專利名稱:用于安全管理的基于環(huán)球網(wǎng)的應(yīng)用服務(wù)模式的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及用于在分散性公用網(wǎng)絡(luò)上安全分配數(shù)據(jù)和信息的加密技術(shù)���,以及更具體地說,涉及基于環(huán)球網(wǎng)的安全密鑰管理系統(tǒng)中的基于環(huán)球網(wǎng)的認(rèn)證�、管理、分配以及訪問許可證書或編碼的使用�。
背景技術(shù):
A.傳統(tǒng)公鑰體系結(jié)構(gòu)系統(tǒng)數(shù)字電子時代利用用于電子安全的五個基本要素專用(對稱加密)、驗證��、認(rèn)可�、數(shù)據(jù)完整性(篡改證據(jù))以及授權(quán)(訪問管理)。目前在公鑰體系結(jié)構(gòu)(“PKI”)中使用的技術(shù)允許將信息從點A安全地傳輸?shù)近cB�����,提供驗證、認(rèn)可以及數(shù)據(jù)完整性�,公鑰體系結(jié)構(gòu)在加密學(xué)中是公知的(參見如Bruce Schneier,Applied Cryptography�,John Wiley&Sons,1996�,以及在www.rsa.com以及www.rsasecurity.com/products/keon/white papers的指南)����。然而目前的PKI技術(shù)不能提供用于電子保密的關(guān)鍵的第5個要素授權(quán)。對一類用戶來說��,這種缺乏訪問管理帶來了特別重要的問題大的組織如政府機關(guān)以及公司�����,其中數(shù)千用戶需要立即訪問數(shù)百萬條信息-但其中每個人應(yīng)當(dāng)僅訪問他或她明確有權(quán)訪問的信息�����。
更具體地說�����,傳統(tǒng)的PKI系統(tǒng)具有三個重要的限制(a)粗粒度訪問�����。傳統(tǒng)的PKI系統(tǒng)對信息庫的訪問部分不提供良好的一對多解決方案。另外�,如果個人有讀取文件、文獻(xiàn)或數(shù)據(jù)庫視圖的訪問權(quán)��,他或她有讀取其全部而并非僅是其一部分的權(quán)利�。相反,理想的訪問控制技術(shù)將允許不同人瀏覽單個報表�����、計劃�����、數(shù)據(jù)庫查詢或財務(wù)電子表格的不同部分����,以及拒絕他們訪問其他部分。(b)集中安全判決��。傳統(tǒng)的PKI系統(tǒng)對計算機系統(tǒng)性能有消極影響���,因為公鑰求冪的計算強特性以及安全校驗的集中特性���。隨系統(tǒng)中用戶和信息數(shù)量的增加�,當(dāng)將安全服務(wù)器或許可服務(wù)用來驗證和監(jiān)視用戶信息訪問����,它們總是變成性能和單點故障瓶頸。(c)無標(biāo)準(zhǔn)化的訪問證書���。盡管傳統(tǒng)PKI系統(tǒng)能驗證用戶身份���,但它不能確定授權(quán)那個人創(chuàng)建或訪問什么信息�,即PKI的“授權(quán)問題”。
B.CKM加密標(biāo)準(zhǔn)推定密鑰(constructive key)管理(“CKM”)是用于分布式密鑰管理的加密方法����。美國國家標(biāo)準(zhǔn)協(xié)會(“ANSI”)已經(jīng)將CKM作為標(biāo)準(zhǔn)X9.69采用,并解決了由傳統(tǒng)PKI系統(tǒng)所帶來的授權(quán)問題����。CKM,X9.69 ANSI標(biāo)準(zhǔn)的詳細(xì)情況已經(jīng)全部在題目為AmericanNational Standard for Financial Services�,X9.69-1998,F(xiàn)ramework forKey Management Extensions�����,American Bankers Association,1998的文獻(xiàn)中公開����,在此合并作為參考。美國專利No.5,375,169以及5,787,173也公開了CKM的詳細(xì)情況�。CKM可用任何加密算法或密鑰長度導(dǎo)出。在整個該說明中討論了CKM的另外的詳細(xì)情況�����,因為這些詳細(xì)情況與描述的本發(fā)明的實施例有關(guān)��。
由TECSEC�,Inc.(“TECSEC”)提供的CKM的商業(yè)可獲得的實現(xiàn)將X9.69ANSI標(biāo)準(zhǔn)用在基于職務(wù)的訪問系統(tǒng)中以便加密地控制訪問在組織的獨立、內(nèi)部數(shù)據(jù)庫中創(chuàng)建和存檔的文獻(xiàn)�。該基于職務(wù)的系統(tǒng)允許數(shù)據(jù)庫管理員有選擇性地授予網(wǎng)絡(luò)用戶,稱為“成員”訪問許可權(quán)���,根據(jù)每個成員單獨分配的組織職務(wù)��,而不是成員的個人身份�。因此�����,如果用戶組織指派職務(wù)改變,則同時改變他或她的訪問許可以便反映該新的組織職務(wù)�����。
圖1表示在www.tesec.com網(wǎng)絡(luò)站點上描述的CKM技術(shù)的基本原理��。CKM提供一種加密方法�,通過該加密方法,組織能通過將訪問許可嵌入加密對象本身中�,使用細(xì)粒度、基于職務(wù)���、不同訪問許可來管理信息的分配和訪問。包括在CKM中的是基于二組密鑰類型工作密鑰和證書密鑰的加密密鑰生成方法�。
將用在包含興趣信息的數(shù)據(jù)對象的加密(和解密)中的密鑰稱為工作密鑰。它可用作由對稱加密算法如3DES所需的會話密鑰或消息加密密鑰����。將由幾條信息(稱為值)構(gòu)造的-工作密鑰用來加密使用對稱密鑰加密算法的數(shù)據(jù)對象,然后丟棄�����。用在構(gòu)造用于加密的工作密鑰中的值也用來重構(gòu)用于解密的工作密鑰。將結(jié)合這些值來創(chuàng)建工作密鑰的函數(shù)稱為CKM組合器而且是CKM加密方法的中樞�。
通過使用與個人訪問許可十分有關(guān)的一套“證書”,在CKM中提供授權(quán)信息��。將證書用來形成證書密鑰�,證書密鑰本身用來加密嵌入在數(shù)據(jù)對象文件頭中(即加到加密對象上)的工作密鑰信息。不對稱值(Diffie-Hellman生成的密鑰對)與每個證書集有關(guān)��。讀/寫分開是加密可用的讀訪問等效于公鑰解密權(quán)(使用私鑰)����,以及寫訪問等效于公鑰加密權(quán)(使用公鑰)。
將訪問許可分配給公司雇員作為“成員安全簡檔表”�,包含個人證書以及預(yù)先特定的“域”和“維護(hù)”值。域和維護(hù)值分別反映雇員在公司內(nèi)的組織單元以及雇員可訪問公司文獻(xiàn)的有限時限�����。成員安全簡檔表也包含文件頭加密密鑰��、算法訪問許可(對稱算法選擇)以及特定域的政策�����。成員安全簡檔表通常包含在可移動的加密令牌(如智能卡)上��。只要已經(jīng)分配了成員安全簡檔表,則由個人成員安全簡檔表控制加密和解密�����。
為描述CKM的一般概念��,假定管理部門想要在其公司網(wǎng)絡(luò)上將備忘錄通知所有雇員��,備忘錄包含用于所有雇員的一般信息���,而且包括將僅由管理員瀏覽的機密信息���。通過CKM,將用每個雇員包括管理員擁有的訪問許可證書加密用于所有雇員的文獻(xiàn)部分�����;然而���,使用僅限于管理員的證書加密屬于管理部門的文獻(xiàn)部分。當(dāng)雇員下載和解密文獻(xiàn)時����,所有雇員將能瀏覽公用信息�,而管理員也將能瀏覽受限信息�。該解密方法是無縫的通過CKM,有可能使每個用戶瀏覽文獻(xiàn)或其它在線數(shù)據(jù)對象而且不知道他或她的訪問許可(以及��,因此允許他或她瀏覽信息)不同于其他用戶�。
然而,現(xiàn)有的CKM系統(tǒng)的主要缺點在于將CKM構(gòu)想和設(shè)計成使用兩個單線程�、獨立的計算機系統(tǒng)-一個用于成員以及一個用于管理員。現(xiàn)有的CKM系統(tǒng)使用不僅用于在成員和/或管理員中傳送加密對象�,而且用于執(zhí)行認(rèn)證任務(wù)的網(wǎng)絡(luò)。沒有將現(xiàn)有的CKM系統(tǒng)設(shè)計成利用公用網(wǎng)�����,如Internet來提供實質(zhì)上增強的性能����,包括(a)使在世界上任何地方的成員安全簡檔表立即對所有成員有效,以及能很忽然(如對CKM來說幾小時或幾天對幾周或幾月)修改或關(guān)掉成員安全簡檔表�����;(b)使認(rèn)證創(chuàng)建和維護(hù)功能對位于世界上任何地方的管理員�,僅通過擁有Internet連接和瀏覽器;(c)提供邏輯集中的認(rèn)證功能,便于容易防止數(shù)據(jù)丟失�����、天災(zāi)�����、內(nèi)部或外部安全攻擊以及用于極其大群成員的容易集中計帳和管理能力���;(d)提供邏輯集中-但物理分布的認(rèn)證功能�,允許所有參與者(成員和管理員)感知與系統(tǒng)的單點接觸�����,但系統(tǒng)實際上是幾個計算機系統(tǒng)(服務(wù)器)上組件化和物理分布的(同時在單個網(wǎng)絡(luò)操作中心����,以及經(jīng)位于世界的不同部分中的多個網(wǎng)絡(luò)操作中心分布);這實際上帶來了可升級能力(從幾百到幾千萬成員���,以及從一個到幾百個工作組管理員)以及同時允許成員和幾個系統(tǒng)地理分散����,而沒有現(xiàn)有技術(shù)的獨立��、單個線程CKM設(shè)計的物理限制��;以及e)提供系統(tǒng)設(shè)計����、出售內(nèi)容、娛樂以及遠(yuǎn)程通信(無線系統(tǒng))領(lǐng)域����,該系統(tǒng)設(shè)計實際上與公司信息保護(hù)中的多個基于Internet的應(yīng)用更兼容。
因此��,所需要的是基于分散的���、公用網(wǎng)絡(luò)的方法和裝置����,至少提供在現(xiàn)有CKM系統(tǒng)中沒有的所有上述列出的增強的能力���。本方法或裝置的實施例將進(jìn)一步提供用于為系統(tǒng)的單個用戶創(chuàng)建�����、認(rèn)證���、請求和分配成員安全簡檔表的帶內(nèi)方法���,以及改進(jìn)的驗證用戶的方法,從而避免對將保密的數(shù)據(jù)和信息的欺詐或未授權(quán)的訪問����。
發(fā)明內(nèi)容
A.基于環(huán)球網(wǎng)的CKM系統(tǒng)本發(fā)明針對加密密鑰管理安全方法和裝置,以下稱為“PXa3”(精確可擴(kuò)展的驗證�����、授權(quán)和認(rèn)證)�。PXa3提供用于在分散公用網(wǎng)如Internet的萬維網(wǎng)(稱為“環(huán)球網(wǎng)”)上安全地分配數(shù)據(jù)和信息的方法和裝置。PXa3創(chuàng)建和維護(hù)用于每個用戶的萬維網(wǎng)服務(wù)器帳戶�,以便在Internet上使它的基本操作模式起作用-不僅在其各種應(yīng)用的內(nèi)部認(rèn)證方面而且在訪問PXa3系統(tǒng)安全的數(shù)據(jù)文件或其他對象(或整個系統(tǒng))方面。
根據(jù)本發(fā)明的一個方面�,PXa3提供用于在分散、公用網(wǎng)上分配數(shù)據(jù)和信息以便有選擇的許可訪問在線文獻(xiàn)和其他形式的數(shù)字內(nèi)容的方法��。根據(jù)本發(fā)明的另一方面�����,PXa3提供用于一般控制對安全系統(tǒng)的任何形式的訪問的方法-物理(如公司倉庫)或邏輯(如公司計算機網(wǎng)絡(luò))。
PXa3使用對網(wǎng)絡(luò)用戶來說唯一的成員安全簡檔表和他或她所屬的域����。在PXa3系統(tǒng)中���,萬維網(wǎng)站點服務(wù)器保存所有私鑰和證書���,以及用戶安全簡檔表,用戶安全簡檔表包括(在其他事中)用戶訪問許可證書以及可選的生物模板����。PXa3服務(wù)器系統(tǒng)因而維護(hù)用于每個用戶的安全簡檔表,以及管理員能經(jīng)基于PXa3服務(wù)器的數(shù)據(jù)庫帳戶將證書更新以及其他定期的維護(hù)更新傳送給用戶��。經(jīng)連接到PXa3環(huán)球網(wǎng)站點而不是在他們的本地工作站上���,這些管理員(域管理員和工作組管理員)也執(zhí)行他們的認(rèn)證性零碎工作���,正如在現(xiàn)有CKM技術(shù)中所要求的。
在本發(fā)明的一個實施例中��,(至少)包含域和維護(hù)值��、文件頭加密密鑰、成員訪問許可證書以及域特定政策的成員安全簡檔表可從中央PXa3服務(wù)器獲得作為可在任何Internet連接上可下載的“軟令牌”��。在成員登錄環(huán)球網(wǎng)站點以及驗證他或她本身后��,可下載軟令牌作為成員客戶系統(tǒng)的多個加密對象集��。一旦下載�����,在客戶系統(tǒng)永久存儲設(shè)備上�����,軟令牌可仍然保持加密���,以及除通過正確引入成員密碼(或其他驗證方法)外��,不能解密-以及當(dāng)需要它們時�,則僅解密安全簡檔表的必要部分��。
B.改進(jìn)的驗證方法本發(fā)明的PXa3系統(tǒng)在現(xiàn)有CKM系統(tǒng)上提供改進(jìn)的驗證方法��。因此����,在PXa3系統(tǒng)中���,域和工作組管理員登錄到環(huán)球網(wǎng)站點和定期向環(huán)球網(wǎng)站點驗證他們自己和數(shù)千其他網(wǎng)絡(luò)用戶(即成員)的管理員職務(wù)、安全政策以及證書�����,將重要的認(rèn)證信息保存在可從世界上任何地方訪問的保護(hù)很好以及適當(dāng)?shù)膫浞莸沫h(huán)球網(wǎng)存儲系統(tǒng)中���。根據(jù)組織需要,用于管理員和成員的驗證強度可是從1-因子安全性(PIN或密碼)到2-因子(密碼加令牌或生物特征)��、到3-因子(密碼+令牌+生物特征)的任何東西���。時間以及用戶的物理位置也可用作驗證參數(shù)�。
在每次加密會話開始時�,成員登錄網(wǎng)絡(luò)站點以及用由組織選擇的適當(dāng)?shù)募夹g(shù)驗證他們自己。只要打開會話(如通過從PXa3環(huán)球網(wǎng)站點檢索成員令牌定義的)�����,成員使用如維護(hù)在他們的安全簡檔表中的基于他們的職務(wù)的證書干完他們白天創(chuàng)建或消費的加密數(shù)據(jù)對象��。可將那些安全簡檔表提供給用戶作為硬令牌(如經(jīng)PXa3環(huán)球網(wǎng)服務(wù)器上的主簡檔表每天同步的智能卡)或作為用臨時受限的方法駐留在成員客戶系統(tǒng)上的可下載的軟令牌�����。另外���,安全簡檔表可永久地駐留為環(huán)球網(wǎng)服務(wù)器系統(tǒng)上的軟令牌�����,然而對在環(huán)球網(wǎng)上加密需要要求時����,用戶可訪問����。
C.用PKI集成在PXa3中使用PKI(公鑰體系結(jié)構(gòu))是慣例,并且包括用于CKM對象的數(shù)字標(biāo)記的公鑰對和證書��。來自Entrust�、Baltimore、Verisign以及其他公司的任何標(biāo)準(zhǔn)的PKI系統(tǒng)將與PXa3系統(tǒng)一起起作用���。
D.本發(fā)明的各個方面根據(jù)本發(fā)明的一個方面���,PXa3提供用于基于環(huán)球網(wǎng)的安全管理的方法��,其中在Internet的分散公用網(wǎng)上整個處理CKM安全簡檔表的認(rèn)證��、管理和分配�。在本發(fā)明的該方面中�,首先識別將具有加密能力的所選擇的網(wǎng)絡(luò)用戶組。然后在每個識別的組中創(chuàng)建用于每個網(wǎng)絡(luò)用戶的成員帳戶���,以及將這些成員帳戶維護(hù)在單個數(shù)據(jù)庫上。為創(chuàng)建用于每個成員的安全簡檔表�,為每個用戶組建立一個或多個訪問碼。訪問碼可以是如用于定義基于職務(wù)的訪問許可的CKM證書�����,CKM證書可用于和其他成分結(jié)合來根據(jù)X9.69ANSI標(biāo)準(zhǔn)形成加密密鑰���。為每個成員創(chuàng)建包含至少一個訪問碼的至少一個安全簡檔表�����,以及將安全簡檔表存儲在用戶成員帳戶中���。為維護(hù)成員帳戶���,同時定義各種認(rèn)證任務(wù)。這些認(rèn)證任務(wù)可包括如報告成員行動�、系統(tǒng)事件以及記費活動以及增加、去除以及更新成員帳戶�。另外,創(chuàng)建與每個安全簡檔表有關(guān)的使成員能夠具有加密能力的成員令牌�����。經(jīng)如硬令牌���、軟令牌�、生物識別和/或密碼以及用戶ID���,保密安全簡檔表以及相關(guān)的成員令牌�����。根據(jù)驗證請求以及根據(jù)每個用戶的安全簡檔表�,在網(wǎng)絡(luò)上將成員令牌分配給各個網(wǎng)絡(luò)用戶。
在本發(fā)明的相關(guān)方面中����,在Internet上遠(yuǎn)程實現(xiàn)與創(chuàng)建成員安全簡檔表有關(guān)的認(rèn)證功能和/或活動?����?捎捎脩羰謩踊蜃詣訉崿F(xiàn)創(chuàng)建和分配安全簡檔表和成員令牌(即對用戶是透明的)��。
在本發(fā)明的另一方面中����,PXa3提供用于在Internet的分散公用網(wǎng)上認(rèn)證加密能力,如CKM工作密鑰和/或安全簡檔表的集中的安全管理系統(tǒng)��。本發(fā)明的該方面包括一組服務(wù)器系統(tǒng)和成員域����,其中在至少一個服務(wù)器上維護(hù)每個成員域�����。一個或多個系統(tǒng)管理員執(zhí)行系統(tǒng)維護(hù)任務(wù)���。經(jīng)成員帳戶將屬于域的成員的網(wǎng)絡(luò)用戶與那個域關(guān)聯(lián)����。一組成員安全簡檔表為與那個成員帳戶關(guān)聯(lián)的網(wǎng)絡(luò)用戶提供加密能力,其中每個安全簡檔表與成員帳戶唯一關(guān)聯(lián)�����。系統(tǒng)也包括用于維護(hù)成員帳戶的一組認(rèn)證任務(wù)�,以及域管理員能在網(wǎng)絡(luò)上遠(yuǎn)程執(zhí)行這些認(rèn)證任務(wù)。認(rèn)證任務(wù)可包括如報告和與每個成員帳戶有關(guān)的記帳任務(wù)����;根據(jù)不同級別的認(rèn)證任務(wù),可進(jìn)一步將域管理員劃分成分層的結(jié)構(gòu)群���。
在本發(fā)明的相關(guān)方面中�����,每個成員帳戶包括成員標(biāo)識和驗證�����,至少在一個服務(wù)器系統(tǒng)是這樣��。
在本發(fā)明的另一方面中����,PXa3提供用于在Internet上分配加密能力,如CKM工作密鑰和/或安全簡檔表的基于環(huán)球網(wǎng)��、客戶服務(wù)器結(jié)構(gòu)�。在本發(fā)明的該方面中,成員令牌向驗證的Internet用戶提供加密能力��,以及一組服務(wù)器系統(tǒng)經(jīng)Internet管理將這些成員令牌分配給各個客戶機系統(tǒng)�����?����?蛻舴?wù)器系統(tǒng)包括用于從至少一個服務(wù)器系統(tǒng)請求成員令牌的組件�。每個客戶機系統(tǒng)包括用于接收所請求的成員令牌的組件,以及用于利用通過成員令牌提供的加密能力的組件���。客戶服務(wù)器系統(tǒng)也包括用于在Internet的分散公用網(wǎng)上安全地將請求的成員令牌從服務(wù)器系統(tǒng)分配到客戶機系統(tǒng)的組件�。
在本發(fā)明的相關(guān)方面中����,驗證組件駐留在客戶機和/或服務(wù)器系統(tǒng)上��。另外��,每個客戶機系統(tǒng)上的會話管理器使各個用戶有能力請求新的或更新的令牌���,其中成員令牌檢索方法可包括手動或自動更新令牌�����。
本發(fā)明的另外方面提供用于在分散公用網(wǎng)上將加密能力分配給多個網(wǎng)絡(luò)用戶的相關(guān)的方法�����。在本發(fā)明的該方面中���,接收代表網(wǎng)絡(luò)用戶的訪問許可安全簡檔表的要求(以及可通過網(wǎng)絡(luò)用戶在帶內(nèi)激活)。然后經(jīng)如生物識別��、硬件和軟件令牌�����、用戶位置、請求時間和/或個人識別號驗證請求��。方法包括步驟���,其中創(chuàng)建訪問許可安全簡檔表(該步驟可發(fā)生在該過程中的任何點)��。將訪問許可安全簡檔表用在形成用于允許網(wǎng)絡(luò)用戶解密選擇的加密對象部分的加密密鑰���。然后將安全簡檔表(a)在網(wǎng)絡(luò)上安全地傳送給網(wǎng)絡(luò)用戶,或(b)用來結(jié)合與加密對象有關(guān)的信息生成加密工作密鑰��,在這種情況下�����,則在網(wǎng)絡(luò)上將工作密鑰安全地傳送給網(wǎng)絡(luò)用戶�。
根據(jù)本發(fā)明的另一方面,PXa3提供用于在分散的公用網(wǎng)-如Internet上加密安全地將分配信息以及相關(guān)加密能力分配給廣大網(wǎng)絡(luò)用戶群的方法和裝置�。在該實施例中,將所分配的信息包含在一個或多個計算機可表示的數(shù)據(jù)對象中��。數(shù)據(jù)對象的創(chuàng)建者使用由訪問許可證書集創(chuàng)建的工作密鑰加密每個對象���。每個訪問許可證書確保僅授權(quán)的用戶(即�����,擁有相同證書集的那些用戶)能解密加密的數(shù)據(jù)對象���。只要這樣加密,可在網(wǎng)絡(luò)上廣泛地傳送對象��,而不必特別地將個別標(biāo)識的網(wǎng)絡(luò)用戶作為目標(biāo)���。在解密端�����,只要接收到代表網(wǎng)絡(luò)用戶的訪問許可安全簡檔表(包括證書)的初始請求���,系統(tǒng)經(jīng)如與上述提到的相同的驗證技術(shù)驗證請求。只要驗證過該請求����,在公用網(wǎng)上,使用各種已知的加密方法的任何一個�����,將訪問許可安全簡檔表(和證書)安全地傳送到驗證過的網(wǎng)絡(luò)用戶。在本發(fā)明的一個實施例中�����,根據(jù)由管理員預(yù)先設(shè)置的到期進(jìn)程�����,可將安全簡檔表設(shè)置成在某一未來時間到期�����。直到該期滿為止��,可通過同樣的安全簡檔表(以及它包括的訪問許可證書)執(zhí)行其后的數(shù)據(jù)對象加密或解密�����。安全簡檔表到期之前PXa3環(huán)球網(wǎng)站點不需要任何另外的事務(wù)��。
根據(jù)本發(fā)明的另一方面�,PXa3提供用于一般地控制對安全系統(tǒng)的訪問的方法和裝置。在該實施例中�����,將保密的系統(tǒng)可以是如物理系統(tǒng)或邏輯系統(tǒng);另外��,它可是靜態(tài)或動態(tài)的���。與本發(fā)明的其他實施例一樣,PXa3系統(tǒng)允許選擇將保密的系統(tǒng)部分���。該系統(tǒng)也利用將允許訪問系統(tǒng)的保密部分的一個或多個系統(tǒng)用戶群�。同時也必須為每個群建立訪問碼����。然后系統(tǒng)地將訪問碼分配給系統(tǒng)的各個保密部分;每個訪問碼可與其他成分結(jié)合以創(chuàng)建用于控制訪問所選擇的系統(tǒng)部分的密鑰��。使用生物識別方法��、智能卡以及個人識別號或用于驗證用戶的任何方法���,將訪問碼本身保護(hù)在系統(tǒng)中�。然后系統(tǒng)根據(jù)每個用戶定義組將保護(hù)的訪問碼分配給系統(tǒng)用戶�����。
E.在現(xiàn)有的CKM技術(shù)上本發(fā)明的優(yōu)點當(dāng)與PXa3之前的現(xiàn)有的CKM系統(tǒng)的獨立的企業(yè)網(wǎng)實現(xiàn)相比,基于環(huán)球網(wǎng)的PXa3系統(tǒng)具有許多獨特的優(yōu)點��。這些優(yōu)點包括(a)靈活性����。用戶或管理員可游歷環(huán)球網(wǎng)并從任何地方登錄PXa3系統(tǒng),以及僅需要適當(dāng)?shù)尿炞C(如根據(jù)驗證選擇和域政策指定�����,用戶ID和密碼��、生物特征或智能卡)����。假定在域中授權(quán)軟令牌,用戶可攜帶他的便攜式計算機���,并因此僅需要一天一次或每隔一天一次簡單地登錄來更新軟令牌�����。
(b)可升級能力�。獨立的CKM系統(tǒng)由域內(nèi)的許多單獨的工作組組成,每個工作組管理員單獨地負(fù)責(zé)安裝和維護(hù)他或她的系統(tǒng)���,以及提供工作站數(shù)據(jù)庫備份���。這種系統(tǒng)的缺點在于不太好升級,而且很可能整個系統(tǒng)管理以及認(rèn)證�����、發(fā)展���、數(shù)據(jù)備份或系統(tǒng)存儲器或性能約束的難題將變?yōu)閱栴}。另一方面��,本發(fā)明的PXa3系統(tǒng)非常容易升級(隨用戶或管理員數(shù)量增長�����,簡單增加服務(wù)器)�����,并避免系統(tǒng)性能和存儲約束的問題�����,提供實際上一整夜上升到大量成員的能力。
另外��,關(guān)于傳統(tǒng)的PKI系統(tǒng)����,通常,對如大組織的媒介的一對多的信息訪問管理需要的應(yīng)用�,僅PKI的系統(tǒng)本來是不可升級的。當(dāng)系統(tǒng)增長時���,用于大的基于PKI群體的密鑰和訪問管理機制非線性增長非?����??���。另一方面���,PXa3系統(tǒng)是能增長到數(shù)百萬用戶的極其可升級的系統(tǒng)�,其中密鑰和訪問管理算法經(jīng)常是用戶數(shù)量的線性函數(shù)�。
(c)基于標(biāo)準(zhǔn)�。本發(fā)明的優(yōu)選實施例是基于標(biāo)準(zhǔn)主機��,包括PKCS和ANSIX9.69加密標(biāo)準(zhǔn)以及BEA Weblogic�����,Oracle�,J2EE以及HTTPS。這些標(biāo)準(zhǔn)對本領(lǐng)域的普通技術(shù)人員來說是公知的��。這些文獻(xiàn)在此合并作為參考��。
(d)成本和方便�。與實現(xiàn)PXa3系統(tǒng)有關(guān)的成本基本上低于與現(xiàn)有的���、競爭技術(shù)有關(guān)的成本�����。在配置CKM中的大的費用不在每個座位或智能卡以及讀寫器方面���,而在進(jìn)行培訓(xùn)、系統(tǒng)集成以及用于建立和維護(hù)體系結(jié)構(gòu)-特別是用于域管理機構(gòu)以及工作組管理員所必須的認(rèn)證工作中方面��。除降低成本外,本發(fā)明的分散的���、基于環(huán)球網(wǎng)的方法能提供許多另外的方便�,包括1)專業(yè)和易懂的可訪問的培訓(xùn)工具(簡單地訪問用于培訓(xùn)項目的PXa3站點)���;2)簡單的方法來下載必要的成員和認(rèn)證軟件組件�����,以及確保各個和每個成員在授權(quán)時具有最新版本的PXa3系統(tǒng)�����;3)簡單的方法來建立和維護(hù)域和工作組認(rèn)證功能-從任何地方���;只要完成管理員的工作,在遠(yuǎn)離PXa3環(huán)球網(wǎng)服務(wù)器的地方安全地存儲所有關(guān)鍵數(shù)據(jù)��;4)不將智能卡硬件安裝或集成到成員客戶機系統(tǒng)中����;5)實際上可一整夜創(chuàng)建示范、試驗以及小規(guī)模試驗�,因為所有需要的是建立帳戶以及指定和訓(xùn)練的域管理機構(gòu)�,允許他或她設(shè)置域安全政策以及創(chuàng)建適當(dāng)?shù)淖C書���;6)可避免在大公司內(nèi)與調(diào)整新的安全訪問管理系統(tǒng)有關(guān)的官僚主義的激烈爭論���,因為環(huán)球網(wǎng)主機的PXa3服務(wù)是“自我約束的”,容易獲得和使用����,以及在月付或其他定期的“租用”費基礎(chǔ)上可獲得,因而能由低的管理預(yù)算主管當(dāng)局購買�����。
7)通過設(shè)計PXa3用戶接口便于用戶標(biāo)記����,以及允許用戶選擇他們自己的負(fù)載平衡器以及防火墻產(chǎn)品�。
(e)更安全。本發(fā)明的PXa3系統(tǒng)比現(xiàn)有的CKM系統(tǒng)具有實際上更低的在業(yè)余時間非法秘密訪問認(rèn)證系統(tǒng)的可能性����、更好的管理員的驗證以及對認(rèn)證和成員信息的主數(shù)據(jù)的物理安全性的更低的要求。另外����,對維護(hù)用戶和挫敗安全攻擊��,PXa3系統(tǒng)具有快速響應(yīng)(管理員能立即改變?nèi)魏稳说臓顟B(tài)���,從而降低無賴用戶的風(fēng)險,而具有獨立的智能卡系統(tǒng)的無賴用戶能繼續(xù)操作直到卡次數(shù)過期-也許一個月左右)�����。
另外����,本發(fā)明的PXa3系統(tǒng)使用用于密鑰交換的HTTPS。該密鑰交換機制形成用于保密的Internet密鑰分配系統(tǒng)的基礎(chǔ)�����。移動電話使用是能從這種系統(tǒng)受益的一種應(yīng)用���。PXa3服務(wù)器系統(tǒng)的組件設(shè)計也能通過防火墻和隔離技術(shù)提供強安全性�����,這使得攻擊者很難獲得對系統(tǒng)的訪問����。
本發(fā)明的一個實施例可在成員的客戶機系統(tǒng)另外使用智能卡或其他令牌(硬件或軟件),要求每個成員定期登錄中央PXa3服務(wù)器以便他的或她的智能卡(或其他形式的令牌)能與中央維護(hù)的安全簡檔表同步�。在一個實施例中,例如����,PXa3成員使用生物特征驗證功能以及智能卡和PIN,提供3-因子安全性�����。這種環(huán)球網(wǎng)服務(wù)器和智能卡的結(jié)合提供獨立的CKM系統(tǒng)不能提供的許多好處���,包括認(rèn)證功能的高可升級能力����,更好的集中安全性以及用于成員和管理員的數(shù)據(jù)庫信息的備份保護(hù)��,以及在每天(或其他時間度量)基礎(chǔ)上的成員智能卡的更精確的控制(同步)�。
(f)密鑰恢復(fù)��。PXa3系統(tǒng)結(jié)構(gòu)使得域管理機構(gòu)來提供對成員已經(jīng)丟失其密鑰值的加密文件的訪問成為可能���。該特征有兩個好處(1)組織可加密它們的關(guān)鍵信息而不必害怕因丟失密鑰而造成的損失����;以及(2)PXa3滿足刑事調(diào)查以及國家安全當(dāng)局的緊急訪問需要(法院指令能迫使工作組管理員重建必要的密鑰),從而在全世界都易于訪問�。
(g)通用性。PXa3極其靈活�,與傳統(tǒng)公鑰體系結(jié)構(gòu)兼容,以及能用智能卡實現(xiàn)保存成員安全簡檔表�,或用PXa3服務(wù)器和軟令牌,或兩者均使用�。通過PXa3,用戶可游歷世界上與Internet相連的位置并且以完全安全的方式操作�����,僅需要他的驗證特性(如密碼�、時間、位置�����、生物特征和/或智能卡令牌)��。
(h)性能。公鑰密碼學(xué)具有衰減計算機性能的影響�����,以及集中的安全/許可服務(wù)器通常結(jié)束于成為資源密集的瓶頸以及單點故障�。PXa3非常節(jié)儉地使用公鑰加密學(xué)以及將大多數(shù)的加密處理委托給數(shù)千的各個客戶機設(shè)備(桌上型電腦、膝上型電腦��、移動電話等等)�����,而不委托給集中的安全或許可服務(wù)器�。這意味著PXa3加密比傳統(tǒng)的基于公鑰的加密系統(tǒng)快上百倍,以及在該系統(tǒng)中不可能出現(xiàn)性能瓶頸��,不管它變得多大�。
圖1是描述CKM技術(shù)的基本原理(現(xiàn)有技術(shù));圖2是本發(fā)明的一個實施例的系統(tǒng)綜述����;圖3描述由本發(fā)明的優(yōu)選實施例使用的CKM加密方法;圖4是用于本發(fā)明的一個實施例依據(jù)的方法的流程圖�;圖5描述證書種類的概念;圖6是用于本發(fā)明的另一個實施例依據(jù)的方法的流程圖��;圖7是用于本發(fā)明的第三實施例依據(jù)的方法的流程圖;
圖8表示本發(fā)明的一個實施例的較高級方面�����。該圖與整個客戶服務(wù)器結(jié)構(gòu)有關(guān)���,但集中在系統(tǒng)的服務(wù)器端;圖9表示服務(wù)器端�、本發(fā)明的一個實施例的認(rèn)證結(jié)構(gòu)的進(jìn)一步的詳細(xì)情況;圖10表示用于本發(fā)明的基于環(huán)球網(wǎng)的應(yīng)用服務(wù)模型的一個實施例的三層�、Internet實現(xiàn)結(jié)構(gòu);圖11與圖8有關(guān)�,并表示系統(tǒng)的成員客戶端的一個實施例。
具體實施例方式
PXa3(精確的可擴(kuò)展驗證�����、授權(quán)以及認(rèn)證)允許在分散的公用網(wǎng)上從分配者將加密數(shù)據(jù)對象分配給一般觀眾�,其中分配者不了解每個觀眾成員的身份和相關(guān)的訪問許可。PXa3提供用于在公用網(wǎng)�,如Internet或蜂窩電話網(wǎng)絡(luò)上安全廣播和存儲敏感資料的基礎(chǔ)。根據(jù)他們的證書授權(quán)新的觀眾成員���,證書是由認(rèn)證當(dāng)局指定并且在公用網(wǎng)上分配給成員的�。PXa3使用能采用多個加密數(shù)據(jù)對象以及將它們加密到另一加密數(shù)據(jù)對象中的現(xiàn)有CKM技術(shù)的特征。這種“嵌套對象”特征使PXa3具有根據(jù)之前指定給成員的訪問許可����,可選擇地解密對象的能力。
下述的詳細(xì)說明討論PXa3系統(tǒng)的一般的��、基本特征并描述本發(fā)明的多個實施例。
A.用于PXa3的基本CKM結(jié)構(gòu)圖2描述本發(fā)明的一個實施例的系統(tǒng)綜述,PXa3實際用于安全管理的一般的�����、基于環(huán)球網(wǎng)的應(yīng)用服務(wù)模型�����。
1.CKM域在PXa3系統(tǒng)中最高組織單元稱為CKM域100�。CKM域���,如域100是包括在其自己上運行所需的所有CKM資源的唯一的���、獨立的實體。以域級確定所有CKM安全政策�����、進(jìn)程、證書以及職務(wù)�。盡管在CKM中支持最大的組織單元,域可完全升級來滿足各種需要����。CKM域����,如域100,可與整個企業(yè)一樣大或單個部門一樣小�。一些小公司很可能建立用于公司的單個域,以及大企業(yè)將建立用于主要分公司���、不同位置或其他組織結(jié)構(gòu)的許多域����。PXa3系統(tǒng)的單個用戶稱為成員105��,成員通常是指域內(nèi)的用戶成員資格��。
當(dāng)域是獨立式和獨立時�,不需要隔離它們。CKM域可以信托關(guān)系與其他域共享訪問權(quán)以及特權(quán)����。另外���,PXa3系統(tǒng)的用戶可作為多個域的成員參與,即使還沒有建立域間的信托關(guān)系����。CKM域可與PKI證書授權(quán)(CA)110具有直接關(guān)系,以及最好由創(chuàng)建或產(chǎn)生對象的人(對象“創(chuàng)建者”)使用用于標(biāo)記每個加密數(shù)據(jù)對象的PKI����。
(a)信托域關(guān)系在本發(fā)明的一個實施例中,域100可通過建立信托關(guān)系(trustrelationship)向每個域的成員提供特定的訪問特權(quán)����。當(dāng)一個域向另一個域提供CKM證書的子集(在下面詳細(xì)描述)時,建立信托關(guān)系����。最好,僅在(第一)域級共享CKM證書���,因而在已經(jīng)建立信托關(guān)系之前��,不應(yīng)當(dāng)直接發(fā)送給另一(第二)域的成員����。然而,只要建立了信托��,使用其自己的方法和政策�����,第二域維護(hù)和分配輸入的證書���,以及將這些輸入的證書存儲在其成員安全簡檔表120中(在下面詳細(xì)描述),作為其成員證書115的每一個的部分����。只要分配了,第二域的成員可使用輸入的證書來與第一域的成員共享信息�,但所有成員繼續(xù)受域的政策和進(jìn)程限制,其中它們維護(hù)真正的成員資格(即它們的注冊域)�。當(dāng)將PKICA(證書授權(quán))110包括在該密鑰管理結(jié)構(gòu)中時,將第三方驗證模型增加到整個信托關(guān)系中��。
(b)未信托的域關(guān)系個人可以是幾個CKM域的成員�����,不管域是否已經(jīng)建立信托關(guān)系。即�,兩個或多個域可獨立地向同樣的個人授予成員資格。在這種情況下����,PXa3系統(tǒng)將單個個人看作幾個成員-一個用于每個域。在該未信托關(guān)系的類型中��,成員可使用用于每個域的單獨的安全簡檔表獨立地注冊到每個域����,以及擁有單獨的證書來訪問每個域中的信息。
(c)域管理機構(gòu)和安全官域管理機構(gòu)125向CKM域100提供最高級管理���。盡管個人可承擔(dān)域管理機構(gòu)的責(zé)任��,許多域管理機構(gòu)功能可以是自動的�����。安全官126是“超級”域管理機構(gòu)�����,安全官初始地創(chuàng)建域管理機構(gòu)125和另外地初始化域100的參數(shù)���,如域政策等等�。在本發(fā)明的一個實施例中�,每個域100一個安全官就足夠了。
域管理機構(gòu)125(和���,在較高級��,安全官126)負(fù)責(zé)執(zhí)行某一子集認(rèn)證任務(wù)315�����。例如�,在本發(fā)明的一個實施例中�����,域管理機構(gòu)125(和/或安全官126)通過執(zhí)行下述功能建立域100(a)命名域以及創(chuàng)建其唯一的域值(用在加密函數(shù)中)��;(b)建立和更新多個維護(hù)值(用于撤銷成員訪問許可以及控制對指定時間窗的信息訪問)��;(c)設(shè)置定義PXa3系統(tǒng)使用的外部參數(shù)的政策��,包括安全政策是否是智能卡(令牌)-常駐�����、PXa3服務(wù)器-常駐或軟令牌-常駐��。(本領(lǐng)域的普通技術(shù)人員將意識到“軟令牌”是不允許以未加密的形式存在于硬盤上的特定的臨時文件��。當(dāng)進(jìn)入RAM中時�����,軟令牌的不同的各個部分保持加密�����,以及僅解密足夠長以便執(zhí)行必要的操作)����。在PXa3的一個實施例中,軟令牌允許計算工作密鑰以及創(chuàng)建和核對簽名的關(guān)鍵的加密函數(shù)以便經(jīng)基于環(huán)球網(wǎng)技術(shù)臨時地分配給成員的客戶機系統(tǒng)��,基于環(huán)球網(wǎng)的技術(shù)不采用硬令牌(如智能卡)���,從而減小服務(wù)器的性能問題�。同樣,在基于環(huán)球網(wǎng)的環(huán)境中��,軟令牌允許成員繼續(xù)操作(可定位的域)短的時限��,即使已經(jīng)斷開連接到Internet服務(wù)器的網(wǎng)絡(luò)(如�,當(dāng)在飛機上旅行時);(d)建立證書種類(在下面詳細(xì)描述)��,以及可在證書種類中任意地數(shù)字簽名基于職務(wù)證書115(也在下面詳細(xì)描述)��,將證書種類用來加密地控制成員訪問信息����;(e)選擇和可選地重命名可在域中獲得的加密算法;(f)選擇和配置可在域中獲得的標(biāo)識和驗證數(shù)據(jù)對象(在下面詳細(xì)描述)����;(g)注冊工作組和它們的管理員,通過此操作分配證書����;(h)數(shù)字地分配和可選地標(biāo)記與將成員引入PXa3系統(tǒng)有關(guān)的個別成員資格密鑰以及授權(quán)�����;
(i)注冊和可選地數(shù)字簽名激活的CKM應(yīng)用;(j)創(chuàng)建和分配由特殊的工作組實施的工作組簡檔表(在下面詳細(xì)描述)�,工作組簡檔表定義證書、許可算法以及權(quán)利和政策的子集����;以及(k)確定與其他域的信托關(guān)系。
(d)域簡檔表域簡檔表130涉及由域管理機構(gòu)125建立的并可在CKM域100內(nèi)獲得的所有證書�����、政策設(shè)置以及算法許可�����。域簡檔表130也包括域名以及值����、維護(hù)值(在下面詳細(xì)描述)以及標(biāo)識域的其他信息。
2.CKM工作組CKM域100包括至少一個(以及通常是幾個)工作組140���?��;趯π畔⒌墓残枰蜋?quán)利,工作組將成員(或更小的工作組)集成一組��。在PXa3系統(tǒng)的一個實施例中,建立工作組140以獲得平行部門��、位置�、項目或其他直觀的組織的、地理學(xué)的或邏輯的分公司�。
(a)工作組管理員工作組管理員145(WA)通常管理工作組140。在該級的責(zé)任可能是由對軟件有影響的人執(zhí)行的�����,或它們可以是部分或全部自動執(zhí)行的���。在一個實施例中���,這些責(zé)任將包括以下(a)改進(jìn)政策設(shè)置(如由DA允許的)以便提供比由域管理機構(gòu)原始準(zhǔn)許給工作組的那些更多的限制;(b)注冊成為工作組成員的個人�;(c)將可在工作組簡檔表中獲得的證書和訪問許可的子集(在下面進(jìn)一步限定)賦予各個成員安全簡檔表(也在下面定義);(d)賦值�、分配和更新成員的成員安全簡檔表。
PXa3系統(tǒng)從而允許成員接收由域管理機構(gòu)建立和由工作組管理員分配的證書����、政策設(shè)置以及訪問許可。
(b)工作組安全簡檔表工作組簡檔表150包含分配給特定工作組140的成員105有效的所有證書和訪問許可��。它也包括管理工作組使用的PXa3系統(tǒng)的政策�。工作組簡檔表可不同于相同域的其他工作組簡檔表,從而定義域100中的每個工作組140的唯一權(quán)利和需要��。如上所述��,在一個實施例�����,域管理機構(gòu)125創(chuàng)建工作組簡檔表150���。
3.成員安全簡檔表仍然參考圖2�����,成員安全簡檔表120包括算法訪問許可��、證書115�、域和維護(hù)值��、文件頭加密密鑰����、可選的生物特征模板以及特定的域政策(算法訪問許可以及證書給成員提供一組訪問許可權(quán)利)��。如果使用成套的PKI系統(tǒng)��,則由工作組管理員145維護(hù)用于每個成員的“公開”CKM成員資格密鑰而且不張貼用于公開使用��。安全簡檔表120也可包括域管理機構(gòu)和工作組管理員的“公開”CKM成員資格密鑰���。安全簡檔表的特定的信息內(nèi)容可根據(jù)本發(fā)明的實際實現(xiàn)改變,而且仍然在本發(fā)明的范圍內(nèi)�����。例如���,安全簡檔表120也可包括用于在PXa3和其他加密系統(tǒng)中加密或標(biāo)記的一個或多個全局和工作組成員資格(各個)PKI私有密鑰和數(shù)字證書加上可選成員資格模板�����。(本領(lǐng)域的一個普通技術(shù)人員將認(rèn)識到生物特征模板是由傳感器記錄的生物特征數(shù)據(jù)文件的“簡寫”版本���。模板遠(yuǎn)小于原始記錄的數(shù)據(jù)文件,還足夠精確地準(zhǔn)確地再現(xiàn)那個人以便與存儲的“注冊”生物特征模板進(jìn)行比較�,以便核對個人身份)。
在本發(fā)明的一個實施例中����,將成員安全簡檔表120包含在成員令牌122中����,成員令牌可采用許多形式����。例如�����,可將安全簡檔表120按加密成員令牌存儲在成員本地客戶機系統(tǒng)設(shè)備(“軟令牌”)���、如PXa3服務(wù)器的網(wǎng)絡(luò)服務(wù)器或如智能卡的物理成員令牌上的易失或非易失性存儲器中�����。PXa3系統(tǒng)的優(yōu)選實施例使用存儲在PXa3環(huán)球網(wǎng)站點305上的各個成員帳戶300(其中用多個服務(wù)器配置環(huán)球網(wǎng)站點305�,如下所述)��。在每個成員帳戶300上維護(hù)用于授權(quán)訪問加密的數(shù)據(jù)對象的成員安全簡檔表120����。成員帳戶300也可存儲其他系統(tǒng)許可和信息�����。
例如����,在本發(fā)明的一個實施例中��,成員105登錄PXa3環(huán)球網(wǎng)站點305以及通常經(jīng)用戶ID和密碼驗證他或她自己�����。如果成功驗證�,PXa3服務(wù)器系統(tǒng)將加密的臨時軟令牌下載到成員客戶機系統(tǒng)(桌上型、膝上型����、移動電話、無線個人數(shù)字助理等等)��,在注冊后�����,成員客戶機系統(tǒng)將包含PXa3客戶機軟件。只要將軟令牌安全地存儲在成員客戶機系統(tǒng)中��,根據(jù)他或她著手做他或她的日常工作����,成員可使用PXa3系統(tǒng)來加密或解密對象。
由于軟令牌能執(zhí)行通常由智能卡(“硬令牌”)執(zhí)行的所有功能��,該軟令牌方法使成員有能力操作一段時間間隔而不連接Internet���。該臨時時限的長度是由域管理機構(gòu)125或其他管理員選擇的可設(shè)置的參數(shù),如同成員是否有權(quán)使用軟令牌����。通過該系統(tǒng),可授權(quán)成員較長地使用軟令牌����,當(dāng)期望他們游歷或相反不與Internet接觸(“漫游”)。只要軟令牌過期�,系統(tǒng)將不再加密或解密對象,以及成員必須重新登錄PXa3環(huán)球網(wǎng)站點305并且在下一會話驗證他或她自己以便下載另一加密的軟令牌��。因此�����,在本發(fā)明的一個實施例中,令牌同步組件160要求每個成員定期登錄PXa3環(huán)球網(wǎng)站點305�����,以便他或她的智能卡(或其他形式的令牌)可與中央維護(hù)的安全簡檔表120同步��。如上所述��,在一個實施例中�����,可由域管理機構(gòu)125配置成員安全簡檔表120的形式��。在域簡檔表130中執(zhí)行的一個政策確定是否允許駐留成員安全簡檔表��。
4.維護(hù)值本發(fā)明的一個實施例使用稱為維護(hù)值的現(xiàn)有的CKM技術(shù)概念�。最好,維護(hù)值由兩級組成向前維護(hù)級(FML)以及向后維護(hù)級(BML)�。將向前維護(hù)級用來拒絕域成員最終訪問除特殊點外的CKM加密信息,而將向后維護(hù)級用來在特殊點前及時拒絕域成員訪問信息�����。在PXa3系統(tǒng)中,因此維護(hù)值提供將域成員鎖定在特定時間窗中的能力�。該基于時間的訪問控制方法允許域管理機構(gòu)指定和精確地限制什么信息域成員目前將能訪問,以及未來成員將查看什么信息�。從安全觀點看,因此維護(hù)值允許定期地重新加密系統(tǒng)�����。
(a)域維護(hù)值在一個實施例中��,每個域100具有稱為域維護(hù)值的維護(hù)值��。域維護(hù)值包括向前維護(hù)級以及向后維護(hù)級�����。然而���,可獨立地更新這些級,盡管用于向后維護(hù)級的設(shè)定置通常不會超過用于向前維護(hù)級的設(shè)定置�����。應(yīng)當(dāng)將用于域的向前維護(hù)級認(rèn)為是水平-對那個特定域來說最終除那個點外沒有什么最終存在于該系統(tǒng)中��。
(b)成員維護(hù)值同時最好為每個域成員105指定與一個或多個域值對應(yīng)的成員維護(hù)值。為新成員指定域的當(dāng)前FML�。同時也更新用于個別成員的FML和BML設(shè)定置,盡管通常這些設(shè)定置并不大于域維護(hù)值設(shè)定置���。
B.CKM加密方法1.加密方法的基本概述在本發(fā)明的優(yōu)選實施例����,由PXa3使用的基本CKM技術(shù)是按ANSI標(biāo)準(zhǔn)X9.69采用的分布式加密密鑰管理系統(tǒng)��。使用X9.69ANSI標(biāo)準(zhǔn)���,PXa3的優(yōu)選實施例構(gòu)造稱為工作密鑰的對稱密鑰����,用來加密數(shù)據(jù)對象����。在圖3中所示CKM加密方法采用用來構(gòu)造工作密鑰200的三個密鑰值域值205、維護(hù)值210以及偽隨機值215�����。
將域值205用作準(zhǔn)許域100(圖2)中的每個人訪問系統(tǒng)的系統(tǒng)密鑰�����。如上所述,在大的組織中�����,經(jīng)信托關(guān)系可將域連在一起���。因此,在本發(fā)明的一組實施例中����,經(jīng)維護(hù)在此的成員PXa3成員帳戶300和安全簡檔表120,將域值205分配給域100(圖2)的所有成員(圖2)����。
通過定期地更新域值205����,使用維護(hù)值210來控制域成員資格,將域值分配給所有目前授權(quán)的成員�。通過簡單更新目前授權(quán)個人的維護(hù)值,工作組管理員145也可去除不需要的成員進(jìn)一步訪問系統(tǒng)如上所述�,維護(hù)值210允許在訪問特定成員的數(shù)據(jù)上的精確時幀控制��,因為可為成員指定與固定時間周期對應(yīng)的維護(hù)值����,在允許訪問它們期間�����。因此���,對于本發(fā)明的一組實施例�����,如上所述成員安全簡檔表120(保持在PXa3成員帳戶300中)包含維護(hù)值210�。
用來創(chuàng)建工作密鑰200的第三值是偽隨機值215��。每次自動生成偽隨機值215時����,加密數(shù)據(jù)對象220,使工作密鑰200為對每個加密數(shù)據(jù)對象220來說唯一的一次性密鑰����。在一組實施例中��,不存儲工作密鑰本身����,而是在加密過程的開始創(chuàng)建并在使用后丟棄�。當(dāng)出于解密目的的需要時,隨后再創(chuàng)建它���,但是僅由具有適合的證書的成員來創(chuàng)建��。
為分開對不同授權(quán)成員群中的加密數(shù)據(jù)對象的訪問�����,通過用另一密鑰來加密偽隨機值215來保護(hù)它����,另一密鑰是從稱為訪問允許證書的特殊選擇的成員證書225收集的�����。用這種方式使用成員證書來定義每個加密數(shù)據(jù)對象的關(guān)系僅具有用來在加密方法中形成證書密鑰230的訪問許可證書的那些個人能解密偽隨機值215��,偽隨機值是用來解密加密的數(shù)據(jù)對象220所需的工作密鑰所必需的���。(另外����,如下所詳細(xì)描述的����,訪問許可證書225可存在和分配給個別成員,而與任何數(shù)據(jù)對象加密無關(guān))����。
圖3進(jìn)一步描述一種方法,通過該方法����,使用現(xiàn)有的CKM技術(shù)加密數(shù)據(jù)對象。成員105(圖2)創(chuàng)建數(shù)據(jù)對象220(即�����,包含機密信息的數(shù)據(jù)文件)����,可隨意地將數(shù)據(jù)對象分割成幾個嵌入對象(即文件節(jié)),如220a�����、220b、220c和220d(將不可分割的數(shù)據(jù)對象當(dāng)作正好由一個嵌入對象組成)�。然后成員105(圖2)根據(jù)了解安全政策的權(quán)利,使用如上所述的CKM加密和證書過程(即使用工作密鑰等等)��,將特定的訪問許可證書225與對象關(guān)聯(lián)�����。然后經(jīng)分散的�����、公用網(wǎng)330�����,傳送和/或存儲加密數(shù)據(jù)對象220�����,就象它未被加密一樣����。每個網(wǎng)絡(luò)用戶可能在公用網(wǎng)330上獲得加密的數(shù)據(jù)對象220,但僅具有正確證書集115(即屬于特定證書種類集)的那些成員能解密和瀏覽包含在加密數(shù)據(jù)對象220的嵌入對象中以及由特定的訪問許可證書225保護(hù)的信息內(nèi)容��。
2.加密方法的另外的詳細(xì)情況(a)工作密鑰本發(fā)明的一個實施例利用專用函數(shù)來生成稱為CKM組合器232的工作密鑰(上述定義的)�����。在該實施例中��,CKM組合器232的職務(wù)是用域�、維護(hù)以及偽隨機值創(chuàng)建工作密鑰,如上所述����。CKM組合器232能用各種方法實現(xiàn)該任務(wù)。例如�,在公開的文獻(xiàn),用于財經(jīng)服務(wù)的美國國家標(biāo)準(zhǔn)�,X9.69-1998,F(xiàn)ramework for Key ManagementExtensions��,American Bankers Association�,1998中描述過六種不同的方法。在本發(fā)明的一個實施例中�,獲得CKM組合器232作為由TECSEC(CKM,版本5.1)提供的獨立的軟件包。因此��,不必了解組合器函數(shù)如何起作用的特殊的詳細(xì)情況以便實現(xiàn)PXa3系統(tǒng)的各種實施例�。
如上所述,使用工作密鑰200來加密實際的數(shù)據(jù)對象220�。在本發(fā)明的一組實施例中,工作密鑰加密方法使用標(biāo)準(zhǔn)的三DES(3DES)算法�,盡管也可使用其他算法,如Rejndael�����,新的改進(jìn)的加密標(biāo)準(zhǔn)(AES)�����,或IDEA�、或BEST或SkipJack、或許多其他的對稱加密算法���。最好�,在加密對象后立即破壞工作密鑰200�。在CKM中,有關(guān)重構(gòu)和使用值���、證書以及其他函數(shù)所需的特定數(shù)據(jù)的信息包括加密頭文件235(與加密數(shù)據(jù)對象有關(guān))�,域100的任一成員105可打開加密頭文件。在一個實施例中��,用頭加密密鑰自加密報頭235���,最好通過與維護(hù)值和成員證書相同的分配方案管理加密的報頭密鑰(如通過工作組管理員145經(jīng)安全簡檔表120分配給在PXa3環(huán)球網(wǎng)站點305處的各個成員帳戶300)。
最好通過采用的創(chuàng)建偽隨機值加密密鑰(證書密鑰)的Diffie-Hellman(不對稱)方法來實現(xiàn)對加密數(shù)據(jù)對象220的讀和寫訪問以及偽隨機值215的保護(hù)(通過加密)����。從而將Diffie-Hellman靜態(tài)密鑰對與每個證書相關(guān),然后使用Diffie-Hellman標(biāo)準(zhǔn)密鑰生成算法��,將所有證書用來生成證書密鑰���,用于加密和解密偽隨機值����。具有適合的基于Diffie-Hellman公鑰證書集的成員可加密數(shù)據(jù)對象�����,以及具有相應(yīng)的基于Diffie-Hellman私鑰證書集的成員能解密那些數(shù)據(jù)對象����。具有兩個集的成員既能讀也能寫訪問��。該方法產(chǎn)生同樣包含在成員安全簡檔表120和CKM組合器功能中的另外的保險級中的其他的參數(shù)�。
(b)CKM報頭仍參考圖3�����,稱為CKM報頭235(圖3)的頭文件可用來解密加密的數(shù)據(jù)對象220(并在加密期間創(chuàng)建)����。CKM報頭包含用在構(gòu)造工作密鑰200中的在其他東西中的加密的偽隨機值215。在一個實施例中��,用對特定域的所有成員公知的報頭密鑰自加密CKM報頭���,以便用于每個加密的數(shù)據(jù)對象220的頭文件235可由屬于那個域的工作組的所有成員讀取����。注意偽隨機值215并不用于那些不具有最初用在加密數(shù)據(jù)對象中的所有證書種類的正確的加密讀取訪問許可集的那些人���。
(c)嵌套對象加密方法如在此所述����,可將用本發(fā)明的方法和裝置加密的數(shù)據(jù)對象分割成單個的對象,允許如使用工作密鑰在主文件中加密部分?jǐn)?shù)據(jù)文件或文獻(xiàn)��,該工作密鑰不同中于用來加密主文件的工作密鑰�。可使用劃分?jǐn)?shù)據(jù)文件的任何方法��,如在美國專利No.5,680,452中所描述的��,在此合并作為參考���。加密數(shù)據(jù)文件的各個選擇部分(“嵌入數(shù)據(jù)對象”)的方法非常適合于本發(fā)明,因此可用在PXa3的不同實施例中���,數(shù)據(jù)文件的各個選擇部分在上述提到的專利中描述過����。
使用PXa3的優(yōu)選實施例�,加密數(shù)據(jù)對象可與在文件或數(shù)據(jù)字段中的單個字一樣小,文件或數(shù)據(jù)字段在數(shù)據(jù)庫視圖�����、查詢或報表中�。該嵌套對象特征對公司能力沒有約束以便將CKM技術(shù)應(yīng)用到它的自然信息分段上-不管當(dāng)該數(shù)據(jù)靜止于連接于信息庫的網(wǎng)絡(luò)中還是它正通過幾個傳送裝置被傳送(每個傳送裝置提供圍繞正被傳送的對象的安全的“對象封裝器”)�。該特征明顯不同于現(xiàn)有的PKI安全方法�����,其中加密的數(shù)據(jù)對象通常并不小于單個文件或數(shù)據(jù)庫視圖�����。
由于以下幾個原因���,該嵌套對象特征是實用的(a)當(dāng)不同人需要被準(zhǔn)許對文件或數(shù)據(jù)庫中的數(shù)據(jù)對象的不同的訪問許可時�,可將每個唯一數(shù)據(jù)組(如企業(yè)計劃中的部分)指定為一個數(shù)據(jù)對象�����,數(shù)據(jù)對象包括在較高級數(shù)據(jù)對象(企業(yè)計劃)中���。在這種情況下����,可以平行的方式將較低級數(shù)據(jù)對象排列在較高級數(shù)據(jù)對象中����;(b)可使用不同的傳送機制來移動數(shù)據(jù)對象����,每個傳送機制可其自己的證書集“封裝”其接收的數(shù)據(jù)對象(如通過Internet上的FBI域在那個部門域下加密并在國家部門網(wǎng)絡(luò)上傳播的本地政策部門消息再次用國家部門CKM證書和加密方法封裝它)�����;(c)另外�,可用分層和并行子部分來組織數(shù)據(jù)對象,每個結(jié)構(gòu)跟蹤組織執(zhí)行其任務(wù)的方式�。可容易地采用對象層次來適合幾乎所有組織���。
因此,本發(fā)明的實施例引入了一種用于加密地保護(hù)在分散公用網(wǎng)-如Internet上分配給廣泛的網(wǎng)絡(luò)用戶組的信息的方法�����。在該實施例中���,如圖4的流程圖中所示�,將分配的信息包含在具有一個或多個嵌入式對象的數(shù)據(jù)對象中(根據(jù)本發(fā)明的特定應(yīng)用���,單個嵌入式對象可與整個數(shù)據(jù)對象一致)(步驟400)�。通過創(chuàng)建可選擇地分配給數(shù)據(jù)對象的不同嵌入式對象的一套訪問許可證書,對象創(chuàng)建者加密這些嵌入式對象(步驟405)����;例如,使用CKM X9.69 ANSI標(biāo)準(zhǔn)����,可實現(xiàn)加密。
每個訪問許可證書確保僅授權(quán)用戶(即擁有特定證書集的那些用戶)能解密數(shù)據(jù)對象的那些選擇的加密嵌入對象����,允許以安全方式在網(wǎng)絡(luò)上傳送現(xiàn)在加密的數(shù)據(jù)對象。此時���,可用兩種方式授權(quán)用戶��。最初���,用戶必須獲得訪問許可證書集(分支A)。只要接收到代表網(wǎng)絡(luò)用戶的訪問許可證書的請求���,系統(tǒng)授權(quán)請求(步驟410)�����,最好使用密碼��、生物特征�����、標(biāo)識(在下面進(jìn)一步描述)����、硬件或軟件令牌。其他驗證方法也可包括時間和地方(位置)���。只要驗證過�,使用多種已知的加密方法的任何一個��,可安全地在公用網(wǎng)上將包含訪問許可證書的安全簡檔表發(fā)送給授權(quán)網(wǎng)絡(luò)用戶(步驟415)�。另外��,用戶可能已經(jīng)擁有以有效硬件或軟件令牌的安全簡檔表(分支B)���。在這種情況下�,只要請求訪問�����,自動授權(quán)用戶以便解密加密數(shù)據(jù)對象(步驟420)。根據(jù)該方法����,可在公用網(wǎng)上傳送加密的數(shù)據(jù)對象而不必將單個標(biāo)識用戶作為目標(biāo)(步驟425)。
(d)證書提交方法在本發(fā)明的一個實施例中���,將CKM X9.69標(biāo)準(zhǔn)用作基本的加密方法���。CKM X9.69加密標(biāo)準(zhǔn)優(yōu)先于其他目前的現(xiàn)有加密系統(tǒng),因為它便于對大的數(shù)字信息集合的基于不同職務(wù)的訪問���。在將數(shù)據(jù)輸入系統(tǒng)中時可初始化加密方法���。例如,在具有許多節(jié)的大的報告文獻(xiàn)(文件)中�,根據(jù)為讀或讀/寫訪問所選擇的職務(wù),可不同于其他的認(rèn)證和加密每節(jié)�、章、段落(或字)�。
如上所述,在本發(fā)明的一個實施例中,可由域管理機構(gòu)125(圖2)定義證書類別(和它們中的證書)����。圖5表示典型的證書類別集(501,502�,503,504�,505)以及它們中的證書。在一個實施例中�����,在任何指定的證書選擇集中�,在類別中選擇的多個證書“OR”一起,而經(jīng)過多個類別的所有類別選擇“AND”一起來導(dǎo)出用來加密偽隨機值215的單個的組合證書密鑰230(圖3)�。該實施例的布爾AND和OR過程包括加密組合算法,該加密組合算法采用許多證書以及創(chuàng)建單一值��,然后使用公鑰加密方法�����,使用該單一值來加密或解密偽隨機值215���。
做為一個示例(以及仍參考圖5),通過下述函數(shù)可形成證書密鑰230[Business Secret]AND[Engineering OR Marketing ORSales]AND[Directors]AND[Project C],其中“Business Secret”��、“Directors”�����、“Project C”分別定義選擇的證書類別501��、503和505����,以及“Engineering”、“Marketing”和“Sales”是單一類別502中的特定的另外的證書��。使用布爾函數(shù)來定義形成證書密鑰230所必需的訪問許可證書225�。在加密信息時包含的所有證書類別必須在想要訪問信息(經(jīng)過解密)的任何人的安全簡檔表120(圖2)中。如果沒有再現(xiàn)所需的證書類別�����,未加密(明文)對象將不可訪問���。
在一個實施例中�,成員證書115(圖3)可保存在PXa3環(huán)球網(wǎng)站點305(圖2)以及在該環(huán)球網(wǎng)站點305生成工作密鑰200(圖3)并安全地傳送到成員的客戶機系統(tǒng)(如個人計算機���、蜂窩電話或無線個人數(shù)字助理)�,從而降低成員設(shè)備的客戶機“臺面面積”的大小并提供增強的安全性,因為證書115將從不需要傳送給成員系統(tǒng)�。
因此,本發(fā)明的一個實施例帶來了用于向分散的公用網(wǎng)上的多個網(wǎng)絡(luò)用戶提供解密能力的方法�。在該實施例中,如圖6所示�,系統(tǒng)(a)接收代表網(wǎng)絡(luò)用戶的訪問許可證書的請求(步驟600);(b)驗證請求(步驟605)����;(c)從PXa3成員帳戶檢索安全簡檔表(步驟610);以及或(d)在分散公用網(wǎng)上安全地將安全簡檔表(包括訪問許可證書)傳送給網(wǎng)絡(luò)用戶(步驟615)�����;或(e)使用包含在安全簡檔表中的信息�,連同包含在加密的數(shù)據(jù)文件中的信息生成工作密鑰(步驟616);然后在公用網(wǎng)上安全地傳送工作密鑰(步驟620)�����。本領(lǐng)域的普通技術(shù)人員將意識到根據(jù)上面的詳細(xì)的說明�����,可改變或修改步驟的順序。該方法可進(jìn)一步包括使用生物識別(將在下面說明)����、硬件或軟件令牌或基于時間或位置的驗證信息���。
C.PXa3的訪問管理特征上面描述的CKM加密方法僅提供PXa3的訪問控制和管理特征的一個成分�。因為將CKM設(shè)想和設(shè)計成成員和管理員使用單線程�、獨立的計算機系統(tǒng),使用CKM X9.69標(biāo)準(zhǔn)的現(xiàn)有的加密系統(tǒng)不是設(shè)計成利用公用網(wǎng)如Internet的可訪問�����、可升級以及通用性以便允許分配�、認(rèn)證、維護(hù)和使用成員安全簡檔表���。因此�,PXa3相對于現(xiàn)有的CKM系統(tǒng)有了巨大的改進(jìn)����,提供用于通過和用于分散公用網(wǎng)上的單個系統(tǒng)用戶創(chuàng)建、認(rèn)證����、請求和分配成員安全簡檔表的安全的方法��,以便用戶(管理員和成員)可從世界上任何地方訪問和使用系統(tǒng)�����。因為PXa3在公用網(wǎng)上操作�����,它的訪問管理特征提供驗證用戶的改進(jìn)的方法����,從而避免惡意或未授權(quán)訪問保密的數(shù)據(jù)和信息����。
因此,本發(fā)明另外設(shè)計一種更寬的密鑰管理策略��,包括可配置標(biāo)識和驗證能力以及第三方PKI信托驗證能力�。(本領(lǐng)域的普通技術(shù)人員將意識到PKI的基本部分是包括可證實的數(shù)字簽名的證書,可證實的數(shù)字簽名本身是信息的數(shù)字散列�,信息通過不對稱(公鑰)方法加密)。在本發(fā)明的一個實施例中�,如圖2所示��,PKI驗證支持是通過智能卡或可下載的軟令牌�����,使用由中央認(rèn)證授權(quán)(CA)服務(wù)器110發(fā)布的PKI證書109來管理的�。
另外���,證書115可與定義用于成員105的一個或多個標(biāo)識單元如生物特征功能、智能卡標(biāo)識���、PIN/密碼或時間和/或位置參數(shù)的應(yīng)用有關(guān)����。因此以標(biāo)識和驗證(I&A)數(shù)據(jù)對象形式的標(biāo)識單元必定是通過上面描述的基本的加密方法的主要的加密數(shù)據(jù)對象���。在PXa3的一個實施例中���,I&A數(shù)據(jù)對象包括能驗證相對其它成員的成員的PDI功能。I&A數(shù)據(jù)對象也可包括必須安全存儲以及包括在成員安全簡檔表120中的其他功能�。
識別是識別成員的方法。驗證是核對那個身份的方法����。仍再參考圖2���,在本發(fā)明的一組實施例中,成員帳戶300包括成員驗證單元155��,以及用身份方法保護(hù)的安全簡檔表120成員105必須在他或她能訪問他的或她的安全簡檔表120前提供身份證據(jù)��。
在一組實施例(由圖2所示)���,經(jīng)用戶密碼156提供基本的成員驗證155����。經(jīng)時間和/或位置157��、智能卡令牌158和/或生物特征掃描(模板)159提供另外的驗證模式�。在基于智能卡的系統(tǒng)的情況下,用戶將智能卡令牌插入讀卡器并當(dāng)提示時輸入密碼(PIN)���。
生物特征驗證(下面進(jìn)一步描述)由采用的傳感器類型而定�����。例如����,用DCS的BioIDTM,當(dāng)說出密碼時����,使用攝像機和麥克風(fēng)來測量靜態(tài)面部輪廓、語音識別以及嘴唇運動��。其他生物特征技術(shù)依賴于用于指紋驗證的手指的實際掃描�����。當(dāng)將生物特征模板159(圖2)引入PXa3服務(wù)器用于匹配模板時,產(chǎn)生驗證����,當(dāng)用戶最初與工作組管理員注冊(即“登記”)時記錄模板。
如上所述�,在本發(fā)明的一個實施例中,工作組管理員145創(chuàng)建每個成員的安全簡檔表120���。在包含在每個安全簡檔表120中的數(shù)據(jù)是成員標(biāo)識(用戶ID)�����。最好�,成員105不改變由工作組管理員145提供的用戶ID。在一組實施例中�����,每次加密數(shù)據(jù)對象220(圖3)時���,將加密數(shù)據(jù)對象的成員(“創(chuàng)建者”)的用戶ID放在數(shù)據(jù)對象頭文件235(圖3)中����,以便訪問數(shù)據(jù)對象220的每個成員也可核對創(chuàng)建者的身份�。由于僅工作組管理員145可發(fā)布安全簡檔表120以及僅工作組管理員可指定用戶ID,假定信托�����。
1.生物特征驗證再參考圖2���,在本發(fā)明的一個實施例中�����,用于PXa3成員105的安全方法是使用他或她的PXa3成員客戶機系統(tǒng)850來請求從PXa3環(huán)球網(wǎng)站點305下載他或她的成員安全簡檔表120���。最好�,每次成員登錄和打開對話時�,他或她將需要驗證他或她自己。只要成功驗證����,將成員軟令牌駐留安全簡檔表下載到成員客戶機系統(tǒng)用于后來在加密和解密數(shù)據(jù)對象中使用。
現(xiàn)今可有許多生物特征驗證技術(shù)���。如上所述����,現(xiàn)在可獲得使用基于PC的攝像機和麥克風(fēng)���,通過臉、語音以及嘴唇運動識別人的稱為BioIDTM的新技術(shù)��。使用這種技術(shù)的詳細(xì)情況以及如何獲得它在www.bioid.com的BioIDTM環(huán)球網(wǎng)站點上描述過����。為驗證他們自己,用戶看攝像機并說出由麥克風(fēng)檢測的預(yù)先登記的“密碼”。三種生物特征識別的模式可能是相對于在注冊過程中采用人臉的預(yù)先登記的模板��,采用和處理人臉的靜態(tài)圖象來識別面部特征����。同樣地,也將說出密碼的人的聲音轉(zhuǎn)換成模板并與注冊模板進(jìn)行比較�����,說出密碼的嘴唇運動也一樣(嘴唇運動與指紋一樣是唯一的)�。
因此BioIDTM技術(shù)提供三種識別模式臉、語音和嘴唇運動��。該技術(shù)允許用戶從三種不同的生物驗證模式選擇組合�。一種模式(如僅語音識別)可能用于大多數(shù)的應(yīng)用,因為幾乎每種計算機系統(tǒng)均擁有麥克風(fēng)����。兩種模式可能用于更高的保障應(yīng)用以及其中由于面部或聲音特征的變化,一種模式不能正確操作的情況下��。然而��,要求攝像機外圍設(shè)備。對最高的保障應(yīng)用需要所有這三種模式。
在本發(fā)明的一個方面,PXa3系統(tǒng)可提供使用用戶ID和密碼的“一個因子”驗證/安全的簡單形式���,而在更復(fù)雜的方面中�,“兩個因子”驗證/安全可使用密碼和容易的生物特征驗證方法,如語音識別���,或硬件(硬)令牌�����。
2.撤消成員訪問許可任何加密系統(tǒng)必須具有撤消成員訪問許可的裝置�����。撤消是指防止訪問撤消后加密的資料��。它不指防止訪問在成員合法訪問期間已經(jīng)加密的資料�。只要做出撤消決定����,新的加密訪問否定應(yīng)當(dāng)與安全風(fēng)險擔(dān)保一樣完全和快速�����。
PXa3系統(tǒng)最好提供撤消成員訪問許可的多個裝置。優(yōu)選實施例的三種PXa3撤消方法列示如下(a)簡檔表期滿限制提供移除成員訪問的日常的��、定期方法��,正如信用卡可能期滿一樣�。當(dāng)安全簡檔表120期滿時,不可以簡單地更新它們��。
(b)更新維護(hù)值刪除不擁有更新值的那些成員的訪問��。新維護(hù)值也具有逆效用���,以便用先前維護(hù)值加密的材料可用后來發(fā)布的維護(hù)值解密�。域授權(quán)機構(gòu)125可選擇向一些成員發(fā)布新維護(hù)值���,并不將其給某些其他成員�����,因而撤消它們對未來信息的訪問����。
(c)可關(guān)閉成員安全簡檔表120或由管理員(125����,125和/或145)在PXa3環(huán)球網(wǎng)站點305修改���,以便下一次成員登錄時,可約束或終止他或她使用系統(tǒng)的能力�����。
因此�����,在PXa3系統(tǒng)中�����,根據(jù)設(shè)置到單個成員安全簡檔表中的期滿時間限制��,在任何時間通過實際上的瞬間效應(yīng)可取消或改變安全簡檔表120�。另外,當(dāng)成員105連接到PXa3環(huán)球網(wǎng)站點305來使用他們的安全簡檔表120訪問舊的內(nèi)容或創(chuàng)建新內(nèi)容時��,可從最后一次訪問改變他們的證書115���。該功能在響應(yīng)或防止外人和/或以前成員的某些安全攻擊方面特別有用���,因為所有工作組管理員145必須做以便在這些攻擊前取消欺詐成員的安全簡檔表。這對沒有PXa3的基于智能卡的系統(tǒng)是更困難的問題�,因為欺許成員可令人信服地繼續(xù)訪問加密數(shù)據(jù)直到在卡上的安全簡檔表最終超時。
為具體化上述本發(fā)明的性能���,將在節(jié)E中詳細(xì)地描述PXa3系統(tǒng)的一個示例性的結(jié)構(gòu)�。
D.PXa3系統(tǒng)應(yīng)用例子1.內(nèi)容出售當(dāng)Internet和移動電話技術(shù)開始一起變體成移動Internet時����,多個新應(yīng)用猛增入市場。這些要求一對多分布安全的許多與出售內(nèi)容-在廣泛興趣范圍上的音樂����、視頻和信息-對多個團(tuán)體用戶有關(guān)。盡管有許多不同類型的內(nèi)容以及許多不同團(tuán)體用戶��,一個例子應(yīng)當(dāng)用來示例該概念音樂俱樂部�。
考娛樂業(yè)中的媒介巨人具有下述機會它想以音樂俱樂部的現(xiàn)代版本的形式為數(shù)百萬的用戶提供多個數(shù)字信息腳本服務(wù)。用戶將簽約成為如音樂俱樂部的古典音樂部分的成員105���,以及向如“ClassicalGold Membership”支付月費����。任何時間那個用戶成員想為他的收聽樂趣付費時,將授權(quán)他通過無線環(huán)球網(wǎng)系統(tǒng)的基于Internet的寶貴的古典庫流出數(shù)字音樂曲目����。再參考圖2,該用戶成員105將具有PXa3成員帳戶300以及適合于該俱樂部(域100)的他的部分的證書115以及用于他的“播放設(shè)置”的下載的PXa3成員客戶應(yīng)用軟件850��?��?捎眠m合的證書加密音樂����。因此�����,任何時候他需要時��,他能收聽任何一個俱樂部的“classical gold”庫��,但不能記錄任何一個�。
另一種模式將允許他下載他需要的任何音樂曲目用于存儲在他的個人計算機并按需要播放許多次,但將對每個曲目付費(如$1.00)�����。在該模式中,下載設(shè)備(個人計算機)最好具有大的存儲器以及串行總線連接(如通用串行總線電纜)���,用于到和從個人計算機將曲目下載到便攜式設(shè)備(如便攜式數(shù)字播放器)。
在上述例子中�����,內(nèi)容出售器將音樂(即數(shù)據(jù)文件220���,圖3)分配給付費用戶(即����,成員105�����,圖2)���。然而�,有許多其他類型的內(nèi)容能用相同類型的PXa3安全服務(wù)出售給有線和無線環(huán)球網(wǎng)用戶群���。另一個例子是特定位置信息��,如用于環(huán)繞用戶當(dāng)前地理位置的地理區(qū)域的交通���、天氣以及食物和住宿信息���。或��,如另一個例子���,也能出售便于商業(yè)和休閑事務(wù)�����,如用于假蠅釣魚的河流條件或發(fā)射用于Oakland A’s棒球比賽的比賽實況解說的廣播報道的用戶定制的信息�����。通常腳本類別列表��,盡管用任何方式不能詳盡��,可能包括普通新聞特殊興趣新聞(如假蠅釣魚)體育(新聞和實況轉(zhuǎn)播報道)財經(jīng)新聞&服務(wù)特定位置的交通�����、天氣以及旅游信息目錄列表移動娛樂(音樂����、視頻游戲、視頻和彩票/游戲)移動售票移動醫(yī)學(xué)記錄場外自動化移動供應(yīng)鏈管理PXa3的內(nèi)容出售應(yīng)用不同于常規(guī)的PXa3公司信息管理應(yīng)用�����,因為它被設(shè)計成在分配內(nèi)容方面更受限制����。例如(a)成員105通常僅解密內(nèi)容220�����,他們從環(huán)球網(wǎng)站點305檢索或經(jīng)email發(fā)送��;(b)成員105通常不知道基本的PXa3技術(shù)����,僅察覺到當(dāng)他們下載一項內(nèi)容時,他們需要簡單地點擊命令或文件圖標(biāo)并且文件在常規(guī)的明文(未加密的)方式可用�;(c)這種內(nèi)容出售系統(tǒng)通常將不使用PKI,因為不需要數(shù)字簽名。
因此���,本發(fā)明提供用于在分散公用網(wǎng)�����,如Internet上將數(shù)字內(nèi)容分配給預(yù)訂內(nèi)容出售器服務(wù)的單個網(wǎng)絡(luò)用戶的方法和系統(tǒng)��。
2.控制對保密系統(tǒng)的訪問PXa3系統(tǒng)的基本結(jié)構(gòu)很適合于應(yīng)用��,如上述描述的內(nèi)容出售應(yīng)用�����,其中要保密的對象是代表計算機的數(shù)據(jù)對象���。然而,這并不需要總是這種情形���。本發(fā)明的另一實施例提供用于訪問任何保密系統(tǒng)�,如物理系統(tǒng)(如辦公綜合機構(gòu))或邏輯系統(tǒng)(如計算機網(wǎng)絡(luò))的方法和裝置��;要保密的系統(tǒng)也可是靜態(tài)或動態(tài)的�。
如圖7中所示的這樣一個實施例��,利用在前描述過的實施例相同的基本加密特征�����。選擇要保密的系統(tǒng)部分(步驟700)��。系統(tǒng)也利用系統(tǒng)用戶的一個或多個類別�����,從而定義哪個用戶允許訪問系統(tǒng)的哪一保密部分(步驟705)�。必須為每個類別建立訪問碼(步驟710)��。然后系統(tǒng)地將每個訪問碼分配給系統(tǒng)的不同保密成分(步驟715)�,其中采用每個訪問碼與其他成分結(jié)合來創(chuàng)建用于控制對系統(tǒng)的選擇部分的訪問的密鑰�����。
在系統(tǒng)內(nèi)保密訪問碼本身����,最好使用生物識別,但另外可通過各種軟令牌和/或硬令牌(如智能卡)方式����,通過使用或不使用用戶密碼/PIN�,時間或用戶位置來保密����。然后系統(tǒng)將保密的訪問碼在分散公用網(wǎng)上分配給將允許訪問系統(tǒng)的選擇部分的至少一個的系統(tǒng)用戶(步驟720)。此外��,發(fā)生這些任何步驟的任何一個的順序不重要�,而且可改變。例如�,建立訪問類別以及在此定義用戶可在選擇系統(tǒng)部分之前。
E.用于基于環(huán)球網(wǎng)安全管理應(yīng)用的PXa3結(jié)構(gòu)考慮實現(xiàn)本發(fā)明的上述實施例��,優(yōu)選的PXa3系統(tǒng)設(shè)計基于經(jīng)Internet使用HTTPS聯(lián)網(wǎng)來支持連接瀏覽器的管理(如域和工作組管理員)以及本地客戶機應(yīng)用(如用于每個成員���,以及用于管理員)的客戶機-服務(wù)器結(jié)構(gòu)�����。
1.系統(tǒng)結(jié)構(gòu)和更高級設(shè)計圖8表示操作PXa3環(huán)球網(wǎng)站點305(圖2)和適用于本發(fā)明的所有上述實施例的用于PXa3服務(wù)器系統(tǒng)800的優(yōu)選模型結(jié)構(gòu)�����。服務(wù)器系統(tǒng)800包括至少一個PXa3環(huán)球網(wǎng)服務(wù)器801��、應(yīng)用服務(wù)器805���、至少一個數(shù)據(jù)庫服務(wù)器810�����,以及令牌生成器815��。環(huán)球網(wǎng)服務(wù)器801�、應(yīng)用服務(wù)器805以及令牌生成器可能是如可在單個服務(wù)器計算機上實現(xiàn)����,而且可任意地在服務(wù)器集上實現(xiàn)的MS Win2000服務(wù)器。數(shù)據(jù)庫服務(wù)器810可以是如Win2000高級服務(wù)器�����。數(shù)據(jù)庫服務(wù)器810最好在MS服務(wù)器群環(huán)境中構(gòu)造�����。在優(yōu)選實施例中�,將用于所有服務(wù)器的操作系統(tǒng)功能降低到最??���;如���,所有不必要的組件如IIS(由于用于SSL的WebLogic Port443使用)���,可移除telnet以及ftp。
最好�,PXa3服務(wù)器系統(tǒng)800使用多分層的應(yīng)用服務(wù)器實現(xiàn)(在下面進(jìn)一步描述)。在優(yōu)選實施例中��,可在MS Windows2000操作系統(tǒng)上運行的Java技術(shù)(BEA WebLogicTM6.0服務(wù)器�,適應(yīng)J2EE)上找到這種實現(xiàn)方式?�?蓪⒎?wù)器數(shù)據(jù)庫810配置在如Oracle8.7并最好通過Java數(shù)據(jù)庫連通性訪問���。這些操作系統(tǒng)和應(yīng)用軟件僅是例子�����,并且決不要求以便實現(xiàn)本發(fā)明���。
如圖8中所示�,服務(wù)器(系統(tǒng))管理員830最好通過執(zhí)行一套維護(hù)任務(wù)311(圖2)維護(hù)PXa3系統(tǒng)服務(wù)器800�����。在該實施例中����,PXa3服務(wù)器系統(tǒng)800包括用于允許PXa3域管理員(即安全官126(圖2))、域管理機構(gòu)125(圖2)以及工作組管理員145(圖2)經(jīng)商業(yè)環(huán)球網(wǎng)瀏覽器831執(zhí)行他們的功能的環(huán)球網(wǎng)服務(wù)器瀏覽器界面��。經(jīng)該環(huán)球網(wǎng)瀏覽器831�����,PXa3服務(wù)器系統(tǒng)800允許由域管理機構(gòu)125(圖2)和/或工作組管理員145(圖2)經(jīng)Internet330分散公用網(wǎng)從世界上任何地方創(chuàng)建用戶證書115(圖2)以及存儲為安全簡檔表120(圖2)部分以及成員令牌122���。服務(wù)器管理員830也經(jīng)商業(yè)環(huán)球網(wǎng)瀏覽器832執(zhí)行他們的系統(tǒng)維護(hù)任務(wù)311(圖2)�。
仍參考圖8��,PXa3服務(wù)器系統(tǒng)800進(jìn)一步包括用于從數(shù)據(jù)庫810檢索成員令牌122的Internet可訪問令牌界面825���。在優(yōu)選實施例中,使用SSL/HTTPS協(xié)議經(jīng)安全的遞送信道從數(shù)據(jù)庫810的安全中央存儲器到用戶本地系統(tǒng)(或管理員或成員)檢索令牌122�����。
將安全簡檔表120(圖2)以及相關(guān)的成員令牌122存儲在安全中央服務(wù)器數(shù)據(jù)庫810以及僅可由具有正確的成員驗證的用戶訪問。只要在安全存儲器中��,在兩個典型的條件下訪問成員令牌122(a)當(dāng)與特定安全簡檔表有關(guān)的成員請求成員令牌時�����。在這種情況下��,經(jīng)安全遞送信道將成員令牌遞送給成員客戶機系統(tǒng)���。成員僅當(dāng)經(jīng)過由域管理機構(gòu)設(shè)置的安全政策托管的驗證進(jìn)程后才獲得訪問成員令牌����。
(b)當(dāng)域管理機構(gòu)或工作組管理員修改成員的安全簡檔表���。在這種情況下�,管理員將從安全存儲器810檢索安全簡檔表/成員令牌��,按需要修改安全簡檔表/成員令牌(如按照證書中的變化)��,并將安全簡檔表/成員令牌返回給安全存儲器。另外�,可創(chuàng)建新安全簡檔表/成員令牌來替換安全存儲器中的舊的安全簡檔表/成員令牌。在優(yōu)選實施例中�,盡管管理員訪問過成員安全簡檔表,他不必訪問包含在安全簡檔表中的所有信息��,因為成員令牌的某些字段被加密并僅可由具有那個成員令牌的成員訪問��。
(a)PXa3應(yīng)用服務(wù)器組件在優(yōu)選實施例中�,將PXa3應(yīng)用服務(wù)器805分成兩類組件基本功能組件以及輔助功能組件?;竟δ芙M件是負(fù)責(zé)如上所述的自動令牌生成以及檢索特點的組件;輔助功能組件提供幫助基本功能和/或由PXa3安全官126(圖2)配置的(如設(shè)置安全政策或記費需求)另外的功能���。輔助組件不是交互式的���,因此對系統(tǒng)用戶來說是透明的。
如圖9所示����,PXa3應(yīng)用服務(wù)器805中的基本組件包括(a)成員訪問和令牌檢索組件930;(b)域認(rèn)證訪問組件935����;以及(c)服務(wù)器認(rèn)證組件940�����。
不同組件間的、應(yīng)當(dāng)發(fā)生在公用網(wǎng)上的所有通信必須安全����,不管它們發(fā)生在Internet上或內(nèi)聯(lián)網(wǎng)內(nèi)。例如���,域訪問控制信息必須包含在組件邊界上傳遞的信息中�,以便每個組件不必獨立地驗證域信息����。因此,優(yōu)選實施例使用用于保密那種組件內(nèi)通信目的的SSL(TLS)�。如果SSL/TSL對任何理由均是不可能的,必須開發(fā)專用的加密方案�。如果更好的解決方案可用或帶來更優(yōu)化的替代方案,將來可使用其他協(xié)議����。
另外,為保證最大安全性�,在組件中以及為了組件間的通信,需要實現(xiàn)域分離。在極端情況下����,對單個域的訪問組件,有必要具有不同的環(huán)球網(wǎng)應(yīng)用(另外��,使用訪問控制表(“ACL”)���,足以實現(xiàn)域訪問控制)����。
在三種基本組件(930���、935和940)中����,與客戶機系統(tǒng)的有效的交互作用的前兩個組件-因此需要用于每種組件的通信協(xié)議���。第三個組件-服務(wù)器管理組件940-用于PXa3服務(wù)器安裝�����、配置和故障診斷目的�����。該組件940可包括可訪問環(huán)球網(wǎng)的服務(wù)器認(rèn)證界面�����,或者���,能在管理員本地客戶系統(tǒng)上使用腳本執(zhí)行服務(wù)器認(rèn)證任務(wù)311(圖2)。
(1)基本功能組件(a)成員訪問和令牌檢索組件�。該組件930處理成員訪問和令牌檢索請求。通過特殊設(shè)計的客戶機系統(tǒng)結(jié)構(gòu)發(fā)生成員訪問數(shù)據(jù)庫810��,在下面將進(jìn)一步詳細(xì)描述�。在優(yōu)選實施例中,用于成員令牌檢索的基本協(xié)議是HTTPS���,其確保防火墻和PXa3系統(tǒng)的客戶端(管理員和成員)上的代理服務(wù)器的無縫通過��。
在優(yōu)選實施例中�����,成員訪問和令牌檢索組件930執(zhí)行下述功能1)接收客戶登錄和令牌檢索請求����;2)如果支持多個域,核對和檢驗域信息����;3)核對單個用戶的驗證說明,以及如果需要更多信息�,要求客戶補充;4)將客戶請求傳送到驗證組件(在下面進(jìn)一步描述)�����;5)檢驗驗證組件的返回值�����;6)如果驗證成功�����,從安全數(shù)據(jù)庫存儲器810檢索請求的成員令牌122(圖8)以及使用安全遞送信道����,使用如SSL/HTTPS,將成員令牌返回給請求的客戶��;7)如果驗證失敗,將一般的故障消息返回給請求客戶(為最小化黑客在黑客任務(wù)期間接收的信息��,不管何種原因����,對所有驗證故障最好采用無區(qū)別的故障消息);以及8)請求監(jiān)視/報告/記錄服務(wù)組件來記錄用于記費��、審計����、訪問控制以及系統(tǒng)監(jiān)視應(yīng)用的所有有意義的事件�����。
應(yīng)當(dāng)強調(diào)該功能請求列表并不表示是強制的或全部的����,該列表僅表示示例成員訪問和令牌檢索組件的基本功能請求。
同樣在優(yōu)選實施例中���,以無狀態(tài)處理成員訪問和令牌檢索����。換句話說,當(dāng)成員105(圖2)請求成員令牌122時�����,PXa3應(yīng)用服務(wù)器805不保存任何客戶狀態(tài)(另一方面��,PXa3成員客戶機850(圖2和11)為了其自己的使用可決定保存狀態(tài)��,但不必以任何方式將那個狀態(tài)傳送到PXa3服務(wù)器)�����。
用于成員訪問和令牌檢索組件930的無狀態(tài)進(jìn)程至少具有兩個好處�。第一,無狀態(tài)進(jìn)程更有效和可升級���。單個成員訪問和令牌檢索的整個對話在PXa3成員客戶機850(圖2和11)和PXa3服務(wù)器系統(tǒng)800(圖8)間可僅具有兩個交換周期���,包括初始驗證周期,但可能有相當(dāng)多的成員同時訪問單一PXa3服務(wù)器(這和管理員訪問的情況形成對比�,在單一會話中,管理員訪問要求管理員客戶機系統(tǒng)和服務(wù)器系統(tǒng)間相當(dāng)多的交換次數(shù)�����,但通常沒有大量的同時的管理員訪問,即使當(dāng)單一服務(wù)器用于多個域的情況下)����。通過使用成員訪問的無狀態(tài)的進(jìn)程以及令牌檢索組件,可減輕PXa3服務(wù)器系統(tǒng)800(圖8)保存用于每個PXa3成員客戶機850(圖2和11)的狀態(tài)的負(fù)擔(dān)�����。具體來說�����,當(dāng)使用J2EE結(jié)構(gòu)時�,無狀態(tài)的會話組件與它們的有狀態(tài)的副本相比具有更好的性能和可升級能力����,因為無狀態(tài)會話組件的所有實例均是相同的并可共享)。
使用用于成員訪問和令牌檢索組件的無狀態(tài)方法的第二個好處源于這樣的事實用于客戶端和服務(wù)器端的邏輯代碼更簡單���。這對服務(wù)器端代碼特別確切,因為無狀態(tài)方法能遵循純的客戶機-服務(wù)器模式-包含在每個客戶請求中的信息足以使服務(wù)器來處理那個請求并作出響應(yīng)����。在客戶代碼端�,客戶-服務(wù)器通信仍將遵循HTTPS協(xié)議����,但因為不保存狀態(tài),不需要在代碼中實現(xiàn)會話跟蹤機制�����。
錯誤核對和故障處理是該組件的重要方面����。最好,也包括合理的超時機制��,以便如果在確定的時間周期內(nèi)沒有接收到來自特定服務(wù)器(如從數(shù)據(jù)庫存儲器810)的響應(yīng)�����,用適當(dāng)?shù)南⑼ㄖ埱罂蛻粝到y(tǒng)��。超時機制最好是兩階段的過程在前幾個超時后�,服務(wù)器重試來實現(xiàn)客戶請求并將狀態(tài)消息發(fā)送給客戶機;在已經(jīng)達(dá)到預(yù)定多次超時后�,發(fā)送錯誤消息。
在優(yōu)選實施例中,成員訪問和令牌檢索組件930與基于HTTPS遵循成員訪問協(xié)議的PXa3成員客戶機850(圖2和11)通信���。因此�,實現(xiàn)用于通信接口的框架的自然選擇是HTTP伺服程序或JSP頁�。成員訪問和令牌檢索組件930無縫地與安裝在用戶客戶機設(shè)備(如桌上型電腦、膝上型電腦��、移動電話���、無線個人數(shù)字助理等等)上的PXa3成員客戶應(yīng)用(圖2和11)一起工作����??珊苋菀字С趾蜕壉景l(fā)明。具體來說�����,即使發(fā)生PXa3應(yīng)用服務(wù)器805升級����,新的服務(wù)器仍能與較早版本的PXa3成員客戶機通信��。因此客戶-服務(wù)器通信協(xié)議包括版本協(xié)商機制,以便能保持向后兼容�。當(dāng)發(fā)生顯著的協(xié)議改變以及不再可能客戶/服務(wù)器兼容時,應(yīng)用服務(wù)器通知客戶機系統(tǒng)狀態(tài),然后客戶機系統(tǒng)用足夠的信息來提示用戶更新他的客戶機��。因此�����,用可擴(kuò)展的這種方式來定義通信協(xié)議是很重要的�,以便如果將來該組件要求更多的功能,可擴(kuò)展協(xié)議而不會影響向后兼容�。
(b)域管理訪問組件。該組件935處理域管理機構(gòu)以及工作組管理員訪問以及認(rèn)證請求��。在優(yōu)選實施例中�,域認(rèn)證(“DA”)訪問組件935使用環(huán)球網(wǎng)瀏覽器來提供管理員(125,126和140�����,圖2)和PXa3服務(wù)器系統(tǒng)800(圖8)間的通信來執(zhí)行不同域和工作組認(rèn)證任務(wù)��。在優(yōu)選實施例中���,可支持Microsoft Internet Explorer和Netscape Navigator����。最好,DA訪問組件執(zhí)行下述功能1)接收客戶登錄請求��;2)核對和檢驗域信息����,如果支持多個域的話;3)核對用于各個域管理機構(gòu)的驗證說明�,如果需要更多的信息,要求客戶機系統(tǒng)補充�����;4)將客戶請求傳送到驗證組件����;5)檢驗驗證組件的返回值;6)如果驗證成功�����,建立會話并將用戶引導(dǎo)到默認(rèn)頁��,在該默認(rèn)頁����,他可開始認(rèn)證任務(wù);7)對任何在后請求�����,調(diào)用驗證組件來檢驗請求的可靠性(在域管理機構(gòu)已經(jīng)登錄后如何實現(xiàn)對其后請求的驗證核對的詳細(xì)情況在下面進(jìn)一步描述)����;8)相對于在前狀態(tài)核對請求狀態(tài),從而開發(fā)域管理機構(gòu)訪問會話的狀態(tài)機����,提供增強的安全性;9)如果必要的話��,更新數(shù)據(jù)庫(所有認(rèn)證功能最好是基于使用如稱為Java事務(wù)處理服務(wù)(“JTS”)技術(shù)的事務(wù)����,該技術(shù)向J2EE應(yīng)用提供事務(wù)管理服務(wù));10)如果必要的話�,將令牌創(chuàng)建請求發(fā)送給令牌生成器815(圖8)或更新令牌創(chuàng)建隊列(在下面進(jìn)一步描述);11)執(zhí)行事務(wù)管理�,在Entity Java Bean(“EJB”)框架936(圖9)中和與會話跟蹤和狀態(tài)管理有關(guān)�����;12)如果驗證失敗���,將一般的故障消息返回給客戶機系統(tǒng)(為減少在黑客任務(wù)期間黑客可能接收的信息,不管原因如何�����,最好對所有驗證故障采用無區(qū)別的故障消息)����;13)請求監(jiān)視/報告/記錄服務(wù)組件來記錄用于記費、訪問控制以及系統(tǒng)監(jiān)視使用的所有有意義的事件�����;14)在來自域管理員的請求的基礎(chǔ)上��,終止會話��,或如果會話已經(jīng)超時�;以及15)如果相同域的域管理員已經(jīng)登錄,以及只有當(dāng)驗證核對成功時����,用消息提示用戶告訴他另一域管理員目前已經(jīng)登錄。
當(dāng)用成員訪問和令牌檢索組件930時���,基于確保安全性���,用于該組件的所有客戶-服務(wù)器通信是SSL(HTTPS)。
通常���,域管理員的安全官(域管理機構(gòu)以及工作組管理員)�,其責(zé)任是維護(hù)域安全政策����、維護(hù)成員數(shù)據(jù)(包括成員職務(wù)以及訪問許可證書)以及創(chuàng)建成員令牌。
在優(yōu)選實施例中�,令牌創(chuàng)建是批處理,其增強了PXa3系統(tǒng)的可升級能力��。如圖8所示����,最好由與PXa3應(yīng)用服務(wù)器805分開和遠(yuǎn)離的令牌生成器815實現(xiàn)令牌生成。將令牌生成器815劃分成兩個組件令牌燃燒器(token burner)816和CKM令牌提供者817�。在優(yōu)選實施例中���,將令牌提供者包含在商業(yè)可獲得的稱為CKM版本5.1,mhTECSEC提供的產(chǎn)品中����。如在下面將進(jìn)一步描述的那樣,使用用于CKM令牌提供者817的TECSEC CKM產(chǎn)品����,根據(jù)用戶請求,加密�、散列,然后存儲和/或傳送成員令牌文件-包括對本發(fā)明的具體實現(xiàn)是特定的以及包含成員安全簡檔表的成員帳戶信息�。
通過將DA訪問組件935(圖9)與令牌生成器815(圖8)分開,經(jīng)DA訪問組件的數(shù)據(jù)訪問是基于事務(wù)的�,并允許同時多個對DA訪問組件的訪問。另外���,可將DA訪問組件935以及令牌生成器815組合成單一組件�。通過使數(shù)據(jù)訪問是基于事務(wù)的����,域管理機構(gòu)以及工作組管理員可同時與成員訪問一起訪問數(shù)據(jù)庫810。
不象成員訪問和令牌檢索組件,PXa3服務(wù)器的一個實施例保存用于每個域管理員訪問會話的狀態(tài)(即���,實現(xiàn)對每個訪問會話的“有狀態(tài)”進(jìn)程)��。對這種不同的一個原因產(chǎn)生于事實(a)域管理員訪問對話可要求多次的客戶-服務(wù)器交換���;以及(b)同時訪問的數(shù)量相當(dāng)小�����,即使在單一服務(wù)器服務(wù)于多個域的情況下���。此時�,有狀態(tài)的方法具有下述優(yōu)點1.由于相對少的同時的域管理員訪問會話����,將PXa3服務(wù)器(以及客戶機,在這種情況下為環(huán)球網(wǎng)瀏覽器)從每次驗證客戶機解脫出來�����,實際上減輕了為域管理機構(gòu)/工作組訪問保存狀態(tài)的困難�。換句話說,與成員訪問和令牌檢索組件相比,有狀態(tài)方法實際上增強了性能和可升級能力����。
2.由于將狀態(tài)保存在服務(wù)器上用于每個域管理機構(gòu)/工作組訪問會話,只驗證客戶機一次�����,不再需要在每個其后的請求上驗證�。由于每次登錄對話僅驗證一次��,使驗證過程比無狀態(tài)進(jìn)程可能允許的更復(fù)雜和更安全是可行的���。
3.另外��,通過保存每個域管理機構(gòu)/工作組管理員訪問會話的狀態(tài)�����,開發(fā)基于訪問會話狀態(tài)的訪問控制機制是可能的����,因此增強了PXa3服務(wù)器系統(tǒng)的安全性���。由于域管理機構(gòu)在PXa3服務(wù)器上具有比單個成員更大的訪問特權(quán)���,經(jīng)常需要更大的安全性��,即使以少量的性能損失為代價。
DA訪問組件935應(yīng)當(dāng)線性可升級和有效��。通過將該組件935與令牌提供者組件817(圖8)分開(以下將進(jìn)一步描述)以及因此使令牌創(chuàng)建請求異步���,實現(xiàn)可升級能力的可接受程度���。
對PXa3服務(wù)器系統(tǒng)800���,DA訪問組件與成員訪問和令牌檢索組件930相比提供了可用性挑戰(zhàn)��。如上所述���,DA訪問組件提供動態(tài)的、基于環(huán)球網(wǎng)頁的界面�����,用于便于認(rèn)證任務(wù)。因此應(yīng)當(dāng)遵循所有建立的環(huán)球網(wǎng)設(shè)計指南以增強可用性�。在其他事件中,用于DA訪問組件的用戶界面應(yīng)當(dāng)提供用戶友好的�、安全以及專業(yè)的意識。
(c)服務(wù)器議證組件��。該組件940處理服務(wù)器認(rèn)證請求�����。PXa3服務(wù)器認(rèn)證與域認(rèn)證不混淆����。服務(wù)器管理員830(圖8)負(fù)責(zé)整個PXa3服務(wù)器系統(tǒng)800的配置、維護(hù)以及政策設(shè)置�,PXa3服務(wù)器系統(tǒng)800可代管多個CKM域。另一方面��,域管理員125�、126或140(圖2)負(fù)責(zé)諸如他所負(fù)責(zé)的特定域的政策設(shè)置和成員資格維護(hù)的任務(wù)。在優(yōu)選實施例中�,有一個PXa3服務(wù)器管理員,與服務(wù)器系統(tǒng)上的CKM域的數(shù)量無關(guān)��。
另一方面��,PXa3服務(wù)器認(rèn)證也不與UNIX認(rèn)證或網(wǎng)絡(luò)認(rèn)證混淆。相反��,將其限制到對PXa3系統(tǒng)來說特定的任務(wù)上��。在某種意義上����,PXa3服務(wù)器認(rèn)證是應(yīng)用層認(rèn)證類型-其目的是配置在PXa3環(huán)球網(wǎng)服務(wù)器、應(yīng)用服務(wù)器等等上運行的特殊開發(fā)的PXa3應(yīng)用程序�。因此服務(wù)器認(rèn)證組件940(圖9)提供以下功能1)創(chuàng)建、刪除�����、禁用以及啟用CKM域�;2)提供服務(wù)器內(nèi)尋址配置功能(當(dāng)提出或移除PXa3服務(wù)器(環(huán)球網(wǎng)服務(wù)器�����、應(yīng)用服務(wù)器�����、數(shù)據(jù)庫服務(wù)器或令牌生成服務(wù)器)時��,很可能調(diào)用低級認(rèn)證;然而�,也有可能需要做某種應(yīng)用級配置。服務(wù)器管理員830能使用服務(wù)器認(rèn)證界面來進(jìn)行應(yīng)用級的配置改變���。例如���,如果數(shù)據(jù)庫服務(wù)器改變,則可能需要改變JDBC驅(qū)動程序�。)3)提供數(shù)據(jù)庫維護(hù)功能(這些功能中的某些可能與記費和審記有關(guān),然而一些其他功能可能是簡單的數(shù)據(jù)庫配置功能)�;4)提供服務(wù)器安全政策設(shè)置功能(如,當(dāng)數(shù)據(jù)中心代管多個CKM域時���,最好由服務(wù)器管理員830設(shè)置這些域間的關(guān)系)�;5)提供診斷界面��,服務(wù)器管理員830使用該診斷界面來診斷有可能任何一個PXa3服務(wù)器將要出現(xiàn)故障的系統(tǒng)問題�,(該功能需求與報告和監(jiān)視服務(wù)特別相關(guān)(下面將進(jìn)一步描述);在某種意義上�,報告/監(jiān)視服務(wù)是問題的動態(tài)方面,而服務(wù)器認(rèn)證是同一問題的靜態(tài)方面)���;6)提供用于服務(wù)器管理員830核對統(tǒng)計數(shù)據(jù)����,如服務(wù)器使用的界面(該信息分成兩個類別(1)當(dāng)前服務(wù)器使用信息,如有效會話的數(shù)量;以及(2)歷史服務(wù)器使用信息);以及
7)建立靜態(tài)負(fù)載平衡(由于極其大量的成員訪問���,可用分層方式實現(xiàn)負(fù)載平衡在最頂層�,執(zhí)行靜態(tài)負(fù)載平衡[靜態(tài)負(fù)載平衡通常包含簡單的請求調(diào)度算法,以及與數(shù)據(jù)庫分配非常相關(guān)])�����。
上述列表是示例性的���,并不規(guī)定為再現(xiàn)用于服務(wù)器認(rèn)證組件的功能的強制性或全部列表���。在一個實施例中,服務(wù)器認(rèn)證組件940是基于環(huán)球網(wǎng)的����,盡管對該組件的環(huán)球網(wǎng)可訪問性沒有要求�����。
如同DA訪問組件935一樣,在一個實施例中���,對如上所述的相同理由���,也可將服務(wù)器認(rèn)證組件940設(shè)計成有狀態(tài)的。
允許服務(wù)器認(rèn)證為遠(yuǎn)程發(fā)生或限制成本地�,或LAN訪問主要是政策問題。仍然需要做出設(shè)計考慮��。對服務(wù)器認(rèn)證組件940來說��,一種可能性是留意除80和443外的不同的防火墻端口���。該端口應(yīng)當(dāng)配置成僅可從LAN內(nèi)或由站點安全政策允許的某一機器訪問�����。
本領(lǐng)域的普通技術(shù)人員將意識到��,根據(jù)所涉及的操作系統(tǒng)����、環(huán)球網(wǎng)服務(wù)器�����、數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器,可不同地執(zhí)行服務(wù)器認(rèn)證任務(wù)的進(jìn)程���,但仍然在本發(fā)明的范圍內(nèi)�����。由于服務(wù)器管理員有特權(quán)來改變服務(wù)器配置參數(shù)���,因此有可能損壞系統(tǒng),可靠性是最關(guān)心的����。為此,應(yīng)當(dāng)特別注意該組件的設(shè)計和開發(fā)����。另外,推薦以基于事務(wù)的方式實現(xiàn)該組件��。由服務(wù)器管理員請求的動作不是成功就是失敗�����。萬一動作失敗����,服務(wù)器配置應(yīng)當(dāng)保持不變就象從未請求該動作一樣。另外�,希望系統(tǒng)記住最后一個“好的”配置,以便可將系統(tǒng)恢復(fù)到工作配置���,萬一服務(wù)器管理員不經(jīng)意地改變至關(guān)緊要的配置參數(shù)并導(dǎo)致系統(tǒng)非功能�����。最好�����,應(yīng)當(dāng)將事故預(yù)防緊記心中來設(shè)計用戶界面���。對大多數(shù)用戶動作,應(yīng)當(dāng)需要確認(rèn)�����。用戶界面的布局也應(yīng)當(dāng)直觀,以便降低錯誤風(fēng)險���。用戶輸入應(yīng)當(dāng)核對格式�����,以及當(dāng)發(fā)現(xiàn)任何格式錯誤時提示用戶��。
(2)輔助組件如圖9中所示�����,用于PXa3服務(wù)器系統(tǒng)的輔助組件包括(a)驗證組件945����;(b)監(jiān)視/報告/記錄服務(wù)組件950;以及(c)記費/審計服務(wù)組件955�����。如上所述�,這些組件為PXa3應(yīng)用服務(wù)器805提供輔助功能。這三個組件是示例性而不是強制的�。每個輔助組件的功能要求由本發(fā)明的每種實現(xiàn)的商業(yè)要求而定��。
(a)驗證組件�����。在本發(fā)明的優(yōu)選實施例中,該組件945核對和檢驗來自客戶機�,域管理機構(gòu)/工作組管理員客戶機以及成員客戶機的請求的可靠性。驗證組件945提供下述功能1)從具有用戶信息和驗證數(shù)據(jù)的其他組件接收驗證請求����;2)根據(jù)由域管理機構(gòu)/工作組管理員或服務(wù)器管理員提供的驗證請求,為存儲在此的驗證模板�����,訪問數(shù)據(jù)庫服務(wù)器810�����;3)檢驗用戶可靠性并將布爾結(jié)果值返回給相應(yīng)的調(diào)用組件����;4)如果使用來自第三方的生物特征驗證服務(wù)(或基于時間或位置或基于硬令牌的驗證機制),將驗證請求傳送給適合的驗證服務(wù)��,接收來自該服務(wù)的結(jié)果并將該結(jié)果返回給調(diào)用組件;5)為了有狀態(tài)會話中后來的請求�����,用專用的驗證機制核對會話有效性以及用戶可靠性�,并將該結(jié)果返回給相應(yīng)的調(diào)用組件;以及6)在有狀態(tài)會話中處理用戶注銷請求���。
在本發(fā)明的一個實施例中�,上述列表描述對驗證組件945來說強制性的特征���,然而�����,特征的全部列表將由本發(fā)明的特殊實現(xiàn)而定����。
在下述兩種示例性的情況中包含可靠性核對���。首先�����,當(dāng)用于成員令牌的請求包含用于初始檢驗的驗證數(shù)據(jù)時����,處理可靠性核對。這種情況可進(jìn)一步分成兩種子情況第一個是無狀態(tài)情況����,當(dāng)在成員訪問的情況下��,當(dāng)每個請求包含驗證數(shù)據(jù)時�;第二種是有狀態(tài)訪問的初始登錄的情況�����,如域管理機構(gòu)訪問����。包含何種信息由本發(fā)明的特定實現(xiàn)和用于那個實現(xiàn)的適當(dāng)?shù)陌踩邲Q定。在大多數(shù)情況下��,至少包含域信息����、用戶ID以及PIN����。然而��,該組件的設(shè)計應(yīng)當(dāng)仍然可擴(kuò)展來適應(yīng)驗證的擴(kuò)展方法����,如生物識別。
當(dāng)用于成員令牌的請求作為用于有狀態(tài)會話的后來請求����,如域管理機構(gòu)訪問或服務(wù)器認(rèn)證訪問到來時,發(fā)生其中處理可靠性核對的第二種情況��。在這種情況下��,很可能在請求中不傳送驗證數(shù)據(jù)����。因此,通過會話核對以及專用的驗證機制��,如cookie����、伺服會話等等檢驗請求的可靠性���。
注意到為了防止竊聽以及服務(wù)器驗證,而不是為了防止客戶冒充�,單向SSL(HTTPS)的安全性很重要是很重要的。認(rèn)證授權(quán)(CA)功能可進(jìn)一步用來允許雙向SSL驗證�����。
在優(yōu)選實施例中����,為確保最大的安全性����,驗證組件945物理地駐留在與用于成員訪問和令牌檢索930、DA訪問935��、以及服務(wù)器認(rèn)證訪問940的組件相同的機器上。盡管PXa3服務(wù)器系統(tǒng)800(圖8)的一個實施例在安全區(qū)中��,同時僅可從Internet直接訪問環(huán)球網(wǎng)服務(wù)器801�,通過具有在同樣的Java虛擬機(“JVM”)上運行以利用Java安全模型的驗證組件945�,進(jìn)一步提高該實施例的安全性。
(b)監(jiān)視/報告/記錄服務(wù)組件�����。在本發(fā)明的優(yōu)選實施例中�,該組件950處理下述任務(wù)1)監(jiān)視服務(wù)器的狀態(tài)��;2)將異常性報告給負(fù)責(zé)人����;以及3)記錄有意義的事件(如將錯誤以及異常記錄到一個或多個日志文件中;將用戶事件記錄到數(shù)據(jù)庫)�����。
為監(jiān)視和報告任務(wù)����,第三方商業(yè)監(jiān)視和報告工具,如由FreshwaterSoftware.Inc提供的SiteScope(版本4.0及以上)很適合����。如果使用第三方工具��,那么本領(lǐng)域的普通技術(shù)人員將實現(xiàn)PXa3應(yīng)用服務(wù)器包括用于監(jiān)視和報告工具的異常指令(和觸發(fā)器)���。
最好應(yīng)當(dāng)記錄的有意義事件主要分成兩種類別(a)錯誤和異常;以及(b)用戶事件���。記錄錯誤和異常以便后來服務(wù)器管理員診斷服務(wù)器問題�����;為了諸如記費�����、審計以及服務(wù)器性能評價的目的���,用戶事件是有價值的信息����。
根據(jù)選擇的監(jiān)視和報告工具,可能希望將記錄某些類型的錯誤和異常的任務(wù)留給那個工具���。然而��,在大多數(shù)情況下��,希望使錯誤日志在單個地方�。另外,有可能選擇的監(jiān)視和報告工具的記錄不包含對診斷PXa3應(yīng)用服務(wù)器805所需要的準(zhǔn)確信息��。因此����,最好記錄錯誤和異常信息而與工具無關(guān)。錯誤和異常信息最好存儲在一個或多個日志文件中���。
當(dāng)然����,錯誤報告和記錄與異常處理和恢復(fù)非常相關(guān)����。在PXa3應(yīng)用服務(wù)器設(shè)計的優(yōu)選實施例中,將錯誤分成三種類型1)致命系統(tǒng)錯誤使服務(wù)器的(子)系統(tǒng)不可恢復(fù)的系統(tǒng)級錯誤�,而沒有人為干預(yù)。
2)關(guān)鍵錯誤在某些條件下使功能不起作用的錯誤�。除非條件改變,關(guān)鍵錯誤通常不可恢復(fù)。
3)非關(guān)鍵錯誤自動恢復(fù)是可能的錯誤���。
在優(yōu)選實施例中����,應(yīng)當(dāng)記錄所有致命系統(tǒng)錯誤����,以及多數(shù)關(guān)鍵錯誤。另外���,也應(yīng)當(dāng)報告所有致命系統(tǒng)錯誤����。也應(yīng)當(dāng)報告一些關(guān)鍵錯誤�。根據(jù)PXa3系統(tǒng)的特定實現(xiàn),也希望記錄一些非關(guān)鍵錯誤���,但在大多數(shù)情況下����,如果恢復(fù)嘗試成功����,不記錄它們是可取的。
相反�����,為便于查詢和排序�����,存儲用戶事件信息的最好地方是在數(shù)據(jù)庫中���。準(zhǔn)確地說�,需要記錄何種事件更多的是市場決定而不是設(shè)計決定����,因此是由本發(fā)明的特定實現(xiàn)決定的。在優(yōu)選實施例中��,應(yīng)當(dāng)允許域管理機構(gòu)/工作組管理員啟動和/或禁止用戶事件記錄���。建議將事件成分三種類別必需的�����、希望的以及任選的����。僅后兩種類別中的事件應(yīng)當(dāng)能由域管理機構(gòu)/工作組管理員禁止。最好應(yīng)當(dāng)賦予用于記費和審計所必需的事件所需的收費�����。
監(jiān)視和報告服務(wù)可靠極其重要���。誤報警最多是令人生氣��,但未報告致命錯誤可是災(zāi)難性的�����。當(dāng)發(fā)生非關(guān)鍵性錯誤時�,應(yīng)當(dāng)嘗試恢復(fù)����。在某些條件下,經(jīng)常發(fā)生相同的錯誤�。當(dāng)非關(guān)鍵錯誤的原因是一些其他的、未檢測到的關(guān)鍵的或致命的錯誤時����,這尤其準(zhǔn)確。因此���,優(yōu)選的實施例將包括將任何非關(guān)鍵錯誤升級到關(guān)鍵錯誤的機制��,該機制在恢復(fù)期間重復(fù)自身許多次�����。在這種情況下�����,放棄進(jìn)一步的恢復(fù)嘗試并通知用戶���。
在大多數(shù)情況下,如果恢復(fù)成功����,不需記錄非關(guān)鍵錯誤。如果執(zhí)行用戶事件記錄���,最好具有某種類型的數(shù)據(jù)庫連接池以提高性能���。
(c)記費/審計服務(wù)組件����。該組件955提供記費/審計界面��。在優(yōu)選實施例中����,記帳/審計服務(wù)組件955(a)查詢數(shù)據(jù)庫表有關(guān)由在預(yù)定時間間隔建立的記費要求所表示的信息;(b)為提供(運行)PXa3服務(wù)的公司生成記費報告�����;以及(c)將報告存儲在數(shù)據(jù)庫表或文件中�。
與服務(wù)器認(rèn)證組件940一樣,記帳/審計組件955是用戶事件記錄的靜態(tài)方面���。換句話說�����,記費/審計組件955是用戶事件日志的用戶��。實際上��,記費/審計服務(wù)組件只不過是利用由監(jiān)視/報告/記錄組件950記錄的用戶事件數(shù)據(jù)的基于環(huán)球網(wǎng)的數(shù)據(jù)庫應(yīng)用�����。在優(yōu)選實施例中��,記費將基于有效的基于時間的定制服務(wù)���。因此,單個用戶的特殊使用數(shù)據(jù)可能對記費沒有意義���。但是�,對審計目的來說這些數(shù)據(jù)將仍然有用��,并且在用戶組織可能希望在除時間周期外的基礎(chǔ)上(如成員訪問的數(shù)量)記費的情況中���。
象任何服務(wù)器維護(hù)任務(wù)一樣�����,記費報告生成不應(yīng)損害成員的正常使用�。因此���,在優(yōu)選實施例��,為了不影響服務(wù)器的正常使用����,從數(shù)據(jù)的鏡像拷貝生成記費執(zhí)行。鏡像以及使產(chǎn)品拷貝以及鏡像拷貝間的數(shù)據(jù)同步的操作最好安排在成員使用最高時發(fā)生�����。推薦該時間由服務(wù)器管理員830配置�����。
也建議生成記費報告不采用延長的時間周期����。希望如每天為那天的活動生成匯總,而不是在每月未一起做��,即使記費周期是一個月��。在優(yōu)選實施例中�,包括基于日報生成月報的機制。
(b)邏輯配置PXa3服務(wù)器系統(tǒng)800(圖8)具有典型的三層結(jié)構(gòu),這對本領(lǐng)域的普通技術(shù)人員來說是公知的���。如圖10所示����,正面是直接與用戶交互作用的表示層1025��;中部是邏輯流和發(fā)生數(shù)據(jù)處理的商業(yè)邏輯層1030�;背面是存儲持久數(shù)據(jù)的數(shù)據(jù)層1035。本領(lǐng)域的普通技術(shù)人員將理解�,在任何典型的Internet配置中�����,將防火墻1000和負(fù)載平衡器1005放置在Internet330和一個或多個PXa3環(huán)球網(wǎng)服務(wù)器801間�。最好,將另外的防火墻1010放置在應(yīng)用服務(wù)器805和數(shù)據(jù)庫和令牌生成器(分別為801和815)間以提供隔離的物理子網(wǎng)�����。
該多層設(shè)計提供PXa3服務(wù)器系統(tǒng)800的不同功能元件間的分離��。通過這些層間定義好的界面����,每層為能單獨開發(fā)和維護(hù)的系統(tǒng)元件�。因此���,可單獨調(diào)整每層����,這大大地提高了整個系統(tǒng)的可升級能力�。
(1)表示層PXa3系統(tǒng)最好使用特別適用于大量突出用戶查看和感覺要求的靈活的用戶界面。因此���,本發(fā)明的優(yōu)選實施例使用將表示元件與商業(yè)邏輯元件分隔開來的PXa3服務(wù)器結(jié)構(gòu)設(shè)計采用三層實現(xiàn)提供在定制從與數(shù)據(jù)表示有關(guān)的背景顏色到圖標(biāo)的一切的用戶靈活性��。另外����,可很容易將PXa3框架嵌入現(xiàn)有的用戶頁中��。
表示層1025是與用戶交互作用的層�����。在多層�����、基于環(huán)球網(wǎng)的解決方案中,表示層由兩個子層組成�����。一個子層是在用戶計算機設(shè)備�,如桌上型系統(tǒng)上運行的環(huán)球網(wǎng)客戶程序。這種客戶程序的典型例子是環(huán)球網(wǎng)瀏覽器��,如Internet Explorer或Netscape Navigator��。其他子層包括駐留PXa3環(huán)球網(wǎng)服務(wù)器801上的環(huán)球網(wǎng)頁并下載到環(huán)球網(wǎng)客戶機用于顯示��。
在優(yōu)選實施例中�,什么組成環(huán)球網(wǎng)客戶程序子層由用戶交互作用是否是成員訪問或域管理機構(gòu)/工作組管理員訪問而定��。在成員訪問的情況下����,環(huán)球網(wǎng)客戶程序是本發(fā)明特殊開發(fā)的、為成員訪問特殊設(shè)計的���、稱為PXa3成員客戶機系統(tǒng)850(圖11����,在下面進(jìn)一步描述)的客戶機系統(tǒng)。在優(yōu)選實施例中��,PXa3成員客戶系統(tǒng)充當(dāng)使能的PXa3應(yīng)用(如Microsoft Word)和PXa3應(yīng)用服務(wù)器間的代理�,并根據(jù)請求從PXa3服務(wù)器系統(tǒng)檢索用于使能PXa3應(yīng)用的成員令牌。在域管理機構(gòu)/工作組管理員訪問和服務(wù)器認(rèn)證訪問的情況下�����,環(huán)球網(wǎng)客戶機系統(tǒng)分別是環(huán)球網(wǎng)瀏覽器831和832(圖8)��。然而���,確切地使用哪個瀏覽器是對服務(wù)器設(shè)計有很小后果的次要的問題����。
在DA訪問的情況下���,例如���,域管理機構(gòu)可使用環(huán)球網(wǎng)瀏覽器來與PXa3服務(wù)器系統(tǒng)通信并輸入成員信息和證書。為了創(chuàng)建成員令牌���,瀏覽器將信息傳送給服務(wù)器系統(tǒng)��。為此目的選擇的環(huán)球網(wǎng)瀏覽器可以是任何商業(yè)上可獲得的產(chǎn)品����,如Internet Explorer或NetscapeNavigator。
在優(yōu)選實施例中�����,PXa3環(huán)球網(wǎng)服務(wù)器801(圖10)的表示層1025(圖9和10)包括不同的靜態(tài)HTML頁�、JSP頁以及伺服程序。通過使用基于應(yīng)用服務(wù)器如BEA Weblogic服務(wù)器的EJB和J2EE���,最好減少使用伺服程序���,因為表示功能最好是由JSP實現(xiàn)以及商業(yè)邏輯功能應(yīng)當(dāng)處于商業(yè)邏輯層1030(圖9和10)并由不同的EJB936(圖9)執(zhí)行。
關(guān)于用于本發(fā)明的上述實施例的組件�����,成員訪問和令牌檢索組件930����、DA訪問組件935、服務(wù)器認(rèn)證組件940以及可能的記費/審計組件955均在某些方面與表示層1025有關(guān)�。(記費/審計組件有點特殊。在多個域的情況下����,希望服務(wù)器管理員830和域管理員可需要核對記費/審計記錄,雖然具有不同的范疇�。在更復(fù)雜的情況下,可能是某人有權(quán)核對記費記錄而不必具有認(rèn)證特權(quán)的情況�����。在任何情況下�,用于記費/審計記錄核對的基于環(huán)球網(wǎng)的界面存在于優(yōu)選實施例中。)(a)成員訪問組件的表示層����。在優(yōu)選實施例中,成員訪問和令牌檢索組件930(圖9)的表示層1025應(yīng)當(dāng)至少提供下述功能1)以按成員訪問協(xié)議定義的格式接受客戶請求�,并將請求傳遞給商業(yè)邏輯層1030用于處理;以及2)從商業(yè)邏輯層獲得有關(guān)客戶請求結(jié)果的返回對象��,并以由成員訪問協(xié)議定義的格式將該結(jié)果提供給客戶�。
必須強調(diào),在本發(fā)明的優(yōu)選實施例中����,成員訪問和令牌檢索組件930的表示層1025是特殊的�����,因為該層的環(huán)球網(wǎng)客戶部分不是瀏覽器-而是為PXa3系統(tǒng)特殊設(shè)計的(下面將進(jìn)一步描述)����。因此����,對客戶請求的響應(yīng)不需要遵循HTML格式,只要PXa3客戶機能理解該響應(yīng)(例如����,該響應(yīng)遵循所有的成員訪問協(xié)議并且是基于HTTP的)。因此�����,最好在伺服程序而不是JSP頁中實現(xiàn)成員訪問和令牌檢索組件930的表示層1025�����。
(b)DA訪問組件的表示層��。在本發(fā)明的優(yōu)選實施例中����,DA訪問組件935(圖9)的表示層1025應(yīng)當(dāng)至少提供下述功能
1)以HTML格式并按DA訪問協(xié)議定義的接受客戶請求,以及將請求傳遞給商業(yè)邏輯層1030用于處理����;2)從商業(yè)邏輯層獲得有關(guān)客戶請求的結(jié)果的返回對象,并將請求用戶引導(dǎo)到相應(yīng)的相關(guān)URL�。
建議在JSP頁中實現(xiàn)DA訪問組件935的表示層1025,因為DA環(huán)球網(wǎng)客戶機最好是瀏覽器�����。
(C)用于服務(wù)器認(rèn)證組件的表示層���。在本發(fā)明的優(yōu)選實施例中���,用于服務(wù)器認(rèn)證組件940的表示層1025至少提供下述功能1)以HTML格式并由服務(wù)器認(rèn)證協(xié)議定義的接受客戶請求,并將請求傳遞給商業(yè)邏輯層1030用于處理�;2)從商業(yè)邏輯層獲得有關(guān)客戶請求的結(jié)果的返回對象,并將請求用戶引導(dǎo)到相應(yīng)的相關(guān)URL���。
建議在JSP頁中實現(xiàn)服務(wù)器認(rèn)證組件940的表示層1025����,因為(在優(yōu)選實施例中),環(huán)球網(wǎng)客戶機是瀏覽器���。另外建議表示層的設(shè)計考慮到這樣的事實在優(yōu)選實施例中�����,在PXa3應(yīng)用服務(wù)器805(域訪問���、成員訪問和服務(wù)器認(rèn)證)中有三個獨立的環(huán)球網(wǎng)應(yīng)用。因此��,在三個環(huán)球網(wǎng)應(yīng)用的表示層中應(yīng)當(dāng)有分離度���。最好���,使用通知/消息服務(wù),如Java Messaging Service(“JMS”)��,環(huán)球網(wǎng)應(yīng)用間的交互作用應(yīng)當(dāng)在商業(yè)邏輯層1030或可能在數(shù)據(jù)層1035發(fā)生�����。
(2)商業(yè)邏輯層在本發(fā)明的優(yōu)選實施例中,在基于J2EE的應(yīng)用服務(wù)器中�,PXa3服務(wù)器系統(tǒng)的商業(yè)邏輯層1030由不同的EJB936(圖9)實現(xiàn)����。在PXa3服務(wù)器系統(tǒng)800中,該層位于其他兩層的中間��。為此���,商業(yè)邏輯層也被稱為中間層�。在J2EE術(shù)語中��,也稱為EJB層��。
基于J2EE的解決方案容易從一種平臺移動到另一平臺�。具體來說,只要PXa3應(yīng)用服務(wù)器805的設(shè)計和實現(xiàn)遵循J2EE規(guī)范����,就可將PXa3服務(wù)器解決方案配置到多個不同的平臺上。迄今為止����,可從不同的廠商獲得用于許多風(fēng)格的UNIX和Windows平臺的不同的基于J2EE的應(yīng)用服務(wù)器�����。例如���,可獲得用于Unix和Windows平臺的來自BEA系統(tǒng)的Webiogic服務(wù)器,以及IBM Websphere服務(wù)器�����。
在優(yōu)選實施例中��,所有六個服務(wù)器組件(上述描述過)均包含在商業(yè)邏輯層中�����。
(a)成員訪問組件的商業(yè)邏輯層��。在本發(fā)明的優(yōu)選實施例中�����,成員訪問和令牌檢索組件930(圖9)的商業(yè)邏輯層1035至少執(zhí)行下述功能1)處理成員客戶機請求��;2)核對驗證信息并且如果需要的話,要求成員客戶機提供更多的信息��;3)在單一應(yīng)用服務(wù)器代管多個域的情況下��,核對用于成員客戶機的域信息并對相關(guān)數(shù)據(jù)庫做出決定來查詢存儲的成員信息�����;4)將成員信息傳送到驗證組件945(圖9)用于驗證�;5)核對驗證組件945的返回結(jié)果�����,并確定該結(jié)果是否已經(jīng)驗證過成員105(圖2)�;6)如果成員驗證成功,檢索和遞送適合的成員令牌122(圖8)��;7)準(zhǔn)備用于表示層1025的響應(yīng)并提供給成員105�;以及8)請求監(jiān)視/報告/記錄服務(wù)組件950(圖9)以便記錄有意義的事件。
如上所述��,在本發(fā)明的優(yōu)選實施例中���,成員訪問是無狀態(tài)的�。因此,不必在用于成員訪問和令牌檢索組件930(圖9)的商業(yè)邏輯層1030中存儲會話��,并且成員訪問會話組件是無狀態(tài)的���。
(b)用于DA訪問組件的商業(yè)邏輯層�����。在優(yōu)選實施例中���,用于DA訪問組件935(圖9)的商業(yè)邏輯層1030至少提供下述功能1)處理DA客戶請求;2)核對驗證信息�,并且如果需要的話,要求DA客戶提供更多的信息�����;3)如果支持多個域��,核對域信息來確定查詢哪個相關(guān)數(shù)據(jù)庫來獲得存儲的DA信息��;4)將DA客戶信息傳送給驗證組件945(圖9)用于驗證����;
5)核對驗證結(jié)果���;6)在初始登錄進(jìn)程成功后,建立認(rèn)證會話����;7)當(dāng)必要時,請求令牌生成器815(圖8)����;8)根據(jù)從驗證組件945返回的結(jié)果(以及如果適合,令牌生成器815)�,準(zhǔn)備對表示層1025的響應(yīng)來提交給域管理員(125���,126或140���;圖2);9)請求監(jiān)視/報告/記錄服務(wù)組件950(圖9)記錄有意義的事件����;以及10)在接收域管理員注銷請求后,或超時后清除會話��。
在PXa3服務(wù)器設(shè)計的一個實施例中����,DA訪問是有狀態(tài)的�。因此��,DA訪問會話組件是有狀態(tài)的���。
(c)用于服務(wù)器認(rèn)證組件的商業(yè)邏輯層���。在本發(fā)明的優(yōu)選實施例中,該組件940(圖9)的商業(yè)邏輯層1030所要求的功能與DA訪問組件935(圖9)的那些類似�,具有兩個例外首先,在服務(wù)器認(rèn)證組件940中�,不需要核對域信息,因為服務(wù)器管理員830(圖8)不屬于任何一個CKM域100(圖2)�����;其次�����,不需要調(diào)用令牌生成器815����。服務(wù)器認(rèn)證組件940執(zhí)行各種服務(wù)器認(rèn)證任務(wù)而不是這兩個功能�����。因此���,在本發(fā)明的優(yōu)選實施例中,服務(wù)器認(rèn)證組件940的商業(yè)邏輯層1030至少執(zhí)行下述功能1)處理管理員客戶請求�;2)核對驗證信息,以及如果需要���,要求客戶提供更多的信息�;3)將管理員客戶信息傳送給驗證組件945(圖9)用于驗證�����;4)核對驗證組件945的返回結(jié)果�����;5)在初始登錄成功后建立會話��;6)執(zhí)行各種服務(wù)器認(rèn)證任務(wù)(如上所述)�;7)根據(jù)從驗證組件945返回的結(jié)果以及所請求的服務(wù)器認(rèn)證任務(wù)����,為表示層1025準(zhǔn)備響應(yīng)以便提交給服務(wù)器管理員830(圖8)��;8)請求監(jiān)視/報告/記錄服務(wù)組件950(圖9)記錄有意義事件�;以及
9)在接收管理員注銷請求����,或超時后,清除會話����。
在優(yōu)選的PXa3服務(wù)器設(shè)計中,服務(wù)器管理員訪問是有狀態(tài)的���。因此��,服務(wù)器管理員訪問會話組件是有狀態(tài)的�。
(d)輔助組件的商業(yè)邏輯層���。參考圖9�,驗證組件945��、監(jiān)視/報告/記錄服務(wù)組件950以及記費/審計服務(wù)組件955的每一個執(zhí)行在商業(yè)邏輯層1035中所有的它們的各自的功能�。這些功能描述如上�。
如此前所提到的���,本發(fā)明的優(yōu)選實施例在PXa3應(yīng)用服務(wù)器805中使用三個環(huán)球網(wǎng)應(yīng)用程序���。這三個環(huán)球網(wǎng)應(yīng)用程序在同樣的Java虛擬機(“JVM”)內(nèi)的不同虛擬存儲地址空間中運行。在某些情況下���,這些環(huán)球網(wǎng)應(yīng)用程序需要彼此相互作用��。在一個應(yīng)用程序?qū)⒁粭l信息存儲在數(shù)據(jù)庫中以及另一應(yīng)用程序為該信息查詢該數(shù)據(jù)庫的意義上�,一些交互作用可以是靜態(tài)的��。然而�����,通常應(yīng)用程序必須與另一應(yīng)用程序動態(tài)通信����。在這種情況下��,應(yīng)用程序需要通知另一應(yīng)用程序有關(guān)可能影響執(zhí)行那個另一應(yīng)用程序的狀態(tài)改變���。為此����,在本發(fā)明的優(yōu)選實施例中,使用J2EE平臺的Java消息服務(wù)(JMS)來實現(xiàn)環(huán)球網(wǎng)內(nèi)的應(yīng)用程序通信�。
(3)數(shù)據(jù)訪問層數(shù)據(jù)訪問層1035是存儲持久數(shù)據(jù)的地方。在優(yōu)選實施例中��,數(shù)據(jù)訪問層為同時多個域提供支持來駐留在單一(或多個)數(shù)據(jù)庫服務(wù)器中���,以便實現(xiàn)協(xié)同定位設(shè)備所要求的商業(yè)上效率高和可升級的配置���。如果為了性能或安全原因,用戶希望內(nèi)部操作服務(wù)�,那么可將單一域配置在單一數(shù)據(jù)庫服務(wù)器中。
在優(yōu)選實施例中����,令牌生成是批處理。最好將成員令牌122(圖2和8)存儲在特殊設(shè)計�����、安全文件系統(tǒng)中。同時在優(yōu)選實施例中���,以加密形式存儲所有特定域的敏感信息����。每次處理查帳索引時����,通過使用如固有的Oracle數(shù)據(jù)庫修改機制俘獲舊值和新值來修改數(shù)據(jù)庫。如上所述�����,優(yōu)選實施例包括提供有關(guān)連接��、令牌請求(包括如用于成員保護(hù)���、時間戳�����、連接以及適合的令牌)以及認(rèn)證改變的歷史記錄的監(jiān)視/報告組件950(圖9)���。
在優(yōu)選實施例中,存儲在數(shù)據(jù)層1035中的數(shù)據(jù)分為四種類型(a)服務(wù)器配置信息���;(b)域信息�����;(c)成員資格信息����;以及(d)成員令牌�。為一種類型的數(shù)據(jù),為有效和保密數(shù)據(jù)訪問����,開發(fā)單獨的數(shù)據(jù)訪問組件。
(a)服務(wù)器配置信息��。在優(yōu)選實施例中��,以及與其他信息相比�,將服務(wù)器配置信息存儲在各種文件中。當(dāng)啟動服務(wù)器時����,將這些文件中的配置特性載入存儲器。在載入存儲器后,將一些特定應(yīng)用信息存儲在廣泛應(yīng)用的存儲器如伺服小程序上下文中�����。通過將服務(wù)器配置信息存儲在文件而不是數(shù)據(jù)庫中�,減少了任何因數(shù)據(jù)庫故障而造成的服務(wù)器故障的風(fēng)險。
(b)域信息��。在優(yōu)選實施例中�����,可將域信息存儲在數(shù)據(jù)庫表或ACL配置文件中��。也有可能使用Java網(wǎng)絡(luò)目錄界面(“JNDT”)存儲該信息�。
(c)成員資格信息。在優(yōu)選實施例中��,將成員資格信息存儲在數(shù)據(jù)庫表中�����。根據(jù)用戶請求和本發(fā)明的特定實現(xiàn)�����,在多個域支持的情況下,用于不同域的成員資格信息數(shù)據(jù)庫可在相同數(shù)據(jù)庫����、相同數(shù)據(jù)庫服務(wù)器或單獨機器的單獨數(shù)據(jù)庫的單獨的表中��。數(shù)據(jù)庫訪問應(yīng)當(dāng)是基于事務(wù)的����,建議將Java事務(wù)服務(wù)(“JTS”)用作數(shù)據(jù)訪問機制。這將確保多個服務(wù)器的多個并行的用戶訪問的數(shù)據(jù)完整性和數(shù)據(jù)一致性����。然而,本領(lǐng)域的普通技術(shù)人員將意識到通過任何良好設(shè)計和開發(fā)的數(shù)據(jù)庫訪問機制����,將降低開發(fā)和維護(hù)勞動強度。
(d)成員令牌�。如上所述,優(yōu)選實施例按批處理實現(xiàn)令牌生成����,而不是實時處理,以便避免令牌生成的性能瓶頸���。因此���,當(dāng)域管理員請求創(chuàng)建成員令牌時�����,首先排列該請求����。再參考圖8�����,令牌生成器815稍后核對隊列并創(chuàng)建令牌(在下面將進(jìn)一步描述令牌生成的方法)���。在優(yōu)選實施例中����,令牌生成器815還負(fù)責(zé)將新生成的令牌存儲在數(shù)據(jù)庫服務(wù)器810的安全令牌存儲器中��。如上所述����,優(yōu)選實施例采用TECSEC CKM5.1產(chǎn)品作為令牌提供者817����。令牌生成器815從個人的成員帳戶信息(包括成員(訪問許可)安全簡檔表120)創(chuàng)建成員令牌文件并將其以加密的形式存儲在數(shù)據(jù)庫服務(wù)器810的安全令牌存儲器中�����。最好�,將成員令牌存儲在特殊設(shè)計的文件系統(tǒng)中�����。因此�,定義內(nèi)部令牌存儲標(biāo)準(zhǔn)以便令牌生成器815和成員訪問和令牌檢索組件930(圖9)能遵循同樣的數(shù)據(jù)庫約定。
數(shù)據(jù)庫810也存儲所有有關(guān)單個的成員令牌122(圖8)的可用性的信息�。當(dāng)成員令牌可用并可用于檢索時,成員訪問和令牌檢索組件930(圖9)檢索令牌并將其傳送給請求的成員�。
2.成員客戶機設(shè)計在優(yōu)選實施例中,將管理員客戶機實現(xiàn)設(shè)計成使用用于域管理機構(gòu)����、工作組管理員、服務(wù)器管理員以及安全官功能的商業(yè)上可獲得的瀏覽器�����。然而,成員客戶機應(yīng)用最好使用特殊采用的設(shè)計����。盡管在優(yōu)選實施例中,域管理員(域管理機構(gòu)125和工作組管理員145)不必需要具有駐留在他們的本地計算機設(shè)備上的用于認(rèn)證功能的成員客戶機應(yīng)用850����,管理員可能需要它,如果他們常希望加密或解密文件��,因為為了加密能力�����,需要安全簡檔表120(以及相關(guān)的成員令牌122)���。然而��,在其他方面��,基于瀏覽器的實現(xiàn)足以用于認(rèn)證功能和他們相關(guān)的安全級要求(如上所述)�����,而可升級能力不太重要����。
在優(yōu)選實施例中,所有客戶機連接遵循HTTPS標(biāo)準(zhǔn)����,以及經(jīng)在線用戶界面由成員輸入的表格提交獲得客戶請求。另外����,除SSL加密外,通過預(yù)定義的加密密鑰選擇����,在應(yīng)用級可選地加密所有PXa3客戶機-服務(wù)器傳輸數(shù)據(jù)����,并且在應(yīng)用級將沒有密鑰交換過程。
同時在優(yōu)選實施例中�����,將PXa3成員客戶程序包封裝到自解壓的Win32可執(zhí)行安裝文件中����,以便成員經(jīng)環(huán)球網(wǎng)能下載和執(zhí)行該安裝文件�����。理論上���,程序包安裝進(jìn)程記錄對成員客戶機系統(tǒng)所做的改變,以便程序包刪除進(jìn)程能撤消那些改變����。程序包安裝進(jìn)程也將PXa3令牌提供者組件(下面將進(jìn)一步描述)拷貝到適合的目的路徑,并安裝所有需要的Windows注冊表以及桌面快捷方式���。程序包安裝的最后步驟將起動成員客戶應(yīng)用程序��。
在圖11中示出了整個客戶機結(jié)構(gòu)和它的主要元件關(guān)系的一個實施例����。工作組管理員140(圖2)一在PXa3環(huán)球網(wǎng)站點305(圖2)建立他或她的成員帳戶300(圖2)�����,就可由成員105(圖2)下載PXa3成員客戶應(yīng)用程序(系統(tǒng))850����。成員客戶應(yīng)用850包含CKM運行時間環(huán)境(包括加密庫和功能)855以及PXa3令牌提供者860��。PXa3令牌提供者860進(jìn)一步包括(a)令牌檢索組件861���,便于成員訪問和服務(wù)器通信功能;(b)會話定義組件870�,提供令牌有效期;以及(c)CKM令牌提供者組件875���,啟用加密和解密功能并提供令牌文件處理�����。
成員客戶應(yīng)用850也與類屬對象加密機856一起工作����,類屬對象加密機執(zhí)行數(shù)據(jù)對象加密和解密以及各種應(yīng)用插入857和其他應(yīng)用858���。在優(yōu)選實施例中,類屬對象加密機856將加密和解密任何數(shù)據(jù)對象類型����,但不處理小于完整文件的對象。然而,將插入設(shè)計成在特殊應(yīng)用��,如Microsoft Word中工作�,以便可將對象指定為標(biāo)準(zhǔn)文件的子集部分,并在本發(fā)明的細(xì)粒度承諾下遞送�。同時成員客戶應(yīng)用最好包括驗證組件880,用于在成員客戶機系統(tǒng)級上管理用戶驗證過程�����,以及用戶界面組件885��。
在優(yōu)選實施例中�����,成員客戶應(yīng)用850的CKM令牌提供者組件875利用在前提到過的����,由TECSEC提供的商業(yè)可獲得的CKM應(yīng)用,執(zhí)行ANSI X9.69加密標(biāo)準(zhǔn)����。在成員客戶應(yīng)用的優(yōu)選實施例中,TECSEC產(chǎn)品提供用于CKM運行時間環(huán)境(“RTE”)855和CKM令牌提供者875的軟件����。該商業(yè)可獲得的產(chǎn)品提供CKM運行時間環(huán)境�����,包括(a)實用軟件�����,允許成員本地管理他們的成員令牌�����;(b)實用軟件���,加密/解密用戶CKM文件;(c)TECSEC專用令牌提供者軟件�,用作優(yōu)選實施例的CKM令牌提供者組件875;以及(d)專用TECSEC運行時間庫和工具���,用于開發(fā)TECSEC產(chǎn)品和PXa3成員客戶應(yīng)用的特殊實現(xiàn)間的工作界面����。
同時在優(yōu)選實施例中�����,稱為“PXa3會話管理器”865的組件管理從PXa3服務(wù)器系統(tǒng)800的安全中央存儲器810到成員客戶系統(tǒng)經(jīng)安全遞送信道檢索成員令牌122(圖8)�����。如上所述�,將TECSEC CKM產(chǎn)品用作服務(wù)器系統(tǒng)800的令牌生成器815(圖8)的CKM令牌提供者817(圖8),加密�、散列然后存儲成員令牌文件。令牌文件包括對本發(fā)明的具體實現(xiàn)是特定的并包含成員訪問許可安全簡檔表120(圖2)的成員帳戶信息���。成員客戶應(yīng)用850也包括成員令牌期滿機制(下面將進(jìn)一步描述)�����。
PXa3成員客戶應(yīng)用850的成員驗證組件880當(dāng)涉及PXa3令牌提供者860中的登錄功能時初始化驗證(使用在前描述過的任何一種驗證方案)����。為減輕PXa3服務(wù)器系統(tǒng)800的負(fù)擔(dān)���,根據(jù)特殊建立的域政策��,PXa3成員客戶應(yīng)用850也執(zhí)行算法來防止不正確密碼用在驗證過程中���。例如�,在某些次錯誤密碼攻擊后�����,拒絕成員令牌檢索請求直到一定的經(jīng)過時間�。
在成功驗證的基礎(chǔ)上,如果在客戶系統(tǒng)中沒有物理存在的成員令牌�����,或如果現(xiàn)有的成員令牌已經(jīng)過期����,PXa3會話管理器865將試圖經(jīng)Internet330從PXa3服務(wù)器系統(tǒng)800檢索成員最新的令牌。在這種情況下��,至少將下述數(shù)據(jù)發(fā)送到PXa3服務(wù)器系統(tǒng)以便經(jīng)“檢索令牌請求”限定新成員令牌的檢索1)成員域名��,表示該成員屬于那個域�;2)用戶ID和/或密碼,為了驗證識別用戶�����;以及3)序列號��,唯一標(biāo)識成員客戶機系統(tǒng)(以及在成員客戶程序包安裝期間創(chuàng)建)盡管優(yōu)選實施例包含經(jīng)會話管理器865的自動令牌檢索���,成員也可人工請求經(jīng)某些其他的便利工具����,如由商業(yè)TECSEC CKM產(chǎn)品提供的工具加載成員令牌122是可能的��。在帶內(nèi)產(chǎn)生用于成員令牌的請求一換句話說��,使用目前在成員客戶系統(tǒng)上運行的同樣的應(yīng)用程序啟動請求(由用戶手動或由PXa3會話管理器自動)�����,以及在與由PXa3系統(tǒng)使用的相同的通信網(wǎng)絡(luò)連接上傳送請求來在網(wǎng)絡(luò)上分配加密的數(shù)據(jù)對象/數(shù)字內(nèi)容��。
另外��,在本發(fā)明的優(yōu)選實施例中���,從成員客戶機到PXa3服務(wù)器系統(tǒng)至少有兩種類型的請求一個類型是“檢索令牌請求”,如上所述����,另一種類型是“改變密碼請求”�。如上所述��,“檢索令牌請求”可由PXa3會話管理器自動或由成員手動發(fā)送����。提供“改變密碼請求”以允許成員按需改變他或她的密碼。該請求通過新密碼�����,確認(rèn)密碼以及上述列出的包括包含在“檢索令牌請求”中的信息的所有參數(shù)����。如果“改變密碼請求”成功,PXa3服務(wù)器系統(tǒng)實際上返回新成員令牌和更新的密碼�。其他實施例提供另外類型的客戶-服務(wù)器請求(例如,為了恢復(fù)遺忘的密碼�����,由成員啟動的“恢復(fù)請求”)��。
在優(yōu)選實施例中,成員客戶應(yīng)用包括表示成員令牌檢索進(jìn)度的進(jìn)度表��。如果PXa3會話管理器865和PXa3服務(wù)器系統(tǒng)800間的成員令牌檢索通信斷開���,嘗試自動重試���。在成功成員令牌檢索后���,成員令牌將存儲在適當(dāng)定義的位置中����,以及適當(dāng)?shù)腤indows注冊表修改����。在優(yōu)選實施例中,在能用作由成員加密/解密前�,將包括加密成員安全簡檔表信息的檢索的成員令牌“包”在確認(rèn)TECSEC CKM產(chǎn)品的軟令牌要求的數(shù)據(jù)對象中。
3.PXa3會話期滿在來自PXa3服務(wù)器系統(tǒng)的用于成員令牌的第一請求的基礎(chǔ)上打開PXa3會話�。在PXa3客戶系統(tǒng)中的成員令牌的操作期間,會話保持建立(并由此定義)���。在令牌期滿時終止會話��。在本發(fā)明的優(yōu)選實施例中�����,有三級可修改成員令牌期滿(a)在域管理機構(gòu)級�;(b)在工作組管理員級;以及(c)在成員級�。每級根據(jù)下述的一個或多個標(biāo)準(zhǔn)來支持成員令牌期滿1)對加密數(shù)據(jù)對象的特定的訪問量(例如,在內(nèi)容出售的環(huán)境中的免費試用)��;2)成員令牌是否是駐留RAM或存儲在用戶客戶系統(tǒng)的非易失性存儲器中(即��,即使在已經(jīng)關(guān)閉激活的CKM應(yīng)用后����,根據(jù)關(guān)閉激活的CKM應(yīng)用與用于將來使用的令牌的持久性的令牌期滿;3)經(jīng)過時間�;或4)按需刷新(即,由成員明確地做出終止令牌的命令)�。
在優(yōu)選實施例中,如果在任何一級滿足這些期滿標(biāo)準(zhǔn)的任何一個�����,則確定終止成員令牌�。在期滿的基礎(chǔ)上,刷新并從成員客戶系統(tǒng)刪除成員令牌,以及由PXa3會話管理器自動發(fā)出新令牌檢索請求����。如果仍然確定終止最新檢索到的令牌,那么也刷新和刪除那個令牌����,以及直到配置的經(jīng)過時間過去后不再發(fā)生新的令牌檢索請求。
另外��,一個實施例支持包括按固定日期或天數(shù)和小時數(shù)的“成員漫游”的令牌期滿機制��。根據(jù)由管理員時區(qū)感知的日期和時間測量日期和天數(shù)�����。
雖然上述描述了多個優(yōu)選實施例和本發(fā)明的實現(xiàn)方式��,本領(lǐng)域的普通技術(shù)人員將意識到用于在此描述的基于環(huán)球網(wǎng)應(yīng)用服務(wù)模型的一般技術(shù)的其他實施例和實現(xiàn)方式是可能的�����。因此確定本發(fā)明的范圍僅由下述附加權(quán)利要求書限定�����。
權(quán)利要求
1.一種用于通過分散公用網(wǎng)向多個網(wǎng)絡(luò)用戶提供加密能力的方法����,該方法包括(a)接收代表網(wǎng)絡(luò)用戶的訪問許可安全簡檔表的請求;(b)驗證請求�����;(c)創(chuàng)建用在形成用于允許網(wǎng)絡(luò)用戶解密選擇的部分加密對象以及加密選擇的部分明文對象的加密密鑰中的訪問許可安全簡檔表���;以及(d)通過網(wǎng)絡(luò)安全地將訪問許可安全簡檔表發(fā)送給網(wǎng)絡(luò)用戶���。
2.如權(quán)利要求1所述的方法,其特征在于���,創(chuàng)建步驟包括(i)識別將具有加密能力的一個或多個網(wǎng)絡(luò)用戶群���;(ii)為每個群建立一個或多個訪問碼,其中每個訪問碼適合與其他組分結(jié)合來形成加密密鑰����;以及(iii)為每個網(wǎng)絡(luò)用戶創(chuàng)建一個或多個安全簡檔表,其中每個安全簡檔表至少包含一個訪問碼��。
3.如權(quán)利要求2所述的方法,其特征在于�����,每個群是類別��、組織���、組織單元�����、職務(wù)����、工作計劃���、地理位置、工作組或域���。
4.一種用于通過分散公用網(wǎng)向多個網(wǎng)絡(luò)用戶提供解密能力的方法��,該方法包括(a)接收代表網(wǎng)絡(luò)用戶的解密能力的請求���;(b)驗證請求�;(c)創(chuàng)建用在形成用于允許網(wǎng)絡(luò)用戶解密加密對象的加密密鑰中的訪問許可安全簡檔表�;(d)從用戶接收與加密對象有關(guān)的信息;(e)使用訪問許可安全簡檔表和接收的與加密對象有關(guān)的信息生成加密密鑰��;以及(f)通過網(wǎng)絡(luò)安全地將加密密鑰傳送給網(wǎng)絡(luò)用戶���。
5.如權(quán)利要求4所述的方法���,其特征在于,創(chuàng)建步驟包括(i)識別將具有加密能力的一個或多個網(wǎng)絡(luò)用戶群��;(ii)為每個群建立一個或多個訪問碼�����,其中每個訪問碼適合與其他組分結(jié)合來形成加密密鑰���;以及(iii)為每個網(wǎng)絡(luò)用戶創(chuàng)建一個或多個安全簡檔表��,其中每個安全簡檔表至少包含一個訪問碼�����。
6.如權(quán)利要求5所述的方法��,其特征在于��,每個群是類別����、組織、組織單元����、職務(wù)、工作計劃���、地理位置�、工作組或域�����。
7.一種用于通過分散公用網(wǎng)加密地將信息安全地分配給多個網(wǎng)絡(luò)用戶的方法�����,該方法包括(a)創(chuàng)建包括一個或多個嵌入對象的計算機可表示的數(shù)據(jù)對象��;(b)選擇要加密的數(shù)據(jù)對象的一個或多個嵌入對象����;(c)加密選擇的嵌入對象;(d)創(chuàng)建一個或多個訪問許可證書����;(e)為每個選擇的嵌入對象指定訪問許可證書,其中訪問許可證書確保僅授權(quán)的用戶能解密數(shù)據(jù)對象的加密嵌入對象���;(f)授權(quán)用戶���;以及(g)通過網(wǎng)絡(luò)傳送數(shù)據(jù)對象。
8.如權(quán)利要求7所述的方法���,其特征在于���,信息是數(shù)據(jù)內(nèi)容。
9.如權(quán)利要求7所述的方法���,其特征在于�,授權(quán)步驟包括(i)接收代表網(wǎng)絡(luò)用戶的訪問許可安全簡檔表的請求��;(ii)驗證請求;以及(iii)通過網(wǎng)絡(luò)安全地將安全簡檔表傳送給網(wǎng)絡(luò)用戶���。
10.如權(quán)利要求7所述的方法����,其特征在于�����,授權(quán)步驟包括(i)通過網(wǎng)絡(luò)將代表網(wǎng)絡(luò)用戶的訪問許可安全簡檔表的請求發(fā)送給中央服務(wù)器系統(tǒng)���;(ii)在中央服務(wù)器系統(tǒng)接收請求����;(iii)驗證請求��;以及(iv)通過網(wǎng)絡(luò)安全地將安全簡檔表從服務(wù)器系統(tǒng)傳送到網(wǎng)絡(luò)用戶�����。
11.如權(quán)利要求7所述的方法�,其特征在于���,授權(quán)步驟是自動的并根據(jù)所采用的用戶擁有的安全簡檔表���。
12.如權(quán)利要求7所述的方法�����,其特征在于�����,加密步驟包括(i)識別將允許訪問將加密的數(shù)據(jù)對象的網(wǎng)絡(luò)用戶群���;(ii)由證書類別集生成適合的加密證書密鑰,所述證書密鑰與網(wǎng)絡(luò)用戶群有關(guān)���;(iii)至少由域組分��、維護(hù)組分以及偽隨機組分生成加密工作密鑰�����;(iv)用工作密鑰加密數(shù)據(jù)對象����;(v)用證書密鑰加密偽隨機組分;以及(vi)將加密的偽隨機組分與加密的數(shù)據(jù)對象關(guān)聯(lián)��。
13.如權(quán)利要求7所述的方法����,其特征在于,通過下述步驟創(chuàng)建訪問許可安全簡檔表(i)識別將具有加密能力的一個或多個網(wǎng)絡(luò)用戶群�;(ii)為每個群建立一個或多個訪問碼,其中每個訪問碼適合與其他組分結(jié)合來形成加密密鑰�����;以及(iii)為每個網(wǎng)絡(luò)用戶創(chuàng)建一個或多個安全簡檔表�����,其中每個安全簡檔表至少包含一個訪問碼���。
14.如權(quán)利要求13所述的方法�,其特征在于���,每個群是類別�、組織、組織單元�����、職務(wù)���、工作計劃、地理位置�����、工作組或域��。
15.如權(quán)利要求1�、4或9所述的方法,其特征在于����,通過網(wǎng)絡(luò)由網(wǎng)絡(luò)用戶帶內(nèi)啟動請求。
16.如權(quán)利要求1���、4���、9、10或11所述的方法,其特征在于���,訪問許可安全簡檔表是以可適用于期滿的令牌的形式�����。
17.如權(quán)利要求1�、4���、9或10所述的方法�����,其特征在于�����,驗證步驟包括使用生物識別�。
18.如權(quán)利要求1��、4�����、9或10所述的方法,其特征在于��,驗證步驟包括使用硬件令牌����。
19.如權(quán)利要求1、4�����、9或10所述的方法���,其特征在于,驗證步驟包括使用軟件令牌�����。
20.如權(quán)利要求1�、4、9或10所述的方法�����,其特征在于����,驗證步驟包括使用用戶密碼��。
21.如權(quán)利要求1�、4���、9或10所述的方法�,其特征在于����,驗證步驟包括使用做出該請求的時間記錄。
22.如權(quán)利要求1��、4�、9或10所述的方法,其特征在于��,驗證步驟包括使用用戶物理位置的記錄�。
23.一種用于控制訪問保密系統(tǒng)的方法,該方法包括(a)選擇將保密的一個或多個系統(tǒng)部分�����;(b)創(chuàng)建一個或多個系統(tǒng)用戶群��,所述群規(guī)定將允許哪些用戶訪問系統(tǒng)的那些保密部分;(c)為每個群建立一個或多個訪問碼��;(d)為系統(tǒng)的保密部分指定訪問碼����,其中每個訪問碼適合與其他組分結(jié)合來形成用于控制訪問系統(tǒng)的一個或多個保密部分的密鑰;(e)保密訪問碼�����;以及(f)通過分散公用網(wǎng)將保密訪問碼分配給將允許訪問系統(tǒng)的一個或多個選擇部分的系統(tǒng)用戶����。
24.如權(quán)利要求23所述的方法��,其特征在于���,保密系統(tǒng)是物理系統(tǒng)�����。
25.如權(quán)利要求23所述的方法�����,其特征在于�,保密系統(tǒng)是計算機網(wǎng)絡(luò)。
26.如權(quán)利要求23所述的方法����,其特征在于,保密訪問碼是至少部分通過生物識別保密�����。
27.如權(quán)利要求23所述的方法����,其特征在于,保密訪問碼是至少部分通過軟令牌保密��。
28.如權(quán)利要求23所述的方法�,其特征在于,保密訪問碼是至少部分通過硬件令牌保密����。
29.如權(quán)利要求23所述的方法,其特征在于���,保密訪問碼是至少部分通過密碼保密����。
30.如權(quán)利要求23所述的方法,其特征在于����,保密訪問碼是至少部分通過使用做出請求的時間記錄保密。
31.如權(quán)利要求23所述的方法�����,其特征在于���,保密訪問碼是至少部分通過使用用戶的物理位置記錄保密����。
32.一種用于通過分散公用網(wǎng)管理多個網(wǎng)絡(luò)用戶的加密能力的方法����,該方法包括(a)識別用于規(guī)定哪些用戶將具有加密能力的一個或多個網(wǎng)絡(luò)用戶群��;(b)為每個群中的每個網(wǎng)絡(luò)用戶創(chuàng)建成員帳戶��;(c)執(zhí)行與維護(hù)單一數(shù)據(jù)庫中的成員帳戶有關(guān)的認(rèn)證任務(wù)���;(d)為每個群建立一個或多個訪問碼��,其中每個訪問碼適合與其他組分結(jié)合來形成加密密鑰�����;(e)為每個群中的每個網(wǎng)絡(luò)用戶創(chuàng)建一個或多個安全簡檔表��,其中將每個安全簡檔表存儲在用戶成員帳戶中并至少包含一個訪問碼����;(f)生成與每個安全簡檔表有關(guān)的成員令牌;(g)保密安全簡檔表以及相關(guān)的成員令牌��;以及(h)根據(jù)驗證的請求以及根據(jù)每個單個用戶安全簡檔表��,通過網(wǎng)絡(luò)將成員令牌分配給單個網(wǎng)絡(luò)用戶��。
33.如權(quán)利要求32所述的方法�����,其特征在于���,建立步驟進(jìn)一步包括創(chuàng)建用于規(guī)定基于職務(wù)的訪問許可的證書和加密算法����。
34.如權(quán)利要求32所述的方法,其特征在于��,執(zhí)行步驟是通過分散公用網(wǎng)遠(yuǎn)程實現(xiàn)的�。
35.如權(quán)利要求32所述的方法,其特征在于��,創(chuàng)建步驟是通過分散公用網(wǎng)遠(yuǎn)程實現(xiàn)的���。
36.如權(quán)利要求32所述的方法�,其特征在于��,創(chuàng)建和分配步驟是自動實現(xiàn)的�����。
37.如權(quán)利要求32所述的方法�,其特征在于��,認(rèn)證任務(wù)包括報告成員活動���、系統(tǒng)事件以及記費活動�。
38.如權(quán)利要求32所述的方法,其特征在于�����,認(rèn)證任務(wù)包括增加成員帳戶��、刪除成員帳戶以及更新成員帳戶�。
39.如權(quán)利要求32所述的方法,其特征在于�����,每個群是類別���、組織����、組織單元�����、職務(wù)���、工作計劃��、地理位置��、工作組或域����。
40.如權(quán)利要求32所述的方法,其特征在于����,安全簡檔表和成員令牌是至少部分通過生物識別保密。
41.如權(quán)利要求32所述的方法��,其特征在于���,安全簡檔表和成員令牌是至少部分通過軟令牌保密���。
42.如權(quán)利要求32所述的方法,其特征在于�,安全簡檔表和成員令牌是至少部分通過硬件令牌保密。
43.如權(quán)利要求32所述的方法��,其特征在于���,安全簡檔表和成員令牌是至少部分通過個人身份號碼保密��。
44.如權(quán)利要求32所述的方法����,其特征在于���,安全簡檔表和成員令牌是至少部分通過使用時間記錄保密���。
45.如權(quán)利要求32所述的方法,其特征在于���,安全簡檔表和成員令牌是至少部分通過使用用戶的物理位置記錄保密���。
46.一種用于通過分散公用網(wǎng)認(rèn)證和分配加密能力的中央安全管理系統(tǒng),該系統(tǒng)包括(a)一組服務(wù)器系統(tǒng)�����;(b)一組成員域����,其中在至少一個服務(wù)器系統(tǒng)上維護(hù)每個成員域���;(c)與維護(hù)成員域組有關(guān)的一組系統(tǒng)維護(hù)任務(wù);(d)一個或多個系統(tǒng)管理員���,用于執(zhí)行系統(tǒng)維護(hù)任務(wù)組��;(e)一組成員�,其中經(jīng)成員帳戶將每個成員至少與一個成員域關(guān)聯(lián)���;(f)一組成員安全簡檔表�,其中每個安全簡檔表唯一與成員帳戶關(guān)聯(lián)并向與成員帳戶關(guān)聯(lián)的成員提供加密能力�����;(g)一組認(rèn)證任務(wù)����,與維護(hù)成員帳戶組關(guān)聯(lián);(h)一組域管理員�����,用于通過網(wǎng)絡(luò)遠(yuǎn)程執(zhí)行認(rèn)證任務(wù)���。
47.如權(quán)利要求46所述的系統(tǒng)�����,其特征在于����,每個成員帳戶包括用于成員識別和驗證的裝置����。
48.如權(quán)利要求46所述的系統(tǒng),其特征在于���,至少一個服務(wù)器系統(tǒng)包括用于成員識別和驗證的裝置����。
49.如權(quán)利要求46所述的系統(tǒng)����,其特征在于,每個成員帳戶與單一成員有關(guān)�����。
50.如權(quán)利要求46所述的系統(tǒng),其特征在于����,認(rèn)證任務(wù)組包括報告和與每個成員帳戶有關(guān)的記帳任務(wù)。
51.如權(quán)利要求46所述的系統(tǒng)�,其中根據(jù)不同級的認(rèn)證任務(wù),將管理員分成分層結(jié)構(gòu)群��。
52.一種用于通過分散公用網(wǎng)將加密能力分配給多個網(wǎng)絡(luò)用戶的中央安全管理系統(tǒng)����,該系統(tǒng)包括(a)多個成員令牌,用于向驗證過的分散公用網(wǎng)用戶提供加密能力���;(b)一組服務(wù)器系統(tǒng)���,用于管理分配成員令牌;(c)用于從至少一個服務(wù)器系統(tǒng)請求成員令牌的裝置���;(d)一組客戶機系統(tǒng)��,其中每個客戶機系統(tǒng)包括(i)用于接收請求的成員令牌的裝置�,以及(ii)用于利用由所述每個成員令牌提供的加密能力的裝置;以及(e)用于通過分散公用網(wǎng)安全地將請求的成員令牌從至少一個服務(wù)器系統(tǒng)分配給至少一個客戶機系統(tǒng)的裝置����。
53.如權(quán)利要求52所述的系統(tǒng),其特征在于���,每個客戶機系統(tǒng)進(jìn)一步包括用戶驗證裝置�。
54.如權(quán)利要求52所述的系統(tǒng)��,其特征在于���,用于請求成員令牌的裝置駐留在每個客戶機系統(tǒng)上。
55.如權(quán)利要求52所述的系統(tǒng)�����,其特征在于���,用于驗證用戶的裝置駐留在至少一個服務(wù)器系統(tǒng)上����。
56.如權(quán)利要求52所述的系統(tǒng)���,其特征在于����,管理成員令牌的分配包括動態(tài)更新成員令牌。
57.如權(quán)利要求1�、4、7��、23�����、32���、46或52所述的方法���,其特征在于,分散公用網(wǎng)是Internet��。
58.如權(quán)利要求1����、4、7�����、23、32����、46或52所述的方法,其特征在于���,分散公用網(wǎng)是蜂窩電話網(wǎng)�。
全文摘要
本發(fā)明結(jié)合加密密鑰管理技術(shù)與各種驗證選擇和使用在稱為PXa
文檔編號H04L29/06GK1457587SQ01815637
公開日2003年11月19日 申請日期2001年8月15日 優(yōu)先權(quán)日2000年8月15日
發(fā)明者威廉·B·斯威特, 約翰·J·于 申請人:維亞克沃公司