專利名稱:訪問控制的制作方法
技術領域:
本發(fā)明涉及一種用于控制對信息系統(tǒng)的訪問的裝置、系統(tǒng)和方法�����。更具體地��,本發(fā)明的多個方面涉及使得由在整個供應網(wǎng)絡的路徑上的一個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制的控制裝置�、系統(tǒng)和方法。
背景技術:
和現(xiàn)有技術射頻識別(RFID)是ー門用于在供應鏈內(nèi)對單個產(chǎn)ロ進行標記和追蹤的新興技術�。許多產(chǎn)品(或資產(chǎn),如包括箱體�、集裝架和防滾架等的運輸項目)中的每ー個均可被賦予存儲在RFID標簽內(nèi)的并可由其他方讀取的唯一序列化標識符。每個機構都可采集此類產(chǎn)品信息并將其存儲在自己的數(shù)據(jù)服務(諸如“電子產(chǎn)品代碼信息服務”(EPCIS))中����,并且 可使用此信息來優(yōu)化其內(nèi)部操作。此類產(chǎn)品信息的采集也被譽為能夠使用來自多個機構的數(shù)據(jù)的ー類新的應用���。實例包括端對端供應路徑的優(yōu)化�,以及對產(chǎn)品的完整“譜系”的驗證(即���,驗證是否已從正確的或被認可的來源中接收該產(chǎn)品)���。為了從序列化產(chǎn)品數(shù)據(jù)中獲得此種益處��,每個機構必須愿意向挑選出來的ー組其他機構公開該數(shù)據(jù)�����。由于數(shù)據(jù)可能泄露有關機構運作的機密信息,所以通常必須嚴格控制數(shù)據(jù)僅向被信任的并且對該數(shù)據(jù)具有合法的約定用途的那些方發(fā)布���。挑戰(zhàn)在于一個機構如何對外部機構建立對自己的數(shù)據(jù)的此類訪問權限�����。因為適當?shù)脑L問控制可能需要既是充分細化(fine-grained)的又是動態(tài)的�����,因而這是特別嚴重的問題�。訪問控制可能需要是充分細化的����,這是因為單個產(chǎn)品可能會沿不同路徑流經(jīng)端對端供應鏈��。這樣�����,當經(jīng)銷商可能希望與特定零售商共享特定產(chǎn)品的信息時����,他可能并不希望與其共享已發(fā)送到不同零售商的類似產(chǎn)品的信息��。訪問控制可能需要是動態(tài)的�,這是因為通常不可能在供應鏈運作之前就限定此類訪問權限。例如�����,經(jīng)銷商可能事先不知道他將收到哪種序列化產(chǎn)品�����,因而也不知道它需要從制造商處訪問哪種數(shù)據(jù)�。此外,經(jīng)銷商可能不知道他會將哪種產(chǎn)品分銷給各個零售商�,因而也不知道必須與這些零售商共享哪種信息。
現(xiàn)有技術較早的國際申請WO 2009/083710描述了用于自動建立對序列化信息系統(tǒng)的訪問權限的技木�����。根據(jù)這ー文獻,RFID標簽的存儲器可用于存儲參引(reference)�,接收系統(tǒng)可用該參引自動申請對與貼有RFID標簽的項目相關的序列化數(shù)據(jù)的訪問權限。這種參引稱為“邀請函(invitation)”����。一旦接收到貼有標簽的項目,接收系統(tǒng)可使用該邀請函來聯(lián)系令牌發(fā)放系統(tǒng)�����。在經(jīng)過若干測試之后(可能包括認證接收系統(tǒng)的身份�����、確認該項目已被運送給接收者�、以及認證包含該邀請函的RFID標簽的有效性)����,可向接收系統(tǒng)發(fā)放令牌,該令牌然后可用于訪問多個序列化信息系統(tǒng)�。在前段中描述的技術的ー個缺點在于安全性取決于檢查該項目已派送給接收者,或者取決于對該RFID標簽本身的認證檢查�����。在任一種情況之下,都必須聯(lián)系發(fā)放系統(tǒng)本身����,以驗證接收者的身份和其他憑證并且生成令牌。這可能是ー個相當密集的過程�����,這些驗證檢查和簽名的令牌的創(chuàng)建很可能使令牌發(fā)放服務器崩潰����。能夠認證的標簽的使用會提高RFID供應鏈操作的成本,并且由于所有制造商需要使用符合同一認證標準的安全標簽���,因此可能會導致諸多困難��。由本發(fā)明人于2008年9月12日提交的未決歐洲申請(申請?zhí)朎P 08253008�����,之后公布為EP 2166493)討論了用于使供應鏈安全的代理重新加密技術的使用��。在此案中��,可使用重新加密來轉換標簽上的用于驗證該標簽已傳輸經(jīng)過經(jīng)授權的供應路徑的簽名��。利用諸如上述的慣用手段����,共享數(shù)據(jù)的意愿通常需要由復雜的訪問權限和策略來限定或反映。更改和執(zhí)行這樣的訪問權限通常需要人力管理和復雜的系統(tǒng)����。發(fā)明者已確認需要比那些慣用手段更為動態(tài)的訪問權限、以及需要對數(shù)據(jù)的較低計算密集型的性能導向的訪問控制執(zhí)行�。例如,對于特定項目的接收而言�,希望允許供應鏈參與者能夠訪問此特定項目的制造記錄。其他的技術可包括當向下游“接收機構”運送貨物時對其的訪問控制策略的建立�����。 此類方法的ー個缺陷在于通常需要對被運送到每個潛在接收者的每種產(chǎn)品或項目設置各自的訪問控制策略�����,由此可能導致數(shù)目龐大的此類策略���。當試圖訪問串行級信息系統(tǒng)時�,這在這種策略集的估算中會變得不可控制且不可擴展����。發(fā)明者已經(jīng)確認了能夠設定通用訪問控制策略的潛在益處,該通用訪問控制策略可簡單地陳述為允許具有特定產(chǎn)品或資產(chǎn)標識符的有效令牌的任何實體訪問指定的一組信息(例如�,有關項目的運送信息,或來自特定信息系統(tǒng)的信息)����。由于每個下游實體的唯一憑證(如身份)可不需要被包括在訪問控制策略中,這樣可允許策略得以簡化�。簡要地參考其他現(xiàn)有專利文獻,美國專利申請US2008/0164976(“Griff iths-Harvey”)公開了ー種認證的RFID系統(tǒng)��,與傳統(tǒng)的公鑰實現(xiàn)方式(如“RSA”�����,一種由Rivest�����、Shamir和Adleman首先(公開)描述的公知的公鑰加密算法)相比較��,該系統(tǒng)使用了橢圓曲線加密技術(ECC)以減小簽名大小和讀/寫次數(shù)?���?墒褂貌煌臄?shù)字簽名方案和算法來減小簽名大小并隱藏RFID標簽的包含敏感產(chǎn)品識別信息的部分。因此�����,在制造或供應鏈的不同階段��,可使用較小的標簽或可寫入多個簽名����。例如在供應鏈中,可使用密鑰管理系統(tǒng)來分配驗證密鑰��,并且可提供用于將多個簽名加到RFID標簽中的聚集簽名方案��。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的第一方面�����,提供了一種用于使得由在整個供應網(wǎng)絡的路徑上的ー個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制的控制裝置�,對所述信息系統(tǒng)或每個信息系統(tǒng)的訪問通過訪問策略器而被管制��,所述網(wǎng)絡包括至少ー個令牌發(fā)放方;以及至少ー個接收方實體��,所述至少ー個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌并且向在整個所述網(wǎng)絡的路徑上的一個或多個實體轉發(fā)所述訪問預授權令牌����,所述訪問預授權令牌具有與其相關聯(lián)的信息標識符和數(shù)字簽名,所述至少ー個接收方實體能夠操作為接收由所述至少ー個令牌發(fā)放方所發(fā)放的訪問預授權令牌����;所述控制裝置包括密鑰生成器,該密鑰生成器能夠操作為關于所述至少一個接收方實體生成(i)包括公鑰和私鑰的接收方實體公鑰/私鑰對���,所述接收方實體公鑰使得確保使用所述接收方實體私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證��;以及
(ii)令牌轉換密鑰���,所述令牌轉換密鑰使得使用關于所述至少一個接收方實體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉換為與所述令牌發(fā)放方相關聯(lián)的數(shù)字簽名;所述密鑰生成器還能夠操作為關于所述至少一個令牌發(fā)放方生成(iii)令牌發(fā)放方公鑰/私鑰對����,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證���;所述控制裝置還包括密鑰分配器����,該密鑰分配器能夠操作為向所述至少一個令牌發(fā)放方分配關于所述至少一個接收方實體生成的所述接收方實體私鑰���;向所述至少一個接收方實體分配關于所述至少一個接收方實體生成的所述令牌轉換密鑰�����;以及 向所述訪問策略器分配所述令牌發(fā)放方公鑰�。根據(jù)優(yōu)選的實施方式,所述密鑰分配器可還能夠操作為向所述至少ー個接收方實體分配關于所述至少一個接收方實體生成的所述接收方實體公鑰�����。通過如此,接收方實體可嘗試解密從令牌發(fā)放方接收的預授權令牌���,由此保證了這些預授權令牌由期望的令牌發(fā)放方關于有關信息而正確地發(fā)放���。這樣可以防止接收方實體嘗試使用錯誤發(fā)放的或者無效的令牌來請求訪問信息系統(tǒng)��。根據(jù)優(yōu)選的實施方式,訪問預授權令牌和/或數(shù)字簽名可存儲在與所述令牌相關聯(lián)的所述信息標識符的存儲器部件中���,或者它們可按將在下文中所討論的其他方式與所述信息標識符相關聯(lián)����。信息標識符本身可以標識ー個或多個特定的信息系統(tǒng)(即�����,信任令牌發(fā)放方以準予訪問的信息系統(tǒng))����。另選地或另外地,信息標識符可以標識ー個或多個特定項目(如��,產(chǎn)品)���,信息標識符g在與這些特定項目相關聯(lián)�����。應當注意的是���,在某些情形下���,特定接收方實體可以僅試圖訪問ー個信息系統(tǒng),在這種情況下��,信息標識符總體上僅需標識與什么信息可被請求相關的項目��。根據(jù)優(yōu)選的實施方式���,信息標識符可存儲在射頻識別設備(S卩����,“RFID標簽”)的存儲器中�����。對此有許多替代方式�����,然而它們可能是電子或數(shù)字編碼的貨單(例如��,在電子設備上或打印為條形碼)。電子貨單可以承載在存儲設備(諸如����,RFID標簽、記憶棒�、Wi-fi或藍牙存儲設備)中或可由速遞裝置(courier)從例如筆記本電腦或掌上電腦發(fā)布�����。優(yōu)選地���,基于關于所述令牌發(fā)放方所生成的所述密鑰對的令牌發(fā)放方私鑰以及基于關于所述至少一個接收方實體所生成的所述接收方實體私鑰���,生成關于特定接收方實體所生成的所述令牌轉換密鑰。根據(jù)優(yōu)選的實施例����,關于特定令牌發(fā)放方所生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗證,該數(shù)字簽名確保使用與所述至少一個接收方實體相關聯(lián)的接收方實體私鑰所創(chuàng)建的����、然后使用關于所述至少一個接收方實體所生成的令牌轉換密鑰所轉換的消息的真實性。此外����,優(yōu)選地��,在已經(jīng)向所述令牌發(fā)放方分配了關于所述接收方實體生成的所述接收方實體私鑰的情況下�,關于特定令牌發(fā)放方生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗證�����,該數(shù)字簽名確保使用與所述至少一個接收方實體相關聯(lián)的接收方實體私鑰所創(chuàng)建的��、然后使用關于所述至少一個接收方實體生成的令牌轉換密鑰所轉換的消息的真實性�。
根據(jù)優(yōu)選的實施例,所述令牌發(fā)放方可以在由ー個或多個信息系統(tǒng)的訪問策略器所信任的實體的控制下操作��,以準許對所述一個或多個信息系統(tǒng)的訪問��?�?赡艽嬖诙鄠€信息系統(tǒng)���,通過相應的訪問策略器來管制對所述信息系統(tǒng)的訪問�����。類似地����,可能存在多個令牌發(fā)放方,每個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌�。在多個信息系統(tǒng)有各自的訪問策略器的情況下,它們可以都“信任”公共的令牌發(fā)放方�����,或者各自的訪問策略器可以與不同的令牌發(fā)放方具有“信任”關系����。類似的���,可能存在多個接收方實體,該多個接收方實體中的每ー個可操作為接收由公共令牌發(fā)放方所發(fā)放的訪問預授權令牌����,或者,在存在多個令牌發(fā)放方的情況下����,各個接收方實體可操作為接收由不同的令牌發(fā)放方所發(fā)放的預授權令牌�����。根據(jù)本發(fā)明的第二方面��,提供了一種用于使得由在整個供應網(wǎng)絡的路徑上的ー個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制的系統(tǒng)�,對所述信息系統(tǒng)或每個信息 系統(tǒng)的訪問通過訪問策略器被管制,所述系統(tǒng)包括根據(jù)第一方面的控制裝置��;至少ー個令牌發(fā)放方,該至少ー個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌����,以及向在整個所述網(wǎng)絡的路徑上的一個或多個實體轉發(fā)所述訪問預授權令牌��,所述訪問預授權令牌具有與其相關聯(lián)的信息標識符和數(shù)字簽名;以及至少ー個接收方實體����,該至少ー個接收方實體能夠操作為接收由所述至少ー個令牌發(fā)放方所發(fā)放的訪問預授權令牌�;其中所述至少ー個令牌發(fā)放方能夠操作為接收關于所述至少一個接收方實體由所述控制裝置所生成的接收方實體私鑰�,使用所述接收方實體私鑰利用數(shù)字簽名對所述訪問預授權令牌簽名,以及向所述至少一個接收方實體轉發(fā)經(jīng)簽名的所述訪問預授權令牌��;所述至少ー個接收方實體能夠操作為接收關于所述至少一個接收方實體由所述控制裝置所生成的令牌轉換密鑰,使用所述令牌轉換密鑰利用數(shù)字簽名對經(jīng)簽名的所述訪問預授權令牌重新簽名���,以及向所述訪問策略器提供所述經(jīng)重新簽名的令牌����;以及所述訪問策略器能夠操作為接收由所述控制裝置所生成的令牌發(fā)放方公鑰����,使用所述令牌發(fā)放方公鑰驗證在所述經(jīng)重新簽名的令牌上的數(shù)字簽名的真實性,以及基于所述驗證結果允許所述至少一個接收方實體訪問所述一個或多個信息系統(tǒng)�����。根據(jù)本發(fā)明的第三方面,提供了一種用于使得由在整個供應網(wǎng)絡的路徑上的ー個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制的方法�����,對所述信息系統(tǒng)或每個信息系統(tǒng)的訪問通過訪問策略器被管制��,所述網(wǎng)絡包括至少ー個令牌發(fā)放方�����;以及至少ー個接收方實體����,所述至少ー個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌�����,以及向在整個所述網(wǎng)絡的路徑上的一個或多個實體轉發(fā)所述訪問預授權令牌,所述訪問預授權令牌具有與其相關聯(lián)的信息標識符和數(shù)字簽名��,所述至少ー個接收方實體能夠操作為接收由所述至少一個令牌發(fā)放方所發(fā)放的訪問預授權令牌;所述方法包括關于所述至少一個接收方實體生成(i)包括公鑰和私鑰的接收方實體公鑰/私鑰對����,所述接收方實體公鑰使得確保使用所述接收方實體私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證����;以及
( ii )令牌轉換密鑰,所述令牌轉換密鑰使得使用關于所述至少一個接收方實體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉換為與所述令牌發(fā)放方相關聯(lián)的數(shù)字簽名��;關于所述至少一個令牌發(fā)放方生成(iii)令牌發(fā)放方公鑰/私鑰對�����,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證����;向所述至少一個令牌發(fā)放方分配關于所述至少一個接收方實體生成的所述接收方實體私鑰�;向所述至少一個接收方實體分配關于所述至少一個接收方實體生成的所述令牌轉換密鑰;以及向所述訪問策略器分配所述令牌發(fā)放方公鑰�����。
針對第二和第三方面,在上面關于第一方面提及的不同選擇和優(yōu)選的實施方式同樣適用于關于第二方面和第三方面�。根據(jù)優(yōu)選實施方式的裝置、系統(tǒng)和方法可以用于允許由于供應鏈操作而自動建立充分細化的動態(tài)訪問控制權限��。這樣使得能夠立即訪問所需數(shù)據(jù)����,而沒有手動建立此類訪問權限的負擔和成本。有益的是(與在上述討論的國際申請WO 2009/083710中所陳述的技術相比較)���,根據(jù)優(yōu)選實施方式的裝置、系統(tǒng)和方法可以用于允許在例如接收方處所內(nèi)局部地發(fā)放安全令牌��,而無需使用專門的安全RFID標簽。根據(jù)優(yōu)選實施方式的裝置�����、系統(tǒng)和方法可允許部分生成的安全令牌被包括在RFID標簽或其他適當類型的識別設備的用戶存儲器中或者與RFID標簽或其他適當類型的識別設備相關聯(lián)的用戶存儲器中����,該RFID標簽或其他適當類型的識別設備例如可附裝在裝運貨物上或者以其它方式與裝運貨物相關聯(lián)。此類部分生成的令牌然后可由接收方來“完成”�����,由此生成可用于訪問信息系統(tǒng)(例如��,上游供應鏈合作伙伴的貨運系統(tǒng))的最終授權令牌?��?傮w上,將部分生成的令牌稱為“預授權令牌”����,而將已由接收方完成其授權的令牌稱為“最終授權令牌”?���?纱_保的是,直至接收方已接收到最初的預授權令牌�����,此類令牌才能由接收方生成����。根據(jù)優(yōu)選實施方式的裝置����、系統(tǒng)和方法可以允許生成令牌�����,這些令牌允許已經(jīng)接收����、正在接收或將要接收特定產(chǎn)品的機構可完全地訪問安全的序列化信息服務���。這樣可以去除需從持有序列化信息的上游供應鏈合作伙伴處發(fā)放此類令牌的負擔�,以及去除了涉及的必要的通信設施和成本��。根據(jù)國際申請WO 2009/083710的技術,RFID標簽對令牌發(fā)放系統(tǒng)僅承載最初的“邀請函”或參引����,目的在于解決未知的下游供應鏈商家獲得串行級信息的問題。應當注意的是�,這并不同于將被稱為的“預授權令牌”,并且并不能實現(xiàn)與之相同的功能����,預授權令牌一旦被適當分配,將可以與由接收機構具有的另外的機密相結合而生成最終的“可用的”授權令牌����。可設置預授權令牌以允許僅由期望的接收系統(tǒng)生成有效的最終授權令牌��?��!案`聽”或讀取預授權令牌的另ー個系統(tǒng)將不能生成最終的授權令牌���。此外�,還可設置為直到所期望的接收方已實際接收到了相關聯(lián)的貨物并且獲得了預授權令牌�����,該接收方才能生成最終的授權令牌�����。因此�,優(yōu)選的實施方式關于對已知的下游參與者自動建立訪問權限特別有用。
現(xiàn)在將參考附圖來詳細描述本發(fā)明的優(yōu)選實施方式���,在附圖中圖I示出了代理重新簽名方案的示意圖�;圖2例示了代理重新簽名的概念如何用于生成和重新簽名安全令牌;圖3表明了在使用根據(jù)本發(fā)明的實施方式的控制裝置�����、方法和系統(tǒng)的示例性供應鏈系統(tǒng)中包含的實體的類型���,井指明了所包含的實體可發(fā)揮的作用����;以及圖4例示了在使用根據(jù)本發(fā)明的實施方式的控制裝置���、方法和系統(tǒng)的供應鏈系統(tǒng)中發(fā)生的密鑰的生成和分配。
具體實施例方式下面將參考圖3和圖4來描述根據(jù)本發(fā)明的實施例的裝置���、系統(tǒng)和方法。然而�,首 先將對公鑰/私鑰加密和認證的有關特性進行簡要解釋�����,隨后參考圖I和圖2對代理重新簽名的概念的有關信息進行簡要解釋�����。公鑰加密是ー種涉及使用非対稱密鑰算法���,而不是對稱密鑰算法或除了對稱密鑰算法之外的加密方法����。與對稱密鑰算法不同�,該非對稱密鑰算法一般不需要在發(fā)送方與接收方之間的密鑰的安全初歩交換�����?���?墒褂迷摲菍ΨQ密鑰算法來產(chǎn)生數(shù)學相關的密鑰對����,其包括機密的“私鑰”和公開的“公鑰”�����。這些密鑰的使用允許通過使用私鑰產(chǎn)生消息的“數(shù)字簽名”來保護消息的真實性(authenticity)�����,并且可使用公鑰來驗證該消息的真實性��。(一個已知為公鑰加密的相反過程允許保護消息的機密性和完整性;根據(jù)這ー過程�,使用公鑰來加密消息����,然后可僅使用私鑰來解密消息ー然而����,這ー相反過程跟后續(xù)的描述沒有太大相關)。因此可使用數(shù)字簽名來證明數(shù)字消息或文獻的真實性�����。有效的數(shù)字簽名使得有理由相信該消息由已知的發(fā)送方所創(chuàng)建并且傳送過程中未被改變���。數(shù)字簽名通常用于軟件分銷、金融交易�����、以及用于檢測偽造和篡改是很重要的其他情況中。關于以下的說明�����,從上面對公鑰加密的綜述中可看出特別重要的問題在干對于公鑰/私鑰對(即����,包括公鑰和私鑰的密鑰對),公鑰使得確保使用私鑰被創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證?�,F(xiàn)在將討論代理重新簽名的概念��,并且將引入和解釋將在后文中使用的術語���。參見圖1���,代理重新簽名過程是這種過程將允許代理將第一實體的數(shù)字簽名(即,圖I的示例中的“ Alice”)轉變?yōu)榈诙嶓w的數(shù)字簽名(即����,“Bob”)的信息給予代理的過程。代理重新簽名允許在該代理方不需要控制或訪問與Alice或Bob任一方相關聯(lián)的私鑰的情況下實現(xiàn)這ー過程���,因此其不能生成對于Alice或Bob本身的數(shù)字簽名���。在由MattBlaze�、Gerrit Bleumer 和 Martin Strauss 的名為 “Divertible Protocols and AtomicProxy Cryptography��,�,的論文(Lecture Notes in Computer Science (LNCS), 1998 年,第1403 期,第 127-144 頁 Advances in Cryptology - EUR0CRYPT’98)中引入了這種原始概念�,并且在由 Giuseppe Ateniese 和 Susan Hohenberger 的名為 “Proxy Re-Signatures:NewDefinitions, Algorithms, and Applications,�����,的論又(ACM Conference on Computer andCommunications Security, 2005 年 11 月 28 日����,第 310-319 頁)中進一步探究了此概念。
參見圖1��,代理12將來自Alice 10的完全有效并且可公開驗證的簽名轉換為來自Bob 14的簽名�。給出消息“m”,并用Alice的機密私鑰簽名該消息生成了簽名Ks_a(m)�����,而用Bob的機密私鑰簽名相同的消息生成了簽名Ks_b(m)��。(注意��,在用符號表示(“secret”)私鑰Ks...中使用下標“s”以為了與在符號表示(“public”)公鑰Kp...中使用的下標“p”進行區(qū)分)��。在該代理重新簽名方案中����,代理將從Alice處接收簽名Ks_a(m),并且通過使用“轉換密鑰”(translation key) Kt_a — b,代理可將來自Alice的簽名轉換為來自Bob的有效簽名Ks_b(m)�����。這ー過程可寫為以下形式Kt_a — b (Ks_a (m)) = Ks_b (m)其中Ks_a是Alice的私鑰[因此由Alice簽名的消息“m”寫為Ks_a(m)]Ks_b是Bob的私鑰[因此由Bob簽名的消息“m”寫為Ks_b (m)]Kt_a — b是從Alice到Bob的轉換密鑰 因此�,將使用Alice的私鑰簽名的消息經(jīng)歷從Alice到Bob的轉換,提供了與相反使用Bob的私鑰簽名的消息相同的結果�。由于在上述公鑰加密的綜述中被強調為特別重要的問題,應當理解的是訪問Bob的公鑰的任何用戶因此都能夠驗證由代理生成的簽名��。代理重新簽名的特性在于可以由完全不同的代理按順序并多次地進行從ー個簽名到另ー個簽名的“轉換”���,而無需簽名實體(即�,私鑰的所有者)的干預����。這樣�,私鑰可始終保持脫機并受保護��。所有的簽名都是可公開驗證的簽名�����,就如同它們是由不同實體的真正所有者所簽署的����。關于將在后文中詳細解釋的待描述的當前提出方案的安全令牌重新簽名,優(yōu)選的是使用單向方案���,即�����,允許來自Alice的簽名到來自Bob的簽名的轉換但不允許來自Bob的簽名到來自Alice的簽名的轉換�。如將從后面的解釋中所理解的�����,關于當前提出的方案�,這對應于將使用接收方的私鑰所簽名的令牌轉換為與使用預授權令牌發(fā)放方的私鑰所簽名的令牌一祥的令牌����。這在圖2示出�����。在當前提出的方案中���,通常期望重新簽名密鑰僅對于創(chuàng)建最終授權令牌的產(chǎn)品接收方是已知的。如將理解的����,使用重新簽名密鑰來執(zhí)行“轉換”功能(即,使用一個實體的私鑰所簽名的令牌轉換為與使用另ー個實體的私鑰所簽名的令牌一祥的令牌)�,因此在后面的描述中將使用術語“轉換密鑰”來代替術語“重新簽名密鑰”,盡管這些術語實際上是可互換的��。參見圖3����,圖3示出了供應鏈控制系統(tǒng)30,以及在供應鏈系統(tǒng)中涉及的其他實體�����。可在一個或多個計算機系統(tǒng)中實現(xiàn)供應鏈控制系統(tǒng)30�����。供應鏈控制系統(tǒng)30能夠與ー個或
多個預授權令牌發(fā)放方(用字母T表示)32�、一個或多個接收方(表示為Rl、R2.....Rn) 34
以及一個或多個信息系統(tǒng)(表不為ISl����、IS2、. . .���、ISn) 36進行通信��。這些實體中的姆一個均可依靠它們自己的計算機系統(tǒng)來自行執(zhí)行它們各自的功能�����。供應鏈控制系統(tǒng)30在其中(即�,例如在存儲器部件中)存儲有供應鏈模型310�,該供應鏈模型310向控制器指示其他實體之間的可能關系,如���,允許哪個(哪些)令牌發(fā)放方使得哪個(哪些)接收方能夠訪問哪個(哪些)信息系統(tǒng)����。供應鏈控制系統(tǒng)30還可包含被稱為密鑰生成器320的功能性部件和被稱為密鑰分配器330的功能性部件,該密鑰生成器320的功能是視情況來生成公/私鑰對和令牌轉換密鑰�,該密鑰分配器330的功能是向預授權令牌發(fā)放方32、接收方34和信息系統(tǒng)36分配由密鑰生成器320所生成的密鑰���。供應鏈控制系統(tǒng)30還被示出為具有“垃圾箱”340。該垃圾箱并不需要是控制器30的實際部件-其在圖3 (以及在后面將討論的圖4)中被表示出來以表明并非由密鑰生成器320生成的所有密鑰隨后都由密鑰分配器330來分配�����。在優(yōu)選實施例中����,如將理解的,一類密鑰僅由控制器本身優(yōu)選地使用����,然后這類密鑰被銷毀而不是分配給任何其他實體。供應鏈控制系統(tǒng)30與其他實體之間的通信通常涉及密鑰分配�,并且在圖3中由寬的虛線框箭頭來指示。這可以通過互聯(lián)網(wǎng)或使用多種通信技術中任何ー種來實現(xiàn)���,并且如后文所述的���,這使得供應鏈控制系統(tǒng)30能夠操作以向其他實體中的每ー個分配(直接地或間接地)適當?shù)拿荑€����。在其他實體32���、34和36本身之間發(fā)生涉及令牌的不同類型的交換��。例如�����,借助于令牌(第一類型的令牌�,即預授權令牌)被存儲在或附接在遍歷供應鏈的項目中或者以其他方式與遍歷供應鏈的項目相關�,這些令牌可從令牌發(fā)放方32傳送給接收方34,然后令牌(第二類型的令牌�,即最終授權令牌)可由接收方34提供給信息系統(tǒng)36。涉及令牌(與密鑰相反)的交換在圖3中由單線箭頭來指示���。圖4例示了可如何分配各種密鑰�。為了簡化附圖和下面的描述��,僅示出了ー個接收方R1�����。接收方Rl被示出為僅從一個預授權令牌發(fā)放方T接收預授權令牌,并且試圖獲得 對僅ー個信息系統(tǒng)IS的訪問(雖然如前面關于圖3所解釋的�����,在供應鏈中通常會有多于ー個的接收方��,并且會有多于ー個的令牌發(fā)放方和多于ー個的信息系統(tǒng))��。如圖4所示���,供應鏈控制系統(tǒng)30創(chuàng)建與預授權令牌發(fā)放方32相關聯(lián)(或者,如果有多于ー個預授權令牌發(fā)放方�����,則與其每個相關聯(lián))的ー組密鑰�。對于被準許訪問相關信息系統(tǒng)36的每個接收系統(tǒng)34生成ー個或多個私/公鑰對。因此�����,對示為“接收方R1”的第一接收方機構34�,生成私(或“機密的”)鑰KS_R1和公鑰KP_R1���,而對第二接收方機構“接收方R2”(在圖4中未示出),將生成私鑰KS_R2和公鑰KP_R2��。關于預授權令牌發(fā)放方T還生成另ー私/公鑰對[KS_T�����,KP_T]�����,但是應注意���,并不向其發(fā)送任何密鑰(將在下文中闡述使用此密鑰對的方式)�����。此外��,對于可訪問信息系統(tǒng)36的每個接收方機構34生成令牌轉換密鑰���,該令牌轉換密鑰可用于將使用關于該接收方生成的私鑰所創(chuàng)建的數(shù)據(jù)簽名轉換(即,代理重新簽名)為與預授權令牌發(fā)放方相關聯(lián)的數(shù)字簽名��,并且當決定是否準予訪問考慮中的信息系統(tǒng)時,該令牌轉換密鑰被考慮中的信息系統(tǒng)(或者��,代表信息系統(tǒng)起作用的訪問策略器38)所信任���。因此���,對“接收方R1”產(chǎn)生令牌轉換密鑰Kt_Rl — T,對“接收方R2”產(chǎn)生令牌轉換密Kt_R2 — T等等��。然后向可訪問信息系統(tǒng)36的相關接收方機構34分配每個令牌轉換密鑰以及對該機構的公鑰�����。應當注意��,并不向考慮中的機構分配每個接收方機構的關聯(lián)私鑰�����,相反將其發(fā)送到預授權令牌發(fā)放方32���。用于預授權令牌發(fā)放方32的公鑰KP_T被分配給該預授權令牌發(fā)放方正為其生成訪問令牌的任何信息系統(tǒng)36??傮w上��,通常依賴于關于所涉及的令牌發(fā)放方已生成的私鑰以及依賴于關于特定接收方已生成的私鑰���,來生成關于該接收方所生成的令牌轉換密鑰。因此����,關于令牌發(fā)放系統(tǒng)32所生成的私鑰KS_T被控制器30用來產(chǎn)生用于“接收方R1”的相應的令牌轉換密鑰Kt_Rl — T和用干“接收方R2”的相應的令牌轉換密鑰Kt_R2 — T,但是在此過程中的任何階段并不需要向任何其他實體分發(fā)令牌發(fā)放方私鑰KS_T�,因此該令牌發(fā)放方私鑰可由控制器30銷毀(參見圖3,由指向垃圾箱的箭頭所指示)�。注意,圖4中的信息系統(tǒng)36被示出為在其內(nèi)具有訪問策略器38部件�。這樣顯示是為了例示除了提供信息的功能性之外,信息系統(tǒng)36還可執(zhí)行管制功能��,由此管制功能首先做決定是否準予對考慮中的信息系統(tǒng)的訪問請求��。訪問策略器38部件可以是信息系統(tǒng)36本身的一部分���,或者可以是外部部件���,并且實際上不需要在與信息系統(tǒng)相同的機構控制下執(zhí)行。在此階段值得注意的是,供應鏈控制系統(tǒng)30可由與信息系統(tǒng)36相同的機構來操作���,或者可以由例如可信的第三方來操作�����。然而����,信息系統(tǒng)可以在除了供應鏈控制器在其控制下正被操作的那些機構之外的機構的控制下�����,或者可代表上述機構行動���;例如����,它們可以在為供應貨物負責的機構的控制下�����。對于包含在項目標識符(如RFID標簽)內(nèi)的或者以其它方式與項目標識符相關聯(lián)的產(chǎn)品或資產(chǎn)標識符����,預授權令牌發(fā)放方生成經(jīng)簽名的預授權令牌。最低限度地����,該令牌是用與所期望的接收方相關聯(lián)的私鑰加密的標識符,盡管可以包括其他信息�,如將在后文中所描述的。該預授權令牌接著被存儲在RFID標簽(或者���,其他的這種相關聯(lián)的項目標識符)的用戶存儲器中���。令牌還可包括另一未加密的標識符,例如����,該標識符可用于識別創(chuàng)建了預授權令牌的發(fā)放方。然后����,可以執(zhí)行包括以下步驟的運送過程 I.從項目標識符(例如,RFID標簽)中讀取產(chǎn)品或資產(chǎn)標識符���。2.識別旨在準予其訪問信息系統(tǒng)的期望的接收方�����。3.從密鑰庫中檢索與所期望的接收方相關聯(lián)的私鑰���。4.通過使用所期望的接收方的私鑰對標識符和其他可選數(shù)據(jù)簽名并且通過添加未加密的令牌發(fā)放方標識符�,來生成預授權令牌���。5.將預授權令牌寫入RFID標簽的用戶存儲器中����。6.將預授權令牌發(fā)放方的公鑰添加到信息系統(tǒng)的訪問控制列表中(在已經(jīng)不存在此公鑰的情況下)�。當接收到產(chǎn)品或資產(chǎn)時,接收方從標簽的用戶存儲器中讀取預授權令牌��,包括預授權令牌發(fā)放方的標識符�����。該標識符用以檢索正確的令牌轉換密鑰(由于可能存在很多預授權令牌發(fā)放系統(tǒng))���?�?蛇x地,可使用與令牌發(fā)放方相關的接收機構的公鑰來解密預授權令牌。在此方式中��,接收機構可檢查預授權令牌對于產(chǎn)品標識符是名副其實的并且其已由所期望的令牌發(fā)放方所發(fā)放�。這避免了接收機構用無效的令牌來請求對信息系統(tǒng)的訪問。然后��,用令牌轉換密鑰重新加密預授權令牌����。這樣產(chǎn)生了可使用預授權令牌發(fā)放方的公鑰來驗證的最終授權令牌(其中驗證包括用公鑰來解密該令牌以獲得與產(chǎn)品標識符匹配的標識符)。由此�����,可按如下方式執(zhí)行接收過程I.從RFID標簽讀取產(chǎn)品/資產(chǎn)標識符����、預授權令牌(包括令牌發(fā)放方標識符)2.對于每個令牌,從密鑰庫(由令牌發(fā)放方標識符索引)中檢索接收方的公鑰3.使用相關的公鑰驗證每個令牌4.對于每個令牌����,從該密鑰庫(由令牌發(fā)放方標識符索引)中檢索轉換密鑰5.然后,使用所檢索的轉換密鑰來重新加密每個令牌現(xiàn)在���,接收方可試圖去訪問發(fā)貨人的信息系統(tǒng)��。接收機構的客戶包括在對產(chǎn)品或資產(chǎn)信息的信息的請求中的最終授權令牌�。信息系統(tǒng)使用預授權令牌發(fā)放方的公鑰KP_T來解密最終授權令牌。通過在令牌內(nèi)包括未加密的預授權令牌發(fā)放方標識符可協(xié)助此過程����。如果從令牌內(nèi)檢索的產(chǎn)品標識符對應于由客戶請求的標識符,并且信任令牌發(fā)放方釋放對這種標識符的訪問��,則允許該訪問繼續(xù)�����。信息系統(tǒng)訪問控制過程可以被總結為如下I.接收包括最終授權令牌(或多個令牌�����,例如如果有多個信息項目)的訪問請求��。2.檢索被信任的預授權令牌發(fā)放方的公鑰(由預授權令牌發(fā)放方標識符索引)���。3.使用公鑰解密令牌�����。4.檢查令牌內(nèi)的另外的訪問控制標準并且做出訪問決定�。預授權令牌發(fā)放方通常屬于與如下的信息系統(tǒng)相同的機構,S卩��,對于 所述信息系統(tǒng)���,預授權令牌發(fā)放方正在產(chǎn)生預授權令牌。然而�����,信息系統(tǒng)機構還可信任其他方產(chǎn)生預授權令牌�����。在此方式中����,它們可以將對其信息系統(tǒng)的訪問的控制委托給其他方。為了信任預授權令牌發(fā)放方�,它們將發(fā)放方的公鑰添加到密鑰列表中,該密鑰列表被準許在信息訪問期間驗證授權令牌�����。我們已經(jīng)描述了作為加密產(chǎn)品或資產(chǎn)標識符的最簡單令牌的情況�,其他信息也可包括在令牌中�。其他常見類型的信息可包括令牌的到期日����。在這種情況下,如果令牌到期了���,即使使用預授權令牌發(fā)放方的公鑰驗證了該令牌�,仍然不允許繼續(xù)信息訪問�����。預授權令牌發(fā)放方還可以通過在令牌內(nèi)設置另外的策略約束來包括對信息訪問的其他限制�。例如,令牌可以還包括信息記錄必須是“運送”類型的約束��。當信息系統(tǒng)解密了安全令牌��,它可以應用任何此類限制���。多個接收方根據(jù)用于控制多個下游供應鏈合作伙伴的訪問的不同實施例�����,存在多種選項��。特別簡單的選項是在控制器30的供應鏈模型310中僅包括每個接收方作為實體�。然后可對每個分立的接收方實體34生成單獨的令牌。諸如RFID標簽這樣的單個項目標識符可以攜帶用于多個接收方的若干預授權令牌�,以使得能夠生成它們自己的最終授權令牌。此方法具有的缺點是多個令牌一般需要額外的存儲器空間����,這對一些類型的RFID標簽或其他項目標識符可能會是個問題�。可替代的方法是將多個接收方分為組��。然后���,每個組在控制器30的供應鏈模型310內(nèi)可以分配有公/私鑰對�。在接收方實體A和實體B之間共享的預授權令牌可以使用用于組A+B的私鑰來簽名�����。A和B都接收能夠生成最終授權令牌的相同的轉換密鑰�����。委扭存在多個可用選項來使得訪問控制權限能夠從ー個下游接收方委托到另一方�。如果第二方也在貨物的物理供應鏈路徑內(nèi)���,那么接收方A可僅告知接收方B生成最終授權密鑰所需的正確轉換密鑰。這樣使得接收方B能夠對運往接收方A的任何貨物生成最終授權令牌�����。如果/當撤銷此委托��,則控制器30可能需要為接收方A生成新的密鑰(以及新的轉換密鑰)并且向令牌發(fā)放方和接收方A分配這些密鑰�。另ー種替代方式是對接收方A生成最終授權令牌,并在安全的通信網(wǎng)絡上與接收方B共享此令牌�����。在此情況下����,例如,接收方A保持了其密匙的機密性并且可以基于每個項目來委托令牌����。最終,如果信息系統(tǒng)愿意信任接收方A來管理向上的訪問權限委托�,則接收方A可操作其自己的預授權令牌發(fā)放方。在這種情況下,可以用由接收方A的預授權令牌發(fā)放方生成的令牌來代替原始的預授權令牌�。然后可將接收方A的令牌發(fā)放方的公鑰添加到信息服務的可信 列表中。
權利要求
1.一種控制裝置����,該控制裝置用于使得由在整個供應網(wǎng)絡的路徑上的一個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制,對所述一個信息系統(tǒng)或所述多個信息系統(tǒng)中的每ー個的訪問通過訪問策略器被管制����,所述網(wǎng)絡包括至少ー個令牌發(fā)放方,所述至少ー個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌并且向在整個所述網(wǎng)絡的路徑上的一個或多個實體轉發(fā)所述訪問預授權令牌�,所述訪問預授權令牌具有與其相關聯(lián)的信息標識符和數(shù)字簽名����;以及至少ー個接收方實體,所述至少ー個接收方實體能夠操作為接收由所述至少一個令牌發(fā)放方發(fā)放的訪問預授權令牌�����; 所述控制裝置包括 密鑰生成器����,該密鑰生成器能夠操作為關于所述至少一個接收方實體生成 (i)包括公鑰和私鑰的接收方實體公鑰/私鑰對,所述接收方實體公鑰使得確保使用所述接收方實體私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證�����;以及 (ii)令牌轉換密鑰,所述令牌轉換密鑰使得使用關于所述至少一個接收方實體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉換為與所述令牌發(fā)放方相關聯(lián)的數(shù)字簽名�����; 所述密鑰生成器還能夠操作為關于所述至少一個令牌發(fā)放方生成 (iii)令牌發(fā)放方公鑰/私鑰對�,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證; 所述控制裝置還包括密鑰分配器��,該密鑰分配器能夠操作為 向所述至少一個令牌發(fā)放方分配關于所述至少一個接收方實體生成的所述接收方實體私鑰���; 向所述至少一個接收方實體分配關于所述至少一個接收方實體生成的所述令牌轉換密鑰��;以及 向所述訪問策略器分配所述令牌發(fā)放方公鑰�����。
2.根據(jù)權利要求I所述的控制裝置�����,其中所述密鑰分配器還能夠操作為向所述至少一個接收方實體分配關于所述至少一個接收方實體生成的所述接收方實體公鑰��。
3.根據(jù)權利要求I或2所述的控制裝置�,其中所述訪問預授權令牌存儲在與所述令牌相關聯(lián)的所述信息標識符的存儲器部件中。
4.根據(jù)權利要求1��、2或3所述的控制裝置���,其中所述數(shù)字簽名存儲在與所述令牌相關聯(lián)的所述信息標識符的存儲器部件中�。
5.根據(jù)前述權利要求中任一項所述的控制裝置��,其中所述信息標識符存儲在射頻識別設備中�。
6.根據(jù)前述權利要求中任一項所述的控制裝置,其中基于關于所述令牌發(fā)放方所生成的所述密鑰對的所述令牌發(fā)放方私鑰�,生成關于特定接收方實體所生成的所述令牌轉換密鑰。
7.根據(jù)前述權利要求中任一項所述的控制裝置�,其中基于關于所述至少ー個接收方實體所生成的所述接收方實體私鑰,生成關于特定接收方實體所生成的所述令牌轉換密鑰����。
8.根據(jù)前述權利要求中任一項所述的控制裝置���,其中關于特定令牌發(fā)放方所生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗證����,該數(shù)字簽名確保使用與所述至少一個接收方實體相關聯(lián)的接收方實體私鑰所創(chuàng)建的�����、然后使用關于所述至少一個接收方實體所生成的令牌轉換密鑰所轉換的消息的真實性。
9.根據(jù)權利要求8所述的控制裝置����,其中,在已經(jīng)向所述令牌發(fā)放方分配了關于所述接收方實體生成的所述接收方實體私鑰的情況下��,關于特定令牌發(fā)放方生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗證�����,該數(shù)字簽名確保使用與所述至少ー個接收方實體相關聯(lián)的接收方實體私鑰所創(chuàng)建的��、然后使用關于所述至少一個接收方實體生成的令牌轉換密鑰所轉換的消息的真實性�。
10.根據(jù)前述權利要求中任一項所述的控制裝置,其中所述令牌發(fā)放方在ー個或多個信息系統(tǒng)的所述訪問策略器所信任的實體的控制下�����,準許對所述ー個或多個信息系統(tǒng)的訪問��。
11.根據(jù)前述權利要求中任一項所述的控制裝置����,該控制裝置用于使得對多個信息系統(tǒng)中的一個或多個信息系統(tǒng)的訪問能夠被控制�,其中對所述信息系統(tǒng)的訪問通過相應的訪問策略器而被管制�。
12.根據(jù)前述權利要求中任一項所述的控制裝置,該控制裝置用于使得由在整個供應網(wǎng)絡的路徑上的一個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制��,所述網(wǎng)絡包括多個令牌發(fā)放方����,每個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌。
13.根據(jù)前述權利要求中任一項所述的控制裝置���,該控制裝置用于使得由在整個供應網(wǎng)絡的路徑上的一個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制�,所述網(wǎng)絡包括多個接收方實體�,每個接收方實體能夠操作為接收由令牌發(fā)放方發(fā)放的訪問預授權令牌。
14.一種用于使得由在整個供應網(wǎng)絡的路徑上的一個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制的系統(tǒng)�����,對所述信息系統(tǒng)或所述多個信息系統(tǒng)中的每ー個信息系統(tǒng)的訪問通過訪問策略器而被管制�����,該系統(tǒng)包括 根據(jù)前述權利要求中任一項所述的控制裝置����; 至少ー個令牌發(fā)放方,該至少ー個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌�,以及向在整個所述網(wǎng)絡的路徑上的一個或多個實體轉發(fā)所述訪問預授權令牌,所述訪問預授權令牌具有與其相關聯(lián)的信息標識符和數(shù)字簽名�;以及 至少ー個接收方實體,該至少ー個接收方實體能夠操作為接收由所述至少ー個令牌發(fā)放方所發(fā)放的訪問預授權令牌��; 其中 所述至少ー個令牌發(fā)放方能夠操作為接收關于所述至少一個接收方實體由所述控制裝置所生成的接收方實體私鑰�,使用所述接收方實體私鑰用數(shù)字簽名對所述訪問預授權令牌簽名,以及向所述至少一個接收方實體轉發(fā)經(jīng)簽名的所述訪問預授權令牌�����; 所述至少ー個接收方實體能夠操作為接收關于所述至少一個接收方實體由所述控制裝置所生成的令牌轉換密鑰����,使用所述令牌轉換密鑰用數(shù)字簽名對經(jīng)簽名的所述訪問預授權令牌重新簽名,以及向所述訪問策略器提供所述經(jīng)重新簽名的令牌�;以及 所述訪問策略器能夠操作為接收由所述控制裝置所生成的令牌發(fā)放方公鑰,使用所述令牌發(fā)放方公鑰驗證在所述經(jīng)重新簽名的令牌上的所述數(shù)字簽名的真實性���,以及基于所述驗證而允許所述至少ー個接收方實體訪問所述ー個或多個信息系統(tǒng)�����。
15.—種用于使得由在整個供應網(wǎng)絡的路徑上的一個或多個實體對ー個或多個信息系統(tǒng)的訪問能夠被控制的方法���,對所述一個信息系統(tǒng)或所述多個信息系統(tǒng)中的每ー個的訪問通過訪問策略器被管制��,所述網(wǎng)絡包括至少ー個令牌發(fā)放方��,所述至少一個令牌發(fā)放方能夠操作為發(fā)放訪問預授權令牌�,以及向在整個所述網(wǎng)絡的路徑上的一個或多個實體轉發(fā)所述訪問預授權令牌����,所述訪問預授權令牌具有與其相關聯(lián)的信息標識符和數(shù)字簽名;以及至少ー個接收方實體�,所述至少ー個接收方實體能夠操作為接收由所述至少ー個令牌發(fā)放方所發(fā)放的訪問預授權令牌; 所述方法包括 關于所述至少一個接收方實體生成 (i)包括公鑰和私鑰的接收方實體公鑰/私鑰對���,所述接收方實體公鑰使得確保使用所述接收方實體私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證��;以及 (ii)令牌轉換密鑰��,所述令牌轉換密鑰使得使用關于所述至少一個接收方實體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉換為與所述令牌發(fā)放方相關聯(lián)的數(shù)字簽名���; 關于所述至少一個令牌發(fā)放方生成 (iii)令牌發(fā)放方公鑰/私鑰對,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實性的數(shù)字簽名能夠被驗證���; 向所述至少一個令 牌發(fā)放方分配關于所述至少一個接收方實體生成的所述接收方實體私鑰����; 向所述至少一個接收方實體分配關于所述至少一個接收方實體生成的所述令牌轉換密鑰����;以及 向所述訪問策略器分配所述令牌發(fā)放方公鑰。
全文摘要
一種用于使得由在整個供應網(wǎng)絡的路徑上的一個或多個實體(34)對一個或多個信息系統(tǒng)(36)的訪問能夠被控制的控制裝置(30)�、系統(tǒng)和方法,對所述信息系統(tǒng)或每個信息系統(tǒng)(36)的訪問通過訪問策略器(38)被管制����,該網(wǎng)絡包括至少一個令牌發(fā)放方(32);以及至少一個接收方實體(34)��,該至少一個令牌發(fā)放方(32)能夠操作為發(fā)放訪問預授權令牌以及向在整個網(wǎng)絡的路徑上的一個或多個實體(34)轉發(fā)訪問預授權令牌����,該訪問預授權令牌具有與其相關聯(lián)的信息標識符和數(shù)字簽名,該至少一個接收方實體(34)能夠操作為接收由所述至少一個令牌發(fā)放方(32)所發(fā)放的訪問預授權令牌�����。
文檔編號H04L9/32GK102792633SQ201180014005
公開日2012年11月21日 申請日期2011年1月14日 優(yōu)先權日2010年1月29日
發(fā)明者安德列·亞索伯拉, 特雷弗·伯布里奇 申請人:英國電訊有限公司