专利名称:基于存在的访问控制的制作方法
技术领域:
本发明通常涉及访问控制(access control),更具体地,涉及对由访问管理器控制的网络中的设备的访问控制。
背景技术:
在计算机网络中,访问控制长久以来已经得到较大的关注。对该问题的解决分为以下至少两类(有时会重叠)保护对网络中所存储的内容的访问,以及保护对终端和/或计算机自身的访问。
在第一类的解决方案中(保护对内容的访问)-对网络上文件的访问权利,即,特定用户能够被允许对一些文件进行访问,但是对其他文件则不允许;以及-加密文件以避免攻击。
然而,本发明涉及第二类(保护对计算机的访问),一些现有技术的方案在于-要求用户口令以便能够访问计算机;-智能卡读取器,需要存在用户智能卡来访问计算机;-生物测量安全性,例如,要求用户通过指纹来识别自身。一种这样的方案是DEFCOMTM指纹验证器TM,与USB(通用串行总线)连接并用来替代口令;以及-DeviceLock使管理者能够确定用户能够哪些接口(例如,USB端口、蓝牙适配器和CD-ROM驱动器。
现有技术的方案存在一些固有的问题。通常,写下口令以使用户不将忘记其或容易猜测,例如用户宠物或孩子的名字。此外,经常地,用户由于会忘记而锁住计算机,例如当进行打印输出时。这为不应该能够对该计算机进行访问的人留下了开放的道路,至少作为特定用户。
智能卡读取器会遇到一些口令的问题,也就是用户通常在诸如进行打印输出时趋向于不去拆卸他的智能卡。这也为不应该能够对该计算机进行访问的人留下了开放的道路,至少作为特定用户。
生物测量方案还会遇到该问题。在指纹示例中,用户显示他具有正确的指纹,但是他不负责将他的指纹保持在检测器上。如前所述,这也为不应该能够对该计算机进行访问的人留下了开放的道路,至少作为特定用户。
尽管DeviceLock确实保护了接口,但是其仍然会遇到为特定用户提供访问的问题,即使用户可能并不确实存在,例如,由于访问打印机,在打印机故障、缺纸或色粉的情况下他可能被强制花费了大量时间,如此等等。
因此,可以意识到,需要一种灵活的方案,能够实现特别是对接口的访问控制,来克服现有技术的问题。本发明提出了这样的解决方案。
发明内容
在第一方案中,本发明涉及一种控制对系统中的设备上的服务的访问的系统,所述系统还包括访问管理器、插头(plug)和应答器(transponder)。应答器适合于与插头进行通信,而插头适合于插入到所述设备中。访问管理器适合于在成功地验证插头被插入到设备中时、所述应答器存在于插头时、以及应答器被授权对服务进行访问时,提供对服务的访问,在另一优选实施例中,插头和应答器是配对的。
在另一优选实施例中,应答器和插头适合于由用户带在身上,而不会给用户带来麻烦或烦恼。
有利地,应答器和插头适合于安全地连接在一起,且一旦这样连接,易于分离。
在另一优选实施例中,只要插头在特定时间间隔过去之前重复接收到来自应答器的信号,则应答器存在于插头。
有利地,应答器响应来自插头的请求,将信号发送到插头。
有利地,从应答器发送到插头的信号是无线电信号。
在另一优选实施例中,应答器包括识别接口,需要在与插头(140)通信之前进行用户识别。
在另一优选实施例中,插头适合于向访问管理器提供应答器存在(presence)的验证。
在第二方案中,本发明涉及一种控制对系统中的设备上的服务的访问的方法,所述系统还包括访问管理器、插头和应答器。应答器适合于与插头进行通信。所述访问管理器验证插头被插入到设备中;所述应答器存在于插头;应答器被授权对服务进行访问。在成功验证时,访问管理器提供对服务的访问。
在第三方案中,本发明涉及一种控制对系统中的设备上的服务的访问的访问管理器,所述系统还包括插头和应答器。所述访问管理器适合于验证插头被插入到设备中;应答器被授权对服务进行访问;所述应答器存在于插头。在成功验证时,访问管理器进一步适合于提供对服务的访问。
在优选实施例,所述访问管理器适合于在提供对服务的访问之前,验证插头被授权对服务进行访问。
在另一优选实施例中,访问管理器适合于根据插头验证来接收应答器存在于插头。
在另一实施例中,访问管理器适合于在提供对服务的访问之前,验证多个授权的应答器的存在。
现在将参考附图,通过示例来描述本发明的优选特征,其中图1示出了根据本发明的基于存在的访问控制的系统;图2示意地示出了根据本发明的便携安全设备的示例实施例;图3示出了根据本发明的插头的USB插头部分的实施例;图4示出了根据本发明的方法实施例的流程图;图5示出了根据本发明优选实施例的系统的状态图;图6示出了根据本发明优选实施例的服务访问状态;以及图7示意地示出了当应答器(transponder)和插头配对时本发明的许多实施例。
具体实施例方式
图1示出了根据本发明的基于存在的访问控制的系统。该系统100包括访问管理器110、设备A 120、设备B 130、所谓的插头140和应答器(transponder)150。
在系统100中,访问管理器110负责为用户分配对服务121、131的访问权利。用户具有访问权利的服务121、131被称为容许服务,表示允许特定用户利用相应的设备120、130。例如,服务121、131可以是对USB端口的使用、对特定目录的访问、以及对诸如此类的设备的使用。应该注意,特定用户的容许服务可能根据设备而彼此不同,不同的用户可能对一个或更多设备具有不同的访问权利,并且该访问权利可以是受限的—即,用户仅具有他已经被具体分配的访问权利;其他的任何事情是禁止的,或者该访问权利可以是允许的——即,仅对用户而言具体禁止的服务是不被允许的,用户能够访问其他任何事情。
例如,诸如设备A 120和设备B 130等设备可以是个人计算机或工作站,尽管其绝不局限于这些实施例。根据本发明,设备120、130包括用于与插头140进行接口的至少一个插头接口122、132,如稍后将看到的;以及用户可能想要访问的至少一个服务121、131。
插头接口122、132适合于插头140进行接口,在优选实施例中,将插头140插入到插头接口122、132中。插头140包括插头密钥141、处理器143和通信单元142,通信单元142用于与也包括应答器密钥151和处理器153的应答器150中的通信单元152进行通信。
插头密钥141和应答器密钥151可以用来对插头140和应答器150之间的通信进行加密。密钥141、151还可以用来根据本领域中已知的任意方法来确保设备140、150之间的配对。另外,当与管理器110进行通信时,可以使用密钥141、151。
插头140可以采用不同的形式或用户模式。通用插头没有具体特征,并可以与任何应答器连接。标准插头由访问管理器110来识别。配对插头与一个或更多应答器进行配对,并且仅将与这些应答器相连,这意味着用户需要插头和与其配对的应答器(至少一个)。
优选地,应答器150是小到足以由用户一直携带而不会对其感到麻烦或烦恼的设备。例如,可以将其与他的钥匙一起携带在钥匙环上、附加在他的徽章上、或甚至作为徽章。
如果在它们之间建立了优选为电磁(特别是无线电)连接160,则该应答器150被称为存在于插头140;相反,当在插头140和应答器150之间没有连接时,则不存在。验证应答器150是否存在于插头140的示例方式是为插头140设置定时器,并等待来自应答器150的信号。如果在时间过去之前信号到达,则应答器150存在于插头140;如果没有,则应答器150不存在。优选地,插头140重复该处理(不必将定时器设置为相同的值),例如直到移除其为止。插头140还可以请求应答器150响应对其存在的指示发送信号,优选地,利用定时器来设置对响应的限制。
状态“存在”和“不存在”被称为应答器状态。连接的最大范围取决于实现,但是在优选实施例中,该范围限制为在阻碍相对清楚的环境中大约三米。应该注意,应答器150和插头140之间的通信不需要针对要建立的“存在”是连续的。在一些实施例中,使应答器以可能为规则或不规则的间隔(例如平均每5秒一次)来向插头发送信号就足够了。
在使用前,访问管理器110识别设备120、130、服务、应答器150、插头140(除了通用插头之外)、以及应答器和插头之间的任何配对关系。为了能够适当地分配访问权利而这样做。
在该阶段,优选地,访问管理器110向服务访问列表中的每一个应答器150授予了权利,如下-应答器能够访问的设备;-针对这些设备中的每一个○已授权的插头;○针对每一个已授权的插头■应答器是否需要与插头配对;以及
■容许服务。
如稍后将进一步描述的,之前所述的元件具有以下关系-将插头140插入在设备120、130中;-插头140检测应答器150的存在或不存在;-插头140将应答器状态发送给设备120、130,设备120、130将该状态转发给访问管理器110;-访问管理器110对应答器150进行认证,并且同意或拒绝对设备120、130的服务121、131的访问;以及-插头140有规律地验证应答器150是存在的。
为了验证应答器的存在,例如,插头140可以有规律地验证其在预定时间段过去之前检测到来自应答器的信号,但是其还可以根据该实现,请求应答器以指示其存在的信号进行响应。
根据插头的形式,如先前所述的,可以添加以下的关系-访问管理器110认证插头140;以及-插头140可以过滤应答器状态,也就是,例如,配对插头仅可以发送与其配对的应答器有关的应答器状态。
图2示意地示出了根据本发明可移植安全设备的示例实施例。该可移植安全设备170包括两个部分插头140和应答器150。在优选实施例中,插头140和应答器150可以安全地连接在一起以形成设备170,易于用户携带,但是其也可以易于分离,从而可以在应答器150与用户停留在一起的同时,将插头140插入到设备120、130。
插头140包括先前所述的通信单元142和处理器143、用于存储插头密钥141的存储器144、以及适合于被插入到设备120、130的USB端口(未示出)的USB插头146,如在图3中进一步描述的。
应答器150包括先前所述的通信单元152和处理器153、以及用于存储应答器密钥151的存储器154。
在优选实施例中,应答器150还包括识别接口155。在该实施例中,应答器150需要用户激活,包括一些种类的识别,以进行工作。例如,该识别可以是生物测量,例如,利用指纹或视网膜扫描,或者通过使用口令。优选地,用户识别是有效的,直到移除插头为止。此外,可以将用户识别信息转发到服务器,以便进一步验证。应该注意,识别接口155还可以物理上位于插头140中。
优选实施例的示例应用是虚拟专用网(VPN)安全连接。为了与VPN连接,用户输入个人识别号(PIN)和由安全标记给出的暂时值。在优选实施例中,暂时值由应答器给出,一旦如前所详细所述的那样识别了用户,则将该值发送给服务器。
在另一优选实施例中,应答器150还包括固定设备159,例如金属环,适合于将应答器150或可携带安全设备170适当地附加到由用户通常所携带的物品,例如钥匙环。
优选地,通信单元142、152能够进行双向通信。然而,在可选实施例中,应答器150的通信单元152是发射器,而插头140的通信单元142是接收器。在后一实施例中,任意通信在从应答器150到插头140的方向上进行。
图3示出了根据本发明的USB部分的实施例。USB插头146包括主体1461、以及适合于将USB插头146插入到设备的USB端口(未示出)的连接器1462。
图4示出了根据本发明的方法实施例的流程图,其中用户想要对设备上的服务进行访问。在步骤401开始该方法,在步骤402,验证对设备上的服务是否存在任何访问权利限制。,如果没有,则在步骤403提供访问,因为不存在对这些服务的访问限制。然而,如果存在一些限制,则在步骤404,该方法等待插入插头。
在步骤405,验证插头是否为通用的。如果情况并非如此,则在步骤406请求访问管理器验证该插头是否允许用于该设备(步骤407)。如果不允许,则步骤408,拒绝访问,因为该插头并未授权用于该设备。另一方面,如果允许了该插头(步骤407),或者如果插头是通用的(步骤405),则该方法在步骤409进行对应答器的检测。
在步骤410,验证是否识别了应答器。如果情况并非如此,则在步骤411仍然联系访问管理器以查看其是否过滤了访问权利(步骤412)。如果访问管理器并未过滤访问权利,则在步骤414拒绝访问;所识别的应答器需要用于访问。然而,如果访问管理器确实过滤了访问权利,则步骤413提供对不需要特定权利的服务的访问。
如果识别了应答器(步骤410),则在步骤415验证是否需要针对访问进行配对。如果不需要,则在步骤416,联系访问管理器以验证是否允许应答器访问该服务(即,其是否具有所需的访问权利)(步骤417)。如果允许访问应答器,则在步骤419提供访问;否则,在步骤418拒绝访问。
如果在步骤415确定需要配对,则在步骤420中检测配对。如果在步骤421中没有匹配(即,插头和应答器并不适合配对),则在步骤422拒绝访问。然而,如果插头和应答器适当地配对,则在步骤423联系访问管理器,以便在步骤424验证应答器是否具有适当的权利。如果应答器被允许访问,则在步骤425提供访问;否则,在步骤426拒绝访问。
图5示出了根据本发明优选实施例的系统的状态图500。最初,在非安全状态501,在系统不具有根据本发明的安全性。在步骤511,管理者禁止对系统中的全部设备或一部分、或者对设备中的服务的所有访问(例外,如果需要,其自身对系统的访问来进行改变)。该设备的服务可以是例如使用盘驱动器、使用数字接口(例如USB接口、WIFI卡或蓝牙适配卡)、访问特定节目、或其组合。此时,在非访问状态502,没有人对服务进行任何访问。
从非访问状态502开始,管理者可以在步骤514再次允许访问且返回到非安全状态501,或者授予访问权利512,之后,系统处于安全状态503。此时,仅已经被同意对服务进行访问的用户能够对其进行访问。
最后,离开安全状态503的方式是使管理者撤消授予的访问权利(步骤513)。然而,应该注意,可以针对单个用户(或者可以添加新用户,等)对访问权利进行修改,而无需离开安全状态503。
图6示出了根据本发明优选实施例的服务访问状态图600。在初始状态601(对应于图5的安全状态503),当用户想要访问他具有访问权利的服务时,他将他的插头140插入到设备120、130(步骤611)。这使系统进入中间状态602。如果用户移除其插头140,则状态返回到初始状态601,但是如果应答器150存在(可能在用户个人上)且由插头140所认证(步骤612),则用户可以访问他具有访问权利的服务(访问状态603)。用户可以继续使用该服务,直到他在步骤614移除了插头140为止,或者直到应答器150被移除得足够远离插头140,从而断开连接160(步骤613),这分别引起了初始状态601和中间状态602。
可以利用本领域内已知的任意适当认证算法来执行认证,例如安全套接字层(SSL)算法,优选地,分别使用插头140和应答器150的存储器144、154中所存储的密钥141、151。
另外,如果利用访问管理器110来识别插头140,则可以由访问管理器110使用与应答器150的插头140认证相同的(或不同的认证算法来对插头140进行认证。
图7示意地示出了当应答器和插头配对时本发明的许多实施例。
在第一实施例701中,访问管理器110接收与插头140和应答器150有关的允许对两者进行识别和/或认证的信息。于是,访问管理器110通过查询配对插头和应答器的列表,或者通过验证两者提供了其共享密钥(例如密钥141、151)的证明,验证插头140和应答器150是否配对。因此,访问管理器110不将认证其数据由非对应的插头140转发的应答器150。
在第二实施例702中,插头140过滤应答器状态,且仅转发与其配对的应答器150相关的信息。然后,访问管理器110验证该应答器150。
在第三实施例703中,插头140验证其与应答器150配对,并仅当验证成功时将信息转发给访问管理器110。因此,插头140认证应答器150,且其由访问管理器110来依次认证。
在第四实施例704中,应答器150将被访问管理器110认证之前对插头140进行认证,该访问管理器110仅认证应答器150。
在需要附加安全性的情况下,在提供任何访问权利之前,访问管理器110可能需要存在多于一个的应答器150并被认证。在这种情况下,单个插头140能够与针对多个插头的多个应答器150进行通信,多个插头的每一个均对应于要插入到设备120、130的应答器,或其组合。
另外,为了可跟踪的目的,访问管理器110可以保持事件日志,例如-应答器的存在/不存在,包括失败认证;
-插入/移除插头,包括失败认证(如果存在);-配对问题;-同意的容许服务;以及-容许服务的使用,例如在已授权的数字接口上传送的文件列表。
将会理解,纯粹通过示例描述了本发明,并且在不脱离本发明的范围的情况下可以进行修改。特别地,本领域的技术人员将会意识到,本发明并不局限于计算机,实际上,可以应用于具有访问权利的问题的任何种类的设备,例如-汽车,其中用户将插头插入到点火器并保持应答器以便在驾驶员暂时离开车辆时对付小偷。为了进一步增加安全性,应答器可能需要生物测量识别来进行工作,在小偷强制驾驶员移交应答器的情况下或在小偷闯入而偷取了应答器的情况下对付小偷。
-移动电话,其中将插头集成到电话自身中,使得使用偷来的电话非常困难。
-医疗设备,仅应该由授权的护士来使用。
-任何专用远程系统的维护,需要在操作期间存在已授权的人。
在说明书和(如果适当)权利要求以及附图中所公开的每一个特征可以独立提供或以任意组合来提供。在硬件中所实现的所述特征也可以由软件来实现,反之亦然。适当地,可以将连接实现为无线连接或有线连接,不必须是直接或专用连接。
在权利要求中出现的参考符号仅是说明性的,并且不将对权利要求的访问存在任何限定作用。
权利要求
1.一种控制对系统中的设备(120,130)上的服务(121,131)的访问的系统(100),所述系统还包括访问管理器(110)、插头(140)和应答器(150),应答器(150)适合于与插头(140)进行通信;插头(140)适合于插入到设备(120,130)中;以及访问管理器(110)适合于在成功地验证插头(140)被插入到设备(120,130)中时、所述应答器(150)存在于插头(140)时、以及应答(150)被授权对服务(121,131)进行访问时,提供对服务(121,131)的访问,所述系统的特征在于访问管理器(110)适合于验证插头(140)被授权对服务(121,131)进行访问。
2.根据权利要求1所述的系统,其特征在于,插头(140)和应答器(150)是配对的。
3.根据权利要求1所述的系统,其特征在于,应答器(150)和插头(140)适合于由用户带在身上,而不会给用户带来麻烦或烦恼。
4.根据权利要求3所述的系统,其特征在于,应答器(150)和插头(140)适合于安全地连接在一起,且一旦这样连接,易于分离。
5.根据权利要求1所述的系统,其特征在于,只要插头(140)在特定时间间隔过去之前重复接收到来自应答器(150)的信号,则应答器(150)存在于插头(140)。
6.根据权利要求5所述的系统,其特征在于,应答器(150)响应来自插头(140)的请求,将信号发送到插头(140)。
7.根据权利要求1所述的系统,其特征在于,应答器(150)包括识别接(155),需要在与插头(140)通信之前进行用户识别。
8.根据权利要求1所述的系统,其特征在于,插头(140)适合于向访问管理器(110)提供应答(150)存在的验证。
9.一种控制对系统(100)中的设备(120,130)上的服务(121,131)的访问的方法,所述系统(100)还包括访问管理器(110)、插头(140)和应答器(150),应答器(150)适合于与插头(140)进行通信;在访问管理器(110)处,所述方法包括以下步骤验证插头(140)被插入到设备(120,130)中;所述应答器(150)存在于插头(140);应答器(150)被授权对服务(121,131)进行访问;以及在成功验证时,提供对服务(121,131)的访问,其特征在于,所述方法包括步骤在提供对服务(121,131)的访问之前,由访问管理器(110)验证插头(140)被授权对服务(121,131)进行访问。
10.一种控制对系统(100)中的设备(120,130)上的服务(121,131)的访问的访问管理器(110),所述系统(100)还包括插头(140)和应答器(150),所述访问管理器(110)适合于验证插头(140)被插入到设备(120,130)中;应答器(150)被授权对服务进行访问;所述应答器(150)存在于插头(140);以及在成功验证时,提供对服务(121,131)的访问,其特征在于,所述访问管理器(110)适合于在提供对服务(121,131)的访问之前,验证插头(140)被授权对服务(121,131)进行访问。
全文摘要
公开了一种控制对系统中的设备(120,130)上的服务(121,131)的访问的系统及其方法。为了访问设备(120,130)上的服务(121,131),例如计算机,用户具有两个部分的便携设备(170)、插头(140),适合于插入在USB端口中,以及应答器(150),保持与该人有关。在优选实施例中,访问管理器(110)验证首先是插头(140)然后是应答器(150)被识别(405,410)。如果是这样,则访问管理器(110)验证插头(140)和应答器(150)是否必须被配对,以及它们是否具有对所需服务(424)的适当的访问权利。然后,仅提供访问(425)。在另一实施例中,需要多于一个的应答器来访问特定服务。因此,可以意识到,本发明提供了一种灵活和安全的方式来确保对服务的访问。
文档编号G06F21/35GK1811786SQ20061000620
公开日2006年8月2日 申请日期2006年1月23日 优先权日2005年1月24日
发明者斯特凡娜·昂奴, 阿兰·迪朗, 艾里克·迪尔 申请人:汤姆森许可贸易公司