計算機網絡及其中控制網絡組件訪問個人識別設備安全的方法和系統的製作方法

2023-09-16 06:29:55

專利名稱：計算機網絡及其中控制網絡組件訪問個人識別設備安全的方法和系統的製作方法
技術領域：
本發明涉及使計算機網絡安全的裝置，尤其涉及加入到計算機網絡中並用於安全地認證個人持有者及控制個人對計算機網絡的組件訪問的範圍的數字個人識別設備。
背景技術：
保護電子信息越來越受到全球關注。無論信息是由智慧財產權、重要的操作數據或個人信息組成，由於全球的競爭，公眾對數據的個人發布的關注及新的立法，無意地暴露信息的代價日益增加。這些問題由普及的網絡技術組成，它們使能從幾乎任何地方和眾多的訪問設備訪問數據。例如，影響如美國保健工業那的工業的管理需要(其中採用規則以保證保健器具採取所有合理的措施以保證個人的可識別的健康信息的安全性及保密)，於是產生越來越多的要求，能夠在每個預期的用戶允許訪問網絡或其中認為是敏感或機密的數據之前認證該用戶。
網絡的每個組件，和那樣組件之間的每條路徑能成為攻擊的目標(即允許由未認證的對象訪問)。此外，在網上訪問機密數據的能力不一定需要個人登錄到網絡中，因為在網絡計算機屏幕的觀看距離內的未授權的觀察者能在屏幕顯示機密數據時簡單地觀看屏幕就能訪問那樣的數據，因此，著眼於用戶認證來提供那樣的保護以達到數據訪問保護的通常方法只解決未授權的網絡用戶的問題，而不解決不試圖通過使用而訪問網絡的未經授權的觀察者的問題。
在網絡系統中加密常用作安全措施，它使用私有密鑰和公開密鍵。術語「私有密鑰」和「公開密鑰」在本專業中是公知的，並用於非對稱加密，其中一個密鑰用於加密而另一個用於解密，且這些密鑰之一，即私有密鑰，由用戶保存，永不揭示或傳送。非對稱加密認為比對稱加密提供更高級的加密，後者使用共享的密鑰於加密及解密(共享的情況引入不安全的因素)。使用非對稱加密發送消息到另一方，那一方的公開密鑰使用公開密鑰的底層結構(PKI)定位，並被用於加密消息，從而只有具有對應私有密鑰的個人(即為其產生消息的另一方)能夠解密該消息。
術語數字籤名也是本專業眾所周知的，並指的是使用私有密鑰加密的消息摘要，消息摘要是要籤名的文檔或交易的濃縮形式，它不能用於重建文檔或交易本身，且它對文檔中小的改變特別敏感。通過用對應的公開密鑰解密數字籤名來驗證數字籤名以恢復消息摘要，隨後將此消息摘要與由驗證器從試圖籤署的文檔計算的消息摘要比較。此技術能用作認證過程的一部分，其中一方證明他們具有能加密並返回消息摘要的特定私有密鑰。在此情況，消息的特定內容不是關鍵的，在認證完成之後消息摘要能被捨棄。更一般地，加密的消息摘要被用於證明，特定密鑰的持有者涉及包括該消息的交易，通常指出，他們同意該消息，就好象使用物理籤名來表示籤字的主人參與文檔。在此情況，摘要的加密形式必須保留在安全方。數字籤字的兩種形式用作為本發明的部分。
用戶識別系統常使用口令，智慧卡，仿生網絡安全信息，和/或PKI(公開密鑰底層結構)安全措施，在它們集中於認證過程的安全部分的同時，已知的系統打開了其他的攻擊道路。例如，軟體和系統依賴於用戶知道的某些事，如用戶名和口令，這極容易被偷到，看到或用其他方法獲取，隨後被未授權的個人使用，根據權標的措施(即用戶具有的某些東西)，如智慧卡，類似地易受攻擊，因為權標能遺失或被盜竊，因而不保證實際出現的是授權的用戶。
根據仿生網絡安全識別器的安全措施(即用戶的某些東西)對未授權的介入同樣易受攻擊，例如，任何使用中央伺服器證實出現的仿生網絡安全信息產生安全的弱點，因為需要在參與那樣遠程證實的通訊通道上(即在捕捉出現的仿生網絡安全信息的仿生網絡安全傳感器和當地計算機之間，和當地計算機和包含與出現的仿生網絡安全信息比較的驗證數據的驗證中央伺服器之間)傳輸重要的仿生網絡安全數據。因而，若仿生網絡安全識別器要有效地作為安全性措施，其操縱及處理的方式是重要的。
需要不僅識別出計算機網絡可能遭受未授權的滲入的潛在的失敗點，並還開發出以全面的方式解決和減少那樣易受攻擊的區域。安全性缺口能以各種形式發生，包括重演(指的是以前的響應元素被捕捉並用於插入一假的響應的情況，窺探(指的是未授權的觀看)，欺騙(指的是冒名頂替者將其自己和經理均插入接收和發送，使其看來是網絡的真誠的單元)，和/或拖後(指的是通過結合被授權的用戶放棄的授權訪問序列獲得的未授權訪問的情況)。
重要的是，要避免在識別/驗證過程中由時間間隙和/或單向驗證校核引起的易受攻擊性。專利申請者認識到需要實時採取驗證校核過程，並在中央驗證授權和要驗證的本地實體之間需要重複的驗證校核，以防止某些類型的安全缺口。
也需要自動地和有效地監視控制的措施和對具有對網絡的不同等級訪問(如全部訪問或有限止的訪問)的授權的個人產生檢查跟蹤的措施。
發明概述按本發明，提供用於控制網絡訪問的改善的網絡安全系統和方法，以及個人識別設備，以提供對個人的身份和在特定網絡訪問點出現的實時認證。在便攜的個人數字識別設備上提供生物網絡安全驗證和加密的同時應用，以提供經認證的數字籤名，它被用於建立對存在網絡上的數據的安全訪問，並用於在網絡上完成安全的交易。
按本發明的安全系統控制在包括如個人計算機(PC)的工作站的網絡訪問上對計算機網絡的訪問。個人數字識別設備包括(a)包括收發器的無線通訊組件；(b)包含傳感器和軟體組件用於獲取用戶的輸入生物網絡安全信息並產生其數字表示的生物網絡安全信息獲取組件；(c)配置成與收發器及生物網絡安全組件通訊的處理器，能操作完成(i)估算從數字表示導出的模型是否對應於從以前由生物網絡安全信息產生的用戶的生物網絡安全數字表示導出的主模型，當制定有那樣的對應，產生匹配信號；(ii)產生由個人數字識別器設備持有的私有密鑰和對應的公開密鑰，並輸出所產生的公開密鑰由收發器發送；(iii)使用私有密鑰產生數字籤名；和(iv)使用對應與安全管理器組件相關的私有密鑰的公開密鑰驗證，加密的接收消息是從安全管理器組件來的；和(d)包含用戶的生物網絡安全信息的主模型，所產生的私有密鑰和對應與安全管理器組件相關的私有密鑰的公開密鑰的安全存儲器。個人數字識別設備配置成使用所產生的私有密鑰產生數字籤名的查問響應消息，隨後響應從安全管理器組件接收的查問產生匹配信號並發送該響應消息。個人數字識別設備還配置成防止發送用戶的生物網絡安全信息的主模型及私有密鑰中的任何一個。
基本單元與工作站相關並配置成起動和維持與個人數字識別設備的無線通訊。通訊在由與工作站相關的包絡定義的區域上延伸，包絡的形狀和區域配置成包含鄰近於工作站的那些位置，在那些位置上觀察者能閱讀和/或理解在工作站的屏幕上顯示的信息。
安全中央伺服器訪問網絡存儲器並使用安全管理器組件及個人數字識別器設備認證用戶。網絡存儲器包含對應由個人數字識別設備產生的私有密鑰的公開密鑰。
最好基本單元有規律地發送第一信號給個人數字識別設備，而當個人數字識別設備處於包絡之中對它發送響應信號作為響應。系統最好包括多個個人數字識別器設備，多個工作站和多個基本單元，其中一個基本單元與每個工作站相關且每個基本單元發送輪詢信號到與基本單元的有關包絡中的每個個人數字識別設備，隨後基本單元從每個個人數字識別設備接收響應信號。
最好保持在個人數字識別設備的安全存儲器中的所有數據本身不能識別用戶，且網絡存儲器包括可識別用戶的數據，在用戶的個人識別設備位於包絡之中時它被顯示在工作站的屏幕上。
最好一旦用戶被認證在工作站上訪問網絡時，該用戶通過網絡對應用軟體的訪問由控制安全管理器組件的政策管理器組件確定。
附圖簡述現對附圖進行闡述，它們通過例子示出本發明的較佳實施例(其中相似的參照號自始至終表示類似的單元)；

圖1是通過控制網絡訪問使通訊網絡安全的本發明系統的一般方框圖；圖2是原理方框圖，示出按本發明的個人數字識別設備(PDI)的組件，其中PDI放置在再充電設備支架(託架)，用於從安全的單用戶位置的網絡訪問；圖3是示出本發明的安全系統的基本單元(BU)組件的方框圖；圖4(a)、4(b)和4(c)是流程圖，示出按本發明的用戶採集及登錄的過程；和圖5(a)和5(b)是流程圖，示出由本發明用於產生數字籤名的較佳實施例的安全系統使用的過程。
較佳示範實施例的詳細描述按本發明的較佳安全系統示於圖1中。在較佳實施例中作為個人計算機(PC)的多個工作站100通過網絡200通訊，後者是全球通訊網，廣域網(WAN)、城域網(MAN)或區域網(LAN)中任何一種。在提供對網絡200的訪問點的每個那樣的PC100上有一個基本單元(BU)設備50，連接到PC的通訊埠(在所示的實施例中為USB埠)和設備管理器(DM)150軟體組件，它轉接如BU50和安全中央伺服器300之間的消息。一個或多個個人數字識別(PDI)設備10，當該PDI在與PC100及所連接的BU50相關的預定檢測包絡中時與BU50通訊。PDI10使用無線通訊(對此實施例使用IR，但在其他可能的另選實施例中也能使用光線RF等其他方法)與UB50通訊，並能由允許通過PC100訪問網絡的個人發布，攜帶或佩載。
BU50使用同樣的無線通訊裝置與PDI10通訊，並自動地起動與位於檢測包絡中的任何那樣PDI10的通訊。建立的檢測包絡使延伸到在PC100的顯示屏幕的前方及側面的區域，以致於包括任何個人/PDI對，其中人近到足以看到屏幕並能閱讀或理解在屏幕上顯示的內容。通過那樣配置在BU50/PC100對和PDI10之間的通訊包絡，安全系統在佩帶PDI的人進入PC100的有效視覺範圍時檢測所有PDI。
PC100通過網絡200與安全中央伺服器300通訊，在伺服器上運行安全管理器(SM)340，政策管理器(PM)320和交易管理器(TM)380應用程式。交易管理器380管理在安全中央伺服器300和網絡上其他設備之間的所有通訊，包括在PC100或在其他網絡伺服器上運行的設備管理器150和任何有關的應用。安全管理器340控制包括加密和數字任免的所有活動。政策管理器320判斷用戶對網上的應用軟體或數據的訪問是否受限止。若是則控制安全管理器340相應地限止用戶的訪問。通過中央伺服器300訪問包括軟體組件(即註冊應用套件)和安全資料庫的註冊授權(RA)組件360。
參考圖2，PDI設備10隻包含少量線路，且是簡單、輕的和可佩戴的。PDI10包括仿生網絡安全信息獲取組件，在圖示的實施例中它包括指紋微晶片傳感器，它使用固態，非光學傳感器取得用戶手指的圖象以確認用戶的身份。感覺如語音特徵，虹膜圖案和面部特徵並將其轉換成表示的信號的傳感器是在不同適當的實施例中可使用的其他選擇。提供微處理器20處理用戶的仿生網絡安全註冊和驗證，建立並驗證數字籤名並實現非對稱和/或對稱的加密。提供本專業眾所周知的安全存儲器25，安全地只存儲加密密鑰和用戶的仿生網絡安全模型。在PDI10不存儲可識別個人的數據(即本身直接或間接地識別用戶的數據)，因為這使很熟練的非授權第三方獲取用戶的身份和用戶的仿生網絡安全模型，使那一方設法滲入安全存儲器並獲取對存儲那裡的數據的訪問，無線通訊收發器15允許短範圍的無線通訊(使用890nm的近紅外)。可充電電池40供給管理系統電源以允許PDI0在適當的時間周期(如2周或更長)內連續運行。每個PDI10具有賦予的全球唯一的識別(ID)號，因而每個設備能由其ID號辨別。提供電池充電器再充電PDI10的電池，可使用再充電設備支架(託架)250將PDI10通訊埠連接器42(如USB連接器)直接連接到PC100，此直接的連接(即系統方式，其中PC100不需要或不使用BU50)有用於達到從安全位置對網絡的安全登錄，在安全位置只期望出現單個用戶，例如總公司。設備的支架配置成與PDI的外殼聯合，使得當PDI相對於設備的支架適當定位時，PDI安全地由設備的支架固定。
參考圖3，基本單元(BU)設備50還包括允許短範圍無線通訊(使用890nm的近紅外)的無線通訊收發器55。如上所述，收發器55和BU50的定位配置成使能接收在PC100周圍的預定檢測包絡中的任何PDI。微處理器60管理PDI10(若多於1個PDI在BU的無線通訊範圍內能是多個PDI)和BU50之間以及BU50和PC100之間的通訊。提供通訊埠連接器65(如USB連接器)將BU50連接到主PC100。
每個PDI10和BU50包括硬體和軟體的組合，它分別控制收發器10，55的操作，使得它們帶著近似於人們的眼睛閱讀與PC100有關的顯示屏幕的能力的範圍和角度特徵操作，以致於任何足夠靠近主PC以便能閱讀或理解其顯示屏幕上數據的個人/PDI對的出現能被BU檢測到。檢測包絡的形狀和大小是可控制的，並能通過施加到BU和PDI的硬體和軟體改變的組合而變化，以適應當地PC/工作站配置或組織的需要。本專業熟練人士容易對任何給定的配置達要所希望的變化。通訊軟體允許由基本單元50達得在預定檢測包絡中的所有PDI10，且基本單元維持以會話形式與每個那樣PDI的通訊，只要它們落在檢測包絡的範圍內，會話包括加密的數據流，並配置成能檢測試圖加入到此會話中的任何其他設備，當用戶簡單地避開或遮斷在PDI10和BU50之間的光路時為了簡化此會話的繼續，有可能在PDI和BU雙方包括第二收器，它使用如短範圍無線電頻率(RF)波那樣的無方向通訊方式。不使用此方式開始會話，但能在短時間期間保持繼續。
每個PDI10還包括加密軟體組件，它管理在PDI10中一個或多個私有/公開密鑰對的建立和在PDI中所有隨後的處理，包括加密和解密消息。PDI10的認證通過通訊協議確認，而在線路板上(即包含在PDI中)的私有密鑰用於數字籤名由安全管理組件(SM)340發送的查問，安全管理組件在網絡的中央伺服器300上運行。重要的是當從安全管理器使用其線路板上私有密鑰接收消息來源時，PDI10首先認證該安全管理器。PDI的加密軟體模塊配置成根據從外部應用程式來的消息籤署由安全管理產生並送到PDI的消息摘要。在PDI籤名那樣的消息摘要之前，通過驗證用於創建該摘要的安全管理器的密鑰認證，該消息摘要實際上是從該安全管理器來的，這就保護PDE免受欺騙，籤署不應籤署的任何其他文檔。
對本發明的封閉系統，加密的底層結構相當簡單，並包括由簡單的層次結構及安全伺服器支持的公開密鑰的資料庫記錄，以提供數字籤名的專線驗證。
在每個PDI10的仿生網絡安全信息獲取組件35中包括仿生網絡安全軟體組件。此軟體組件將從指紋微晶片35接收的仿生網絡安全圖象的數字表示轉換成一個模型，並將該模型與用戶的仿生網絡安全信息相匹配，後者是用戶在用該安全系統註冊對捕捉及存儲的。仿生網絡安全組件的匹配算法將從用戶的仿生網絡安全的輸入實時(即實況)表示(即從指紋微晶片的輸入)產生的模型與存儲在PDI安全存儲器25中的主模型相比較，並輸出包含比較結果的數字籤名的消息，發送到安全管理器。在遵照由政策管理器組件的請求的給定時刻或在預定時間間隔內，PDI10能通過將從用戶的輸入仿生網絡安全信息導出的新的模型實時地與存儲的模型比較而驗證用戶，那樣的驗證完全在PDI10的線路板上進行(即只使用它本身的裝置)而不必傳輸所使用的存儲數據來完成。
PC100包括設備管理器軟體組件(DM)150，它從BU50接收信息，並轉而與在中央伺服器300上運行的交易管理器組件(TM)380通訊。當BU50在指定的預定時間周期內喪失與PDI10的通訊，在BU50和PDI10之間的會話結束，且TM380通知政策管理器組件(PM)320，該PDI10不再在預定的檢測包絡內。當TM380接收通知，BU50已檢測到新的PDI10，它命令PC100向檢測的用戶顯示有關登錄過程的狀態信息，且若是合適的，邀請授權的用戶登錄到該系統中。根據政策管理器的設定，作為現有登錄的會話的部分在屏幕上當前顯示的任何感知的信息自動變空白。在新檢測的PDI設備的用戶在仿生網絡安全上用安全管理器認證他們自身並且政策管理器判定他們作為觀察者具有觀看此數據的權利之前，屏幕已恢復。
此外，在通知了檢測的PDI後，交易管理器組件380控制PC100顯示(在其顯示屏幕上)檢測的用戶的視覺識別符，如用戶的名字，或最好從註冊資料庫中檢索的用戶的面部形象。這提供兩個安全校驗。首先，向用那樣的顯示屏幕工作的授權用戶提供在該屏幕的視覺範圍內所有個人的身份的強烈的視覺通告，這幫助用戶防止非授權的數據訪問(用戶立即知道其他人進入能閱讀在屏幕上顯示的信息的範圍，並能確切地看到那人是誰)。其次，在屏幕前工作的用戶期望在屏幕上看到在該屏幕的區域內的所有人的形象，若一個人的形象未被檢測到，用戶將警覺到，未被檢測的個人的PDI是出了故障，需要充電，維修或更換。此特徵可選地能用於控制在建築物中的進入點，提供工作站值班員(如安全保衛)，當一個個人/PDI對在該工作站附近經過時，註冊到PDI的個人的形象立即自動地顯示(在安全情況中那樣顯示的形象及佩戴該PDI的個人應是同一個)。類似地，若蓄意的個人試圖觀看在他人登錄時沒有資格訪問的信息，或若他們試圖通過佩載假冒品進入安全位置，他們的形象不被顯示的事實立即提醒合法的用戶出現某些不恰當的事。
安全管理器組件340管理發生在PDI10和網絡安全系統的其他組件之間，如註冊授予權資料庫360的安全過程，還管理由外部應用程式發送給用戶或反向發送的消息，消息需要驗證和/或數字籤名。安全管理器使用結合數字籤名的查問/響應機制認證PDI10，從向所有進一步的活動只由認證的用戶採取。安全管理器還建立要發送到用戶和所有系統事件的公證的日誌的任何文檔或交易的消息摘要(數字公證過程是本專業所眾所周知的，並用於將時間/日期和可信的第三方籤名附加到籤名的文檔)。此外，根據應用安全管理器能與政策管理器組件320通訊和諮詢，後者應用商業規則和工作流程提供從資料庫提取的數據的晶粒控制，這發生在應用需要對不同用戶有不同安全層次的情況，即不同用戶根據層次分類對訪問數據具有不同層次的授權，使得高度機密的數據只允許對有限數目的用戶。
安全系統對註冊一個新用戶使用結構的和嚴密的過程。對於系統已經賦予註冊新用戶的特權(註冊特權)的現有的用戶必須登錄到網絡中並運行註冊應用程式，它形成註冊授權組件(RA)360的前端。對於知道要登錄的新用戶的用戶(這裡稱為保證人)也能出現在同一BU50處。註冊授權資料庫包含有關用戶，他們的角色(如保證人)和他們註冊新用戶的特權的信息。在某些情況，如帶有註冊特權的用戶也能扮作保證人的角色。然後輸入有關新用戶的某些基本的傳記數據，可能包括新用戶的名字、地址、生日，用於建立身份的支持文檔的編號，以及系統配置或捕捉該個人的如面部形象的任何其他特定數據，那樣輸入的數據只存儲在RA資料庫而不存儲在PDI10。然後用戶得到PDI設備，而PDI的可操作性通過下到步驟測試，由PC100的BU50獲取PDI並使用安全管理器校核該PDI，以保證它處在轉交給新用戶的正確狀態；若是，則註冊過程如下那樣開始。使用微處理器20，PDI設備本身產生並內部存儲用戶的仿生網絡安全模型和一個或多個公開及私有密鑰。PDI採樣新的用戶指紋，直到得到一致的和滿意的指紋模型。最終得到的指紋模型不傳輸到系統的任何外部組件而存儲在PDI設備的安全存儲器中。有關指紋的仿生網絡安全信息從不離開PDI設備。然後註冊應用程式命令PDI10產生一個或多個密鑰對，且那樣產生的所有私有密鑰永遠保留在PDI10中，永不傳輸到PDI之外。那樣產生的公開密鑰送到中央伺服器300並存儲的RA資料庫360。安全管理器在安全存儲器中還保持其本身的私有密鑰，對應這些私有密鑰中至少一個的公共密鑰被提供給PDI，並保持在PDI的安全存儲器中。然後這些私有和公開密鑰被PDI和SM使用以驗證或建立數字籤名，交易和導向新用戶的PDI或從那裡來的查問。在新用戶註冊過程中，可要求保證人經過在保證人的PDI設備中的指紋晶片確認他們，以致於建立數字籤名，證明保證人擔保該新用戶。
本安全系統的PDI10通過加密過程受保護，免受工廠(它們製造的地方)和使用方之間的竄改(免受在初始提交期間或設備維護期間發生的事件的影響)。新製造的PDI設備用在接收的機構處的安全管理器的公開密鑰並用初始發布的私有密鑰編程。當這些PDI設備被送到該機構時，它們各不相同的ID號的表被分別地並安全地送到該機構。在註冊新用戶的過程中，PDI使用初始發布的私有密鑰向安全管理器認證自己(安全管理器具有私有密鑰的公開密鑰)，且安全管理器使用其私有密鑰向PDI認證自己。此外，PDI設備的單獨的ID號送到安全管理器，且這匹配從工廠接收的PDI設備ID號的表。此協議保護結構免受欺詐設備的攻擊，對在工廠維修後返回到該機構的PDI設備使用同樣的協議。
登錄和其他特權在給網絡域上只對那些PDI可用，它們用與該網絡域相關的註冊授權註冊，但是因為每個PDI10也具有單獨的ID號，它由安全管理器辨別而無關於對其註冊初始使用的特定的註冊授權。因而，PDI的ID號的全球特性允許通過共享不同註冊授權的資料庫集成不同的安全系統(即在不同註冊授權下運行的系統)。
藉助圖4(a)到4(c)的流程圖描述由安全系統在獲取(即由BU50檢測PDI10是否在範圍中)PDI並隨後對登錄訪問驗證PDI的過程中完成的步驟。BU發送定常IR信號到環繞PC100/BU50在檢測包絡，安接收BU的此IR信號並立即響應該BU，由該BU起動其獲取過程。然後BU將PDI加到輪詢循環中，PDI由任何在範圍中的BU獲取而不管PDI是否在系統中註冊。獲取步驟在低處理層次上進行，而BU將新的PDI設備加到輪詢循環用於監視該PDI，並發送消息到識別及查詢PDI的單獨的ID號的中央安全管理器。若該PDI是系統上註冊的設備，用戶具有登錄的特權，並沒有人登錄到PC100(工作站)，將邀請用戶登錄到PC100。若該PDI是系統上註冊的設備，但某人已登錄到PC100，任何感知信息(如由政策管理器判定)可以立即成空白，並在PC100顯示與檢測的PDI有關的用戶的可視識別符。根據此新用戶觀看與當前登入的會話有關的數據的特權，新的用戶隨後被允許在仿生網絡安全方面認證他(她)自己，並保護作為觀察者。這通過與政黨登錄的復位相同的過程而發生，其不同在於在最後步驟，TM記錄觀察者的出現並請求網絡應用軟體或PC100恢復屏幕而不是登錄用戶。對或者試圖登錄，或者成為觀察者的用戶，下一步驟是SM準備查問消息，它具有某些隨機選擇的信息，且SM用其私有密鑰作數字籤名。此消息隨後傳輸到PDI設備。由屏幕顯示邀請用戶通過將他們的手指放在指紋晶片上並確認他們的身份未登錄(可選地包括他們的名字)。PDI設備首先通過使用存儲在PDI設備上SM的公開密鑰驗證消息上數字籤名確認，它從合法的SM過程接收消息。然後獲取用戶的指紋並提取模型，並與存儲在設備上的模型比較。若存在匹配，則消息發回到SM，它包含該查問並確認，該用戶已在仿生網絡安全方面被認證。此消息使用存儲在線路板上它的私有密鑰由PDI設備數字籤名。確認消息由SM使用存儲在註冊授權中的PDI設備的公開密鑰認證和校核，以保證該查問被正確地返回，這就避免了重演的攻擊。若PDI設備被用作對單個登錄(SSO)過程的認證裝置，其中登錄訪問授權給網上的PC100，則TM380將消息送給PC100上的登錄組件，請求登錄用戶。
若PC100的用戶已經登錄到PC100並希望訪問基於一個或多個應用的特定網絡，則TM380將通過SM，用運行該應用程式的安全伺服器互相認證他們自己，並將通知此伺服器，用戶已經登入。例如在保健領域，對PC上的上下文管理有一個稱為CCOW(Clinical Contest Object Workgroup-診所上下文對象工作組)的形成的標準，它允許共享註冊。然後TM380與CCOW使能的應用程式互動，允許用戶使用有關用戶的角色的信息和從註冊授權360資料庫獲得的特權只訪問由政策管理器320認為合適的應用程式或數據的子集。通常，在整個用戶的登錄會話中，安全管理器340和政策管理器320共同趣著在所有網絡應用程式和數據上的安全過渡器。
一個PDI當被遺失或被盜竊時可記錄在安全系統中。在此情況，一旦獲得該PDI，SM驗證該PDI，並作為結果判定，該PDI被列為遺失的。安全管理已知道獲取PDI的BU，此外安全管理器知道該BU的位置和該PDI鄰近於該BU。然後此識別PDI的位置的信息被傳送到指定的用戶(如管理員或安全協調員)使得丟失的PDI能被檢索，並若它已被偷，負責的部分能夠了解。
在用戶的登入會話期間，在登錄之後，PDI設備和基本單元周期地通訊，以保證該PDI仍然在檢測包絡之中，此會話包括加密通訊，它保證基本單元能夠檢測其他(未授權的)設備將消息插入通訊流的企圖。若用戶的PDI在第一預定時間周期內，例如由於用戶從工作站走開去拿某個東西而停止與BU通訊，DM控制工作站完成預定的註銷過程以保證沒有未授證的個人能替代授權的用戶繼續使用該應用軟體。這可以是暫時的自動註銷，在此情況若在短的第二預定時間周期內再次檢測到用戶的PDI，DM將控制在用戶處在BU失去與用戶的PDI通訊的能力的點上恢復應用軟體的操作。可選地，系統可配置成登錄入會話期間，需要用戶使用PDI在仿生網絡安全上再次驗證他們的出現，且這可以由經過的時間或由政策管理器根據用戶對特定應用程式和數據的訪問作出的決策隨機地獨發。這保證在整個登入的會話期間用戶保持物理上帶著PDI出現。
如圖4(a)到圖4(c)的流程圖所述，在獲取/驗證過程中，系統在空間和時間兩方面在用戶的仿生網絡安全認證及PDI的加密驗證之間，在用戶及安全管理器之間建立了緊密的聯繫，以至於安全地確立了，授權的用戶帶著指定給該用戶的PDI出現，並正確地與安全管理器通訊。如這裡所述，通過將存儲的仿生網絡安全模型與從現場仿生網絡安全傳感器(如指紋晶片)產生的仿生網絡安全模型比較，在PDI的線路板上實時驗證用戶的身份，兩個模型在整個過程中均保留在PDI中。PDI和安全管理器通過使用按照查問/響應協議通訊的數字籤名互相驗證，而且對任何給定的文檔/交易籤名PDI藉助數字籤名的消息，實時通知安全管理器關於用戶的身份。
在使用應用程式的過程中，對用戶可以有數字籤名文檔或其他形式交易(如藥方)的要求。圖5(a)和5(b)的流程圖描述了系統為對文檔/交易建立數字籤名所採取的步驟。籤名的過程由應用程式請求，它將要籤名的文檔/交易送到SM。SM建立包含源地址和目標地址，文檔/交易的消息摘要，時間標籤和隨機數據的消息。然後此消息被數字籤名並送到PDI設備。
PDI設備首先驗證SM的籤名，這避免了其他過程作出PDI設備的籤名請求或消息摘要被竄改或替換的可能性。若籤名的請求包括對確認用戶的身份的需要，則請求用戶當前在審查情況下現場數字籤名該文檔或交易是應用程式的責任。然後用戶將他的手指放在指紋晶片上。然後PDI設備等待用戶將其手指放在設備上。一旦檢測到手指的放置，圖象被捕捉，處理並與存儲的模型作比較。若模型匹配出現的手指，建立包含源地址及目標地址，原始文檔/交易的消息摘要和隨機數據的消息。然後此消息被數字籤名並送到BU，從那個再轉送到SM。若手指不匹配模型，允許用戶作若干次重試，然後指出匹配失敗的數字籤名消息被送到SM。SM使用PDI設備的單獨ID查找PDI設備的公開密鑰，且使用此信息驗證消息。在地點、身份認證的結果被送到請求認證的應用程式，若必要，數字籤名消息的拷貝被送到安全的公證服務。
能使用數字籤名保證，基本文檔/交易的數據事後未被改變。給定了包括仿生網絡安全身份驗證的前述過程的特性，也能做到揭穿用戶拒絕該籤名的企圖。
本安全系統提供了在特定的網絡訪問點上用戶出現的實時肯定的認證，它建立並監視在該網絡訪問點及選定的網絡伺服器之間的安全加密路徑，它還提供收集數字籤名的可靠手段。
在以前描述的較佳實施例中採用的獨特的電子線路和處理功能容易被本領域的技術人員所理解，讀者可認識到，技術人士另外設計出的各種其他應用。在電子安全系統和通訊設計領域中的技術人士很容易能將本發明應用於對給定應用領域的適當的實施方法。
因而可以理解，這裡通過圖示所示出和描述的特定實施例不試圖限止由發明者申請的發明範圍，這由附加的權利要求所確定。
權利要求
1.用於控制對計算機網絡訪問的個人數字識別設備，所述網絡包括多個工作站，每個具有與其相關的基本單元，所述基本單元配置成與所述個人數字識別設備無線通訊，所述網絡還包括採用安全管理組件及網絡存儲器的中央伺服器，所述安全管理器組件與私有密鑰及對應的公開密鑰相關，且所述網絡存儲器包含對應於由所述個人數字識別設備保持的私有密鑰的公開密鑰，所述個人數字識別設備是輕型，配置成由註冊的用戶所佩戴和/或攜帶，並包括(a)包括收發器的無線通訊組件，用於與所述基本單元通訊；(b)仿生網絡安全信息獲取組件，用於獲取用戶輸入的仿生網絡安全信息並產生其數字表示；(c)配置成與所述收發器及所述仿生網絡安全組件通訊的處理器，可操作完成；(i)計算從所述數字表示導出的模型是否對應於從以前由所述仿生網絡安全組件產生的用戶的仿生網絡安全的數字表示導出的主模型，並當判定有對應關係時產生匹配信號；(ii)產生由所述個人數字識別設備保持的所述私有密鑰和與其對應的所述公開密鑰，並輸出所述產生的公開密鑰，由所述收發器發送；(iii)使用所述私有密鑰產生數字籤名；和(iv)使用對應與所述安全管理器組件相關為所述私有密鑰的所述公開密鑰驗證，從所述安全管理器表面上接收的加密消息的源是否所述安全管理組件；(d)包含用戶的仿生網絡安全信息的所述主模型，所述產生的私有密鑰，和對應與所述安全管理器組件相關的所述私有密鑰的公開密鑰的安全存儲器；(e)電源；和(f)外殼；所述個人數字識別設備配置成產生，使用所述產生的私有密鑰，數字籤署的查問響應跟隨所述匹配信號之後，以響應從所述安全管理器組件接收的查問消息，並用於發送所述響應消息，所述個人數字識別設備配置成防止發送用戶的仿生網絡安全的模型及所述私有密鑰中的任一個。
2.按權利要求1的個人數字識別設備，其特徵在於，所述仿生網絡安全組件包括傳感器。
3.按權利要求1的個人數字識別設備，其特徵在於，響應信號自動地從所述傳感器發送，以響應所述收發器從一個所述基本單元接收的信號。
4.按權利要求1的個人數字識別設備，其特徵在於，保持在所述安全存儲器的所有數據本身不能識別所述用戶。
5.按權利要求2的個人數字識別設備，其特徵在於，所述傳感器包括固態指紋傳感器。
6.按權利要求5的個人數字識別設備，其特徵在於，所述傳感器發送和接收光信號。
7.按權利要求6的個人數字識別設備，其特徵在於，所述傳感器發送和接收無線電頻率信號。
8.按權利要求1的個人數字識別設備，結合支架，其特徵在於，所述設備支架配置成與所述個人數字識別設備的所述外殼聯合，使得當所述個人數字識別設備相對於所述支架設備合適定位時它由所述支架設備固定，所述設備支架包括通訊連接器，用於在所述個人數字識別設備由所述設備支架固定時，在通訊上將所述個人數字識別設備直接耦合到一個所述工作站。
9.用於在包括工作站的網絡訪問點控制對計算機網絡訪問的安全系統，所述系統包括A.個人數字識別設備，包括(a)包括收發器的無線通訊組件；(b)用於獲取用戶的輸入仿生網絡安全信息並產生其數字表示的仿生網絡安全獲取組件；(c)配置成與所述收發器及所述仿生網絡安全組件通訊的處理器，可操作完成(i)計算從所述數字表示導出的模型是否對應於從以前由所述仿生網絡安全組件產生的用戶的仿生網絡安全的數字表示導出的主模型，並當判定有對應關係時產生匹配信號；(ii)產生由所述個人數字識別設備保持的私有密鑰和與其對應的公開密鑰，並輸出所述產生的公開密鑰，由所述收發器發送；(iii)使用所述私有密鑰產生數字籤名；和(iv)使用對應與所述安全管理器組件相關的私有密鑰的公開密鑰驗證，加密的接收的消息是從安全管理器組件而來；和(d)所含用戶的仿生網絡安全信息的主模型，所述產生的私有密鑰，和對應與所述安全管理器組件相關的所述私有密鑰的公開密鑰的安全存儲器，所述個人數字識別設備配置成產生，使用所述產生的私有密鑰，數字籤名的查問響應跟隨所述匹配信號之後，以響應從所述安全管理器組件接收的查問，並用於發送所述響應消息，所述個人數字識別設備配置成防止發送用戶的仿生網絡安全的模型及所述私有密鑰中的任一個；B.上所述工作站有關並配置成起動和維持與所述個人數字識別設備無線通訊的基本單元，所述通訊在由與所述工作站有關的包絡確定的區域上延伸；和C.具有對網絡存儲器的訪問並使用所述安全管理器組件以及用於認證所述用戶的所述個人數字識別設備的中央伺服器，所述網絡存儲器包括對應於由的個人數字識別設備產生的所述私有密鑰的公開密鑰。
10.按權利要求9的安全系統，其特徵在於，所述仿生網絡安全組件包括傳感器。
11.按權利要求9的安全系統，其特徵在於，所述工作站是個人計算機。
12.按權利要求9的安全系統，其特徵在於，所述基本單元規則地發送第一信號到所述個人數字識別設備，當所述個人數字識別設備在所述包絡中時所述個人數字識別設備自動發送響應信號作為響應。
13.按權利要求12的安全系統，還包括多個所述的個人數字識別設備，多個工作站和多個基本單元，其特徵在於，基本單元與每個所述工作站相關，每個所述基本單元發送輪詢信號到所述基本單元的相關包絡中的每個所述個人數字識別設備，接著所述基本單元從每個所述個人數字識別設備接收所述響應。
14.按權利要求9的安全系統，其特徵在於，保持在所述個人數字識別設備的所述安全存儲器中的所有數據本身是不可識別所述用戶的。
15.按權利要求9的安全系統，其特徵在於，當所述用戶的個人識別設備位於所述包絡中時所述網絡存儲器包括可識別所述用戶的數據，用於在所述工作站的屏幕上顯示。
16.按權利要求9的安全系統，其特徵在於，所述包絡具有的形狀和大上配置成包含鄰近於所述工作站的那些區域，在那裡觀察者能閱讀和/或理解在所述工作站的屏幕上顯示的信息。
17.用於控制對計算機網絡訪問的方法，其中工作站提供對所述網絡的訪問點，所述網絡包括所述工作站和安全網絡存儲器，以及基本單元通訊的中央伺服器，基本單元配置成起動和維持與由用戶攜帶或持有的可攜式個人數字識別設備的無線通訊並與每個所述工作站有關，所述無線通訊在由與所述工作站相關的包絡確定的區域上延伸，所述方法包括以下步驟(a)在對用戶註冊可攜式個人數字識別設備時，在所述可攜式個人數字識別設備中接收所述用戶的輸入仿生網絡安全信息，產生其數字表示，從所述數字表示導出主模型，在存儲器中安全地保持所述主模型，產生並在所述存儲器中安全地保持私有密鑰，產生對應於所述產生的私有密鑰的公開密鑰並在所述網絡存儲器中提供所述產生的公開密鑰用於存儲在所述網絡存儲器，並接收對應與網絡安全管理器組件相關的私有密鑰的公開密鑰並存儲到所述存儲器；(b)從與一個所述工作站相關的基本單元發送第一信號到所述個人數字識別設備，並當所述個人數字識別設備在所述包絡中時，自動地從所述個人數字識別設備發送在所述基本單元和所述個人數字識別設備之間建立通訊的響應信號，以響應所述第一信號；(c)在所述個人數字識別設備接收表面上從所述網絡安全管理器組件來的數字籤名的查問消息，並使用對應與所述安全管理器組件有關的所述私有密鑰的公開密鑰匙所述個人數字識別設備中驗證所述查問的來源；(d)在所述可攜式個人數字識別設備獲取所述用戶的輸入仿生網絡安全信息，產生其數字表示，並從所述數字表示導出仿生網絡安全模型；(e)在所述便攜個人數字識別設備中計算，所述仿生網絡安全模型是否對應於所述主模型，若判定有那樣的對應關係時產生匹配信號；(f)使用所述產生的私有密鑰在所述個人數字識別設備中產生數字籤名的查問響應消息，跟隨產生所述匹配信號之後以響應所述查問消息，並發送所述響應消息到所述安全管理器組件以認證所述用戶；和(g)允許所述認證的用戶通過所述工作站訪問所述計算機網絡。
18.按權利要求17的方法，其特徵在於，還包括配置所述包絡的形狀和大小，使包絡鄰近所述工作站的那些部位，在那裡觀察者能閱讀和/或理解在所述工作站的屏幕上顯示的信息。
19.按權利要求17的方法，其特徵在於，還包括，在所述基本單元從所述個人數字識別設備接收所述響應信號之後，從所述基本單元發送輪詢信號到所述個人數字識別設備，用於判定所述個人數字識別設備是否仍然位於所述基本單元的有關包絡之中。
20.按權利要求17的方法，其特徵在於，還包括在用戶被識別時在所述工作站的屏幕上顯示識別所述用戶的數據。
21.按權利要求17的方法，其特徵在於，還包括由註冊工作者在擔保人在場時最初註冊所述用戶，所述註冊工作者及擔保人均是計算機網絡的註冊用戶，且所述註冊工作者具有計算網絡訪問權並藉助所述安全管理器組件驗證具有註冊的特權，並需要所述擔保人向所述安全管理器組件提供仿生網絡安全上數字籤名的消息以認證所述擔保人，且所述註冊工作者、擔保人和用戶的每一個在所述用戶的所述註冊期間保留在所述包絡之中。
22.按權利要求17的方法，其特徵在於，當新的個人數字識別設備移動到所述包絡中的位置時政策管理器組件能進行控制，使所述工作站的屏幕成空白，直到註冊到所述個人數字識別設備的用戶在仿生網絡安全方面被識別。
全文摘要
改進的計算機網絡安全系統和方法，和用於控制網絡訪問的個人識別設備。新的用戶註冊到可攜式個人數字識別設備，用戶的輸入的仿生網絡安全信息被接收並安全地保持在存儲器中，私有密鑰也被產生並安全地保持在存儲器中。當個人數字識別設備在鄰近工作站的包絡中時，從與工作站相關的基本單元發送第一信號到個人數字識別設備，後者自動地發送在基本單元和個人數字識別設備之間建立通訊的響應信號。由個人數字識別設備產生和發送數字上和仿生網絡安全上簽名的查問響應消息。
文檔編號H04L9/32GK1531673SQ02804435
公開日2004年9月22日 申請日期2002年1月31日 優先權日2001年2月1日
發明者A·博特, B·裡德, A 博特 申請人:3M創新有限公司