物理訪問控制的製作方法

2023-06-01 12:38:26

/>printf(″\n″)；}}\end{verbatim}私鑰安全物理訪問(在類似KERBEROS的設置中的實時憑證)一般而言，想定可包括多個門及多個用戶。此外，訪問可由多個機構控制(每一機構控制通過某些門的訪問，用於不同機構的一批門可能重迭)。在大多數一般情況，訪問通過使用戶將憑證提交給門而進行控制(這樣的憑證的驗證可能要求用戶和門的交互，如PIN輸入，及門和用戶卡之間的消息交換)。在門的情況下，以最少的成本支持訪問安全性是特別重要的，甚至不將門連接到網絡或任何特定的伺服器。一個重要的發現是，無論我們使用什麼憑證，我們的RTC技術可得到重要的安全性、基礎結構及成本利益。RTC可連同公鑰密碼方法(證書、公鑰籤名、PKI)及私鑰密碼工具(對稱的或私鑰籤名及加密、類似Kerberos的系統等)一起使用。使用公鑰技術對分離的門進行訪問控制已被提出。在此，我們描述怎樣將這些想法適用到私鑰技術。基本原語加密、籤名、假隨機函數特別地，私鑰加密、私鑰籤名(akaMAC)、私鑰隨機函數均是我們將使用的典型的私鑰原語。對於我們的許多目的，這些原語可被交替地使用。例如，確定性的私鑰籤名方案(在共享秘密籤署的密鑰SK的兩個實體之間)及隨機函數Fs(其種子在兩個實體之間共享)實際上可被認為是等價的。二者均產生對第三方而言不可預知的輸出，第三方可能直到對應的輸入，但不是SK或s。例如，返回具有密鑰SK的x的數字籤名的函數FSK(x)在實踐中可被認為是一個較好的具有種子SK的足夠假的隨機函數。另一方面，函數Fs(x)，其在輸入x的基礎上返回在具有種子s的假隨機函數F的x的值，可被認為是具有密鑰s的私鑰籤名算法。單向及單向散列函數我們還將使用另外的基本原語單向函數F和單向散列函數H。實質上，函數F是單向的，如果(1)給定輸入X，可有效地計算F(X)，同時，(2)給定F(X)，其中X最好已被足夠隨機地選擇以足夠地不可預知，計算X實際上是不可能的(如，原則上，因為太多的X值不得不被嘗試，且沒有有效的方法來縮小可能的候選值的數量)。函數H為單向散列函數，如果其是單向的且(儘管最好使較長的輸入匹配較短的輸入或任意長的輸入，如160位長)難於發現兩個截然不同的輸入X和Y使得H(X)＝H(Y)。在實踐中，我們可使用單向散列函數H構建其它原語。例如，私鑰籤名可以下面的簡單方式構建。要用密鑰SK籤署消息M，可計算H(SK，M)。即，適當地結合SK和M-如，連接它們—並接著散列該結果。當然，要籤署M並註明M的日期，可增加日期d到該結合中，因而代之以計算H(SK，M，d)。類似地，假隨機函數可按如下構建。基於輸入x，要產生具有種子s的假隨機函數的輸出，可計算H(s，x)；即，可適當地結合s和x，並接著應用單向散列函數到該結果。安全物理訪問我們只關注由私鑰設置產生的新的方面，而跳過那些可自然適於新想定的普通方面(如，每日的/正常的計算方面等)。我們以簡單的想定開始。單一機構讓D為門(具有所述的機制)，A為希望控制D的訪問的機構，及U為用戶(可能為A工作)，再次地，具有一卡CU，具有適當的標識符等。接下來，A可通過與D共享密鑰SK而控制D的訪問。如果A希望授權U在天d(時間間隔d)訪問D，其計算證據PUDd，A以外的其它任何人(及可能D)都很難計算，但對於D很容易驗證。讓我們看看這是怎樣被完成的，二者均使用私鑰加密和私鑰籤名。私鑰加密解決方案(具有可能的恆等證據)例如，PUDd可以是消息的加密EUDd，其用專用加密密鑰SK根據一些已經建立的私鑰加密算法如DES指明U及可能D和d。在從U的卡接收EUDd的基礎上，D用密鑰SK將其解密，且如果結果指明U和當前日(時間間隔)d，則門打開。門可用其自己的鎖確定其自己的時間是否落在時間間隔d的範圍內。在此，與其它地方一樣，U用以指示用戶及U的適當標識符。如果用戶U具有與其關聯的卡(最好安全地)，則U可以是該卡或其適當的標識符。在後面的情況下，例如，門的讀卡機可從卡得到U，且還得到EUDd，則其用密鑰SK解密EUDd，並將解密的U與卡提供的進行比較，以確保它們相等。注意，EUDd向門D證明用戶U被授權在時間間隔d通過其進入，但這並不向D證明其確實是與用戶U打交道。因而，我們可增加基本的計劃，用於U向門提供其自己的身份。這可以幾種方式實現。特別地，機構A可僅提供EUDd給U的卡，且U的卡被提供以鍵座，並僅在正確的PIN在其鍵座上被輸入時才將EUDd傳輸到門(且如果錯誤的PIN被輸入大於給定數量的次數，卡可自我毀壞或擦除有關的非永久性存儲器內容)。這種方式下，無論門在何時接收EUDd，其知道其正從U的卡接收(因為A僅傳輸EUDd給U的卡)且其知道「卡背後的用戶」肯定是U(與具有偷竊的U的卡的懷惡意的用戶相對照)因為U的卡不會工作或傳輸EUDd給D，除非U的PIN已在其鍵座上輸入。用於U向D證明其身份的第二種方式包括使U向D直接提供其自己的PIN。例如，門D可具有其自己的鍵座，且U使用它來輸入他自己的PIN、PINu。門可具有內部的方式(如表)來將PINu到U，並因而可認識到其確實是與U打交道。然而，如果在系統中有許多門，為每一門提供和更新(如，因為新用戶加入系統)表可能是不實際的。因而最好使U的標識符可直接為PINu。例如，EUDd可以是EPINuDd。當用戶U接近門D時，他輸入PINu到D的鍵座及其卡將EPINuDd傳輸給門。門接下來檢查所輸入的PIN是否等於EPINuDd中所指明的，在這種情況下，其正與正確的用戶打交道且該同一用戶被A授權通過門D，並不使用任何PIN用戶表實際上，鍵座告訴D一知道PINu的用戶在其前面，且EPINuDd告訴D知道PINu的用戶為當前授權通過D的用戶。在第三種方式中，而不是直接出現在EUDd中，用戶PIN可被安全地與EUDd結合。例如，A可能將EUDd給予用密鑰PINu或從PINu可重構建的密鑰K加密的U的卡(如，k＝H(PINu)orK＝H(PINu，d)orK＝H(D，PINu，d)等)。在這種情況下，門D將檢查在時間間隔d，PIN被安全地結合到用戶的授權。例如，其使用PINu解密EUDd，並使用其與機構A共享的密鑰SK檢查EUDd為適當的授權。使用回答者但是A怎樣才可容易地並安全地將EUDd傳輸到U的卡？我們提出使用響應者。這些均為設備(如伺服器或能夠連接到伺服器的計算機終端/讀卡機)。優選地，這些響應者不必被放在庫裡或被保護。這樣的保護可能增加大量的成本且不方便系統，使系統在不保護響應者的情況下安全的工作是至關重要的。理想地，機構A在一系列日期中的每天d執行更新。每一日期最好指明時間間隔(如一天)。例如，d可以是天d或天d的開始。在更新d期間，A決定哪一用戶U應被授權訪問/通過D，並計算可由D驗證的證據。例如，在基於加密的共享密鑰的系統中，該證據可以是上述的字符串EUDd，並可被驗證，因為A與D共享密鑰SK，A用其計算EUDd。所有這些證據接著被發送給響應者。這些響應者最好位於方便的位置。例如，在機場系統中，響應者可位於機場的主要入口。用戶U接著(如當到達工作時)從響應者獲得其自己的通過門D的授權。優選地，U的卡可向響應者鑑別其自身以接收EUDd。這是非常方便的，因為沒有無線的及其它昂貴的系統，用戶可獲得其每天的對於所有其在特定天被授權從正門(用戶不得不通過其通過)通過的門的授權，並使用傳統的機制如將其自己的卡插入讀卡機中(如，以證明他已出現開始工作)。其後，他可自由地在機場四處行走，並可容易地使用其已獲得的授權EUDd通過所有其被授權的受保護的門D。但是因為該方便性及響應者最好是不安全的事實，懷惡意的用戶也可能獲得誠實的用戶的授權。因而下述是必要的，(1)在不保護響應者的前提下阻止這樣的事發生，和/或(2)確保對誠實的用戶的授權不可為任何其它人使用。後者的情況通過使用戶在門輸入PIN而可被足夠地加強，如已經所討論的，最好安全地結合到由卡釋放的授權。因而，從響應者獲得U的授權EUDd的懷惡意的用戶V不能在門模仿U，因為其不知道U的PIN。前者的保護可通過使機構A在用U的卡CU內的並為A知道的密鑰SKCU加密授權EUDd之後將其發送給響應者而得以加強。這種方式下，A實質上給響應者一加密的授權EUDd』，其僅可由U的卡轉換為授權EUDd，使其對下載別人的該天授權的懷惡意的V沒用。即使V以任何其想要的方式製造其自己的卡，V還是不知道SKCU。進一步地，使A與門D共享密鑰SKD及與用戶U共享密鑰SKU是可能的。則PUDd可以是值EUDdk，包括用戶U、門D及天d的指示，及某一隨機秘密的k，所有這些均(由A)用密鑰SKD加密。(注意，在這種情況下，U不能解密EUDdk)。此外，U可接收Ek，即用SKU加密的k。(D和d可為U知道，或可被通信給U-如，通過在主門的同一響應者。)這種方式下，因為U知道SKU，U同樣獲得秘密的k。為了進入門D，卡U可發送EUDdk給D。D可以一隨機的值q響應，且卡U接著發送Eq，即用秘密的k加密的q。門D可解密Eq，驗證使用了同樣的q，且U與EUDdk中指明的相同，且日期d為當前日期，如果所有的檢查均被確認，將讓U通過。這種機制還可組合上述的PIN機制，使其更加安全。基於k的另外的挑戰-響應方法也是可能的。(特別地，D可計算和發送Eq並要求U發回正確的解密q。)即使攻擊者監控卡和門之間的通信，這樣的機制也可提供安全性。然而，在門看見由用戶輸入的PIN的敵人在偷竊U的卡之後可模仿U，至少在時間間隔d期間，如果U的卡內具有EUDd的話。其後，如果U報告其卡已被偷竊，A將不再使EUDd可用於U的卡。私鑰籤名解決方案例如，PUDd可以是消息的私鑰數字籤名，其根據一些已建立的私鑰籤名算法，用A和D均知道的私鑰SK指明U和d(可能及D)。特別地，H為單向散列函數，則UDd＝H(SK，U，d)。在從卡接收U的基礎上，門的讀卡機可用其自己的私鑰SK籤署U和d並比較該計算的結果是否與從可獲得的字符串PUDd匹配。注意，攜帶有鎖的門讀卡機可能知道當前日d，因而不必從卡檢索d。只要A每次授權所有天的訪問，這就可以工作。否則，卡還發送d(或選擇的時間間隔)給讀卡機，接著讀卡機用SK籤署所獲得的U和d，檢查結果確實等於PUDd，接著檢測當前時間(根據門的時鐘)在d的範圍內。如果是，則其打開。再次地，U可被要求輸入PIN作為交易的一部分。在這種情況下，PIN還可被用作U的部分。例如，U可包括u和PIN，其中u為識別用戶的字符串，PIN為用戶知道的密碼。在這種情況下，卡將u及PUDd(可能及D或d及另外的數字)傳輸給門讀卡機，用戶向與讀卡機結合的門控或讀卡機自身輸入PIN，接著讀卡機重構U＝(uPIN)，接著用SK籤署Ud以檢查PUDd是否被獲得。再次地，如果d由卡提供，其還檢查當前時間在d的範圍內。該方法使得用戶及其卡以更緊密的方式結合，使得偷竊卡的敵人在沒有適當的PIN時很難使用它。當然，同樣的SK可被用於一組門，在這種情況下，通過授權U範圍其中的一個，A自動授權他訪問所有的門。為允許最大的訪問間隔，每一門D可具有密鑰SKD。結合兩種方法作為結合兩種方法的例子，U可從A接收(如使用上述的機制，特別地，使用加密)用於天d的密鑰SKUd。他接著使用私鑰籤名向門D「證明」他的身份和/或授權。即，門D可發送隨機的消息m給卡U；作為響應，卡U可發送m的籤名H(m，SKUd)。注意，該籤名的計算可能要求PINu。門D接著驗證該籤名。這可能要求門D知道SKUd(如，已直接從A接收，或從其它信息計算，如H(SKD，d，U)等。)或者，A可使用與D共享的密鑰加密SKUd，從而獲得ESKUd。接著ESKUd可被給予U(如，如上所述)，接著U可將其連同籤名發送給D。多個機構如我們已看到的，對於組織/機構A，有能力與門D共享密鑰SKD，以控制哪一用戶U可在給定的時間間隔d訪問D。該過程可被擴展以使多個組織A、B、C...單獨地控制通過門D或一組門D1、D2、D3…的訪問，每一組織X與門D共享密鑰SKXD，接著使用上述的解決方案。例如，每一組織X可選擇SKXD並將其插入D的讀卡機。每一組織X可能不得不從門到門發送一個或多個的一組給僱員/僱請的工人/承包人/次承包人。在具有許多門的設施中，要這樣做可能是不實際的或浪費的，因為其它組織可能已經那樣做了。同樣，如果有或將有許多機構，則讀卡機在保存所有這些密鑰方面有困難。此外，應當採取適當的預防措施。否則，沒有東西能防止敵人將其自己的密鑰插入門的讀卡機，接著，分辨它，其可使用任何上述方法來授權他自己或他的同謀對該門的訪問。由於這些原因，我們提出下述解決方案。注意，同樣的方法可被應用於單個的解決方案。第一解決方案如我們已看到的，如果他或他的卡共享特定時間間隔的密鑰，用戶可通過安全的門。因此，在這種情況下，用戶及門共享一會話密鑰。Kerberos及Needham-Schroeder協議提供了用於確保實體對共享秘密會話密鑰的機制，在此並可被應用在整個系統中。然而，這些協議均基於密鑰分發中心，其是在線的且無論共享的會話密鑰在何時被需要，其必需被聯繫。因而，我們希望提出另外的、更方便的方法。在開始，即使對於實施基於Kerberos/Needham-Schroeder的系統，我們需要一種用於中央機構分發密鑰給門的方式(其可能較分發密鑰給其它機構更為困難)。我們設想特殊的機構SA(例如，在機場，機場機構)可安全地分發密鑰給門讀卡機。優選地，SA可以是可那樣做的唯一實體。例如，門讀卡機在遞送和製造時沒有密鑰在其內，使得一旦第一組密鑰(可能是一組單一的密鑰)被插入，則讀卡機將其長時間保存，並不接受其它密鑰用於將來的存儲。這種方式下，通過首先插入任何密鑰在門讀卡機中(之前，期間，或安裝後不久)，SA確保沒有其它人可在門內安裝密鑰。或者，對於在門讀卡機中保存其它密鑰，則需要控制PIN或密鑰。門讀卡機在沒有任何控制PIN或密鑰的情況下被遞送和製造，使得一旦第一控制PIN或密鑰(或可能一組密鑰)被插入時，則讀卡機將它們長時間保存，並在將來不再接受其它控制PIN或密鑰。然而，假定輸入正確的控制PIN/密鑰，則任何新密鑰可被插入和保存在讀卡機內。這種方式下，通過首先插入任何控制PIN/密鑰在門讀卡機中(之前，期間，或安裝後不久)，SA確保沒有其它人可在門讀卡機內插入和保存密鑰。在這一點上，SA知道門D的讀卡機的所有密鑰，例如，SKAD、SKBD、SKCD等。不是實施Kerberos，而是更簡單的，即SA現在將SKAD給予機構A，SKBD給予機構B，等。這裡，機構A/B/…可控制用戶U訪問D，其通過私鑰加密方法或私鑰籤名方法實現。注意，這些機構可單獨操作不同組的門。例如，假定1.門D1在其讀卡機內具有密鑰SKXD1，及SA將SKXD1給予機構X；2.門D2在其讀卡機內具有密鑰SKXD2，及SA將SKXD2給予機構Y；同時3.SA不將門D1的密鑰給予Y，及不將門D2的密鑰給予X。接著，機構X可控制對門D1的訪問，機構Y可控制門D2，二者為完全獨立的方式。一轉好的解決方案但即使使用上述可用的特徵，我們可在某些重要方面改善系統如上述的系統。即密鑰-存儲器大小。在門讀卡機最好為每一不同的組織保存控制其的不同密鑰的同時，這抬高了讀卡機應安全保存的密鑰的數量。增加新控制。當新機構或新門被引入到系統中時，新控制發出可能發生。如果門D不為組織X保存密鑰，且隨後想要X獲得對D的控制，則SA必須在D的讀卡機內插入用於X的密鑰。例如，如果新組織出現，則SA必須派遣一隊工人去在應由新組織控制的每一門D內插入SKXD。然而，這樣的物理「旅行」可能是不方便的。為避免它們，SA可在門D的讀卡機中預安裝另外的密鑰，接著將它們與出現的新組織結合，或與隨後必須控制通過D的訪問的組織結合。然而，這個策略只會加劇在第一加重號處描述的情況。此外，如果引入新門，其將由某些已經存在的機構控制，則SA將不得不在門讀卡機中插入新密鑰，並接著將適當的密鑰遞送給已經存在的、必須控制新門的機構。儘管可做，但遞送密鑰總是有問題的。收回控制。一旦密鑰SKXD被保存在門D中並為組織X知道，則X將繼續控制通過D的訪問，即使在某一點對D的控制應被專門地給予不同的組織。為避免此，SA應再次從事於物理旅行並將SKXD從門D中移除(如藉助於控制PIN/密鑰機制)。現在讓我們描述怎樣致使這些另外的改善。基本系統輪廓在開始，我們可使系統與每門單一的密鑰一起工作。例如，SA在門D中保存單一的密鑰SKD(當然跟蹤該信息)。該密鑰可潛在地由SA從唯一由SA知道的D的標識符和秘密種子s計算例如，SKD＝H(s，D)。接著，SA將對D的控制給予機構X，通過給予X以選自SKD和X的密鑰SKXD實現。例如，作為在X求值的具有種子SKD的假隨機函數(為了簡單，我們假定實體與其適當的標識符一致)。特別地，我們可使SKXD＝H(SKD，X)。機構A接著使用SKXD授權用戶U在時間間隔(如天)d訪問D，如先前那樣。特別地，通過使用SKXD作為私鑰籤名方案的籤署密鑰例如，通過計算SKXDUd＝H(SKXD，U，d)並接著使SKXDUd被保存在U的卡中。當U的卡與D的讀卡機通信時，則卡提供(a)X和(b)SKXDUd及可能其它信息如d(及關於用戶U的信息)給讀卡機。在接收該信息的基礎上，讀卡機計算H(SKD，X)並接著使用該結果(依其所述等於SKXD)作為同一私鑰籤名方案的籤署密鑰並籤署(U，d)-在上述的例子中，通過在將其與SKXD結合後散列(U，d)。如果結果與由卡看管的值(依其所述，SKXDUd)匹配，如果時間間隔關於讀卡機的時鐘是正確的(及如果U輸入正確的PIN，如果PIN被適當地用在上述系統內)，則門打開。密鑰存儲器.增加控制注意，該每門單密鑰系統不僅使密鑰存儲器要求最小，而且極大地簡化了增加控制的問題。在機構X需要獲得對門D的第一次控制的任何時間，SA不需物理地到達D並在D的讀卡機中插入(或幫助X的插入)新的D-X密鑰。而是，如果D具有為SA知道的密鑰SKD，則SA簡單地從SKD計算D-X密鑰(如，SKXD＝H(SKD，X))，並將該D-X密鑰遞送(如電子地)給X。收回控制對於每一門D及被授權在時間間隔(如天)d控制D的機構X，SA計算並使其籤名可用。例如，該籤名可以是關於SA與門D共享的密鑰SKD的私鑰籤名。特別地，該籤名可以是值H(SKD，valid，X，d』)。注意，即使儘管作為私鑰籤名，籤名本身可被公布，不必有任何擔憂。事實上，使用上述的基於H的私鑰籤名實施，如果H為安全的單向散列函數，則從H(SKD，valid，X，d』)計算SKD是很難的。因而，當用戶U在其卡中獲得該天的正確門控許可時，他可獲得用於門D的SKXDUd及H(SKD，valid，X，d』)。門D的讀卡機接著可像以前那樣驗證SKXDUd，並通過散列SKD、valid、X及d』而另外地確定X確實已在間隔d』控制D，並檢查由卡看管的同樣的值在d』之內。事實上，只有SA(及D)知道秘密籤署的密鑰SKD機構X僅知道H(SKD，X)且從H(SKD，X)和H(SKD，valid，X，d』)計算SKD是非常困難的。注意，時間間隔d和d』不可一樣。例如，SA可對在每周的基礎上授權X對D控制感到滿意，同時X可在每天的基礎上授權用戶訪問通過D。或者，系統可用密鑰的取決於時間的版本代替上述的SKXD的使用如，SKXDd＝H(SKD，X，d)。則SA將不得不在時間間隔d之前將SDXDd遞送給每一機構X。為收回控制，SA簡單地停止發送時期d的SKXDd，因為其SA決定決絕X對D的控制。還應注意的是，系統當前考慮了一些隱私，因為SA不必知道哪一用戶U被X給予了對D的訪問，也不知道它們的號碼。當然，方案可除去該隱私保護(如，報告或通過使用Kerberos系統)。例14現在讓我們概括一下我們的優選實施方式，其用於在具有超級機構SA、多個(最好是分離的)門D、多個組織X、多個用戶U的系統中實現安全物理訪問。優選的實施例使密鑰存儲量最小並使添加及收回組織X對門D的控制非常容易。在優選實施例中，SA授權組織X在給定的時間間隔控制門D。在該時間間隔期間，X本身可授權用戶U訪問D。我們設想(及可能其它參與者)在對應於一連串時間間隔的一連串日期d的每一日期採取行動。例如，d可以是特定天的開始及特定天的相應時間間隔。為了簡單，我們可使用d表示日期及相應的時間間隔。(然而，應該理解的是，這不是限制性的例如，日期可以是特定的天，時間間隔對應於在該天之後的日期。)具體地，但非限制性的，我們可假設每一日期/時間間隔為一天。我們使用私鑰數字籤名描述優選實施例。這並沒有限制的目的。我們的優選實施例應被認為可用上述任何其它私鑰系統實施。更具體地，我們假定私鑰籤名使用單向散列函數H實施。這並沒有限制的目的H(SK，DATA)應總是被認為是具有數據的密鑰SK的數字籤名。我們假定SA與門D共享密鑰SKD。SA還可與組織X共享密鑰SKX。(SKD可由A經主密鑰SK產生。對於SKX是類似的。例如，SKD可等於H(SK，D)，及SKX可等於H(SK，X)。SA接著可秘密地—或經加密—提供給D以SKD。對於X是類似的。)在每一天d，如果SA希望授權組織X訪問門D，其計算並使X接收密鑰SKXDd，其是安全結合到X、D、及可由D驗證(如，基於輸入X和d)的天d的密鑰。例如，SKXDd＝H(SKD，X，d)，即，SA使用密鑰SKD籤署X、d。SA接著使X接收SKXDd。SA可通過發送SKXDd到X而使X接收SKXDd，這最好在使用與X共享的密鑰SKX將其加密之後。也是優選地，SA發送那樣加密的SKXDd給X，這通過使其被保存在響應者中、X接著從其下載而實現。如果X希望在天d內的時間間隔t授權用戶U訪問D，則X計算並使得U接收密鑰SKXDdUt，其是安全結合到X、D、U及可由D驗證的t的密鑰。例如，SKXDdUt＝H(SKXDd，U，t)，即，X使用密鑰SKXDd籤署U、t。X接著使U接收SKXDdUt。X可通過發送SKXDdUt到U而使U接收SKXDdUt，這最好在使用與U共享的密鑰SKU將其加密之後。也是優選地，X發送那樣加密的SKXDdUt給U，這通過使其被保存在響應者中、U接著從其下載而實現。如果U希望在時間間隔t訪問D，U使得D接收X、U、t(如，U的卡傳輸到D的讀卡機)。如果D在天d接收X、U、t，其從其密鑰SKD計算SKXDd並接著從SKXDd計算SKXDdUt。D接著驗證時間間隔t確實在天d的範圍內，並使用其自己的時鐘驗證當前時間確實在時間間隔t的範圍內。此外，D通過使用密鑰SKXDdUt的挑戰-響應機制驗證其正與U/U的卡打交道。如果這些驗證均通過，D打開。例如，D可通過計算H(SKD，X，d)而從其密鑰SKD計算SKXDd，並接著通過計算H(SKXDd，U，t)而從SKXDd計算SKXDdUt。例如，使用密鑰SKXDdUt的挑戰-響應機制可包括使D發送一隨機的字符串q並接收回具有密鑰SKXDdUt的q的加密，或具有密鑰SKXDdUt的q的數字籤名。或者，D可發送Eq，具有密鑰SKXDdUt的q的加密，且必須接收回q。注意，優選方案應被理解為包括使用與上述方案協作的PIN。特別地，在前面部分中所述的任何PIN應用均可被使用在優選方案內。注意，優選方案提供了大量的靈活性，因為d和t可以不同。例如，SA可提供X在周d對D進行控制，而X可在周d內的天t授權用戶U訪問D。然而，我們可使d＝t，在這種情況下，t不必被指明或單獨使用在優選系統中。Kerberos方法在我們的安全訪問應用中，直接使用Kerberos方法將不能很好地工作。將所有門及SA實施為同一區域是最自然的(對於該區域，SA充作入場券授權服務(TicketGrantingService)，TGS)。每一組織及其僱員將在分開的區域。對於該區域每一組織的機構則可充作鑑別服務AS(及可能其自己的TGS)。根據Kerberos協議，每一用戶可通過獲得入場授權的入場券(ticket-grantingticket)TGT而為各自的機構/AS鑑別。該入場券TGT接著由用戶發送給SA/TGS，連同請求用戶被授權的每一門的服務授權入場券。SA/TGS接著不得不驗證用戶的合格性，且，如果用戶—如果所有均是正確的—提供這些服務授權的入場券。很顯然，該協議是非常費力的，並賦予SA大量的負擔。特別地，驗證特定的用戶被授權哪一門並發出各自的入場券是SA的職責。此外，其要求SA是在線的並實時從事於協議。使用戶具有到SA的通道也引出了額外的安全性威脅。沒有協議的Kerberos入場券原則上，我們可「放棄」Kerberos協議而僅使用入場券。即，所有入場券可以預先預定或提前預計算，且用戶可在主門進入的時間獲得它們，並不需要參加適當的Kerberos協議。然而，許多上述問題仍將保留—特別地，將某些門的控制授權給特定的機構對SA而言應是自然的(但在這種情況下，該控制可被很容易地收回，可能在隨後的點被恢復)。在Kerberos內使用RTC幫助解決該問題的一種辦法是使用實時憑證RTC。例如，我們可使用上述方法中的入場券。然而，在該方法中，我們不會在每天的基礎上產生入場券。而是，我們可使用長效入場券，經在入場券的授權數據欄位中已傳遞的RTC管理短效訪問控制。在該例子中，RTC可如公鑰證書的例子中那樣正確地工作。然而，在此某些優化是可能的。使用上述的RTC帶來大量可能的好處。這些包括(但不限於)1.容易管理a.現在，SA肯定很少被涉及b.代替相對較大的入場券，用戶將需要獲得非常小的RTCc.產生RTC可被委託給相應的機構d.收回控制是容易的這可以至少兩種方式實現。第一，更簡單和自然的—在入場券期滿時不需由SA更新。更精確的機制將使用兩種RTC由SA發出的RTC及由其它機構發出的RTC。接著，每天SA需要對每一機構發出單一的RTC，其保持(或者，其不得不為每一機構-門對發出RTC，其中機構被授權打開門)。每一機構還將為每一用戶發出RTC(或者，為每一用戶-門對，其中用戶被授權打開門)。注意更傳統的Kerberos方法要求更多的入場券被產生並在在線協議這傳遞。e.RTC允許清晰的角色分離，有助於管理和基礎結構的許多方面。2.效率a.空間RTC大大小於相應的入場券。b.時間因為它們非常短(且它們較少且只有較少數量的通信巡迴)，通信將非常快，使用戶能夠在獲得RTC的同時以合理的速度移動通過門。c.負載分布RTC可由非安全的響應者分發。RTC的複製既不昂貴也不危險。3.安全性a.RTC對安全性不敏感，一旦它們被產生，即可被更容易地管理(如由不安全的響應者)，並沒有對安全性的任何威脅。b.入場券和授權的分開(經RTC)在密鑰管理中具有更多的安全性(當密鑰/入場券被實際上產生和通信時)。c.SA隔離SA永遠不會真正需要具有與任何用戶的直接通信線路。除Kerberos之外可以發現的是，上述機制從核心Kerberos特徵獲益甚少(這主要由於Kerberos被設計用於不同的應用的事實)。這樣，在此我們探究我們可怎樣使用基於RTC的機制，其不直接關於Kerberos。這些機制可類似於上面的私鑰加密和私鑰籤名。在這些機制中，特殊機構SA將與每一組織A(B，C，...)和每一門D共享秘密。例如，這可以通過使用上述方法使得SA需要僅保存單一的秘密s實現。在SA和A之間共享的秘密接著可以是SKA＝Hash(s，A)。類似地，在SA和D之間共享的秘密為SKD＝Hash(s，D)。注意，A和D也需要分別僅保存一密鑰SKA或SKD。此外，另外的密鑰SKAD＝Hash(SKD，A)對應於每一組織-門對(A，D)。該密鑰可由SK和D容易地計算。將SKAD給予A是必須的但可能不足以使A控制對門的訪問。此外，A可能需要從SA(或從另一方)接收用於當前時間周期d的RTC。該RTC，稱為RTCAD，不需要是秘密的，並可證明A還與SA保持良好的關係。由A僱用並被授權進入門D的每一用戶U接著可從A接收密鑰SKAUD＝Hash(SKAD，U)。注意，SKAUD可由A和D在沒有任何另外的密鑰的情況下容易地計算。將SKAUD給予U是必須的但可能不足以使U能夠打開門D。此外，U可能需要單獨的用於當前時間周期d的RTCRTCAUDd。注意，該方法已引人注目地簡化了信息流在每一時間周期d的開始，SA為每一組織A發出單一的RTCAD。每一組織A繼而為每一用戶-門對發送單一的TCAUDd。所有這些RTC均可由僱員在進入主門時獲得。假定，用戶U被授權進入設施內的100個門，用於所有門的RTCAUDd要求少於2KB-即使慢速連接也可管理的量(通常，其僅花不到1秒的時間)。要打開門D，用戶U需要呈現RTCAd及RTCAUDd，並基於密鑰SKAUD執行鑑別(該鑑別可以是挑戰-響應型以保護密鑰)。注意由於相對少量的RTCAd憑證可能呈現在系統中，這些憑證的確認可能不需要在每用戶的基礎上進行。而是，每一門可確認其接收的每一RTCAd並緩存結果，以用於其它用戶的確認。特殊機構SA可能希望對組織訪問門進行更好的控制。要實現此，代替每組織憑證RTCAd，SA可發出每一組織門對(A，D)的RTCRTCADd。接著，對於SA，授權並收回每一組織在每天的基礎上對每一門的控制是可能的。注意，這至多使每一用戶需要接收的RTC數據量翻倍(對於上述例子，依然保持所要求的過渡時間在不到1秒的時間內)。聚集RTC可以發現，訪問控制權不會引人注目地天天改變。這樣，上述機制的許多能力均未被使用。我們提出RTC聚集機制，其可被用在相對穩定的環境中以提高甚至另外的效率。例15作為一個例子，有100個組織，每一組織有權使用1000個門。因此，有100000個組織-門對，因而，RTCADd憑證將由SA每天發出和分發。此外，如果每一組織僱用大約1000人，這將導致100000000個RTCAUDd憑證將由所有組織發出和分發。讓我們將所有組織-用戶-門三個一組的AUD分為按層級安排的組。例如按如下可很容易地想像這些。讓所有AUD對應於對稱的二進位樹形網絡的樹葉(以優選方式排序的)。接著，樹的每一節點n對應於一組所有AUD對應於在n的子樹中的樹葉的AUD。對於每一這樣的節點和時間周期d，讓其有一個對應憑證RTCnd。則對於任一AUD祖先n，AUD在周期d的有效性可由任一憑證RTCnd證明。因而，如果所有AUD組在天d保持有效，則單一的憑證RTCr足以用於整個系統，其中r為樹的根。總之，如果有100個AUD組變得無效的，則至多1500個憑證就足以證明整個系統(其代替100000000)。更一般地，如果有k組無效，至多k(26-lgk)個憑證被需要用於整個系統的證明。該方法導致引人注目的改善，即使聚集RTC要求更多的值被保存在門和/或用戶中在上述例子中，這樣的開銷可至多導致存儲器中的26開銷的因素，而節約了通信中的巨大的定購(在上述例子中為4或5)。更一般地，如果將被授權的(在我們的例子中，這些是AUD組)一組實體保護N個成員，且其中的k個將被排除，則至多需要k(1gN-lgk)個憑證來證明整個系統，同時用於聚集的開銷至多為lgN。甚至更有效的組表示法可能存在(如，在上述已被認知為子集覆蓋方法時，我們還可使用子集區分覆蓋及基於其的最新結果)。這樣，該聚集憑證的確認可被優化，如通過緩存至少用於較大的組的結果。RTC實施及最優化實時憑證的許多不同的實施是可能的。這些RTC的實施還允許許多不同的優化。例如，實時憑證可被實施如下x0為隨機值，如20位元組長。xi被定義為xi＝Hash(xi)。xn為以某一方式(如由SA從SA安全通信到門D)固定的公開值。接著，Xn-d為時間周期d的實時憑證RTCd。其可通過應用Hash到xn-dd次而被驗證並驗證結果是否等於xn。這實質上是RTC怎樣被實施在公鑰證書的情況中—例如，xn可被包括為證書的一部分。在此實質上使用同樣的實施也是可能的。代替將xn包括在證書內，在此我們可將其包括為Kerberos入場券的一部分。或者，我們可通過其它一些安全方式通信它，如用門D的密鑰SKD加密等。RTCd的另一可能的實施是簡單地將其設為等於Hash(SKD，RTC，d)，其中RTC指憑證ID。例如，為了使組織A能夠具有在天d對D的控制，憑證RTCADd應被使用，其中RTCADd可被設為RTCADd＝Hash(SKAD，d)。用戶U在天d訪問門D的憑證，如由組織A發出，可以是RTCAUDd＝Hash(SKAD，U，d)。該方法允許憑證正好提前特定的日期被預發出，且不授權在想要的時間周期外的任何天的訪問(即使這些是非鄰近的)。上述憑證的確認是直接的。注意，上述憑證實質上是具有適當密鑰的對稱的籤名。在所有上述憑證中，加密可被用以代替Hash。注意，我們已使系統在每一步更有效。設定機場具有1000個門、100個機構及10000個可能的工人，為了簡單，並假設控制在每天的基礎上給出。則中央機構被捲入計算每一門-用戶密鑰的Kerberos/Needham-Schroeder系統肯定每天涉及1億個密鑰。如上面所概述的系統，僅要求SA每天產生並遞送少於100000個密鑰給所有機構。在OCSP中的實時憑證我們現在描述本發明的優選實施例的實時憑證確認技術在使用開放證書狀態協議(OCSP)用於數字證書確認的環境中的使用。這表明本發明技術怎樣保持與OCSP的兼容性，同時提供較傳統OCSP實施質量上較高的安全性和可升級性。傳統的OCSP實施CRL可能變得非常大，因為它們集中提供關於許多證書的廢除證據(因而，及間接地，有效性證據)。比較地，OCSP為單個的證書提供有效性證據。OCSP服務通常由OCSP響應者實施。這樣的響應者為伺服器，其在從客戶(aka證書信任方)接收關於由特定CA發出的特定證書的有效性的問題的基礎上，提供指示證書狀態和回答時間的數字籤署的回答。為實現此，對於OCSP響應者而言，知道所有CA的證書的狀態是必須的，因為只有CA可廢除其自己的證書。如果OCSP響應者為CA自身，這樣的知識被很一般地獲得。否則，必須採用一些其它形式來使OCSP響應者保持關於CA的證書的狀態的更新。例如(cfr，美國專利號5,717,758，基於證明的證書廢除系統)，CA可將其最近的CRL發送給響應者，且響應者可請教籤署的文檔以推斷感興趣的證書當前是有效還是已被廢除，且在其籤署的響應中，同樣指明時間及下一更新的時間。(在此，該更新時間與CA的下一CRL的日期一致是自然的，因為CRL可觸發不同的響應。)當然，懷惡意的響應者可提供關於特定CA的證書的假的籤署的回答，有或沒有請教後者的CRL。對於證書信任方，要安全地依賴於OCSP響應者關於特定CA的證書的數字籤署的回答，OCSP設想CA提供一響應者證書給響應者，一特殊的數字證書—由CA籤署—其實質上向其它方證明CA委託響應者提供關於其證書的準確證據。注意，對於該工作過程，每一OCSP響應者(及每一CA)必須具有秘密籤署的密鑰，且該密鑰必須被保護(理想地，通過將其放置在電子庫或伺服器在電子庫中使用它)。圖2示出了在繁瑣的OCSP環境中的事務處理順序。秘密籤署的密鑰被保護的事實通過將它們置入粗的「邊線」而被強調。在籤署的數據的情況下，籤署者的名字被立即指示在下面。該圖示出了該事務處理的各個PKI敏感的組成，如陰影框所示。發證機構自身具有私鑰SK1，其必須被保持安全的以防止未經授權的證書發出和廢除。該密鑰被用於籤署CRL，其被公布給OCSP響應者。響應者1A的密鑰也必須被保持安全的，並被用於籤署響應者1A的OCSP響應。OCSP的缺點缺點1計算數字籤名是計算集中的運算。由響應者基於每一響應創建的數字籤名在請求時產生，且是到目前為止確認運算的計算最集中的部分其可容易地在任何地方增加從50毫秒到1秒的時間到事務處理時間。即使響應者緩存其關於數字證書C的數字籤名，並接著當詢問C時發送同一籤名，直到下一更新，對詢問C的第一用戶的回答將被大大延遲。缺點2通信(與集中的實施)假設單個確認伺服器以集中的方式實施OCSP。則所有證書有效性詢問將實際上不得不發送給它，且伺服器將是導致相當的擁塞和延遲的主要「網絡瓶頸」，如圖3中所示。如果巨大數量的誠實用戶突然詢問伺服器，則中斷的「拒絕服務」將可能發生。缺點3安全性(如果是分布式的實施)為防止集中的OCSP實施可能導致的瓶頸問題，CA可考慮分布由其證書產生的請求負載，其通過將它分布在幾個OCSP伺服器中(其適當地證明)。一般而言，分布單個伺服器的負載到幾個伺服器(如100個)，戰略地位於全球各地，將減輕網絡擁塞。然而，在OCSP情況下，負載分布產生比其解決的問題更壞的問題。為了將其響應加到其接收的證書詢問，100個伺服器的每一個均應有其自己的秘密籤名鑰匙。因而，危及100個伺服器的任一伺服器均將危及整個系統。如果傳統的OCSP響應者被危及安全，攻擊者可做下述三件事之一。第一，其可阻止響應者發出任何響應。這種類型的攻擊在證書信任方是可檢查的，因而不是太嚴重。第二，其可使用已發現的秘密籤署的密鑰籤署響應，其指明合法的證書已被廢除。第三，最具破壞性地，其可使響應者產生籤署的響應，其指明廢除的證書依然有效。這種類型的假肯定響應可允許已終止的僱員重新有權使用系統等。防止響應者被危及的最好辦法是使其從安全的電子庫運行，具有24×7的監視等。不幸地，這是成本高昂的選擇。真正安全的電子庫，滿足財務CA需要的所有要求，可能需花費$1M以上來建立及$1M/年來運行。即使願意付出這樣的費用，電子庫也不能在一夜建成！如果CA需要幾個電子庫來減輕其當前響應者的負載，在新電子庫建成以前其不得不等上幾月。此外，即使幾個昂貴的電子庫已在合適的位置，它們還可能是不安全的。這是因為OCSP機制要求響應者接收來自不信任的源的請求，並使用其秘密籤署的密鑰服務它們。因而存在這樣的可能性，懷惡意的代理更喜歡探索作業系統下面的任何弱點並因而將秘密籤署的密鑰暴露以通過裝甲的混凝土牆鑽空子。總之，如果沒有電子庫或足夠昂貴的周界保護響應者，則危及安全的可能性非常高，但即使真正安全的建築容納響應者，響應者還可能受軟體攻擊對於老練的數字敵人，OCSP機制使電子庫看起來非常像具有「窗口」的料倉。缺點4信任流OCSP在服務源自不同安全領域的證書有效性請求時有困難。在圖4所示的想定中，由組織#1運行的響應者能夠提供關於來自CA#1的證書的狀態的響應，但由另一組織運行的響應者則可能沒有足夠的信息來提供關於「外來的」證書的響應。例如，由發證機構CA2運行的響應者2A不知道怎樣回答關於CA1的證書的請求。源自缺乏特定的知識的這個問題可以下述兩種方式之一提出。第一，來自組織#2的證書信任方可發現來自組織#1的響應者向它們詢問來自CA#1的證書的狀態。然而，這限制了性能，因為來自組織#1的響應者可能在地理上遠離於組織#2中感興趣的證書信任方，這樣，網絡時間可大大減慢整個確認過程。第二是允許來自組織#2的響應者做出關於來自組織#1的證書的響應，通過使CA#1轉發其CRL到「外來的」響應者。這確實不引起安全威脅，因為CRL是數字籤署的，並因為CA希望通知最大可能的受眾關於其自己的證書的有效性。這向組織#2的響應者提供了足夠的信息以用於回答來自證書信任方的關於CA1的證書的請求。但對於證書信任方，要真地認真地採用響應者2A的數字籤署的回答，CA1還應證明響應者2A對回答其自己的證書的有效性詢問是可信賴的。整個過程如圖5所示。該方法提供了較好的可升級性和性能，但其弄混了兩個組織之間的安全性和信任流。在上述例子中，響應者#2A權威地響應於證書信任方CA#1的證書#321還是有效的。因為任何原因(錯配置、敵方攻擊、或直接欺騙)做出不正確的響應，響應者2A可導致對來自組織#1的用戶不利的結果。通過允許響應者#2A做出關於其自己的證書的權威聲明，組織#1放棄其先前保有的某些信任。作為例子，設想組織為信用卡發行者。銀行#1廢除了用戶#321的卡證書，且其支付以確保其響應者是安全的和可靠的。來自銀行#2的響應者被錯配置，使得當商人證書信任方詢問用戶#321的有效性時，它們錯誤地響應該用戶有效。商人接受該回答並允許被廢除的用戶的交易進行。組織之間的這種類型的信任委託在某些情況下是可接受的，但其對傳統的OCSP的任何大規模按級調配不總是有用的。在OCSP中的實時憑證根據上述問題，我們希望提出另外的證書確認系統，實時憑證(RTC)，其在保持與當前的OCSP標準的兼容性的同時，解決了傳統OCSP的所有上述缺陷。RTC技術不同於傳統的OCSP，因為1.其不委託信任給外來的響應者；2.其將所有確認信任集中到單一機構(RTC機構)；還有3.其將來自該單一機構的詢問負載分布給任意數量的未受保護的響應者；4.即使在依賴於數千響應者的分布式實施中其也不降低安全性(即使這些響應者未受保護)；5.其引人注目地改善了對詢問的響應時間。這在安全性、性能、可升級性及非均勻性方面對傳統OCSP提供了根本的改善。RTC系統包括下述步驟CA證明RTCA新系統以RTC機構(RTCA)為中心。這是一個可以或可不與特定組織的CA一致的實體。優選地，每一CA提供其自己的具有特殊證書的RTC，RTCA證書。CA最好數字地籤署該證書，指明其委託且確實授權RTCA提供關於其自己的證書的有效性信息。該證書可結合特定的驗證密鑰PK(對於其，RTCA擁有相應的秘密籤署的密鑰)到RTC機構(如由特定的標識符、OID號識別)並以某些方式指明證書實質上給予RTC狀態，並可包括其它傳統的證書信息和格式。在兩個實體一致的情況中，具有不同的籤署密鑰對它們還是有利的，有效地使得在任何情況下，CA僅發出證書及RTC機構僅管理它們(即，證明它們有效或被廢除)。存在這樣的情況，即使CA和RTCA一致，RTCA證書依然可被採用。優選地，每一CA具有唯一一個RTC，儘管用於冗餘的目的，具有一個以上可能是有利的，無論是否使用同一籤署的密鑰。RTCA保護其籤署的密鑰RTCA必須保護其籤署的密鑰，例如，藉助於電子庫或安全設施。(然而，如我們將看到的，對於證書確認目的，沒有必要需要另外的電子庫)。RTCA可位於同一受保護的設施中，一個以上的伺服器嵌入其秘密籤署的密鑰，或者安全地保存(如，在銀行的安全保險箱中)密鑰的拷貝，或招待一個以上的伺服器，每一伺服器具有由CA適當證明的秘密籤署的密鑰。CA通知RTCA其證書的狀態。例如，其以在線/實時的方式保持對證書有效性的任何變化的評價(發送消息通知RTCA證書狀態的變化，只要其發生)。或者，當產生時，其可發送其CRL給RTCA。RTCA獨立於任何請求，單獨籤署給定時間間隔的每一證書的有效性狀態最好定期地(或在一連串日期的任何日期)，基於其當前確認知識(如基於CA的最新CRL)並獨立於任何證書信任方請求，RTCA處理其CA的每一顯著地證書，並數字地籤署陳述該證書狀態的聲明。因此，結果攜載指明用於該證書的下一更新的時間組成。如果RTC的周期取決於發出CA發出的CRL，更新時間可以是下一CRL的時間。時間組成還可指明用於處理中的CRL的發出時間。因此，實質上，RTCA預計算數字籤名，其指示每一證書在給定時間間隔T的狀態(如從最新CRL的日期---或從足夠近的日期---到下一CRL的日期---或到足夠近的日期，在任一情況下，允許足夠的時間來處理所有必要的信息)。該預計算獨立於任何關於證書的證書信任方請求執行。事實上，優選地，RTCA在時間間隔中進行的任何關於證書狀態的詢問之前預計算所有籤署的證書狀態的聲明，或完全在時間間隔之前。特別地，RTCA可早於T開始1分鐘而預計算所有其籤署的關於時間間隔T的聲明。這樣做將不與CRL「同步」的事實不太嚴重。CRL本身不是實時的，關於證書廢除的信息及證書已被廢除的原因可能需要相當多的時間。例如，用戶可認識到，其密鑰已被危及安全並因而在該事實之後1天請求其自己的證書被廢除。因而，在任何情況下，證書以1天的延遲被廢除。優選地，RTCA籤署的證書有效性的聲明為標準的OCSP格式。即，實質上，RTCA最好預計算OCSP-響應於尚未被產生的OCSP請求。這是重要的，因為OCSP軟體已經在合適的位置，且其不需要修改任何現有的證書信任方軟體的情況下可非常方便的利用RTC系統。RTCA發送其預計算的有效性狀態的籤名給未保護的響應者在預計算該籤名後，RTCA使其可用於其它方，包括證書信任方(如，響應於它們的請求)，但是，特別地，發送給響應者。這些響應者不需要被保護。實際上，它們處理RTCA籤署的消息，且這些不能以不可檢測的方式而被實質上修改或改變。事實上，RTCA可容易地發送它們給外來的響應者(響應者屬於其它組織)。RTCA可有助於響應者處理其籤名，其通過將它們以適當組織的方式呈現給響應者。例如，其可根據證書序列號排序呈現其籤署的證書有效性狀態，或以任何方式，或確保每一籤署的數據具有同一或適當接近的長度等。為確保所有有關的預計算的響應已被接收，RTCA可籤署並註明其響應的整體的日期(如，所有這些關於同一時間間隔和CA)。此外，RTCA最好將其自己的RTCA證書發送給其響應者。該傳輸不必在每次更新時均發生。特別地，其可僅在開始的時候執行。響應者保存RTCA預計算的籤名響應者將所接收的預計算的RTCA的籤名保存足夠的時間。優選地，如果這些籤名關於給定時間間隔T，它們保存它們至少直到T的結束。優選地，響應者(特別是那些與RTCA屬於同一組織的響應者)可以是主動的並檢查它們已正確和及時地接收適當的RTCA籤名。例如，響應者可(1)驗證預計算的關於時間間隔T的響應已在T的開始被接收(或其它關於T的適當的時間)；(2)驗證所接收的RTCA籤名(及可能適當的RTCA證書)；(3)驗證其是否已接收所有籤名(如少於預期數量的籤名，比最終傳輸的籤名少等)；(4)驗證其是否已接收先前被聲明廢除的證書的有效性的RTCA籤署的聲明；等。如果任一問題均被檢測，其可通知RTCA或另一適當的實體。證書信任方向響應者詢問有效性狀態信息證書信任方向響應者詢問證書的有效性狀態，它們使用OCSP格式用於它們的請求。響應者以預計算的響應回答詢問當詢問給定證書的有效性時，響應者從存儲器取回RTCA預計算的用於該證書的回答並將其返回。響應者還可轉發已籤署預計算的響應的RTCA的適當證書。證書信任方驗證預計算的回答(及RTCA證書)證書信任方處理接收響應以確認感興趣的證書的有效性狀態。優選地，如果響應為OCSP格式，它們使用OCSP軟體用於該處理。優選地，它們驗證適當的RTCA證書。通過該申請，應該理解的是，證書可以是不同類的證書，CA證書及CRTA證書的當前有效性的證據可被添加及驗證，只要需要。圖6示出了RTC系統RTC系統的優點RTCA定期產生CA的所有當前證書的數字籤署的有效性聲明(證據，因為該聲明不能被偽造)，並將它們分發給任何感興趣的響應者。(每一證據最好被構建為句法正確的OCSP響應，由RTCA私鑰籤署。)當證書信任方詢問證書的狀態時，RTC響應者能夠返回其已緩存的相應預產生的響應。證書信任方可驗證RTCA的籤名。(此外，其還可驗證RTCA的證書，以確保其正與特定CA的可信RTC機構打交道。當然，這樣的所有其它證書可以是不同類的。)優點1計算數字籤名是計算幾種的運算。但RTC系統將該困難集中於單一伺服器(實體)上RTCA。因此，非常容易和相對便宜的給給單一的實體裝備以足夠強大的計算機以處理所有要求的數字籤名。對比地，RTC響應者僅執行微不足道的計算。它們實質地(1)保存RTCA籤名及(2)僅響應於證書信任方詢問執行取回-轉發操作。因此，它們可被實施以非常便宜的硬體。因此，總RTC成本可顯著地低於OCSP的成本。同時，響應時間非常快。事實上，非常便宜的RTC響應者用於取回並發送預計算的RTCA響應的時間相對於OCSP響應者所花的時間可以忽略不計，因為OCSP必須響應於證書信任方請求執行數字籤名。優點2通信在RTC系統中，響應者可使用微不足道的硬體且不需要是安全的。結果，RTC響應者是非常便宜的，事實上，可被大量配置。即，可總是負擔得起RTC系統的分布式實施。因此，即使在短時間內巨量的證書-有效性請求被產生，該負載可總是被擴展到許多RTC響應者，在不產生更多成本的情況下，消除了擁塞和良性拒絕服務的風險。(注意，RTCA的工作量僅取決於證書的量並受有效性狀態請求的數量的影響。因而，單一的RCA可被使用，即使預期有數以億計的有效性請求。)優點3安全性在RTC系統中，只有RTCA(包括CA，如果其是不同位置的實體)被保護。事實上，響應者不保存任何密鑰它們僅保存RTCA的數字籤名，但為了所有安全性的目的，在由RTCA計算之後其可被完全公開。對比地，每一OCSP響應者具有秘密籤署的密鑰，危及其可危及整個系統。因此，防護單點是首選的且較防護許多同等重要的點容易。此外，不像在OCSP中，證書信任方不能容易地上演軟體攻擊。事實上，RTC響應者以非秘密的信息服務證書信任方的請求。實際上，它們沒有任何密鑰並僅需要保存預計算的數字籤名。因而，即使證書信任方成功地嵌入某種特洛伊木馬詢問，其將不能暴露任何東西。其至多可暴露RTC響應者知道的所有東西，也就是說，其證書的全部和準確的帳戶是有效的且其在給定的時間間隔被廢除。及這不僅是非秘密的信息，而且甚至是發證機構願意大家普遍知道的信息，使得沒有人會不正確地依賴於其證書之一。最後，注意，軟體攻擊不可容易地由RTCA上演。實際上，儘管用於秘密籤署的密鑰，RTCA不處理來自不信任源的請求。這是因為，RTCA不回答任何不信任的請求其簡單地從CA(非常可信的源)接收輸入並定期輸出數據(籤署的有效性聲明)。因此，插入特洛伊木馬的能力將在RTC系統中喪失！換言之，在RTC系統中，不僅單一的電子庫就足夠了，而且沒有任何「窗口」。優點4信任流除了這些優點外，在OCSP上的RTC方法在涉及多個組織的不同類的PKI配置內能夠有相當的靈活性。下面的圖表示出了OCSP上的RTC可怎樣被配置在跨CA環境中。圖7示出了來自組織#2的響應者可怎樣從組織#1接替響應，而不需要從組織#1傳輸任何信任到組織#2的響應者。由於RTC響應者是簡單的、非委託的接替信息，它們可被廣泛分布和鏡像，並不降低整個系統的安全性。證書信任方詢問組織2的響應者(響應者2B)關於組織#1的證書的有效性。注意，其得回的響應令人信服的，因為其是由組織#1(RTCA1)的RTCA數字籤署的。此外，來自正確組織的直接數字籤名最好由證書信任方也得到RTCA1的證書(最好由CA1籤署)的事實確證，其保證RTCA1確實是組織1的適當的RTC機構。總之，組織#1使組織#2的響應者能夠提供令人信服的有效性證據，其用於組織#1的證書，並不放棄任何量的對其自己的證書的有效性狀態的控制。即，在RTC系統中，信任可從一組織流到另一組織，沒有任何相關的安全性或控制損失。優點5安全的不均勻性圖7示出了極端的情況，其中響應者被對待為明顯的網絡基礎結構而不是堅毅的信任點。其示出了使不同類的響應者能夠安全構簡單RTC的極端情況，其能夠從許多源服務關於證書狀態的請求。這類似於由網際網路的DNS基礎結構提供的服務，因為其允許不同類的命名伺服器的收集，其顯然地發現和緩存詢問的有效響應。該非均勻性是RTC系統相對於傳統的OCSP的一個顯著優點。其允許很廣範圍的組織相互工作，使得來自不同組織的證書信任方可以安全的、可靠的、有效的方式交互確認來自其它組織的證書。實時憑證(RTC)是成本低的、安全的、可升級的、及完全有效的證書確認系統。RTC可(1)提供選擇給開放證書狀態協議(OCSP)，及(2)在OCSP內工作並增強OCSP。RTC系統甚至在行使與OCSP標準保持兼容性的選擇時，提供相對於OCSP的顯著優點，以提供質量高的安全性和可升級性。RTC最優化2方對3方證書確認U為具有證書Cu的一方。作為與V方交易的部分，U可發送Cu給V(除非V已經有了)，並可能執行另外的任務(如展示關於在Cu中證明的公開驗證密鑰的數字籤名，其屬於U或通過解密隨機挑戰加密識別)。為了交易安全，V可確認Cu的當前有效性並使有效性詢問到達RTC響應者。響應者可回答該詢問，其通過取回並返回最近的RTCA籤署的關於Cu的聲明。然而，詢問RTC響應者使3方交易而不是2方交易，從而增加了所希望的U-V交易時間。由於其是可預知的時間間隔，RTC可值得注意地幫助。即，U方可在每一時間間隔T的開始接收Cu在T期間均有效的RTCA籤署的聲明Du。U可響應於到其的請求接收Du或可被推以Du。在每一情況下，在間隔T期間與V交易，U可轉發Du給V，除了交易所必需的所有其它步驟或任務之外。因此，U-V交易被顯著地加速，因為V為了確認U的證書的當前有效性，不必調用任何第三方。在某種意義上，儘管「全部時間」，其包括U獲得Du，不可被加速，U-V交易將是。注意，不需要在全部時間中保存，僅加速U-V交易依然是有價值的。事實上，假定RTCA聲明在午夜被計算並指明全天為它們的時間間隔。接著，U可在該天前期獲得Du(當沒有真正的壓力存在時)，並接著在工作小時期間進行的時間敏感的U-V交易期間將其轉發給V，當節約時間可能是實質的時。此外，效率被獲得，在獲得和緩存Du之後，如果U在與幾方(如100)交易時將其在全天轉發。這種方式下，例如，單一證書信任方詢問成功地替換100個證書信任方請求。注意，該優化還可由V方實現。即，在從RTC響應者獲得響應Du之後，響應於關於U方的證書Cu的有效性的詢問，V方可將Du給予U或使Du可用於其它方使用。該優化也可應用於優選的、RTC的與OCSP相容的實施中。實際上，我們建議也應用類似的優化到傳統的OCSP實施中。即，用戶請求並獲得關於其自己的證書的OCSP響應，接著將該OCSP響應作為其交易的部分在適當的時間間隔轉發給其它交易方。或者，當由證書信任方第一次詢問U方的證書Cu的有效性時，OCSP響應者計算其響應Ru，將其返回給詢問的證書信任方，且還將其轉發給U，使得U可緩存它，至少一段時間，及可將其作為其基於Cu的交易的部分轉發。有幫助的證書確認注意，RTC系統可使用在單個證書中發現的數據實施，從而節約另外的證書和/或響應長度。如我們已看到的，CA可發出RTCA證書，其授權特定RTCA提供關於其自己的證書的有效性的權威回答。理想地，該RTCA證書指明必需被用於驗證RTCA籤署的響應的公鑰。然而，CA可將該RTCA嵌入在其自己的證書內。即，CA(具有適當的格式，OID等)可包括在證書Cu中，同樣，應被用於驗證關於Cu的有效性的數字籤署的響應的公鑰PK。這種方式下，證書信任方不需接收單獨的RTCA證書。當向RTC響應者詢問最新的Cu的有效性證據時，其僅可獲得RTCA籤署的響應。事實上，Cu在其內指明公開的驗證密鑰，證書信任方可使用其用於驗證Cu的有效性證據。這可產生顯著的傳輸節約及存儲節約。類似地，證書Cu可指明其自己的時間間隔。在這種情況下，RTCA響應不需指明間隔T的開始和結束。或者，如果證書具有包括全天的有效性間隔是清楚的，則不需要該信息在證書內指明，且在RTCA響應應用中也實現了同樣的節約。單獨廢除在特定證書C的有效性或中止的RTC證據應指明時間間隔的同時，廢除的證據不必指明任何時間間隔其有能力及時指明單一的點。實際上，不像有效性和中止，傳統的廢除是不能取消的過程。因而，單一的廢除時間rt可有能力用於證明廢除的證書。且rt不必是任何時間間隔T的開始。因此，一旦被永久廢除，RTCA不必在所有更新的日期發送C的廢除證據。原則上，廢除證據可被發送一次並接著由RTC響應者緩存並在證書信任方詢問關於C時被返回。注意，RTCA在證書C已被廢除時可被立刻通知。例如，在時間間隔T的中間，其中RTCA已經產生並轉發C的有效性證據給RTC響應者。當然，在下一更新之前，不會為C計算這樣的有效性證據。因而，較好的計數器測量包括使廢除證據優先於有效性證據。即，誠實的證書信任方在某一時間間隔T既看到C的有效性證據，又看到C的廢除證據(在時間t)，並將C當作廢除的(在時間t後)。然而，某些證據信任方可能永遠不會看到這樣的廢除證據，因而C在T結束之前可能被認為依然有效。如我們所看到的，這樣的問題是不可避免的，在這種意義上，及時在傳統的OCSP中，C的廢除新聞需要一定的時間才能到達響應者，且其可能需要花更長的時間來認識到C應被廢除。但是，這些問題可通過使RTCA計算並發送C的廢除證據給所有RTC響應者而被減輕，只要其獲悉該廢除。所有正常運行的RTC響應者接著將從存儲器擦除C的任何有效性證據並用新近接收的廢除證據代替。這種方式下，自那時起，它們將向證書信任方提供關於C的有效性的準確證據。系統一般性CA/RTCA/響應者/參與方/用戶可以是任何實體(如個人、組織、伺服器、設備、電腦程式、計算機文件)或實體的集合。證書應被解釋為包括所有種類的證書，及特別地，包括分級的證書及平面證書(cfr.美國專利號5,420,927，組合於此以供參考)。有效性狀態和有效性狀態證據卡包括用於分級的證書的有效性狀態和有效性狀態證據。驗證證書C的有效性可包括驗證CA證書的有效性，對於具有發出的C的CA而言，及驗證CRTA證書的有效性，對於提供籤署的關於C的有效性狀態的響應的RTCA而言。儘管傳統地，證書是數字籤署的文檔，其將特定的密鑰結合到特定的用戶，下面的美國專利5,666,416(組合於此以供參考)，證書應包括所有種類的數字籤署的文檔。例如，充作CA的賣主可通過數字地籤署其價格列表而證明它(可能連同日期信息)。該證書的有效性狀態同樣是至關重要的。例如，賣主可能想要證明價格列表的當前有效性。因而客戶可能希望確認價格列表文檔的當前有效性。特別地，對於證明網頁的當前有效性，RTC系統是理想的選擇。事實上，產生當前有效性證據的RTCA可在網頁本身後面保存。(在這種情況下，則一方可被認為是計算機文件。)發送數據D(給X方)應被解釋為包括使D可用(或使X接收D)。具有實時確認的三因素鑑別下述為具有實時確認和廢除的有效的三因素鑑別，其被執行以沒有在證書信任方連接基礎結構。這可工作於物理訪問應用如門或邏輯的應用如文件或應用訪問。下面描述的一物理訪問想定。其它應用很容易由本領域技術人員從該模型推及。例161.用戶具有保存在無線設備上的憑證(物理權標)。該權標最好具有安全保存數字證書和私鑰的能力。優選地，權標具有長距離(WAN)連接方法(如GPRS、SMS、尋呼、CDMA、GSM等)及短距離(PAN)連接方法(如藍牙、IR、RF等)。權標還可具有一個或多個另外的鑑別因素(用於PIN的鍵座或生物測定特徵讀取器)。該例子假定權標為藍牙行動電話。2.門具有帶有能夠執行標準PKI操作的小CPU的控制面板，且短距離(PAN)連接方法被用於該物理權標。這個例子假定藍牙使能的計算機類似於我們的標準演示門。3.用戶被提示將PIN號碼輸入到其行動電話內(或輸入其自己的生物測定信息，如果生物測定信息讀取器可用的話)。該提示可一天發生一次，用戶試圖第一次通過門時，每幾個小時一次，隨機地，基於特殊的SMS消息的接收。PIN(或生物測定信息)用作第二鑑別因素(第一因素為電話上的證書)，並「解鎖」電話以用在物理訪問應用中。4.一旦用戶在門的範圍內(對於藍牙，30英尺)，電話及門相互認可並開始初始的鑑別及確認順序4.1(可選的)門通過經藍牙將門的證書發送給電話而向電話確認其自己。電話使用我們的任一標準方法檢查證書並確認門。這解決了「欺詐讀卡機」的問題並在電話公開任何信息之前確保門是合法的讀卡機。4.2電話將用戶的證書發送給門，其包含用戶的生物測定信息細節。電話還發送RTC證據(優選地，或確認權標，即20位元組有效性證據，或分布OCSP證據)以證明其當前有效性。證據先前已經WAN以正常的CoreStreet方式接收，如1997年9月9日授權的、題為「證書廢除系統」的美國專利5,666,416所描述的。4.3門以正常的RTC方式鑑別並確認用戶的證書。門可在當前範圍內(多個僱員可能在門的附近)對多個(甚至所有)電話進行上述工作。5.在用戶到達門時，先前的步驟已被完成。用戶在安裝在門上或門附近的讀取器上掃描其指紋(或其它生物測定特徵)。門將生物測定特徵細節與保存在範圍內的所有確認的證書中的數據進行匹配。如果生物測定特徵匹配，則門打開。否則，門保持關閉。其具有下述優點1.強大的鑑別(在該例子中為3因素，還可能更多)2.對用戶很清楚的(僅走近門並打開它，沒有卡或PIN號需被記住)3.實時廢除和確認4.在任何門沒有連接基礎結構被要求—可在30000英尺或在海洋的中間進行5.可被建立以標準的硬體和軟體組件步驟4.1是有單獨的利益的獨立發明，因為其解決了現有的問題(如由國防部識別)，對於這些問題，除此之外尚無其它解決方案。該方案可被擴大，其通過使「廢除證據或服務登錄行進到和/或自其它人的卡/電話到分離的門」實現。保護移動計算資源本發明的優選實施例基於20位元組的、不可偽造的、公開的「證據」。20位元組證據通過使用稱為散列的單向函數而密碼地保護。該方法很簡單，不需要加密且不使用數字籤名。這些特性使該技術可理想的用於大規模配置(規模上1億)；帶寬有限的應用(如無線應用)；離線確認(即不要求網絡連接)。膝上型電腦偷竊是一個嚴重的問題，其強加了置換成本、降低了生產率、丟失不可恢復的數據。失去對敏感/機密數據的控制(敏感的運行信息、對客戶的建議、電子郵件、日曆、聯繫表、未決的合併、新產品IP、戰略、及投放計劃、財務運算結果、秘密的賠償信息)，並丟失了網絡和基礎結構的細節(如用戶名&密碼、撥入號、IP位址配置、DNS命名規則、及主要的郵件服務)。在一實施例中，本發明提供用於租用，即許可使用指定的時間，其中租期是可配置的參數。本發明的技術加強了有效「租用」的出現。租用為20位元組，不可偽造的「公開權標」有效的權標，中止權標及廢除權標。新租用被自動接收。計算機可以被暫時禁用，且系統管理員或用戶可恢復膝上型電腦。計算機由系統管理員使用可能的防禦可被永久的禁用。圖8示出了根據本發明的一實施例的系統運行。只要設備還有權，有效的租用權標由中央機構1天產生1次。在受保護的設備上得到有效的租用權標可以許多方式實現並對終端用戶是非常清楚的。如果設備被竊取，將發生兩件事有效租用權標中止產生(沒有辦法能夠延伸超出當天的使用)；廢除權標被傳播到網絡(任何連接實施設備立即不可用)。被偷竊的設備在以下時間內被關閉幾秒(最好的情況，如果實現推能力)；幾小時(一般情況，只要進行任何網絡連接)；一天(最壞的情況，沒有連接可能)。系統保護免遭任意的竊賊及內部竊賊的破壞。偷竊設備沒有任何意義，因為硬體不可用；軟體不可用；及數據不可讀。類似於某些卡式無線電品種，只要被偷竊其不再可用，因此阻止偷竊。有效性權標通過下述方法遞送有線網絡；無線網絡；SMS無線「推」；尋呼系統；經紅外埠的手持電話/PDA；藍牙設備；手動型的經另外的通道接收(如，″7G9LTC77U8QLS2PSQK2QEN9VPXXHXPUL″)如經傳真、電子郵件、電話呼叫。圖9為被偷竊的計算機時線的示意圖。另外的保護方法可被使用，包括用於保護的物理錨；用於重新獲得並作為威懾的資產跟蹤服務；運動敏感元件及警報以作為威懾；訪問密鑰作為威懾及訪問控制；用於重新獲得並作為威懾的跟蹤軟體；及其僅保護數據的數據加密，潛在的攻擊及結果包括移除/包圍軟體如果有「管理特權」則可能的，但在廢除後極難。可選的BIOS/硬體反措施，其提供幾乎100％的保護。替換/重新格式化硬碟所有安全的數據丟失，及可選的BIPS/硬體鉤以防止驅動器替換。將硬驅移到另一機器以讀數據數據可被加密。阻止廢除權標的接收拖延膝上型電腦的運行，直到租用期滿(最壞的情況)。根據在此公開的本發明的實踐或說明，本發明的其它實施例對本領域的技術人員而言是顯而易見的。說明書及其中的例子進應被視為示例性的，本發明具有的真實範圍和實質將由下述的權利要求指出。權利要求1、一種用於實體A控制至少一用戶U訪問至少一不連接的門D的方法，門D具有確定當前時間的裝置，包括步驟對於一日期序列的每一時間間隔d，使A產生數字籤名SIGUDd，其指明用戶U在時間間隔d期間可訪問門D；使得U在時間間隔d期間接收用於呈現給門D以通過D的SIGUDd；使U將SIGUDd呈現給門D；及在驗證下述兩項後使D打開(i)SIGUDd確實是指明U在時間間隔d可訪問門D的A的數字籤名，及(ii)當前時間確實在時間間隔d內。2、根據權利要求1所述的方法，其中U具有用戶卡及D具有與機電鎖連接的讀卡機，且其中U通過將SIGUDd保存在其卡中而接收SIGUDd，並通過使其卡由D的讀卡機讀取而將SIGUDd呈現給D。3、根據權利要求1所述的方法，其中A使得SIGUDd在時間間隔d期間可由U接收，其通過將SIGUDd置入U可訪問的資料庫中實現。4、根據權利要求1所述的方法，其中SIGUDd是公鑰籤名，且其中D保存A的公鑰。5、根據權利要求1所述的方法，其中D還驗證關於U的身份信息。6、根據權利要求1所述的方法，其中關於U的身份信息由下述至少之一組成PIN及對D的挑戰的回答。7、在具有實體A、至少一不連接的門、及用戶擁有用戶卡以訪問門的訪問控制系統中，一種用於不連接的門D的方法，其向A指出特定用戶U試圖訪問D，包括步驟使D從U接收信息IU，其指明U希望訪問門D；使D至少暫時保存IU；及對於至少一隨後的用戶V，使D使得V至少暫時將IU保存在V的卡中以用於呈現給實體A。8、根據權利要求7所述的方法，其中V將IU呈現給A，其通過將IU轉移到A可訪問的資料庫或將信息傳輸到A實現。9、根據權利要求7所述的方法，其中IU包括下述至少之一(i)提供給U的用於訪問門D的信息，及(ii)由U產生以訪問D的信息。10、根據權利要求7所述的方法，其中IU包括由U產生的數字籤名。11、根據權利要求7所述的方法，其中IU包括U的數字籤名。12、一種控制物理訪問的方法，包括檢查實時憑證，其中實時憑證包括固定的第一部分及定期修改的第二部分，其中第二部分提供實時憑證為最近的憑證的證據；通過在第一部分上執行一運算並將結果與第二部分比較而驗證實時憑證的有效性；及只在實時憑證被驗證為有效憑證時才允許物理訪問。13、根據權利要求12所述的方法，其中第一部分由機構數字地籤署。14、根據權利要求13所述的方法，其中機構提供第二部分。15、根據權利要求14所述的方法，其中第二部分由機構以外的實體提供。16、根據權利要求12所述的方法，其中實時憑證被提供在智慧卡上。17、根據權利要求12所述的方法，其中用戶在第一位置獲得實時憑證的第二部分。18、根據權利要求17所述的方法，其中用戶被允許訪問不同於且分離於第一位置的第二位置。19、根據權利要求12所述的方法，其中實時憑證的第一部分的至少部分表示單向散列，其被多次應用到實時憑證的第二部分的一部分。20、根據權利要求19所述的方法，其中多次對應於自實時憑證的第一部分發出後所逝去的時間量。21、根據權利要求12所述的方法，其中控制物理訪問包括控制通過門的訪問。全文摘要本發明公開了一種用於通過數字證書確認過程來控制物理訪問的系統和方法，數字證書確認過程與標準證書格式一起工作，且其使發證機構(CA)能夠證明每一證書C自C的發出日期D1開始的任何時間間隔(如每天、小時、或分鐘)的有效性狀態，C的時間間隔可在證書本身內指明，除非其對所有證書是一樣的。例如，所有證書可具有1天的間隔，每一證書自發出365天後過期。假定某些初始輸入由CA提供，單向散列函數被用於計算包括在數字證書上的指定字節大小的值，並計算其它保密的且用在確認過程中的值。文檔編號G06Q20/00GK1659597SQ0381326公開日2005年8月24日申請日期2003年4月8日優先權日2002年4月8日發明者西爾維歐·米卡利,戴維·恩貝裡,菲爾·利賓,利奧·瑞森,亞歷克斯·西涅利尼科夫申請人:科爾街有限公司