专利名称:用于保持和保护敏感的用户有关的信息的方法和系统的制作方法
用于保持和保护敏感的用户有关的信息的方法和系统
本发明涉及安全领域,更具体地,涉及用于保持和保护敏感的用户有 关的信息的方法和系统。
个人计算机、移动电话或其它类似设备的用户典型地需要一个或多个 密码或登录码,以便获得对软件应用,例如邮件程序的访问。数量越来越 多的、用户需要输入密码或其它敏感信息的设备、网站或应用程序,给用 户带来管理所有的许多不同的密码、登录码或其它敏感信息的负担。
显然,为了维持必需的安全级别,要记住所有的不同密码以及记住密 码或登录码各属于哪个应用、设备或网站,很快便会让用户不堪重负。如 果密码定时地改变,则会增加这个负担。为了安全原因,密码以定期的时 间间隔来改变,以便减小密码被发现的风险。这样的基于时间的改变可以 是由例如系统管理人员强加于用户的。
克服记住密码的负担的 一种简单方法是对于所有的应用、设备或网站 使用同一个密码。然而,在这种情形下,密码的泄露将损害使用该密码的 所有的应用、设备和网站。
在另一种方法中,用户可以结合加密程序,例如良好隐私(PGP),来 创建包含所有的用户密码的、受密码保护的文本文件。这样,仅仅需要一 个密码来提供对该受密码保护的文件的访问。然而,当需要改变密码或接 入码时,用户仍旧必须花费时间来改变被存储在该文件中的密码以及需要 使得受密码保护的文件和关联的加密软件可得到。
便携式管理设备在技术上是熟知的。例如,2004年9月30日公布的、 美国/>布的专利申请2004/0193925公开了 一种便携式管理设备,它可祐_ 连接到计算机,并且不必在计算机或在目的地系统上预先配置或安装软件 应用便能运行。2004年8月12日公布的、美国公布的专利申请 2004/0158746公开了一种用于多目标网站的自动登入处理和密码管理系 统。然而,这些设备需要用户定时地手工变更密码,以便提高密码的安全 性。
因此,需要管理不同的密码而同时将用户从记住所有密码的负担中解 放出来,并且还需要定时地管理密码。
公开了一种用于管理和变更多个敏感信息的方法、设备和系统。该设备包括存储器,用于存储敏感信息;接口设备,用于使能在存储器与外 部设备之间的通信;以及定时器,用于提供与敏感信息的存储相关联的、 基于时间的值。该设备可以经由有线或无线通信媒体与包括输入设备的基 于处理器的系统通信。该基于处理器的系统从该设备接收经选择的敏感信 息,以及可以把变更的敏感信息提供到该设备。
图1显示按照本发明原理的示例性便携式管理设备的框图; 图2显示在按照本发明原理的便携式管理设备中用于管理密码的示例 性数据结构;
图3显示按照本发明原理的示例性处理过程的流程图;以及 图4显示使用按照本发明原理的密码设备的示例性系统。
应当理解,这些附图是用于说明本发明的概念,并且不是按比例的。 将会意识到,相同的参考标号在全文中被使用来标识相应的部件,其中这 些相同的参考标号在适当的地方可能被补充以参考字符。
图1显示按照本发明原理的便携式管理设备10 0的示例性实施例的框 图。在这个示例性实施例中,存储器110被连接到通信总线120。总线120 提供在存储器110与接口 140之间的通信。存储器IIO优选地是非易失性 存储器,其被使用来存储敏感信息,即,密码,接入码等等。虽然存储器 110是相对于非易失性存储器讨论的,但本领域技术人员将会认识到,存 储器110可以是带有适当的电池备用系统(未示出)的易失性存储器例如 RAM,或是便携式盘驱动(磁或光),或是其它类似的便携式存储设备。
接口 140允许在设备100的内部部件与外部环境之间的双向通信。接「 口 140可以从熟知的接口中选择。例如,接口 140优选地是USB(通用串行 总线)接口。然而,将会认识到,该接口可以是使用有线或无线(RF或光) 连接的串行或并行接口。例如,接口 140可以通过使用蓝牙通信协议无线 地运行。
另外,显示了定时器130与总线120通信。定时器130提供用于建立 时间值的装置,该时间值在确定一个或多个密码的期满时间中^C使用,正 如参照图3更全面地描述的。
另外,显示了任选的处理器150经由总线120与存储器110和定时器 130通信。处理器150包括代码,在本发明的一个方面中,该代码可操作来变更存储器110的内容,正如这里更全面地描述的。
图2举例说明了被包含在存储器110中的示例性数据结构200,用于 存储有关要被管理和维护的敏感信息的数据。在这个示例性数据结构中, 密码、关联的时间和应用名称被存储在表示为方块210的存储器段中。关 联的时间可以是绝对时间或相对时间,例如倒计时(countdown )。应用 字段代表与密码或登录码关联的应用的名称或标识。
图3举例说明了按照本发明原理的用于改变密码的示例性处理过程 300的流程图。在这个示例性处理过程中,在方块310,得到与密码关联 的时间。在方块320,进行已知准则是否已被满足的确定。如果回答是肯 定的,则在方块325得到新的密码,并且在方块330把新的密码和当前的 时间存储在存储器中。在方块340,得到在存储器中的下一个密码,以及 在方块345,进行是否已到达所存储密码的结尾的确定。如果回答是肯定 的,则处理过程结束。否则,在方块310继续处理,以确定得到的密码是 否应当改变。
应当理解,在方块320所示的确定中,可以把密码时间与当前的时间 进行比较,该当前的时间可以在本地(即在密码设备100内)生成,或从 外部源得到。 一方面,本地生成的时间可以是相对的倒计时(或正计时 (countup))时间,当准则^皮满足时,即,倒计时时间期满或正计时时间 到达预定值,它表示关联的密码要被改变。另一方面,被存储的时间可以 是绝对时间(365天/24小时时钟)。在这种情形下,准则可被选择为预定 的时间间隔的消逝。在预定的时间已消逝后,关联的密码被改变。绝对时 间,正如所讨论的,可以从本地生成的时间时钟得到,或由外部源提供。 在本发明的 一 个方面中,预定的时间间隔可以为每个应用独立地设置。
在方块325,新的密码可以通过在本地(即在设备100内)4丸行的一 个或多个处理过程而自动地获得,或者可以由外部源提供。在前一情形下, 可以根据动态改变密码方案来改变密码。在这种情形下,所存储的密码提 供了允许登录到关联的程序或应用的全部或部分密码代码。在后 一情形 下,控制软件可以提示用户提供新的密码。例如,可提示用户输入新的密 码,并通过再次输入该新密码而提供对它的验证。经验证的新密码和关联 的时间然后可以按照本发明的原理;故存储。
图4举例说明一个示例性系统,其中密码设备100与包括监视器420 的计算机系统410通信。密码设备100可以经由有线通信链路例如串行、并行、USB,或无线通信链路例如RF、红外、光、磁感应,与计算机系统 410通信。在一个实施例中,该设备可以是类似于USB连接的记忆棒,它 在^L连接到计算机系统410时接收电力。另一方面,可以通过使用熟知的 电池或电源技术来本地地提供电力。虽然显示了计算机系统,但将会认识 到,计算机系统410也可以包括诸如PDA或蜂窝电话那样的设备,它可被 连接到设备100,以提供对所存储的密码的访问或接收应用特定的密码。
在本发明的一方面,先前描述的控制软件可被装载在设备10G的存储 器内,以及被下栽到台式计算机或膝上型计算机(即,计算机系统410)上。 可以从计算机系统410执行该对图3所示的处理进行控制的软件,其中指 令可以显示在计算机系统显示屏幕上,以及新的密码信息经由关联的4定盘 或类似的输入设备(即手迹识别软件)来提供。在本发明的另一方面,控 制软件可以预先装载到计算机系统410,它在设备100被连接到计算机系 统410时纟皮激活,以执行图3所示的处理。该处理可以或是在设备100上 本地地或是在计算机系统410上被执行。当图3所示的处理在计算机系统 410上执行时,执行在本地设备定时器与计算机系统定时器之间的协调和 同步。这样的协调和同步在技术上是熟知的,在这里不需要详细地讨论。 将会认识到,所提到的控制软件可以代表或包括应用程序,其执行所指代 的操作或图形用户接口 (GUI),使得用户能够与密码容器通信和/或获得对 被存储在密码容器中的安全信息的访问。
由于设备100将包含非常大量的高度机密的信息,所以在本发明的另 一方面,可能必须藉助于密码来保护设备100中所包含的信息。在这种情 形下,当受密码保护的设备IOO被连接到计算机系统410时,例如,可以 执行一个接入应用,其允许用户经由键盘设备输入一个密码,这使得能访 问应用特定的密码。使用 一 个密码来使能对应用特定的密码的访问是有利 的,因为它防止从第二设备或应用程序访问,提示设备IOO暴露所存储的 信息。
密码容器可包含很大数量的高度机密的信息,例如,密码、银行帐户 代码、金融记录等,可能必须通过密码来保护所存储的信息。因此,阻止 外部设备或应用程序发起与设备100的通信是有利的。在这种情形下,与 设备100的通信是仅仅从这个设备100发起,而不从另外的应用程序或设 备发起。这可以通过一个例子进一步地说明如果用户想要打开受密码保 护的文档,该文档的密码是在密码容器设备中可得到的,则用户将使用他的字处理器程序打开该文档,以及字处理器程序将提示他输入该密码。如 果避免字处理程序被配置成使得它直接联络密码处理器以便得到密码,则 可以提高安全性。这样的配置信息必定被存储在某个地方,并且可被入侵 者(例如,通过运行特洛伊木马病毒)拦截以联络密码容器程序。因此,将 指令用户总是经由他的本地机器来访问密码容器以便连接到字处理器程 序,即,互动的发起源自于密码容器设备。为此,字处理器程序可能需要 附加的接口来执行这样的互动。
此外,为了提高安全性,设备100(即,密码容器)可以配备用于鉴权
的装置,即,它将仅仅与可被成功地鉴权的设备或应用程序进行通信。这 可以例如通过签名来完成。这不会给用户强加额外的负担。无论如何,如 果用户想要例如保护用特定的字处理程序写的文档,则用户必须告诉该字 处理程序,他打算藉助于密码来保护文档。在这个步骤内,该字处理程序 (或甚至仅仅是在用户使用的机器上的字处理程序的特定"实例,,)可以被 亏1入到密码容器作为"可信任的"应用程序,以及对于此应用程序的商定的 签名可被存储在密码容器上。在下一次要访问该文档时,密码容器将首先 检验应用程序的真实性,然后提供用于该特定文档的文档密码。可能必须 禁止在没有与密码容器互动的情况下改变这样的文档的名称。否则,如果 文档的名称改变,密码容器可能会失去对这个文档的"操控"或参考。应当 指出,把文档移动到不同的文件夹将不会带来麻烦。为了打开文档,用户 必须知道文档被存储的确切的目录路径。
在又一个方面中,可能需要已知的命令和响应序列,以使得软件能够
访问被存储在设备100的存储器110中的信息。在这种情形下,设备IOO 可以把通信软件或应用或GUI才莫块下载到计算机系统410中,它使得用户 能够把有限的响应提供给由设备100做出的已知请求。设备100可以响应 于有效的(预期的)有限响应而下载一个或多个类似的通信^t块,其使得用 户能够对于由设备100做出的请求去提供附加的有限响应。检测到任何错 误的响应会使得设备100防止对其中所包含的存储器的任何进一步的访 问。这种访问的拒绝可以长达有限的时间。请求和有限响应序列的这一操 作比起筒单的密码是有利的,因为它需要与设备100的互动和更完善的通 信协议。 一方面,即使检测到错误的有限响应,设备100也可以在扩展的
时间段内继续进行请求和响应的互动序列,即便对数据的访问,皮拒绝。在 这种情形下,入侵者将不知道在序列的哪个步骤中访问被拒绝。因此,安全数据被保护,不会被重复尝试以确定该有限的响应。
将会看到, 一方面,应用制造商可以提供补充信息,以便与设备IOO 互动。例如,互联网浏览器在访问其中有个人数据(例如帐号、用户识别 码等等)的金融或银行网站时,可以包含补充的软件包("插件"),其
被允许(在鉴权后)访问和读出设备100中与该金融或银行网站相关联的信 息。因此,银行网站可以提示用户输入密码或接入码以便访问设备100, 以及该网站软件从设备100读出适当的安全数据。
虽然本发明已相对类似于USB记忆棒的设备来讨论,但应当看到,该 形式和协议可以是与PCMCIA兼容的,或可以包括具有备用电池的易失性 随机存取存储器(RAM)。
虽然已显示、描述和指出本发明在应用到它的优选实施例时的基本的 新颖特征,但应理解,在所描述的设备中、在所公开的设备的形式和细节 中、以及在它们的运行中,可以由本领域技术人员做出各种省略、替换和 改变,而不背离本发明的精神。
显然旨在让以基本上相同的方式执行基本上相同功能以达到相同结 果的那些单元的所有组合属于本发明的范围。从一个描述的实施例到另一 个实施例的单元的替换也完全是计划中的和预期的。
权利要求
1.一种用于管理和变更多个敏感信息的设备,包括存储器,用于存储敏感信息;接口设备,用于使能在存储器与外部设备之间的通信;以及定时器,用于提供与每个敏感信息的存储相关联的、基于时间的值。
2. 如在权利要求1中所述的设备,还包括 处理器,用于执行以下步骤当准则被满足时变更所述敏感信息。
3. 如在权利要求1中所述的设备,其中每个敏感信息与密码、登录 码或4妄入码相关联。
4. 如在权利要求1中所述的设备,其中该基于时间的值被表示为绝 对时间。
5. 如在权利要求1中所述的设备,其中该基于时间的值被表示为相 对时间。
6. 如在权利要求1中所述的设备,其中该接口设备可操作来执行选 自串行、并行、USB、蓝牙、IEEE 802. 11组成的组中的通信协议。
7. 如在权利要求1中所述的设备,其中该接口设备可操作来通过选 自无线或有线组成的组中的々某体而进行通信。
8. 如在权利要求1中所述的设备,其中无线媒体由RF、光和红外 线组成。
9. 如在权利要求1中所述的设备,还包括 用于给存储器和定时器提供电力的源。
10. 如在权利要求1中所述的设备,其中电力由外部源提供。
11. 如在权利要求1中所述的设备,其中所述敏感信息是从外部源接 收的。
12. 如在权利要求1中所述的设备,其中所述敏感信息是在本地生成的。
13. 如在权利要求1中所述的设备,还包括 用于阻止对所存储的敏感信息的访问的装置。
14. 一种用于存储和变更多个敏感信息的方法,包括以下步骤 把多个敏感信息中的每一个和关联的基于时间的值存储在存储器中;以及当基于时间的准则被满足时,使能变更敏感信息。.
15. 如在权利要求14中所述的方法,其中该基于时间的值是选自绝 对时间、倒计时相对时间和正计时相对时间组成的组的。
16. 如在权利要求14中所述的方法,其中所述准则是选自确定的时 间间隔、倒计时时间的期满和达到正计时时间组成的组的。
17. 如在权利要求14中所述的方法,其中该使能变更敏感信息的步 骤还包括以下步骤接收第一和第二变更的敏感信息;当所接收的第一和第二敏感信息相同时,存储该变更的敏感信息;以及存储新的关联的基于时间的值。
18. 如在权利要求17中所述的方法,其中该第一和第二变更的敏感 信息是从外部源接收的。
19. 如在权利要求18中所述的方法,其中该使能变更敏感信息的步 骤还包括以下步骤生成变更的敏感信息;以及存储该变更的敏感信息和新的关联的基于时间的值。
20. —种用于管理和变更多个^:感信息的系统,该系统包括 外部设备,包括输入设备,用于输入敏感信息;以及 便携式设备,包括存储器,用于存储敏感信息;接口设备,用于使能在存储器与外部设备之间的通信;以及 定时器,用于提供与每个敏感信息的存储相关联的、基于时间的值,其中外部设备把敏感信息提供到便携式设备,以及便携式设备把选择性的敏感信息提供到外部设备。
21. 如在权利要求20中所述的系统,其中由外部设备提供电力到便携式设备。
22. 如在权利要求20中所述的系统,其中该便携式设备还包括 用于给存储器提供电力的源。
23. 如在权利要求20中所述的系统,其中该便携式设备还包括 处理器,用于当准则被满足时变更所述敏感信息。
24. 如在权利要求20中所述的系统,其中该接口设备可操作来才丸行 选自串行、并行、USB、蓝牙、IEEE 802. 11组成的组中的通信协议。
25. 如在权利要求20中所述的系统,其中该接口设备可操作来通过 选自无线或有线组成的组中的媒体而进行通信。
26. 如在权利要求25中所述的系统,其中无线々某体由RF、光和红 外线组成。
27. 如在权利要求13中所述的设备,其中所述访问阻止装置是密码。
28. 如在权利要求13中所述的设备,其中所述访问阻止装置包括请 求和有限响应的互动交换。
29. 如在权利要求19中所述的方法,还包括以下步骤 阻止对所存储的敏感信息的访问。
30. 如在权利要求29中所述的方法,其中阻止对所存储的敏感信息 的访问是经由选自密码和签名组成的组中的值。
31. 如在权利要求29中所述的方法,其中阻止访问所存储的敏感信 息是经由请求和有限响应的互动交换。
32. 如在权利要求20中所述的系统,其中所述敏感信息被保护不被 从外部设备访问。
33. 如在权利要求32中所述的系统,其中对所述敏感信息的访问是 通过提供选自密码和签名组成的组中的值而使能的。
34. 如在权利要求32中所述的系统,其中对所述敏感信息的访问是 通过成功地完成请求和有限响应的互动交换而使能的。
35. 如在权利要求20中所述的系统,其中该外部设备包括预先装载 的控制软件。
36. 如在权利要求20中所述的系统,其中该外部设备包括从该便携 式设备下载的控制软件。
全文摘要
公开了一种用于管理和变更多个敏感信息的方法、设备和系统。该设备包括存储器,用于存储敏感信息;接口设备,用于使能在存储器与外部设备之间的通信;以及定时器,用于提供与每个敏感信息的存储相关联的、基于时间的值。该设备可以经由有线或无线通信媒体与包括输入设备的基于处理器的系统通信。该基于处理器的系统从该设备接收经选择的敏感信息,以及可以把变更的敏感信息提供到该设备。
文档编号G06F21/20GK101297301SQ200680040088
公开日2008年10月29日 申请日期2006年10月23日 优先权日2005年10月25日
发明者C·赫尔曼 申请人:皇家飞利浦电子股份有限公司