專利名稱:安全數(shù)據(jù)解析方法和系統(tǒng)的制作方法
安全數(shù)據(jù)解析方法和系統(tǒng) 相關(guān)申請(qǐng)的交叉參考0001本申請(qǐng)要求2005年11月18日申請(qǐng)的美國(guó)臨時(shí)申請(qǐng)No. 60/738231的權(quán)益,該申請(qǐng)全文包括在此以供參考。技術(shù)領(lǐng)域0002本發(fā)明一般涉及用于保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)或使用 的系統(tǒng)。
背景技術(shù):
0003當(dāng)今社會(huì)中,個(gè)人和商業(yè)經(jīng)計(jì)算機(jī)系統(tǒng)進(jìn)行活動(dòng)的量日益 增加。這些計(jì)算機(jī)系統(tǒng),包括私有和非私有計(jì)算機(jī)網(wǎng)絡(luò),通常存儲(chǔ), 存檔和傳輸所有類型的敏感信息。因此對(duì)確保經(jīng)這些系統(tǒng)存儲(chǔ)和傳輸 的數(shù)據(jù)不被讀取或危害的需要日益增加。0004
一種確保計(jì)算機(jī)系統(tǒng)安全的普通做法是提供登錄和口令功 能。然而,口令管理被證明成本很高,因?yàn)榇蟛糠址?wù)臺(tái)請(qǐng)求(help desk calls)都涉及口令問(wèn)題。而且,口令提供的安全性小,因?yàn)榭诹钔ǔ?都存儲(chǔ)在易被不適當(dāng)訪問(wèn),例如暴力襲擊的文件中。0005確保計(jì)算機(jī)系統(tǒng)安全的另一個(gè)解決方案是提供密碼基礎(chǔ)結(jié) 構(gòu)。 一般地,密碼術(shù)是指通過(guò)變換或加密數(shù)據(jù)為不可讀的格式來(lái)保護(hù) 數(shù)據(jù)。只有擁有密鑰的人才可解密數(shù)據(jù)為可用格式。密碼術(shù)用于識(shí)別 用戶,例如鑒定,用于允許訪問(wèn)特權(quán),例如授權(quán),以及用于產(chǎn)生數(shù)字 證書(shū)和簽名等。 一個(gè)流行的密碼術(shù)系統(tǒng)是使用兩個(gè)密鑰的公鑰系統(tǒng), ^^鑰是每個(gè)人已知的,而私鑰僅個(gè)體或商業(yè)所有人知道。通常以一個(gè) 密鑰加密的數(shù)據(jù)是以另一個(gè)密鑰解密的,且任一密鑰均不可從另一個(gè) 密鑰重新創(chuàng)建。
0006不幸的是,即使是前面典型的公鑰加密系統(tǒng),在安全性方 面仍高度依賴于用戶。例如密碼系統(tǒng)通過(guò)例如用戶瀏覽器發(fā)出私鑰給 用戶。沒(méi)有經(jīng)驗(yàn)的用戶通常將私鑰存儲(chǔ)在其他人可經(jīng)開(kāi)放計(jì)算機(jī)系統(tǒng), 如因特網(wǎng)來(lái)訪問(wèn)的硬盤上。另一方面,用戶可能為包含他們私鑰的文 件選擇差名字,如"key."。前述和其他動(dòng)作的結(jié)果是使密鑰安全易受 危害。0007除了前述安全危害,用戶可能在配置有歸檔或備份系統(tǒng)的 計(jì)算機(jī)系統(tǒng)上保存他或她私鑰,這可能會(huì)導(dǎo)致私鑰副本在多個(gè)計(jì)算機(jī) 存儲(chǔ)裝置或其他系統(tǒng)上傳播。該安全破壞通常稱為"密鑰遷移(key migration),,。類似于密鑰遷移,許多應(yīng)用程序頂多通過(guò)簡(jiǎn)單登錄和 口令訪問(wèn)提供對(duì)用戶私鑰的訪問(wèn)。如上所述,登錄和口令訪問(wèn)通常不 提供足夠的安全。0008
一種增加前述密碼系統(tǒng)安全性的解決方案是把生物統(tǒng)計(jì)特 征(biometrics )包括進(jìn)來(lái),作為鑒定或授權(quán)的。生物統(tǒng)計(jì)特征通常包 括可測(cè)量的物理特征,如可由諸如(指紋圖案或語(yǔ)音樣式(speech pattern)的模式匹配或識(shí)別)等自動(dòng)化系統(tǒng)檢驗(yàn)的指紋或語(yǔ)音。在這 類系統(tǒng)中,用戶生物統(tǒng)計(jì)特征和/或密鑰可存儲(chǔ)在移動(dòng)計(jì)算機(jī)裝置中, 如智能卡、膝上型計(jì)算機(jī)、個(gè)人數(shù)字助理或移動(dòng)電話,從而允許生物 統(tǒng)計(jì)特征或密鑰可用在移動(dòng)環(huán)境中。0009前述移動(dòng)生物統(tǒng)計(jì)特征密碼系統(tǒng)尚有多種缺點(diǎn)。例如,移 動(dòng)用戶可能丟失或損壞智能卡或便攜式計(jì)算裝置,因而使得他或她不 再能夠訪問(wèn)可能重要的數(shù)據(jù)。可替換地,有惡意的人可能竊取移動(dòng)用 戶智能卡或便攜式計(jì)算裝置,并將其用來(lái)有效地竊取移動(dòng)用戶的數(shù)字 證件(credential)。另一方面,便攜式計(jì)算裝置可連接到開(kāi)放系統(tǒng), 如因特網(wǎng),且與口令類似,存儲(chǔ)生物統(tǒng)計(jì)特征的文件可能由于用戶對(duì) 安全保護(hù)的疏忽或惡意入侵者易受危害。發(fā)明內(nèi)容0010基于前面所述,存在提供密碼系統(tǒng)的需要,該密碼系統(tǒng)的
安全保護(hù)是用戶無(wú)關(guān)的并支持移動(dòng)用戶。0011因此,本發(fā)明的一個(gè)方面是提供一種方法,用于安全保護(hù)幾乎任何類型的數(shù)據(jù),防止未授權(quán)的訪問(wèn)或使用。該方法包括一個(gè)或 多個(gè)解析、分割和/或分離待保護(hù)數(shù)據(jù)為兩個(gè)或多個(gè)分部或部分的步 驟。該方法也包括加密待保護(hù)數(shù)據(jù)。數(shù)據(jù)加密可在數(shù)據(jù)第一次解析, 分割和/或分離之前或之后執(zhí)行。此外,加密步驟可為一個(gè)或多個(gè)數(shù)據(jù) 部分重復(fù)。類似地,解析,分割和/或分離步驟可為一個(gè)或多個(gè)數(shù)據(jù)部 分重復(fù)。該方法也可選包括在一個(gè)或多個(gè)位置存儲(chǔ)解析的,分割的和/ 或分離的已經(jīng)加密的數(shù)據(jù)。該方法也可選包括為授權(quán)訪問(wèn)或使用重構(gòu) 或重組安全保護(hù)的數(shù)據(jù)為原始形式。該方法可合并到任何能夠執(zhí)行本 方法所需步驟的計(jì)算機(jī),服務(wù)器,引擎等操作中。0012本發(fā)明的另一方面是提供一種系統(tǒng),用于安全保護(hù)幾乎任 何類型的數(shù)據(jù),防止未授權(quán)訪問(wèn)或使用。該系統(tǒng)包括數(shù)據(jù)分割模塊, 密碼處理模塊,以及可選的數(shù)據(jù)組裝4莫塊(data assembling module )。 在一個(gè)實(shí)施例中,該系統(tǒng)進(jìn)一步包括存儲(chǔ)安全數(shù)據(jù)的一個(gè)或多個(gè)數(shù)據(jù) 存儲(chǔ)設(shè)施。0013因此,本發(fā)明一個(gè)方面提供安全保護(hù)服務(wù)器(secure server),或授信引擎(trust engine),其具有服務(wù)器中心式密鑰 (server-centric key),或換句話說(shuō)在服務(wù)器上存儲(chǔ)密鑰和用戶鑒定 數(shù)據(jù)。按照該實(shí)施例,用戶訪問(wèn)授信引擎以便執(zhí)行鑒定和密碼功能, 例如但不限于鑒定、授權(quán)、數(shù)字簽名和證書(shū)、密碼、公證書(shū)和委托書(shū) 類動(dòng)作的生成,存儲(chǔ)和檢索。0014本發(fā)明的另一個(gè)方面是提供可靠或授信的鑒定過(guò)程。而且, 在可信肯定鑒定后,可采取大量不同動(dòng)作,從提供密碼技術(shù),到系統(tǒng) 或裝置授權(quán)和訪問(wèn),以及允許一個(gè)或大量電子裝置的使用或控制。0015本發(fā)明另一個(gè)方面是在密鑰和鑒定數(shù)據(jù)不會(huì)丟失,被竊取 或危害的環(huán)境中提供密鑰和鑒定數(shù)據(jù),因而有利地避免了持續(xù)再發(fā)出 和管理新密鑰和鑒定數(shù)據(jù)的需要。按照本發(fā)明另一個(gè)方面,授信引擎 允許用戶為多個(gè)活動(dòng),賣主,和/或鑒定請(qǐng)求使用一個(gè)密鑰對(duì)。按照本
發(fā)明另一個(gè)方面,授信引擎執(zhí)行至少一步密碼處理,例如但不限于, 在服務(wù)器側(cè)加密、鑒定或簽名,因而允許客戶或用戶只擁有最小的計(jì) 算資源。0016按照本發(fā)明另一個(gè)方面,授信引擎包括一個(gè)或多個(gè)用于存 儲(chǔ)每個(gè)密鑰和鑒定數(shù)據(jù)部分的存儲(chǔ)倉(cāng)庫(kù)(expository)。這些部分是通 過(guò)數(shù)據(jù)分割過(guò)程產(chǎn)生的,數(shù)據(jù)分割過(guò)程在沒(méi)有來(lái)自存儲(chǔ)倉(cāng)庫(kù)中 一個(gè)以 上位置或來(lái)自多個(gè)存儲(chǔ)倉(cāng)庫(kù)的預(yù)定部分時(shí)阻止重構(gòu)。按照另一個(gè)實(shí)施 例,多個(gè)存儲(chǔ)倉(cāng)庫(kù)可以是地理上遠(yuǎn)程的,因此欺詐性雇員或一個(gè)存儲(chǔ) 倉(cāng)庫(kù)受危害的系統(tǒng)不會(huì)提供對(duì)用戶密鑰或鑒定數(shù)據(jù)的訪問(wèn)。0017按照又一個(gè)實(shí)施例,鑒定過(guò)程有利地允許授信引擎并行處 理多種鑒定活動(dòng)。按照另一個(gè)實(shí)施例,授信引擎可有利地跟蹤失敗的 訪問(wèn)企圖,并因而限制惡意入侵者試圖破壞系統(tǒng)的次數(shù)。0018按照另一個(gè)實(shí)施例,授信引擎可包括多個(gè)實(shí)例,其中每個(gè) 授信引擎可預(yù)測(cè)并與其他授信引擎共享處理負(fù)載。按照另一個(gè)實(shí)施例, 授信引擎可包括冗余模塊供調(diào)檢(polling)多個(gè)鑒定結(jié)果,從而確保 一個(gè)以上的系統(tǒng)鑒定用戶。0019因此,本發(fā)明一個(gè)方面包括可遠(yuǎn)程訪問(wèn)的安全保護(hù)密碼系 統(tǒng),其用于存儲(chǔ)任何類型的數(shù)據(jù),包括但不限于多個(gè)要與多個(gè)用戶關(guān) 聯(lián)的私人密鑰。密碼系統(tǒng)將多個(gè)用戶中的每一個(gè)與多個(gè)私人密鑰中的 一個(gè)或多個(gè)不同密鑰相關(guān)聯(lián),并為每個(gè)使用關(guān)聯(lián)的一個(gè)或多個(gè)不同密 鑰的用戶執(zhí)行密碼功能,而不用向用戶發(fā)布多個(gè)私人密鑰。密碼系統(tǒng) 包括具有至少一個(gè)服務(wù)器的存儲(chǔ)倉(cāng)庫(kù)系統(tǒng),該服務(wù)器存儲(chǔ)待安全保護(hù) 的數(shù)據(jù),如多個(gè)私人密鑰和多個(gè)登記鑒定數(shù)據(jù)(enroll authentication data)。每個(gè)登記鑒定數(shù)據(jù)識(shí)別多個(gè)用戶中的一個(gè),且多個(gè)用戶中的 每個(gè)都與多個(gè)私人密鑰中的一個(gè)或多個(gè)不同密鑰關(guān)聯(lián)。密碼系統(tǒng)也包 括鑒定引擎,鑒定引擎比較多個(gè)用戶中一個(gè)用戶接收的鑒定數(shù)據(jù)和對(duì) 應(yīng)于多個(gè)用戶中該一個(gè)用戶并從存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)接收的登記鑒定數(shù)據(jù), 因而產(chǎn)生鑒定結(jié)果。密碼系統(tǒng)也可包括密碼引擎,在鑒定結(jié)果指示多 個(gè)用戶中的一個(gè)用戶身份適當(dāng)時(shí),密碼引擎代表該多個(gè)用戶中的該一 個(gè)用戶以關(guān)聯(lián)的 一個(gè)或多個(gè)從存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)接收的不同密鑰執(zhí)行密碼 功能。密碼系統(tǒng)也包括交易引擎,鑒定引擎,和密碼引擎,其中,交 易引擎連接到從多個(gè)用戶到存儲(chǔ)倉(cāng)庫(kù)服務(wù)器系統(tǒng)的路由數(shù)據(jù)。0020本發(fā)明另一個(gè)方面包括密碼系統(tǒng),其可選能遠(yuǎn)程訪問(wèn)。密 碼系統(tǒng)包括存儲(chǔ)倉(cāng)庫(kù)系統(tǒng),其具有至少一個(gè)存儲(chǔ)至少一個(gè)私鑰和任何 其他數(shù)據(jù)的服務(wù)器,其他數(shù)據(jù)例如,但不限于多個(gè)登記鑒定數(shù)據(jù),其 中每個(gè)登記鑒定數(shù)據(jù)識(shí)別可能的多個(gè)用戶中的一個(gè)。密碼系統(tǒng)也可選 包括鑒定引擎,該鑒定引擎比較由用戶接收的鑒定數(shù)據(jù)和相應(yīng)于該用 戶并從存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)接收的登記鑒定數(shù)據(jù),因而產(chǎn)生鑒定結(jié)果。密碼 系統(tǒng)也包括密碼引擎,當(dāng)鑒定結(jié)果指示用戶身份適當(dāng)時(shí),該密碼引擎 代表用戶至少使用可從存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)接收的所述私鑰執(zhí)行密碼功能。 密碼系統(tǒng)也可選交易引擎,鑒定引擎,和密碼引擎。其中,交易引擎 連接到從用戶到其他引擎或系統(tǒng)的路由數(shù)據(jù),其他引擎或系統(tǒng)例如, 但不限于存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)。0021本發(fā)明另一個(gè)方面包括促進(jìn)密碼功能的方法。該方法包括 關(guān)聯(lián)多個(gè)用戶中的一個(gè)用戶和多個(gè)存儲(chǔ)在安全位置的私人密鑰中的一 個(gè)或一個(gè)以上的密鑰,該安全位置如安全服務(wù)器。該方法也包括從用 戶接收鑒定數(shù)據(jù),并比較該鑒定數(shù)據(jù)和相應(yīng)于用戶的鑒定數(shù)據(jù),因而 驗(yàn)證用戶的身份。該方法也包括利用一個(gè)或多個(gè)密鑰執(zhí)行密碼功能而 不發(fā)布一個(gè)或多個(gè)密鑰給用戶。0022本發(fā)明另一個(gè)方面包括鑒定系統(tǒng),用于通過(guò)用戶登記鑒定 數(shù)據(jù)的安全存儲(chǔ)來(lái)唯一識(shí)別用戶。鑒定系統(tǒng)包括一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ) 設(shè)施,其中每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施包括存儲(chǔ)至少 一部分登記鑒定數(shù)據(jù)的計(jì) 算機(jī)可訪問(wèn)存儲(chǔ)介質(zhì)。鑒定系統(tǒng)也包括與 一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施通 信的鑒定引擎。鑒定引擎包括對(duì)登記鑒定數(shù)據(jù)操作從而建立多個(gè)部分 的數(shù)據(jù)分割模塊,處理來(lái)自至少 一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施多個(gè)數(shù)據(jù)部分從而 組合登記鑒定數(shù)據(jù)的數(shù)據(jù)組裝模塊,以及從用戶接收當(dāng)前鑒定數(shù)據(jù)并 與組合的登記鑒定數(shù)據(jù)比較當(dāng)前鑒定數(shù)據(jù)從而判斷用戶是否已經(jīng)被唯 一識(shí)別的數(shù)據(jù)比較器模塊。
0023本發(fā)明另一個(gè)方面包括密碼系統(tǒng)。密碼系統(tǒng)包括一個(gè)或多 個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施,其中每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施包括計(jì)算機(jī)可訪問(wèn)存儲(chǔ)介質(zhì), 該存儲(chǔ)介質(zhì)存儲(chǔ)一個(gè)或多個(gè)密鑰的至少一部分。密碼系統(tǒng)也包括與數(shù) 據(jù)存儲(chǔ)設(shè)施通信的密碼引擎。密碼引擎也包括對(duì)密鑰操作從而建立多 個(gè)數(shù)據(jù)部分的數(shù)據(jù)分割模塊,處理來(lái)自至少一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施多個(gè)數(shù) 據(jù)部分從而組合密鑰的數(shù)據(jù)組裝模塊,以及接收組合的密鑰并執(zhí)行密 碼功能的密碼操縱模塊。0024本發(fā)明另一個(gè)方面包括存儲(chǔ)任何類型數(shù)據(jù)的方法,包括但 不限于地理上遠(yuǎn)程安全數(shù)據(jù)存儲(chǔ)設(shè)施中的鑒定數(shù)據(jù),因而依靠任何個(gè) 人數(shù)據(jù)存儲(chǔ)設(shè)施的組合來(lái)保護(hù)數(shù)據(jù)。該方法包括在授信引擎接收數(shù)據(jù), 在授信引擎組合數(shù)據(jù)與第 一基本為隨機(jī)的值形成第 一組合值,并組合 該數(shù)據(jù)與第二基本為隨機(jī)的值從而形成第二組合值。該方法包括建立 第 一對(duì)第 一基本隨機(jī)值和第二組合值,建立第二對(duì)第 一基本隨機(jī)值和 第二基本隨機(jī)值,和在第一安全數(shù)據(jù)存儲(chǔ)設(shè)施中存儲(chǔ)第一對(duì)。該方法 包括在與第 一安全數(shù)據(jù)存儲(chǔ)設(shè)施遠(yuǎn)距離的第二安全數(shù)據(jù)存儲(chǔ)設(shè)施中存 儲(chǔ)第二對(duì)。0025本發(fā)明另一個(gè)方面包括存儲(chǔ)任何類型數(shù)據(jù)的方法,包括但 不限于,包括接收數(shù)據(jù)的鑒定數(shù)據(jù),組合數(shù)據(jù)和第一比特集合從而形 成第二比特集合,和組合該數(shù)據(jù)與第三比特集合從而形成第四比特集 合。該方法也包括建立第一對(duì)第一比特集合和第三比特集合。該方法 還包括建立第二對(duì)第一比特集合和第四比特集合,并在第一計(jì)算機(jī)可 訪問(wèn)介質(zhì)中存儲(chǔ)第一和第二對(duì)中的一對(duì)。該方法還包括在第二計(jì)算機(jī) 可訪問(wèn)存儲(chǔ)介質(zhì)中存儲(chǔ)第 一和第二對(duì)中的另 一對(duì)。0026本發(fā)明另 一個(gè)方面包括在地理上遠(yuǎn)距離的安全數(shù)據(jù)存儲(chǔ)設(shè) 施中存儲(chǔ)密碼數(shù)據(jù)的方法,從而靠任何個(gè)人數(shù)據(jù)存儲(chǔ)設(shè)施的組合來(lái)保 護(hù)密碼數(shù)據(jù)。該方法包括在授信引擎接收密碼數(shù)據(jù),在授信引擎組合 密碼數(shù)據(jù)與第一基本隨機(jī)值從而形成第一組合值,并組合密碼數(shù)據(jù)與第二基本隨機(jī)值從而形成第二組合值。該方法也包括建立第一對(duì)第一 基本隨機(jī)值與第二組合值,建立第二對(duì)第 一基本隨機(jī)值和第二基本隨
機(jī)值,并在第一安全數(shù)據(jù)存儲(chǔ)設(shè)施中存儲(chǔ)第一對(duì)。該方法還包括在與 第 一安全數(shù)據(jù)存儲(chǔ)設(shè)施遠(yuǎn)程的第二數(shù)據(jù)存儲(chǔ)設(shè)施中存儲(chǔ)第二對(duì)。0027本發(fā)明另一個(gè)方面包括存儲(chǔ)密碼數(shù)據(jù)的方法,該方法包括 接收鑒定數(shù)據(jù),并組合該密碼數(shù)據(jù)和第一比特集合從而形成第二比特 集合。該方法還包括組合該密碼數(shù)據(jù)與第三比特集合從而形成第四比 特集合,建立第一對(duì)第一比特集合和第三比特集合,并建立第二對(duì)第 一比特集合和第四比特集合。該方法也包括在第一計(jì)算機(jī)可訪問(wèn)介質(zhì) 中存儲(chǔ)第 一和第二對(duì)中的一對(duì)。該方法還包括在第二計(jì)算機(jī)可訪問(wèn)存 儲(chǔ)介質(zhì)中存儲(chǔ)第 一和笫二對(duì)中的另 一對(duì)。0028本發(fā)明另一個(gè)方面包括在密碼系統(tǒng)中處理任何類型或形式 敏感數(shù)據(jù)和采用該敏感數(shù)據(jù)的方法,其中該敏感數(shù)據(jù)僅在授權(quán)用戶動(dòng) 作其間以可用形式存在。該方法也包括在軟件模塊中接收來(lái)自第 一計(jì) 算機(jī)可訪問(wèn)存儲(chǔ)介質(zhì)中的基本隨機(jī)化或加密的敏感數(shù)據(jù),并在軟件模 塊中接收來(lái)自 一個(gè)或多個(gè)其他的計(jì)算機(jī)可訪問(wèn)存儲(chǔ)介質(zhì)的基本隨機(jī)化 或加密的數(shù)據(jù),該數(shù)據(jù)可以是也可以不是敏感數(shù)據(jù)。該方法也包括在 軟件模塊中處理基本隨機(jī)化的預(yù)加密敏感數(shù)據(jù)和可以是也可不是敏感 數(shù)據(jù)的基本隨機(jī)化的或加密的數(shù)據(jù),從而合并該敏感數(shù)據(jù),還包括在 軟件引擎中采用該敏感數(shù)據(jù)從而執(zhí)行動(dòng)作。該動(dòng)作包括但不限于鑒定 用戶和執(zhí)行密碼功能中的一個(gè)。0029本發(fā)明另一個(gè)方面包括安全鑒定系統(tǒng)。該安全鑒定系統(tǒng)包 括多個(gè)鑒定引擎。每個(gè)鑒定引擎接收用于一定程度上唯一識(shí)別用戶的 登記鑒定數(shù)據(jù)。每個(gè)鑒定引擎接收當(dāng)前鑒定數(shù)據(jù)從而與登記鑒定數(shù)據(jù) 比較,且每個(gè)鑒定引擎判斷鑒定結(jié)果。安全鑒定系統(tǒng)也包括接收至少 兩個(gè)鑒定引擎的鑒定結(jié)果,并判斷是否用戶已被唯一識(shí)別的冗余系統(tǒng)。0030本發(fā)明另一個(gè)方面包括移動(dòng)系統(tǒng)(motion system)中的安 全數(shù)據(jù),因而數(shù)據(jù)可以以按照本發(fā)明被安全保護(hù)的不同部分傳輸,以 便被危害的任一部分不能提供足夠的數(shù)據(jù)來(lái)恢復(fù)原始數(shù)據(jù)。這可應(yīng)用 到任何數(shù)據(jù)傳輸,無(wú)論是有線,無(wú)線,還是物理傳輸。0031本發(fā)明另 一個(gè)方面包括將本發(fā)明的安全數(shù)據(jù)解析器集成到
任何合適的系統(tǒng)上,數(shù)據(jù)在這里存儲(chǔ)或通信。例如,電子郵件系統(tǒng),RAID系統(tǒng),視頻廣播系統(tǒng),數(shù)據(jù)庫(kù)系統(tǒng),或任何其他合適系統(tǒng)可具 有以任何合適水平集成的安全數(shù)據(jù)解析器。0032本發(fā)明另 一個(gè)方面包括使用任何合適的解析和分割算法從 而生成數(shù)據(jù)共享。要么隨機(jī),偽隨機(jī),確定性,或他們的任何組合均 可用于解析和分割數(shù)據(jù)。
0033下面更詳細(xì)地聯(lián)系
本發(fā)明,附圖僅是為了示出本 發(fā)明而非限制本發(fā)明,其中0034圖1示出按照本發(fā)明一個(gè)實(shí)施例的密碼系統(tǒng)的方框圖; 0035圖2示出按照本發(fā)明一個(gè)實(shí)施例的圖1中授信引擎的方框圖0036圖3示出按照本發(fā)明一個(gè)實(shí)施例的圖2中交易引擎的方框 0037圖4示出按照本發(fā)明一個(gè)實(shí)施例的圖2中存儲(chǔ)倉(cāng)庫(kù)的方框 0038圖5示出按照本發(fā)明一個(gè)實(shí)施例的圖2中鑒定引擎的方框 0039圖6示出按照本發(fā)明一個(gè)實(shí)施例的圖2中密碼引擎的方框 0040圖7示出按照本發(fā)明另一個(gè)實(shí)施例的存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)的方框0041圖8示出按照本發(fā)明一個(gè)實(shí)施例的數(shù)據(jù)分割過(guò)程的流程圖; 0042圖9中面A示出按照本發(fā)明一個(gè)實(shí)施例的登記過(guò)程的數(shù)據(jù)流;0043圖9中面B示出按照本發(fā)明一個(gè)實(shí)施例的互操作過(guò)程 (interoperability process )的流程圖;0044圖IO示出按照本發(fā)明一個(gè)實(shí)施例的鑒定過(guò)程的數(shù)據(jù)流;
0045圖11示出按照本發(fā)明一個(gè)實(shí)施例的簽名過(guò)程的數(shù)據(jù)流; 0046圖12示出按照本發(fā)明另一個(gè)實(shí)施例的加密/解密過(guò)程的數(shù)據(jù)流;0047圖13示出按照本發(fā)明另一個(gè)實(shí)施例的授信引擎系統(tǒng)的簡(jiǎn) 化方框圖;0048圖14示出按照本發(fā)明另一個(gè)實(shí)施例的授信引擎系統(tǒng)的簡(jiǎn) 化方框圖;0049圖15示出按照本發(fā)明一個(gè)實(shí)施例的圖14中冗余模塊的方框圖;0050圖16示出按照本發(fā)明一個(gè)方面的評(píng)價(jià)鑒定的過(guò)程; 0051圖17示出按照本發(fā)明圖16所示一個(gè)方面的分配值給鑒定 的過(guò)程;0052圖18示出按照?qǐng)D17所示一個(gè)方面的執(zhí)行授信仲裁(trust arbitrage)過(guò)程;以及0053圖19示出按照本發(fā)明一個(gè)實(shí)施例的用戶和賣主間簡(jiǎn)單交 易,其中初始基于web的合同導(dǎo)致雙方簽署的銷售合同。0054圖20示出具有密碼服務(wù)提供商模塊的簡(jiǎn)單用戶系統(tǒng),該 密碼服務(wù)提供商模塊為用戶系統(tǒng)提供安全功能。0055圖21示出解析,分割和/或分離數(shù)據(jù)的過(guò)程,其中有加密 主鑰(encryption master key )隨數(shù)據(jù)的加密和存儲(chǔ)。0056圖22示出解析,分割和/或分離數(shù)據(jù)的過(guò)程,其中加密主 鑰與數(shù)據(jù)獨(dú)立加密和存儲(chǔ)。0057圖23示出用于解析,分割和/或分離數(shù)據(jù)的中間密鑰 (intermediary key )過(guò)程,其中有加密主鑰隨數(shù)據(jù)的加密和存儲(chǔ)。0058圖24示出用于解析,分割和/或分離數(shù)據(jù)的中間密鑰過(guò)程, 其中加密主鑰與數(shù)據(jù)獨(dú)立加密和存儲(chǔ)。0059圖25示出本發(fā)明密碼方法和系統(tǒng)在小工作組中的利用。0060圖26是說(shuō)明性物理標(biāo)記安全系統(tǒng)的方框圖,其采用按照 本發(fā)明實(shí)施例的安全數(shù)據(jù)解析器。0061圖27是按照本發(fā)明一個(gè)實(shí)施例的說(shuō)明性組織的方框圖, 其中安全數(shù)據(jù)解析器集成到系統(tǒng)中。 .0062圖28是按照本發(fā)明一個(gè)實(shí)施例,在移動(dòng)系統(tǒng)中說(shuō)明性數(shù) 據(jù)的方框圖。0063圖29是按照本發(fā)明一個(gè)實(shí)施例,另一個(gè)在移動(dòng)系統(tǒng)中說(shuō) 明性數(shù)據(jù)的方框圖。0064圖30 - 32是按照本發(fā)明一個(gè)實(shí)施例,具有集成的安全數(shù) 據(jù)解析器的說(shuō)明性系統(tǒng)的方框圖。0065圖33是按照本發(fā)明一個(gè)實(shí)施例,解析和分割數(shù)據(jù)的說(shuō)明 性過(guò)程的流程圖。0066圖34是按照本發(fā)明一個(gè)實(shí)施例將數(shù)據(jù)部分恢復(fù)為原始數(shù) 據(jù)的說(shuō)明性過(guò)程的流程圖。0067圖35是按照本發(fā)明一個(gè)實(shí)施例在比特級(jí)分割數(shù)據(jù)的說(shuō)明 性過(guò)程的流程圖。0068圖36是按照本發(fā)明一個(gè)實(shí)施例的說(shuō)明性步驟和特征的流 程圖,這些步驟和特征可以按照任何適當(dāng)?shù)慕M合使用,并可有任何合 適的添加,刪除或修改。0069圖37是按照本發(fā)明一個(gè)實(shí)施例的說(shuō)明性步驟和特征的流 程圖,這些步驟和特征可以按照任何適當(dāng)?shù)慕M合使用,并可有任何合 適的添加,刪除或修改。0070圖38是按照本發(fā)明一個(gè)實(shí)施例的共享體內(nèi)密鑰和數(shù)據(jù)構(gòu) 件存儲(chǔ)的簡(jiǎn)化方框圖,該共享體可以按照任何適當(dāng)?shù)慕M合使用,并可 有任何合適的添加,刪除或修改。0071圖39是按照本發(fā)明一個(gè)實(shí)施例的使用工作組密鑰的共享 體內(nèi)密鑰和數(shù)據(jù)構(gòu)件存儲(chǔ)的簡(jiǎn)化方框圖,該共享體可以按照任何適當(dāng) 的組合使用,并可有任何合適的添加,刪除或修改。00721圖40A和40B是按照本發(fā)明一個(gè)實(shí)施例,移動(dòng)數(shù)據(jù)的頭 文件生成和數(shù)據(jù)分割的簡(jiǎn)化的說(shuō)明性流程圖,該過(guò)程可以按照任何適 當(dāng)?shù)慕M合使用,并可有任何合適的添加,刪除或修改。 0073圖41是按照本發(fā)明一個(gè)實(shí)施例的說(shuō)明性共享格式的簡(jiǎn)化 方框圖,其可以按照任何適當(dāng)?shù)慕M合使用,并可有任何合適的添加, 刪除或修改。
具體實(shí)施方式
0074本發(fā)明的一個(gè)方面是提供一種密碼系統(tǒng),其中一個(gè)或多個(gè) 安全服務(wù)器或授信引擎(trust engine )存儲(chǔ)密碼密鑰和用戶鑒權(quán)數(shù)據(jù)。 用戶通過(guò)對(duì)授信引擎的網(wǎng)絡(luò)訪問(wèn)來(lái)訪問(wèn)傳統(tǒng)密碼系統(tǒng)的功能,然而, 授信引擎不發(fā)出實(shí)際密鑰和其他鑒權(quán)數(shù)據(jù),因此密鑰和數(shù)據(jù)保持安全。 密鑰和鑒權(quán)數(shù)據(jù)的這種服務(wù)器中心式存儲(chǔ)提供了用戶無(wú)關(guān)安全性,便 攜性,可用性,和直接性。0075由于用戶可確信或信任密碼系統(tǒng)來(lái)執(zhí)行用戶和文檔鑒權(quán)及 其他密碼功能,所以多種功能可被包括在該系統(tǒng)中。例如,授信引擎 提供器可例如通過(guò)鑒權(quán)協(xié)議參與方、代表或?yàn)閰⑴c方對(duì)協(xié)議進(jìn)行數(shù)字 簽名、和存儲(chǔ)由每個(gè)參與方數(shù)字簽名的協(xié)議的記錄,來(lái)確保防止協(xié)議 否認(rèn)。此外,密碼系統(tǒng)可監(jiān)視協(xié)議,并例如基于價(jià)格、用戶、賣主、 地理位置、使用地點(diǎn)等來(lái)確定應(yīng)用變化的鑒權(quán)度。0076為了促進(jìn)對(duì)本發(fā)明完整的理解,以下詳細(xì)說(shuō)明參考附圖說(shuō) 明本發(fā)明,其中相似的元素以相似的標(biāo)識(shí)號(hào)表示。0077圖1示出按照本發(fā)明一個(gè)實(shí)施例的密碼系統(tǒng)100的方框圖。 如圖1所示,密碼系統(tǒng)100包括通過(guò)通信鏈路125通信的用戶系統(tǒng)105、 授信引擎110、認(rèn)證授權(quán)方115、和賣主系統(tǒng)120。0078按照本發(fā)明一個(gè)實(shí)施例,用戶系統(tǒng)105包括傳統(tǒng)的通用計(jì) 算機(jī),其具有一個(gè)或多個(gè)微處理器,諸如基于英特爾的處理器。并且, 用戶系統(tǒng)105包括適當(dāng)?shù)牟僮飨到y(tǒng),諸如能夠包括圖形或窗口的操作 系統(tǒng),諸如Windows, Unix, Linux等。如圖1所示,用戶系統(tǒng)105 可包括生物統(tǒng)計(jì)特征識(shí)別裝置107。生物統(tǒng)計(jì)特征社別裝置107有利 地可以捕獲用戶的生物統(tǒng)計(jì)特征,并將所捕獲的生物統(tǒng)計(jì)特征傳遞到 授信引擎110。按照本發(fā)明的一個(gè)實(shí)施例,生物統(tǒng)計(jì)特征識(shí)別裝置有 的裝置,1997年9月5日申請(qǐng)的美國(guó)專利申請(qǐng)No. 08/926277,該美國(guó) 專利申請(qǐng)標(biāo)題為"RELIEF OBJECT IMAGE GENERATOR", 2000年 4月6日申請(qǐng)的美國(guó)專利申請(qǐng)No. 09/558634,其標(biāo)題為"IMAGING DEVICE FOR A RELIEF OBJECT AND SYSTEM AND METHOD OF USING THE IMAGE DEVICE", 1999年11月5日申請(qǐng)的美國(guó)專 利申請(qǐng)No. 09/435011,其標(biāo)題為"RELIEF OBJECT SENSOR ADAPTOR",和2000年1月5日申請(qǐng)的美國(guó)專利申請(qǐng)No. 09/477943, 其標(biāo)題為"PLANAR OPTICAL IMAGE SENSOR AND SYSTEM FOR GENERATING IN ELECTRONIC IMAGE OF A RELIEF OBJECT FOR FINGERPRINT READING",所有這些專利申請(qǐng)都為 本申請(qǐng)受讓人所有,且都包括在此以供參考。0079此外,用戶系統(tǒng)105可通過(guò)傳統(tǒng)的服務(wù)提供商被連接到通 信鏈路125,諸如撥號(hào)上網(wǎng),數(shù)字用戶線(DSL),線纜調(diào)制解調(diào)器, 光纖連接,等等。按照另一個(gè)實(shí)施例,用戶系統(tǒng)105通過(guò)網(wǎng)絡(luò)連接, 諸如局域網(wǎng)或廣域網(wǎng)來(lái)連接通信鏈路125。按照一個(gè)實(shí)施例,操作系 統(tǒng)包括處理在通信鏈路125上傳遞的所有入局和出局消息業(yè)務(wù)的 TCP/IP協(xié)議棧。0080雖然用戶系統(tǒng)105是參考前面的實(shí)施例公開(kāi)的,但本發(fā)明 不限于前面的實(shí)施例。相反,本領(lǐng)域技術(shù)人員可從這里的公開(kāi)認(rèn)識(shí)到 用戶系統(tǒng)105有大量可替換的實(shí)施例,幾乎包括任何能夠向/從另一個(gè) 計(jì)算機(jī)系統(tǒng)發(fā)送/接收信息的計(jì)算裝置。例如,用戶系統(tǒng)105可包括, 但不限于計(jì)算機(jī)工作站,互動(dòng)電視,交互查詢系統(tǒng)(interactive kiosk), 個(gè)人移動(dòng)計(jì)算裝置,如數(shù)字助理,移動(dòng)電話,膝上型計(jì)算機(jī),等等, 無(wú)線通信裝置,智能卡,嵌入式計(jì)算裝置等等,這些都可以與通信鏈 路125互動(dòng)。在這類替換系統(tǒng)中,操作系統(tǒng)可能彼此不同并為特定裝 置調(diào)整。然而,按照一個(gè)實(shí)施例,操作系統(tǒng)有利地繼續(xù)為在通信鏈路 125上建立通信所需提供適當(dāng)?shù)耐ㄐ艆f(xié)議。0081圖1示出了授信引擎110。按照一個(gè)實(shí)施例,授信引擎110
包括一個(gè)或多個(gè)安全服務(wù)器,用于訪問(wèn)和存儲(chǔ)敏感信息,其中敏感信 息可以是任何類型或形式的數(shù)據(jù),例如文本、音頻、視頻、用戶鑒權(quán) 數(shù)據(jù)和公共密鑰和私人密鑰,但不限于這些。按照一個(gè)實(shí)施例,鑒權(quán)數(shù)據(jù)包括祐 沒(méi)計(jì)用于唯一地識(shí)別密碼系統(tǒng)100的用戶的數(shù)據(jù)。例如,鑒權(quán)數(shù)據(jù)可包括用戶標(biāo)識(shí)號(hào), 一個(gè)或多個(gè)生物統(tǒng)計(jì)特征,和一系列由授信引擎110或用戶生成的問(wèn)題和回答,但最初由用戶在登記時(shí)回答。前面的問(wèn)題可包括人口統(tǒng)計(jì)數(shù)據(jù),如出生地、地址、周年紀(jì)念日等, 個(gè)人信息,如母親的娘家姓、喜歡的冰激凌等,或其他唯一識(shí)別用戶的數(shù)據(jù)。授信引擎110將與當(dāng)前交易相關(guān)聯(lián)的用戶鑒權(quán)數(shù)據(jù)與以前提 供-諸如在登記時(shí)提供-的鑒權(quán)數(shù)據(jù)進(jìn)行比較。授信引擎110有利地 可以要求用戶在每次交易時(shí)生成鑒權(quán)數(shù)據(jù),或授信引擎110有利地可以允許用戶周期性地生成鑒權(quán)數(shù)據(jù),諸如在開(kāi)始一系列交易時(shí)或在登 錄到特定賣主網(wǎng)址時(shí)。0082按照其中用戶生成生物統(tǒng)計(jì)特征數(shù)據(jù)的一個(gè)實(shí)施例,用戶 提供物理特征,諸如面部掃描,手掃描,耳朵掃描,虹膜掃描,視網(wǎng) 膜掃描,血管圖案,DNA,指紋,筆跡或語(yǔ)音給生物統(tǒng)計(jì)特征裝置107, 但不局限于這些特征。生物統(tǒng)計(jì)特征裝置有利地產(chǎn)生物理特征的電子 圖案、或生物統(tǒng)計(jì)特征。電子圖案通過(guò)用戶系統(tǒng)105被傳遞到授信引 擎IIO,用于登記或鑒權(quán)。0083
一旦用戶生成適當(dāng)?shù)蔫b權(quán)數(shù)據(jù)且授信引擎IIO確定該鑒權(quán) 數(shù)據(jù)(當(dāng)前鑒權(quán)數(shù)據(jù))與登記時(shí)所提供的鑒權(quán)數(shù)據(jù)(登記鑒權(quán)數(shù)據(jù)) 正面(positive)匹配,則授信引擎110向用戶提供完整的密碼功能。 例如,被適當(dāng)鑒權(quán)的用戶有利地可以采用授信引擎110來(lái)執(zhí)行散列處 理、數(shù)字簽名、加密和解密(通常一起被稱為加密)、創(chuàng)建或分布數(shù) 字證書(shū)等。然而,用作密碼功能中的私人密鑰不能在授信引擎110外 得到,因而確保密碼密鑰的完整性。0084按照一個(gè)實(shí)施例,授信引擎110生成并存儲(chǔ)密碼密鑰。按 照另一個(gè)實(shí)施例,至少一個(gè)密碼密鑰與每個(gè)用戶相關(guān)聯(lián)。而且,當(dāng)密 碼密鑰包括公鑰技術(shù)時(shí),與用戶相關(guān)聯(lián)的每個(gè)私鑰在授信引擎110內(nèi)
被生成且不被發(fā)出(release )。因此,只要用戶有權(quán)訪問(wèn)授信引擎110, 用戶就可利用他或她的私鑰或公鑰來(lái)執(zhí)行密碼功能。這樣的遠(yuǎn)程訪問(wèn) 有利地允許用戶完全保持移動(dòng)性,并通過(guò)實(shí)際上任何因特網(wǎng)連接來(lái)訪 問(wèn)密碼功能,諸如蜂窩和衛(wèi)星電話,信息亭,膝上型計(jì)算機(jī),賓館房 間等。0085按照另一個(gè)實(shí)施例,授信引擎110利用為授信引擎110所 生成的密鑰對(duì)來(lái)執(zhí)行密碼功能。按照該實(shí)施例,授信引擎110首先鑒 權(quán)用戶,并且在用戶已經(jīng)適當(dāng)?shù)厣膳c登記鑒權(quán)數(shù)據(jù)匹配的鑒權(quán)數(shù)據(jù) 后,授信引擎110代表被鑒權(quán)用戶而使用其自身的密碼密鑰對(duì)來(lái)執(zhí)行 密碼功能。0086本領(lǐng)域技術(shù)人員將從這里公開(kāi)的內(nèi)容認(rèn)識(shí)到密碼密鑰可有 利地包括某些或所有對(duì)稱密鑰,公鑰,私鑰。此外,本領(lǐng)域技術(shù)人員 將從這里的公開(kāi)認(rèn)識(shí)到前面的密鑰可以用大量算法執(zhí)行,這些算法可 從商業(yè)技術(shù)獲得,如RSA, ELGAMAL等。0087圖l也示出了i/v證授4又方(certificate authority ) 115。按 照一個(gè)實(shí)施例,認(rèn)證授權(quán)方115有利地可以包括可信的笫三方組織或 公司,其發(fā)出數(shù)字證書(shū),諸如VeriSign, Baltimore, Entrust等。授 信引擎110有利地可以通過(guò)一個(gè)或多個(gè)傳統(tǒng)的數(shù)字證書(shū)協(xié)議、諸如 PKCSIO發(fā)送對(duì)數(shù)字證書(shū)的請(qǐng)求至認(rèn)證授權(quán)方115。作為響應(yīng),認(rèn)證 授權(quán)方115將以大量不同協(xié)議中的一種或多種,諸如PKCS7發(fā)出數(shù) 字證書(shū)。按照本發(fā)明的一個(gè)實(shí)施例,授信引擎110向幾個(gè)或所有知名 認(rèn)證授權(quán)方(prominent certificate authority) 115請(qǐng)求數(shù)字證書(shū),使 得授信引擎110有權(quán)訪問(wèn)對(duì)應(yīng)于任何請(qǐng)求方的證書(shū)標(biāo)準(zhǔn)的數(shù)字證書(shū)。0088按照另一個(gè)實(shí)施例,授信引擎110內(nèi)部地執(zhí)行證書(shū)發(fā)布。 在該實(shí)施例中,在請(qǐng)求證書(shū)時(shí),例如在密鑰生成時(shí)或在請(qǐng)求時(shí)刻所請(qǐng) 求的證書(shū)標(biāo)準(zhǔn)中,授信引擎110可訪問(wèn)證書(shū)系統(tǒng)以生成證書(shū)和/或可以 內(nèi)部地生成證書(shū)。授信引擎110將在下面更詳細(xì)地^^開(kāi)。0089圖l還示出了賣主系統(tǒng)120。按照一個(gè)實(shí)施例,賣主系統(tǒng) 120有利地包括網(wǎng)絡(luò)服務(wù)器。典型的網(wǎng)絡(luò)(Web)服務(wù)器通常利用多 種因特網(wǎng)標(biāo)記語(yǔ)言或文檔格式標(biāo)準(zhǔn)、諸如超文本標(biāo)記語(yǔ)言(HTML) 或可擴(kuò)展標(biāo)記語(yǔ)言(XML)之一經(jīng)因特網(wǎng)提供內(nèi)容。網(wǎng)絡(luò)服務(wù)器接受 來(lái)自諸如Netscape和Internet Explorer這樣的瀏覽器的請(qǐng)求,然后返 回適當(dāng)?shù)碾娮游臋n。大量服務(wù)器或客戶端技術(shù)可被用來(lái)增加Web服務(wù) 器的功能使其超出其傳送標(biāo)準(zhǔn)電子文檔的能力。例如,這些技術(shù)包括 通用網(wǎng)關(guān)接口 (CGI)腳本,安全套接層(SSL)安全性,和動(dòng)態(tài)服 務(wù)器頁(yè)(ASP)。賣主系統(tǒng)120有利地可以提供關(guān)于商業(yè),個(gè)人,教 育或其他交易的電子內(nèi)容。0090雖然賣主系統(tǒng)120是參考前面的實(shí)施例公開(kāi)的,本發(fā)明不 限于此。本領(lǐng)域技術(shù)人員可以這里的公開(kāi)內(nèi)容認(rèn)識(shí)到,賣主系統(tǒng)120 可有利地包括參考用戶系統(tǒng)105說(shuō)明的任何裝置或其組合。0091圖1也示出了連接用戶系統(tǒng)105、授信引擎IIO、認(rèn)證授 權(quán)方115、和賣主系統(tǒng)120的通信鏈路125。按照一個(gè)實(shí)施例,通信鏈 路125優(yōu)選地包括因特網(wǎng)。本公開(kāi)所用的因特網(wǎng)是計(jì)算機(jī)環(huán)球網(wǎng)絡(luò)。 因特網(wǎng)的結(jié)構(gòu)對(duì)本領(lǐng)域技術(shù)人員是公知的,其包括網(wǎng)絡(luò)主干及其分支。 這些分支進(jìn)而也包括分支,如此類推。路由器在網(wǎng)絡(luò)層間移動(dòng)信息包, 然后從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò),直到分組到達(dá)其目的地區(qū)域內(nèi)。目的 地網(wǎng)絡(luò)主機(jī)將信息包從該目的地發(fā)送到適當(dāng)?shù)慕K端或節(jié)點(diǎn)。在一個(gè)有 利的實(shí)施例中,因特網(wǎng)路由集線器包括域名系統(tǒng)(DNS)服務(wù)器,該 域名系統(tǒng)服務(wù)器使用傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP ),這是本領(lǐng) 域公知的。路由集線器經(jīng)高速通信線路連接到一個(gè)或多個(gè)其他路由集 線器。0092因特網(wǎng)一個(gè)流行的部分是萬(wàn)維網(wǎng)。萬(wàn)維網(wǎng)含不同類型的計(jì) 算機(jī),這些計(jì)算機(jī)存儲(chǔ)能夠顯示圖形和文本信息的文件。提供關(guān)于萬(wàn) 維網(wǎng)信息的計(jì)算機(jī)通常稱為"網(wǎng)址"。網(wǎng)址由具有相關(guān)電子頁(yè)面的因特 網(wǎng)地址定義。電子頁(yè)面可由統(tǒng)一資源定位器(URL)識(shí)別。通常電子 頁(yè)面是組織文本、圖形圖像、音頻、視頻等呈現(xiàn)的文檔。0093雖然通信鏈路125是以其優(yōu)選實(shí)施例公開(kāi)的,本領(lǐng)域技術(shù) 人員可從這里公開(kāi)中認(rèn)識(shí)到通信鏈路125可包括寬范圍的交互通信鏈
路。例如,通信鏈路125可包括交互電視網(wǎng)絡(luò),電話網(wǎng)絡(luò),無(wú)線數(shù)據(jù) 傳輸系統(tǒng),雙向纜線系統(tǒng),定制的私人或公共計(jì)算機(jī)網(wǎng)絡(luò),交互查詢 網(wǎng)絡(luò),自動(dòng)拒員機(jī)網(wǎng)絡(luò),直接鏈路(directlink ),衛(wèi)星或蜂窩網(wǎng)絡(luò)等 等。0094圖2示出了按照本發(fā)明一個(gè)實(shí)施例的方面的圖1中授信引 擎110的方框圖。如圖2所示,授信引擎110包括交易引擎205、存 儲(chǔ)庫(kù)210、鑒權(quán)引擎215、密碼引擎220。按照本發(fā)明一個(gè)實(shí)施例,授 信引擎110還包括海量存儲(chǔ)裝置225。如圖2所示,交易引擎205與 存儲(chǔ)庫(kù)210、鑒權(quán)引擎215和密碼引擎220以及海量存儲(chǔ)裝置225通 信。此外,存儲(chǔ)庫(kù)210與鑒權(quán)引擎215、密碼引擎220、海量存儲(chǔ)裝置 225通信。而且,鑒權(quán)引擎215與密碼引擎220通信。按照本發(fā)明一 個(gè)實(shí)施例,部分或所有前述通信有利地可以包括將XML文檔傳輸?shù)?對(duì)應(yīng)于接收裝置的IP地址。如前面所述,XML文檔有利地允許設(shè)計(jì) 人員創(chuàng)建他們自己定制的文檔標(biāo)簽(tag),使得數(shù)據(jù)能夠在應(yīng)用程序 之間和組織之間定義,傳輸,確認(rèn)和編譯。而且,部分或所有前述通 信可包括傳統(tǒng)SSL技術(shù)。0095按照一個(gè)實(shí)施例,交易引擎205包括數(shù)據(jù)路由裝置,諸如 可從Netscape, Microsoft, Apache等得到的傳統(tǒng)Web服務(wù)器。例如, Web服務(wù)器有利地可以從通信鏈路125接收進(jìn)入數(shù)據(jù)。按照本發(fā)明的 一個(gè)實(shí)施例,進(jìn)入數(shù)據(jù)被尋址到用于授信引擎110的前端安全系統(tǒng)。 例如,前端安全系統(tǒng)有利地可以包括防火墻、搜索已知攻擊模式 (attack profile )的入侵檢測(cè)系統(tǒng)和/或病毒掃描器。在清理(clear) 前端安全系統(tǒng)后,數(shù)據(jù)被交易引擎205接收并被路由到存儲(chǔ)庫(kù)210、 鑒權(quán)引擎215、密碼引擎220、和海量存儲(chǔ)裝置225之一。此外,交易 引擎205監(jiān)視來(lái)自鑒權(quán)引擎215和密碼引擎220的進(jìn)入數(shù)據(jù),并通過(guò) 通信鏈路125將該數(shù)據(jù)路由到特定系統(tǒng)。例如,交易引擎205有利地 可以將數(shù)據(jù)路由到用戶系統(tǒng)105、認(rèn)證授權(quán)方115、或賣主系統(tǒng)120。0096按照一個(gè)實(shí)施例,數(shù)據(jù)是用傳統(tǒng)HTTP路由技術(shù)路由的, 如采用URL或統(tǒng)一資源指示器(RUL) 。 URI類似于URL,然而,
URI通常指示文件或動(dòng)作的資源,如,可執(zhí)行文件,腳本文件等。因 此,按照一個(gè)實(shí)施例,用戶系統(tǒng)105,認(rèn)證授權(quán)方115,賣主系統(tǒng)120, 和授信引擎210的組件,有利地包括通信URL或URI內(nèi)足夠的數(shù)據(jù) 以便交易引擎205適當(dāng)?shù)卦谡麄€(gè)密碼系統(tǒng)內(nèi)路由數(shù)據(jù)。0097雖然數(shù)據(jù)路由是參考優(yōu)選實(shí)施例公開(kāi)的,本領(lǐng)域技術(shù)人員 可認(rèn)識(shí)到有大量可能的數(shù)據(jù)路由解決方案或策略。例如,XML或其他 數(shù)據(jù)分組可有利地通過(guò)他們的格式,內(nèi)容等解包和識(shí)別,因此交易引 擎205可適當(dāng)?shù)卦谡麄€(gè)授信引擎110中路由數(shù)據(jù)。而且本領(lǐng)域技術(shù)人 員可認(rèn)識(shí)到數(shù)據(jù)路由可有利地適應(yīng)符合特定網(wǎng)絡(luò)系統(tǒng),例如在通信鏈 路125包括局域網(wǎng)時(shí)的數(shù)據(jù)傳輸協(xié)議。0098按照本發(fā)明另一個(gè)實(shí)施例,交易引擎205包括傳統(tǒng)的SSL 加密技術(shù),從而在特定通信過(guò)程中,前述系統(tǒng)可借助交易引擎205鑒 定其自身,反之亦然。如本說(shuō)明書(shū)中所用的那樣,術(shù)語(yǔ)"1/2 SSL,,指其 中服務(wù)器被SSL鑒定,但客戶端不必被SSL鑒權(quán)的通信,術(shù)語(yǔ)"全 SSL"指客戶端和服務(wù)器都被SSL鑒權(quán)的通信。當(dāng)本說(shuō)明書(shū)使用術(shù)語(yǔ) "SSL"時(shí),通信可以包括1/2或全SSL。0099因?yàn)榻灰滓?05路由數(shù)據(jù)到密碼系統(tǒng)100的多個(gè)組件, 所以交易引擎205有利地可以創(chuàng)建審計(jì)跟蹤(audit trail)。按照一個(gè) 實(shí)施例,審計(jì)跟蹤包括交易引擎205所路由的至少該類型和格式的數(shù) 據(jù)在整個(gè)密碼系統(tǒng)IOO中的記錄。這樣的審計(jì)數(shù)據(jù)有利地可以被存儲(chǔ) 在海量存儲(chǔ)裝置225中。0100圖2還示出存儲(chǔ)庫(kù)210。按照一個(gè)實(shí)施例,存儲(chǔ)庫(kù)210包 括一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施,諸如目錄服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等。如 圖2所示,存儲(chǔ)庫(kù)210存儲(chǔ)密碼密鑰和登記鑒權(quán)數(shù)據(jù)。密碼密鑰有利 地可以對(duì)應(yīng)于授信引擎IIO或?qū)?yīng)于密碼系統(tǒng)100的用戶,諸如用戶 或賣主。登記鑒權(quán)數(shù)據(jù)有利地可以包括用于唯一識(shí)別用戶身份的數(shù)據(jù), 如用戶ID, 口令,問(wèn)題答案,生物統(tǒng)計(jì)特征數(shù)據(jù)等等。該登記鑒權(quán)數(shù) 據(jù)有利地可以在用戶登記時(shí)或在另一可選的時(shí)間被釆集。例如,授信 引擎110可包括登記鑒權(quán)數(shù)據(jù)的周期性或其他更新或再發(fā)出。
0101按照一個(gè)實(shí)施例,交易引擎205與鑒權(quán)引擎215和密碼引 擎220之間的通信包括安全通信,諸如傳統(tǒng)的SSL技術(shù)。此外,如前 面所述,傳輸?shù)酱鎯?chǔ)倉(cāng)庫(kù)210及從其發(fā)出的數(shù)據(jù)可用URL,URI,HTTP 或XML文檔傳輸,且其中有利地嵌入有前述的數(shù)據(jù)請(qǐng)求和格式。0102如上所述,存儲(chǔ)倉(cāng)庫(kù)210可有利地包括多個(gè)安全數(shù)據(jù)存儲(chǔ) 設(shè)施。在這樣的實(shí)施例中,安全數(shù)據(jù)存儲(chǔ)設(shè)施可配置以便單個(gè)數(shù)據(jù)存 儲(chǔ)設(shè)施中安全上的讓步不會(huì)危害其中存儲(chǔ)的密鑰或鑒定數(shù)據(jù)。例如, 按照該實(shí)施例,密鑰和鑒定數(shù)據(jù)可數(shù)學(xué)運(yùn)算,以便統(tǒng)計(jì)地并充分地隨 機(jī)化存儲(chǔ)在每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施內(nèi)的數(shù)據(jù)。按照一個(gè)實(shí)施例,單個(gè)數(shù)據(jù) 存儲(chǔ)設(shè)施數(shù)據(jù)的隨機(jī)化使得該數(shù)據(jù)不可判讀。因此,單個(gè)數(shù)據(jù)存儲(chǔ)設(shè) 施的妥協(xié)僅產(chǎn)生隨機(jī)化的不可判讀的數(shù)字,且不會(huì)危及任何作為整體 的密鑰或鑒定數(shù)據(jù)的安全性。0103圖2還示出授信引擎110,其包括鑒權(quán)引擎215。按照一 個(gè)實(shí)施例,鑒權(quán)引擎215包括數(shù)據(jù)比較器,該比較器被配置為比較來(lái) 自交易引擎205的數(shù)據(jù)與來(lái)自存儲(chǔ)庫(kù)210的數(shù)據(jù)。例如,在鑒權(quán)過(guò)程 中,用戶提供當(dāng)前鑒權(quán)數(shù)據(jù)給授信引擎110,從而交易引擎205接收 當(dāng)前鑒權(quán)數(shù)據(jù)。如前面所述,交易引擎205識(shí)別數(shù)據(jù)請(qǐng)求,優(yōu)選在URL 或URI中,并將鑒權(quán)數(shù)據(jù)路由到鑒權(quán)引擎215。而且, 一旦請(qǐng)求,存 儲(chǔ)庫(kù)210將對(duì)應(yīng)于用戶的登記鑒權(quán)數(shù)據(jù)轉(zhuǎn)發(fā)到鑒權(quán)引擎215。因此, 鑒權(quán)引擎215既有當(dāng)前鑒權(quán)數(shù)據(jù),也有登記鑒權(quán)數(shù)據(jù)以便比較。0104按照一個(gè)實(shí)施例,對(duì)鑒權(quán)引擎的通信包括安全通信,諸如 SSL技術(shù)。此外,安全性可被提供在授信引擎IIO組件內(nèi),諸如使用 公鑰技術(shù)的超級(jí)加密(super-encryption)。例如,按照一個(gè)實(shí)施例, 用戶以鑒權(quán)引擎215的公鑰加密當(dāng)前鑒權(quán)數(shù)據(jù)。此外,存儲(chǔ)庫(kù)210也 以鑒權(quán)引擎215的公鑰加密登記鑒權(quán)數(shù)據(jù)。以該方式,僅鑒權(quán)引擎的 私鑰可被用來(lái)解密傳輸。0105如圖2所示,授信引擎110還包括密碼引擎220。按照一 個(gè)實(shí)施例,密碼引擎包括密碼操縱模塊(cryptographic handling module),其被配置為有利地提供傳統(tǒng)的密碼功能,諸如公鑰基礎(chǔ)設(shè)
施(PKI: public-key infrastructure)功能。例:ft口,密石馬引擎220有利 地可以為密碼系統(tǒng)100的用戶發(fā)出公鑰和私鑰。以該方式,密碼鑰匙 在密碼引擎220處被生成并被轉(zhuǎn)發(fā)給存儲(chǔ)庫(kù)210,從而至少私有密碼 密鑰不能在授信引擎110外部得到。按照另 一個(gè)實(shí)施例,密碼引擎220 至少將私有密碼密鑰隨機(jī)化并分割,因而僅存儲(chǔ)隨機(jī)化的分割數(shù)據(jù)。 類似于登記鑒權(quán)數(shù)據(jù)的分割,分割過(guò)程確保所存儲(chǔ)的密鑰不能在密碼 引擎220外部得到。按照另一個(gè)實(shí)施例,密碼引擎的功能可與鑒權(quán)引 擎215組合并由該鑒權(quán)引擎執(zhí)行。0106按照一個(gè)實(shí)施例,與密碼引擎的通信包括安全通信,如SSL 技術(shù)。此外,XML文檔可有利地用來(lái)傳輸數(shù)據(jù)和/或進(jìn)行密碼功能請(qǐng) 求。0107圖2還示出了具有海量存儲(chǔ)裝置225的授信引擎110。如 前面所述,交易引擎205保持對(duì)應(yīng)于審計(jì)跟蹤的數(shù)據(jù),并在海量存儲(chǔ) 裝置225中存儲(chǔ)這樣的數(shù)據(jù)。類似地,按照本發(fā)明一個(gè)實(shí)施例,存儲(chǔ) 庫(kù)210保持對(duì)應(yīng)于審計(jì)跟蹤的數(shù)據(jù),并在海量存儲(chǔ)裝置225中存儲(chǔ)這 樣的數(shù)據(jù)。存儲(chǔ)庫(kù)審計(jì)跟蹤數(shù)據(jù)與交易引擎205的類似之處在于審計(jì) 跟蹤數(shù)據(jù)包括存儲(chǔ)庫(kù)210所接收的請(qǐng)求記錄及其響應(yīng)。此外,海量存 儲(chǔ)裝置225可被用來(lái)存儲(chǔ)其中包含有用戶的公鑰的數(shù)字證書(shū)。0108雖然授信引擎110是相對(duì)于其優(yōu)選和可替換的實(shí)施例公開(kāi) 的,但本發(fā)明不限于這些實(shí)施例。本領(lǐng)域技術(shù)人員將從本公開(kāi)中認(rèn)識(shí) 到有授信引擎110的大量可替代物。例如,授信引擎110可有利地只 執(zhí)行鑒定,或者,可替換地,僅執(zhí)行某些或所有密碼功能,如數(shù)據(jù)加 密和解密。按照該實(shí)施例,鑒定引擎215和密碼引擎220之一可有利 地被除去,因而產(chǎn)生更直接的授信引擎110的設(shè)計(jì)。此外,密碼引擎 220也可與認(rèn)證授權(quán)方通信,以便認(rèn)證授權(quán)方嵌入到授信引擎110內(nèi)。 按照另一個(gè)實(shí)施例,授信引擎110可有利地執(zhí)行鑒定和一個(gè)或多個(gè)密 碼功能,如數(shù)字簽名。0109圖3示出按照本發(fā)明一個(gè)實(shí)施例的方面的圖2中交易引擎 205的方框圖。按照該實(shí)施例,交易引擎205包括具有處理線程和監(jiān) 聽(tīng)線程的操作系統(tǒng)305。操作系統(tǒng)305有利地可以類似于傳統(tǒng)高容量 服務(wù)器中的那些,諸如Apache公司所提供的Web服務(wù)器的操作系統(tǒng)。 監(jiān)聽(tīng)線程監(jiān)視來(lái)自通信鏈路125、鑒權(quán)引擎215、和密碼引擎220之一 的進(jìn)入進(jìn)入通信用于進(jìn)入數(shù)據(jù)流。處理線程辨別進(jìn)入數(shù)據(jù)流的特定數(shù) 據(jù)結(jié)構(gòu),諸如前述數(shù)據(jù)結(jié)構(gòu),因而將進(jìn)入數(shù)據(jù)路由到通信鏈路125、 存儲(chǔ)庫(kù)210、鑒權(quán)引擎215、密碼引擎220、或海量存儲(chǔ)裝置225之一。 如圖3所示,進(jìn)入和發(fā)出數(shù)據(jù)可有利地例如通過(guò)SSL技術(shù)而被保護(hù)。0110圖4示出了按照本發(fā)明一個(gè)實(shí)施例的方面的圖2中存儲(chǔ)庫(kù) 210的方框圖。按照該實(shí)施例,存儲(chǔ)庫(kù)210包括一個(gè)或多個(gè)輕量級(jí)目 錄訪問(wèn)協(xié)i義(LDAP: lightweight directory access protocol)月良務(wù)器。 LDAP目錄服務(wù)器可從許多制造商得到,諸如Netsacpe, ISO和其他 制造商。圖4也示出了目錄服務(wù)器優(yōu)選地存儲(chǔ)對(duì)應(yīng)于密碼密鑰的數(shù)據(jù) 405和對(duì)應(yīng)于登記鑒權(quán)數(shù)據(jù)的數(shù)據(jù)410。按照一個(gè)實(shí)施例,存儲(chǔ)庫(kù)210 包括將鑒權(quán)數(shù)據(jù)和密碼密鑰數(shù)據(jù)索引到唯一用戶ID的單邏輯存儲(chǔ)結(jié) 構(gòu)。單邏輯存儲(chǔ)結(jié)構(gòu)優(yōu)選地包括確保存儲(chǔ)在其中的數(shù)據(jù)的高可信度或 安全性的機(jī)制。例如,存儲(chǔ)庫(kù)210的物理位置有利地可以包括大量傳 統(tǒng)的安全措施,諸如受限雇員訪問(wèn),現(xiàn)代監(jiān)視系統(tǒng)等。作為物理安全 性的補(bǔ)充或替代,計(jì)算機(jī)系統(tǒng)或服務(wù)器有利地可以包括軟件解決方案 來(lái)保護(hù)所存儲(chǔ)的數(shù)據(jù)。例如,存儲(chǔ)庫(kù)210有利地可以創(chuàng)建和存儲(chǔ)對(duì)應(yīng) 于所采取的動(dòng)作的審計(jì)跟蹤的數(shù)據(jù)415。此外,入局和出局通信可有 利地以與傳統(tǒng)SSL技術(shù)耦合的公鑰加密而被加密。0111按照另一個(gè)實(shí)施例,存儲(chǔ)庫(kù)210可包括不同的且物理分開(kāi) 的數(shù)據(jù)存儲(chǔ)設(shè)施,如下面參考圖7的描述。0112圖5示出按照本發(fā)明實(shí)施例的方面的圖2中鑒權(quán)引擎215 的方框圖。類似于圖3中的交易引擎205,鑒權(quán)引擎215包括操作系 統(tǒng)505,該操作系統(tǒng)至少具有改進(jìn)形式的傳統(tǒng)Web服務(wù)器的監(jiān)聽(tīng)和處 理線程,如Apache公司的Web服務(wù)器。如圖5所示,鑒權(quán)引擎215 包括對(duì)至少一個(gè)私鑰510的訪問(wèn)。私鑰510可有利地被用來(lái)例如解密 來(lái)自交易引擎205或存儲(chǔ)庫(kù)210的數(shù)據(jù),這些數(shù)據(jù)是用鑒權(quán)引擎215
的相應(yīng)〃>鑰加密的。0113圖5也示出了包括比較器515、數(shù)據(jù)分割模塊520、和數(shù) 據(jù)組裝模塊525的鑒權(quán)引擎215。按照本發(fā)明的優(yōu)選實(shí)施例,比較器 515包括能夠比較與前述生物統(tǒng)計(jì)特征鑒定數(shù)據(jù)相關(guān)的潛在復(fù)雜圖案 的技術(shù)。該技術(shù)可包括硬件,軟件,或組合解決方案用于圖案比較, 如表示指紋圖案或語(yǔ)音圖案的那些。此外,按照一個(gè)實(shí)施例,鑒權(quán)引 擎215的比較器515可有利地比較文檔的傳統(tǒng)散列,以便提供比較結(jié) 果。按照本發(fā)明的一個(gè)實(shí)施例,比較器515包括將探試過(guò)程(heuristics ) 530應(yīng)用于比較。探試過(guò)程530可有利地涉及鑒權(quán)嘗試周圍的環(huán)境, 諸如時(shí)間,IP地址或子網(wǎng)掩碼,采購(gòu)概況(purchasing profile),電 子郵件地址,處理器序列號(hào)或ID,等等。0114而且,生物統(tǒng)計(jì)特征數(shù)據(jù)比較的特性可導(dǎo)致當(dāng)前生物統(tǒng)計(jì) 特征鑒定數(shù)據(jù)與登記數(shù)據(jù)匹配產(chǎn)生的可信度變化。例如,與傳統(tǒng)口令 不同,傳統(tǒng)口令可能僅返回正或負(fù)匹配,而指紋可判斷為部分匹配, 如90%匹配,75%匹配,10%匹配,而非簡(jiǎn)單的正確或不正確。其他 生物統(tǒng)計(jì)特征識(shí)別,如聲紋分析或面容識(shí)別也可有概率鑒定的這種特 性,而非絕對(duì)鑒定。0115在概率鑒定或在鑒定不是當(dāng)作絕對(duì)可靠的其他情形中,有 必要應(yīng)用探試過(guò)程530判斷所提供的鑒定可信度是否足夠高,從而鑒 定正在進(jìn)行的交易。0116有時(shí)是這樣的情形,討論中的交易是相對(duì)低值的交易,這 樣的交易被鑒定為較低的可信度是可以接受的。這可包括具有與其相 關(guān)的低美元值的交易(如IO美元的采購(gòu))或低風(fēng)險(xiǎn)的交易(如進(jìn)入會(huì) 員專用網(wǎng)站)。0117相反,對(duì)于鑒定其他交易,有必要在允許交易進(jìn)行之前, 要求高可信度的鑒定。這樣的交易可包括大美元值交易(如簽署幾百 萬(wàn)美元供應(yīng)合同)或如果鑒定不當(dāng)具有高風(fēng)險(xiǎn)的交易(如遠(yuǎn)程登錄到 政府計(jì)算機(jī))。0118使用結(jié)合可信度和交易值的探試過(guò)程530可如下所述那樣
使用,從而允許比較器提供動(dòng)態(tài)的、內(nèi)容敏感的鑒定系統(tǒng)。0119按照本發(fā)明另一個(gè)實(shí)施例,比較器515可有利地為特定交 易跟蹤鑒定嘗試。例如,當(dāng)交易失敗時(shí),授信引擎110可請(qǐng)求用戶再 次輸入他或她的當(dāng)前鑒定數(shù)據(jù)。鑒定引擎215的比較器515可有利地 采用嘗試限制器(attemptlimiter ) 535限制鑒定嘗試的次數(shù),因而阻 止暴力嘗試模仿(impersonate)用戶鑒定數(shù)據(jù)。按照一個(gè)實(shí)施例,嘗 試限制器535包括軟件模塊用于監(jiān)視重復(fù)鑒定嘗試的交易,以及例如 對(duì)于給定的交易限制鑒定嘗試次數(shù)為3次。因此,嘗試限制器535限 制自動(dòng)嘗試模仿個(gè)人鑒定數(shù)據(jù),例如僅限制為3次"猜測(cè)"。在三次失 敗后,嘗試限制器535可有利地拒絕額外的鑒定嘗試。這樣的拒絕可 有利地通過(guò)下面的方式執(zhí)行,例如比較器515返回負(fù)結(jié)果,而無(wú)論當(dāng) 前鑒定數(shù)據(jù)發(fā)出與否。另一方面,交易引擎205可有利地為三次嘗試 已經(jīng)失敗的交易阻擋任何額外的鑒定嘗試。0120鑒定引擎215也包括數(shù)據(jù)分割模塊520和數(shù)據(jù)組裝模塊 525。數(shù)據(jù)分割模塊520有利地包括軟件,硬件,或能夠數(shù)學(xué)運(yùn)算不同 數(shù)據(jù)以便充分隨機(jī)化并分割數(shù)據(jù)為多個(gè)部分的組合模塊。按照 一個(gè)實(shí) 施例,原始數(shù)據(jù)不能再?gòu)膯蝹€(gè)部分重新建立。數(shù)據(jù)組裝模塊525有利 地包括軟件,硬件,或組合模塊,該組合模塊經(jīng)配置對(duì)前面基本隨機(jī) 化的部分進(jìn)行數(shù)學(xué)運(yùn)算,因此其組合提供原始可判讀數(shù)據(jù)。按照一個(gè) 實(shí)施例,鑒定引擎215采用數(shù)據(jù)分割模塊520隨機(jī)化和分割登記鑒定 數(shù)據(jù)為多個(gè)部分,并采用數(shù)據(jù)組裝模塊525來(lái)將這些部分重新組裝為 不可用登記鑒定數(shù)據(jù)。0121圖6示出按照本發(fā)明一個(gè)實(shí)施例的圖2中授信引擎200的 密碼引擎220的方框圖。類似于圖3的交易引擎205,密碼引擎220 包括操作系統(tǒng)605,其至少具有改進(jìn)形式的傳統(tǒng)Web服務(wù)器的監(jiān)聽(tīng)和 處理線程,如可從Apache得到的Web服務(wù)器。如圖6所示,密碼引 擎220包括功能類似于圖5中相應(yīng)模塊的數(shù)據(jù)分割模塊610和數(shù)據(jù)組 裝模塊620。然而,按照一個(gè)實(shí)施例,數(shù)據(jù)分割模塊610和數(shù)據(jù)組裝 模塊620處理密鑰數(shù)據(jù),與前面登記鑒定數(shù)據(jù)相反。盡管如此,本領(lǐng)
域技術(shù)人員可從這里的公開(kāi)內(nèi)容認(rèn)識(shí)到,數(shù)據(jù)分割模塊910和數(shù)據(jù)分 割模塊620可與鑒定引擎215的相應(yīng)模塊組合。0122密碼引擎220也包括密碼處理模塊625,其經(jīng)配置用于執(zhí) 行一個(gè)、部分或所有大量密碼功能。按照一個(gè)實(shí)施例,密碼處理模塊 625可包括軟件模塊或程序,硬件,或兩者都有。按照另一個(gè)實(shí)施例, 密碼處理模塊625可執(zhí)行數(shù)據(jù)比較,數(shù)據(jù)解析,數(shù)據(jù)分割,數(shù)據(jù)分離, 數(shù)據(jù)散列運(yùn)算,數(shù)據(jù)加密或解密,數(shù)字簽名、驗(yàn)證或創(chuàng)建,數(shù)字證書(shū) 生成,存儲(chǔ)或請(qǐng)求,密鑰發(fā)生等。而且,本領(lǐng)域技術(shù)人員可從這里的 描述認(rèn)識(shí)到,密碼處理模塊825可有利地包括公鑰基礎(chǔ)設(shè)施,如Pretty Good Privacy ( PGP ),基于RSA的乂^鑰系統(tǒng),或大量可替換的密鑰 管理系統(tǒng)。此外,密碼處理模塊625可執(zhí)行公鑰加密,對(duì)稱密鑰加密, 或這兩種加密。除了前面的說(shuō)明,密碼處理模塊625可包括一個(gè)或多 個(gè)計(jì)算機(jī)程序或模塊,硬件,或這兩者供執(zhí)行無(wú)縫透明的互操作功能。0123本領(lǐng)域技術(shù)人員可從這里的公開(kāi)內(nèi)容認(rèn)識(shí)到密碼功能可包 括大量不同的通常涉及密鑰管理系統(tǒng)的功能。0124圖7示出按照本發(fā)明實(shí)施例存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700的簡(jiǎn)化方框 圖。如圖7所示,存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700有利地包括多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施, 例如數(shù)據(jù)存儲(chǔ)設(shè)施D1, D2, D3,和D4。然而,本領(lǐng)域技術(shù)人員易于 理解,存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)可僅有一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施。按照本發(fā)明一個(gè)實(shí)施 例,每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4可有利地包括參考圖4中存儲(chǔ)倉(cāng)庫(kù) 210所述的部分或所有要素。類似于存儲(chǔ)倉(cāng)庫(kù)210,數(shù)據(jù)存儲(chǔ)設(shè)施D1 到D4優(yōu)選經(jīng)傳統(tǒng)SSL與交易引擎205,鑒定引擎215,密碼引擎220 通信。通信鏈路傳輸例如XML文檔。與交易引擎205的通信可有利 地包括對(duì)數(shù)據(jù)的請(qǐng)求,其中該請(qǐng)求有利地廣播給每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl 到D4的IP地址。另一方面,基于大量標(biāo)準(zhǔn),如響應(yīng)時(shí)間,服務(wù)器負(fù) 載,維護(hù)周期等,交易引擎205可廣播請(qǐng)求給特定數(shù)據(jù)存儲(chǔ)設(shè)施。0125響應(yīng)來(lái)自交易引擎205的請(qǐng)求,存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700有利地 將存儲(chǔ)的數(shù)據(jù)轉(zhuǎn)送到鑒定引擎215和密碼引擎220。各數(shù)據(jù)組裝模塊 接收轉(zhuǎn)送的數(shù)據(jù)并將這些數(shù)據(jù)組裝為可用形式。另一方面,從鑒定引
擎215和密碼引擎220到數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4的通信可包括待存儲(chǔ) 敏感數(shù)據(jù)的傳輸。例如,按照一個(gè)實(shí)施例,鑒定引擎215和密碼引擎 220可有利地采用他們各自數(shù)據(jù)分割模塊,從而將敏感數(shù)據(jù)分割為多 個(gè)不可判讀部分,且然后將敏感數(shù)據(jù)的一個(gè)或多個(gè)不可判讀部分傳輸 給特定數(shù)據(jù)存儲(chǔ)設(shè)施。0126按照一個(gè)實(shí)施例,每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4包括分開(kāi) 并獨(dú)立的存儲(chǔ)系統(tǒng),如目錄服務(wù)器。按照本發(fā)明另一個(gè)實(shí)施例,存儲(chǔ) 倉(cāng)庫(kù)700包括多個(gè)地理上分開(kāi)的獨(dú)立數(shù)據(jù)存儲(chǔ)系統(tǒng)。通過(guò)分布所述敏 感數(shù)據(jù)到不同并獨(dú)立的存儲(chǔ)設(shè)施D1到D4中,其中存儲(chǔ)設(shè)施的某些或 全部可有利地地理分離,存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700提供冗余和額外的安全措 施。例如,按照一個(gè)實(shí)施例,多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中僅兩個(gè)存 儲(chǔ)設(shè)施的數(shù)據(jù)需要解讀并重組敏感數(shù)據(jù)。因此,四個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施D1 到D4中兩個(gè)可能由于維護(hù),系統(tǒng)故障,電源故障等而不起作用,但 不會(huì)影響授信引擎110的功能。此外,按照一個(gè)實(shí)施例,因?yàn)榇鎯?chǔ)在 每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施中的數(shù)據(jù)是隨機(jī)化并且是不可判讀的,對(duì)任何單個(gè) 數(shù)據(jù)存儲(chǔ)設(shè)施的危害不必危害該敏感數(shù)據(jù)。而且,在數(shù)據(jù)存儲(chǔ)設(shè)施具 有地理分離的實(shí)施例中,危害多個(gè)地理遠(yuǎn)程設(shè)施變得更困難。實(shí)際上, 甚至欺詐性雇員在擾亂所需的多個(gè)獨(dú)立的地理遠(yuǎn)程數(shù)據(jù)存儲(chǔ)設(shè)施時(shí)也 面臨極大的挑戰(zhàn)。0127雖然存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700是參考優(yōu)選的可替換實(shí)施例公開(kāi)的, 本發(fā)明不局限于這些。本領(lǐng)域技術(shù)人員將從這里的公開(kāi)認(rèn)識(shí)到存儲(chǔ)倉(cāng) 庫(kù)系統(tǒng)700有大量的可替換者。例如,存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700可包括一個(gè), 兩個(gè)或更多數(shù)據(jù)存儲(chǔ)設(shè)施。此外,敏感數(shù)據(jù)可數(shù)學(xué)運(yùn)算以便兩個(gè)或更 多數(shù)據(jù)存儲(chǔ)設(shè)施的多個(gè)部分需要重組并判讀敏感數(shù)據(jù)。0128如前面所述,鑒定引擎215和密碼引擎220分別包括數(shù)據(jù) 分割模塊520和610,以便分割任何類型或形式的敏感數(shù)據(jù),如文本, 音頻,視頻,鑒定數(shù)據(jù)和密鑰數(shù)據(jù)。圖8示出按照本發(fā)明一個(gè)實(shí)施例 的數(shù)據(jù)分割模塊執(zhí)行的數(shù)據(jù)分割過(guò)程800的流程圖。如圖8所示,當(dāng) 敏感數(shù)據(jù)"S"被鑒定引擎215或密碼引擎220的數(shù)據(jù)分割模塊接收到
時(shí),數(shù)據(jù)分割過(guò)程800從步驟805開(kāi)始。優(yōu)選在步驟810,數(shù)據(jù)分割 模塊隨后生成基本隨機(jī)的數(shù)字,值,或字符串或比特集合"A."。例如, 隨機(jī)數(shù)A可以用大量本領(lǐng)域技術(shù)人員可用的不同傳統(tǒng)技術(shù)生成,以便 產(chǎn)生高質(zhì)量的適用于密碼應(yīng)用的隨機(jī)數(shù)字。此外,按照一個(gè)實(shí)施例, 隨機(jī)數(shù)A包括任何合適長(zhǎng)度的比特長(zhǎng)度,如較短的,較長(zhǎng)的或等于敏 感數(shù)據(jù)S比特長(zhǎng)度的比特長(zhǎng)度。0129此外,在步驟820中,數(shù)據(jù)分割過(guò)程800生成另一個(gè)統(tǒng)計(jì) 隨機(jī)數(shù)"C"。按照優(yōu)選實(shí)施例,統(tǒng)計(jì)上隨機(jī)數(shù)字A和C可有利地平行 生成。數(shù)據(jù)分割模塊組合數(shù)字A和C與敏感數(shù)據(jù)S,因而生成新數(shù)字 "B"和"D"。例如,數(shù)字B可包括A XOR S的二元組合(binary combination),且數(shù)字D可包括C XOR S的二元組合。XOR函數(shù), 或"exclusive-or,,"異或,,函數(shù)是本領(lǐng)域技術(shù)人員公知的。前面的組合分 別優(yōu)選出現(xiàn)在步驟825和830中,并且按照一個(gè)實(shí)施例,前面的組合 也可平行出現(xiàn)。然后數(shù)據(jù)分割過(guò)程800進(jìn)入到步驟835,這里隨機(jī)數(shù) 字A和C以及數(shù)字B和D成對(duì),因此沒(méi)有哪一對(duì)自身含足夠再組和 判斷原始敏感數(shù)據(jù)S的數(shù)據(jù)。例如,下面這些數(shù)字可成對(duì)AC, AD, BC,和BD。按照一個(gè)實(shí)施例,每個(gè)前述對(duì)分布到圖7中存儲(chǔ)倉(cāng)庫(kù)D1 到D4之一。按照另一個(gè)實(shí)施例,每個(gè)前述對(duì)隨機(jī)分布到存儲(chǔ)倉(cāng)庫(kù)Dl 到D4之一。例如,在第一數(shù)據(jù)分割過(guò)程800中,數(shù)字對(duì)AC可發(fā)送 到存儲(chǔ)倉(cāng)庫(kù)D2,例如通過(guò)隨機(jī)選擇D2的IP地址。然后,在第二數(shù) 據(jù)分割過(guò)程800中,數(shù)字對(duì)AC可發(fā)送到存儲(chǔ)倉(cāng)庫(kù)D4,例如通過(guò)隨機(jī) 選擇D4的IP地址。此外,數(shù)字對(duì)可都存儲(chǔ)在一個(gè)存儲(chǔ)倉(cāng)庫(kù)上,并可 存儲(chǔ)在所述存儲(chǔ)倉(cāng)庫(kù)上分開(kāi)的位置。0130基于前面所述,數(shù)據(jù)分割過(guò)程800有利地將敏感數(shù)據(jù)的組 成部分存放在四個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4的每個(gè)設(shè)施中,因此數(shù)據(jù)存 儲(chǔ)設(shè)施D1到D4中沒(méi)有一個(gè)包括足夠的加密數(shù)據(jù)來(lái)重建原始敏感數(shù)據(jù) S。如上所述,這類將數(shù)據(jù)隨機(jī)化為各個(gè)不可用加密部分增加了安全性 并為所述數(shù)據(jù)中保持的信任作準(zhǔn)備,即使D1到D4中一個(gè)數(shù)據(jù)存儲(chǔ)設(shè) 施被危害。
0131雖然數(shù)據(jù)分割過(guò)程800是參考優(yōu)選實(shí)施例公開(kāi)的,但本發(fā) 明不限于此。本領(lǐng)域技術(shù)人員可從這里的公開(kāi)內(nèi)容認(rèn)識(shí)到數(shù)據(jù)分割過(guò) 程800有大量可替換過(guò)程。例如,數(shù)據(jù)分割過(guò)程可有利地分割數(shù)據(jù)為 兩個(gè)數(shù)字,例如隨機(jī)數(shù)字A和數(shù)字B,并在兩個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施中隨機(jī) 分布A和B。而且,數(shù)據(jù)分割過(guò)程800可有利地通過(guò)生成額外隨機(jī)數(shù) 字在大量數(shù)據(jù)存儲(chǔ)設(shè)施中分割數(shù)據(jù)。數(shù)據(jù)可分割為任何所需的,選擇 的,預(yù)定的,或隨機(jī)分配大小的單元,包括但不限于, 一個(gè)比特,多 個(gè)比特,字節(jié),千字節(jié),兆字節(jié)或更大,或多個(gè)大小的組合或序列。 此外,改變?cè)醋苑指钸^(guò)程的數(shù)據(jù)單元大小可使數(shù)據(jù)更難于恢復(fù)到可用 形式,因而增加敏感數(shù)據(jù)的安全性。對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō),顯然所 述分割數(shù)據(jù)單元大小可以是多種數(shù)據(jù)單元大小或大小花樣方式或大小 組合。例如,數(shù)據(jù)單元大小可選擇或預(yù)定為所有相同大小,不同大小 的固定集合,多個(gè)大小組合,或隨機(jī)發(fā)生大小。類似地,按照固定或 預(yù)定數(shù)據(jù)單元大小,數(shù)據(jù)單元大小的花樣方式或組合,或隨機(jī)生成的 每個(gè)共享體的數(shù)據(jù)單元大小或多個(gè)大小,數(shù)據(jù)單元可分布到一個(gè)或多個(gè)共享體。0132如前面所述,為了再建敏感數(shù)據(jù)S,數(shù)據(jù)部分需要去隨機(jī) 化并再組。該過(guò)程可有利地分別出現(xiàn)在鑒定引擎215和密碼引擎220 的數(shù)據(jù)組裝模塊525和620中。數(shù)據(jù)組裝模塊,例如數(shù)據(jù)組裝模塊525 從數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4接收數(shù)據(jù)部分,并再組數(shù)據(jù)為不可用的形式。 例如,按照數(shù)據(jù)分割模塊520采用了圖8中數(shù)據(jù)分割過(guò)程800的一個(gè) 實(shí)施例,數(shù)據(jù)組裝模塊525使用來(lái)自數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4中至少兩 個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的數(shù)據(jù)部分,從而再建敏感數(shù)據(jù)S。例如,分布數(shù)字 對(duì)AC, AD, BC,和BD,以便任意兩個(gè)數(shù)字對(duì)提供A和B,或C和 D中的一個(gè)。注意S-AXORB或S- C XOR D指示當(dāng)數(shù)據(jù)組裝模 塊接收A和B,或C和D中的一個(gè)時(shí),數(shù)據(jù)組裝模塊525可有利地再 組敏感數(shù)據(jù)S。因此,例如數(shù)據(jù)組裝模塊525在接收來(lái)自數(shù)據(jù)存儲(chǔ)設(shè) 施Dl到D4中至少兩個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施的數(shù)據(jù)部分時(shí),數(shù)據(jù)組裝模塊 525可組裝敏感數(shù)據(jù)S,從而響應(yīng)授信引擎110的組裝請(qǐng)求。
0133基于上面的數(shù)據(jù)分割和組裝過(guò)程,敏感數(shù)據(jù)S僅以可用形 式存在于授信引擎110的有限區(qū)域中。例如,當(dāng)敏感數(shù)據(jù)S包括登記 鑒定數(shù)據(jù)時(shí),可用的非隨機(jī)化登記鑒定數(shù)據(jù)僅可在鑒定引擎215中得 到。相似地,當(dāng)敏感數(shù)據(jù)S包括私人密鑰數(shù)據(jù)時(shí),可用的非隨機(jī)化私 人密鑰數(shù)據(jù)僅可在鑒定引擎220中得到。
0134雖然數(shù)據(jù)分割和組裝過(guò)程是參考他們的優(yōu)選實(shí)施例公開(kāi) 的,本發(fā)明不限于此。本領(lǐng)域技術(shù)人員可從這里的公開(kāi)認(rèn)識(shí)到,分割 和重組敏感數(shù)據(jù)S有大量可替換方式。例如,公鑰加密可用于進(jìn)一步 安全保護(hù)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4的數(shù)據(jù)。此外,本領(lǐng)域技術(shù)人員易于 理解,這里所述的數(shù)據(jù)分割模塊也是本發(fā)明分開(kāi)的獨(dú)立實(shí)施例,其可 包括到任何現(xiàn)有計(jì)算機(jī)系統(tǒng),軟件套件(software suite),數(shù)據(jù)庫(kù), 或其組合,或者本發(fā)明其他實(shí)施例,如這里公開(kāi)并描述的授信引擎, 鑒定引擎,和交易引擎中,或與它們結(jié)合或構(gòu)成它們的一部分。
0135圖9A示出按照本發(fā)明實(shí)施例的登記過(guò)程900的數(shù)據(jù)流。 如圖9A所示,當(dāng)用戶希望登錄密碼系統(tǒng)100的授信引擎110時(shí),登 記過(guò)程900從步驟905開(kāi)始。按照該實(shí)施例,用戶系統(tǒng)105有利地包 括客戶端小應(yīng)用程序(applet),如Java基的小應(yīng)用程序,其詢問(wèn)用 戶輸入登記數(shù)據(jù),如人口數(shù)據(jù)和登記鑒定數(shù)據(jù)。按照一個(gè)實(shí)施例,登 記鑒定數(shù)據(jù)包括用戶ID, 口令,生物統(tǒng)計(jì)特征,等等。按照一個(gè)實(shí)施 例,在詢問(wèn)過(guò)程中,客戶端小應(yīng)用程序優(yōu)選與授信引擎110通信,以 確保所選用戶ID是唯一的。當(dāng)用戶ID不是唯一的時(shí),授信引擎110 可有利地建議唯一用戶ID??蛻舳诵?yīng)用程序收集登記數(shù)據(jù)并傳輸?shù)?記數(shù)據(jù),例如通過(guò)XML文檔傳輸?shù)绞谛乓鎙lO,具體而言,傳輸?shù)?交易引擎205。按照一個(gè)實(shí)施例,傳輸是以鑒定引擎215的公鑰編碼 的。
0136按照一個(gè)實(shí)施例,用戶在登記過(guò)程900的步驟905中執(zhí)行 單個(gè)登記。例如,用戶將其自己登記為特定人,如Joe用戶。當(dāng)Joe 用戶需要登記為Joe用戶,Mega公司的CEO時(shí),那么按照該實(shí)施例, Joe用戶登記第二次,接收第二唯一用戶ID,且授信引擎110不關(guān)聯(lián) 這兩個(gè)身份。按照本發(fā)明另一個(gè)實(shí)施例,登記過(guò)程900為單個(gè)用戶ID 提供多次用戶識(shí)別。因此,在上面的例子中,授信引擎110將有利地 關(guān)聯(lián)Joe用戶的兩個(gè)身份。如本領(lǐng)域技術(shù)人員從本公開(kāi)理解的那樣, 一個(gè)用戶可以有多個(gè)身份,例如Joe用戶為戶主,Joe用戶為慈善基 金會(huì)員等等。按照該實(shí)施例,即使用戶可具有多種身份,授信引擎110 優(yōu)選僅存儲(chǔ)一組登記數(shù)據(jù)。而且,當(dāng)需要時(shí),用戶可有利地按需要添 加,編輯/更新,或刪除身份。0137雖然登記過(guò)程900是參考優(yōu)選實(shí)施例公開(kāi)的,本發(fā)明不限 于此。本領(lǐng)域技術(shù)人員將從這里的描述認(rèn)識(shí)到有大量替換方式收集登 記數(shù)據(jù),特別是登記鑒定數(shù)據(jù)。例如,小應(yīng)用程序可以是公用對(duì)象模 型(COM)基的小應(yīng)用程序等等。0138另一方面,登記過(guò)程可包括分級(jí)登記。例如,在最低登記 級(jí)別,用戶可經(jīng)通信鏈路125登記,而無(wú)需產(chǎn)生關(guān)于他或她身份的文 檔。按照登記級(jí)別的增加,用戶用授信的第三方,如數(shù)字公證人登記。 例如,用戶可親自到授信的第三方處建立證件,如出生證明,駕駛執(zhí) 照,軍方ID等,且授信第三方可有利地包括例如登記提交文件中他們 的數(shù)字簽名。授信第三方可包括實(shí)際公證人,政府機(jī)構(gòu),如郵政局或 機(jī)動(dòng)車部門,招募雇員的大公司中人力資源人員。本領(lǐng)域技術(shù)人員可 從這里的公開(kāi)理解大量不同級(jí)別的登記可在登記過(guò)程900中出現(xiàn)。0139在步驟915接收登記鑒定數(shù)據(jù)后,交易引擎205使用傳統(tǒng) FULL SSL技術(shù)轉(zhuǎn)發(fā)該登記鑒定數(shù)據(jù)給鑒定引擎215。在步驟920,鑒 定引擎215用鑒定引擎215的私鑰解密登記鑒定數(shù)據(jù)。此外,鑒定引 擎215采用數(shù)據(jù)分割模塊對(duì)登記鑒定數(shù)據(jù)執(zhí)行數(shù)學(xué)運(yùn)算,以便將數(shù)據(jù) 分割為至少兩個(gè)獨(dú)立不可判讀的隨機(jī)化數(shù)字。如前面所述,至少兩個(gè) 數(shù)字可包括統(tǒng)計(jì)上的隨機(jī)數(shù)字和二元XOR數(shù)字。在步驟925中,鑒 定引擎215將隨機(jī)化數(shù)字的每個(gè)部分轉(zhuǎn)發(fā)給數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4之 一。如前面所述,鑒定引擎215傳輸?shù)酱鎯?chǔ)倉(cāng)庫(kù)的部分。0140通常在登記過(guò)程900中,用戶也會(huì)需要發(fā)出數(shù)字證書(shū)以便 他或她可從密碼系統(tǒng)100外部接收加密的文檔。如前面所述,認(rèn)證授
權(quán)方115通常按照數(shù)個(gè)傳統(tǒng)標(biāo)準(zhǔn)中的一個(gè)或多個(gè)來(lái)發(fā)出數(shù)字證書(shū)。一 般地,該數(shù)字證書(shū)包括人人都知道的用戶或系統(tǒng)的公鑰。
0141無(wú)論用戶是否在登記時(shí)或其他時(shí)間請(qǐng)求數(shù)字證書(shū),該請(qǐng)求 都經(jīng)授信引擎110傳輸?shù)借b定引擎215。按照一個(gè)實(shí)施例,請(qǐng)求包括 XML文檔,其具有例如正確的用戶名稱。根據(jù)步驟935,鑒定引擎215 傳輸請(qǐng)求到密碼引擎220,指示密碼引擎220,從而生成密鑰或密鑰對(duì)。
0142在步驟935,在收到請(qǐng)求后,密碼引擎220生成至少一個(gè) 密鑰。按照一個(gè)實(shí)施例,密碼處理模塊625生成密鑰對(duì),這里一個(gè)密 鑰用作私鑰,另一個(gè)用作公鑰。按照一個(gè)實(shí)施例,密碼引擎220存儲(chǔ) 公鑰的副本和私鑰。在步驟945,密碼引擎220發(fā)送數(shù)字證書(shū)的請(qǐng)求 給交易引擎205。按照一個(gè)實(shí)施例,該請(qǐng)求有利地包括標(biāo)準(zhǔn)化的請(qǐng)求, 如XML文檔中嵌入的PKCSIO。數(shù)字證書(shū)的請(qǐng)求可有利地相應(yīng)于一 個(gè)或多個(gè)認(rèn)證授權(quán)方,以及認(rèn)證授權(quán)方要求的一種或多種標(biāo)準(zhǔn)格式。
0143在步驟950中,交易引擎205將該請(qǐng)求轉(zhuǎn)交給認(rèn)證授權(quán)方 115,在步驟955中,認(rèn)證授權(quán)方115返回?cái)?shù)字證書(shū)。返回的數(shù)字證書(shū) 可有利地釆用標(biāo)準(zhǔn)化的格式,如PKCS7,或采用一個(gè)或多個(gè)認(rèn)證授權(quán) 方115專有的格式。在步驟960中,數(shù)字證書(shū)是通過(guò)交易引擎205接 收的,且一個(gè)副本被轉(zhuǎn)交給用戶, 一個(gè)副本由授信引擎IIO存儲(chǔ)。授 信引擎IIO存儲(chǔ)證書(shū)副本,以便授信引擎110不必依賴于認(rèn)證授權(quán)方 115的可用性。例如,當(dāng)用戶需要發(fā)送數(shù)字證書(shū),或第三方請(qǐng)求用戶 數(shù)字證書(shū)時(shí),對(duì)數(shù)字證書(shū)的請(qǐng)求通常被發(fā)送到認(rèn)證授權(quán)方115。然而, 如果認(rèn)證授權(quán)方115在執(zhí)行維護(hù)或具有故障或安全危害,可能得不到 數(shù)字證書(shū)。
0144在發(fā)出密鑰后的任何時(shí)間,密碼引擎220可有利地采用上 面要求的數(shù)據(jù)分割過(guò)程800,以便密鑰被分成獨(dú)立不可判讀的隨機(jī)化 數(shù)字。類似于鑒定數(shù)據(jù),在步驟965,密碼引擎220傳輸隨機(jī)化的數(shù) 字給數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4。
0145本領(lǐng)域技術(shù)人員將從這里的公開(kāi)認(rèn)識(shí)到,用戶可在登記后 的任意時(shí)間請(qǐng)求數(shù)字證書(shū)。而且,系統(tǒng)間通信可有利地包括FULL SSL
或公鑰加密技術(shù)。而且,登記過(guò)程可從多個(gè)認(rèn)證授權(quán)方發(fā)出多個(gè)數(shù)字證書(shū),包括授信引擎110內(nèi)部或外部的一個(gè)或多個(gè)專有認(rèn)證授權(quán)方。0146如步驟935到960中的公開(kāi),本發(fā)明一個(gè)實(shí)施例包括對(duì)最 后存儲(chǔ)在授信引擎110中證書(shū)的請(qǐng)求。因?yàn)榘凑找粋€(gè)實(shí)施例,密碼處 理模塊625發(fā)出授信引擎110使用的密鑰,每個(gè)證書(shū)相應(yīng)于一個(gè)私鑰。 因此,授信引擎110可有利地通過(guò)監(jiān)視用戶所擁有或關(guān)聯(lián)的證書(shū)而提 供互操作性。例如,當(dāng)密碼引擎220接收密碼功能的請(qǐng)求時(shí),密碼處 理模塊625可調(diào)查請(qǐng)求用戶所擁有的證書(shū),并判斷是否該用戶擁有與 請(qǐng)求屬性相匹配的私鑰。當(dāng)這樣的證書(shū)存在時(shí),密碼處理模塊625可 使用該證書(shū)或與其關(guān)聯(lián)的公鑰或私鑰來(lái)執(zhí)行所請(qǐng)求的功能。當(dāng)這樣的 證書(shū)不存在時(shí),密碼處理模塊625可有利并透明地執(zhí)行大量動(dòng)作從而 試圖對(duì)缺失適當(dāng)?shù)拿荑€進(jìn)行補(bǔ)救。例如,圖9B示出互操作性過(guò)程970 的流程圖,按照本發(fā)明實(shí)施例,該過(guò)程公開(kāi)了前述步驟從而確保密碼 處理模塊625使用適當(dāng)密鑰執(zhí)行密碼功能。0147如圖9B所示,互操作性過(guò)程970從步驟972開(kāi)始,這里 密碼處理模塊925判斷所需證書(shū)的類型。按照本發(fā)明一個(gè)實(shí)施例,證 書(shū)類型可有利地規(guī)定在對(duì)密碼功能的請(qǐng)求中,或規(guī)定在請(qǐng)求者提供的 其他數(shù)據(jù)中。按照另一個(gè)實(shí)施例,證書(shū)類型可由請(qǐng)求的數(shù)據(jù)格式確定。 例如,密碼處理模塊925可有利地識(shí)別相應(yīng)于特殊類型的請(qǐng)求。0148按照一個(gè)實(shí)施例,證書(shū)類型可包括一個(gè)或多個(gè)算法標(biāo)準(zhǔn), 例如RSA, ELGAMAL等。此外,證書(shū)類型可包括一個(gè)或多個(gè)密鑰類 型,如對(duì)稱密鑰,公鑰,強(qiáng)加密密鑰,如256比特密鑰,較低安全密 鑰等等。而且,證書(shū)類型可包括一個(gè)或多個(gè)前述算法標(biāo)準(zhǔn)或密鑰,一 個(gè)或多個(gè)消息或數(shù)據(jù)格式, 一個(gè)或多個(gè)數(shù)據(jù)封裝或編碼方案,如Base 32或Base 64,的升級(jí)或取代。證書(shū)類型也可包括與一個(gè)或多個(gè)第三 方密碼應(yīng)用程序或接口, 一個(gè)或多個(gè)通信協(xié)議,或一個(gè)或多個(gè)證書(shū)標(biāo) 準(zhǔn)或協(xié)議的兼容性。本領(lǐng)域技術(shù)人員可從這里的>^開(kāi)認(rèn)識(shí)到其他差別 可存在于證書(shū)類型中,并且這些差別間的轉(zhuǎn)化可按這里的公開(kāi)執(zhí)行。0149
一旦密碼處理模塊625判斷了證書(shū)類型,則互操作性過(guò)程
970進(jìn)入到步驟974,并判斷是否用戶擁有與步驟974中判斷的類型匹 配的證書(shū)。當(dāng)用戶擁有匹配證書(shū)時(shí),例如授信引擎110有權(quán)通過(guò)其之 前的存儲(chǔ)訪問(wèn)匹配的證書(shū),密碼處理模塊825知道匹配私鑰也存儲(chǔ)在 授信引擎110內(nèi)。例如,匹配私鑰可以存儲(chǔ)在存儲(chǔ)倉(cāng)庫(kù)210內(nèi)或存儲(chǔ) 倉(cāng)庫(kù)系統(tǒng)700中。密碼處理模塊625可有利地請(qǐng)求在存儲(chǔ)倉(cāng)庫(kù)210組 裝匹配私鑰,然后在步驟976,使用該匹配私鑰執(zhí)行密碼動(dòng)作或功能。 例如,如前面所述,密碼處理模塊625可有利地執(zhí)行散列運(yùn)算,散列 比較,數(shù)據(jù)加密或解密,數(shù)字簽名驗(yàn)證或創(chuàng)建等。0150當(dāng)用戶沒(méi)有匹配證書(shū)時(shí),互操作過(guò)程970進(jìn)入步驟978, 這里密碼處理模塊625判斷用戶是否擁有交叉認(rèn)證證書(shū) (cross-certified certificate)。按照一個(gè)實(shí)施例,當(dāng)?shù)谝徽J(rèn)證授權(quán)方 決定信任第二認(rèn)證授權(quán)方的證書(shū)時(shí)發(fā)生認(rèn)證授權(quán)方之間的交叉認(rèn)證。 換句話說(shuō),第一認(rèn)證授權(quán)方確定第二認(rèn)證授權(quán)方的證書(shū)滿足某些質(zhì)量 標(biāo)準(zhǔn)時(shí),并因此可"證明,,為等價(jià)于第一認(rèn)證授權(quán)方自己的證書(shū)。在認(rèn) 證授權(quán)方發(fā)出,例如具有多個(gè)信任級(jí)別的證書(shū)時(shí),交叉認(rèn)證變得更復(fù) 雜。例如,第一認(rèn)證授權(quán)方通?;诘怯涍^(guò)程的可靠程度,可為特定 證書(shū)提供三個(gè)信任級(jí)別,同時(shí)第二認(rèn)證授權(quán)方可提供七個(gè)信任級(jí)別。 交叉認(rèn)證可有利地跟蹤第二認(rèn)證授權(quán)方的哪個(gè)級(jí)別和哪個(gè)證書(shū)可替換 第一認(rèn)證授權(quán)方的哪個(gè)級(jí)別和哪個(gè)證書(shū)。當(dāng)前面的交叉認(rèn)證是官方并 公開(kāi)地在兩個(gè)證書(shū)授權(quán)方間進(jìn)行的時(shí), 一個(gè)到另一個(gè)證書(shū)和級(jí)別的映 射通常別稱為"鏈接(chaining)"。0151按照本發(fā)明另一個(gè)實(shí)施例,密碼處理模塊625可有利地開(kāi) 發(fā)在認(rèn)證授權(quán)方同意的交叉認(rèn)證之外的交叉認(rèn)證。例如密碼處理模塊 625可訪問(wèn)第一認(rèn)證授權(quán)方的認(rèn)證執(zhí)行聲明(CPS),或其他公布的政 策陳述,并使用例如特定信任級(jí)別要求的鑒定標(biāo)記,匹配第一認(rèn)證授 權(quán)方的證書(shū)和另一個(gè)認(rèn)證授權(quán)方的證書(shū)。0152在步驟978中,當(dāng)密碼處理模塊625判斷用戶擁有交叉認(rèn) 證證書(shū),互操作過(guò)程970進(jìn)入步驟976,并用交叉認(rèn)證公鑰,私鑰或 這兩者執(zhí)行密碼動(dòng)作或功能??商鎿Q地,當(dāng)密碼處理模塊625判斷用
戶沒(méi)有交叉認(rèn)證證書(shū)時(shí),互操作過(guò)程970進(jìn)入步驟980,這里密碼處 理模塊625選擇認(rèn)證授權(quán)方,該認(rèn)證授權(quán)方發(fā)出所請(qǐng)求的證書(shū)類型, 或證書(shū)交叉認(rèn)證。在步驟982,密碼處理模塊625判斷前面討論的用 戶登記鑒定數(shù)據(jù)是否滿足所選認(rèn)證授權(quán)方的鑒定要求。例如,如果用 戶經(jīng)網(wǎng)絡(luò)通過(guò)回答人口和其他問(wèn)題而登記,則所提供的鑒定數(shù)據(jù)可建 立低于用戶提供生物統(tǒng)計(jì)特征數(shù)據(jù)和第三方,如公證人見(jiàn)證的信任級(jí) 別。按照一個(gè)實(shí)施例,前面的鑒定要求可有利地提供在所選的鑒定授 權(quán)方的CPS中。0153當(dāng)用戶向授信引擎110提供了符合所選認(rèn)證授權(quán)方要求的 登記鑒定數(shù)據(jù)后,互操作過(guò)程970進(jìn)入步驟984,這里密碼處理模塊 825釆集來(lái)自所選認(rèn)證授權(quán)方的證書(shū)。按照一個(gè)實(shí)施例,密碼處理模 塊625通過(guò)登記過(guò)程900的隨后步驟945到960采集證書(shū)。例如,密 碼處理模塊625可有利地采用密碼引擎220可用的一個(gè)或多個(gè)密鑰對(duì) 的一個(gè)或多個(gè)公鑰,從而要求認(rèn)證授權(quán)方的證書(shū)。按照另一個(gè)實(shí)施例, 密碼處理模塊625可有利地生成一個(gè)或多個(gè)新密鑰對(duì),并使用相應(yīng)公 鑰請(qǐng)求認(rèn)證授權(quán)方的證書(shū)。0154按照另一個(gè)實(shí)施例,授信引擎110可有利地包括一個(gè)或多 個(gè)能夠發(fā)出一種或多種證書(shū)類型的證書(shū)發(fā)出模塊。按照該實(shí)施例,證 書(shū)發(fā)出模塊可提供前述證書(shū)。當(dāng)密碼處理模塊625獲得證書(shū)時(shí),互操 作過(guò)程970進(jìn)入步驟976,并用相應(yīng)于采集證書(shū)的公鑰,私鑰,或這 兩者執(zhí)行密碼動(dòng)作或功能。0155在步驟982中,當(dāng)用戶沒(méi)有向授信引擎110提供符合所選 認(rèn)證授權(quán)方要求的登記鑒定數(shù)據(jù)時(shí),在步驟986中,密碼處理模塊625 判斷是否有具有不同鑒定要求的其他認(rèn)證授權(quán)方。例如,密碼處理模 塊625可查找具有較低鑒定要求的認(rèn)證授權(quán)方,但仍然發(fā)出所選證書(shū) 或交叉認(rèn)證。0156當(dāng)存在前述具有較低要求的認(rèn)證授權(quán)方時(shí),互操作過(guò)程970 進(jìn)入步驟980并選擇該認(rèn)證授權(quán)方??商鎿Q地,當(dāng)不存在這類認(rèn)證授 權(quán)方時(shí),在步驟988,授信引擎110可從用戶請(qǐng)求額外的鑒定標(biāo)記。
例如,授信引擎110可請(qǐng)求包括例如生物統(tǒng)計(jì)特征數(shù)據(jù)的新登記鑒定 數(shù)據(jù)。而且,授信引擎110可請(qǐng)求用戶由可信的第三方見(jiàn)證,并向公證人提供適當(dāng)?shù)蔫b定證明,如駕駛執(zhí)照,社會(huì)安全卡,銀行卡,出生證明,軍人ID,等等。當(dāng)授信引擎110接收更新的鑒定數(shù)據(jù)時(shí),互操 作過(guò)程970進(jìn)入步驟984并獲取前述所選證書(shū)。0157通過(guò)前述互操作過(guò)程970,密碼處理模塊625有利地提供 不同密碼系統(tǒng)間無(wú)縫、透明的翻譯和轉(zhuǎn)換。本領(lǐng)域技術(shù)人員可從這里 的公開(kāi)認(rèn)識(shí)到前述互操作系統(tǒng)大量的優(yōu)點(diǎn)和實(shí)現(xiàn)方法。例如,互操作 過(guò)程970的前述步驟986可有利地包括下面進(jìn)一步詳細(xì)討論的授信仲 裁,這里認(rèn)證授權(quán)方可在特定環(huán)境中接受較低級(jí)別的交叉認(rèn)證。此外, 互操作過(guò)程970可包括確保標(biāo)準(zhǔn)證書(shū)撤銷的操作及各操作之間的互操 作性,例如采用證書(shū)撤銷列表(CRL),在線證書(shū)狀態(tài)協(xié)議(OCSP) 等。0158圖10示出按照本發(fā)明實(shí)施例的鑒定過(guò)程1000的數(shù)據(jù)流。 按照一個(gè)實(shí)施例,鑒定過(guò)程1000包括從用戶收集當(dāng)前鑒定數(shù)據(jù)并將其 與用戶的登記鑒定數(shù)據(jù)比較。例如,鑒定過(guò)程1000在步驟1005開(kāi)始, 這里用戶希望執(zhí)行交易,譬如與賣主的交易。這樣的交易可包括例如 選擇采購(gòu)選項(xiàng),請(qǐng)求訪問(wèn)受限制的區(qū)域或賣主系統(tǒng)120的裝置等。在 步驟IOIO,賣主向用戶提供交易ID和鑒定請(qǐng)求。交易ID可有利地包 括與128位隨機(jī)量連接、具有32位時(shí)間信息的192位量,或與賣主特 有的32位常數(shù)連接的"臨時(shí)值(nonce)"。這樣的交易ID唯一地識(shí)別 交易,因此授信引擎110可拒絕模仿的交易。0159鑒定請(qǐng)求可有利地包括,對(duì)于特定交易需要何種鑒定級(jí)別。 例如,賣主可規(guī)定討論中交易所要求的特定信任級(jí)別。如果不能對(duì)該 信任級(jí)別做出鑒定,如下面的討論,如果用戶沒(méi)有進(jìn)一步的鑒定以提 升信任級(jí)別,或如果賣主與服務(wù)器間的鑒定條款沒(méi)有改變,則交易將 不會(huì)發(fā)生。這些問(wèn)題將在下面更完整地討論。0160按照一個(gè)實(shí)施例,交易ID和鑒定請(qǐng)求可有利地由賣主端 的Java程序或其他軟件程序生成。此外,交易ID和鑒定數(shù)據(jù)的傳輸
可包括一個(gè)或多個(gè)用傳統(tǒng)SSL技術(shù),如1/2 SSL加密的XML文檔, 1/2 SSL換句話說(shuō)就是賣主端鑒定的SSL。0161在用戶系統(tǒng)105接收交易ID和鑒定請(qǐng)求后,用戶系統(tǒng)105 從用戶收集當(dāng)前鑒定數(shù)據(jù),有可能包括當(dāng)前生物統(tǒng)計(jì)特征信息。在步 驟1015,用戶系統(tǒng)105用鑒定引擎215的公鑰加密至少當(dāng)前鑒定數(shù)據(jù) "B"和交易ID,并將該數(shù)據(jù)轉(zhuǎn)移到授信引擎110。該傳輸優(yōu)選包括至 少以傳統(tǒng)1/2 SSL技術(shù)加密的XML文檔。在步驟1020中,交易引擎 205接收傳輸,優(yōu)選識(shí)別數(shù)據(jù)格式或URL或URI中的請(qǐng)求,并將該 傳輸轉(zhuǎn)發(fā)給鑒定引擎215。0162在步驟1015和1020中,賣主系統(tǒng)120在步驟1025用優(yōu) 選的FULL SSL技術(shù)將交易ID和鑒定請(qǐng)求轉(zhuǎn)發(fā)給授信引擎110。該通 信也可包括賣主ID,但賣主身份也可以通過(guò)交易ID的非隨機(jī)部分來(lái) 通信。在步驟1030和1035,交易引擎205接收通信,在審計(jì)跟蹤中 建立記錄,并生成請(qǐng)求,用于請(qǐng)求從數(shù)據(jù)存儲(chǔ)設(shè)施D1到D4組裝的用 戶登記鑒定數(shù)據(jù)。在步驟1040,存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700將相應(yīng)于用戶的登 記鑒定數(shù)據(jù)的各部分轉(zhuǎn)移到鑒定引擎215。在步驟1045,鑒定引擎215 用其私鑰解密傳輸,并比較登記鑒定數(shù)據(jù)和用戶提供的當(dāng)前鑒定數(shù)據(jù)。0163步驟1045的比較可有利地應(yīng)用試探性內(nèi)容敏感鑒定,如 前面提到并在下面進(jìn)一步詳細(xì)討論的那樣。例如,如果所接收的生物 統(tǒng)計(jì)特征信息不完美匹配,則匹配的信任級(jí)別較低。在特定實(shí)施例中,鑒定的信任級(jí)別是由交易的性質(zhì)和用戶與賣主雙方的期望來(lái)平衡的。 同樣,這將在下面更詳細(xì)地討論。0164在步驟1050,鑒定引擎215將步驟1045的比較結(jié)果填入 鑒定請(qǐng)求中。按照本發(fā)明一個(gè)實(shí)施例,鑒定過(guò)程1000的結(jié)果YES/NO 或TRUE/FALSE被填入鑒定請(qǐng)求中。在步驟1055,填寫的鑒定請(qǐng)求 被返回給賣主供賣主采取動(dòng)作,如允許發(fā)起鑒定請(qǐng)求的用戶完成交易。 按照一個(gè)實(shí)施例,確認(rèn)消息被傳遞給用戶。0165基于前面所述,鑒定過(guò)程1000有利地保持敏感數(shù)據(jù)安全 并產(chǎn)生經(jīng)配置以保持敏感數(shù)據(jù)完整性的結(jié)果。例如,敏感數(shù)據(jù)僅在鑒
定引擎215內(nèi)組裝。例如,登記鑒定數(shù)據(jù)在被數(shù)據(jù)組裝模塊在鑒定引 擎215中組裝之前都是不可判讀的,且當(dāng)前鑒定數(shù)據(jù)在被傳統(tǒng)SSL技 術(shù)和鑒定引擎215的私鑰解包(unwrapped)之前都是不可判讀的。 而且,傳輸給賣主的鑒定結(jié)果不包括敏感數(shù)據(jù),且用戶甚至不知道他 或她是否產(chǎn)生了有效的鑒定數(shù)據(jù)。0166雖然鑒定過(guò)程1000是參考優(yōu)選和可替換的實(shí)施例公開(kāi)的, 本發(fā)明不局限于這些實(shí)施例。本領(lǐng)域技術(shù)人員將從這里的公開(kāi)認(rèn)識(shí)到 鑒定過(guò)程1000有大量的替換過(guò)程。例如,賣主可有利地由幾乎任意請(qǐng) 求應(yīng)用程序取代,甚至是駐存在用戶系統(tǒng)105中的應(yīng)用程序。例如, 客戶端應(yīng)用程序,如Microsoft Word,可在解鎖文檔之前4吏用應(yīng)用程 序接口 ( API)或密碼API (CAPI)請(qǐng)求鑒定??商鎿Q地,郵件服務(wù) 器、網(wǎng)絡(luò)、蜂窩電話、個(gè)人或移動(dòng)計(jì)算裝置、工作站等都可以作出鑒 定請(qǐng)求,這些鑒定請(qǐng)求可由鑒定過(guò)程1000填寫。實(shí)際上,在提供前面 的可信鑒定過(guò)程1000后,請(qǐng)求應(yīng)用程序或裝置可提供對(duì)大量電子或計(jì) 算機(jī)裝置或系統(tǒng)的訪問(wèn)或使用。0167而且,鑒定失敗時(shí),鑒定過(guò)程1000可采用大量可替換過(guò) 程。例如,鑒定失敗后,可以保持同樣的交易ID,并請(qǐng)求用戶再次輸 入他或她的當(dāng)前鑒定數(shù)據(jù)。如上所述,對(duì)于特定的交易,相同交易ID 的使用允許鑒定引擎215的比較器監(jiān)視和限制鑒定嘗試的次數(shù),因而 產(chǎn)生更安全的密碼系統(tǒng)100。0168此外,鑒定過(guò)程1000可有利地被用來(lái)開(kāi)發(fā)簡(jiǎn)練的單個(gè)注 冊(cè)解決方案,如解鎖敏感數(shù)據(jù)保險(xiǎn)庫(kù)(vault)。例如,成功的或正的序的^意數(shù)目^令的能力。例如Z用戶P的鑒定可提供與多'個(gè)在線賣主、 局域網(wǎng)、不同個(gè)人計(jì)算裝置、因特網(wǎng)服務(wù)提供商、拍賣提供商、投資 經(jīng)紀(jì)人等關(guān)聯(lián)的對(duì)口令、登錄、經(jīng)濟(jì)證明(financial credential)等的 用戶訪問(wèn)。通過(guò)采用敏感數(shù)據(jù)保險(xiǎn)庫(kù),用戶可選擇很大并且隨機(jī)的口 令,因?yàn)橛脩舨辉傩枰ㄟ^(guò)關(guān)聯(lián)而記住這些口令。鑒定過(guò)程1000提供 對(duì)敏感數(shù)據(jù)保險(xiǎn)庫(kù)的訪問(wèn)。例如,用戶可選擇長(zhǎng)度為20多位的隨機(jī)字
母串,而非與可記憶的數(shù)據(jù)、名稱等關(guān)聯(lián)的口令。0169按照一個(gè)實(shí)施例,與給定用戶關(guān)聯(lián)的敏感數(shù)據(jù)保險(xiǎn)庫(kù)可有 利地存儲(chǔ)在存儲(chǔ)倉(cāng)庫(kù)210的數(shù)據(jù)存儲(chǔ)設(shè)施中,或分割并存儲(chǔ)在存儲(chǔ)倉(cāng) 庫(kù)系統(tǒng)700中。按照該實(shí)施例,在正用戶鑒定后,授信引擎110提供 被請(qǐng)求的敏感數(shù)據(jù),如適當(dāng)?shù)目诹罱o請(qǐng)求應(yīng)用程序。按照另一個(gè)實(shí)施 例,授信引擎110可包括分開(kāi)的系統(tǒng),用于存儲(chǔ)敏感數(shù)據(jù)保險(xiǎn)庫(kù)。例 如,授信引擎110可包括執(zhí)行數(shù)據(jù)保險(xiǎn)庫(kù)功能并象征性地駐存在授信 引擎110的前述前端安全系統(tǒng)"后面,,的獨(dú)立軟件引擎。按照該實(shí)施例, 軟件引擎在從授信引擎110接收到指示正用戶鑒定的信號(hào)之后提供被 請(qǐng)求的敏感數(shù)據(jù)。0170在另一個(gè)實(shí)施例中,數(shù)據(jù)保險(xiǎn)庫(kù)可通過(guò)第三方系統(tǒng)執(zhí)行。 類似于軟件引擎實(shí)施例,第三方系統(tǒng)可有利地在從授信引擎IIO接收 到指示正用戶鑒定的信號(hào)之后提供被請(qǐng)求的敏感數(shù)據(jù)。按照另一個(gè)實(shí) 施例,數(shù)據(jù)保險(xiǎn)庫(kù)可在用戶系統(tǒng)105上執(zhí)行。用戶端軟件引擎可有利 地在從授信引擎110接收到指示正用戶鑒定的信號(hào)之后提供前述數(shù) 據(jù)。0171雖然前述數(shù)據(jù)保險(xiǎn)庫(kù)是參考可替換實(shí)施例說(shuō)明的,本領(lǐng)域 技術(shù)人員將從這里的公開(kāi)認(rèn)識(shí)到可有大量額外的執(zhí)行方式。例如特定 數(shù)據(jù)保險(xiǎn)庫(kù)可包括部分或所有前述實(shí)施例的多個(gè)方面。此外,任何前 述數(shù)據(jù)保險(xiǎn)庫(kù)可在不同時(shí)間采用一個(gè)或多個(gè)鑒定請(qǐng)求。例如任何數(shù)據(jù) 保險(xiǎn)庫(kù)可要求每個(gè)交易或多個(gè)交易、周期性地、每一次或多次會(huì)話、 每次訪問(wèn)一個(gè)或多個(gè)網(wǎng)頁(yè)或網(wǎng)址,在一個(gè)或多個(gè)規(guī)定的間隔,等等進(jìn) 行鑒定。0172圖11示出按照本發(fā)明實(shí)施例簽名過(guò)程1100的數(shù)據(jù)流。如 圖ll所示,簽名過(guò)程llOO包括類似于前面參考圖IO說(shuō)明的鑒定過(guò)程 1000的步驟。按照本發(fā)明一個(gè)實(shí)施例,簽名過(guò)程1100首先鑒定用戶, 然后執(zhí)行幾個(gè)數(shù)字簽名功能中的一個(gè)或多個(gè),如下面的詳細(xì)說(shuō)明。按 照另一個(gè)實(shí)施例,簽名過(guò)程1100可有利地存儲(chǔ)與其相關(guān)的數(shù)據(jù),如消 息或文檔的散列值等。該數(shù)據(jù)可有利地用在審計(jì)或任何其他事件中, 例如當(dāng)參與方試圖否認(rèn)交易時(shí)。0173如圖11所示,在鑒定步驟的過(guò)程中,用戶和賣主可有利 地同意諸如合同之類的消息。在簽名過(guò)程中,簽名過(guò)程1100有利地確 保用戶簽署的合同與賣主提供的合同相同。因此,按照一個(gè)實(shí)施例, 在鑒定過(guò)程中,在傳輸?shù)借b定引擎215的數(shù)據(jù)中,賣主和用戶包括他 們各自的消息或合同副本的散列。僅僅通過(guò)采用消息或合同的散列, 授信引擎110可有利地存儲(chǔ)顯著減少的數(shù)據(jù)量,提供更有效且更劃算 的密碼系統(tǒng)。此外,存儲(chǔ)的散列可有利地與被討論的文檔散列相比較 從而判斷被討論的文檔是否與任一方簽署的文檔匹配。判斷該文檔是 否與涉及交易的文檔相同的這一能力,為反駁交易一方要求的否認(rèn)提 供了額外的證據(jù)。0174在步驟1103中,鑒定引擎215組裝登記鑒定數(shù)據(jù)并將其 與用戶提供的當(dāng)前鑒定數(shù)據(jù)比較。當(dāng)鑒定引擎215的比較器指示登記 鑒定數(shù)據(jù)與當(dāng)前鑒定數(shù)據(jù)相匹配時(shí),鑒定引擎215的比較器也比較由 賣主提供的消息散列和用戶提供的消息散列。因此,鑒定引擎215有 利地確保該用戶同意的消息與賣主同意的消息相同。0175在步驟1105中,鑒定引擎215發(fā)送數(shù)字簽名請(qǐng)求給密碼 引擎220。按照本發(fā)明一個(gè)實(shí)施例,請(qǐng)求包括消息或合同的散列。然 而,本領(lǐng)域技術(shù)人員將從這里的公開(kāi)認(rèn)識(shí)到密碼引擎220實(shí)際上可加 密任意類型的數(shù)據(jù),包括但不限于視頻、音頻、生物統(tǒng)計(jì)特征、圖像 或文本,從而形成所需的數(shù)字簽名。返回到步驟1105,數(shù)字簽名請(qǐng)求 優(yōu)選包括通過(guò)傳統(tǒng)SSL技術(shù)通信的XML文檔。0176在步驟110中,鑒定引擎215發(fā)送請(qǐng)求給每個(gè)數(shù)據(jù)存儲(chǔ)設(shè) 施Dl到D4,因此每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4發(fā)送相應(yīng)于簽名方的各 部分密鑰。按照另一個(gè)實(shí)施例,密碼引擎220采用前面討論的互操作 過(guò)程970的部分或全部步驟,因此密碼引擎220首先為簽名方從存儲(chǔ) 倉(cāng)庫(kù)210或存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700請(qǐng)求經(jīng)密碼引擎判斷認(rèn)為合適的密鑰, 并采取動(dòng)作提供適當(dāng)?shù)钠ヅ涿荑€。按照另一個(gè)實(shí)施例,鑒定引擎215或密碼引擎220可有利地請(qǐng)求一個(gè)或多個(gè)與簽名方關(guān)聯(lián)并存儲(chǔ)在存儲(chǔ)
倉(cāng)庫(kù)210或存儲(chǔ)倉(cāng)庫(kù)系統(tǒng)700中的密鑰。0177按照一個(gè)實(shí)施例,簽名方包括用戶和賣主之一或兩者。在 這樣的情形中,鑒定引擎215有利地請(qǐng)求相應(yīng)于用戶和/或賣主的密鑰。 按照另一個(gè)實(shí)施例,簽名方包括授信引擎110。在該實(shí)施例中,授信 引擎110證明鑒定過(guò)程1000適當(dāng)?shù)罔b定了用戶、賣主或兩者。因此, 鑒定引擎215請(qǐng)求授信引擎110的密鑰,如屬于密碼引擎220的密鑰, 從而執(zhí)行數(shù)字簽名。按照另一個(gè)實(shí)施例,授信引擎IIO執(zhí)行類似數(shù)字 公證人的功能。在該實(shí)施例中,簽名方包括用戶、賣主或這兩者以及 授信引擎IIO。因此,授信引擎110提供用戶和/或賣主的數(shù)字簽名, 然后以其自身數(shù)字簽名指示用戶和/或賣主已被適當(dāng)鑒定。在該實(shí)施例 中,鑒定引擎215可有利地請(qǐng)求相應(yīng)于用戶、賣主或這兩者的密鑰組 件。按照另一個(gè)實(shí)施例,鑒定引擎215可有利地請(qǐng)求相應(yīng)于授信引擎 110的密鑰組件。0178按照另 一個(gè)實(shí)施例,授信引擎110執(zhí)行類似委任書(shū)的功能。 例如,授信引擎110可代表第三方對(duì)消息進(jìn)行數(shù)字簽名。在這樣的情 形中,鑒定引擎215請(qǐng)求與笫三方關(guān)聯(lián)的密鑰。按照該實(shí)施例,在允 許類似委托書(shū)功能之前,簽名過(guò)程IIOO可有利地包括第三方的鑒定。 此外,鑒定過(guò)程1000可包括對(duì)第三方約束(constraint)的檢查,如 商務(wù)邏輯等,該第三方約束指示在何時(shí)以及在何種環(huán)境中,特定第三 方的簽名可以使用。0179基于前面所述,在步驟1110中,鑒定引擎從數(shù)據(jù)存儲(chǔ)設(shè) 施Dl到D4請(qǐng)求相應(yīng)于簽名方的密鑰。在步驟1115中,數(shù)據(jù)存儲(chǔ)設(shè) 施D1到D4發(fā)送相應(yīng)于簽名方的密鑰各部分給密鑰引擎220。按照一 個(gè)實(shí)施例,前述傳輸包括SSL技術(shù)。按照另一個(gè)實(shí)施例,前述傳輸可 有利地用密碼引擎220的公鑰超級(jí)加密。0180在步驟1120,密碼引擎220組裝簽名方的前述密鑰并加密 其中的消息,因而形成數(shù)字簽名。在簽名過(guò)程1100的步驟1125中, 密碼引擎220發(fā)送數(shù)字簽名給鑒定引擎215。在步驟1130中,鑒定引 擎215將填寫好的鑒定請(qǐng)求,與散列消息和數(shù)字簽名的副本一起發(fā)送
給交易引擎205。在步驟1135中,交易引擎205發(fā)送收據(jù)(receipt) 給賣主,該收據(jù)包括交易ID、鑒定是否成功的指示,和數(shù)字簽名。按 照一個(gè)實(shí)施例,前述傳輸可有利地包括授信引擎110的數(shù)字簽名。例 如,授信引擎110可以用其私鑰加密收據(jù)散列,因而形成附加到對(duì)賣 主的傳輸上的數(shù)字簽名。0181按照一個(gè)實(shí)施例,交易引擎205也發(fā)送確認(rèn)消息給用戶。 雖然簽名過(guò)程1100是參考優(yōu)選可替換實(shí)施例公開(kāi)的,但本發(fā)明不限于 這些實(shí)施例。本領(lǐng)域技術(shù)人員將從這里的公開(kāi)內(nèi)容中認(rèn)識(shí)到,簽名過(guò) 程1100有大量可替換過(guò)程。例如,賣主可以由用戶申請(qǐng),如電子郵件 申請(qǐng)來(lái)替代。例如,用戶可能希望用他或她的數(shù)字簽名來(lái)對(duì)特定的電 子郵件進(jìn)行數(shù)字簽名。在這樣的實(shí)施例中,簽名過(guò)程1100的傳輸可有 利地僅包括該消息散列的一個(gè)副本。而且,本領(lǐng)域技術(shù)人員可從這里 的公開(kāi)認(rèn)識(shí)到大量客戶端應(yīng)用程序可請(qǐng)求數(shù)字簽名。例如,客戶端應(yīng) 用程序可包括字處理器、電子制表軟件、電子郵件、語(yǔ)音電子郵件、 對(duì)受限系統(tǒng)區(qū)域的訪問(wèn),等等。0182此外,本領(lǐng)域技術(shù)人員將從這里的公開(kāi)認(rèn)識(shí)到簽名過(guò)程 1100的步驟1105到步驟1120可有利地采用圖9B中互操作過(guò)程970 的部分或所有步驟,因而提供不同密碼系統(tǒng)間的互操作性,這些系統(tǒng), 舉例而言,可能需要處理不同簽名類型的數(shù)字簽名。0183圖12示出按照本發(fā)明實(shí)施例的加密/解密過(guò)程1200的數(shù)據(jù) 流。如圖12所示,解密過(guò)程1200從用鑒定過(guò)程1000來(lái)鑒定用戶開(kāi)始。 按照一個(gè)實(shí)施例,鑒定過(guò)程1000包括鑒定請(qǐng)求中的同步會(huì)話密鑰 (session key)。例如,在傳統(tǒng)PKI技術(shù)中,本領(lǐng)域技術(shù)人員可以理 解,用公鑰和私鑰加密或解密數(shù)據(jù),數(shù)學(xué)強(qiáng)度高并可能要求可觀的系 統(tǒng)資源。然而,在對(duì)稱密鑰密碼系統(tǒng)中,或在消息發(fā)送方和接收方共 享一個(gè)用于加密和解密消息的公共密鑰(common key)的系統(tǒng)中,數(shù) 學(xué)運(yùn)算明顯更簡(jiǎn)單并更快。因此,在傳統(tǒng)PKI技術(shù)中,消息發(fā)送方將 生成同步會(huì)話密鑰,并用更簡(jiǎn)單更快的對(duì)稱密鑰系統(tǒng)加密消息。然后, 發(fā)送方將用接收方的公鑰加密會(huì)話密鑰。加密的會(huì)話密鑰將被附加到
同步加密的消息上,且這兩個(gè)數(shù)據(jù)都被發(fā)送給接收方。接收方使用他 或她的私鑰解密會(huì)話密鑰,然后用該會(huì)話密鑰解密消息?;谝陨纤?述,更簡(jiǎn)單更快的對(duì)稱密鑰系統(tǒng)被用于大多數(shù)加密/解密處理。因此,在解密過(guò)程1200中,解密有利地假定同步密鑰已經(jīng)以用戶的公鑰加 密。因此,上面的說(shuō)明中,加密的會(huì)話密鑰包括在鑒定請(qǐng)求中。0184回到解密過(guò)程1200,在步驟1205中,用戶得到鑒定后, 鑒定引擎215將加密的會(huì)話密鑰轉(zhuǎn)發(fā)至密碼引擎220。在步驟1210, 鑒定引擎215將請(qǐng)求轉(zhuǎn)發(fā)至每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4,從而請(qǐng)求用 戶的密鑰數(shù)據(jù)。在步驟1215,每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施Dl到D4發(fā)送它們 的各部分密鑰到密碼引擎220。按照一個(gè)實(shí)施例,前面的傳輸是以密 碼引擎220的公鑰加密的。0185在解密過(guò)程1200的步驟1200中,密碼引擎220組裝密鑰 并解密會(huì)話密鑰。在步驟1225,密碼引擎轉(zhuǎn)發(fā)會(huì)話密鑰至鑒定引擎 215。在步驟1227,鑒定引擎215填寫包括解密的會(huì)話密鑰的鑒定請(qǐng) 求,并發(fā)送填寫的鑒定請(qǐng)求至交易引擎205。在步驟1230,交易引擎 205轉(zhuǎn)發(fā)鑒定請(qǐng)求和會(huì)話密鑰至請(qǐng)求應(yīng)用程序或賣主。然后,按照一 個(gè)實(shí)施例,請(qǐng)求應(yīng)用程序或賣主使用會(huì)話密鑰從而解密加密的消息。0186雖然解密的過(guò)程1200是參考優(yōu)選的可替換實(shí)施例說(shuō)明的, 本領(lǐng)域技術(shù)人員可從這里的公開(kāi)內(nèi)容認(rèn)識(shí)到解密過(guò)程1200有大量可 替換過(guò)程。例如,解密過(guò)程1200可先于同步密鑰加密并依靠全部公鑰 技術(shù)。在這樣的實(shí)施例中,請(qǐng)求應(yīng)用程序可發(fā)送整個(gè)消息給密碼引擎 220,或可采用某些類型的壓縮或可逆散列(reversible hash ),以便 發(fā)送信息給密碼引擎220。本領(lǐng)域技術(shù)人員也將從這里的公開(kāi)內(nèi)容認(rèn) 識(shí)到,前述通信可有利地包括以SSL技術(shù)包裹(wrapped)的XML 文檔。0187加密/解密過(guò)程1200也提供文檔或其他數(shù)據(jù)的加密。因此, 在步驟1235,請(qǐng)求應(yīng)用程序或賣主可有利地發(fā)送對(duì)用戶公鑰的請(qǐng)求到 授信引擎110的交易引擎205。請(qǐng)求應(yīng)用程序或賣主作出該請(qǐng)求是因 為請(qǐng)求應(yīng)用程序或賣主使用該用戶公鑰來(lái)加密將用于加密文件或消息
的會(huì)話密鑰。如登記過(guò)程900中提到的那樣,交易引擎205在例如海 量存儲(chǔ)裝置225中存儲(chǔ)用戶數(shù)字證書(shū)的副本。因此,在加密過(guò)程1200 的步驟1240中,交易引擎205從海量存儲(chǔ)裝置225請(qǐng)求用戶的數(shù)字證 書(shū)。在步驟1245中,海量存儲(chǔ)裝置225發(fā)送相應(yīng)于用戶的數(shù)字證書(shū)給 交易引擎205。在步驟1250中,交易引擎205發(fā)送數(shù)字證書(shū)至請(qǐng)求應(yīng) 用程序或賣主。按照一個(gè)實(shí)施例,加密過(guò)程1200的加密部分不包括用 戶的鑒定。這是因?yàn)榘l(fā)出請(qǐng)求的賣主只需要該用戶的公鑰,而非請(qǐng)求 任何敏感數(shù)據(jù)。0188本領(lǐng)域技術(shù)人員可從這里的公開(kāi)內(nèi)容認(rèn)識(shí)到如果特定用戶 沒(méi)有數(shù)字證書(shū),則授信引擎110可采用部分或全部登記過(guò)程900從而 為該特定用戶生成數(shù)字證書(shū)。然后,授信引擎110可啟動(dòng)加密/解密過(guò) 程1200并因此提供適當(dāng)?shù)臄?shù)字證書(shū)。此外,本領(lǐng)域技術(shù)人員將從這里 的公開(kāi)內(nèi)容認(rèn)識(shí)到,該加密/解密過(guò)程1200的步驟1220和1235到1250 可有利地釆用圖9B的互操作過(guò)程的部分或所有步驟,因而提供不同 密碼系統(tǒng)間的互操作性,這些系統(tǒng),舉例而言,可能需要處理加密。0189圖13示出按照本發(fā)明另一個(gè)實(shí)施例的授信引擎系統(tǒng)1300 簡(jiǎn)化的方框圖。如圖13所示,授信引擎系統(tǒng)1300包括多個(gè)不同的授 信引擎1305, 1310, 1315,和1320。為了促進(jìn)對(duì)本發(fā)明更完整的理解, 圖13示出每個(gè)授信引擎1305, 1310, 1315,和1320都具有交易引擎、 存儲(chǔ)倉(cāng)庫(kù),和鑒定引擎。然而,本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到每個(gè)交易引 擎可有利地包括部分圖1 - 8公開(kāi)的元素和通信信道,或者其組合或全 部。例如, 一個(gè)實(shí)施例可有利地包括具有一個(gè)或多個(gè)交易引擎、存儲(chǔ) 倉(cāng)庫(kù),密碼服務(wù)器,或它們的任何組合的授信引擎。0190按照本發(fā)明一個(gè)實(shí)施例,每個(gè)授信引擎1305, 1310, 1315 和1320是地理分開(kāi)的,以便授信引擎1305可駐存在笫一位置,授信 引擎1310可駐存在第二位置,授信引擎1315可駐存在第三位置,而 授信引擎1320可駐存在第四位置。前述地理分離有利地減小系統(tǒng)響應(yīng) 時(shí)間,同時(shí)增加整個(gè)授信系統(tǒng)1300的安全。0191例如,當(dāng)用戶登錄到密碼系統(tǒng)IOO上時(shí),用戶可能最接近
第一位置并需要被鑒定。如參考圖IO的說(shuō)明,為了鑒定,用戶提供當(dāng)前鑒定數(shù)據(jù),如生物統(tǒng)計(jì)特征等,且當(dāng)前鑒定數(shù)據(jù)與該用戶的登記鑒 定數(shù)據(jù)作比較。因此,按照一個(gè)例子,用戶有利地提供當(dāng)前鑒定數(shù)據(jù)給地理上最近的授信引擎1305。然后授信引擎1305的交易引擎1321 轉(zhuǎn)發(fā)當(dāng)前的鑒定數(shù)據(jù)至同樣駐存在第一位置的鑒定引擎1322。按照另 一個(gè)實(shí)施例,交易引擎1321轉(zhuǎn)發(fā)當(dāng)前鑒定數(shù)據(jù)至授信引擎1310、1315、 或1320中一個(gè)或多個(gè)鑒定引擎。0192交易引擎1321也請(qǐng)求組裝每個(gè)授信引擎,例如1305到1320 的存儲(chǔ)倉(cāng)庫(kù)的登記鑒定數(shù)據(jù)。按照該實(shí)施例,每個(gè)存儲(chǔ)倉(cāng)庫(kù)提供部分 登記數(shù)據(jù)給授信引擎1305的鑒定引擎1322。鑒定引擎1322然后采用 例如前兩個(gè)存儲(chǔ)倉(cāng)庫(kù)的加密的數(shù)據(jù)部分從而響應(yīng)并組裝登記鑒定數(shù)據(jù) 為可判讀的形式。鑒定引擎1322比較登記鑒定數(shù)據(jù)和當(dāng)前鑒定數(shù)據(jù), 并返回鑒定結(jié)果給授信引擎1305的交易引擎1321。0193基于以上所述,授信引擎系統(tǒng)1300采用多個(gè)地理分開(kāi)的 授信引擎1305到1320中最近的一個(gè)執(zhí)行鑒定過(guò)程。按照本發(fā)明一個(gè) 實(shí)施例,信息到最近交易引擎的路由選擇可有利地由客戶端Java程序 完成,該java程序在用戶系統(tǒng)105、賣主系統(tǒng)120,或認(rèn)證授權(quán)方115 中的一個(gè)或多個(gè)上執(zhí)行。按照可替換實(shí)施例,更復(fù)雜的決策過(guò)程可用 來(lái)選擇授信引擎1305到1320。例如,決策可基于給定授信引擎的可 用性、可操作性、連接速度、負(fù)栽、性能、地理上接近度,或它們的 組合。0194以該方式,授信引擎1300降低其響應(yīng)時(shí)間,同時(shí)保持與 地理上的遠(yuǎn)程數(shù)據(jù)存儲(chǔ)設(shè)施關(guān)聯(lián)的安全優(yōu)勢(shì),如參考圖7的討論,其 中每個(gè)數(shù)據(jù)存儲(chǔ)設(shè)施存儲(chǔ)敏感數(shù)據(jù)隨機(jī)化的部分。例如,授信引擎1315 的存儲(chǔ)倉(cāng)庫(kù)1325處的安全危害不必危及授信引擎1300的敏感數(shù)據(jù)。 這是因?yàn)榇鎯?chǔ)倉(cāng)庫(kù)1325僅含有不可判讀的隨機(jī)化的數(shù)據(jù),缺乏其他數(shù) 據(jù)時(shí),這些不可判讀的隨機(jī)化的數(shù)據(jù)是完全無(wú)用的。0195按照另一個(gè)實(shí)施例,授信引擎系統(tǒng)1300可有利地包括多 個(gè)與鑒定引擎排列類似的密碼引擎。密碼引擎可有利地執(zhí)行密碼功能,
如參考圖1-8公開(kāi)的密碼功能。按照又一個(gè)實(shí)施例,授信引擎系統(tǒng) 1300可有利地取代具有多個(gè)密碼引擎的多個(gè)鑒定引擎,因而執(zhí)行密碼 功能,如參考圖l-8公開(kāi)的密碼功能。按照本發(fā)明又一個(gè)實(shí)施例,授 信引擎系統(tǒng)1300可以用具有鑒定引擎、密碼引擎或這兩者的部分或所 有功能的引擎,來(lái)取代多個(gè)鑒定引擎中的每一個(gè),如前面的公開(kāi)。0196雖然授信引擎1300是參考優(yōu)選的可替換實(shí)施例公開(kāi)的, 本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到授信引擎系統(tǒng)1300可包括授信引擎1305到 1320中的多個(gè)部分。例如,授信引擎系統(tǒng)1300可包括一個(gè)或多個(gè)交 易引擎, 一個(gè)或多個(gè)存儲(chǔ)倉(cāng)庫(kù), 一個(gè)或多個(gè)鑒定引擎,或一個(gè)或多個(gè) 密碼引擎或它們的組合。0197圖14示出按照本發(fā)明又一實(shí)施例的授信引擎系統(tǒng)1400的 簡(jiǎn)化方框圖。如圖14所示,授信引擎系統(tǒng)1400包括多個(gè)授信引擎1405、 1410、 1415和1420。按照一個(gè)實(shí)施例,每個(gè)授信引擎1405、 1410、 1415和1420包括參考圖1 - 8公開(kāi)的授信引擎110的部分或全部組件。 按照該實(shí)施例,當(dāng)用戶系統(tǒng)105、賣主系統(tǒng)120、或i人證授4又方115的 客戶端java程序與授信引擎系統(tǒng)1400通信時(shí),這些通信被發(fā)送到每 個(gè)授信引擎1405到1420的IP地址。進(jìn)一步地,每個(gè)授信引擎1405、 1410、 1415和1420的每個(gè)交易引擎的行為與參考圖13公開(kāi)的授信引 擎1305的交易引擎1321類似。例如,在鑒定過(guò)程中,每個(gè)授信引擎 1405、 1410、 1415和1420的每個(gè)交易引擎?zhèn)鬏敭?dāng)前的鑒定數(shù)據(jù)給他 們各自的鑒定引擎,并傳輸請(qǐng)求來(lái)組裝存儲(chǔ)在每個(gè)授信引擎1405到 1420的每個(gè)存儲(chǔ)倉(cāng)庫(kù)中的隨機(jī)化的數(shù)據(jù)。圖14沒(méi)有示出所有這些通 信,因?yàn)槭境鲞@些通信將變得過(guò)度復(fù)雜。繼續(xù)鑒定過(guò)程,每個(gè)存儲(chǔ)倉(cāng) 庫(kù)然后將其部分隨機(jī)化的數(shù)據(jù)傳輸?shù)矫總€(gè)授信引擎1405到1420的每 個(gè)鑒定引擎。每個(gè)授信引擎的每個(gè)鑒定引擎采用其比較器來(lái)判斷是否 當(dāng)前鑒定數(shù)據(jù)是否與由每個(gè)授信引擎1405到1420的存儲(chǔ)倉(cāng)庫(kù)提供的 登記鑒定數(shù)據(jù)匹配。按照該實(shí)施例,每個(gè)鑒定引擎的比較結(jié)果然后被 發(fā)送到其他三個(gè)授信引擎的冗余模塊。例如,授信引擎1405的鑒定引 擎的結(jié)果被發(fā)送給授信引擎1410、 1415和1420的冗余模塊。因此,
授信引擎1405的冗余模塊類似地接收來(lái)自授信引擎1410, 1415,和 1420的鑒定引擎的結(jié)果。0198圖15示出圖14中冗余模塊的方框圖。冗余模塊包括比較 器,該比較器經(jīng)配置用于接收三個(gè)鑒定引擎的鑒定結(jié)果并將該結(jié)果發(fā) 送到第四個(gè)授信引擎的交易引擎。比較器比較三個(gè)鑒定引擎的鑒定結(jié) 果,如果有兩個(gè)結(jié)果相符,則比較器斷定,鑒定結(jié)果應(yīng)與這兩個(gè)相符 的鑒定引擎匹配。然后該結(jié)果被發(fā)回給相應(yīng)于與三個(gè)鑒定引擎不相關(guān) 的授信引擎的交易引擎。0199基于上面所述,冗余模塊根據(jù)接收到的來(lái)自鑒定引擎的數(shù) 據(jù)來(lái)判斷鑒定結(jié)果,該鑒定引擎優(yōu)選與該冗余模塊的授信引擎地理上 遠(yuǎn)距離隔開(kāi)。通過(guò)提供這樣的冗余功能,授信引擎系統(tǒng)1400確保授信 引擎1405到1420之一的鑒定引擎的危害不足以危及特定授信引擎的 冗余模塊的鑒定結(jié)果。本領(lǐng)域技術(shù)人員可以認(rèn)識(shí)到授信引擎系統(tǒng)1400 的冗余模塊功能也可應(yīng)用到每個(gè)授信引擎1405到1420的密碼引擎。 然而,這樣的密碼引擎通信沒(méi)有在圖14中示出以便避免復(fù)雜化。而且, 本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,用于圖15中比較器的大量可替換的鑒定結(jié) 果沖突解決算法適用于本發(fā)明。0200按照本發(fā)明又一個(gè)實(shí)施例,授信引擎系統(tǒng)1400可有利地 在密碼比較步驟中采用冗余模塊。例如,參考圖14和15公開(kāi)的部分 或所有前述冗余模塊可有利地在特定交易過(guò)程中由一方或多方提供的 文檔散列比較過(guò)程中執(zhí)行。0201盡管前面以某些優(yōu)選的可替換實(shí)施例來(lái)說(shuō)明本發(fā)明,但對(duì) 閱讀了本公開(kāi)內(nèi)容的本領(lǐng)域技術(shù)人員來(lái)說(shuō),其他實(shí)施例也顯然是可行 的。例如授信引擎110可發(fā)布短期證書(shū),這里私鑰發(fā)布給用戶在預(yù)定 的時(shí)間段內(nèi)使用。例如,當(dāng)前證書(shū)標(biāo)準(zhǔn)包括有效性字段,該字段在預(yù) 定的時(shí)間量后可設(shè)定為過(guò)期。因此授信引擎110可發(fā)布私鑰給用戶, 該私鑰可以在例如24小時(shí)內(nèi)是有效的。按照這樣的實(shí)施例,授信引擎 110可有利地發(fā)出要與特定用戶關(guān)聯(lián)的新密鑰對(duì),然后發(fā)布新密鑰對(duì) 的私鑰。然后, 一旦發(fā)布了私鑰,則授信引擎110立即使這類私鑰的
內(nèi)部有效使用過(guò)期,因?yàn)槭谛乓?10不再能獲得它。0202此外,本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到密碼系統(tǒng)IOO或授信引擎 110可包括識(shí)別任何類型裝置的能力,包括但不限于膝上型計(jì)算機(jī)、 蜂窩電話、網(wǎng)絡(luò)、生物統(tǒng)計(jì)特征識(shí)別裝置等。按照一個(gè)實(shí)施例,這類 識(shí)別可源自對(duì)特定服務(wù)的請(qǐng)求,如對(duì)鑒定導(dǎo)致的訪問(wèn)或使用的請(qǐng)求、 對(duì)密碼功能的請(qǐng)求等提供的數(shù)據(jù)。按照一個(gè)實(shí)施例,前述請(qǐng)求可包括 唯一裝置識(shí)別符,如處理器ID??商鎿Q地,請(qǐng)求可包括特定可識(shí)別數(shù) 據(jù)格式的數(shù)據(jù)。例如,移動(dòng)和衛(wèi)星電話通常沒(méi)有全X509.v3重加密證 書(shū)(full X509.v3 heavy encryption certificate )的處理能力,且因此不 會(huì)請(qǐng)求全X509.v3重加密證書(shū)。按照該實(shí)施例,授信引擎110可識(shí)別 所呈現(xiàn)的數(shù)據(jù)格式的類型,并按數(shù)據(jù)格式類型做出響應(yīng)。0203在上述系統(tǒng)的額外方面中,內(nèi)容敏感鑒定可用下面說(shuō)明的 多種技術(shù)提供。如圖16所示的內(nèi)容敏感鑒定提供了評(píng)估實(shí)際數(shù)據(jù)和該 數(shù)據(jù)生成、交付環(huán)境的可能性,該實(shí)際數(shù)據(jù)是用戶在試圖鑒定自身時(shí) 發(fā)送的。這類技術(shù)也可支持用戶與授信引擎110間或賣主與授信引擎 110間的交易特定授信仲裁,如下面所述。0204如上所述,鑒定是證明用戶正是其自稱的人的過(guò)程。通常, 鑒定要求向認(rèn)證授權(quán)方證明某些事實(shí)。本發(fā)明的授信引擎110代表用 戶必須向其證明自身的授權(quán)方。用戶必須通過(guò)以下方式之一向授信引 擎110證明他就是其自稱的人知道某些僅用戶知道的事情(基于知 識(shí)的鑒定),具有某些僅用戶擁有的物品(基于令牌的鑒定),或通 過(guò)作為某些僅用戶才具有的特征(基于生物統(tǒng)計(jì)特征的鑒定)。0205基于知識(shí)鑒定的例子包括但不限于口令、PIN號(hào),或鎖組 合(lock combination )?;诹钆畦b定的例子包括但不限于房屋鑰匙、 物理信用卡、駕駛執(zhí)照,或特定電話號(hào)碼?;谏锝y(tǒng)計(jì)特征鑒定的 例子包括但不限于指紋、筆跡分析、面部掃描、手掃描、耳朵掃描、 虹膜掃描、血管圖案、DNA、語(yǔ)音分析,或視網(wǎng)膜掃描。0206每種類型的鑒定都具有特定的優(yōu)點(diǎn)和缺點(diǎn),且每種都提供 不同級(jí)別的安全性。例如,創(chuàng)建與其他人指紋匹配的假指紋通常要比
偷聽(tīng)某人口令并重復(fù)該口令要困難。每種類型的鑒定也要求鑒定授權(quán) 方知道不同類型的數(shù)據(jù),以便用該鑒定形式驗(yàn)證某些人。0207這里所用的"鑒定"將泛指驗(yàn)證某人身份就是其自稱的人的 整個(gè)過(guò)程。"鑒定技術(shù)"指基于特定知識(shí)、物理標(biāo)記,或生物統(tǒng)計(jì)特征 讀取的特定鑒定類型。"鑒定數(shù)據(jù)"指被發(fā)送給或被證明給認(rèn)證授權(quán)方, 以建立身份的信息。"登記數(shù)據(jù)"指初始被提交給鑒定授權(quán)方,以建立 與鑒定數(shù)據(jù)比較基線的數(shù)據(jù)。"鑒定事件"指與試圖用鑒定技術(shù)鑒定相 關(guān)聯(lián)的數(shù)據(jù)。0208鑒定用戶過(guò)程中涉及的內(nèi)部協(xié)議和通信是參考上面圖10 說(shuō)明的。該過(guò)程中發(fā)生內(nèi)容敏感鑒定的部分出現(xiàn)在圖10的步驟1045 所示的比較步驟中。該步驟在鑒定引擎215中發(fā)生,并涉及到組裝從 存儲(chǔ)倉(cāng)庫(kù)210中檢索的登記數(shù)據(jù)410和將其與用戶提供的鑒定數(shù)據(jù)比 較。該過(guò)程的一個(gè)特定實(shí)施例在圖16中示出并在下面說(shuō)明,0209由用戶提供的當(dāng)前鑒定數(shù)據(jù)和從存儲(chǔ)倉(cāng)庫(kù)210中檢索的登 記數(shù)據(jù)是由鑒定引擎215在圖16中步驟1600接收的。這些數(shù)據(jù)集合 均可含涉及鑒定分離技術(shù)的數(shù)據(jù)。鑒定引擎215在步驟1605中分離與 每個(gè)單獨(dú)的鑒定事件相關(guān)聯(lián)的鑒定數(shù)振。這是必須的,從而鑒定數(shù)據(jù)與用戶登記數(shù)據(jù)的適當(dāng)子集比較(如,指紋鑒定數(shù)據(jù)應(yīng)與指紋登記數(shù) 據(jù),而非口令登記數(shù)據(jù)作比較)。0210通常,根據(jù)哪些鑒定技術(shù)對(duì)于用戶可用,鑒定用戶涉及一 個(gè)或多個(gè)單獨(dú)的鑒定事件。這些方法受用戶在其登記過(guò)程中提供的登 記數(shù)據(jù)的限制(如果用戶在登記時(shí)沒(méi)有提供視網(wǎng)膜掃描,則不能用視 網(wǎng)膜掃描鑒定自己),也受用戶當(dāng)前可用的方法限制(如,如果用戶 在當(dāng)前位置沒(méi)有指紋讀取器,則不能執(zhí)行指紋鑒定)。在某些情形中, 單個(gè)鑒定事件足以鑒定用戶;然而,在某些環(huán)境下,可使用多種鑒定 事件的組合以便為特定交易更可靠地鑒定用戶。0211每個(gè)鑒定事件由涉及到特定鑒定技術(shù)(如指紋,口令,智 能卡等)的數(shù)據(jù)和該特定技術(shù)的數(shù)據(jù)捕獲和交付環(huán)境組成。例如,試 圖經(jīng)口令鑒定的特定事件不僅將生成涉及口令自身的數(shù)據(jù),還將生成 涉及口令嘗試的環(huán)境數(shù)據(jù),所謂的"元數(shù)據(jù)"。環(huán)境數(shù)據(jù)包括這樣的信 息,如特定鑒定事件發(fā)生的時(shí)間,發(fā)出已交付鑒定信息的網(wǎng)絡(luò)地址, 以及本領(lǐng)域技術(shù)人員已知的其鑒定數(shù)據(jù)的起源(連接的類型,處理器 序列號(hào)等)可判斷的任何其他信息。0212在許多情形中,僅少量的環(huán)境元數(shù)據(jù)可用。例如,如果用 戶位于使用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換或其他掩蔽源端計(jì)算機(jī)地址技術(shù)的網(wǎng) 絡(luò)上,則僅代理或路由器的地址可判斷。類似地,由于所用的硬件或 操作系統(tǒng)的限制,或這類特征被系統(tǒng)操作員禁用,或用戶系統(tǒng)與授信 引擎110間連接的其他限制,在許多情形中得不到諸如處理器序列號(hào) 的信息。0213如圖16所示, 一旦在鑒定數(shù)據(jù)內(nèi)表達(dá)的各鑒定事件在步 驟1605中被提取并分離,則鑒定引擎215評(píng)估每個(gè)指示用戶就是其自 稱的人的事件的可靠度。單個(gè)鑒定事件的可靠度通常是基于幾個(gè)因子 判斷的。這些因子可被分組, 一組為涉及到與鑒定技術(shù)相關(guān)的可靠度 的因子,在步驟1610中被評(píng)估;還有一組為涉及到所述提供的特定鑒 定數(shù)據(jù)的可靠度的因子,在步驟1815中被評(píng)估。第一組包括但不限于 所用鑒定技術(shù)的固有可靠度,和該方法所用登記數(shù)據(jù)的可靠度。第二 組包括但不限于登記數(shù)據(jù)和鑒定事件提供的數(shù)據(jù)之間的匹配度,和與 鑒定事件關(guān)聯(lián)的元數(shù)據(jù)。這些因子的每一個(gè)均可獨(dú)立于其他因子而變 化。0214鑒定技術(shù)的固有可靠度基于冒名者提供其他人正確數(shù)據(jù)的 困難程度,以及鑒定技術(shù)的總錯(cuò)誤率。對(duì)于基于口令和知識(shí)的鑒定方 法,該可靠度通常相當(dāng)?shù)?,因?yàn)闆](méi)有措施防止某些人向別人透露其口 令以及別人使用該口令。即使是更復(fù)雜的基于知識(shí)的系統(tǒng),也可能僅 具有中等可靠度,因?yàn)橹R(shí)可相當(dāng)容易地從一個(gè)人轉(zhuǎn)移到另一個(gè)人。 基于令牌的鑒定,如具有適當(dāng)?shù)闹悄芸ɑ蚴褂锰囟ńK端執(zhí)行鑒定,也 類似地具有低可靠度,因?yàn)椴荒鼙WC擁有適當(dāng)令牌的是正確的人。0215然而,生物統(tǒng)計(jì)特征技術(shù)具有更高的固有可靠度,因?yàn)槭?其他人能夠便利地使用你的指紋,即使是有意,通常也很困難。因?yàn)?br>
擾亂生物統(tǒng)計(jì)特征的技術(shù)更困難,生物統(tǒng)計(jì)特征方法的固有可靠度通 常高于純粹基于知識(shí)或令牌的鑒定技術(shù)。然而,即使生物統(tǒng)計(jì)特征技 術(shù)也可在某些情形下發(fā)生誤接受或誤拒絕。這些事件的發(fā)生可由同一 生物統(tǒng)計(jì)特征技術(shù)的不同實(shí)施的不同可靠度反映。例如,由一個(gè)公司 提供的指紋匹配系統(tǒng)可比由別的公司提供的系統(tǒng)具有更高可靠度,因 為該公司提供的系統(tǒng)使用較高質(zhì)量的光學(xué)器件或更好的掃描分辨率或 某些其他改進(jìn),減少了誤接受或誤拒絕的發(fā)生。0216注意,該可靠度可用不同方式表達(dá)。該可靠度希望以某種 度量表達(dá),該度量可由鑒定引擎215的試探過(guò)程530和算法使用從而 計(jì)算每次鑒定的信任級(jí)別。表達(dá)這些可靠度的一種優(yōu)選模式是百分?jǐn)?shù) 或分?jǐn)?shù)。例如,可能分配97%的固有可靠度給指紋,而僅分配50%的 固有可靠度給口令。本領(lǐng)域技術(shù)人員可認(rèn)識(shí)到這些特定值僅是示例性 的并可隨特定的實(shí)施改變。0217評(píng)價(jià)可靠度必需的第二個(gè)因子是登記可靠度。這是上面提 到的"分級(jí)登記,,的一部分。該可靠度因子反映出在初始登記過(guò)程中提 供的身份的可靠度。例如,如果個(gè)人初始以這樣的方式登記,即個(gè)人 產(chǎn)生實(shí)體的身份證明并提供給公證人或其他公共官方機(jī)構(gòu),且登記數(shù) 據(jù)是在該時(shí)間記錄并公證,則該數(shù)據(jù)將比在登記時(shí)經(jīng)網(wǎng)絡(luò)提供,或者 僅通過(guò)數(shù)字簽名或不是真正與個(gè)人聯(lián)系的其他信息擔(dān)保的數(shù)據(jù)更加可 靠。0218其他可靠度級(jí)別可變的登記技術(shù)包括但不限于在授信引 擎110操作員的實(shí)體辦公室登記;在用戶雇用地點(diǎn)登記;在郵局或護(hù) 照辦公室登記;通過(guò)授信引擎110操作員的委任方或授信方登記;匿 名或假名登記,其中登記的身份還沒(méi)有與特定的真實(shí)個(gè)體確認(rèn);以及 本領(lǐng)域已知的其他方式。0219這些因子反映授信引擎110與登記過(guò)程中提供的身份源之 間的信任。例如,如果登記是在提供身份證明的初始過(guò)程中與雇主聯(lián) 合執(zhí)行的,則可認(rèn)為該信息在公司內(nèi)是極其可靠的,但政府機(jī)構(gòu)或竟 爭(zhēng)者可認(rèn)為該信息不那么可靠。因此,由每個(gè)其他組織操作的授信引
擎可給該登記指定不同的可靠度級(jí)別。0220類似地,經(jīng)網(wǎng)絡(luò)提交、但是經(jīng)過(guò)在之前登記過(guò)程中由同一 授信引擎110提供的其它授信數(shù)據(jù)鑒定的額外數(shù)據(jù),可認(rèn)為與原始登 記數(shù)據(jù)一樣可靠,即使后面的數(shù)據(jù)是經(jīng)公開(kāi)網(wǎng)絡(luò)提交的。在這樣的情 形中,隨后的公證將有效地增加與原始登記數(shù)據(jù)相關(guān)的可靠度級(jí)別。 例如,以該方式,匿名或假名登記可通過(guò)向某些登記官方機(jī)構(gòu)展示與 登記數(shù)據(jù)匹配的個(gè)人身份而提升為完整登記。0221上面討論的可靠度因子通常是可在特定鑒定事件之前判斷 的值。這是因?yàn)樗麄兓诘怯浐图夹g(shù)而非實(shí)際鑒定。在一個(gè)實(shí)施例中, 基于這些因子生成可靠度的步驟涉及查找之前為該特定鑒定技術(shù)判斷 的值和該用戶的登記數(shù)據(jù)。在本發(fā)明進(jìn)一步有利的實(shí)施例中,這類可 靠度可與登記數(shù)據(jù)自身一起被包括在內(nèi)。以該方式,這些因子與從存 儲(chǔ)倉(cāng)庫(kù)210發(fā)出的登記數(shù)據(jù)一起自動(dòng)交付給鑒定引擎215。0222雖然這些因子通??稍谌魏蝹€(gè)人鑒定事件之前判斷,但它 們還是對(duì)為鑒定該用戶使用了特定技術(shù)的每次鑒定事件有影響。而且, 雖然其值可隨時(shí)間變化(如用戶以更可靠的方式重新登記),但它們 不依賴于鑒定數(shù)據(jù)自身。與之對(duì)照,與單個(gè)特定事件的數(shù)據(jù)關(guān)聯(lián)的可 靠度因子可隨每個(gè)情形改變。如下面的討論,這些因子必須為每次新 鑒定評(píng)估,以便在步驟1815中生成可靠度分值(score)。0223鑒定數(shù)據(jù)的可靠度反映出由用戶在特定鑒定事件中提供的 數(shù)據(jù)和在鑒定登記過(guò)程中提供的數(shù)據(jù)之間的匹配。對(duì)于用戶聲稱自己 就是該個(gè)體的個(gè)人,這是鑒定數(shù)據(jù)是否與登記數(shù)據(jù)匹配的根本問(wèn)題。 通常,當(dāng)數(shù)據(jù)不匹配時(shí),則認(rèn)為該用戶沒(méi)有被成功鑒定,鑒定失敗。 該結(jié)果的評(píng)估方式可隨所用的鑒定技術(shù)改變。這類數(shù)據(jù)的比較是通過(guò) 如圖5所示的鑒定引擎215的比較器515的功能執(zhí)行的。0224例如,口令的匹配通常是以二元方式評(píng)估的。換句話i兌, 口令要么完美匹配,要么匹配失敗。如果口令并非絕對(duì)正確,即使是 接近于正確口令的部分匹配的口令,通常也不予接受。因此,當(dāng)評(píng)估 口令鑒定時(shí),比較器515返回的鑒定的可靠度通常是100% (正確) 或0% (錯(cuò)誤),沒(méi)有中間值。0225與口令相似的規(guī)則也通常應(yīng)用到基于令牌的鑒定方法,如 智能卡。這是因?yàn)閾碛芯邆漕愃谱R(shí)別符或類似正確的識(shí)別符的智能卡 與擁有具有其他不正確令牌一樣是錯(cuò)誤的。因此,令牌也傾向于是二 元鑒定者(authenticator ):用戶要么具有正確的令牌,要么沒(méi)有正 確令牌。0226然而,某些類型的鑒定數(shù)據(jù),如問(wèn)巻和生物統(tǒng)計(jì)特征通常 不是二元鑒定者。例如,指紋可與參考指紋具有不同程度的匹配。某 種程度上,這可能是由于在初始登記或隨后的鑒定中,捕獲的數(shù)據(jù)質(zhì) 量的偏差。(指紋可能被弄臟,或某人有尚未愈合的傷疤,或特定手 指被燒傷。)在其他情形中,數(shù)據(jù)可能不能完美匹配,因?yàn)樾畔⒆陨?在一定程度上可變并且是基于圖案匹配的。(語(yǔ)音分析看起來(lái)接近完 美匹配,但由于背景噪聲或語(yǔ)音記錄的環(huán)境聲音,或者這個(gè)人患感冒, 因此并非很正確。)最后,在大量數(shù)據(jù)被比較的情況下,可以簡(jiǎn)化為 這樣的情形多數(shù)數(shù)據(jù)匹配良好,但某些不匹配。(IO個(gè)問(wèn)題的問(wèn)巻 可能得到8個(gè)個(gè)人問(wèn)題的正確答案,但還有2個(gè)不正確。)對(duì)于這些 原因中的任意一個(gè),需要用比較器515給登記數(shù)據(jù)和特定鑒定事件的 數(shù)據(jù)之間的匹配指定一個(gè)部分匹配值。例如,以該方式,指紋可以說(shuō) 成是85%匹配,語(yǔ)音圖案可以說(shuō)成是65%匹配,而問(wèn)巻是80%匹配。0227由比較器515產(chǎn)生的該度量(匹配度)是表示鑒定是否正 確的基本問(wèn)題的因子。然而,如上所述,這僅是可用來(lái)判斷給定鑒定 事件可靠度的因子之一。同樣要注意,即使可判斷部分程度的匹配, 最終,可能需要提供基于部分匹配的二元結(jié)果。在可替換操作模式中, 也可能把部分匹配當(dāng)作二元匹配,即根據(jù)匹配程度是否超過(guò)特定的匹 配度閾值,決定匹配為完美(100% )或失敗(0% )匹配。這樣的過(guò) 程可用來(lái)為系統(tǒng)提供簡(jiǎn)單的通過(guò)/失敗的匹配值,否則系統(tǒng)會(huì)產(chǎn)生部分 匹配。0228評(píng)估給定鑒定事件可靠度中要考慮的另一個(gè)因子考慮到提 供該特定事件的鑒定數(shù)據(jù)的環(huán)境。如上所述,環(huán)境指與特定鑒定事件 關(guān)聯(lián)的元數(shù)據(jù)。這可包括但不限于如下信息鑒定者的網(wǎng)絡(luò)地址,可 判斷的程度;鑒定時(shí)間;鑒定數(shù)據(jù)的傳輸模式(電話線,蜂窩電話, 網(wǎng)絡(luò)等);和鑒定者的系統(tǒng)的序列號(hào)。0229這些因子可用來(lái)產(chǎn)生通常由用戶請(qǐng)求的鑒定類型的概況 (profile)。然后,通過(guò)至少兩種方式,該信息可^皮用于評(píng)估可靠度。 一種方式是考慮用戶是否以與該用戶鑒定的正常概況一致的方式請(qǐng)求 鑒定。如果用戶通常在工作日(用戶在工作時(shí))中從一個(gè)網(wǎng)絡(luò)地址發(fā) 出鑒定請(qǐng)求,而在晚間或周末(用戶在家里時(shí))從另一個(gè)網(wǎng)絡(luò)地址發(fā) 出鑒定請(qǐng)求,那么在工作日來(lái)自家中網(wǎng)絡(luò)地址的鑒定可靠度較低,因 為該情形在正常鑒定概況之外。類似地,如果用戶通常使用指紋生物 統(tǒng)計(jì)特征并在晚間鑒定,則在白天僅使用口令的鑒定可靠度較低。0230環(huán)境元數(shù)據(jù)可用來(lái)評(píng)估鑒定事件可靠度的另外一種方式是 判斷在鑒定者就是其聲稱的個(gè)體時(shí),環(huán)境提供多大的確證。例如,如 果鑒定來(lái)自已知系列號(hào)與用戶關(guān)聯(lián)的系統(tǒng),這是好的環(huán)境指示符,即 用戶就是其所自稱的人。相反,如果鑒定來(lái)自已知位于Los Angeles 的網(wǎng)絡(luò)地址,而已知該用戶位于London,這表明基于該環(huán)境,該鑒定 可靠度較低。0231當(dāng)用戶系統(tǒng)與賣主系統(tǒng)或授信引擎110互動(dòng)時(shí),cookie或 其他電子數(shù)據(jù)也可置于用戶所用的系統(tǒng)上。該數(shù)據(jù)被寫入到用戶系統(tǒng) 存儲(chǔ)裝置上,并可含用戶系統(tǒng)上Web瀏覽器或其他軟件可讀取的身 份。如果該數(shù)據(jù)被允許在兩次會(huì)話之間駐存在用戶系統(tǒng)上("持久 cookie"),則該數(shù)據(jù)可隨鑒定數(shù)據(jù)發(fā)送,作為該系統(tǒng)在特定用戶鑒定 中使用過(guò)的進(jìn)一步證據(jù)。給定事件的元數(shù)據(jù),特別是持久cookie,可 有效地形成一類基于令牌的鑒定者。0232
一旦基于鑒定事件技術(shù)和數(shù)據(jù)的適當(dāng)可靠度因子分別如上 述步驟1610和1615的描述而生成,則這些因子被用于產(chǎn)生步驟1620 提供的鑒定事件的總體可靠度。 一種實(shí)現(xiàn)方法是簡(jiǎn)單地將每個(gè)可靠度 表達(dá)為百分?jǐn)?shù)然后將他們相乘。0233例如,假定鑒定數(shù)據(jù)是從與用戶過(guò)去鑒定概況(100% )
一致的已知的用戶家中計(jì)算機(jī)網(wǎng)絡(luò)地址發(fā)送的,且所用技術(shù)是指紋識(shí)別(97%),且初始指紋數(shù)據(jù)是通過(guò)用戶雇主以授信引擎110獲得的 (90% ),且鑒定數(shù)據(jù)和登記數(shù)據(jù)中原始指紋模板間的匹配非常好(99 % )。然后這一鑒定事件總的可靠度可由這些可靠度的乘積來(lái)計(jì)算 可靠度為100%*97%*90%*99% = 86.4%。0234該計(jì)算的可靠度表示單個(gè)鑒定事件的可靠度。單個(gè)鑒定事 件的總可靠度也可用如下的技術(shù)計(jì)算,即對(duì)不同的可靠度因子做不同 處理,例如利用公式,給每個(gè)可靠度因子指定不同的權(quán)重。而且,本可使用非算術(shù)系統(tǒng)。 一個(gè)實(shí)施例可包括鑒定請(qǐng)求者用來(lái)為每個(gè)因子設(shè) 定權(quán)重的模塊和用來(lái)建立鑒定事件總可靠度的算法。0235鑒定引擎215可使用上述技術(shù)及其變化來(lái)判斷單個(gè)鑒定事 件的可靠度,如步驟1620所示。然而,在許多鑒定情形中,同時(shí)提供 多個(gè)鑒定事件是有用的。例如,在試圖用本發(fā)明系統(tǒng)鑒定自身時(shí),用 戶可提供用戶身份、指紋鑒定數(shù)據(jù)、智能卡,和口令。在這樣的情形 中,三個(gè)獨(dú)立鑒定事件被提供給授信引擎110供評(píng)估。進(jìn)入步驟1625, 如果鑒定引擎215判斷用戶提供的數(shù)據(jù)包括一個(gè)以上的鑒定事件,則 每個(gè)事件將依次如步驟1630所示那樣被選擇,并如上述步驟1610、 1615和1620那樣^皮評(píng)估。0236注意所討論的許多可靠度因子可隨事件改變。例如,這些 技術(shù)的固有可靠度可能是不同的,鑒定數(shù)據(jù)與登記數(shù)據(jù)間的匹配度也 是不同的。而且,用戶可能在不同時(shí)間和不同環(huán)境為每個(gè)這類技術(shù)提 供了登記數(shù)據(jù),并為每個(gè)這類事件提供不同的登記可靠度。最后,即 使每個(gè)這類事件的數(shù)據(jù)被提交的環(huán)境相同,使用這類技術(shù)可都不同地 適合用戶概況,且因此可以指定以不同的環(huán)境可靠度。(例如,用戶 可正常使用他們的口令和指紋,而非他們的智能卡。)0237結(jié)果,每個(gè)這類鑒定事件的最終可靠度可能彼此不同。然 而,通過(guò)將多個(gè)事件一起使用,鑒定的總信任度趨向于增加。0238
一旦鑒定引擎為鑒定數(shù)據(jù)中提供的所有鑒定事件執(zhí)行了步驟1610到1620,每個(gè)事件的可靠度用在步驟1635中從而評(píng)估總鑒定 信任度。該組合單個(gè)鑒定事件可靠度為鑒定信任度的過(guò)程可通過(guò)涉及 產(chǎn)生各個(gè)可靠度的不同方法模擬,并可解決這些鑒定技術(shù)中某些之間 的特定互動(dòng)。(例如,多個(gè)基于知識(shí)的系統(tǒng),如口令系統(tǒng),可產(chǎn)生比 單個(gè)口令,甚至相當(dāng)弱的生物統(tǒng)計(jì)特征,如基本語(yǔ)音分析還要低的信 任度。)0239鑒定引擎215可組合多個(gè)同時(shí)鑒定事件的可靠度從而生成 最終信任度的一個(gè)方法是將每個(gè)事件的不可靠度相乘從而得到總不可 靠度。不可靠度通常是可靠度的互補(bǔ)百分?jǐn)?shù)。例如,具有84%的可靠 度的技術(shù),具有16%的不可靠度。上述三個(gè)產(chǎn)生86%, 75%和72% 可靠度的鑒定事件(指紋、智能卡、口令)分別具有相應(yīng)的(IOO - 86)%, (100-75)%,和(IOO-72)%的不可靠度。通過(guò)將這些不可靠度相乘, 我們得到14%*25%*28% = 0.98%的累積不可靠度,這相應(yīng)于99.02% 的可靠度。0240在額外的操作模式中,額外的因子和試探過(guò)程530可應(yīng)用 在鑒定引擎215中從而解決不同鑒定技術(shù)間的相互依賴。例如,如果 某些人未授權(quán)訪問(wèn)特定家庭計(jì)算機(jī),他們也可能在該地址接入電話線。 因此,基于發(fā)端電話號(hào)碼和鑒定系統(tǒng)序列號(hào)的鑒定不會(huì)向鑒定總信任 度添加太多。然而,基于知識(shí)的鑒定基本獨(dú)立于基于令牌的鑒定(即, 如果某人竊取你的蜂窩電話或密鑰,但如果他們沒(méi)有你的PIN號(hào)或口 令,則不太可能知道)。0241而且,不同賣主或其他鑒定請(qǐng)求者可能希望不同程度地加 權(quán)鑒定的不同方面。這可包括在計(jì)算各個(gè)事件可靠性時(shí)使用獨(dú)立加權(quán) 因子或算法,以及使用不同方法來(lái)評(píng)估具有多個(gè)事件的鑒定事件。0242例如,某些類型交易的賣主,例如公司電子郵件系統(tǒng),可 能希望主要基于試探過(guò)程和其他缺省的環(huán)境數(shù)據(jù)來(lái)鑒定。因此,他們 可對(duì)涉及元數(shù)據(jù)和其他概況相關(guān)的信息的因子應(yīng)用高權(quán)重,該信息與 鑒定事件的周圍環(huán)境相關(guān)。這樣的安排對(duì)用戶的要求不比當(dāng)用戶在工 作時(shí)間登錄到正確的機(jī)器時(shí)更多,從而可用來(lái)在正常操作時(shí)間里減輕
用戶負(fù)擔(dān)。然而,另一個(gè)賣主可能對(duì)來(lái)自特定技術(shù)的鑒定加權(quán)最重, 例如指紋匹配,這是根據(jù)這樣的決策,即這樣的技術(shù)最適于特定賣主 目的的鑒定。0243在一個(gè)操作模式中,這樣的權(quán)重改變可由鑒定請(qǐng)求者在生 成鑒定請(qǐng)求中定義,并隨鑒定請(qǐng)求發(fā)送給授信引擎110。在另一個(gè)操 作模式中,這類選項(xiàng)也可在初始登記過(guò)程中為鑒定請(qǐng)求者設(shè)定為優(yōu)選 項(xiàng)并存儲(chǔ)在鑒定引擎中。0244
一旦鑒定引擎215為所提供的鑒定數(shù)據(jù)產(chǎn)生鑒定信任度, 該信任度用于完成步驟1640中的鑒定請(qǐng)求,且該信息從鑒定引擎215 轉(zhuǎn)發(fā)到交易引擎205以便包括在給鑒定請(qǐng)求者的消息中。0245上述過(guò)程僅是示例性的,且本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到這些 步驟不必以所示順序執(zhí)行,或僅某些步驟需要執(zhí)行,或需要多種步驟 組合。而且,如果環(huán)境允許,某些步驟,如每個(gè)提供的鑒定事件的可 靠度的評(píng)估,可彼此平行執(zhí)行。0246在本發(fā)明進(jìn)一步的方面中,當(dāng)上述過(guò)程產(chǎn)生的鑒定信任度 不能滿足賣主或要求鑒定的其他方所要求的信任度時(shí),提供了一種方 法來(lái)適應(yīng)條件。在諸如在所提供的信任度和所需信任度之間存在差距 的環(huán)境中,授信引擎110的操作員要為一方或雙方提供機(jī)會(huì)從而提供 備用的數(shù)據(jù)或要求以縮小該信任差距。該過(guò)程在這里將被稱為"授信仲 裁"。0247授信仲裁可發(fā)生在上面參考圖10和11所述的密碼鑒定框 架內(nèi)。如圖所示,賣主或其他方將請(qǐng)求鑒定與特定交易關(guān)聯(lián)的特定用 戶。在一個(gè)環(huán)境中,賣主僅請(qǐng)求鑒定,要么是正結(jié)果要么是負(fù)結(jié)果, 并且在接收來(lái)自用戶的適當(dāng)數(shù)據(jù)后,授信引擎110將提供這樣的二元 鑒定。在諸如這樣的環(huán)境中,為了保證正鑒定所要求的信任度是基于 信任引擎110內(nèi)優(yōu)選項(xiàng)設(shè)定來(lái)判斷的。0248然而,賣主請(qǐng)求特定信任度以便完成特定交易也是可能的。 所要求的信任度可包括在鑒定請(qǐng)求(如鑒定該用戶信任度為98% )中, 或可基于其他與交易關(guān)聯(lián)的因子,由授信引擎110判斷(即鑒定該用
戶對(duì)于該交易是適當(dāng)?shù)?。
一個(gè)這類因子可以是交易的經(jīng)濟(jì)價(jià)值。對(duì) 于具有較大經(jīng)濟(jì)值的交易,可能要求較高的信任度。類似地,對(duì)于高 度風(fēng)險(xiǎn)的交易,要求高的信任度。相反,對(duì)于低風(fēng)險(xiǎn)或低價(jià)值交易, 賣主或其他鑒定請(qǐng)求者則要求較低的信任度。0249授信仲裁的過(guò)程出現(xiàn)在圖10中授信引擎110在步驟1050 接收鑒定數(shù)據(jù)的步驟和在圖10的步驟1055中鑒定結(jié)果返回給賣主的 步驟之間。這些步驟之間,導(dǎo)致授信水平的評(píng)估和潛在授信仲裁的過(guò) 程如圖17所示那樣發(fā)生。在執(zhí)行簡(jiǎn)單二元鑒定的環(huán)境中,圖17所示 的過(guò)程簡(jiǎn)化為使交易引擎205直接比較所提供的鑒定數(shù)據(jù)和上面參考 圖IO討論的被識(shí)別用戶的登記數(shù)據(jù),并將任何差別標(biāo)記為負(fù)鑒定。0250如圖17所示,在步驟1050中接收數(shù)據(jù)后第一步是為交易 引擎205判斷信任度,該信任度是步驟1710中特定交易的正鑒定必需 的。該步驟可通過(guò)幾種不同方法中的一種執(zhí)行。所要求的信任度可以 是在作出鑒定請(qǐng)求時(shí)鑒定請(qǐng)求者為授信引擎110指定的。鑒定請(qǐng)求者 也可事先設(shè)定優(yōu)選項(xiàng),該優(yōu)選項(xiàng)存儲(chǔ)在存儲(chǔ)倉(cāng)庫(kù)210中或交易引擎205 可訪問(wèn)的其他存儲(chǔ)裝置中。然后該鑒定請(qǐng)求者每次請(qǐng)求鑒定時(shí),該優(yōu) 選項(xiàng)可讀取和使用。該優(yōu)選項(xiàng)也可與特定用戶關(guān)聯(lián)作為安全措施,使 得總是要求特定授信度以便鑒定該用戶,該用戶優(yōu)選項(xiàng)存儲(chǔ)在存儲(chǔ)倉(cāng) 庫(kù)210或交易引擎205可訪問(wèn)的其他存儲(chǔ)介質(zhì)中?;阼b定請(qǐng)求提供 的信息,如要鑒定的交易值和風(fēng)險(xiǎn)水平,所要求的級(jí)別也可通過(guò)交易 引擎205或鑒定引擎215獲得。0251在一種操作模式中,在生成鑒權(quán)請(qǐng)求時(shí)所使用的策略管理 模塊或其他軟件被用來(lái)指定對(duì)于交易的鑒權(quán)所要求的信任度。這可被 用于提供在基于策略管理模塊內(nèi)所指定的策略分配所要求的信任度時(shí) 要遵守的一系列規(guī)則。 一個(gè)有利的操作模式是這樣的模式與賣主的網(wǎng) 絡(luò)服務(wù)器結(jié)合,以便適當(dāng)?shù)卮_定對(duì)于由賣主網(wǎng)絡(luò)服務(wù)器所發(fā)起的交易 所要求的信任度。以該方式,按照賣主的策略,來(lái)自用戶的交易請(qǐng)求 可被分配以所要求的信任度,且這樣的信息可與鑒權(quán)請(qǐng)求一起被轉(zhuǎn)發(fā) 到授信引擎110。0252這個(gè)所要求的信任度與賣主想要的關(guān)于鑒權(quán)的個(gè)人實(shí)際上 就是其將他自己標(biāo)識(shí)為那個(gè)個(gè)人的確定度相關(guān)。例如,如果因?yàn)樯唐?在不斷改變掌管權(quán),所以交易是賣主想要相當(dāng)確定度的交易,則賣主 可要求85%的信任度。對(duì)于賣主僅鑒權(quán)用戶以允許其察看僅會(huì)員可看 的內(nèi)容或在聊天室行使特權(quán)的情形,則不利的風(fēng)險(xiǎn)可能足夠小,以至 于賣主僅要求60%的信任度。然而,為了進(jìn)入價(jià)值幾萬(wàn)美元的生產(chǎn)合 同,賣主可能要求90%或更高的信任度0253這個(gè)被要求的信任度表示用戶必須鑒權(quán)其自身以完成交易 的度量。如果所需的信任度例如是85%,則用戶必須提供足以使授信 引擎110以85 %的置信度說(shuō)該用戶是其所自稱的人的鑒權(quán)給授信引擎 110。該所要求的信任度和鑒權(quán)信任度之間的平衡產(chǎn)生正面鑒定(賣主 滿意)或授信仲裁的可能性。0254如圖17所示,在交易引擎205接收到所要求的可信度后, 在步驟1720中,交易引擎205比較所要求的可信度和鑒權(quán)引擎215為 當(dāng)前鑒權(quán)所計(jì)算的鑒權(quán)信任度(如參考圖16的討論)。如果在步驟 1730中,鑒權(quán)信任度高于交易所要求的可信度,則過(guò)程進(jìn)入到步驟 1740,其中交易引擎205為該交易產(chǎn)生正面鑒定。然后,關(guān)于該效果 的信息將被插入到鑒權(quán)結(jié)果中,并通過(guò)交易引擎205返回給賣主,如 步驟1055所示(參看圖10)。0255然而,如果在步驟1730中,鑒權(quán)信任度不滿足所要求的 可信度,則對(duì)于當(dāng)前鑒權(quán)存在信任差距,且在步驟1750中描述授信仲 裁(trust arbitrage)。授信仲裁更完全地參考下面圖18被說(shuō)明。如 下所述的過(guò)程發(fā)生在授信引擎110的交易引擎205內(nèi)。由于不需要鑒 權(quán)或其他密碼操作來(lái)執(zhí)行授信仲裁(非交易引擎205和其他元件間的 SSL通信所要求的那些授信仲裁),該過(guò)程可在鑒權(quán)引擎215外部被 執(zhí)行。然而,如下面的討論,鑒權(quán)數(shù)據(jù)或其他密碼或鑒權(quán)事件的任何 再評(píng)估將要求交易引擎205重新提交適當(dāng)?shù)臄?shù)據(jù)給鑒權(quán)引擎215。本 領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,授信仲裁過(guò)程可以替換地被結(jié)構(gòu)化為部分或 全部地發(fā)生在鑒權(quán)引擎215內(nèi)。0256如上所述,授信仲裁是授信引擎110調(diào)停賣主和用戶間談 判以試圖在適當(dāng)?shù)那闆r下確保正面鑒定的過(guò)程。如步驟1805所示,交 易引擎205首先判斷當(dāng)前情形對(duì)于授信仲裁是否適當(dāng)。這可基于鑒權(quán) 環(huán)境被判斷,例如該鑒權(quán)是否已經(jīng)通過(guò)多個(gè)仲裁循環(huán),以及基于賣主 或用戶的優(yōu)先選擇,這將在下面進(jìn)一步討論。0257在仲裁不可能的情形中,過(guò)程進(jìn)入到步驟1810,其中交易 引擎205生成負(fù)面鑒定,然后將其插入到鑒權(quán)結(jié)果中,該鑒權(quán)結(jié)果在 步驟1055中被發(fā)送給賣主(參看圖10)??赡苡欣乇挥糜诜乐硅b 權(quán)不確定地懸而未決的一個(gè)限制是設(shè)定從初始鑒權(quán)請(qǐng)求開(kāi)始的超時(shí)時(shí) 間段。以該方式,在時(shí)間限內(nèi)沒(méi)有被正面鑒定的任何交易被拒絕進(jìn)一 步的仲裁并被負(fù)面地鑒權(quán)。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,這樣的時(shí)間限 可根據(jù)交易的環(huán)境和用戶及賣主的期望而改變。也可對(duì)在提供成功鑒 權(quán)時(shí)可以進(jìn)行的嘗試的次數(shù)做出限制。這樣的限制可通過(guò)嘗試限制器 535來(lái)處理,如圖5所示0258如果在步驟1805中沒(méi)有禁止仲裁,則交易引擎205將與 交易一方或雙方談判。交易引擎205可發(fā)送信息給用戶,請(qǐng)求某種形 式的額外鑒權(quán),以便提升如步驟1820所示地生成的鑒權(quán)信任度。在最 簡(jiǎn)單的形式中,這可僅僅指示鑒定不充分。也可發(fā)送請(qǐng)求產(chǎn)生一個(gè)或 多個(gè)附加鑒權(quán)利實(shí)例以提高鑒權(quán)的總信任度的請(qǐng)求。0259如果用戶在步驟1825中提供某些附加鑒權(quán)利實(shí)例,則交 易引擎205將這些鑒權(quán)利實(shí)例添加到交易的鑒權(quán)數(shù)據(jù),并在步驟1015 中將其轉(zhuǎn)發(fā)到鑒權(quán)引擎215 (參看圖10),且基于該交易的預(yù)先存在 的鑒權(quán)利實(shí)例和新提供的鑒權(quán)實(shí)例重新評(píng)估鑒權(quán)。0260附加類型的鑒權(quán)可以授信引擎110請(qǐng)求在授信引擎110操 作員(或授信機(jī)構(gòu))與用戶之間建立某種形式的人對(duì)人聯(lián)系,例如通 過(guò)電話的請(qǐng)求。該電話呼叫或其他非計(jì)算機(jī)鑒權(quán)可被用來(lái)提供與個(gè)體 的人員聯(lián)系,并且還基于鑒權(quán)進(jìn)行某種形式的問(wèn)巻。這也可以提供在 用戶呼入時(shí)驗(yàn)證發(fā)端電話號(hào)碼并潛在地驗(yàn)證用戶的語(yǔ)音分析的機(jī)會(huì)。 即使沒(méi)有額外的鑒權(quán)數(shù)據(jù)可被提供,與用戶的電話號(hào)碼相關(guān)聯(lián)的額外
內(nèi)容可提高鑒權(quán)上下文(context)的可靠性??紤]到鑒權(quán)請(qǐng)求,任何 基于該電話呼叫的修訂的數(shù)據(jù)或環(huán)境被饋入授信引擎110中供使用。0261此外,在步驟1820中,授信引擎110可為用戶提供購(gòu)買 保險(xiǎn)的機(jī)會(huì),從而有效地購(gòu)買更可信的鑒權(quán)。授信引擎110的操作員 有時(shí)可能僅希望在鑒權(quán)的信任度在某個(gè)閾值以上的情況下才開(kāi)始使這 樣的選項(xiàng)可用。實(shí)際上,這個(gè)用戶側(cè)保險(xiǎn)是授信引擎110在鑒權(quán)符合 授信引擎110對(duì)鑒權(quán)所正常要求的可信度、但不滿足該交易的賣主所 要求的信任度時(shí)為用戶擔(dān)保的一種方式。以該方式,用戶雖然可以賣 主可能要求的非常高的程度成功地鑒權(quán),即使用戶僅具有產(chǎn)生對(duì)于授 信引擎110足夠的信任度的鑒權(quán)利實(shí)例。0262授信引擎110的該功能允許授信引擎110為被鑒權(quán)為滿足 授信引擎110而不滿足賣主的人擔(dān)保。這類似于公證人在將其簽名添 加到文檔中以便向以后讀取該文檔的某人指示簽名出現(xiàn)在文檔上的人 實(shí)際上就是簽名的人的功能。公證人的簽名證明用戶簽名的動(dòng)作。以 同樣的方式,授信引擎提供關(guān)于交易的人員就是他們自稱的人的指示。0263然而,因?yàn)槭谛乓鍵IO人工地提升用戶所提供的信任度, 所以對(duì)于授信引擎110操作員存在更大的風(fēng)險(xiǎn),因?yàn)橛脩魧?shí)際不符合 賣主所要求的可信度。保險(xiǎn)的成本被設(shè)計(jì)以補(bǔ)償假的正面鑒定對(duì)授信 引擎110的風(fēng)險(xiǎn)(授信引擎110可以有效地公證用戶的鑒權(quán))。用戶 向授信引擎110操作員支付費(fèi)用以提升鑒權(quán)風(fēng)險(xiǎn)至比實(shí)際提供的信任 度更高的信任度。0264因?yàn)檫@樣的保險(xiǎn)系統(tǒng)允許某人從授信引擎110有效地購(gòu)買 更高信任評(píng)級(jí),所以賣主和用戶可能希望在某些交易中防止使用用戶 側(cè)保險(xiǎn)。賣主可能希望將正面鑒定限定到以下情形中,即其中賣主知 道實(shí)際鑒權(quán)數(shù)據(jù)支持他們所要求的信任度,且因此可指示授信引擎110 用戶側(cè)保險(xiǎn)是不允許的。類似地,為了保護(hù)他的在線身份,用戶可能 希望防止為自己使用用戶側(cè)保險(xiǎn),或者可能希望將其使用限制到以下 情形,即其中無(wú)保險(xiǎn)的鑒權(quán)信任度高于一定限度。這可被用作安全措 施,以防止某人偷聽(tīng)口令或竊取智能卡并使用其以在低信任度上不實(shí)
地鑒權(quán),并然后購(gòu)買保險(xiǎn)以產(chǎn)生非常高的(假)信任度。在判斷是否 允許用戶側(cè)保險(xiǎn)時(shí),這些因素可被評(píng)估。0265如果在步驟1840中用戶購(gòu)買保險(xiǎn),則在步驟1845,鑒權(quán) 信任度可基于所購(gòu)買的保險(xiǎn)被調(diào)整,且在步驟1730中,再次比較鑒權(quán) 信任度和所要求的可信度(參看圖17)。該過(guò)程從此處開(kāi)始,并可在 步驟1740中導(dǎo)致正面鑒定(參看圖17),或在步驟1750中返回到授 信仲裁過(guò)程,以進(jìn)一步的仲裁(如果允許)或如果禁止進(jìn)一步仲裁, 則在步驟1810中導(dǎo)致負(fù)面鑒定。0266除了在步驟1820中發(fā)送消息給用戶,交易引擎205也可 在步驟1830中發(fā)送消息給賣主,其表示未決鑒權(quán)當(dāng)前低于所要求的可 信度。消息也可提供關(guān)于如何前進(jìn)到賣主的各種選項(xiàng)。這些選項(xiàng)中的 一個(gè)選項(xiàng)是僅僅通知賣主當(dāng)前鑒權(quán)信任水平是什么,并詢問(wèn)賣主是否 希望保持他們當(dāng)前未滿足的所需可信度。這可能是有益的,因?yàn)樵谀?些情形中,賣主可能有獨(dú)立的方式用于鑒權(quán)交易,或可能已經(jīng)使用缺 省的要求設(shè)置,這些要求通常導(dǎo)致初始指定比對(duì)于即將發(fā)生的特定交 易實(shí)際所需要的更高的所要求的信任度。0267例如,標(biāo)準(zhǔn)做法是賣主的所有進(jìn)入的購(gòu)買訂單交易被預(yù)期 為滿足98%的可信度。然而,如果訂單是賣主與長(zhǎng)期客戶近期通過(guò)電 話討論的,并且此后立即鑒權(quán)交易,但信任度僅為93%,則賣主可能 希望僅僅為該交易降低接受閾值,因?yàn)殡娫捄艚杏行У貫橘u主提供了 額外的鑒權(quán)。在某些環(huán)境中,賣主可能愿意降低他們所要求的可信度, 但不是自始至終都是當(dāng)前鑒權(quán)信任度。例如,上面例子中的賣主可能 考慮訂單之前的電話呼叫可能值所需可信度的4%的減小;然而,這 仍然比用戶所產(chǎn)生的93%的信任度高。0268如果賣主在步驟1835中確實(shí)調(diào)整他們所要求的可信度, 則在步驟1730中,比較鑒權(quán)所產(chǎn)生的鑒權(quán)信任度和所要求的可信度 (參看圖17 )。如果信任度現(xiàn)在超過(guò)所要求的信任度,則可在步驟1740 中在交易引擎205中生成正面鑒定(參看圖17)。如果不是,則在允 許的情況下如上面討論的那樣嘗試進(jìn)一步仲裁。0269除了請(qǐng)求調(diào)整所要求的可任度之外,交易引擎205也可提 供賣主側(cè)保險(xiǎn)給請(qǐng)求鑒權(quán)的賣主。該保險(xiǎn)用于與上述用戶側(cè)保險(xiǎn)相似 的目的。然而,這里不是成本對(duì)應(yīng)于授信引擎110在鑒權(quán)高于所產(chǎn)生 的實(shí)際鑒權(quán)信任度中所遭受的風(fēng)險(xiǎn),而是保險(xiǎn)成本對(duì)應(yīng)于賣主在鑒權(quán) 中接收較低可任度中所遭受的風(fēng)險(xiǎn)。0270不是僅降低其實(shí)際要求的可信度,賣主可選擇購(gòu)買保險(xiǎn)以 保護(hù)自身免受與用戶鑒權(quán)中較低信任度相關(guān)的額外風(fēng)險(xiǎn)。如上所述, 對(duì)于賣主,可能有利的是僅考慮購(gòu)買這樣的保險(xiǎn)以覆蓋在現(xiàn)有鑒權(quán)已 經(jīng)在一定閾值以上的情形中的信任缺口。0271這樣的賣主側(cè)保險(xiǎn)的可用性允許賣主選擇對(duì)其無(wú)額外成 本地直接降低其信任要求,但承擔(dān)誤鑒權(quán)自身的風(fēng)險(xiǎn)(基于所要求的 較低可信度);或?yàn)殍b權(quán)信任度與其要求間的信任缺口購(gòu)買保險(xiǎn),其 中信任引擎IIO操作員承擔(dān)已經(jīng)被提供的較低信任度的風(fēng)險(xiǎn)。通過(guò)購(gòu) 買該保險(xiǎn),賣主有效地保持其高可信度要求;因?yàn)檎`鑒權(quán)的風(fēng)險(xiǎn)轉(zhuǎn)移 到授信引擎110操作員0272如果在步驟1840中,賣主購(gòu)買保險(xiǎn),則鑒權(quán)信任度和所 要求的可信度在步驟1730中被比較(參看圖17),并且如上所述過(guò) 程繼續(xù)。0273注意,用戶和賣主二者也可能對(duì)來(lái)自授信引擎110的消息 做出響應(yīng)。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到有多種方式可以用來(lái)處理這類情 形。處理多個(gè)響應(yīng)可能性的一種有利模式是以先到先處理的方式處理 響應(yīng)。例如,如果賣主以降低后的所要求的可信度響應(yīng),且然后用戶 立即購(gòu)買保險(xiǎn)以提升其鑒權(quán)水平,則首先基于來(lái)自賣主的降低的信任 要求再次評(píng)估鑒權(quán)。如果鑒權(quán)現(xiàn)在是正面鑒定,則忽略用戶的保險(xiǎn)釆 購(gòu)。在另一種有利的操作模式中,可能僅向用戶收取對(duì)于滿足賣主的 新的降低的信任要求所要求的保險(xiǎn)水平收費(fèi)(如果即使以降低的賣主 信任要求,仍然存在信任缺口 )。0274如果在步驟1850的授信仲裁過(guò)程中,沒(méi)有為鑒權(quán)所設(shè)置 的時(shí)間限內(nèi)接收到來(lái)自任一方的響應(yīng),則在步驟1805中重新評(píng)估仲 裁。這有效地再次起動(dòng)仲裁過(guò)程。如果在步驟1805中時(shí)間限是最終的, 或其他環(huán)境阻止進(jìn)一步仲裁,則交易引擎110在步驟1810中生成負(fù)面 鑒定,并在步驟1055中將其返回到賣主(參看圖10)。如果不是, 則新消息可被發(fā)送給用戶和賣主,且過(guò)程可按需要被重復(fù)。0275注意,對(duì)于某些類型的交易,例如對(duì)不是交易部分的文檔 進(jìn)行數(shù)字簽名,可以不需要賣主或其他第三方;因此,交易主要在用 戶和授信引擎110之間。在該類環(huán)境中,授信引擎110將具有自身所 要求的可信度,該可信度必須被滿足以生成正面鑒定。然而,在這樣 的環(huán)境中,授信引擎110經(jīng)常不期望為用戶提供保險(xiǎn)以為其提升其自 己的簽名的信任度。0276上面所述并在圖16-18中示出的過(guò)程可利用上面參考授 信引擎110所說(shuō)明的各種通信模式而被執(zhí)行。例如,消息可以是基于 網(wǎng)絡(luò)的,并利用授信引擎110和實(shí)時(shí)下載的小程序之間的SSL連接而 被發(fā)送給用戶或賣主系統(tǒng)上運(yùn)行的瀏覽器。在可替換的操作模式中, 某些專用應(yīng)用程序可由用戶和賣主使用,這些專用應(yīng)用程序可促進(jìn)這 樣的仲裁和保險(xiǎn)交易。在另一種可替換的操作模式中,安全電子郵件 操作可被用來(lái)調(diào)停上述仲裁,因而允許推遲鑒權(quán)的評(píng)估和批處理。本 領(lǐng)域技術(shù)人員將認(rèn)識(shí)到不同通信模式可使用,透明對(duì)于賣主的環(huán)境和 鑒定要求是適當(dāng)?shù)摹?277下面參考圖19的說(shuō)明描述一個(gè)示例交易,該示例交易集 成了本發(fā)明的上迷各個(gè)方面。該例子示出了由授信引擎(trust engine ) 110調(diào)停(mediate)的用戶和賣主之間的整個(gè)過(guò)程。雖然上面詳細(xì)說(shuō) 明的各個(gè)步驟和部件可被用來(lái)執(zhí)行下面的交易,但是所示過(guò)程集中在 授信引擎110、用戶和賣主間的交互。0278在步驟1900中,當(dāng)用戶在在線瀏覽網(wǎng)頁(yè)的同時(shí)填寫賣主 網(wǎng)站上的訂單表格時(shí),交易開(kāi)始。用戶希望提交以其數(shù)字簽名簽名的 該訂單表格給賣主。為了實(shí)現(xiàn)這一點(diǎn),在步驟1905中,用戶提交帶有 其對(duì)簽名的請(qǐng)求的訂單表格給授信引擎110。用戶也將提供鑒權(quán)數(shù)據(jù), 該鑒權(quán)數(shù)據(jù)將如上所述被用來(lái)鑒定其身份。
0279在步驟1910,如上所述,授信引擎110比較鑒權(quán)數(shù)據(jù)與登 記數(shù)據(jù),且如果產(chǎn)生正面鑒定結(jié)果,則用用戶私鑰簽名的訂單表格的 散列被與訂單表格自身 一起轉(zhuǎn)發(fā)給賣主。0280賣主在步驟1915中接收到簽名后的表格,然后賣主將在 步驟1920中生成與要執(zhí)行的購(gòu)買相關(guān)的發(fā)票或其他合同。在步驟1925 中,該合同被送回給用戶并請(qǐng)求簽名。在步驟1930中,賣主還將對(duì)該 合同交易的鑒權(quán)請(qǐng)求發(fā)送給授信引擎110,其中包括將由雙方簽名的 合同的散列。為了允許合同由雙方數(shù)字簽名,賣主也包括其自身的鑒 權(quán)數(shù)據(jù),從而如果需要,賣主在合同上的簽名可隨后被驗(yàn)證。0281如上所述,授信引擎110然后驗(yàn)證賣主所提供的鑒權(quán)數(shù)據(jù), 以確認(rèn)賣主的身份,且如果在步驟1935中,數(shù)據(jù)產(chǎn)生正面鑒定結(jié)果, 則當(dāng)從用戶接收到數(shù)據(jù)時(shí)繼續(xù)步驟1955。如果賣主的鑒權(quán)數(shù)據(jù)沒(méi)有在 期望的程度上與賣主的登記數(shù)據(jù)匹配,則消息被返回到請(qǐng)求進(jìn)一步鑒 權(quán)的賣主。如上所述,如果需要,這里可以執(zhí)行授信仲裁(turst arbitrage),以便賣主向授信引擎110成功地鑒權(quán)其自身。0282當(dāng)用戶在步驟1940中接收到合同時(shí),用戶檢查合同,在 步驟1945中如果合同是可接受的則生成鑒權(quán)數(shù)據(jù)以對(duì)其簽名,且然后 在步驟1950中發(fā)送合同的散列及用戶的鑒權(quán)數(shù)據(jù)給授信引擎IIO。授 信引擎110在步驟1955中驗(yàn)證鑒權(quán)數(shù)據(jù),且如果鑒權(quán)結(jié)果好,則如上 所述繼續(xù)處理合同。如上面參考圖17和18所討論的那樣,授信仲裁 可被適當(dāng)?shù)貓?zhí)行,以縮小鑒權(quán)信任度(confidence level)和交易所要 求的鑒權(quán)水平之間的信任差距。0283在步驟1960中,授信引擎110以用戶的私鑰對(duì)合同的散 列進(jìn)行簽名,并發(fā)送該簽名后的散列給賣主,從而代表其自身對(duì)完整 消息進(jìn)行簽名,即包括以授信引擎110的私鑰加密的完整消息的散列 (包括用戶的簽名)。在步驟1965中,該消息被賣主接收。該消息表 示簽名后的合同(利用用戶的私鑰加密的合同的散列)和來(lái)自授信引 擎110的收條(receipt)(消息的散列包括簽名后的合同,以授信引 擎110的私鑰加密)。0284在步驟1970中,授信引擎110類似地準(zhǔn)備帶有賣主私鑰 的合同散列,并將其轉(zhuǎn)發(fā)給用戶,其由授信引擎110簽名。在步驟1975 中,以該方式,用戶也接收由賣主簽名的合同的副本,以及由授信引 擎110簽名的收條,以交付簽名后的合同。0285除了前面所述,本發(fā)明的附加方面提供了密碼服務(wù)提供商 才莫塊(SPM: Service Provider Module ),該4莫塊可用于客戶端應(yīng)用, 作為訪問(wèn)上述授信引擎110所提供的功能的方式。 一種提供這類服務(wù) 的有利方式為密碼SPM調(diào)停第三方應(yīng)用編程接口 (API)和授信引擎 110之間的通信,其中授信引擎110可經(jīng)由網(wǎng)絡(luò)或其他遠(yuǎn)程連接被訪 問(wèn)。示例性密碼SPM在下面參考圖20說(shuō)明。0286例如,在典型的系統(tǒng)上,程序員可使用大量API。每個(gè) API提供一組可由在系統(tǒng)上運(yùn)行的應(yīng)用2000進(jìn)行的功能調(diào)用。提供適 于密碼功能、鑒權(quán)功能、和其他安全功能的編程接口的API的例子包和由開(kāi)放組(Open Group)的IBM、英特爾和其他成員發(fā)起的通用數(shù) 據(jù)安全架構(gòu)(CDSA)。在下面的討論中,CAPI將用作示例性安全 API。然而,所述的密碼SPM可與CDSA或本領(lǐng)域z^知的其他安全 API —起使用。0287API在對(duì)密碼功能進(jìn)行調(diào)用時(shí)被用戶系統(tǒng)105或賣主系統(tǒng) 120使用。這些功能包括與執(zhí)行各種密碼操作相關(guān)聯(lián)的請(qǐng)求,這些密 碼操作諸如是以特定密鑰加密文檔,對(duì)文檔進(jìn)行簽名,請(qǐng)求數(shù)字證書(shū),驗(yàn)證簽名后文檔上的簽名,以及在這里說(shuō)明或本領(lǐng)域技術(shù)人員公知的 其他這類密碼功能。0288這類密碼功能通常對(duì)于CAPI 2010位于其上的系統(tǒng)本地地 執(zhí)行。這是因?yàn)?,通常,被調(diào)用的功能要求使用本地用戶系統(tǒng)105的 資源,諸如指紋讀取器,或利用在本地機(jī)器上執(zhí)行的庫(kù)編程的軟件功 能。對(duì)這些本地資源的訪問(wèn)通常由一個(gè)或多個(gè)上面提到的提供資源的 服務(wù)提供商模塊(SPM) 2015、 2020提供,密碼功能由這些資源執(zhí)行 的。這類SPM可包括軟件庫(kù)2015,以執(zhí)行加密或解密操作,或能夠
訪問(wèn)專用硬件2025,諸如生物統(tǒng)計(jì)特征掃描設(shè)備的驅(qū)動(dòng)程序和應(yīng)用程 序2020。以該方式,CAPI 2010提供可由系統(tǒng)105的應(yīng)用程序2000 使用的功能,SPM2015、 2020為CAPI提供對(duì)與系統(tǒng)上可用服務(wù)相關(guān) 聯(lián)的較低級(jí)別的功能和資源的訪問(wèn)。0289按照本發(fā)明,可以提供密碼SPM 2030,其能夠訪問(wèn)授信 引擎110所提供的密碼功能并使應(yīng)用程序2000可通過(guò)CAPI 2010使 用這些功能。與CAPI 2010僅能夠訪問(wèn)通過(guò)SPM 2015, 2020本地可 用的資源的實(shí)施例不同,這里所述的密碼SPM 2030能夠?qū)?duì)于密碼 操作的請(qǐng)求提交給遠(yuǎn)程位置的網(wǎng)絡(luò)可訪問(wèn)的授信引擎110,以便執(zhí)行 所期望的操作。0290例如,如果應(yīng)用程序2000需要密碼操作,諸如對(duì)文檔進(jìn) 行簽名,則應(yīng)用程序2000對(duì)適當(dāng)?shù)腃API 2010功能進(jìn)行功能調(diào)用。 CAPI 2010進(jìn)而將執(zhí)行該功能,利用通過(guò)SPM 2015,2020和密碼SPM 2030使其可用的資源。在數(shù)字簽名功能的情形中,密碼SPM2030將 生成適當(dāng)?shù)恼?qǐng)求,該請(qǐng)求將通過(guò)通信鏈路125被發(fā)送給授信引擎110。0291出現(xiàn)在密碼SPM 2030和授信引擎110間的操作是與在任 何其他系統(tǒng)與授信引擎110間可能的操作相同的操作。然而,通過(guò) CAPI 2010有效地使這些功能可由用戶系統(tǒng)105使用,使得它們看起 來(lái)在用戶系統(tǒng)105自身上本地地可用。然而,不同于普通SPM2015, 2020,這些功能在遠(yuǎn)程授信引擎110上被執(zhí)行,且響應(yīng)經(jīng)通信鏈路125 的適當(dāng)請(qǐng)求,結(jié)果^皮中繼到密碼SPM2030。0292該密碼SPM 2030 4吏大量操作可由用戶系統(tǒng)105或賣主系 統(tǒng)120使用,否則這些操作可能不可用。這些功能包括但不限于文 檔的加密和解密;數(shù)字證書(shū)的發(fā)布;文檔的數(shù)字簽名;數(shù)字簽名的驗(yàn) 證;和對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō)明顯的其他操作。0293在單獨(dú)的實(shí)施例中,本發(fā)明包括用于對(duì)任何數(shù)據(jù)集執(zhí)行本 發(fā)明的數(shù)據(jù)保護(hù)方法的完整系統(tǒng)。該實(shí)施例的計(jì)算機(jī)系統(tǒng)包括數(shù)據(jù)分 割模塊,其包括圖8中所示并在此說(shuō)明的功能。在本發(fā)明一個(gè)實(shí)施例 中,有時(shí)被稱為安全數(shù)據(jù)解析器的數(shù)據(jù)分割模塊包括解析器程序或軟 件套件,其中解析器或軟件套件包括數(shù)椐分割,加密和解密,重構(gòu)或 重組裝功能。該實(shí)施例可進(jìn)一步包括數(shù)據(jù)存儲(chǔ)設(shè)施或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè) 施。數(shù)據(jù)分割模塊或安全數(shù)據(jù)解析器包括集成在電子基礎(chǔ)設(shè)施內(nèi)或作為要求其數(shù)據(jù)元素的最終安全性(ultimate security )的任何應(yīng)用程序 的添加件的跨平臺(tái)軟件模塊套件(cross-platform software module suite)。該解析過(guò)程對(duì)任何類型的數(shù)據(jù)集,和任何和所有文件類型, 或在數(shù)據(jù)庫(kù)中對(duì)該數(shù)據(jù)庫(kù)的任一行,列或數(shù)據(jù)單元進(jìn)行操作。0294在一個(gè)實(shí)施例中,本發(fā)明的解析過(guò)程以模塊分層方式 (modular tiered fashion)被設(shè)計(jì),且任何加密過(guò)程都適用在本發(fā)明 的過(guò)程中。本發(fā)明的解析和分割過(guò)程的模塊分層可包括但不限于,1) 密碼分割,分散和安全地存儲(chǔ)在多個(gè)位置中;2)加密,密碼分割,分 散和安全地存儲(chǔ)在多個(gè)位置中;3)加密,密碼分割,加密每個(gè)共享體, 然后分散和安全地存儲(chǔ)在多個(gè)位置中;和4)加密,密碼分割,以與在第一步中所使用的加密不同類型的加密來(lái)加密每個(gè)共享體,然后分 散和安全地存儲(chǔ)在多個(gè)位置中。0295在一個(gè)實(shí)施例中,該過(guò)程包括按照所生成的隨機(jī)數(shù)或密鑰 的內(nèi)容的數(shù)據(jù)分割,和執(zhí)行用于數(shù)據(jù)分割的加密的密鑰的相同密碼分 割,該數(shù)據(jù)被保護(hù)為解析并分割后的數(shù)據(jù)的兩個(gè)或更多部分或共享體, 并且在一個(gè)實(shí)施例中,優(yōu)選被保護(hù)為解析并分割后的數(shù)據(jù)的四個(gè)或更 多部分,以及加密所有部分,然后將這些部分分散并存儲(chǔ)會(huì)數(shù)據(jù)庫(kù)中, 或根據(jù)請(qǐng)求人對(duì)私密性和安全性的需要,將他們重新放置到任何固定 或可拆卸的命名的設(shè)備中。可替換地,在另一個(gè)實(shí)施例中,加密可在 數(shù)據(jù)集被分割模塊或安全數(shù)據(jù)解析器分割之前發(fā)生。按該實(shí)施例所述 處理的原始數(shù)據(jù)被加密并擾亂(obfuscate),并被保護(hù)。如果需要, 加密后元素的分散實(shí)際上可在任何地方,包括但不限于單個(gè)服務(wù)器或 數(shù)據(jù)存儲(chǔ)設(shè)備,或在多個(gè)獨(dú)立的數(shù)據(jù)存儲(chǔ)設(shè)施或設(shè)備中。在一個(gè)實(shí)施 例中,加密密鑰管理可被包括在軟件套件中,或在另一個(gè)實(shí)施例中可 被集成到現(xiàn)有基礎(chǔ)設(shè)施或任何其他期望的位置中。0296密碼分割(cryptosplit)將數(shù)據(jù)分成N個(gè)共享體。劃分可
以任意大小的數(shù)據(jù)單位進(jìn)行,包括單個(gè)比特,多個(gè)比特,字節(jié),千字 節(jié),兆字節(jié),或更大的單位,以及數(shù)據(jù)單位大小的任何模式或組合, 無(wú)論是預(yù)定的還是隨機(jī)生成的?;陔S機(jī)或預(yù)定的數(shù)值集,這些單元 也可以是不同大小的。這意味著數(shù)據(jù)可被看作這些單元的序列。以該 方式,數(shù)據(jù)單元自身的大小可使數(shù)據(jù)更安全,例如通過(guò)使用數(shù)據(jù)單元 大小的一個(gè)或多個(gè)預(yù)定或隨機(jī)生成的模式、序列或組合。這些單元然后被分布到N個(gè)共享體內(nèi)(隨機(jī)地,或者通過(guò)預(yù)定的數(shù)值集)。該分 布也可涉及打亂共享體中單元的順序。本領(lǐng)域技術(shù)人員易于理解,數(shù) 據(jù)單元分布到共享體中可按照多種可能的選擇來(lái)執(zhí)行,包括但不限于 尺寸固定的,預(yù)定尺寸的,或預(yù)定或隨機(jī)生成的數(shù)據(jù)單元尺寸的一個(gè) 或多個(gè)組合、方式或序列。0297該密碼分割過(guò)程的一個(gè)例子將考慮數(shù)據(jù)大小為23字節(jié), 其中數(shù)據(jù)單元大小被選擇為i字節(jié),共享體的數(shù)目被選擇為4個(gè)。每個(gè)字節(jié)將被分布到4個(gè)共享體中的一個(gè)中。釆用隨機(jī)分布,將獲得密 鑰以創(chuàng)建23個(gè)隨機(jī)數(shù)字的序列(rl, r2, r3直到r23 ),其中每個(gè)都 有對(duì)應(yīng)于4個(gè)共享體的l和4之間的值。每個(gè)數(shù)據(jù)單元(在該例子中, 23個(gè)單獨(dú)數(shù)據(jù)字節(jié))與對(duì)應(yīng)于四個(gè)共享體中一個(gè)的23個(gè)隨機(jī)數(shù)中的 一個(gè)相關(guān)聯(lián)。數(shù)據(jù)字節(jié)分布到四個(gè)共享體中是通過(guò)以下方式實(shí)現(xiàn)的, 即將數(shù)據(jù)的第一字節(jié)放置到共享數(shù)rl,第二字節(jié)放置到共享r2,第三 字節(jié)放置到共享r3,直到數(shù)據(jù)的第23字節(jié)放置到共享r23。本領(lǐng)域技 術(shù)人員易于理解,多種其他可能的步驟或步驟組合或序列,包括數(shù)據(jù) 單元的大小,可被用在本發(fā)明的密碼分割過(guò)程中,且上面的例子是密 碼分割數(shù)據(jù)的一個(gè)過(guò)程的非限制性說(shuō)明。為了重新創(chuàng)建原始數(shù)據(jù),要 執(zhí)行逆向操作。0298在本發(fā)明密碼分割過(guò)程的另一個(gè)實(shí)施例中,密碼分割過(guò)程 的選項(xiàng)是在共享體中提供充分的冗余,使得只需要這些共享體的一個(gè) 子集來(lái)將數(shù)據(jù)重組或恢復(fù)為其原始或可用形式。作為非限制性例子, 密碼分割可以"四中三,,密碼分割的形式實(shí)現(xiàn),使得只有四個(gè)共享體中的三個(gè)共享體對(duì)于將數(shù)據(jù)重組或恢復(fù)為其原始或可用形式是必需的。
這也可稱為"N中M密碼分割",其中N是總的共享體數(shù)目,M至少 比N小1。本領(lǐng)域技術(shù)人員可以理解,有很多可能的方法來(lái)在本發(fā)明 的密碼分割過(guò)程中創(chuàng)建該冗余。0299在本發(fā)明的密碼分割的一個(gè)實(shí)施例中,每個(gè)數(shù)據(jù)單元被存 儲(chǔ)在兩個(gè)共享體中,即主共享體和備份共享體。使用上述"四中三,,密 碼分割過(guò)程,任意一個(gè)共享體可被丟失,且因?yàn)閮H要求四個(gè)共享體中 的三個(gè),所以這足以重組或恢復(fù)原始數(shù)據(jù),而不丟失數(shù)據(jù)單元。如這 里所述,生成相應(yīng)于其中一個(gè)共享體的隨機(jī)數(shù)。基于密鑰,隨機(jī)數(shù)與 數(shù)據(jù)單元相關(guān)聯(lián),并被存儲(chǔ)在相應(yīng)共享體內(nèi)。在該實(shí)施例中,使用一 個(gè)密鑰以生成主和備份共享體隨機(jī)數(shù)。如這里為本發(fā)明的密碼分割過(guò) 程所述,生成等于數(shù)據(jù)單元數(shù)量的一組從0到3的隨機(jī)數(shù)(也被稱為 主共享體數(shù))。然后,生成等于數(shù)據(jù)單元數(shù)量的從1到3的另一組隨 機(jī)數(shù)(也被稱為備份共享體數(shù))。每個(gè)數(shù)據(jù)單元于是與主共享體數(shù)和 備份共享體數(shù)相關(guān)聯(lián)??商鎿Q地,可生成一組少于數(shù)據(jù)單元數(shù)目的隨機(jī)數(shù),并重復(fù)隨機(jī)數(shù)組,但這可減少敏感數(shù)據(jù)的安全性。主共享體數(shù) 被用于確定數(shù)據(jù)單元被存儲(chǔ)到哪個(gè)共享體中。備份共享體數(shù)與主共享 體數(shù)結(jié)合以形成在O到3之間的第三共享體數(shù),且該數(shù)字被用來(lái)確定 數(shù)據(jù)單元被存儲(chǔ)到哪個(gè)共享體中。在該例子中,確定第三共享體數(shù)的 等式為(主共享體數(shù)+備份共享體數(shù))MOD 4 =第三共享體數(shù) 0300在上述實(shí)施例中,其中主共享體數(shù)在0到3之間,且備份 共享體數(shù)在1到3之間,其確保了第三共享體數(shù)與主共享體數(shù)不同。 數(shù)據(jù)單元中的該結(jié)果被存儲(chǔ)在兩個(gè)不同共享體中。本領(lǐng)域技術(shù)人員易于理解,除了這里公開(kāi)的實(shí)施例之外,還有許多方式來(lái)執(zhí)行冗余密碼 分割和非冗余密碼分割。例如,每個(gè)共享體中的數(shù)據(jù)單元可利用不同算法被擾亂。該數(shù)據(jù)單元擾亂例如可在原始數(shù)據(jù)被分割為數(shù)據(jù)單元時(shí), 或在數(shù)據(jù)單元被放置到共享體中后,或在共享體充滿后被執(zhí)行。0301可對(duì)任意大小的數(shù)據(jù)單位執(zhí)行這里所述的各種密碼分割過(guò) 程和數(shù)據(jù)擾亂過(guò)程,以及本發(fā)明的密碼分割和數(shù)據(jù)擾亂方法的其他實(shí)
施例,包括但不限于單個(gè)比特,多個(gè)比特,字節(jié),千字節(jié),兆字節(jié)或 更大。0302執(zhí)行這里所述的密碼分割過(guò)程的源代碼的 一個(gè)實(shí)施例的例子是DATA [1:24-具有待分割數(shù)據(jù)的字節(jié)的陣列SHARES
和 share([primaryshare[lj+backupshare[lj) mod 4中,通過(guò)與上述密碼 分割中相同的過(guò)程。該方法將被縮放(scale)到任意大小N,其中僅 個(gè)共享體對(duì)于恢復(fù)數(shù)據(jù)是必需的。0305檢索,重組,再組裝或重構(gòu)加密后數(shù)據(jù)元素可利用任意數(shù) 目的鑒權(quán)技術(shù),包括但不限于生物統(tǒng)計(jì)特征,諸如指紋識(shí)別,面部掃 描,手掃描,虹膜掃描,視網(wǎng)膜掃描,耳朵掃描,血管圖案識(shí)別,或 DNA分析。本發(fā)明的數(shù)據(jù)分割和/或解析器模塊可根據(jù)需要被集成到 多種基礎(chǔ)設(shè)施產(chǎn)品或應(yīng)用中。0306本領(lǐng)域公知的傳統(tǒng)加密技術(shù)依靠一個(gè)或多個(gè)用來(lái)加密數(shù)據(jù) 并使其在無(wú)密鑰時(shí)不可用的密鑰。然而,數(shù)據(jù)保持完整并受到攻擊。 在一個(gè)實(shí)施例中,本發(fā)明的安全數(shù)據(jù)解析器通過(guò)以下方法解決該問(wèn)題, 即執(zhí)行密碼解析和將加密文件分割為兩個(gè)或多個(gè)部分或共享體,且在 另一個(gè)實(shí)施例中,優(yōu)選為4個(gè)或更多共享體,對(duì)每個(gè)數(shù)據(jù)共享體添加 另一層加密,然后在不同物理和/或邏輯位置存儲(chǔ)共享體。當(dāng)一個(gè)或多 個(gè)數(shù)據(jù)共享體被從系統(tǒng)中物理地除去-通過(guò)使用可移動(dòng)設(shè)備,諸如數(shù) 據(jù)存儲(chǔ)設(shè)備,或通過(guò)使共享體在另一方的控制下-時(shí),任何危害被保 護(hù)數(shù)據(jù)的可能性都得以有效地消除。0307本發(fā)明的安全數(shù)據(jù)解析器的 一個(gè)實(shí)施例的例子及其可以如 何被利用的例子在圖21中示出并在下面說(shuō)明。然而,對(duì)本領(lǐng)域技術(shù)人 員來(lái)說(shuō)顯然,除了下面的非限制性例子之外,本發(fā)明的安全數(shù)據(jù)解析
器可以多種方式被利用。作為一種部署選擇,并且在一個(gè)實(shí)施例中, 安全數(shù)據(jù)解析器可以外部會(huì)話密鑰管理或會(huì)話密鑰的安全內(nèi)部存儲(chǔ)而 被實(shí)現(xiàn)。在實(shí)現(xiàn)時(shí),將生成將被用于保護(hù)應(yīng)用和用于加密目的的解析 器主密鑰。應(yīng)該指出,在所得到的被保護(hù)數(shù)據(jù)中包括解析器主密鑰就 允許工作組、企業(yè)或擴(kuò)展的受眾中的個(gè)體靈活地共享被保護(hù)的數(shù)據(jù)。0308如圖21所示,本發(fā)明的該實(shí)施例示出了安全數(shù)據(jù)解析器 對(duì)數(shù)據(jù)所執(zhí)行的處理步驟,以存儲(chǔ)帶被解析數(shù)據(jù)的會(huì)話主密鑰03091.生成會(huì)話主密鑰并利用RS1流密碼加密數(shù)據(jù)。03102.按照會(huì)話主密鑰的圖案將所得到的加密后的數(shù)據(jù)劃分 為被解析數(shù)據(jù)的四個(gè)共享體或部分。03113.在方法的該實(shí)施例中,會(huì)話主密鑰將與被保護(hù)的數(shù)據(jù) 共享體一起被存儲(chǔ)在數(shù)據(jù)存儲(chǔ)庫(kù)中。按照解析器主密鑰的圖案分離會(huì) 話主密鑰,并將密鑰數(shù)椐附加到加密后的解碼數(shù)據(jù)。03124.所得到的數(shù)據(jù)的四個(gè)共享體將包含原始數(shù)據(jù)的被加密 部分和會(huì)話主密鑰的部分。為四個(gè)數(shù)據(jù)共享體中每個(gè)共享體生成流密 碼密鑰。03135.加密每個(gè)共享體,然后在與被加密的數(shù)據(jù)部分或共享 體不同的位置存儲(chǔ)加密密鑰共享體1得到密鑰4,共享體2得到密 鑰l,共享體3得到密鑰2,共享體4得到密鑰3。0314反轉(zhuǎn)步驟以恢復(fù)原始數(shù)據(jù)格式。0315本領(lǐng)域技術(shù)人員易于理解,這里所述的方法的某些步驟按 照需要可以不同順序被執(zhí)行或被重復(fù)多次。本領(lǐng)域技術(shù)人員也易于理 解,數(shù)據(jù)的多個(gè)部分可彼此不同地被操縱。例如,多個(gè)解析步驟可僅 對(duì)被解析數(shù)據(jù)的 一個(gè)部分執(zhí)行。被解析數(shù)據(jù)的每個(gè)部分可以任意期望 的方式被唯一地保護(hù),僅如果數(shù)據(jù)可被重新組裝,重新構(gòu)建,重新形 成,解密或恢復(fù)到其原始或其他可用形式。0316如圖22所示和這里所述,本發(fā)明的另一實(shí)施例包括安全 數(shù)據(jù)解析器對(duì)數(shù)據(jù)所執(zhí)行的過(guò)程步驟,以在一個(gè)或多個(gè)分離的密鑰管 理表中存儲(chǔ)會(huì)話主密鑰數(shù)據(jù)
03171.生成會(huì)話主密鑰并用RS1流密碼加密數(shù)據(jù)。03182.按照會(huì)話主密鑰的圖案,將所得到的加密后的數(shù)據(jù)劃 分為被解析數(shù)據(jù)的四個(gè)共享體或部分。03193.在本發(fā)明方法的該實(shí)施例中,會(huì)話主密鑰將被存儲(chǔ)在 數(shù)據(jù)存儲(chǔ)庫(kù)的獨(dú)立密鑰管理表中。為該交易生成唯一交易ID。在獨(dú)立 的密鑰管理表中存儲(chǔ)交易ID和會(huì)話主密鑰。按照解析器主密鑰的圖案 分離交易ID,并將數(shù)據(jù)附加到加密后的被解析或被分離數(shù)據(jù)。03204.所得到的數(shù)據(jù)的四個(gè)共享體將包含原始數(shù)據(jù)的被加密 部分和交易ID的部分。03215.為四個(gè)數(shù)據(jù)共享體中每個(gè)共享體生成流密鑰。03226.加密每個(gè)共享體,然后在與被加密數(shù)據(jù)部分或共享體 不同的位置中存儲(chǔ)加密密鑰共享體1得到密鑰4,共享體2得到密 鑰l,共享體3得到密鑰2,共享體4得到密鑰3。0323顛倒步驟以恢復(fù)原始數(shù)據(jù)格式。0324本領(lǐng)域技術(shù)人員易于理解,這里所述方法的某些步驟可以 按需要以不同的順序被執(zhí)行,或被重復(fù)多次。本領(lǐng)域技術(shù)人員也易于 理解,數(shù)據(jù)部分可彼此不同地被操縱。例如,多個(gè)分離或解析步驟可 僅對(duì)被解析數(shù)據(jù)的一個(gè)部分執(zhí)行。解析數(shù)據(jù)的每個(gè)部分可以任意所需 的方式被唯一地保護(hù),僅如果數(shù)據(jù)可被重新組裝,重新構(gòu)建,重新形 成,解密或恢復(fù)到其原始或其他可用形式。0325如圖23所示,本發(fā)明的該實(shí)施例示出由安全數(shù)據(jù)解析器 對(duì)數(shù)據(jù)所執(zhí)行的過(guò)程步驟,以存儲(chǔ)帶被解析數(shù)據(jù)的會(huì)話主密鑰03261.訪問(wèn)與被鑒權(quán)用戶相關(guān)聯(lián)的解析器主密鑰03272.生成唯一的會(huì)話主密鑰03283.從解析器主密鑰和會(huì)話主密鑰的異或函數(shù)獲得中間密 鑰(intermediary key)03294.利用以中間密鑰鍵入(key)的現(xiàn)有或新加密算法選擇 性地加密數(shù)據(jù)。03305.按照中間密鑰的圖案,將所得到的被選擇性加密的數(shù)
據(jù)劃分為四個(gè)共享體或部分。03316.在方法的該實(shí)施例中,會(huì)話主密鑰將與被保護(hù)的數(shù)據(jù) 共享體一起被存儲(chǔ)在數(shù)據(jù)存儲(chǔ)庫(kù)中。按照解析器主密鑰的圖案分離會(huì)話主密鑰,并將密鑰數(shù)據(jù)附加到被選擇性加密的被解析數(shù)據(jù)共享體。 03327.所得到的多個(gè)數(shù)據(jù)共享體將包含原始數(shù)據(jù)的被選擇性加密的部分和會(huì)話主密鑰的部分。03338.為四個(gè)數(shù)據(jù)共享體中的每個(gè)共享體選擇性地生成加密密鑰。03349.以現(xiàn)有的或新的加密算法選擇性地加密每個(gè)共享體, 然后在與被加密數(shù)據(jù)部分或共享體不同的位置存儲(chǔ)加密密鑰例如共 享體1得到密鑰4,共享體2得到密鑰1,共享體3得到密鑰2,共享 體4得到密鑰3。0335顛倒步驟以恢復(fù)原始數(shù)據(jù)格式。0336本領(lǐng)域技術(shù)人員易于理解,這里所述方法的某些步驟可根 據(jù)需要以不同的順序被執(zhí)行,或被重復(fù)多次。本領(lǐng)域技術(shù)人員還易于 理解多個(gè)數(shù)據(jù)部分可以彼此不同的方式被操縱。例如多個(gè)解析步驟可 僅對(duì)被解析數(shù)據(jù)的一個(gè)部分執(zhí)行。解析數(shù)據(jù)的每個(gè)部分可以任意期望 的方式被唯一地保護(hù),僅如果數(shù)據(jù)可被重新組裝,重新構(gòu)建,重新形 成,解密或恢復(fù)到其原始或其他可用形式。0337如圖24和這里所示,本發(fā)明另一個(gè)實(shí)施例包括安全數(shù)據(jù) 解析器對(duì)數(shù)據(jù)執(zhí)行的過(guò)程步驟,以在一個(gè)或多個(gè)獨(dú)立的密鑰管理表中 存儲(chǔ)會(huì)話主密鑰03381.訪問(wèn)與被鑒權(quán)用戶相關(guān)聯(lián)的解析器主密鑰03392.生成唯一的會(huì)話主密鑰03403.從解析器主密鑰和會(huì)話主密鑰的異或函數(shù)獲得中間密鑰03414.用以中間密鑰鍵入的現(xiàn)有或新加密算法選擇性地加密數(shù)據(jù)。03425.按照中間密鑰的圖案,將所得到的被選擇性加密的數(shù)
據(jù)劃分為四個(gè)共享體或部分。03436.在本發(fā)明方法的該實(shí)施例中,會(huì)話主密鑰將被存儲(chǔ)在 數(shù)據(jù)存儲(chǔ)庫(kù)中獨(dú)立的密鑰管理表中。為該交易生成唯一交易ID。在獨(dú) 立的密鑰管理表中存儲(chǔ)交易ID和會(huì)話主密鑰,或?qū)?huì)話主密鑰和交易 ID回傳給調(diào)用程序用于外部管理。按照解析器主密鑰的圖案分離交易 ID,并將數(shù)據(jù)附加到被選擇性加密的被解析或分離數(shù)據(jù)上。03447.所得到的數(shù)據(jù)的四個(gè)共享體將包含原始數(shù)據(jù)的選擇性 加密的部分和交易ID的部分。03458.為四個(gè)數(shù)據(jù)共享體中每個(gè)共享體選擇性地生成加密密鑰。03469.選擇性地加密每個(gè)共享體,然后在與被加密數(shù)據(jù)部分 或共享體不同的位置中存儲(chǔ)加密密鑰。例如,共享體l得到密鑰4,共享體2得到密鑰1,共享體3得到密鑰2,共享體4得到密鑰3。0347顛倒步驟從而恢復(fù)原始數(shù)據(jù)格式。0348本領(lǐng)域技術(shù)人員易于理解,這里所述方法的某些步驟可按 需要以不同順序被執(zhí)行,或被重復(fù)多次。本領(lǐng)域技術(shù)人員還易于理解, 數(shù)據(jù)的多個(gè)部分可以彼此不同的方式執(zhí)行。例如,多個(gè)分離或解析步 驟可僅對(duì)被解析數(shù)據(jù)的一部分執(zhí)行。解析數(shù)據(jù)的每個(gè)部分可以任意所 需的方式被唯一地保護(hù),僅如果數(shù)據(jù)可被重新組裝,重新構(gòu)建,重新 組成,解密或恢復(fù)到其原始或其他可用形式時(shí)提供。0349本領(lǐng)域技術(shù)人員易于理解多種加密方法適用于本發(fā)明的方 法。 一次一密算法通常被被認(rèn)為是最安全的加密方法,并適用于本發(fā) 明的方法。使用一次一密算法要求生成與待保護(hù)數(shù)據(jù)一樣長(zhǎng)的密鑰。 在某些環(huán)境中使用該方法較不理想,諸如那些由于待保護(hù)的數(shù)據(jù)集的 大小而導(dǎo)致生成和管理非常長(zhǎng)密鑰的情形。在一次一密(OTP)算法 中,使用簡(jiǎn)單的異或函數(shù)XOR。對(duì)于同樣長(zhǎng)度的兩個(gè)二進(jìn)制流x和y, x XOR y表示x和y的逐位異或操作。0350在位級(jí)別上,XOR操作得到0 XOR 0 = 00 XOR1 = 1 1XOR 0 = 11 XOR1 = 00351這里該過(guò)程的例子是為要分割的n字節(jié)秘密(secret )s(或 數(shù)據(jù)集)說(shuō)明的。該過(guò)程將生成n字節(jié)隨機(jī)值a,然后設(shè)定 b-aXORs。0352注意,可經(jīng)下面的等式獲得"s": s = aXORb。0353值a和b被稱為共享體或部分,并被放置在分離的存儲(chǔ)庫(kù) 中。 一旦秘密s被分割成兩個(gè)或多個(gè)共享體,則其以安全方式被丟棄。0354本發(fā)明的安全數(shù)據(jù)解析器可利用該功能,執(zhí)行多次包括多 個(gè)不同保密鍵值Kl, K2, K3, Kn, K5的XOR函數(shù)。在操作開(kāi)始 時(shí),待保護(hù)數(shù)據(jù)經(jīng)過(guò)第一加密操作,安全數(shù)據(jù)=數(shù)據(jù)XOR秘密鍵值5:S = D XOR K50355為了安全地在例如四個(gè)共享體S1, S2, S3, Sn中存儲(chǔ)所 得到的被加密數(shù)據(jù),按照K5的值,數(shù)據(jù)被解析并被分割為"n"個(gè)段或 共享體。該操作導(dǎo)致原始加密數(shù)椐的"n,,個(gè)偽隨機(jī)共享體。然后可以以 剩余的秘密鍵值對(duì)對(duì)每個(gè)共享體執(zhí)行后續(xù)XOR函數(shù),例如安全數(shù) 據(jù)段1 =加密數(shù)據(jù)共享體1 XOR秘密鍵1:SD1 = SI XOR KlSD2 = S2 XOR K2SD3 = S3 XOR K3SDn = Sn XOR Kn。0356在一個(gè)實(shí)施例中,可能不期望有任一存儲(chǔ)庫(kù)包含有足夠的 信息來(lái)解密保存在其中的信息,從而解密共享體所需要的密鑰被存儲(chǔ) 在不同數(shù)據(jù)存儲(chǔ)庫(kù)中存儲(chǔ)庫(kù)1: SDl, Kn存儲(chǔ)庫(kù)2: SD2, Kl存儲(chǔ)庫(kù)3: SD3, K3 存儲(chǔ)庫(kù)n: SDn, K3。0357此外,附加到每個(gè)共享體的可以是恢復(fù)原始會(huì)話加密密鑰 K5所要求的信息。因此,在這里所述的密鑰管理例子中,按照安裝相 關(guān)解析器主密鑰(TID1, TID2, TID3, TIDn)的內(nèi)容,原始會(huì)話主 密鑰被分割成"n"個(gè)共享體的交易ID引用存儲(chǔ)庫(kù)1:SD1,Kn,TID1存儲(chǔ)庫(kù)2:SD2,Kl,TID2存儲(chǔ)庫(kù)3:SD3,K2,TID3存儲(chǔ)庫(kù)n:SDn,K3,TIDn。0358在這里所述的包含的會(huì)話密鑰例子中,按照安裝相關(guān)解析 器主密鑰(SK1, SK2, SK3, SKn)的內(nèi)容,會(huì)話主密鑰被分成"n" 個(gè)共享體存儲(chǔ)庫(kù)1:SD1,Kn,SK1存儲(chǔ)庫(kù)2:SD2,Kl,SK2存儲(chǔ)庫(kù)3:SD3,K2,SK3存儲(chǔ)庫(kù)n:SDn,K3,SKn。0359除非所有四個(gè)共享體被檢索,否則數(shù)據(jù)不能按照該例子被 重新組裝。即使所有四個(gè)共享體都被捕荻,也不可能在不訪問(wèn)會(huì)話主 密鑰和解析器主密鑰的情況下重新組裝或恢復(fù)原始信息。0360該例子說(shuō)明了本發(fā)明的方法的一個(gè)實(shí)施例,并且還在另一 個(gè)實(shí)施例中說(shuō)明了用來(lái)將共享體放置到存儲(chǔ)庫(kù)的算法,使得來(lái)自所有 存儲(chǔ)庫(kù)的共享體可被組合以形成保密鑒權(quán)材料。所需的計(jì)算非常簡(jiǎn)單 和快速。然而,對(duì)于一次一密(OTP)算法,可能有使其不太期望的 情形,諸如大數(shù)據(jù)集要被保護(hù),因?yàn)槊荑€大小與待存儲(chǔ)的數(shù)據(jù)的大小 相同。因此,需要存儲(chǔ)和傳輸約為原始數(shù)據(jù)的量的兩倍,這在某些情 形中是不太期望的。流密碼RS10361流密碼RS1分割技術(shù)非常類似于這里所述的OTP分割技 術(shù)。不是n字節(jié)隨機(jī)值,而是生成n,=min (n, 16)字節(jié)隨機(jī)值,并
且其被用于鍵入(key) RS1流密碼算法。RSI流密碼算法的優(yōu)點(diǎn)是從 小得多的種子數(shù)生成偽隨機(jī)密鑰。RSI流密碼加密的執(zhí)行速度也被認(rèn) 定為約為本領(lǐng)域公知的三重DES加密的速度的10倍,而不削弱安全 性。RSI流密碼算法是本領(lǐng)域公知的,并可被用于生成用在異或(XOR) 函數(shù)中的密鑰。RSI流密碼算法可與其他商業(yè)上可獲得的流密碼算法, 諸如RSA安全公司的RC4TM流密碼算法協(xié)同操作,并適用于本發(fā)明 的方法。0362使用上面提到的密鑰,Kl到K5現(xiàn)在是n,字節(jié)隨機(jī)值, 我們?cè)O(shè)定SD1 = SI XOR E(Kl) SD2 = S2 XOR E(K2) SD3 = S3 XOR E(K3) SDn = Sn XOR E(Kn)。其中E(K1)到E(Kn)是由Kl到Kn鍵入的RSI流密碼算法輸出 的前n,個(gè)字節(jié)。如這里所述,共享體現(xiàn)在被放置在數(shù)據(jù)存儲(chǔ)庫(kù)中。0363在該流密碼RS1算法中,所要求的計(jì)算與OTP算法一樣 簡(jiǎn)單快速。該例子中使用RSI流密碼的益處是,每個(gè)共享體,系統(tǒng)平 均只需要存儲(chǔ)和傳輸比待保護(hù)的原始數(shù)據(jù)的大小多大約16個(gè)字節(jié)。當(dāng) 原始數(shù)據(jù)的大小超過(guò)16個(gè)字節(jié)時(shí),該RSI算法因?yàn)槠涓潭萇TP 算法更高效。本領(lǐng)域技術(shù)人員易于理解,多種加密方法或算法適用于 本發(fā)明,包括但不限于RS1, OTP, RC4TM,三重DES和AES。0364本發(fā)明的數(shù)據(jù)安全方法和計(jì)算機(jī)系統(tǒng)相對(duì)于傳統(tǒng)加密方法 提供了顯著的優(yōu)點(diǎn)。 一個(gè)優(yōu)點(diǎn)是從將數(shù)據(jù)共享體移動(dòng)到一個(gè)或多個(gè)數(shù) 據(jù)存儲(chǔ)庫(kù)或存儲(chǔ)設(shè)備上的不同位置而獲得的安全性,這些數(shù)據(jù)存儲(chǔ)庫(kù) 或存儲(chǔ)設(shè)備可位于不同的邏輯,物理或地理位置。當(dāng)數(shù)據(jù)共享體在不 同人員的控制下被物理地分割時(shí),例如顯著地減小危及數(shù)據(jù)的可能性。0365本發(fā)明的方法和系統(tǒng)所提供的另 一個(gè)優(yōu)點(diǎn)是組合本發(fā)明的 保護(hù)數(shù)據(jù)方法以提供保持敏感數(shù)據(jù)安全性的完整過(guò)程。數(shù)據(jù)以安全密 鑰被加密,并被分割成一個(gè)或多個(gè)共享體,且在一個(gè)實(shí)施例中,按照
安全密鑰被分割為四個(gè)共享體。安全密鑰安全地以引用指針被存儲(chǔ), 該引用指針按照安全密鑰被固定到四個(gè)共享體。然后,數(shù)據(jù)共享體被 單獨(dú)加密,且密鑰安全地以不同加密共享體被存儲(chǔ)。當(dāng)組合時(shí),按照 這里公開(kāi)的方法保護(hù)數(shù)據(jù)的整個(gè)過(guò)程成為用于數(shù)據(jù)安全性的完整方 案。0366按照本發(fā)明方法保護(hù)的數(shù)據(jù)可以易于重新檢索和恢復(fù),重 新構(gòu)建,重新組裝,解密,或以其他方式被返回到其原始或其他合適 形式供使用。為了恢復(fù)原始數(shù)據(jù),可利用下面的項(xiàng)03671.數(shù)據(jù)集的所有共享體或部分。03682.再現(xiàn)用于保護(hù)數(shù)據(jù)的方法的流程的知識(shí)和能力。03693.訪問(wèn)會(huì)話主密鑰。03704.訪問(wèn)解析器主密鑰。0371因此,可能期望規(guī)劃安全安裝,其中至少一個(gè)上述元素可 與系統(tǒng)的剩余元件物理地分開(kāi)(例如在不同系統(tǒng)管理員的控制下)。0372可利用解析器主密鑰而加強(qiáng)對(duì)防止流氓應(yīng)用程序調(diào)用數(shù)據(jù) 保護(hù)方法應(yīng)用的保護(hù)。本發(fā)明的該實(shí)施例中可能要求在采取任何動(dòng)作 之前安全數(shù)據(jù)解析器和應(yīng)用之間相互鑒權(quán)握手。0373系統(tǒng)的安全性指示沒(méi)有"后門"方法用于再創(chuàng)建原始數(shù)據(jù)。 對(duì)于可能產(chǎn)生數(shù)據(jù)恢復(fù)問(wèn)題的安裝,安全數(shù)據(jù)解析器可被增強(qiáng)以提供 四個(gè)共享體和會(huì)話主密鑰存儲(chǔ)庫(kù)的鏡像。硬件選項(xiàng),諸如RAID (廉價(jià)磁盤冗余陣列,用于在幾個(gè)磁盤上傳播信息)和軟件選項(xiàng),諸如復(fù) 制也可輔助數(shù)據(jù)恢復(fù)規(guī)劃。 密鑰管理0374在本發(fā)明的一個(gè)實(shí)施例中,數(shù)據(jù)保護(hù)方法使用三組密鑰用 于加密操作?;诎惭b,每組密鑰可具有單獨(dú)密鑰存儲(chǔ),檢索,安全 性和恢復(fù)選項(xiàng)??墒褂玫拿荑€包括但不限于解析器主密鑰0375該密鑰是與安全數(shù)據(jù)解析器的安裝相關(guān)聯(lián)的單獨(dú)密鑰。其 被安裝在其上已經(jīng)部署了安全數(shù)據(jù)解析器的服務(wù)器上。有多種選項(xiàng)適
于保護(hù)該密鑰,例如包括但不限于智能卡,獨(dú)立的硬件密鑰存儲(chǔ),標(biāo)準(zhǔn)密鑰存儲(chǔ),定制密鑰存儲(chǔ)(custom key store )或在被保護(hù)的數(shù)據(jù)庫(kù) 表內(nèi)。會(huì)話主密鑰0376會(huì)話主密鑰可在每次數(shù)據(jù)被保護(hù)時(shí)被生成。會(huì)話主密鑰被 用來(lái)在解析和分割操作之前加密數(shù)據(jù)。其也可以被包含(如果會(huì)話主 密鑰不被集成到被解析數(shù)據(jù)中)作為解析加密數(shù)據(jù)的方法。會(huì)話主密 鑰可以多種方式被保護(hù),例如包括但不限于標(biāo)準(zhǔn)密鑰存儲(chǔ),定制密鑰存儲(chǔ),獨(dú)立數(shù)據(jù)庫(kù)表,或在被加密的共享體內(nèi)被保護(hù)。 共享體加密密鑰0377對(duì)于被創(chuàng)建的數(shù)據(jù)集的每個(gè)共享體或部分,可生成單獨(dú)共 享體加密密鑰以進(jìn)一步加密共享體。共享體加密密鑰可被存儲(chǔ)在與被 加密的共享體不同的共享體中。0378本領(lǐng)域技術(shù)人員易于理解,本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算 機(jī)系統(tǒng)可在任何設(shè)置或環(huán)境中被廣泛應(yīng)用于任何類型的數(shù)據(jù)。除了經(jīng) 因特網(wǎng)或在客戶與賣主之間執(zhí)行的商業(yè)應(yīng)用之外,本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)高度地可用于非商業(yè)或私人設(shè)置或環(huán)境。任何期望 被保護(hù)防止任何未授權(quán)用戶訪問(wèn)的數(shù)據(jù)集可利用這里所述的方法和系 統(tǒng)而被保護(hù)。例如,對(duì)公司或組織內(nèi)特定數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限可有利地 利用本發(fā)明的保護(hù)數(shù)據(jù)的方法和系統(tǒng)而只被限制到選定的用戶。另一 個(gè)例子是發(fā)生,修改或訪問(wèn)文件,其中期望限制訪問(wèn)或防止未授權(quán)或 意外訪問(wèn)或防止向選定的個(gè)體,計(jì)算機(jī)或工作站組之外公開(kāi)。本發(fā)明 數(shù)據(jù)的數(shù)據(jù)保護(hù)方法和系統(tǒng)可被應(yīng)用于任意非商業(yè)或商業(yè)情景或設(shè)置 的這些和其他例子,包括但不限于任何組織,政府機(jī)構(gòu)或公司。0379在本發(fā)明的另一個(gè)例子中,數(shù)據(jù)保護(hù)方法使用三組密鑰用 于加密操作?;诎惭b,每組密鑰可具有單獨(dú)密鑰存儲(chǔ),檢索,安全 性和恢復(fù)選項(xiàng)。可使用的密鑰包括但不限于1. 解析器主密鑰0380該密鑰是與安全數(shù)據(jù)解析器的安裝相關(guān)聯(lián)的單獨(dú)密鑰。其
被安裝在其上已經(jīng)部署了安全數(shù)據(jù)解析器的服務(wù)器上。有多種選項(xiàng)適 于保護(hù)該密鑰,例如包括但不限于智能卡,單獨(dú)的硬件密鑰存儲(chǔ),標(biāo) 準(zhǔn)密鑰存儲(chǔ),定制密鑰存儲(chǔ)或在被保護(hù)的數(shù)據(jù)庫(kù)表內(nèi)。2. 會(huì)話主密鑰0381每次數(shù)據(jù)被保護(hù)時(shí)生成會(huì)話主密鑰。會(huì)話主密鑰與解析器 主密鑰結(jié)合使用,以獲得中間密鑰。會(huì)話主密鑰可以多種方式被保護(hù), 例如包括但不限于標(biāo)準(zhǔn)密鑰存儲(chǔ),定制密鑰存儲(chǔ),單獨(dú)數(shù)據(jù)庫(kù)表,或 在被加密共享體內(nèi)被保護(hù)。3. 中間密鑰0382每次數(shù)據(jù)被保護(hù)時(shí)生成中間密鑰。中間密鑰被用于在解析 和分割操作之前加密數(shù)據(jù)。其也可以被包含作為解析加密數(shù)據(jù)的方法。4. 共享體加密密鑰0383對(duì)于被創(chuàng)建的數(shù)據(jù)集的每個(gè)共享體或部分,可生成單獨(dú)共享體加密密鑰以進(jìn)一步加密共享體。共享體密鑰可被存儲(chǔ)在與被加密 的共享體不同的共享體中。0384本領(lǐng)域技術(shù)人員易于理解,在任何設(shè)置或環(huán)境中,本發(fā)明 的數(shù)據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)可廣泛地用于任何類型的數(shù)據(jù)。除了經(jīng) 因特網(wǎng)或在客戶與賣主間執(zhí)行的商業(yè)應(yīng)用之外,本發(fā)明的數(shù)據(jù)保護(hù)方 法和計(jì)算機(jī)系統(tǒng)高度地可用于非商業(yè)或私人設(shè)置或環(huán)境中。期望被保 護(hù)以防止任何未授權(quán)用戶的數(shù)據(jù)集可利用這里公開(kāi)的方法和系統(tǒng)而被 保護(hù)。例如,對(duì)公司或組織內(nèi)特定數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限可以有利地利用 本發(fā)明的保護(hù)數(shù)椐的方法和系統(tǒng)而被限制在選定的用戶。另一個(gè)例子 是生成,修改或訪問(wèn)文檔,其中期望限制訪問(wèn)或防止未授權(quán)或意外訪 問(wèn)或向選定的個(gè)體,計(jì)算機(jī)或工作站之外公開(kāi)。本發(fā)明的數(shù)據(jù)保護(hù)方 法和系統(tǒng)可應(yīng)用于任意非商業(yè)或商業(yè)情景或設(shè)置的方式的這些和其他 例子,包括但不限于任何組織,政府機(jī)構(gòu)或公司。工作組,項(xiàng)目,單個(gè)PC/膝上型計(jì)算機(jī)或跨平臺(tái)數(shù)據(jù)安全性 0385本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)也可用于通過(guò)工作 組,項(xiàng)目,單人PC/膝上型計(jì)算機(jī)和任何其他例如用在商業(yè),辦公室,
政府機(jī)構(gòu)或任何創(chuàng)建,操縱或存儲(chǔ)敏感數(shù)據(jù)的設(shè)置中的平臺(tái)保護(hù)數(shù)據(jù)。 本發(fā)明提供了方法和計(jì)算機(jī)系統(tǒng)來(lái)保護(hù)數(shù)據(jù),該數(shù)據(jù)是組織,諸如美 國(guó)政府搜索以便跨整個(gè)政府組織或在州或聯(lián)邦政府間執(zhí)行的數(shù)據(jù)。0386本發(fā)明的數(shù)據(jù)保護(hù)方法和計(jì)算機(jī)系統(tǒng)提供了解析和分割文 件以及任何類型的數(shù)據(jù)字段,集合和/或表格的能力。此外,所有形式 的數(shù)據(jù)能夠在該過(guò)程中被保護(hù),包括但不限于文本,視頻,圖像,生 物統(tǒng)計(jì)特征和語(yǔ)音數(shù)據(jù)。本發(fā)明的保護(hù)數(shù)據(jù)方法的可縮放性,速度和 數(shù)據(jù)通吐量?jī)H限于用戶操縱的硬件。0387在本發(fā)明一個(gè)實(shí)施例中,數(shù)據(jù)保護(hù)方法如下所述在工作組 環(huán)境中被使用。在一個(gè)實(shí)施例中,如圖23中所示和下面所述,本發(fā)明 的工作組等級(jí)(Workgroup Scale )數(shù)據(jù)保護(hù)方法使用授信引擎的私鑰 管理功能,從而存儲(chǔ)用戶/工作組關(guān)系和用戶組共享安全數(shù)據(jù)所必須的 相關(guān)私鑰(解析器組主密鑰)。本發(fā)明的方法能夠根據(jù)解析器主密鑰 如何被部署而為企業(yè),工作組,或個(gè)人用戶保護(hù)數(shù)據(jù)。0388在一個(gè)實(shí)施例中,可提供額外的密鑰管理和用戶/工作組管 理程序,使得能夠以單點(diǎn)管理和密鑰管理實(shí)現(xiàn)寬比例工作組實(shí)現(xiàn)。密 鑰生成,管理和撤銷是由單個(gè)維護(hù)程序操縱的,這些隨著用戶數(shù)目的 增加都變得特別重要。在另一個(gè)實(shí)施例中,密鑰管理也可跨一個(gè)或幾 個(gè)不同系統(tǒng)管理員而被設(shè)置,這可能不允許任意一個(gè)人員或組按需要 控制數(shù)據(jù)。這允許以組織所定義的角色,責(zé)任,成員資格,權(quán)限等獲 得被保護(hù)數(shù)據(jù)的管理,且對(duì)被保護(hù)數(shù)據(jù)的訪問(wèn)可被僅僅限制到那些被 允許或要求只有權(quán)訪問(wèn)他們?cè)谄渖线M(jìn)行工作的部分,而其他人,諸如 經(jīng)理或執(zhí)行人員可有權(quán)訪問(wèn)所有被保護(hù)的數(shù)據(jù)。該實(shí)施例允許在公司 或組織內(nèi)的不同組之間被保護(hù)數(shù)據(jù)的共享,同時(shí)僅允許某些選擇的個(gè) 體,諸如具有被授權(quán)和預(yù)定角色,責(zé)任的人察看整個(gè)數(shù)據(jù)。此外,本 發(fā)明的方法和系統(tǒng)的該實(shí)施例也允許例如在獨(dú)立的>^司或獨(dú)立的部分 或公司部門,或其中要求某些共享的任何政府或組織的任何獨(dú)立組織 部門,組,機(jī)構(gòu),或辦公室等之間共享數(shù)據(jù),但不是任何一方都可被 允許有權(quán)訪問(wèn)所有數(shù)據(jù)。對(duì)本發(fā)明的這樣的方法和系統(tǒng)的需要和使用
的特別明顯的例子是允許在政府區(qū)域,機(jī)構(gòu)和辦公室之間,和在大公 司,或任何其他組織的不同分部,部門或辦公室之間共享但保持安全 性。0389本發(fā)明的方法的小規(guī)模可應(yīng)用性例子如下解析器主密鑰 被用作安全數(shù)據(jù)解析器對(duì)組織的串行化(serialization)或印記 (branding)。隨著解析器主密鑰的使用規(guī)模從整個(gè)企業(yè)減小到較小 的工作組,這里所述的數(shù)據(jù)保護(hù)方法被用來(lái)在用戶組內(nèi)共享文件。0390在圖25所示且在下面所述的例子中,有六個(gè)與其在組織 內(nèi)的頭銜或角色一起定義的用戶。側(cè)條表示用戶按照其角色可以屬于 其中的5個(gè)可能的組。箭頭表示用戶在一個(gè)或多個(gè)組中的成員資格。0391當(dāng)為該例子中用途而配置安全數(shù)據(jù)解析器時(shí),系統(tǒng)管理員 從操作系統(tǒng)通過(guò)維護(hù)程序訪問(wèn)用戶和用戶組信息。該維護(hù)程序基于用 戶在組內(nèi)的成員資格生成并分配解析器組主密鑰給用戶。0392在該例子中,有三個(gè)成員在高級(jí)職員組中。對(duì)于該組,動(dòng) 作如下03931.訪問(wèn)用于高級(jí)職員組的解析器組主密鑰(如果不存在, 則生成一個(gè)密鑰);03942.生成將CEO與高級(jí)職員組相關(guān)聯(lián)的數(shù)字證書(shū); 03953.生成將CFO與高級(jí)職員組相關(guān)聯(lián)的數(shù)字證書(shū); 03964.生成將副總裁、市場(chǎng)部與高級(jí)職員組相關(guān)聯(lián)的數(shù)字證書(shū);0397對(duì)每個(gè)組和每組內(nèi)的每個(gè)成員執(zhí)行同一組動(dòng)作。當(dāng)維護(hù)程 序完成時(shí),解析器組主密鑰成為該組每個(gè)成員的共享憑證??稍谕ㄟ^(guò) 維護(hù)程序從組中移除用戶時(shí)自動(dòng)實(shí)現(xiàn)被分配的數(shù)字證書(shū)的撤回,而不 影響組的剩余成員。0398
一旦共享憑證已經(jīng)被定義,則解析和分割過(guò)程保持相同。 當(dāng)文件、文檔或數(shù)據(jù)元素要被保護(hù)時(shí),在保護(hù)數(shù)據(jù)時(shí)為要使用的目標(biāo) 組提示用戶。所得到的被保護(hù)數(shù)據(jù)僅可由目標(biāo)組的其他成員訪問(wèn)。本 發(fā)明的方法和系統(tǒng)的功能可與任何其他計(jì)算機(jī)系統(tǒng)或軟件平臺(tái) 一起使
用,例如可以被集成到現(xiàn)有應(yīng)用程序中或?yàn)槲募踩远鴨为?dú)使用。0399本領(lǐng)域技術(shù)人員易于理解,任何一個(gè)加密算法或任何加密 算法的組合適用于本發(fā)明的方法和系統(tǒng)。例如,在一個(gè)實(shí)施例中,加 密步驟被重復(fù),以產(chǎn)生多層加密方案。此外,不同加密算法或加密算 法的組合可被用在重復(fù)加密步驟中,使得不同加密算法被應(yīng)用到多層 加密方案的不同層中。同樣地,加密方案自身可成為用于保護(hù)敏感數(shù) 據(jù)免遭未授權(quán)使用或訪問(wèn)的本發(fā)明方法的組件。0400安全數(shù)據(jù)解析器可包括作為內(nèi)部組件、外部組件、或也作 為錯(cuò)誤檢測(cè)組件。例如,在一種合適的方法中,由于利用按照本發(fā)明 的安全數(shù)據(jù)解析器創(chuàng)建數(shù)據(jù)是的多個(gè)部分,以確保一部分內(nèi)數(shù)據(jù)的完 整性,所以在該部分內(nèi)以預(yù)定間隔取散列值并將其附加到間隔的尾部。 散列值是數(shù)據(jù)的可預(yù)測(cè)和可復(fù)制的數(shù)值表示。如果數(shù)據(jù)中任意位改變, 則散列值會(huì)不同。掃描模塊(要么作為安全數(shù)據(jù)解析器外部的獨(dú)立元 件,要么作為內(nèi)部元件)然后可掃描安全數(shù)據(jù)解析器所生成的數(shù)據(jù)的 部分。將數(shù)據(jù)的每個(gè)部分(或可替換地,按照某間隔或通過(guò)隨機(jī)或偽 隨機(jī)取樣,少于數(shù)據(jù)的所有部分)與附加的散列值進(jìn)行比較,并可以 釆取動(dòng)作。該動(dòng)作可包括匹配和不匹配的值的報(bào)告,不匹配的值的警 告,或調(diào)用某外部或內(nèi)部程序以觸發(fā)數(shù)據(jù)的恢復(fù)。例如,基于按照本 發(fā)明的為了生成原始數(shù)據(jù)可能需要少于所有的部分的的理念,可以通 過(guò)調(diào)用恢復(fù)模塊執(zhí)行數(shù)據(jù)的恢復(fù)。0401任何其他合適的完整性檢查可以利用附加在所有數(shù)據(jù)部分 或數(shù)據(jù)部分的子集中任何地方的任何合適的完整性信息來(lái)實(shí)現(xiàn),該信 息。完整性信息可包括任何可用來(lái)判斷數(shù)據(jù)部分的完整性的合適信息。 完整性信息的例子可包括基于任何合適參數(shù)(例如基于相應(yīng)數(shù)據(jù)部分) 所計(jì)算的散列值,數(shù)字簽名信息,消息鑒定碼(MAC)信息,任何其 他合適信息或它們的組合。0402本發(fā)明的安全數(shù)據(jù)解析器可被用在任何合適的應(yīng)用中。也 就是,這里所述的安全數(shù)據(jù)解析器在不同計(jì)算和技術(shù)領(lǐng)域中具有多種 應(yīng)用。幾個(gè)這樣的領(lǐng)域在下面討論??梢岳斫?,這本質(zhì)上僅是說(shuō)明性的,且任何其他合適的應(yīng)用可利用安全數(shù)據(jù)解析器。進(jìn)一步可以理解, 這里所述的例子僅是說(shuō)明實(shí)施例,這些實(shí)施例可以任何合適的方式被 修改以便滿足任何合適的需要。例如,解析和分割可基于任何合適的 單位,諸如以比特,字節(jié),千字節(jié),兆字節(jié),以及其任何組合,或任 何其他合適的單位進(jìn)行。0403本發(fā)明的安全數(shù)據(jù)解析器可被用來(lái)實(shí)現(xiàn)安全物理權(quán)標(biāo),因 而可能要求存儲(chǔ)在物理權(quán)標(biāo)中的數(shù)據(jù)以便訪問(wèn)存儲(chǔ)在另 一存儲(chǔ)區(qū)中的 額外數(shù)據(jù)。按照本發(fā)明,在一個(gè)合適的方法中,物理權(quán)標(biāo),諸如緊湊 USB閃存驅(qū)動(dòng)器,軟盤,光盤,智能卡,或任何其他合適的物理權(quán)標(biāo) 可被用來(lái)存儲(chǔ)被解析數(shù)據(jù)的至少兩個(gè)部分中的 一個(gè)。為了訪問(wèn)原始數(shù) 據(jù),需要訪問(wèn)USB閃存驅(qū)動(dòng)器。因此,保存被解析數(shù)據(jù)的一個(gè)部分的 個(gè)人計(jì)算機(jī)在原始數(shù)據(jù)能被訪問(wèn)之前需要將具有被解析數(shù)據(jù)的其他部 分的USB閃存驅(qū)動(dòng)器連接。圖26示出該應(yīng)用。存儲(chǔ)區(qū)2500包括被解 析數(shù)據(jù)的部分2502。具有被解析數(shù)據(jù)的部分2506的物理權(quán)標(biāo)2504需 要用任何合適的通信接口 2508 (例如USB,串行,并行,藍(lán)牙,IR, IEEE 1394,以太網(wǎng),或任何其他合適的通信接口 )被耦接到存儲(chǔ)區(qū) 2500,以便訪問(wèn)原始數(shù)據(jù)。這在下面的情形中是有用的,例如其中計(jì) 算機(jī)上的敏感數(shù)據(jù)不被管理并受到未授權(quán)訪問(wèn)嘗試。通過(guò)除去物理權(quán) 標(biāo)(例如USB閃存驅(qū)動(dòng)器),敏感數(shù)據(jù)是不可訪問(wèn)的。可以理解,可 以采用使用物理權(quán)標(biāo)的任何其他合適方法。0404本發(fā)明的安全數(shù)據(jù)解析器可被用于實(shí)現(xiàn)安全鑒定系統(tǒng),其 中利用安全數(shù)據(jù)解析器解析和分割用戶登記數(shù)據(jù)(例如,口令,私用 加密密鑰,指紋模板,生物統(tǒng)計(jì)特征數(shù)據(jù)或任何其他合適的用戶登記 數(shù)據(jù))。用戶登記數(shù)據(jù)可被解析和分割,其中一個(gè)或多個(gè)部分被存儲(chǔ) 在智能卡、政府公共訪問(wèn)卡、任何合適的物理存儲(chǔ)設(shè)備(例如,磁盤 或光盤,USB密鑰驅(qū)動(dòng)器,等),或任何其他合適的設(shè)備上。被解析 的用戶登記數(shù)據(jù)的一個(gè)或多個(gè)其他部分可被存儲(chǔ)在執(zhí)行鑒定的系統(tǒng) 中。這為鑒定過(guò)程提供了外加的安全度(例如,除了從生物統(tǒng)計(jì)特征 源所獲得的生物統(tǒng)計(jì)特征鑒權(quán)信息外,用戶登記數(shù)據(jù)也必須經(jīng)適當(dāng)?shù)?br>
0405本發(fā)明的安全數(shù)據(jù)解析器可被集成到任何合適的現(xiàn)有系統(tǒng) 中,以便在每個(gè)系統(tǒng)各自的環(huán)境中提供其功能的使用。圖27示出了說(shuō) 明性系統(tǒng)2600的方框圖,其可包括軟件,硬件,或兩者用于執(zhí)行任何 合適應(yīng)用。系統(tǒng)2600可以是現(xiàn)有系統(tǒng),其中安全數(shù)據(jù)解析器2602可 以被改進(jìn)為集成組件??商鎿Q地,安全數(shù)據(jù)解析器2602可以例如從其 最早設(shè)計(jì)階段被集成到任何合適的系統(tǒng)2600中。安全數(shù)據(jù)解析器2600 可以在系統(tǒng)2600的任何合適級(jí)上被集成。例如,安全數(shù)據(jù)解析器2602 可以在充分的后端級(jí)被集成到系統(tǒng)2600中,使得安全數(shù)據(jù)解析器2602 的存在可對(duì)系統(tǒng)2600的最終用戶是充分透明的。按照本發(fā)明,安全數(shù) 據(jù)解析器2602可被用于在一個(gè)或多個(gè)存儲(chǔ)設(shè)備2604中解析和分割數(shù) 據(jù)。其中集成有安全數(shù)據(jù)解析器的系統(tǒng)的某些示例性例子在下面討論。0406本發(fā)明的安全數(shù)據(jù)解析器可被集成到操作系統(tǒng)內(nèi)核(例如, Linux, Unix,或任何其他合適的商業(yè)或?qū)S胁僮飨到y(tǒng))中。該集成可 被用于在設(shè)備級(jí)保護(hù)數(shù)據(jù),其中例如通常會(huì)被存儲(chǔ)在一個(gè)或多個(gè)設(shè)備 中的數(shù)據(jù)被集成到操作系統(tǒng)中的安全數(shù)據(jù)解析器劃分成一定數(shù)量的部 分并被存儲(chǔ)在這一個(gè)或多個(gè)設(shè)備中。當(dāng)試圖訪問(wèn)原始數(shù)據(jù)時(shí),也被集 成到操作系統(tǒng)中的適當(dāng)軟件可以可能對(duì)于最終用戶而言透明的方式將 被解析的數(shù)據(jù)部分重新組合為原始數(shù)據(jù)。0407本發(fā)明的安全數(shù)據(jù)解析器可被集成到巻管理器或存儲(chǔ)系統(tǒng) 的任何其他合適的組件中,以跨任意或所有被支持平臺(tái)保護(hù)本地和聯(lián) 網(wǎng)的數(shù)據(jù)存儲(chǔ)。例如,通過(guò)集成安全數(shù)據(jù)解析器,存儲(chǔ)系統(tǒng)可利用安 全數(shù)據(jù)解析器所提供的冗余(即,其被用于實(shí)現(xiàn)需要少于全部被劃分 的數(shù)據(jù)部分以重構(gòu)原始數(shù)據(jù)的特征),以放置數(shù)據(jù)損失。安全數(shù)據(jù)解 析器也允許所有被寫到存儲(chǔ)設(shè)備的數(shù)據(jù)的形式為按照本發(fā)明的解析所 生成的多個(gè)部分,而無(wú)論是否使用冗余。當(dāng)試圖訪問(wèn)原始數(shù)據(jù)時(shí),也 被集成到巻管理器或存儲(chǔ)系統(tǒng)的其他合適組件中的適當(dāng)軟件可以可能 對(duì)最終用戶透明的方式將被解析的數(shù)據(jù)部分重新組合為原始數(shù)據(jù)。0408在一個(gè)合適的方法中,本發(fā)明的安全數(shù)據(jù)解析器可被集成
到RAID控制器中(作為硬件或軟件)。這允許數(shù)據(jù)安全地存儲(chǔ)到多 個(gè)驅(qū)動(dòng)器,同時(shí)在驅(qū)動(dòng)器故障中保持容錯(cuò)能力。0409本發(fā)明的安全數(shù)據(jù)解析器可被集成到數(shù)據(jù)庫(kù)中以便例如保 護(hù)敏感表信息。例如,按照本發(fā)明,在一個(gè)合適的方法中,與數(shù)據(jù)庫(kù) 表格的特定單元(例如各個(gè)單元, 一個(gè)或多個(gè)特定列, 一個(gè)或多個(gè)特 定行,其任意組合,或整個(gè)數(shù)據(jù)庫(kù)表格)相關(guān)聯(lián)的數(shù)據(jù)可被解析并劃 分(例如,不同部分被存儲(chǔ)在一個(gè)或多個(gè)位置處的一個(gè)或多個(gè)存儲(chǔ)設(shè) 備上,或被存儲(chǔ)在單個(gè)存儲(chǔ)設(shè)備上)。傳統(tǒng)鑒權(quán)方法(例如,用戶名 和口令查詢)可授權(quán)訪問(wèn)以重組這些部分以便察看原始數(shù)據(jù)。0410本發(fā)明的安全解析器可被集成到涉及數(shù)據(jù)移動(dòng)(即數(shù)據(jù)從 一個(gè)位置轉(zhuǎn)移到另一個(gè)位置)的任何合適的系統(tǒng)中。這類系統(tǒng)例如包 括電子郵件、流式數(shù)據(jù)廣播、和無(wú)線(例如,WiFi)通信。對(duì)于電子 郵件,在一種合適的方法中,安全解析器可被用來(lái)解析出局信息(即, 包含文本,二進(jìn)制數(shù)據(jù),或這兩者(例如附加到電子郵件消息的文件), 和沿不同路徑發(fā)送被解析數(shù)據(jù)的不同部分,因此創(chuàng)建多個(gè)數(shù)據(jù)流。如 果這些數(shù)據(jù)流中的任意一個(gè)受損,則原始消息保持安全,因?yàn)榘凑毡?發(fā)明,系統(tǒng)可要求組合一個(gè)以上的這些部分,以便生成原始數(shù)據(jù)。在 另 一個(gè)合適的方法中,數(shù)據(jù)的不同部分可沿一條路徑相繼地被通信, 從而如果獲得一個(gè)部分,則可能不足以生成原始數(shù)據(jù)。按照本發(fā)明, 不同部分到達(dá)期望的接收方的位置,并可被組合以生成原始數(shù)據(jù)。0411圖28和29是這類電子郵件系統(tǒng)的示例性方框圖。圖28 示出發(fā)送方系統(tǒng)2700,其可包括任何合適的硬件,諸如計(jì)算機(jī)終端, 個(gè)人計(jì)算機(jī),手持設(shè)備(例如PDA, Blackberry),蜂窩電話,計(jì)算 機(jī)網(wǎng)絡(luò),任何其他合適的硬件,或其任意組合。發(fā)送方系統(tǒng)2700被用 于生成和/或存儲(chǔ)消息2704,其例如可以是電子郵件消息,二進(jìn)制數(shù)據(jù) 文件(例如圖形,語(yǔ)音,視頻,等),或兩者。按照本發(fā)明,消息2704 被安全數(shù)據(jù)解析器2702解析并分割。所得到的數(shù)據(jù)部分可跨一個(gè)或多 個(gè)分離的通信路徑2706經(jīng)網(wǎng)絡(luò)2708 (例如因特網(wǎng),內(nèi)聯(lián)網(wǎng),LAN, WiFi,藍(lán)牙,任何其他合適的硬布線或無(wú)線通信方式,或其任意組合)
被傳輸?shù)浇邮辗较到y(tǒng)2710。數(shù)據(jù)部分可被實(shí)時(shí)地或可替換地按照不同 數(shù)據(jù)部分的通信之間任何合適的時(shí)間延遲被并行傳輸。接收方系統(tǒng) 2710可以是如上針對(duì)發(fā)送方系統(tǒng)2700所述的任何合適的硬件。按照 本發(fā)明,沿通信路徑2706傳輸?shù)姆蛛x的數(shù)據(jù)部分在接收方系統(tǒng)2710 處被重組,以生成原始消息或數(shù)據(jù)。0412圖29示出發(fā)送方系統(tǒng)2800,其可包括任意合適的硬件, 諸如計(jì)算機(jī)終端,個(gè)人計(jì)算機(jī),手持設(shè)備(如PDA),蜂窩電話,計(jì) 算機(jī)網(wǎng)絡(luò),任何其他合適硬件,或其任何組合。發(fā)送方系統(tǒng)2800被用 于生成和/或存儲(chǔ)消息2804,其例如可以是電子郵件消息,二進(jìn)制數(shù)據(jù) 文件(例如,圖形,語(yǔ)音,音頻等),或這兩者。按照本發(fā)明,消息 2804被安全數(shù)據(jù)解析器2802解析和分割。所得到的數(shù)據(jù)部分可經(jīng)網(wǎng) 絡(luò)2808 (例如,因特網(wǎng),內(nèi)聯(lián)網(wǎng),LAN, WiFi,藍(lán)牙,任何其他合適 的通信方式,或其任何組合)跨單個(gè)通信路徑2806被通信到接收方系 統(tǒng)2810。數(shù)據(jù)部分可相互串行地通過(guò)通信路徑2806被傳輸。接收方 系統(tǒng)2810可以是以上針對(duì)發(fā)送方系統(tǒng)2800所述的任何合適的硬件。 按照本發(fā)明,沿通信路徑2806傳輸?shù)姆蛛x的數(shù)據(jù)部分在接收方系統(tǒng) 2810處-皮重組,以生成原始消息或數(shù)據(jù)。0413可以理解,圖28和29的結(jié)構(gòu)僅是示例性的。任何其他合 適的結(jié)構(gòu)都可使用。例如,在其他合適的方法中,圖28和29的系統(tǒng) 的特征可被組合,其中使用圖28的多徑方法,通信路徑2706中一個(gè) 或多個(gè)被用來(lái)攜帶數(shù)據(jù)的一個(gè)以上的部分,如同通信路徑2806在圖 29的情形中那樣。0414安全數(shù)據(jù)解析器可以在數(shù)據(jù)移動(dòng)系統(tǒng)的任何合適級(jí)被集 成。例如,在電子郵件系統(tǒng)的情形中,安全解析器可以在用戶接口級(jí) 被集成(例如,集成到Microsoft Outlook)中,在該情形中,在使 用電子郵件時(shí),用戶可控制安全數(shù)據(jù)解析器特征的使用。可替換地, 按照本發(fā)明,安全解析器可在后端組件中被實(shí)現(xiàn),諸如在交換服務(wù)器 處,在該情形中,消息可被自動(dòng)解析、分割,并沿不同路徑被傳輸, 而無(wú)需任何用戶干預(yù)。
0415類似地,在數(shù)據(jù)的流式廣播的情形中(例如音頻,視頻), 出局?jǐn)?shù)據(jù)可被解析并劃分成多個(gè)流,其中每個(gè)流都含有被解析數(shù)據(jù)的 部分。按照本發(fā)明,多個(gè)流可沿著一個(gè)或多個(gè)路徑被傳輸并在接收方 位置處被重組。該方法的一個(gè)優(yōu)點(diǎn)是其避免了在加密數(shù)據(jù)經(jīng)單個(gè)通信 信道傳輸之前與傳統(tǒng)的數(shù)據(jù)加密相關(guān)聯(lián)的相對(duì)大的額外開(kāi)銷。本發(fā)明 的安全解析器允許運(yùn)動(dòng)數(shù)據(jù)在多個(gè)并行流中被發(fā)送,從而增加速度和 效率。0416可以理解,安全數(shù)據(jù)解析器可被集成以用于任何類型的通 過(guò)任何傳輸介質(zhì)移動(dòng)的數(shù)據(jù)的保護(hù)和容錯(cuò),傳輸介質(zhì)例如包括有線, 無(wú)線,或物理介質(zhì)。例如,網(wǎng)絡(luò)語(yǔ)音通信(VoIP)應(yīng)用可利用本發(fā)明 的安全數(shù)據(jù)解析器??衫帽景l(fā)明的安全數(shù)據(jù)解析器來(lái)保護(hù)與任何合 適的個(gè)人數(shù)字助理(PDA )設(shè)備,諸如Blackberry和SmartPhone的 無(wú)線或有線數(shù)據(jù)傳輸。按照本發(fā)明,利用用于對(duì)等和基于hub的無(wú)線 網(wǎng)絡(luò)的無(wú)線802.11協(xié)議的通信,衛(wèi)星通信,點(diǎn)對(duì)點(diǎn)無(wú)線通信,因特網(wǎng) 客戶機(jī)/服務(wù)器通信,或任何其他合適的通信可涉及根據(jù)本發(fā)明的安全 數(shù)據(jù)解析器的移動(dòng)數(shù)據(jù)能力。計(jì)算機(jī)和計(jì)算機(jī)外圍設(shè)備之間,計(jì)算機(jī) 外圍設(shè)備與任何其他合適的設(shè)備之間,或其任何組合的計(jì)算機(jī)外圍設(shè) 備(例如打印機(jī),掃描儀,監(jiān)視器,鍵盤,網(wǎng)絡(luò)路由器,生物統(tǒng)計(jì)特 征識(shí)別設(shè)備(例如指紋掃描儀),或任何其他合適的外圍設(shè)備)的數(shù) 據(jù)通信可以利用本發(fā)明的移動(dòng)數(shù)據(jù)特征。0471本發(fā)明的移動(dòng)數(shù)據(jù)(data in motion )特征也可應(yīng)用到安全 共享體的物理傳輸,例如使用分離的路由,載體,方法,任何其他合 適的物理傳輸,或其任何組合。例如,數(shù)據(jù)的物理傳輸可在數(shù)字/磁帶, 軟盤,光盤,物理權(quán)標(biāo),USB驅(qū)動(dòng)器,可拆卸硬驅(qū),帶有閃存的消費(fèi) 電子設(shè)備(例如Apple IPOD或其他MP3播放器),閃存,任何用于 傳輸數(shù)據(jù)的其他合適介質(zhì),或其任何組合上發(fā)生。0418本發(fā)明的安全數(shù)據(jù)解析器可提供安全性,并具有災(zāi)難恢復(fù) 能力。按照本發(fā)明,為了找回原始數(shù)據(jù),少于由安全數(shù)據(jù)解析器所生 成的分離數(shù)據(jù)的所有部分可能是必需的。也就是說(shuō),m個(gè)存儲(chǔ)的部分
中,n可能是這些m個(gè)部分中對(duì)于恢復(fù)原始數(shù)據(jù)所必須的最小數(shù)目, 其中n<=m。例如,如果四個(gè)部分中的每個(gè)都相對(duì)于其他三個(gè)部分被 存儲(chǔ)在不同的物理位置,那么在該例子中如果n-2,則兩個(gè)位置可能 受危害,因而數(shù)據(jù)被破壞或不可訪問(wèn),且原始數(shù)據(jù)仍可從其他兩個(gè)位 置中的部分恢復(fù)??墒褂胣和m的任何合適的值。0419此外,本發(fā)明的m個(gè)中n個(gè)的特征可被用來(lái)建立"兩人規(guī) 則",因而為了避免向單個(gè)個(gè)體或任何其他實(shí)體委托對(duì)可能是敏感數(shù)據(jù) 的對(duì)象的完全訪問(wèn)權(quán),分別具有由本發(fā)明的安全解析器所解析的分離 數(shù)據(jù)的部分的兩個(gè)或多個(gè)不同實(shí)體可能需要同意將他們的部分放在一 起,以恢復(fù)原始數(shù)據(jù)。0420本發(fā)明的安全數(shù)據(jù)解析器可被用于提供一組具有組內(nèi)密鑰 (group-wide key)的實(shí)體,該組內(nèi)密鑰允許組成員訪問(wèn),皮授權(quán)由該 特定組訪問(wèn)的特定信息。組密鑰可以是由按照本發(fā)明的安全解析器所 生成的數(shù)據(jù)部分之一,該數(shù)據(jù)部分被要求與中央存儲(chǔ)的另一部分組合, 例如以便恢復(fù)想要的信息。該特征例如允許組內(nèi)的安全合作。例如, 該特征可被應(yīng)用到專用網(wǎng)絡(luò),虛擬私人網(wǎng)絡(luò),內(nèi)聯(lián)網(wǎng),或任何其他合 適的網(wǎng)絡(luò)。0421安全解析器的這個(gè)使用的具體例子例如包括聯(lián)合信息共享 (coalition information sharing),其中例如為多國(guó)友好政府力量提供 經(jīng)單個(gè)網(wǎng)絡(luò)或雙網(wǎng)絡(luò)(即,與許多涉及當(dāng)前使用的基本手動(dòng)的過(guò)程的 網(wǎng)絡(luò)相比)在被授權(quán)給各國(guó)的安全級(jí)上傳輸操作的和敏感的數(shù)據(jù)的能 力。該能力也可應(yīng)用于公司和其他組織,其中一個(gè)或多個(gè)特定個(gè)體(在 組織內(nèi)或組織外)需要知道的信息可經(jīng)單個(gè)網(wǎng)絡(luò)傳輸,而無(wú)需擔(dān)心未 授權(quán)的個(gè)體察看該信息。0422另一個(gè)特定應(yīng)用包括用于政府系統(tǒng)的多級(jí)安全性分層結(jié) 構(gòu)。也就是,本發(fā)明的安全解析器可提供使用單個(gè)網(wǎng)絡(luò)來(lái)在分類信息 的不同級(jí)(例如未分類的,分類的,機(jī)密的,絕密的)操作政府系統(tǒng) 的能力。如果需要,可使用更多網(wǎng)絡(luò)(例如用于絕密信息的單獨(dú)網(wǎng)絡(luò)), 但本發(fā)明允許比當(dāng)前結(jié)構(gòu)顯著更少,其中在當(dāng)前結(jié)構(gòu)中,分離網(wǎng)絡(luò)被
用于分類的每級(jí)。0423可以理解,本發(fā)明的安全解析器的上述應(yīng)用的任何組合都 可被使用。例如,組密鑰應(yīng)用可與移動(dòng)數(shù)據(jù)安全應(yīng)用一起被使用(即, 其中經(jīng)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)僅可被相應(yīng)組的成員訪問(wèn),且在數(shù)據(jù)移動(dòng)時(shí), 根據(jù)本發(fā)明在多個(gè)路徑間分割(或以連續(xù)的部分被發(fā)送))。0424本發(fā)明的安全數(shù)據(jù)解析器可被集成到任何中間件應(yīng)用中, 從而使得應(yīng)用能夠?qū)?shù)椐安全地存儲(chǔ)到不同數(shù)據(jù)庫(kù)產(chǎn)品或不同設(shè)備, 而不修改應(yīng)用或數(shù)據(jù)庫(kù)。中間件是允許兩個(gè)分離的已經(jīng)存在的程序通 信的任何產(chǎn)品的一般術(shù)語(yǔ)。例如,在一個(gè)合適的方法中,集成有安全 數(shù)據(jù)解析器的中間件可被用來(lái)允許為特定數(shù)據(jù)庫(kù)寫的程序與其他數(shù)據(jù) 庫(kù)通信,而無(wú)需定制編碼。0425本發(fā)明的安全數(shù)據(jù)解析器可以被實(shí)現(xiàn)為任何合適能力、諸 如這里所討論的那些能力的任何組合。在本發(fā)明的某些實(shí)施例中,例 如,安全數(shù)據(jù)解析器可被實(shí)現(xiàn)為僅具有某些能力,而其他能力可通過(guò) 使用直接或間接地與安全數(shù)據(jù)解析器對(duì)接的外部軟件,硬件,或其二 者而被獲得。0426例如圖30示出安全數(shù)據(jù)解析器的示例性實(shí)現(xiàn)為安全數(shù)據(jù) 解析器3000。安全數(shù)據(jù)解析器3000可以被實(shí)現(xiàn)為具有非常少的內(nèi)置 能力。如這里所示,按照本發(fā)明,安全數(shù)據(jù)解析器3000可包括用于使 用模塊3002將數(shù)據(jù)解析和分割為數(shù)據(jù)的部分(這里也稱為共享體)的 內(nèi)置能力。安全數(shù)據(jù)解析器3000也可包括用于執(zhí)行冗余的內(nèi)置能力, 以便能夠用模塊3004實(shí)現(xiàn)上述n中m特征(即用少于被解析和分割 數(shù)據(jù)的所有共享體來(lái)重新建立原始數(shù)據(jù))。按照本發(fā)明,安全數(shù)據(jù)解 析器3000也可包括使用模塊3006的共享分布能力,用于將數(shù)據(jù)的共 享體放置到緩存中,共享體從這些緩存被發(fā)送用于傳輸?shù)竭h(yuǎn)程位置、 用于存儲(chǔ)等??梢岳斫?,任何其他合適的能力可被內(nèi)置到安全數(shù)據(jù)解 析器3000中。0427組裝的數(shù)據(jù)緩存3008可以是用于存儲(chǔ)原始數(shù)據(jù)(雖然不 必以其原始形式)的任何合適的存儲(chǔ)器,該原始數(shù)據(jù)將由安全數(shù)據(jù)解
析器3000解析和分割。在分割操作中,組裝的數(shù)據(jù)緩存3008提供輸 入給安全數(shù)據(jù)解析器3008。在恢復(fù)操作中,組裝的數(shù)據(jù)緩存3008可 被用于存儲(chǔ)安全數(shù)據(jù)解析器3000的輸出。0428分割共享體緩存3010可以是一個(gè)或多個(gè)存儲(chǔ)器模塊,其 可被用于存儲(chǔ)源自原始數(shù)據(jù)的解析和分割的數(shù)椐的多個(gè)共享體。在分 割操作中,分割共享體緩存3010保存安全數(shù)據(jù)解析器的輸出。在恢復(fù) 操作中,分割共享體緩存保存安全數(shù)據(jù)解析器3000的輸入。0429可以理解,能力的其他合適結(jié)構(gòu)可被內(nèi)置用于安全數(shù)據(jù)解 析器3000。任何額外的特征可以被內(nèi)置,所示的任何特征可被除去, 使其更健壯,使其更不健壯,或可以以任何合適的方式被修改。緩存 3008和3010同樣只是說(shuō)明性的,并可以任何合適的方式被修改,除 去,或添力口。0430以軟件,硬件,或這兩者實(shí)現(xiàn)的任何合適的模塊可由安全 數(shù)據(jù)解析器3000調(diào)用或調(diào)用安全數(shù)據(jù)解析器3000。如果需要,甚至 內(nèi)置到安全數(shù)據(jù)解析器3000中的能力可由 一個(gè)或多個(gè)外部模塊取代。 如圖所示,某些外部模塊包括隨機(jī)數(shù)發(fā)生器3012,密碼反饋密鑰發(fā)生 器3014,散列算法3016,任何一種或多種類型的加密3018,和密鑰 管理3020??梢岳斫猓@些僅是說(shuō)明性的外部模塊。作為對(duì)所示的這 些的附加或替代,可以使用任何其他的合適模塊。0431密碼反饋密鑰發(fā)生器3014可在安全數(shù)據(jù)解析器3000外部 為每個(gè)安全數(shù)據(jù)解析器操作生成唯一的密鑰或隨機(jī)數(shù)(例如使用隨機(jī) 數(shù)發(fā)生器3012),以被用作用于將原始會(huì)話密鑰大小(例如128, 256, 512,或1024位的值)擴(kuò)展到等于待解析和分割的數(shù)據(jù)的長(zhǎng)度的值的 操作的種子值。任何合適的算法可被用于密碼反饋密鑰發(fā)生,包括例 如AES密碼反饋密鑰發(fā)生算法。0432為了促進(jìn)將安全數(shù)據(jù)解析器3000及其外部模塊(即安全 數(shù)據(jù)解析器層3026)集成到應(yīng)用層3024 (例如電子郵件應(yīng)用,數(shù)據(jù)庫(kù) 應(yīng)用,等)中,可4吏用例如可以利用API功能調(diào)用的包裹層(wr叩ping layer)??墒褂萌魏纹渌糜诖龠M(jìn)將安全數(shù)據(jù)解析器層3026集成到 應(yīng)用層3024中的合適結(jié)構(gòu)。0433圖31示出在寫入(例如向存儲(chǔ)設(shè)備寫入),插入(例如 在數(shù)據(jù)庫(kù)字段中),或傳輸(例如跨網(wǎng)絡(luò))命令在應(yīng)用層3024中被發(fā) 出時(shí),圖30的結(jié)構(gòu)如何被使用。在步驟3100,待保護(hù)的數(shù)據(jù)被識(shí)別, 并調(diào)用安全數(shù)據(jù)解析器。調(diào)用被傳遞通過(guò)包裹器層3022,其中在步驟 3102中,包裹器層3022將在步驟3100所識(shí)別的輸入數(shù)據(jù)流式傳輸?shù)?組裝的數(shù)據(jù)緩存3008中。而且在步驟3102,任何合適的共享信息, 文件名稱,任何其他合適的信息,或其任何組合可被存儲(chǔ)(例如,作 為包裹器層3022的信息3106 )。按照本發(fā)明,安全數(shù)據(jù)處理器3000 然后解析并分割作為來(lái)自組裝的數(shù)據(jù)緩存3008的輸入的數(shù)據(jù)。其輸出 數(shù)據(jù)共享體到分割共享體緩沖器3010中。在步驟3104,包裹器層3022 從所存儲(chǔ)的信息3106獲得任何合適的共享信息(即,在步驟3102由 包裹器3022存儲(chǔ)的)和共享位置(例如,來(lái)自 一個(gè)或多個(gè)配置文件)。 包裹器層3022然后適當(dāng)?shù)貙懭?例如寫到一個(gè)或多個(gè)存儲(chǔ)設(shè)備,傳輸 到網(wǎng)絡(luò)上等)輸出共享體(從分割共享體緩存3010獲得)。0434圖32說(shuō)明性地示出當(dāng)發(fā)生讀取(例如從存儲(chǔ)設(shè)備),選 擇(例如從數(shù)據(jù)庫(kù)字段),或接收(例如從網(wǎng)絡(luò))時(shí),圖30的結(jié)構(gòu)可 以如何被使用。在步驟3200,待恢復(fù)的數(shù)據(jù)被識(shí)別,且從應(yīng)用層3024 調(diào)用安全數(shù)據(jù)解析器3000。在步驟3202,從包裹器層3022獲得任何 合適的共享信息,并確定共享位置。包裹器層3022加載在步驟3200 所識(shí)別的數(shù)據(jù)部分至分割共享體緩存3010。安全數(shù)據(jù)解析器3000然 后按照本發(fā)明處理這些共享體(例如,如果四個(gè)共享體中僅三個(gè)共享 體可用,則安全數(shù)據(jù)解析器3000的冗余能力可被用于只使用這三個(gè)共 享體來(lái)恢復(fù)原始數(shù)據(jù))?;謴?fù)的數(shù)據(jù)然后被存儲(chǔ)在組裝的數(shù)據(jù)緩存3008 中。在步驟3204,應(yīng)用層3022將存儲(chǔ)在組裝的數(shù)據(jù)緩存3008中的數(shù) 據(jù)轉(zhuǎn)換為其原始數(shù)據(jù)格式(如果需要),并以其原始格式提供原始數(shù) 據(jù)到應(yīng)用層3024。0435可以理解,在圖31中示出的原始數(shù)據(jù)的解析和分割以及 圖32中示出的將數(shù)據(jù)部分恢復(fù)為原始數(shù)據(jù)僅是說(shuō)明性的。任何其他合 適的過(guò)程,組件,或這兩者都可被使用以作為所示的這些的補(bǔ)充或替 換。0436圖33是按照本發(fā)明一個(gè)實(shí)施例將原始數(shù)據(jù)解析和分割為 兩個(gè)或更多數(shù)據(jù)部分的說(shuō)明性過(guò)程的方框圖。如圖所示,想要被解析 并分割的原始數(shù)據(jù)是純文本3306 (即,使用單詞"SUMMIT"作為例 子)??梢岳斫?,任何其他類型的數(shù)據(jù)可按照本發(fā)明被解析和分割。 生成會(huì)話密鑰3300。如果會(huì)話密鑰3300的長(zhǎng)度與原始數(shù)據(jù)3306的長(zhǎng) 度不兼容,則可生成密碼反饋會(huì)話密鑰3304。0437在一個(gè)合適的方法中,原始數(shù)據(jù)3306可在解析,分割, 或這兩者之前被加密。例如,如圖33所示,原始數(shù)據(jù)3306可以與任 何合適的值進(jìn)行異或(XOR)操作(例如與密碼反饋會(huì)話密鑰3304, 或與任何其他合適值)??梢岳斫?,任何其他合適的加密技術(shù)可被用來(lái)取代所示的XOR技術(shù)或作為其的補(bǔ)充。還可以理解,雖然圖33是 以逐字節(jié)操作示出的,但是操作也可以在位級(jí)別或在任何其他合適的 級(jí)別執(zhí)行。進(jìn)一步可以理解,如果希望,不需要原始數(shù)據(jù)3306的無(wú)論 什么任何加密。0438所得到的加密數(shù)據(jù)(或如果沒(méi)用加密則為原始數(shù)據(jù))然后 被散列化,以確定如何在輸出桶(bucket)(例如,在所示例子中有 四個(gè))間分割加密(或原始)數(shù)據(jù)。在所示例子中,散列是按字節(jié)發(fā) 生的,并且是密碼反饋會(huì)話密鑰3304的函數(shù)??梢岳斫膺@僅是說(shuō)明性 的。如果需要,散列可在位級(jí)別執(zhí)行。散列可以是除了密碼反饋會(huì)話 密鑰3304外的任何其他合適值的函數(shù)。在另一個(gè)合適方法中,不需要 使用散列化。相反,可以使用任何其他合適的技術(shù)用于分割數(shù)據(jù)。0439圖34是按照本發(fā)明一個(gè)實(shí)施例的示例性過(guò)程流程的方框 圖,其用于從原始數(shù)據(jù)3306的兩個(gè)或多個(gè)被解析和分割的部分恢復(fù)原 始數(shù)據(jù)3306。該過(guò)程涉及根據(jù)密碼反饋會(huì)話密鑰3304逆向地對(duì)數(shù)據(jù) 部分散列化(即與圖33中過(guò)程相反),從而恢復(fù)加密的原始數(shù)據(jù)(或 如果在解析和分割之前沒(méi)有加密則為原始數(shù)據(jù))。然后,加密密鑰可 被用來(lái)恢復(fù)原始數(shù)據(jù)(即,在所示的例子中,密碼反饋會(huì)話密鑰3304
被用于通過(guò)將其與加密數(shù)據(jù)進(jìn)行XOR而解密XOR加密)。這樣就恢 復(fù)了原始數(shù)據(jù)3306。0440圖35示出在圖33和34的例子中可以如何執(zhí)行位分割。 散列可被用來(lái)確定分割數(shù)據(jù)的每個(gè)字節(jié)的位值(例如根據(jù)密碼反饋會(huì) 話密鑰,根據(jù)任何其他合適的值)。可以理解,這僅是一個(gè)在位級(jí)別 實(shí)現(xiàn)分割的說(shuō)明性的方法。任何其他合適的技術(shù)都可被使用。0441可以理解,可以相對(duì)于任何合適的散列算法進(jìn)行這里對(duì)散 列功能的任何引用。這些例如包括MD5和SHA-1。不同散列算法可 被使用不同次數(shù),以及由本發(fā)明的不同組件使用。0442在已經(jīng)按照上述過(guò)程或通過(guò)任何其他過(guò)程或算法確定了分 割點(diǎn)之后,確定哪個(gè)數(shù)據(jù)部分附加每個(gè)左段和右段。任何合適的算法 可被用于進(jìn)行該確定。例如,在一個(gè)合適的方法中,可建立所有可能 的分布的表(例如以用于左段和用于右段的目的地的配對(duì)的形式), 其中可通過(guò)對(duì)會(huì)話密鑰,密碼反饋會(huì)話密鑰,或任何其他合適的隨機(jī)右段中每一個(gè)的目的地共享值,這些密鑰或值可被生成并擴(kuò)展到原始 數(shù)據(jù)的大小。例如,可進(jìn)行隨機(jī)或偽隨機(jī)值中相應(yīng)字節(jié)的散列函數(shù)。個(gè)配對(duì)(即一個(gè)用于左段, 一個(gè)用于右段)?;谠摻Y(jié)果,分割數(shù)據(jù) 單元的每個(gè)段被附加到由作為散列函數(shù)的結(jié)果所選擇的表值所指示的 相應(yīng)兩個(gè)共享體。0443按照本發(fā)明,冗余信息可被附加到數(shù)據(jù)部分,從而允許用 少于所有數(shù)據(jù)部分來(lái)恢復(fù)原始數(shù)據(jù)。例如,如果期望四個(gè)部分中的兩 個(gè)部分足以恢復(fù)數(shù)據(jù),則來(lái)自共享體的額外數(shù)據(jù)可相應(yīng)地被附加到每 個(gè)共享體中,例如以循環(huán)(round-robin)方式(例如,原始數(shù)據(jù)的大 小為4MB,那么共享體1得到其自身的共享以及共享體2和3的共享; 共享體2得到其自身的共享和共享體3和4的共享;共享體3得到其 自身的共享和共享體4和1的共享;共享體4得到其自身的共享和共 享體1和2的共享)。按照本發(fā)明,任何這類合適的冗余都可被使用。0444可以理解,按照本發(fā)明,任何其他合適的解析和分割方法 可被用于從原始數(shù)據(jù)集生成數(shù)據(jù)部分。例如,解析和分割可逐位隨機(jī) 或偽隨機(jī)地被處理。隨機(jī)或偽隨機(jī)值可被使用(例如會(huì)話密鑰,密碼 反饋會(huì)話密鑰,等),因而對(duì)于原始數(shù)據(jù)中的每個(gè)位,對(duì)隨機(jī)或偽隨 機(jī)值中相應(yīng)數(shù)據(jù)的散列函數(shù)結(jié)果可指示哪個(gè)共享體附加相應(yīng)位。在一 個(gè)合適的方法中,隨機(jī)或偽隨機(jī)值可被生成為,或被擴(kuò)展到原始數(shù)據(jù) 的大小的8倍,從而相對(duì)于原始數(shù)據(jù)的每個(gè)位,散列函數(shù)可對(duì)隨機(jī)或 偽隨機(jī)值的相應(yīng)字節(jié)執(zhí)行。按照本發(fā)明,可使用任何其他合適的逐位 解析和分割數(shù)據(jù)的算法。進(jìn)一步可以理解,按照本發(fā)明,冗余數(shù)據(jù)可 以例如前面所述的方式被附加到數(shù)據(jù)共享體。0445在一種合適方法中,解析和分割不必是隨機(jī)或偽隨機(jī)的。 相反,可使用用于解析和分割數(shù)據(jù)的任何合適的判斷算法。例如,可 以使用將原始數(shù)據(jù)分解為連續(xù)共享體作為解析和分割算法。另一個(gè)例 子是逐位解析和分割原始數(shù)據(jù),相續(xù)地以循環(huán)方式將每個(gè)相應(yīng)位附加 到數(shù)據(jù)共享體??梢赃M(jìn)一步理解,按照本發(fā)明,冗余數(shù)據(jù)可以上述方 式被附加到數(shù)據(jù)共享體。0446在本發(fā)明的一個(gè)實(shí)施例中,在安全數(shù)據(jù)解析器生成原始數(shù) 據(jù)的多個(gè)部分之后,為了恢復(fù)原始數(shù)據(jù),某一個(gè)或多個(gè)所生成的部分 是強(qiáng)制性的。例如,如果其中一個(gè)部分被用作鑒權(quán)共享體(例如在物 理權(quán)標(biāo)設(shè)備上保存),以及如果安全數(shù)據(jù)解析器的容錯(cuò)特征正被使用 (即,少于所有部分是恢復(fù)原始數(shù)據(jù)所必須的),則即使安全數(shù)據(jù)解 析器可能有權(quán)訪問(wèn)原始數(shù)據(jù)的足夠數(shù)目的部分以恢復(fù)原始數(shù)據(jù),這也 可能在恢復(fù)原始數(shù)據(jù)之前要求存儲(chǔ)在物理權(quán)標(biāo)設(shè)備上的鑒權(quán)共享體。 可以理解,例如基于應(yīng)用,數(shù)據(jù)類型,用戶,任何其他合適的因子, 或其任何組合,任何數(shù)目和類型的特定共享體可能被要求。0447在一個(gè)合適的方法中,安全數(shù)據(jù)解析器或安全數(shù)據(jù)解析器 的某外部組件可加密原始數(shù)據(jù)的一個(gè)或多個(gè)部分??赡芤筇峁┖徒?密加密的部分,以便恢復(fù)原始數(shù)據(jù)。不同的加密部分可以不同的加密 密鑰^皮加密。例如,該特征可^皮用于實(shí)現(xiàn)更安全的"兩人規(guī)則",因而
第一用戶需要具有利用第一加密密鑰加密的特定共享體,而第二用戶 需要具有利用第二加密密鑰加密的特定共享體。為了訪問(wèn)原始數(shù)據(jù), 這兩個(gè)用戶需要具有它們各自的加密密鑰,并提供他們各自的原始數(shù) 據(jù)的部分。在一個(gè)合適方法中,公鑰可被用來(lái)加密一個(gè)或多個(gè)數(shù)據(jù)部 分,這些數(shù)據(jù)部分可能是恢復(fù)原始數(shù)據(jù)所要求的強(qiáng)制共享體。然后, 私鑰可被用來(lái)解密共享體,以便被用于恢復(fù)原始數(shù)據(jù)。0448可使用任何這樣的利用強(qiáng)制共享體的合適模式,其中少于 所有共享體被需要以恢復(fù)原始數(shù)據(jù)。0449在本發(fā)明一個(gè)合適實(shí)施例中,可以隨機(jī)或偽隨機(jī)地處理將數(shù)據(jù)分布到有限數(shù)目的數(shù)據(jù)共享體中,使得從統(tǒng)計(jì)的角度看,任何特 定數(shù)據(jù)共享體接收特定數(shù)據(jù)單元的概率等于任一其余共享體接收該數(shù)據(jù)單元的概率。結(jié)果,每個(gè)數(shù)據(jù)共享體具有近似相等量的數(shù)據(jù)位。0450按照本發(fā)明的另一個(gè)實(shí)施例,有限數(shù)目的數(shù)據(jù)共享體中每 一個(gè)不必具有接收來(lái)自原始數(shù)據(jù)的解析和分割的數(shù)據(jù)單元的相同概率。相反,某一個(gè)或多個(gè)共享體可具有較剩余共享體更高或更低的概 率。結(jié)果,在位大小方面,某些共享體可相對(duì)其他共享體更大或更小。 例如,在兩個(gè)共享體的情形中, 一個(gè)共享體可具有1%的概率接收數(shù) 據(jù)單元,而第二共享體具有99%的概率。因此, 一旦安全數(shù)據(jù)解析器 已經(jīng)在這兩個(gè)共享體間分布數(shù)據(jù)單元,則第一共享體應(yīng)具有約1%的 數(shù)據(jù),而第二共享體具有約99%的數(shù)據(jù)。按照本發(fā)明,可使用任何合 適的概率。0451可以理解,安全數(shù)據(jù)解析器可被編程為還按照精確(或近 似精確的)百分?jǐn)?shù)來(lái)將數(shù)據(jù)分布到共享體。例如,安全數(shù)據(jù)解析器可 被編程為將80%的數(shù)據(jù)分布到第一共享體,而將剩余20%的數(shù)據(jù)分布 到第二共享體。0452按照本發(fā)明的另一個(gè)實(shí)施例,安全數(shù)據(jù)解析器可生成數(shù)據(jù) 共享體,其中一個(gè)或多個(gè)數(shù)據(jù)共享體具有預(yù)定的大小。例如,安全數(shù)據(jù)解析器可將原始數(shù)據(jù)分割為數(shù)據(jù)部分,其中一個(gè)部分精確為256位。 在一個(gè)合適方法中,如果不能生成具有必須的大小的數(shù)據(jù)部分,則安
全數(shù)據(jù)解析器可對(duì)該部分進(jìn)行填充以使其為正確的尺寸。任何合適的 尺寸都可被使用。0453在一個(gè)合適的方法中,數(shù)據(jù)部分的大小可以是加密密鑰, 分割密鑰,任何其他合適密鑰,或任何其他合適的數(shù)據(jù)元素的大小。0454如前面所討論的那樣,安全數(shù)據(jù)解析器可在數(shù)據(jù)解析和分 割中使用密鑰。為了簡(jiǎn)單明了,這些密鑰在這里應(yīng)被稱為"分割密鑰"。 例如,前面介紹的會(huì)話主密鑰是一種分割密鑰。而且,如前面所討論 的,分割密鑰可在安全數(shù)據(jù)解析器所生成的數(shù)據(jù)共享體內(nèi)被保護(hù)。用 于保護(hù)分割密鑰的任何合適的算法可被用來(lái)在數(shù)據(jù)共享體間保護(hù)它 們。例如,Shamir算法可被用于保護(hù)分割密鑰,因而可被用于重構(gòu)分 割密鑰的信息被生成并被附加到數(shù)據(jù)共享體上。按照本發(fā)明,可使用 任何其他的這樣的合適算法。0455類似地,按照任何合適的算法,諸如Shamir算法,任何 合適的加密密鑰可在一個(gè)或多個(gè)數(shù)據(jù)共享體內(nèi)被保護(hù)。例如,可例如 使用Shamir算法或任何其他合適算法保護(hù)用來(lái)在解析和分割之前加 密數(shù)據(jù)集的加密密鑰,用來(lái)在解析和分割之后加密數(shù)據(jù)部分的加密密 鑰,或這兩者。0456按照本發(fā)明一個(gè)實(shí)施例,全有或全無(wú)變換(AoNT: All or Nothing Transform ),諸如全封包變換(Full Package Transform ) 可被用于通過(guò)變換分割密鑰,加密密鑰,任何其他合適的數(shù)據(jù)元素, 或其任意組合來(lái)進(jìn)一步保護(hù)數(shù)據(jù)。例如,按照本發(fā)明,用于在解析和 分割之前加密數(shù)據(jù)集的加密密鑰可由AoNT算法被變換。變換后的加 密密鑰然后可例如按照Shamir算法或任何其他合適的算法被分布在 數(shù)據(jù)共享體間。為了重構(gòu)加密密鑰,加密后的數(shù)據(jù)集必須被恢復(fù)(例 如,按照本發(fā)明,如果使用冗余,則不必使用所有數(shù)據(jù)共享體),以 便按照AoNT訪問(wèn)關(guān)于變換的必要信息,如本領(lǐng)域技術(shù)人員公知的那 樣。當(dāng)原始加密密鑰被恢復(fù)時(shí),其可被用來(lái)解密加密后的數(shù)據(jù)集,以 恢復(fù)原始數(shù)據(jù)集??梢岳斫猓景l(fā)明的容錯(cuò)特征可與AoNT特征結(jié)合 使用。也就是,冗余數(shù)據(jù)可被包括在數(shù)據(jù)部分中,從而少于所有數(shù)據(jù)
部分對(duì)于恢復(fù)加密后數(shù)據(jù)集是必須的。0457可以理解,AoNT可被應(yīng)用到用于在解析和分割后加密數(shù) 據(jù)部分的加密密鑰,作為解析和分割之前對(duì)應(yīng)于數(shù)據(jù)集的相應(yīng)加密密 鑰的加密和AoNT的替換或補(bǔ)充。類似地,AoNT可被應(yīng)用于分割密 鑰。0458在本發(fā)明的一個(gè)實(shí)施例中,按照本發(fā)明所用的加密密鑰, 分割密鑰,或這兩者可進(jìn)一步例如利用工作組密鑰被加密,以便為保 護(hù)的數(shù)據(jù)集提供額外的安全度。0459在本發(fā)明的一個(gè)實(shí)施例中,可提供審計(jì)模塊,其只要安全 數(shù)據(jù)解析器被調(diào)用來(lái)分割數(shù)據(jù)就跟蹤。0460圖36示出按照本發(fā)明使用安全數(shù)據(jù)解析器組件的可能選 擇3600。每個(gè)選項(xiàng)組合在下面被概述的并以圖36中的適當(dāng)?shù)牟襟E號(hào) 被標(biāo)記。安全數(shù)據(jù)解析器本質(zhì)上可以是模塊化的,從而允許在圖36所 示的每個(gè)功能塊內(nèi)使用任何已知的算法。例如,其他密鑰分割(例如, 保密共享)算法,諸如Blakely可被用來(lái)取代Shamir,或AES加密可 由其他已知的加密算法取代,諸如三重DES。圖36的例子中所示的 標(biāo)簽僅描述用在本發(fā)明一個(gè)實(shí)施例中的算法的一種可能的組合??梢?理解,任何合適算法或算法組合可被用來(lái)取代標(biāo)記的算法。04611)3610, 3612, 3614, 3615, 3616, 3617, 3618, 36190462在步驟3610使用先前加密的數(shù)據(jù),數(shù)據(jù)可最終被分割為 預(yù)定數(shù)目的共享體。如果分割算法要求密鑰,則分割加密密鑰可在步 驟3612處用密碼安全偽隨機(jī)數(shù)發(fā)生器生成。分割加密密碼可以可選地 當(dāng)在步驟3615被密鑰分割成具有容錯(cuò)的預(yù)定數(shù)目的共享體之前,在步 驟3614利用全有或全無(wú)變換(AoNT )被變換為變換分割密鑰。然后, 在步驟3616,數(shù)據(jù)可被分割為預(yù)定數(shù)目的共享體。在步驟3617處可 以使用容錯(cuò)方案,以允許從少于全部共享體重新生成數(shù)據(jù)。 一旦創(chuàng)建 了共享體,則在步驟3618處,鑒權(quán)/完整性信息可被嵌入到共享體中。 每個(gè)共享體可以可選地在步驟3619處被后加密。04632) 3111, 3612, 3614, 3615, 3616, 3617, 3618, 3619 0464在某些實(shí)施例中,可利用用戶或外部系統(tǒng)所提供的加密密 鑰加密輸入數(shù)據(jù)。外部密鑰在步驟3611被提供。例如,密鑰可從外部 密鑰存儲(chǔ)裝置提供。如果分割算法要求密鑰,則可在步驟3612處利用 密碼安全偽隨機(jī)數(shù)發(fā)生器生成分割加密密鑰。分割密碼可以可選地當(dāng) 在步驟3615處被密鑰分割成預(yù)定數(shù)目的具有容錯(cuò)的共享體之前,在步 驟3614處利用全有或全無(wú)變換(AoNT)被變換為變換分割密鑰。然 后,在步驟3616,數(shù)據(jù)被分割為預(yù)定數(shù)目的共享體。在步驟3617,可 以使用容錯(cuò)方案,以允許從少于全部共享體重新生成數(shù)據(jù)。 一旦創(chuàng)建 了共享體,則在步驟3618,鑒權(quán)/完整性信息可被嵌入到共享體中。每 個(gè)共享體可以可選地在步驟3619處被后加密。04653) 3612, 3613, 3614, 3615, 3612, 3614, 3615, 3616, 3617, 3618, 36190466在某些實(shí)施例中,可在步驟3612處利用密碼安全偽隨機(jī) 數(shù)發(fā)生器生成加密密鑰,以變換數(shù)據(jù)。利用所生成的密鑰加密數(shù)據(jù)可 發(fā)生在步驟3613。加密密鑰可以可選地在步驟3614利用全有或全無(wú) 變換(AoNT)被轉(zhuǎn)換為變換加密密鑰。然后在步驟3615,變換加密 密鑰和/或所生成的加密密鑰可被分割成預(yù)定數(shù)目的具有容錯(cuò)的共享 體。如果分割算法要求密鑰,則利用密碼安全偽隨機(jī)數(shù)發(fā)生器生成分 割加密密鑰可在步驟3612發(fā)生。在步驟3615被密鑰分割為預(yù)定數(shù)目 的具有容錯(cuò)的共享體之前,分割密鑰可以可選地在步驟3614利用全有 或全無(wú)變換(AoNT)被變換為變換分割加密密鑰。然后在步驟3616, 數(shù)據(jù)可被分割為預(yù)定數(shù)目的共享體。在步驟3617可以使用容錯(cuò)方案, 以允許從少于全部共享體重新生成數(shù)據(jù)。 一旦創(chuàng)建了共享體,則在步 驟3618,鑒權(quán)/完整性信息可被嵌入到共享體中。每個(gè)共享體然后可以 可選地在步驟3619處被后加密。04674) 3612, 3614, 3615, 3616, 3617, 3618, 36190468在某些實(shí)施例中,數(shù)據(jù)可被分割為預(yù)定數(shù)目的共享體。如 果分割算法要求密鑰,則可在步驟3162發(fā)生利用密碼保護(hù)偽隨機(jī)數(shù)發(fā) 生器生成分割加密密鑰。在步驟3615中被密鑰分割為預(yù)定數(shù)目的具有
容錯(cuò)的共享體之前,分割密鑰可以可選地在步驟3614處利用全有或全 無(wú)變換(AoNT)被轉(zhuǎn)換為變換分割密鑰。然后,數(shù)據(jù)可在步驟3616 處被分割??梢栽诓襟E3617處使用容錯(cuò)方案,以允許從少于全部共享 體重新生成數(shù)據(jù)。 一旦創(chuàng)建了共享體,則在步驟3618處,鑒權(quán)/完整 性信息可被嵌入到共享體中。每個(gè)共享體可以可選地在步驟3619處被 后加密。0469雖然在本發(fā)明的一些實(shí)施例中優(yōu)選使用上面四個(gè)選項(xiàng)組 合,但特征,步驟,或選項(xiàng)的任何其他合適的組合可在其他實(shí)施例中 與安全數(shù)據(jù)解析器一起被使用。0470安全數(shù)據(jù)解析器可通過(guò)促進(jìn)物理分離而提供靈活的數(shù)據(jù)保 護(hù)。數(shù)據(jù)可首先被加密,然后被分割為具有"n中m"容錯(cuò)的共享體。 這允許在少于全部共享體可用時(shí)再生原始信息。例如,某些共享體可 能在傳輸中被丟失或破壞。丟失或破壞的共享體可通過(guò)容錯(cuò)或附加到 共享體的完整性信息而被再創(chuàng)建,如下面更詳細(xì)的討論。0471為了創(chuàng)建共享體,安全數(shù)據(jù)解析器可選地利用大量密鑰。 這些密鑰可包括一個(gè)或多個(gè)以下項(xiàng)0472預(yù)加密密鑰當(dāng)選擇共享體的預(yù)加密時(shí),外部密鑰可被傳 輸?shù)桨踩珨?shù)據(jù)解析器。該密鑰可被生成并被外部地存儲(chǔ)在密鑰存儲(chǔ)器 中(或其他位置),并可被用于可選地在數(shù)據(jù)分割之前加密數(shù)據(jù)。0473分割加密密鑰該密鑰可被內(nèi)部地生成并由安全數(shù)據(jù)解析 器用來(lái)在分割之前加密數(shù)據(jù)。該密鑰然后可利用密鑰分割算法而被安 全地存儲(chǔ)在共享體內(nèi)。0474分割會(huì)話密鑰該密鑰不與加密算法一起使用;相反,其可被用于在選擇隨機(jī)分割時(shí)鍵入(key )數(shù)據(jù)分區(qū)算法(datapartitioning algorithm )。在使用隨機(jī)分割時(shí),分割會(huì)話密鑰可被內(nèi)部地生成并由安全數(shù)據(jù)解析器用來(lái)將數(shù)據(jù)劃分為共享體。該密鑰可利用 密鑰分割算法而被安全地存儲(chǔ)在共享體內(nèi)。0475后加密密鑰當(dāng)共享體的后加密被選擇時(shí),外部密鑰可被 傳輸?shù)桨踩珨?shù)據(jù)解析器并被用來(lái)后加密各個(gè)共享體。該密鑰可被生成并外部地存儲(chǔ)在密鑰存儲(chǔ)器或其他合適位置中。0476在某些實(shí)施例中,當(dāng)利用安全數(shù)據(jù)解析器以該方式保護(hù)數(shù) 據(jù)時(shí),信息僅可在所有要求的共享體和外部加密密鑰存在的情況下被 重組。0477圖37示出某些實(shí)施例中使用本發(fā)明的安全數(shù)據(jù)解析器的 總過(guò)程3700。如上所述,安全數(shù)據(jù)解析器3706的兩個(gè)非常合適的功 能可以包括加密3702和備份3704。類似地,在某些實(shí)施例中,安全 數(shù)據(jù)解析器3706可與RAID或備份系統(tǒng)或硬件或軟件加密引擎集成。0478與安全數(shù)據(jù)解析器3706相關(guān)聯(lián)的主要密鑰過(guò)程可包括預(yù) 加密過(guò)程3708,加密/變換過(guò)程3710,密鑰保護(hù)過(guò)程3712,解析/分布 過(guò)程3714,容錯(cuò)過(guò)程3716,共享鑒權(quán)過(guò)程3716,和后加密過(guò)程3720 中的一個(gè)或多個(gè)。這些過(guò)程可以幾種合適的順序或組合被執(zhí)行,如圖 36詳細(xì)示出。所用過(guò)程的組合和順序可取決于特定的應(yīng)用或使用,所 期望的安全級(jí)別,是否期望可選的預(yù)加密,后加密或兩者,期望的冗 余,下層或集成系統(tǒng)的能力或性能,或任何其他合適的因子或因子組 合。0479說(shuō)明性過(guò)程3700的輸出可以是兩個(gè)或多個(gè)共享體3722。 如上所述,在某些實(shí)施例中,數(shù)據(jù)可被隨機(jī)(或偽隨機(jī))地分布到這 些共享體的每個(gè)中。在其他實(shí)施例中,可使用確定性算法(或隨機(jī), 偽隨機(jī)和確定性算法的某種合適的組合)。0480除了信息資產(chǎn)的單獨(dú)保護(hù),有時(shí)還要求在不同用戶組或利 益體之間共享信息。于是可能需要在該用戶組內(nèi)控制對(duì)各共享體的訪 問(wèn)或在那些用戶之間共享僅允許組成員重組共享體的憑證。為了該目 的,在本發(fā)明的某些實(shí)施例中,工作組密鑰可被部署給組成員。工作 組密鑰應(yīng)被保護(hù)并保持機(jī)密,因?yàn)槲<肮ぷ鹘M密鑰可能潛在地允許組 外人員訪問(wèn)信息。用于工作組密鑰部署和保護(hù)的某些系統(tǒng)和方法在下 面討論。0481工作組密鑰概念允許通過(guò)加密存儲(chǔ)在共享體內(nèi)的密鑰信息 而增強(qiáng)信息資產(chǎn)的保護(hù)。 一旦執(zhí)行該操作,即使所有要求的共享體和
外部密鑰被公開(kāi),襲擊者也不能在不訪問(wèn)工作組密鑰的情況下重新建 立信息。0482圖38示出在共享體內(nèi)存儲(chǔ)密鑰和數(shù)據(jù)成分的方框圖3800。 在圖3800的例子中,略去可選的預(yù)加密和后加密步驟,雖然這些步驟 可被包括在其他實(shí)施例中。0483分割數(shù)據(jù)的簡(jiǎn)化過(guò)程包括在加密步驟3802利用加密密鑰 3804加密數(shù)據(jù)。然后,按照本發(fā)明,加密密鑰3804的部分可被分割 和存儲(chǔ)在共享體3810內(nèi)。分割加密密鑰3806的部分也可被存儲(chǔ)在共 享體3810內(nèi)。使用分割加密密鑰,數(shù)據(jù)3808然后被分割并被存儲(chǔ)在 共享體3810內(nèi)。0484為了恢復(fù)數(shù)據(jù),按照本發(fā)明,可檢索和恢復(fù)分割加密密鑰 3806。然后分割操作可以被反向處理以恢復(fù)密文。加密密鑰3804也可 被檢索和恢復(fù),且密文然后可利用加密密鑰被解密。0485當(dāng)利用工作組密鑰時(shí),上面的過(guò)程可稍微改變,從而以工 作組密鑰保護(hù)加密密鑰。加密密鑰于是可在被存儲(chǔ)在共享體內(nèi)之前以 工作組密鑰被加密。修改的步驟在圖39所示的方框圖3900中示出。0486簡(jiǎn)化的用工作組密鑰分割數(shù)據(jù)的過(guò)程包括首先在步驟3卯2 用加密密鑰加密數(shù)據(jù)。加密密鑰然后可在步驟3904以工作組密鑰被加 密。以工作組密鑰加密的加密密鑰然后可被分割為部分并以共享體 3912被存儲(chǔ)。分割密鑰3908也可被分割并存儲(chǔ)在共享體3912中。最 后,數(shù)據(jù)3910的部分利用分割密鑰3908而被分割并存儲(chǔ)在共享體3912 中。0487為了恢復(fù)數(shù)據(jù),按照本發(fā)明,分割密鑰可被檢索和恢復(fù)。 按照本發(fā)明,然后分割操作可以被反轉(zhuǎn)以恢復(fù)密文。加密密鑰(其以 工作組密鑰被加密)可被檢索和恢復(fù)。然后,加密密鑰可利用工作組 密鑰被解密。最后,密文可以利加密密鑰被解密。0488有幾種安全方法用于部署和保護(hù)工作組密鑰。選擇哪種方 法來(lái)用于特定的應(yīng)用取決于大量因子。這些因子可包括所要求的安全 級(jí)別,成本,便利,和工作組內(nèi)用戶的數(shù)目。某些實(shí)施例中的某些通 用的技術(shù)如下0489基于硬件的密鑰存儲(chǔ)基于硬件的解決方案通常為加密系統(tǒng)中加密/解密密鑰的安全性 提供最強(qiáng)的保證。基于硬件的存儲(chǔ)解決方案的例子包括抗竄改密鑰權(quán) 標(biāo)設(shè)備,其在便攜式設(shè)備(例如智能卡/軟件狗),或非便攜式密鑰存 儲(chǔ)外設(shè)中存儲(chǔ)密鑰。這些設(shè)備被設(shè)計(jì)來(lái)防止密鑰材料被未授權(quán)方容易 地復(fù)制。密鑰可由授信方生成并被分配給用戶,或在硬件內(nèi)被生成。 此外,許多密鑰存儲(chǔ)系統(tǒng)提供多因子鑒權(quán),其中密鑰的使用要求訪問(wèn) 物理對(duì)象(權(quán)標(biāo))和通關(guān)語(yǔ)(passphrase)或生物統(tǒng)計(jì)特征。0490基于軟件的密鑰存儲(chǔ)雖然專用的基于硬件的存儲(chǔ)對(duì)于高安全性部署或應(yīng)用是理想的, 但可選擇其他部署來(lái)直接在本地硬件(例如,磁盤,RAM或非易失性RAM存儲(chǔ)裝置,諸如USB設(shè)備)上存儲(chǔ)密鑰。這對(duì)于內(nèi)部人攻擊, 或攻擊者能夠直接訪問(wèn)加密機(jī)器的情形提供了較低的保護(hù)水平。0491為了保護(hù)磁盤上的密鑰,基于軟件的密鑰管理通常通過(guò)將 密鑰以從其他鑒權(quán)度量的組合所獲得的密鑰加密形式存儲(chǔ)而保護(hù)密 鑰,這些鑒權(quán)度量包括口令和通關(guān)語(yǔ),其他密鑰的提供(例如來(lái)自 基于^/f牛的解決方案),生物統(tǒng)計(jì)特征,或前述的任何合適組合。這 樣的技術(shù)所提供的安全水平可以從某些操作系統(tǒng)(例如MS Windows 和Linux)所提供的相對(duì)弱的密鑰保護(hù)機(jī)理到利用多因子鑒權(quán)所實(shí)現(xiàn) 的更健壯的解決方案。0492本發(fā)明的安全數(shù)據(jù)解析器可有利地被用在大量應(yīng)用和技術(shù) 中。例如,電子郵件系統(tǒng),RAID系統(tǒng),視頻廣播系統(tǒng),數(shù)據(jù)庫(kù)系統(tǒng), 或任何其他合適的系統(tǒng)可在任何合適的級(jí)集成安全數(shù)據(jù)解析器。如前 面的討論,可以理解,也可集成安全數(shù)據(jù)解析器用于任何類型的通過(guò) 任何傳輸介質(zhì)移動(dòng)的數(shù)據(jù)的保護(hù)和容錯(cuò),這些傳輸介質(zhì)例如包括有線, 無(wú)線,或物理傳輸介質(zhì)。作為一個(gè)例子,IP語(yǔ)音通信(VoIP)應(yīng)用可 利用本發(fā)明的安全數(shù)據(jù)解析器來(lái)解決涉及IP語(yǔ)音通信中常見(jiàn)的回聲 和延遲的問(wèn)題。使用容錯(cuò)可消除網(wǎng)絡(luò)對(duì)再嘗試被丟失的分組的需求,
這保證了分組交付,即使存在預(yù)定數(shù)目的共享體丟失。也可有效地以 最小的延遲和緩存"在處理中"分割和恢復(fù)數(shù)據(jù)分組(例如網(wǎng)絡(luò)分組), 從而得到對(duì)不同類型的移動(dòng)中數(shù)據(jù)的全面解決方案。安全數(shù)據(jù)解析器 可作用于網(wǎng)絡(luò)數(shù)據(jù)分組、網(wǎng)絡(luò)語(yǔ)音分組、文件系統(tǒng)數(shù)據(jù)塊、或任何其 他合適的信息單元。除了與IP語(yǔ)音通信應(yīng)用集成之外,安全數(shù)據(jù)解析 器也可與文件共享應(yīng)用(例如對(duì)等文件共享應(yīng)用),視頻廣播應(yīng)用,電子表決或輪詢應(yīng)用(這可執(zhí)行電子表決協(xié)議和盲簽名,諸如Sensus 協(xié)議),電子郵件應(yīng)用,或任何其他可能要求或需要安全通信的網(wǎng)絡(luò) 應(yīng)用集成。0493在某些實(shí)施例中,移動(dòng)網(wǎng)絡(luò)數(shù)據(jù)的支持可由本發(fā)明的安全 數(shù)據(jù)解析器以兩個(gè)不同階段提供頭文件生成階段和數(shù)據(jù)劃分階段。 簡(jiǎn)化的頭文件生成過(guò)程4000和簡(jiǎn)化的數(shù)據(jù)劃分過(guò)程4010分別在圖 40A和圖40B中示出。這兩個(gè)過(guò)程中的一個(gè)或二者可在網(wǎng)絡(luò)分組,文 件系統(tǒng)塊,或任何其他合適的信息上執(zhí)行。0494在某些實(shí)施例中,頭文件生成過(guò)程4000可在網(wǎng)絡(luò)分組流 啟動(dòng)時(shí)被執(zhí)行一次。在步驟4002,可生成隨機(jī)(或偽隨機(jī))分割加密 密鑰K。然后,在AES密鑰包裹(wrap)步驟4004,分割加密密鑰 K被可選地加密(例如利用上述工作組密鑰)。雖然AES密鑰包裹可 被用在某些實(shí)施例中,但是在其他實(shí)施例中可使用任何合適的密鑰加 密或密鑰包裹算法。AES密鑰包袞步驟4004可對(duì)整個(gè)分割加密密鑰K 進(jìn)行操作,或分割加密密鑰可被解析為幾個(gè)塊(例如64位塊)。如果 需要,AES密鑰包裹步驟4004然后可對(duì)分割加密密鑰的塊進(jìn)行操作。0495在步驟4006,保密共享算法(例如Shamir)可被用來(lái)將 加密密鑰K分割為密鑰共享體。每個(gè)密鑰共享體然后可被嵌入到其中 一個(gè)輸出共享體(例如在共享頭文件中)。最后,共享完整塊和(可 選的)后鑒權(quán)標(biāo)簽(例如MAC)可被附加到每個(gè)共享體的頭文件塊。 每個(gè)頭文件塊可被設(shè)計(jì)為匹配在單個(gè)數(shù)據(jù)分組中。0496在頭文件生成完成(例如利用簡(jiǎn)化的頭文件生成過(guò)程4000 ) 后,安全數(shù)據(jù)解析器可利用簡(jiǎn)化的數(shù)據(jù)分割過(guò)程4010進(jìn)入數(shù)據(jù)劃分階 段。在步驟4012,流中每個(gè)流入的數(shù)據(jù)分組或數(shù)據(jù)塊利用分割加密密 鑰K被加密。在步驟4014,共享完整性信息(例如散列值H)可在從 步驟4012所得到的密文上被計(jì)算。例如,可計(jì)算SHA- 256散列值。 在步驟4106,按照本發(fā)明,數(shù)據(jù)分組或數(shù)據(jù)塊然后可利用上述數(shù)據(jù)分 割算法中的一個(gè)而被劃分為兩個(gè)或多個(gè)數(shù)據(jù)共享體。在某些實(shí)施例中, 數(shù)據(jù)分組或數(shù)據(jù)塊可被分割,因此每個(gè)數(shù)據(jù)共享體包含加密數(shù)據(jù)分組 或數(shù)據(jù)塊的基本上隨機(jī)分布。完整性信息(例如散列值H)然后可被 附加到每個(gè)數(shù)據(jù)共享體。在某些實(shí)施例中,可選的后鑒權(quán)標(biāo)簽(例如 MAC)也可被計(jì)算并被附加到每個(gè)數(shù)據(jù)共享體。0497每個(gè)數(shù)據(jù)共享體可包括可能對(duì)于正確重構(gòu)數(shù)據(jù)塊或數(shù)據(jù)分 組必須的元數(shù)據(jù)。該信息可被包括在共享頭文件中。元數(shù)據(jù)可包括諸 如密碼密鑰共享體,密鑰標(biāo)識(shí),共享體現(xiàn)時(shí)(nonce),簽名/MAC值, 和完整性塊這樣的信息。為了最大化帶寬效率,元數(shù)據(jù)可以緊湊二進(jìn) 制格式被存儲(chǔ)。0498例如,在某些實(shí)施例中,共享頭文件包括明文頭文件組塊 (header chunk),其不被加密并且可包括諸如Shamir密鑰共享體, 每會(huì)話現(xiàn)時(shí)(per國(guó)session nonce ),每共享體現(xiàn)時(shí)(per-share nonce ), 密鑰識(shí)別符(例如工作組密鑰識(shí)別符和后鑒權(quán)密鑰識(shí)別符)。共享頭 文件也可包括以分割加密密鑰加密的加密后頭文件組塊??砂ㄓ糜?任意數(shù)目的先前塊(例如前兩塊)的完整性檢驗(yàn)的完整性頭文件組塊 也可被包括在頭文件中。任何其他合適的值或信息也可被包括在共享 頭文件中。0499如圖41的說(shuō)明性共享格式4100所示,頭文件塊4102可 與兩個(gè)或更多輸出塊4104關(guān)聯(lián)。每個(gè)頭文件塊,諸如頭文件塊4102 可被設(shè)計(jì)成適配在單個(gè)網(wǎng)絡(luò)數(shù)據(jù)分組中。在某些實(shí)施例中,在頭文件 塊4102從第一位置傳輸?shù)降诙恢煤?,然后可傳輸輸出塊。可替換地, 頭文件塊4102和輸出塊4104可同時(shí)并行地被傳輸。傳輸可發(fā)生在一 個(gè)或多個(gè)類似或不同的通信路徑上。0500每個(gè)輸出塊可包括數(shù)據(jù)部分4106和完整性/真實(shí)性部分
4108。如上所述,每個(gè)數(shù)據(jù)共享體可利用包括被加密的預(yù)劃分?jǐn)?shù)據(jù)的 共享完整性信息(例如SHA-256散列值)的共享完整性部分而被保護(hù)。 為了在恢復(fù)時(shí)驗(yàn)證輸出塊的完整性,安全數(shù)據(jù)解析器可比較每個(gè)共享 體的共享完整性塊,然后反轉(zhuǎn)分割算法。然后可以相對(duì)于共享散列值 驗(yàn)證被恢復(fù)數(shù)據(jù)的散列值。0501雖然上面說(shuō)明了安全數(shù)據(jù)解析器的某些普通應(yīng)用,應(yīng)該理 解,本發(fā)明可預(yù)任何網(wǎng)絡(luò)應(yīng)用程序集成以便增加安全性,容錯(cuò)性,匿 名性,或前述任何合適組合。0502另外,本領(lǐng)域技術(shù)人員可顯然看出其他組合,添加,替代 和修改。因此,本發(fā)明不是要限制在優(yōu)選實(shí)施例中,而是由權(quán)利要求 界定。
權(quán)利要求
1. 一種用于保護(hù)數(shù)據(jù)流中數(shù)據(jù)塊的傳輸?shù)姆椒ǎ龇椒òㄒ约用苊荑€加密所述數(shù)據(jù)流中的每個(gè)數(shù)據(jù)塊;將所述加密密鑰的多個(gè)部分分布到至少兩個(gè)共享頭文件中;將來(lái)自加密的數(shù)據(jù)塊的數(shù)據(jù)單元分布到至少兩個(gè)數(shù)據(jù)共享體中,其中所述至少兩個(gè)數(shù)據(jù)共享體中的每一個(gè)都分別包含所述數(shù)據(jù)單位的相應(yīng)子集的基本隨機(jī)分布;以及經(jīng)至少一個(gè)通信路徑將所述至少兩個(gè)數(shù)據(jù)共享體和所述至少兩個(gè)共享頭文件傳輸?shù)竭h(yuǎn)程位置,其中所述數(shù)據(jù)流可從所述至少兩個(gè)數(shù)據(jù)共享體中至少兩個(gè)數(shù)據(jù)共享體和所述至少兩個(gè)共享頭文件中至少兩個(gè)共享頭文件恢復(fù)。
2. 如權(quán)利要求l所述的方法,進(jìn)一步包括 為所述數(shù)據(jù)流中每個(gè)加密的數(shù)據(jù)塊生成完整性信息;以及 傳輸所述完整性信息至所述遠(yuǎn)程位置。
3. 如權(quán)利要求2所述的方法,其中以所述至少兩個(gè)數(shù)據(jù)共享體 傳輸所述完整性信息。
4. 如權(quán)利要求2所述的方法,其中所述完整性信息選自散列值、 MAC簽名、和數(shù)字簽名所構(gòu)成的組。
5. 如權(quán)利要求1所述的方法,其中分布加密密鑰的多個(gè)部分的 步驟包括利用保密共享算法來(lái)分布加密密鑰的多個(gè)部分。
6. 如權(quán)利要求5所述的方法,其中所述保密共享算法選自由 Shamir和Blakely所構(gòu)成的組。
7. 如權(quán)利要求1所述的方法,其中所述傳輸所述至少兩個(gè)數(shù)據(jù) 共享體和所述至少兩個(gè)共享頭文件的步驟包括以串行傳輸在單個(gè)通信路徑上傳輸所述至少兩個(gè)數(shù)據(jù)共享體和所述至少兩個(gè)共享頭文件。
8. 如權(quán)利要求1所述的方法,其中所述傳輸所述至少兩個(gè)數(shù)據(jù) 共享體和所述至少兩個(gè)共享頭文件的步驟包括經(jīng)多個(gè)通信路徑并行地傳輸所述至少兩個(gè)數(shù)據(jù)共享體和所述至少兩個(gè)共享頭文件。
9. 如權(quán)利要求1所述的方法,其中所述傳輸是利用文件共享應(yīng) 用來(lái)執(zhí)行的。
10. 如權(quán)利要求l所述的方法,其中所述傳輸是利用表決或輪詢 應(yīng)用來(lái)執(zhí)行的。
11. 如權(quán)利要求l所述的方法,其中所述傳輸是利用IP語(yǔ)音通 信(VoIP)應(yīng)用來(lái)執(zhí)行的。
12. 如權(quán)利要求l所述的方法,其中所述數(shù)據(jù)塊選自由網(wǎng)絡(luò)數(shù)據(jù) 分組、網(wǎng)絡(luò)語(yǔ)音分組、和文件系統(tǒng)數(shù)據(jù)塊所構(gòu)成的組。
13. 如權(quán)利要求l所述的方法,進(jìn)一步包括 將冗余信息附加到所述至少兩個(gè)數(shù)據(jù)共享體;以及 傳輸所述冗余信息至所述遠(yuǎn)程位置。
14. 如權(quán)利要求l所述的方法,進(jìn)一步包括在分布所述加密密鑰 之前以工作組密鑰加密所述加密密鑰。
15. 如權(quán)利要求14所述的方法,其中所述以工作組密鑰加密所 述加密密鑰的步驟包括用AES密鑰包裹函數(shù)加密所述加密密鑰。
全文摘要
本發(fā)明提供了安全數(shù)據(jù)解析器,其可集成到任何安全存儲(chǔ)和通信數(shù)據(jù)的合適系統(tǒng)。安全數(shù)據(jù)解析器解析數(shù)據(jù)并分割數(shù)據(jù)為不同存儲(chǔ)和通信的多個(gè)部分??蔀轭~外的安全性加密原始數(shù)據(jù),數(shù)據(jù)部分,或這兩者。安全數(shù)據(jù)解析器可通過(guò)分割原始數(shù)據(jù)為數(shù)據(jù)部分保護(hù)移動(dòng)數(shù)據(jù),這些數(shù)據(jù)部分可用多個(gè)通信路徑傳輸。
文檔編號(hào)H04K1/00GK101401341SQ200680051080
公開(kāi)日2009年4月1日 申請(qǐng)日期2006年11月20日 優(yōu)先權(quán)日2005年11月18日
發(fā)明者史蒂文·威尼克, 羅杰·達(dá)文波特, 里克·L·奧爾西尼, 馬克·S·奧黑爾 申請(qǐng)人:安全第一公司