在線標(biāo)識和認(rèn)證的制作方法
【專利摘要】系統(tǒng)和方法可提供在線標(biāo)識和認(rèn)證。在一個示例中,該方法可包括生成表示第一用戶和第二用戶之間的基于認(rèn)證的通信的共同點的關(guān)系的證明文件、向該第一用戶標(biāo)識該第二用戶、認(rèn)證該第二用戶與該第一用戶的關(guān)系、以及當(dāng)認(rèn)證時開始該第一用戶和該第二用戶之間的通信。
【專利說明】在線標(biāo)識和認(rèn)證
[0001]背景
【技術(shù)領(lǐng)域】
[0002]實施例總體上涉及用戶的在線標(biāo)識和認(rèn)證。更具體地,實施例涉及使用個人證明文件(例如,個人密鑰對、在線身份)來動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶。
[0003]討論
[0004]公共密鑰基礎(chǔ)設(shè)施可使用由認(rèn)證機構(gòu)(CA)發(fā)布的證明文件(例如,證書)從而建立信任基礎(chǔ)。然而,使用公共密鑰基礎(chǔ)設(shè)施的挑戰(zhàn)可以是當(dāng)證明文件可相對于認(rèn)證機構(gòu)認(rèn)證第一用戶的身份時,第一用戶可能不為具有第二認(rèn)證機構(gòu)發(fā)布的證明文件的用戶對其自身進行認(rèn)證。進一步地,如果第一用戶還具有第二認(rèn)證機構(gòu)(以及第一)發(fā)布的證明文件,第一用戶可能不能使用任一者向第二用戶對其自身進行認(rèn)證。
[0005]附圖簡要說明
[0006]通過閱讀以下說明書和所附權(quán)利要求書并且通過參考以下附圖,本發(fā)明實施例的各種優(yōu)點將對本領(lǐng)域普通技術(shù)人員變得明顯,在附圖中:
[0007]圖1是根據(jù)本發(fā)明的實施例的用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的第一計算系統(tǒng)的示例的框圖;
[0008]圖2是根據(jù)本發(fā)明的實施例的用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的第二計算系統(tǒng)的示例的框圖;
[0009]圖3是根據(jù)本發(fā)明的實施例的用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的第三計算系統(tǒng)的示例的框圖;
[0010]圖4是根據(jù)本發(fā)明的實施例的用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的第四計算系統(tǒng)的示例的框圖;
[0011]圖5是根據(jù)本發(fā)明的實施例的用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的第一方法的示例的框圖;
[0012]圖6是根據(jù)本發(fā)明的實施例的用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的第二方法的示例的框圖;以及
[0013]圖7是根據(jù)本發(fā)明的實施例的用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的第三方法的示例的框圖。
[0014]詳細(xì)描述
[0015]現(xiàn)在轉(zhuǎn)向圖1,示出了可被配置成用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的計算系統(tǒng)的示例的框圖。計算系統(tǒng)100可包括第一用戶10操作的第一用戶設(shè)備11、第二用戶20操作的第二用戶設(shè)備21、以及第三用戶30操作的第三用戶設(shè)備31。第一用戶設(shè)備11、第二用戶設(shè)備21、以及第三用戶設(shè)備31可耦合到網(wǎng)絡(luò)5,諸如互聯(lián)網(wǎng)。在本示例中,第一用戶10可以是雇主并且可雇用第二用戶20和第三用戶30。
[0016]第一用戶設(shè)備11、第二用戶設(shè)備21、以及第三用戶設(shè)備31可以是能夠耦合到另一個用戶設(shè)備并且與其通信的任何設(shè)備。在本示例中,第一用戶設(shè)備11可以是臺式計算機,第二用戶設(shè)備21可以是移動設(shè)備(例如,移動/智能電話、個人數(shù)字助理、智能平板計算機設(shè)備),并且第三用戶設(shè)備31可以是筆記本計算機。第一用戶設(shè)備11、第二用戶設(shè)備21、以及第三用戶設(shè)備31可包括第一用戶設(shè)備存儲器12、第二用戶設(shè)備存儲器22、以及第三用戶設(shè)備存儲器32,其可用于存儲各種數(shù)據(jù)。同樣,在本示例中,第一用戶設(shè)備11、第二用戶設(shè)備21、以及第三用戶設(shè)備31可通過有線以太網(wǎng)連接進行通信。
[0017]總體上,在本發(fā)明的實施例中,證明文件(例如,證書)可表示發(fā)布用戶和接收用戶之間的共享認(rèn)證通信點(此后,發(fā)布者和接受者可將彼此稱為“熟悉的”用戶)并且認(rèn)證用戶的身份。當(dāng)認(rèn)證時,用戶可授權(quán)并實現(xiàn)(安全的)通信并且進行(安全的)事務(wù)。
[0018]例如,在本示例中,第一用戶雇主10可保持第一用戶證書13并且可分別向第二用戶20發(fā)布第二用戶證書23并且向第三用戶30發(fā)布第三用戶證書33。第二用戶證書23和第三用戶證書33可被發(fā)布從而認(rèn)證第二用戶20和第三用戶30是第一用戶的雇員(即,第一認(rèn)證通信點)。
[0019]第一用戶證書13可包括第一用戶密鑰對14,其具有第一用戶公共密鑰15和第一用戶私人密鑰16。第二用戶證書23可包括第二用戶密鑰對24,其具有第二用戶公共密鑰25和第二用戶私人密鑰26。第三用戶證書33可包括第三用戶密鑰對34,其具有第三用戶公共密鑰35和第三用戶私人密鑰36。第一用戶證書13可被存儲在第一用戶設(shè)備存儲12上,第二用戶證書23可被存儲在第二用戶設(shè)備存儲器22上,并且第三用戶證書33可被存儲在第三用戶設(shè)備存儲器32上。
[0020]第二用戶雇員20還可與第三用戶雇員30交換第二證書22從而標(biāo)識并認(rèn)證其與第三用戶雇員30的作為同事雇員的關(guān)系(即,第一認(rèn)證通信點)。同樣,例如,當(dāng)接收到認(rèn)證時,第二用戶20可例如接入安全通信線路并且向第三用戶30發(fā)送雇用相關(guān)的機密文件。證書23、33還可在不同于它們被初始地發(fā)布或交換的那些上下文的上下文中使用。S卩,一旦基于第一認(rèn)證通信點被認(rèn)證,證書即可用于認(rèn)證任何其他認(rèn)證通信點上的雙方之間的通?目。
[0021]在本發(fā)明的實施例中,任何用戶可基于具體的認(rèn)證通信點(例如,朋友、熟人、社交俱樂部)發(fā)布證書或從另一個用戶接收證書。與每個新的認(rèn)證通信點相關(guān)的每個新證書可用于標(biāo)識和認(rèn)證用戶。當(dāng)認(rèn)證時,證書可用于授權(quán)并與熟悉的用戶進行(安全的)通信并且與熟悉的用戶實現(xiàn)(安全的)事務(wù)。這樣,例如,當(dāng)認(rèn)證彼此作為同事雇員時,第二用戶20和第三用戶30可向彼此發(fā)布證書從而表示第二認(rèn)證通信點(例如,朋友)。具體而言,第二用戶20可向第三用戶30發(fā)布第四證書27,并且第三用戶30可向第二用戶20發(fā)布第五證書37。
[0022]進一步地,任何所發(fā)布的證書還可用作任何雙方之間的介紹的基礎(chǔ)。更具體而言,共享與第二方的共同關(guān)系以及與第三方的共同關(guān)系的任何第一方可使用證書來認(rèn)證共同關(guān)系并且進行介紹。這樣,例如,在上述示例中,第二用戶20可使用第四證書27來向第二用戶20已經(jīng)為其發(fā)布證書的任何其他方(例如,另一個朋友)介紹第三用戶30。
[0023]結(jié)果是,用戶可積累許多不同的證書用于在許多不同的上下文中使用。每個唯一的認(rèn)證通信點(以及通過擴展,每個所發(fā)布的或所接收的證書)可與分離的不同的用戶身份相對應(yīng)。全部這些單獨的證書可表示用戶的累加身份。本發(fā)明的實施例可進一步提供使用算法從而生成身份聯(lián)系表達以便描述用戶的累加身份。身份聯(lián)系表達可尤其通過任何和所有通信點解釋并且結(jié)合附屬用戶的所有證書。所生成的身份聯(lián)系表達可(使用所結(jié)合的證書)標(biāo)識共享認(rèn)證通信共同點并且認(rèn)證熟悉的用戶的身份的用戶。當(dāng)認(rèn)證時,身份聯(lián)系表達可用于與熟悉的用戶建立(安全)通信基礎(chǔ)并且與熟悉的用戶進行(安全)事務(wù)。而且,身份聯(lián)系表達的生成可以是動態(tài)的,因為它可被連續(xù)地重新生成以便解釋用戶的改變的累加身份。
[0024]例如,第一用戶10可使用第一用戶身份聯(lián)系表達應(yīng)用17從而生成第一用戶身份聯(lián)系表達18。類似地,第二用戶20可使用第二用戶身份聯(lián)系表達應(yīng)用28從而生成第二用戶身份聯(lián)系表達29,并且第三用戶30可使用第三用戶身份聯(lián)系表達應(yīng)用38從而生成第三用戶身份聯(lián)系表達39。身份聯(lián)系表達應(yīng)用可被從任何耦合設(shè)備下載到用戶設(shè)備或可在用戶設(shè)備的購買時展現(xiàn)。
[0025]圖1中描繪的框的安排和編號不旨在暗示操作順序從而排除其他可能性。本領(lǐng)域普通技術(shù)人員將認(rèn)識到能夠?qū)ο到y(tǒng)和方法進行各種修改和改動。
[0026]例如,在本不例中,第一用戶設(shè)備10、第二用戶設(shè)備21、以及第三用戶設(shè)備31可通過有線以太網(wǎng)連接進行通信。然而,在其他實施例中,這些設(shè)備中的一個或多個可通過無線連接通信,諸如近場通信協(xié)議、無線數(shù)據(jù)連接(例如,IEEE 802.11,1999年版本,LAN/MAN 無線 LANS(WiFi),IEEE 802.16-2004,LAN/MAN 寬帶無線 LANS(WiMAX)、藍牙(例如,IEEE802.15.1-2005,無線個人區(qū)域網(wǎng),Zigbee(IEEE 802.15.4)等等)、蜂窩電話連接(例如,W-CDMA (UMTS),CDMA2000 (IS-856/IS-2000)等等)、有線數(shù)據(jù)連接(例如,IEEE802.3-2005,LAN/MAN CSMA/CD 接入方法)、電力線通信(例如,X10, IEEE P1675)、USB (例如,通用串行總線2.0規(guī)格)等等,取決于環(huán)境。
[0027]現(xiàn)在轉(zhuǎn)向圖2,示出了可被配置成用于動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的計算系統(tǒng)的示例的框圖。在本示例中,第二用戶20(如圖1中所討論的)可操作第二用戶設(shè)備21 (SP,移動設(shè)備),并且第三用戶30(如圖1中所討論的)可操作第三用戶設(shè)備31 (即,筆記本計算機)。這兩個設(shè)備可耦合到商業(yè)機構(gòu)(例如,咖啡店)維護的無線網(wǎng)絡(luò)75。在本示例中,在已經(jīng)先前交換了證書(即,第四證書27和第五證書37)之后,第二用戶20和第三用戶30可同時拜訪商業(yè)機構(gòu)。
[0028]第二用戶20可接入無線網(wǎng)絡(luò)75從而標(biāo)識第三用戶設(shè)備31是在無線網(wǎng)絡(luò)75上,并且訪問第三用戶身份聯(lián)系表達39。類似地,第三用戶30可接入無線網(wǎng)絡(luò)75,并且標(biāo)識第二用戶設(shè)備21是在無線網(wǎng)絡(luò)75上,并且訪問第二用戶身份聯(lián)系表達29。在本實施例中,第二用戶身份聯(lián)系表達29可包括與第五證書37相關(guān)的信息,并且第三用戶身份聯(lián)系表達39可包括與第四證書27相關(guān)的信息。
[0029]如以上所討論的,第二用戶20和第三用戶30可使用第二用戶身份聯(lián)系表達29和第三用戶身份聯(lián)系表達39從而認(rèn)證預(yù)先存在的關(guān)系(即,朋友)。進一步地,當(dāng)認(rèn)證時,雙方還可使用身份聯(lián)系表達29、39來例如通過無線網(wǎng)絡(luò)75實現(xiàn)安全通信(即,在線聊天)或進行安全事務(wù)(例如,文件傳送)。
[0030]現(xiàn)在轉(zhuǎn)向圖3,示出了使用身份聯(lián)系表達來標(biāo)識熟悉的用戶并傳輸通信的計算系統(tǒng)的示例的框圖。該系統(tǒng)可包括無線網(wǎng)絡(luò)85、第二用戶20操作的第二用戶設(shè)備21 (即,移動設(shè)備,如圖1中所討論的)、第三用戶30操作的第三用戶設(shè)備31 (即,筆記本計算機,如圖1中所討論的)。在本示例中,第二用戶20可尋求向第三用戶30發(fā)送雇用相關(guān)的電子郵件。第三用戶的姓名可以是約翰.史密斯(John Smith)。
[0031]第二用戶20可訪問電子郵件目錄以便發(fā)現(xiàn)存在10個名為約翰?史密斯的人。為了確定目標(biāo)收件人,第二用戶20可訪問每個名為約翰?史密斯的用戶的身份聯(lián)系表達。在這樣做時,第二用戶20還可以能夠標(biāo)識第二用戶20與這些人中的哪一個具有預(yù)先存在的關(guān)系以及這種關(guān)系的性質(zhì)如何。附加地,如果相關(guān),第二用戶20還可以能夠標(biāo)識第二用戶20和第三用戶30兩者可與哪些用戶共享關(guān)系。使用該信息,第二用戶然后可使用該信息來選擇正確的約翰.史密斯(即,第三用戶30)從而向其發(fā)送雇用相關(guān)的電子郵件。
[0032]現(xiàn)在轉(zhuǎn)向圖4,示出了使用所發(fā)布的證書來動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的計算系統(tǒng)的示例的框圖。該系統(tǒng)可包括無線網(wǎng)絡(luò)95、第二用戶20操作的第二用戶設(shè)備21 (即,移動設(shè)備,如圖1中所討論的)、第三用戶30操作的第三用戶設(shè)備31 ( S卩,筆記本計算機,如圖1中所討論的)。如以上所討論的,第二用戶20和第三用戶30可使用第二用戶身份聯(lián)系表達29和第三用戶身份聯(lián)系表達39。該系統(tǒng)還可包括第四用戶40操作的第四用戶設(shè)備41 (例如,平板計算機設(shè)備)以及第五用戶50操作的第五用戶設(shè)備51 (例如,筆記本計算機設(shè)備)。第四用戶40可使用第四用戶身份聯(lián)系表達,并且第五用戶50可使用第五用戶身份聯(lián)系表達52。
[0033]在本示例中,第二用戶20、第三用戶30、第四用戶40、以及第五用戶50可全部是同一雇主(例如,第一用戶10)的雇員。因此,他們可全部具有第一用戶雇主10所發(fā)布的證書所表示的第一認(rèn)證通信共同點(即,共同雇用)??稍谄鋵?yīng)的身份聯(lián)系表達中解釋第一用戶雇主10所發(fā)布的證書。單獨地,第二用戶20和第三用戶30可單獨地共享第二認(rèn)證通信共同點(例如,作為朋友)。
[0034]這樣,在本示例中,如果第二用戶20和第三用戶30正在進行與工作相關(guān)的在線聊天,則第四用戶40和第五用戶50可利用其將被認(rèn)證的身份聯(lián)系表達(基于其認(rèn)證通信共同點)并且注意該聊天。實際上,在某些實施例中,第四用戶40和第五用戶50可利用其對應(yīng)的身份聯(lián)系表達來參與聊天。然而,另一方面,如果第二用戶20和第三用戶30進行與其認(rèn)證通信共同點相關(guān)的作為朋友的在線聊天,第四用戶40和第五用戶50可能不能利用其對應(yīng)的身份聯(lián)系表達來注意該聊天。這可以是這樣,因為他們不共享第二認(rèn)證通信共同點(即,他們不共享在此點上發(fā)布或接收的證書),并且因此可不在該認(rèn)證通信點上被認(rèn)證。
[0035]現(xiàn)在轉(zhuǎn)向圖5,示出了動態(tài)地標(biāo)識和認(rèn)證熟悉的用戶的方法的示例的框圖。該方法可被實現(xiàn)為存儲在使用電路技術(shù)(諸如例如特定用途集成電路(ASIC)、互補金屬氧化物半導(dǎo)體(CMOS)或晶體管-晶體管邏輯(TTL)技術(shù)或其任意組合)的固定功能邏輯硬件中的可配置邏輯(諸如例如可編程邏輯陣列(PLA)、現(xiàn)場可編程門陣列(FPGA)、復(fù)雜可編程邏輯器件(CPLD))中的機器或計算機可讀存儲介質(zhì)(諸如隨機存取存儲器(RAM)、只讀存儲器(ROM)、可編程ROM(PROM)、閃存等等)中的邏輯指令集。例如,可用一種或多種編程語言的任意組合編寫用于執(zhí)行該方法中所示的操作的計算機程序代碼,包括面向?qū)ο蟮木幊陶ZH,諸如Java、Smalltalk、C++等等,以及常規(guī)程序編程語目,諸如“C”編程語目或類似的編程語目。
[0036]在本示例中,雇主第一用戶(諸如第一用戶10(圖1))可利用第一用戶設(shè)備(諸如第一用戶設(shè)備11 (圖1))。第一用戶設(shè)備可使用第二用戶設(shè)備(諸如第二用戶設(shè)備21 (圖1))耦合到第二用戶雇員(諸如第二用戶20(圖1))。第一用戶設(shè)備和第二用戶設(shè)備可使用第三用戶設(shè)備(諸如第三用戶設(shè)備31 (圖1))耦合到第三用戶雇員(諸如第三用戶30)。第一用戶設(shè)備可存儲第一證書(諸如第一用戶證書13 (圖1))。該方法可在處理框5000開始。
[0037]在處理框5010,第一用戶可向每一個雇員發(fā)布證書從而建立并認(rèn)證第一認(rèn)證通信點(B卩,作為雇員)并且使用這些證書作為未來事務(wù)的基礎(chǔ)。具體而言,第一用戶雇員可向第二用戶發(fā)布第二證書(諸如第二證書23(圖1))并且向第三用戶發(fā)布第三證書(諸如第三證書33(圖1))。
[0038]在處理框5020,第二用戶和第三用戶可向彼此發(fā)布證書從而建立并認(rèn)證第二認(rèn)證通信點(作為朋友)。具體而言,第二用戶可向第三用戶發(fā)布第四證書(諸如第四證書27(圖1))。類似地,第三用戶可向第二用戶發(fā)布第五證書(諸如第五證書37(圖1))。在處理框5030,第一用戶、第二用戶、以及第四用戶中的每一個可利用身份聯(lián)系表達應(yīng)用(諸如第二用戶身份聯(lián)系表達應(yīng)用28(圖1))從而生成個人身份聯(lián)系表達(諸如第二用戶身份聯(lián)系表達29(圖1))。
[0039]在處理框5040,稍后,第二用戶可利用第二用戶身份聯(lián)系表達和第二用戶身份聯(lián)系表達應(yīng)用中的至少一個來確定熟悉的用戶是否正在操作耦合設(shè)備。例如,第二用戶可檢索第一用戶身份聯(lián)系表達應(yīng)用以便標(biāo)識第一用戶,以及第三用戶身份聯(lián)系表達應(yīng)用以便標(biāo)識第三用戶。在處理框5050,第二用戶可確定其與第一用戶共享一個認(rèn)證通信共同點(即,雇主-雇員),以及與第三用戶共享兩個公共通信點(即,同事雇員、朋友)。在處理框5060,第二用戶和第三用戶可利用其身份聯(lián)系表達對其自身進行認(rèn)證(以及通過擴展,其在認(rèn)證通信點上作為朋友交換證書)。在處理框5070,第二用戶可希望與第三用戶打開安全在線通信(即,加密在線聊天)。在處理框5080,該過程可結(jié)束。
[0040]圖5中描繪的處理框的順序和編號不旨在暗示操作順序從而排除其他可能性。本領(lǐng)域普通技術(shù)人員將認(rèn)識到能夠?qū)η笆鱿到y(tǒng)和方法進行各種修改和改動。例如,在上述示例中,第二用戶可打開與第三用戶的安全在線通信(即,處理框5070)。在其他實施例中,這無需是這種情況。反而,第二用戶和第三用戶可開始并實現(xiàn)安全事務(wù)(例如,安全文件傳輸)。
[0041]現(xiàn)在轉(zhuǎn)向圖6,示出了生成身份聯(lián)系表達的方法的示例的流程圖。該方法可被實現(xiàn)為存儲在使用電路技術(shù)(諸如ASIC、CMOS或TTL技術(shù)、或其任意組合)的固定功能性邏輯硬件中的可配置邏輯(諸如PLA、FPGA、CPLD)中的機器或計算機可讀存儲介質(zhì)(諸如RAM、R0M、固件、閃存等等)中的邏輯指令集。例如,可用一種或多種編程語言的任意組合編寫用于執(zhí)行該方法中所示的操作的計算機程序代碼,包括面向?qū)ο蟮木幊陶Z言,諸如Java、Smalltalk、C++等等,以及常規(guī)程序編程語言,諸如“C”編程語言或類似的編程語言。
[0042]在本示例中,第一用戶愛麗絲(Alice)(諸如第二用戶20 (圖1))可使用第二用戶設(shè)備(諸如第二用戶設(shè)備21 (圖1))來耦合到使用第二用戶設(shè)備(諸如第三用戶設(shè)備31(圖1))的第二用戶鮑勃(Bob)(諸如第三用戶30 (圖1))。同樣,在本示例中,Alice還可向其自身發(fā)布包括公共密鑰以及Alice對其自身進行標(biāo)識的身份的證書(“自我簽名證書”)。為Alice生成身份聯(lián)系表達的過程可在處理框6000開始。
[0043]在處理框6010,Alice可向第二用戶Bob發(fā)布第一證書(諸如第二證書22 (圖1))。第一證書可包括第一密鑰對(諸如第二用戶密鑰對(圖1)),并且第一密鑰對可包括第一公共密鑰(諸如第二用戶公共密鑰25(圖1))以及第一私人密鑰(諸如第二用戶私人密鑰26(圖1))。
[0044]在處理框6020,Bob可向Alice發(fā)布第二證書。第二證書可包括第二密鑰對,該第二密鑰對可包括第二公共密鑰和第二私人密鑰。在處理框6030,Alice可打開身份聯(lián)系表達應(yīng)用(諸如身份聯(lián)系表達應(yīng)用28 (圖1))。
[0045]在處理框6040,對于已經(jīng)向Alice發(fā)布證書的每一方(例如,第二用戶)而言,身份聯(lián)系表達應(yīng)用可使用具有k個比特(其中,k是非零正整數(shù))的加密散列函數(shù)以便為用戶計算公共密鑰散列值。在這種情況下,可從由第二用戶發(fā)布給Alice的證書獲取發(fā)布者的公共密鑰。
[0046]在處理框6050,對于已經(jīng)向Alice發(fā)布證書的每一方(例如,第二用戶)而言,身份聯(lián)系表達應(yīng)用可使用具有k個比特(其中,k是非零正整數(shù))的加密散列函數(shù)以便為第二用戶計算身份散列值。在這種情況下,可從由第二用戶發(fā)布給Alice的證書獲取發(fā)布者的身份。
[0047]在處理框6060,身份聯(lián)系表達應(yīng)用可為已經(jīng)向Alice發(fā)布證書的每個用戶生成聯(lián)系對。在這種情況下,Bob的聯(lián)系對可包括Bob的公共密鑰散列值以及第二用戶的身份散列值。
[0048]在處理框6070,身份聯(lián)系表達應(yīng)用可生成包括表示與第一用戶共享認(rèn)證通信共同點的所有用戶(非零正整數(shù)η)的聯(lián)系對的聯(lián)系對字段。例如,在這種情況下,由于公共密鑰散列值和身份散列值各自的長度是k個比特,聯(lián)系對字段中的每個聯(lián)系對可表示伽羅瓦(Galois)字段中的元素。即,在本示例中,Alice的聯(lián)系對字段可類似于具有η個聯(lián)系對的伽羅瓦字段,其中,η是大于O的數(shù)字。
[0049]在處理框6080,身份聯(lián)系表達應(yīng)用可使用所生成的聯(lián)系對字段計算第一用戶身份聯(lián)系表達(諸如身份聯(lián)系表達29 (圖1))。例如,在這種情況下,身份聯(lián)系表達應(yīng)用可使用任何多項式內(nèi)插法(諸如拉格朗日內(nèi)插法)來為第一用戶計算唯一身份聯(lián)系表達。更具體地,在本示例中,身份聯(lián)系表達應(yīng)用可生成通過所有η個對作為第一用戶的身份聯(lián)系表達的(η-l)次多項式。該(η-l)次多項式可尤其將Bob的公共密鑰散列值映射到第二用戶的身份散列值.在處理框6090,該過程可結(jié)束。
[0050]圖6中描繪的處理框的順序和編號不旨在暗示操作順序從而排除其他可能性。本領(lǐng)域普通技術(shù)人員將認(rèn)識到能夠?qū)ο到y(tǒng)和方法進行各種修改和改動。例如,在上述示例中,身份聯(lián)系表達應(yīng)用可使用拉格朗日內(nèi)插法來為Alice計算唯一身份聯(lián)系表達。這無需是這種情況。還可使用其他內(nèi)插法(例如,樣條內(nèi)插法)。
[0051]現(xiàn)在轉(zhuǎn)向圖7,示出了第一用戶使用第二用戶的身份聯(lián)系表達標(biāo)識熟悉的用戶的方法的示例的流程圖。該方法可被實現(xiàn)為存儲在使用電路技術(shù)(諸如ASIC、CM0S或TTL技術(shù)、或其任意組合)的固定功能性邏輯硬件中的可配置邏輯(諸如PLA、FPGA、CPLD)中的機器或計算機可讀存儲介質(zhì)(諸如RAM、ROM、固件、閃存等等)中的邏輯指令集。例如,可用一種或多種編程語言的任意組合編寫用于執(zhí)行該方法中所示的操作的計算機程序代碼,包括面向?qū)ο蟮木幊陶Z言,諸如Java、Smalltalk、C++等等,以及常規(guī)程序編程語言,諸如“C”編程語言或類似的編程語言。
[0052]在本示例中,第一用戶(諸如第一用戶10(圖1))可使用第一用戶設(shè)備(諸如第一用戶設(shè)備11(圖1))來耦合到使用第二用戶設(shè)備(諸如第二用戶設(shè)備21(圖1))的第二用戶(諸如第二用戶20 (圖1))。第一用戶設(shè)備和第二用戶設(shè)備可耦合到使用第三用戶設(shè)備(諸如第三用戶設(shè)備31(圖1))的第三用戶(諸如第三用戶30 (圖1))。在本示例中,第一用戶可具有第一用戶身份聯(lián)系表達(諸如第一用戶身份聯(lián)系表達17(圖1))。第二用戶可具有第二身份聯(lián)系表達(諸如第二用戶身份聯(lián)系表達29 (圖1)),并且第三用戶可具有第三身份聯(lián)系表達(諸如第三用戶身份聯(lián)系表達39(圖1))。
[0053]在本示例中,第三用戶可使用身份聯(lián)系表達應(yīng)用(諸如第二用戶身份聯(lián)系表達應(yīng)用28)以及第三身份聯(lián)系表達中的至少一項來確定第二用戶和第三用戶都與第一用戶具有認(rèn)證通信共同點。
[0054]而且,在本示例中,第一用戶可能已經(jīng)之前與第二用戶和第三用戶都交換過第一用戶證書(諸如第一用戶證書13 (圖1)),其可用第二用戶身份聯(lián)系表達和第三用戶身份聯(lián)系表達來表示。然而,在本示例中,第二用戶和第三用戶尚未交換過任何證書。該過程可在處理框7000開始。
[0055]在處理框7010,第二用戶和第三用戶可將各自標(biāo)識為可用于通信(例如,通過商業(yè)機構(gòu)處的無線網(wǎng)絡(luò))。在處理框7020,位于第二用戶設(shè)備上的身份聯(lián)系表達應(yīng)用的見面打招呼協(xié)議部分可與第三用戶設(shè)備交換第二用戶身份聯(lián)系表達。類似地,在處理框7030,位于第三用戶設(shè)備上的身份聯(lián)系表達應(yīng)用的見面打招呼協(xié)議部分可與第二用戶設(shè)備交換第三用戶身份聯(lián)系表達。
[0056]在處理框7040,由第一用戶使用發(fā)布給它的證書,身份聯(lián)系表達應(yīng)用可確定第一值。在本示例中,相對于由第一用戶發(fā)布的證書中的公共密鑰的散列值,第一值可以是第二用戶身份聯(lián)系表達的值。
[0057]在處理框7050,由第一用戶使用發(fā)布給它的證書,身份聯(lián)系表達應(yīng)用可確定第二值。在本示例中,第二值可以是第一用戶的身份的散列值的值。
[0058]在處理框7060,身份聯(lián)系表達應(yīng)用可比較第一值和與第二值。如果第一值與第二值相同,則在處理框7070,第二用戶和第三用戶可與第一用戶共享共同關(guān)系。另一方面,如果第一值與第二值不同,則在處理框7080,這兩方可不與第一用戶共享共同關(guān)系。在處理框7080,該過程可結(jié)束。
[0059]圖7中描繪的處理框的順序和編號不旨在暗示操作順序從而排除其他可能性。對具有本公開的益處的人員將明顯的是可在不脫離在此描述的實施例的更寬泛的精神和范圍的情況對這些實施例做出各種修改和改變。
[0060]例如,在上述示例中,在處理框7060種描述的比較可用于確定第二用戶和第三用戶是否可與第一用戶共享共同關(guān)系。然而,這無需是這種情況。在其他實施例中,身份聯(lián)系表達應(yīng)用可使用第一值和第二值來確定第二用戶和第三用戶共享認(rèn)證通信共同點并且之前已經(jīng)交換過證書。
[0061]實施例因此可以提供一種在線標(biāo)識和認(rèn)證方法,包括:生成表示第一用戶和第二用戶之間的基于認(rèn)證通信共同點的關(guān)系的證明文件、為該第一用戶標(biāo)識該第二用戶、認(rèn)證該第二用戶與該第一用戶的關(guān)系、以及當(dāng)認(rèn)證時開始該第一用戶和該第二用戶之間的通信。該方法還可提供使用該證明文件為該第二用戶生成身份散列值、使用該公共密鑰散列值和該身份散列值生成聯(lián)系對。該方法可進一步提供使用該聯(lián)系對生成聯(lián)系對字段以及使用該聯(lián)系對字段生成標(biāo)識該第一用戶的累加身份的身份聯(lián)系表達。
[0062]在一個示例中,用于該第二用戶的該公共密鑰散列值和用于該第二用戶的該身份散列值是使用加密散列函數(shù)生成的。
[0063]在一個示例中,用于生成該公共密鑰散列值的該加密散列函數(shù)是k個比特長,其中,k是非零正整數(shù)。
[0064]在另一個示例中,用于生成該身份散列值的該加密散列函數(shù)是k個比特長,其中,k是非零正整數(shù)。
[0065]在一個示例中,該聯(lián)系對字段由具有2k個元素的伽羅瓦字段表示,并且該公共密鑰散列值和該身份散列值被解釋為該字段的k比特元素。
[0066]在仍另一個示例中,用于該第一用戶的該身份聯(lián)系表達是使用多項式內(nèi)插法生成的。
[0067]在又另一個示例中,該身份聯(lián)系表達是將該公共密鑰散列值映射到該身份散列值的多項式。
[0068]在另一個示例中,該身份聯(lián)系表達的生成過程是動態(tài)的。
[0069]實施例還可包括:至少一種機器可讀介質(zhì),包括多個指令,響應(yīng)于在計算設(shè)備上被執(zhí)行,該多個指令致使該計算設(shè)備執(zhí)行前述方法的任何示例;一種用于在線標(biāo)識和認(rèn)證的裝置,包括設(shè)備存儲器和被配置成用于執(zhí)行前述方法的任何示例的邏輯;以及一種用于在線標(biāo)識和認(rèn)證的系統(tǒng),包括第一設(shè)備存儲器、第二設(shè)備存儲器和被配置成用于執(zhí)行前述方法的任何示例的方法的邏輯。
[0070]另一個實施例可以提供一種在線標(biāo)識和認(rèn)證方法,包括:生成表示第一用戶和第二用戶之間的基于認(rèn)證通信共同點的關(guān)系的證明文件以及將該證明文件從該第一用戶交換到該第二用戶。該方法還可提供:使用該證明文件為該第一用戶標(biāo)識該第二用戶,使用該證明文件認(rèn)證該第一用戶和該第二用戶之間的關(guān)系,以及當(dāng)認(rèn)證時,開始該第一用戶和該第二用戶之間的通信。
[0071]在一個示例中,該方法可包括:當(dāng)認(rèn)證時,進行該第一用戶和該第二用戶之間的事務(wù)。
[0072]在另一個示例中,該證明文件表示用于該第一用戶的不同身份。
[0073]在另一個示例中,通過任何認(rèn)證通信點發(fā)布給該第一用戶并且由其接收的全部證明文件表示該第一用戶的累加身份。
[0074]在又一個示例中,該方法可包括為該第一用戶生成身份聯(lián)系表達從而描述該第一用戶的該累加身份。
[0075]在又另一個示例中,該身份聯(lián)系表達的生成過程是動態(tài)的。
[0076]實施例還可包括:至少一種機器可讀介質(zhì),包括多個指令,響應(yīng)于在計算設(shè)備上被執(zhí)行,該多個指令致使該計算設(shè)備執(zhí)行前述方法的任何示例;一種用于在線標(biāo)識和認(rèn)證的裝置,包括設(shè)備存儲器和被配置成用于執(zhí)行前述方法的任何示例的邏輯;以及一種用于在線標(biāo)識和認(rèn)證的系統(tǒng),包括第一設(shè)備存儲器、第二設(shè)備存儲器和被配置成用于執(zhí)行前述方法的任何示例的方法的邏輯。
[0077]又另一個實施例可以提供一種裝置,包括:存儲器設(shè)備;用于生成表示第一用戶和第二用戶之間的基于認(rèn)證通信共同點的關(guān)系的證明文件的證明文件模塊;用于將該證書從該第一用戶交換到該第二用戶的交換模塊;以及用于使用該證明文件為該第二用戶生成公共密鑰散列值的公共密鑰散列模塊。該裝置還可包括用于使用該證明文件為該第二用戶生成身份散列值的身份散列模塊以及用于使用該公共密鑰散列值和該身份散列值生成聯(lián)系對的聯(lián)系對模塊。附加地,該裝置可包括用于使用該聯(lián)系對生成聯(lián)系對字段的聯(lián)系對字段模塊以及用于使用該聯(lián)系對字段生成標(biāo)識該第一用戶的累加身份的身份聯(lián)系表達的聯(lián)系對字段和身份聯(lián)系表達模塊。
[0078]仍另一個實施例可提供一種系統(tǒng),包括:通信網(wǎng)絡(luò)、包括存儲器設(shè)備的第一用戶設(shè)備以及包括存儲器設(shè)備的第二用戶設(shè)備。該系統(tǒng)可包括:用于生成表示第一用戶和第二用戶之間的基于認(rèn)證通信共同點的關(guān)系的證明文件的證明文件模塊;用于將該證書從該第一用戶交換到該第二用戶的交換模塊;以及用于使用該證明文件為該第二用戶生成公共密鑰散列值的公共密鑰散列模塊。該裝置還可包括用于使用該證明文件為該第二用戶生成身份散列值的身份散列模塊以及用于使用該公共密鑰散列值和該身份散列值生成聯(lián)系對的聯(lián)系對模塊。附加地,該裝置可包括用于使用該聯(lián)系對生成聯(lián)系對字段的聯(lián)系對字段模塊以及用于使用該聯(lián)系對字段生成標(biāo)識該第一用戶的累加身份的身份聯(lián)系表達的聯(lián)系對字段和身份聯(lián)系表達模塊。
[0079]本領(lǐng)域普通技術(shù)人員將從前述說明中認(rèn)識到本發(fā)明實施例的大量技術(shù)可以用不同的形式實現(xiàn)。因此,盡管已經(jīng)結(jié)合其具體示例描述了本發(fā)明實施例,本方面實施例的真實范圍不應(yīng)當(dāng)被如此限制,因為當(dāng)學(xué)習(xí)附圖、說明書和以下權(quán)利要求書時,其他修改將對本領(lǐng)域普通技術(shù)人員變得明顯。
[0080]附加地,在某些附圖中,可用線路表示信號導(dǎo)線。某些可能不同,用于指示更多組成信號路徑,具有號碼標(biāo)簽,指示多個組成信號路徑,和/或在一個或多個端部具有箭頭,指示主信息流方向。然而,這不應(yīng)當(dāng)以限制性的方式解釋。而是,這種附加細(xì)節(jié)可結(jié)合一個或多個示例性實施例使用,以便促進更容易的理解。任何所表示的信號線(不管是否具有附加信息)可實際上包括一個或多個信號,該一個或多個信號可在多個方向上行進并且可用任意合適類型的信號方案實現(xiàn),例如用差分對、光纖線路、和/或單端線路實現(xiàn)的數(shù)字或模擬線路。
[0081]示例大小/模型/值/范圍可已經(jīng)被給出,盡管本發(fā)明實施例不限于此。隨著制造技術(shù)(例如,光刻法)日益成熟,所期望的是可制造具有更小大小的設(shè)備。附加地,為了簡單地展示和討論,并且為了不混淆本發(fā)明實施例的某些方面,公知的電/地連接以及其他組件可以或可以不在附圖中展示。進一步地,可以用框圖的形式示出安排,以便避免混淆本發(fā)明實施例,并且還鑒于以下事實:針對這種框圖安排的實現(xiàn)方式的詳情高度地取決于將在其中實現(xiàn)實施例的平臺,即,這些詳情應(yīng)當(dāng)在本領(lǐng)域普通技術(shù)人員的范圍內(nèi)。當(dāng)列出特定細(xì)節(jié)以便描述本發(fā)明的示例實施例時,對于本領(lǐng)域普通技術(shù)人員而言應(yīng)當(dāng)明顯的是本發(fā)明實施例可在不具有或具有這些特定細(xì)節(jié)的變體的情況下實踐。因此,本說明書應(yīng)當(dāng)被認(rèn)為是展示性的而不是限制性的。
[0082]術(shù)語“耦合”可在此用于指代有關(guān)組件之間的任何類型的關(guān)系(直接的或間接的)并且可應(yīng)用到電、機械、流體、光、電磁、機電或其他連接。附加地,術(shù)語“第一”、“第二”等等可在此僅用于方便討論并且不帶有任何特定的時間或時間順序的意義,除非另外指明。
[0083]本已經(jīng)詳細(xì)地參照具體實施例僅通過舉例而非通過限制示出和描述了發(fā)明的實施例的若干特征和方面。本領(lǐng)域普通技術(shù)人員將認(rèn)識到對所公開的實施例的可替代的實現(xiàn)方式和各種修改在本公開的范圍和設(shè)想內(nèi)。因此,旨在本發(fā)明被認(rèn)為僅由所附權(quán)利要求書的范圍限制。
【權(quán)利要求】
1.一種在線標(biāo)識和認(rèn)證的方法,包括: 生成表示第一用戶和第二用戶之間的基于認(rèn)證通信共同點的關(guān)系的證明文件; 將所述證明文件從所述第一用戶交換到所述第二用戶; 使用所述證明文件為所述第二用戶生成公共密鑰散列值; 使用所述證明文件為所述第二用戶生成身份散列值; 使用所述公共密鑰散列值和所述身份散列值生成聯(lián)系對; 使用所述聯(lián)系對生成聯(lián)系對字段;以及 使用所述聯(lián)系對字段生成表示所述第一用戶的累加身份的身份聯(lián)系表達。
2.如權(quán)利要求1所述的方法,其中,用于所述第二用戶的所述公共密鑰散列值和用于所述第二用戶的所述身份散列值是使用加密散列函數(shù)而生成的。
3.如權(quán)利要求1所述的方法,其中,用于生成所述公共密鑰散列值的所述加密散列函數(shù)是k個比特長,其中,k是非零正整數(shù)。
4.如權(quán)利要求1所述的方法,其中,用于生成所述身份散列值的所述加密散列函數(shù)是k個比特長,其中,k是非零正整數(shù)。
5.如權(quán)利要求1所述的方法,其中,所述聯(lián)系對字段由具有2k個元素的伽羅瓦字段表示,并且所述公共密鑰散列值和所述身份散列值被解釋為該字段的k比特元素。
6.如權(quán)利要求1所述的方法,其中,用于所述第一用戶的所述身份聯(lián)系表達是使用多項式內(nèi)插法而生成的。
7.如權(quán)利要求6所述的方法,其中,所述身份聯(lián)系表達是將所述公共密鑰散列值映射到所述身份散列值的多項式。
8.如權(quán)利要求1所述的方法,其中,所述身份聯(lián)系表達的生成是動態(tài)的。
9.至少一種機器可讀介質(zhì),包括用于在線標(biāo)識和認(rèn)證的多個指令,響應(yīng)于在計算設(shè)備上被執(zhí)行,所述指令致使所述計算設(shè)備執(zhí)行根據(jù)權(quán)利要求1至8中任一項所述的方法。
10.一種用于實現(xiàn)在線標(biāo)識和認(rèn)證的裝置,包括: 設(shè)備存儲器;以及 邏輯,被配置成用于執(zhí)行如權(quán)利要求1至9中任一項所述的方法。
11.一種用于實現(xiàn)在線標(biāo)識和認(rèn)證的系統(tǒng),包括: 第一設(shè)備存儲器; 第二設(shè)備存儲器;以及 邏輯,被配置成用于執(zhí)行如權(quán)利要求1至9中任一項所述的方法。
12.—種在線標(biāo)識和認(rèn)證的方法,包括: 生成表示第一用戶和第二用戶之間的基于認(rèn)證通信共同點的關(guān)系的證明文件; 將所述證明文件從所述第一用戶交換到所述第二用戶; 使用所述證明文件向所述第一用戶標(biāo)識所述第二用戶; 使用所述證明文件認(rèn)證所述第一用戶和所述第二用戶之間的關(guān)系;以及 當(dāng)認(rèn)證時,開始所述第一用戶和所述第二用戶之間的通信。
13.如權(quán)利要求12所述的方法,包括當(dāng)認(rèn)證時,進行所述第一用戶和所述第二用戶之間的事務(wù)。
14.如權(quán)利要求12所述的方法,其中,所述證明文件表示用于所述第一用戶的不同身份。
15.如權(quán)利要求12所述的方法,其中,通過任何認(rèn)證通信點發(fā)布給所述第一用戶并且由其接收的全部證明文件表示所述第一用戶的累加身份。
16.如權(quán)利要求15所述的方法,包括為所述第一用戶生成身份聯(lián)系表達從而描述所述第一用戶的所述累加身份。
17.如權(quán)利要求16所述的方法,其中,所述身份聯(lián)系表達的生成是動態(tài)的。
18.至少一種機器可讀介質(zhì),包括用于在線標(biāo)識和認(rèn)證的多個指令,響應(yīng)于在計算設(shè)備上被執(zhí)行,所述指令致使所述計算設(shè)備執(zhí)行根據(jù)權(quán)利要求12至17中任一項所述的方法。
19.一種用于實現(xiàn)在線標(biāo)識和認(rèn)證的裝置,包括: 設(shè)備存儲器;以及 邏輯,被配置成用于執(zhí)行如權(quán)利要求12至17所述的方法。
20.一種用于實現(xiàn)在線標(biāo)識和認(rèn)證的系統(tǒng),包括: 第一設(shè)備存儲器; 第二設(shè)備存儲器;以及 邏輯,被配置成用于執(zhí)行如權(quán)利要求12至17所述的方法。
【文檔編號】H04L9/30GK104205720SQ201280071923
【公開日】2014年12月10日 申請日期:2012年4月9日 優(yōu)先權(quán)日:2012年4月9日
【發(fā)明者】J·沃克, G·普拉卡什, D·斯塔納索洛維奇, J·R·格雷格 申請人:英特爾公司