專利名稱：用于安全保護云中的數(shù)據(jù)的系統(tǒng)和方法
技術(shù)領(lǐng)域：
本發(fā)明一般涉及用于安全保護(secure)云中的數(shù)據(jù)的系統(tǒng)和方法。本文所述的系統(tǒng)和方法可結(jié)合以下中所述的其它系統(tǒng)和方法使用共有美國專利No. 7，391，865和以下共有美國專利申請于2005年10月25日提交的No. 11/258，839、于2006年11月20日提交的 No. 11/602, 667、于 2007 年 11 月 7 日提交的 No. 11/983，；355、于 2007 年 12 月 5 日提交的No. 11/999，575、于2008年4月18日提交的No. 12/148，365、于2008年9月12日提交的No. 12/209, 703、于2009年1月7日提交的No. 12/349, 897、于2009年2月23日提交的No. 12/391，025，在此通過引用并入所有這些專利和專利申請的全部內(nèi)容。
背景技術(shù)：
在當(dāng)今社會中，個人和企業(yè)在計算機系統(tǒng)上和通過計算機系統(tǒng)進行數(shù)量日益增多的行為。包括專用和非專用計算機網(wǎng)絡(luò)的這些計算機系統(tǒng)通常存儲、存檔和發(fā)送 (transmit)所有類型的敏感信息。因此，存在日益增長的需求確保通過這些系統(tǒng)存儲和發(fā)送的數(shù)據(jù)不能被讀取或者以其它方式被損壞。用于安全保護計算機系統(tǒng)的一種常用解決方案是提供登錄和密碼功能。然而，密碼管理已證明成本相當(dāng)高，大部分幫助進行與密碼問題相關(guān)的桌面調(diào)用。而且，由于密碼通常存儲在易于通過例如蠻力攻擊不適當(dāng)存取的文件中，所以它們提供很低的安全性。用于安全保護計算機系統(tǒng)的另一種解決方案是提供密碼基礎(chǔ)設(shè)施?？偟膩碇v，密碼術(shù)是指通過將數(shù)據(jù)變換或加密為不可讀格式來保護數(shù)據(jù)。僅擁有加密的密鑰的那些人可將數(shù)據(jù)解密為可用格式。密碼術(shù)被用于識別用戶(比如，認(rèn)證)，以給予創(chuàng)建數(shù)字證書和簽名等的存取特權(quán)(比如，授權(quán))。一種流行的密碼系統(tǒng)是使用兩個密鑰的公鑰系統(tǒng)，所述兩個密鑰即，每個人都知道的公鑰和僅個人或其企業(yè)主知道的私鑰?？偟膩碇v，用一個密鑰加密的數(shù)據(jù)用另一個密鑰解密，并且沒有一個密鑰可從另一個密鑰重建。不幸的是，即使前述的典型的公鑰密碼系統(tǒng)對于安全性也仍然高度依賴于用戶。 例如，密碼系統(tǒng)例如通過用戶的瀏覽器將私鑰頒發(fā)給用戶。單純的用戶然后通常將私鑰存儲在其他人可通過開放計算機系統(tǒng)(例如，互聯(lián)網(wǎng))存取的硬盤上。另一方面，用戶可能為包含其私鑰的文件選擇很弱的文件名，例如，“key”。前述動作和其它動作的結(jié)果是使得一個密鑰或多個密鑰易于受損。除了前述損壞之外，用戶可能將他或她的私鑰存儲在用存檔或備份系統(tǒng)配置的計算機系統(tǒng)上，從而潛在導(dǎo)致私鑰副本行進通過多個計算機存儲設(shè)備或其它系統(tǒng)。該安全漏洞通常被稱為“密鑰遷移”。與密鑰遷移類似，許多應(yīng)用(最多地)通過簡單的登錄和密碼存取提供對用戶的私鑰的存取。如在前述中所提及的，登錄和密碼存取通常不提供足夠的安全性。一種提高前述密碼系統(tǒng)的安全性的解決方案是包括作為認(rèn)證或授權(quán)的一部分的生物辨識(biometrics)。生物辨識通常包括可測量的物理特性，例如，可通過自動系統(tǒng)(例如指紋模式或語音模式的模式匹配或識別)檢查的指紋或語音。在這樣的系統(tǒng)中，用戶的生物辨識和/或密鑰可存儲在移動計算設(shè)備上，從而使得可在移動環(huán)境下使用生物辨識或密鑰，所述移動計算設(shè)備例如為智能卡、膝上型電腦、個人數(shù)字助理或移動電話。前述移動生物辨識密碼系統(tǒng)仍有各種缺點。例如移動用戶可能丟失或弄壞智能卡或便攜式計算設(shè)備，從而使得他或她的對潛在重要的數(shù)據(jù)的存取完全切斷。或者，懷有惡意的人可能竊取移動用戶的智能卡或便攜式計算設(shè)備，并使用它有效地竊取移動用戶的數(shù)字憑證。另一方面，便攜式計算設(shè)備可連接至諸如互聯(lián)網(wǎng)的開放系統(tǒng)，并且像密碼那樣，存儲生物辨識的文件可易于由于用戶對安全性或惡意侵入者的疏忽而受損。

發(fā)明內(nèi)容
基于前述，存在對于提供一種在仍支持移動用戶的同時其安全性是用戶獨立的密碼系統(tǒng)的需求。因此，本發(fā)明的一方面是提供一種用于安全保護幾乎任意類型的數(shù)據(jù)不被未授權(quán)地存取或使用的方法。該方法包括解析將被安全保護的數(shù)據(jù)、將該數(shù)據(jù)分割和/或分離為兩個或更多個部份或部分的一個或多個步驟。該方法還包括對將被安全保護的數(shù)據(jù)進行加密?？稍跀?shù)據(jù)的第一解析、分割和/或分離之前或之后執(zhí)行數(shù)據(jù)加密。另外，對于數(shù)據(jù)的一個或多個部分，可重復(fù)加密步驟。類似地，對于數(shù)據(jù)的一個或多個部分，可重復(fù)解析、分割和 /或分離步驟。該方法還可選地包括存儲已在一個位置中或者在多個位置中被加密的解析的、分割的和/或分離的數(shù)據(jù)。該方法還可選地包括將安全保護的數(shù)據(jù)重構(gòu)或重新組裝為其原始形式，以用于授權(quán)存取或使用。該方法可被合并到能夠執(zhí)行該方法的期望步驟的任意計算機、服務(wù)器、引擎等的操作中。本發(fā)明的另一個方面提供一種用于安全保護幾乎任意類型的數(shù)據(jù)不被未授權(quán)地存取或使用的系統(tǒng)。該系統(tǒng)包括數(shù)據(jù)分割模塊、密碼處理模塊，可選地，還包括數(shù)據(jù)組裝模塊。該系統(tǒng)在一個實施例中還可包括可存儲安全數(shù)據(jù)的一個或多個數(shù)據(jù)存儲設(shè)施。相應(yīng)地，本發(fā)明的一方面是提供一種安控服務(wù)器或授信引擎，該安控服務(wù)器或授信引擎具有以服務(wù)器為中心的密鑰，或者換句話講，將密碼密鑰和用戶認(rèn)證數(shù)據(jù)存儲在服務(wù)器上。根據(jù)本實施例，用戶訪問授信引擎，以便執(zhí)行認(rèn)證和密碼功能，諸如，但不限于，例如，認(rèn)證、授權(quán)、數(shù)字簽名和產(chǎn)生(生成)、存儲和證書檢索、加密、類似公證的和類似委托書的動作等。本發(fā)明的另一方面是提供一種可靠的或者可信的認(rèn)證處理。而且，在可信任地肯定認(rèn)證之后，可采取大量不同的動作(從提供密碼技術(shù)到系統(tǒng)或設(shè)備授權(quán)和訪問)，以使得可使用或控制一個或大量電子設(shè)備。本發(fā)明的另一方面是在密碼密鑰和認(rèn)證數(shù)據(jù)沒有丟失、竊取或受損的環(huán)境下提供這些密碼密鑰和認(rèn)證數(shù)據(jù)，從而有利地避免連續(xù)地重新頒發(fā)和管理新的密鑰和認(rèn)證數(shù)據(jù)的需要。根據(jù)本發(fā)明的另一方面，授信引擎使得用戶可將一個密鑰對用于多個行為、賣方和/或認(rèn)證請求。根據(jù)本發(fā)明的又一方面，授信引擎在服務(wù)器端執(zhí)行密碼處理中的至少一個步驟，從而使得客戶端或用戶可僅占有最少計算資源，所述密碼處理例如，但不限于，加密、認(rèn)證或簽名。根據(jù)本發(fā)明的又一方面，授信引擎包括用于存儲每個密碼密鑰和認(rèn)證數(shù)據(jù)的部分的一個或多個貯藏器。所述部分通過數(shù)據(jù)分割處理來創(chuàng)建，所述數(shù)據(jù)分割處理禁止在沒有來自一個貯藏器中的多于一個位置的或者來自多個貯藏器的預(yù)定部分的情況下進行重構(gòu)。 根據(jù)另一個實施例，所述多個貯藏器可以是地理上遙遠的，以使得在一個貯藏器處的破壞員工或者相反受損系統(tǒng)將不提供對用戶的密鑰或認(rèn)證數(shù)據(jù)的存取。根據(jù)又一個實施例，認(rèn)證處理有利地使得授信引擎可并行處理多個認(rèn)證行為。根據(jù)又一個實施例，授信引擎可有利地跟蹤失敗的存取嘗試，從而限制惡意侵入者可以嘗試破壞系統(tǒng)的次數(shù)。根據(jù)又一個實施例，授信引擎可包括多個實例化，在所述實例化中，每個授信引擎可預(yù)測處理負(fù)荷，并與其它設(shè)備分擔(dān)處理負(fù)荷。根據(jù)又一個實施例，授信引擎可包括冗余模塊，所述冗余模塊用于對多個認(rèn)證結(jié)果進行輪詢，以確保多于一個系統(tǒng)對用戶進行認(rèn)證。因此，本發(fā)明的一方面包括一種可遠程訪問的用于存儲任意類型數(shù)據(jù)的安控密碼系統(tǒng)，所述數(shù)據(jù)包括，但不限于，與多個用戶相關(guān)聯(lián)的多個私有密碼密鑰。該密碼系統(tǒng)將多個用戶中的每個與多個私有密碼密鑰中的一個或多個不同密鑰相關(guān)聯(lián)，并使用相關(guān)聯(lián)的一個或多個不同密鑰對每個用戶執(zhí)行密碼功能，而不將多個私有密碼密鑰發(fā)布給用戶。該密碼系統(tǒng)包括貯藏系統(tǒng)，所述貯藏系統(tǒng)具有存儲將被安全保護的數(shù)據(jù)的至少一個服務(wù)器，所述數(shù)據(jù)例如多個私有密碼密鑰和多個注冊認(rèn)證數(shù)據(jù)。每個注冊認(rèn)證數(shù)據(jù)識別多個用戶之一，所述多個用戶中的每個與多個私有密碼密鑰中的一個或多個不同密鑰相關(guān)聯(lián)。該密碼系統(tǒng)還可包括認(rèn)證引擎，所述認(rèn)證引擎將由所述多個用戶之一接收的認(rèn)證數(shù)據(jù)與從貯藏系統(tǒng)接收的、與所述多個用戶之一對應(yīng)的注冊認(rèn)證數(shù)據(jù)進行比較，從而產(chǎn)生認(rèn)證結(jié)果。該密碼系統(tǒng)還可包括密碼引擎，當(dāng)認(rèn)證結(jié)果指示正確地識別所述多個用戶之一時，所述密碼引擎使用從貯藏系統(tǒng)接收的相關(guān)聯(lián)的一個或多個不同密鑰來代表所述多個用戶之一執(zhí)行密碼功能。該密碼系統(tǒng)還可包括事項引擎，所述事項引擎被連接以將數(shù)據(jù)從多個用戶路由到貯藏服務(wù)器系統(tǒng)、認(rèn)證引擎和密碼引擎。本發(fā)明的另一個方面包括安控密碼系統(tǒng)，該安控密碼系統(tǒng)可選地可被遠程訪問。 該密碼系統(tǒng)包括貯藏系統(tǒng)，所述貯藏系統(tǒng)具有存儲至少一個私鑰和任意其它數(shù)據(jù)的至少一個服務(wù)器，所述數(shù)據(jù)例如，但不限于，多個注冊認(rèn)證數(shù)據(jù)，其中，每個注冊認(rèn)證數(shù)據(jù)識別可能多個用戶中的一個。該密碼系統(tǒng)還可可選地包括認(rèn)證引擎，所述認(rèn)證引擎將由用戶接收的認(rèn)證數(shù)據(jù)與從貯藏系統(tǒng)接收的、與該用戶對應(yīng)的注冊認(rèn)證數(shù)據(jù)進行比較，從而產(chǎn)生認(rèn)證結(jié)果。該密碼系統(tǒng)還包括密碼引擎，當(dāng)認(rèn)證結(jié)果指示正確地識別該用戶時，所述密碼引擎至少使用可從貯藏系統(tǒng)接收的所述私鑰來代表該用戶執(zhí)行密碼功能。該密碼系統(tǒng)還可可選地包括事項引擎，所述事項引擎被連接以將數(shù)據(jù)從用戶路由到其它引擎或系統(tǒng)，例如，但不限于，貯藏服務(wù)器系統(tǒng)、認(rèn)證引擎和密碼引擎。本發(fā)明的另一個方面包括使密碼功能便利的方法。該方法包括將多個用戶中的一個用戶與存儲在安全位置上的多個私有密碼密鑰中的一個或多個密鑰相關(guān)聯(lián)，所述安全位置諸如安控服務(wù)器。該方法還包括從用戶接收認(rèn)證數(shù)據(jù)，并將該認(rèn)證數(shù)據(jù)與對應(yīng)于該用戶
6的認(rèn)證數(shù)據(jù)進行比較，從而驗證該用戶的身份。該方法還包括利用所述一個或多個密鑰執(zhí)行密碼功能，而不將所述一個或多個密鑰發(fā)布給所述用戶。本發(fā)明的另一個方面包括用于通過用戶的注冊認(rèn)證數(shù)據(jù)的安全存儲來唯一地識別用戶的認(rèn)證系統(tǒng)。該認(rèn)證系統(tǒng)包括一個或多個數(shù)據(jù)存儲設(shè)施，其中，每個數(shù)據(jù)存儲設(shè)施包括存儲注冊認(rèn)證數(shù)據(jù)的至少一個部分的計算機可存取存儲介質(zhì)。該認(rèn)證系統(tǒng)還包括與所述一個數(shù)據(jù)存儲設(shè)施或多個數(shù)據(jù)存儲設(shè)施進行通信的認(rèn)證引擎。所述認(rèn)證引擎包括數(shù)據(jù)分割模塊，所述數(shù)據(jù)分割模塊對注冊認(rèn)證數(shù)據(jù)進行操作，以創(chuàng)建部分；數(shù)據(jù)組裝模塊，所述數(shù)據(jù)組裝模塊對來自所述數(shù)據(jù)存儲設(shè)施中的至少一個的部分進行處理，以組裝注冊認(rèn)證數(shù)據(jù)；和數(shù)據(jù)比較器模塊，所述數(shù)據(jù)比較器模塊從用戶接收當(dāng)前認(rèn)證數(shù)據(jù)，并將當(dāng)前認(rèn)證數(shù)據(jù)與組裝的注冊認(rèn)證數(shù)據(jù)進行比較，以確定該用戶是否已被唯一地識別。本發(fā)明的另一個方面包括密碼系統(tǒng)。該密碼系統(tǒng)包括一個或多個數(shù)據(jù)存儲設(shè)施， 其中，每個數(shù)據(jù)存儲設(shè)施包括存儲一個或多個密碼密鑰中的至少一個部分的計算機可存取存儲介質(zhì)。該密碼系統(tǒng)還包括與所述數(shù)據(jù)存儲設(shè)施進行通信的密碼引擎。所述密碼引擎還包括數(shù)據(jù)分割模塊，所述數(shù)據(jù)分割模塊對所述密碼密鑰進行操作，以創(chuàng)建部分；數(shù)據(jù)組裝模塊，所述數(shù)據(jù)組裝模塊對來自所述數(shù)據(jù)存儲設(shè)施中的至少一個的部分進行處理，以組裝所述密碼密鑰；和密碼處理模塊，所述密碼處理模塊接收組裝的密碼密鑰，并用這些密碼密鑰執(zhí)行密碼功能。本發(fā)明的另一個方面包括一種方法，該方法將任意類型的數(shù)據(jù)存儲在地理上遙遠的安全數(shù)據(jù)存儲設(shè)施中，從而保護所述數(shù)據(jù)不被任意個別數(shù)據(jù)存儲設(shè)施所組成，所述數(shù)據(jù)包括，但不限于，認(rèn)證數(shù)據(jù)。該方法包括在授信引擎接收數(shù)據(jù)；在授信引擎將所述數(shù)據(jù)與第一基本隨機值組合，以形成第一組合值；將所述數(shù)據(jù)與第二基本隨機值組合，以形成第二組合值。該方法包括創(chuàng)建第一基本隨機值與第二組合值的第一配對；創(chuàng)建第一基本隨機值與第二基本隨機值的第二配對；將第一配對存儲在第一安全數(shù)據(jù)存儲設(shè)施中。該方法包括將第二配對存儲在遠離第一安全數(shù)據(jù)存儲設(shè)施的第二安全數(shù)據(jù)存儲設(shè)施中。本發(fā)明的另一方面包括一種存儲任意類型數(shù)據(jù)的方法，所述數(shù)據(jù)包括，但不限于， 認(rèn)證數(shù)據(jù)，該方法包括接收數(shù)據(jù)；將所述數(shù)據(jù)與第一組比特組合，以形成第二組比特；將所述數(shù)據(jù)與第三組比特組合，以形成第四組比特。該方法還包括創(chuàng)建第一組比特與第三組比特的第一配對。該方法還包括創(chuàng)建第一組比特與第四組比特的第二配對，并將第一配對和第二配對之一存儲在第一計算機可存取存儲介質(zhì)中。該方法還包括將第一配對和第二配對中的另一配對存儲在第二計算機可存取存儲介質(zhì)中。本發(fā)明的另一方面包括一種方法，該方法將密碼數(shù)據(jù)存儲在地理上遙遠的安全數(shù)據(jù)存儲設(shè)施中，從而保護所述密碼數(shù)據(jù)不被任意個別數(shù)據(jù)存儲設(shè)施所包含。該方法包括在授信引擎接收密碼數(shù)據(jù)；在授信引擎將所述密碼數(shù)據(jù)與第一基本隨機值組合，以形成第一組合值；將所述密碼數(shù)據(jù)與第二基本隨機值組合，以形成第二組合值。該方法還包括創(chuàng)建第一基本隨機值與第二組合值的第一配對；創(chuàng)建第一基本隨機值與第二基本隨機值的第二配對；將第一配對存儲在第一安全數(shù)據(jù)存儲設(shè)施中。所述方法還包括將第二配對存儲在遠離第一安全數(shù)據(jù)存儲設(shè)施的第二安全數(shù)據(jù)存儲設(shè)施中。本發(fā)明的另一方面包括一種存儲密碼數(shù)據(jù)的方法，該方法包括接收認(rèn)證數(shù)據(jù)，并將所述密碼數(shù)據(jù)與第一組比特組合，以形成第二組比特。該方法還包括將所述密碼數(shù)據(jù)與第三組比特組合，以形成第四組比特；創(chuàng)建第一組比特與第三組比特的第一配對；創(chuàng)建第一組比特與第四組比特的第二配對。該方法還包括將第一配對和第二配對之一存儲在第一計算機可存取存儲介質(zhì)中，并將第一配對和第二配對中的另一配對存儲在第二計算機可存取存儲介質(zhì)中。本發(fā)明的另一方面包括處理密碼系統(tǒng)中的任意類型或形式的敏感數(shù)據(jù)的方法，其中，所述敏感數(shù)據(jù)僅在授權(quán)用戶利用所述敏感數(shù)據(jù)執(zhí)行動作期間以可用形式存在。該方法還包括在軟件模塊中從第一計算機可存取存儲介質(zhì)接收基本上隨機化的或者加密的敏感數(shù)據(jù)；以及在所述軟件模塊中，從一個或多個其它計算機可存取存儲介質(zhì)接收基本上隨機化的或者加密的、可以是敏感數(shù)據(jù)或者可以不是敏感數(shù)據(jù)的數(shù)據(jù)。該方法還包括在所述軟件模塊中處理基本上隨機化的預(yù)先加密的敏感數(shù)據(jù)和基本上隨機化的或者加密的、可以是敏感數(shù)據(jù)或者可以不是敏感數(shù)據(jù)的數(shù)據(jù)，以組裝所述敏感數(shù)據(jù)；以及在所述軟件引擎中利用所述敏感數(shù)據(jù)來執(zhí)行動作。所述動作包括，但不限于，認(rèn)證用戶和執(zhí)行密碼功能之一。本發(fā)明的另一方面包括一種安全認(rèn)證系統(tǒng)。該安全認(rèn)證系統(tǒng)包括多個認(rèn)證引擎。 每個認(rèn)證引擎接收注冊認(rèn)證數(shù)據(jù)，所述注冊認(rèn)證數(shù)據(jù)被設(shè)計為達到一定程度的確定性地唯一識別用戶。每個認(rèn)證引擎接收當(dāng)前認(rèn)證數(shù)據(jù)，以與注冊認(rèn)證數(shù)據(jù)進行比較，每個認(rèn)證引擎確定認(rèn)證結(jié)果。安全認(rèn)證系統(tǒng)還包括冗余系統(tǒng)，所述冗余系統(tǒng)接收所述認(rèn)證引擎中的至少兩個的認(rèn)證結(jié)果，并確定用戶是否已被唯一地識別。本發(fā)明的另一方面包括運動系統(tǒng)中的安全數(shù)據(jù)，由此數(shù)據(jù)可用根據(jù)本發(fā)明安全保護的不同部分發(fā)送，以使得變?yōu)槭軗p的任意一個部分不應(yīng)該提供恢復(fù)原始數(shù)據(jù)的充要數(shù)據(jù)。這可應(yīng)用于數(shù)據(jù)的任意發(fā)送，無論它是有線的、無線的，還是物理的。本發(fā)明的另一方面包括將本發(fā)明的安全數(shù)據(jù)解析器集成到存儲或傳送數(shù)據(jù)的任意合適的系統(tǒng)中。例如，電子郵件系統(tǒng)、RAID系統(tǒng)、視頻廣播系統(tǒng)、數(shù)據(jù)庫系統(tǒng)或任意其它合適系統(tǒng)可具有在任意合適級別集成的安全數(shù)據(jù)解析器。本發(fā)明的另一方面包括使用任意合適的解析和分割算法來產(chǎn)生(生成)數(shù)據(jù)份額。隨機的、偽隨機的、確定性的或者它們的任意組合可被用于解析和分割數(shù)據(jù)。本發(fā)明的另一方面包括將本發(fā)明的安全數(shù)據(jù)解析器集成到在其中存儲數(shù)據(jù)或者與云計算資源傳送數(shù)據(jù)的任意合適的系統(tǒng)中。安全數(shù)據(jù)解析器可被用于安全保護存儲在云中的數(shù)據(jù)和安全保護云中提供的數(shù)據(jù)服務(wù)?？砂踩Ｗo云中的網(wǎng)絡(luò)訪問，以使用戶與興趣社區(qū)之間的安全通信便利。在一些實施例中，可將虛擬機圖像發(fā)送給用戶，以提供對云計算資源的安全訪問。本發(fā)明的另一方面包括將本發(fā)明的安全數(shù)據(jù)解析器集成到用于安全保護數(shù)據(jù)網(wǎng)絡(luò)的任意合適的系統(tǒng)中。安全數(shù)據(jù)解析器可被用于安全保護正交頻分復(fù)用(OFDM)網(wǎng)絡(luò)，諸如無線寬帶和電力線寬帶。安全數(shù)據(jù)解析器還可被用于安全保護對諸如電網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的訪問。
以下結(jié)合附圖對本發(fā)明進行更詳細的描述，附圖意在舉例說明本發(fā)明，而不是限制本發(fā)明，在附圖中

圖1示出根據(jù)本發(fā)明的實施例的方面的密碼系統(tǒng)的框圖2示出根據(jù)本發(fā)明的實施例的方面的圖1的授信引擎的框圖；圖3示出根據(jù)本發(fā)明的實施例的方面的圖2的事項引擎的框圖；圖4示出根據(jù)本發(fā)明的實施例的方面的圖2的貯藏器的框圖；圖5示出根據(jù)本發(fā)明的實施例的方面的圖2的認(rèn)證引擎的框圖；圖6示出根據(jù)本發(fā)明的實施例的方面的圖2的密碼引擎的框圖；圖7示出根據(jù)本發(fā)明的另一個實施例的方面的貯藏系統(tǒng)的框圖；圖8示出根據(jù)本發(fā)明的實施例的方面的數(shù)據(jù)分割處理的流程圖；圖9平面A示出根據(jù)本發(fā)明的實施例的方面的注冊處理的數(shù)據(jù)流；圖9平面B示出根據(jù)本發(fā)明的實施例的方面的互操作處理的流程圖；圖10示出根據(jù)本發(fā)明的實施例的方面的認(rèn)證處理的數(shù)據(jù)流；圖11示出根據(jù)本發(fā)明的實施例的方面的簽名處理的數(shù)據(jù)流；圖12示出根據(jù)本發(fā)明的又一個實施例和方面的加密/解密處理的數(shù)據(jù)流；圖13示出根據(jù)本發(fā)明的另一個實施例的方面的授信引擎系統(tǒng)的簡化框圖；圖14示出根據(jù)本發(fā)明的另一個實施例的方面的授信引擎系統(tǒng)的簡化框圖；圖15示出根據(jù)本發(fā)明的實施例的方面的圖14的冗余模塊的框圖；圖16示出根據(jù)本發(fā)明的一個方面的用于評估認(rèn)證的處理；圖17示出根據(jù)如本發(fā)明的圖16中所示的一個方面的用于將值分配給認(rèn)證的處理；圖18示出如圖17中所示的本發(fā)明的一方面中的用于執(zhí)行信任仲裁的處理；和圖19示出根據(jù)本發(fā)明的實施例的方面的用戶與賣方之間的示例性事項，在該示例性事項中，初始的基于web的接觸導(dǎo)致由雙方簽名的銷售合約；圖20示出具有將安全性功能提供給用戶系統(tǒng)的密碼服務(wù)提供商模塊的示例性用戶系統(tǒng)；圖21示出用于解析、分割和儲的處理；圖22示出用于解析、分割和儲的處理；圖23示出用于解析、分割和儲的中間密鑰處理；圖M示出用于解析、分割和儲的中間密鑰處理；圖25是本發(fā)明的密碼方法和系統(tǒng)對于小型工作組的利用；圖沈是利用根據(jù)本發(fā)明的一個實施例的安全數(shù)據(jù)解析器的說明性物理令牌安全系統(tǒng)的框圖；圖27是在其中安全數(shù)據(jù)解析器被集成到根據(jù)本發(fā)明的一個實施例的系統(tǒng)中的說明性布置的框圖；圖觀是根據(jù)本發(fā)明的一個實施例的運動系統(tǒng)中的說明性數(shù)據(jù)的框圖；圖四是根據(jù)本發(fā)明的一個實施例的運動系統(tǒng)中的另一個說明性數(shù)據(jù)的框圖；圖30-32是具有根據(jù)本發(fā)明的一個實施例集成的安全數(shù)據(jù)解析器的說明性系統(tǒng)
/或分離加密的數(shù)據(jù)并將加密主密鑰與該數(shù)據(jù)一起存 /或分離加密的數(shù)據(jù)并將加密主密鑰與該數(shù)據(jù)分開存 /或分離加密的數(shù)據(jù)并將加密主密鑰與該數(shù)據(jù)一起存 /或分離加密的數(shù)據(jù)并將加密主密鑰與該數(shù)據(jù)分開存的框圖；圖33是根據(jù)本發(fā)明的一個實施例的用于解析和分割數(shù)據(jù)的說明性處理的處理流程圖；圖34是根據(jù)本發(fā)明的一個實施例的用于將數(shù)據(jù)的部分恢復(fù)為原始數(shù)據(jù)的說明性處理的處理流程圖；圖35是根據(jù)本發(fā)明的一個實施例的用于在比特級別分割數(shù)據(jù)的說明性處理的處理流程圖；圖36是根據(jù)本發(fā)明的一個實施例的說明性步驟和特征的處理流程圖，該處理流程圖可以按任意合適的組合、任意合適的添加、刪除或修改使用；圖37是根據(jù)本發(fā)明的一個實施例的說明性步驟和特征的處理流程圖，該處理流程圖可以按任意合適的組合、任意合適的添加、刪除或修改使用；圖38是根據(jù)本發(fā)明的一個實施例的將密鑰和數(shù)據(jù)分量存儲在份額內(nèi)的簡化框圖，該框圖可以按任意合適的組合、任意合適的添加、刪除或修改使用；圖39是根據(jù)本發(fā)明的一個實施例的使用工作組密鑰將密鑰和數(shù)據(jù)分量存儲在份額內(nèi)的簡化框圖，該框圖可以按任意合適的組合、任意合適的添加、刪除或修改使用；圖40A和40B是根據(jù)本發(fā)明的一個實施例的用于頭產(chǎn)生和運動中的數(shù)據(jù)的數(shù)據(jù)分割的簡化說明性處理流程圖，該處理流程圖可以按任意合適的組合、任意合適的添加、刪除或修改使用；圖41是根據(jù)本發(fā)明的一個實施例的說明性份額格式的簡化框圖，該框圖可以按任意合適的組合、任意合適的添加、刪除或修改使用；圖42是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被集成到與云計算資源連接的系統(tǒng)中的說明性布置的框圖；圖43是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被集成到用于通過云發(fā)送數(shù)據(jù)的系統(tǒng)中的說明性布置的框圖；圖44是根據(jù)本發(fā)明的一個實施例在其中安全數(shù)據(jù)解析器被用于安全保護云中的數(shù)據(jù)服務(wù)的說明性布置的框圖；圖45是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被用于安全保護云中的數(shù)據(jù)存儲的說明性布置的框圖；圖46是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被用于安全保護網(wǎng)絡(luò)訪問控制的說明性布置的框圖；圖47是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被用于安全保護高性能計算資源的說明性布置的框圖；圖48是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被用于安全保護使用虛擬機的訪問的說明性布置的框圖；圖49和50顯示根據(jù)本發(fā)明的實施例的用于安全保護使用虛擬機的訪問的可替換說明性布置的框圖；圖51是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被用于安全保護正交頻分復(fù)用(OFDM)網(wǎng)絡(luò)的說明性布置的框圖；圖52是根據(jù)本發(fā)明的一個實施例的在其中安全數(shù)據(jù)解析器被用于安全保護電網(wǎng)的示例性布置的框圖。
具體實施例方式本發(fā)明的一方面提供一種密碼系統(tǒng)，在該密碼系統(tǒng)中，一個或多個安控服務(wù)器或授信引擎存儲密碼密鑰和用戶認(rèn)證數(shù)據(jù)。用戶通過對授信引擎的網(wǎng)絡(luò)訪問來訪問常規(guī)密碼系統(tǒng)的功能，然而，授信引擎不發(fā)布實際密鑰和其它認(rèn)證數(shù)據(jù)，因此，密鑰和數(shù)據(jù)保持安全。 密鑰和認(rèn)證數(shù)據(jù)的這種以服務(wù)器為中心的存儲提供用戶獨立的安全性、便攜性、可用性和簡單性。由于用戶能夠?qū)γ艽a系統(tǒng)執(zhí)行用戶和文檔認(rèn)證及其它密碼功能有信心或者信任密碼系統(tǒng)執(zhí)行用戶和文檔認(rèn)證及其它密碼功能，所以可將多種功能合并到系統(tǒng)中。例如，授信引擎提供商可通過例如下述方式確保不遭受協(xié)議否認(rèn)，即，認(rèn)證協(xié)議參與者，代表參與者或者為了參與者對協(xié)議進行數(shù)字簽名，并存儲由每個參與者數(shù)字簽名的協(xié)議的記錄。另外， 密碼系統(tǒng)可監(jiān)視協(xié)議，并基于例如價格、用戶、賣方、地理位置、使用地點等確定應(yīng)用不同程度的認(rèn)證。為了幫助徹底理解本發(fā)明，具體實施方式
的其余部分參照附圖對本發(fā)明進行描述，在附圖中，相似的元件始終用相似的數(shù)字指代。圖1示出根據(jù)本發(fā)明的實施例的方面的密碼系統(tǒng)100的框圖。如圖1所示，密碼系統(tǒng)100包括通過通信鏈路125進行通信的用戶系統(tǒng)105、授信引擎110、證書管理中心115 和賣方系統(tǒng)120。根據(jù)本發(fā)明的一個實施例，用戶系統(tǒng)105包括具有一個或多個微處理器的常規(guī)通用計算機，所述微處理器例如基于Intel的處理器。而且，用戶系統(tǒng)105包括合適的操作系統(tǒng)，例如，能夠包括圖形或窗口的操作系統(tǒng)，諸如Wind0WS、UniX、LinuX等。如圖1所示，用戶系統(tǒng)105可包括生物辨識設(shè)備107。生物辨識設(shè)備107可有利地捕捉用戶的生物辨識，并將捕捉的生物辨識傳送到授信引擎110。根據(jù)本發(fā)明的一個實施例，生物辨識設(shè)備可有利地包括具有與以下中公開的那些屬性和特征類似的屬性和特征的設(shè)備于1997年9月5日提交的、標(biāo)題為“RELIEF OBJECT IMAGE GENERATOR”的美國專利申請 No. 08/汜6，277、于 2000 年 4月 26 日提交的、標(biāo)題為“IMAGING DEVICE FOR A RELIEF OBJECT AND SYSTEM AND METHOD OF USING THE IMAGE DEVICE” 的美國專利申請 No. 09/558，634、于 1999 年 11 月 5 日提交的、標(biāo)題為 “RELIEF OBJECT SENSOR ADAPTOR” 的美國專利申請 No. 09/435，011、和于 2000 年 1 月 5 日提交的、標(biāo)題為 “PLANAR OPTICAL IMAGE SENSOR AND SYSTEM FOR GENERATING AN ELECTRONIC IMAGE OF A RELIEF OBJECT FOR FINGERPRINT READING” 的美國專利申請 No. 09/477，943，所有這些專利申請由即時受讓人擁有，在此通過引用并入所有這些專利申請。另外，用戶系統(tǒng)105可通過常規(guī)服務(wù)提供商與通信鏈路125連接，所述常規(guī)服務(wù)提供商例如撥號、數(shù)字用戶線(DSL)、電纜調(diào)制解調(diào)器、光纖連接等。根據(jù)另一個實施例，用戶系統(tǒng)105通過網(wǎng)絡(luò)連接與通信鏈路125連接，所述網(wǎng)絡(luò)連接例如局域網(wǎng)或廣域網(wǎng)。根據(jù)一個實施例，操作系統(tǒng)包括處理通過通信鏈路125傳遞的所有輸入和輸出消息業(yè)務(wù)的TCP/IP 堆棧。雖然參照前述實施例公開了用戶系統(tǒng)105，但是本發(fā)明并非意圖受限于此。相反，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到用戶系統(tǒng)105的多種可替換實施例，包括能夠從另一個計算機系統(tǒng)發(fā)送或接收信息的幾乎任意計算設(shè)備。例如，用戶系統(tǒng)105可包括，但不限于，可與通信鏈路125交互的計算機工作站、交互式電視、交互式展示亭、個人移動計算設(shè)備(諸如，數(shù)字助理、移動電話、膝上型電腦等)、無線通信設(shè)備、智能卡、嵌入式計算設(shè)備等。在這樣的可替換系統(tǒng)中，操作系統(tǒng)將可能不同，并且適合于特定設(shè)備。然而，根據(jù)一個實施例，操作系統(tǒng)有利地繼續(xù)提供建立與通信鏈路125的通信所需的合適通信協(xié)議。圖1示出授信引擎110。根據(jù)一個實施例，授信引擎110包括用于訪問和存儲敏感信息的一個或多個安控服務(wù)器，所述敏感信息可以是任意類型或形式的數(shù)據(jù)，例如，但不限于，文本、音頻、視頻、用戶認(rèn)證數(shù)據(jù)及公共和私有密碼密鑰。根據(jù)一個實施例，認(rèn)證數(shù)據(jù)包括被設(shè)計為唯一地識別密碼系統(tǒng)100的用戶的數(shù)據(jù)。例如，認(rèn)證數(shù)據(jù)可包括用戶識別號、一個或多個生物辨識和由授信引擎110或用戶產(chǎn)生、但是一開始由用戶在注冊時答復(fù)的一系列問題和答復(fù)。前述問題可包括人口統(tǒng)計數(shù)據(jù)、個人數(shù)據(jù)或者被設(shè)計為唯一地識別用戶的其它數(shù)據(jù)，所述人口統(tǒng)計數(shù)據(jù)諸如出生地、地址、周年紀(jì)念日等，所述個人數(shù)據(jù)諸如母親的婚前姓氏、喜歡的冰淇淋等。授信引擎110將與當(dāng)前事項相關(guān)聯(lián)的用戶認(rèn)證數(shù)據(jù)與早些時間(例如在注冊期間)提供的認(rèn)證數(shù)據(jù)進行比較。授信引擎110可有利地要求用戶在每個事項時產(chǎn)生認(rèn)證數(shù)據(jù)，或者授信引擎110可有利地使得用戶可周期性地(例如，在一連串事項開始或者登錄到特定賣方網(wǎng)站時)產(chǎn)生認(rèn)證數(shù)據(jù)。根據(jù)用戶產(chǎn)生生物辨識數(shù)據(jù)的實施例，用戶將物理特性提供給生物辨識設(shè)備107， 所述物理特性諸如，但不限于，臉掃描、手掃描、耳掃描、虹膜掃描、視網(wǎng)膜掃描、血管模式、 DAN、指紋、手寫或語音。生物辨識設(shè)備有利地產(chǎn)生物理特性的電子模式或生物辨識。為了注冊或認(rèn)證目的，將電子模式通過用戶系統(tǒng)105傳送到授信引擎110。一旦用戶產(chǎn)生合適的認(rèn)證數(shù)據(jù)并且授信引擎110確定該認(rèn)證數(shù)據(jù)(當(dāng)前認(rèn)證數(shù)據(jù))與注冊時提供的認(rèn)證數(shù)據(jù)(注冊認(rèn)證數(shù)據(jù))之間的肯定匹配，授信引擎110就為用戶提供整個密碼功能。例如，被正確認(rèn)證的用戶可有利地利用授信引擎110執(zhí)行散列法、數(shù)字簽名、加密和解密(通常一起僅僅稱為加密)、創(chuàng)建或發(fā)布數(shù)字證書等。然而，密碼功能中所使用的私有密碼密鑰將在授信引擎110外部不可用，從而確保密碼密鑰的完整性。根據(jù)一個實施例，授信引擎110產(chǎn)生并存儲密碼密鑰。根據(jù)另一個實施例，至少一個密碼密鑰與每個用戶相關(guān)聯(lián)。而且，當(dāng)密碼密鑰包括公鑰技術(shù)時，在授信引擎110內(nèi)產(chǎn)生與用戶相關(guān)聯(lián)的每個私鑰，并不從授信引擎110發(fā)布該私鑰。因此，只要用戶訪問授信引擎 110，用戶就可使用他或她的私鑰或公鑰來執(zhí)行密碼功能。這樣的遠程訪問有利地使得用戶可保持完全移動，并可通過實際上任意互聯(lián)網(wǎng)連接來訪問密碼功能，所述互聯(lián)網(wǎng)連接例如蜂窩和衛(wèi)星電話、展示亭、膝上型電腦、酒店房間等。根據(jù)另一個實施例，授信引擎110使用為授信引擎110產(chǎn)生的密鑰對來執(zhí)行密碼功能。根據(jù)本實施例，授信引擎110首先對用戶進行認(rèn)證，并且在用戶已正確地產(chǎn)生與注冊認(rèn)證數(shù)據(jù)匹配的認(rèn)證數(shù)據(jù)之后，授信引擎110使用它自己的密碼密鑰對來代表認(rèn)證的用戶執(zhí)行密碼功能。技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到密碼密鑰可有利地包括對稱密鑰、公鑰和私鑰中的一些或全部。另外，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到前述密鑰可用可從商用技術(shù)獲得的多種算法實現(xiàn)，所述商用技術(shù)例如RSA、ELGAMAL等。
圖1還示出證書管理中心115。根據(jù)一個實施例，證書管理中心115可有利地包括頒發(fā)數(shù)字證書的可信第三方組織或公司，例如VeriSigruBaltimorejntrust等。授信引擎 110可有利地通過一個或多個常規(guī)數(shù)字證書協(xié)議將對數(shù)字證書的請求發(fā)送到證書管理中心 115，所述數(shù)字證書協(xié)議例如H(CS10。作為響應(yīng)，證書管理中心115將用許多不同協(xié)議中的一個或多個頒發(fā)數(shù)字證書，所述協(xié)議例如H(CS7。根據(jù)本發(fā)明的一個實施例，授信引擎110 向著名的證書管理中心115中的幾個或全部請求數(shù)字證書，以使得授信引擎110可以使用與任意請求方的證書標(biāo)準(zhǔn)對應(yīng)的數(shù)字證書。根據(jù)另一個實施例，授信引擎110在內(nèi)部執(zhí)行證書頒發(fā)。在本實施例中，授信引擎 110可訪問用于產(chǎn)生證書的證書系統(tǒng)，和/或當(dāng)例如在產(chǎn)生密鑰時或者按請求時所請求的證書標(biāo)準(zhǔn)請求證書時，可在內(nèi)部產(chǎn)生這些證書。以下將更詳細地公開授信引擎110。圖1還示出賣方系統(tǒng)120。根據(jù)一個實施例，賣方系統(tǒng)120有利地包括Web服務(wù)器。 典型的Web服務(wù)器通常使用幾種互聯(lián)網(wǎng)標(biāo)記語言或文檔格式標(biāo)準(zhǔn)(諸如超文本標(biāo)記語言 (HTML)或可擴展標(biāo)記語言(XML))之一為互聯(lián)網(wǎng)上的內(nèi)容服務(wù)。Web服務(wù)器從像Netscape 和hternet Explorer的瀏覽器接受請求，然后返回合適的電子文檔。許多服務(wù)器或客戶端技術(shù)可被用于提高Web服務(wù)器的除了其遞送標(biāo)準(zhǔn)電子文檔的能力之外的能力。例如，這些技術(shù)包括公共網(wǎng)關(guān)接口(CGI)腳本、安全套接字層(SSL)安全性和活動服務(wù)器頁(ASP)。 賣方系統(tǒng)120可有利地提供與商業(yè)、個人、教育或其它事項相關(guān)的電子內(nèi)容。雖然參照前述實施例公開了賣方系統(tǒng)120，但是本發(fā)明并非意圖受限于此。相反， 技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到賣方系統(tǒng)120可有利地包括參照用戶系統(tǒng)105或者它們的組合描述的設(shè)備中的任意一個。圖1還示出將用戶系統(tǒng)105、授信引擎110、證書管理中心115與賣方系統(tǒng)120連接的通信鏈路125。根據(jù)一個實施例，通信鏈路125優(yōu)選地包括互聯(lián)網(wǎng)。如本公開內(nèi)容處處使用的互聯(lián)網(wǎng)是全球計算機網(wǎng)絡(luò)。本領(lǐng)域的普通技術(shù)人員公知的互聯(lián)網(wǎng)的結(jié)構(gòu)包括網(wǎng)絡(luò)骨干與從骨干分支的網(wǎng)絡(luò)。這些分支進而具有從它們分支的網(wǎng)絡(luò)，依此類推。路由器在網(wǎng)絡(luò)級之間移動信息包，然后在網(wǎng)絡(luò)之間移動信息包，直到包到達其目的地的附近為止。目的地網(wǎng)絡(luò)的主機將信息包從目的地引向合適的終端或節(jié)點。在一個有利的實施例中，互聯(lián)網(wǎng)路由集線器包括本領(lǐng)域公知的使用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)的域名系統(tǒng)(DNS) 服務(wù)器。路由集線器通過高速通信鏈路與一個或多個其它路由集線器連接?；ヂ?lián)網(wǎng)的一個流行部分是萬維網(wǎng)。萬維網(wǎng)包含存儲能夠顯示圖形和文本信息的文檔的不同計算機。提供關(guān)于萬維網(wǎng)的信息的計算機通常被稱為“網(wǎng)站”。網(wǎng)站由具有相關(guān)聯(lián)的電子頁面的互聯(lián)網(wǎng)地址定義。電子頁面可用統(tǒng)一資源定位符(URL)識別?？偟貋碇v，電子頁面是組織文本、圖形圖像、音頻、視頻等的呈現(xiàn)的文檔。雖然按照通信鏈路125的優(yōu)選實施例公開了通信鏈路125，但是本領(lǐng)域的普通技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到通信鏈路125可包括大范圍的交互式通信鏈路。例如， 通信鏈路125可包括交互式電視網(wǎng)絡(luò)、電話網(wǎng)絡(luò)、無線數(shù)據(jù)傳輸系統(tǒng)、雙向有線系統(tǒng)、定制的私有或公共計算機網(wǎng)絡(luò)、交互式展示亭網(wǎng)絡(luò)、自動取款機網(wǎng)絡(luò)、直接鏈路、衛(wèi)星或蜂窩網(wǎng)絡(luò)等。圖2示出根據(jù)本發(fā)明的實施例的方面的圖1的授信引擎110的框圖。如圖2所示， 授信引擎110包括事項引擎205、貯藏器210、認(rèn)證引擎215和密碼引擎220。根據(jù)本發(fā)明的
13一個實施例，授信引擎110還包括大容量儲存器225。如圖2進一步所示，事項引擎205與貯藏器210、認(rèn)證引擎215和密碼引擎220連同大容量儲存器225進行通信。另外，貯藏器 210與認(rèn)證引擎215、密碼引擎220和大容量儲存器225進行通信。而且，認(rèn)證引擎215與密碼引擎220進行通信。根據(jù)本發(fā)明的一個實施例，前述通信中的一些或全部可有利地包括將XML文檔發(fā)送到與接收設(shè)備對應(yīng)的IP地址。如在前述中所提及的，XML文檔有利地使得設(shè)計者可創(chuàng)建他們自己的定制文檔標(biāo)簽，從而使得能夠定義、發(fā)送、驗證和解釋應(yīng)用程序 (application)之間和組織之間的數(shù)據(jù)。而且，前述通信中的一些或全部可包括常規(guī)SSL技術(shù)。根據(jù)一個實施例，事項引擎205包括數(shù)據(jù)路由設(shè)備，例如可從Netscape、 Microsoft, Apache等購買的常規(guī)Web服務(wù)器。例如，Web服務(wù)器可有利地從通信鏈路125 接收輸入數(shù)據(jù)。根據(jù)本發(fā)明的一個實施例，輸入數(shù)據(jù)被尋址到授信引擎110的前端安全系統(tǒng)。例如，前端安全系統(tǒng)可有利地包括防火墻、搜索已知的攻擊配置文件的侵入檢測系統(tǒng)和 /或病毒掃描器。在清除前端安全系統(tǒng)之后，事項引擎205接收數(shù)據(jù)，并將該數(shù)據(jù)路由到貯藏器210、認(rèn)證引擎215、密碼引擎220和大容量儲存器225之一。另外，事項引擎205監(jiān)視來自認(rèn)證引擎215和密碼引擎220的輸入數(shù)據(jù)，并將該數(shù)據(jù)通過通信鏈路125路由到特定系統(tǒng)。例如，事項引擎205可有利地將數(shù)據(jù)路由到用戶系統(tǒng)105、證書管理中心115或賣方系統(tǒng)120。根據(jù)一個實施例，使用例如利用URL或統(tǒng)一資源指示符(URI)的常規(guī)HTTP路由技術(shù)來路由數(shù)據(jù)。URI與URL類似，然而，URI通常指示文件或動作的源，例如，可執(zhí)行文件、腳本等。因此，根據(jù)一個實施例，用戶系統(tǒng)105、證書管理中心115、賣方系統(tǒng)120和授信引擎 210的部件有利地在通信URL或URI內(nèi)包括事項引擎205正確地遍及密碼系統(tǒng)路由數(shù)據(jù)的充要數(shù)據(jù)。雖然參照數(shù)據(jù)路由的優(yōu)選實施例公開了數(shù)據(jù)路由，但是技術(shù)人員將認(rèn)識到大量可行的數(shù)據(jù)路由解決方案或策略。例如，可以有利的是，根據(jù)XML或其它數(shù)據(jù)包的格式、內(nèi)容等對它們進行拆包和識別，以使得事項引擎205可遍及授信引擎110正確地路由數(shù)據(jù)。而且，技術(shù)人員將認(rèn)識到，例如當(dāng)通信鏈路125包括局域網(wǎng)時，數(shù)據(jù)路由可以有利地適合于遵照特定網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)傳輸協(xié)議。根據(jù)本發(fā)明的又一個實施例，事項引擎205包括常規(guī)SSL加密技術(shù)，以使得在特定通信期間，前述系統(tǒng)可對它們自己進行認(rèn)證，并且反之亦然，通過事項引擎205對它們進行認(rèn)證。如該公開內(nèi)容始終使用的，術(shù)語“1Λ SSL”是指服務(wù)器(但不必是客戶端)被SSL 認(rèn)證的通信，術(shù)語“全SSL”是指客戶端和服務(wù)器被SSL認(rèn)證的通信。當(dāng)即時公開內(nèi)容使用術(shù)語“SSL”時，通信可包括1/2 SSL或全SSL。當(dāng)事項引擎205將數(shù)據(jù)路由到密碼系統(tǒng)100的各個部件時，事項引擎205可有利地創(chuàng)建審查跟蹤。根據(jù)一個實施例，審查跟蹤包括至少由事項引擎205在整個密碼系統(tǒng)100 路由的數(shù)據(jù)的類型和格式的記錄。這種審查數(shù)據(jù)可有利地存儲在大容量儲存器225中。圖2還示出貯藏器210。根據(jù)一個實施例，貯藏器210包括一個或多個數(shù)據(jù)存儲設(shè)施，例如，目錄服務(wù)器、數(shù)據(jù)庫服務(wù)器等。如圖2所示，貯藏器210存儲密碼密鑰和注冊認(rèn)證數(shù)據(jù)。密碼密鑰可有利地對應(yīng)于授信引擎110或者密碼系統(tǒng)100的用戶，諸如用戶或賣方。 注冊認(rèn)證數(shù)據(jù)可有利地包括被設(shè)計為唯一地識別用戶的數(shù)據(jù)，諸如，用戶ID、密碼、問題答復(fù)、生物辨識數(shù)據(jù)等。在注冊用戶時或者在另一個可替換的以后的時間可以有利地獲取該注冊認(rèn)證數(shù)據(jù)。例如，授信引擎110可包括注冊認(rèn)證數(shù)據(jù)的周期性或其它更新或補發(fā)。根據(jù)一個實施例，從事項引擎205往返于認(rèn)證引擎215和密碼引擎220的通信包括安全通信，例如，常規(guī)SSL技術(shù)。另外，如在前述中所提及的，可使用URL、URI、HTTP或XML 文檔傳送往返于貯藏器210的通信數(shù)據(jù)，前述中的任意一個有利地具有嵌入在其中的數(shù)據(jù)請求和格式。如以上所提及的，貯藏器210可有利地包括多個安全數(shù)據(jù)存儲設(shè)施。在這樣的實施例中，安全數(shù)據(jù)存儲設(shè)施可被構(gòu)造為，單個數(shù)據(jù)存儲設(shè)施中的安全性的損壞將不會損壞存儲在其中的密碼密鑰或認(rèn)證數(shù)據(jù)。例如，根據(jù)本實施例，對密碼密鑰和認(rèn)證數(shù)據(jù)進行數(shù)學(xué)運算，以在統(tǒng)計上使存儲在每個數(shù)據(jù)存儲設(shè)施中的數(shù)據(jù)基本上隨機化。根據(jù)一個實施例，單個數(shù)據(jù)存儲設(shè)施的數(shù)據(jù)的隨機化使得該數(shù)據(jù)不可破譯。因此，單個數(shù)據(jù)存儲設(shè)施的損壞僅產(chǎn)生隨機化的不可破譯的數(shù)，并總體上不損壞任意密碼密鑰或認(rèn)證數(shù)據(jù)的安全性。圖2還示出包括認(rèn)證引擎215的授信引擎110。根據(jù)一個實施例，認(rèn)證引擎215包括數(shù)據(jù)比較器，所述數(shù)據(jù)比較器被構(gòu)造為將來自事項引擎205的數(shù)據(jù)與來自貯藏器210的數(shù)據(jù)進行比較。例如，在認(rèn)證期間，用戶將當(dāng)前認(rèn)證數(shù)據(jù)供給授信引擎110，以使得事項引擎 205接收當(dāng)前認(rèn)證數(shù)據(jù)。如在前述中所提及的，事項引擎205識別(優(yōu)選地，URL或URI中的)數(shù)據(jù)請求，并將認(rèn)證數(shù)據(jù)路由到認(rèn)證引擎215。而且，應(yīng)請求，貯藏器210將與用戶對應(yīng)的注冊認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)到認(rèn)證引擎215。因此，認(rèn)證引擎215具有用于比較的當(dāng)前認(rèn)證數(shù)據(jù)和注冊認(rèn)證數(shù)據(jù)這二者。根據(jù)一個實施例，與認(rèn)證引擎的通信包括安全通信，諸如，例如，SSL技術(shù)。另外， 可在授信引擎110部件內(nèi)提供安全性，例如，使用公鑰技術(shù)的超級加密。例如，根據(jù)一個實施例，用戶用認(rèn)證引擎215的公鑰對當(dāng)前認(rèn)證數(shù)據(jù)進行加密。另外，貯藏器210還用認(rèn)證引擎215的公鑰對注冊認(rèn)證數(shù)據(jù)進行加密。以這種方式，僅認(rèn)證引擎的私鑰可被用于對發(fā)送進行解密。如圖2所示，授信引擎110還包括密碼引擎220。根據(jù)一個實施例，密碼引擎包括密碼處理模塊，所述密碼處理模塊被構(gòu)造為有利地提供常規(guī)密碼功能，例如，公鑰基礎(chǔ)設(shè)施 (PKI)功能。例如，密碼引擎220可以有利地對密碼系統(tǒng)100的用戶頒發(fā)公鑰和私鑰。以這種方式，在密碼引擎220產(chǎn)生密碼密鑰，并將這些密碼密鑰轉(zhuǎn)發(fā)到貯藏器210，以使得至少私有密碼密鑰在授信引擎110外部不可用。根據(jù)另一個實施例，密碼引擎220使私有密碼密鑰數(shù)據(jù)隨機化，并至少分割私有密碼密鑰數(shù)據(jù)，從而僅存儲隨機化的分割數(shù)據(jù)。與注冊認(rèn)證數(shù)據(jù)的分割類似，分割處理確保存儲的密鑰在密碼引擎220外部不可用。根據(jù)另一個實施例，密碼引擎的功能可與認(rèn)證引擎215組合和被認(rèn)證引擎215執(zhí)行。根據(jù)一個實施例，往返于密碼引擎的通信包括安全通信，例如SSL技術(shù)。另外，XML 文檔可有利地被用于傳送數(shù)據(jù)和/或提出密碼功能請求。圖2還示出具有大容量儲存器225的授信引擎110。如在前述中所提及的，事項引擎205保存與審查跟蹤對應(yīng)的數(shù)據(jù)，并將這樣的數(shù)據(jù)存儲在大容量儲存器225中。類似地，根據(jù)本發(fā)明的一個實施例，貯藏器210保存與審查跟蹤對應(yīng)的數(shù)據(jù)，并將這樣的數(shù)據(jù)存儲在大容量存儲設(shè)備225中。由于審查跟蹤數(shù)據(jù)包括由貯藏器210接收的請求及其響應(yīng)的記錄，所以貯藏器審查跟蹤數(shù)據(jù)與事項引擎205的審查跟蹤數(shù)據(jù)類似。另外，大容量儲存器225可被用于存儲其中包含用戶的公鑰的數(shù)字證書。雖然參照授信引擎110的優(yōu)選實施例和可替換實施例公開了授信引擎110，但是本發(fā)明并非意圖受限于此。相反，技術(shù)人員將在本文的公開內(nèi)容中認(rèn)識到授信引擎110的大量可替換方案。例如，授信引擎110可有利地僅執(zhí)行認(rèn)證，或者可替換地，僅執(zhí)行密碼功能中的一些或全部，諸如數(shù)據(jù)加密和解密。根據(jù)這樣的實施例，可以有利地移除認(rèn)證引擎 215和密碼引擎220之一，從而為授信引擎110創(chuàng)建更簡單的設(shè)計。另外，密碼引擎220還可與證書管理中心通信，以使得證書管理中心被嵌入在授信引擎110內(nèi)。根據(jù)又一個實施例，授信引擎110可有利地執(zhí)行認(rèn)證和一個或多個密碼功能，例如，數(shù)字簽名。圖3示出根據(jù)本發(fā)明的實施例的方面的圖2的事項引擎205的框圖。根據(jù)本實施例，事項引擎205包括具有處理線程和監(jiān)聽線程的操作系統(tǒng)305?？梢杂欣氖?，操作系統(tǒng) 305與在常規(guī)高容量服務(wù)器中找到的操作系統(tǒng)類似，所述高容量服務(wù)器例如可從Apache購買的Web服務(wù)器。監(jiān)聽線程對于輸入數(shù)據(jù)流監(jiān)視來自通信鏈路125、認(rèn)證引擎215和密碼引擎220之一的輸入通信。處理線程識別輸入數(shù)據(jù)流的特定數(shù)據(jù)結(jié)構(gòu)，例如，前述數(shù)據(jù)結(jié)構(gòu)， 從而將輸入數(shù)據(jù)路由到通信鏈路115、貯藏器210、認(rèn)證引擎215、密碼引擎220或大容量儲存器225之一。如圖3所示，可以有利的是，通過例如SSL技術(shù)安全保護輸入數(shù)據(jù)和輸出數(shù)據(jù)。圖4示出根據(jù)本發(fā)明的實施例的方面的圖2的貯藏器210的框圖。根據(jù)本實施例， 貯藏器210包括一個或多個輕量級目錄訪問協(xié)議(LDAP)服務(wù)器。LDAP目錄服務(wù)器可從多個制造商購買，所述制造商諸如Netscape、ISO和其它制造商。圖4還顯示目錄服務(wù)器優(yōu)選地存儲與密碼密鑰對應(yīng)的數(shù)據(jù)405和與注冊認(rèn)證數(shù)據(jù)對應(yīng)的數(shù)據(jù)410。根據(jù)一個實施例， 貯藏器210包括按照唯一用戶ID建立認(rèn)證數(shù)據(jù)和密碼密鑰數(shù)據(jù)的索引的單個邏輯存儲器結(jié)構(gòu)。單個邏輯存儲器結(jié)構(gòu)優(yōu)選地包括確保存儲在其中的數(shù)據(jù)中的高信任度或安全性的機制。例如，貯藏器210的物理位置可有利地包括大量常規(guī)安全性措施，例如有限員工存取、 現(xiàn)代監(jiān)控系統(tǒng)等。除了物理安全性之外，或者代替物理安全性，計算機系統(tǒng)或服務(wù)器可有利地包括保護存儲數(shù)據(jù)的軟件解決方案。例如，貯藏器210可有利地創(chuàng)建并存儲與采取的動作的審查跟蹤對應(yīng)的數(shù)據(jù)415。另外，可以有利的是，用與常規(guī)SSL技術(shù)結(jié)合的公鑰加密對輸入通信和輸出通信進行加密。根據(jù)另一個實施例，貯藏器210可包括如參照圖7進一步公開的獨立地物理分離的數(shù)據(jù)存儲設(shè)施。圖5示出根據(jù)本發(fā)明的實施例的方面的圖2的認(rèn)證引擎215的框圖。與圖3的事項引擎205類似，認(rèn)證引擎215包括操作系統(tǒng)505，操作系統(tǒng)505至少具有常規(guī)Web服務(wù)器的修改版本的監(jiān)聽線程和處理線程，所述常規(guī)Web服務(wù)器例如可從Apache購買的Web服務(wù)器。如圖5所示，認(rèn)證引擎215包括對至少一個私鑰510的訪問。私鑰510可有利地被用于例如對來自事項引擎205或貯藏器210的、已用認(rèn)證引擎215的對應(yīng)公鑰進行加密的數(shù)據(jù)進行解密。圖5還示出認(rèn)證引擎215，認(rèn)證引擎215包括比較器515、數(shù)據(jù)分割模塊520和數(shù)據(jù)組裝模塊525。根據(jù)本發(fā)明的優(yōu)選實施例，比較器515包括能夠比較與前述生物辨識認(rèn)證數(shù)據(jù)相關(guān)的潛在復(fù)雜的模式的技術(shù)。所述技術(shù)可包括用于模式比較的硬件、軟件或者組合解決方案，例如，表示指紋模式或語音模式的那些模式比較。另外，根據(jù)一個實施例，為了給予比較結(jié)果，認(rèn)證引擎215的比較器515可有利地比較常規(guī)的文檔散列。根據(jù)本發(fā)明的一個實施例，比較器515包括用于比較的啟發(fā)法530的應(yīng)用程序。啟發(fā)法530可有利地尋址認(rèn)證嘗試周圍的狀況，諸如，例如，當(dāng)日時間、IP地址或子網(wǎng)掩碼、采購配置文件、電子郵件地址、處理器序號或ID等。而且，生物辨識數(shù)據(jù)比較的實質(zhì)可導(dǎo)致從當(dāng)前生物辨識數(shù)據(jù)與注冊數(shù)據(jù)的匹配產(chǎn)生不同的置信度。例如，與僅可返回肯定或否定匹配的傳統(tǒng)密碼不同，指紋可被確定為部分匹配，比如，90%匹配、75%匹配或10%匹配，而不是簡單地確定為正確或不正確。諸如聲紋分析或臉識別的其它生物辨識鑒別器可共享概率認(rèn)證的這個屬性，而不是絕對認(rèn)證。當(dāng)用這樣的概率認(rèn)證工作時，或者在認(rèn)證被認(rèn)為不是那么絕對可靠的其它情況下，期望應(yīng)用啟發(fā)法530來確定所提供的認(rèn)證中的置信水平是否高得足以認(rèn)證正在進行的事項。有時將是這樣的情況，即，討論中的事項是價值相對低的事項，在這種情況下，可以接受的是被認(rèn)證為較低的置信水平。這可包括具有與其相關(guān)聯(lián)的低美元價值(比如，$10 購入價格)的事項或者具有低危險性(比如，僅準(zhǔn)許網(wǎng)站會員進入)的事項。相反，為了認(rèn)證其它事項，期望在使得可繼續(xù)進行事項之前，在認(rèn)證中要求高置信度。這樣的事項可包括高美元價值的事項(比如，簽署數(shù)百萬美元供應(yīng)合約)或者在不正確認(rèn)證發(fā)生(比如，通過遠程登錄到政府計算機上)時具有高危險性的事項。可如以下將描述的那樣使用與置信水平和事項價值組合的啟發(fā)法530的使用，以允許比較器可提供動態(tài)的情景(context)敏感的認(rèn)證系統(tǒng)。根據(jù)本發(fā)明的另一個實施例，比較器515可有利地跟蹤對于特定事項的認(rèn)證嘗試。例如，當(dāng)事項失敗時，授信引擎110可請求用戶重新鍵入他或她的當(dāng)前認(rèn)證數(shù)據(jù)。認(rèn)證引擎215的比較器515可有利地利用嘗試限制器535來限制認(rèn)證嘗試的次數(shù)，從而禁止假冒用戶認(rèn)證數(shù)據(jù)的蠻力嘗試。根據(jù)一個實施例，嘗試限制器535包括監(jiān)視對事項重復(fù)認(rèn)證嘗試的軟件模塊，并且例如，將對于給定事項的認(rèn)證嘗試限制為三次。因此，嘗試限制器535 將限制假冒個人認(rèn)證數(shù)據(jù)的自動嘗試限制為例如僅三次“猜測”。當(dāng)三次失敗時，嘗試限制器535可有利地拒絕另外的認(rèn)證嘗試。無論正在發(fā)送的當(dāng)前認(rèn)證數(shù)據(jù)如何，這樣的拒絕都可有利地通過例如比較器515返回否定結(jié)果來實現(xiàn)。另一方面，事項引擎205可有利地阻擋與以前三次嘗試失敗的事項相關(guān)的任意另外的認(rèn)證嘗試。認(rèn)證引擎215還包括數(shù)據(jù)分割模塊520和數(shù)據(jù)組裝模塊525。數(shù)據(jù)分割模塊520 有利地包括下述軟件、硬件或者組合模塊，該模塊具有對各種數(shù)據(jù)進行數(shù)學(xué)運算以使數(shù)據(jù)基本上隨機化并將該數(shù)據(jù)分割為部分的能力。根據(jù)一個實施例，原始數(shù)據(jù)不可從單個部分重建。數(shù)據(jù)組裝模塊525有利地包括下述軟件、硬件或者組合模塊，該模塊被構(gòu)造為對前述基本上隨機化的部分進行數(shù)學(xué)運算，以使得其組合提供原始的破譯數(shù)據(jù)。根據(jù)一個實施例， 認(rèn)證引擎215利用數(shù)據(jù)分割模塊520使注冊認(rèn)證數(shù)據(jù)隨機化，并將該數(shù)據(jù)分割為部分，并利用數(shù)據(jù)組裝模塊525將這些部分重新組裝為可用的注冊認(rèn)證數(shù)據(jù)。圖6示出根據(jù)本發(fā)明的一個實施例的方面的圖2的授信引擎200的密碼引擎220 的框圖。與圖3的事項引擎205類似，密碼引擎220包括操作系統(tǒng)605，操作系統(tǒng)605至少具有常規(guī)Web服務(wù)器的修改版本的監(jiān)聽線程和處理線程，所述常規(guī)Web服務(wù)器例如可從 Apache購買的Web服務(wù)器。如圖6所示，密碼引擎220包括與圖5的數(shù)據(jù)分割模塊和數(shù)據(jù)組裝模塊類似工作的數(shù)據(jù)分割模塊610和數(shù)據(jù)組裝模塊620。然而，根據(jù)一個實施例，數(shù)據(jù)分割模塊610和數(shù)據(jù)組裝模塊620處理密碼密鑰數(shù)據(jù)，而不是前述注冊認(rèn)證數(shù)據(jù)。但是， 技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到數(shù)據(jù)分割模塊910和數(shù)據(jù)分割模塊620可與認(rèn)證引擎 215的數(shù)據(jù)分割模塊和數(shù)據(jù)組裝模塊組合。密碼引擎220還包括密碼處理模塊625，密碼處理模塊625被構(gòu)造為執(zhí)行大量密碼功能中的一種、一些或全部。根據(jù)一個實施例，密碼處理模塊625可包括軟件模塊或程序、 硬件或者這二者。根據(jù)另一個實施例，密碼處理模塊625可執(zhí)行數(shù)據(jù)比較、數(shù)據(jù)解析、數(shù)據(jù)分割、數(shù)據(jù)分離、數(shù)據(jù)散列、數(shù)據(jù)加密或解密、數(shù)字簽名驗證或創(chuàng)建、數(shù)字證書產(chǎn)生、存儲或請求、密碼密鑰產(chǎn)生等。而且，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到密碼處理模塊825可有利地包括公鑰基礎(chǔ)設(shè)施，諸如完美隱私(PGP)、基于RSA的公鑰系統(tǒng)或者大量可替換的密鑰管理系統(tǒng)。另外，密碼處理模塊625可執(zhí)行公鑰加密、對稱密鑰加密或者這二者。除了前述之外，密碼處理模塊625可包括用于實現(xiàn)無縫的、透明的互操作功能的一個或多個計算機程序或模塊、硬件或者這二者。技術(shù)人員還將從本文的公開內(nèi)容認(rèn)識到密碼功能可包括大量或者各種大體上與密碼密鑰管理系統(tǒng)相關(guān)的功能。圖7示出根據(jù)本發(fā)明的實施例的方面的貯藏系統(tǒng)700的簡化框圖。如圖7所示， 貯藏系統(tǒng)700有利地包括多個數(shù)據(jù)存儲設(shè)施，例如，數(shù)據(jù)存儲設(shè)施Dl、D2、D3和D4。然而， 本領(lǐng)域的普通技術(shù)人員將易于理解的是，貯藏系統(tǒng)可僅具有一個數(shù)據(jù)存儲設(shè)施。根據(jù)本發(fā)明的一個實施例，數(shù)據(jù)存儲設(shè)施Dl至D4中的每個可有利地包括參照圖4的貯藏器210公開的元件中的一些或全部。與貯藏器210類似，數(shù)據(jù)存儲設(shè)施Dl至D4優(yōu)選地通過常規(guī)SSL 與事項引擎205、認(rèn)證引擎215和密碼引擎220進行通信。通信鏈路傳送例如XML文檔。來自事項引擎205的通信可以有利地包括對數(shù)據(jù)的請求，其中，有利的是，將所述請求廣播到每個存儲設(shè)施Dl至D4的IP地址。另一方面，事項引擎205可基于大量標(biāo)準(zhǔn)將請求廣播到特定數(shù)據(jù)存儲設(shè)施，所述標(biāo)準(zhǔn)例如響應(yīng)時間、服務(wù)器負(fù)荷、維修計劃等。響應(yīng)于來自事項引擎205的對數(shù)據(jù)的請求，貯藏系統(tǒng)700有利地將存儲的數(shù)據(jù)轉(zhuǎn)發(fā)到認(rèn)證引擎215和密碼引擎220。各個數(shù)據(jù)組裝模塊接收轉(zhuǎn)發(fā)的數(shù)據(jù)，并將該數(shù)據(jù)組裝為可用格式。另一方面，從認(rèn)證引擎215和密碼引擎220到數(shù)據(jù)存儲設(shè)施Dl至D4的通信可包括存儲的敏感數(shù)據(jù)的發(fā)送。例如，根據(jù)一個實施例，認(rèn)證引擎215和密碼引擎220可有利地利用它們各自的數(shù)據(jù)分割模塊來將敏感數(shù)據(jù)劃分為不可破譯的部分，然后將敏感數(shù)據(jù)的一個或多個不可破譯的部分發(fā)送到特定數(shù)據(jù)存儲設(shè)施。根據(jù)一個實施例，每個數(shù)據(jù)存儲設(shè)施Dl至D4包括分離和獨立的存儲系統(tǒng)，例如， 目錄服務(wù)器。根據(jù)本發(fā)明的另一個實施例，貯藏服務(wù)器700包括多個地理上分離的獨立數(shù)據(jù)存儲系統(tǒng)。通過將敏感數(shù)據(jù)分布到完全分開的獨立存儲設(shè)施Dl至D4，貯藏系統(tǒng)700提供冗余度連同增加的安全性措施，可以有利的是，獨立存儲設(shè)施Dl至D4中的一些或者全部在地理上分離。例如，根據(jù)一個實施例，破譯和重新組裝敏感數(shù)據(jù)僅需要來自多個數(shù)據(jù)存儲設(shè)施Dl至D4中的兩個的數(shù)據(jù)。因此，四個數(shù)據(jù)存儲設(shè)施Dl至D4中至多兩個數(shù)據(jù)存儲設(shè)施可以由于維修、系統(tǒng)故障、電力故障等不工作，而不影響授信引擎110的功能。另外，由于根據(jù)一個實施例，存儲在每個數(shù)據(jù)存儲設(shè)施中的數(shù)據(jù)是隨機化的并且不可破譯的，所以任意單個數(shù)據(jù)存儲設(shè)施的損壞不一定損壞敏感數(shù)據(jù)。而且，在具有地理分離的數(shù)據(jù)存儲設(shè)施的實施例中，多個地理上遙遠的設(shè)施的損壞變得更加困難。事實上，即使破壞員工破壞所需的多個獨立的地理上遙遠的數(shù)據(jù)存儲設(shè)施也將受到極大的挑戰(zhàn)。雖然參照貯藏系統(tǒng)700的優(yōu)選實施例和可替換實施例公開了貯藏系統(tǒng)700，但是本發(fā)明并非意圖受限于此。相反，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到貯藏系統(tǒng)700的大量可替換方案。例如，貯藏系統(tǒng)700可包括一個、兩個或者更多個數(shù)據(jù)存儲設(shè)施。另外，可對敏感數(shù)據(jù)進行數(shù)學(xué)運算，以使得需要來自兩個或更多個數(shù)據(jù)存儲設(shè)施的部分來重新組裝和破譯敏感數(shù)據(jù)。如在前述中所提及的，認(rèn)證引擎215和密碼引擎220每個分別包括數(shù)據(jù)分割模塊 520和610，數(shù)據(jù)分割模塊520和610分別用于分割任意類型或形式的敏感數(shù)據(jù)，例如，文本、音頻、視頻、認(rèn)證數(shù)據(jù)和密碼密鑰數(shù)據(jù)。圖8示出根據(jù)本發(fā)明的實施例的方面的由數(shù)據(jù)分割模塊執(zhí)行的數(shù)據(jù)分割處理800的流程圖。如圖8所示，當(dāng)認(rèn)證引擎215或密碼引擎220 的數(shù)據(jù)分割模塊接收到敏感數(shù)據(jù)“S”時，數(shù)據(jù)分割處理800從步驟805開始。優(yōu)選地，在步驟810，數(shù)據(jù)分割模塊然后產(chǎn)生基本上隨機的數(shù)、值或串或者比特組“A”。例如，可用可供本領(lǐng)域的普通技術(shù)人員用于產(chǎn)生適合用在密碼應(yīng)用中的高質(zhì)量隨機數(shù)的大量不同的常規(guī)技術(shù)來產(chǎn)生隨機數(shù)A。另外，根據(jù)一個實施例，隨機數(shù)A包括比特長度，所述比特長度可以是任意合適的長度，諸如短于、長于或等于敏感數(shù)據(jù)S的比特長度。另外，在步驟820中，數(shù)據(jù)分割處理800產(chǎn)生另一個統(tǒng)計上隨機的數(shù)“C”。根據(jù)優(yōu)選實施例，可以有利的是，并行產(chǎn)生統(tǒng)計上隨機的數(shù)A和C。數(shù)據(jù)分割模塊然后將數(shù)A和C 與敏感數(shù)據(jù)S組合，以使得產(chǎn)生新的數(shù)“B”和“D”。例如，數(shù)B可包括A XOR S的二進制組合，數(shù)D可包括C XOR S的二進制組合。XOR函數(shù)或者“異或”函數(shù)是本領(lǐng)域的普通技術(shù)人員公知的。前述組合優(yōu)選地分別在步驟825和830中發(fā)生，并且根據(jù)一個實施例，前述組合還并行發(fā)生。數(shù)據(jù)分割處理800然后繼續(xù)進行到步驟835，在步驟835中，對隨機數(shù)A和C 及數(shù)B和D進行配對，以使得沒有一個配對獨自包含識別和破譯原始敏感數(shù)據(jù)S的充要數(shù)據(jù)。例如，可如下配對數(shù)AC、AD、BC和BD。根據(jù)一個實施例，將前述配對中的每個分布到圖7的貯藏器Dl至D4之一。根據(jù)另一個實施例，將前述配對中的每個隨機地分布到貯藏器Dl至D4之一。例如，在第一數(shù)據(jù)分割處理800期間，可通過例如隨機選擇D2的IP地址來將配對AC發(fā)送到貯藏器D2。然后，在第二數(shù)據(jù)分割處理800期間，可通過例如隨機選擇 D4的IP地址來將配對AC發(fā)送到貯藏器D4。另外，可將配對全部存儲在一個貯藏器上，并可將這些配對存儲在所述貯藏器上的分離的位置中?；谇笆?，數(shù)據(jù)分割處理800有利地將敏感數(shù)據(jù)的部分放置在四個數(shù)據(jù)存儲設(shè)施 D1至D4中的每個中，以使得沒有單個數(shù)據(jù)存儲設(shè)施Dl至D4包括重建原始敏感數(shù)據(jù)S的足夠加密數(shù)據(jù)。如在前述中所提及的，這樣的將數(shù)據(jù)隨機化為各個不可用的加密部分提高了安全性，并且即使數(shù)據(jù)存儲設(shè)施Dl至D4之一受損，也提供數(shù)據(jù)中的保持信任。雖然參照數(shù)據(jù)分割處理800的優(yōu)選實施例公開了數(shù)據(jù)分割處理800，但是本發(fā)明并非意圖受限于此。相反，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到數(shù)據(jù)分割處理800的大量可替換方案。例如，數(shù)據(jù)分割處理可有利地將數(shù)據(jù)分割為兩個數(shù)，例如，隨機數(shù)A和數(shù)B，并通過兩個數(shù)據(jù)存儲設(shè)施隨機地分布A和B。而且，數(shù)據(jù)分割處理800可有利地通過產(chǎn)生另外的隨機數(shù)來在大量數(shù)據(jù)存儲設(shè)施之間分割數(shù)據(jù)。數(shù)據(jù)可被分割為任意期望的、選擇的、預(yù)定的或者隨機分配的大小單位，包括，但不限于，一個比特、多個比特、字節(jié)、千字節(jié)、兆字節(jié)或更大或者多種大小的任意組合或序列。另外，改變由分割處理產(chǎn)生的數(shù)據(jù)單元的大小可使得數(shù)據(jù)更難以恢復(fù)到可用形式，從而提高敏感數(shù)據(jù)的安全性。本領(lǐng)域的普通技術(shù)人員將易于明白的是，分割的數(shù)據(jù)單元大小可以是各種數(shù)據(jù)單元大小或者大小模式或者大小組合。 例如，數(shù)據(jù)單元大小可被選擇或者預(yù)定為全部相同大小、固定的不同大小集合、大小組合或者隨機產(chǎn)生的大小。類似地，可根據(jù)固定的或預(yù)定的數(shù)據(jù)單元大小、數(shù)據(jù)單元大小的模式或組合或者每個份額的隨機產(chǎn)生的一個數(shù)據(jù)單元大小或多個數(shù)據(jù)單元大小來將數(shù)據(jù)單元分布到一個或多個份額中。如在前述中所提及的，為了重建敏感數(shù)據(jù)S，需要對數(shù)據(jù)部分進行去隨機和重新組織。該處理可有利地分別發(fā)生在認(rèn)證引擎215和密碼引擎220的數(shù)據(jù)組裝模塊525和620 中。數(shù)據(jù)組裝模塊(例如，數(shù)據(jù)組裝模塊52 從數(shù)據(jù)存儲設(shè)施Dl至D4接收數(shù)據(jù)部分，并將該數(shù)據(jù)重新組裝為可用形式。例如，根據(jù)在其中數(shù)據(jù)分割模塊520利用圖8的數(shù)據(jù)分割處理800的一個實施例，數(shù)據(jù)組裝模塊525使用來自數(shù)據(jù)存儲設(shè)施Dl至D4中的至少兩個的數(shù)據(jù)部分來重建敏感數(shù)據(jù)S。例如，分布配對AC、AD、BC和BD，以使得任意兩個提供A和 B或者C和D之一。注意到，S = A XOR B或者S = C XOR D指示當(dāng)數(shù)據(jù)組裝模塊接收到A 和B或者C和D之一時，數(shù)據(jù)組裝模塊525可有利地重新組裝敏感數(shù)據(jù)S。因此，當(dāng)例如數(shù)據(jù)組裝模塊525至少從數(shù)據(jù)存儲設(shè)施Dl至D4中的第一兩個接收到數(shù)據(jù)部分以對授信引擎 110的組裝請求作出響應(yīng)時，數(shù)據(jù)組裝模塊525可組裝敏感數(shù)據(jù)S。基于以上數(shù)據(jù)分割和組裝處理，敏感數(shù)據(jù)S僅在授信引擎110的有限區(qū)域中以可用形式存在。例如，當(dāng)敏感數(shù)據(jù)S包括注冊認(rèn)證數(shù)據(jù)時，可用的非隨機化的注冊認(rèn)證數(shù)據(jù)僅可在認(rèn)證引擎215中使用。同樣，當(dāng)敏感數(shù)據(jù)S包括私有密碼密鑰數(shù)據(jù)時，可用的非隨機化的私有密碼密鑰數(shù)據(jù)僅可在密碼引擎220中使用。雖然參照數(shù)據(jù)分割和組裝處理的優(yōu)選實施例公開了數(shù)據(jù)分割和組裝處理，但是本發(fā)明并非意圖受限于此。相反，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到分割和重新組裝敏感數(shù)據(jù)S的大量可替換方案。例如，公鑰加密可被用于進一步安全保護數(shù)據(jù)存儲設(shè)施Dl至D4 處的數(shù)據(jù)。另外，本領(lǐng)域的普通技術(shù)人員將易于明白的是，本文所述的數(shù)據(jù)分割模塊也是本發(fā)明的單獨且獨特的實施例，該實施例可被合并到其中、與其組合、或以其它方式成為其中一部分任意原已存在的計算機系統(tǒng)、軟件套件、數(shù)據(jù)庫或者其組合或者本發(fā)明的其它實施例，所述其它實施例諸如本文公開和描述的授信引擎、認(rèn)證引擎和事項引擎。圖9A示出根據(jù)本發(fā)明的實施例的方面的注冊處理900的數(shù)據(jù)流。如圖9A所示， 當(dāng)用戶期望向密碼系統(tǒng)100的授信引擎110注冊時，注冊處理900從步驟905開始。根據(jù)本實施例，用戶系統(tǒng)105有利地包括詢問用戶鍵入注冊數(shù)據(jù)的諸如基于Java的客戶端小應(yīng)用程序，所述注冊數(shù)據(jù)諸如人口統(tǒng)計數(shù)據(jù)和注冊認(rèn)證數(shù)據(jù)。根據(jù)一個實施例，注冊認(rèn)證數(shù)據(jù)包括用戶ID、密碼、生物辨識等。根據(jù)一個實施例，在詢問處理期間，客戶端小應(yīng)用程序優(yōu)選地與授信引擎110進行通信，以確保所選擇的用戶ID是唯一的。當(dāng)用戶ID不唯一時，授信引擎110可有利地建議一個唯一用戶ID?？蛻舳诵?yīng)用程序收集注冊數(shù)據(jù)，并例如通過 XML文檔將注冊數(shù)據(jù)發(fā)送到注冊引擎110，具體地，發(fā)送到事項引擎205。根據(jù)一個實施例， 用認(rèn)證引擎215的公鑰對發(fā)送進行編碼。根據(jù)一個實施例，用戶在注冊處理900的步驟905期間執(zhí)行一次注冊。例如，用戶將他或她自己注冊為特定人，諸如Joe User。當(dāng)Joe her期望注冊為Joe User, MegaCorp.的CEO時，根據(jù)本實施例，Joe her第二次進行注冊，接收第二個唯一用戶ID，授信引擎110不關(guān)聯(lián)兩個身份。根據(jù)本發(fā)明的另一個實施例，注冊處理900為單個用戶ID提供多個用戶身份。因此，在以上示例中，授信引擎110將有利地關(guān)聯(lián)Joe her的兩個身份。如技術(shù)人員將從本文的公開內(nèi)容所理解的，用戶可具有許多身份，例如，Joe her—家之主、 Joe her公益基金成員等。即使用戶可具有多個身份，根據(jù)本實施例，授信引擎110也優(yōu)選地僅存儲一組注冊數(shù)據(jù)。而且，有利的是，用戶可在需要身份時添加、編輯/更新或刪除身份。雖然參照注冊處理900的優(yōu)選實施例公開了注冊處理900，但是本發(fā)明并非意圖受限于此。相反，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到收集注冊數(shù)據(jù)(具體地，注冊認(rèn)證數(shù)據(jù))的大量可替換方案。例如，小應(yīng)用程序可以是基于公共對象模型(COM)的小應(yīng)用程序寸。另一方面，注冊處理可包括分級注冊。例如，在最低級注冊，用戶可通過通信鏈路 125進行注冊，而不產(chǎn)生關(guān)于他或她的身份的文檔。根據(jù)級別提高的注冊，用戶使用可信第三方進行注冊，所述可信第三方諸如數(shù)字公證人。例如，用戶可親自當(dāng)可信第三方的面，出示諸如出生證、駕駛執(zhí)照、軍官證等的憑證，并且可信第三方可有利地包括例如他們在注冊提交時的數(shù)字簽名?？尚诺谌娇砂▽嶋H公證人、政府機構(gòu)、招收雇員的大型公司的人力資源負(fù)責(zé)人等，所述政府機構(gòu)諸如郵局或機動車輛部門。技術(shù)人員將從本文的公開內(nèi)容理解的是，大量不同級別的注冊可在注冊處理900期間發(fā)生。在接收到注冊認(rèn)證數(shù)據(jù)之后，在步驟915，事項引擎205使用常規(guī)全SSL技術(shù)將注冊認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)到認(rèn)證引擎215。在步驟920中，認(rèn)證引擎215使用認(rèn)證引擎215的私鑰對注冊認(rèn)證數(shù)據(jù)進行解密。另外，認(rèn)證引擎215利用數(shù)據(jù)分割模塊對注冊認(rèn)證數(shù)據(jù)進行數(shù)學(xué)運算，以將數(shù)據(jù)分割為至少兩個獨立不可破譯的隨機數(shù)。如在前述中所提及的，至少兩個數(shù)可包括統(tǒng)計隨機數(shù)和二進制XORed數(shù)。在步驟925中，認(rèn)證引擎215將隨機數(shù)的每個部分轉(zhuǎn)發(fā)到數(shù)據(jù)存儲設(shè)施Dl至D4之一。如在前述中所提及的，認(rèn)證引擎215還可有利地使哪些部分被傳送到哪些貯藏器隨機化。通常在注冊處理器900期間，用戶還將期望使數(shù)字證書被頒發(fā)，以使得他或她可從密碼系統(tǒng)100外部的其它設(shè)備接收到加密文檔。如在前述中所提及的，證書管理中心115 通常根據(jù)幾種常規(guī)標(biāo)準(zhǔn)中的一種或多種頒發(fā)數(shù)字證書。一般來講，數(shù)字證書包括用戶或系統(tǒng)的公鑰，公鑰是每個人都知道的。無論用戶是在注冊時請求數(shù)字證書還是在另一個時間請求數(shù)字證書，都通過授信引擎110將請求傳送到認(rèn)證引擎215。根據(jù)一個實施例，請求包括具有例如正確用戶名的 XML文檔。根據(jù)步驟935，認(rèn)證引擎215將請求傳送到密碼引擎220，所述請求指示密碼引擎 220產(chǎn)生密碼密鑰或密鑰對。應(yīng)請求，在步驟935，密碼引擎220產(chǎn)生至少一個密碼密鑰。根據(jù)一個實施例，密碼處理模塊625產(chǎn)生密鑰對，在密鑰對中，一個密鑰用作私鑰，一個密鑰用作公鑰。密碼引擎220存儲密鑰，根據(jù)一個實施例，存儲公鑰的副本。在步驟945中，密碼引擎220將對數(shù)字證書的請求發(fā)送到事項引擎205。根據(jù)一個實施例，請求有利地包括嵌入在例如XML文檔中的標(biāo)準(zhǔn)化請求，諸如racsio。對數(shù)字證書的請求可有利地對應(yīng)于一個或多個證書管理中心和證書管理中心要求的一種或多種標(biāo)準(zhǔn)格式。
在步驟950中，事項引擎205將該請求轉(zhuǎn)發(fā)到證書管理中心115，認(rèn)證管理中心 115在步驟955中返回數(shù)字證書。返回數(shù)字證書可有利地為諸如H(CS7的標(biāo)準(zhǔn)化格式或者證書管理中心115中的一個或多個的專用格式。在步驟960中，事項引擎205接收數(shù)字證書，并將副本轉(zhuǎn)發(fā)給用戶，并向授信引擎110存儲副本。授信引擎110存儲證書副本，以使得授信引擎110將不需要依賴于證書管理中心115的可用性。例如，當(dāng)用戶期望發(fā)送數(shù)字證書或者第三方請求用戶的數(shù)字證書時，通常將對數(shù)字證書的請求發(fā)送到證書管理中心115。 然而，如果證書管理中心115正在進行維修或者是故障或安全性損壞的受害者，則數(shù)字證書可能不可用。在頒發(fā)密碼密鑰之后的任意時間，密碼引擎220可有利地利用上述數(shù)據(jù)分割處理 800，以使得密碼密鑰被分割為獨立不可破譯的隨機數(shù)。與認(rèn)證數(shù)據(jù)類似，在步驟965，密碼引擎200將隨機數(shù)傳送到數(shù)據(jù)存儲設(shè)施Dl至D4。技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到用戶可在注冊之后的任意時間請求數(shù)字證書。而且，系統(tǒng)之間的通信可有利地包括全SSL或者公鑰加密技術(shù)。而且，注冊處理可從多個證書管理中心頒發(fā)多個數(shù)字證書，所述多個證書管理中心包括授信引擎110內(nèi)部或外部的一個或多個專用證書管理中心。如步驟935至960中所公開的，本發(fā)明的一個實施例包括對最后存儲在授信引擎 110中的證書的請求。由于根據(jù)一個實施例，密碼處理模塊625頒發(fā)授信引擎110所使用的密鑰，所以每個證書對應(yīng)于私鑰。因此，授信引擎110可有利地通過監(jiān)視用戶所擁有的或者與用戶相關(guān)聯(lián)的證書來提供互操作性。例如，當(dāng)密碼引擎220接收到對密碼功能的請求時， 密碼處理模塊625可調(diào)查請求用戶所擁有的證書，以確定用戶是否擁有與請求的屬性匹配的私鑰。當(dāng)這樣的證書存在時，密碼處理模塊625可使用證書或者與證書相關(guān)聯(lián)的公鑰或私鑰來執(zhí)行請求的功能。當(dāng)這樣的證書不存在時，密碼處理模塊625可有利地、透明地執(zhí)行嘗試補救缺少合適密鑰的許多動作。例如，圖9B示出互操作處理970的流程圖，根據(jù)本發(fā)明的實施例的方面，互操作處理970公開確保密碼處理模塊625使用合適密鑰執(zhí)行密碼功能的前述步驟。如圖9B所示，互操作處理970從步驟972開始，在步驟972中，密碼處理模塊925 確定所期望的證書的類型。根據(jù)本發(fā)明的一個實施例，可以有利的是，在對密碼功能的請求或者由請求者提供的其它數(shù)據(jù)中指定證書類型。根據(jù)另一個實施例，可通過請求的數(shù)據(jù)格式確定證書類型。例如，密碼處理模塊925可有利地識別與特定類型對應(yīng)的請求。根據(jù)一個實施例，證書類型可包括一種或多種算法標(biāo)準(zhǔn)，例如，RSA、ELGAMAL等。 另外，證書類型可包括一種或多種密鑰類型，諸如對稱密鑰、公鑰、諸如256比特密鑰的強加密密鑰、安全性較低的密鑰等。而且，證書類型可包括前述算法標(biāo)準(zhǔn)或密鑰中的一個或多個、一個或多個消息或數(shù)據(jù)格式、一個或多個數(shù)據(jù)封裝或編碼方案(諸如Base 32或Base 64)的升級或替換。證書類型還可包括與一個或多個第三方密碼應(yīng)用程序或接口、一個或多個通信協(xié)議或者一個或多個證書標(biāo)準(zhǔn)或協(xié)議的兼容性。技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到其它差異可存在于證書類型，并且到這些差異的轉(zhuǎn)變和從這些差異的轉(zhuǎn)變可如本文公開的那樣實現(xiàn)。一旦密碼處理模塊625確定證書類型，互操作處理970就進行到步驟974，并確定用戶是否擁有與在步驟974中確定的類型匹配的證書。當(dāng)用戶擁有匹配證書時，例如，授信引擎110通過例如其先前存儲訪問匹配證書，密碼處理模塊825知道匹配私鑰也存儲在授信引擎110中。例如，匹配私鑰可存儲在貯藏器210或貯藏系統(tǒng)700內(nèi)。密碼處理模塊625 可有利地請求從例如貯藏器210組裝的匹配私鑰，然后在步驟976中，使用匹配私鑰來執(zhí)行密碼動作或功能。例如，如在前述中所提及的，密碼處理模塊625可有利地執(zhí)行散列法、散列比較、數(shù)據(jù)加密或解密、數(shù)字簽名驗證或創(chuàng)建等。當(dāng)用戶不擁有匹配證書時，互操作處理970繼續(xù)進行到步驟978，在步驟978中， 密碼處理模塊625確定用戶是否擁有交叉認(rèn)證的證書。根據(jù)一個實施例，當(dāng)?shù)谝蛔C書管理中心確定信任來自第二證書管理中心的證書時，證書管理中心之間的交叉認(rèn)證發(fā)生。換句話講，第一證書管理中心確定來自第二證書管理中心的證書滿足某些質(zhì)量標(biāo)準(zhǔn)，并因此，可被“證明”為與第一證書管理中心自己的證書等同。當(dāng)證書管理中心頒發(fā)例如具有信任級別(水平)的證書時，交叉認(rèn)證變得更復(fù)雜。例如，第一證書管理中心通?？苫谧蕴幚碇械目煽啃猿潭葹樘囟ㄗC書提供三個信任級別，而第二證書管理中心可提供七個信任級別。交叉認(rèn)證可有利地跟蹤來自第二證書管理中心的哪些級別和哪些證書可代替來自第一證書管理中心的哪些級別和哪些證書。當(dāng)在兩個證書管理中心之間正式地公共地、進行前述交叉認(rèn)證時，證書和級別的彼此映射通常被稱為“鏈鎖”。根據(jù)本發(fā)明的另一個實施例，密碼處理模塊625可有利地在由證書管理中心達成一致的那些外部發(fā)展交叉認(rèn)證。例如，密碼處理模塊625可訪問第一證書管理中心的證書操作聲明(CPS)或者其它發(fā)布的政策聲明，并通過使用例如特定信任水平所要求的認(rèn)證令牌來將第一證書管理中心的證書與另一個證書管理中心的那些證書匹配。當(dāng)在步驟978中密碼處理模塊625確定用戶擁有交叉認(rèn)證的證書時，互操作處理 970進行到步驟976，并使用交叉認(rèn)證的公鑰、私鑰或者這二者執(zhí)行密碼動作或功能。可替換地，當(dāng)密碼處理模塊625確定用戶不擁有交叉認(rèn)證的證書時，互操作處理970繼續(xù)進行到步驟980，在步驟980中，密碼處理模塊625選擇頒發(fā)請求的證書類型或者對其進行交叉認(rèn)證的證書的證書管理中心。在步驟982中，密碼處理模塊625確定在前述中論述的用戶注冊認(rèn)證數(shù)據(jù)是否滿足所選擇的證書管理中心的認(rèn)證要求。例如，如果用戶通過網(wǎng)絡(luò)例如回答人口統(tǒng)計問題和其它問題進行注冊，則所提供的認(rèn)證數(shù)據(jù)可建立比用戶提供生物辨識數(shù)據(jù)并出現(xiàn)在第三方之前低的信任水平，所述第三方例如公證人。根據(jù)一個實施例，可以有利的是，在所選擇的認(rèn)證管理中心的CPS中提供前述認(rèn)證要求。當(dāng)用戶向授信引擎110提供滿足所選擇的證書管理中心的要求的注冊認(rèn)證數(shù)據(jù)時，互操作處理970繼續(xù)進行到步驟984，在步驟984中，密碼處理模塊825從所選擇的證書管理中心獲取證書。根據(jù)一個實施例，密碼處理模塊625通過采取注冊處理900的步驟945 至960獲取證書。例如，密碼處理模塊625可有利地利用密碼引擎220已經(jīng)可用的密鑰對中的一個或多個中的一個或多個公鑰來向證書管理中心請求證書。根據(jù)另一個實施例，密碼處理模塊625可有利地產(chǎn)生一個或多個新的密鑰對，并使用與其對應(yīng)的公鑰來向證書管理中心請求證書。根據(jù)另一個實施例，授信引擎110可有利地包括能夠頒發(fā)一種或多種證書類型的一個或多個證書頒發(fā)模塊。根據(jù)本實施例，證書頒發(fā)模塊可提供前述證書。當(dāng)密碼處理模塊625獲取證書時，互操作處理970繼續(xù)進行到步驟976，并使用與所獲取的證書對應(yīng)的公鑰、私鑰或者這二者執(zhí)行密碼動作或功能。
當(dāng)用戶在步驟982中沒有為授信引擎110提供滿足所選擇的證書管理中心的要求的注冊認(rèn)證數(shù)據(jù)時，密碼處理模塊625在步驟986中確定是否存在具有不同認(rèn)證要求的其它證書管理中心。例如，密碼處理模塊625可尋找具有較低認(rèn)證要求、但是仍頒發(fā)所選擇的證書或者其交叉認(rèn)證的證書管理中心。當(dāng)前述具有較低要求的證書管理中心存在時，互操作處理970繼續(xù)進行到步驟 980，并選擇該證書管理中心?？商鎿Q地，當(dāng)沒有這樣的證書管理中心存在時，在步驟988 中，授信引擎110可向用戶請求另外的認(rèn)證令牌。例如，授信引擎110可請求包括例如生物辨識數(shù)據(jù)的新的注冊認(rèn)證數(shù)據(jù)。此外，授信引擎110可請求用戶親自去可信第三方面前，并提供合適的認(rèn)證憑證，例如，用駕駛執(zhí)照、社會保障卡、銀行卡、出生證明、軍官證等親自到公證人面前。當(dāng)授信引擎110接收到更新的認(rèn)證數(shù)據(jù)時，互操作處理970繼續(xù)進行到步驟 984，并獲取前述所選擇的證書。通過前述互操作處理970，密碼處理模塊625有利地提供不同密碼系統(tǒng)之間的無縫的、透明的轉(zhuǎn)譯和轉(zhuǎn)換。技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到前述互操作系統(tǒng)的大量優(yōu)點和實現(xiàn)。例如，互操作處理970的前述步驟986可有利地包括以下更詳細論述的信任仲裁的方面，在所述信任仲裁中，證書管理中心可在特殊狀況下接受較低水平的交叉認(rèn)證。另外，互操作處理970可包括確保之間的互操作性和標(biāo)準(zhǔn)證書撤銷的利用，例如，利用證書撤銷列表(CRL)、在線證書狀態(tài)協(xié)議(OCSP)等。圖10示出根據(jù)本發(fā)明實施例的方面的認(rèn)證處理1000的數(shù)據(jù)流。根據(jù)一個實施例，認(rèn)證處理1000包括從用戶收集當(dāng)前認(rèn)證數(shù)據(jù)，并將該數(shù)據(jù)與用戶的注冊認(rèn)證數(shù)據(jù)進行比較。例如，在用戶期望與例如賣方執(zhí)行事項的情況下，認(rèn)證處理1000從步驟1005開始。 這樣的事項可包括，例如，選擇采購選項、請求訪問賣方系統(tǒng)120的限制區(qū)域或設(shè)備等。在步驟1010，賣方向用戶提供事項ID和認(rèn)證請求。事項ID可有利地包括192比特數(shù)量，這 192比特數(shù)量具有用128比特隨機數(shù)量連接的32比特時間戳或者用32比特賣方特定常數(shù)連接的“隨機數(shù)”。這樣的事項ID唯一地識別事項，以使得仿造(copycat)事項可被授信引擎110拒絕。認(rèn)證請求可有利地包括特定事項需要什么水平的認(rèn)證。例如，賣方可指定討論中的事項所需的特定置信水平。如果不能使認(rèn)證達到該置信水平，則如以下將論述的，在用戶沒有進行進一步認(rèn)證以提升置信水平或者就賣方與服務(wù)器之間的認(rèn)證而言沒有變化的情況下，事項將不發(fā)生。以下更完整地論述這些問題。根據(jù)一個實施例，可以有利的是，由賣方端小應(yīng)用程序或者其它軟件程序產(chǎn)生事項ID和認(rèn)證請求。另外，事項ID和認(rèn)證數(shù)據(jù)的發(fā)送可包括使用常規(guī)SSL技術(shù)加密的一個或多個XML文檔，所述常規(guī)SSL技術(shù)例如，1/2 SSL，或換句話講，賣方端認(rèn)證的SSL。在用戶系統(tǒng)105接收到事項ID和認(rèn)證請求之后，用戶系統(tǒng)105從用戶收集當(dāng)前認(rèn)證數(shù)據(jù)，所述當(dāng)前認(rèn)證數(shù)據(jù)可潛在包括當(dāng)前生物辨識信息。系統(tǒng)105在步驟1015用認(rèn)證引擎215的公鑰至少對當(dāng)前認(rèn)證數(shù)據(jù)“B”和事項ID進行加密，并將該數(shù)據(jù)傳送到授信引擎 110。發(fā)送優(yōu)選地包括至少用常規(guī)1/2 SSL技術(shù)加密的XML文檔。在步驟1020中，事項引擎205接收發(fā)送，優(yōu)選地，識別URL或URI中的數(shù)據(jù)格式或請求，并將發(fā)送轉(zhuǎn)發(fā)到認(rèn)證引擎 215。在步驟1015和1020期間，賣方系統(tǒng)120在步驟1025使用優(yōu)選的全SSL技術(shù)將事項ID和認(rèn)證請求轉(zhuǎn)發(fā)到授信引擎110。該通信還可包括賣方ID，但是還可通過事項ID 的非隨機部分來傳送賣方標(biāo)識。在步驟1030和1035，事項引擎205接收通信，在審查跟蹤中創(chuàng)建記錄，并產(chǎn)生對將從數(shù)據(jù)存儲設(shè)施Dl至D4組裝的用戶注冊認(rèn)證數(shù)據(jù)的請求。在步驟1040，貯藏系統(tǒng)700將與用戶對應(yīng)的注冊認(rèn)證數(shù)據(jù)的部分傳送到認(rèn)證引擎215。在步驟 1045，認(rèn)證引擎215使用它的私鑰對發(fā)送進行解密，并將注冊認(rèn)證數(shù)據(jù)與由用戶提供的當(dāng)前認(rèn)證數(shù)據(jù)進行比較。步驟1045的比較可有利地應(yīng)用如在前述中論及的且在以下更詳細論述的啟發(fā)式情景敏感認(rèn)證。例如，如果接收的生物辨識信息不完美匹配，則較低置信匹配產(chǎn)生。在特定實施例中，使認(rèn)證的置信水平與事項的性質(zhì)及用戶和賣方這二者的期望平衡。再次，以下更詳細地論述這方面。在步驟1050，認(rèn)證引擎215用步驟1045的比較結(jié)果填充認(rèn)證請求。根據(jù)本發(fā)明的一個實施例，用認(rèn)證處理1000的是/否或者真/偽結(jié)果填充認(rèn)證請求。在步驟1055中，將填充的認(rèn)證請求返回給賣方，以使賣方按照例如使得用戶可完成發(fā)起認(rèn)證請求的事項而動作。根據(jù)一個實施例，將確認(rèn)消息傳遞給用戶。基于前述，認(rèn)證處理1000有利地保持敏感數(shù)據(jù)安全，并產(chǎn)生被構(gòu)造為保持敏感數(shù)據(jù)的完整性的結(jié)果。例如，僅在認(rèn)證引擎215內(nèi)部組裝敏感數(shù)據(jù)。例如，注冊認(rèn)證數(shù)據(jù)不可破譯，直到數(shù)據(jù)組裝模塊在認(rèn)證引擎215中組裝它為止，并且當(dāng)前認(rèn)證數(shù)據(jù)不可破譯，直到通過常規(guī)SSL技術(shù)和認(rèn)證引擎215的私鑰展開它為止。而且，發(fā)送到賣方的認(rèn)證結(jié)果不包括敏感數(shù)據(jù)，用戶可能甚至不知道他或她是否生成有效的認(rèn)證數(shù)據(jù)。雖然參照認(rèn)證處理1000的優(yōu)選實施例和可替換實施例公開了認(rèn)證處理1000，但是本發(fā)明并非意圖受限于此。相反，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到認(rèn)證處理1000的大量可替換方案。例如，可以有利的是，賣方用幾乎任意請求應(yīng)用替換，甚至用與用戶系統(tǒng) 105 一起駐存的那些應(yīng)用。例如，諸如微軟Word的客戶端應(yīng)用程序可使用應(yīng)用程序接口 (API)或密碼API (CAPI)來請求在解鎖文檔之前進行認(rèn)證?？商鎿Q地，郵件服務(wù)器、網(wǎng)絡(luò)、 蜂窩電話、個人或移動計算設(shè)備、工作站等都可提出進行通過認(rèn)證處理1000填充的認(rèn)證請求。事實上，在提供前述可信認(rèn)證處理1000之后，請求應(yīng)用或設(shè)備可提供對大量電子或計算機設(shè)備或系統(tǒng)的訪問或使用。而且，在認(rèn)證失敗的情況下，認(rèn)證處理1000可利用大量可替換過程。例如，認(rèn)證失敗可保持相同的事項ID，并請求用戶重新鍵入他或她的當(dāng)前認(rèn)證數(shù)據(jù)。如在前述中所提及的，相同事項ID的使用使得認(rèn)證引擎215的比較器可監(jiān)視和限制對于特定事項的認(rèn)證嘗試的次數(shù)，從而創(chuàng)建更安全的密碼系統(tǒng)100。另外，可以有利的是，利用認(rèn)證處理1000來制定(發(fā)展)簡潔的一次簽入解決方案，諸如，解鎖敏感數(shù)據(jù)庫。例如，成功的或者肯定的認(rèn)證可為認(rèn)證用戶提供自動存取用于幾乎無限數(shù)量的系統(tǒng)和應(yīng)用的任意數(shù)量的密碼的能力。例如，用戶認(rèn)證可為用戶提供對與以下相關(guān)聯(lián)的密碼、登錄、財務(wù)憑證等的存取多個在線賣方、局域網(wǎng)、各種個人計算設(shè)備、 互聯(lián)網(wǎng)服務(wù)提供商、拍賣提供商、投資經(jīng)紀(jì)等。通過利用敏感數(shù)據(jù)庫，由于用戶不再需要通過關(guān)聯(lián)記住真正大的隨機密碼，所以用戶可選擇這些密碼。相反，認(rèn)證處理1000提供對這些密碼的存取。例如，用戶可選擇長度為二十幾數(shù)位的隨機字母數(shù)字串，而不是與可記憶的數(shù)據(jù)、名稱等相關(guān)聯(lián)的某個串。
根據(jù)一個實施例，可以有利的是，將與給定用戶相關(guān)聯(lián)的敏感數(shù)據(jù)庫存儲在貯藏器210的數(shù)據(jù)存儲設(shè)施中，或者對該敏感數(shù)據(jù)庫進行分割，并存儲在貯藏系統(tǒng)700中。根據(jù)本實施例，在肯定的用戶認(rèn)證之后，授信引擎110將請求的敏感數(shù)據(jù)用于例如請求應(yīng)用的合適密碼。根據(jù)另一個實施例，授信引擎110可包括用于存儲敏感數(shù)據(jù)庫的單獨系統(tǒng)。例如，授信引擎110可包括實現(xiàn)數(shù)據(jù)庫功能的獨立軟件引擎，該獨立軟件引擎象征性地駐存在授信引擎110的前述前端安全系統(tǒng)“后面”。根據(jù)本實施例，在軟件引擎從授信引擎110 接收到指示肯定的用戶認(rèn)證的信號之后，軟件引擎提供(供應(yīng))請求的敏感數(shù)據(jù)。在又一個實施例中，數(shù)據(jù)庫可用第三方系統(tǒng)來實現(xiàn)。與軟件引擎實施例類似，在第三方系統(tǒng)從授信引擎110接收到指示肯定的用戶認(rèn)證的信號之后，第三方系統(tǒng)可有利地提供請求的敏感數(shù)據(jù)。根據(jù)又一個實施例，數(shù)據(jù)庫可在用戶系統(tǒng)105上實現(xiàn)。用戶端軟件引擎可有利地在從授信引擎110接收到指示肯定的用戶認(rèn)證的信號之后提供前述數(shù)據(jù)。雖然參照可替換實施例公開了前述數(shù)據(jù)庫，但是技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到其大量另外的實現(xiàn)。例如，特定數(shù)據(jù)庫可包括來自前述實施例中的一些或全部的方面。 另外，前述數(shù)據(jù)庫中的任意一個可在不同時間利用一個或多個認(rèn)證請求。例如，所述數(shù)據(jù)庫中的任意一個可以按每一個事項或多個事項、周期性地、每一個會話或多個會話、每次訪問一個或多個網(wǎng)頁或網(wǎng)站、以一個或多個其它指定間隔等要求認(rèn)證。圖11示出根據(jù)本發(fā)明的實施例的方面的簽名處理1100的數(shù)據(jù)流。如圖11所示， 簽名處理1100包括與前面參照圖10所述的認(rèn)證處理1000的步驟類似的步驟。根據(jù)本發(fā)明的一個實施例，簽名處理1100首先對用戶進行認(rèn)證，然后執(zhí)行如以下將更詳細論述的幾種數(shù)字簽名功能中的一種或多種。根據(jù)另一個實施例，簽名處理1100可有利地存儲與其相關(guān)的數(shù)據(jù)，諸如消息或文檔的散列等。可以有利的是，例如，當(dāng)參與方試圖拒絕事項時，在審查或任意其它事件中使用該數(shù)據(jù)。如圖11所示，在認(rèn)證步驟期間，用戶和賣方可有利地對消息達成一致意見，所述消息例如合約。在簽名期間，簽名處理1100有利地確保由用戶簽名的合約與由賣方提供的合約相同。因此，根據(jù)一個實施例，在認(rèn)證期間，賣方和用戶將他們各自的消息或合約副本的散列包括在發(fā)送到認(rèn)證引擎215的數(shù)據(jù)中。通過僅利用消息或合同的散列，授信引擎110 可有利地存儲數(shù)量大幅減少的數(shù)據(jù)，從而提供效率更高的、成本有效的密碼系統(tǒng)。另外，可以有利的是，將存儲的散列與所談及的文檔的散列進行比較，以確定所談及的文檔是否與由所述方中的任意一方簽名的文檔匹配。確定文檔是否與和事項相關(guān)的文檔相同的能力提供反對一方拒絕事項的聲稱可使用的附加證據(jù)。在步驟1103中，認(rèn)證引擎215組裝注冊認(rèn)證數(shù)據(jù)，并將它與由用戶提供的當(dāng)前認(rèn)證數(shù)據(jù)進行比較。當(dāng)認(rèn)證引擎215的比較器指示注冊認(rèn)證數(shù)據(jù)與當(dāng)前認(rèn)證數(shù)據(jù)匹配時，認(rèn)證引擎215的比較器還將由賣方提供的消息的散列與由用戶提供的消息的散列進行比較。 因此，認(rèn)證引擎215有利地確保用戶同意的消息與賣方同意的消息相同。在步驟1105中，認(rèn)證引擎215將數(shù)字簽名請求發(fā)送到密碼引擎220。根據(jù)本發(fā)明的一個實施例，請求包括消息或合約的散列。然而，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到密碼引擎220可對幾乎任意類型的數(shù)據(jù)進行加密，所述數(shù)據(jù)包括，但不限于，視頻、音頻、生物辨識、形成期望數(shù)字簽名的圖像或文本。返回到步驟1105，數(shù)字簽名請求優(yōu)選地包括通過常規(guī)SSL技術(shù)傳送的XML文檔。
在步驟1110中，認(rèn)證引擎215將請求發(fā)送到數(shù)據(jù)存儲設(shè)施Dl至D4中的每個，以使得數(shù)據(jù)存儲設(shè)施Dl至D4中的每個發(fā)送與簽名方對應(yīng)的一個密碼密鑰或多個密碼密鑰的它們各自的部分。根據(jù)另一個實施例，密碼引擎220利用前面論述的互操作處理970的步驟中的一些或全部，以使得密碼引擎220首先確定來自貯藏器210或貯藏系統(tǒng)700對于簽名方的請求的合適的一個密鑰或多個密鑰，并采取動作來提供合適的匹配密鑰。根據(jù)又一個實施例，認(rèn)證引擎215或密碼引擎220可有利地請求與簽名方相關(guān)聯(lián)的且存儲在貯藏器 210或貯藏系統(tǒng)700中的密鑰中的一個或多個。根據(jù)一個實施例，簽名方包括用戶和賣方中的一個或兩個。在這樣的情況下，認(rèn)證引擎215有利地請求與用戶和/或賣方對應(yīng)的密碼密鑰。根據(jù)另一個實施例，簽名方包括授信引擎110。在本實施例中，授信引擎110證明認(rèn)證處理1000正確地認(rèn)證用戶、賣方或者這二者。因此，認(rèn)證引擎215請求授信引擎110的密碼密鑰，例如，屬于密碼引擎220的密鑰，以執(zhí)行數(shù)字簽名。根據(jù)另一個實施例，授信引擎110執(zhí)行類似數(shù)字公證的功能。在本實施例中，除了授信引擎110之外，簽名方還包括用戶、賣方或者這二者。因此，授信引擎10 提供用戶和/或賣方的數(shù)字簽名，然后用其自己的數(shù)字簽名指示用戶和/或賣方被正確地認(rèn)證。在本實施例中，認(rèn)證引擎215可有利地請求與用戶、賣方或者這二者對應(yīng)的密碼密鑰的組裝。根據(jù)另一個實施例，認(rèn)證引擎215可有利地請求與授信引擎110對應(yīng)的密碼密鑰的組裝。根據(jù)另一個實施例，授信引擎110執(zhí)行類似委托書的功能。例如，授信引擎110可代表第三方對消息進行數(shù)字簽名。在這樣的情況下，認(rèn)證引擎215請求與第三方相關(guān)聯(lián)的密碼密鑰。根據(jù)本實施例，簽名處理1100可有利地包括在允許類似委托書的功能之前對第三方進行認(rèn)證。另外，認(rèn)證處理1000可包括檢查第三方約束，例如命令什么時候和在什么狀況下可使用特定第三方的簽名的業(yè)務(wù)邏輯等?；谇笆?，在步驟1110中，認(rèn)證引擎向數(shù)據(jù)存儲設(shè)施Dl至D4請求與簽名方對應(yīng)的密碼密鑰。在步驟1115中，數(shù)據(jù)存儲設(shè)施Dl至D4將與簽名方對應(yīng)的密碼密鑰的它們各自的部分發(fā)送到密碼引擎220。根據(jù)一個實施例，前述發(fā)送包括SSL技術(shù)。根據(jù)另一個實施例，可以有利的是，用密碼引擎220的公鑰對前述發(fā)送進行超級加密。在步驟1120中，密碼引擎220組裝簽名方的前述密碼密鑰，并對用這些密碼密鑰對消息進行加密，從而形成數(shù)字簽名。在簽名處理1100的步驟1125中，密碼引擎220將數(shù)字簽名發(fā)送到認(rèn)證引擎215。在步驟1130中，認(rèn)證引擎215將填充的認(rèn)證請求與散列消息的副本和數(shù)字簽名一起發(fā)送給事項引擎205。在步驟1135中，事項引擎205將收條發(fā)送給賣方，所述收條包括事項ID、認(rèn)證是否成功的指示和數(shù)字簽名。根據(jù)一個實施例，前述發(fā)送可有利地包括授信引擎110的數(shù)字簽名。例如，授信引擎110可用其私鑰對收條的散列進行加密，從而形成將附到賣方的發(fā)送的數(shù)字簽名。根據(jù)一個實施例，事項引擎205還將確認(rèn)消息發(fā)送給用戶。雖然參照簽名處理 1100的優(yōu)選實施例和可替換實施例公開了簽名處理1100，但是本發(fā)明并非意圖受限于此。 相反，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到簽名處理1100的大量可替換方案。例如，賣方可用諸如電子郵件應(yīng)用程序的用戶應(yīng)用程序替換。例如，用戶可能希望用他或她的數(shù)字簽名對特定電子郵件進行數(shù)字簽名。在這樣的實施例中，貫穿簽名處理1100的發(fā)送可有利地僅包括消息的散列的一個副本。而且，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到大量客戶端應(yīng)用程序可請求數(shù)字簽名。例如，客戶端應(yīng)用程序可包括字處理器、電子表格、電子郵件、語音郵件、限制系統(tǒng)區(qū)域的進入等。另外，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到簽名處理1100的步驟1105至1120可有利地利用圖9B的互操作處理970的步驟中的一些或全部，從而提供不同密碼系統(tǒng)之間的互操作性，所述密碼系統(tǒng)可能例如需要處理不同簽名類型下的數(shù)字簽名。圖12示出根據(jù)本發(fā)明的實施例的方面的加密/解密處理1200的數(shù)據(jù)流。如圖12 所示，解密處理1200通過下述方式開始，S卩，使用認(rèn)證處理1000對用戶進行認(rèn)證。根據(jù)一個實施例，認(rèn)證處理1000將同步會話密鑰包括在認(rèn)證請求中。例如，在常規(guī)PKI技術(shù)中，技術(shù)人員理解的是，使用公鑰和私鑰對數(shù)據(jù)進行加密或解密在數(shù)學(xué)上是密集的，并且可能需要大量系統(tǒng)資源。然而，在對稱密鑰密碼系統(tǒng)或者在其中消息的發(fā)送者和接收者共享用于對消息進行加密和解密的單個公用密鑰的系統(tǒng)中，數(shù)學(xué)運算顯著簡單得多，并且快得多。因此，在常規(guī)PKI技術(shù)中，消息的發(fā)送者將產(chǎn)生同步會話密鑰，并使用更簡單的、更快的對稱密鑰系統(tǒng)對消息進行加密。然后，發(fā)送者將用接收者的公鑰對會話密鑰進行加密。加密的會話密鑰將被附到同步加密的消息，這兩個數(shù)據(jù)被發(fā)送到接收者。接收者使用他或她的私鑰對會話密鑰進行解密，然后使用會話密鑰對消息進行解密。基于前述，更簡單的、更快的對稱密鑰系統(tǒng)被用于大部分加密/解密處理。因此，在解密處理1200中，解密有利地假設(shè)同步密鑰已用用戶的公鑰進行加密。因此，如在前述中所提及的，將加密的會話密鑰包括在認(rèn)證請求中。返回到解密處理1200，在步驟1205中已對用戶進行認(rèn)證之后，認(rèn)證引擎215將加密的會話密鑰轉(zhuǎn)發(fā)到密碼引擎220。在步驟1210中，認(rèn)證引擎215將請求轉(zhuǎn)發(fā)到數(shù)據(jù)存儲設(shè)施Dl至D4中的每個，所述請求請求用戶的密碼密鑰數(shù)據(jù)。在步驟1215中，每個數(shù)據(jù)存儲設(shè)施Dl至D4將它們各自的密碼密鑰部分發(fā)送到密碼引擎220。根據(jù)一個實施例，前述發(fā)送用密碼引擎220的公鑰進行加密。在解密處理1200的步驟1220中，密碼引擎2 組裝密碼密鑰，并用該密碼密鑰對會話密鑰解密。在步驟1225中，密碼引擎將會話密鑰轉(zhuǎn)發(fā)到認(rèn)證引擎215。在步驟1227中， 認(rèn)證引擎215填充包括解密的會話密鑰的認(rèn)證請求，并將填充的認(rèn)證請求發(fā)送到事項引擎 205。在步驟1230中，事項引擎205將認(rèn)證請求與會話密鑰一起轉(zhuǎn)發(fā)到請求應(yīng)用程序或賣方。然后，根據(jù)一個實施例，請求應(yīng)用程序或賣方使用會話密鑰對加密的消息進行解密。雖然參照解密處理1200的優(yōu)選實施例和可替換實施例公開了解密處理1200，但是技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到解密處理1200的大量可替換方案。例如，解密處理 1200可放棄同步密鑰加密，并依賴于全公鑰技術(shù)。在這樣的實施例中，請求應(yīng)用程序可將整個消息發(fā)送到密碼引擎220，或者可利用一些類型的壓縮或可逆散列，以便將消息發(fā)送到密碼引擎220。技術(shù)人員還將從本文的公開內(nèi)容認(rèn)識到前述通信可有利地包括用SSL技術(shù)包裝的XML文檔。加密/解密處理1200還提供文檔或其它數(shù)據(jù)的加密。因此，在步驟1235中，請求應(yīng)用程序或賣方可有利地將對用戶的公鑰的請求發(fā)送到授信引擎Iio的事項引擎205。由于請求應(yīng)用程序或賣方使用用戶的公鑰來例如對將被用于對文檔或消息進行加密的會話密鑰進行加密，所以請求應(yīng)用程序或賣方提出該請求。如在注冊處理900中所提及的，事項引擎205將用戶的數(shù)字證書的副本存儲在例如大容量儲存器225中。因此，在加密處理1200的步驟1240中，事項引擎205向大容量儲存器225請求用戶的數(shù)字證書。在步驟1245中， 大容量儲存器225將與用戶對應(yīng)的數(shù)字證書發(fā)送到事項引擎205。在步驟1250中，事項引擎205將數(shù)字證書發(fā)送到請求應(yīng)用程序或賣方。根據(jù)一個實施例，加密處理1200的加密部分不包括對用戶進行認(rèn)證。這是因為請求賣方僅需要用戶的公鑰，并不請求任意敏感數(shù)據(jù)。技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到，如果特定用戶不具有數(shù)字證書，則授信引擎110可利用注冊處理900中的一些或全部，以便為該特定用戶產(chǎn)生數(shù)字證書。然后，授信引擎110可發(fā)起加密/解密處理1200，從而提供合適的數(shù)字證書。另外，技術(shù)人員將從本文的公開內(nèi)容認(rèn)識到，加密/解密處理1200的步驟1220和1235至1250可有利地利用圖 9B的互操作處理的步驟中的一些或全部，從而提供不同密碼系統(tǒng)之間的互操作性，所述不同密碼系統(tǒng)可能例如需要對加密進行處理。圖13示出根據(jù)本發(fā)明的又一個實施例的方面的授信引擎系統(tǒng)1300的簡化框圖。 如圖13所示，授信引擎系統(tǒng)1300分別包括多個獨立(distinct)的授信引擎1305、1310、 1315和1320。為了幫助更徹底地理解本發(fā)明，圖13將每個授信引擎1305、1310、1315和 1320示為具有事項引擎、貯藏器和認(rèn)證引擎。然而，技術(shù)人員將認(rèn)識到，每個事項引擎可有利地包括參照圖1-8公開的元件和通信信道中的一些、組合或全部。例如，一個實施例可有利地包括具有一個或多個事項引擎、貯藏器和密碼服務(wù)器或者它們的任意組合的授信引擎。根據(jù)本發(fā)明的一個實施例，授信引擎1305、1310、1315和1320均在地理上是分離的，以使得例如，授信引擎1305可駐存在第一位置中，授信引擎1310可駐存在第二位置中， 授信引擎1315可駐存在第三位置中，授信引擎1320可駐存在第四位置中。前述地理分離有利地在提高整個授信引擎系統(tǒng)1300的安全性的同時縮短系統(tǒng)響應(yīng)時間。例如，當(dāng)用戶登錄到密碼系統(tǒng)100上時，用戶可能離第一位置最近，并可能期望被認(rèn)證。如參照圖10所述的，為了被認(rèn)證，用戶提供當(dāng)前認(rèn)證數(shù)據(jù)，諸如生物辨識等，并將當(dāng)前認(rèn)證數(shù)據(jù)與該用戶的注冊認(rèn)證數(shù)據(jù)進行比較。因此，根據(jù)一個示例，用戶有利地將當(dāng)前認(rèn)證數(shù)據(jù)提供給地理上最近的授信引擎1305。授信引擎1305的事項引擎1321然后將當(dāng)前認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)到認(rèn)證引擎1322，認(rèn)證引擎1322也駐存在第一位置。根據(jù)另一個實施例，事項引擎1321將當(dāng)前認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)到授信引擎1310、1315或1320的認(rèn)證引擎中的一個或多個。事項引擎1321還向例如授信引擎1305至1320中的每個的貯藏器請求注冊認(rèn)證數(shù)據(jù)的組裝。根據(jù)本實施例，每個貯藏器將它的注冊認(rèn)證數(shù)據(jù)部分提供給授信引擎1305的認(rèn)證引擎1322。認(rèn)證引擎1322然后利用來自例如第一兩個貯藏器的加密數(shù)據(jù)部分做出響應(yīng)，并將注冊認(rèn)證數(shù)據(jù)組裝為破譯形式。認(rèn)證引擎1322將注冊認(rèn)證數(shù)據(jù)與當(dāng)前認(rèn)證數(shù)據(jù)進行比較，并將認(rèn)證結(jié)果返回給授信引擎1305的事項引擎1321。基于以上，授信引擎系統(tǒng)1300利用多個地理上分離的授信引擎1305至1320中的最近一個來執(zhí)行認(rèn)證處理。根據(jù)本發(fā)明的一個實施例，可以有利的是，在客戶端小應(yīng)用程序執(zhí)行信息到最近事項引擎的路由，所述客戶端小應(yīng)用程序在用戶系統(tǒng)105、賣方系統(tǒng)120或證書管理中心115中的一個或多個上執(zhí)行。根據(jù)可替換實施例，可利用更復(fù)雜的決策處理來從授信引擎1305至1320選擇。例如，決策可基于給定授信引擎的可用性、可操作性、連接速度、負(fù)荷、性能、地理相鄰性或者它們的組合。
29
以這種方式，授信引擎系統(tǒng)1300在保持與地理上遙遠的數(shù)據(jù)存儲設(shè)施相關(guān)聯(lián)的安全性優(yōu)點的同時縮短它的響應(yīng)時間，所述數(shù)據(jù)存儲設(shè)施諸如參照圖7論述的那些數(shù)據(jù)存儲設(shè)施，在圖7中，每個數(shù)據(jù)存儲設(shè)施存儲敏感數(shù)據(jù)的隨機化部分。例如，諸如授信引擎 1314的貯藏器1325處的安全性損壞不一定損壞授信引擎系統(tǒng)1300的敏感數(shù)據(jù)。這是因為貯藏器1325僅包含非可破譯的隨機化數(shù)據(jù)，所述數(shù)據(jù)在沒有更多的情況下完全無用。根據(jù)另一個實施例，授信引擎系統(tǒng)1300可有利地包括與認(rèn)證引擎類似的多個密碼引擎。密碼引擎可有利地執(zhí)行密碼功能，諸如參照圖1-8公開的那些密碼功能。根據(jù)又一個實施例，授信引擎系統(tǒng)1300可有利地用多個密碼引擎替換多個認(rèn)證引擎，從而執(zhí)行密碼功能，諸如參照圖1-8公開的那些密碼功能。根據(jù)本發(fā)明的又一個實施例，授信引擎系統(tǒng) 1300可用下述引擎替換每個多個認(rèn)證引擎，所述引擎具有如前面所公開的認(rèn)證引擎、密碼引擎或者這二者中的功能中的一些或全部。雖然參照授信引擎系統(tǒng)1300的優(yōu)選實施例和可替換實施例公開了授信引擎系統(tǒng) 1300，但是技術(shù)人員將認(rèn)識到授信引擎系統(tǒng)1300可包括授信引擎1305至1320的部分。例如，授信引擎系統(tǒng)1300可包括一個或多個事項引擎、一個或多個貯藏器、一個或多個認(rèn)證引擎或者一個或多個密碼引擎或者它們的組合。圖14示出根據(jù)本發(fā)明的又一個實施例的方面的授信引擎系統(tǒng)1400的簡化框圖。 如圖14所示，授信引擎系統(tǒng)1400包括多個授信引擎1405、1410、1415和1420。根據(jù)一個實施例，授信引擎1405、1410、1415和1420均包括參照圖1_8公開的授信引擎110的元件中的一些或全部。根據(jù)本實施例，當(dāng)用戶系統(tǒng)105、賣方系統(tǒng)120或證書管理中心115的客戶端小應(yīng)用程序與授信引擎系統(tǒng)1400進行通信時，那些通信被發(fā)送到授信引擎1405至1420 中的每個的IP地址。此外，授信引擎1405、1410、1415和1420中的每個的每個事項引擎與參照圖13公開的授信引擎1305的事項引擎1321類似地工作(表現(xiàn))。例如，在認(rèn)證處理期間，授信引擎1405、1410、1415和1420中的每個的每個事項引擎將當(dāng)前認(rèn)證數(shù)據(jù)發(fā)送到它們各自的認(rèn)證引擎，并發(fā)送組裝存儲在授信引擎1405至1420中的每個的貯藏器中的每個中的隨機化數(shù)據(jù)的請求。圖14沒有示出這些通信的全部；因為這樣的圖示將變得過度復(fù)雜。繼續(xù)認(rèn)證處理，每個貯藏器然后將它的隨機化數(shù)據(jù)部分傳送到授信引擎1405至1420 中的每個的認(rèn)證引擎中的每個。每個授信引擎的每個認(rèn)證引擎利用它的比較器確定當(dāng)前認(rèn)證數(shù)據(jù)是否與由授信引擎1405至1420中的每個的貯藏器提供的注冊認(rèn)證數(shù)據(jù)匹配。根據(jù)本實施例，然后將每個認(rèn)證引擎的比較結(jié)果發(fā)送到其它三個授信引擎的冗余模塊。例如，將來自授信引擎1405的認(rèn)證引擎的結(jié)果發(fā)送到授信引擎1410、1415和1420的冗余模塊。因此，授信引擎1405的冗余模塊同樣接收到來自授信引擎1410、1415和1420的認(rèn)證引擎的結(jié)果。圖15示出圖14的冗余模塊的框圖。冗余模塊包括比較器，所述比較器被構(gòu)造為從三個認(rèn)證引擎接收認(rèn)證結(jié)果，并將該結(jié)果發(fā)送到第四授信引擎的事項引擎。比較器比較來自三個認(rèn)證引擎的認(rèn)證結(jié)果，并且如果所述結(jié)果中的兩個一致，則比較器推斷認(rèn)證結(jié)果應(yīng)該與兩個同意認(rèn)證引擎的認(rèn)證結(jié)果匹配。然后，將該結(jié)果發(fā)送回與和三個認(rèn)證引擎不相關(guān)聯(lián)的授信引擎對應(yīng)的事項引擎。基于前述，冗余模塊根據(jù)從認(rèn)證引擎接收的數(shù)據(jù)確定認(rèn)證結(jié)果，所述認(rèn)證引擎優(yōu)選地在地理上遠離該冗余模塊的授信引擎。通過提供這樣的冗余功能，授信引擎系統(tǒng)1400確保授信引擎1405至1420之一的認(rèn)證引擎的損壞不足以損壞該特定授信引擎的冗余模塊的認(rèn)證結(jié)果。技術(shù)人員將認(rèn)識到授信引擎系統(tǒng)1400的冗余模塊功能還可應(yīng)用于授信引擎 1405至1420中的每個的密碼引擎。然而，為了避免復(fù)雜，在圖14中沒有顯示這樣的密碼引擎通信。而且，技術(shù)人員將認(rèn)識到用于圖15的比較器的大量可替換的認(rèn)證結(jié)果沖突解決算法適合用在本發(fā)明中。根據(jù)本發(fā)明的又一個實施例，授信引擎系統(tǒng)1400可有利地在密碼比較步驟期間利用冗余模塊。例如，可以有利的是，在由一方或多方在特定事項期間提供的文檔的散列比較期間實現(xiàn)參照圖14和15的前述冗余模塊公開內(nèi)容中的一些或全部。雖然就某些優(yōu)選實施例和可替換實施例對前述發(fā)明進行了描述，但是本領(lǐng)域的普通技術(shù)人員將從本文的公開內(nèi)容明白其它實施例。例如，授信引擎110可頒發(fā)短期證書，在這種情況下，在預(yù)定時間段內(nèi)將私有密碼密鑰發(fā)布給用戶。例如，當(dāng)前證書標(biāo)準(zhǔn)包括可被設(shè)置為在預(yù)定時間量之后過期的有效性字段。因此，授信引擎110可將私鑰發(fā)布給用戶，在這種情況下，該私鑰將在例如M小時內(nèi)有效。根據(jù)這樣的實施例，授信引擎110可有利地頒發(fā)與特定用戶相關(guān)聯(lián)的密碼密鑰對，然后發(fā)布新的密碼密鑰對的私鑰。那么，一旦私有密碼密鑰被發(fā)布，由于它不再可被授信引擎110安全保護，所以授信引擎110就立即使這樣的私鑰的任意內(nèi)部有效使用過期。另外，技術(shù)人員將認(rèn)識到，密碼系統(tǒng)100或授信引擎110可包括識別任意類型設(shè)備的能力，所述設(shè)備例如，但不限于，膝上型電腦、蜂窩電話、網(wǎng)絡(luò)、生物辨識設(shè)備等。根據(jù)一個實施例，這樣的識別可來自于對于特定服務(wù)的請求中所提供的數(shù)據(jù)，所述請求例如對導(dǎo)致存取或使用的認(rèn)證的請求、對密碼功能的請求等。根據(jù)一個實施例，前述請求可包括唯一設(shè)備標(biāo)識符，例如，處理器ID?？商鎿Q地，請求可包括特定可識別數(shù)據(jù)格式的數(shù)據(jù)。例如，移動電話和衛(wèi)星電話通常不包括對于全)(509. v3重加密證書的處理能力，并因此，不請求它們。 根據(jù)本實施例，授信引擎110可識別所呈現(xiàn)的數(shù)據(jù)格式的類型，并僅以同樣的方法作出響應(yīng)。在上述系統(tǒng)的另外的方面中，可使用如以下將描述的各種技術(shù)提供情景敏感認(rèn)證。例如如圖16所示的情景敏感認(rèn)證提供不僅評估由用戶在嘗試認(rèn)證他自己時發(fā)送的實際數(shù)據(jù)、而且還評估該數(shù)據(jù)的產(chǎn)生和遞送周圍的狀況的可能性。如以下將描述的，這樣的技術(shù)也可支持用戶與授信引擎110之間或者賣方與授信引擎110之間的事項特定信任仲裁。如上所述，認(rèn)證是證明用戶是他聲稱他是的那個人的處理?？偟貋碇v，認(rèn)證要求向認(rèn)證管理中心證實一些事實。本發(fā)明的授信引擎110表示用戶必須向其認(rèn)證他自己的管理中心。用戶必須通過以下方式中的任意一種向授信引擎110證實他是他聲稱他是的那個人知道僅該用戶應(yīng)該知道的某事(基于知識的認(rèn)證)、具有僅該用戶應(yīng)該具有的某物(基于令牌的認(rèn)證)或者僅該用戶應(yīng)該是的某人(基于生物辨識的認(rèn)證)?；谥R的認(rèn)證的示例包括，但不限于，密碼、PIN號或者鎖定組合?；诹钆频恼J(rèn)證的示例包括，但不限于，房間鑰匙、物理信用卡、駕駛執(zhí)照或者特定的電話號碼?；谏锉孀R的認(rèn)證的示例包括，但不限于，指紋、手寫分析、臉掃描、手掃描、耳掃描、虹膜掃描、 血管模式、DNA、語音分析或視網(wǎng)膜掃描。每種類型的認(rèn)證具有特定的優(yōu)點和缺點，并且每個提供不同水平的安全性。例如， 創(chuàng)建與其他人的指紋匹配的偽造指紋通常比竊聽某人的密碼并重復(fù)它更困難。每種類型的認(rèn)證還要求認(rèn)證管理中心知道不同類型的數(shù)據(jù)，以便使用該形式的認(rèn)證對某人進行驗證。如本文所使用的，“認(rèn)證”將廣義地表示驗證某人的身份是他聲稱他是的那個人的整個處理?！罢J(rèn)證技術(shù)”將表示基于特定條知識、物理令牌或者生物辨識讀取的特定類型的認(rèn)證?！罢J(rèn)證數(shù)據(jù)”表示被發(fā)送到認(rèn)證管理中心或者以其它方式向認(rèn)證管理中心證實以便建立身份的信息。“注冊數(shù)據(jù)”將表示一開始提交給認(rèn)證管理中心以便建立用于與認(rèn)證數(shù)據(jù)進行比較的基線的數(shù)據(jù)?！罢J(rèn)證實例”將表示與嘗試通過認(rèn)證技術(shù)進行認(rèn)證相關(guān)聯(lián)的數(shù)據(jù)。以上參照圖10對認(rèn)證用戶的處理中所涉及的內(nèi)部協(xié)議和通信進行了描述。該處理的下述部分在顯示為圖10的步驟1045的比較步驟內(nèi)發(fā)生，在所述部分內(nèi)進行情景敏感認(rèn)證。該步驟在認(rèn)證引擎215內(nèi)發(fā)生，并包括組裝從貯藏器210檢索的注冊數(shù)據(jù)410，并將由用戶提供的認(rèn)證數(shù)據(jù)與它進行比較。在圖16中顯示了該處理的一種特定實施例，并在以下對該特定實施例進行描述。在圖16的步驟1600中，認(rèn)證引擎215接收由用戶提供的當(dāng)前認(rèn)證數(shù)據(jù)和從貯藏器210檢索的注冊數(shù)據(jù)。這兩組數(shù)據(jù)都可包含與單獨的認(rèn)證技術(shù)相關(guān)的數(shù)據(jù)。在步驟1605 中，認(rèn)證引擎215分離與每個單個認(rèn)證實例相關(guān)聯(lián)的認(rèn)證數(shù)據(jù)。這是必要的，以使得將認(rèn)證數(shù)據(jù)與用戶的注冊數(shù)據(jù)的合適子集進行比較(比如，應(yīng)該將指紋認(rèn)證數(shù)據(jù)與指紋注冊數(shù)據(jù)，而不是密碼注冊數(shù)據(jù)進行比較)?？偟貋碇v，根據(jù)用戶可使用哪些認(rèn)證技術(shù)，認(rèn)證用戶涉及一個或多個獨特認(rèn)證實例。這些方法受由用戶在他的注冊處理期間提供的注冊數(shù)據(jù)的限制(如果用戶在注冊時沒有提供視網(wǎng)膜掃描，則他將不能使用視網(wǎng)膜掃描對他自己進行認(rèn)證)，還受用戶當(dāng)前可使用的手段的限制(比如，如果用戶在他的當(dāng)前位置沒有指紋讀取器，則指紋認(rèn)證將不實用)。 在一些情況下，單個認(rèn)證實例可足以認(rèn)證用戶；然而，在某些情況下，對于特定事項，為了更有信心地認(rèn)證用戶，可使用多個認(rèn)證實例的組合。每個認(rèn)證實例包括與特定認(rèn)證技術(shù)(比如，指紋、密碼、智能卡等)相關(guān)的數(shù)據(jù)和圍繞用于該特定技術(shù)的數(shù)據(jù)的捕獲和遞送的狀況。例如，嘗試通過密碼進行認(rèn)證的特定實例將不僅產(chǎn)生與密碼本身相關(guān)的數(shù)據(jù)，而且還產(chǎn)生與該密碼嘗試相關(guān)的狀況數(shù)據(jù)，所述狀況數(shù)據(jù)通稱為“元數(shù)據(jù)”。該狀況數(shù)據(jù)包括諸如以下的信息特定認(rèn)證實例發(fā)生的時間、從其遞送認(rèn)證信息的網(wǎng)絡(luò)地址以及本領(lǐng)域技術(shù)人員已知的關(guān)于認(rèn)證數(shù)據(jù)的起源可確定的任意其它信息(連接類型、處理器序號等)。在許多情況下，將可僅獲得少量狀況元數(shù)據(jù)。例如，如果用戶位于使用代理或者屏蔽始發(fā)計算機地址的網(wǎng)絡(luò)地址轉(zhuǎn)譯或另一種技術(shù)的網(wǎng)絡(luò)上，則僅可確定代理或路由器的地址。類似地，在許多情況下，由于所使用的硬件或操作系統(tǒng)的限制、系統(tǒng)操作者禁用這樣的特征或者用戶系統(tǒng)與授信引擎110之間的連接的其它限制，而導(dǎo)致諸如處理器序號的信息將不可獲得。如圖16所示，一旦在步驟1605中提取并分離認(rèn)證數(shù)據(jù)內(nèi)表示的各個認(rèn)證實例，認(rèn)證引擎215就對每個實例評估它在指示用戶是他聲稱是的那個人的可靠性。單個認(rèn)證實例的可靠性將通常基于幾個因素來確定。這些因素可被分組為與在步驟1610中評估的與認(rèn)證技術(shù)相關(guān)聯(lián)的可靠性相關(guān)的因素；和與在步驟1815中評估的與所提供的特定認(rèn)證數(shù)據(jù)的可靠性相關(guān)的因素。第一分組包括，但不限于，所使用的認(rèn)證技術(shù)的固有可靠性和與該方法一起使用的注冊數(shù)據(jù)的可靠性。第二分組包括，但不限于，注冊數(shù)據(jù)與提供給認(rèn)證實例的數(shù)據(jù)之間的匹配程度和與該認(rèn)證實例相關(guān)聯(lián)的元數(shù)據(jù)。這些因素中的每個均可與其它因素獨立地改變。認(rèn)證技術(shù)的固有可靠性基于冒名頂替者提供其他人的正確數(shù)據(jù)有多難以及認(rèn)證技術(shù)的總體錯誤率。對于基于密碼和知識的認(rèn)證方法，由于沒有任何措施防止某人對另一個人透露他們的密碼和該第二個人使用該密碼，所以該可靠性通常相當(dāng)?shù)汀Ｓ捎谥R可相當(dāng)容易地在人之間傳送，所以即使更復(fù)雜的基于知識的系統(tǒng)也可僅具有中等的可靠性。由于不能保證適當(dāng)?shù)娜藫碛姓_的令牌，所以基于令牌的認(rèn)證(諸如具有正確的智能卡或者使用特定終端執(zhí)行認(rèn)證)類似于在單獨使用時具有低可靠性。然而，由于通常難以以方便的方式(甚至是有意地)為其他人提供使用你的指紋的能力，所以生物辨識技術(shù)更固有地可靠。由于破壞生物辨識認(rèn)證技術(shù)更困難，所以生物辨識方法的固有可靠性通常比純粹基于知識或令牌的認(rèn)證技術(shù)的固有可靠性高。然而，甚至生物辨識技術(shù)也可具有產(chǎn)生錯誤接受或錯誤拒絕的一些時候?？赏ㄟ^同一生物辨識技術(shù)的不同實現(xiàn)的不同可靠性來反映這些事件。例如，由一個公司提供的指紋匹配系統(tǒng)可提供比由不同公司提供的指紋匹配系統(tǒng)高的可靠性，這是因為一種指紋匹配系統(tǒng)使用更高質(zhì)量的光學(xué)器件或者更好的掃描分辨率或者減少錯誤接受或錯誤拒絕發(fā)生的一些其它改進。注意到，該可靠性可以以不同方式來表達。期望以啟發(fā)法530和認(rèn)證引擎215用來計算每個認(rèn)證的置信水平的算法可使用的某種度量來表達該可靠性。表達這些可靠性的一種優(yōu)選模式是百分?jǐn)?shù)或分?jǐn)?shù)。例如，指紋必須被分配97%的固有可靠性，而密碼可能僅被分配50%的固有可靠性。本領(lǐng)域技術(shù)人員將認(rèn)識到這些特定值僅僅是示例性的，并可在特定實現(xiàn)之間改變。必須針對其評價可靠性的第二因素是注冊的可靠性。這是以上論及的“分級注冊” 處理的一部分。該可靠性因素反映在初始注冊處理期間提供的識別的可靠性。例如，如果個人一開始以下述方式進行注冊，則數(shù)據(jù)將比在注冊期間通過網(wǎng)絡(luò)提供的、僅由數(shù)字簽名或者與個人不是真正相關(guān)聯(lián)的其它信息擔(dān)保的數(shù)據(jù)更可靠，所述方式即，他們向公證人或其它公共官方實際地出示他們身份的證據(jù)，并且在該時間記錄注冊數(shù)據(jù)，并對該注冊數(shù)據(jù)進行公證。改變可靠性水平的其它注冊技術(shù)包括，但不限于在授信引擎110操作者的實際辦公室進行注冊；在用戶的工作地點進行注冊；在郵局或護照辦公室進行注冊；通過授信引擎110操作者的附屬方或可信方進行注冊；不具名或匿名注冊，在不具名或匿名注冊中， 尚未對特定的實際個人識別注冊的身份；以及本領(lǐng)域已知的這樣的其它方式。這些因素反映授信引擎110與注冊處理期間提供的識別的源之間的信任。例如， 如果在提供身份證據(jù)的初始處理期間與雇員相關(guān)聯(lián)地執(zhí)行注冊，則為了在公司內(nèi)的目的， 該信息可被認(rèn)為是極其可靠的，但是政府機構(gòu)或者競爭者可能更小程度地信任該信息。因此，由這些其它組織中的每個操作的授信引擎可將不同水平的可靠性分配給該注冊。類似地，通過網(wǎng)絡(luò)提交的、但是通過在先前向同一個授信引擎110進行注冊期間所提供的其它可信數(shù)據(jù)而被認(rèn)證的附加數(shù)據(jù)可被認(rèn)為如原始注冊數(shù)據(jù)那樣可靠，即使后面的數(shù)據(jù)通過開放網(wǎng)絡(luò)提交。在這樣的狀況下，隨后的公證將有效地提高與原始注冊數(shù)據(jù)相關(guān)聯(lián)的可靠性水平。以這種方式，例如，則可通過向某個注冊官方證實與注冊數(shù)據(jù)匹配的個人身份來將不具名或匿名注冊提升為完整注冊。
以上論述的可靠性因素通常是可在任意特定的認(rèn)證實例之前確定的值。這是因為它們是基于注冊技術(shù)，而不是實際認(rèn)證。在一個實施例中，基于這些因素產(chǎn)生可靠性的步驟涉及查找先前對該特定認(rèn)證技術(shù)和用戶注冊數(shù)據(jù)確定的值。在本發(fā)明的有利實施例的進一步的方面中，注冊數(shù)據(jù)本身可包括這樣的可靠性。以這種方式，自動地將這些因素與從貯藏器210發(fā)送的注冊數(shù)據(jù)一起遞送到認(rèn)證引擎215。盡管這些因素通?？稍谌我獾膯蝹€認(rèn)證實例之前確定，但是它們?nèi)詫⒃撎囟ㄕJ(rèn)證技術(shù)用于該用戶的每個認(rèn)證實例具有影響。此外，雖然值可隨時間推移而改變(比如，如果用戶以更可靠的方式重新注冊)，但是它們不取決于認(rèn)證數(shù)據(jù)本身。相反，與單個特定實例的數(shù)據(jù)相關(guān)聯(lián)的可靠性因素可在每個時刻改變。為了在步驟1815中產(chǎn)生可靠性得分，必須對每個新的認(rèn)證評估如下論述的這些因素。認(rèn)證數(shù)據(jù)的可靠性反映由用戶在特定認(rèn)證實例中提供的數(shù)據(jù)與認(rèn)證注冊期間提供的數(shù)據(jù)之間的匹配。這是認(rèn)證數(shù)據(jù)是否與用戶聲稱他是的那個人的注冊數(shù)據(jù)匹配的基本問題。通常，當(dāng)數(shù)據(jù)不匹配時，認(rèn)為用戶沒有被成功認(rèn)證，并且認(rèn)證失敗。評估這個因素的方式可根據(jù)所使用的認(rèn)證技術(shù)而改變。通過如圖5所示的認(rèn)證引擎215的比較器515功能執(zhí)行這樣的數(shù)據(jù)的比較。例如，通常以二進制方式評估密碼匹配。換句話講，密碼要么是完美匹配，要么是失敗匹配。如果接近于正確密碼的密碼不是準(zhǔn)確地正確，則通常不希望接受作為甚至部分匹配的密碼。因此，當(dāng)評估密碼認(rèn)證時，由比較器515返回的認(rèn)證的可靠性通常是100% (正確)或0% (錯誤)，沒有中間值的可能性。與用于密碼的規(guī)則類似的規(guī)則通常應(yīng)用于基于令牌的認(rèn)證方法，諸如智能卡。這是因為持有有著類似標(biāo)識符的或者與正確的智能卡類似的智能卡仍然與持有任意其它不正確令牌一樣錯誤。因此，令牌也趨向于是二進制認(rèn)證者用戶要么持有正確的令牌，要么他不持有正確的令牌。然而，某些類型的認(rèn)證數(shù)據(jù)，諸如問卷和生物辨識，通常不是二進制認(rèn)證者。例如， 指紋可與參考指紋不同程度地匹配。一定程度上，這可能是由于在初始注冊期間或者在隨后的認(rèn)證中捕獲的數(shù)據(jù)的質(zhì)量變化導(dǎo)致的。(指紋可能被弄臟，或者一個人可能具有還在愈合的傷疤或者在特定手指上的燒傷。)在其它實例中，由于信息本身有些變化并且是基于模式匹配，所以數(shù)據(jù)可能不是那么完美匹配。(由于背景噪聲或者記錄語音的環(huán)境的音響效果，或者由于人感冒，而導(dǎo)致語音分析可看似接近的，但是不是完全正確的。)最后，在比較大量數(shù)據(jù)的情況下，可能僅僅是這樣的情況，即，大部分?jǐn)?shù)據(jù)匹配得很好，但是一些數(shù)據(jù)匹配得不好。(十問題問卷的結(jié)果可能是八個正確的個人問題答案，但是兩個錯誤答案。)對于這些原因中的任意一個原因，由比較器515將部分匹配值期望地分配給注冊數(shù)據(jù)與用于特定認(rèn)證實例的數(shù)據(jù)之間的匹配。以這種方式，例如，可以說指紋是85%匹配，聲紋是65% 匹配，問卷是80%匹配。由比較器515產(chǎn)生的這個度量(匹配程度)是表示認(rèn)證是否正確的基本問題的因素。然而，如上所述，這僅僅是在確定給定的認(rèn)證實例的可靠性時可使用的因素中的一個。 還指出，即使可確定某個部分程度的匹配，可能還是希望基于部分匹配提供二進制結(jié)果。在可替換操作模式下，還可基于匹配程度是否超過特定的閾值匹配水平來將部分匹配處理為二進制數(shù)，即，完美(100% )或失敗(0% )匹配。這樣的處理可被用于為否則將產(chǎn)生部分匹配的系統(tǒng)提供簡單的通過/失敗水平的匹配。在評估給定的認(rèn)證實例的可靠性時要考慮的另一個因素與提供用于該特定實例的認(rèn)證數(shù)據(jù)的狀況有關(guān)。如上所述，狀況是指與特定的認(rèn)證實例相關(guān)聯(lián)的元數(shù)據(jù)。這可包括，但不限于，諸如這樣的信息認(rèn)證者的網(wǎng)絡(luò)地址、可確定的程度；認(rèn)證時間；認(rèn)證數(shù)據(jù)的發(fā)送模式(電話線、蜂窩、網(wǎng)絡(luò)等)；和認(rèn)證者的系統(tǒng)的序號。這些因素可被用于產(chǎn)生用戶通常請求的認(rèn)證的類型的配置文件。然后，該信息可被用于以至少兩種方式評價可靠性。一種方式是考慮用戶是否正在以下述方式請求認(rèn)證， 所述方式與由該用戶提出的認(rèn)證的正常配置文件一致。如果用戶通常在工作日期間(當(dāng)她在工作時)從一個網(wǎng)絡(luò)地址提出認(rèn)證請求并在晚上或周末期間(當(dāng)她在家時)從不同網(wǎng)絡(luò)地址提出認(rèn)證請求，則在工作日期間從家庭地址發(fā)生的認(rèn)證不是那么可靠，這是因為家庭地址不在正常認(rèn)證配置文件里。類似地，如果用戶通常在晚上使用指紋生物辨識進行認(rèn)證， 則在白天僅使用密碼發(fā)起的認(rèn)證不是那么可靠?？墒褂脿顩r元數(shù)據(jù)來評估認(rèn)證實例的可靠性的另外的方式是確定狀況提供多少確證證實認(rèn)證者是他聲稱是的那個個體。例如，如果認(rèn)證來自具有已知的與用戶相關(guān)聯(lián)的序號的系統(tǒng)，則這是用戶是他們聲稱是的那個人的優(yōu)良狀況指示。相反，如果當(dāng)知道用戶居住在倫敦時認(rèn)證來自已知在洛杉磯的網(wǎng)絡(luò)地址，則這是該認(rèn)證基于其狀況不是那么可靠的指示。還可以的是，當(dāng)cookie或其它電子數(shù)據(jù)與賣方系統(tǒng)或者授信引擎110交互時，可將它們放置在用戶正使用的系統(tǒng)上。該數(shù)據(jù)被寫入到用戶系統(tǒng)的儲存器，并可包含可被用戶系統(tǒng)上的Web瀏覽器或其它軟件讀取的標(biāo)識。如果該數(shù)據(jù)被允許駐存在用戶系統(tǒng)上會話 (“持續(xù)性cookie”)之間，則可在特定用戶的認(rèn)證期間將它與認(rèn)證數(shù)據(jù)一起作為過去使用過該系統(tǒng)的進一步的證據(jù)發(fā)送。實際上，給定實例的元數(shù)據(jù)，特別是持續(xù)性cookie，本身可形成一種基于令牌的認(rèn)證者。一旦如上所述分別在步驟1610和1615中產(chǎn)生基于認(rèn)證實例的技術(shù)和數(shù)據(jù)的合適可靠性因素，就使用它們產(chǎn)生用于在步驟1620中提供的認(rèn)證實例的總體可靠性。這樣做的一種方式是簡單地將每個可靠性表達為百分?jǐn)?shù)，然后將它們相乘。例如，假設(shè)從完全根據(jù)用戶的過去認(rèn)證配置文件而知道是用戶的家庭計算機的網(wǎng)絡(luò)地址遞交認(rèn)證數(shù)據(jù)(100%)，正在使用的技術(shù)是指紋識別(97%)，通過用戶的老板用授信引擎110攪亂初始指紋數(shù)據(jù)(90% )，認(rèn)證數(shù)據(jù)與注冊數(shù)據(jù)中的原始指紋模板之間的匹配非常好(99% )。然后可將該認(rèn)證實例的總體可靠性計算為這些可靠性100^^97^^90% *99%的乘積——86. 4%可靠性。該計算的可靠性表示一個單個認(rèn)證實例的可靠性。單個認(rèn)證實例的總體可靠性還可使用下述技術(shù)來計算，所述技術(shù)例如通過使用下述公式來不同地處理不同的可靠性因素，在所述公式中，不同的權(quán)重被分配給每個可靠性因素。此外，本領(lǐng)域技術(shù)人員將認(rèn)識到所使用的實際值可表示除百分?jǐn)?shù)之外的值，并可使用非算術(shù)系統(tǒng)。一個實施例可包括下述模塊，該模塊被認(rèn)證請求者用于設(shè)置每個因素的權(quán)重的模塊和建立認(rèn)證實例的總體可靠性時所使用的算法。如步驟1620所指示的，認(rèn)證引擎215可使用以上技術(shù)及其變型來確定單個認(rèn)證實例的可靠性。然后，在許多認(rèn)證情況下可以有用的是同時提供多個認(rèn)證實例。例如，在嘗試使用本發(fā)明的系統(tǒng)對他自己進行認(rèn)證的同時，用戶可提供用戶標(biāo)識、指紋認(rèn)證數(shù)據(jù)、智能卡和密碼。在這樣的情況下，將三個獨立的認(rèn)證實例提供給授信引擎110進行評估。繼續(xù)進行到步驟1625，如果認(rèn)證引擎215確定由用戶提供的數(shù)據(jù)包括多于一個認(rèn)證實例，則進而如步驟1630中所示那樣選擇每個實例，并如以上在步驟1610、1615和1620中所述那樣對每個實例進行評估。指出，所論述的可靠性因素中的許多在這些實例之間可不同。例如，與認(rèn)證數(shù)據(jù)和注冊數(shù)據(jù)之間提供的匹配程度一樣，這些技術(shù)的固有可靠性可能不同。此外，用戶可在不同時間和不同狀況下為這些技術(shù)中的每種提供注冊數(shù)據(jù)，從而也為這些實例中的每個提供不同的注冊可靠性。最后，即使提交用于這些實例中的每個的數(shù)據(jù)的狀況相同，這樣的技術(shù)的使用也均可不同地適應(yīng)用戶的配置文件，所以可被分配不同的狀況可靠性。(例如，用戶通?？墒褂盟麄兊拿艽a和指紋，而不是他們的智能卡。)結(jié)果，這些認(rèn)證實例中的每個的最終可靠性可以彼此不同。然而，通過一起使用多個實例，用于認(rèn)證的總體置信水平將趨向于提高。一旦認(rèn)證引擎已對認(rèn)證數(shù)據(jù)中所提供的全部認(rèn)證實例執(zhí)行步驟1610至1620，就在步驟1635中使用每個實例的可靠性來對總體認(rèn)證置信水平進行評估。將各個認(rèn)證實例可靠性組合為認(rèn)證置信水平的這個處理可用與所產(chǎn)生的各個可靠性相關(guān)的各種方法來建模，并且還可解決這些認(rèn)證技術(shù)中的一些之間的特定交互。(例如，多個基于知識的系統(tǒng) (諸如密碼)可產(chǎn)生比單個密碼(甚至相當(dāng)弱的生物辨識(諸如基本語音分析))低的置信度。)認(rèn)證引擎215可組合多個并發(fā)認(rèn)證實例的可靠性來產(chǎn)生最終置信水平的一種方式是將每個實例的不可靠性相乘，以獲得總體不可靠性。不可靠性通常是可靠性的互補百分?jǐn)?shù)。例如，84%可靠的技術(shù)是16%不可靠。產(chǎn)生86^^75%和72%的可靠性的上述三個認(rèn)證實例(指紋、智能卡、密碼)將分別具有(100-86)%、(100-7 %和(100-7 %或者14%、25%和的對應(yīng)不可靠性。通過將這些不可靠性相乘，我們得到累積不可靠性 14% *25% *28%——.98%不可靠性，其對應(yīng)于99. 02%的可靠性。在另外的操作模式下，可在認(rèn)證引擎215內(nèi)應(yīng)用另外的因素和啟發(fā)法530，以說明各種認(rèn)證技術(shù)的互相依存。例如，如果某人沒有被授權(quán)訪問特定的家庭計算機，則他們也可能在該地址接入電話線。因此，基于始發(fā)電話號碼以及認(rèn)證系統(tǒng)的序號的認(rèn)證沒有多大提高認(rèn)證中的總體置信度。然而，基于知識的認(rèn)證很大程度上與基于令牌的認(rèn)證無關(guān)(即，如果某人竊取你的蜂窩電話或密鑰，則他們同他們沒有竊取你的蜂窩電話或密鑰一樣不可能知道你的PIN或密碼)。此外，不同的賣方或其它認(rèn)證請求者可能希望對認(rèn)證的不同方面進行不同地加權(quán)。這可包括計算各個實例的可靠性時所使用的各自的加權(quán)因子或算法的使用以及對不同實例評估認(rèn)證事件的不同方式的使用。例如某些類型的事項的賣主，例如公司電子郵件系統(tǒng)，可能期望默認(rèn)主要基于啟發(fā)法和其它狀況數(shù)據(jù)進行認(rèn)證。因此，他們可將高權(quán)重應(yīng)用于下述因素，這些因素與和圍繞認(rèn)證事件的狀況相關(guān)聯(lián)的元數(shù)據(jù)和其它配置文件相關(guān)信息相關(guān)。由于不需要從用戶得到比該用戶在上班時間期間登錄到正確機器上所需要得到的多，所以該布置可被用于減輕在正常工作時間期間用戶上的負(fù)擔(dān)。然而，另一個賣方可對來自特定技術(shù)(例如指紋匹配)的認(rèn)
36證施加最大的權(quán)重，這是因為這樣的技術(shù)最適合于為了該特定賣方的目的的認(rèn)證的決策。這樣的不同權(quán)重可由認(rèn)證請求者在產(chǎn)生認(rèn)證請求時定義，并可在一種操作模式下用認(rèn)證請求發(fā)送到授信引擎110。還可在初始注冊處理期間為認(rèn)證請求者將這樣的選項設(shè)置為優(yōu)選，并在另一種操作模式下將這樣的選項存儲在認(rèn)證引擎內(nèi)。一旦認(rèn)證引擎215為所提供的認(rèn)證數(shù)據(jù)產(chǎn)生認(rèn)證置信水平，就在步驟1640中使用該置信水平來完善認(rèn)證請求，并且將該信息從認(rèn)證引擎215轉(zhuǎn)發(fā)到事項引擎205，以包括在給認(rèn)證請求者的消息中。上述處理僅僅是示例性的，本領(lǐng)域技術(shù)人員將認(rèn)識到，所述步驟不必按所顯示的順序執(zhí)行，或者期望僅執(zhí)行所述步驟中的某些步驟，或者可能期望步驟的各種組合。此外， 如果狀況允許，某些步驟，諸如所提供的每個認(rèn)證實例的可靠性的評估，可彼此并行地執(zhí)行。在本發(fā)明的進一步的方面中，提供一種適應(yīng)當(dāng)通過上述處理產(chǎn)生的認(rèn)證置信水平未能滿足要求認(rèn)證的賣方或其它方的要求信任水平時的條件的方法。在諸如差距存在于所提供的置信水平與所期望的信任水平之間的這樣的狀況下，授信引擎110的操作者能夠為一方或兩方提供提供代替數(shù)據(jù)或要求的機會，以便閉合該信任差距。本文中將這個處理稱為“信任仲裁”。信任仲裁可在如以上參照圖10和11描述的密碼認(rèn)證的框架內(nèi)進行。如本文所顯示的，賣方或其它方將請求與特定事項相關(guān)聯(lián)的特定用戶的認(rèn)證。在一種狀況下，賣方簡單地請求認(rèn)證，要么是肯定的，要么是否定的，在從用戶接收到合適數(shù)據(jù)之后，授信引擎110 將提供這樣的二進制認(rèn)證。在諸如這些狀況的狀況下，基于授信引擎110內(nèi)設(shè)置的優(yōu)選設(shè)定來確定安全保護肯定認(rèn)證所需的置信度。然而，還可以的是，賣方可請求特定的信任水平，以便完成特定事項。該要求水平可被包括在認(rèn)證請求中(比如，以98%的置信度對該用戶進行認(rèn)證)，或者可由授信引擎 110基于與事項相關(guān)聯(lián)的其它因素來確定(即，對于該事項，視情況對該用戶進行認(rèn)證)。一種這樣的因素可以是事項的經(jīng)濟價值。對于具有更大經(jīng)濟價值的事項，可能要求更高的信任度。類似地，對于具有高危險性程度的事項，可能要求高信任度。相反，對于低危險性或者低價值的事項，賣方或其它認(rèn)證請求者可能要求較低的信任水平。信任仲裁的處理發(fā)生在圖10的步驟1050中授信引擎110接收認(rèn)證數(shù)據(jù)的步驟與圖10的步驟1055中將認(rèn)證結(jié)果返回給賣方的步驟之間。在這些步驟之間，導(dǎo)致信任水平和潛在的信任仲裁的評估的處理如圖17所示那樣發(fā)生。在執(zhí)行簡單的二進制認(rèn)證的狀況下，圖17中所示的處理縮減為使事項引擎205直接將所提供的認(rèn)證數(shù)據(jù)與如以上參照圖 10所論述的識別的用戶的注冊數(shù)據(jù)進行比較；將任意差別標(biāo)示為否定認(rèn)證。如圖17所示，在步驟1050中接收數(shù)據(jù)之后的第一個步驟是在步驟1710中事項引擎205確定該特定事項的肯定認(rèn)證所需的信任水平。該步驟通過幾種不同方法之一來執(zhí)行。認(rèn)證請求者可在提出認(rèn)證請求時向授信引擎110指定要求信任水平。認(rèn)證請求者還可預(yù)先設(shè)置存儲在事項引擎205可存取的貯藏器210或者其它儲存器內(nèi)的優(yōu)選設(shè)定。然后， 每次該認(rèn)證請求者提出認(rèn)證請求時，可讀取并使用該優(yōu)選設(shè)定。還可將優(yōu)選設(shè)定與特定用戶相關(guān)聯(lián)作為安全措施，以使得總是要求特定信任水平，以便對該用戶進行認(rèn)證，用戶優(yōu)選設(shè)定存儲在事項引擎205可存取的貯藏器210或其它存儲介質(zhì)中。還可由事項引擎205或認(rèn)證引擎215基于認(rèn)證請求中所提供的信息來推導(dǎo)要求水平，所述信息諸如將被認(rèn)證的事項的價值和危險水平。在一種操作模式下，當(dāng)產(chǎn)生認(rèn)證請求時所使用的政策管理模塊或其它軟件被用于指定用于事項認(rèn)證的要求信任度。這可被用于提供當(dāng)基于在政策管理模塊內(nèi)指定的政策分配要求信任水平時遵循的一系列規(guī)則。一種有利的操作模式是將這樣的模塊與賣方的web 服務(wù)器合并，以便適當(dāng)?shù)卮_定用于用賣方的web服務(wù)器發(fā)起的事項的要求信任水平。以這種方式，可根據(jù)賣方的政策為來自用戶的事項請求分配要求信任水平，并且可將這樣的信息與認(rèn)證請求一起轉(zhuǎn)發(fā)到授信引擎110。該要求信任水平與賣方想要具有的個人認(rèn)證事實上是他標(biāo)識自己是誰的確定性程度相關(guān)。例如，如果事項是這樣的事項，即，由于商品正在轉(zhuǎn)手，所以賣方想要相當(dāng)程度的確定性，則賣方可能要求85%的信任水平。對于賣方僅僅是對用戶進行認(rèn)證以使得他可在聊天室查看僅成員的內(nèi)容或者行使特權(quán)的情形，下跌風(fēng)險可小得足以使得賣方僅要求60% 的信任級別。然而，為了進入具有數(shù)萬美元價值的生產(chǎn)合約，賣方可能要求99%或更大的信任水平。該要求信任水平表示用戶必須以其對他自己進行認(rèn)證以便完成事項的度量。如果要求信任水平為例如85%，則用戶必須向授信引擎110提供這樣的認(rèn)證，該認(rèn)證足以使授信引擎110以85%的置信度聲稱用戶是他們聲稱他們是的那個人。它是該要求信任水平與產(chǎn)生肯定認(rèn)證(達到賣方的滿意度)的認(rèn)證置信水平或者信任仲裁的可能性之間的平衡。如圖17所示，在事項引擎205接收到要求信任水平之后，在步驟1720中將要求信任水平與認(rèn)證引擎215對當(dāng)前認(rèn)證計算的認(rèn)證置信水平進行比較(如參照圖16所論述的)。如果在步驟1730中認(rèn)證置信水平高于事項的要求信任水平，則所述處理移到步驟 1740，在步驟1740中，事項引擎205產(chǎn)生該事項的肯定認(rèn)證。然后，如步驟1055(參照圖 10)所示，事項引擎205將該效果的消息插入到認(rèn)證結(jié)果中，并將該消息返回給賣方。然而，如果在步驟1730中認(rèn)證置信水平?jīng)]有達到要求信任水平，則置信度差距對于當(dāng)前認(rèn)證存在，并在步驟1750中進行信任仲裁。以下參照圖18更完整地描述信任仲裁。 如下所述的這個處理在授信引擎110的事項引擎205內(nèi)進行。由于執(zhí)行信任仲裁不需要認(rèn)證或其它密碼操作(除了事項引擎205和其它部件之間的SSL通信所需的那些操作之外)， 所以可在認(rèn)證引擎215外部執(zhí)行所述處理。然而，如以下將論述的，認(rèn)證數(shù)據(jù)或者其它密碼或認(rèn)證事件的任意重新評估將要求事項引擎205將合適的數(shù)據(jù)重新提交到認(rèn)證引擎215。 本領(lǐng)域的技術(shù)人員將認(rèn)識到可替換地可將信任仲裁處理構(gòu)造為在認(rèn)證引擎215自身內(nèi)部分或全部進行。如以上所提及的，信任仲裁是這樣的處理，S卩，授信引擎110在適當(dāng)情況下試圖安全保護肯定認(rèn)證時調(diào)停賣方與用戶之間的議付。如步驟1805所示，事項引擎205首先確定當(dāng)前情形是否適合于信任仲裁。如以下將進一步論述的，這可基于認(rèn)證的狀況(比如，該認(rèn)證是否已經(jīng)通過多個仲裁循環(huán))以及賣方或用戶中的任意一個的優(yōu)選設(shè)定來確定。在仲裁不可能的這樣的狀況下，所述處理進行到步驟1810，在步驟1810中，事項引擎205產(chǎn)生否定認(rèn)證，然后將它插入到在步驟1055(參見圖10)中發(fā)送給賣方的認(rèn)證結(jié)果中?？捎欣乇挥糜诜乐拐J(rèn)證無限地等待判決的一種限制是從初始認(rèn)證請求設(shè)置超時時間段。以這種方式，在時限內(nèi)沒有被肯定認(rèn)證的任意事項被拒絕進一步仲裁，并被否定地認(rèn)證。本領(lǐng)域的技術(shù)人員將認(rèn)識到這樣的時限可根據(jù)事項的狀況及用戶和賣方的期望而改變。還可將限制設(shè)置在在提供成功認(rèn)證時可進行的嘗試的次數(shù)上。這樣的限制可由如圖5 所示的嘗試限制器535處理。如果在步驟1805中沒有禁止仲裁，則事項引擎205則將與事項方中的一方或雙方進行議價。事項引擎205可將消息發(fā)送到請求某種形式的另外的認(rèn)證的用戶，以便提升如在步驟1820中產(chǎn)生的認(rèn)證置信水平。以最簡單的形式，這可簡單地指示認(rèn)證不充分。還可發(fā)送產(chǎn)生一個或多個另外的認(rèn)證實例以改進認(rèn)證的總體置信水平的請求。如果在步驟1825中用戶提供一些另外的認(rèn)證實例，則如步驟1015(參見圖10) 所示，事項引擎205將這些認(rèn)證實例添加到用于事項的認(rèn)證數(shù)據(jù)，并將它轉(zhuǎn)發(fā)到認(rèn)證請求 215，并且基于用于該事項的原已存在的認(rèn)證實例和新近提供的認(rèn)證實例這二者來重新評估認(rèn)證?？上蚴谛乓?10請求另外類型的認(rèn)證，以例如通過電話呼叫進行授信引擎110 操作者(或者可信相聯(lián)者)與用戶之間的某種形式的人與人的接觸(聯(lián)系)。該電話呼叫或其它非計算機認(rèn)證可被用于提供與個人的個人接觸，并且還可被基于認(rèn)證進行某種形式的問卷。這還可給予驗證始發(fā)電話號碼(以及潛在地，當(dāng)用戶打電話來時他的語音分析) 的機會。即使不能提供另外的認(rèn)證數(shù)據(jù)，與用戶的電話號碼相關(guān)聯(lián)的另外的情景也可改進認(rèn)證情景的可靠性。基于該電話呼叫的任意修訂數(shù)據(jù)或狀況被饋送到授信引擎110，以在考慮認(rèn)證請求時使用。另外，在步驟1820中，授信引擎110可為用戶提供購買保險的機會，從而有效地購得更確信的認(rèn)證。如果認(rèn)證的置信水平高于起始的某個閾值，則授信引擎110的操作者有時可能僅想使得這樣的選項可用。實際上，該用戶方保險是當(dāng)認(rèn)證滿足授信引擎110對于認(rèn)證的正常要求信任水平、但不滿足賣方對于該事項的要求信任水平時授信引擎110擔(dān)保用戶的一種方式。以這種方式，即使用戶僅具有產(chǎn)生對于授信引擎110足夠的置信度的認(rèn)證實例，他也仍可成功地認(rèn)證到如賣方可能要求的非常高的水平。授信引擎110的這種功能使得授信引擎110可擔(dān)保其被認(rèn)證達到授信引擎110的滿意度、但是沒有達到賣方的滿意度的某人。這與下述功能相似，該功能即為由公證人在將他的簽名添加到文檔以便向以后閱讀該文檔的某人指示其簽名出現(xiàn)在該文檔上的人事實上是簽署它的人時執(zhí)行的功能。公證人的簽名證明用戶的簽名動作。以相同的方式，授信引擎提供事項的人是他們聲稱他們是的那個人的指示。然而，由于授信引擎110人為地提升由用戶提供的置信水平，所以由于用戶實際上并不滿足賣方的要求信任水平，所以對于授信引擎110操作者存在更大的風(fēng)險。保險的成本被設(shè)計為補償對授信引擎110(其可有效地公證用戶的認(rèn)證)的錯誤的肯定認(rèn)證的風(fēng)險。用戶付款給授信引擎110，以使認(rèn)證的風(fēng)險達到比實際提供的置信水平高的置信水平。由于這樣的保險系統(tǒng)使得某人可從授信引擎110有效地購得更高置信度，所以賣方和用戶都可能希望防止在某些事項中使用用戶方保險。賣方可能希望將肯定認(rèn)證局限于這樣的狀況，即，他們知道實際的認(rèn)證數(shù)據(jù)支持他們所要求的置信度，所以可向授信引擎 110指示用戶方保險不被允許。類似地，為了保護他的在線(online)身份，用戶可能希望防止在他的賬戶上使用用戶方保險，或者可能希望將它的使用局限于這樣的情形，即，不使用保險的認(rèn)證置信水平高于某個界限。這可被用作安全性措施，該安全性措施防止某人竊聽密碼，或者竊取智能卡并使用它們錯誤地認(rèn)證到低置信水平，然后購買保險以產(chǎn)生非常高的(錯誤的)置信水平。在確定是否允許用戶方保險時，可評估這些因素。如果在步驟1840中用戶購買保險，則在步驟1845中基于購買的保險調(diào)整認(rèn)證置信水平，并再次在步驟1730 (參見圖17)中將認(rèn)證置信水平與要求信任水平進行比較。所述處理從那繼續(xù)進行，并可在步驟1740(參見圖17)中導(dǎo)致肯定認(rèn)證，或者在步驟1750中返回到信任仲裁處理，以進一步進行仲裁(如果允許的話)，或者如果進一步的仲裁被禁止， 則在步驟1810中返回到否定認(rèn)證。除了在步驟1820中將消息發(fā)送到用戶之外，事項引擎205還可在步驟1830中將消息發(fā)送到賣方，該消息指示等待判決的認(rèn)證當(dāng)前在要求信任水平之下。該消息還可提供關(guān)于如何轉(zhuǎn)到賣方的各種選項。這些選項之一是簡單地通知賣方當(dāng)前認(rèn)證置信水平是什么并詢問賣方是否希望保持他們的當(dāng)前未達到的要求信任水平。由于在一些情況下賣方可具有用于認(rèn)證事項的獨立手段或者可使用默認(rèn)的一組要求，所以這可以是有益的，所述默認(rèn)的一組要求通常導(dǎo)致最初指定的要求水平比手邊的特定事項實際上需要的要求水平高。例如，預(yù)期所有與賣方的輸入購買訂單事項都滿足98%的信任水平可以是常規(guī)作法。然而，如果最近通過賣方與老客戶之間的電話討論訂單，并且其后立即對事項進行認(rèn)證，但是認(rèn)證僅達到93%的置信水平，則由于電話呼叫有效地為賣方提供另外的認(rèn)證，所以賣方可能希望僅對于該事項降低接受閾值。在某些狀況下，賣方可能愿意降低他們的要求信任水平，但是不是一直降到當(dāng)前認(rèn)證置信水平。例如，以上示例中的賣方可考慮訂購之前的電話呼叫可值得將所需的信任度降低4% ；然而，這仍大于由用戶產(chǎn)生的93%置信度。如果在步驟1835中賣方不調(diào)整他們的要求信任水平，則在步驟1730 (參見圖17) 中將通過認(rèn)證產(chǎn)生的認(rèn)證置信水平與要求信任水平進行比較。如果置信水平現(xiàn)在超過要求信任水平，則可在步驟1740(參見圖17)中在事項引擎205中產(chǎn)生肯定認(rèn)證。如果置信水平現(xiàn)在沒有超過要求信任水平，則如果仲裁被允許，則可如以上論述那樣試圖進一步進行仲裁。除了請求調(diào)整要求信任水平之外，事項引擎205還可對請求認(rèn)證的賣方提供賣方方保險。該保險用于與以上對于用戶方保險所述的目的類似的目的。然而，這里，不是與由授信引擎110在認(rèn)證大于所產(chǎn)生的實際認(rèn)證置信水平時承擔(dān)的風(fēng)險對應(yīng)的成本，保險的成本而是對應(yīng)于由賣方在接收到認(rèn)證中的較低信任水平時承擔(dān)的風(fēng)險。不是只是降低他們的實際要求信任水平，賣方而是具有購買這樣的保險的選擇， 該保險保護它自己免受與用戶認(rèn)證中較低信任水平相關(guān)聯(lián)的另外的風(fēng)險。如上所述，可以有利的是賣方僅考慮購買這樣的保險來覆蓋在現(xiàn)存認(rèn)證已經(jīng)在某個閾值之上的條件下的信任差距。這樣的賣方方保險的可用性給予賣方以下選擇對于他自己沒有附加成本地直接降低他的信任要求，他自己承擔(dān)錯誤認(rèn)證的風(fēng)險(基于更低的要求信任水平)；或者，為認(rèn)證置信水平與他的要求之間的信任差距購得保險，授信引擎110操作者承擔(dān)所提供的更低置信水平的風(fēng)險。通過購買保險，由于錯誤認(rèn)證的風(fēng)險轉(zhuǎn)移到授信引擎110操作者，所以賣方有效地保持他的高信任水平要求。如果在步驟1840中賣方購買保險，則在步驟1730 (參見圖17)中將認(rèn)證置信水平與要求信任水平進行比較，并且所述處理如上所述那樣繼續(xù)進行。
指出，還可以的是，用戶和賣方都對來自授信引擎110的消息作出響應(yīng)。本領(lǐng)域技術(shù)人員將認(rèn)識到存在能處理這樣的情形的多種方式。一種處理多個響應(yīng)的可能性的有利模式是簡單地以先來先服務(wù)的方式處理響應(yīng)。例如，如果賣方以降低的要求信任水平作出響應(yīng)并且其后用戶還立即購買提升他的認(rèn)證水平的保險，則首先基于來自賣方的降低的信任要求重新評估認(rèn)證。如果認(rèn)證現(xiàn)在是肯定的，則忽略用戶的保險購買。在另一種有利的操作模式下，用戶可能僅支付滿足賣方的新的降低的信任要求所需的保險水平(如果即使對于降低的賣方信任要求，信任差距仍存在)。如果在步驟1850的信任仲裁處理期間沒有在為認(rèn)證設(shè)置的時限內(nèi)接收到來自任意一方的響應(yīng)，則在步驟1805中重新評估仲裁。這有效地再次開始仲裁處理。如果在步驟 1805中時限為最后或者其它狀況阻止進一步仲裁，則在步驟1810中由事項引擎205產(chǎn)生否定認(rèn)證，并在步驟1055(參見圖10)中將該否定認(rèn)證返回給賣方。如果不是，則可將新消息發(fā)送到用戶和賣方，并且可根據(jù)需要重復(fù)所述處理。指出，對于某些類型的事項，例如，不是事項的一部分的數(shù)字簽名文檔，可不必存在賣方或者其它第三方；因此，事項主要在用戶與授信引擎110之間。在諸如這樣的狀況下，授信引擎110將具有它自己的要求信任水平，為了產(chǎn)生肯定認(rèn)證，必須滿意該要求信任水平。然而，在這樣的狀況下，通常將不期望的是，授信引擎110將保險提供給用戶，以便使他提升他自己的簽名的置信度?？墒褂萌缫陨蠀⒄帐谛乓?10描述的各種通信模式執(zhí)行以上論述的、圖16-18 中所示的處理。例如，消息可以是基于web的，并可使用授信引擎110與實時下載到在用戶或賣方系統(tǒng)上運行的瀏覽器的小應(yīng)用程序之間的SSL連接發(fā)送這些消息。在可替換的操作模式下，用戶和賣方可使用使這樣的仲裁和保險事項便利的某些專用應(yīng)用程序。在另一種可替換的操作模式下，安全電子郵件操作可被用于調(diào)停上述仲裁，從而使得可延緩認(rèn)證的評估和成批處理。本領(lǐng)域技術(shù)人員將認(rèn)識到可使用適合于賣方的狀況和認(rèn)證要求的不同通信模式。參照圖19的以下描述對集成如上所述的本發(fā)明的各個方面的示例性事項進行描述。該示例示出授信引擎110在用戶與賣方之間進行調(diào)停的整個處理。雖然如以上詳細描述的各個步驟和部件可被用于執(zhí)行以下事項，但是示出的示例集中于授信引擎110、用戶與賣方之間的交互。當(dāng)在步驟1900中用戶在在線查看網(wǎng)頁的同時在賣方的網(wǎng)站上填寫訂貨單時，事項開始。用戶希望將該訂貨單提交給賣方，該訂貨單簽有他的數(shù)字簽名。為了執(zhí)行這樣做， 在步驟1905中，用戶將訂貨單與他對簽名的請求一起提交給授信引擎110。用戶還將提供將如上所述那樣被用于認(rèn)證他的身份的認(rèn)證數(shù)據(jù)。在步驟1910中，授信引擎110如上所述那樣將認(rèn)證數(shù)據(jù)與注冊數(shù)據(jù)進行比較，并且如果產(chǎn)生肯定認(rèn)證，則將簽有用戶的私鑰的訂貨單的散列與訂貨單本身一起轉(zhuǎn)發(fā)到賣方。在步驟1915中賣方接收簽名的表格，然后在步驟1920中賣方將產(chǎn)生與將進行的購買相關(guān)的發(fā)票或其它合約。在步驟1925中，將該合約與對簽名的請求一起發(fā)送回用戶。 在步驟1930中，賣方還將對該合約事項的認(rèn)證請求發(fā)送給授信引擎110，所述認(rèn)證請求包括兩方將簽名的合約的散列。為了使得兩方可對合約進行數(shù)字簽名，賣方還包括用于它自己的認(rèn)證數(shù)據(jù)，以使得如果必要的話，稍后可對賣方在合同上的簽名進行驗證。如以上所論述的，授信引擎110然后對由賣方提供的認(rèn)證數(shù)據(jù)進行驗證，以確認(rèn)賣方的身份，如果在步驟1935中數(shù)據(jù)產(chǎn)生肯定認(rèn)證，則當(dāng)從用戶接收到數(shù)據(jù)時，繼續(xù)執(zhí)行步驟1955。如果賣方的認(rèn)證數(shù)據(jù)與賣方的注冊數(shù)據(jù)沒有達到期望程度的匹配，則將請求進一步認(rèn)證的消息返回給賣方。如上所述，為了使賣方成功地向授信引擎認(rèn)證它自己，如果必要的話，則這里可執(zhí)行信任仲裁。當(dāng)在步驟1940中用戶接收到合約時，他審核它，如果在步驟1945中它是可接受的，則產(chǎn)生認(rèn)證數(shù)據(jù)以對它進行簽名，然后在步驟1950中將合約和他的認(rèn)證數(shù)據(jù)的散列發(fā)送給授信引擎110。授信引擎110在步驟1955中對認(rèn)證數(shù)據(jù)進行驗證，并且如果認(rèn)證良好， 則繼續(xù)如上所述那樣處理合約。如以上參照圖17和18所論述的，可視情況執(zhí)行信任仲裁， 以閉合存在于認(rèn)證置信水平與事項的要求認(rèn)證水平之間的任意信任差距。授信引擎110用用戶的私鑰對合約的散列進行簽名，并在步驟1960中將該簽名的散列發(fā)送到賣方，代表它自己對完整消息進行簽名，即，包括用授信引擎Iio的私鑰510加密的完整消息(包括用戶的簽名)的散列。在步驟1965中，賣方接收該消息。該消息表示簽名的合約(使用用戶的私鑰加密的合約的散列)和來自授信引擎110的收條(包括簽名的合約的消息的散列，該散列使用授信引擎110的私鑰進行加密)。在步驟1970中，授信引擎110類似地用賣方的私鑰準(zhǔn)備合約的散列，并將由授信引擎110簽名的這個散列轉(zhuǎn)發(fā)給用戶。以這種方式，用戶還接收由賣方簽名的合約的副本以及由授信引擎110簽名的收條，以用于在步驟1975中遞送簽名的合約。除了前述之外，本發(fā)明的另外的方面提供一種密碼服務(wù)提供模塊(SPM)，該密碼 SPM可供客戶端應(yīng)用程序用作訪問上述由授信引擎110提供的功能的方式。提供這樣的服務(wù)的一種有利方式是密碼SPM調(diào)停第三方應(yīng)用程序接口(API)與可通過網(wǎng)絡(luò)或其它遠程連接訪問的授信引擎110之間的通信。以下參照圖20對示例性密碼SPM進行描述。例如，在典型的系統(tǒng)上，大量API可供程序員使用。每個API提供由在系統(tǒng)上運行的應(yīng)用程序2000進行的一組函數(shù)調(diào)用。提供適合于密碼功能、認(rèn)證功能和其它安全功能的編程接口的API的示例包括由微軟為其Windows操作系統(tǒng)提供的密碼API (CAPI) 2010和由 IBM、Intel和開放組織的其它成員發(fā)起的通用數(shù)據(jù)安全架構(gòu)(⑶SA)。CAPI將被用作以下論述中的示例性安全API。然而，如本領(lǐng)域已知的，所述的密碼SPM應(yīng)該與CDSA或其它安全性API —起使用。當(dāng)調(diào)用密碼功能時，用戶系統(tǒng)105或者賣方系統(tǒng)120使用這個API。這些功能中所包括的是與執(zhí)行各種密碼操作相關(guān)聯(lián)的請求，所述各種密碼操作諸如用特定密鑰對文檔進行加密、對文檔進行簽名、請求數(shù)字證書、對簽名的文檔上的簽名進行驗證和如本文所述的或者本領(lǐng)域技術(shù)人員已知的這樣的其它密碼功能。通常對CAPI 2010所處的系統(tǒng)本地執(zhí)行這樣的密碼功能。這是因為一般而言，調(diào)用的功能要求使用本地用戶系統(tǒng)105的資源(諸如指紋讀取器)或者使用在本地機器上執(zhí)行的庫進行編程的軟件功能。對這些本地資源的訪問通常由如上論及的提供用其執(zhí)行密碼功能的資源的一個或多個服務(wù)提供模塊(SPM) 2015、2020提供。這樣的SPM可包括執(zhí)行加密或解密操作的軟件庫2015或者能夠訪問專用硬件(諸如生物辨識掃描設(shè)備)2025的驅(qū)動器和應(yīng)用程序2020。以CAPI 2010提供可供系統(tǒng)105的應(yīng)用程序2000使用的功能的這樣的方式，SPM 2015,2020為CAPI提供對與系統(tǒng)上的可用服務(wù)相關(guān)聯(lián)的較低水平的功能和資源的訪問。根據(jù)本發(fā)明，可提供密碼SPM 2030，密碼SPM 2030能夠訪問由授信引擎110提供的密碼功能，并使這些功能可供應(yīng)用程序2000至CAPI 2010使用。與CAPI 2010僅能夠訪問通過SPM 2015、2020本地可用的資源的實施例不同，如本文所述的密碼SPM 2030能夠?qū)γ艽a操作的請求提交給位于遠程的、網(wǎng)絡(luò)可獲取的授信引擎110，以便執(zhí)行所期望的操作。例如，如果應(yīng)用程序(應(yīng)用)2000具有對密碼操作的需要，諸如對文檔進行簽名， 則應(yīng)用程序2000對合適的CAPI 2010函數(shù)進行函數(shù)調(diào)用。CAPI 2010進而將使用SPM 2015,2020和密碼SPM2030使得其可供它使用的資源來執(zhí)行該函數(shù)。在數(shù)字簽名功能的情況下，密碼SPM 2030會產(chǎn)生將通過通信鏈路125發(fā)送到授信引擎110的合適請求。在密碼SPM 2030與授信引擎110之間發(fā)生的操作是與任何其它系統(tǒng)與授信引擎110之間將可能發(fā)生的操作相同的操作。然而，可通過CAPI 2010有效地使這些功能可供用戶系統(tǒng)105使用，以使得它們似乎可在用戶系統(tǒng)105自身上本地使用。然而，與普通 SPM2015、2020不同，在遠程授信引擎110上執(zhí)行函數(shù)，并響應(yīng)于合適請求通過通信鏈路125 將結(jié)果轉(zhuǎn)播到密碼SPM 2030。這個密碼SPM 2030使得大量否則可能不可用的操作可供用戶系統(tǒng)105或賣方系統(tǒng)120使用。這些功能包括，但不限于文檔的加密和解密；數(shù)字證書的頒發(fā)；文檔的數(shù)字簽名；數(shù)字簽名的驗證；和如本領(lǐng)域技術(shù)人員將明白的這樣的其它操作。在一個獨立的實施例中，本發(fā)明包括一種用于對任何數(shù)據(jù)組執(zhí)行本發(fā)明的數(shù)據(jù)安全保護方法的整個系統(tǒng)。本實施例的計算機系統(tǒng)包括數(shù)據(jù)分割模塊，所述數(shù)據(jù)分割模塊包括圖8中所示的且在本文中描述的功能。在本發(fā)明的一個實施例中，數(shù)據(jù)分割模塊包括解析器程序或軟件套件，所述解析器程序或軟件套件包括數(shù)據(jù)分割、加密和解密、重構(gòu)或重新組裝功能，數(shù)據(jù)分割模塊在本文中有時也稱為安全數(shù)據(jù)解析器。本實施例也可進一步包括一個數(shù)據(jù)存儲設(shè)施或多個數(shù)據(jù)存儲設(shè)施。數(shù)據(jù)分割模塊或者安全數(shù)據(jù)解析器包括集成在電子基礎(chǔ)設(shè)施內(nèi)的或者作為要求其數(shù)據(jù)元素的終極安全性的任何應(yīng)用程序的附加組件的跨平臺軟件模塊套件。該解析處理對任何類型的數(shù)據(jù)組、任何和全部文件類型或者在數(shù)據(jù)庫中在該數(shù)據(jù)庫中的任何行、列或數(shù)據(jù)單元進行操作。在一個實施例中，可以以模塊化層列的方式設(shè)計本發(fā)明的解析處理，并且任何加密處理適合于用在本發(fā)明的處理中。本發(fā)明的解析和分割處理的模塊化層級可包括，但不限于1)密碼分割、分散和安全存儲在多個位置中；2)加密、密碼分割、分散并安全存儲在多個位置中；幻加密、密碼分割、對每個份額進行加密、然后分散并安全存儲在多個位置中；4)加密、密碼分割、使用與第一步驟中所使用的加密法不同類型的加密法對每個份額進行加密，然后分散并安全存儲在多個位置中。在一個實施例中，所述處理包括根據(jù)所產(chǎn)生的隨機數(shù)的內(nèi)容或密鑰分割數(shù)據(jù)，并執(zhí)行密鑰的密碼分割，該密碼分割與在將被安全保護的數(shù)據(jù)分割為解析的且分割的數(shù)據(jù)的兩個或更多個部分或份額的加密中所使用的密碼分割相同，并且在一個實施例中，優(yōu)選地， 將被安全保護的數(shù)據(jù)分割為解析的且分割的數(shù)據(jù)的四個或更多個部分，對所有部分進行加密，然后分散這些部分，并將這些部分存儲回到數(shù)據(jù)庫中，或者根據(jù)請求者對于私密性和安全性的需求將它們固定地或者可移動地重新定位到任何命名設(shè)備中?？商鎿Q地，在另一個實施例中，加密可在由分割模塊或安全數(shù)據(jù)解析器設(shè)置的數(shù)據(jù)的分割之前發(fā)生。如本實施例中所述那樣處理的原始數(shù)據(jù)被加密和混淆，并被安全保護。若需要，則幾乎可在任何地方分散加密的元素，所述任何地方包括，但不限于，單個服務(wù)器或數(shù)據(jù)存儲設(shè)備，或者在分離的數(shù)據(jù)存儲設(shè)施或設(shè)備之間分散加密的元素。一個實施例中的加密密鑰管理可被包括在軟件套件中，或者在另一個實施例中可被集成到現(xiàn)存基礎(chǔ)設(shè)施或者任何其它期望的位置中。密碼分割(cryptosplit)將數(shù)據(jù)劃分為N個份額。所述劃分可以在任何大小的數(shù)據(jù)單元(包括單個比特、多個比特、字節(jié)、千字節(jié)、兆字節(jié)或更大的單位)以及無論是預(yù)定的還是隨機產(chǎn)生的數(shù)據(jù)單元大小的任何模式或組合上?；陔S機的或者預(yù)定的一組值，所述單元的大小也可以不同。這意味著數(shù)據(jù)可被看作這些單元的序列。以這種方式，數(shù)據(jù)單元本身的大小可以例如通過下述方式使得數(shù)據(jù)更安全，即，使用數(shù)據(jù)單元大小的一個或多個預(yù)定的或者隨機產(chǎn)生的模式、序列或組合。然后將所述單元(隨機地或者按照預(yù)定的一組值) 分布到N個份額中。該分布還可涉及按照份額對所述單元的順序進行混排。本領(lǐng)域技術(shù)人員易于明白的是，可根據(jù)各種可行的選擇來執(zhí)行數(shù)據(jù)單元到份額的分布，所述選擇包括，但不限于，固定大小、預(yù)定大小或者預(yù)定的或隨機產(chǎn)生的數(shù)據(jù)單元大小的一個或多個組合、模式或序列。該密碼分割處理的一個示例將考慮大小為23字節(jié)的數(shù)據(jù)，選擇數(shù)據(jù)單元大小為一個字節(jié)，選擇份額數(shù)量為4。每個字節(jié)將被分布到4個份額之一中。假設(shè)隨機分布，則將獲得創(chuàng)建23個隨機數(shù)(rl、r2、r3至r23)的序列，每個隨機數(shù)具有與四個份額對應(yīng)的1與 4之間的值。所述數(shù)據(jù)單元(在本示例中，數(shù)據(jù)的23個單個字節(jié))每個與23個隨機數(shù)中與四個份額之一對應(yīng)的一個隨機數(shù)相關(guān)聯(lián)。數(shù)據(jù)字節(jié)到四個份額的分布將通過下述方式發(fā)生，即，將數(shù)據(jù)的第一個字節(jié)放入到份額編號rl中，將數(shù)據(jù)的第二個字節(jié)放入到份額r2，將數(shù)據(jù)的第三個字節(jié)放入到份額r3中，將數(shù)據(jù)的第23個字節(jié)放入到份額r23中。本領(lǐng)域技術(shù)人員易于明白的是，在本發(fā)明的密碼分割處理中可使用各種其它可行的步驟或者步驟的組合或序列(包括數(shù)據(jù)單元的大小)，并且以上示例是用于對數(shù)據(jù)進行密碼分割的一個處理的非限制性描述。為了重建原始數(shù)據(jù)，將執(zhí)行逆操作。在本發(fā)明的密碼分割處理的另一個實施例中，用于密碼分割處理的選項是提供份額中的足夠的冗余度，以使得將數(shù)據(jù)重新組裝或恢復(fù)為其原始或可用形式僅需要份額的一個子集。作為非限制性示例，可以“4個中的三個”密碼分割的形式執(zhí)行密碼分割，以使得四個份額中的僅三個份額對于將數(shù)據(jù)重新組裝或恢復(fù)為其原始或可用形式是必要的。這也被稱為“N個中的M個密碼分割”，其中，N是份額總數(shù)，M比N至少小1。本領(lǐng)域的普通技術(shù)人員將易于明白的是，存在用于在本發(fā)明的密碼分割處理中創(chuàng)建該冗余度的許多可能性。在本發(fā)明的密碼分割處理的一個實施例中，每個數(shù)據(jù)單元存儲在兩個份額(即， 主份額和備份份額)中。通過使用上述“4個中的3個”密碼分割處理，任何一個份額可丟掉，并且由于僅需要總共四個份額中的三個份額，所以這足以恢復(fù)沒有丟掉數(shù)據(jù)單元的原始數(shù)據(jù)。如本文所述，產(chǎn)生與所述份額之一對應(yīng)的隨機數(shù)。隨機數(shù)與數(shù)據(jù)單元相關(guān)聯(lián)，并基于密鑰存儲在對應(yīng)的份額中。在本實施例中，使用一個密鑰來產(chǎn)生主份額和備份份額隨機數(shù)。如本文關(guān)于本發(fā)明的密碼分割處理所描述的，產(chǎn)生等于數(shù)據(jù)單元的數(shù)量的從0至3的一組隨機數(shù)(也稱為主份額數(shù))。然后，從1至3產(chǎn)生等于數(shù)據(jù)單元數(shù)量的另一組隨機數(shù)(也稱為備份份額數(shù))。然后將每個數(shù)據(jù)單元與主份額數(shù)和備份份額數(shù)相關(guān)聯(lián)?？商鎿Q地，可產(chǎn)生少于數(shù)據(jù)單元數(shù)量的一組隨機數(shù)，并重復(fù)該隨機數(shù)組，但是這可降低敏感數(shù)據(jù)的安全性。 主份額數(shù)被用于確定數(shù)據(jù)單元被存儲到哪個份額中。將備份份額數(shù)與主份額數(shù)組合，以創(chuàng)建0與3之間的第三份額數(shù)，該數(shù)被用于確定數(shù)據(jù)單元被存儲到哪個份額中。在本示例中， 確定第三份額數(shù)的方程是(主份額數(shù)+備份份額數(shù))M0D4 =第三份額數(shù)在以上所述的實施例中，主份額數(shù)在0與3之間并且備份份額數(shù)在1與3之間，確保第三份額數(shù)與主份額數(shù)不同。這導(dǎo)致數(shù)據(jù)單元存儲在兩個不同份額中。本領(lǐng)域的普通技術(shù)人員將易于明白的是，除了本文公開的實施例之外，存在執(zhí)行冗余密碼分割和非冗余密碼分割的許多方式。例如，可利用不同算法對每個份額中的數(shù)據(jù)單元進行混排。例如，可在原始數(shù)據(jù)被分割為數(shù)據(jù)單元時，或者在數(shù)據(jù)單元被放置到份額中時，或者在份額裝滿之后， 執(zhí)行該數(shù)據(jù)單元混排?？蓪θ魏未笮〉臄?shù)據(jù)單元執(zhí)行本文所述的各種密碼分割處理和數(shù)據(jù)混排處理及本發(fā)明的密碼分割和數(shù)據(jù)混排方法的所有其它實施例，所述大小包括，但不限于，小如單個比特、多個比特、字節(jié)、千字節(jié)、兆字節(jié)或更大。將執(zhí)行本文所述的密碼分割處理的源代碼的一個實施例的示例是
DATA [1:24]-用于將被分割的數(shù)據(jù)的字節(jié)數(shù)組 SHARES
-用于表示份額之一的每行的2維數(shù)組 RANDOM[l:24] -0..3范圍內(nèi)的數(shù)組隨機數(shù)
51= 1;
52= l;
53= l;
54= 1;
For J = 1 to 24 do Begin
IF RANDOM[J[ ==0 then Begin
SHARES[1,S1] = DATA [J];
Sl = Sl + 1;End
ELSE IF RANDOM[J[ ==1 then Begin
SHARES[2,S2] = DATA [J];
52= S2 + 1; END
ELSE IF RANDOM[J[ ==2 then Begin
Shares[3，S3] = data [J];
53= S3 + 1; End
Else begin
Shares[4，S4] = data [J];
54= S4 + 1; End;
END;本文所述的將執(zhí)行密碼分割RAID處理的源代碼的一個實施例的示例是產(chǎn)生兩組數(shù)，PrimaryShare是0至3，BackupShare是1至3。然后，通過與上述密碼分割中的處理相同的處理將每個數(shù)據(jù)單元放入share[primaryshare[l]]和share[(pri maryshare[l]+backupshare[l])mod 4中。該方法將可分級為任何大小N，其中，僅N-I個份額對于恢復(fù)數(shù)據(jù)是必要的。加密的數(shù)據(jù)元素的檢索、重新組合、重新組裝或重構(gòu)可利用任何數(shù)量的認(rèn)證技術(shù)， 包括，但不限于，生物辨識，諸如指紋識別、臉掃描、手掃描、虹膜掃描、視網(wǎng)膜掃描、耳掃描、 血管模式識別或DNA分析?？筛鶕?jù)需要將本發(fā)明的數(shù)據(jù)分割和/或解析器模塊集成到多種基礎(chǔ)設(shè)施產(chǎn)品或應(yīng)用程序中。本領(lǐng)域已知的傳統(tǒng)加密技術(shù)依賴于用于對數(shù)據(jù)進行加密的一個或多個密鑰，并使該數(shù)據(jù)在沒有密鑰的情況下不可用。然而，數(shù)據(jù)保持完整無損，并容易遭受攻擊。本發(fā)明的安全數(shù)據(jù)解析器在一個實施例中通過下述方式解決該問題，即，執(zhí)行加密文件的密碼解析和將加密文件分割為兩個或更多個部分或份額的分割，在另一個實施例中通過下述方式解決該問題，即，優(yōu)選地將加密文件分割為四個或更多個份額，將另一個加密層添加到每個數(shù)據(jù)份額，然后將份額存儲在不同的物理和/或邏輯位置中。當(dāng)從系統(tǒng)物理地移除一個或多個數(shù)據(jù)份額時，或者通過使用可移動設(shè)備(諸如數(shù)據(jù)存儲設(shè)備)，或者通過在另一方的控制下放置份額，可有效地去除損壞安全保護的數(shù)據(jù)的任何可能性。圖21中顯示了本發(fā)明的安全數(shù)據(jù)解析器的一個實施例的示例和可如何利用它的示例，以下對這些示例進行描述。然而，本領(lǐng)域技術(shù)人員將易于明白的是，除了以下的非限制性示例之外，還可以以各種方式利用本發(fā)明的安全數(shù)據(jù)解析器。作為部署選擇，在一個實施例中，安全數(shù)據(jù)解析器可通過外部會話密鑰管理或者會話密鑰的安全內(nèi)部存儲來實現(xiàn)。 在實現(xiàn)時，將產(chǎn)生將被用于安全保護應(yīng)用程序并用于加密目的的解析器主密鑰。還應(yīng)該指出，將解析器主密鑰合并在所得的安全保護數(shù)據(jù)中使得工作組、企業(yè)或廣大受眾內(nèi)的個人可靈活地共享安全保護的數(shù)據(jù)。如圖21所示，本發(fā)明的本實施例顯示由安全數(shù)據(jù)解析器對數(shù)據(jù)執(zhí)行的將會話主密鑰與解析的數(shù)據(jù)一起存儲的處理的步驟1.產(chǎn)生會話主密鑰，并使用RSl流密碼對數(shù)據(jù)進行加密。2.根據(jù)會話主密鑰的模式將所得的加密數(shù)據(jù)分離到解析數(shù)據(jù)的四個份額或部分中。3.在本方法實施例中，將會話主密鑰與安全保護的數(shù)據(jù)份額一起存儲在數(shù)據(jù)貯藏器中。根據(jù)解析器主密鑰的模式分離會話主密鑰，并將密鑰數(shù)據(jù)附加到加密的解析數(shù)據(jù)。4.所得的四個數(shù)據(jù)份額將包含原始數(shù)據(jù)的加密部分和會話主密鑰的部分。為四個數(shù)據(jù)份額中的每個產(chǎn)生流密碼密鑰。5.對每個份額進行加密，然后將加密密鑰存儲在與加密數(shù)據(jù)部分或份額不同的位置中份額1得到密鑰4，份額2得到密鑰1，份額3得到密鑰2，份額4得到密鑰3。為了恢復(fù)原始數(shù)據(jù)格式，逆向執(zhí)行所述步驟。本領(lǐng)域的普通技術(shù)人員易于明白的是，本文所述的方法的某些步驟可根據(jù)需要按不同順序執(zhí)行或者重復(fù)執(zhí)行多次。本領(lǐng)域技術(shù)人員還將易于明白的是，可彼此極大不同地處理數(shù)據(jù)的部分。例如，可僅對解析數(shù)據(jù)的一部分執(zhí)行多個解析步驟。僅在數(shù)據(jù)可被重新組裝、重構(gòu)、重新形成、解密或恢復(fù)為其原始或其它可用形式的條件下，才可以以任何期望的方式唯一地安全保護解析數(shù)據(jù)的每個部分。如圖22所示和本文所述的，本發(fā)明的另一個實施例包括由安全數(shù)據(jù)解析器對數(shù)據(jù)執(zhí)行的將會話主密鑰存儲在一個或多個單獨的密鑰管理表中的處理的步驟1.產(chǎn)生會話主密鑰，并使用RSl流密碼對數(shù)據(jù)進行加密。2.根據(jù)會話主密鑰的模式將所得的加密數(shù)據(jù)分離到解析數(shù)據(jù)的四個份額或部分中。3.在本發(fā)明方法的本實施例中，將會話主密鑰存儲在數(shù)據(jù)貯藏器中的單獨的密鑰管理表中。產(chǎn)生用于該交易的唯一交易ID。將交易ID和會話主密鑰存儲在單獨的密鑰管理表中。根據(jù)解析器主密鑰的模式分離交易ID，并將數(shù)據(jù)附加到加密的解析或分離數(shù)據(jù)。4.所得的四個數(shù)據(jù)份額將包含原始數(shù)據(jù)的加密部分和交易ID的部分。5.產(chǎn)生用于四個數(shù)據(jù)份額中的每個的流密碼密鑰。6.對每個份額進行加密，然后將加密密鑰存儲在與加密的數(shù)據(jù)部分或份額不同的位置中份額1得到密鑰4，份額2得到密鑰1，份額3得到密鑰2，份額4得到密鑰3。為了恢復(fù)原始數(shù)據(jù)格式，逆向執(zhí)行所述步驟。本領(lǐng)域的普通技術(shù)人員將易于明白的是，本文所述的方法的某些步驟可根據(jù)需要按不同順序執(zhí)行或者重復(fù)執(zhí)行多次。本領(lǐng)域技術(shù)人員還將易于明白的是，可彼此極大不同地處理數(shù)據(jù)的部分。例如，可僅對解析數(shù)據(jù)的一部分執(zhí)行多個解析步驟。僅在數(shù)據(jù)可被重
47新組裝、重構(gòu)、重新形成、解密或恢復(fù)為其原始或其它可用形式的條件下，才可以任何期望的方式唯一地安全保護解析數(shù)據(jù)的每個部分。如圖23所示，本發(fā)明的本實施例顯示由安全數(shù)據(jù)解析器對數(shù)據(jù)執(zhí)行的將會話主密鑰與解析數(shù)據(jù)一起存儲的方法的步驟1.訪問與認(rèn)證的用戶相關(guān)聯(lián)的解析器主密鑰2.產(chǎn)生唯一的會話主密鑰3.從解析器主密鑰和會話主密鑰的異或函數(shù)得到中間密鑰4.可選地，使用以中間密鑰作為密鑰的現(xiàn)存的或新穎的加密算法對數(shù)據(jù)進行加密5.根據(jù)中間密鑰的模式將所得的可選地加密的數(shù)據(jù)分離到解析數(shù)據(jù)的四個份額或部分中6.在本方法實施例中，將會話主密鑰與安全保護的數(shù)據(jù)份額一起存儲在數(shù)據(jù)貯藏器中。根據(jù)解析主密鑰的模式分離會話主密鑰，并將密鑰數(shù)據(jù)附加到可選地加密的解析數(shù)據(jù)份額。7.所得的多個數(shù)據(jù)份額將包含原始數(shù)據(jù)的可選地加密的部分和會話主密鑰的部分。8.可選地，產(chǎn)生用于四個數(shù)據(jù)份額中的每個的密碼密鑰。9.可選地，使用現(xiàn)存的或新穎的加密算法對每個份額進行加密，然后將密碼密鑰存儲在與加密的數(shù)據(jù)部分或份額不同的位置中例如，份額1得到密鑰4，份額2得到密鑰 1，份額3得到密鑰2，份額4得到密鑰3。 為了恢復(fù)原始數(shù)據(jù)格式，逆向執(zhí)行所述步驟。本領(lǐng)域的普通技術(shù)人員將易于明白的是，本文所述的方法的某些步驟可根據(jù)需要按不同順序執(zhí)行或者重復(fù)執(zhí)行多次。本領(lǐng)域技術(shù)人員還將易于明白的是，可彼此極大不同地處理數(shù)據(jù)的部分。例如，可僅對解析數(shù)據(jù)的一部分執(zhí)行多個解析步驟。僅在數(shù)據(jù)可被重新組裝、重構(gòu)、重新形成、解密或恢復(fù)為其原始或其它可用形式的條件下，才可以任何期望的方式唯一地安全保護解析數(shù)據(jù)的每個部分。如圖M所示和本文所述的，本發(fā)明的另一個實施例包括由安全數(shù)據(jù)解析器對數(shù)據(jù)執(zhí)行的將會話主密鑰存儲在一個或多個單獨的密鑰管理表中的方法的步驟1.訪問與認(rèn)證的用戶相關(guān)聯(lián)的解析器主密鑰2.產(chǎn)生唯一的會話主密鑰3.從解析器主密鑰和會話主密鑰的異或函數(shù)得到中間密鑰4.可選地，使用以中間密鑰作為密鑰的現(xiàn)存的或新穎的加密算法對數(shù)據(jù)進行加密5.根據(jù)中間密鑰的模式將所得的可選地加密的數(shù)據(jù)分離到解析數(shù)據(jù)的四個份額或部分中6.在本發(fā)明方法的本實施例中，將會話主密鑰存儲到數(shù)據(jù)貯藏器中的單獨的密鑰管理表中。產(chǎn)生用于該交易的唯一交易ID。將交易ID和會話主密鑰存儲在單獨的密鑰管理表中，或者將會話主密鑰和交易ID傳遞回用于外部管理的調(diào)用程序。根據(jù)解析器主密鑰的模式分離交易ID，并將數(shù)據(jù)附加到可選地加密的解析數(shù)據(jù)或分離數(shù)據(jù)。7.所得的四個數(shù)據(jù)份額將包含原始數(shù)據(jù)的可選地加密的部分和交易ID的部分。8.可選地，產(chǎn)生用于四個數(shù)據(jù)份額中的每個的密碼密鑰。
9.可選地，對每個數(shù)據(jù)份額進行加密，然后將密碼密鑰存儲在與加密的數(shù)據(jù)部分或份額不同的位置中。例如，份額1得到密鑰4，份額2得到密鑰1，份額3得到密鑰2，份額 4得到密鑰3。為了恢復(fù)原始數(shù)據(jù)格式，逆向執(zhí)行所述步驟。本領(lǐng)域的普通技術(shù)人員將易于明白的是，本文所述的方法的某些步驟可根據(jù)需要按不同順序執(zhí)行或者重復(fù)執(zhí)行多次。本領(lǐng)域技術(shù)人員還將易于明白的是，可彼此極大不同地處理數(shù)據(jù)的部分。例如，可僅對解析數(shù)據(jù)的一部分執(zhí)行多個分離或解析步驟。僅在數(shù)據(jù)可被重新組裝、重構(gòu)、重新形成、解密或恢復(fù)為其原始或其它可用形式的條件下，才可以任何期望的方式唯一地安全保護解析數(shù)據(jù)的每個部分。如本領(lǐng)域技術(shù)人員易于明白的是，多種加密方法適合用于本發(fā)明的方法中。一次一密算法通常被認(rèn)為是最安全的加密方法之一，并且適合用在本發(fā)明的方法中。使用一次一密算法要求產(chǎn)生如將被安全保護的數(shù)據(jù)一樣長的密鑰。由于將被安全保護的數(shù)據(jù)組的大小，而導(dǎo)致該方法的使用在某些狀況下可能不是那么可靠，所述狀況諸如導(dǎo)致產(chǎn)生和管理非常長的密鑰的那些狀況。在一次一密(OTP)算法中，使用簡單的異或函數(shù)，XOR0對于相同長度的兩個二進制流χ和1，xXOR y意味著對χ和y進行逐位異或運算。在比特級，產(chǎn)生0 XOR 0 = 00 XOR 1 = 11 XOR 0 = 11 XOR 1 = 0在本文中針對將被分割的η字節(jié)機密(secret) s (或數(shù)據(jù)組)描述該處理的一個示例。該處理將產(chǎn)生η字節(jié)隨機值a，然后設(shè)置b = a XOR S。指出，可通過以下等式得到“S”s = a XOR b
值a和b被稱作份額或部分，并被放置在分離的貯藏器中。一旦機密s被分割到兩個或更多個份額中，則以安全的方式丟棄它。本發(fā)明的安全數(shù)據(jù)解析器可利用該功能，其執(zhí)行多個XOR函數(shù)來合并多個不同的機密密鑰值Κ1、Κ2、Κ3、Κη、Κ5。在操作開始時，對將被安全保護的數(shù)據(jù)進行第一加密操作， 安全數(shù)據(jù)=數(shù)據(jù)XOR機密密鑰5 S = D XOR Κ5為了安全地將所得的加密數(shù)據(jù)存儲在例如四個份額Sl、S2、S3、Sn中，對數(shù)據(jù)進行解析，并根據(jù)K5的值將數(shù)據(jù)分割為“η個”段。該操作得到原始加密數(shù)據(jù)的“η”個偽隨機份額。然后可用剩余的機密密鑰值對每個份額執(zhí)行后面的XOR函數(shù)，例如安全數(shù)據(jù)段1 =加密數(shù)據(jù)份額1 XOR機密密鑰1 :SDl = Sl XOR KlSD2 = S2 XOR Κ2SD3 = S3 XOR Κ3SDn = Sn XOR Kn。
在一個實施例中，可能不期望的是，使任何一個貯藏器包含對那里保存的信息進行解密的足夠信息，所以將對份額進行解密所需的密鑰存儲在不同的數(shù)據(jù)貯藏器中貯藏器1: SDl，Kn貯藏器2:SD2，K1貯藏器3:SD3，K2貯藏器n:SDn，K3。另外，附加到每個份額的可以是檢索原始會話加密密鑰K5所需的信息。因此，在本文描述的密鑰管理示例中，原始會話主密鑰用交易ID指代，該交易ID根據(jù)安裝相關(guān)的解析器主密鑰(TIDUTID2.TID3.TIDn)的內(nèi)容而被分割到“η”個份額中貯藏器1 :SD1, Kn, TIDlC藏器 2 :SD2, Kl, TID2C藏器 3 :SD3，K2，TID3貯藏器η :SDn, K3, TIDn0在本文描述的合并會話密鑰示例中，根據(jù)安裝相關(guān)的解析器主密鑰(SKI、SK2、 SK3、SKn)的內(nèi)容，將會話主密鑰分割為“η個”份額貯藏器1 :SD1，Kn，SKlC藏器 2 :SD2, Kl, SK2貯藏器3 :SD3，Κ2，SK3貯藏器η :SDn，Κ3，SKn。除非檢索到所有四個份額，否則不能根據(jù)本示例重新組裝數(shù)據(jù)。即使捕獲到所有四個份額，也不可能在不使用會話主密鑰和解析器主密鑰的情況下重新組裝或恢復(fù)原始信肩、ο本示例描述了本發(fā)明方法的一個實施例，而且還在另一個實施例中描述了這樣的算法，該算法被用于將份額放置到貯藏器中，以使得可組合來自所有貯藏器的份額，以形成機密認(rèn)證材料。所需要的計算非常簡單，而且快。但是，就一次一密(OTP)算法而言，因為密鑰大小與將被存儲的數(shù)據(jù)的大小相同，所以可能存在使得它不是那么令人滿意的狀況， 諸如，將被安全保護的大型數(shù)據(jù)組。因此，需要存儲和發(fā)送大約兩倍的原始數(shù)據(jù)量，這在某些狀況下可能不是那么令人滿意。流密碼RSl流密碼RSl分割技術(shù)非常類似于本文描述的OTP分割技術(shù)。不是η字節(jié)隨機值， 而是產(chǎn)生n’ = min (η, 16)-字節(jié)隨機值，并將該隨機值用作RSl流密碼算法的密鑰。RSl流密碼算法的優(yōu)點在于，從少得多的種子數(shù)產(chǎn)生偽隨機密鑰。在不損害安全性的情況下，RSl 流密碼加密的執(zhí)行速度也被評定為本領(lǐng)域公知的三重DES加密的速度的大約10倍。RSl流密碼算法在本領(lǐng)域是公知的，并可被用于產(chǎn)生XOR函數(shù)中所使用的密鑰。RSl流密碼算法能夠與其它市售的流密碼算法共同使用，并且適合用于本發(fā)明的方法中，所述市售的流密碼算法諸如RSA Security, Inc的RC4 流密碼算法。通過使用以上密鑰符號，Kl至K5現(xiàn)在是η’字節(jié)隨機值，我們設(shè)置SDl = Sl XOR E(Kl)SD2 = S2 XOR E (Κ2)
SD3 = S3 XOR E (K3)SDn = Sn XOR E (Kn)其中E(Kl)至E (Kn)是以Kl至Kn作為密鑰的RSl流密碼算法的輸出的第一個η’ 字節(jié)?，F(xiàn)在如本文所述那樣將份額放置到數(shù)據(jù)貯藏器中。在該流密碼RSl算法中，所需的計算幾乎如OTP算法那樣簡單和快速。使用RSl 流密碼的該示例的益處在于，系統(tǒng)平均僅需要存儲和發(fā)送大約16個字節(jié)，這16個字節(jié)大于每個份額的將被安全保護的原始數(shù)據(jù)的大小。當(dāng)原始數(shù)據(jù)的大小多于16個字節(jié)時，由于該RSl算法僅僅更短，所以它比OTP算法效率更高。本領(lǐng)域的普通技術(shù)人員易于明白的是， 多種加密方法或算法適合用于本發(fā)明中，所述加密方法或算法包括，但不限于，RSU OTP、 RC4 、三重 DES 和 AES。本發(fā)明的數(shù)據(jù)安全性方法和計算機系統(tǒng)提供優(yōu)于傳統(tǒng)加密方法的主要優(yōu)點。一個優(yōu)點是，通過將數(shù)據(jù)份額移到一個或多個數(shù)據(jù)貯藏器或存儲裝置上的不同位置，來獲得安全性，所述不同位置可能是不同的邏輯位置、物理位置或地理位置。當(dāng)數(shù)據(jù)份額例如在不同人員的控制下被物理分割時，損壞數(shù)據(jù)的可能性極大地降低。本發(fā)明的方法和系統(tǒng)提供的另一優(yōu)點是，組合用于安全保護數(shù)據(jù)的本發(fā)明的方法的步驟，以提供保持敏感數(shù)據(jù)的安全性的綜合處理。用安全密鑰對數(shù)據(jù)進行加密，并根據(jù)安全密鑰將數(shù)據(jù)分割為一個或多個份額，而且在一個實施例中，分割為四個份額。通過參考指針安全地存儲安全密鑰，所述參考指針根據(jù)安全密鑰被安全保護為四個份額。然后分別對數(shù)據(jù)份額進行加密，并將密鑰與不同的加密的份額一起安全地存儲。當(dāng)組合時，根據(jù)本文描述的方法的用于安全保護數(shù)據(jù)的整個過程變?yōu)橛糜跀?shù)據(jù)安全性的綜合包。根據(jù)本發(fā)明的方法安全保護的數(shù)據(jù)可易于被檢索和恢復(fù)、重構(gòu)、重新組裝、解密或以其它方式返回到其原始形式或者其它適合于使用的形式。為了恢復(fù)原始數(shù)據(jù)，可利用以下項1.數(shù)據(jù)組的所有份額或部分。2.用于安全保護數(shù)據(jù)的方法的處理流程的了解和再現(xiàn)該處理流程的能力。3.訪問會話主密鑰。4.訪問解析器主密鑰。因此，可以期望的是，規(guī)劃這樣一種安全安裝，在該安全安裝中，可使以上元件中的至少一個與系統(tǒng)的其余組件在物理上分離(在例如不同的系統(tǒng)管理員的控制下)?？赏ㄟ^使用解析器主密鑰來實施通過調(diào)用數(shù)據(jù)安全保護方法對破壞應(yīng)用程序的防御。在采取任何動作之前，在本發(fā)明的本實施例中可能要求安全數(shù)據(jù)解析器與應(yīng)用程序之間的人工認(rèn)證握手。系統(tǒng)的安全性規(guī)定不存在用于重建原始數(shù)據(jù)的“后門”方法。對于可引起數(shù)據(jù)恢復(fù)問題的安裝，安全數(shù)據(jù)解析器可被增強以提供四個份額和會話主密鑰貯藏器的鏡像。諸如RAID (用于在幾個盤上散布信息的廉價磁盤冗余陣列)的硬件選項和諸如復(fù)制的軟件選項也可輔助數(shù)據(jù)恢復(fù)規(guī)劃。密鑰管理在本發(fā)明的一個實施例中，數(shù)據(jù)安全保護方法將三組密鑰用于加密操作。每組密鑰可具有基于安裝的各自的密鑰存儲、檢索、安全性和恢復(fù)選項?？墒褂玫拿荑€包括，但不限于解析器主密鉬該密鑰是與安全數(shù)據(jù)解析器的安裝相關(guān)聯(lián)的獨立密鑰。它安裝在其上已部署安全數(shù)據(jù)解析器的服務(wù)器上。存在適合于安全保護該密鑰的多種選擇，包括，但不限于，例如，智能卡、分離的硬件密鑰儲存器、標(biāo)準(zhǔn)密鑰儲存器、定制密鑰儲存器或者在受到安全保護的數(shù)據(jù)庫表內(nèi)。會話主密鉬每次安全保護數(shù)據(jù)時，可產(chǎn)生會話主密鑰。會話主密鑰被用于在解析和分割操作之前對數(shù)據(jù)進行加密。還可將它作為解析加密數(shù)據(jù)的手段并入(如果會話主密鑰沒有集成到解析數(shù)據(jù)中)?？梢砸远喾N方式安全保護會話主密鑰，所述方式包括，但不限于，例如，標(biāo)準(zhǔn)密鑰儲存器、定制密鑰儲存器、分離的數(shù)據(jù)庫表或者在加密的份額內(nèi)安全保護。份額加密密鉬對于創(chuàng)建的數(shù)據(jù)組的每個份額或部分，可產(chǎn)生獨立的份額加密密鑰，以進一步對份額進行加密。份額加密密鑰可存儲在與已被加密的份額不同的份額中。本領(lǐng)域的普通技術(shù)人員易于明白的是，本發(fā)明的數(shù)據(jù)安全保護方法和計算機系統(tǒng)可廣泛應(yīng)用于任何設(shè)置或環(huán)境下的任何類型的數(shù)據(jù)。除了通過互聯(lián)網(wǎng)或者在消費者與賣方之間進行的商業(yè)應(yīng)用之外，本發(fā)明的數(shù)據(jù)安全保護方法和計算機系統(tǒng)非常適用于非商業(yè)性的或私人的設(shè)置或環(huán)境?？墒褂帽疚乃龅姆椒ê拖到y(tǒng)來安全保護期望保持不受任何未授權(quán)用戶攻擊的任何數(shù)據(jù)組。例如，通過利用用于安全保護數(shù)據(jù)的本發(fā)明的方法和系統(tǒng)，可以有利地使公司或組織內(nèi)對特定數(shù)據(jù)庫的存取僅限于被選用戶。另一個示例是產(chǎn)生、修改或存取文檔，其中，期望在一組被選個人、計算機或工作站外部限制存取或者阻止未授權(quán)的或意外的存取或公開。按照本發(fā)明的數(shù)據(jù)安全保護方法和系統(tǒng)可應(yīng)用于任何設(shè)置的任何非商業(yè)性或商業(yè)性環(huán)境或設(shè)置的方式的這些示例和其它示例包括，但不限于，任何組織、政府機構(gòu)或公司。在本發(fā)明的另一個實施例中，數(shù)據(jù)安全保護方法將三組密鑰用于加密操作?；诎惭b，每組密鑰可具有各自的密鑰存儲、檢索、安全性和恢復(fù)選項?？墒褂玫拿荑€包括，但不限于1、解析器主密鑰該密鑰是與安全數(shù)據(jù)解析器的安裝相關(guān)聯(lián)的獨立密鑰。它安裝在其上已部署安全數(shù)據(jù)解析器的服務(wù)器上。存在適合于安全保護該密鑰的多種選擇，包括，但不限于，例如智能卡、分離的硬件密鑰儲存器、標(biāo)準(zhǔn)密鑰儲存器、定制密鑰儲存器或在受到安全保護的數(shù)據(jù)庫表內(nèi)。2、會話主密鑰每次安全保護數(shù)據(jù)時，可產(chǎn)生會話主密鑰。會話主密鑰與解析器主密鑰結(jié)合使用， 以得到中間密鑰。可以以各種方式安全保護會話主密鑰，所述方式包括，但不限于，例如，標(biāo)準(zhǔn)密鑰儲存器、定制密鑰儲存器、分離的數(shù)據(jù)庫表或在加密的份額內(nèi)受到安全保護。3、中間密鑰每次安全保護數(shù)據(jù)時，可產(chǎn)生中間密鑰。中間密鑰被用于在解析和分割操作之前對數(shù)據(jù)進行加密。還可將它作為對加密數(shù)據(jù)進行解析的手段并入。
4、份額加密密鉬對于創(chuàng)建的數(shù)據(jù)組的每個份額或部分，可產(chǎn)生獨立的份額加密密鑰，以進一步對份額進行加密。份額加密密鑰可存儲在與已被加密的份額不同的份額中。本領(lǐng)域的普通技術(shù)人員易于明白的是，本發(fā)明的數(shù)據(jù)安全保護方法和計算機系統(tǒng)可廣泛應(yīng)用于任何設(shè)置或環(huán)境下的任何類型的數(shù)據(jù)。除了通過互聯(lián)網(wǎng)或者在消費者與賣方之間進行的商業(yè)應(yīng)用之外，本發(fā)明的數(shù)據(jù)安全保護方法和計算機系統(tǒng)非常適用于非商業(yè)性的或私人的設(shè)置或環(huán)境?？赏ㄟ^使用本文所述的方法和系統(tǒng)來安全保護期望保持不受任何未授權(quán)用戶攻擊的任何數(shù)據(jù)組。例如，通過利用用于安全保護數(shù)據(jù)的本發(fā)明的方法和系統(tǒng)， 可以有利地使公司或組織內(nèi)對特定數(shù)據(jù)庫的存取僅限于被選用戶。另一個示例是產(chǎn)生、修改或存取文檔，其中，期望在一組被選個人、計算機或工作站外部限制存取或者阻止未授權(quán)的或意外的存取或公開。按照本發(fā)明的數(shù)據(jù)安全保護方法和系統(tǒng)可應(yīng)用于任何設(shè)置的任何非商業(yè)性或商業(yè)性環(huán)境或設(shè)置的方式的這些示例和其它示例包括，但不限于，任何組織、政府機構(gòu)或公司。工_』B立PC/新戰(zhàn)碰賴■猶制牛本發(fā)明的數(shù)據(jù)安全保護方法和計算機系統(tǒng)還可用于通過在例如企業(yè)、辦公室、政府機構(gòu)或者創(chuàng)建、處理或存儲敏感數(shù)據(jù)的任何設(shè)置中使用的工作組、項目、獨立PC/筆記本和任何其它平臺來安全保護數(shù)據(jù)。本發(fā)明提供安全保護下述數(shù)據(jù)的方法和計算機系統(tǒng)，所述數(shù)據(jù)已知是諸如美國政府的組織企圖得到的，以用于在整個政府組織或者在州或聯(lián)邦級別的政府之間實現(xiàn)。本發(fā)明的數(shù)據(jù)安全保護方法和計算機系統(tǒng)不僅提供解析和分割平面文件的能力， 還提供解析和分割任何類型的數(shù)據(jù)字段、集合和/或表格的能力。另外，所有形式的數(shù)據(jù)能夠在該處理下受到安全保護，所述數(shù)據(jù)包括，但不限于，文本、視頻、圖像、生物辨識和語音數(shù)據(jù)。本發(fā)明的安全保護數(shù)據(jù)的方法的可分級性、速度和數(shù)據(jù)吞吐量僅限于由用戶支配的硬件。在本發(fā)明的一個實施例中，在工作組環(huán)境下如下所述那樣利用數(shù)據(jù)安全保護方法。在一個實施例中，如圖23所示和以下所述，本發(fā)明的工作組規(guī)模的數(shù)據(jù)安全保護方法使用TrustEngine的私鑰管理功能來存儲用戶/群體關(guān)系以及一組用戶共享安全數(shù)據(jù)所需的相關(guān)聯(lián)的私鑰(解析器群體主密鑰)。根據(jù)解析器主密鑰如何部署的方式，本發(fā)明的方法具有安全保護用于企業(yè)、工作組或個人用戶的數(shù)據(jù)的能力。在一個實施例中，可提供另外的密鑰管理和用戶/組管理程序，從而使得能夠用單點控制和密鑰管理實現(xiàn)大規(guī)模工作組實現(xiàn)。密鑰產(chǎn)生、管理和撤銷用單個維護程序處理， 隨著用戶數(shù)量增加，密鑰產(chǎn)生、管理和撤銷都變得尤其重要。在另一個實施例中，還可在一個或幾個不同的系統(tǒng)管理員之間建立密鑰管理，這可以不允許任何個人或組根據(jù)需要控制數(shù)據(jù)。這允許根據(jù)如由組織限定的角色、責(zé)任、成員資格、權(quán)利等獲得安全保護的數(shù)據(jù)的管理，并且對安全保護的數(shù)據(jù)的存取可僅限于那些被準(zhǔn)許或被要求僅對他們工作的部分進行存取的人，而其他人，諸如管理人員或主管領(lǐng)導(dǎo)可對所有安全保護的數(shù)據(jù)進行存取。本實施例允許在公司或組織內(nèi)的不同組之間共享安全保護的數(shù)據(jù)，同時僅允許某些被選個人(諸如具有授權(quán)和預(yù)定角色以及責(zé)任的那些人)整體觀察數(shù)據(jù)。另外，本發(fā)明的方法和系統(tǒng)的本實施例也允許在例如不同的公司或者公司的不同部門或分組或者任何政府或組織或者
53任何類型機構(gòu)的任何不同組織部門、群體、機構(gòu)或辦公室等之間共享數(shù)據(jù)，在這些地方，要求一些共享，但是不是任何一方可被準(zhǔn)許對所有數(shù)據(jù)進行存取。對于本發(fā)明的這樣的方法和系統(tǒng)的需求和效用的特別明顯的示例是允許例如在行政區(qū)域、機構(gòu)和辦公室之間共享但保持安全性，并且在大公司或任何其它組織的不同的分組、部門或辦公室之間共享但保持安全性。本發(fā)明方法的較小規(guī)模的適用性的示例如下。解析器主密鑰被用作安全數(shù)據(jù)解析器對組織的序列化或品牌化。當(dāng)解析器主密鑰的使用規(guī)模從整個企業(yè)減小為較小的工作組時，本文描述的數(shù)據(jù)安全保護方法被用于在多組用戶內(nèi)共享文件。在圖25中所示的并且在以下描述的示例中，限定了六個用戶以及他們在組織內(nèi)的職稱或角色。側(cè)面的條代表用戶可根據(jù)他們的角色所屬的五個可能的群體。箭頭代表用戶在一個或多個群體中的成員資格。當(dāng)構(gòu)造本示例中所使用的安全數(shù)據(jù)解析器時，系統(tǒng)管理員通過維護程序從操作系統(tǒng)存取用戶和群體信息。該維護程序產(chǎn)生解析器群體主密鑰，并基于用戶在群體中的成員資格將解析器群體主密鑰分配給他們。在本示例中，在高級職員群體中有三個成員。對于該群體，動作將是1.訪問用于高級職員群體的解析器群體主密鑰(如果不可獲得，則產(chǎn)生密鑰)；2.產(chǎn)生將CEO與高級職員群體關(guān)聯(lián)的數(shù)字證書；3.產(chǎn)生將CFO與高級職員群體關(guān)聯(lián)的數(shù)字證書；4.產(chǎn)生將副總裁、市場營銷與高級職員群體關(guān)聯(lián)的數(shù)字認(rèn)證。對于每個群體和每個群體內(nèi)的每個成員將執(zhí)行同一組動作。當(dāng)維護程序完成時， 解析器群體主密鑰變成群體的每個成員的共享憑證。當(dāng)通過維護程序?qū)⒂脩魪娜后w去除而不影響群體中的其余成員時，可自動撤銷分配的數(shù)字證書。一旦共享憑證被定義，解析和分割處理就保持相同。當(dāng)將安全保護文件、文檔或數(shù)據(jù)元素時，向用戶提示當(dāng)安全保護數(shù)據(jù)時將使用的目標(biāo)群體。所得的安全保護的數(shù)據(jù)僅可被目標(biāo)群體的其他成員存取。本發(fā)明的方法和系統(tǒng)的這種功能可被用于任何其它計算機系統(tǒng)或軟件平臺，并且可以例如被集成到現(xiàn)存的應(yīng)用程序中，或者為了文件安全性可被獨立使用。本領(lǐng)域的普通技術(shù)人員易于明白的是，任何一種加密算法或者加密算法的組合適合用在本發(fā)明的方法和系統(tǒng)中。例如，在一個實施例中，可重復(fù)加密步驟，以產(chǎn)生多層加密方案。另外，在重復(fù)加密步驟中可使用不同的加密算法或者加密算法的組合，以使得不同的加密算法被應(yīng)用于多層加密方案的不同層。這樣，加密方案本身可變?yōu)楸景l(fā)明的方法的用于安全保護敏感數(shù)據(jù)不被未授權(quán)地使用或存取的組成部分。安全數(shù)據(jù)解析器可包括作為內(nèi)部組件的、作為外部組件的或者作為這二者的驗錯組件。例如，在一種合適的方法中，當(dāng)使用根據(jù)本發(fā)明的安全數(shù)據(jù)解析器創(chuàng)建數(shù)據(jù)的部分時，為了確保一部分內(nèi)的數(shù)據(jù)完整性，在該部分內(nèi)以預(yù)設(shè)間隔取得散列值，并將該散列值附加到該間隔的末尾。散列值是數(shù)據(jù)的可預(yù)測的且可再現(xiàn)的數(shù)字表示。如果數(shù)據(jù)內(nèi)的任何比特改變，則散列值將不同。掃描模塊(或者作為安全數(shù)據(jù)解析器外部的獨立組件，或者作為內(nèi)部組件)然后可掃描由安全數(shù)據(jù)解析器產(chǎn)生的數(shù)據(jù)部分。將每個數(shù)據(jù)部分(或者可替換地，根據(jù)某個間隔或者通過隨機或偽隨機采樣，少于所有數(shù)據(jù)部分)與附加的一個散列值
54或多個散列值進行比較，并可采取動作。該動作可包括報告匹配或不匹配的值、對于不匹配的值發(fā)出警告或者調(diào)用一些外部或內(nèi)部程序來觸發(fā)數(shù)據(jù)的恢復(fù)。例如，根據(jù)本發(fā)明，可基于下述概念調(diào)用恢復(fù)模塊來執(zhí)行數(shù)據(jù)的恢復(fù)，所述概念即，根據(jù)本發(fā)明產(chǎn)生原始數(shù)據(jù)可能需要比所有部分少的部分?？墒褂酶郊拥剿袛?shù)據(jù)部分或者數(shù)據(jù)部分的一個子集中的任何位置的任何合適的完整性信息來實現(xiàn)任何其它合適的完整性檢查。完整性信息可包括可被用于確定數(shù)據(jù)部分的完整性的任何合適的信息。完整性信息的示例可包括基于以下計算的散列值任何合適的參數(shù)(比如，基于各個數(shù)據(jù)部分)、數(shù)字簽名信息、消息認(rèn)證碼(MAC)信息、任何其它合適的信息或它們的組合。本發(fā)明的安全數(shù)據(jù)解析器可用于任何合適的應(yīng)用中。也就是，本文描述的安全數(shù)據(jù)解析器在不同的計算和技術(shù)領(lǐng)域中具有多種應(yīng)用。以下論述幾個這樣的領(lǐng)域。應(yīng)該理解， 這些在本質(zhì)上僅僅是示例性的，并且任何其它合適的應(yīng)用可利用安全數(shù)據(jù)解析器。還應(yīng)該理解，所描述的示例僅僅是示例性實施例，為了滿足任何合適的需求，可以以任何合適的方式對這些示例性實施例進行修改。例如，解析和分割可基于任何合適的單元，例如，按照比特、按照字節(jié)、按照千字節(jié)、按照兆字節(jié)、按照它們的任何組合或按照任何其它合適的單元。本發(fā)明的安全數(shù)據(jù)解析器可被用于實現(xiàn)安全物理令牌，由此為了存取存儲在另一個存儲區(qū)域中的另外的數(shù)據(jù)，可能需要存儲在物理令牌中的數(shù)據(jù)。在一種合適的方法中，根據(jù)本發(fā)明，物理令牌可被用于存儲解析數(shù)據(jù)的至少兩個部分之一，所述物理令牌諸如小型 USB閃存、軟盤、光盤、智能卡或任何其它合適的物理令牌。為了存取原始數(shù)據(jù)，可能需要接入USB閃存。因此，保存解析數(shù)據(jù)的一部分的個人計算機將需要在可存取原始數(shù)據(jù)之前連接具有解析數(shù)據(jù)的另一部分的USB閃存。圖沈示出該應(yīng)用。存儲區(qū)域2500包括一部分解析數(shù)據(jù)2502。為了存取原始數(shù)據(jù)，將需要使用任何合適的通信接口 2508(比如，USB、串行、 并行、藍牙、IR、IEEE 1394、以太網(wǎng)或任何其它合適的通信接口)將具有一部分解析數(shù)據(jù) 2506的物理令牌2504連接到存儲區(qū)域2500。在例如不干預(yù)計算機上的敏感數(shù)據(jù)并且對該敏感數(shù)據(jù)進行未授權(quán)的存取嘗試的情況下，這是有用的。通過移除物理令牌(比如，USB閃存)，敏感數(shù)據(jù)不可存取。將理解，可使用利用物理令牌的任何其它合適的方法。本發(fā)明的安全數(shù)據(jù)解析器可被用于實現(xiàn)安全認(rèn)證系統(tǒng)，由此使用安全數(shù)據(jù)解析器來解析和分割用戶注冊數(shù)據(jù)(比如，密碼、私有加密密鑰、指紋模板、生物辨識數(shù)據(jù)或任何其它合適的用戶注冊數(shù)據(jù))?？山馕龊头指钣脩糇詳?shù)據(jù)，由此將一個或多個部分存儲在智能卡、政府通用存取卡、任何合適的物理存儲設(shè)備(比如，磁盤或光盤、USB閃存等)或者任何其它合適的設(shè)備中?？蓪⒔馕龅挠脩糇詳?shù)據(jù)的一個或多個其它部分存儲在執(zhí)行認(rèn)證的系統(tǒng)中。這為認(rèn)證處理提供了增加的安全級別(比如，除了從生物辨識源獲得的生物辨識認(rèn)證信息之外，還必須通過合適的解析且分割的數(shù)據(jù)部分獲得用戶注冊數(shù)據(jù))?？蓪⒈景l(fā)明的安全數(shù)據(jù)解析器集成到任何合適的現(xiàn)存系統(tǒng)中，以便在每個系統(tǒng)的相應(yīng)環(huán)境中提供其功能性的使用。圖27顯示示例性系統(tǒng)沈00的框圖，示例性系統(tǒng)沈00可包括用于實現(xiàn)任何合適的應(yīng)用的軟件、硬件或這二者。系統(tǒng)沈00可以是現(xiàn)存系統(tǒng)，在該系統(tǒng)中，安全數(shù)據(jù)解析器2602可被改裝為集成組件?？商鎿Q地，可將安全數(shù)據(jù)解析器沈02從例如其最早的設(shè)計級集成到任何合適的系統(tǒng)2600中。可在系統(tǒng)沈00的任何合適的級別集成安全數(shù)據(jù)解析器沈00。例如，可在足夠后端的級別將安全數(shù)據(jù)解析器沈02集成到系統(tǒng)2600中，以使得安全數(shù)據(jù)解析器沈02的存在對于系統(tǒng)沈00的終端用戶可以基本上是透明的。根據(jù)本發(fā)明，安全數(shù)據(jù)解析器沈02可被用于在一個或多個存儲設(shè)備沈04之間解析和分割數(shù)據(jù)。以下對在其中集成有安全數(shù)據(jù)解析器的系統(tǒng)的一些示例性示例進行論述。可將本發(fā)明的安全數(shù)據(jù)解析器集成到操作系統(tǒng)內(nèi)核(比如，LiniDuUnix或任何其它合適的商用或?qū)Ｓ貌僮飨到y(tǒng))中。該集成可被用于保護設(shè)備級別的數(shù)據(jù)，由此，例如，安全數(shù)據(jù)解析器將通常將存儲在一個或多個設(shè)備中的數(shù)據(jù)分成某數(shù)量的部分，所述安全數(shù)據(jù)解析器集成到操作系統(tǒng)中并存儲在所述一個或多個設(shè)備之間。當(dāng)嘗試存取原始數(shù)據(jù)時，也集成到操作系統(tǒng)中的合適的軟件可以以對于終端用戶可以透明的方式將解析的數(shù)據(jù)部分重新組合為原始數(shù)據(jù)。可將本發(fā)明的安全數(shù)據(jù)解析器集成到存儲系統(tǒng)的容量管理器或任何其它合適的組件中，以保護任何或所有支持平臺上的本地和聯(lián)網(wǎng)數(shù)據(jù)存儲。例如，就集成的安全數(shù)據(jù)解析器而言，存儲系統(tǒng)可利用由安全數(shù)據(jù)解析器提供的冗余(即，其被用于實現(xiàn)這樣的特征， 即，為重構(gòu)原始數(shù)據(jù)需要比所有的分離的數(shù)據(jù)部分少的數(shù)據(jù)部分)來防止數(shù)據(jù)丟失。安全數(shù)據(jù)解析器還使得無論是否使用冗余，寫入到存儲設(shè)備的所有數(shù)據(jù)都可具有根據(jù)本發(fā)明的解析產(chǎn)生的多個部分的形式。當(dāng)嘗試存取原始數(shù)據(jù)時，也集成到存儲系統(tǒng)的容量管理器或任何其它合適的組件中的合適的軟件可以以對于終端用戶可以透明的方式將解析的數(shù)據(jù)部分重新組合為原始數(shù)據(jù)。在一種合適的方法中，可將本發(fā)明的安全數(shù)據(jù)解析器(作為硬件或軟件)集成到 RAID控制器中。這使得可在驅(qū)動故障時保持容錯性的同時將數(shù)據(jù)安全地存儲到多個驅(qū)動
ο可將本發(fā)明的安全數(shù)據(jù)解析器集成到數(shù)據(jù)庫中，以便例如保護敏感表格信息。例如，在一種合適的方法中，可根據(jù)本發(fā)明對與數(shù)據(jù)庫表格的特定單元相關(guān)聯(lián)的數(shù)據(jù)(比如， 各個單元、一個或多個特定列、一個或多個特定行、它們的任何組合或整個數(shù)據(jù)庫表格)進行解析和分離(比如，將不同部分存儲在在一個或多個位置處的一個或多個存儲設(shè)備上或者單個存儲設(shè)備上)?？赏ㄟ^傳統(tǒng)的認(rèn)證方法(比如，用戶名和密碼查詢)準(zhǔn)予為了查看原始數(shù)據(jù)而進行存取以重新組合部分。可將本發(fā)明的安全解析器集成到涉及運動數(shù)據(jù)(即，將數(shù)據(jù)從一個位置傳送到另一個位置)的任何合適的系統(tǒng)中。這樣的系統(tǒng)包括，例如，電子郵件、流傳輸數(shù)據(jù)廣播和無線(比如，WiFi)通信。關(guān)于電子郵件，在一種合適的方法中，安全解析器可被用于解析輸出消息(即，包含文本、二進制數(shù)據(jù)或者這二者(比如，附加到電子郵件消息的文件))；和將解析數(shù)據(jù)的不同部分沿著不同路徑發(fā)送，從而創(chuàng)建多個數(shù)據(jù)流。如果這些數(shù)據(jù)流中的任何一個受損，則由于為了產(chǎn)生原始數(shù)據(jù)，系統(tǒng)可以要求根據(jù)本發(fā)明組合所述部分中的多于一個，所以原始消息保持安全。在另一種合適的方法中，可沿著一個路徑順序地傳送不同數(shù)據(jù)部分，以使得如果獲得一個部分，則可能不足以產(chǎn)生原始數(shù)據(jù)。不同部分到達預(yù)期接收者的位置，并可根據(jù)本發(fā)明被組合以產(chǎn)生原始數(shù)據(jù)。圖觀和圖四是這樣的電子郵件系統(tǒng)的示例性框圖。圖觀顯示發(fā)送系統(tǒng)2700，發(fā)送系統(tǒng)2700可包括任何合適的硬件，諸如計算機終端、個人計算機、手持設(shè)備(比如，PDA、 黑莓)、蜂窩電話、計算機網(wǎng)絡(luò)、任何其它合適的硬件或它們的組合。發(fā)送系統(tǒng)2700被用于產(chǎn)生和/或存儲消息2704，消息2704可以是例如電子郵件消息、二進制數(shù)據(jù)文件(比如，圖5形、語音、視頻等)或者這二者。根據(jù)本發(fā)明，安全數(shù)字解析器2702對消息2704進行解析和分割?？赏ㄟ^網(wǎng)絡(luò)2708(比如，互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、LAN、WiFi、藍牙、任何其它合適的硬連線或無線通信裝置或者它們的組合)經(jīng)由一個或多個分離的通信路徑2706將所得的數(shù)據(jù)部分傳送到接收系統(tǒng)2710?？稍跁r間上并行地傳送數(shù)據(jù)部分，或者可替換地，根據(jù)不同數(shù)據(jù)部分的傳送之間的任何合適的時間延遲來傳送數(shù)據(jù)部分。接收系統(tǒng)2710可以是以上參照發(fā)送系統(tǒng)2700描述的任何合適的硬件。根據(jù)本發(fā)明，在接收系統(tǒng)2710重新組合沿著通信路徑2706傳載的分離的數(shù)據(jù)部分，以產(chǎn)生原始消息或數(shù)據(jù)。圖四顯示發(fā)送系統(tǒng)觀00，發(fā)送系統(tǒng)觀00可包括任何合適的硬件，諸如計算機終端、個人計算機、手持裝置(比如，PDA)、蜂窩電話、計算機網(wǎng)絡(luò)、任何其它合適的硬件或它們的組合。發(fā)送系統(tǒng)觀00被用于產(chǎn)生和/或存儲消息2804，消息觀04可以是例如電子郵件消息、二進制數(shù)據(jù)文件(比如，圖形、語音、視頻等)或者這二者。根據(jù)本發(fā)明，安全數(shù)字解析器觀02對消息觀04進行解析和分割。可通過網(wǎng)絡(luò)觀08(比如，互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、LAN、 WiFi、藍牙、任何其它合適的通信裝置或者它們的組合)經(jīng)由單個通信路徑觀06將所得的數(shù)據(jù)部分傳送到接收系統(tǒng)觀10。可經(jīng)由通信路徑洲06關(guān)于彼此串行地傳送數(shù)據(jù)部分。接收系統(tǒng)觀10可以是以上關(guān)于發(fā)送系統(tǒng)觀00描述的任何合適的硬件。根據(jù)本發(fā)明，在接收系統(tǒng)觀10重新組合沿著通信路徑觀06傳載的分離的數(shù)據(jù)部分，以產(chǎn)生原始消息或數(shù)據(jù)。應(yīng)該理解，圖觀和圖四的布置僅僅是示例性的?？墒褂萌魏纹渌线m的布置。例如，在另一種合適的方法中，可組合圖觀和圖四的系統(tǒng)的特征，由此使用圖觀的多路徑方法，在該方法中，使用通信路徑2706中的一個或多個來傳載多于一個數(shù)據(jù)部分，如同通信路徑觀06在圖四的情景中那樣傳載。可在數(shù)據(jù)輸入運動系統(tǒng)的任何合適的級別集成安全數(shù)據(jù)解析器。例如，在電子郵件系統(tǒng)的情景中，可在用戶接口級別集成安全解析器(比如，集成到微軟 Outlook中)，在這種情況下，當(dāng)使用電子郵件時，用戶可控制安全數(shù)據(jù)解析器特征的使用?？商鎿Q地，可在后端組件中(諸如在交互服務(wù)器處)實現(xiàn)安全解析器，在這種情況下，消息可根據(jù)本發(fā)明被自動解析、分割和沿著不同路徑傳送，而無需任何用戶介入。類似地，在數(shù)據(jù)(比如，音頻、視頻)的流傳輸廣播的情況下，可將輸出數(shù)據(jù)解析和分離為多個流，每個流包含解析數(shù)據(jù)的一部分。根據(jù)本發(fā)明，可沿著一個或多個路徑發(fā)送多個流，并在接收者的位置重新組合這些流。該方法的益處之一是，它避免了與傳統(tǒng)的數(shù)據(jù)加密相關(guān)聯(lián)的相對大的開銷，傳統(tǒng)的數(shù)據(jù)加密之后通過單個通信信道發(fā)送加密的數(shù)據(jù)。本發(fā)明的安全解析器使得可按多個并行流發(fā)送運動中的數(shù)據(jù)，從而提高速度和效率。應(yīng)該理解，為了保護任何類型的通過任何傳輸介質(zhì)的運動數(shù)據(jù)和該數(shù)據(jù)的容錯性，可集成安全數(shù)據(jù)解析器，所述傳輸介質(zhì)包括，例如，有線的、無線的或者物理的。例如， IP電話(VoIP)應(yīng)用可利用本發(fā)明的安全數(shù)據(jù)解析器?？墒褂帽景l(fā)明的安全數(shù)據(jù)解析器來安全保護來往于任何合適的個人數(shù)字助理(PDA)設(shè)備的無線或有線數(shù)據(jù)傳輸，所述PDA設(shè)備諸如黑莓和智能手機。下述通信可涉及根據(jù)本發(fā)明的安全數(shù)據(jù)解析器的運動數(shù)據(jù)能力， 所述通信將無線802. 11協(xié)議用于對等和基于交換機的無線網(wǎng)絡(luò)、衛(wèi)星通信、點對點無線通信、互聯(lián)網(wǎng)客戶端/服務(wù)器通信或任何其它合適的通信。計算機外圍設(shè)備(比如，打印機、 掃描儀、監(jiān)視器、鍵盤、網(wǎng)絡(luò)路由器、生物辨識認(rèn)證設(shè)備(比如，指紋掃描儀)或任何其它合適的外圍設(shè)備)之間的數(shù)據(jù)通信、計算機與計算機外圍設(shè)備之間的數(shù)據(jù)通信、計算機外圍設(shè)備與任何其它合適的設(shè)備之間的數(shù)據(jù)通信或者它們的任何組合可利用本發(fā)明的運動數(shù)據(jù)特征。本發(fā)明的運動數(shù)據(jù)特征還可通過使用例如分離的路由、載體、方法、任何其它合適的物理傳輸或它們的組合應(yīng)用于安全份額的物理傳輸。例如，數(shù)據(jù)的物理傳輸可發(fā)生在數(shù)字帶/磁帶、軟盤、光盤、物理令牌、USB驅(qū)動器、可移動硬盤驅(qū)動器、具有閃存的消費者電子設(shè)備(比如，蘋果IPOD或其它MP3播放器)、閃存、用于傳輸數(shù)據(jù)的任何其它合適的介質(zhì)或者它們的組合上。本發(fā)明的安全數(shù)據(jù)解析器可提供具有故障恢復(fù)能力的安全性。根據(jù)本發(fā)明，為了檢索原始數(shù)據(jù)，可能必需比由安全數(shù)據(jù)解析器產(chǎn)生的分離數(shù)據(jù)的所有部分少的部分。也就是說，在存儲的m個部分中，η可以是這m個部分中檢索原始數(shù)據(jù)所需的最小數(shù)量，其中η < = m。例如，如果四個部分中的每個相對于其它三個部分被存儲在不同的物理位置，那么， 如果在本示例中η = 2，則所述位置中的兩個可受損，由此數(shù)據(jù)被破壞或不可存取，并且可仍從其余兩個位置中的部分檢索原始數(shù)據(jù)。可將任何合適的值用于η或m。另外，本發(fā)明的m個特征中的η個可被用于創(chuàng)建“兩人規(guī)則”，由此為了避免委托單個個人或任何其它實體完全存取可能是敏感數(shù)據(jù)的內(nèi)容，兩個或更多個獨特的實體可能需要同意將他們的部分放在一起，以便檢索原始數(shù)據(jù)，所述實體每個具有由本發(fā)明的安全解析器解析的分離數(shù)據(jù)的一部分。本發(fā)明的安全數(shù)據(jù)解析器可被用于提供具有全群體密鑰的一組實體，所述全群體密鑰使得群體成員可存取被授權(quán)被該特定群體存取的特定信息。群體密鑰可以是由根據(jù)本發(fā)明的安全解析器產(chǎn)生的數(shù)據(jù)部分中的一個數(shù)據(jù)部分，例如，為了檢索尋找的信息，可能需要將所述一個數(shù)據(jù)部分與集中存儲的另一個部分組合。該特征使得例如可在群體之間進行安全合作。它可應(yīng)用于例如專用網(wǎng)絡(luò)、虛擬私人網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)或任何其它合適的網(wǎng)絡(luò)。安全解析器的這種使用的特定應(yīng)用包括，例如，聯(lián)合信息共享，在所述聯(lián)合信息共享中，例如，給予多國友好政府部隊在下述安全級別上傳送軍事行動數(shù)據(jù)和其它敏感數(shù)據(jù)的能力，所述安全級別通過單一網(wǎng)絡(luò)或?qū)ε季W(wǎng)絡(luò)(即，與目前所用的涉及相對大量的手動處理的許多網(wǎng)絡(luò)相比)被授予每個各自的國家。該能力也可應(yīng)用于公司或其它組織，在所述公司或其它組織中，可通過單一網(wǎng)絡(luò)傳送(組織內(nèi)的或者沒有組織的)一個或多個特定個人需要知道的信息，而無需擔(dān)心未授權(quán)的個人查看該信息。另一個特定應(yīng)用包括用于政府系統(tǒng)的多級別安全性層次體系。也就是說，本發(fā)明的安全解析器可提供使用單一網(wǎng)絡(luò)按機密信息的不同等級級別(比如，不機密、機密、秘密、絕密)操作政府系統(tǒng)的能力。如果需要，可使用多個網(wǎng)絡(luò)(比如，對于絕密，使用單獨的網(wǎng)絡(luò))，但是本發(fā)明給予基本上比目前布置更少的布置，在目前布置中，不同網(wǎng)絡(luò)被用于每個級別的機密。應(yīng)該理解，可使用本發(fā)明的安全解析器的上述應(yīng)用的任何組合。例如，群體密鑰應(yīng)用可與運動數(shù)據(jù)安全性應(yīng)用一起使用(即，由此通過網(wǎng)絡(luò)傳送的數(shù)據(jù)僅可被相應(yīng)群體的成員存取，并且在這種情況下，在數(shù)據(jù)正在運動的同時，根據(jù)本發(fā)明將該數(shù)據(jù)在多個路徑之間分割(或者按順序部分發(fā)送))?？蓪⒈景l(fā)明的安全數(shù)據(jù)解析器集成到任何中間件應(yīng)用程序中，以使得應(yīng)用程序能夠在不修改應(yīng)用程序或數(shù)據(jù)庫的情況下將數(shù)據(jù)安全地存儲到不同的數(shù)據(jù)庫產(chǎn)品或者不同的設(shè)備。中間件是對于使得兩個分離的且已經(jīng)存在的應(yīng)用程序或數(shù)據(jù)庫可進行通信的任何產(chǎn)品的通用術(shù)語。例如，在一種合適的方法中，集成有安全數(shù)據(jù)解析器的中間件可被用于使得對于特定數(shù)據(jù)庫編寫的程序可與其它數(shù)據(jù)庫進行通信，而不用定制編碼。本發(fā)明的安全數(shù)據(jù)解析器可被實現(xiàn)為具有任何合適能力(諸如，本文論述的那些能力)的任何組合。在本發(fā)明的一些實施例中，例如，可實現(xiàn)這樣的安全數(shù)據(jù)解析器，該安全數(shù)據(jù)解析器僅具有特定能力，而其它能力可通過使用與安全數(shù)據(jù)解析器直接或間接通過接口連接的外部軟件、硬件或者這二者來獲得。例如，圖30顯示安全數(shù)據(jù)解析器作為安全數(shù)據(jù)解析器3000的示例性實現(xiàn)。安全數(shù)據(jù)解析器3000可被實現(xiàn)為具有非常少的內(nèi)置能力。如所示，安全數(shù)據(jù)解析器3000可包括這樣的內(nèi)置能力，即，根據(jù)本發(fā)明使用模塊3002解析數(shù)據(jù)和將該數(shù)據(jù)分割為數(shù)據(jù)部分(本文也稱為份額)。安全數(shù)據(jù)解析器3000還可包括這樣的內(nèi)置能力，即，執(zhí)行冗余，以便能夠使用模塊3004實現(xiàn)例如上述的η個特征中的m個特征(即，使用比解析的且分割的數(shù)據(jù)的所有份額少的份額來重建原始數(shù)據(jù))。根據(jù)本發(fā)明，安全數(shù)據(jù)解析器3000還可包括使用模塊 3006的份額分布能力，模塊3006用于將數(shù)據(jù)份額放置到將它們從其傳送到遠程位置進行存儲等的緩沖器中。應(yīng)當(dāng)理解，任何其它合適的能力可被構(gòu)建到安全數(shù)據(jù)解析器3000中。組裝數(shù)據(jù)緩沖器3008可以為被用于存儲安全數(shù)據(jù)解析器3000將對其進行解析和分割的原始數(shù)據(jù)(但是，不必是其原始形式)的任何合適的存儲器。在分割操作中，組裝數(shù)據(jù)緩沖器3008為安全數(shù)據(jù)解析器3008提供輸入。在恢復(fù)操作中，組裝數(shù)據(jù)緩沖器3008可被用于存儲安全數(shù)據(jù)解析器3000的輸出。分割份額緩沖器3010可以是可被用于存儲從原始數(shù)據(jù)的解析和分割得到的多個數(shù)據(jù)份額的一個或多個存儲器模塊。在分割操作中，分割份額緩沖器3010保存安全數(shù)據(jù)解析器的輸出。在恢復(fù)操作中，分割份額緩沖器保存安全數(shù)據(jù)解析器3000的輸入。應(yīng)該理解，對于安全數(shù)據(jù)解析器3000可內(nèi)置任何其它合適的能力的布置。任何另外的特征可以是內(nèi)置的，并且可以以任何合適的方式移除所示特征中的任何一個、使得所示特征中的任何一個更魯棒、使得所示特征中的任何一個不是那么魯棒或者以其它方式修改所示特征中的任何一個。緩沖器3008和3010同樣僅僅是示例性的，并可以以任何合適的方式對緩沖器3008和3010進行修改、移除或添加。用軟件、硬件或者這二者實現(xiàn)的任何合適的模塊可被安全數(shù)據(jù)解析器3000調(diào)用或者可調(diào)用安全數(shù)據(jù)解析器3000。如果需要，則甚至構(gòu)建到安全數(shù)據(jù)解析器3000中的能力也可用一個或多個外部模塊替換。如所示，一些外部模塊包括隨機數(shù)產(chǎn)生器3012、密碼反饋密鑰產(chǎn)生器3014、散列算法3016、任何一種或多種類型的加密3018和密鑰管理3020。 應(yīng)當(dāng)理解，這些僅僅是示例性的外部模塊。除了示出的這些模塊之外或者代替示出的這些模塊，可使用任何其它合適的模塊。在安全數(shù)據(jù)解析器3000外部的密碼反饋密鑰產(chǎn)生器3014可(通過使用例如隨機數(shù)產(chǎn)生器3012)為每個安全數(shù)據(jù)解析器操作產(chǎn)生唯一的密鑰或隨機數(shù)，所述唯一的密鑰或隨機數(shù)將被用作用于將原始會話密鑰大小(比如，1觀、256、512或IOM個比特)擴展為與將被解析和分割的數(shù)據(jù)的長度相等的值的操作的種子值。任何合適的算法可被用于產(chǎn)生密碼反饋密鑰，所述算法包括，例如，AES密碼反饋密鑰產(chǎn)生算法。為了使安全數(shù)據(jù)解析器3000及其外部模塊(S卩，安全數(shù)據(jù)解析器層3026)到應(yīng)用層30M(比如，電子郵件應(yīng)用程序、數(shù)據(jù)庫應(yīng)用程序等)中的集成便利，可使用可利用例如 API函數(shù)調(diào)用的包裝層?？墒褂檬拱踩珨?shù)據(jù)解析器層30 到應(yīng)用層30M中的集成便利的任何其它合適的布置。圖31示例性地顯示當(dāng)在應(yīng)用層30M中發(fā)出寫(比如，寫到存儲設(shè)備)、插入(比如，插入到數(shù)據(jù)庫字段中)或者發(fā)送(比如，通過網(wǎng)絡(luò)發(fā)送)命令時可如何使用圖30的布置。在步驟3100，識別將被安全保護的數(shù)據(jù)，并調(diào)用安全數(shù)據(jù)解析器。所述調(diào)用通過包裝層 3022，在該情況下，在步驟3102，包裝層3022將在步驟3100識別的輸入數(shù)據(jù)流傳輸?shù)浇M裝數(shù)據(jù)緩沖器3008中。此外，在步驟3102，可存儲任何合適的份額信息、文件名、任何其它合適的信息或者它們的組合(比如，作為信息3106存儲在包裝層3022)。根據(jù)本發(fā)明，安全數(shù)據(jù)處理器3000然后對它從組裝數(shù)據(jù)緩沖器3008作為輸入取得的數(shù)據(jù)進行解析和分割。它將數(shù)據(jù)份額輸出到分割份額緩沖器3010中。在步驟3104，包裝層3022從存儲的信息3106 獲得任何合適的份額信息(即，由包裝層3022在步驟3102存儲的份額信息)和(比如， 從一個或多個配置文件獲得)份額位置。包裝層3022然后適當(dāng)?shù)貙?從分割份額緩沖器 3010中獲得的)輸出份額(比如，寫到一個或多個存儲設(shè)備、傳送到網(wǎng)絡(luò)上等)。圖32示例性地顯示當(dāng)讀(比如，從存儲設(shè)備讀)、選擇(比如，從數(shù)據(jù)庫字段選擇) 或者接收(比如，從網(wǎng)絡(luò)接收)時可如何使用圖30的布置。在步驟3200，識別將被恢復(fù)的數(shù)據(jù)，并從應(yīng)用層30M調(diào)用安全數(shù)據(jù)解析器3000。在步驟3202，從包裝層3022獲得任何合適的份額信息，并確定份額位置。包裝層3022將在步驟3200識別的數(shù)據(jù)部分加載到分割份額緩沖器3010中。安全數(shù)據(jù)解析器3000然后根據(jù)本發(fā)明對這些份額進行處理(比如，如果僅四個份額中僅三個份額可用，則可使用安全數(shù)據(jù)解析器3000的冗余能力來通過僅使用三個份額恢復(fù)原始數(shù)據(jù))。然后將恢復(fù)的數(shù)據(jù)存儲在組裝數(shù)據(jù)緩沖器3008中。在步驟3204，應(yīng)用層3022將存儲在組裝數(shù)據(jù)緩沖器3008中的數(shù)據(jù)轉(zhuǎn)換為其原始數(shù)據(jù)格式(如果必要的話)，并將其原始格式的原始數(shù)據(jù)提供給應(yīng)用層30M。應(yīng)該理解，圖31中示出的原始數(shù)據(jù)的解析和分割及圖32中示出的數(shù)據(jù)部分到原始數(shù)據(jù)的恢復(fù)僅僅是示例性的。除了示出的這些處理和組件之外或者代替示出的這些處理和組件，可使用其它合適的處理、組件或者這二者。圖33是根據(jù)本發(fā)明的一個實施例的用于解析原始數(shù)據(jù)并將該原始數(shù)據(jù)分割成兩個或更多個數(shù)據(jù)部分的示例性處理流程的框圖。如所示，期望被解析和分割的原始數(shù)據(jù)是純文本3306(即，單詞“SUMMIT”被用作示例)。應(yīng)該理解，根據(jù)本發(fā)明，可對任何其它類型的數(shù)據(jù)進行解析和分割。產(chǎn)生會話密鑰3300。如果會話密鑰3300的長度與原始數(shù)據(jù)3306 的長度不一致，則可產(chǎn)生密碼反饋會話密鑰3304。在一種合適的方法中，可在解析、分割或者這二者之前對原始數(shù)據(jù)3306進行加密。例如，如圖33所示，原始數(shù)據(jù)3306可與任何合適的值(比如，與密碼反饋會話密鑰3304 或與任何其它合適的值)進行XOR運算。應(yīng)該理解，代替示出的XOR技術(shù)或者除了示出的 XOR技術(shù)之外，可使用任何其它合適的加密技術(shù)。還應(yīng)該理解，雖然以字節(jié)為單位按照逐字節(jié)操作示出圖33，但是操作可在比特級別或者任何其它合適的級別進行。還應(yīng)該理解，如果需要，無論原始數(shù)據(jù)3306如何，都不需要任何加密。然后使所得的加密數(shù)據(jù)(或者原始數(shù)據(jù)(如果沒有進行加密))散列化，以確定在輸出存儲桶(比如，在示出的示例中存在四個輸出存儲桶)之間如何分割加密(或原始)數(shù)據(jù)。在示出的示例中，散列化按字節(jié)進行，并且散列化是密碼反饋會話密鑰3304的函數(shù)。 應(yīng)該理解這僅僅是示例性的。如果需要，可在比特級別執(zhí)行散列化。散列化可以是除密碼反饋會話密鑰3304之外的任何其它合適的值的函數(shù)。在另一種合適的方法中，不需要使用散列化。此外，可利用用于分割數(shù)據(jù)的任何其它合適的技術(shù)。圖34是根據(jù)本發(fā)明的一個實施例的用于從原始數(shù)據(jù)3306的兩個或更多個解析的且分割的部分恢復(fù)原始數(shù)據(jù)3306的示例性處理流程的框圖。該處理涉及作為密碼反饋會話密鑰3304的函數(shù)對所述部分進行反向散列化(即，與圖33的處理相反)，以恢復(fù)加密的原始數(shù)據(jù)(或者原始數(shù)據(jù)(如果在解析和分割之前沒有進行加密))。加密密鑰然后可被用于恢復(fù)原始數(shù)據(jù)(即，在示出的示例中，密碼反饋會話密鑰3304被用于通過將它與加密數(shù)據(jù)進行XOR運算來對XOR加密進行解密)。這樣，恢復(fù)了原始數(shù)據(jù)3306。圖35顯示在圖33和圖34的示例中如何實現(xiàn)比特分割?？墒褂蒙⒘?比如，作為密碼反饋會話密鑰的函數(shù)，作為任何其它合適的值的函數(shù))來確定分割數(shù)據(jù)的每個字節(jié)的位值。應(yīng)該理解，這僅僅是在比特級別執(zhí)行分割的一種示例性方式?？墒褂萌魏纹渌线m的技術(shù)。應(yīng)該理解，可關(guān)于任何合適的散列算法進行本文提出的散列功能的任何論述。這些包括，例如，MD5和SHA-1?？稍诓煌臅r間由本發(fā)明的不同組件使用不同的散列算法。在根據(jù)以上示例性過程或者通過任何其它程序或算法確定分割點之后，可確定關(guān)于將左段和右段中的每個附加到哪些數(shù)據(jù)部分?？墒褂萌魏魏线m的算法進行這個確定。例如，在一種合適的方法中，可創(chuàng)建(比如，以左段目的地和右段目的地的配對的形式的)所有可能的分布的表，由此可通過下述方式確定用于左段和右段中的每個的目的地共享值， 即，對會話密鑰、密碼反饋會話密鑰中的對應(yīng)數(shù)據(jù)或者任何其它合適的隨機或偽隨機值使用任何合適的散列函數(shù)，所述隨機或偽隨機值可被產(chǎn)生和擴展到原始數(shù)據(jù)的大小。例如，可對隨機或偽隨機值中的對應(yīng)字節(jié)執(zhí)行散列函數(shù)。散列函數(shù)的輸出被用于確定從所有目的地組合的表選擇哪個目的地配對(即，一個用于左段，一個用于右段)?；谠摻Y(jié)果，將分割數(shù)據(jù)單元的每段附加到作為散列函數(shù)的結(jié)果而被選擇的表值所指示的相應(yīng)兩個份額。根據(jù)本發(fā)明，可將冗余信息附加到數(shù)據(jù)部分，以使得可使用比所有數(shù)據(jù)部分少的部分恢復(fù)原始數(shù)據(jù)。例如，如果期望四個部分中的兩個足以恢復(fù)數(shù)據(jù)，則可以以例如循環(huán)的方式將來自份額的附加數(shù)據(jù)相應(yīng)地附加到每個份額(比如，在原始數(shù)據(jù)的大小為4MB的情況下，那么，份額1得到其自己的份額以及份額2和份額3的份額；份額2得到其自己的份額以及份額3和份額4的份額；份額3得到其自己的份額以及份額4和份額1的份額；份額 4得到其自己的份額以及份額1和份額2的份額)。可根據(jù)本發(fā)明使用任何這樣的合適的冗余。應(yīng)該理解，可使用任何其它合適的解析和分割方法來從根據(jù)本發(fā)明設(shè)置的原始數(shù)據(jù)產(chǎn)生數(shù)據(jù)部分。例如，可隨機地或偽隨機地基于逐比特處理解析和分割?？墒褂秒S機或偽隨機值(比如，會話密鑰、密碼反饋會話密鑰等)，由此對于原始數(shù)據(jù)中的每個比特，對隨機或偽隨機值中的對應(yīng)數(shù)據(jù)進行散列函數(shù)的結(jié)果可指示將相應(yīng)比特附加到哪個份額。在一種合適的方法中，可產(chǎn)生這樣的隨機或偽隨機值，該隨機或偽隨機值為原始數(shù)據(jù)的大小的 8倍，或者被擴展到原始數(shù)據(jù)的大小的8倍，以使得可相對于原始數(shù)據(jù)的每個比特對隨機或偽隨機值的對應(yīng)字節(jié)執(zhí)行散列函數(shù)。根據(jù)本發(fā)明，可使用按照逐比特級別解析和分割數(shù)據(jù)
61的任何其它合適的算法。還應(yīng)該意識到的是，可以例如以以上剛剛根據(jù)本發(fā)明描述的方式將冗余數(shù)據(jù)附加到數(shù)據(jù)份額。在一種合適的方法中，解析和分割不必是隨機的或偽隨機的。相反，可使用用于解析和分割數(shù)據(jù)的任何合適的確定性算法。例如，可利用將原始數(shù)據(jù)分解為順序份額作為解析和分割算法。另一個示例是逐個比特地解析和分割原始數(shù)據(jù)，以循環(huán)的方式將每個相應(yīng)比特依次附加到數(shù)據(jù)份額。還應(yīng)該意識到的是，可以例如以以上根據(jù)本發(fā)明描述的方式將冗余數(shù)據(jù)附加到數(shù)據(jù)份額。在本發(fā)明的一個實施例中，在安全數(shù)據(jù)解析器產(chǎn)生原始數(shù)據(jù)的許多部分以便恢復(fù)原始數(shù)據(jù)之后，所產(chǎn)生的部分中的某一個或某多個可以是強制性的。例如，如果所述部分之一用作(比如，保存在物理令牌設(shè)備上的)認(rèn)證共享，并且如果正在使用安全數(shù)據(jù)解析器的容錯特征(即，在恢復(fù)原始數(shù)據(jù)必需比所有部分少的部分的情況下)，則即使安全數(shù)據(jù)解析器可使用原始數(shù)據(jù)的足夠多的部分以便恢復(fù)原始數(shù)據(jù)，在它恢復(fù)原始數(shù)據(jù)之前，它也可需要存儲在物理令牌設(shè)備上的認(rèn)證份額。應(yīng)該理解，可基于例如應(yīng)用、數(shù)據(jù)類型、用戶、任何其它合適的因素或它們的任何組合要求任何數(shù)量和類型的特定份額。在一種合適的方法中，安全數(shù)據(jù)解析器或者安全數(shù)據(jù)解析器的某個外部組件可對原始數(shù)據(jù)的一個或多個部分進行加密。為了恢復(fù)原始數(shù)據(jù)，可能需要提供加密部分并對這些加密部分進行解密?？捎貌煌募用苊荑€對不同的加密部分加密。例如，這個特征可被用于實現(xiàn)更安全的“兩人規(guī)則”，由此第一用戶將需要具有使用第一加密密鑰加密的特定份額，而第二用戶將需要具有使用第二加密密鑰加密的特定份額。為了存取原始數(shù)據(jù)，兩個用戶都將需要具有他們各自的加密密鑰和提供他們各自的原始數(shù)據(jù)部分。在一種合適的方法中，可使用公鑰對一個或多個數(shù)據(jù)部分進行加密，所述數(shù)據(jù)部分可以是恢復(fù)原始數(shù)據(jù)所需的強制性份額。然后，可使用私鑰對所述份額進行解密，以便使用該份額恢復(fù)原始數(shù)據(jù)?？墒褂美脧娭菩苑蓊~的任何這樣的合適的范例，在該范例中，恢復(fù)原始數(shù)據(jù)需要比所有份額少的份額。在本發(fā)明的一個合適的實施例中，可隨機地或偽隨機地處理數(shù)據(jù)到有限數(shù)量的數(shù)據(jù)份額的分配，以使得從統(tǒng)計角度來看，任何特定數(shù)據(jù)份額接收特定數(shù)據(jù)單元的概率等于其余份額中的任何一個將接收該數(shù)據(jù)單元的概率。結(jié)果，每個數(shù)據(jù)份額將具有大致相等量的數(shù)據(jù)比特。根據(jù)本發(fā)明的另一個實施例，所述有限數(shù)量的數(shù)據(jù)份額中的每個不必具有從原始數(shù)據(jù)的解析和分割接收數(shù)據(jù)單元的相等概率。相反，某一個或某多個份額可具有比其余份額高或低的概率。結(jié)果，某些份額就比特大小而言可以比其它份額大或小。例如，在雙份額情形下，一個份額可具有接收數(shù)據(jù)單元的概率，而第二份額具有99%的概率。因此，應(yīng)該遵循，一旦安全數(shù)據(jù)解析器在兩個份額之間分布數(shù)據(jù)單元，第一份額就應(yīng)該具有大約的數(shù)據(jù)，而第二份額就應(yīng)該具有99%的數(shù)據(jù)。根據(jù)本發(fā)明，可使用任何合適的概率。應(yīng)該理解，安全數(shù)據(jù)解析器還可被編程為也根據(jù)精確的(或近似精確的)百分?jǐn)?shù)將數(shù)據(jù)分布給份額。例如，安全數(shù)據(jù)解析器可被編程為將80%的數(shù)據(jù)分布給第一份額，而將剩余的20%數(shù)據(jù)分布給第二份額。根據(jù)本發(fā)明的另一個實施例，安全數(shù)據(jù)解析器可產(chǎn)生數(shù)據(jù)份額，所述數(shù)據(jù)份額中的一個或多個具有預(yù)定義的大小。例如，安全數(shù)據(jù)解析器可將原始數(shù)據(jù)分割成數(shù)據(jù)部分，其中所述部分之一精確為256個比特。在一種合適的方法中，如果不可能產(chǎn)生具有所需大小的數(shù)據(jù)部分，則安全數(shù)據(jù)解析器可填充該部分，以使它具有正確大小?？墒褂萌魏魏线m的大小。在一種合適的方法中，數(shù)據(jù)部分的大小可以為加密密鑰、分割密鑰、任何其它合適的密鑰或者任何其它合適的數(shù)據(jù)元素的大小。如前所述，安全數(shù)據(jù)解析器可在數(shù)據(jù)的解析和分割中使用密鑰。為了清晰和簡明起見，本文中將這些密鑰稱為“分割密鑰”。例如，先前介紹的會話主密鑰是一種分割密鑰。 此外，如前所述，可在由安全數(shù)據(jù)解析器產(chǎn)生的數(shù)據(jù)份額內(nèi)安全保護分割密鑰?？墒褂冒踩Ｗo分割密鑰的任何合適的算法來在數(shù)據(jù)份額之間安全保護它們。例如，可使用Siamir算法安全保護分割密鑰，由此產(chǎn)生可用于重構(gòu)分割密鑰的信息，并將該信息附加到數(shù)據(jù)份額。 根據(jù)本發(fā)明，可使用任何其它這樣的合適的算法。類似地，根據(jù)諸如Siamir算法的任何合適的算法，可在一個或多個數(shù)據(jù)份額內(nèi)安全保護任何合適的加密密鑰。例如，可使用例如Siamir算法或任何其它合適的算法來安全保護用于在解析和分割之前對數(shù)據(jù)組進行加密的加密密鑰、用于在解析和分割之后對數(shù)據(jù)部分進行加密的加密密鑰或者這二者。根據(jù)本發(fā)明的一個實施例，可使用諸如全包變換的全或無變換(AoNT)來通過變換分割密鑰、加密密鑰、任何其他合適的數(shù)據(jù)元素或者它們的任何組合來進一步安全保護數(shù)據(jù)。例如，根據(jù)本發(fā)明的用于在解析和分割之前對數(shù)據(jù)組進行加密的加密密鑰可用AoNT 算法變換。然后，可根據(jù)例如Siamir算法或任何其它合適的算法在數(shù)據(jù)份額之間分布變換的加密密鑰。為了重構(gòu)加密密鑰，必須恢復(fù)加密的數(shù)據(jù)組(比如，如果根據(jù)本發(fā)明使用冗余，則不必使用所有的數(shù)據(jù)份額)，以便存取關(guān)于根據(jù)本領(lǐng)域技術(shù)人員公知的AoNT的變換的必要信息。當(dāng)檢索原始加密密鑰時，可使用它來對加密的數(shù)據(jù)組進行解密，以檢索原始數(shù)據(jù)組。應(yīng)該理解，本發(fā)明的容錯特征可結(jié)合AoNT特征使用。也就是，數(shù)據(jù)部分中可包括冗余數(shù)據(jù)，以使得恢復(fù)加密的數(shù)據(jù)組必需比所有的數(shù)據(jù)部分少的數(shù)據(jù)部分。應(yīng)該理解，代替與解析和分割之前的數(shù)據(jù)組對應(yīng)的相應(yīng)加密密鑰的加密和^VoNT 或者除此之外，可將AoNT應(yīng)用于用于對解析和分割之后的數(shù)據(jù)部分進行加密的加密密鑰。 同樣，可將AoNT應(yīng)用于分割密鑰。在本發(fā)明的一個實施例中，為了向安全保護的數(shù)據(jù)組提供額外級別的安全性，可使用例如工作組密鑰對根據(jù)本發(fā)明使用的加密密鑰、分割密鑰或者這二者進一步進行加
r t [ ο在本發(fā)明的一個實施例，可提供審查模塊，該審查模塊跟蹤何時調(diào)用安全數(shù)據(jù)解析器來分割數(shù)據(jù)。圖36示出使用根據(jù)本發(fā)明的安全數(shù)據(jù)解析器的組件的可能選項3600。以下對每個選項組合進行概述，并用圖36的合適步驟編號標(biāo)注每個選項組合。安全數(shù)據(jù)解析器本質(zhì)上可以是模塊化的，從而使得可在圖36中所示的每個功能塊內(nèi)使用任何已知算法。例如， 可使用其它密鑰分割(比如，機密共享)算法(諸如Blakely)來代替Siamir，或者可用其它已知加密算法(諸如三重DEQ替換AES加密。圖36的示例中所示的標(biāo)簽僅描繪本發(fā)明一個實施例中所使用的一個可能的算法組合。應(yīng)該理解，可使用任何合適的算法或算法組合來代替標(biāo)注算法。
63
1)3610，3612，3614，3615，3616，3617，3618，3619通過在步驟3610使用先前加密的數(shù)據(jù)，最終可將數(shù)據(jù)分割成預(yù)定義數(shù)量的份額。 如果分割算法需要密鑰，則可在步驟3612使用密碼安全偽隨機數(shù)產(chǎn)生器產(chǎn)生分割加密密鑰。可選地，在在步驟3615將密鑰分割為具有容錯性的預(yù)定數(shù)量的份額之前，在步驟3614 可使用全或無變換(AoNT)將分割加密密鑰變換為變換分割密鑰。然后，在步驟3616可將數(shù)據(jù)分割成預(yù)定義數(shù)量的份額。在步驟3617可使用容錯方案，以使得可從比份額總數(shù)少的份額重新產(chǎn)生數(shù)據(jù)。一旦份額被創(chuàng)建，就可在步驟3618將認(rèn)證/完整性信息嵌入到份額中。 可選地，在步驟3619可對每個份額進行后加密。2) 3111，3612，3614，3615，3616，3617，3618，3619在一些實施例中，可使用由用戶或外部系統(tǒng)提供的加密密鑰對輸入數(shù)據(jù)進行加密。在步驟3611提供外部密鑰。例如，可從外部密鑰儲存器提供密鑰。如果分割算法需要密鑰，則在步驟3612可使用密碼安全偽隨機數(shù)產(chǎn)生器產(chǎn)生分割加密密鑰。可選地，在在步驟3615將密鑰分割為具有容錯性的預(yù)定數(shù)量的份額之前，在步驟3614可使用全或無變換 (AoNT)將分割密鑰變換為變換分割加密密鑰。然后，在步驟3616將數(shù)據(jù)分割成預(yù)定義數(shù)量的份額。在步驟3617可使用容錯方案，以使得可從比份額總數(shù)少的份額重新產(chǎn)生數(shù)據(jù)。一旦份額被創(chuàng)建，就可在步驟3618將認(rèn)證/完整性信息嵌入份額中。可選地，在步驟3619可對每個份額進行后加密。3)3612，3613，3614，3615，3612，3614，3615，3616，3617，3618，3619在一些實施例中，在步驟3612可使用密碼安全偽隨機數(shù)產(chǎn)生器產(chǎn)生加密密鑰，以對數(shù)據(jù)進行變換。在步驟3613可使用產(chǎn)生的加密密鑰對數(shù)據(jù)進行加密?？蛇x地，在步驟 3614可使用全或無變換(AoNT)將加密密鑰變換為變換加密密鑰。然后，在步驟3615可將變換加密密鑰和/或所產(chǎn)生的加密密鑰分割為具有容錯性的預(yù)定數(shù)量的份額。如果分割算法需要密鑰，則可在步驟3612使用密碼安全偽隨機數(shù)產(chǎn)生器產(chǎn)生分割加密密鑰?？蛇x地， 在在步驟3615將密鑰分割為具有容錯性的預(yù)定數(shù)量的份額之前，在步驟3614可使用全或無變換(AoNT)將分割密鑰變換為變換分割加密密鑰。然后，在步驟3616可將數(shù)據(jù)分割成預(yù)定義數(shù)量的份額。在步驟3617可使用容錯方案，以使得可從比份額總數(shù)少的份額重新產(chǎn)生數(shù)據(jù)。一旦份額被創(chuàng)建，就將在步驟3618將認(rèn)證/完整性信息嵌入到份額中?？蛇x地， 在步驟3619可對每個份額進行后加密。4)3612，3614，3615，3616，3617，3618，3619在一些實施例中，可將數(shù)據(jù)分割成預(yù)定義數(shù)量的份額。如果分割算法需要密鑰，則在步驟3612可使用密碼安全偽隨機數(shù)產(chǎn)生器產(chǎn)生分割加密密鑰?？蛇x地，在在步驟3615 將密鑰分割為具有容錯性的預(yù)定數(shù)量的份額之前，在步驟3614可使用全或無變換(AoNT) 將分割密鑰變換為變換分割密鑰。然后，在步驟3616可分割數(shù)據(jù)。在步驟3617可使用容錯方案，以使得可從比份額總數(shù)少的份額重新產(chǎn)生數(shù)據(jù)。一旦份額被創(chuàng)建，就可在步驟3618 將認(rèn)證/完整性信息嵌入到份額中?？蛇x地，在步驟3619可對每個份額進行后加密。盡管在本發(fā)明的一些實施例中優(yōu)選使用以上四種選項組合，但是在其它實施例中特征、步驟或選項的任何其它合適的組合可與安全數(shù)據(jù)解析器一起使用。安全數(shù)據(jù)解析器可通過便利物理分離來提供靈活的數(shù)據(jù)保護?？墒紫葘?shù)據(jù)進行加密，然后可將數(shù)據(jù)分割為具有“η個中的m個”容錯性的份額。這使得當(dāng)比份額總數(shù)少的份額可用時重新產(chǎn)生原始信息。例如，一些份額可能在發(fā)送中丟失或損壞。如以下更詳細論述的，可從容錯性或者附加到份額的完整性信息重建丟失或損壞的份額。為了創(chuàng)建份額，安全數(shù)據(jù)解析器可選地使用許多密鑰。這些密鑰可包括以下密鑰中的一個或多個預(yù)加密密鑰當(dāng)選擇對份額進行預(yù)加密時，可將外部密鑰傳遞給安全數(shù)據(jù)解析器。 可在外部產(chǎn)生該密鑰，并在外部將該密鑰存儲在密鑰儲存器(或者其它位置)中，并可使用該密鑰對數(shù)據(jù)分割之前的數(shù)據(jù)進行可選加密。分割加密密鑰可在內(nèi)部產(chǎn)生該密鑰，并且安全數(shù)據(jù)解析器可使用該密鑰對分割之前的數(shù)據(jù)進行加密。然后，可使用密鑰分割算法將該密鑰安全地存儲在份額內(nèi)。分割會話密鑰該密鑰并不用于加密算法；相反，當(dāng)選擇隨機分割時，可使用它作為數(shù)據(jù)劃分算法的密鑰。當(dāng)使用隨機分割時，可在內(nèi)部產(chǎn)生分割會話密鑰，并且安全數(shù)據(jù)解析器可使用分割會話密鑰將數(shù)據(jù)劃分為份額?？墒褂妹荑€分割算法將該密鑰安全地存儲在份額內(nèi)。后加密密鑰當(dāng)選擇對份額進行后加密時，可將外部密鑰傳遞給安全數(shù)據(jù)解析器， 并使用該外部密鑰對各個份額進行后加密?？稍谕獠慨a(chǎn)生該密鑰，并在外部將該密鑰存儲在密鑰儲存器或其它合適的位置中。在一些實施例中，當(dāng)以這種方式使用安全數(shù)據(jù)解析器安全保護數(shù)據(jù)時，假如所需的份額和外部加密密鑰全部都存在，則僅可重新組裝信息。圖37顯示在一些實施例中使用本發(fā)明的安全數(shù)據(jù)解析器的示例性概要處理 3700。如上所述，用于安全數(shù)據(jù)解析器3706的兩個非常適合的功能可包括加密3702和備份3704。這樣，在一些實施例中，安全數(shù)據(jù)解析器3706可與RAID或備份系統(tǒng)或者硬件或軟件加密引擎集成。與安全數(shù)據(jù)解析器3706相關(guān)聯(lián)的主密鑰處理可包括預(yù)加密處理3708、加密/變換處理3710、密鑰安全處理3712、解析/分布處理3714、容錯處理3716、份額認(rèn)證處理3716 和后加密處理3720中的一個或多個。這些處理可按照如圖36詳述的幾種合適的次序或組合執(zhí)行。所使用的處理的組合和次序可取決于特定應(yīng)用或用途、所需安全級別、是否需要可選的預(yù)加密、后加密或者這二者、所需冗余、基礎(chǔ)或集成系統(tǒng)的能力或性能、或者任何其它合適的因素或因素組合。示意性處理3700的輸出可為兩個或更多個份額3722。如上所述，在一些實施例中，可隨機地(或者偽隨機地)將數(shù)據(jù)分布給這些份額中的每個。在其它實施例中，可使用確定性算法(或者隨機、偽隨機和確定性算法的某個合適的組合)。除了單獨地保護信息資產(chǎn)之外，有時還要求在不同的用戶組或利益團體之間共享信息。那么，可能有必要的是，在該用戶組內(nèi)控制對各個份額的存取，或者在那些用戶之間共享憑證，所述憑證將僅使得該組的成員可重新組裝份額。為此，在本發(fā)明的一些實施例中，可向組成員部署工作組密鑰。因為工作組密鑰的泄露潛在地使得組外的人可存取信息， 所以應(yīng)該保護工作組密鑰，并使工作組密鑰保持秘密。以下對用于工作組密鑰部署和保護的一些系統(tǒng)和方法進行論述。工作組密鑰概念使得可通過對存儲在份額內(nèi)的密鑰信息進行加密來增強信息資產(chǎn)的保護。一旦執(zhí)行該操作，即使所有的所需份額和外部密鑰被發(fā)現(xiàn)，攻擊者也無法在不使用工作組密鑰的情況下重建信息。圖38顯示用于將密鑰和數(shù)據(jù)分量存儲在份額內(nèi)的示例性框圖3800。在示圖3800 的示例中，省略可選的預(yù)加密和后加密步驟，但是在其它實施例中可包括這些步驟。分割數(shù)據(jù)的簡化處理包括在加密階段3802使用加密密鑰3804對數(shù)據(jù)進行加密。 然后，根據(jù)本發(fā)明，可分割加密密鑰3804的部分，并將這些部分存儲在份額3810內(nèi)。也可將分割的加密密鑰3806的部分存儲在份額3810內(nèi)。然后，通過使用分割的加密密鑰，分割數(shù)據(jù)3808，并將它存儲在份額3810中。為了恢復(fù)數(shù)據(jù)，可根據(jù)本發(fā)明檢索并恢復(fù)分割的加密密鑰3806。然后，可逆向執(zhí)行分割操作，以恢復(fù)密文。也可檢索并恢復(fù)加密密鑰3804，然后使用加密密鑰對密文進行解
Γ t [ O當(dāng)利用工作組密鑰時，可稍微改變以上處理，以用工作組密鑰保護加密密鑰。那么，可在將加密密鑰存儲在份額內(nèi)之前用工作組密鑰對加密密鑰進行加密。在圖39的示例性框圖3900中顯示了修改步驟。使用工作組密鑰分割數(shù)據(jù)的簡化處理包括首先在階段3902使用加密密鑰對數(shù)據(jù)進行加密。然后，在階段3904用工作組密鑰對加密密鑰進行加密。然后，可將用工作組密鑰加密的加密密鑰分割為多個部分，并將這些部分與份額3912 —起存儲。也可對分割密鑰 3908進行分割，并將它存儲在份額3912中。最后，通過使用分割密鑰3908，分割數(shù)據(jù)3910 的多個部分，并將這些部分存儲在份額3912中。為了恢復(fù)數(shù)據(jù)，可根據(jù)本發(fā)明檢索并恢復(fù)分割密鑰。然后，根據(jù)本發(fā)明，可逆向執(zhí)行分割操作，以恢復(fù)密文?？蓹z索并恢復(fù)(用工作組密鑰加密的)加密密鑰。然后，可使用工作組密鑰對加密密鑰進行解密。最后，可使用加密密鑰對密文進行解密。存在用于部署和保護工作組密鑰的幾種安全方法。選擇哪種方法用于特定應(yīng)用取決于許多因素。這些因素可包括所需安全級別、成本、方便性和工作組中的用戶數(shù)量。以下提供在一些實施例中使用的一些常用技術(shù)基于硬件的密鑰存儲基于硬件的解決方案通常為加密系統(tǒng)中的加密/解密密鑰的安全性提供最強保證?；谟布拇鎯鉀Q方案的示例包括防篡改密鑰令牌設(shè)備，所述防篡改密鑰令牌設(shè)備將密鑰存儲在便攜式設(shè)備(比如，智能卡/軟件狗)或非便攜式密鑰存儲外設(shè)中。這些設(shè)備被設(shè)計為防止密鑰材料被非授權(quán)方容易地復(fù)制。密鑰可由可信機構(gòu)產(chǎn)生，并被發(fā)布給用戶，或者可在硬件內(nèi)產(chǎn)生。另外，許多密鑰存儲系統(tǒng)提供多因素認(rèn)證，在該情況下，密鑰的使用要求獲得物理對象(令牌)和口令或生物辨識這二者?；谲浖拿荑€存儲盡管基于專用硬件的存儲可能對于高安全性部署或應(yīng)用是可取的，但是其它部署可能選擇將密鑰直接存儲在本地硬件(比如，盤、RAM或者諸如USB驅(qū)動器的非易失性RAM 儲存器)上。這對于防御內(nèi)部攻擊或者在攻擊者能夠直接訪問加密機的情況下提供較低級別的保護。為了安全保護盤上的密鑰，基于軟件的密鑰管理通常通過下述方式保護密鑰，即， 以用從其它認(rèn)證度量的組合得到的密鑰加密的形式存儲它們，所述其它認(rèn)證度量包括密碼和口令、其它密鑰(比如，來自基于硬件的解決方案的密鑰)的存在、生物辨識或者前述的任何合適的組合。這樣的技術(shù)所提供的安全性級別的范圍可從由某些操作系統(tǒng)(比如， MS Windows和Linux)提供的相對弱的密鑰保護機制到使用多因素認(rèn)證實現(xiàn)的更魯棒的解
決方案。本發(fā)明的安全數(shù)據(jù)解析器可有利地用于多種應(yīng)用和技術(shù)。例如，電子郵件系統(tǒng)、 RAID系統(tǒng)、視頻廣播系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、磁帶備份系統(tǒng)或任何其它合適的系統(tǒng)可具有在任何合適的級別集成的安全數(shù)據(jù)解析器。如前所述，應(yīng)該理解，還可集成安全數(shù)據(jù)解析器，以用于通過任何傳輸介質(zhì)的任何類型的運動數(shù)據(jù)的保護和容錯性，包括，例如，有線、無線或物理傳輸介質(zhì)。作為一個示例，通過互聯(lián)網(wǎng)協(xié)議傳輸語音(VoIP)應(yīng)用可利用本發(fā)明的安全數(shù)據(jù)解析器來解決VoIP中常見的與回聲和延遲相關(guān)的問題?？赏ㄟ^使用容錯性來消除對掉包的網(wǎng)絡(luò)重試的需要，即使丟失預(yù)定數(shù)量的份額，所述容錯性也保證包傳輸。還可以以最少的延遲和緩沖“飛速地”、高效率地分割和恢復(fù)數(shù)據(jù)包(比如，網(wǎng)絡(luò)包)，從而得到用于各種類型的運動數(shù)據(jù)的綜合解決方案。安全數(shù)據(jù)解析器可作用于網(wǎng)絡(luò)數(shù)據(jù)包、網(wǎng)絡(luò)語音包、文件系統(tǒng)數(shù)據(jù)塊或者任何其它合適的信息單元。除了與VoIP應(yīng)用集成之外，安全數(shù)據(jù)解析器還可與文件共享應(yīng)用(比如，對等文件共享應(yīng)用)、視頻廣播應(yīng)用、電子投票或民意調(diào)查應(yīng)用 (其可實現(xiàn)電子投票協(xié)議和盲簽名，諸如knsus協(xié)議)、電子郵件應(yīng)用或者可要求或需要安全通信的任何其它網(wǎng)絡(luò)應(yīng)用集成。在一些實施例中，本發(fā)明的安全數(shù)據(jù)解析器可在兩個不同的階段提供對網(wǎng)絡(luò)運動數(shù)據(jù)的支持頭產(chǎn)生階段和數(shù)據(jù)劃分階段。圖40A和圖40B分別顯示簡化的頭產(chǎn)生處理 4000和簡化的數(shù)據(jù)劃分處理4010?？蓪W(wǎng)絡(luò)包、文件系統(tǒng)塊或任何其它合適的信息執(zhí)行這
些處理之一或者這二者。在一些實施例中，在開始創(chuàng)建網(wǎng)絡(luò)包流時，可執(zhí)行頭產(chǎn)生處理4000 —次。在步驟 4002，可產(chǎn)生隨機的(或偽隨機的)分割加密密鑰K。然后可選地，可在AES密鑰包裝步驟 4004對分割加密密鑰K進行加密(比如，使用上述工作組密鑰)。盡管在一些實施例中可使用AES密鑰包裝，但是在其它實施例中可使用任何合適的密鑰加密或密鑰包裝算法。AES 密鑰包裝步驟4004可對整個分割加密密鑰K進行操作，或者可將分割加密密鑰解析成幾個塊(比如，64比特塊)。然后，如果需要，則AES密鑰包裝步驟4004可對分割加密密鑰的塊進行操作。在步驟4006，可使用秘密共享算法(例如，Shamir)將分割加密密鑰K分割成密鑰份額。然后，可將每個密鑰份額嵌入到輸出份額之一中(比如，份額頭中)。最后，可將份額完整性塊和(可選地)后認(rèn)證標(biāo)簽(比如，MAC)附加到每個份額的頭塊。每個頭塊可被設(shè)計為可容納在單個數(shù)據(jù)包內(nèi)。在頭產(chǎn)生完成(比如，使用簡化的頭產(chǎn)生處理4000)之后，安全數(shù)據(jù)解析器可使用簡化的數(shù)據(jù)分割處理4010進入數(shù)據(jù)劃分階段。在步驟4012，使用分割加密密鑰K對流中的每個輸入數(shù)據(jù)包或數(shù)據(jù)塊進行加密。在步驟4014，可對從步驟4012得到的密文計算份額完整性信息(比如，散列H)。例如，可計算SHA-256散列。然后在步驟4106，可使用以上根據(jù)本發(fā)明描述的數(shù)據(jù)分割算法之一來將數(shù)據(jù)包或數(shù)據(jù)塊劃分為兩個或更多個數(shù)據(jù)份額。在一些實施例中，數(shù)據(jù)包或數(shù)據(jù)塊可被分割為使得每個數(shù)據(jù)份額包含加密的數(shù)據(jù)包或數(shù)據(jù)塊的基本上隨機的分布。然后，可將完整性信息(比如，散列H)附加到每個數(shù)據(jù)份額。在一些實施例中，還可計算可選的后認(rèn)證標(biāo)簽(比如，MAC)，并將該標(biāo)簽附加到每個數(shù)據(jù)份額。
每個數(shù)據(jù)份額可包括元數(shù)據(jù)，所述元數(shù)據(jù)可能是正確重構(gòu)數(shù)據(jù)塊或數(shù)據(jù)包所必需的。該信息可包括在份額頭中。元數(shù)據(jù)可包括諸如這樣的信息密碼關(guān)鍵字份額、密鑰身份、份額隨機數(shù)、簽名/MAC值和完整性塊。為了使帶寬效率最大，可以以緊湊的二進制格式存儲元數(shù)據(jù)。例如，在一些實施例中，份額頭包括沒有被加密的明文頭組塊，所述明文頭組塊可包括諸如這樣的元素Ahamir密鑰份額、每會話隨機數(shù)、每共享隨機數(shù)、密鑰身份(比如，工作組密鑰標(biāo)識符和后認(rèn)證密鑰標(biāo)識符)。份額頭還可包括加密的頭組塊，所述加密的頭組塊用分割加密密鑰進行了加密。完整性頭組塊也可包括在頭中，所述完整性頭組塊可包括用于任何數(shù)量的在前塊(比如，在前兩個塊)的完整性校驗。任何其它合適的值或信息也可包括在份額頭中。如圖41的示例性份額格式4100所示，頭塊4102可與兩個或更多個輸出塊4104 相關(guān)聯(lián)。每個頭塊(諸如，頭塊410 可被設(shè)計為可容納在單個網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)。在一些實施例中，在將頭塊4102從第一位置發(fā)送到第二位置之后，然后可發(fā)送輸出塊?？商鎿Q地，頭塊4102和輸出塊4104可同時并行發(fā)送?？山?jīng)由一個或多個相似或不相似的通信路徑進行所述發(fā)送。每個輸出塊可包括數(shù)據(jù)部分4106和完整性/真實性部分4108。如上所述，可使用份額完整性部分來安全保護每個數(shù)據(jù)份額，所述份額完整性部分包括加密的、預(yù)劃分的數(shù)據(jù)的份額完整性信息(比如，SHA-256散列)。為了在恢復(fù)時驗證輸出塊的完整性，安全數(shù)據(jù)解析器可比較每個份額的份額完整性塊，然后逆向執(zhí)行分割算法。然后，可對照份額散列驗證恢復(fù)的數(shù)據(jù)的散列。如前所述，在本發(fā)明的一些實施例中，安全數(shù)據(jù)解析器可結(jié)合磁帶備份系統(tǒng)使用。 例如，單獨的磁帶可被用作根據(jù)本發(fā)明的節(jié)點(即，部分/份額)?？墒褂萌魏纹渌线m的布置。例如，由兩個或更多個磁帶構(gòu)成的磁帶庫或子系統(tǒng)可被當(dāng)作單個節(jié)點。根據(jù)本發(fā)明，冗余也可用于磁帶。例如，如果在四個磁帶(即，部分/份額)之間分?jǐn)倲?shù)據(jù)組，則這四個磁帶中的兩個可以是恢復(fù)原始數(shù)據(jù)所必需的。應(yīng)該理解，根據(jù)本發(fā)明的冗余特征，恢復(fù)原始數(shù)據(jù)可需要任何合適數(shù)量的節(jié)點(即，比節(jié)點總數(shù)少的節(jié)點)。這顯著地增大了一個或多個磁帶過期時恢復(fù)的概率。每個磁帶還可用SHA-256、HMAC散列值、任何其它合適的值或它們的任何組合來進行數(shù)字保護，以防止篡改。如果磁帶上的任何數(shù)據(jù)或散列值改變，則該磁帶將不作為用于恢復(fù)的候選，將使用剩余磁帶中的任何最少所需數(shù)量的磁帶來恢復(fù)數(shù)據(jù)。在傳統(tǒng)的磁帶備份系統(tǒng)中，當(dāng)用戶要求將數(shù)據(jù)寫入磁帶或從磁帶讀取數(shù)據(jù)時，磁帶管理系統(tǒng)(TMQ提供與物理磁帶安裝座對應(yīng)的編號。該磁帶安裝座指向?qū)惭b數(shù)據(jù)的物理驅(qū)動器。磁帶由人力磁帶操作員或磁帶機器人裝入磁帶倉中。根據(jù)本發(fā)明，物理磁帶安裝座可被認(rèn)為是指向多個物理磁帶的邏輯安裝點。這不僅增加了數(shù)據(jù)容量，而且由于并行處理而改進了性能。為了提高性能，磁帶節(jié)點可以是用于存儲磁帶圖像的RAID盤陣列，或者可以包括該RAID盤陣列。由于在受保護的RAID中數(shù)據(jù)總是可用，所以這使得可高速恢復(fù)。在前述任何實施例中，可使用確定性的、概率性的或者確定性和概率性的數(shù)據(jù)分配技術(shù)將要安全保護的數(shù)據(jù)分布到多個份額中。為了防止攻擊者對任何密碼塊開始密碼攻擊，可確定性地將密碼塊中的比特分布到份額中。例如，可使用Bitkgment例行程序來執(zhí)行所述分布，或者可修改BlockSegment例行程序，以使得可將塊的部分分布到多個份額。 該策略可防御已累積了比“M”個份額少的份額的攻擊者。在一些實施例中，可使用加密鑰信息散布(比如，通過使用加密鑰信息散布算法或“IDA”)來利用加密鑰秘密共享例行程序。還可通過一個或多個外部工作組密鑰、一個或多個共享密鑰、或者工作組密鑰和共享密鑰的任何組合來保護用于加密鑰的IDA的密鑰。 以這種方式，可利用多因素秘密共享方案。為了重構(gòu)數(shù)據(jù)，在一些實施例中可能需要至少 “M”個份額加上工作組密鑰(和/或共享密鑰)。還可將IDA (或者用于IDA的密鑰)驅(qū)使到加密處理中。例如，可迫使對明文進行變換(比如，在加密之前的預(yù)處理層期間)，該變換可在對該明文進行加密之前進一步保護該明文。例如，在一些實施例中，加密鑰信息散布被用于將數(shù)據(jù)組中的數(shù)據(jù)的獨特部分分布到兩個或更多個份額中。加密鑰信息散布可使用會話密鑰來首先對數(shù)據(jù)組進行加密，以將數(shù)據(jù)組中的加密數(shù)據(jù)的獨特部分分布到兩個或更多個加密數(shù)據(jù)組份額中，或者將數(shù)據(jù)組進行加密，并將數(shù)據(jù)組中的加密數(shù)據(jù)的獨特部分分布到兩個或更多個加密數(shù)據(jù)組份額中。 例如，為了分布數(shù)據(jù)組或加密數(shù)據(jù)組的獨特部分，可使用秘密共享(或者上述方法，諸如 BitSegment或BlockSegment)。然后，可選地，可對會話密鑰進行變換(例如，使用全包變換或iVoNT)，并使用例如秘密共享(或者加密鑰信息散布和會話密鑰)共享該會話密鑰。在一些實施例中，在密鑰的獨特部分被分布或均攤到兩個或更多個會話密鑰份額中之前，可使用共享密鑰(比如，工作組密鑰)對會話密鑰進行加密。然后，可通過組合至少一個加密數(shù)據(jù)組份額和至少一個會話密鑰份額來形成兩個或更多個用戶份額。在形成用戶份額時，在一些實施例中，可將所述至少一個會話密鑰份額交織到加密數(shù)據(jù)組份額中。在其它實施例中，可將所述至少一個會話密鑰份額插入到加密數(shù)據(jù)組份額中至少部分基于共享工作組密鑰的位置處。例如，可使用加密鑰信息散布來將每個會話密鑰份額分布到獨特加密數(shù)據(jù)組份額，以形成用戶份額。將會話密鑰份額交織到或插入到加密數(shù)據(jù)組份額中至少部分基于共享工作組的位置處可提高面對密碼攻擊的安全性。在其它實施例中，可將一個或多個會話密鑰份額附加到加密數(shù)據(jù)組份額的開頭或末尾，以形成用戶份額。然后，可將用戶份額集合單獨存儲在至少一個數(shù)據(jù)貯藏器上。一個數(shù)據(jù)貯藏器或多個數(shù)據(jù)貯藏器可位于相同的物理位置(例如，在相同的磁存儲設(shè)備或磁帶存儲設(shè)備上)，或者可在地理上分離 (例如，在處于不同地理位置的物理分離的服務(wù)器上)。為了重構(gòu)原始數(shù)據(jù)組，可需要一組授權(quán)的用戶份額和共享的工作組密鑰。加密鑰信息散布即使面對關(guān)鍵字檢索Oracle也是安全的。例如，取塊密碼E和用于E的關(guān)鍵字檢索oracle，所述關(guān)鍵字檢索oracle取出該塊密碼的輸入/輸出對的列表 (XijY1),…，(X。，Y。)，并返回密鑰K，密鑰K與輸入/輸出示例一致(比如，對于所有i，Yi =K(Xi))。如果沒有不一致的密鑰，則oracle可返回特異值。該oracle可對可從輸入/ 輸出示例列表恢復(fù)密鑰的密碼攻擊進行建模?；趬K密碼的標(biāo)準(zhǔn)方案在關(guān)鍵字檢索oracle面前可能失敗。例如，CBC加密或CBC MAC在關(guān)鍵字檢索Oracle面前可能變得完全不安全。如果IIida為IDA方案，IIEnc為由某個塊密碼E的操作模式給予的加密方案，那么，如果當(dāng)按照HKl或HK2將這兩個方案與任意的完全秘密共享方案(PSQ結(jié)合時這兩個方案僅僅在對手具有關(guān)鍵字檢索oracle的模型中實現(xiàn)魯棒計算秘密共享(RCSS)目標(biāo)，則 (IIIDA, HEnc)面對關(guān)鍵字檢索攻擊提供安全性。如果存在IDA方案IIida和加密方案IIEn%以使得這對方案面對關(guān)鍵字檢索攻擊提供安全性，則實現(xiàn)這對的一種方式可以是實行“靈巧” IDA和“笨拙”加密方案。實現(xiàn)這對方案的另一種方式可以是實行“笨拙” IDA和“靈巧”加密方案。為了說明靈巧IDA和笨拙加密方案的使用，在一些實施例中，加密方案可以是 CBC，并且IDA可具有“弱私密性”特性。弱私密性特性是指，例如，如果IDA的輸入為塊的隨機序列M = Μ^··Μ1;并且對手從未授權(quán)集合獲得份額，則存在使得對手無法計算Mi的某個塊索引i。這樣的弱私密性IDA可通過下述方式構(gòu)建，S卩，首先將信息理論上的iVoNT(諸如， Stinson的^VoNT)應(yīng)用于M，然后應(yīng)用簡單的IDA(諸如，BlocMegment)或者類似Rabin方案的比特有效IDA(比如，Reed-Solomon編碼)。為了說明笨拙IDA和靈巧加密方案的使用，在一些實施例中，可使用具有雙加密而不是單一加密的CBC模式?，F(xiàn)在，可使用任何IDA，甚至復(fù)制。具有用于塊密碼的關(guān)鍵字檢索oracle對于對手而言將是無用的，這是因為對手將被拒絕給予任何單個加密的輸入/ 輸出示例。盡管靈巧IDA有價值，但是從面對關(guān)鍵字檢索攻擊提供安全性所需的“智能”可能已被“推”向別處的意義上來講，在某些情況下它也可能是非必要的。例如，在一些實施例中，無論IDA如何智能，無論在HK1/HK2背景下試圖用IDA實現(xiàn)什么目的，智能都可被推出 IDA而進入到加密方案中，留下固定且笨拙的IDA。基于以上，在一些實施例中，可使用“普遍可靠型”靈巧IDAIIida。例如，提供IDA， 以使得對于所有加密方案πΕη%對(ΙΙΙΜ，ΙΙΕΜ)在面對關(guān)鍵字檢索攻擊時總是提供安全性。在一些實施例中，提供在面對關(guān)鍵字檢索oracle時RCSS安全的加密方案?？赏ㄟ^任何IDA將該方案與HK1/HK2集成，以在面對關(guān)鍵字檢索時實現(xiàn)安全性。通過使用該新方案，例如，對于使對稱加密方案更安全地防御關(guān)鍵字檢索攻擊可以特別有用。如上所述，經(jīng)典的秘密共享概念通常不加密鑰。因此，將秘密分成多個份額，或者以這樣的方式從它們重構(gòu)秘密，即，既不要求經(jīng)銷商，也不要求當(dāng)事人重構(gòu)該秘密，以擁有任何種類的對稱或不對稱密鑰。然而，可選地，可對本文所述的安全數(shù)據(jù)解析器加密鑰。經(jīng)銷商可提供對稱密鑰，如果該對稱密鑰用于數(shù)據(jù)共享，則該對稱密鑰可能是數(shù)據(jù)恢復(fù)所需要的。安全數(shù)據(jù)解析器可使用對稱密鑰來將要安全保護的消息的獨特部分散布或分布到兩個或更多個份額中。共享密鑰可使得能夠?qū)崿F(xiàn)多因素或兩因素秘密共享QFSS)。那么，對手為了破壞安全機制可能需要導(dǎo)航通過兩個根本不同類型的安全性。例如，為了侵犯安全共享目標(biāo)，對手(1)可能需要獲得一組授權(quán)參與者的份額，并且(2)可能需要獲得應(yīng)該無法獲得的秘密密鑰(或者破壞用該密鑰加密鑰的密碼機制)。在一些實施例中，將一組新的附加要求添加到RCSS目標(biāo)。所述附加要求可包括 “次要因素” 一密鑰擁有?？稍诓粶p少原始的一組要求的情況下添加這些附加要求。一組要求可與以下相關(guān)如果對手知道秘密密鑰、但是沒有獲得足夠的份額，則對手不能破壞方案(比如，傳統(tǒng)或首要因素要求)，而另一組要求可與以下相關(guān)如果對手不具有秘密密鑰、 但是設(shè)法得到所有份額，則對手不能破壞機制(比如，新或次要因素要求)。
在一些實施例中，可存在兩個次要因素要求私密性要求和真實性要求。在私密性要求中，可涉及這樣的策略，在該策略中，根據(jù)環(huán)境選擇秘密密鑰K和比特b。對手現(xiàn)在在秘密共享方案的域內(nèi)提供一對等長消息M1c^nM1L環(huán)境計算M113的份額，以得到份額的矢量S1 =(S1,…，S1),并且它將份額S1 (全部份額)給予對手。對手現(xiàn)在可選擇另一對消息(M2°， M21),并如前那樣使用相同的密鑰K和隱藏比特b繼續(xù)進行每個操作。對手的任務(wù)是輸出它相信是b的比特b'。對手私密性優(yōu)勢是比b = b'的概率的兩倍小。該策略的構(gòu)思在于， 即使知道所有份額，如果對手缺少秘密密鑰，它也仍不能知道關(guān)于共享秘密的任何事情。在真實性要求中，可涉及這樣的策略，在該策略中，環(huán)境選擇秘密密鑰K，并在后來調(diào)用“Share”和“Recover”時使用該秘密密鑰K。在一些實施例中，“Share”和“Recover” 的句法可被修改，以反映該密鑰的存在。然后，對手對它在秘密共享方案的域內(nèi)選擇的任何消息M1,…，Mtl提出“Siare”請求。響應(yīng)于每個“Share”請求，它得到份額的對應(yīng)的η矢量S1,…，Stl。對手的目的是偽造新的明文；如果它輸出份額矢量S'以使得當(dāng)該份額矢量 S'被饋送給“Recover”算法時得到不在{Μ1;…，MtJ中的某個內(nèi)容，則它贏。這是“明文完整性”概念。存在實現(xiàn)多因素秘密共享的兩種方法。第一種是通用方法一從以黑箱方式使用基本(R)CSS方案的意義上來講是通用的。使用認(rèn)證加密方案來對將被CSS共享的消息進行加密，然后可以例如使用秘密共享算法(諸如Blakely或ammir)來共享所得的密文。可能更有效的方法是使得共享密鑰可成為工作組密鑰。也就是，(1)可使用共享密鑰對(R)CSS方案的隨機產(chǎn)生的會話密鑰進行加密，(2)可用認(rèn)證加密方案替換應(yīng)用于消息(比如，文件)的加密方案。該方法可僅導(dǎo)致最小程度的性能劣化。本發(fā)明的安全數(shù)據(jù)解析器可被用于實現(xiàn)云計算安全解決方案。云計算是基于網(wǎng)絡(luò)的計算、存儲或者這二者，在云計算中，可通過網(wǎng)絡(luò)向計算機系統(tǒng)和其它設(shè)備提供計算和存儲資源。通常通過互聯(lián)網(wǎng)存取云計算資源，但是可通過任何合適的公共或私有網(wǎng)絡(luò)執(zhí)行云計算。云計算可在計算資源與其基礎(chǔ)硬件組件(比如，服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò))之間提供抽象層次，從而使得能夠遠程存取計算資源庫。這些云計算資源可總稱為“云”。云計算可被用于作為服務(wù)器通過互聯(lián)網(wǎng)或任何其它合適的網(wǎng)絡(luò)或網(wǎng)絡(luò)組合提供可動態(tài)分級的且常常虛擬化的資源。由于可通過公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)并可在可公共訪問或共享的系統(tǒng)內(nèi)對該私有數(shù)據(jù)進行處理和存儲，所以安全性是云計算所關(guān)心的重要問題。安全數(shù)據(jù)解析器可被用于保護云計算資源以及在云與終端用戶或設(shè)備之間傳送的數(shù)據(jù)。例如，安全數(shù)據(jù)解析器可被用于安全保護云中的數(shù)據(jù)存儲、云中的運動數(shù)據(jù)、云中的網(wǎng)絡(luò)存取、云中的數(shù)據(jù)服務(wù)、對云中的高性能計算資源的存取和云中的任何其它操作。圖42是云計算安全解決方案的示例性框圖。包括安全數(shù)據(jù)解析器4210的系統(tǒng) 4200與包括云資源4260的4250連接。系統(tǒng)4200可包括任何合適的硬件，諸如計算機終端、個人計算機、手持設(shè)備(比如，PDA、黑莓、智能電話、平板設(shè)備)、蜂窩電話、計算機網(wǎng)絡(luò)、 任何其它合適的硬件或者它們的任何組合?？稍谙到y(tǒng)4200的任何合適的級別集成安全數(shù)據(jù)解析器4210。例如，可在充分后端級別將安全數(shù)據(jù)解析器4210集成到系統(tǒng)4200的硬件和/或軟件中，以使得安全數(shù)據(jù)解析器4210的存在可基本上對系統(tǒng)4200的終端用戶透明。 以上參照例如圖27和圖觀對安全數(shù)據(jù)解析器在合適的系統(tǒng)內(nèi)的集成進行了更詳細的描
71述。4250包括多個示例性云資源4260，其包括數(shù)據(jù)存儲資源4260a和4260e、數(shù)據(jù)服務(wù)資源 4260b和4260g、網(wǎng)絡(luò)存取控制資源4260c和4260h、以及高性能計算資源4260d和4260f。 以下將參照圖43-47對這些資源中的每個進行更詳細的描述。這些云計算資源僅僅是示例性的。應(yīng)該理解，可從系統(tǒng)4200存取任何合適數(shù)量和類型的云計算資源。云計算的一個優(yōu)點是，系統(tǒng)4200的用戶可以不必花錢買專用計算機硬件就能夠存取多個云計算資源。用戶可具有動態(tài)控制系統(tǒng)4200可存取的云計算資源的數(shù)量和類型的能力。例如，可向系統(tǒng)4200提供云中的按需存儲資源，所述云的容量可基于當(dāng)前需求動態(tài)調(diào)整。在一些實施例中，在系統(tǒng)4200上執(zhí)行的一個或多個軟件應(yīng)用程序可將系統(tǒng)4200 與云資源4260連接。例如，可使用互聯(lián)網(wǎng)web瀏覽器來使系統(tǒng)4200通過互聯(lián)網(wǎng)與一個或多個云資源4260連接。在一些實施例中，與系統(tǒng)4200集成或連接的硬件可將系統(tǒng)4200與云資源4260連接。在這兩個實施例中，安全數(shù)據(jù)解析器4210可安全保護與云資源4260的通信和/或存儲在云資源4260內(nèi)的數(shù)據(jù)。云資源4260與系統(tǒng)4200的連接對于系統(tǒng)4200 或者系統(tǒng)4200的用戶可以是透明的，以使得云資源4260對于系統(tǒng)4200看起來好像是本地硬件資源一樣。另外，共享的云資源4260對于系統(tǒng)4200看起來好像是專用硬件資源一樣。安全數(shù)據(jù)解析器4210可對數(shù)據(jù)進行加密和分割，以使得沒有可取證辨別的數(shù)據(jù)穿越云或者存儲在云內(nèi)。云的基礎(chǔ)硬件組件(比如，服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò))可在地理上分配到位，以在電網(wǎng)故障、天氣事件或其它人為或自然事件的情況下確保云資源的連續(xù)性。 結(jié)果，即使云內(nèi)的一些硬件組件遭受巨大故障，云資源仍可存取。云資源4260可被設(shè)計有冗余，以不管一個或多個硬件故障如何，都提供不間斷的服務(wù)。圖43是用于安全保護整個云上的運動數(shù)據(jù)(即，在將數(shù)據(jù)從一個位置傳送到另一個位置期間)的云計算安全解決方案的示例性框圖。圖43顯示發(fā)送方系統(tǒng)4300，發(fā)送方系統(tǒng)4300可包括任何合適的硬件，諸如計算機終端、個人計算機、手持設(shè)備(比如，PDA、 黑莓)、蜂窩電話、計算機網(wǎng)網(wǎng)絡(luò)、任何其它合適的硬件或者它們的任何組合。發(fā)送方系統(tǒng) 4300被用于產(chǎn)生和/或存儲數(shù)據(jù)，所述數(shù)據(jù)可以是，例如，電子郵件消息、二進制數(shù)據(jù)文件 (比如，圖形、語音、視頻等)或者這二者。根據(jù)本發(fā)明的安全數(shù)據(jù)解析器4310對數(shù)據(jù)進行解析和分割。所得的數(shù)據(jù)部分可通過云4350傳送給接收方系統(tǒng)4370。接收方系統(tǒng)4370 可以是如以上參照發(fā)送方系統(tǒng)4300描述的任何合適的硬件。根據(jù)本發(fā)明，可在接收方系統(tǒng) 4370重新組合分離的數(shù)據(jù)部分，以產(chǎn)生原始數(shù)據(jù)。當(dāng)在整個云4310中行進時，可經(jīng)由一個或多個通信路徑通信傳送數(shù)據(jù)部分，所述通信路徑包括互聯(lián)網(wǎng)和/或一個或多個內(nèi)聯(lián)網(wǎng)、 LAN、WiFi、藍牙、任何其它合適的硬接線或無線通信網(wǎng)絡(luò)或者它們的任何組合。如以上參照圖觀和圖四所述的，即使一些數(shù)據(jù)部分泄露，安全數(shù)據(jù)解析器也能安全保護原始數(shù)據(jù)。圖44是用于安全保護云中的數(shù)據(jù)服務(wù)的云計算安全解決方案的示例性框圖。在本實施例中，用戶4400可通過云4430向終端用戶4440提供數(shù)據(jù)服務(wù)4420。根據(jù)本文所公開的實施例，安全解析器4410可安全保護數(shù)據(jù)服務(wù)。數(shù)據(jù)服務(wù)4420可以是可通過云4430 訪問的任何合適的應(yīng)用程序或軟件服務(wù)。例如，數(shù)據(jù)服務(wù)4420可以是被實現(xiàn)為面向服務(wù)架構(gòu)(SOA)系統(tǒng)的一部分的基于web的應(yīng)用?？稍?430內(nèi)的一個或多個系統(tǒng)上存儲并執(zhí)行數(shù)據(jù)服務(wù)4420。通過該云計算實現(xiàn)提供的抽象化使得無論基礎(chǔ)硬件資源如何，數(shù)據(jù)服務(wù) 4420對于終端用戶4440看起來都好像是虛擬化資源一樣。安全解析器4410可安全保護數(shù)據(jù)服務(wù)4420與終端用戶4440之間的運動數(shù)據(jù)。安全解析器4410還可安全保護與數(shù)據(jù)服務(wù)4420相關(guān)聯(lián)的存儲數(shù)據(jù)?？稍趯崿F(xiàn)數(shù)據(jù)服務(wù)4420的系統(tǒng)內(nèi)和/或分離的安全云數(shù)據(jù)存儲設(shè)備內(nèi)安全保護與數(shù)據(jù)服務(wù)4420相關(guān)聯(lián)的存儲數(shù)據(jù)，以下將對這進行更詳細的描述。盡管顯示圖44的數(shù)據(jù)服務(wù)4420和其它部分在云4430的外部，但是應(yīng)該理解，這些元件中的任何一個都可并入云4430內(nèi)。圖45是用于安全保護云中的數(shù)據(jù)存儲資源的云計算安全解決方案的示例性框圖。包括安全數(shù)據(jù)解析器4510的系統(tǒng)4500與包括數(shù)據(jù)存儲資源4560的云4550連接。安全數(shù)據(jù)解析器4510可被用于對一個或多個數(shù)據(jù)存儲資源4560中的數(shù)據(jù)進行解析和分割。 每個數(shù)據(jù)存儲資源4560可表示一個或多個聯(lián)網(wǎng)的存儲設(shè)備。這些存儲設(shè)備可分配給單個用戶/系統(tǒng)，或者可由多個用戶/系統(tǒng)共享。由安全數(shù)據(jù)解析器4510提供的安全性可允許來自多個用戶/系統(tǒng)的數(shù)據(jù)安全地共存于相同存儲設(shè)備上。由該云計算實現(xiàn)提供的抽象化使得無論基礎(chǔ)數(shù)據(jù)存儲資源的數(shù)量和位置如何，數(shù)據(jù)存儲資源4560對于系統(tǒng)4500看起來都好像單個虛擬化存儲資源一樣。當(dāng)數(shù)據(jù)被寫入數(shù)據(jù)存儲資源4560或從數(shù)據(jù)存儲資源 4560讀取數(shù)據(jù)時，安全數(shù)據(jù)解析器4510可以以對終端用戶可以透明的方式分割和重新組裝數(shù)據(jù)。以這種方式，終端用戶可以能夠按需訪問可動態(tài)擴展的存儲器。使用安全數(shù)據(jù)解析器4510將數(shù)據(jù)存儲在云中是安全的、彈性的、持久的和私密的。安全數(shù)據(jù)解析器4510通過確保沒有可取證辨別的數(shù)據(jù)穿越云或者存儲在單個存儲設(shè)備中來安全保護數(shù)據(jù)。由于由安全數(shù)據(jù)解析器提供冗余(即，重構(gòu)原始數(shù)據(jù)需要比所有分離的數(shù)據(jù)部分少的數(shù)據(jù)部分)，所以云存儲系統(tǒng)是彈性的。將分離的部分存儲在多個存儲設(shè)備內(nèi)和/或多個數(shù)據(jù)存儲資源4560內(nèi)能夠確保即使所述存儲設(shè)備中的一個或多個發(fā)生故障或者不可訪問，也可重構(gòu)數(shù)據(jù)。由于數(shù)據(jù)存儲資源4560內(nèi)的存儲設(shè)備的減少對終端用戶沒有影響，所以云存儲系統(tǒng)是持久的。如果一個存儲設(shè)備發(fā)生故障，則存儲在該存儲設(shè)備內(nèi)的數(shù)據(jù)部分可在其它存儲設(shè)備重建，而不必暴露該數(shù)據(jù)。另外，存儲資源4560 (或者甚至構(gòu)成數(shù)據(jù)存儲資源4560的多個聯(lián)網(wǎng)的存儲設(shè)備)可在地理上分散，以限制多個故障的風(fēng)險。 最后，可使用一個或多個密鑰使存儲在云中的數(shù)據(jù)保持私密。如上所述，可通過獨特密鑰將數(shù)據(jù)分配給用戶或利益團體，以使得僅該用戶或團體能夠存取該數(shù)據(jù)。使用安全數(shù)據(jù)解析器將數(shù)據(jù)存儲在云中還可提供優(yōu)于傳統(tǒng)的本地或聯(lián)網(wǎng)存儲的性能提升。系統(tǒng)的吞吐量可通過下述方式改進，即，并行地將分離的數(shù)據(jù)部分寫到多個存儲設(shè)備和從多個存儲設(shè)備讀取分離的數(shù)據(jù)部分。吞吐量的這個增加可使得可使用更慢、更便宜的存儲設(shè)備，而基本上不影響存儲系統(tǒng)的總體速度。圖46是使用根據(jù)所公開的實施例的安全數(shù)據(jù)解析器安全保護網(wǎng)絡(luò)訪問的示例性框圖。安全數(shù)據(jù)解析器4610可用于網(wǎng)絡(luò)存取控制塊4620，以控制對網(wǎng)絡(luò)資源的存取。如圖 46所示，網(wǎng)絡(luò)存取控制塊4620可被用于在用戶4600與終端用戶4640之間提供安全的網(wǎng)絡(luò)通信。在一些實施例中，網(wǎng)絡(luò)存取控制塊4620可提供對云(比如，云4250，圖42)中的一個或多個網(wǎng)絡(luò)資源的安全網(wǎng)絡(luò)存取。可向授權(quán)用戶(比如，用戶4600和終端用戶4640)提供全群體密鑰，所述全群體密鑰向用戶提供通過網(wǎng)絡(luò)安全通信和/或存取安全網(wǎng)絡(luò)資源的能力。除非提供正確的憑證(比如，群體密鑰)，否則安全保護的網(wǎng)絡(luò)資源將不會響應(yīng)。這可防止常見的網(wǎng)絡(luò)攻擊，例如，拒絕服務(wù)攻擊、端口掃描攻擊、中間人攻擊和重放攻擊。除了為靜止存儲在通信網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)提供安全性以及為通過通信網(wǎng)絡(luò)的運動數(shù)據(jù)提供安全性，網(wǎng)絡(luò)存取控制塊4620可與安全數(shù)據(jù)解析器4620—起使用，以在不同的用戶組或利益團體之間共享信息。可建立協(xié)作組，以在安全虛擬網(wǎng)絡(luò)上作為安全利益團體進行參與?？上蚪M成員部署工作組密鑰，以為組成員提供對網(wǎng)絡(luò)和聯(lián)網(wǎng)資源的存取。以上對用于工作組密鑰部署的系統(tǒng)和方法進行了論述。圖47是使用根據(jù)所公開的實施例的安全數(shù)據(jù)解析器來安全保護對高性能計算資源的存取的示例性框圖。安全數(shù)據(jù)解析器4710可被用于提供對高性能計算資源4720的安全存取。如圖47所示，終端用戶4740可存取高性能計算資源4720。在一些實施例中，安全數(shù)據(jù)解析器4710可提供對云(比如，云4250，圖42)中的高性能資源的安全存取。高性能計算資源可以是大型計算機服務(wù)器或服務(wù)器群。這些高性能計算資源可向用戶提供靈活的、可擴展的、可配置的數(shù)據(jù)服務(wù)和數(shù)據(jù)存儲服務(wù)。根據(jù)另一個實施例，安全數(shù)據(jù)解析器可被用于使用虛擬機安全保護數(shù)據(jù)存取。 Hypervisor(超級監(jiān)視者)(也稱為虛擬機監(jiān)視器(VMM))是使得多個虛擬機可在單個主機上運行的計算機系統(tǒng)。圖48顯示包括Hypervisor 4800和在Hypervisor 4800上運行的一系列虛擬機4810的示例性框圖。Hypervisor 4800運行基本操作系統(tǒng)(比如，Microsoft Windows⑧和Linux)。虛擬機4810可通過防火墻與基本操作系統(tǒng)隔離，以使得對基本操作系統(tǒng)的攻擊(比如，病毒、蠕蟲、黑客攻擊等)不影響虛擬機4810。一個或多個安全數(shù)據(jù)解析器可與Hypervisor 4800集成，以安全保護虛擬機4810。具體地講，通過使用安全數(shù)據(jù)解析器，虛擬機4810可安全地與一個或多個服務(wù)器或終端用戶進行通信。根據(jù)本實施例，可通過向用戶提供安全虛擬機圖像來為用戶部署安全數(shù)據(jù)存取。本實施例可在確保數(shù)據(jù)的機密性和完整性的同時使得可按需共享信息。圖49和圖50顯示將安全數(shù)據(jù)解析器與Hypervisor集成的可替換實施例。在圖 49中，安全數(shù)據(jù)解析器4930在Hypervisor 4920上方實現(xiàn)。例如，安全數(shù)據(jù)解析器4930可被實現(xiàn)為在Hypervisor 4920上工作的軟件應(yīng)用程序或模塊。在一些實施例中，安全數(shù)據(jù)解析器4930可通過在Hypervisor 4920上運行的虛擬機來實現(xiàn)。在Hypervisor 4920上運行的虛擬機可使用安全數(shù)據(jù)解析器4930將服務(wù)器4940與終端用戶4950安全連接。在圖50中，安全數(shù)據(jù)解析器5030在Hypervisor 5020下方實現(xiàn)。例如，安全數(shù)據(jù)解析器5030 可在Hypervisor 5020的硬件內(nèi)實現(xiàn)。在Hypervisor 5020上運行的虛擬機可使用安全數(shù)據(jù)解析器5030安全地與服務(wù)器5040和終端用戶5050進行通信。根據(jù)其它實施例，安全數(shù)據(jù)解析器可被用于安全保護正交頻分復(fù)用(OFDM)通信信道。OFDM是用于寬帶數(shù)字通信的復(fù)用方案。寬帶無線標(biāo)準(zhǔn)(比如，WiMAX和LTE)和電力線寬帶(BPL)使用0FDM。由于所有的相鄰信道完全正交，所以O(shè)FDM是獨特的。這消除了串?dāng)_、對消以及噪聲引入。目前，在這些OFDM標(biāo)準(zhǔn)中，通過單個OFDM通信信道傳輸(transmit) 數(shù)據(jù)。安全數(shù)據(jù)解析器可通過在多個OFDM通信信道之間分割數(shù)據(jù)來安全保護OFDM通信。 如上所述，由于通過每個信道僅傳輸數(shù)據(jù)的一部分，所以使用安全數(shù)據(jù)解析器在多個數(shù)據(jù)信道之間分割數(shù)據(jù)的操作安全保護數(shù)據(jù)。作為另外的益處，安全數(shù)據(jù)解析器可同時在多個數(shù)據(jù)信道上傳輸多個數(shù)據(jù)部分。這些同時傳輸可提高數(shù)據(jù)傳輸?shù)挠行?。另外或者可替換地，安全數(shù)據(jù)解析器可在多個數(shù)據(jù)信道上傳輸相同的數(shù)據(jù)部分。該冗余傳輸技術(shù)可提高傳輸可靠性。圖51是用于安全保護OFDM通信網(wǎng)絡(luò)的示例性框圖。如圖51所示，終端用戶 5110可使用安全數(shù)據(jù)解析器5120通過OFDM網(wǎng)絡(luò)5140將數(shù)據(jù)發(fā)送給終端用戶5150。OFDM 網(wǎng)絡(luò)5140可以是無線寬帶網(wǎng)絡(luò)、電力線寬帶網(wǎng)絡(luò)或任何其它合適的OFDM網(wǎng)絡(luò)。
根據(jù)一些其它實施例，安全數(shù)據(jù)解析器可被用于保護關(guān)鍵基礎(chǔ)設(shè)施控制，包括，例如，電網(wǎng)?；ヂ?lián)網(wǎng)協(xié)議第6版(IPv6)是下一代互聯(lián)網(wǎng)協(xié)議。IPv6較目前的互聯(lián)網(wǎng)協(xié)議具有更大的地址空間。實現(xiàn)時，IPv6將使得可通過互聯(lián)網(wǎng)直接訪問更多設(shè)備。重要的是，限制關(guān)鍵基礎(chǔ)設(shè)施的控制，以限制授權(quán)個體進行訪問。如上所述，安全數(shù)據(jù)解析器可將對網(wǎng)絡(luò)資源的存取限于授權(quán)用戶和群體。可使用“兩人規(guī)則”來保護關(guān)鍵系統(tǒng)，由此，需要至少兩個用戶提供他們各自的密鑰來訪問這些關(guān)鍵系統(tǒng)。圖52是用于安全保護電網(wǎng)的示例性框圖。 如圖52所示，用戶5210可使用安全數(shù)據(jù)解析器5220為終端用戶5250提供對電網(wǎng)5240的安全訪問。在一些實施例中，可使用電力線寬帶網(wǎng)絡(luò)將電網(wǎng)系統(tǒng)與互聯(lián)網(wǎng)連接，以消除典型通信網(wǎng)絡(luò)的網(wǎng)絡(luò)布線和關(guān)聯(lián)設(shè)備。將電網(wǎng)系統(tǒng)與互聯(lián)網(wǎng)連接可以能夠?qū)崿F(xiàn)智能電網(wǎng)技術(shù)， 該技術(shù)通過實時報告使用情況來使得可更有效率地使用電力。作為另一個益處，大功率計算資源和/或數(shù)據(jù)存儲設(shè)施可安裝在連接互聯(lián)網(wǎng)的功率監(jiān)控設(shè)施處。這些資源可提供可靠的存儲和處理節(jié)點以用于保護云中的數(shù)據(jù)。盡管以上描述了安全數(shù)據(jù)解析器的一些應(yīng)用，但是應(yīng)該清楚地理解，本發(fā)明可與任何網(wǎng)絡(luò)應(yīng)用集成，以便提高安全性、容錯性、匿名性或者前述的任何合適的組合。另外，根據(jù)本文的公開內(nèi)容，其它組合、添加、置換和修改對本領(lǐng)域技術(shù)人員而言將變得清楚。
7權(quán)利要求
1.一種使用云計算存儲網(wǎng)絡(luò)安全保護數(shù)據(jù)的方法，所述方法包括在第一系統(tǒng)從數(shù)據(jù)組產(chǎn)生至少兩個數(shù)據(jù)部分；通過通信網(wǎng)絡(luò)將來自第一系統(tǒng)的所述至少兩個數(shù)據(jù)部分傳送到云計算存儲網(wǎng)絡(luò)，其中，所述云計算存儲網(wǎng)絡(luò)包括至少兩個分別遠離的存儲設(shè)備；和將云計算存儲網(wǎng)絡(luò)內(nèi)的所述至少兩個數(shù)據(jù)部分存儲在至少兩個聯(lián)網(wǎng)存儲設(shè)備上，由此通過重新組合所述至少兩個數(shù)據(jù)部分的所述子集中的數(shù)據(jù)，來從所述至少兩個數(shù)據(jù)部分的至少一個子集恢復(fù)所述數(shù)據(jù)組。
2.根據(jù)權(quán)利要求1所述的方法，其中，所述產(chǎn)生所述至少兩個數(shù)據(jù)部分和將所述至少兩個數(shù)據(jù)部分傳送到云計算網(wǎng)絡(luò)對于第一系統(tǒng)基本上是透明的。
3.根據(jù)權(quán)利要求1所述的方法，其中，所述通信網(wǎng)絡(luò)包括未受安全保護的公共網(wǎng)絡(luò)。
4.根據(jù)權(quán)利要求1所述的方法，其中，在第一系統(tǒng)存取所述數(shù)據(jù)組。
5.根據(jù)權(quán)利要求1所述的方法，其中，與第一系統(tǒng)相關(guān)聯(lián)的利益團體內(nèi)的任意系統(tǒng)存取所述數(shù)據(jù)組。
6.根據(jù)權(quán)利要求1所述的方法，還包括產(chǎn)生虛擬機圖像，由此所述虛擬機圖像操作為存取云計算存儲網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)組。
7.根據(jù)權(quán)利要求6所述的方法，還包括將所述虛擬機圖像發(fā)送到第二系統(tǒng)，其中，所述第二系統(tǒng)操作為存取云計算存儲網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)組。
8.根據(jù)權(quán)利要求1所述的方法，其中，所述數(shù)據(jù)組包括數(shù)據(jù)服務(wù)，并且其中，通過云計算存儲網(wǎng)絡(luò)提供對所述數(shù)據(jù)服務(wù)的安全訪問。
9.根據(jù)權(quán)利要求1所述的方法，其中，所述云計算存儲網(wǎng)絡(luò)還包括至少一個彈性聯(lián)網(wǎng)存儲設(shè)備。
10.根據(jù)權(quán)利要求9所述的方法，其中，存儲在所述至少一個彈性聯(lián)網(wǎng)存儲設(shè)備上的數(shù)據(jù)部分從其它聯(lián)網(wǎng)存儲設(shè)備重新產(chǎn)生。
11.一種使用正交頻分復(fù)用(OFDM)網(wǎng)絡(luò)安全保護數(shù)據(jù)的方法，所述方法包括在第一位置從數(shù)據(jù)組產(chǎn)生至少兩個數(shù)據(jù)部分；和通過至少兩個OFDM信道將所述至少兩個數(shù)據(jù)部分從第一位置傳送到第二位置，其中， 通過不同的OFDM信道傳送不同的數(shù)據(jù)部分，由此在第二位置通過重新組合通過所述至少兩個OFDM信道接收的所述至少兩個數(shù)據(jù)部分的所述子集中的數(shù)據(jù)，來從所述至少兩個數(shù)據(jù)部分的至少一個子集恢復(fù)所述數(shù)據(jù)組。
12.根據(jù)權(quán)利要求11所述的方法，其中，所述OFDM網(wǎng)絡(luò)包括寬帶無線網(wǎng)絡(luò)。
13.根據(jù)權(quán)利要求11所述的方法，其中，所述OFDM網(wǎng)絡(luò)包括寬帶電力線網(wǎng)絡(luò)。
14.一種用于安全保護云計算存儲網(wǎng)絡(luò)中的數(shù)據(jù)的裝置，所述裝置包括第一系統(tǒng)，所述第一系統(tǒng)操作為從數(shù)據(jù)組產(chǎn)生至少兩個數(shù)據(jù)部分；通過通信網(wǎng)絡(luò)將所述至少兩個數(shù)據(jù)部分傳送到云計算存儲網(wǎng)絡(luò)，其中，所述云計算存儲網(wǎng)絡(luò)包括至少兩個分別遠離的存儲設(shè)備；和將云計算存儲網(wǎng)絡(luò)內(nèi)的所述至少兩個數(shù)據(jù)部分存儲在所述至少兩個存儲設(shè)備上，由此通過下述方式從所述至少兩個數(shù)據(jù)部分的至少一個子集恢復(fù)所述數(shù)據(jù)組，即，重新組合所述至少兩個數(shù)據(jù)部分的所述子集中的數(shù)據(jù)。
15.根據(jù)權(quán)利要求14所述的裝置，其中，所述第一系統(tǒng)進一步操作為產(chǎn)生所述至少兩個數(shù)據(jù)部分，并以基本上透明的方式將所述至少兩個數(shù)據(jù)部分傳送到云計算網(wǎng)絡(luò)。
16.根據(jù)權(quán)利要求14所述的裝置，其中，所述通信網(wǎng)絡(luò)包括未受安全保護的公共網(wǎng)絡(luò)。
17.根據(jù)權(quán)利要求14所述的裝置，其中，所述第一系統(tǒng)進一步操作為存取云計算網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)組。
18.根據(jù)權(quán)利要求14所述的裝置，其中，與第一系統(tǒng)相關(guān)聯(lián)的利益團體內(nèi)的任意用戶系統(tǒng)存取所述數(shù)據(jù)組。
19.根據(jù)權(quán)利要求14所述的裝置，其中，所述第一系統(tǒng)進一步操作為產(chǎn)生虛擬機圖像，由此所述虛擬機圖像操作為存取云計算存儲網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)組。
20.根據(jù)權(quán)利要求19所述的裝置，其中，所述第一系統(tǒng)進一步操作為將所述虛擬機圖像發(fā)送到第二系統(tǒng)，其中，所述第二系統(tǒng)操作為存取云計算存儲網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)組。
21.根據(jù)權(quán)利要求14所述的裝置，其中，所述數(shù)據(jù)組包括數(shù)據(jù)服務(wù)，并且其中，所述第一系統(tǒng)進一步操作為通過云計算存儲網(wǎng)絡(luò)安全地訪問所述數(shù)據(jù)服務(wù)。
22.根據(jù)權(quán)利要求14所述的裝置，其中，所述云計算存儲網(wǎng)絡(luò)還包括至少一個彈性聯(lián)網(wǎng)存儲設(shè)備。
23.根據(jù)權(quán)利要求22所述的裝置，其中，所述第一系統(tǒng)進一步操作為從其它聯(lián)網(wǎng)存儲設(shè)備重新產(chǎn)生存儲在所述至少一個彈性聯(lián)網(wǎng)存儲設(shè)備上的數(shù)據(jù)部分。
24.一種用于安全保護正交頻分復(fù)用(OFDM)網(wǎng)絡(luò)中的數(shù)據(jù)的裝置，所述裝置包括安全數(shù)據(jù)解析器，所述安全數(shù)據(jù)解析器操作為在第一位置從數(shù)據(jù)組產(chǎn)生至少兩個數(shù)據(jù)部分；和OFDM收發(fā)器，所述OFDM收發(fā)器操作為通過至少兩個OFDM信道將所述至少兩個數(shù)據(jù)部分從第一位置傳送到第二位置，其中，通過不同的OFDM信道傳送不同的數(shù)據(jù)部分，由此通過重新組合通過所述至少兩個OFDM信道接收的所述至少兩個數(shù)據(jù)部分的所述子集中的數(shù)據(jù)，來在第二位置從所述至少兩個數(shù)據(jù)部分的至少一個子集恢復(fù)所述數(shù)據(jù)組。
25.根據(jù)權(quán)利要求M所述的裝置，其中，所述OFDM網(wǎng)絡(luò)包括寬帶無線網(wǎng)絡(luò)。
26.根據(jù)權(quán)利要求M所述的裝置，其中，所述OFDM網(wǎng)絡(luò)包括寬帶電力線網(wǎng)絡(luò)。
全文摘要
本發(fā)明涉及用于安全保護云中的數(shù)據(jù)的系統(tǒng)和方法。提供一種可集成到用于安全地將數(shù)據(jù)存儲在云計算資源中并與云計算資源傳送數(shù)據(jù)的任意合適系統(tǒng)中的安全數(shù)據(jù)解析器。該安全數(shù)據(jù)解析器解析數(shù)據(jù)，然后將該數(shù)據(jù)分割為獨立存儲或傳送的多個部分。為了增加安全性，可利用原始數(shù)據(jù)、數(shù)據(jù)的部分或者這二者的加密。
文檔編號H04L29/06GK102428686SQ201080021718
公開日2012年4月25日 申請日期2010年5月19日 優(yōu)先權(quán)日2009年5月19日
發(fā)明者D·馬丁, M·S·歐哈萊, R·L·奧西尼 申請人:安全第一公司