专利名称:基于硬件的凭证管理的制作方法
背景技术:
经由因特网或者其他网络的电子商务(eCommerce)以及商业对商业(B2B)的交易,非常需要这些交易中的合伙人之间通信时的保证和信任。当一合伙人接收到来自于另一合伙人的信息时,接收方合伙人希望确保所接收到的信息的确来自于发送方合伙人。例如,当供应商依照供应合同接收到零件的定单时,所述供应商希望确信发送定单的人是与供应商签订合同的合伙人,而不是冒名顶替者。
目前,零售商、买方以及供应商使用安全凭证对诸如合同以及支付的信息进行验证,所述安全凭证诸如是数字签名、加密密钥、数字证书和令牌。通常,这样需要客户端平台上的复杂或者专业化的终端-实体凭证管理应用逻辑。凭证管理是信任基础结构的基础。它通常由软件库来处理,必须将其手工地与正用于现货交易的软件应用相结合。
通过参照附图阅读所述公开内容,可以更透彻地理解本发明的实施例,其中图1示出了使用合伙人通信系统在网络上进行合伙人交易的一个图2示出了交易系统的一个实施例。
图3示出了操作凭证管理器(CM)的一个实施例的流程图。
具体实施例方式
图1示出了均使用合伙人通信系统(PCS)的两个合伙人之间的电子商务通信环境。应注意的是,这里使用的术语PCS指的是所使用的允许一个合伙人与另一合伙人通信的任意通信系统。对于此示例来说,假定合伙人A10是制造商,而合伙人B18是合伙人A的零件的供应商。他们依赖于基于网络的通信,所述网络诸如是因特网或者其他“公共”网络,不过他们还可以在虚拟专用网络(VPN)中通信。然而,就安全性而言,他们在主要公共因特网领域比在VPN中安全性要高得多,并且大多数电子商务应用被设计为在影响深远并普遍存在的因特网上运行。应注意的是,这里使用的术语因特网指的是现有的因特网以及可以在将来取代其地位的任意后继网络。
在其通信的过程中,合伙人A和B可以通过所述网络路由信息包,诸如定单请求、合同、采购定单以及工作陈述。所述信息包可以从一个服务器、路由器或者任意其他诸如防火墙或者因特网安全应用的中间物“跳跃”到两个合伙人端点之间的下一设备。例如,信息可以在到达处于合伙人B的通信系统18处的目的地之前,从处于10的合伙人A的通信系统通过在路由器12、服务器14、另一个路由器16和另一个服务器17处的跳跃来移动。
在这些跳跃中的任意一处以及它们之间,试图将它们自己插入交易的黑客或者其他攻击者有可能获取信息。举例来说,所述企图可以是收集有关一个或多个合伙人的信息,或者是侵占基金。然而,无论什么原因,攻击者都是试图将他或她自己插入交易,他或她或许通过试图假装其中一个合伙人的身份来这么做。安全程序允许接收信息的合伙人检验所接收的信息实际来自于另一个合伙人,而不是冒名顶替者。安全程序包括加密消息并且封入密钥、数字证书或令牌。在图1的例子中,交易系统(TS)20可以处理这些过程。
任一合伙人的PCS可以采用多种形式其中之一。图2中示出了这种系统的一个实施例。所述PCS中是交易系统(TS)。此系统负责进出所述PCS的所有交易。也可以称为“主机”处理器的处理器24根据需要调用凭证管理器(CM)26以允许系统20通过端口23进行通信。
所述通信系统20还可以包括存储器28,其还可以是用于CM 26的存储器的一部分。在一个实施例中,所述存储器可以包括允许所述CM 26使用TS 20的公共资源的‘受保护域’。所述受保护域是存储器的一个分区,所述分区只能由确定的进程访问,并且其中可以驻留CM。所述CM负责存储有效的输入安全凭证,如稍后将要论述的那样。
所述CM负责存储、定位以及寄存安全凭证,并且负责验证作为输入消息一部分提供的安全凭证。在这里可以将这些操作称为凭证交易。所述CM 26可以是一个独立的装置,诸如通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者在主处理器中运行的可执行代码,但是都在所述受保护域中。应注意的是,所述消息可以包括合同、采购定单、支付等等,但是作为消息一部分的对象也将包括安全凭证。所述CM内是在其上操作CM的平台的安全装置。如果系统20的主处理器24工作在“信任”模式,那么所述CM或者CM中的部件允许发布合适的操作凭证。发布所述操作凭证然后允许CM 26以及处理器24使用所述操作凭证来与其他平台交互。如果系统/平台20可以访问有效的操作凭证,那么其他平台只与系统/平台20交互。应注意的是,术语操作凭证指的是操作安全凭证,其表明所述平台正工作在安全或信任的模式中。
如果所述平台20以某种“不安全”方式操作,其中已经违反所述信任模式,那么无论是所述处理器没有正确操作,还是所述存储器变得恶化等等,所述CM都不会发布操作凭证。这样有效地防止所述TS起作用,因此防止PCS A和PCS B之间的通信。同样,所述CM 26可以提供所有或者部分保卫所述受保护域的机制。
所述CM 26还防止无效的输入凭证,避免所述交易系统与其他的、不信任的平台交互。所述输入的凭证是在路径27a上由端口23接收到的,并且在路径27b上被传送到所述CM 26。
所述CM 26在路径22a上向端口23返回有效/无效的结果。然后所述端口23可以在路径22b上通信此结果。作为选择,凭证和结果可以在路径25上被传送到存储器中执行的程序、或者从中传送出来。
在本发明的一个实施例中,可通过SOAP交易来访问与所述CM的交易。所述简单对象访问协议 (Simple Object Access Protocol(SOAP)) 合伙人提供了独立于平台的装置,以便跨越因特网以全部的互操作性进行交互。SOAP的一个方面是SOAP数字签名元素,包括称为密钥元素(KeyElement)的元素。这是与依照SOAP协议的数字签名一起传送的密钥。然而,所述安全凭证模块不需要任何特殊的公共密钥或者凭证基础结构。它被设计成能兼容所有这种基础结构,所述基础结构包括X.509v3、SPKI和PGP。
X.509是数字证书、安全凭证类型的国际电信联合会(International Telecommunications Union)推荐。SPKI是安全公共密钥基础结构(Public Key Infrastructure),而PGP是良好的保密性(Pretty Good Privacy)。基于密钥的安全凭证通常向用户提供一对密钥,一个公共密钥和一个私有密钥。将公共密钥分发至所有合伙人,其中用户希望从那些合伙人那里接收消息。然后,用户使用私有密钥来解密使用公共密钥加密的消息。这些仅仅是安全凭证的实例,而不是意欲以任何方式来限制权利要求书的范围。
使用图2的CM允许所述TS和PCS利用基于硬件的信任引擎来集成验证、数字签名和加密服务,诸如证书处理以及撤消检验。所述CM可以实现这一点,而不会限制并且复杂化专有凭证软件工具包,诸如PKI工具包。
图3示出了用于操作安全凭证模块以便确定输入的凭证是否有效并且消息的内容是否可信的方法的一个实施例。在40,获得安全凭证。这可以依照许多方式来执行;稍后将更详细地讨论专用于SOAP的方法。在42,解除引用(de-reference)凭证路径。这里使用的术语解除引用指的是请求资源的表示。在SOAP中,所述表示可以通过统一资源标识符(URI)来指定。
一旦已经确定路径,就在44检验所述路径的有效性。路径验证通常涉及确定凭证的来源是否有效。如果所述来源不是有效的,那么在50凭证验证失败。如果所述凭证来源是有效的,也就是说,所述路径已经通过检验,那么在46检验所述凭证以便确定所述凭证是否已经被撤销。监控跟踪凭证的可用资源(诸如证书撤销列表(CRL),或者使用在线证书状态协议(OCSP)可以做到这一点。如果没有撤消所述凭证,那么所述凭证通过验证,并且在48存储所述凭证以供进一步使用。如果所述凭证已经被撤销,那么在50凭证验证失败。
解除引用的具体实现方式和验证过程将取决于凭证的属性。如上所述,所述凭证可以作为SOAP消息的签名元素的一部分而被提供。所述SOAP消息可以如下所示<dsSignature>
<dsKeyInfo>
<dsKeyName>
<KEYS4YOU>
</dsKeyName>
</dsKeyInfo>
</dsSignature>
在该特殊的实施例中,所述KeyName是具有所述信息的密钥。
然后,所述CM会定位提供KeyName的来源并且检验它是有效的。然后会确定是否已经撤消了KeyName。是否所述凭证仍是有效的,那么所述CM会存储KeyName,可能存储在早先论述的受保护域中。
在使用SOAP框架的一个实施例中,路径验证可以包括引用验证。SOAP签名的三个元素,即签名方法(SignatureMethod)、签署信息(SignedInfo)以及签名值(SignatureValue)可以根据SOAP的有效负载来解析。签署信息是实际上被数字签名签署的信息。这通常被规范化,这意味着将其依照在元素规范化方法(CanonicalizationMethod)中示出的方法转换为定义明确的、标准的格式。所述签名方法元素是用于将规范化的签署信息转换为签名值的方法。
除上面提供的元素以外,所述凭证可以包括称为引用(References)的元素。每个引用元素包括摘要(digest)方法以及对识别出的数据对象计算得到的摘要值。通过计算其摘要值以及在该值之上的签名来签署数据对象。稍后通过引用以及签名验证来检验所述签名。
在引用验证中,可以对引用元素中的每个引用执行以下过程。所述签署信息元素是签署信息中的规范化方法。这允许所述应用可以看出签署了什么。例如,所述规范化方法可能已经通过使相关的URI绝对化来重写了统一资源指示符(URI)。所述签名过程必须意识到这一点。
然后获得将要作摘要的数据对象,并且使用在其引用规范中规定的摘要方法作摘要。所生成的摘要值与所述签署信息引用(SignedlnfoReference)中的摘要值(DigestValue)相对。如果存在任意失配(mismatch),那么验证失败。必须指出,这是在图3的路径验证过程44内的引用验证过程的一个特殊实例,并且不意欲限制权利要求书的范围。
以这样的方式,当与依靠软件库的类似系统相比时,提供了在电子商务系统中用于管理凭证的更快速的装置。另外,基于硬件的实现方式将允许用户能访问信任引擎,所述信任引擎根据目前的需要无需任何配置。
因此,虽然已经描述了用于验证和管理安全凭证的基于硬件的信任引擎的方法和设备的特定实施例,但是这不意味着将这种特殊的引用认为是对本发明范围的限制,本发明的范围由随后的权利要求书阐明。
权利要求
1.一种凭证管理设备,包括受保护域;以及位于所述受保护域内的凭证管理器,所述凭证管理器用于执行凭证交易。
2.如权利要求1所述的凭证管理设备,其中所述凭证管理器还包括由下述构成的组的其中之一,所述组包括通用处理器、协处理器、数字信号处理器、专用集成电路、现场可编程门阵列以及在受保护域中操作的的可执行代码。
3.如权利要求1所述的凭证管理设备,其中所述凭证交易还包括当平台工作在信任模式时发布操作凭证。
4.如权利要求1所述的凭证管理设备,其中所述凭证交易还包括验证来自于其他平台的输入凭证。
5.如权利要求1所述的设备,其中所述凭证还包括由下述构成的组的其中之一,所述组包括数字签名、证书、令牌、公共密钥以及私有密钥。
6.一种交易系统,包括凭证管理器,用于管理操作凭证并且用于验证输入消息的输入凭证;以及存储器,用于存储输入凭证中的有效凭证。
7.如权利要求6所述的系统,其中所述系统还包括主处理器。
8.如权利要求6所述的系统,其中所述系统还包括通信端口,通过所述通信端口接收输入消息。
9.如权利要求6所述的系统,其中所述系统还包括受保护域,所述凭证管理器驻留在所述受保护域中。
10.一种用于操作凭证管理器的方法,所述方法包括以下步骤在凭证管理器接收输入的安全凭证;解除引用所述安全凭证路径;确定安全凭证路径是否有效;如果所述安全凭证路径是有效的,那么确定是否已经撤销所述安全凭证;并且如果没有撤消所述安全凭证,那么存储所述凭证。
11.如权利要求10所述的方法,其中所述输入的安全凭证是由下述构成的组的其中之一,所述组包括数字签名、证书、令牌、公共密钥以及私有密钥。
12.如权利要求10所述的方法,其中解除引用所述安全凭证路径还包括请求由所述路径指定的对象的表示。
13.如权利要求10所述的方法,其中解除引用所述安全凭证路径还包括解除引用统一资源指示符。
14.如权利要求10所述的方法,其中所述方法还包括如果所述安全凭证路径是无效的,那么验证失败。
15.如权利要求10所述的方法,其中所述方法还包括如果已经撤消了所述安全凭证,那么验证失败。
16.一种用于操作凭证管理器的方法,所述方法包括以下步骤确定平台是否工作在信任模式;并且如果所述平台工作在信任模式,那么发布操作凭证。
17.如权利要求16所述的方法,其中所述方法还包括如果已经违反了信任模式,那么拒绝发布凭证。
18.如权利要求16所述的方法,其中所述信任模式可以因为主处理器的故障而被违反。
19.如权利要求16所述的方法,其中所述信任模式可以因为受保护域的破坏而被违反。
全文摘要
一种凭证管理设备具有受保护域以及用于执行凭证交易的凭证管理器。凭证交易可以包括确定平台是否工作在信任模式,并且如果所述平台工作在信任模式,那么发布操作凭证。凭证交易可以包括验证来自于其他平台的输入凭证。
文档编号G06Q30/00GK1759402SQ03819841
公开日2006年4月12日 申请日期2003年8月19日 优先权日2002年8月20日
发明者S·埃西, N·史密斯, W·怀斯曼 申请人:英特尔公司