專利名稱:計算機網絡及其中控制網絡組件訪問個人識別設備安全的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及使計算機網絡安全的裝置�,尤其涉及加入到計算機網絡中并用于安全地認證個人持有者及控制個人對計算機網絡的組件訪問的范圍的數(shù)字個人識別設備。
背景技術:
保護電子信息越來越受到全球關注�。無論信息是由知識產權、重要的操作數(shù)據或個人信息組成�����,由于全球的競爭��,公眾對數(shù)據的個人發(fā)布的關注及新的立法�,無意地暴露信息的代價日益增加。這些問題由普及的網絡技術組成�,它們使能從幾乎任何地方和眾多的訪問設備訪問數(shù)據。例如,影響如美國保健工業(yè)那的工業(yè)的管理需要(其中采用規(guī)則以保證保健器具采取所有合理的措施以保證個人的可識別的健康信息的安全性及保密)��,于是產生越來越多的要求�����,能夠在每個預期的用戶允許訪問網絡或其中認為是敏感或機密的數(shù)據之前認證該用戶����。
網絡的每個組件,和那樣組件之間的每條路徑能成為攻擊的目標(即允許由未認證的對象訪問)��。此外�����,在網上訪問機密數(shù)據的能力不一定需要個人登錄到網絡中��,因為在網絡計算機屏幕的觀看距離內的未授權的觀察者能在屏幕顯示機密數(shù)據時簡單地觀看屏幕就能訪問那樣的數(shù)據��,因此���,著眼于用戶認證來提供那樣的保護以達到數(shù)據訪問保護的通常方法只解決未授權的網絡用戶的問題����,而不解決不試圖通過使用而訪問網絡的未經授權的觀察者的問題。
在網絡系統(tǒng)中加密常用作安全措施��,它使用私有密鑰和公開密鍵�。術語“私有密鑰”和“公開密鑰”在本專業(yè)中是公知的,并用于非對稱加密��,其中一個密鑰用于加密而另一個用于解密�,且這些密鑰之一���,即私有密鑰��,由用戶保存�����,永不揭示或傳送��。非對稱加密認為比對稱加密提供更高級的加密��,后者使用共享的密鑰于加密及解密(共享的情況引入不安全的因素)��。使用非對稱加密發(fā)送消息到另一方�����,那一方的公開密鑰使用公開密鑰的底層結構(PKI)定位����,并被用于加密消息,從而只有具有對應私有密鑰的個人(即為其產生消息的另一方)能夠解密該消息�。
術語數(shù)字簽名也是本專業(yè)眾所周知的,并指的是使用私有密鑰加密的消息摘要�,消息摘要是要簽名的文檔或交易的濃縮形式,它不能用于重建文檔或交易本身�,且它對文檔中小的改變特別敏感。通過用對應的公開密鑰解密數(shù)字簽名來驗證數(shù)字簽名以恢復消息摘要�,隨后將此消息摘要與由驗證器從試圖簽署的文檔計算的消息摘要比較。此技術能用作認證過程的一部分����,其中一方證明他們具有能加密并返回消息摘要的特定私有密鑰。在此情況����,消息的特定內容不是關鍵的,在認證完成之后消息摘要能被舍棄�。更一般地,加密的消息摘要被用于證明�,特定密鑰的持有者涉及包括該消息的交易,通常指出��,他們同意該消息,就好象使用物理簽名來表示簽字的主人參與文檔�。在此情況,摘要的加密形式必須保留在安全方��。數(shù)字簽字的兩種形式用作為本發(fā)明的部分�����。
用戶識別系統(tǒng)常使用口令����,智能卡�����,仿生網絡安全信息�,和/或PKI(公開密鑰底層結構)安全措施,在它們集中于認證過程的安全部分的同時�,已知的系統(tǒng)打開了其他的攻擊道路。例如���,軟件和系統(tǒng)依賴于用戶知道的某些事�����,如用戶名和口令����,這極容易被偷到,看到或用其他方法獲取��,隨后被未授權的個人使用���,根據權標的措施(即用戶具有的某些東西)�����,如智能卡���,類似地易受攻擊,因為權標能遺失或被盜竊��,因而不保證實際出現(xiàn)的是授權的用戶�。
根據仿生網絡安全識別器的安全措施(即用戶的某些東西)對未授權的介入同樣易受攻擊,例如���,任何使用中央服務器證實出現(xiàn)的仿生網絡安全信息產生安全的弱點���,因為需要在參與那樣遠程證實的通訊通道上(即在捕捉出現(xiàn)的仿生網絡安全信息的仿生網絡安全傳感器和當?shù)赜嬎銠C之間��,和當?shù)赜嬎銠C和包含與出現(xiàn)的仿生網絡安全信息比較的驗證數(shù)據的驗證中央服務器之間)傳輸重要的仿生網絡安全數(shù)據�����。因而�,若仿生網絡安全識別器要有效地作為安全性措施���,其操縱及處理的方式是重要的��。
需要不僅識別出計算機網絡可能遭受未授權的滲入的潛在的失敗點���,并還開發(fā)出以全面的方式解決和減少那樣易受攻擊的區(qū)域。安全性缺口能以各種形式發(fā)生��,包括重演(指的是以前的響應元素被捕捉并用于插入一假的響應的情況�����,窺探(指的是未授權的觀看)���,欺騙(指的是冒名頂替者將其自己和經理均插入接收和發(fā)送,使其看來是網絡的真誠的單元)�,和/或拖后(指的是通過結合被授權的用戶放棄的授權訪問序列獲得的未授權訪問的情況)���。
重要的是,要避免在識別/驗證過程中由時間間隙和/或單向驗證校核引起的易受攻擊性��。專利申請者認識到需要實時采取驗證校核過程����,并在中央驗證授權和要驗證的本地實體之間需要重復的驗證校核,以防止某些類型的安全缺口�����。
也需要自動地和有效地監(jiān)視控制的措施和對具有對網絡的不同等級訪問(如全部訪問或有限止的訪問)的授權的個人產生檢查跟蹤的措施�。
發(fā)明概述按本發(fā)明,提供用于控制網絡訪問的改善的網絡安全系統(tǒng)和方法�����,以及個人識別設備��,以提供對個人的身份和在特定網絡訪問點出現(xiàn)的實時認證���。在便攜的個人數(shù)字識別設備上提供生物網絡安全驗證和加密的同時應用��,以提供經認證的數(shù)字簽名����,它被用于建立對存在網絡上的數(shù)據的安全訪問,并用于在網絡上完成安全的交易�。
按本發(fā)明的安全系統(tǒng)控制在包括如個人計算機(PC)的工作站的網絡訪問上對計算機網絡的訪問。個人數(shù)字識別設備包括(a)包括收發(fā)器的無線通訊組件�;(b)包含傳感器和軟件組件用于獲取用戶的輸入生物網絡安全信息并產生其數(shù)字表示的生物網絡安全信息獲取組件;(c)配置成與收發(fā)器及生物網絡安全組件通訊的處理器���,能操作完成(i)估算從數(shù)字表示導出的模型是否對應于從以前由生物網絡安全信息產生的用戶的生物網絡安全數(shù)字表示導出的主模型�����,當制定有那樣的對應��,產生匹配信號��;(ii)產生由個人數(shù)字識別器設備持有的私有密鑰和對應的公開密鑰�����,并輸出所產生的公開密鑰由收發(fā)器發(fā)送;(iii)使用私有密鑰產生數(shù)字簽名����;和(iv)使用對應與安全管理器組件相關的私有密鑰的公開密鑰驗證���,加密的接收消息是從安全管理器組件來的;和(d)包含用戶的生物網絡安全信息的主模型�,所產生的私有密鑰和對應與安全管理器組件相關的私有密鑰的公開密鑰的安全存儲器。個人數(shù)字識別設備配置成使用所產生的私有密鑰產生數(shù)字簽名的查問響應消息�����,隨后響應從安全管理器組件接收的查問產生匹配信號并發(fā)送該響應消息�。個人數(shù)字識別設備還配置成防止發(fā)送用戶的生物網絡安全信息的主模型及私有密鑰中的任何一個。
基本單元與工作站相關并配置成起動和維持與個人數(shù)字識別設備的無線通訊�����。通訊在由與工作站相關的包絡定義的區(qū)域上延伸��,包絡的形狀和區(qū)域配置成包含鄰近于工作站的那些位置��,在那些位置上觀察者能閱讀和/或理解在工作站的屏幕上顯示的信息�。
安全中央服務器訪問網絡存儲器并使用安全管理器組件及個人數(shù)字識別器設備認證用戶。網絡存儲器包含對應由個人數(shù)字識別設備產生的私有密鑰的公開密鑰����。
最好基本單元有規(guī)律地發(fā)送第一信號給個人數(shù)字識別設備��,而當個人數(shù)字識別設備處于包絡之中對它發(fā)送響應信號作為響應�����。系統(tǒng)最好包括多個個人數(shù)字識別器設備��,多個工作站和多個基本單元�����,其中一個基本單元與每個工作站相關且每個基本單元發(fā)送輪詢信號到與基本單元的有關包絡中的每個個人數(shù)字識別設備����,隨后基本單元從每個個人數(shù)字識別設備接收響應信號����。
最好保持在個人數(shù)字識別設備的安全存儲器中的所有數(shù)據本身不能識別用戶,且網絡存儲器包括可識別用戶的數(shù)據��,在用戶的個人識別設備位于包絡之中時它被顯示在工作站的屏幕上�。
最好一旦用戶被認證在工作站上訪問網絡時,該用戶通過網絡對應用軟件的訪問由控制安全管理器組件的政策管理器組件確定����。
附圖簡述現(xiàn)對附圖進行闡述,它們通過例子示出本發(fā)明的較佳實施例(其中相似的參照號自始至終表示類似的單元)����;
圖1是通過控制網絡訪問使通訊網絡安全的本發(fā)明系統(tǒng)的一般方框圖;圖2是原理方框圖�����,示出按本發(fā)明的個人數(shù)字識別設備(PDI)的組件�,其中PDI放置在再充電設備支架(托架),用于從安全的單用戶位置的網絡訪問��;圖3是示出本發(fā)明的安全系統(tǒng)的基本單元(BU)組件的方框圖����;圖4(a)、4(b)和4(c)是流程圖�,示出按本發(fā)明的用戶采集及登錄的過程;和圖5(a)和5(b)是流程圖�����,示出由本發(fā)明用于產生數(shù)字簽名的較佳實施例的安全系統(tǒng)使用的過程��。
較佳示范實施例的詳細描述按本發(fā)明的較佳安全系統(tǒng)示于圖1中�����。在較佳實施例中作為個人計算機(PC)的多個工作站100通過網絡200通訊,后者是全球通訊網�����,廣域網(WAN)�、城域網(MAN)或局域網(LAN)中任何一種。在提供對網絡200的訪問點的每個那樣的PC100上有一個基本單元(BU)設備50���,連接到PC的通訊端口(在所示的實施例中為USB端口)和設備管理器(DM)150軟件組件����,它轉接如BU50和安全中央服務器300之間的消息��。一個或多個個人數(shù)字識別(PDI)設備10�,當該PDI在與PC100及所連接的BU50相關的預定檢測包絡中時與BU50通訊。PDI10使用無線通訊(對此實施例使用IR�����,但在其他可能的另選實施例中也能使用光線RF等其他方法)與UB50通訊�,并能由允許通過PC100訪問網絡的個人發(fā)布,攜帶或佩載���。
BU50使用同樣的無線通訊裝置與PDI10通訊���,并自動地起動與位于檢測包絡中的任何那樣PDI10的通訊。建立的檢測包絡使延伸到在PC100的顯示屏幕的前方及側面的區(qū)域�����,以致于包括任何個人/PDI對�����,其中人近到足以看到屏幕并能閱讀或理解在屏幕上顯示的內容���。通過那樣配置在BU50/PC100對和PDI10之間的通訊包絡�����,安全系統(tǒng)在佩帶PDI的人進入PC100的有效視覺范圍時檢測所有PDI�����。
PC100通過網絡200與安全中央服務器300通訊���,在服務器上運行安全管理器(SM)340��,政策管理器(PM)320和交易管理器(TM)380應用程序��。交易管理器380管理在安全中央服務器300和網絡上其他設備之間的所有通訊���,包括在PC100或在其他網絡服務器上運行的設備管理器150和任何有關的應用。安全管理器340控制包括加密和數(shù)字任免的所有活動�。政策管理器320判斷用戶對網上的應用軟件或數(shù)據的訪問是否受限止。若是則控制安全管理器340相應地限止用戶的訪問��。通過中央服務器300訪問包括軟件組件(即注冊應用套件)和安全數(shù)據庫的注冊授權(RA)組件360����。
參考圖2,PDI設備10只包含少量線路�����,且是簡單��、輕的和可佩戴的��。PDI10包括仿生網絡安全信息獲取組件����,在圖示的實施例中它包括指紋微芯片傳感器��,它使用固態(tài)���,非光學傳感器取得用戶手指的圖象以確認用戶的身份。感覺如語音特征���,虹膜圖案和面部特征并將其轉換成表示的信號的傳感器是在不同適當?shù)膶嵤├锌墒褂玫钠渌x擇。提供微處理器20處理用戶的仿生網絡安全注冊和驗證�,建立并驗證數(shù)字簽名并實現(xiàn)非對稱和/或對稱的加密。提供本專業(yè)眾所周知的安全存儲器25��,安全地只存儲加密密鑰和用戶的仿生網絡安全模型���。在PDI10不存儲可識別個人的數(shù)據(即本身直接或間接地識別用戶的數(shù)據)��,因為這使很熟練的非授權第三方獲取用戶的身份和用戶的仿生網絡安全模型�����,使那一方設法滲入安全存儲器并獲取對存儲那里的數(shù)據的訪問�����,無線通訊收發(fā)器15允許短范圍的無線通訊(使用890nm的近紅外)����。可充電電池40供給管理系統(tǒng)電源以允許PDI0在適當?shù)臅r間周期(如2周或更長)內連續(xù)運行�����。每個PDI10具有賦予的全球唯一的識別(ID)號����,因而每個設備能由其ID號辨別。提供電池充電器再充電PDI10的電池����,可使用再充電設備支架(托架)250將PDI10通訊端口連接器42(如USB連接器)直接連接到PC100,此直接的連接(即系統(tǒng)方式�����,其中PC100不需要或不使用BU50)有用于達到從安全位置對網絡的安全登錄����,在安全位置只期望出現(xiàn)單個用戶,例如總公司����。設備的支架配置成與PDI的外殼聯(lián)合����,使得當PDI相對于設備的支架適當定位時�,PDI安全地由設備的支架固定。
參考圖3���,基本單元(BU)設備50還包括允許短范圍無線通訊(使用890nm的近紅外)的無線通訊收發(fā)器55��。如上所述�����,收發(fā)器55和BU50的定位配置成使能接收在PC100周圍的預定檢測包絡中的任何PDI。微處理器60管理PDI10(若多于1個PDI在BU的無線通訊范圍內能是多個PDI)和BU50之間以及BU50和PC100之間的通訊��。提供通訊端口連接器65(如USB連接器)將BU50連接到主PC100�。
每個PDI10和BU50包括硬件和軟件的組合,它分別控制收發(fā)器10�,55的操作,使得它們帶著近似于人們的眼睛閱讀與PC100有關的顯示屏幕的能力的范圍和角度特征操作���,以致于任何足夠靠近主PC以便能閱讀或理解其顯示屏幕上數(shù)據的個人/PDI對的出現(xiàn)能被BU檢測到�����。檢測包絡的形狀和大小是可控制的��,并能通過施加到BU和PDI的硬件和軟件改變的組合而變化���,以適應當?shù)豍C/工作站配置或組織的需要�。本專業(yè)熟練人士容易對任何給定的配置達要所希望的變化�����。通訊軟件允許由基本單元50達得在預定檢測包絡中的所有PDI10�����,且基本單元維持以會話形式與每個那樣PDI的通訊�,只要它們落在檢測包絡的范圍內,會話包括加密的數(shù)據流��,并配置成能檢測試圖加入到此會話中的任何其他設備��,當用戶簡單地避開或遮斷在PDI10和BU50之間的光路時為了簡化此會話的繼續(xù)���,有可能在PDI和BU雙方包括第二收器�����,它使用如短范圍無線電頻率(RF)波那樣的無方向通訊方式���。不使用此方式開始會話���,但能在短時間期間保持繼續(xù)。
每個PDI10還包括加密軟件組件�����,它管理在PDI10中一個或多個私有/公開密鑰對的建立和在PDI中所有隨后的處理����,包括加密和解密消息。PDI10的認證通過通訊協(xié)議確認�,而在線路板上(即包含在PDI中)的私有密鑰用于數(shù)字簽名由安全管理組件(SM)340發(fā)送的查問�����,安全管理組件在網絡的中央服務器300上運行����。重要的是當從安全管理器使用其線路板上私有密鑰接收消息來源時�,PDI10首先認證該安全管理器��。PDI的加密軟件模塊配置成根據從外部應用程序來的消息簽署由安全管理產生并送到PDI的消息摘要�����。在PDI簽名那樣的消息摘要之前��,通過驗證用于創(chuàng)建該摘要的安全管理器的密鑰認證����,該消息摘要實際上是從該安全管理器來的,這就保護PDE免受欺騙��,簽署不應簽署的任何其他文檔����。
對本發(fā)明的封閉系統(tǒng),加密的底層結構相當簡單��,并包括由簡單的層次結構及安全服務器支持的公開密鑰的數(shù)據庫記錄�����,以提供數(shù)字簽名的專線驗證���。
在每個PDI10的仿生網絡安全信息獲取組件35中包括仿生網絡安全軟件組件���。此軟件組件將從指紋微芯片35接收的仿生網絡安全圖象的數(shù)字表示轉換成一個模型��,并將該模型與用戶的仿生網絡安全信息相匹配���,后者是用戶在用該安全系統(tǒng)注冊對捕捉及存儲的。仿生網絡安全組件的匹配算法將從用戶的仿生網絡安全的輸入實時(即實況)表示(即從指紋微芯片的輸入)產生的模型與存儲在PDI安全存儲器25中的主模型相比較�,并輸出包含比較結果的數(shù)字簽名的消息,發(fā)送到安全管理器����。在遵照由政策管理器組件的請求的給定時刻或在預定時間間隔內,PDI10能通過將從用戶的輸入仿生網絡安全信息導出的新的模型實時地與存儲的模型比較而驗證用戶���,那樣的驗證完全在PDI10的線路板上進行(即只使用它本身的裝置)而不必傳輸所使用的存儲數(shù)據來完成���。
PC100包括設備管理器軟件組件(DM)150,它從BU50接收信息�����,并轉而與在中央服務器300上運行的交易管理器組件(TM)380通訊��。當BU50在指定的預定時間周期內喪失與PDI10的通訊���,在BU50和PDI10之間的會話結束�,且TM380通知政策管理器組件(PM)320�,該PDI10不再在預定的檢測包絡內。當TM380接收通知�����,BU50已檢測到新的PDI10�,它命令PC100向檢測的用戶顯示有關登錄過程的狀態(tài)信息,且若是合適的�����,邀請授權的用戶登錄到該系統(tǒng)中�。根據政策管理器的設定,作為現(xiàn)有登錄的會話的部分在屏幕上當前顯示的任何感知的信息自動變空白�。在新檢測的PDI設備的用戶在仿生網絡安全上用安全管理器認證他們自身并且政策管理器判定他們作為觀察者具有觀看此數(shù)據的權利之前,屏幕已恢復���。
此外��,在通知了檢測的PDI后�����,交易管理器組件380控制PC100顯示(在其顯示屏幕上)檢測的用戶的視覺識別符����,如用戶的名字,或最好從注冊數(shù)據庫中檢索的用戶的面部形象����。這提供兩個安全校驗。首先��,向用那樣的顯示屏幕工作的授權用戶提供在該屏幕的視覺范圍內所有個人的身份的強烈的視覺通告�����,這幫助用戶防止非授權的數(shù)據訪問(用戶立即知道其他人進入能閱讀在屏幕上顯示的信息的范圍�,并能確切地看到那人是誰)。其次�,在屏幕前工作的用戶期望在屏幕上看到在該屏幕的區(qū)域內的所有人的形象,若一個人的形象未被檢測到�����,用戶將警覺到,未被檢測的個人的PDI是出了故障��,需要充電����,維修或更換���。此特征可選地能用于控制在建筑物中的進入點�����,提供工作站值班員(如安全保衛(wèi))�,當一個個人/PDI對在該工作站附近經過時��,注冊到PDI的個人的形象立即自動地顯示(在安全情況中那樣顯示的形象及佩戴該PDI的個人應是同一個)���。類似地��,若蓄意的個人試圖觀看在他人登錄時沒有資格訪問的信息����,或若他們試圖通過佩載假冒品進入安全位置���,他們的形象不被顯示的事實立即提醒合法的用戶出現(xiàn)某些不恰當?shù)氖隆?br>
安全管理器組件340管理發(fā)生在PDI10和網絡安全系統(tǒng)的其他組件之間����,如注冊授予權數(shù)據庫360的安全過程,還管理由外部應用程序發(fā)送給用戶或反向發(fā)送的消息���,消息需要驗證和/或數(shù)字簽名����。安全管理器使用結合數(shù)字簽名的查問/響應機制認證PDI10�,從向所有進一步的活動只由認證的用戶采取。安全管理器還建立要發(fā)送到用戶和所有系統(tǒng)事件的公證的日志的任何文檔或交易的消息摘要(數(shù)字公證過程是本專業(yè)所眾所周知的���,并用于將時間/日期和可信的第三方簽名附加到簽名的文檔)����。此外���,根據應用安全管理器能與政策管理器組件320通訊和咨詢����,后者應用商業(yè)規(guī)則和工作流程提供從數(shù)據庫提取的數(shù)據的晶?����?刂疲@發(fā)生在應用需要對不同用戶有不同安全層次的情況���,即不同用戶根據層次分類對訪問數(shù)據具有不同層次的授權,使得高度機密的數(shù)據只允許對有限數(shù)目的用戶��。
安全系統(tǒng)對注冊一個新用戶使用結構的和嚴密的過程���。對于系統(tǒng)已經賦予注冊新用戶的特權(注冊特權)的現(xiàn)有的用戶必須登錄到網絡中并運行注冊應用程序���,它形成注冊授權組件(RA)360的前端。對于知道要登錄的新用戶的用戶(這里稱為保證人)也能出現(xiàn)在同一BU50處���。注冊授權數(shù)據庫包含有關用戶���,他們的角色(如保證人)和他們注冊新用戶的特權的信息。在某些情況����,如帶有注冊特權的用戶也能扮作保證人的角色。然后輸入有關新用戶的某些基本的傳記數(shù)據���,可能包括新用戶的名字��、地址�����、生日�����,用于建立身份的支持文檔的編號���,以及系統(tǒng)配置或捕捉該個人的如面部形象的任何其他特定數(shù)據����,那樣輸入的數(shù)據只存儲在RA數(shù)據庫而不存儲在PDI10���。然后用戶得到PDI設備�,而PDI的可操作性通過下到步驟測試���,由PC100的BU50獲取PDI并使用安全管理器校核該PDI�,以保證它處在轉交給新用戶的正確狀態(tài)���;若是���,則注冊過程如下那樣開始�。使用微處理器20�����,PDI設備本身產生并內部存儲用戶的仿生網絡安全模型和一個或多個公開及私有密鑰�。PDI采樣新的用戶指紋���,直到得到一致的和滿意的指紋模型�。最終得到的指紋模型不傳輸?shù)较到y(tǒng)的任何外部組件而存儲在PDI設備的安全存儲器中�。有關指紋的仿生網絡安全信息從不離開PDI設備。然后注冊應用程序命令PDI10產生一個或多個密鑰對����,且那樣產生的所有私有密鑰永遠保留在PDI10中,永不傳輸?shù)絇DI之外�����。那樣產生的公開密鑰送到中央服務器300并存儲的RA數(shù)據庫360�。安全管理器在安全存儲器中還保持其本身的私有密鑰�,對應這些私有密鑰中至少一個的公共密鑰被提供給PDI���,并保持在PDI的安全存儲器中�。然后這些私有和公開密鑰被PDI和SM使用以驗證或建立數(shù)字簽名�,交易和導向新用戶的PDI或從那里來的查問。在新用戶注冊過程中�,可要求保證人經過在保證人的PDI設備中的指紋芯片確認他們,以致于建立數(shù)字簽名���,證明保證人擔保該新用戶�。
本安全系統(tǒng)的PDI10通過加密過程受保護���,免受工廠(它們制造的地方)和使用方之間的竄改(免受在初始提交期間或設備維護期間發(fā)生的事件的影響)����。新制造的PDI設備用在接收的機構處的安全管理器的公開密鑰并用初始發(fā)布的私有密鑰編程����。當這些PDI設備被送到該機構時,它們各不相同的ID號的表被分別地并安全地送到該機構����。在注冊新用戶的過程中�����,PDI使用初始發(fā)布的私有密鑰向安全管理器認證自己(安全管理器具有私有密鑰的公開密鑰)�,且安全管理器使用其私有密鑰向PDI認證自己��。此外�,PDI設備的單獨的ID號送到安全管理器,且這匹配從工廠接收的PDI設備ID號的表����。此協(xié)議保護結構免受欺詐設備的攻擊,對在工廠維修后返回到該機構的PDI設備使用同樣的協(xié)議�����。
登錄和其他特權在給網絡域上只對那些PDI可用����,它們用與該網絡域相關的注冊授權注冊���,但是因為每個PDI10也具有單獨的ID號����,它由安全管理器辨別而無關于對其注冊初始使用的特定的注冊授權。因而���,PDI的ID號的全球特性允許通過共享不同注冊授權的數(shù)據庫集成不同的安全系統(tǒng)(即在不同注冊授權下運行的系統(tǒng))��。
借助圖4(a)到4(c)的流程圖描述由安全系統(tǒng)在獲取(即由BU50檢測PDI10是否在范圍中)PDI并隨后對登錄訪問驗證PDI的過程中完成的步驟����。BU發(fā)送定常IR信號到環(huán)繞PC100/BU50在檢測包絡��,安接收BU的此IR信號并立即響應該BU����,由該BU起動其獲取過程。然后BU將PDI加到輪詢循環(huán)中�����,PDI由任何在范圍中的BU獲取而不管PDI是否在系統(tǒng)中注冊����。獲取步驟在低處理層次上進行,而BU將新的PDI設備加到輪詢循環(huán)用于監(jiān)視該PDI�,并發(fā)送消息到識別及查詢PDI的單獨的ID號的中央安全管理器。若該PDI是系統(tǒng)上注冊的設備��,用戶具有登錄的特權,并沒有人登錄到PC100(工作站)�����,將邀請用戶登錄到PC100��。若該PDI是系統(tǒng)上注冊的設備���,但某人已登錄到PC100���,任何感知信息(如由政策管理器判定)可以立即成空白,并在PC100顯示與檢測的PDI有關的用戶的可視識別符�����。根據此新用戶觀看與當前登入的會話有關的數(shù)據的特權��,新的用戶隨后被允許在仿生網絡安全方面認證他(她)自己���,并保護作為觀察者。這通過與政黨登錄的復位相同的過程而發(fā)生���,其不同在于在最后步驟���,TM記錄觀察者的出現(xiàn)并請求網絡應用軟件或PC100恢復屏幕而不是登錄用戶���。對或者試圖登錄,或者成為觀察者的用戶����,下一步驟是SM準備查問消息,它具有某些隨機選擇的信息���,且SM用其私有密鑰作數(shù)字簽名����。此消息隨后傳輸?shù)絇DI設備����。由屏幕顯示邀請用戶通過將他們的手指放在指紋芯片上并確認他們的身份未登錄(可選地包括他們的名字)。PDI設備首先通過使用存儲在PDI設備上SM的公開密鑰驗證消息上數(shù)字簽名確認�,它從合法的SM過程接收消息。然后獲取用戶的指紋并提取模型��,并與存儲在設備上的模型比較�。若存在匹配,則消息發(fā)回到SM,它包含該查問并確認�����,該用戶已在仿生網絡安全方面被認證�。此消息使用存儲在線路板上它的私有密鑰由PDI設備數(shù)字簽名。確認消息由SM使用存儲在注冊授權中的PDI設備的公開密鑰認證和校核���,以保證該查問被正確地返回���,這就避免了重演的攻擊。若PDI設備被用作對單個登錄(SSO)過程的認證裝置���,其中登錄訪問授權給網上的PC100����,則TM380將消息送給PC100上的登錄組件�,請求登錄用戶。
若PC100的用戶已經登錄到PC100并希望訪問基于一個或多個應用的特定網絡�,則TM380將通過SM,用運行該應用程序的安全服務器互相認證他們自己��,并將通知此服務器�,用戶已經登入。例如在保健領域�����,對PC上的上下文管理有一個稱為CCOW(Clinical Contest Object Workgroup-診所上下文對象工作組)的形成的標準��,它允許共享注冊��。然后TM380與CCOW使能的應用程序互動����,允許用戶使用有關用戶的角色的信息和從注冊授權360數(shù)據庫獲得的特權只訪問由政策管理器320認為合適的應用程序或數(shù)據的子集。通常�����,在整個用戶的登錄會話中���,安全管理器340和政策管理器320共同趣著在所有網絡應用程序和數(shù)據上的安全過渡器��。
一個PDI當被遺失或被盜竊時可記錄在安全系統(tǒng)中�。在此情況���,一旦獲得該PDI���,SM驗證該PDI���,并作為結果判定,該PDI被列為遺失的�����。安全管理已知道獲取PDI的BU�����,此外安全管理器知道該BU的位置和該PDI鄰近于該BU�。然后此識別PDI的位置的信息被傳送到指定的用戶(如管理員或安全協(xié)調員)使得丟失的PDI能被檢索,并若它已被偷�,負責的部分能夠了解。
在用戶的登入會話期間�����,在登錄之后����,PDI設備和基本單元周期地通訊,以保證該PDI仍然在檢測包絡之中�����,此會話包括加密通訊�����,它保證基本單元能夠檢測其他(未授權的)設備將消息插入通訊流的企圖�。若用戶的PDI在第一預定時間周期內,例如由于用戶從工作站走開去拿某個東西而停止與BU通訊�����,DM控制工作站完成預定的注銷過程以保證沒有未授證的個人能替代授權的用戶繼續(xù)使用該應用軟件�。這可以是暫時的自動注銷,在此情況若在短的第二預定時間周期內再次檢測到用戶的PDI���,DM將控制在用戶處在BU失去與用戶的PDI通訊的能力的點上恢復應用軟件的操作��?�?蛇x地����,系統(tǒng)可配置成登錄入會話期間���,需要用戶使用PDI在仿生網絡安全上再次驗證他們的出現(xiàn)��,且這可以由經過的時間或由政策管理器根據用戶對特定應用程序和數(shù)據的訪問作出的決策隨機地獨發(fā)�。這保證在整個登入的會話期間用戶保持物理上帶著PDI出現(xiàn)。
如圖4(a)到圖4(c)的流程圖所述�,在獲取/驗證過程中,系統(tǒng)在空間和時間兩方面在用戶的仿生網絡安全認證及PDI的加密驗證之間�,在用戶及安全管理器之間建立了緊密的聯(lián)系,以至于安全地確立了�,授權的用戶帶著指定給該用戶的PDI出現(xiàn),并正確地與安全管理器通訊����。如這里所述,通過將存儲的仿生網絡安全模型與從現(xiàn)場仿生網絡安全傳感器(如指紋芯片)產生的仿生網絡安全模型比較���,在PDI的線路板上實時驗證用戶的身份���,兩個模型在整個過程中均保留在PDI中。PDI和安全管理器通過使用按照查問/響應協(xié)議通訊的數(shù)字簽名互相驗證�����,而且對任何給定的文檔/交易簽名PDI借助數(shù)字簽名的消息��,實時通知安全管理器關于用戶的身份。
在使用應用程序的過程中�,對用戶可以有數(shù)字簽名文檔或其他形式交易(如藥方)的要求。圖5(a)和5(b)的流程圖描述了系統(tǒng)為對文檔/交易建立數(shù)字簽名所采取的步驟���。簽名的過程由應用程序請求����,它將要簽名的文檔/交易送到SM�。SM建立包含源地址和目標地址��,文檔/交易的消息摘要�����,時間標簽和隨機數(shù)據的消息���。然后此消息被數(shù)字簽名并送到PDI設備�����。
PDI設備首先驗證SM的簽名�,這避免了其他過程作出PDI設備的簽名請求或消息摘要被竄改或替換的可能性���。若簽名的請求包括對確認用戶的身份的需要�,則請求用戶當前在審查情況下現(xiàn)場數(shù)字簽名該文檔或交易是應用程序的責任。然后用戶將他的手指放在指紋芯片上�����。然后PDI設備等待用戶將其手指放在設備上���。一旦檢測到手指的放置�����,圖象被捕捉�,處理并與存儲的模型作比較���。若模型匹配出現(xiàn)的手指��,建立包含源地址及目標地址��,原始文檔/交易的消息摘要和隨機數(shù)據的消息��。然后此消息被數(shù)字簽名并送到BU��,從那個再轉送到SM�����。若手指不匹配模型����,允許用戶作若干次重試,然后指出匹配失敗的數(shù)字簽名消息被送到SM�����。SM使用PDI設備的單獨ID查找PDI設備的公開密鑰���,且使用此信息驗證消息。在地點����、身份認證的結果被送到請求認證的應用程序,若必要���,數(shù)字簽名消息的拷貝被送到安全的公證服務����。
能使用數(shù)字簽名保證�,基本文檔/交易的數(shù)據事后未被改變����。給定了包括仿生網絡安全身份驗證的前述過程的特性�����,也能做到揭穿用戶拒絕該簽名的企圖�。
本安全系統(tǒng)提供了在特定的網絡訪問點上用戶出現(xiàn)的實時肯定的認證,它建立并監(jiān)視在該網絡訪問點及選定的網絡服務器之間的安全加密路徑�����,它還提供收集數(shù)字簽名的可靠手段����。
在以前描述的較佳實施例中采用的獨特的電子線路和處理功能容易被本領域的技術人員所理解,讀者可認識到�,技術人士另外設計出的各種其他應用。在電子安全系統(tǒng)和通訊設計領域中的技術人士很容易能將本發(fā)明應用于對給定應用領域的適當?shù)膶嵤┓椒ā?br>
因而可以理解�,這里通過圖示所示出和描述的特定實施例不試圖限止由發(fā)明者申請的發(fā)明范圍,這由附加的權利要求所確定�。
權利要求
1.用于控制對計算機網絡訪問的個人數(shù)字識別設備,所述網絡包括多個工作站����,每個具有與其相關的基本單元���,所述基本單元配置成與所述個人數(shù)字識別設備無線通訊,所述網絡還包括采用安全管理組件及網絡存儲器的中央服務器�,所述安全管理器組件與私有密鑰及對應的公開密鑰相關,且所述網絡存儲器包含對應于由所述個人數(shù)字識別設備保持的私有密鑰的公開密鑰����,所述個人數(shù)字識別設備是輕型,配置成由注冊的用戶所佩戴和/或攜帶�����,并包括(a)包括收發(fā)器的無線通訊組件�����,用于與所述基本單元通訊����;(b)仿生網絡安全信息獲取組件���,用于獲取用戶輸入的仿生網絡安全信息并產生其數(shù)字表示���;(c)配置成與所述收發(fā)器及所述仿生網絡安全組件通訊的處理器�,可操作完成�����;(i)計算從所述數(shù)字表示導出的模型是否對應于從以前由所述仿生網絡安全組件產生的用戶的仿生網絡安全的數(shù)字表示導出的主模型����,并當判定有對應關系時產生匹配信號;(ii)產生由所述個人數(shù)字識別設備保持的所述私有密鑰和與其對應的所述公開密鑰����,并輸出所述產生的公開密鑰,由所述收發(fā)器發(fā)送����;(iii)使用所述私有密鑰產生數(shù)字簽名;和(iv)使用對應與所述安全管理器組件相關為所述私有密鑰的所述公開密鑰驗證��,從所述安全管理器表面上接收的加密消息的源是否所述安全管理組件�����;(d)包含用戶的仿生網絡安全信息的所述主模型�����,所述產生的私有密鑰,和對應與所述安全管理器組件相關的所述私有密鑰的公開密鑰的安全存儲器�����;(e)電源���;和(f)外殼����;所述個人數(shù)字識別設備配置成產生����,使用所述產生的私有密鑰,數(shù)字簽署的查問響應跟隨所述匹配信號之后��,以響應從所述安全管理器組件接收的查問消息�,并用于發(fā)送所述響應消息,所述個人數(shù)字識別設備配置成防止發(fā)送用戶的仿生網絡安全的模型及所述私有密鑰中的任一個�。
2.按權利要求1的個人數(shù)字識別設備���,其特征在于�����,所述仿生網絡安全組件包括傳感器��。
3.按權利要求1的個人數(shù)字識別設備����,其特征在于,響應信號自動地從所述傳感器發(fā)送�����,以響應所述收發(fā)器從一個所述基本單元接收的信號���。
4.按權利要求1的個人數(shù)字識別設備�,其特征在于��,保持在所述安全存儲器的所有數(shù)據本身不能識別所述用戶����。
5.按權利要求2的個人數(shù)字識別設備,其特征在于�,所述傳感器包括固態(tài)指紋傳感器。
6.按權利要求5的個人數(shù)字識別設備�,其特征在于�����,所述傳感器發(fā)送和接收光信號�����。
7.按權利要求6的個人數(shù)字識別設備���,其特征在于,所述傳感器發(fā)送和接收無線電頻率信號����。
8.按權利要求1的個人數(shù)字識別設備,結合支架�,其特征在于,所述設備支架配置成與所述個人數(shù)字識別設備的所述外殼聯(lián)合��,使得當所述個人數(shù)字識別設備相對于所述支架設備合適定位時它由所述支架設備固定���,所述設備支架包括通訊連接器���,用于在所述個人數(shù)字識別設備由所述設備支架固定時,在通訊上將所述個人數(shù)字識別設備直接耦合到一個所述工作站��。
9.用于在包括工作站的網絡訪問點控制對計算機網絡訪問的安全系統(tǒng)��,所述系統(tǒng)包括A.個人數(shù)字識別設備���,包括(a)包括收發(fā)器的無線通訊組件�;(b)用于獲取用戶的輸入仿生網絡安全信息并產生其數(shù)字表示的仿生網絡安全獲取組件�����;(c)配置成與所述收發(fā)器及所述仿生網絡安全組件通訊的處理器���,可操作完成(i)計算從所述數(shù)字表示導出的模型是否對應于從以前由所述仿生網絡安全組件產生的用戶的仿生網絡安全的數(shù)字表示導出的主模型�����,并當判定有對應關系時產生匹配信號���;(ii)產生由所述個人數(shù)字識別設備保持的私有密鑰和與其對應的公開密鑰,并輸出所述產生的公開密鑰�����,由所述收發(fā)器發(fā)送��;(iii)使用所述私有密鑰產生數(shù)字簽名;和(iv)使用對應與所述安全管理器組件相關的私有密鑰的公開密鑰驗證�����,加密的接收的消息是從安全管理器組件而來���;和(d)所含用戶的仿生網絡安全信息的主模型����,所述產生的私有密鑰����,和對應與所述安全管理器組件相關的所述私有密鑰的公開密鑰的安全存儲器,所述個人數(shù)字識別設備配置成產生��,使用所述產生的私有密鑰����,數(shù)字簽名的查問響應跟隨所述匹配信號之后,以響應從所述安全管理器組件接收的查問����,并用于發(fā)送所述響應消息,所述個人數(shù)字識別設備配置成防止發(fā)送用戶的仿生網絡安全的模型及所述私有密鑰中的任一個;B.上所述工作站有關并配置成起動和維持與所述個人數(shù)字識別設備無線通訊的基本單元�,所述通訊在由與所述工作站有關的包絡確定的區(qū)域上延伸;和C.具有對網絡存儲器的訪問并使用所述安全管理器組件以及用于認證所述用戶的所述個人數(shù)字識別設備的中央服務器�,所述網絡存儲器包括對應于由的個人數(shù)字識別設備產生的所述私有密鑰的公開密鑰。
10.按權利要求9的安全系統(tǒng)�����,其特征在于��,所述仿生網絡安全組件包括傳感器����。
11.按權利要求9的安全系統(tǒng)���,其特征在于��,所述工作站是個人計算機���。
12.按權利要求9的安全系統(tǒng),其特征在于��,所述基本單元規(guī)則地發(fā)送第一信號到所述個人數(shù)字識別設備�����,當所述個人數(shù)字識別設備在所述包絡中時所述個人數(shù)字識別設備自動發(fā)送響應信號作為響應。
13.按權利要求12的安全系統(tǒng)��,還包括多個所述的個人數(shù)字識別設備����,多個工作站和多個基本單元,其特征在于����,基本單元與每個所述工作站相關,每個所述基本單元發(fā)送輪詢信號到所述基本單元的相關包絡中的每個所述個人數(shù)字識別設備�����,接著所述基本單元從每個所述個人數(shù)字識別設備接收所述響應��。
14.按權利要求9的安全系統(tǒng)�,其特征在于,保持在所述個人數(shù)字識別設備的所述安全存儲器中的所有數(shù)據本身是不可識別所述用戶的����。
15.按權利要求9的安全系統(tǒng),其特征在于�����,當所述用戶的個人識別設備位于所述包絡中時所述網絡存儲器包括可識別所述用戶的數(shù)據,用于在所述工作站的屏幕上顯示�。
16.按權利要求9的安全系統(tǒng),其特征在于��,所述包絡具有的形狀和大上配置成包含鄰近于所述工作站的那些區(qū)域�,在那里觀察者能閱讀和/或理解在所述工作站的屏幕上顯示的信息。
17.用于控制對計算機網絡訪問的方法����,其中工作站提供對所述網絡的訪問點���,所述網絡包括所述工作站和安全網絡存儲器��,以及基本單元通訊的中央服務器��,基本單元配置成起動和維持與由用戶攜帶或持有的便攜式個人數(shù)字識別設備的無線通訊并與每個所述工作站有關��,所述無線通訊在由與所述工作站相關的包絡確定的區(qū)域上延伸�,所述方法包括以下步驟(a)在對用戶注冊便攜式個人數(shù)字識別設備時����,在所述便攜式個人數(shù)字識別設備中接收所述用戶的輸入仿生網絡安全信息,產生其數(shù)字表示,從所述數(shù)字表示導出主模型�,在存儲器中安全地保持所述主模型,產生并在所述存儲器中安全地保持私有密鑰�,產生對應于所述產生的私有密鑰的公開密鑰并在所述網絡存儲器中提供所述產生的公開密鑰用于存儲在所述網絡存儲器,并接收對應與網絡安全管理器組件相關的私有密鑰的公開密鑰并存儲到所述存儲器�;(b)從與一個所述工作站相關的基本單元發(fā)送第一信號到所述個人數(shù)字識別設備,并當所述個人數(shù)字識別設備在所述包絡中時�,自動地從所述個人數(shù)字識別設備發(fā)送在所述基本單元和所述個人數(shù)字識別設備之間建立通訊的響應信號,以響應所述第一信號����;(c)在所述個人數(shù)字識別設備接收表面上從所述網絡安全管理器組件來的數(shù)字簽名的查問消息,并使用對應與所述安全管理器組件有關的所述私有密鑰的公開密鑰匙所述個人數(shù)字識別設備中驗證所述查問的來源��;(d)在所述便攜式個人數(shù)字識別設備獲取所述用戶的輸入仿生網絡安全信息�����,產生其數(shù)字表示��,并從所述數(shù)字表示導出仿生網絡安全模型��;(e)在所述便攜個人數(shù)字識別設備中計算����,所述仿生網絡安全模型是否對應于所述主模型��,若判定有那樣的對應關系時產生匹配信號�;(f)使用所述產生的私有密鑰在所述個人數(shù)字識別設備中產生數(shù)字簽名的查問響應消息��,跟隨產生所述匹配信號之后以響應所述查問消息���,并發(fā)送所述響應消息到所述安全管理器組件以認證所述用戶�;和(g)允許所述認證的用戶通過所述工作站訪問所述計算機網絡���。
18.按權利要求17的方法�����,其特征在于,還包括配置所述包絡的形狀和大小����,使包絡鄰近所述工作站的那些部位,在那里觀察者能閱讀和/或理解在所述工作站的屏幕上顯示的信息�。
19.按權利要求17的方法,其特征在于�����,還包括,在所述基本單元從所述個人數(shù)字識別設備接收所述響應信號之后��,從所述基本單元發(fā)送輪詢信號到所述個人數(shù)字識別設備�,用于判定所述個人數(shù)字識別設備是否仍然位于所述基本單元的有關包絡之中。
20.按權利要求17的方法�,其特征在于,還包括在用戶被識別時在所述工作站的屏幕上顯示識別所述用戶的數(shù)據����。
21.按權利要求17的方法,其特征在于����,還包括由注冊工作者在擔保人在場時最初注冊所述用戶,所述注冊工作者及擔保人均是計算機網絡的注冊用戶�,且所述注冊工作者具有計算網絡訪問權并借助所述安全管理器組件驗證具有注冊的特權,并需要所述擔保人向所述安全管理器組件提供仿生網絡安全上數(shù)字簽名的消息以認證所述擔保人�,且所述注冊工作者、擔保人和用戶的每一個在所述用戶的所述注冊期間保留在所述包絡之中��。
22.按權利要求17的方法�����,其特征在于���,當新的個人數(shù)字識別設備移動到所述包絡中的位置時政策管理器組件能進行控制��,使所述工作站的屏幕成空白��,直到注冊到所述個人數(shù)字識別設備的用戶在仿生網絡安全方面被識別��。
全文摘要
改進的計算機網絡安全系統(tǒng)和方法�,和用于控制網絡訪問的個人識別設備。新的用戶注冊到便攜式個人數(shù)字識別設備�,用戶的輸入的仿生網絡安全信息被接收并安全地保持在存儲器中,私有密鑰也被產生并安全地保持在存儲器中����。當個人數(shù)字識別設備在鄰近工作站的包絡中時,從與工作站相關的基本單元發(fā)送第一信號到個人數(shù)字識別設備���,后者自動地發(fā)送在基本單元和個人數(shù)字識別設備之間建立通訊的響應信號。由個人數(shù)字識別設備產生和發(fā)送數(shù)字上和仿生網絡安全上簽名的查問響應消息�。
文檔編號H04L9/32GK1531673SQ02804435
公開日2004年9月22日 申請日期2002年1月31日 優(yōu)先權日2001年2月1日
發(fā)明者A·博特, B·里德, A 博特 申請人:3M創(chuàng)新有限公司