專利名稱:識別碼計算的制作方法
技術領域:
本發(fā)明涉及一種提供認證服務的方法���,例如,用于與數(shù)據(jù)處理系統(tǒng)的安全交易�。
背景技術:
未公開的申請PCT/IB02/01582(代理人卷號PHUS 018056)DEVICEIDENTIFICATION AND CONTROL IN NETWORK ENVIRONMENT涉及一種家用器具控制網(wǎng)絡���,包括將一個器具連接到所述網(wǎng)絡的模塊。當所述模塊與器具相互連接時��,該模塊采用所述器具的標識符�。該器具在其例如電源插頭中包括一個標簽,該標簽帶有識別信息����,被所述模塊讀取并傳輸?shù)揭粋€控制器。該模塊本身可以具有與位置有關的識別符���,用于使能與拓撲有關的軟件應用���。
未公開的申請PCT/IB02/01015(代理人卷號PHUS018043)TASKMANAGEMENT SYSTEM涉及一種系統(tǒng),用于管理包括目標的移動的任務��。該系統(tǒng)包括附屬于該目標的一個指示器��,和檢測目標的移動位置的傳感器�����,該傳感器用于一個監(jiān)測組件�����,例如,該監(jiān)測組件用于根據(jù)傳感器輸入����,在用戶接口中產(chǎn)生和刪除執(zhí)行任務的提示符�����。在一個實施例中����,該指示器是例如連接到目標的射頻無源設備,該傳感器是傳統(tǒng)的接近傳感器��,位于執(zhí)行所述任務時所述目標將經(jīng)過的路徑上����,監(jiān)測組件是鏈接到一個PDA(個人數(shù)字助理)的家庭網(wǎng)絡的一部分。在另一實施例中��,用兩個或更多的傳感器在第一位置(起始位置)確定目標的位置和在第二位置(目的地)確定目標的位置�,和/或目標移動的方向,而不僅僅在經(jīng)過移動路徑中的一個位置時檢測目標的移動�。在該兩個實施例中���,當所述任務被執(zhí)行時,傳感器在預定位置檢測目標的出現(xiàn)/消失��,和/或目標的移動(通過檢測所述指示器)��,并向所示監(jiān)測組件提供一個信號��,指示所述任務完成��。所述監(jiān)測組件于是產(chǎn)生一個響應���,如自動消除執(zhí)行所述任務的提示符��。
在本文中稱為提示符中的ID的標識符數(shù)據(jù)��、口令����、或代碼用于要求用戶識別或認證的電子交易中的安全目的��。這樣的交易的例子包括基于使用信用卡的交易�����。另一個例子是電子銀行。另一個例子是通過互聯(lián)網(wǎng)從遠端位置登錄進公司的數(shù)據(jù)網(wǎng)絡����。另外的用途是標記(badge)訪問安全站點。
總體上�,實現(xiàn)了下列方案。用戶已經(jīng)被授予一個ID�,該ID必須被記住�,或者加密在某種令牌上,例如具有磁條的卡或固態(tài)存儲器�、諸如蜂窩電話等的CE設備等。為了執(zhí)行包含該ID的操作或交易���,要求用戶將該ID發(fā)送到一個控制計算機(如�,銀行計算機�����、電信服務提供商的計算機��、安全服務器等)��。然后該計算機比較所發(fā)送的ID與本地存儲的編碼�,以便根據(jù)匹配或不匹配作出授權決定���。
發(fā)明內(nèi)容
上述情況存在一些缺陷。例如��,ID通常是恒定的(即�,不隨時間變化),在發(fā)送過程中可能被截取��,或者包含該ID的令牌可能被盜����。第一種缺陷可以通過使用一次加密編碼來避免每次請求與服務器建立新的連接時,計算該ID的一個新值�。但是,這只能解決部分安全問題�����,因為還是可能破譯該編碼或從一個獨立的來源獲得信息�。經(jīng)過一定時間的數(shù)據(jù)收集后,很可能反推出所要求的編碼�����。一次加密編碼不能解決令牌丟失或被盜的問題。
本發(fā)明的目的是提高安全性�。本發(fā)明由獨立權利要求限定。從屬權利要求限定優(yōu)選實施例����。
在一個實施例中,發(fā)明人建議通過在用戶的個人電子設備之間分布ID的新值的計算來提高安全性�����。決定授權的服務器或計算機對同一個人設備的每個單獨用戶進行一次模擬運行��,以同步所述ID的值���。在該情況下,僅盜取一個ID編碼卡或信用卡還不夠�����,沒有其它設備或該卡的用戶����,該卡沒用。
本發(fā)明涉及使個人能夠使用唯一ID的方法���。其使得用戶的PAN(個人區(qū)域網(wǎng))的多個設備都能夠以在設備間分布的方式計算該ID���。必須判斷用戶的ID是否正確的系統(tǒng)可以通過檢查該ID是否與運行在一臺遠程服務器上的該PAN的模擬相一致來完成所述判斷��?����?蛇x地�,由PAN在不同場合產(chǎn)生的各種ID分別表示該特定用戶并對應于一個查找表中的入口�。優(yōu)選地,每個設備包括一個對應的FSM(有限狀態(tài)機)�����。該對應的FSM每經(jīng)過一個時間步就根據(jù)一個對應的數(shù)學關系計算一個數(shù)量值�。該對應的數(shù)學關系將例如在前一時間步由至少另外一個FSM計算的數(shù)量值,和由該相應的FSM計算的量估計的值的對應歷史作為參數(shù)���。該對應的數(shù)學關系呈現(xiàn)一種事實上隨機的特性���。
本發(fā)明的一個實施例是例如在個人設備上使用的軟件,用于使該設備調(diào)節(jié)一個FSM���,并與另一設備通訊�,以實現(xiàn)上述事實上隨機的系統(tǒng)。
另一實施例是例如一種用于PAN中的個人設備��。該設備調(diào)節(jié)一個FSM��,并能夠與該PAN中的另一設備通訊����,以實現(xiàn)該事實上隨機的系統(tǒng)。
另一實施例是銀行信用卡系統(tǒng)��、有條件訪問系統(tǒng)�、或另一種安全系統(tǒng)的服務程序。該服務程序判斷用戶是否有權訪問系統(tǒng)�。該服務程序運行該用戶的PAN的模擬。該服務程序可以被委托給獨立于該被保護系統(tǒng)的信托方�����,或者也可以是該系統(tǒng)整體的一部分���。
在一個更具體的例子中,本發(fā)明考慮一種分布式信息處理系統(tǒng)���,其包括一組相互作用的設備或用具�����,構成例如一個個人區(qū)域網(wǎng)(PAN)�����。這些設備最好通過短距離無線協(xié)議如Bluetooth通訊�����。所述組包括例如蜂窩電話�、數(shù)字鐘、PDA�����、車鑰匙的鑰匙鏈����、嵌入一個不明顯目標如珠寶或別針,或甚至在使用可佩帶電子設備的衣服中的電子設備等�。該組設備對每個用戶是唯一的。這些設備內(nèi)部具有有限狀態(tài)機(FSM)�。一個(遠程)控制服務器運行該組的FSM的模擬器����。每個對應設備的FSM在每個時間步計算依賴于前一步中其它設備的FSM的值以及還可能依賴于對應設備的內(nèi)部狀態(tài)(例如根據(jù)設備存儲器和I/O消息緩沖器的內(nèi)容)以及依賴于先前值的歷史的對應數(shù)值����。選擇該數(shù)學關系使其導致FSM的集合作為動態(tài)過程運轉(zhuǎn),為了實踐目的����,該動態(tài)過程被認為是非周期的隨機過程。模擬器在服務器上進行相同的工作�����。模擬器與設備FSM的結果應當相同��。一旦匹配�����,就認為該用戶為授權用戶�。一旦不匹配����,就認為該用戶為未授權的�,并可以產(chǎn)生一個告警����。所述ID值例如是由具體的一個FSM計算的當前數(shù)值,或者是來自不同F(xiàn)SM的值的組合���,或者是值的一個序列等�。
系統(tǒng)的安全性在于以下事實���,即����,黑客如果要侵入系統(tǒng)�����,則必須具有在某一步所有FSM的值的瞬時值�����,并考慮歷史來收集這些步驟的值�,并進入每個設備的內(nèi)部狀態(tài)。所有這些操作必須在一個時間步中完成���,這是一項復雜的計算任務��,特別是由于系統(tǒng)的分布特性��,幾乎是不可能的�。幾個安全層可以獨立應用或相結合,以加強系統(tǒng)的保護�、魯棒、和安全性���。
系統(tǒng)的建立可以取決于用戶在其PAN中帶有什么設備或用具��?��?梢杂靡粋€自動控制器來初始化服務器和/或相應地初始化設備。例如����,可以使用如未公開的申請PCT控制系統(tǒng)PCT/IB02/01015(代理人卷號PHUS018043)TASK MANAGEMENT SYSTEM,來判斷用戶帶有什么��。
下面參考附圖舉例解釋本發(fā)明����,附圖1中示出本發(fā)明的系統(tǒng)的圖。
具體實施例方式
在下面的討論中���,采用如下定義系統(tǒng)在PAN中考慮的設備的集合���;設備系統(tǒng)的組件,包括基于CPU的控制器�;設備狀態(tài)信息(DSI)根據(jù)設備存儲器中的規(guī)則計算的控制編碼,可能包括設備的I/O消息緩沖器�;控制服務器系統(tǒng)外的計算機,其監(jiān)視系統(tǒng)的操作���;模擬器作為FSM的分布網(wǎng)絡模擬系統(tǒng)的模擬軟件����。
附圖是本發(fā)明的系統(tǒng)100的框圖�。系統(tǒng)100包括系統(tǒng)102,如�����,一個PAN����。系統(tǒng)102包括設備104����、106�����、...�、108。每個設備104-108具有一個對應的FSM110�����、112��、...��、114����。系統(tǒng)100進一步包括控制服務器116,其運行一個模擬器118����,在軟件中模擬系統(tǒng)102的特性。模擬器118的結果與設備104-108的狀態(tài)在求值器120中比較,以判斷用戶是否被授權�����。
在第一安全層中����,模擬器118在控制服務器116上執(zhí)行����。對于每個離散的時間步,每個設備104-108的CPU計算與該設備相關的DSI���。該DSI與模擬器118所計算的對應于該設備的DSI編碼比較��。這些值之間的不匹配表示例如操作失敗或系統(tǒng)102的非法改編程序����。
Xk(t)=Fk(X1(t-1)����,X2(t-1),...�,XM(t-1),Sk,Xk(t-2)���,Xk(t-3)��,Xk(t-4)�����,...�����,Xk(t-N))是定義一個FSM的一個數(shù)學表達式����。在每個時間步t都根據(jù)該表達式計算每個設備(k)的Xk(t)值��,其中“t”是當前時間�����;“k”是設備(k)的索引或標號�����,假設設備的個數(shù)等于M(在圖示例子中,M等于3)�����,則其取值范圍為1-M�����;“Sk”是設備(k)的DSI�;“Fk”(.��,.��,.)是數(shù)學向量函數(shù)的第k個元素�����,其這樣選擇��,使得M個公式的組描述一個隨機的非周期動態(tài)過程���。
相應地�����,對于確定的“k”�,Xk(t)依賴于在前一時間步所獲得的所有設備104-108的值X,依賴于設備(k)的DSI��,以及依賴于設備(k)的值X的歷史���。所考慮的歷史的長度是由數(shù)N決定的�。模擬器118在每個時間步中利用同樣的數(shù)學關系對所有的“k”計算這些Xk(t)值����。當用戶試圖訪問要求有效的ID的系統(tǒng)(未示出)時,由設備104-118為時間點“t”計算的一個或多個值Xk(t)與模擬器118為同一時間點計算的對應值Xk(t)進行比較���。差異表示用戶沒有授權�����,或系統(tǒng)102的完整性遭到破壞����。
至少PAN上的一個設備允許與控制服務器116直接或通過一個代理(未示出)通信�����。優(yōu)選地,值Xk(t)與指定設備的標號k的指示一起被送到服務器116���,除非該標號已經(jīng)在系統(tǒng)中預定義����。為了提高系統(tǒng)的準確性和安全性�����,將產(chǎn)生的帶有一個或多個設備標號“p”以及可選地帶有一個或多個時標Tq的值Xp(t=Tq)傳輸?shù)娇刂品掌?16���?�?刂品掌?16可以拾取任何值Xp(t=Tq),以便根據(jù)由模擬器118提供的結果估算它們����。PAN與其它網(wǎng)絡之間的通訊可以利用值Xp(t=Tq)作為密鑰發(fā)生器的種籽來加密。
為了重新編程任何設備104-108�����,或為了直接發(fā)出一些額外的指令�,并對系統(tǒng)102產(chǎn)生影響���,病毒或黑客必須通過系統(tǒng)102的所有設備104-108,并必須收集所有設備104-108的要求的歷史Xk(-1)�,Xk(t-2),...��,Xk(t-N)�。由于圖2的一組公式給出的模型的估算的隨機屬性,所有這些操作都要在一個時間步中完成�����。這使得黑客對系統(tǒng)102在技術上和計算上進行不被檢測到的侵害非常困難�����。
FSM的組構成一個離散系統(tǒng)�����,該系統(tǒng)可以呈現(xiàn)有限個數(shù)的可能系統(tǒng)狀態(tài)����。理論上,由系統(tǒng)接連呈現(xiàn)的狀態(tài)可以通過上述判斷公式計算����。因此����,狀態(tài)的序列實際上并非隨機的����,除非給上述數(shù)學關系引入隨機變量。例如�,一個或多個設備104-108可以通過使一個或多個Fk依賴于它來給系統(tǒng)開發(fā)中考慮的參數(shù)提供隨機值。如果設備104包含一個蜂窩電話�,則該參數(shù)的值是例如上星期撥出或接收的電話次數(shù),該次數(shù)可能用電話間的時間間隔加權�,并在用戶需要一個ID時確定。如果設備106是一臺收音機或MP3播放器����,該參數(shù)的值是例如由播放數(shù)據(jù)的緩沖器的內(nèi)容所確定的數(shù)�。因此,為了本發(fā)明的實踐目的��,例如���,為了應用的壽命���,表述“隨機”和“非周期”應當理解為還表示看上去隨機的非隨機特性����。
應當注意���,上述實施例舉例說明而不是限制了本發(fā)明���,本領域的技術人員將能夠設計多種替換實施例,而不偏離所附權利要求的范圍�����。在權利要求中�����,置于括號內(nèi)的任何標號不應當被認為限制權利要求����。術語“包括”不排除權利要求中所列的元件或步驟以外的其它元件或步驟。在元件前面的“一”���、“一個”不排除存在多個這樣的元件�����。本發(fā)明可以利用包含幾個不同元件的硬件實現(xiàn)����,也可利用適當編程的計算機實現(xiàn)。在列舉幾個裝置的設備權利要求中��,幾個裝置可以用一個相同的硬件實現(xiàn)��。在相互不同的從屬權利要求中引用某些手段的事實并不表示這些手段的組合不能使用��。
權利要求
1.一種使用戶能夠使用唯一的識別符的方法����,該方法包括使該用戶的個人區(qū)域網(wǎng)的多個設備能夠以在所述設備間分布的方式計算該識別符。
2.如權利要求1所述的方法��,包括判斷所述識別符是否與所述個人區(qū)域網(wǎng)的模擬一致���。
3.如權利要求1所述的方法����,其中所述設備中的每一個包括一個相應的有限狀態(tài)機���;所述相應的有限狀態(tài)機每一時間步根據(jù)一個相應的數(shù)學關系計算一個數(shù)量值�����;所述相應的數(shù)學關系具有以下參數(shù)在前一時間步由至少一個另外的有限狀態(tài)機計算的數(shù)量值���;和由相應的有限狀態(tài)機計算的數(shù)量所呈現(xiàn)的值的相應歷史;所述相應的數(shù)學關系是這樣的���,使得所述數(shù)量呈現(xiàn)一種實際上隨機的特性�����。
4.在一個個人設備上使用的軟件�����,用于使該設備能夠調(diào)節(jié)一個有限狀態(tài)機����,并與另一個設備通訊��,以實現(xiàn)一個實際上隨機的系統(tǒng)。
5.一種用于個人區(qū)域網(wǎng)中的個人器具�����,該器具調(diào)節(jié)一個有限狀態(tài)機��,并能夠與該個人區(qū)域網(wǎng)中的另一個器具通訊�����,以實現(xiàn)一個實際上隨機的系統(tǒng)�����。
6.一種系統(tǒng)的服務���,該服務包含判斷用戶是否被授權訪問該系統(tǒng)����,該服務運行所述用戶的一個個人區(qū)域網(wǎng)的模擬�。
全文摘要
以在用戶的個人區(qū)域網(wǎng)(PAN)的設備間分布的方法計算ID。這些設備以無線方式通訊��。服務器運行該PAN的一個模擬�����。如果服務器和PAN計算出匹配的結果����,則認為用戶的ID是正確的,可以進行有條件的訪問����。為實用目的而在用戶的PAN設備間分布計算ID和其隨機屬性使得系統(tǒng)很難被侵入。
文檔編號G06F21/20GK1582558SQ02818218
公開日2005年2月16日 申請日期2002年9月12日 優(yōu)先權日2001年9月18日
發(fā)明者V·R·皮薩斯基, Y·E·施特伊恩 申請人:皇家飛利浦電子股份有限公司