi)似的智能 卡仍然和具有任意其他不正確的標(biāo)記一樣錯(cuò)誤�����。因此標(biāo)記也趨于二值
驗(yàn)證用戶(hù)或是具有正確的標(biāo)記或者沒(méi)有����。然而����,某些類(lèi)型的驗(yàn)證數(shù)據(jù)諸如調(diào)查表和生物測(cè)定一般不是二值 驗(yàn)證�����。例如�����,指紋可能不同程度地與參考指紋匹配����。在某種程度上�����, 這可能是由于在初始登記或在后續(xù)驗(yàn)證過(guò)程中捕捉的數(shù)據(jù)的質(zhì)量的 改變。(指紋可能被弄臟或一個(gè)人可能具有愈合中的傷痕或灼傷了特 定手指)�����。在其他情況下����,由于信息自身可變的并且基于模式識(shí)別, 數(shù)據(jù)可能不是完美匹配。(由于背景噪聲或錄制語(yǔ)音的環(huán)境聲音��,或 由于這個(gè)人感冒了�,語(yǔ)音分析可能感覺(jué)接近但不是完全正確)���。最后�����, 在比較大量數(shù)據(jù)的情況下����,情況可能是大部分?jǐn)?shù)據(jù)很好地匹配但是某
些不是。(10個(gè)問(wèn)題的調(diào)查表可能產(chǎn)生關(guān)于個(gè)人問(wèn)題的8個(gè)正確回答����, 和2個(gè)不正確回答)���。出于這些原因中的任意原因���,可能希望由比較 器515給登記數(shù)據(jù)和用于特定驗(yàn)證實(shí)例的數(shù)據(jù)之間的匹配分配一個(gè)部 分匹配值。以這種方式,例如可以_沈指紋85%匹配�����,聲紋65%匹配�, 并且調(diào)查表80%匹配����。
比較器515產(chǎn)生的這種測(cè)量(匹配程度)是表示驗(yàn)證是否正確的 基本問(wèn)題的因素��。然而如上所述�,這僅是可用于確定給定驗(yàn)證實(shí)例的 可靠性的因素之一���。還應(yīng)注意即使可以確定某個(gè)部分程度的匹配,最 終可能希望提供基于部分匹配的二值結(jié)果����。在另一種操作模式中,還 可以基于匹配程度是否超出特定的匹配閾值級(jí)別��,將部分匹配視為是 二值的��,即�,或是完美的(100% )或是失敗的(0% )匹配。這種處 理可用于為產(chǎn)生部分匹配的系統(tǒng)提供單一的匹配通過(guò)/失敗級(jí)別����。
評(píng)估給定驗(yàn)證實(shí)例的可靠性所考慮的另一個(gè)因素與提供這個(gè)特 定實(shí)例的驗(yàn)證數(shù)據(jù)的環(huán)境有關(guān)。如上所述��,該環(huán)境指與特定驗(yàn)證實(shí)例 相關(guān)聯(lián)的元數(shù)據(jù)����。這可以包括但不限于這樣的信息,諸如驗(yàn)證人的 網(wǎng)絡(luò)地址�����,就其可被確定而言;驗(yàn)證的時(shí)間�����;驗(yàn)證數(shù)據(jù)的傳輸模式(電 話線��,蜂窩電話���,網(wǎng)絡(luò)等);和驗(yàn)證人的系統(tǒng)的序列號(hào)���。
這些因素可被用于產(chǎn)生用戶(hù)通常請(qǐng)求的驗(yàn)證類(lèi)型的簡(jiǎn)檔���。然后這 種信息可被用于以至少兩個(gè)方式評(píng)價(jià)可靠性。 一種方式是用戶(hù)是否以 與這個(gè)用戶(hù)的通常驗(yàn)證簡(jiǎn)檔相一致的方式請(qǐng)求驗(yàn)證����。如果用戶(hù)通常在 上班時(shí)間(當(dāng)她在工作時(shí))從一個(gè)網(wǎng)絡(luò)地址,并且在晚上或周末(當(dāng)她在家時(shí))從一個(gè)不同的網(wǎng)絡(luò)地址做出驗(yàn)證請(qǐng)求���,由于在通常的驗(yàn)證 簡(jiǎn)檔之外�����,在上班時(shí)間從家庭地址發(fā)生的驗(yàn)證不太可靠���。類(lèi)似地�,如 果用戶(hù)通常在晚上使用指紋生物測(cè)定驗(yàn)證�����,在白天僅使用口令發(fā)生的 驗(yàn)證不太可靠��。
可以使用環(huán)境元數(shù)據(jù)評(píng)估驗(yàn)證實(shí)例的可靠性的一種附加方式是 確定該環(huán)境提供關(guān)于驗(yàn)證人是其所聲稱(chēng)的個(gè)體的確證程度���。例如���,如 果驗(yàn)證來(lái)自具有已知與用戶(hù)相關(guān)聯(lián)的序列號(hào)的系統(tǒng),這是用戶(hù)是其所 聲稱(chēng)的人的良好的環(huán)境指示器���。相反�����,當(dāng)已知用戶(hù)居住在倫敦時(shí)��,如 果驗(yàn)證來(lái)自已知位于洛杉磯的網(wǎng)絡(luò)地址�����,基于其環(huán)境這指示這個(gè)驗(yàn)證 不太可靠����。
還可以在用戶(hù)與提供方系統(tǒng)或與授信引擎110交互時(shí)使用的系 統(tǒng)上放置cookie或其他電子數(shù)據(jù)。這些數(shù)據(jù)被寫(xiě)到用戶(hù)的系統(tǒng)的存儲(chǔ) 設(shè)備內(nèi)�����,并且可以包含可由Web瀏覽器或用戶(hù)系統(tǒng)上的其他軟件讀 取的標(biāo)識(shí)�����。如果允許該數(shù)據(jù)在會(huì)話之間駐留在用戶(hù)系統(tǒng)上("永久 cookie")�,其可^皮作為在特定用戶(hù)的驗(yàn)證過(guò)程中對(duì)這個(gè)系統(tǒng)的過(guò)去使 用的進(jìn)一步證據(jù)的驗(yàn)證數(shù)據(jù)一起發(fā)送��。事實(shí)上�����,給定實(shí)例的元數(shù)據(jù)��, 特別是永久cookie自身可以形成一種基于標(biāo)記的驗(yàn)證器��。
一旦如上面在步驟1610和1615中分別所述產(chǎn)生了基于技術(shù)和驗(yàn) 證實(shí)例數(shù)據(jù)的適當(dāng)可靠性因子,它們可被用于在步驟1620產(chǎn)生驗(yàn)證 實(shí)例的整體可靠性�����。 一種這樣作的方式是簡(jiǎn)單地將每個(gè)可靠性表達(dá)為 百分?jǐn)?shù)���,并且將它們相乘在一起�����。
例如��,假設(shè)驗(yàn)證數(shù)據(jù)被完全根據(jù)用戶(hù)過(guò)去的驗(yàn)證簡(jiǎn)檔從已知是用 戶(hù)的家庭計(jì)算機(jī)的網(wǎng)絡(luò)地址發(fā)送(100% )�,并且使用的技術(shù)是指紋 識(shí)別(97%),并且通過(guò)用戶(hù)的雇主向授信引擎110注冊(cè)最初的指紋 數(shù)據(jù)(90% )�,并且驗(yàn)證數(shù)據(jù)和登記數(shù)據(jù)中的原始指紋模板之間的匹 配非常好(99% )。這個(gè)驗(yàn)證實(shí)例的整體可靠性被計(jì)算為這些可靠性 的積可靠性100% x97%x90%x99 % -86.4%��。
這個(gè)計(jì)算的可靠性表示單個(gè)驗(yàn)證實(shí)例的可靠性����。還可以使用不同 地對(duì)待不同的可靠性因子的技術(shù)計(jì)算單個(gè)驗(yàn)證實(shí)例的整體可靠性,例
54如通過(guò)使用給每個(gè)可靠性因子分配不同權(quán)重的公式����。另外���,本領(lǐng)域的 技術(shù)人員將認(rèn)識(shí)到使用的實(shí)際值可以表示百分?jǐn)?shù)之外的值,并且可以 使用非算術(shù)系統(tǒng)����。 一個(gè)實(shí)施例可以包括驗(yàn)證請(qǐng)求人用于設(shè)置每個(gè)因子 的權(quán)重和建立驗(yàn)證實(shí)例的整體可靠性時(shí)使用的算法的模塊��。
如步驟1620指示的����,驗(yàn)證引擎215可以使用上述技術(shù)和其變體 確定單個(gè)驗(yàn)證實(shí)例的可靠性�。然而,其可用于同時(shí)提供多個(gè)驗(yàn)證實(shí)例 的許多驗(yàn)證情況��。例如�����,當(dāng)試圖使用本發(fā)明的系統(tǒng)驗(yàn)證自身時(shí)���,用戶(hù) 可以提供用戶(hù)標(biāo)識(shí),指紋驗(yàn)證數(shù)據(jù)����,智能卡和口令�����。在該情況下����,三 個(gè)獨(dú)立的驗(yàn)證實(shí)例被提供給授信引擎110進(jìn)行評(píng)估�。如果驗(yàn)證引擎215 確定由用戶(hù)提供的數(shù)據(jù)包括多于一個(gè)驗(yàn)證實(shí)例,則進(jìn)入步驟1625����,然 后如步驟1630所示依次選擇每個(gè)實(shí)例,并且如上面步驟1610�����, 1615 和1620中所述對(duì)其進(jìn)行評(píng)估���。
注意所討論的許多可靠性因子可以隨著這些實(shí)例而改變����。例如�����, 這些技術(shù)的固有可靠性以及驗(yàn)證數(shù)據(jù)和登記數(shù)據(jù)之間提供的匹配程 度很可能不同。另外�����,用戶(hù)可能在不同時(shí)間在不同環(huán)境下為這些技術(shù) 中的每一個(gè)提供登記數(shù)據(jù)�,這也為這些實(shí)例中的每一個(gè)提供了不同的 登記可靠性。最后���,即使為這些實(shí)例中的每一個(gè)提交數(shù)據(jù)的環(huán)境相同��, 對(duì)這些技術(shù)的使用可能各自不同適合于用戶(hù)簡(jiǎn)檔���,并且從而可被分配 不同的環(huán)境可靠性(例如,用戶(hù)可能通常使用其口令和指紋而不是其 智能卡)����。
結(jié)果���,這些驗(yàn)證實(shí)例中的每一個(gè)的最終可靠性可能彼此不同����。然 而,通過(guò)一起使用多個(gè)實(shí)例��,驗(yàn)證的整體置信級(jí)別趨于增加�����。
一旦驗(yàn)證引擎為在驗(yàn)證數(shù)據(jù)中提供的所有驗(yàn)證實(shí)例執(zhí)行了步驟 1610到1620��,在步驟1635使用每個(gè)實(shí)例的可靠性評(píng)估整體驗(yàn)證置信 級(jí)別���?��?捎藐P(guān)于產(chǎn)生的各個(gè)可靠性的各種方法為將各個(gè)驗(yàn)證實(shí)例可靠 性組合為驗(yàn)證置信級(jí)別的這個(gè)處理建模,并且還可能解決這些驗(yàn)證技 術(shù)中的某些之間的特定交互(例如�����,多個(gè)基于知識(shí)諸如口令的系統(tǒng)可 能產(chǎn)生低于單個(gè)口令��,并且甚至低于相當(dāng)弱的生物測(cè)定���,諸如基本語(yǔ) 音分析的置信)���。驗(yàn)證引擎215組合多個(gè)并發(fā)驗(yàn)證實(shí)例的可靠性��,以便產(chǎn)生最終置 信級(jí)別的 一種方法是對(duì)每個(gè)實(shí)例的不可靠性相乘以便獲得總的不可 靠性���。該不可靠性一般是可靠性的互補(bǔ)百分比。例如����,84%可靠的技 術(shù)的不可靠性為16%。產(chǎn)生可靠性86%���, 75%和72%的上述3個(gè)驗(yàn) 證實(shí)例(指紋�,智能卡����,口令)分別具有相應(yīng)的不可靠性(100-86) % , ( 100 - 75 ) %和(100 - 72 ) % �,或14 % , 25 %和28 % 。通過(guò) 對(duì)這些不可靠性相乘�,得到累積不可靠性14%x25%x28% -.98%, 這相應(yīng)于99.02 %的可靠性。
在一種附加的操作模式中��,可以在驗(yàn)證引擎215中應(yīng)用附加的因 子和啟發(fā)530����,以^使說(shuō)明各種驗(yàn)證技術(shù)的互相依賴(lài)。例如��,如果某人 未被授權(quán)訪問(wèn)特定的家用計(jì)算機(jī)��,他們可能也不能使用相同地址的電 話線�����。因此��,基于發(fā)起電話號(hào)碼以及驗(yàn)證系統(tǒng)的序列號(hào)的驗(yàn)證不會(huì)對(duì) 驗(yàn)證的整體置信帶來(lái)很大增加��。然而�����,基于知識(shí)的驗(yàn)證極大地獨(dú)立于 基于標(biāo)記的驗(yàn)證(即�,如果某人偷了你的蜂窩電話或鑰匙,他們不太 可能知道你的PIN或口令)�。
另外,不同的提供方或其他驗(yàn)證請(qǐng)求人可能希望不同地加權(quán)驗(yàn)證 的不同方面���。這可以包括使用單獨(dú)的加權(quán)因子或用于計(jì)算各個(gè)實(shí)例的 可靠性的算法���,以及使用不同的方法評(píng)估具有多個(gè)實(shí)例的驗(yàn)證事件���。
例如,某些類(lèi)型的事務(wù)處理例如公司的電子郵件系統(tǒng)的提供方可 能希望默認(rèn)地主要基于啟發(fā)和其他環(huán)境數(shù)據(jù)進(jìn)行驗(yàn)證。因此���,他們給 關(guān)于元數(shù)據(jù)相關(guān)的因子和與圍繞驗(yàn)證事件的環(huán)境相關(guān)聯(lián)的信息有關(guān) 的其他簡(jiǎn)檔應(yīng)用高權(quán)重�����。由于僅需要用戶(hù)在上班時(shí)間登錄到正確的機(jī) 器,這種安排可用于減輕用戶(hù)在通常操作時(shí)間中的負(fù)擔(dān)�����。然而���,由于 一種技術(shù)最適合于出于特定提供方目的的驗(yàn)證的決策���,其他提供方可 能最重地給來(lái)自特定技術(shù)的驗(yàn)證加權(quán)����,例如指紋匹配�。
在一種操作模式中�,可由驗(yàn)證請(qǐng)求人在產(chǎn)生驗(yàn)證請(qǐng)求時(shí)定義這種 改變的權(quán)重,并且將其與驗(yàn)證請(qǐng)求一起發(fā)送到授信引擎110。在另一 種操作模式中����,還可以在驗(yàn)證請(qǐng)求人的初始登記處理過(guò)程中將這些操 作設(shè)置為偏好��,并且存儲(chǔ)在驗(yàn)證引擎內(nèi)��。
56一旦驗(yàn)證引擎215為提供的驗(yàn)證數(shù)據(jù)產(chǎn)生了驗(yàn)證置信級(jí)別���,在步 驟1640使用這個(gè)置信級(jí)別完成驗(yàn)證請(qǐng)求,并且將這些信息從驗(yàn)證引 擎215轉(zhuǎn)發(fā)到事務(wù)處理引擎205以便包括在發(fā)給驗(yàn)證請(qǐng)求人的消息 中���。
上述處理僅是示例性的�����,并且本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到��,不需 要以所示的順序執(zhí)行步驟�����,或僅需要執(zhí)行希望執(zhí)行的某些步驟�����,或可 以希望這些步驟的各種組合�。另外,如果環(huán)境允許�,可以彼此并行地 執(zhí)行某些步驟,諸如對(duì)所提供的每個(gè)驗(yàn)證實(shí)例的可靠性評(píng)估���。
在本發(fā)明的另一個(gè)方面�,提供了一種方法���,以便調(diào)整當(dāng)上述處理 產(chǎn)生的驗(yàn)證置信級(jí)別不滿足提供方或請(qǐng)求驗(yàn)證的另一方所需的信任 級(jí)別時(shí)的條件��。在諸如提供的置信級(jí)別和所希望的信任級(jí)別之間存在 差距的情況����,授信引擎IIO的操作員處于能夠給一方或雙方提供機(jī)會(huì) 的位置,以便提供可替換的數(shù)據(jù)或要求以便縮短信任差距�。此處這個(gè) 處理被稱(chēng)為"信任仲裁"。
信任仲裁可以發(fā)生在上面參考圖10和11所述的密碼驗(yàn)證框架 內(nèi)�����。如其中所示��,提供方或另一方請(qǐng)求與特定事務(wù)處理相關(guān)聯(lián)的特定 用戶(hù)的驗(yàn)證��。在一種情況下����,提供方簡(jiǎn)單地請(qǐng)求或是肯定的或是否定 的驗(yàn)證�����,并且在從用戶(hù)處接收適當(dāng)數(shù)據(jù)后����,授信引擎110提供這種二 值驗(yàn)證����。在諸如這些的情況下���,基于授信引擎110中設(shè)置的偏好確定 保證肯定驗(yàn)證所需的置信程度�。
然而,還可能提供方可能需要特定的信任級(jí)別以便完成特定的事 務(wù)處理��。這種所需的級(jí)別可被包括在驗(yàn)證請(qǐng)求中(例如����,以98%的置 信度驗(yàn)證這個(gè)用戶(hù))�����,或可由授信引擎110基于與該事務(wù)處理相關(guān)聯(lián) 的其他因素確定(即,適當(dāng)?shù)貫檫@個(gè)事務(wù)處理驗(yàn)證這個(gè)用戶(hù))��。 一個(gè) 這種因素可以是該事務(wù)處理的經(jīng)濟(jì)價(jià)值��。對(duì)于具有較高經(jīng)濟(jì)價(jià)值的事 務(wù)處理�,可能需要更高的信任程度。類(lèi)似地�����,對(duì)于具有高度風(fēng)險(xiǎn)的事 務(wù)處理����,可能需要高的信任程度����。相反����,對(duì)于或是低風(fēng)險(xiǎn)或是低價(jià)值 的事務(wù)處理����,提供方或另一個(gè)驗(yàn)證請(qǐng)求人可能需要較低的信任級(jí)別。
信任仲裁處理發(fā)生在圖10的步驟1050中授信引擎110接收驗(yàn)證
57數(shù)據(jù)和圖10的步驟1055中將驗(yàn)證結(jié)果返回給提供方的步驟之間��。在 這些步驟之間����,如圖17所示發(fā)生導(dǎo)致信任級(jí)別評(píng)估和潛在的信任仲 裁的處理。在執(zhí)行簡(jiǎn)單的二值驗(yàn)證的情況下����,圖17所示的處理縮減 為如上面參考圖10所討論的由事務(wù)處理引擎205直接對(duì)提供的驗(yàn)證 數(shù)據(jù)和用于標(biāo)識(shí)的用戶(hù)的登記數(shù)據(jù)進(jìn)行比較,將任何差異標(biāo)記為否定 驗(yàn)證��。
如圖17所示��,步驟1050中的接收數(shù)據(jù)之后的第一個(gè)步驟是步驟 1710中為事務(wù)處理引擎205確定這個(gè)特定的事務(wù)處理的肯定驗(yàn)證所需 的信任級(jí)別����?��?梢愿鶕?jù)若干不同方法中的一個(gè)執(zhí)行這個(gè)步驟?��?梢栽?進(jìn)行驗(yàn)證請(qǐng)求時(shí)由驗(yàn)證請(qǐng)求人向授信引擎110指出所需的信任級(jí)別�。 驗(yàn)證請(qǐng)求人還可以事先設(shè)置存儲(chǔ)在倉(cāng)庫(kù)210或事務(wù)處理引擎205可以 訪問(wèn)的其他存儲(chǔ)設(shè)備內(nèi)的偏好���。每次該驗(yàn)證請(qǐng)求人進(jìn)行驗(yàn)證請(qǐng)求時(shí)可 以讀取和使用這個(gè)偏好���。該偏好還可以作為一種安全措施與特定用戶(hù) 相關(guān)聯(lián),從而總是需要特定的信任級(jí)別以便驗(yàn)證該用戶(hù)�,用戶(hù)偏好存 儲(chǔ)在倉(cāng)庫(kù)210或事務(wù)處理引擎205可以訪問(wèn)的其他存儲(chǔ)設(shè)備內(nèi)。還可 由事務(wù)處理引擎205或驗(yàn)證引擎215基于在驗(yàn)證請(qǐng)求中提供的諸如將 被驗(yàn)證的事務(wù)處理的價(jià)值和風(fēng)險(xiǎn)級(jí)別的信息推導(dǎo)出所需級(jí)別��。
在一個(gè)操作模式中�,使用策略管理模塊或產(chǎn)生驗(yàn)證請(qǐng)求時(shí)使用的 其他軟件指出該事務(wù)處理的驗(yàn)證所需的信任程度。這可用于提供在基 于在策略管理模塊中指定的策略分配所需級(jí)別時(shí)將遵從的 一 系列規(guī) 則�。 一種有利的操作模式是將這種模塊與提供方的Web服務(wù)器相結(jié) 合,以便適當(dāng)?shù)卮_定以提供方的Web服務(wù)器發(fā)起的事務(wù)處理所需的 信任級(jí)別���。以這種方式���,可以根據(jù)提供方的策略給來(lái)自用戶(hù)的事務(wù)處 理請(qǐng)求分配所需的信任級(jí)別��,并且將這種信息與驗(yàn)證請(qǐng)求一起轉(zhuǎn)發(fā)到 授信引擎110。
這種所需的信任級(jí)別與提供方想要具有的關(guān)于驗(yàn)證的個(gè)體事實(shí) 上是對(duì)自身的標(biāo)識(shí)的確定程度相關(guān)�。例如,如果由于將轉(zhuǎn)手貨物����,事 務(wù)處理是提供方需要相當(dāng)確定程度的事務(wù)處理,提供方可以要求85 %的信任級(jí)別����。對(duì)于提供方僅驗(yàn)證用戶(hù)以便允許他觀看僅對(duì)成員開(kāi)放
58的內(nèi)容或?qū)α奶焓倚惺固貦?quán)的情況,負(fù)面風(fēng)險(xiǎn)可能足夠小����,從而提供
方僅要求60%的信任級(jí)別。然而����,為了進(jìn)入好幾萬(wàn)美元價(jià)值的生產(chǎn)合 同,提供方可能要求99%的信任級(jí)別或更高�����。
這種所需的信任級(jí)別表示對(duì)用戶(hù)必須驗(yàn)證自己以便完成事務(wù)處 理的度量。如果所需的信任級(jí)別例如是85%,用戶(hù)必須向授信引擎 110提供足以使得授信引擎110以85%的置信度認(rèn)為用戶(hù)是其所聲稱(chēng) 的人的驗(yàn)證�。這種所需的信任級(jí)別和驗(yàn)證置信級(jí)別之間的權(quán)衡產(chǎn)生肯 定的驗(yàn)證(令提供方滿意)或信任仲裁的可能。
如圖17所示�,在事務(wù)處理引擎205收到所需的信任級(jí)別之后, 它在步驟1720對(duì)所需的信任級(jí)別和驗(yàn)證引擎215為當(dāng)前驗(yàn)證計(jì)算的 驗(yàn)證置信級(jí)別(如參考圖16討論的)進(jìn)行比較�。在步驟1730如果驗(yàn) 證置信級(jí)別高于該事務(wù)處理的所需信任級(jí)別,那么處理進(jìn)入步驟 1740���,其中由事務(wù)處理引擎205產(chǎn)生針對(duì)這個(gè)事務(wù)處理的肯定的驗(yàn)證�。 實(shí)現(xiàn)這種效果的消息然后被插入驗(yàn)證結(jié)果�����,并且如步驟1055 (見(jiàn)圖 10)所示由事務(wù)處理引擎205返回提供方���。
然而�����,如果在步驟1730驗(yàn)證置信級(jí)別不滿足所需信任級(jí)別���,則 對(duì)于當(dāng)前驗(yàn)證存在置信差距,并且在步驟1750進(jìn)行信任仲裁����。下面 參考圖18更完整地描述信任仲裁。如下所述這個(gè)處理發(fā)生在授信引 擎110的事務(wù)處理引擎205內(nèi)�����。由于不需要驗(yàn)證和其他密碼操作以便 執(zhí)行信任仲裁(除了事務(wù)處理引擎205和其他組件之間的SSL通信所 需的那些之外)����,可以在驗(yàn)證引擎215之外執(zhí)行該處理��。然而如下所 述��,任何驗(yàn)證數(shù)據(jù)的重新評(píng)估或其他密碼或驗(yàn)證事件將需要事務(wù)處理 引擎205向驗(yàn)證引擎215重新提交適當(dāng)?shù)臄?shù)據(jù)�。本領(lǐng)域的技術(shù)人員將 認(rèn)識(shí)到可以可替換地將信任仲裁構(gòu)造為部分地或完全發(fā)生在驗(yàn)證引 擎215自身之內(nèi)。
如上所述�,信任仲裁是授信引擎110在適當(dāng)?shù)那闆r下在試圖保證 肯定的驗(yàn)證時(shí)在提供方和用戶(hù)之間調(diào)解協(xié)商的處理。如步驟1805所 示�,事務(wù)處理引擎205首先確定當(dāng)前情況是否適合信任仲裁。如下面 進(jìn)一步討論的�����,這可被基于驗(yàn)證的情況確定����,例如��,該驗(yàn)證是否巳經(jīng)經(jīng)過(guò)了多輪仲裁�����,以及基于提供方或用戶(hù)的偏好確定��。
在不可能仲裁的情況下��,處理進(jìn)入步驟1810����,其中事務(wù)處理引 擎205產(chǎn)生否定的驗(yàn)證�,并且將其插入在步驟1055發(fā)送給提供方的 驗(yàn)證結(jié)果內(nèi)(見(jiàn)圖10)?���?捎欣赜糜诜乐跪?yàn)證不明確地懸置的一種 限制是設(shè)置從初始驗(yàn)證請(qǐng)求開(kāi)始的超時(shí)時(shí)間段。以這種方式����,在該時(shí) 限內(nèi)未被肯定地驗(yàn)證的任何事務(wù)處理被拒絕進(jìn)一步仲裁并且被否定 地驗(yàn)證。本領(lǐng)域發(fā)技術(shù)人員將認(rèn)識(shí)到這種時(shí)限可以根據(jù)事務(wù)處理的環(huán) 境以及用戶(hù)和提供方的希望而改變����。還可以對(duì)可以進(jìn)行提供成功驗(yàn)證 的嘗試的次數(shù)做出限制���。可由圖5所述的嘗試限制器535處理這種限 制�。
如果在步驟1805未禁止仲裁,事務(wù)處理引擎205將投入與事務(wù) 處理方之一或這兩者的協(xié)商�����。如步驟1820所示事務(wù)處理引擎205可 以向用戶(hù)發(fā)送消息請(qǐng)求某種形式的附加驗(yàn)證�����,以便提升產(chǎn)生的驗(yàn)證置 信級(jí)別��。以最簡(jiǎn)單的形式�,這可以簡(jiǎn)單地指出驗(yàn)證不充分��。還可以發(fā) 送產(chǎn)生一個(gè)或多個(gè)附加驗(yàn)證實(shí)例以便提高驗(yàn)證的整體置信級(jí)別的請(qǐng) 求���。
如果用戶(hù)在步驟1825提供了某些附加驗(yàn)證實(shí)例�����,那么事務(wù)處理 引擎205將這些驗(yàn)證實(shí)例添加到針對(duì)該事務(wù)處理的驗(yàn)證數(shù)據(jù)中���,并且 如步驟1015所示將其轉(zhuǎn)發(fā)到驗(yàn)證引擎215 (見(jiàn)圖10)���,并且基于針
對(duì)這個(gè)事務(wù)處理的預(yù)先存在的驗(yàn)證實(shí)例和新提供的驗(yàn)證實(shí)例重新評(píng) 估驗(yàn)證。
可以從授信引擎110請(qǐng)求附加類(lèi)型的驗(yàn)證��,以便例如通過(guò)電話呼 叫進(jìn)行某種形式的授信引擎110操作員(或可信的合作人)和用戶(hù)之 間的人與人接觸�。可以使用這種電話呼叫或其他非計(jì)算機(jī)驗(yàn)證提供與 個(gè)人的人員接觸���,并且還進(jìn)行某種形式的基于調(diào)查表的驗(yàn)證��。這還可 以給予檢驗(yàn)發(fā)起電話號(hào)碼并且在來(lái)訪時(shí)潛在地進(jìn)行用戶(hù)語(yǔ)音分析的 機(jī)會(huì)�����。即使不能提供附加的驗(yàn)證數(shù)據(jù)���,與用戶(hù)的電話號(hào)碼相關(guān)聯(lián)的附 加上下文可以提高驗(yàn)證上下文的可靠性。任意修改的數(shù)據(jù)或基于這個(gè) 電話呼叫的環(huán)境被送入授信引擎110�����,以便在考慮驗(yàn)證請(qǐng)求時(shí)使用。
60附加地�����,在步驟1820,授信引擎110可以給用戶(hù)提供購(gòu)買(mǎi)保險(xiǎn) 的機(jī)會(huì)�����,有效地購(gòu)買(mǎi)更確信的驗(yàn)證�。授信引擎110的操作員有時(shí)可能 僅希望在驗(yàn)證的置信級(jí)別高于開(kāi)始的某個(gè)閾值的情況下使得可以獲 得這種選擇。實(shí)際上���,這種用戶(hù)側(cè)保險(xiǎn)是當(dāng)驗(yàn)證滿足授信引擎110對(duì) 驗(yàn)證的通常所需信任級(jí)別�,但是不滿足提供方對(duì)這個(gè)事務(wù)處理的所需 信任級(jí)別時(shí)��,授信引擎110擔(dān)保用戶(hù)的一種方式��。以這種方式����,即使 僅有產(chǎn)生對(duì)于授信引擎110來(lái)說(shuō)足夠的置信度的驗(yàn)證實(shí)例��,用戶(hù)仍可 以成功地以提供方可能需要的非常高的級(jí)別驗(yàn)證����。
授信引擎110的這種功能允許授信引擎110為滿足授信引擎110 的驗(yàn)證但是不滿足提供方的人擔(dān)保����。這類(lèi)似于公證人所執(zhí)行的在文檔 上增加其簽名����,以便向稍后閱讀該文檔的人指出出現(xiàn)在文檔上的人實(shí) 際上是簽署它的人的功能。公證人的簽名證實(shí)用戶(hù)簽署的動(dòng)作���。以相 同方式���,授信引擎提供進(jìn)行事務(wù)處理的人是他們所聲稱(chēng)的人的指示。
然而���,由于授信引擎110人為地提升由用戶(hù)提供的置信級(jí)別�,對(duì) 于授信引擎110操作員來(lái)說(shuō)存在較大風(fēng)險(xiǎn)��,這是由于用戶(hù)實(shí)際上不滿 足提供方的所需信任級(jí)別��。保險(xiǎn)的花費(fèi)被設(shè)計(jì)為彌補(bǔ)誤肯定驗(yàn)證給授 信引擎110 (其可以有效地證明用戶(hù)的驗(yàn)證)帶來(lái)的風(fēng)險(xiǎn)�����。用戶(hù)向授 信引擎110的操作員支付費(fèi)用,以便承擔(dān)以高于實(shí)際提供的置信級(jí)別 驗(yàn)證的風(fēng)險(xiǎn)�����。
由于這種保險(xiǎn)系統(tǒng)允許人們從授信引擎110購(gòu)買(mǎi)更高的置信等 級(jí)�,提供方和用戶(hù)可能都希望在某些事務(wù)處理中禁止用戶(hù)側(cè)保險(xiǎn)的使 用。提供方可能希望將肯定驗(yàn)證限制為他們知道實(shí)際的驗(yàn)證數(shù)據(jù)支持 他們需要的置信程度��,并且從而可以指示授信引擎110不允許用戶(hù)側(cè) 保險(xiǎn)��。類(lèi)似地��,為了保護(hù)自己的在線身份�,用戶(hù)可能希望禁止為自己 使用用戶(hù)側(cè)保險(xiǎn),或可能希望將其使用局限于不帶保險(xiǎn)的驗(yàn)證置信級(jí) 別高于每個(gè)界限的情況���。這可被用作安全措施以便防止別人偷聽(tīng)口令 或偷取智能卡����,并且使用它們以低的置信級(jí)別進(jìn)行誤驗(yàn)證��,然后購(gòu)買(mǎi) 保險(xiǎn)產(chǎn)生非常高的(誤)置信級(jí)別����。在確定是否允許用戶(hù)側(cè)保險(xiǎn)時(shí)可 以評(píng)估這些因素���。如果用戶(hù)在步驟1840購(gòu)買(mǎi)保險(xiǎn)���,則在步驟1845基于購(gòu)買(mǎi)的保險(xiǎn) 調(diào)整驗(yàn)證置信級(jí)別����,并且在步驟1730 (見(jiàn)圖17)再次比較驗(yàn)證置信 級(jí)別和所需信任級(jí)別。處理從該處繼續(xù)����,并且可以導(dǎo)致步驟1740的 肯定驗(yàn)證(見(jiàn)圖17)或在步驟1750返回信任仲裁處理����,以便進(jìn)一步 仲裁(如果允許)���,或如果禁止進(jìn)一步仲裁在步驟1810的否定驗(yàn)證。
除了在步驟1820向用戶(hù)發(fā)送消息之外,事務(wù)處理引擎205還在 步驟1830向提供方發(fā)送消息���,指出待決驗(yàn)證當(dāng)前低于所需的信任級(jí) 別。該消息還可以給提供方提供如何處理的各種選擇���。這些選擇之一 是簡(jiǎn)單地通知提供方當(dāng)前的驗(yàn)證置信級(jí)別是什么���,并且詢(xún)問(wèn)提供方是 否希望保持當(dāng)前不能滿足的所需信任級(jí)別�。這可能是有益的,因?yàn)樵?某些情況下,提供方可能具有驗(yàn)證事務(wù)處理的獨(dú)立方法,或可能使用 默認(rèn)的一組要求,其通常導(dǎo)致高于手邊特定事務(wù)處理實(shí)際所需的最初 指定的所需級(jí)別����。
例如,標(biāo)準(zhǔn)做法可能是希望與提供方的所有進(jìn)入購(gòu)買(mǎi)訂單事務(wù)處 理滿足98%的信任級(jí)別���。然而����,如果最近提供方和長(zhǎng)期客戶(hù)之間以電 話討論了訂單����,并且之后立刻驗(yàn)證該事務(wù)處理���,提供方可能僅希望93 %的置信級(jí)別,以便簡(jiǎn)單地降低該事務(wù)處理的接受閾值���,這是由于電 話呼叫有效地給提供方提供了附加的驗(yàn)證�。在某些情況下,提供方可 能愿意降低其所需的信任級(jí)別�����,但是不是一直到當(dāng)前的驗(yàn)證置信級(jí) 別。例如�,上面例子中的提供方可以考慮先于訂單的電話呼叫可以減 少4%的所需信任程度;然而��,這仍然大于用戶(hù)提供的93%的置信度��。
如果提供方不在步驟1835調(diào)整其所需信任級(jí)別���,那么在步驟 1730比較由驗(yàn)證產(chǎn)生的驗(yàn)證置信級(jí)別和所需信任級(jí)別(見(jiàn)圖17)。 如果置信級(jí)別現(xiàn)在高于所需信任級(jí)別��,可以在步驟1740在事務(wù)處理 引擎205中產(chǎn)生肯定驗(yàn)證(見(jiàn)圖17)�����。如果不是��,如果允許可以如上 所述嘗試進(jìn)一步仲裁�。
除了請(qǐng)求調(diào)整所需信任級(jí)別之外,事務(wù)處理引擎205還可以給請(qǐng) 求驗(yàn)證的提供方提供提供方側(cè)保險(xiǎn)����。這種保險(xiǎn)的作用類(lèi)似于上述用戶(hù) 側(cè)保險(xiǎn)����。然而此處費(fèi)用不是相應(yīng)于授信引擎110在驗(yàn)證中超出產(chǎn)生的
62實(shí)際驗(yàn)證置信級(jí)別所承擔(dān)的風(fēng)險(xiǎn)�����,保險(xiǎn)的費(fèi)用相應(yīng)于提供方在驗(yàn)證中 接受較低信任級(jí)別所承擔(dān)的風(fēng)險(xiǎn)�。
不是僅降低其實(shí)際所需信任級(jí)別,提供方可以選擇購(gòu)買(mǎi)保險(xiǎn)以便 保護(hù)自身不受與用戶(hù)驗(yàn)證中較低的信任級(jí)別相關(guān)聯(lián)的附加風(fēng)險(xiǎn)的影 響���。如上所述��,提供方可以有利地僅在已有驗(yàn)證已經(jīng)高于某個(gè)閾值的 情況下考慮購(gòu)買(mǎi)這種保險(xiǎn)以彌補(bǔ)信任差距�����。
這種提供方側(cè)保險(xiǎn)的可獲得性允許提供方選擇或是無(wú)自身附加 費(fèi)用地直接降低其信任要求�����,或是自己承擔(dān)誤驗(yàn)證的風(fēng)險(xiǎn)(基于所需 的較低信任級(jí)別)��,或是為驗(yàn)證置信級(jí)別和其要求之間的信任差距購(gòu) 買(mǎi)保險(xiǎn)����,由授信引擎110的操作員承擔(dān)提供的較低置信級(jí)別的風(fēng)險(xiǎn)。 通過(guò)購(gòu)買(mǎi)保險(xiǎn)���,提供方有效地保持其高的信任級(jí)別要求�;由于偽驗(yàn)證 的風(fēng)險(xiǎn)被轉(zhuǎn)移到了授信引擎110的操作員����。
如果提供方在步驟1840購(gòu)買(mǎi)保險(xiǎn),在步驟1730比較驗(yàn)證置信級(jí) 別和所需的信任級(jí)別(見(jiàn)圖17)��,并且處理如上所述那樣繼續(xù)���。
注意還可以用戶(hù)和提供方這兩者響應(yīng)來(lái)自授信引擎110的消息。 本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到存在可以處理這些情況的多種方法��。 一種 處理多響應(yīng)的可能性的有利模式是以先到先服務(wù)方式對(duì)待響應(yīng)�。例 如,如果提供方以降低的所需信任級(jí)別響應(yīng)���,并且之后用戶(hù)立刻購(gòu)買(mǎi) 保險(xiǎn)提升其自己的驗(yàn)證級(jí)別���,首先基于來(lái)自提供方的降低的信任要求 重新評(píng)估驗(yàn)證。如果現(xiàn)在驗(yàn)證是肯定的,則忽略用戶(hù)的保險(xiǎn)購(gòu)買(mǎi)����。在 另 一種有利的操作模式中,僅針對(duì)滿足新的提供方降低的信任要求所 需的保險(xiǎn)級(jí)別向用戶(hù)收費(fèi)(如果即使對(duì)于降低的提供方信任要求仍有 信任差距)����。
如果在為驗(yàn)證設(shè)置的時(shí)限內(nèi)在步驟1850在信任仲裁處理期間未 收到來(lái)自任意一方的響應(yīng),在步驟1805重新評(píng)估該仲裁����。這有效地 再次開(kāi)始仲裁處理。如果時(shí)限終止或其他情況阻止步驟1805的進(jìn)一 步仲裁�,事務(wù)處理引擎205在步驟1810產(chǎn)生否定驗(yàn)證,并且在步驟 1055返回提供方(見(jiàn)圖10)��。如果不是���,向用戶(hù)和提供方發(fā)送新消 息���,并且在需要時(shí)重復(fù)處理。注意對(duì)于某些類(lèi)型的事務(wù)處理���,例如����,數(shù)字簽署的不是事務(wù)處理
的一部分的文檔,可以不必有提供方或其他第三方�����;因此�,該事務(wù)處 理主要在用戶(hù)和授信引擎110之間����。在這些情況下,授信引擎110具 有必須被滿足以便產(chǎn)生肯定驗(yàn)證的自己的所需信任級(jí)別��。然而��,在這 種情況下���,授信引擎110通常不希望給用戶(hù)提供保險(xiǎn)以便他能夠提升 自己簽名的置信度����。
可以使用如上面參考授信引擎110所述的各種通信模塊執(zhí)行上 面所述和圖16-18中所示的處理����。例如,消息可以是基于Web的��, 并且使用授信引擎110和實(shí)時(shí)下載到在用戶(hù)或提供方系統(tǒng)上運(yùn)行的瀏 覽器的小程序之間的SSL連接發(fā)送��。在一種可替換的操作模式中�,可 由用戶(hù)和提供方使用便于這種仲裁和保險(xiǎn)事務(wù)處理的某些專(zhuān)用應(yīng)用 程序����。在另一種可替換的操作模式中,可以使用安全電子郵件操作調(diào) 解上述仲裁��,從而允許推遲的評(píng)估和驗(yàn)證的批處理�����。本領(lǐng)域發(fā)技術(shù)人
信模式�。
J ^3 、"'�����,'" ",
下面參考圖19的描述描述了集成如上所述的本發(fā)明的各個(gè)方面 的示例事務(wù)處理。這個(gè)例子以授信引擎110的調(diào)解示出了用戶(hù)和提供 方之間的整個(gè)處理�����。雖然可以使用上面詳述的各種步驟和組件執(zhí)行下 面的事務(wù)處理��,該示出的處理集中于授信引擎110�����,用戶(hù)和提供方之 間的交互�。
當(dāng)用戶(hù)在線觀看Web頁(yè)面時(shí)填寫(xiě)提供方Web站點(diǎn)上的訂單時(shí), 該事務(wù)處理在步驟1900開(kāi)始�。用戶(hù)希望向提供方提交以其數(shù)字簽名 簽署的這個(gè)訂單。為了這樣做����,在步驟1905用戶(hù)將訂單與其對(duì)簽名 的請(qǐng)求一起提交給授信引擎110。用戶(hù)還提供將如上所述用于驗(yàn)證其 身份的驗(yàn)證數(shù)據(jù)��。
在步驟1910��,如上所述由授信引擎110對(duì)驗(yàn)證數(shù)據(jù)和登記數(shù)據(jù) 進(jìn)行比較����,并且如果產(chǎn)生肯定驗(yàn)證,將以用戶(hù)的私鑰簽署的訂單的散 列與訂單自身 一起轉(zhuǎn)發(fā)到提供方�。
提供方在步驟1915接收簽署的訂單,然后提供方在步驟1920
64產(chǎn)生關(guān)于將要進(jìn)行的購(gòu)買(mǎi)的發(fā)貨清單或其他合同�。在步驟1925將該 合同與對(duì)簽名的請(qǐng)求一起發(fā)送回用戶(hù)。提供方還在步驟1930向授信 引擎IIO發(fā)送對(duì)這個(gè)合同事務(wù)處理的驗(yàn)證請(qǐng)求���,包括由雙方簽署的合 同的散列�����。為了允許雙方數(shù)字地簽署合同��,提供方還包括其自己的驗(yàn) 證數(shù)據(jù)�,從而如果需要稍后可以檢驗(yàn)合同上提供方的簽名��。
如上所述�����,授信引擎110檢驗(yàn)提供方提供的驗(yàn)證數(shù)據(jù)以便確認(rèn)提 供方的身份���,并且如果數(shù)據(jù)在步驟1935產(chǎn)生肯定驗(yàn)證��,當(dāng)從用戶(hù)處 收到數(shù)據(jù)時(shí)繼續(xù)步驟1955�����。如果提供方的驗(yàn)證數(shù)據(jù)不能以所希望的程 度匹配提供方的登記數(shù)據(jù)��,向提供方返回消息請(qǐng)求進(jìn)一步驗(yàn)證����。如上 所述,如果需要此處可以執(zhí)行信任仲裁����,以便提供方能夠成功地向授 信引擎110驗(yàn)證自己。
當(dāng)用戶(hù)在步驟1940收到合同時(shí)����,他對(duì)其進(jìn)行評(píng)審,在步驟1945 產(chǎn)生驗(yàn)證數(shù)據(jù)以便如果可以接受則簽署合同���,然后在步驟1950將合 同的散列和其驗(yàn)證數(shù)據(jù)發(fā)送給授信引擎110����。授信引擎110在步驟 1955檢驗(yàn)驗(yàn)證數(shù)據(jù)���,并且如果驗(yàn)證良好����,繼續(xù)如下所述處理合同�。如 上面參考圖17和18所述,適當(dāng)時(shí)可以執(zhí)行信任仲裁��,以便彌補(bǔ)驗(yàn)證 置信級(jí)別和該事務(wù)處理的所需驗(yàn)證級(jí)別之間已有的任意信任差距�����。
授信引擎110以用戶(hù)的私鑰簽署合同的散列���,并且在步驟1960 將這個(gè)簽署的散列發(fā)送給提供方�,其中代表自己簽署完整的消息�,即, 包括以授信引擎110的私鑰510加密的完整消息的散列(包括用戶(hù)的 簽名)��。由提供方在步驟1965接收這個(gè)消息�����。該消息代表簽署的合 同(使用用戶(hù)的私鑰加密的合同的散列)���,并且被從授信引擎110處 接收(使用授信引擎110的私鑰加密的包括簽署的合同的消息的散 列)��。
授信引擎110類(lèi)似地在步驟1970以提供方的私鑰準(zhǔn)備合同的散 列���,并且將由授信引擎110簽署的該散列轉(zhuǎn)發(fā)給用戶(hù)��。以這種方式�, 用戶(hù)還在步驟1975接收由提供方簽署的合同的拷貝���,以及授信引擎 110簽署的對(duì)簽署的合同的傳遞的收據(jù)�����。
除了上述之外���,本發(fā)明的 一個(gè)附加方面提供密碼服務(wù)提供商模塊(SPM),客戶(hù)機(jī)側(cè)應(yīng)用可以使用它作為訪問(wèn)由上述授信引擎IIO提 供的功能的手段�。提供這種服務(wù)的一種有利方法是密碼SPM調(diào)解第 三方應(yīng)用編程接口 (API)和可以通過(guò)網(wǎng)絡(luò)或其他遠(yuǎn)程連接訪問(wèn)的授 信引擎110之間的通信。下面參考圖20描述示例的密碼SPM����。
例如,在典型系統(tǒng)上�����,程序員可以使用若干API。每個(gè)API提 供可由運(yùn)行在系統(tǒng)上的應(yīng)用程序2000做出的一組函數(shù)調(diào)用����。提供適 合于密碼功能、驗(yàn)證功能和其他安全功能的編程接口的API的例子包 括由Microsoft以其Windows操作系統(tǒng)提供的Cryptographic API (CAPI) 2010和由IBM����、 Intel和其他開(kāi)放組織成員贊助的Common Data Security Architecture (CDSA)�����。將4吏用CAPI作為下面討論中的 示例安全API�。然而,還可將CDSA或本領(lǐng)域已知的其他安全API 用于所述的密碼SPM���。
當(dāng)對(duì)密碼功能進(jìn)行調(diào)用時(shí)由用戶(hù)系統(tǒng)105或提供方系統(tǒng)120使用 這個(gè)API���。這些功能可以包括與執(zhí)行各種密碼操作相關(guān)聯(lián)的請(qǐng)求,諸 如以特定密鑰加密文檔�����、簽署文檔、請(qǐng)求數(shù)字證書(shū)���、檢驗(yàn)簽署的文檔 上的簽名以及此處描述的或本領(lǐng)域技術(shù)人員已知的其他密碼功能�。
通常在CAPI 2010所在的系統(tǒng)上本地地執(zhí)4亍這些密碼功能���。這 是由于 一般調(diào)用的功能需要使用本地用戶(hù)系統(tǒng)105的資源諸如指紋讀 取器�����,或使用在本地機(jī)器上執(zhí)行的庫(kù)編寫(xiě)的軟件函數(shù)���。通常由上面涉 及的提供用于執(zhí)行密碼功能的資源的一個(gè)或多個(gè)服務(wù)提供商模塊 (SPM) 2015, 2020提供對(duì)這些本地資源的訪問(wèn)���。這些SPM可以包 括用于執(zhí)行加密或解密操作的軟件庫(kù)2 015 ����,或能夠訪問(wèn)專(zhuān)用硬件2025 諸如生物測(cè)定掃描設(shè)備的驅(qū)動(dòng)器和應(yīng)用程序2020��。在CAPI 2010提 供可由系統(tǒng)105的應(yīng)用程序2000 4吏用的功能的大部分方法中�����,SPM 2015, 2020給CAPI提供對(duì)與系統(tǒng)上的可用服務(wù)相關(guān)聯(lián)的底層功能和 資源的訪問(wèn)����。
根據(jù)本發(fā)明,可以提供密碼SPM 2030�,其能夠訪問(wèn)由授信引擎 110提供的密碼功能,并且通過(guò)CAPI 2010使得應(yīng)用程序2000可獲 得這些功能�����。不同于CAPI 2010僅能夠訪問(wèn)可通過(guò)SPM 2015�, 2020本地獲得的資源的實(shí)施例��,此處描述的密碼SPM 2030能夠?qū)?duì)密碼 操作的請(qǐng)求提交到位于遠(yuǎn)程的可網(wǎng)絡(luò)訪問(wèn)的授信引擎110,以便執(zhí)行 所希望的操作�����。
例如�����,如果應(yīng)用程序2000需要一種密碼操作�,諸如簽署文檔, 應(yīng)用程序2000對(duì)適當(dāng)?shù)腃API 2010函數(shù)進(jìn)行函數(shù)調(diào)用�����。CAPI 2010 又執(zhí)行這個(gè)函數(shù),使用通過(guò)SPM 2015���, 2020和密碼SPM 2030使其 可以獲得的資源���。在數(shù)字簽名功能的情況下,密碼SPM2030產(chǎn)生將 被在通信鏈路125上發(fā)送到授信引擎110的適當(dāng)?shù)恼?qǐng)求����。
蜜碼SPM 2030和授信引擎110之間發(fā)生的操作是可能出現(xiàn)在任 意其他設(shè)備和授信引擎110之間的相同操作。然而�����,通過(guò)CAPI2010 有效地使得用戶(hù)系統(tǒng)105可獲得這些功能�,從而它們看似可在用戶(hù)系 統(tǒng)105自身上本地獲得。然而�����,不同于普通的SPM 2015��, 2020�����,這 些功能被在遠(yuǎn)程授信引擎110上執(zhí)行,并且響應(yīng)通信鏈路125上的適 當(dāng)請(qǐng)求將結(jié)果傳遞到密碼SPM 2030��。
這個(gè)密碼SPM 2030使得用戶(hù)系統(tǒng)105或提供方系統(tǒng)120可以獲 得若干操作��,否則這些操作將不可獲得�����。這些功能包括但不限于文 檔加密和解密�����;數(shù)字證書(shū)頒發(fā)��;數(shù)字簽署文檔��;數(shù)字簽名的檢驗(yàn)��;以 及本領(lǐng)域技術(shù)人員明了的其他操作�。
在一個(gè)不同的實(shí)施例中�����,本發(fā)明包括用于對(duì)任意數(shù)據(jù)集合執(zhí)行本 發(fā)明的數(shù)據(jù)保護(hù)方法的完整系統(tǒng)。本實(shí)施例的計(jì)算機(jī)系統(tǒng)包括數(shù)據(jù)分 割模塊���,其包括圖8所示并且在此處所述的功能�����。在本發(fā)明的一個(gè)實(shí) 施例中�����,數(shù)據(jù)分割;漠塊���,某些時(shí)候在此處被稱(chēng)為安全數(shù)據(jù)解析器,包 括包含數(shù)據(jù)分割�����、加密和解密�、重新構(gòu)造或重新組裝功能的解析器程 序或軟件套件。這個(gè)實(shí)施例還可以包括一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施或多個(gè)數(shù)據(jù) 存儲(chǔ)設(shè)施�。數(shù)據(jù)分割模塊或安全數(shù)據(jù)解析器包括跨平臺(tái)軟件模塊套 件,其集成在電子基礎(chǔ)設(shè)施內(nèi)����,或作為需要其數(shù)據(jù)元素的終極安全的 任意應(yīng)用程序的附件����。這種解析處理對(duì)任意類(lèi)型的數(shù)據(jù)集合��,或任意 和全部文件類(lèi)型�����,或在數(shù)據(jù)庫(kù)中對(duì)任意行�、列或該數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)單 元進(jìn)行操作。
67在一個(gè)實(shí)施例中��,可按模塊層次方式設(shè)計(jì)本發(fā)明的解析處理�����,并 且任意加密處理適用于本發(fā)明的處理��。本發(fā)明的解析和分割處理的才莫 塊層次可以包括但不限于1)密碼分割�,分散并且安全存儲(chǔ)在多個(gè)位
置���;2)加密�����,密碼地分割�,分散并且安全存儲(chǔ)在多個(gè)位置;3)加密����, 密碼地分割,加密每一分�����,然后分散并且安全存儲(chǔ)在多個(gè)位置�;和4) 加密,密碼地分割��,以不同于第一步驟所使用的加密類(lèi)型加密每一分�����, 然后分散并且安全存儲(chǔ)在多個(gè)位置���。
在一個(gè)實(shí)施例中���,該處理包括根據(jù)產(chǎn)生的隨機(jī)數(shù)的內(nèi)容或密鑰分 割數(shù)據(jù),并且對(duì)用于加密將要被保護(hù)的數(shù)據(jù)的分割為解析和分割數(shù)據(jù) 的兩個(gè)或多個(gè)部分或份,并且在一個(gè)實(shí)施例中�����,優(yōu)選地分割為解析和 分割數(shù)據(jù)的四個(gè)或多個(gè)部分的密鑰執(zhí)行相同的密碼分割����,對(duì)所有部分 加密,然后根據(jù)請(qǐng)求人對(duì)私密性和安全性的要求��,分散這些部分并且 將其存儲(chǔ)回?cái)?shù)據(jù)庫(kù)�����,或?qū)⑺鼈冎匦露ㄎ坏饺我庵付ǖ墓潭ǖ幕蚩梢苿?dòng)
的設(shè)備��??商鎿Q地,在另一個(gè)實(shí)施例中��,加密可以發(fā)生在分割模塊或 安全數(shù)據(jù)解析器的數(shù)據(jù)集分割之前��。被如這個(gè)實(shí)施例中所述那樣處理 的原始數(shù)據(jù)被加密和擾亂并且獲得保護(hù)����。如果希望,加密元素的散布 實(shí)際上可以在任何位置�����,包括但不限于���,單個(gè)服務(wù)器或數(shù)據(jù)存儲(chǔ)設(shè)備���, 或在分離的數(shù)據(jù)存儲(chǔ)設(shè)施或設(shè)備之間。在一個(gè)實(shí)施例中加密密鑰管理 可以包括在軟件套件內(nèi)�����,或在另一個(gè)實(shí)施例中�,可被集成在已有的基 礎(chǔ)設(shè)施內(nèi)或任意其他所希望的位置。
密碼分割(cryptosplit)將數(shù)據(jù)劃分為N份�。劃分可以基于任意 大小的數(shù)據(jù)單元,包括單個(gè)位�����,多個(gè)位�,字節(jié),千字節(jié)�����,兆字節(jié),或 更大的單元�����,以及預(yù)定的或隨機(jī)產(chǎn)生的數(shù)據(jù)單元大小的任意模式或組 合��。該單元還可以具有基于一組隨機(jī)或預(yù)定值的不同大小��。這意味著 數(shù)據(jù)可被看成這些單元的一個(gè)序列��。以這種方式��,例如通過(guò)使用一個(gè) 或多個(gè)預(yù)定或隨機(jī)產(chǎn)生的模式�、序列或數(shù)據(jù)單元大小的組合,數(shù)據(jù)單 元自身的大小可以致使數(shù)據(jù)更安全����。然后這些單元(隨機(jī)地或通過(guò)預(yù) 定的一組值)凈皮分配到N份。這個(gè)分配還涉及混淆份中所述單元的順 序��。本領(lǐng)域的普通技術(shù)人員容易明了�,可以根據(jù)多種可能的選擇這些
68將數(shù)據(jù)單元分配到份中,包括但不限于固定大小�,預(yù)定大小����,或預(yù)定 或隨機(jī)產(chǎn)生的數(shù)據(jù)單元大小的一個(gè)或多個(gè)組合���、模式或序列。
密碼分割處理或cryptosplit的一個(gè)例子考慮23個(gè)字節(jié)大小的數(shù) 據(jù)�����,數(shù)據(jù)單元大小被選擇為l字節(jié)���,并且份數(shù)被選擇為4���。每個(gè)字節(jié) 將被分配到4份中的一份內(nèi)。假設(shè)隨機(jī)分配�,獲得一個(gè)密鑰以創(chuàng)建一 系列23個(gè)隨機(jī)數(shù)(rl, r2��, r3到r23 )���,每個(gè)具有相應(yīng)于4個(gè)份的1 到4之間的值���。每個(gè)數(shù)據(jù)單元(在這個(gè)例子中23個(gè)單獨(dú)的數(shù)據(jù)字節(jié)) 與相應(yīng)于4份之一的23個(gè)隨機(jī)數(shù)之一相關(guān)聯(lián)�����?����?梢酝ㄟ^(guò)將數(shù)據(jù)的第 一字節(jié)置于份數(shù)rl�����,字節(jié)2置于份數(shù)r2�,字節(jié)3置于份數(shù)r3�����,直到 將數(shù)據(jù)的第23個(gè)字節(jié)置于份數(shù)r23,發(fā)生將數(shù)據(jù)字節(jié)分配到4份中��。 本領(lǐng)域的普通技術(shù)人員容易明了�����,在本發(fā)明的密碼分割處理中可以4吏 用多種其他可能的步驟或步驟的組合或序列����,包括數(shù)據(jù)單元的大小����, 并且上述例子是對(duì)密碼分割數(shù)據(jù)的一個(gè)處理的非限制性描述���。為了重 新創(chuàng)建原始數(shù)據(jù)����,將執(zhí)行相反的操作�。
在本發(fā)明的密碼分割處理的另一個(gè)實(shí)施例中���, 一種密碼分割處理 的選擇是在份中提供足夠的冗余����,從而僅需要這些份的一個(gè)子集�,以 便將數(shù)據(jù)重新組裝或恢復(fù)為其原始或可用形式。作為非限制性例子�����, 可按"3 of 4"密碼分割進(jìn)行密碼分割�����,從而僅需要4份中的3份將數(shù)據(jù) 重新組裝或恢復(fù)為其原始或可用形式。這也稱(chēng)為"M of N密碼分割"��, 其中N是總份數(shù)�����,M至少比N小1��。本領(lǐng)域的普通技術(shù)人員容易明了�, 存在在本發(fā)明的密碼分割處理中創(chuàng)建這種冗余的許多可能。
在本發(fā)明的密碼分割處理的一個(gè)實(shí)施例中�����,每個(gè)數(shù)據(jù)單元被存儲(chǔ) 在兩個(gè)份-主份和備用份中����。使用上述的"3of4"密碼分割處理,可 以丟失任意一份����,并且由于僅需要總共4份中的3份,足以用未丟失 的數(shù)據(jù)單元重新組裝或恢復(fù)原始數(shù)據(jù)�����。如此處所述,產(chǎn)生相應(yīng)于所述 份之一的隨機(jī)數(shù)��。該隨機(jī)數(shù)被與一個(gè)數(shù)據(jù)單元相關(guān)聯(lián)�,并且被基于一 個(gè)密鑰存儲(chǔ)在相應(yīng)的份內(nèi)。在這個(gè)實(shí)施例中���,使用一個(gè)密鑰產(chǎn)生主和 備份份隨機(jī)數(shù)��。如此處針對(duì)本發(fā)明的密碼分割處理所描述的�����,產(chǎn)生等 于數(shù)據(jù)單元數(shù)目的從0到3的一組隨機(jī)數(shù)(還稱(chēng)為主份數(shù))。然后產(chǎn)生等于數(shù)據(jù)單元數(shù)目的從1到3的另一組隨機(jī)數(shù)(還稱(chēng)為備份份數(shù))��。 數(shù)據(jù)的每個(gè)單元然后被與主份數(shù)和備份份數(shù)相關(guān)聯(lián)���?����?商鎿Q地�,可以 產(chǎn)生少于數(shù)據(jù)單元數(shù)目的一組隨機(jī)數(shù)�����,并且重復(fù)該隨機(jī)數(shù)集合,但是 這將減少敏感數(shù)據(jù)的安全性����。主份數(shù)用于確定數(shù)據(jù)單元被存儲(chǔ)在哪個(gè) 份內(nèi)。備份份數(shù)被與主份數(shù)組合����,以便創(chuàng)建0和3之間的第三份數(shù), 并且這個(gè)數(shù)字用于確定將數(shù)據(jù)單元存儲(chǔ)在哪個(gè)份內(nèi)����。在這個(gè)例子中, 確定第三份數(shù)的等式為
(主份數(shù)+備份份數(shù))MOD 4 =第三份數(shù)
在上述實(shí)施例中�����,主份數(shù)為0和3之間并且備份份數(shù)在1和3 之間確保第三份數(shù)與主份數(shù)不同�。這導(dǎo)致將數(shù)據(jù)單元存儲(chǔ)在兩個(gè)不同 的份內(nèi)。本領(lǐng)域的普通技術(shù)人員容易明了���,除了此處公開(kāi)的實(shí)施例之 外�����,存在許多執(zhí)行冗余密碼分割和非冗余密碼分割的方法�。例如,可 以使用不同的算法混淆每個(gè)份內(nèi)的數(shù)據(jù)單元���。例如����,可以在將原始數(shù) 據(jù)分割為數(shù)據(jù)單元時(shí)�,或在將數(shù)據(jù)單元放置在份內(nèi)之后,或在份充滿 之后執(zhí)行這種數(shù)據(jù)單元混淆�����。
可以對(duì)任意大小的數(shù)據(jù)單元執(zhí)行此處描述的各種密碼分割處理 和數(shù)據(jù)混淆處理����,以及本發(fā)明的密碼分割和數(shù)據(jù)混淆方法的所有其他 實(shí)施例,包括但不限于小至單個(gè)位�����,多個(gè)位,字節(jié)���,千字節(jié)����,兆字 節(jié)或更大。
執(zhí)行此處描述的密碼分劉處理的 一 個(gè)源碼實(shí)施例的例子為 DATA[1:24-將被分割的數(shù)據(jù)的字節(jié)陣列 SHARES[O: 3; 1: 24-二維矩陣�,每一4亍表示一個(gè)份 RANDOM[l:24-在范圍0..3內(nèi)的陣列隨才幾數(shù)
51 = 1;
52 = l;
53 = l,.
54 = 1;
For J = 1 to 24 do Begin
70IF RANDOM[J[ ==0 then Begin
SHARES[l��,Sl] = DATA [J���;
Sl-Sl + 1;
End
ELSE IF RANDOM [J [ ==1 then Begin
SHARES2���, S2=DATA [J];
52 = S2 + 1; END
ELSE IF RANDOM [J [ ==2 then Begin
Shares[3�����,S3=data [J;
53 = S3 + 1; End
Else begin Shares[4�,S4] = data [J��;
54 = S4 + 1; End ; END;
執(zhí)行此處描述的密碼分割RAID處理的一個(gè)源碼實(shí)施例的例子
為
產(chǎn)生兩組數(shù)�����,PrimaryShare為0到3, BackupShare為lto3����。 然后以與上述的密碼分割相同的處理����,將每個(gè)數(shù)據(jù)單元放入 share[primaryshare [1J和share [ (primaryshare [1十backupshare [1)mod4���。該方法可被擴(kuò)縮至任意大小N,其中僅需要N-l份以便 恢復(fù)數(shù)據(jù)���。
加密的數(shù)據(jù)元素的檢索,重新組合����,重新組裝或重新構(gòu)造可以利 用任意數(shù)目的驗(yàn)證技術(shù),包括但不限于諸如指紋識(shí)別的生物測(cè)定���,臉部掃描�����,手掃描�,虹膜掃描�����,視網(wǎng)膜掃描,耳朵掃描��,血管模式識(shí)
別��,或DNA分析��。如果希望�,本發(fā)明的數(shù)據(jù)分割和/或解析器模塊可 被集成在各種基礎(chǔ)設(shè)施產(chǎn)品或應(yīng)用中����。
本領(lǐng)域已知的傳統(tǒng)加密技術(shù)依賴(lài)于一個(gè)或多個(gè)密鑰,所述密鑰用 于加密該數(shù)據(jù)并且使其在沒(méi)有該密鑰的情況下是不可使用的��。然而��, 數(shù)據(jù)保持完整無(wú)缺并且易受攻擊�。在一個(gè)實(shí)施例中,通過(guò)執(zhí)行加密文 件的密碼解析和分割為兩個(gè)或多個(gè)部分或份��,并且在另 一個(gè)實(shí)施例中
優(yōu)選地四個(gè)或更多份���,對(duì)每份數(shù)據(jù)增加另一層加密�,然后在不同的物 理和/或邏輯位置存儲(chǔ)這些份��,本發(fā)明的安全數(shù)據(jù)解析器解決了這個(gè)問(wèn) 題�。當(dāng)使用可移動(dòng)設(shè)備諸如數(shù)據(jù)存儲(chǔ)設(shè)備���,或是通過(guò)將一個(gè)或多個(gè)數(shù) 據(jù)份置于另一方的控制下,將份物理地移出系統(tǒng)時(shí)�,有效地排除了危 及受保護(hù)的數(shù)據(jù)的任意可能。
圖21中示出并且在下面描述了本發(fā)明的安全數(shù)據(jù)解析器的一個(gè) 實(shí)施例的例子以及如何利用它的例子����。然而,本領(lǐng)域的普通技術(shù)人員 容易明了��,除了下面非限制性的例子之外����,可以用各種方式使用本發(fā) 明的安全數(shù)據(jù)解析器。作為一種部署選擇并且在一個(gè)實(shí)施例中��,可以 帶有外部會(huì)話密鑰管理或會(huì)話密鑰的安全內(nèi)部存儲(chǔ)實(shí)現(xiàn)安全數(shù)據(jù)解 析器�。在實(shí)現(xiàn)上,產(chǎn)生用于保護(hù)應(yīng)用程序和加密目的的解析器主密鑰����。 還應(yīng)當(dāng)注意,將解析器主密鑰結(jié)合在獲得的受保護(hù)數(shù)據(jù)內(nèi)允許由工作 組�、企業(yè)或延及的人員(extended audience)內(nèi)的個(gè)體分享受保護(hù)數(shù) 據(jù)的靈活性。
如圖21所示,本發(fā)明的這個(gè)實(shí)施例示出了由安全數(shù)據(jù)解析器對(duì) 數(shù)據(jù)執(zhí)行的與解析的數(shù)據(jù)一起存儲(chǔ)會(huì)話主密鑰的處理的步驟
1. 產(chǎn)生會(huì)話主密鑰��,并且使用RS1流碼加密數(shù)據(jù)����。
2. 根據(jù)會(huì)話主密鑰的模式,將獲得的加密數(shù)據(jù)劃分為解析數(shù)據(jù)的 4份或部分�。
3. 在該方法的這個(gè)實(shí)施例中,將會(huì)話主密鑰和受保護(hù)的數(shù)據(jù)份一 起存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)中�����。根據(jù)解析器主密鑰的模式劃分會(huì)話主密鑰���,并 且將密鑰數(shù)據(jù)附加到加密的解析數(shù)據(jù)上。
724 .荻得的4份數(shù)據(jù)包含原始數(shù)據(jù)的加密部分以及會(huì)話主密鑰的部 分�����。為4個(gè)數(shù)據(jù)份中的每一個(gè)產(chǎn)生流碼密鑰���。
5.加密每一份��,然后將加密密鑰存儲(chǔ)在與加密的數(shù)據(jù)部分或份不 同的位置份1得到密鑰4�,份2得到密鑰1,份3得到密鑰2���,份4 得到密鑰3����。
為了恢復(fù)原始數(shù)據(jù)格式�����,反轉(zhuǎn)上述步驟�。
本領(lǐng)域的普通技術(shù)人員容易明了,如果希望�����,可以按不同的順序 或可以多次重復(fù)執(zhí)行此處描述的方法的某些步驟����。本領(lǐng)域技術(shù)人員還 容易明了可以彼此不同地處理數(shù)據(jù)的各個(gè)部分。例如��,可以?xún)H對(duì)解析 的數(shù)據(jù)的一個(gè)部分執(zhí)行多個(gè)解析步驟����。只要數(shù)據(jù)可被重新組裝����,重新 構(gòu)造�����,重整��,解密或恢復(fù)為其原始或其他可用形式����,可以用任意所希 望的方法唯一地保護(hù)解析數(shù)據(jù)中的每一部分。
如圖22所示并且如此處所述�����,本發(fā)明的另一個(gè)實(shí)施例包括由安 全數(shù)據(jù)解析器對(duì)數(shù)據(jù)執(zhí)行的用于將會(huì)話主密鑰存儲(chǔ)在一個(gè)或多個(gè)分 離的密鑰管理表內(nèi)的處理的步驟:
1. 產(chǎn)生會(huì)話主密鑰����,并且使用RS1流碼加密數(shù)據(jù)���。
2. 根據(jù)會(huì)話主密鑰的模式�����,將獲得的加密數(shù)據(jù)劃分為解析數(shù)據(jù)的 4份或部分�����。
3. 在該方法的這個(gè)實(shí)施例中�,將會(huì)話主密鑰存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)中的 單獨(dú)的密鑰管理表內(nèi)。產(chǎn)生這個(gè)事務(wù)處理的唯一事務(wù)處理ID�����。將事務(wù) 處理ID和會(huì)話主密鑰存儲(chǔ)在單獨(dú)的密鑰管理表內(nèi)�。根據(jù)解析器主密 鑰的模式劃分事務(wù)處理ID,并且將該數(shù)據(jù)附加到加密的解析或劃分?jǐn)?shù) 據(jù)上�。
4. 獲得的4份數(shù)據(jù)包含原始數(shù)據(jù)的加密部分以及事務(wù)處理ID部分。
5. 為4份數(shù)據(jù)中的每一份產(chǎn)生流碼密鑰��。
6. 加密每一份���,然后將加密密鑰存儲(chǔ)在與加密的數(shù)據(jù)部分或份不 同的位置份1得到密鑰4��,份2得到密鑰1�����,份3得到密鑰2����,份4 得到密鑰3。
73為了恢復(fù)原始數(shù)據(jù)格式���,反轉(zhuǎn)上述步驟�。
本領(lǐng)域的普通技術(shù)人員容易明了�����,如果希望����,可以按不同的順序 或可以多次重復(fù)執(zhí)行此處描述的方法的某些步驟。本領(lǐng)域技術(shù)人員還 容易明了可以彼此不同地處理數(shù)據(jù)的各個(gè)部分�����。例如���,可以?xún)H對(duì)解析 的數(shù)據(jù)的一個(gè)部分執(zhí)行多個(gè)劃分或解析步驟。只要數(shù)據(jù)可被重新組 裝��,重新構(gòu)造����,重整�����,解密或恢復(fù)為其原始或其他可用形式�����,可以用 任意所希望的方法唯一地保護(hù)解析數(shù)據(jù)的每一部分����。
如圖23所示���,本發(fā)明的這個(gè)實(shí)施例示出了由安全數(shù)據(jù)解析器對(duì) 數(shù)據(jù)執(zhí)行的用于與解析數(shù)據(jù)一起存儲(chǔ)會(huì)話主密鑰的處理的步驟
1. 存取與經(jīng)驗(yàn)證的用戶(hù)相關(guān)聯(lián)的解析器主密鑰���。
2. 產(chǎn)生唯一的會(huì)話主密鑰。
3. 根據(jù)解析器主密鑰和會(huì)話主密鑰的異或函數(shù)導(dǎo)出中間密鑰��。
4. 以中間密鑰為密鑰�����,使用已有或新的加密算法可選擇地加密數(shù)據(jù)���。
5. 根據(jù)中間密鑰的模式�,將獲得的可選擇地加密的數(shù)據(jù)劃分為 解析數(shù)據(jù)的4份或部分。
6. 在該方法的這個(gè)實(shí)施例中���,將會(huì)話主密鑰與受保護(hù)的數(shù)據(jù)份一 起存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)內(nèi)�����。根據(jù)解析器主密鑰的模式劃分會(huì)話主密鑰���,并 且將密鑰數(shù)據(jù)附加到可選擇地加密的解析數(shù)據(jù)上。
7. 獲得的多份數(shù)據(jù)包含原始數(shù)據(jù)的可選擇地加密的部分以及會(huì) 話主密鑰的部分��。
8. 可選擇地為4份數(shù)據(jù)中的每一份產(chǎn)生加密密鑰��。
9. 可選擇地以已有或新的加密算法加密每一份���,然后將加密密鑰 存儲(chǔ)在與加密的數(shù)據(jù)部分或份不同的位置例如�����,份1得到密鑰4, 份2得到密鑰1���,份3得到密鑰2�����,份4得到密鑰3����。
為了恢復(fù)原始數(shù)據(jù)格式,反轉(zhuǎn)上述步驟�����。
本領(lǐng)域的普通技術(shù)人員容易明了�����,如果希望�,可以按不同的順序 或可以多次重復(fù)執(zhí)行此處描述的方法的某些步驟。本領(lǐng)域技術(shù)人員還 容易明了可以彼此不同地處理數(shù)據(jù)的各個(gè)部分��。例如�,可以?xún)H對(duì)解析的數(shù)據(jù)的一個(gè)部分執(zhí)行多個(gè)解析步驟。只要數(shù)據(jù)可被重新組裝���,重新 構(gòu)造��,重整��,解密或恢復(fù)為其原始或其他可用形式���,可以用任意所希 望的方法唯一地保護(hù)解析數(shù)據(jù)的每一部分����。
如圖24所示并且如此處所述�,本發(fā)明的另一個(gè)實(shí)施例包括由安 全數(shù)據(jù)解析器對(duì)數(shù)據(jù)執(zhí)行的用于將會(huì)話主密鑰存儲(chǔ)在一個(gè)或多個(gè)分 離的密鑰管理表內(nèi)的處理的步驟
1. 存取與經(jīng)驗(yàn)證的用戶(hù)相關(guān)聯(lián)的解析器主密鑰。
2. 產(chǎn)生唯一的會(huì)話主密鑰�。
3. 根據(jù)解析器主密鑰和會(huì)話主密鑰的異或函數(shù)導(dǎo)出中間密鑰。
4. 以中間密鑰為密鑰�����,使用已有或新的加密算法可選擇地加密數(shù)據(jù)�����。
5. 根據(jù)中間密鑰的模式����,將獲得的可選擇地加密的數(shù)據(jù)劃分為 解析數(shù)據(jù)的4份或部分。
6. 在該方法的這個(gè)實(shí)施例中,將會(huì)話主密鑰存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)中的 分離的密鑰管理表內(nèi)�����。產(chǎn)生這個(gè)事務(wù)處理的唯一事務(wù)處理ID����。將事務(wù) 處理ID和會(huì)話主密鑰存儲(chǔ)在單獨(dú)的密鑰管理表內(nèi)�����,或?qū)?huì)話主密鑰 和事務(wù)處理ID傳回調(diào)用程序以便進(jìn)行外部管理���。根據(jù)解析器主密鑰 的模式劃分事務(wù)處理ID���,并且將該數(shù)據(jù)附加到加密的解析或劃分?jǐn)?shù)據(jù) 上。
7. 獲得的4份數(shù)據(jù)包含原始數(shù)據(jù)的可選擇地加密的部分以及事務(wù) 處理ID的部分�。
8. 可選擇地為4份數(shù)據(jù)中的每一份產(chǎn)生加密密鑰。
9. 可選擇地加密每一份��,然后將加密密鑰存儲(chǔ)在與加密的數(shù)據(jù)部 分或份不同的位置例如�����,份1得到密鑰4,份2得到密鑰1�����,份3 得到密鑰2�����,份4得到密鑰3��。
為了恢復(fù)原始數(shù)據(jù)格式�����,反轉(zhuǎn)上述步驟�����。
本領(lǐng)域的普通技術(shù)人員容易明了�,如果希望,可以按不同的順序 或可以多次重復(fù)執(zhí)行此處描述的方法的某些步驟�����。本領(lǐng)域技術(shù)人員還 容易明了可以彼此不同地處理數(shù)據(jù)的各個(gè)部分��。例如,可以?xún)H對(duì)解析
75的數(shù)據(jù)的一個(gè)部分執(zhí)行多個(gè)劃分或解析步驟���。只要數(shù)據(jù)可被重新組裝�,重新構(gòu)造����,重整����,解密或恢復(fù)為其原始或其他可用形式,可以用任意所希望的方法唯一地保護(hù)解析數(shù)據(jù)的每一部分��。
本領(lǐng)域的普通技術(shù)人員容易明了 ��,各種加密方法適用于本發(fā)明的
方法�����。One Time Pad算法通常被認(rèn)為是最安全的加密方法之一��,并且適用于本發(fā)明的方法�����。使用One Time Pad算法需要產(chǎn)生與將被保護(hù)的數(shù)據(jù)一樣長(zhǎng)的密鑰。在某些情況下可能不太希望使用這個(gè)方法�,諸如由于將被保護(hù)的數(shù)據(jù)集的大小導(dǎo)致產(chǎn)生和管理非常長(zhǎng)的密鑰的情況。在One Time Pad (OTP)算法中��,使用簡(jiǎn)單的異或���。對(duì)于相同長(zhǎng)度的兩個(gè)二進(jìn)制流x和y����, xXORy意味著x和y的位異或��。
在位的級(jí)別產(chǎn)生
0 XOR 0 = 0
0 XOR1 = 1
1XOR 0 = 1
1XOR1=0
此處針對(duì)將被分割的n字節(jié)秘密s (或數(shù)據(jù)集)描述這個(gè)處理的例子�����。該處理將產(chǎn)生n字節(jié)的隨機(jī)值a�����,并且然后設(shè)置b = a XOR s
注意可以通過(guò)下面的等式導(dǎo)出"s":s = a XOR b
a和b的值被稱(chēng)為份或部分���,并且被放置在分離的倉(cāng)庫(kù)中�����。 一旦秘密s被分割為兩個(gè)或多個(gè)份��,它將被以安全的方式丟棄�。
本發(fā)明的安全數(shù)據(jù)解析器可以利用這個(gè)功能,執(zhí)行結(jié)合多個(gè)不同秘密密鑰值Kl��, K2����, K3, Kn, K5的多個(gè)XOR函數(shù)�����。在該操作的開(kāi)始�����,對(duì)將被保護(hù)的數(shù)據(jù)進(jìn)行第一加密操作����,安全數(shù)據(jù)-數(shù)據(jù)XOR秘���、密密鑰5:
S = D XOR K5
為了例如在4份S1�, S2, S3�, Sn中安全地存儲(chǔ)獲得的加密數(shù)據(jù),根據(jù)K5的值將該數(shù)據(jù)解析和分割為"n"段或份���。這個(gè)操作導(dǎo)致原始加
76密數(shù)據(jù)的"n"個(gè)偽隨機(jī)份��??梢杂檬S嗟拿孛苊荑€值對(duì)每一份執(zhí)行后續(xù)的XOR函數(shù)��,例如安全數(shù)據(jù)分段1 =加密的數(shù)據(jù)份1 XOR秘密密鑰1:
SD1 = SI XOR Kl
SD2 = S2 XOR K2
SD3 = S3 XOR K3
SDn = Sn XOR Kn
在一個(gè)實(shí)施例中���,可能不希望任意一個(gè)倉(cāng)庫(kù)包含足夠的信息以便解密保持的信息�,從而將解密該份所需的密鑰存儲(chǔ)在不同的數(shù)據(jù)倉(cāng)庫(kù)內(nèi)
Depository 1: SD1��, KnDepository 2: SD2, KlDepository 3: SD3, K2Depository n: SDn��, K3
另夕卜���,可將檢索原始會(huì)話加密密鑰K5所需的信息附加到每個(gè)份��。因此��,在此處描述的密鑰管理例子中���,以根據(jù)與安裝相關(guān)的解析器主密鑰(TID1�, TID2��, TID3����, TIDn )分割為"n"份的事務(wù)處理ID引用原始會(huì)話主密鑰
Depository 1: SD1, Kn, TID1
Depository 2: SD2����, KI, TID2
Depository 3: SD3�, K2, TID3
Depository n: SDn�����, K3�, TIDn.
在此處所述的結(jié)合的會(huì)話密鑰例子中���,根據(jù)與安裝相關(guān)的解析器主密鑰(SK1��, SK2, SK3��, SKn)的內(nèi)容將會(huì)話主密鑰分割為"n"份D印ository 1: SD1�, Kn, SK1Depository 2: SD2, Kl���, SK2Depository 3: SD3��, K2����, SK3Depository n: SDn��, K3����, SKn.
除非檢索全部4份,根據(jù)這個(gè)例子不能重新組裝數(shù)據(jù)���。即使捕獲了全部4份�,在不能訪問(wèn)會(huì)話主密鑰和解析器主密鑰的情況下���,也不可能重新組裝或恢復(fù)原始信息���。
這個(gè)例子已經(jīng)描述了本發(fā)明的方法的一個(gè)實(shí)施例����,并且還在另一個(gè)實(shí)施例中描述了用于將份放置在倉(cāng)庫(kù)中�,從而可以組合所有倉(cāng)庫(kù)中的份以便形成保密驗(yàn)證材料的算法。所需的計(jì)算非常簡(jiǎn)單并且快速���。然而��,采用One Time Pad(OTP)算法���,由于密鑰大小與被存儲(chǔ)的數(shù)據(jù)的大小相同,可能存在使其不太合意的情況���,諸如保護(hù)大的數(shù)據(jù)集���。因此,可能需要存儲(chǔ)和傳輸大約兩倍于原始數(shù)據(jù)的數(shù)量�����,在某些情況下這是不希望的�����。
流碼RS1
流碼RS1分割技術(shù)非常類(lèi)似于此處描述的OTP分割技術(shù)�。取代n字節(jié)隨機(jī)值,產(chǎn)生n����,-miii (n, 16)字節(jié)的隨機(jī)值,并且用于作為RS1流碼算法的密鑰�����。RS1流碼算法的優(yōu)點(diǎn)是從非常小的種子數(shù)產(chǎn)生偽隨機(jī)密鑰��。另外在不危及安全性的情況下�,RS1流碼算法加密的執(zhí)行速度被認(rèn)為是現(xiàn)有技術(shù)中公知的三重DES加密的速度的大約10倍。RS1流碼算法是本領(lǐng)域公知的�����,并且可被用于產(chǎn)生在XOR函數(shù)中使用的密鑰�。RS1流碼算法可以與其他商業(yè)可獲得的流碼算法互操作,諸如RSA Security公司的RC4TM流碼算法�����,并且適用于本發(fā)明的方法。
使用上面的密鑰符號(hào)�,Kl到K5現(xiàn)在是n字節(jié)的隨機(jī)值,并且
設(shè)置
SD1 = Sl XOR E(K1)SD2 = S2 XOR E(K2)SD3 = S3 XOR E(K3)SDn = Sn XOR E(Kn)
其中E(K1)到E(Kn)是以Kl到Kn為密鑰的RS1流碼算法的輸出的前n個(gè)字節(jié)�����。如此處所述��,份現(xiàn)在被放置在數(shù)據(jù)倉(cāng)庫(kù)內(nèi)����。
在這個(gè)流碼RS1算法中,所需的計(jì)算近似與OTP算法一樣簡(jiǎn)單且快速���。使用RS1流碼的這個(gè)例子的益處是系統(tǒng)僅需要存儲(chǔ)和傳輸多
78于每份要保護(hù)的原始數(shù)據(jù)的大小的平均大約16個(gè)字節(jié)�。當(dāng)原始數(shù)據(jù)的大小多于16字節(jié)時(shí)��,這種RS1算法比OTP算法更有效����,這簡(jiǎn)單地是由于它更短。本領(lǐng)域的普通技術(shù)人員容易明了各種加密方法或算法適用于本發(fā)明��,包括但不限于RS1��, OTP, RC4TM��, Triple DES和AES���。
本發(fā)明的數(shù)據(jù)安全方法和計(jì)算機(jī)系統(tǒng)相對(duì)于傳統(tǒng)加密方法存在多個(gè)主要優(yōu)點(diǎn)��。 一個(gè)優(yōu)點(diǎn)是得自于將數(shù)據(jù)的份移動(dòng)到可以位于不同的邏輯����、物理或地理位置的一個(gè)或多個(gè)數(shù)據(jù)倉(cāng)庫(kù)或存儲(chǔ)設(shè)備上的不同位置的安全性���。當(dāng)例如物理地分割數(shù)據(jù)的份并且置于不同人員的控制下時(shí)�,極大地減小了危及數(shù)據(jù)安全的可能性��。
本發(fā)明的方法和系統(tǒng)所提供的另 一個(gè)優(yōu)點(diǎn)是組合本發(fā)明的用于保護(hù)數(shù)據(jù)的方法的步驟��,以提供保持敏感數(shù)據(jù)安全性的綜合處理�。使用安全密鑰加密數(shù)據(jù),并且根據(jù)該安全密鑰將其分割為一個(gè)或多個(gè)份����,并且在一個(gè)實(shí)施例中分割為4份。以被根據(jù)一個(gè)安全密鑰保護(hù)在4個(gè)份內(nèi)的引用指針安全地存儲(chǔ)安全密鑰�。單獨(dú)加密數(shù)據(jù)份�����,并且將密鑰安全地存儲(chǔ)在不同的加密的份�����。當(dāng)被組合時(shí)��,根據(jù)此處公開(kāi)的方法的用于保護(hù)數(shù)據(jù)的整個(gè)處理成為用于數(shù)據(jù)安全的綜合程序包(package)�。
根據(jù)本發(fā)明的方法保護(hù)的數(shù)據(jù)可被容易地檢索和恢復(fù)��,重新組成�����,重新組裝�����,解密或返回其原始或其他適合使用的形式�。為了恢復(fù)原始數(shù)據(jù),可以利用下面的項(xiàng)目
1. 數(shù)據(jù)集的所有份或部分����。
2. 再現(xiàn)用于保護(hù)該數(shù)據(jù)的方法的處理流的知識(shí)和能力��。
3. 訪問(wèn)會(huì)話主密鑰���。
4. 訪問(wèn)解析器主密鑰�。
因此,可能希望規(guī)劃安全安裝��,其中上述元素中的至少一個(gè)可以被物理地與系統(tǒng)的其余組件分離(例如在不同的系統(tǒng)管理員的控制下)�����。
可以通過(guò)使用解析器主密鑰增強(qiáng)調(diào)用數(shù)據(jù)安全方法應(yīng)用程序的
79對(duì)抗詐騙應(yīng)用程序的保護(hù)��。在采取任意活動(dòng)之前�,在本發(fā)明的這個(gè)實(shí)施例中可能需要安全數(shù)據(jù)解析器和該應(yīng)用程序之間的互驗(yàn)證握手。
系統(tǒng)的安全性要求不存在用于重建原始數(shù)據(jù)的"后門(mén)����,,方法�。對(duì)于可能產(chǎn)生數(shù)據(jù)恢復(fù)問(wèn)題的裝置,可以增強(qiáng)安全數(shù)據(jù)解析器以便提供所
述4個(gè)份和會(huì)話主密鑰倉(cāng)庫(kù)的鏡像�。諸如RAID (用于將信息分散在若干盤(pán)上的廉價(jià)盤(pán)冗余陣列)的硬件選擇和諸如復(fù)制的軟件選擇也可以幫助數(shù)據(jù)恢復(fù)規(guī)劃。密鑰管理
在本發(fā)明的一個(gè)實(shí)施例中�����,數(shù)據(jù)保護(hù)方法使用用于加密操作的三組密鑰?��;诎惭b���,每組密鑰可以具有單獨(dú)的密鑰存儲(chǔ)、檢索�����、安全性和恢復(fù)選擇���?��?梢允褂玫拿荑€包括但不限于
解析器主密鑰
這個(gè)密鑰是與安全數(shù)據(jù)解析器的安裝相關(guān)聯(lián)的單個(gè)密鑰。其被安裝在其上部署了安全數(shù)據(jù)解析器的服務(wù)器上�����。存在適用于保護(hù)這個(gè)密鑰的各種選擇�,包括但不限于例如,智能卡�,單獨(dú)的硬件密鑰存儲(chǔ)���,標(biāo)準(zhǔn)密鑰存儲(chǔ),定制密鑰存儲(chǔ)��,或在受保護(hù)的數(shù)據(jù)庫(kù)表內(nèi)����。
會(huì)話主密鑰
每次保護(hù)數(shù)據(jù)時(shí)可以產(chǎn)生會(huì)話主密鑰�。會(huì)話主密鑰用于在解析和分割操作之前加密數(shù)據(jù)。它還可被作為解析加密數(shù)據(jù)的一種裝置結(jié)合(如果會(huì)話主密鑰未被集成在解析數(shù)據(jù)內(nèi))�。可以用各種方式保護(hù)會(huì)話主密鑰�����,包括但不限于���,例如標(biāo)準(zhǔn)密鑰存儲(chǔ)��,定制密鑰存儲(chǔ)����,單獨(dú)的數(shù)據(jù)庫(kù)表�����,或保護(hù)在加密的份內(nèi)。
份加密密鑰
對(duì)于創(chuàng)建的數(shù)據(jù)集的每一份或幾部分��,可以產(chǎn)生單獨(dú)的份加密密鑰以便進(jìn)一步加密該份���。份加密密鑰可被存儲(chǔ)在與被加密的份不同的份內(nèi)�。
本領(lǐng)域的普通技術(shù)人員容易明了 ��,本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)廣泛地適用于任意設(shè)置或環(huán)境中的任意類(lèi)型的數(shù)據(jù)����。除了在Internet上或在顧客和提供方之間進(jìn)行的商業(yè)應(yīng)用之外,本發(fā)明的數(shù)
80據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)可高度適用于非商業(yè)或私有設(shè)置或環(huán)境�����?���??以使用此處描述的方法和系統(tǒng)保護(hù)希望相對(duì)于任意未授權(quán)用戶(hù)受到 保護(hù)的任意數(shù)據(jù)集。例如�,通過(guò)采用用于保護(hù)數(shù)據(jù)的本發(fā)明的方法和 系統(tǒng),可以有利地將對(duì)公司或組織內(nèi)的特定數(shù)據(jù)庫(kù)的訪問(wèn)僅局限到選 擇的用戶(hù)。另一個(gè)例子是文檔的產(chǎn)生���,修改或訪問(wèn)����,其中希望限制訪 問(wèn)或阻止未授權(quán)或意外訪問(wèn)或 一組選擇的個(gè)體��、計(jì)算機(jī)或工作站之外 的公開(kāi)��。本發(fā)明的數(shù)據(jù)保護(hù)方法和系統(tǒng)被應(yīng)用于任意非商業(yè)或商業(yè)環(huán) 境或任意設(shè)置的設(shè)置的這些和其他例子包括但不限于任意組織�����、政府 機(jī)構(gòu)或公司���。
在本發(fā)明的另 一個(gè)實(shí)施例中,數(shù)據(jù)保護(hù)方法使用用于加密操作的 三組密鑰�����?���;诎惭b,每組密鑰可以具有單獨(dú)的密鑰存儲(chǔ)、檢索�����、安
全性和恢復(fù)選擇����。可以使用的密鑰包括但不限于 L解析器主密鑰
這個(gè)密鑰是與安全數(shù)據(jù)解析器的安裝相關(guān)聯(lián)的單個(gè)密鑰��。它被安 裝在其上部署了安全數(shù)據(jù)解析器的服務(wù)器上��。存在適用于保護(hù)這個(gè)密 鑰的各種選擇���,包括但不限于例如�,智能卡�����,單獨(dú)的硬件密鑰存儲(chǔ) 器�����,標(biāo)準(zhǔn)密鑰存儲(chǔ)器��,定制密鑰存儲(chǔ)器,或在受保護(hù)的數(shù)據(jù)庫(kù)表內(nèi)�����。
2. 會(huì)話主密鑰
每次保護(hù)數(shù)據(jù)時(shí)可以產(chǎn)生會(huì)話主密鑰��。結(jié)合解析器主密鑰使用會(huì) 話主密鑰以便導(dǎo)出中間密鑰����。可以用各種方式保護(hù)會(huì)話主密鑰��,包括 但不限于�,例如標(biāo)準(zhǔn)密鑰存儲(chǔ)器,定制密鑰存儲(chǔ)器����,單獨(dú)的數(shù)據(jù)庫(kù)表�, 或保護(hù)在加密的份內(nèi)。
3. 中間密鑰
每次保護(hù)數(shù)據(jù)時(shí)可以產(chǎn)生中間密鑰��。中間密鑰用于在解析和分割 操作之前加密數(shù)據(jù)�。它還可被作為解析加密數(shù)據(jù)的裝置結(jié)合。 份加密密鑰
對(duì)于創(chuàng)建的數(shù)據(jù)集的每一份或幾部分����,可以產(chǎn)生單獨(dú)的份加密密 鑰以便進(jìn)一步加密該份�����。份加密密鑰可被存儲(chǔ)在與被加密的份不同的 份內(nèi)��。本領(lǐng)域的普通技術(shù)人員容易明了 ��,本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算 機(jī)系統(tǒng)廣泛地適用于任意設(shè)置或環(huán)境中的任意類(lèi)型的數(shù)據(jù)����。除了在
Internet上或在顧客和提供方之間進(jìn)行的商業(yè)應(yīng)用之外����,本發(fā)明的數(shù) 據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)可高度適用于非商業(yè)或私人設(shè)置或環(huán)境?���??以使用此處描述的方法和系統(tǒng)保護(hù)希望相對(duì)于任意未授權(quán)用戶(hù)受到 保護(hù)的任意數(shù)據(jù)集。例如�,通過(guò)采用用于保護(hù)數(shù)據(jù)的本發(fā)明的方法和 系統(tǒng),可以有利地將對(duì)公司或組織內(nèi)的特定數(shù)據(jù)庫(kù)的訪問(wèn)僅局限到選 擇的用戶(hù)���。另一個(gè)例子是文檔的產(chǎn)生����、修改或訪問(wèn),其中希望限制訪 問(wèn)或阻止未授權(quán)或意外訪問(wèn)或一組選擇的個(gè)體���、計(jì)算機(jī)或工作站之外 的公開(kāi)�。本發(fā)明的數(shù)椐保護(hù)方法和系統(tǒng)適用于任意非商業(yè)或商業(yè)環(huán)境 或任意設(shè)置的設(shè)置���,包括但不限于�����,任意組織����,政府機(jī)構(gòu)或公司的方 式的這些和其他例子����。
工作組,工程�����,單個(gè)PC/膝上計(jì)算機(jī)或跨平臺(tái)數(shù)據(jù)安全 本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)還可用于工作組��,工程���,單 個(gè)PC/膝上計(jì)算機(jī)���,以及在例如商業(yè)、辦公室��、政府機(jī)構(gòu)中使用的任 意其他平臺(tái)��,或創(chuàng)建��、處理或存儲(chǔ)敏感數(shù)據(jù)的任意設(shè)置的數(shù)據(jù)保護(hù)����。
本發(fā)明提供了已知被諸如美國(guó)政府的組織所追求的在整個(gè)政府組織 或州或聯(lián)邦級(jí)別政府之間實(shí)現(xiàn)的用于保護(hù)數(shù)據(jù)的方法和計(jì)算機(jī)系統(tǒng)。
本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)提供了不僅能夠解析和分 割平坦文件�����,而且能夠解析和分割數(shù)據(jù)字段�、集合和/或任意類(lèi)型的表 的能力。另外���,能夠在這個(gè)處理下保護(hù)所有形式的數(shù)據(jù)��,包括但不限 于�,文本,視頻����,圖像,生物測(cè)定和語(yǔ)音數(shù)據(jù)�。本發(fā)明的數(shù)據(jù)保護(hù)方 法的可伸縮性,速度和數(shù)據(jù)吞吐率僅受用戶(hù)有權(quán)支配的硬件的限制����。
在本發(fā)明的一個(gè)實(shí)施例中,如下所述在工作組環(huán)境中利用該數(shù)據(jù) 保護(hù)方法��。在一個(gè)實(shí)施例中��,如圖23所示并且如下所述���,本發(fā)明的 工作組級(jí)數(shù)據(jù)保護(hù)方法使用TrustEngine的私鑰管理功能����,以便存儲(chǔ) 用戶(hù)/組關(guān)系和一組用戶(hù)共享安全數(shù)據(jù)所必須的相關(guān)私鑰(解析器組主 密鑰)�����。取決于如何部署解析器主密鑰�����,本發(fā)明的方法具有保護(hù)企業(yè)���、 工作組或個(gè)體用戶(hù)的數(shù)據(jù)的能力���。
82在一個(gè)實(shí)施例中,可以提供附加的密鑰管理和用戶(hù)/組管理程序�����, 使得能夠?qū)崿F(xiàn)具有單個(gè)管理和密鑰管理點(diǎn)的大規(guī)模工作組�。由單個(gè)維 護(hù)程序處理密鑰產(chǎn)生,管理和撤銷(xiāo)��,隨著用戶(hù)數(shù)目的增加�,全部這些 將變得尤其重要。在另一個(gè)實(shí)施例中��,還可以通過(guò)一個(gè)或幾個(gè)不同的 系統(tǒng)管理員建立密鑰管理����,在需要時(shí)這可以不允許任意一個(gè)人和組控 制數(shù)據(jù)�。這允許按由組織定義的角色��、責(zé)任����、成員資格、權(quán)利等獲得 對(duì)受保護(hù)數(shù)據(jù)的管理�,并且可將對(duì)受保護(hù)數(shù)據(jù)的訪問(wèn)限制到僅為被允 許或需要的人以便僅能訪問(wèn)其所工作的部分,而其他人諸如管理人或 執(zhí)行人可以訪問(wèn)所有受保護(hù)的數(shù)據(jù)���。這個(gè)實(shí)施例允許在公司或組織內(nèi) 不同組之間共享受保護(hù)的數(shù)據(jù)���,而同時(shí)僅允許某些選擇的個(gè)人,諸如 具有授權(quán)和預(yù)定角色和責(zé)任的人觀看整體數(shù)據(jù)����。另外,本發(fā)明的方法 和系統(tǒng)的實(shí)施例還允許在例如需要某種共享但可能不是允許任意一 方訪問(wèn)所有數(shù)據(jù)的不同公司�,或公司的不同部門(mén)或單位,或任意不同 的組織部門(mén)��,團(tuán)體�����,機(jī)構(gòu),或任意政府或組織或任意類(lèi)型的辦公室等 之間共享數(shù)據(jù)�����。對(duì)本發(fā)明的這種方法和系統(tǒng)的需求和利用的特定明顯 例子是例如在政府區(qū)域�����、機(jī)構(gòu)和辦公室之間��,以及在大型公司或任意 其他組織的不同單位�、部門(mén)或辦公室之間允許共享但是保持安全性���。
本發(fā)明的方法在較小規(guī)模上的適用性的例子如下�����。將解析器主密
鑰用作安全數(shù)據(jù)解析器對(duì)于組織的序列化或印記(branding)����。當(dāng)對(duì) 解析器主密鑰的使用規(guī)模從整個(gè)企業(yè)減小到較小的工作組時(shí)����,此處描 述的數(shù)據(jù)保護(hù)方法被用于在用戶(hù)組內(nèi)共享文件�����。
在圖25所示并且在下面所述的例子中��,存在6個(gè)用戶(hù)�����,他們被 定義有組織內(nèi)的頭銜或角色����。側(cè)條表示用戶(hù)根據(jù)其角色可能所屬的5 個(gè)可能的組���。箭頭表示用戶(hù)在一個(gè)或多個(gè)組中的成員資格�。
當(dāng)為在這個(gè)例子中的使用配置安全數(shù)據(jù)解析器時(shí)��,系統(tǒng)管理員通 過(guò)維護(hù)程序從操作系統(tǒng)中訪問(wèn)用戶(hù)和組信息�。這個(gè)維護(hù)程序基于用戶(hù) 在組中的成員資格產(chǎn)生并且給用戶(hù)分配解析器組主密鑰。
在這個(gè)例子中�,高級(jí)職員組中有三個(gè)成員。對(duì)于這個(gè)組�,活動(dòng)是
1.訪問(wèn)高級(jí)職員組的解析器組主密鑰(如果不可獲得則產(chǎn)生密鑰)���;
2. 產(chǎn)生將CEO與高級(jí)職員組相關(guān)聯(lián)的數(shù)字證書(shū);
3. 產(chǎn)生將CFO與高級(jí)職員組相關(guān)聯(lián)的數(shù)字證書(shū)�����;
4. 產(chǎn)生將副總裁�、銷(xiāo)售與高級(jí)職員組相關(guān)聯(lián)的數(shù)字證書(shū)。 可以為每個(gè)組和每個(gè)組內(nèi)的每個(gè)成員進(jìn)行相同組活動(dòng)����。當(dāng)維護(hù)程
序完成時(shí)�,解析器組主密鑰成為組的每個(gè)成員的共享憑證。當(dāng)通過(guò)維 護(hù)程序?qū)⒂脩?hù)從組中刪除時(shí)��,可以自動(dòng)地進(jìn)行分配的數(shù)字證書(shū)的撤 銷(xiāo)�,而不會(huì)影響組中的其余成員。
一旦定義了共享憑證�����,解析和分割處理保持相同���。當(dāng)要保護(hù)文件�����, 文檔或數(shù)據(jù)元素時(shí)�,提示用戶(hù)保護(hù)該數(shù)據(jù)時(shí)所使用的目標(biāo)組。獲得的 受保護(hù)的數(shù)據(jù)僅可由該目標(biāo)組的其他成員訪問(wèn)��。本發(fā)明的方法和系統(tǒng) 的這種功能可被用于任意其他計(jì)算機(jī)系統(tǒng)或軟件平臺(tái)���,并且可被例如 集成到已有的應(yīng)用程序中����,或?yàn)榱宋募踩珕为?dú)使用��。
本領(lǐng)域的普通技術(shù)人員任意明了 �,任意 一 個(gè)加密算法或加密算法 組合適用于本發(fā)明的方法和系統(tǒng)。例如�,在一個(gè)實(shí)施例中,可以重復(fù) 加密步驟以便產(chǎn)生多層加密方案���。另外��,可以在重復(fù)的加密步驟中使 用不同的加密算法或加密算法組合��,從而將不同的加密算法應(yīng)用于多 層加密方案的不同層���。這樣�����,加密方案本身可以成為用于針對(duì)未授權(quán) 使用或訪問(wèn)保護(hù)敏感數(shù)據(jù)的本發(fā)明的方法的 一個(gè)組成部分�����。
可以作為內(nèi)部組件����、作為外部組件��、或作為錯(cuò)誤檢測(cè)組件包括安 全數(shù)據(jù)解析器����。例如��,在一種適合的方法中�,當(dāng)使用根據(jù)本發(fā)明的安 全數(shù)據(jù)解析器創(chuàng)建數(shù)據(jù)的多個(gè)部分,以便確保一個(gè)部分內(nèi)的數(shù)據(jù)的完 整性時(shí)��,在該部分內(nèi)以預(yù)定的間隔取散列值��,并且將其附加到該間隔 的末尾。該散列值是數(shù)據(jù)的可預(yù)測(cè)并且可再現(xiàn)的數(shù)字表示����。如果數(shù)據(jù) 中任意位發(fā)生改變,該散列值將不同����。掃描模塊(作為安全數(shù)據(jù)解析 器之外的獨(dú)立組件或作為安全數(shù)據(jù)解析器的內(nèi)部組件)可以掃描由安 全數(shù)據(jù)解析器產(chǎn)生的數(shù)據(jù)的所述部分。將數(shù)據(jù)的每個(gè)部分(或可替換 地��,根據(jù)某個(gè)間隔�,或通過(guò)隨機(jī)或偽隨機(jī)采樣,不是數(shù)據(jù)的所有部分) 與附加的散列值或多個(gè)值進(jìn)行比較���,并且可以采取一種動(dòng)作����。該動(dòng)作
84可以包括對(duì)匹配或不匹配的值的報(bào)告��,對(duì)不匹配的值的報(bào)警�����,或調(diào)用 某個(gè)外部或內(nèi)部程序以便觸發(fā)數(shù)據(jù)恢復(fù)���。例如����,可以基于這樣的概念 通過(guò)調(diào)用恢復(fù)模塊執(zhí)行數(shù)據(jù)恢復(fù)��,即,根據(jù)本發(fā)明可能不是需要所有 部分以產(chǎn)生原始數(shù)據(jù)��。
可以使用附加到所有數(shù)據(jù)部分或數(shù)據(jù)部分的子集內(nèi)的任意位置 的任意適合的完整性信息實(shí)現(xiàn)任意其他適合的完整性檢查���。完整性信 息可以包括可用于確定數(shù)據(jù)部分的完整性的任意適合的信息��。完整性 信息的例子可以包括基于任意適合的參數(shù)計(jì)算的散列值(例如���,基于
各個(gè)數(shù)據(jù)部分),數(shù)字簽名信息�����,消息驗(yàn)證碼(MAC)信息����,任意其 他適合的信息���,或其任意組合�����。
本發(fā)明的安全數(shù)據(jù)解析器可用于任意適合的應(yīng)用中��。即���,此處描 述的安全數(shù)據(jù)解析器具有不同計(jì)算領(lǐng)域和技術(shù)中的各種應(yīng)用�。下面討 論幾個(gè)這種領(lǐng)域��。應(yīng)當(dāng)理解這些僅是說(shuō)明的性質(zhì)�,并且任意其他適合 的應(yīng)用可以使用該安全數(shù)據(jù)解析器。還應(yīng)當(dāng)理解����,描述的例子僅是說(shuō) 明性的實(shí)施例,可以用任意適合的方式對(duì)其進(jìn)行修改以便滿足任意適 合的要求��。例如�,解析和分割可以基于任意適合的單元,諸如按位��、 按字節(jié)、按千字節(jié)���、按兆����、按其任意組合����、或按任意其他適合的單元。
本發(fā)明的安全數(shù)據(jù)解析器可用于實(shí)現(xiàn)安全物理標(biāo)記����,從而可以請(qǐng) 求存儲(chǔ)在物理標(biāo)記中的數(shù)據(jù),以便訪問(wèn)存儲(chǔ)在另 一個(gè)存儲(chǔ)區(qū)域內(nèi)的附 加數(shù)據(jù)�����。在一種適合的方法中����,物理標(biāo)記,諸如小型USB閃存驅(qū)動(dòng) 器����、軟盤(pán)、光盤(pán)���、智能卡、或任意其他適合的物理標(biāo)記可被用于存儲(chǔ) 根據(jù)本發(fā)明的解析數(shù)據(jù)的至少兩個(gè)部分中的一個(gè)部分��。為了訪問(wèn)原始 數(shù)據(jù)�����,需要訪問(wèn)該USB閃存驅(qū)動(dòng)器���。因此��,在可以訪問(wèn)原始數(shù)據(jù)之 前�,保持解析數(shù)據(jù)的一個(gè)部分的個(gè)人計(jì)算機(jī)需要附加具有解析數(shù)據(jù)的 另一部分的USB閃存驅(qū)動(dòng)器����。圖26示出了這種應(yīng)用。存儲(chǔ)區(qū)域2500 包括解析數(shù)據(jù)的一個(gè)部分2502����。需要使用任意適合的通信接口 2508 (例如,USB���,串行���,并行����,藍(lán)牙���,紅外線���,IEEE 1394,以太網(wǎng)或 任意其他適合的通信接口 )將具有解析數(shù)據(jù)的一個(gè)部分2506的物理 標(biāo)記2504連接到存儲(chǔ)區(qū)域2500�,以便訪問(wèn)原始數(shù)據(jù)。這在敏感數(shù)據(jù)單獨(dú)保留在計(jì)算機(jī)上�,并且易遭受未授權(quán)訪問(wèn)嘗試的情況下是有用
的。通過(guò)移去物理標(biāo)記(例如��,USB閃存驅(qū)動(dòng)器)�����,不可訪問(wèn)敏感數(shù) 據(jù)��。應(yīng)當(dāng)理解���,可以使用用于使用物理標(biāo)記任意其他適合方法���。
本發(fā)明的安全數(shù)據(jù)解析器可用于實(shí)現(xiàn)安全驗(yàn)證系統(tǒng),從而使用安 全數(shù)據(jù)解析器解析和分割用戶(hù)的登記數(shù)據(jù)(例如���,口令��、私人加密密 鑰����、指紋樣板��、生物測(cè)定數(shù)據(jù)或任意其他適合的用戶(hù)登記數(shù)據(jù))�。可 以解析和分割用戶(hù)登記數(shù)據(jù)�����,從而將其一個(gè)或多個(gè)部分存儲(chǔ)在智能 卡�、政府通用訪問(wèn)卡、任意適合的物理存儲(chǔ)設(shè)備(例如�,磁或光盤(pán)、 USB鑰匙驅(qū)動(dòng)器等)或任意其他適合設(shè)備上��。解析的用戶(hù)登記數(shù)據(jù)一 個(gè)或多個(gè)其他部分可被存儲(chǔ)在執(zhí)行驗(yàn)證的系統(tǒng)上。被解析的用戶(hù)登記 數(shù)據(jù)的一個(gè)或多個(gè)部分可以被存儲(chǔ)在執(zhí)行驗(yàn)證的系統(tǒng)中��。這給驗(yàn)證處 理提供了附加級(jí)別的安全性(例如��,除了從生物測(cè)定來(lái)源獲得的生物 測(cè)定驗(yàn)證信息之外�����,還必須通過(guò)適當(dāng)?shù)慕馕龊头指顢?shù)據(jù)部分獲得用戶(hù) 登記數(shù)據(jù))��。
本發(fā)明的安全數(shù)據(jù)解析器可^f皮集成到任意適合的已有系統(tǒng)內(nèi)��,以 便在每個(gè)系統(tǒng)的相應(yīng)環(huán)境中提供對(duì)其功能的使用����。圖27示出了示例 系統(tǒng)2600的方框圖,其可以包括軟件�,硬件或用于實(shí)現(xiàn)任意適合應(yīng) 用的這兩者。系統(tǒng)2600可以是已有系統(tǒng)����,其中安全數(shù)據(jù)解析器2602 可被改進(jìn)為集成組件?���?商鎿Q地��,安全數(shù)據(jù)解析器2602可被例如在 其最早設(shè)計(jì)階段集成到任意適合的系統(tǒng)2600內(nèi)��。安全數(shù)據(jù)解析器2602 可被集成到系統(tǒng)2600的任意適合級(jí)別����。例如�����,安全數(shù)據(jù)解析器2602 可被集成在充分后端級(jí)別�����,從而安全數(shù)據(jù)解析器2602的存在對(duì)于系 統(tǒng)2600的端用戶(hù)可能大體是透明的���。根據(jù)本發(fā)明安全數(shù)據(jù)解析器2602 可被用于在一個(gè)或多個(gè)存儲(chǔ)設(shè)備2604間解析和分割數(shù)據(jù)。下面討論 其中集成了安全數(shù)據(jù)解析器的系統(tǒng)的某些說(shuō)明性例子����。
本發(fā)明的安全數(shù)據(jù)解析器可被集成到操作系統(tǒng)內(nèi)核中(例如, Linux, Unix或其他適合的商業(yè)或?qū)S貌僮飨到y(tǒng))���。這種集成可用于 在設(shè)備級(jí)保護(hù)數(shù)據(jù)�,從而例如通常存儲(chǔ)在一個(gè)或多個(gè)設(shè)備內(nèi)的數(shù)據(jù)被 集成到操作系統(tǒng)內(nèi)的安全數(shù)據(jù)解析器劃分為某個(gè)數(shù)目的部分,并且被
86存儲(chǔ)在一個(gè)或多個(gè)設(shè)備間�。當(dāng)試圖訪問(wèn)原始數(shù)據(jù)時(shí),同樣被集成到操 作系統(tǒng)內(nèi)的適當(dāng)軟件可以用可能對(duì)端用戶(hù)透明的方式將解析的數(shù)據(jù) 部分重組為原始數(shù)據(jù)����。
本發(fā)明的安全數(shù)據(jù)解析器可被集成到巻管理器或存儲(chǔ)系統(tǒng)的任 意其他適合的組件內(nèi),以便跨任意或所有支持的平臺(tái)保護(hù)本地和聯(lián)網(wǎng) 的數(shù)據(jù)存儲(chǔ)���。例如����,采用集成的安全數(shù)據(jù)解析器�����,存儲(chǔ)系統(tǒng)可以使用 由安全數(shù)據(jù)解析器提供的冗余(即����,該冗余用于實(shí)現(xiàn)需要比數(shù)據(jù)的全 部分離部分少的部分以便重構(gòu)原始數(shù)據(jù)的特征)以便防止數(shù)據(jù)丟失。 安全數(shù)據(jù)解析器還允許寫(xiě)入存儲(chǔ)設(shè)備的所有數(shù)據(jù)�����,不論是否使用冗 余����,處于根據(jù)本發(fā)明的解析產(chǎn)生的多個(gè)部分的形式�。當(dāng)試圖訪問(wèn)原始 數(shù)據(jù)時(shí)����,同樣集成到巻管理器或存儲(chǔ)系統(tǒng)的其他適當(dāng)組件內(nèi)的適當(dāng)軟 件可以用對(duì)端用戶(hù)可能為透明的方式將解析的數(shù)據(jù)部分重組為原始 數(shù)據(jù)�����。
在一種適合的方法中���,本發(fā)明的安全數(shù)據(jù)解析器可被集成到
RAID控制器內(nèi)(作為硬件或軟件)。這允許數(shù)據(jù)到多個(gè)驅(qū)動(dòng)器的安 全存儲(chǔ)�,同時(shí)在驅(qū)動(dòng)器故障的情況下保持容錯(cuò)性�����。
本發(fā)明的安全數(shù)據(jù)解析器可被集成到數(shù)據(jù)庫(kù)內(nèi),以便例如保護(hù)敏 感表格信息����。例如����,在一種適合的方法中����,可以根據(jù)本發(fā)明解析和劃 分(例如���,不同部分被存儲(chǔ)在位于一個(gè)或多個(gè)位置的一個(gè)或多個(gè)存儲(chǔ) 設(shè)備上或單個(gè)存儲(chǔ)設(shè)備上)與數(shù)據(jù)庫(kù)表的特定單元相關(guān)聯(lián)的數(shù)據(jù)(例 如���,各個(gè)單元�����, 一個(gè)或多個(gè)特定列�, 一個(gè)或多個(gè)特定行�,其任意組合, 或整個(gè)數(shù)據(jù)庫(kù)表)�。可以按傳統(tǒng)的驗(yàn)證方法批準(zhǔn)訪問(wèn)重組部分以便觀 看原始數(shù)據(jù)(例如��,用戶(hù)名和口令詢(xún)問(wèn))。
本發(fā)明的安全數(shù)據(jù)解析器可被集成到涉及運(yùn)動(dòng)中數(shù)據(jù)的任意適 當(dāng)系統(tǒng)內(nèi)(即�����,數(shù)據(jù)從一個(gè)位置到另一個(gè)位置的傳輸)���。這種系統(tǒng)包 括�,例如�,電子郵件,流數(shù)據(jù)廣播�,以及無(wú)線(例如WiFi)通信。 對(duì)于電子郵件���,在一個(gè)適合的方法中����,安全解析器可用于解析外出消 息(即����,包含文本、二進(jìn)制數(shù)據(jù)或這兩者(例如�,附加到電子郵件消 息的文件)),并且沿不同路徑發(fā)送解析的數(shù)據(jù)的不同部分�,從而創(chuàng)建多個(gè)數(shù)據(jù)流�。如果這些數(shù)據(jù)流中的任意一個(gè)受到危及��,由于根據(jù)本 發(fā)明系統(tǒng)可能需要組合多于 一 個(gè)部分以便產(chǎn)生原始數(shù)據(jù)��,原始消息保 持安全����。在另一個(gè)適當(dāng)?shù)姆椒ㄖ校梢匝刂粋€(gè)路徑順序地傳輸不同 數(shù)據(jù)部分�����,從而如果獲得了一個(gè)部分�����,其不足以產(chǎn)生原始數(shù)據(jù)��。不同 部分到達(dá)預(yù)期接收方的位置��,并且可被根據(jù)本發(fā)明組合以便產(chǎn)生原始 數(shù)據(jù)�。
圖28和29是這種電子郵件系統(tǒng)的說(shuō)明性方框圖���。圖28示出了 發(fā)送方系統(tǒng)2700����,其可以包括任意適合的硬件,諸如計(jì)算機(jī)終端�,個(gè) 人計(jì)算機(jī),手持設(shè)備(例如�,PDA,黑莓),蜂窩電話����,計(jì)算機(jī)網(wǎng)絡(luò), 任意適合的石更件���,或其任意組合�����。發(fā)送方系統(tǒng)2700用于產(chǎn)生和/或存 儲(chǔ)消息2704�����,消息2704可以是例如電子郵件消息�,二進(jìn)制數(shù)據(jù)文件 (例如����,圖形�,語(yǔ)音����,視頻等)或這兩者。安全數(shù)據(jù)解析器2702根 據(jù)本發(fā)明解析和分割消息2704�。可以在網(wǎng)絡(luò)2708上(例如���,Internet, 內(nèi)聯(lián)網(wǎng)�����,LAN, WiFi,藍(lán)牙����,任意其他適合的硬布線或無(wú)線通信裝置����, 或其任意組合)通過(guò)一個(gè)或多個(gè)分離的通信路徑2706將結(jié)果數(shù)據(jù)部 分傳遞到接收方系統(tǒng)2710。數(shù)據(jù)部分可被在時(shí)間上并行地傳遞�,或可 替換地,根據(jù)不同數(shù)據(jù)部分的傳遞之間的任意適合的時(shí)間延遲傳遞��。 如上面關(guān)于發(fā)送方2700所描述的�,接收方系統(tǒng)2710可以是任意適合 的硬件。根據(jù)本發(fā)明在接收方系統(tǒng)2710重組在通信路徑2706上傳送 的分離的數(shù)據(jù)部分�,以便產(chǎn)生原始消息或數(shù)據(jù)。
圖29示出了發(fā)送方系統(tǒng)2800�����,其可以包括任意適合的硬件�����,諸 如計(jì)算機(jī)終端�����,個(gè)人計(jì)算機(jī)�����,手持設(shè)備(例如����,PDA),蜂窩電話, 計(jì)算機(jī)網(wǎng)絡(luò)���,任意適合的硬件����,或其任意組合。發(fā)送方系統(tǒng)2800用 于產(chǎn)生和/或存儲(chǔ)消息2804,消息2804可以是例如電子郵件消息���,二 進(jìn)制數(shù)據(jù)文件(例如���,圖形,語(yǔ)音�����,視頻等)或這兩者�����。安全數(shù)據(jù)解 析器2802根據(jù)本發(fā)明解析和分割消息2804�����?��?梢栽诰W(wǎng)絡(luò)2808上(例 如�����,Internet,內(nèi)聯(lián)網(wǎng)����,LAN, WiFi,藍(lán)牙�����,任意其他適合的通信裝 置���,或其任意組合)通過(guò)單個(gè)通信路徑2806將結(jié)果數(shù)據(jù)部分傳遞到 接收方系統(tǒng)2810����??梢栽谕ㄐ怕窂?806上相對(duì)于彼此串行地傳遞數(shù)
88據(jù)部分。如上面關(guān)于發(fā)送方2800所描述的���,接收方系統(tǒng)2810可以是 任意適合的硬件����。根據(jù)本發(fā)明在接收方系統(tǒng)2810處重組在通信路徑 2806上傳送的分離的數(shù)據(jù)部分�����,以便產(chǎn)生原始消息或數(shù)據(jù)。
應(yīng)當(dāng)理解�����,圖28和29的布置僅是說(shuō)明性的��??梢允褂萌我馄渌?適合的布置。例如�����,在另一個(gè)適合的方法中�,可以組合圖28和29的 系統(tǒng)的特征,從而使用圖28的多路徑方法����,并且其中通信路徑2706 中的一個(gè)或多個(gè)如圖29的上下文中的通信路徑2806那樣用于傳遞多 于一個(gè)的數(shù)據(jù)部分。
安全數(shù)據(jù)解析器可被集成到運(yùn)動(dòng)中數(shù)據(jù)(data-in motion)系統(tǒng) 的任意適合級(jí)別����。例如,在電子郵件系統(tǒng)的上下文中�����,安全解析器可 被集成到用戶(hù)接口層(例如,集成到Microsoft Outlook),在該情 況下����,用戶(hù)在使用電子郵件時(shí)可以控制對(duì)安全數(shù)據(jù)解析器特征的使 用?�?商鎿Q地�����,安全數(shù)據(jù)解析器可被集成到后端組件諸如在交換服務(wù) 器�,在該情況下����,可以根據(jù)本發(fā)明自動(dòng)解析、分割和沿不同路徑傳遞 消息而不需要任何用戶(hù)干涉���。
類(lèi)似地����,在數(shù)據(jù)流廣播的情況下(例如��,音頻,視頻)��,可將外 出的數(shù)據(jù)解析和分割為多個(gè)流�,每個(gè)流包含解析的數(shù)據(jù)的一部分?���??以沿著一個(gè)或多個(gè)路徑傳遞多個(gè)流,并且根據(jù)本發(fā)明在接收方的位置 進(jìn)行重組�。這種方法的一個(gè)益處是其避免了相對(duì)大的與傳統(tǒng)數(shù)據(jù)加密 并且接著在單個(gè)通信通道上傳輸加密的數(shù)據(jù)相關(guān)聯(lián)的開(kāi)銷(xiāo)。本發(fā)明的 安全解析器允許在多個(gè)并行流發(fā)送運(yùn)動(dòng)中數(shù)據(jù)��,這增加了速度和效 率��。
應(yīng)當(dāng)理解���,可以集成安全數(shù)據(jù)解析器以便保護(hù)和容錯(cuò)通過(guò)任意傳 輸介質(zhì)的任意類(lèi)型的運(yùn)動(dòng)中數(shù)據(jù)�����,包括例如����,有線���,無(wú)線或物理的傳 輸介質(zhì)����。例如,Internet上的語(yǔ)音協(xié)議(VoIP)應(yīng)用可以使用本發(fā)明 的安全數(shù)據(jù)解析器���?���?梢允褂帽景l(fā)明的安全數(shù)據(jù)解析器保護(hù)來(lái)自或到 諸如黑莓和智能電話的任意適合的個(gè)人數(shù)字助理(PDA)設(shè)備的有線 或無(wú)線數(shù)據(jù)傳輸��。使用用于點(diǎn)到點(diǎn)和基于集線器的無(wú)線網(wǎng)絡(luò)的無(wú)線 802.11協(xié)議的通信����、衛(wèi)星通信�����、點(diǎn)到點(diǎn)無(wú)線線通信����、Internet客戶(hù)機(jī)/
89服務(wù)器通信或任意其他適合的通信可以涉及根據(jù)本發(fā)明的安全數(shù)據(jù) 解析器的運(yùn)動(dòng)中數(shù)據(jù)的能力。計(jì)算機(jī)外圍設(shè)備(例如����,打印機(jī)���,掃描 儀,監(jiān)視器�,鍵盤(pán),網(wǎng)絡(luò)路由器�����,生物測(cè)定驗(yàn)證設(shè)備(例如���,指紋掃 描器)或任意其他適合的外圍設(shè)備)之間的�,計(jì)算機(jī)與計(jì)算機(jī)外圍設(shè) 備之間的�,計(jì)算機(jī)外圍設(shè)備和任意其他適合的設(shè)備之間的數(shù)據(jù)通信或 其任意組合可以使用本發(fā)明的運(yùn)動(dòng)中數(shù)據(jù)特征。
使用例如分離的路線��、交通工具�、方法、任意其他適合的物理運(yùn) 輸或其任意組合�����,本發(fā)明的運(yùn)動(dòng)中數(shù)據(jù)特征還可應(yīng)用于安全份的物理 運(yùn)輸���。例如�,數(shù)據(jù)的物理運(yùn)輸可以發(fā)生在數(shù)字/磁帶,軟盤(pán)����,光盤(pán),物
理標(biāo)記���,USB驅(qū)動(dòng)器����,可移動(dòng)硬件驅(qū)動(dòng)器����,具有閃存的消費(fèi)電子設(shè)備 (例如,Apple IPOD或其他MP3播放器)���,閃存,用于傳輸數(shù)據(jù)的 任意其他適合的介質(zhì)或其任意組合上����。
本發(fā)明的安全數(shù)據(jù)解析器可以提供具有災(zāi)難恢復(fù)能力的安全性。 根據(jù)本發(fā)明�,可不必須需要由安全數(shù)據(jù)解析器產(chǎn)生的分離數(shù)據(jù)的所有 部分就可以取回原始數(shù)據(jù)���。即,在存儲(chǔ)的m個(gè)部分中�,需要這些m 個(gè)部分中的最少n個(gè)數(shù)目以便取回原始數(shù)據(jù),其中n<=m����。例如,如 果4個(gè)部分中的每一個(gè)相對(duì)于其他3個(gè)部分存儲(chǔ)在不同的物理位置��, 則如果在這個(gè)例子中n-2����,這些位置中的兩個(gè)可能受到了危及從而數(shù) 據(jù)被毀壞或不可訪問(wèn),可能仍可以從另外兩個(gè)位置的部分中取回原始 數(shù)據(jù)��??梢允褂萌我膺m合的n, m值�。
另外,本發(fā)明的m個(gè)特征中的n個(gè)可用于創(chuàng)建"兩人規(guī)則"����,以 便防止將對(duì)可能是敏感數(shù)據(jù)的內(nèi)容的完整訪問(wèn)權(quán)委托給單個(gè)個(gè)體或 任意其他實(shí)體,每個(gè)具有以本發(fā)明的安全解析器解析的劃分?jǐn)?shù)據(jù)的一 部分的一個(gè)或兩個(gè)不同的實(shí)體可能需要同意將它們的部分放置在一 起���,以便取回原始數(shù)據(jù)���。
本發(fā)明的安全數(shù)據(jù)解析器可用于給一組實(shí)體提供組范圍密鑰�,組 范圍密鑰允許組成員訪問(wèn)由特定組授權(quán)訪問(wèn)的特定信息�。組密鑰可以 是根據(jù)本發(fā)明的安全解析器產(chǎn)生的數(shù)據(jù)部分之一,可能需要它以便與 集中存儲(chǔ)的另一部分組合例如以檢索尋找的信息�����。該特征允許例如組
90中的安全合作��。它可被應(yīng)用于例如專(zhuān)用網(wǎng)絡(luò)����,虛擬私有網(wǎng)絡(luò),內(nèi)聯(lián)網(wǎng)�����, 或任意其他適合的網(wǎng)絡(luò)����。
安全解析器的這種用途的特定應(yīng)用包括例如聯(lián)合信息共享��,其中 例如給予多個(gè)國(guó)際友好政府軍隊(duì)在授權(quán)給各個(gè)國(guó)家的安全級(jí)別上在 單個(gè)網(wǎng)絡(luò)或?qū)ε季W(wǎng)絡(luò)(即,與當(dāng)前使用的涉及相對(duì)基本上手工處理的 許多網(wǎng)絡(luò)相比)傳遞運(yùn)算和其他敏感數(shù)據(jù)的能力�����。這種能力還適用于 公司或其他組織��,其中可以在單個(gè)網(wǎng)絡(luò)上傳遞一個(gè)或多個(gè)特定個(gè)體 (組織內(nèi)或之外)需要知道的信息�,而不需擔(dān)心未授權(quán)的個(gè)體觀看該 信息。
另一個(gè)特定應(yīng)用包括政府系統(tǒng)的多級(jí)安全層次�。即,本發(fā)明的安 全解析器可以提供使用單個(gè)網(wǎng)絡(luò)以不同分類(lèi)信息級(jí)別(例如�,未分類(lèi), 分類(lèi)的�����,秘密�����,機(jī)密)運(yùn)轉(zhuǎn)政府系統(tǒng)的能力����。如果希望,可以使用多 個(gè)網(wǎng)絡(luò)(例如,用于機(jī)密的單獨(dú)網(wǎng)絡(luò))�,但是本發(fā)明允許比當(dāng)前為每 個(gè)分類(lèi)級(jí)別使用單獨(dú)網(wǎng)絡(luò)少得多的布置。
可以使用本發(fā)明的安全解析器的上述應(yīng)用的任意組合��。例如�,組 密鑰應(yīng)用可與運(yùn)動(dòng)中數(shù)據(jù)安全應(yīng)用一起使用(即,在網(wǎng)絡(luò)上傳遞的數(shù) 據(jù)僅能被相應(yīng)組的成員訪問(wèn)��,并且當(dāng)數(shù)據(jù)處于運(yùn)動(dòng)中時(shí)�����,它被根據(jù)本 發(fā)明分割到多個(gè)路徑中(或以順序部分發(fā)送))�。
本發(fā)明的安全數(shù)據(jù)解析器可被集成到任意中間件應(yīng)用,以便使得 應(yīng)用能夠安全地將數(shù)據(jù)存儲(chǔ)到不同數(shù)據(jù)庫(kù)產(chǎn)品����,或存儲(chǔ)到不同設(shè)備而 不用修改應(yīng)用或數(shù)據(jù)庫(kù)。中間件是用于允許兩個(gè)單獨(dú)并且已存在的程 序通信的任意產(chǎn)品的術(shù)語(yǔ)���。例如���,在一個(gè)適合的方法中,可以使用集 成了安全數(shù)據(jù)解析器的中間件����,以便允許為特定數(shù)據(jù)庫(kù)編寫(xiě)的程序與 沒(méi)有定制編碼的其他數(shù)據(jù)庫(kù)通信。
可以實(shí)現(xiàn)具有任意適合功能(諸如此處討論的那些)的任意組合 的本發(fā)明的安全數(shù)據(jù)解析器�。在本發(fā)明的某些實(shí)施例中,例如����,可以 實(shí)現(xiàn)僅具有某些功能的安全數(shù)據(jù)解析器,而可以通過(guò)使用直接或間接 與安全數(shù)據(jù)解析器接口的外部軟件�����,硬件或這兩者獲得其他功能�����。
例如圖30以安全數(shù)據(jù)解析器3000示出了安全數(shù)據(jù)解析器的說(shuō)明性實(shí)現(xiàn)�����。安全數(shù)據(jù)解析器3000可被實(shí)現(xiàn)為具有非常少的內(nèi)置功能�。 如所示出的,安全數(shù)據(jù)解析器3000可以包括用于根據(jù)本發(fā)明使用模 塊3002將數(shù)據(jù)解析和分割為數(shù)據(jù)部分(此處還稱(chēng)為份)的內(nèi)置功能���。 安全數(shù)據(jù)解析器3000還可以包括用于使用模塊3004執(zhí)行冗余�,以便 能夠?qū)崿F(xiàn)例如上述m of n特征的內(nèi)置功能(即,使用少于全部解析和 分割的數(shù)據(jù)創(chuàng)建原始數(shù)據(jù))�����。安全數(shù)據(jù)解析器3000還可以包括份分 配功能�����,其使用模塊3006以便根據(jù)本發(fā)明將數(shù)據(jù)份放置在緩沖區(qū)內(nèi)�, 從緩沖區(qū)發(fā)送數(shù)據(jù)份,以便傳遞到遠(yuǎn)程位置進(jìn)行存儲(chǔ)等�����。應(yīng)當(dāng)理解��, 任意其他適合的功能可被內(nèi)置在安全數(shù)據(jù)解析器3000內(nèi)�。
組裝數(shù)據(jù)緩沖區(qū)3008可以是用于存儲(chǔ)將被安全數(shù)據(jù)解析器3000 解析和分割的原始數(shù)據(jù)(雖然不必處于其原始形式)的任意適合的存 儲(chǔ)器。在分割操作中��,組裝數(shù)據(jù)緩沖區(qū)3008給安全數(shù)據(jù)解析器3008 提供輸入�����。在恢復(fù)操作中����,組裝數(shù)據(jù)緩沖區(qū)3008用于存儲(chǔ)安全數(shù)據(jù) 解析器3000的輸出��。
分割份緩沖區(qū)3010可以是一個(gè)或多個(gè)存儲(chǔ)器模塊���,其可用于存 儲(chǔ)通過(guò)解析和分割原始數(shù)據(jù)而獲得的數(shù)據(jù)的多個(gè)份�����。在分割操作中�, 分割份緩沖區(qū)3010保持安全數(shù)據(jù)解析器的輸出。在恢復(fù)操作中��,分 割份緩沖區(qū)保持安全數(shù)據(jù)解析器3000的輸入�。
應(yīng)當(dāng)理解,安全數(shù)據(jù)解析器3000中可以?xún)?nèi)置任意其他適合的布 置���??梢?xún)?nèi)置任意附加的特征����,并且可以去除任意示出的特征,使其 更可靠���,減少可靠性���,或以任意適合的方式進(jìn)行修改���。緩沖區(qū)3008 和3010僅是說(shuō)明性的,并且可被以任意適合的方式修改�����,刪除�,或 添力口。
以軟件�,硬件或這兩者實(shí)現(xiàn)的任意適合的模塊可被稱(chēng)為或稱(chēng)作安 全數(shù)據(jù)解析器3000。如果希望����,甚至可以用一個(gè)或多個(gè)外部模塊取代 內(nèi)置于安全數(shù)據(jù)解析器3000的功能。如所示出的��,某些外部模塊包 括隨機(jī)數(shù)產(chǎn)生器3012���,密碼反饋密鑰產(chǎn)生器3014����,散列算法3016, 任意一種或幾種加密3018���,以及密鑰管理3020����。應(yīng)當(dāng)理解這些僅是 說(shuō)明性的外部模塊�。除了所示模塊之外或取代所示模塊,可以使用任意其他適合的模塊��。
密碼反饋密鑰產(chǎn)生器3014可以在安全數(shù)據(jù)解析器3000外部地為每個(gè)安全數(shù)據(jù)解析器操作產(chǎn)生唯一密鑰或隨機(jī)數(shù)(使用例如隨機(jī)數(shù)產(chǎn)生器3012)����,該密鑰或隨機(jī)數(shù)被用作將原始會(huì)話密鑰大小擴(kuò)展到等于將被解析和劃分的數(shù)據(jù)的長(zhǎng)度的值(例如�����,128�, 256, 512或1024位的值)的操作的種子值�����。任意適合算法可被用于密碼反饋密鑰產(chǎn)生���,包括例如�����,AES密碼反饋密鑰產(chǎn)生算法�。
為了便于將安全數(shù)據(jù)解析器3000和其外部模塊(即,安全數(shù)據(jù)解析器層3026)集成到應(yīng)用層3024 (例如���,電子郵件應(yīng)用�����,數(shù)據(jù)庫(kù)應(yīng)用等)����,可以使用例如可以使用API函數(shù)的包裝層�����?����?梢允褂胠更于將安全數(shù)據(jù)解析器層3026集成到應(yīng)用層3024中的任意其他適合的布置�。
圖31說(shuō)明性地示出了當(dāng)應(yīng)用層3024中發(fā)出了寫(xiě)(例如���,寫(xiě)到存儲(chǔ)設(shè)備),插入(例如����,插入數(shù)據(jù)庫(kù)字段內(nèi)),或傳輸(例如���,在網(wǎng)絡(luò)上傳輸)命令時(shí)��,可以如何使用圖30的布置��。在步驟3100,識(shí)別將被保護(hù)的數(shù)據(jù)���,并且調(diào)用安全數(shù)據(jù)解析器�。在步驟3102通過(guò)掩飾器層3022傳遞該調(diào)用���,掩飾器層3022將在步驟3100識(shí)別的輸入數(shù)據(jù)流傳輸?shù)浇M裝數(shù)據(jù)緩沖區(qū)3008��。在步驟3102�����,還存儲(chǔ)任意適合的份信息�,文件名,任意其他適合的信息或其任意組合(例如�����,作為掩飾器層3022處的信息3106 )����。安全數(shù)據(jù)處理器3000然后根據(jù)本發(fā)明解析和分割從組裝數(shù)據(jù)緩沖區(qū)3008作為輸入獲得的數(shù)據(jù)。它將數(shù)據(jù)份輸出到分割的份緩沖區(qū)3010�����。在步驟3104�����,掩飾器層3022從存儲(chǔ)的信息3106中獲得任意適合的份信息(即����,由掩飾器3022在步驟3102存儲(chǔ)的)和份位置(多個(gè))(例如,從一個(gè)或多個(gè)配置文件)���。掩飾器層3022然后適當(dāng)?shù)?例如���,寫(xiě)到一個(gè)或多個(gè)連接到網(wǎng)絡(luò)上的存儲(chǔ)設(shè)備等)寫(xiě)輸出份(從分割的份緩沖區(qū)3010獲得的)����。
圖32說(shuō)明性地示出了當(dāng)發(fā)生讀(例如���,從存儲(chǔ)設(shè)備讀),選擇(例如���,當(dāng)從數(shù)據(jù)庫(kù)字段中選擇)���,或接收(例如,從網(wǎng)絡(luò)接收)時(shí)��,如何使用圖30的布置����。在步驟3200�,識(shí)別將要恢復(fù)的數(shù)據(jù),并且從
93應(yīng)用層3024調(diào)用安全數(shù)據(jù)解析器3000�。在步驟3202,從掩飾器層3022獲得任意適合的份信息并且確定份位置��。掩飾器層3022將在步驟3200識(shí)別出的數(shù)據(jù)部分裝入分割的份緩沖區(qū)3010。然后安全數(shù)據(jù)解析器3000根據(jù)本發(fā)明處理這些份(例如����,如果僅可獲得4份中的3份����,可以使用安全數(shù)據(jù)解析器3000的冗余功能僅使用這3份恢復(fù)原始數(shù)據(jù))。然后將恢復(fù)的數(shù)據(jù)存儲(chǔ)到組裝數(shù)據(jù)緩沖區(qū)3008���。在步驟3204�����,應(yīng)用層3022將存儲(chǔ)在組裝數(shù)據(jù)緩沖區(qū)3008內(nèi)的數(shù)據(jù)轉(zhuǎn)換為其原始數(shù)據(jù)格式(如果需要)���,并且將原始格式的原始數(shù)據(jù)提供給應(yīng)用層3024�。
應(yīng)當(dāng)理解,圖31所示的解析和分割原始數(shù)據(jù)和圖32所示的將數(shù)據(jù)部分恢復(fù)為原始數(shù)據(jù)僅是說(shuō)明性的。除了所示這些之外或取代所示這些��,可以使用任意其他適合的處理�、組件或這兩者��。
圖33是根據(jù)本發(fā)明的一個(gè)實(shí)施例用于將原始數(shù)據(jù)解析和分割為兩個(gè)或多個(gè)數(shù)據(jù)部分的說(shuō)明性處理流的方框圖���。如所示出的���,將被解析和分割的原始數(shù)據(jù)為純文本3306 (即�,作為例子使用的單詞"SUMMIT")。應(yīng)當(dāng)理解��,根據(jù)本發(fā)明可以解析和分割任意其他類(lèi)型的數(shù)據(jù)�。產(chǎn)生會(huì)話密鑰3300��。如果會(huì)話密鑰3300的長(zhǎng)度與原始數(shù)據(jù)3306的長(zhǎng)度不兼容��,可以產(chǎn)生密碼反饋會(huì)話密鑰3304。
在一個(gè)適合的方法中�����,在解析���,分割或這兩者之前可以加密原始數(shù)據(jù)3306。例如��,如圖33所示�,可將原始數(shù)據(jù)3306和任意適合的值異或(例如與密碼反饋會(huì)話密鑰3304,或與任意適合的值)�。應(yīng)當(dāng)理解,取代或除了異或技術(shù)之外����,可以使用任意其他適合的加密技術(shù)。還應(yīng)當(dāng)理解����,雖然圖33以按字節(jié)的操作進(jìn)行了說(shuō)明,操作可以發(fā)生在位級(jí)或任意其他適合的級(jí)別��。還應(yīng)當(dāng)理解,如果希望����,不需要原始數(shù)據(jù)3306的任何加密��。
對(duì)得到的加密數(shù)據(jù)(或如果不發(fā)生加密���,原始數(shù)據(jù))進(jìn)行散列,以便確定如何在輸出桶之間(例如��,在示出的例子中4個(gè)之間)分割加密(原始)數(shù)據(jù)�。在示出的例子中���,散列以字節(jié)進(jìn)行并且是密碼反饋會(huì)話密鑰3304的函數(shù)�。應(yīng)當(dāng)理解�,這僅是說(shuō)明��。如果希望,可以在位級(jí)別執(zhí)行散列�。散列可以是除了密碼反饋會(huì)話密鑰3304之外的
94任意其他適合的值的函數(shù)。在另一個(gè)適合的方法中,不需要散列���。而是可以采用用于分割數(shù)據(jù)的任意其他適合的方法�����。
圖34是根據(jù)本發(fā)明的一個(gè)實(shí)施例���,用于從原始數(shù)據(jù)3306的兩個(gè)或多個(gè)解析和分割部分中恢復(fù)原始數(shù)據(jù)3306的說(shuō)明性處理流的方框圖�����。該處理涉及以密碼反饋會(huì)話密鑰3304的函數(shù)相反地散列所述部分(即與圖33的處理相反)�����,以便恢復(fù)加密的原始數(shù)據(jù)(或如果在解析和分割之前沒(méi)有加密�,原始數(shù)據(jù))��。加密密鑰然后被用于恢復(fù)原始數(shù)據(jù)(即,在示出的例子中����,通過(guò)將其與加密數(shù)據(jù)異或�����,密碼反饋會(huì)話密鑰3304用于解密異或加密)����。這恢復(fù)原始數(shù)據(jù)3306����。
圖35示出了在圖33和34的例子中可以如何實(shí)現(xiàn)位分割��?�?梢允褂蒙⒘?例如����,作為密碼反饋會(huì)話密鑰的函數(shù)��,作為任意其他適合值的函數(shù))���,以便確定分割數(shù)據(jù)的每個(gè)字節(jié)的位值�����。應(yīng)當(dāng)理解���,這僅是實(shí)現(xiàn)在位級(jí)別分割的 一個(gè)說(shuō)明性方法?����?梢允褂萌我馄渌m合的技術(shù)����。
應(yīng)當(dāng)理解,此處對(duì)散列功能的任意提及可以相對(duì)于任意適合的散列算法進(jìn)行���。這包括例如MD5和SHA-1����?��?梢栽诓煌瑫r(shí)間并且由本發(fā)明的不同組件使用不同的散列算法����。
在根據(jù)上面說(shuō)明性的程序或通過(guò)任意其他過(guò)程或算法確定了分割點(diǎn)之后���,可以做出關(guān)于將左段和右段中的每一個(gè)附加到哪些數(shù)據(jù)部分的確定��?�?梢允褂糜糜谧龀鲞@個(gè)確定的任意適合的算法���。例如�����,在一個(gè)適合的方法中��,可以創(chuàng)建所有可能的分配的表(例如����,以左段的目的地和右段的目的地的對(duì)的形式)��,從而可以通過(guò)使用會(huì)話密鑰���、密碼反饋會(huì)話密鑰�、或可能產(chǎn)生并且延長(zhǎng)到原始數(shù)據(jù)大小的任意其他適合的隨機(jī)或偽隨機(jī)值中的相應(yīng)數(shù)據(jù)的任意適合的散列函數(shù)��,確定左段和右段中的每一個(gè)的目的地份值�。例如,可以使用隨機(jī)或偽隨機(jī)值值的相應(yīng)字節(jié)的散列函數(shù)。使用該散列函數(shù)的輸出確定從所有目的地組合的表中選擇哪個(gè)目的地對(duì)(即��,用于左段的一個(gè)和用于右段的一個(gè))����?;谶@個(gè)結(jié)果,將分割的數(shù)據(jù)單元的每個(gè)段附加到按照散列函數(shù)的結(jié)果選擇的表值所指出的相應(yīng)的兩個(gè)份����。
95根據(jù)本發(fā)明可以在數(shù)據(jù)部分上附加冗余信息,以便允許使用少于
全部數(shù)據(jù)部分恢復(fù)原始數(shù)據(jù)����。例如如果希望4個(gè)部分中的2個(gè)部分足 以恢復(fù)數(shù)據(jù),則可以以例如輪流方式將來(lái)自這些份的附加數(shù)據(jù)相應(yīng)地 附加到每個(gè)份(例如����,在原始數(shù)據(jù)的大小為4MB時(shí),份1獲得其自 身的份以及份2和3的份��;份2獲得其自身的份以及份3和4的份��; 份3獲得其自身的份以及份4和1的份�����;并且份4獲得其自身的份以 及份1和2的份)。根據(jù)本發(fā)明可以使用任意這種適合的冗余�����。
應(yīng)當(dāng)理解�����,根據(jù)本發(fā)明可以使用任意其他適合的解析和分割方 法�����,以便從原始數(shù)據(jù)集產(chǎn)生數(shù)據(jù)部分��。例如���,可以基于位隨機(jī)或偽隨 機(jī)地處理解析和分割�?�?梢允褂秒S機(jī)或偽隨機(jī)值(例如����,會(huì)話密鑰��、 密碼反饋會(huì)話密鑰等)�����,從而對(duì)于原始數(shù)據(jù)值的每個(gè)位�,關(guān)于隨機(jī)或 偽隨機(jī)值中的相應(yīng)數(shù)據(jù)的散列函數(shù)的結(jié)果可以指示將相應(yīng)位附加到 哪個(gè)份���。在一個(gè)適合的方法中�,隨機(jī)或偽隨機(jī)值可被產(chǎn)生為或延長(zhǎng)到 原始數(shù)據(jù)大小的8倍,從而可以相對(duì)于原始數(shù)據(jù)的每個(gè)位�����,對(duì)隨機(jī)或 偽隨機(jī)值的相應(yīng)字節(jié)執(zhí)行散列函數(shù)���。根據(jù)本發(fā)明可以使用在位級(jí)別解 析和分割數(shù)據(jù)的任意其他適合的算法��。還應(yīng)當(dāng)理解����,根據(jù)本發(fā)明可以���, 諸如例如���,以上面剛剛描述的方式將冗余數(shù)據(jù)附加到數(shù)據(jù)份�����。
在一個(gè)適合的方法中���,解析和分割不需要是隨機(jī)或偽隨機(jī)的���。而 是可以使用用于解析和分割數(shù)據(jù)的任意適合的確定性算法。例如����,可 以采用將原始數(shù)據(jù)分解為連續(xù)的份作為解析和分割算法���。另 一個(gè)例子 是按位解析和分割原始數(shù)據(jù)�����,以輪流方式將每個(gè)相應(yīng)的位順序地附加 到數(shù)據(jù)份�。還應(yīng)當(dāng)理解,根據(jù)本發(fā)明可以用例如上述方式將冗余數(shù)據(jù) 添加到數(shù)據(jù)份��。
在本發(fā)明的一個(gè)實(shí)施例中,在安全數(shù)據(jù)解析器產(chǎn)生原始數(shù)據(jù)的若 干部分之后����,為了恢復(fù)原始數(shù)據(jù)�����,某個(gè)或多個(gè)產(chǎn)生的部分可以是強(qiáng)制 性的���。例如,如果這些部分之一用作驗(yàn)證份(例如����,保存在物理標(biāo)記 設(shè)備上),并且如果使用安全數(shù)據(jù)解析器的容錯(cuò)特征(即���,需要少于 全部部分以恢復(fù)原始數(shù)據(jù))����,則即使安全數(shù)據(jù)解析器可以訪問(wèn)原始數(shù) 據(jù)的足夠數(shù)目的部分以恢復(fù)原始數(shù)據(jù),在恢復(fù)原始數(shù)據(jù)之前可能需要存儲(chǔ)在物理標(biāo)記設(shè)備上的驗(yàn)證份���。應(yīng)當(dāng)理解�����,基于例如應(yīng)用����,數(shù)據(jù)類(lèi) 型���,用戶(hù)�,任意其他適合的因素或其任意組合���,可能需要任意數(shù)目和 類(lèi)型的特定份��。
在 一個(gè)適合的方法中����,安全數(shù)據(jù)解析器或安全數(shù)據(jù)解析器的某些 外部組件可以加密原始數(shù)據(jù)的一個(gè)或多個(gè)部分??赡苄枰峁┘用懿?分并且對(duì)其解密以便恢復(fù)原始數(shù)據(jù)?����?梢杂貌煌募用苊荑€加密不同 的加密部分����。例如,這個(gè)特征可用于實(shí)現(xiàn)更安全的"雙人規(guī)則"��,從而 第一個(gè)用戶(hù)必須具有使用第一加密加密的特定份�����,并且第二個(gè)用戶(hù)必 須具有使用第二加密密鑰加密的特定份���。為了訪問(wèn)原始數(shù)據(jù)��,兩個(gè)用 戶(hù)需要具有其各自的加密密鑰�����,并且提供其原始數(shù)據(jù)的相應(yīng)部分。在 一個(gè)適合的方法中,可以使用公鑰加密一個(gè)或多個(gè)數(shù)據(jù)部分���,這些部 分可以是恢復(fù)原始數(shù)據(jù)所需的強(qiáng)制份�。然后可以使用私鑰解密該份�����, 以便用于恢復(fù)原始數(shù)據(jù)����。
在需要少于所有份以恢復(fù)原始數(shù)據(jù)的情況下,可以使用利用強(qiáng)制 份的任意這種適合的范例��。
在本發(fā)明的一個(gè)適合的實(shí)施例中��,可以隨機(jī)或偽隨機(jī)地處理將數(shù) 據(jù)分配到有限數(shù)目的數(shù)據(jù)份��,從而從統(tǒng)計(jì)的角度看���,數(shù)據(jù)的任意特定 份接收數(shù)據(jù)的特定單元的概率等于剩余份中的任意一個(gè)將接收該數(shù) 據(jù)單元的概率�����。結(jié)果��,每個(gè)數(shù)據(jù)份具有近似相等數(shù)目的數(shù)據(jù)位��。
根據(jù)本發(fā)明的另 一個(gè)實(shí)施例���,有限數(shù)目的數(shù)據(jù)份中的每一個(gè)不需 要具有接收來(lái)自原始數(shù)據(jù)的解析和分割的數(shù)據(jù)單元的相等概率�。而是 某個(gè)或更多份可以具有比其余份更高或更低的概率����。結(jié)果,某些份相 對(duì)于其他份可以在位大小方面更大或更小�。例如,在兩個(gè)份的情況下����,
一個(gè)份可以具有接收數(shù)據(jù)單元的1%的概率,而第二個(gè)份具有99%的 概率�。因此將遵從一旦安全數(shù)據(jù)解析器在兩個(gè)份之間分配數(shù)據(jù)單元, 第一個(gè)份應(yīng)近似具有1%的數(shù)據(jù)����,并且第二個(gè)份具有99%的數(shù)據(jù)。根 據(jù)本發(fā)明可以使用任意適合的概率�。
應(yīng)當(dāng)理解還可以對(duì)安全數(shù)據(jù)解析器編程,以便根據(jù)精確的(或近 似精確的)百分比將數(shù)據(jù)分配到份��。例如,安全數(shù)據(jù)解析器可被編程
97為將80%的數(shù)據(jù)分配給第一個(gè)份�����,并且將剩余的20%數(shù)據(jù)分配給第 二個(gè)份��。
根據(jù)本發(fā)明的另一個(gè)實(shí)施例���,安全數(shù)據(jù)解析器可以產(chǎn)生數(shù)據(jù)份, 這些份中的一個(gè)或多個(gè)具有預(yù)定的大小�。例如,安全數(shù)據(jù)解析器可以 將原始數(shù)據(jù)分割到數(shù)據(jù)部分���,其中這些部分之一精確地為256位���。在 一個(gè)適合的方法中,不可能產(chǎn)生具有必備大小的數(shù)據(jù)部分�,則安全數(shù) 據(jù)解析器可以填充該部分,使其具有正確的大小���??梢允褂萌我膺m合 的大小���。
在一個(gè)適合的方法中����,數(shù)據(jù)部分的大小可以是加密密鑰,分割密 鑰�,任意其他適合的密鑰,或任意其他適合的數(shù)據(jù)元素的大小�����。
如前所述���,安全數(shù)據(jù)解析器可以在解析和分割數(shù)據(jù)時(shí)使用密鑰�。 出于清楚和筒潔的目的��,這些密鑰在此處被稱(chēng)為"分割密鑰"���。例如�����, 前面介紹的會(huì)話主密鑰是一種分割密鑰�����。另外��,如前所述��,分割密鑰 可被保護(hù)在由安全數(shù)據(jù)解析器產(chǎn)生的數(shù)據(jù)的份中�����?�?梢允褂糜糜诒Wo(hù) 分割密鑰的任意適合的算法�����,以便在數(shù)據(jù)份中保護(hù)它們�。例如�����,可以 使用Shamir算法保護(hù)分割密鑰����,從而產(chǎn)生可用于重構(gòu)分割密鑰的信 息,并且將其附加到數(shù)據(jù)的份上��。根據(jù)本發(fā)明可以使用任意其他這種 適合的算法。
類(lèi)似地�,可以根據(jù)任意適合的算法諸如shamir算法在一個(gè)或多 個(gè)數(shù)據(jù)份中保護(hù)任意適合的加密密鑰。例如���,可以使用例如shamir 算法或任意其他適合的算法保護(hù)用于在解析和分割之前加密數(shù)據(jù)集 的加密密鑰���,用于在解析和分割之后加密數(shù)據(jù)部分的加密密鑰或這兩 者。
根據(jù)本發(fā)明的一個(gè)實(shí)施例�,通過(guò)對(duì)分割密鑰、加密密鑰����、或任意 其他適合的數(shù)據(jù)元素或其任意組合進(jìn)行變換,可以使用All or Nothing Transform ( AoNT )�����,諸如完整包變換(Full Package Transform ) 進(jìn)一步保護(hù)數(shù)據(jù)�����。例如��,可以根據(jù)AoNT算法對(duì)根據(jù)本發(fā)明用于在解 析和分割之前加密數(shù)據(jù)集的加密密鑰進(jìn)行變換��。然后可以例如根據(jù) Shamir算法或任意其他適合的算法將變換的加密密鑰分配到數(shù)據(jù)份
98中。如本領(lǐng)域的技術(shù)人員公知的��,為了重構(gòu)加密密鑰�,必須恢復(fù)加密 數(shù)據(jù)集(例如,如果根據(jù)本發(fā)明使用冗余�����,不需要使用全部數(shù)據(jù)份)����,
以便訪問(wèn)關(guān)于根據(jù)AoNT變換的必須信息��。當(dāng)檢索原始加密密鑰時(shí)�, 可以使用它解密加密的數(shù)據(jù)集���,以便檢索原始數(shù)據(jù)集��。應(yīng)當(dāng)理解�����,可 以結(jié)合AoNT特征使用本發(fā)明的容錯(cuò)特征��。即�����,可將冗余數(shù)據(jù)包括在 數(shù)據(jù)部分中�,從而需要少于全部數(shù)據(jù)部分以恢復(fù)加密的數(shù)據(jù)集。
應(yīng)當(dāng)理解���,取代或除了在解析和分割之前相應(yīng)于數(shù)據(jù)集的相應(yīng)加 密密鑰的加密和AoNT��,可將AoNT應(yīng)用于在解析和分割之后用來(lái)加 密數(shù)據(jù)部分的加密密鑰�。類(lèi)似地��,可將AoNT應(yīng)用于分割密鑰�����。
在本發(fā)明的一個(gè)實(shí)施例中,可以使用例如工作組密鑰進(jìn)一步加密 根據(jù)本發(fā)明使用的加密密鑰��、分割密鑰或這兩者����,以便給受保護(hù)的數(shù) 據(jù)集提供一層額外的安全性����。
在本發(fā)明的一個(gè)實(shí)施例中,可以提供追蹤何時(shí)調(diào)用了安全數(shù)據(jù)解 析器以便分割數(shù)據(jù)的審查模塊��。
圖36示出了根據(jù)本發(fā)明使用安全數(shù)據(jù)解析器的組件的可能選擇 3600���。下面概述每個(gè)選擇組合并且以圖36中的適當(dāng)步驟號(hào)標(biāo)注。安 全數(shù)據(jù)解析器本質(zhì)上可以是模塊�,其允許在圖36中示出的每個(gè)功能 塊內(nèi)使用任意已知算法。例如,可以取代Shamir使用其他密鑰分割 (例如�,秘密共享)算法諸如Blakely,或可以用其他已知的加密算 法諸如Triple DES取代AES加密���。圖36的例子中示出的標(biāo)號(hào)僅示出 了在本發(fā)明的一個(gè)實(shí)施例中使用的算法的一種可能組合���。應(yīng)當(dāng)理解, 取代標(biāo)出的算法�����,可以使用任意適合的算法或算法組合。
1) 3610�����, 3612�����, 3614���, 3615�����, 3616����, 3617�����, 3618�, 3619
在步驟3610使用以前的加密數(shù)據(jù),該數(shù)據(jù)最終可被分割為預(yù)定 的份數(shù)�����。如果分割算法需要密鑰����,可以使用在密碼學(xué)上安全的偽隨機(jī) 數(shù)產(chǎn)生器,在步驟3612產(chǎn)生分割加密密鑰���。在被在步驟3615密鑰分 割為具有容錯(cuò)性的預(yù)定份數(shù)之前����,在步驟3614可以可選擇地使用AU or Nothing Transform( AoTN )將分割加密密鑰變換為變換分割密鑰�����。 然后可在步驟3616將數(shù)據(jù)分割為預(yù)定份數(shù)����?����?梢栽诓襟E3617使用容錯(cuò)方案以允許以少于總份數(shù)的份數(shù)重新產(chǎn)生數(shù)據(jù)。
一旦創(chuàng)建了份��,可
以在步驟3618將驗(yàn)證/完整性信息嵌入份����。在步驟3619可以可選擇地 對(duì)每個(gè)份進(jìn)行后加密。
2 ) 3111����, 3612, 3614, 3615, 3616����, 3617, 3618����, 3619 在某些實(shí)施例中,可以使用由用戶(hù)或外部系統(tǒng)提供的加密密鑰加 密輸入數(shù)據(jù)�����。在步驟3611提供外部密鑰�����。例如,可從外部密鑰庫(kù)提 供密鑰��。如果分割算法需要密鑰��,可以使用在密碼學(xué)上安全的偽隨機(jī) 數(shù)產(chǎn)生器���,在步驟3612產(chǎn)生分割加密密鑰���。在被在步驟3615密鑰分 割為具有容錯(cuò)性的預(yù)定份數(shù)之前,可以在步驟3614可選擇地使用All or Nothing Transform( AoTN )將分割密鑰變換為變換分割加密密鑰��。 然后可在步驟3616將數(shù)據(jù)分割為預(yù)定份數(shù)�����??梢栽诓襟E3617使用容 錯(cuò)方案以允許以少于總份數(shù)的份數(shù)重新產(chǎn)生數(shù)據(jù)。 一旦創(chuàng)建了份���,可 以在步驟3618將驗(yàn)證/完整性信息嵌入這些份��?����?梢栽诓襟E3619可選 擇地對(duì)每個(gè)份進(jìn)行后加密����。
3) 3612�����, 3613�, 3614, 3615, 3612����, 3614, 3615���, 3616�, 3617����, 3618,
3619
在某些實(shí)施例中���,可以在步驟3612使用在密碼學(xué)上安全的偽隨 機(jī)數(shù)產(chǎn)生器產(chǎn)生加密密鑰以便對(duì)數(shù)據(jù)進(jìn)行變換�����?���?梢栽诓襟E3613發(fā) 生使用產(chǎn)生的加密密鑰加密數(shù)據(jù)?��?梢栽诓襟E3614使用All or Nothing Transform (AoTN)可選擇地將加密密鑰變換為變換加密密 鑰�。然后在步驟3615將變換加密密鑰和/或產(chǎn)生的加密密鑰分割為具 有容錯(cuò)性的預(yù)定份數(shù)���。如果分割算法需要密鑰���,可以在步驟3612發(fā) 生使用在密碼學(xué)上安全的偽隨機(jī)數(shù)產(chǎn)生器產(chǎn)生分割加密密鑰。在被在 步驟3615密鑰分割為具有容錯(cuò)性的預(yù)定份數(shù)之前�,可以在步驟3614 使用All or Nothing Transform (AoTN)可選擇地將分割密鑰變換為 變換分割加密密鑰。然后可在步驟3616將數(shù)據(jù)分割為預(yù)定份數(shù)��?��??以在步驟3617使用容錯(cuò)方案以允許以少于總份數(shù)的份數(shù)重新產(chǎn)生數(shù) 據(jù)�。 一旦創(chuàng)建了份,可以在步驟3618將驗(yàn)證/完整性信息嵌入這些份�����。 然后可以在步驟3619可選擇地對(duì)每個(gè)份進(jìn)行后加密���。
1004 ) 3612, 3614, 3615�����, 3616�, 3617, 3618����, 3619
在某些實(shí)施例中,數(shù)據(jù)可被分割為預(yù)定的份數(shù)�。如果分割算法需 要密鑰,可以在步驟3612發(fā)生使用在密碼學(xué)上安全的偽隨機(jī)數(shù)產(chǎn)生 器產(chǎn)生分割加密密鑰����。在步驟3615中密鑰被分割為具有容錯(cuò)性的預(yù) 定份數(shù)之前,可以在步驟3614使用All or Nothing Transform( AoTN ) 可選擇地將分割密鑰變換為變換分割密鑰��。然后可在步驟3616將數(shù) 據(jù)分割����?�?梢栽诓襟E3617使用容錯(cuò)方案以允許以少于總份數(shù)的份數(shù) 重新產(chǎn)生數(shù)據(jù)�。 一旦創(chuàng)建了份���,可以在步驟3618將驗(yàn)證/完整性信息 嵌入這些份��?����?梢栽诓襟E3619可選擇地對(duì)每個(gè)份進(jìn)行后加密����。
雖然在本發(fā)明的某些實(shí)施例中優(yōu)選地使用了上面4種選擇組合�����, 在其他實(shí)施例中��,可將任意其他適合的特征�����、步驟、或選擇組合用于 安全數(shù)據(jù)解析器��。
通過(guò)便于物理劃分���,安全數(shù)據(jù)解析器可以提供靈活的數(shù)據(jù)保護(hù)。 首先可以加密數(shù)據(jù)�,然后分割為具有"m of n"容錯(cuò)的份。當(dāng)可以獲得 少于總份數(shù)的份數(shù)時(shí)�,這允許重新產(chǎn)生原始信息。例如����,可能丟失了 某些份或在傳輸中破壞了某些份。如下面更詳細(xì)討論的�,可以根據(jù)附 加到份的容錯(cuò)或完整性信息重建丟失或破壞的份。
為了創(chuàng)建份���,安全數(shù)據(jù)解析器可選擇地利用若干密鑰��。這些密鑰 可以包括下面中的一個(gè)或多個(gè)
預(yù)加密密鑰當(dāng)選擇了份預(yù)加密時(shí)����,可將一個(gè)外部密鑰傳遞給安 全數(shù)據(jù)解析器。這個(gè)密鑰可被外部地產(chǎn)生和存儲(chǔ)在密鑰庫(kù)內(nèi)(或其他
位置)��,并且可用于在數(shù)據(jù)分割之前可選擇地加密數(shù)據(jù)�����。
分割加密密鑰可由安全數(shù)據(jù)解析器內(nèi)部地產(chǎn)生和使用這個(gè)密鑰
以便在分割之前加密數(shù)據(jù)��。然后可以使用密鑰分割算法將這個(gè)密鑰安
全地存儲(chǔ)在所述份內(nèi)�����。
分割會(huì)話密鑰這個(gè)密鑰不用于加密算法���;而是當(dāng)選擇了隨機(jī)分
割時(shí)���,可用做數(shù)據(jù)劃分算法的密鑰。當(dāng)使用隨機(jī)分割時(shí)���,由安全數(shù)據(jù)
解析器內(nèi)部地產(chǎn)生和使用分割會(huì)話密鑰以便將數(shù)據(jù)劃分為份�?�?梢允?br>
用密鑰分割算法將這個(gè)密鑰安全地存儲(chǔ)在所述份內(nèi)�����。
101后加密密鑰當(dāng)選擇了份的后加密時(shí),可將一個(gè)外部密鑰傳遞給 安全數(shù)據(jù)解析器��,并且用于對(duì)各個(gè)份進(jìn)行后加密��?���?稍诿荑€存儲(chǔ)器或 其他適合的位置外部地產(chǎn)生和存儲(chǔ)這個(gè)密鑰��。
在某些實(shí)施例中,當(dāng)以這種方式使用安全數(shù)據(jù)解析器保護(hù)數(shù)據(jù) 時(shí)�,只有給出所有所需的份和外部加密密鑰��,才可以重新組裝信息。
圖37示出了在某些實(shí)施例中使用本發(fā)明的安全數(shù)據(jù)解析器的說(shuō) 明性概括處理3700�。如上所述���,安全數(shù)據(jù)解析器3706的兩個(gè)非常適 合的功能可以包括加密3702和備份3704。從而���,在某些實(shí)施例中, 安全數(shù)據(jù)解析器3706可被集成到RAID或備份系統(tǒng)或硬件或軟件加 密引擎�。
與安全數(shù)據(jù)解析器3706相關(guān)聯(lián)的主要密鑰處理可以包括預(yù)加密 處理3708�����、加密/變換處理3710�����、密鑰〗呆護(hù)處理3712��、解析/分配處理 3714、容錯(cuò)處理3716���、份驗(yàn)證處理3716和后加密處理3720中的一個(gè) 或多個(gè)���。如圖36所示�,這些處理可被以若千適合的順序或組合執(zhí)行。 使用的處理組合和順序可以取決于特定應(yīng)用或用途��,所需的安全級(jí) 別�,是否希望可選擇的預(yù)加密、后加密或這兩者����,希望的冗余���,基礎(chǔ) 或集成的系統(tǒng)的功能或性能��,或任意其他適合的因素或因素組合。
說(shuō)明性處理3700的輸出可以是兩個(gè)或多個(gè)份3722�。如上所述��, 在某些實(shí)施例中數(shù)據(jù)可被隨機(jī)地(或偽隨機(jī)地)分配到這些份中的每 一個(gè)�。在其他實(shí)施例中,可以使用確定性算法(或隨機(jī)�、偽隨機(jī)和確 定性算法的某些適合的組合)���。
除了對(duì)信息資產(chǎn)的單獨(dú)保護(hù)之外����,某些時(shí)候存在在不同用戶(hù)組或 利益團(tuán)體中共享信息的需求����?��?赡苄枰谟脩?hù)組中控制對(duì)各個(gè)份的訪 問(wèn)�,或在這些用戶(hù)之間共享僅允許組成員重新組裝份的憑證�。就此而 言,在本發(fā)明的某些實(shí)施例中可將工作組密鑰部署給組成員�。組密鑰 應(yīng)當(dāng)受到保護(hù)并且保持機(jī)密,由于對(duì)工作組密鑰的危及可能潛在地允 許組外人員訪問(wèn)信息���。下面討論用于工作組密鑰部署和保護(hù)的某些系 統(tǒng)和方法���。
通過(guò)對(duì)存儲(chǔ)在份中的密鑰信息加密,工作組密鑰概念允許對(duì)信息資產(chǎn)的增強(qiáng)保護(hù)����。 一旦執(zhí)行了這種操作,即使暴露了所有所需的份和 外部密鑰��,在無(wú)權(quán)使用工作組密鑰的情況下�����,攻擊者也不具重建信息 的希望����。
圖38示出了用于在份中存儲(chǔ)密鑰和數(shù)據(jù)組件的說(shuō)明性方框圖 3800���。在圖3800的例子中����,忽略了可選的預(yù)加密和后加密步驟,雖 然這些步驟可被包括在其他實(shí)施例中�����。
分割數(shù)據(jù)的簡(jiǎn)化處理包括在加密階段3802使用加密密鑰3804 加密數(shù)據(jù)���。然后根據(jù)本發(fā)明將加密密鑰3804的幾部分分割并且存儲(chǔ) 在份3810內(nèi)����。還可以將分割加密密鑰3806的幾部分存儲(chǔ)在份3810 內(nèi)�����。使用分割加密密鑰��,數(shù)據(jù)3808被分割并且存儲(chǔ)在份3810內(nèi)���。
為了恢復(fù)數(shù)據(jù),可以根據(jù)本發(fā)明檢索和恢復(fù)分割加密密鑰3806。 然后可以逆轉(zhuǎn)分割操作以恢復(fù)密文��。還可以檢索和恢復(fù)加密密鑰 3804,并且然后使用加密密鑰解密密文�����。
當(dāng)利用工作組密鑰時(shí)�,可以略微改變上述處理以便以工作組密鑰
保護(hù)加密密鑰??梢栽诖鎯?chǔ)在份內(nèi)之前以工作組密鑰對(duì)加密密鑰加 密。在圖39的說(shuō)明性方框圖3900中示出了修改的步驟��。
使用工作組密鑰分割數(shù)據(jù)的簡(jiǎn)化處理包括在階段3902處使用密 碼密鑰首先加密數(shù)據(jù)���。然后在階段3904以工作組密鑰對(duì)加密密鑰進(jìn) 行加密��。然后可將以工作組密鑰加密的加密密鑰分割為幾部分并且與 份3912存儲(chǔ)在一起����。還可以分割分割密鑰3908���,并且將其存儲(chǔ)在份 3912內(nèi)�。最后使用分割密鑰3908分割數(shù)據(jù)部分3910并且存儲(chǔ)在份 3912內(nèi)。
為了恢復(fù)數(shù)據(jù)��,可以根據(jù)本發(fā)明檢索和恢復(fù)分割密鑰���。然后可以 根據(jù)本發(fā)明逆轉(zhuǎn)分割操作以便恢復(fù)密文?����?梢詸z索和恢復(fù)加密密鑰 (其被以工作組密鑰加密)。然后可以使用工作組密鑰解密加密密鑰��。 最后�,可以使用加密密鑰解密密文���。
存在用于部署和保護(hù)工作組密鑰的若干保護(hù)方法���。為特定應(yīng)用選 用哪個(gè)方法取決于若干因素��。這些因素可以包括所需的安全級(jí)別���,費(fèi) 用���,方便性和工作組中用戶(hù)的數(shù)目���。下面提供了某些實(shí)施例中的某些
103常用的技術(shù)
基于硬件的密鑰存儲(chǔ)
基于硬件的解決方案一般為加密系統(tǒng)中的加密/解密密鑰的安全 性提供最強(qiáng)的保證?����;谟布拇鎯?chǔ)解決方案的例子包括防篡改密鑰 標(biāo)記設(shè)備,其在便攜設(shè)備(例如��,智能卡/軟件狗)或非便攜密鑰存儲(chǔ) 外設(shè)中存儲(chǔ)密鑰。這些設(shè)備被設(shè)計(jì)為防止未授權(quán)方容易地復(fù)制密鑰材 料�。可由信任的機(jī)構(gòu)或在硬件中產(chǎn)生密鑰并且分配給用戶(hù)�。另外���,許 多密鑰存儲(chǔ)系統(tǒng)提供多因素驗(yàn)證�,其中對(duì)密鑰的使用需要訪問(wèn)物理對(duì) 象(標(biāo)記)和口令短語(yǔ)或生物測(cè)定兩者�����。
基于軟件的密鑰存儲(chǔ)
雖然基于專(zhuān)用硬件的存儲(chǔ)可能是高安全性部署或應(yīng)用所希望的, 其他部署可以選擇直接在本地石更件(例如�,/磁盤(pán)�,RAM或非易失RAM 存儲(chǔ)(器)諸如USB驅(qū)動(dòng)器)上存儲(chǔ)密鑰��。相對(duì)于內(nèi)部攻擊或在攻 擊者能夠直接訪問(wèn)加密機(jī)器的情況下,這提供了的較低級(jí)別的保護(hù)��。
為了在磁盤(pán)上保護(hù)密鑰�,基于軟件的密鑰管理通常通過(guò)借助根據(jù) 其他驗(yàn)證度量的組合導(dǎo)出的密鑰���,以加密形式存儲(chǔ)密鑰以保護(hù)密鑰���, 所述驗(yàn)證度量包括口令和口令短語(yǔ),給出其他密鑰(例如����,來(lái)自基 于硬件的解決方案),生物測(cè)定或上述任意適合的組合��。由這種技術(shù) 提供的安全級(jí)別的范圍可以從由某些操作系統(tǒng)(例如���,MS Windows 和Linux)提供的相對(duì)弱的密鑰保護(hù)機(jī)制到使用多因素驗(yàn)證實(shí)現(xiàn)的更 可靠的解決方案����。
可以有利地在若千應(yīng)用和技術(shù)中使用本發(fā)明的安全數(shù)據(jù)解析器��。 例如����,電子郵件系統(tǒng),RAID系統(tǒng)�,浮見(jiàn)頻廣播系統(tǒng)���,數(shù)據(jù)庫(kù)系統(tǒng),帶 備份系統(tǒng)���,或任意其他適合的系統(tǒng)可以在任意適合的級(jí)別集成安全數(shù) 據(jù)解析器��。如前所述�,應(yīng)當(dāng)理解還可以為了任意傳輸介質(zhì)上的任意類(lèi) 型的運(yùn)動(dòng)中數(shù)據(jù)的保護(hù)和容錯(cuò)集成安全數(shù)據(jù)解析器�����,包括例如���,有線、 無(wú)線���、或物理傳輸介質(zhì)����。作為一個(gè)例子����,網(wǎng)際協(xié)議上的語(yǔ)音(VoIP) 應(yīng)用可以使用本發(fā)明的安全數(shù)據(jù)解析器解決關(guān)于VoIP中常見(jiàn)的回聲 和延遲的問(wèn)題��。通過(guò)使用即使在丟失預(yù)定數(shù)目的份的情況下也可保證包傳遞的容錯(cuò)���,可以消除對(duì)關(guān)于丟包的網(wǎng)絡(luò)重試的需要。還可以用最 小的延遲和緩沖"在飛行中"有效地分割和恢復(fù)數(shù)據(jù)包(例如���,網(wǎng)絡(luò) 包)��,產(chǎn)生用于各種運(yùn)動(dòng)中數(shù)據(jù)的全面的解決方案���。安全數(shù)據(jù)解析器 可以作用于網(wǎng)絡(luò)數(shù)據(jù)包、網(wǎng)絡(luò)語(yǔ)音包�、文件數(shù)據(jù)塊,或任意其他適合
的信息單元���。除了與VoIP應(yīng)用集成之外���,安全數(shù)據(jù)解析器可被與文 件共享應(yīng)用(例如,點(diǎn)到點(diǎn)文件共享應(yīng)用)����,視頻廣播應(yīng)用,電子表 決或投票應(yīng)用(其可以實(shí)現(xiàn)電子表決協(xié)議和盲簽名�����,諸如Sensus協(xié) 議),電子郵件應(yīng)用�����,或可能需要或希望安全通信的任意其他網(wǎng)絡(luò)應(yīng) 用集成在一起��。
在某些實(shí)施例中��,可由本發(fā)明的安全數(shù)據(jù)解析器在兩個(gè)不同階段 提供對(duì)運(yùn)動(dòng)中的網(wǎng)絡(luò)數(shù)據(jù)的支持-包頭產(chǎn)生階段和數(shù)據(jù)劃分階段����。圖 40A和40B分別示出了簡(jiǎn)化的包頭產(chǎn)生處理4000和簡(jiǎn)化的數(shù)據(jù)劃分 處理4010�����?���?梢詫?duì)網(wǎng)絡(luò)包,文件系統(tǒng)塊�����,或任意其他適合的信息執(zhí)行 這些處理中的一個(gè)或兩者。
在某些實(shí)施例中����,可以在發(fā)起網(wǎng)絡(luò)數(shù)據(jù)包流時(shí)執(zhí)行一次包頭產(chǎn)生 處理4000。在步驟4002����,可以產(chǎn)生隨機(jī)(或偽隨機(jī))分割加密密鑰K。 然后可以在AES密鑰掩飾步驟4004可選擇地加密(例如使用上述工 作組密鑰)分割加密密鑰K��。雖然在某些實(shí)施例中可以使用AES密 鑰掩飾���,在其他實(shí)施例中可以使用任意適合的密鑰加密或密鑰掩飾算 法�。AES密鑰掩飾步驟4004可對(duì)整個(gè)分割加密密鑰K執(zhí)行��,或可將 分割加密密鑰解析為若干塊(例如��,64位的塊)���。然后如果希望�����,可 以對(duì)分割加密密鑰的塊執(zhí)行AES密鑰掩飾步驟4004��。
在步驟4006�,可以使用秘密共享算法(例如,Shamir)將分割 加密密鑰K分割為密鑰份����。然后可以將每個(gè)密鑰份嵌入輸出份中的一 個(gè)(例如,在份包頭中)�。最后,可將份完整性塊和(可選擇地)驗(yàn) 證后標(biāo)簽(例如����,MAC)附加到每個(gè)份的包頭塊上。每個(gè)包頭塊可被 設(shè)計(jì)為安插在單個(gè)數(shù)據(jù)包內(nèi)��。
在完成包頭產(chǎn)生之后(例如�,使用簡(jiǎn)化的包頭產(chǎn)生處理4000), 安全數(shù)據(jù)解析器可以使用簡(jiǎn)化的數(shù)據(jù)劃分處理4010進(jìn)入數(shù)據(jù)劃分階
105段�����。在步驟4012使用分割加密密鑰K加密流中每個(gè)進(jìn)入的數(shù)據(jù)包或 數(shù)據(jù)塊��。在步驟4014,可以對(duì)步驟4012的結(jié)果密文計(jì)算份完整性信 息(例如��,散列H)����。例如,可以計(jì)算SHA- 256散列��。在步驟4016����, 可以根據(jù)本發(fā)明使用上述數(shù)據(jù)分割算法中的 一 個(gè)將數(shù)據(jù)包或數(shù)據(jù)塊 劃分為兩個(gè)或多個(gè)數(shù)據(jù)份。在某些實(shí)施例中�,可以這樣分割數(shù)據(jù)包或 數(shù)據(jù)塊,從而每個(gè)數(shù)據(jù)份包括加密的數(shù)據(jù)包或數(shù)據(jù)塊的大體隨機(jī)的分 配���。然后將完整性信息(例如�����,散列H)附加到每個(gè)數(shù)據(jù)份����。在某些 實(shí)施例中還可以計(jì)算可選擇的驗(yàn)證后標(biāo)簽(例如�����,MAC),并且附加 到每個(gè)數(shù)振份上��。
每個(gè)數(shù)據(jù)份可以包括元數(shù)據(jù)���,這些元數(shù)據(jù)可能是允許數(shù)據(jù)塊或數(shù) 據(jù)包的正確重構(gòu)所必需的�����。該信息可被包括在份的包頭中��。元數(shù)據(jù)可 以包括這樣的信息�����,諸如密碼密鑰份�����、密鑰本體(identity)��,份現(xiàn)時(shí) (nonce)���,簽名/MAC值和完整性塊���。為了最大化帶寬效率����,可以用 壓縮二進(jìn)制格式存儲(chǔ)元數(shù)據(jù)。
例如���,在某些實(shí)施例中���,份包頭可以包括明文包頭信息塊,其不 -故加密并且可以包括這樣的元素�����,諸如Shamir密鑰份���,每個(gè)會(huì)話的 現(xiàn)時(shí)��,每個(gè)份的現(xiàn)時(shí)�,密鑰標(biāo)識(shí)符(例如����,工作組密鑰標(biāo)識(shí)符和驗(yàn)證 后密鑰標(biāo)識(shí)符)。份包頭還可以包括被以分割加密密鑰加密的加密包 頭信息塊����。包頭中還包括包括完整性包頭信息塊�����,其可以包括任意數(shù) 目的以前塊的完整性檢查(例如�����,以前的兩個(gè)塊)�。份包頭中還可以 包括任意其他適合的值或信息����。
如圖41的i兌明性的份格式4100所示,包頭塊4102可以與兩個(gè) 或多個(gè)輸出塊4104相關(guān)聯(lián)���。諸如包頭塊4102的每個(gè)包頭塊可被設(shè)計(jì) 為安插在單個(gè)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)�����。在某些實(shí)施例中���,在包頭塊4102被從 第一位置傳遞到第二位置之后,可以傳輸輸出塊�?��?商鎿Q地�����,可以同 時(shí)并行地傳輸包頭塊4102和輸出塊4104���。傳輸可以發(fā)生在一個(gè)或多 個(gè)類(lèi)似或不類(lèi)似的通信路徑上�����。
每個(gè)輸出塊可以包括數(shù)據(jù)部分4106和完整性/驗(yàn)證部分4108��。如 上所述�����,可以使用包括加密的預(yù)劃分?jǐn)?shù)據(jù)的份完整性信息(例如SHA
106-256散列)的份完整性部分保護(hù)每個(gè)數(shù)據(jù)份�����。為了在恢復(fù)時(shí)檢驗(yàn)輸 出塊的完整性�,安全數(shù)據(jù)解析器可以比較每個(gè)份的份完整性塊��,并且 逆轉(zhuǎn)分割算法。然后可以相對(duì)于份散列檢驗(yàn)恢復(fù)的數(shù)據(jù)的散列�����。
如前所述���,在本發(fā)明的某些實(shí)施例中��,可以結(jié)合磁帶備份系統(tǒng)使 用安全數(shù)據(jù)解析器�。例如����,根據(jù)本發(fā)明可將單獨(dú)的磁帶用作一個(gè)節(jié)點(diǎn) (即,部分/份)�。可以使用任意適合的布置�����。例如�,由兩個(gè)或多個(gè)磁 帶組成的磁帶庫(kù)或子系統(tǒng)可被視為單個(gè)節(jié)點(diǎn)。
根據(jù)本發(fā)明還可以將冗余用于磁帶��。例如���,如果數(shù)據(jù)集被分配到 四個(gè)磁帶(即�����,部分/份)中�����,則可能需要四個(gè)磁帶中的兩個(gè)以便恢復(fù) 原始數(shù)據(jù)����。應(yīng)當(dāng)理解��,根據(jù)本發(fā)明的冗余特征�,可能需要任意適合數(shù) 目的節(jié)點(diǎn)以便恢復(fù)原始數(shù)據(jù)。當(dāng)一個(gè)或多個(gè)磁帶到期時(shí)���,這極大地增 加了恢復(fù)的可能性����。
還可以用SHA-256, HMAC散列值��,任意其他適合的值或其 任意組合數(shù)字地保護(hù)每個(gè)磁帶���,以便確保防墓改�����。如果磁帶上的數(shù)據(jù) 或散列值改變���,磁帶將不作為恢復(fù)的候選��,并且將使用剩余磁帶中任 意最小所需數(shù)目的磁帶恢復(fù)數(shù)據(jù)���。
在常規(guī)的磁帶備份系統(tǒng)中,當(dāng)用戶(hù)請(qǐng)求向磁帶寫(xiě)數(shù)據(jù)或從帶讀數(shù) 據(jù)時(shí)���,磁帶管理系統(tǒng)(TMS)給出相應(yīng)于物理磁帶裝配的號(hào)碼�。這個(gè) 磁帶裝配指向數(shù)據(jù)將被安裝的物理驅(qū)動(dòng)器��。由人工磁帶操作員或磁帶 庫(kù)中的磁帶機(jī)器人裝入磁帶拒�����。
在本發(fā)明下�,物理磁帶裝配可被認(rèn)為是指向若干物理磁帶的邏輯 裝配點(diǎn)。這不僅增加了數(shù)據(jù)容量,而且由于并行化提高了性能�����。
為了增加性能��,磁帶節(jié)點(diǎn)可以是或可以包括用于存儲(chǔ)磁帶映象的 RAID盤(pán)陣列�����。由于總是可以從受保護(hù)的RAID上獲得數(shù)據(jù)��,這允許 高速恢復(fù)�。
雖然上面描述了安全數(shù)據(jù)解析器的某些應(yīng)用�,應(yīng)當(dāng)清楚地理解, 本發(fā)明可以與任意網(wǎng)絡(luò)應(yīng)用集成���,以便增加安全性����、容錯(cuò)�、匿名或上 述任意適合的組合。
另外����,鑒于此處的公開(kāi)�,本領(lǐng)域的技術(shù)人員將明了其他組合��、添
107加�����、替換和修改�。因此,本發(fā)明不旨在受這些優(yōu)選實(shí)施例的反作用的 局限�,而是參考所附權(quán)利要求限定。
權(quán)利要求
1.一種用于備份數(shù)據(jù)集的方法��,該方法包括從所述數(shù)據(jù)集產(chǎn)生至少兩個(gè)數(shù)據(jù)部分���,其中所述至少兩個(gè)數(shù)據(jù)部分中的每一個(gè)分別包含所述數(shù)據(jù)集的一個(gè)相應(yīng)子集的大體隨機(jī)的分配�;和在分離的備份磁帶上存儲(chǔ)所述至少兩個(gè)數(shù)據(jù)部分中的每一個(gè)���,其中可以從所述至少兩個(gè)數(shù)據(jù)部分的至少兩個(gè)部分恢復(fù)所述數(shù)據(jù)集�。
2. 如權(quán)利要求1的方法�,還包括以從由SHA-256、 HMAC散列值和其任意組合構(gòu)成的組中選擇的值數(shù)字地保護(hù)所述備份磁帶�。
3. 如權(quán)利要求2的方法���,還包括根據(jù)所述值是否改變來(lái)確定所述備份磁帶是否能夠用于恢復(fù)所述數(shù)據(jù)集。
4. 一種用于備份數(shù)據(jù)集的方法�����,該方法包括從所述數(shù)據(jù)集產(chǎn)生至少兩個(gè)數(shù)據(jù)部分����,其中所述至少兩個(gè)數(shù)據(jù)部分中的每一個(gè)分別包含所述數(shù)據(jù)集的一個(gè)相應(yīng)子集的大體隨機(jī)的分配;和在分離的節(jié)點(diǎn)處存儲(chǔ)所述至少兩個(gè)數(shù)據(jù)部分中的每一個(gè)�����,其中每個(gè)節(jié)點(diǎn)包括至少一個(gè)備份磁帶��,并且其中可以從至少兩個(gè)節(jié)點(diǎn)恢復(fù)所述數(shù)據(jù)集����。
5. 如權(quán)利要求4的方法��,還包括以從由SHA- 256����、 HMAC散列值和其任意組合構(gòu)成的組中選擇的值數(shù)字地保護(hù)所述備份磁帶�。
6. 如權(quán)利要求5的方法�,還包括根據(jù)所述值是否改變來(lái)確定所述備份磁帶是否能夠用于恢復(fù)所述數(shù)據(jù)集。
全文摘要
提供了一種可被集成到用于安全存儲(chǔ)和傳遞數(shù)據(jù)的任意適合的系統(tǒng)中的安全數(shù)據(jù)解析器�。安全數(shù)據(jù)解析器解析數(shù)據(jù),然后將數(shù)據(jù)分割為被不同地存儲(chǔ)或傳遞的多個(gè)部分���?���?梢圆捎迷紨?shù)據(jù)�,所述數(shù)據(jù)部分或這兩者的加密以提供附加的安全性。通過(guò)將原始數(shù)據(jù)分割為可被使用多個(gè)通信路徑傳遞的數(shù)據(jù)部分����,該安全數(shù)據(jù)解析器可用于保護(hù)運(yùn)動(dòng)中數(shù)據(jù)。
文檔編號(hào)G06F11/14GK101689230SQ200780050007
公開(kāi)日2010年3月31日 申請(qǐng)日期2007年12月5日 優(yōu)先權(quán)日2006年12月5日
發(fā)明者D·馬丁, 里克·L·奧爾西尼, 馬克·S·奧黑爾 申請(qǐng)人:安全第一公司