用于安全管理的基于环球网的应用服务模式的方法和装置的制作方法

专利名称：用于安全管理的基于环球网的应用服务模式的方法和装置的制作方法
技术领域：
本发明通常涉及用于在分散性公用网络上安全分配数据和信息的加密技术，以及更具体地说，涉及基于环球网的安全密钥管理系统中的基于环球网的认证、管理、分配以及访问许可证书或编码的使用。
背景技术：
A.传统公钥体系结构系统数字电子时代利用用于电子安全的五个基本要素专用(对称加密)、验证、认可、数据完整性(篡改证据)以及授权(访问管理)。目前在公钥体系结构(“PKI”)中使用的技术允许将信息从点A安全地传输到点B，提供验证、认可以及数据完整性，公钥体系结构在加密学中是公知的(参见如Bruce Schneier，Applied Cryptography，John Wiley&Sons，1996，以及在www.rsa.com以及www.rsasecurity.com/products/keon/white papers的指南)。然而目前的PKI技术不能提供用于电子保密的关键的第5个要素授权。对一类用户来说，这种缺乏访问管理带来了特别重要的问题大的组织如政府机关以及公司，其中数千用户需要立即访问数百万条信息-但其中每个人应当仅访问他或她明确有权访问的信息。
更具体地说，传统的PKI系统具有三个重要的限制(a)粗粒度访问。传统的PKI系统对信息库的访问部分不提供良好的一对多解决方案。另外，如果个人有读取文件、文献或数据库视图的访问权，他或她有读取其全部而并非仅是其一部分的权利。相反，理想的访问控制技术将允许不同人浏览单个报表、计划、数据库查询或财务电子表格的不同部分，以及拒绝他们访问其他部分。(b)集中安全判决。传统的PKI系统对计算机系统性能有消极影响，因为公钥求幂的计算强特性以及安全校验的集中特性。随系统中用户和信息数量的增加，当将安全服务器或许可服务用来验证和监视用户信息访问，它们总是变成性能和单点故障瓶颈。(c)无标准化的访问证书。尽管传统PKI系统能验证用户身份，但它不能确定授权那个人创建或访问什么信息，即PKI的“授权问题”。
B.CKM加密标准推定密钥(constructive key)管理(“CKM”)是用于分布式密钥管理的加密方法。美国国家标准协会(“ANSI”)已经将CKM作为标准X9.69采用，并解决了由传统PKI系统所带来的授权问题。CKM，X9.69 ANSI标准的详细情况已经全部在题目为AmericanNational Standard for Financial Services，X9.69-1998，Framework forKey Management Extensions，American Bankers Association，1998的文献中公开，在此合并作为参考。美国专利No.5,375,169以及5,787,173也公开了CKM的详细情况。CKM可用任何加密算法或密钥长度导出。在整个该说明中讨论了CKM的另外的详细情况，因为这些详细情况与描述的本发明的实施例有关。
由TECSEC，Inc.(“TECSEC”)提供的CKM的商业可获得的实现将X9.69ANSI标准用在基于职务的访问系统中以便加密地控制访问在组织的独立、内部数据库中创建和存档的文献。该基于职务的系统允许数据库管理员有选择性地授予网络用户，称为“成员”访问许可权，根据每个成员单独分配的组织职务，而不是成员的个人身份。因此，如果用户组织指派职务改变，则同时改变他或她的访问许可以便反映该新的组织职务。
图1表示在www.tesec.com网络站点上描述的CKM技术的基本原理。CKM提供一种加密方法，通过该加密方法，组织能通过将访问许可嵌入加密对象本身中，使用细粒度、基于职务、不同访问许可来管理信息的分配和访问。包括在CKM中的是基于二组密钥类型工作密钥和证书密钥的加密密钥生成方法。
将用在包含兴趣信息的数据对象的加密(和解密)中的密钥称为工作密钥。它可用作由对称加密算法如3DES所需的会话密钥或消息加密密钥。将由几条信息(称为值)构造的-工作密钥用来加密使用对称密钥加密算法的数据对象，然后丢弃。用在构造用于加密的工作密钥中的值也用来重构用于解密的工作密钥。将结合这些值来创建工作密钥的函数称为CKM组合器而且是CKM加密方法的中枢。
通过使用与个人访问许可十分有关的一套“证书”，在CKM中提供授权信息。将证书用来形成证书密钥，证书密钥本身用来加密嵌入在数据对象文件头中(即加到加密对象上)的工作密钥信息。不对称值(Diffie-Hellman生成的密钥对)与每个证书集有关。读/写分开是加密可用的读访问等效于公钥解密权(使用私钥)，以及写访问等效于公钥加密权(使用公钥)。
将访问许可分配给公司雇员作为“成员安全简档表”，包含个人证书以及预先特定的“域”和“维护”值。域和维护值分别反映雇员在公司内的组织单元以及雇员可访问公司文献的有限时限。成员安全简档表也包含文件头加密密钥、算法访问许可(对称算法选择)以及特定域的政策。成员安全简档表通常包含在可移动的加密令牌(如智能卡)上。只要已经分配了成员安全简档表，则由个人成员安全简档表控制加密和解密。
为描述CKM的一般概念，假定管理部门想要在其公司网络上将备忘录通知所有雇员，备忘录包含用于所有雇员的一般信息，而且包括将仅由管理员浏览的机密信息。通过CKM，将用每个雇员包括管理员拥有的访问许可证书加密用于所有雇员的文献部分；然而，使用仅限于管理员的证书加密属于管理部门的文献部分。当雇员下载和解密文献时，所有雇员将能浏览公用信息，而管理员也将能浏览受限信息。该解密方法是无缝的通过CKM，有可能使每个用户浏览文献或其它在线数据对象而且不知道他或她的访问许可(以及，因此允许他或她浏览信息)不同于其他用户。
然而，现有的CKM系统的主要缺点在于将CKM构想和设计成使用两个单线程、独立的计算机系统-一个用于成员以及一个用于管理员。现有的CKM系统使用不仅用于在成员和/或管理员中传送加密对象，而且用于执行认证任务的网络。没有将现有的CKM系统设计成利用公用网，如Internet来提供实质上增强的性能，包括(a)使在世界上任何地方的成员安全简档表立即对所有成员有效，以及能很忽然(如对CKM来说几小时或几天对几周或几月)修改或关掉成员安全简档表；(b)使认证创建和维护功能对位于世界上任何地方的管理员，仅通过拥有Internet连接和浏览器；(c)提供逻辑集中的认证功能，便于容易防止数据丢失、天灾、内部或外部安全攻击以及用于极其大群成员的容易集中计帐和管理能力；(d)提供逻辑集中-但物理分布的认证功能，允许所有参与者(成员和管理员)感知与系统的单点接触，但系统实际上是几个计算机系统(服务器)上组件化和物理分布的(同时在单个网络操作中心，以及经位于世界的不同部分中的多个网络操作中心分布)；这实际上带来了可升级能力(从几百到几千万成员，以及从一个到几百个工作组管理员)以及同时允许成员和几个系统地理分散，而没有现有技术的独立、单个线程CKM设计的物理限制；以及e)提供系统设计、出售内容、娱乐以及远程通信(无线系统)领域，该系统设计实际上与公司信息保护中的多个基于Internet的应用更兼容。
因此，所需要的是基于分散的、公用网络的方法和装置，至少提供在现有CKM系统中没有的所有上述列出的增强的能力。本方法或装置的实施例将进一步提供用于为系统的单个用户创建、认证、请求和分配成员安全简档表的带内方法，以及改进的验证用户的方法，从而避免对将保密的数据和信息的欺诈或未授权的访问。

发明内容
A.基于环球网的CKM系统本发明针对加密密钥管理安全方法和装置，以下称为“PXa3”(精确可扩展的验证、授权和认证)。PXa3提供用于在分散公用网如Internet的万维网(称为“环球网”)上安全地分配数据和信息的方法和装置。PXa3创建和维护用于每个用户的万维网服务器帐户，以便在Internet上使它的基本操作模式起作用-不仅在其各种应用的内部认证方面而且在访问PXa3系统安全的数据文件或其他对象(或整个系统)方面。
根据本发明的一个方面，PXa3提供用于在分散、公用网上分配数据和信息以便有选择的许可访问在线文献和其他形式的数字内容的方法。根据本发明的另一方面，PXa3提供用于一般控制对安全系统的任何形式的访问的方法-物理(如公司仓库)或逻辑(如公司计算机网络)。
PXa3使用对网络用户来说唯一的成员安全简档表和他或她所属的域。在PXa3系统中，万维网站点服务器保存所有私钥和证书，以及用户安全简档表，用户安全简档表包括(在其他事中)用户访问许可证书以及可选的生物模板。PXa3服务器系统因而维护用于每个用户的安全简档表，以及管理员能经基于PXa3服务器的数据库帐户将证书更新以及其他定期的维护更新传送给用户。经连接到PXa3环球网站点而不是在他们的本地工作站上，这些管理员(域管理员和工作组管理员)也执行他们的认证性零碎工作，正如在现有CKM技术中所要求的。
在本发明的一个实施例中，(至少)包含域和维护值、文件头加密密钥、成员访问许可证书以及域特定政策的成员安全简档表可从中央PXa3服务器获得作为可在任何Internet连接上可下载的“软令牌”。在成员登录环球网站点以及验证他或她本身后，可下载软令牌作为成员客户系统的多个加密对象集。一旦下载，在客户系统永久存储设备上，软令牌可仍然保持加密，以及除通过正确引入成员密码(或其他验证方法)外，不能解密-以及当需要它们时，则仅解密安全简档表的必要部分。
B.改进的验证方法本发明的PXa3系统在现有CKM系统上提供改进的验证方法。因此，在PXa3系统中，域和工作组管理员登录到环球网站点和定期向环球网站点验证他们自己和数千其他网络用户(即成员)的管理员职务、安全政策以及证书，将重要的认证信息保存在可从世界上任何地方访问的保护很好以及适当的备份的环球网存储系统中。根据组织需要，用于管理员和成员的验证强度可是从1-因子安全性(PIN或密码)到2-因子(密码加令牌或生物特征)、到3-因子(密码+令牌+生物特征)的任何东西。时间以及用户的物理位置也可用作验证参数。
在每次加密会话开始时，成员登录网络站点以及用由组织选择的适当的技术验证他们自己。只要打开会话(如通过从PXa3环球网站点检索成员令牌定义的)，成员使用如维护在他们的安全简档表中的基于他们的职务的证书干完他们白天创建或消费的加密数据对象。可将那些安全简档表提供给用户作为硬令牌(如经PXa3环球网服务器上的主简档表每天同步的智能卡)或作为用临时受限的方法驻留在成员客户系统上的可下载的软令牌。另外，安全简档表可永久地驻留为环球网服务器系统上的软令牌，然而对在环球网上加密需要要求时，用户可访问。
C.用PKI集成在PXa3中使用PKI(公钥体系结构)是惯例，并且包括用于CKM对象的数字标记的公钥对和证书。来自Entrust、Baltimore、Verisign以及其他公司的任何标准的PKI系统将与PXa3系统一起起作用。
D.本发明的各个方面根据本发明的一个方面，PXa3提供用于基于环球网的安全管理的方法，其中在Internet的分散公用网上整个处理CKM安全简档表的认证、管理和分配。在本发明的该方面中，首先识别将具有加密能力的所选择的网络用户组。然后在每个识别的组中创建用于每个网络用户的成员帐户，以及将这些成员帐户维护在单个数据库上。为创建用于每个成员的安全简档表，为每个用户组建立一个或多个访问码。访问码可以是如用于定义基于职务的访问许可的CKM证书，CKM证书可用于和其他成分结合来根据X9.69ANSI标准形成加密密钥。为每个成员创建包含至少一个访问码的至少一个安全简档表，以及将安全简档表存储在用户成员帐户中。为维护成员帐户，同时定义各种认证任务。这些认证任务可包括如报告成员行动、系统事件以及记费活动以及增加、去除以及更新成员帐户。另外，创建与每个安全简档表有关的使成员能够具有加密能力的成员令牌。经如硬令牌、软令牌、生物识别和/或密码以及用户ID，保密安全简档表以及相关的成员令牌。根据验证请求以及根据每个用户的安全简档表，在网络上将成员令牌分配给各个网络用户。
在本发明的相关方面中，在Internet上远程实现与创建成员安全简档表有关的认证功能和/或活动。可由用户手动或自动实现创建和分配安全简档表和成员令牌(即对用户是透明的)。
在本发明的另一方面中，PXa3提供用于在Internet的分散公用网上认证加密能力，如CKM工作密钥和/或安全简档表的集中的安全管理系统。本发明的该方面包括一组服务器系统和成员域，其中在至少一个服务器上维护每个成员域。一个或多个系统管理员执行系统维护任务。经成员帐户将属于域的成员的网络用户与那个域关联。一组成员安全简档表为与那个成员帐户关联的网络用户提供加密能力，其中每个安全简档表与成员帐户唯一关联。系统也包括用于维护成员帐户的一组认证任务，以及域管理员能在网络上远程执行这些认证任务。认证任务可包括如报告和与每个成员帐户有关的记帐任务；根据不同级别的认证任务，可进一步将域管理员划分成分层的结构群。
在本发明的相关方面中，每个成员帐户包括成员标识和验证，至少在一个服务器系统是这样。
在本发明的另一方面中，PXa3提供用于在Internet上分配加密能力，如CKM工作密钥和/或安全简档表的基于环球网、客户服务器结构。在本发明的该方面中，成员令牌向验证的Internet用户提供加密能力，以及一组服务器系统经Internet管理将这些成员令牌分配给各个客户机系统。客户服务器系统包括用于从至少一个服务器系统请求成员令牌的组件。每个客户机系统包括用于接收所请求的成员令牌的组件，以及用于利用通过成员令牌提供的加密能力的组件。客户服务器系统也包括用于在Internet的分散公用网上安全地将请求的成员令牌从服务器系统分配到客户机系统的组件。
在本发明的相关方面中，验证组件驻留在客户机和/或服务器系统上。另外，每个客户机系统上的会话管理器使各个用户有能力请求新的或更新的令牌，其中成员令牌检索方法可包括手动或自动更新令牌。
本发明的另外方面提供用于在分散公用网上将加密能力分配给多个网络用户的相关的方法。在本发明的该方面中，接收代表网络用户的访问许可安全简档表的要求(以及可通过网络用户在带内激活)。然后经如生物识别、硬件和软件令牌、用户位置、请求时间和/或个人识别号验证请求。方法包括步骤，其中创建访问许可安全简档表(该步骤可发生在该过程中的任何点)。将访问许可安全简档表用在形成用于允许网络用户解密选择的加密对象部分的加密密钥。然后将安全简档表(a)在网络上安全地传送给网络用户，或(b)用来结合与加密对象有关的信息生成加密工作密钥，在这种情况下，则在网络上将工作密钥安全地传送给网络用户。
根据本发明的另一方面，PXa3提供用于在分散的公用网-如Internet上加密安全地将分配信息以及相关加密能力分配给广大网络用户群的方法和装置。在该实施例中，将所分配的信息包含在一个或多个计算机可表示的数据对象中。数据对象的创建者使用由访问许可证书集创建的工作密钥加密每个对象。每个访问许可证书确保仅授权的用户(即，拥有相同证书集的那些用户)能解密加密的数据对象。只要这样加密，可在网络上广泛地传送对象，而不必特别地将个别标识的网络用户作为目标。在解密端，只要接收到代表网络用户的访问许可安全简档表(包括证书)的初始请求，系统经如与上述提到的相同的验证技术验证请求。只要验证过该请求，在公用网上，使用各种已知的加密方法的任何一个，将访问许可安全简档表(和证书)安全地传送到验证过的网络用户。在本发明的一个实施例中，根据由管理员预先设置的到期进程，可将安全简档表设置成在某一未来时间到期。直到该期满为止，可通过同样的安全简档表(以及它包括的访问许可证书)执行其后的数据对象加密或解密。安全简档表到期之前PXa3环球网站点不需要任何另外的事务。
根据本发明的另一方面，PXa3提供用于一般地控制对安全系统的访问的方法和装置。在该实施例中，将保密的系统可以是如物理系统或逻辑系统；另外，它可是静态或动态的。与本发明的其他实施例一样，PXa3系统允许选择将保密的系统部分。该系统也利用将允许访问系统的保密部分的一个或多个系统用户群。同时也必须为每个群建立访问码。然后系统地将访问码分配给系统的各个保密部分；每个访问码可与其他成分结合以创建用于控制访问所选择的系统部分的密钥。使用生物识别方法、智能卡以及个人识别号或用于验证用户的任何方法，将访问码本身保护在系统中。然后系统根据每个用户定义组将保护的访问码分配给系统用户。
E.在现有的CKM技术上本发明的优点当与PXa3之前的现有的CKM系统的独立的企业网实现相比，基于环球网的PXa3系统具有许多独特的优点。这些优点包括(a)灵活性。用户或管理员可游历环球网并从任何地方登录PXa3系统，以及仅需要适当的验证(如根据验证选择和域政策指定，用户ID和密码、生物特征或智能卡)。假定在域中授权软令牌，用户可携带他的便携式计算机，并因此仅需要一天一次或每隔一天一次简单地登录来更新软令牌。
(b)可升级能力。独立的CKM系统由域内的许多单独的工作组组成，每个工作组管理员单独地负责安装和维护他或她的系统，以及提供工作站数据库备份。这种系统的缺点在于不太好升级，而且很可能整个系统管理以及认证、发展、数据备份或系统存储器或性能约束的难题将变为问题。另一方面，本发明的PXa3系统非常容易升级(随用户或管理员数量增长，简单增加服务器)，并避免系统性能和存储约束的问题，提供实际上一整夜上升到大量成员的能力。
另外，关于传统的PKI系统，通常，对如大组织的媒介的一对多的信息访问管理需要的应用，仅PKI的系统本来是不可升级的。当系统增长时，用于大的基于PKI群体的密钥和访问管理机制非线性增长非常快。另一方面，PXa3系统是能增长到数百万用户的极其可升级的系统，其中密钥和访问管理算法经常是用户数量的线性函数。
(c)基于标准。本发明的优选实施例是基于标准主机，包括PKCS和ANSIX9.69加密标准以及BEA Weblogic，Oracle，J2EE以及HTTPS。这些标准对本领域的普通技术人员来说是公知的。这些文献在此合并作为参考。
(d)成本和方便。与实现PXa3系统有关的成本基本上低于与现有的、竞争技术有关的成本。在配置CKM中的大的费用不在每个座位或智能卡以及读写器方面，而在进行培训、系统集成以及用于建立和维护体系结构-特别是用于域管理机构以及工作组管理员所必须的认证工作中方面。除降低成本外，本发明的分散的、基于环球网的方法能提供许多另外的方便，包括1)专业和易懂的可访问的培训工具(简单地访问用于培训项目的PXa3站点)；2)简单的方法来下载必要的成员和认证软件组件，以及确保各个和每个成员在授权时具有最新版本的PXa3系统；3)简单的方法来建立和维护域和工作组认证功能-从任何地方；只要完成管理员的工作，在远离PXa3环球网服务器的地方安全地存储所有关键数据；4)不将智能卡硬件安装或集成到成员客户机系统中；5)实际上可一整夜创建示范、试验以及小规模试验，因为所有需要的是建立帐户以及指定和训练的域管理机构，允许他或她设置域安全政策以及创建适当的证书；6)可避免在大公司内与调整新的安全访问管理系统有关的官僚主义的激烈争论，因为环球网主机的PXa3服务是“自我约束的”，容易获得和使用，以及在月付或其他定期的“租用”费基础上可获得，因而能由低的管理预算主管当局购买。
7)通过设计PXa3用户接口便于用户标记，以及允许用户选择他们自己的负载平衡器以及防火墙产品。
(e)更安全。本发明的PXa3系统比现有的CKM系统具有实际上更低的在业余时间非法秘密访问认证系统的可能性、更好的管理员的验证以及对认证和成员信息的主数据的物理安全性的更低的要求。另外，对维护用户和挫败安全攻击，PXa3系统具有快速响应(管理员能立即改变任何人的状态，从而降低无赖用户的风险，而具有独立的智能卡系统的无赖用户能继续操作直到卡次数过期-也许一个月左右)。
另外，本发明的PXa3系统使用用于密钥交换的HTTPS。该密钥交换机制形成用于保密的Internet密钥分配系统的基础。移动电话使用是能从这种系统受益的一种应用。PXa3服务器系统的组件设计也能通过防火墙和隔离技术提供强安全性，这使得攻击者很难获得对系统的访问。
本发明的一个实施例可在成员的客户机系统另外使用智能卡或其他令牌(硬件或软件)，要求每个成员定期登录中央PXa3服务器以便他的或她的智能卡(或其他形式的令牌)能与中央维护的安全简档表同步。在一个实施例中，例如，PXa3成员使用生物特征验证功能以及智能卡和PIN，提供3-因子安全性。这种环球网服务器和智能卡的结合提供独立的CKM系统不能提供的许多好处，包括认证功能的高可升级能力，更好的集中安全性以及用于成员和管理员的数据库信息的备份保护，以及在每天(或其他时间度量)基础上的成员智能卡的更精确的控制(同步)。
(f)密钥恢复。PXa3系统结构使得域管理机构来提供对成员已经丢失其密钥值的加密文件的访问成为可能。该特征有两个好处(1)组织可加密它们的关键信息而不必害怕因丢失密钥而造成的损失；以及(2)PXa3满足刑事调查以及国家安全当局的紧急访问需要(法院指令能迫使工作组管理员重建必要的密钥)，从而在全世界都易于访问。
(g)通用性。PXa3极其灵活，与传统公钥体系结构兼容，以及能用智能卡实现保存成员安全简档表，或用PXa3服务器和软令牌，或两者均使用。通过PXa3，用户可游历世界上与Internet相连的位置并且以完全安全的方式操作，仅需要他的验证特性(如密码、时间、位置、生物特征和/或智能卡令牌)。
(h)性能。公钥密码学具有衰减计算机性能的影响，以及集中的安全/许可服务器通常结束于成为资源密集的瓶颈以及单点故障。PXa3非常节俭地使用公钥加密学以及将大多数的加密处理委托给数千的各个客户机设备(桌上型电脑、膝上型电脑、移动电话等等)，而不委托给集中的安全或许可服务器。这意味着PXa3加密比传统的基于公钥的加密系统快上百倍，以及在该系统中不可能出现性能瓶颈，不管它变得多大。


图1是描述CKM技术的基本原理(现有技术)；图2是本发明的一个实施例的系统综述；图3描述由本发明的优选实施例使用的CKM加密方法；图4是用于本发明的一个实施例依据的方法的流程图；图5描述证书种类的概念；图6是用于本发明的另一个实施例依据的方法的流程图；图7是用于本发明的第三实施例依据的方法的流程图；
图8表示本发明的一个实施例的较高级方面。该图与整个客户服务器结构有关，但集中在系统的服务器端；图9表示服务器端、本发明的一个实施例的认证结构的进一步的详细情况；图10表示用于本发明的基于环球网的应用服务模型的一个实施例的三层、Internet实现结构；图11与图8有关，并表示系统的成员客户端的一个实施例。
具体实施例方式
PXa3(精确的可扩展验证、授权以及认证)允许在分散的公用网上从分配者将加密数据对象分配给一般观众，其中分配者不了解每个观众成员的身份和相关的访问许可。PXa3提供用于在公用网，如Internet或蜂窝电话网络上安全广播和存储敏感资料的基础。根据他们的证书授权新的观众成员，证书是由认证当局指定并且在公用网上分配给成员的。PXa3使用能采用多个加密数据对象以及将它们加密到另一加密数据对象中的现有CKM技术的特征。这种“嵌套对象”特征使PXa3具有根据之前指定给成员的访问许可，可选择地解密对象的能力。
下述的详细说明讨论PXa3系统的一般的、基本特征并描述本发明的多个实施例。
A.用于PXa3的基本CKM结构图2描述本发明的一个实施例的系统综述，PXa3实际用于安全管理的一般的、基于环球网的应用服务模型。
1.CKM域在PXa3系统中最高组织单元称为CKM域100。CKM域，如域100是包括在其自己上运行所需的所有CKM资源的唯一的、独立的实体。以域级确定所有CKM安全政策、进程、证书以及职务。尽管在CKM中支持最大的组织单元，域可完全升级来满足各种需要。CKM域，如域100，可与整个企业一样大或单个部门一样小。一些小公司很可能建立用于公司的单个域，以及大企业将建立用于主要分公司、不同位置或其他组织结构的许多域。PXa3系统的单个用户称为成员105，成员通常是指域内的用户成员资格。
当域是独立式和独立时，不需要隔离它们。CKM域可以信托关系与其他域共享访问权以及特权。另外，PXa3系统的用户可作为多个域的成员参与，即使还没有建立域间的信托关系。CKM域可与PKI证书授权(CA)110具有直接关系，以及最好由创建或产生对象的人(对象“创建者”)使用用于标记每个加密数据对象的PKI。
(a)信托域关系在本发明的一个实施例中，域100可通过建立信托关系(trustrelationship)向每个域的成员提供特定的访问特权。当一个域向另一个域提供CKM证书的子集(在下面详细描述)时，建立信托关系。最好，仅在(第一)域级共享CKM证书，因而在已经建立信托关系之前，不应当直接发送给另一(第二)域的成员。然而，只要建立了信托，使用其自己的方法和政策，第二域维护和分配输入的证书，以及将这些输入的证书存储在其成员安全简档表120中(在下面详细描述)，作为其成员证书115的每一个的部分。只要分配了，第二域的成员可使用输入的证书来与第一域的成员共享信息，但所有成员继续受域的政策和进程限制，其中它们维护真正的成员资格(即它们的注册域)。当将PKICA(证书授权)110包括在该密钥管理结构中时，将第三方验证模型增加到整个信托关系中。
(b)未信托的域关系个人可以是几个CKM域的成员，不管域是否已经建立信托关系。即，两个或多个域可独立地向同样的个人授予成员资格。在这种情况下，PXa3系统将单个个人看作几个成员-一个用于每个域。在该未信托关系的类型中，成员可使用用于每个域的单独的安全简档表独立地注册到每个域，以及拥有单独的证书来访问每个域中的信息。
(c)域管理机构和安全官域管理机构125向CKM域100提供最高级管理。尽管个人可承担域管理机构的责任，许多域管理机构功能可以是自动的。安全官126是“超级”域管理机构，安全官初始地创建域管理机构125和另外地初始化域100的参数，如域政策等等。在本发明的一个实施例中，每个域100一个安全官就足够了。
域管理机构125(和，在较高级，安全官126)负责执行某一子集认证任务315。例如，在本发明的一个实施例中，域管理机构125(和/或安全官126)通过执行下述功能建立域100(a)命名域以及创建其唯一的域值(用在加密函数中)；(b)建立和更新多个维护值(用于撤销成员访问许可以及控制对指定时间窗的信息访问)；(c)设置定义PXa3系统使用的外部参数的政策，包括安全政策是否是智能卡(令牌)-常驻、PXa3服务器-常驻或软令牌-常驻。(本领域的普通技术人员将意识到“软令牌”是不允许以未加密的形式存在于硬盘上的特定的临时文件。当进入RAM中时，软令牌的不同的各个部分保持加密，以及仅解密足够长以便执行必要的操作)。在PXa3的一个实施例中，软令牌允许计算工作密钥以及创建和核对签名的关键的加密函数以便经基于环球网技术临时地分配给成员的客户机系统，基于环球网的技术不采用硬令牌(如智能卡)，从而减小服务器的性能问题。同样，在基于环球网的环境中，软令牌允许成员继续操作(可定位的域)短的时限，即使已经断开连接到Internet服务器的网络(如，当在飞机上旅行时)；(d)建立证书种类(在下面详细描述)，以及可在证书种类中任意地数字签名基于职务证书115(也在下面详细描述)，将证书种类用来加密地控制成员访问信息；(e)选择和可选地重命名可在域中获得的加密算法；(f)选择和配置可在域中获得的标识和验证数据对象(在下面详细描述)；(g)注册工作组和它们的管理员，通过此操作分配证书；(h)数字地分配和可选地标记与将成员引入PXa3系统有关的个别成员资格密钥以及授权；
(i)注册和可选地数字签名激活的CKM应用；(j)创建和分配由特殊的工作组实施的工作组简档表(在下面详细描述)，工作组简档表定义证书、许可算法以及权利和政策的子集；以及(k)确定与其他域的信托关系。
(d)域简档表域简档表130涉及由域管理机构125建立的并可在CKM域100内获得的所有证书、政策设置以及算法许可。域简档表130也包括域名以及值、维护值(在下面详细描述)以及标识域的其他信息。
2.CKM工作组CKM域100包括至少一个(以及通常是几个)工作组140。基于对信息的公共需要和权利，工作组将成员(或更小的工作组)集成一组。在PXa3系统的一个实施例中，建立工作组140以获得平行部门、位置、项目或其他直观的组织的、地理学的或逻辑的分公司。
(a)工作组管理员工作组管理员145(WA)通常管理工作组140。在该级的责任可能是由对软件有影响的人执行的，或它们可以是部分或全部自动执行的。在一个实施例中，这些责任将包括以下(a)改进政策设置(如由DA允许的)以便提供比由域管理机构原始准许给工作组的那些更多的限制；(b)注册成为工作组成员的个人；(c)将可在工作组简档表中获得的证书和访问许可的子集(在下面进一步限定)赋予各个成员安全简档表(也在下面定义)；(d)赋值、分配和更新成员的成员安全简档表。
PXa3系统从而允许成员接收由域管理机构建立和由工作组管理员分配的证书、政策设置以及访问许可。
(b)工作组安全简档表工作组简档表150包含分配给特定工作组140的成员105有效的所有证书和访问许可。它也包括管理工作组使用的PXa3系统的政策。工作组简档表可不同于相同域的其他工作组简档表，从而定义域100中的每个工作组140的唯一权利和需要。如上所述，在一个实施例，域管理机构125创建工作组简档表150。
3.成员安全简档表仍然参考图2，成员安全简档表120包括算法访问许可、证书115、域和维护值、文件头加密密钥、可选的生物特征模板以及特定的域政策(算法访问许可以及证书给成员提供一组访问许可权利)。如果使用成套的PKI系统，则由工作组管理员145维护用于每个成员的“公开”CKM成员资格密钥而且不张贴用于公开使用。安全简档表120也可包括域管理机构和工作组管理员的“公开”CKM成员资格密钥。安全简档表的特定的信息内容可根据本发明的实际实现改变，而且仍然在本发明的范围内。例如，安全简档表120也可包括用于在PXa3和其他加密系统中加密或标记的一个或多个全局和工作组成员资格(各个)PKI私有密钥和数字证书加上可选成员资格模板。(本领域的一个普通技术人员将认识到生物特征模板是由传感器记录的生物特征数据文件的“简写”版本。模板远小于原始记录的数据文件，还足够精确地准确地再现那个人以便与存储的“注册”生物特征模板进行比较，以便核对个人身份)。
在本发明的一个实施例中，将成员安全简档表120包含在成员令牌122中，成员令牌可采用许多形式。例如，可将安全简档表120按加密成员令牌存储在成员本地客户机系统设备(“软令牌”)、如PXa3服务器的网络服务器或如智能卡的物理成员令牌上的易失或非易失性存储器中。PXa3系统的优选实施例使用存储在PXa3环球网站点305上的各个成员帐户300(其中用多个服务器配置环球网站点305，如下所述)。在每个成员帐户300上维护用于授权访问加密的数据对象的成员安全简档表120。成员帐户300也可存储其他系统许可和信息。
例如，在本发明的一个实施例中，成员105登录PXa3环球网站点305以及通常经用户ID和密码验证他或她自己。如果成功验证，PXa3服务器系统将加密的临时软令牌下载到成员客户机系统(桌上型、膝上型、移动电话、无线个人数字助理等等)，在注册后，成员客户机系统将包含PXa3客户机软件。只要将软令牌安全地存储在成员客户机系统中，根据他或她着手做他或她的日常工作，成员可使用PXa3系统来加密或解密对象。
由于软令牌能执行通常由智能卡(“硬令牌”)执行的所有功能，该软令牌方法使成员有能力操作一段时间间隔而不连接Internet。该临时时限的长度是由域管理机构125或其他管理员选择的可设置的参数，如同成员是否有权使用软令牌。通过该系统，可授权成员较长地使用软令牌，当期望他们游历或相反不与Internet接触(“漫游”)。只要软令牌过期，系统将不再加密或解密对象，以及成员必须重新登录PXa3环球网站点305并且在下一会话验证他或她自己以便下载另一加密的软令牌。因此，在本发明的一个实施例中，令牌同步组件160要求每个成员定期登录PXa3环球网站点305，以便他或她的智能卡(或其他形式的令牌)可与中央维护的安全简档表120同步。如上所述，在一个实施例中，可由域管理机构125配置成员安全简档表120的形式。在域简档表130中执行的一个政策确定是否允许驻留成员安全简档表。
4.维护值本发明的一个实施例使用称为维护值的现有的CKM技术概念。最好，维护值由两级组成向前维护级(FML)以及向后维护级(BML)。将向前维护级用来拒绝域成员最终访问除特殊点外的CKM加密信息，而将向后维护级用来在特殊点前及时拒绝域成员访问信息。在PXa3系统中，因此维护值提供将域成员锁定在特定时间窗中的能力。该基于时间的访问控制方法允许域管理机构指定和精确地限制什么信息域成员目前将能访问，以及未来成员将查看什么信息。从安全观点看，因此维护值允许定期地重新加密系统。
(a)域维护值在一个实施例中，每个域100具有称为域维护值的维护值。域维护值包括向前维护级以及向后维护级。然而，可独立地更新这些级，尽管用于向后维护级的设定置通常不会超过用于向前维护级的设定置。应当将用于域的向前维护级认为是水平-对那个特定域来说最终除那个点外没有什么最终存在于该系统中。
(b)成员维护值同时最好为每个域成员105指定与一个或多个域值对应的成员维护值。为新成员指定域的当前FML。同时也更新用于个别成员的FML和BML设定置，尽管通常这些设定置并不大于域维护值设定置。
B.CKM加密方法1.加密方法的基本概述在本发明的优选实施例，由PXa3使用的基本CKM技术是按ANSI标准X9.69采用的分布式加密密钥管理系统。使用X9.69ANSI标准，PXa3的优选实施例构造称为工作密钥的对称密钥，用来加密数据对象。在图3中所示CKM加密方法采用用来构造工作密钥200的三个密钥值域值205、维护值210以及伪随机值215。
将域值205用作准许域100(图2)中的每个人访问系统的系统密钥。如上所述，在大的组织中，经信托关系可将域连在一起。因此，在本发明的一组实施例中，经维护在此的成员PXa3成员帐户300和安全简档表120，将域值205分配给域100(图2)的所有成员(图2)。
通过定期地更新域值205，使用维护值210来控制域成员资格，将域值分配给所有目前授权的成员。通过简单更新目前授权个人的维护值，工作组管理员145也可去除不需要的成员进一步访问系统如上所述，维护值210允许在访问特定成员的数据上的精确时帧控制，因为可为成员指定与固定时间周期对应的维护值，在允许访问它们期间。因此，对于本发明的一组实施例，如上所述成员安全简档表120(保持在PXa3成员帐户300中)包含维护值210。
用来创建工作密钥200的第三值是伪随机值215。每次自动生成伪随机值215时，加密数据对象220，使工作密钥200为对每个加密数据对象220来说唯一的一次性密钥。在一组实施例中，不存储工作密钥本身，而是在加密过程的开始创建并在使用后丢弃。当出于解密目的的需要时，随后再创建它，但是仅由具有适合的证书的成员来创建。
为分开对不同授权成员群中的加密数据对象的访问，通过用另一密钥来加密伪随机值215来保护它，另一密钥是从称为访问允许证书的特殊选择的成员证书225收集的。用这种方式使用成员证书来定义每个加密数据对象的关系仅具有用来在加密方法中形成证书密钥230的访问许可证书的那些个人能解密伪随机值215，伪随机值是用来解密加密的数据对象220所需的工作密钥所必需的。(另外，如下所详细描述的，访问许可证书225可存在和分配给个别成员，而与任何数据对象加密无关)。
图3进一步描述一种方法，通过该方法，使用现有的CKM技术加密数据对象。成员105(图2)创建数据对象220(即，包含机密信息的数据文件)，可随意地将数据对象分割成几个嵌入对象(即文件节)，如220a、220b、220c和220d(将不可分割的数据对象当作正好由一个嵌入对象组成)。然后成员105(图2)根据了解安全政策的权利，使用如上所述的CKM加密和证书过程(即使用工作密钥等等)，将特定的访问许可证书225与对象关联。然后经分散的、公用网330，传送和/或存储加密数据对象220，就象它未被加密一样。每个网络用户可能在公用网330上获得加密的数据对象220，但仅具有正确证书集115(即属于特定证书种类集)的那些成员能解密和浏览包含在加密数据对象220的嵌入对象中以及由特定的访问许可证书225保护的信息内容。
2.加密方法的另外的详细情况(a)工作密钥本发明的一个实施例利用专用函数来生成称为CKM组合器232的工作密钥(上述定义的)。在该实施例中，CKM组合器232的职务是用域、维护以及伪随机值创建工作密钥，如上所述。CKM组合器232能用各种方法实现该任务。例如，在公开的文献，用于财经服务的美国国家标准，X9.69-1998，Framework for Key ManagementExtensions，American Bankers Association，1998中描述过六种不同的方法。在本发明的一个实施例中，获得CKM组合器232作为由TECSEC(CKM，版本5.1)提供的独立的软件包。因此，不必了解组合器函数如何起作用的特殊的详细情况以便实现PXa3系统的各种实施例。
如上所述，使用工作密钥200来加密实际的数据对象220。在本发明的一组实施例中，工作密钥加密方法使用标准的三DES(3DES)算法，尽管也可使用其他算法，如Rejndael，新的改进的加密标准(AES)，或IDEA、或BEST或SkipJack、或许多其他的对称加密算法。最好，在加密对象后立即破坏工作密钥200。在CKM中，有关重构和使用值、证书以及其他函数所需的特定数据的信息包括加密头文件235(与加密数据对象有关)，域100的任一成员105可打开加密头文件。在一个实施例中，用头加密密钥自加密报头235，最好通过与维护值和成员证书相同的分配方案管理加密的报头密钥(如通过工作组管理员145经安全简档表120分配给在PXa3环球网站点305处的各个成员帐户300)。
最好通过采用的创建伪随机值加密密钥(证书密钥)的Diffie-Hellman(不对称)方法来实现对加密数据对象220的读和写访问以及伪随机值215的保护(通过加密)。从而将Diffie-Hellman静态密钥对与每个证书相关，然后使用Diffie-Hellman标准密钥生成算法，将所有证书用来生成证书密钥，用于加密和解密伪随机值。具有适合的基于Diffie-Hellman公钥证书集的成员可加密数据对象，以及具有相应的基于Diffie-Hellman私钥证书集的成员能解密那些数据对象。具有两个集的成员既能读也能写访问。该方法产生同样包含在成员安全简档表120和CKM组合器功能中的另外的保险级中的其他的参数。
(b)CKM报头仍参考图3，称为CKM报头235(图3)的头文件可用来解密加密的数据对象220(并在加密期间创建)。CKM报头包含用在构造工作密钥200中的在其他东西中的加密的伪随机值215。在一个实施例中，用对特定域的所有成员公知的报头密钥自加密CKM报头，以便用于每个加密的数据对象220的头文件235可由属于那个域的工作组的所有成员读取。注意伪随机值215并不用于那些不具有最初用在加密数据对象中的所有证书种类的正确的加密读取访问许可集的那些人。
(c)嵌套对象加密方法如在此所述，可将用本发明的方法和装置加密的数据对象分割成单个的对象，允许如使用工作密钥在主文件中加密部分数据文件或文献，该工作密钥不同中于用来加密主文件的工作密钥。可使用划分数据文件的任何方法，如在美国专利No.5,680,452中所描述的，在此合并作为参考。加密数据文件的各个选择部分(“嵌入数据对象”)的方法非常适合于本发明，因此可用在PXa3的不同实施例中，数据文件的各个选择部分在上述提到的专利中描述过。
使用PXa3的优选实施例，加密数据对象可与在文件或数据字段中的单个字一样小，文件或数据字段在数据库视图、查询或报表中。该嵌套对象特征对公司能力没有约束以便将CKM技术应用到它的自然信息分段上-不管当该数据静止于连接于信息库的网络中还是它正通过几个传送装置被传送(每个传送装置提供围绕正被传送的对象的安全的“对象封装器”)。该特征明显不同于现有的PKI安全方法，其中加密的数据对象通常并不小于单个文件或数据库视图。
由于以下几个原因，该嵌套对象特征是实用的(a)当不同人需要被准许对文件或数据库中的数据对象的不同的访问许可时，可将每个唯一数据组(如企业计划中的部分)指定为一个数据对象，数据对象包括在较高级数据对象(企业计划)中。在这种情况下，可以平行的方式将较低级数据对象排列在较高级数据对象中；(b)可使用不同的传送机制来移动数据对象，每个传送机制可其自己的证书集“封装”其接收的数据对象(如通过Internet上的FBI域在那个部门域下加密并在国家部门网络上传播的本地政策部门消息再次用国家部门CKM证书和加密方法封装它)；(c)另外，可用分层和并行子部分来组织数据对象，每个结构跟踪组织执行其任务的方式。可容易地采用对象层次来适合几乎所有组织。
因此，本发明的实施例引入了一种用于加密地保护在分散公用网-如Internet上分配给广泛的网络用户组的信息的方法。在该实施例中，如图4的流程图中所示，将分配的信息包含在具有一个或多个嵌入式对象的数据对象中(根据本发明的特定应用，单个嵌入式对象可与整个数据对象一致)(步骤400)。通过创建可选择地分配给数据对象的不同嵌入式对象的一套访问许可证书，对象创建者加密这些嵌入式对象(步骤405)；例如，使用CKM X9.69 ANSI标准，可实现加密。
每个访问许可证书确保仅授权用户(即拥有特定证书集的那些用户)能解密数据对象的那些选择的加密嵌入对象，允许以安全方式在网络上传送现在加密的数据对象。此时，可用两种方式授权用户。最初，用户必须获得访问许可证书集(分支A)。只要接收到代表网络用户的访问许可证书的请求，系统授权请求(步骤410)，最好使用密码、生物特征、标识(在下面进一步描述)、硬件或软件令牌。其他验证方法也可包括时间和地方(位置)。只要验证过，使用多种已知的加密方法的任何一个，可安全地在公用网上将包含访问许可证书的安全简档表发送给授权网络用户(步骤415)。另外，用户可能已经拥有以有效硬件或软件令牌的安全简档表(分支B)。在这种情况下，只要请求访问，自动授权用户以便解密加密数据对象(步骤420)。根据该方法，可在公用网上传送加密的数据对象而不必将单个标识用户作为目标(步骤425)。
(d)证书提交方法在本发明的一个实施例中，将CKM X9.69标准用作基本的加密方法。CKM X9.69加密标准优先于其他目前的现有加密系统，因为它便于对大的数字信息集合的基于不同职务的访问。在将数据输入系统中时可初始化加密方法。例如，在具有许多节的大的报告文献(文件)中，根据为读或读/写访问所选择的职务，可不同于其他的认证和加密每节、章、段落(或字)。
如上所述，在本发明的一个实施例中，可由域管理机构125(图2)定义证书类别(和它们中的证书)。图5表示典型的证书类别集(501，502，503，504，505)以及它们中的证书。在一个实施例中，在任何指定的证书选择集中，在类别中选择的多个证书“OR”一起，而经过多个类别的所有类别选择“AND”一起来导出用来加密伪随机值215的单个的组合证书密钥230(图3)。该实施例的布尔AND和OR过程包括加密组合算法，该加密组合算法采用许多证书以及创建单一值，然后使用公钥加密方法，使用该单一值来加密或解密伪随机值215。
做为一个示例(以及仍参考图5)，通过下述函数可形成证书密钥230[Business Secret]AND[Engineering OR Marketing ORSales]AND[Directors]AND[Project C]，其中“Business Secret”、“Directors”、“Project C”分别定义选择的证书类别501、503和505，以及“Engineering”、“Marketing”和“Sales”是单一类别502中的特定的另外的证书。使用布尔函数来定义形成证书密钥230所必需的访问许可证书225。在加密信息时包含的所有证书类别必须在想要访问信息(经过解密)的任何人的安全简档表120(图2)中。如果没有再现所需的证书类别，未加密(明文)对象将不可访问。
在一个实施例中，成员证书115(图3)可保存在PXa3环球网站点305(图2)以及在该环球网站点305生成工作密钥200(图3)并安全地传送到成员的客户机系统(如个人计算机、蜂窝电话或无线个人数字助理)，从而降低成员设备的客户机“台面面积”的大小并提供增强的安全性，因为证书115将从不需要传送给成员系统。
因此，本发明的一个实施例带来了用于向分散的公用网上的多个网络用户提供解密能力的方法。在该实施例中，如图6所示，系统(a)接收代表网络用户的访问许可证书的请求(步骤600)；(b)验证请求(步骤605)；(c)从PXa3成员帐户检索安全简档表(步骤610)；以及或(d)在分散公用网上安全地将安全简档表(包括访问许可证书)传送给网络用户(步骤615)；或(e)使用包含在安全简档表中的信息，连同包含在加密的数据文件中的信息生成工作密钥(步骤616)；然后在公用网上安全地传送工作密钥(步骤620)。本领域的普通技术人员将意识到根据上面的详细的说明，可改变或修改步骤的顺序。该方法可进一步包括使用生物识别(将在下面说明)、硬件或软件令牌或基于时间或位置的验证信息。
C.PXa3的访问管理特征上面描述的CKM加密方法仅提供PXa3的访问控制和管理特征的一个成分。因为将CKM设想和设计成成员和管理员使用单线程、独立的计算机系统，使用CKM X9.69标准的现有的加密系统不是设计成利用公用网如Internet的可访问、可升级以及通用性以便允许分配、认证、维护和使用成员安全简档表。因此，PXa3相对于现有的CKM系统有了巨大的改进，提供用于通过和用于分散公用网上的单个系统用户创建、认证、请求和分配成员安全简档表的安全的方法，以便用户(管理员和成员)可从世界上任何地方访问和使用系统。因为PXa3在公用网上操作，它的访问管理特征提供验证用户的改进的方法，从而避免恶意或未授权访问保密的数据和信息。
因此，本发明另外设计一种更宽的密钥管理策略，包括可配置标识和验证能力以及第三方PKI信托验证能力。(本领域的普通技术人员将意识到PKI的基本部分是包括可证实的数字签名的证书，可证实的数字签名本身是信息的数字散列，信息通过不对称(公钥)方法加密)。在本发明的一个实施例中，如图2所示，PKI验证支持是通过智能卡或可下载的软令牌，使用由中央认证授权(CA)服务器110发布的PKI证书109来管理的。
另外，证书115可与定义用于成员105的一个或多个标识单元如生物特征功能、智能卡标识、PIN/密码或时间和/或位置参数的应用有关。因此以标识和验证(I&A)数据对象形式的标识单元必定是通过上面描述的基本的加密方法的主要的加密数据对象。在PXa3的一个实施例中，I&A数据对象包括能验证相对其它成员的成员的PDI功能。I&A数据对象也可包括必须安全存储以及包括在成员安全简档表120中的其他功能。
识别是识别成员的方法。验证是核对那个身份的方法。仍再参考图2，在本发明的一组实施例中，成员帐户300包括成员验证单元155，以及用身份方法保护的安全简档表120成员105必须在他或她能访问他的或她的安全简档表120前提供身份证据。
在一组实施例(由图2所示)，经用户密码156提供基本的成员验证155。经时间和/或位置157、智能卡令牌158和/或生物特征扫描(模板)159提供另外的验证模式。在基于智能卡的系统的情况下，用户将智能卡令牌插入读卡器并当提示时输入密码(PIN)。
生物特征验证(下面进一步描述)由采用的传感器类型而定。例如，用DCS的BioIDTM，当说出密码时，使用摄像机和麦克风来测量静态面部轮廓、语音识别以及嘴唇运动。其他生物特征技术依赖于用于指纹验证的手指的实际扫描。当将生物特征模板159(图2)引入PXa3服务器用于匹配模板时，产生验证，当用户最初与工作组管理员注册(即“登记”)时记录模板。
如上所述，在本发明的一个实施例中，工作组管理员145创建每个成员的安全简档表120。在包含在每个安全简档表120中的数据是成员标识(用户ID)。最好，成员105不改变由工作组管理员145提供的用户ID。在一组实施例中，每次加密数据对象220(图3)时，将加密数据对象的成员(“创建者”)的用户ID放在数据对象头文件235(图3)中，以便访问数据对象220的每个成员也可核对创建者的身份。由于仅工作组管理员145可发布安全简档表120以及仅工作组管理员可指定用户ID，假定信托。
1.生物特征验证再参考图2，在本发明的一个实施例中，用于PXa3成员105的安全方法是使用他或她的PXa3成员客户机系统850来请求从PXa3环球网站点305下载他或她的成员安全简档表120。最好，每次成员登录和打开对话时，他或她将需要验证他或她自己。只要成功验证，将成员软令牌驻留安全简档表下载到成员客户机系统用于后来在加密和解密数据对象中使用。
现今可有许多生物特征验证技术。如上所述，现在可获得使用基于PC的摄像机和麦克风，通过脸、语音以及嘴唇运动识别人的称为BioIDTM的新技术。使用这种技术的详细情况以及如何获得它在www.bioid.com的BioIDTM环球网站点上描述过。为验证他们自己，用户看摄像机并说出由麦克风检测的预先登记的“密码”。三种生物特征识别的模式可能是相对于在注册过程中采用人脸的预先登记的模板，采用和处理人脸的静态图象来识别面部特征。同样地，也将说出密码的人的声音转换成模板并与注册模板进行比较，说出密码的嘴唇运动也一样(嘴唇运动与指纹一样是唯一的)。
因此BioIDTM技术提供三种识别模式脸、语音和嘴唇运动。该技术允许用户从三种不同的生物验证模式选择组合。一种模式(如仅语音识别)可能用于大多数的应用，因为几乎每种计算机系统均拥有麦克风。两种模式可能用于更高的保障应用以及其中由于面部或声音特征的变化，一种模式不能正确操作的情况下。然而，要求摄像机外围设备。对最高的保障应用需要所有这三种模式。
在本发明的一个方面，PXa3系统可提供使用用户ID和密码的“一个因子”验证/安全的简单形式，而在更复杂的方面中，“两个因子”验证/安全可使用密码和容易的生物特征验证方法，如语音识别，或硬件(硬)令牌。
2.撤消成员访问许可任何加密系统必须具有撤消成员访问许可的装置。撤消是指防止访问撤消后加密的资料。它不指防止访问在成员合法访问期间已经加密的资料。只要做出撤消决定，新的加密访问否定应当与安全风险担保一样完全和快速。
PXa3系统最好提供撤消成员访问许可的多个装置。优选实施例的三种PXa3撤消方法列示如下(a)简档表期满限制提供移除成员访问的日常的、定期方法，正如信用卡可能期满一样。当安全简档表120期满时，不可以简单地更新它们。
(b)更新维护值删除不拥有更新值的那些成员的访问。新维护值也具有逆效用，以便用先前维护值加密的材料可用后来发布的维护值解密。域授权机构125可选择向一些成员发布新维护值，并不将其给某些其他成员，因而撤消它们对未来信息的访问。
(c)可关闭成员安全简档表120或由管理员(125，125和/或145)在PXa3环球网站点305修改，以便下一次成员登录时，可约束或终止他或她使用系统的能力。
因此，在PXa3系统中，根据设置到单个成员安全简档表中的期满时间限制，在任何时间通过实际上的瞬间效应可取消或改变安全简档表120。另外，当成员105连接到PXa3环球网站点305来使用他们的安全简档表120访问旧的内容或创建新内容时，可从最后一次访问改变他们的证书115。该功能在响应或防止外人和/或以前成员的某些安全攻击方面特别有用，因为所有工作组管理员145必须做以便在这些攻击前取消欺诈成员的安全简档表。这对没有PXa3的基于智能卡的系统是更困难的问题，因为欺许成员可令人信服地继续访问加密数据直到在卡上的安全简档表最终超时。
为具体化上述本发明的性能，将在节E中详细地描述PXa3系统的一个示例性的结构。
D.PXa3系统应用例子1.内容出售当Internet和移动电话技术开始一起变体成移动Internet时，多个新应用猛增入市场。这些要求一对多分布安全的许多与出售内容-在广泛兴趣范围上的音乐、视频和信息-对多个团体用户有关。尽管有许多不同类型的内容以及许多不同团体用户，一个例子应当用来示例该概念音乐俱乐部。
考娱乐业中的媒介巨人具有下述机会它想以音乐俱乐部的现代版本的形式为数百万的用户提供多个数字信息脚本服务。用户将签约成为如音乐俱乐部的古典音乐部分的成员105，以及向如“ClassicalGold Membership”支付月费。任何时间那个用户成员想为他的收听乐趣付费时，将授权他通过无线环球网系统的基于Internet的宝贵的古典库流出数字音乐曲目。再参考图2，该用户成员105将具有PXa3成员帐户300以及适合于该俱乐部(域100)的他的部分的证书115以及用于他的“播放设置”的下载的PXa3成员客户应用软件850。可用适合的证书加密音乐。因此，任何时候他需要时，他能收听任何一个俱乐部的“classical gold”库，但不能记录任何一个。
另一种模式将允许他下载他需要的任何音乐曲目用于存储在他的个人计算机并按需要播放许多次，但将对每个曲目付费(如$1.00)。在该模式中，下载设备(个人计算机)最好具有大的存储器以及串行总线连接(如通用串行总线电缆)，用于到和从个人计算机将曲目下载到便携式设备(如便携式数字播放器)。
在上述例子中，内容出售器将音乐(即数据文件220，图3)分配给付费用户(即，成员105，图2)。然而，有许多其他类型的内容能用相同类型的PXa3安全服务出售给有线和无线环球网用户群。另一个例子是特定位置信息，如用于环绕用户当前地理位置的地理区域的交通、天气以及食物和住宿信息。或，如另一个例子，也能出售便于商业和休闲事务，如用于假蝇钓鱼的河流条件或发射用于Oakland A’s棒球比赛的比赛实况解说的广播报道的用户定制的信息。通常脚本类别列表，尽管用任何方式不能详尽，可能包括普通新闻特殊兴趣新闻(如假蝇钓鱼)体育(新闻和实况转播报道)财经新闻&服务特定位置的交通、天气以及旅游信息目录列表移动娱乐(音乐、视频游戏、视频和彩票/游戏)移动售票移动医学记录场外自动化移动供应链管理PXa3的内容出售应用不同于常规的PXa3公司信息管理应用，因为它被设计成在分配内容方面更受限制。例如(a)成员105通常仅解密内容220，他们从环球网站点305检索或经email发送；(b)成员105通常不知道基本的PXa3技术，仅察觉到当他们下载一项内容时，他们需要简单地点击命令或文件图标并且文件在常规的明文(未加密的)方式可用；(c)这种内容出售系统通常将不使用PKI，因为不需要数字签名。
因此，本发明提供用于在分散公用网，如Internet上将数字内容分配给预订内容出售器服务的单个网络用户的方法和系统。
2.控制对保密系统的访问PXa3系统的基本结构很适合于应用，如上述描述的内容出售应用，其中要保密的对象是代表计算机的数据对象。然而，这并不需要总是这种情形。本发明的另一实施例提供用于访问任何保密系统，如物理系统(如办公综合机构)或逻辑系统(如计算机网络)的方法和装置；要保密的系统也可是静态或动态的。
如图7中所示的这样一个实施例，利用在前描述过的实施例相同的基本加密特征。选择要保密的系统部分(步骤700)。系统也利用系统用户的一个或多个类别，从而定义哪个用户允许访问系统的哪一保密部分(步骤705)。必须为每个类别建立访问码(步骤710)。然后系统地将每个访问码分配给系统的不同保密成分(步骤715)，其中采用每个访问码与其他成分结合来创建用于控制对系统的选择部分的访问的密钥。
在系统内保密访问码本身，最好使用生物识别，但另外可通过各种软令牌和/或硬令牌(如智能卡)方式，通过使用或不使用用户密码/PIN，时间或用户位置来保密。然后系统将保密的访问码在分散公用网上分配给将允许访问系统的选择部分的至少一个的系统用户(步骤720)。此外，发生这些任何步骤的任何一个的顺序不重要，而且可改变。例如，建立访问类别以及在此定义用户可在选择系统部分之前。
E.用于基于环球网安全管理应用的PXa3结构考虑实现本发明的上述实施例，优选的PXa3系统设计基于经Internet使用HTTPS联网来支持连接浏览器的管理(如域和工作组管理员)以及本地客户机应用(如用于每个成员，以及用于管理员)的客户机-服务器结构。
1.系统结构和更高级设计图8表示操作PXa3环球网站点305(图2)和适用于本发明的所有上述实施例的用于PXa3服务器系统800的优选模型结构。服务器系统800包括至少一个PXa3环球网服务器801、应用服务器805、至少一个数据库服务器810，以及令牌生成器815。环球网服务器801、应用服务器805以及令牌生成器可能是如可在单个服务器计算机上实现，而且可任意地在服务器集上实现的MS Win2000服务器。数据库服务器810可以是如Win2000高级服务器。数据库服务器810最好在MS服务器群环境中构造。在优选实施例中，将用于所有服务器的操作系统功能降低到最小；如，所有不必要的组件如IIS(由于用于SSL的WebLogic Port443使用)，可移除telnet以及ftp。
最好，PXa3服务器系统800使用多分层的应用服务器实现(在下面进一步描述)。在优选实施例中，可在MS Windows2000操作系统上运行的Java技术(BEA WebLogicTM6.0服务器，适应J2EE)上找到这种实现方式。可将服务器数据库810配置在如Oracle8.7并最好通过Java数据库连通性访问。这些操作系统和应用软件仅是例子，并且决不要求以便实现本发明。
如图8中所示，服务器(系统)管理员830最好通过执行一套维护任务311(图2)维护PXa3系统服务器800。在该实施例中，PXa3服务器系统800包括用于允许PXa3域管理员(即安全官126(图2))、域管理机构125(图2)以及工作组管理员145(图2)经商业环球网浏览器831执行他们的功能的环球网服务器浏览器界面。经该环球网浏览器831，PXa3服务器系统800允许由域管理机构125(图2)和/或工作组管理员145(图2)经Internet330分散公用网从世界上任何地方创建用户证书115(图2)以及存储为安全简档表120(图2)部分以及成员令牌122。服务器管理员830也经商业环球网浏览器832执行他们的系统维护任务311(图2)。
仍参考图8，PXa3服务器系统800进一步包括用于从数据库810检索成员令牌122的Internet可访问令牌界面825。在优选实施例中，使用SSL/HTTPS协议经安全的递送信道从数据库810的安全中央存储器到用户本地系统(或管理员或成员)检索令牌122。
将安全简档表120(图2)以及相关的成员令牌122存储在安全中央服务器数据库810以及仅可由具有正确的成员验证的用户访问。只要在安全存储器中，在两个典型的条件下访问成员令牌122(a)当与特定安全简档表有关的成员请求成员令牌时。在这种情况下，经安全递送信道将成员令牌递送给成员客户机系统。成员仅当经过由域管理机构设置的安全政策托管的验证进程后才获得访问成员令牌。
(b)当域管理机构或工作组管理员修改成员的安全简档表。在这种情况下，管理员将从安全存储器810检索安全简档表/成员令牌，按需要修改安全简档表/成员令牌(如按照证书中的变化)，并将安全简档表/成员令牌返回给安全存储器。另外，可创建新安全简档表/成员令牌来替换安全存储器中的旧的安全简档表/成员令牌。在优选实施例中，尽管管理员访问过成员安全简档表，他不必访问包含在安全简档表中的所有信息，因为成员令牌的某些字段被加密并仅可由具有那个成员令牌的成员访问。
(a)PXa3应用服务器组件在优选实施例中，将PXa3应用服务器805分成两类组件基本功能组件以及辅助功能组件。基本功能组件是负责如上所述的自动令牌生成以及检索特点的组件；辅助功能组件提供帮助基本功能和/或由PXa3安全官126(图2)配置的(如设置安全政策或记费需求)另外的功能。辅助组件不是交互式的，因此对系统用户来说是透明的。
如图9所示，PXa3应用服务器805中的基本组件包括(a)成员访问和令牌检索组件930；(b)域认证访问组件935；以及(c)服务器认证组件940。
不同组件间的、应当发生在公用网上的所有通信必须安全，不管它们发生在Internet上或内联网内。例如，域访问控制信息必须包含在组件边界上传递的信息中，以便每个组件不必独立地验证域信息。因此，优选实施例使用用于保密那种组件内通信目的的SSL(TLS)。如果SSL/TSL对任何理由均是不可能的，必须开发专用的加密方案。如果更好的解决方案可用或带来更优化的替代方案，将来可使用其他协议。
另外，为保证最大安全性，在组件中以及为了组件间的通信，需要实现域分离。在极端情况下，对单个域的访问组件，有必要具有不同的环球网应用(另外，使用访问控制表(“ACL”)，足以实现域访问控制)。
在三种基本组件(930、935和940)中，与客户机系统的有效的交互作用的前两个组件-因此需要用于每种组件的通信协议。第三个组件-服务器管理组件940-用于PXa3服务器安装、配置和故障诊断目的。该组件940可包括可访问环球网的服务器认证界面，或者，能在管理员本地客户系统上使用脚本执行服务器认证任务311(图2)。
(1)基本功能组件(a)成员访问和令牌检索组件。该组件930处理成员访问和令牌检索请求。通过特殊设计的客户机系统结构发生成员访问数据库810，在下面将进一步详细描述。在优选实施例中，用于成员令牌检索的基本协议是HTTPS，其确保防火墙和PXa3系统的客户端(管理员和成员)上的代理服务器的无缝通过。
在优选实施例中，成员访问和令牌检索组件930执行下述功能1)接收客户登录和令牌检索请求；2)如果支持多个域，核对和检验域信息；3)核对单个用户的验证说明，以及如果需要更多信息，要求客户补充；4)将客户请求传送到验证组件(在下面进一步描述)；5)检验验证组件的返回值；6)如果验证成功，从安全数据库存储器810检索请求的成员令牌122(图8)以及使用安全递送信道，使用如SSL/HTTPS，将成员令牌返回给请求的客户；7)如果验证失败，将一般的故障消息返回给请求客户(为最小化黑客在黑客任务期间接收的信息，不管何种原因，对所有验证故障最好采用无区别的故障消息)；以及8)请求监视/报告/记录服务组件来记录用于记费、审计、访问控制以及系统监视应用的所有有意义的事件。
应当强调该功能请求列表并不表示是强制的或全部的，该列表仅表示示例成员访问和令牌检索组件的基本功能请求。
同样在优选实施例中，以无状态处理成员访问和令牌检索。换句话说，当成员105(图2)请求成员令牌122时，PXa3应用服务器805不保存任何客户状态(另一方面，PXa3成员客户机850(图2和11)为了其自己的使用可决定保存状态，但不必以任何方式将那个状态传送到PXa3服务器)。
用于成员访问和令牌检索组件930的无状态进程至少具有两个好处。第一，无状态进程更有效和可升级。单个成员访问和令牌检索的整个对话在PXa3成员客户机850(图2和11)和PXa3服务器系统800(图8)间可仅具有两个交换周期，包括初始验证周期，但可能有相当多的成员同时访问单一PXa3服务器(这和管理员访问的情况形成对比，在单一会话中，管理员访问要求管理员客户机系统和服务器系统间相当多的交换次数，但通常没有大量的同时的管理员访问，即使当单一服务器用于多个域的情况下)。通过使用成员访问的无状态的进程以及令牌检索组件，可减轻PXa3服务器系统800(图8)保存用于每个PXa3成员客户机850(图2和11)的状态的负担。具体来说，当使用J2EE结构时，无状态的会话组件与它们的有状态的副本相比具有更好的性能和可升级能力，因为无状态会话组件的所有实例均是相同的并可共享)。
使用用于成员访问和令牌检索组件的无状态方法的第二个好处源于这样的事实用于客户端和服务器端的逻辑代码更简单。这对服务器端代码特别确切，因为无状态方法能遵循纯的客户机-服务器模式-包含在每个客户请求中的信息足以使服务器来处理那个请求并作出响应。在客户代码端，客户-服务器通信仍将遵循HTTPS协议，但因为不保存状态，不需要在代码中实现会话跟踪机制。
错误核对和故障处理是该组件的重要方面。最好，也包括合理的超时机制，以便如果在确定的时间周期内没有接收到来自特定服务器(如从数据库存储器810)的响应，用适当的消息通知请求客户系统。超时机制最好是两阶段的过程在前几个超时后，服务器重试来实现客户请求并将状态消息发送给客户机；在已经达到预定多次超时后，发送错误消息。
在优选实施例中，成员访问和令牌检索组件930与基于HTTPS遵循成员访问协议的PXa3成员客户机850(图2和11)通信。因此，实现用于通信接口的框架的自然选择是HTTP伺服程序或JSP页。成员访问和令牌检索组件930无缝地与安装在用户客户机设备(如桌上型电脑、膝上型电脑、移动电话、无线个人数字助理等等)上的PXa3成员客户应用(图2和11)一起工作。可很容易支持和升级本发明。具体来说，即使发生PXa3应用服务器805升级，新的服务器仍能与较早版本的PXa3成员客户机通信。因此客户-服务器通信协议包括版本协商机制，以便能保持向后兼容。当发生显著的协议改变以及不再可能客户/服务器兼容时，应用服务器通知客户机系统状态，然后客户机系统用足够的信息来提示用户更新他的客户机。因此，用可扩展的这种方式来定义通信协议是很重要的，以便如果将来该组件要求更多的功能，可扩展协议而不会影响向后兼容。
(b)域管理访问组件。该组件935处理域管理机构以及工作组管理员访问以及认证请求。在优选实施例中，域认证(“DA”)访问组件935使用环球网浏览器来提供管理员(125，126和140，图2)和PXa3服务器系统800(图8)间的通信来执行不同域和工作组认证任务。在优选实施例中，可支持Microsoft Internet Explorer和Netscape Navigator。最好，DA访问组件执行下述功能1)接收客户登录请求；2)核对和检验域信息，如果支持多个域的话；3)核对用于各个域管理机构的验证说明，如果需要更多的信息，要求客户机系统补充；4)将客户请求传送到验证组件；5)检验验证组件的返回值；6)如果验证成功，建立会话并将用户引导到默认页，在该默认页，他可开始认证任务；7)对任何在后请求，调用验证组件来检验请求的可靠性(在域管理机构已经登录后如何实现对其后请求的验证核对的详细情况在下面进一步描述)；8)相对于在前状态核对请求状态，从而开发域管理机构访问会话的状态机，提供增强的安全性；9)如果必要的话，更新数据库(所有认证功能最好是基于使用如称为Java事务处理服务(“JTS”)技术的事务，该技术向J2EE应用提供事务管理服务)；10)如果必要的话，将令牌创建请求发送给令牌生成器815(图8)或更新令牌创建队列(在下面进一步描述)；11)执行事务管理，在Entity Java Bean(“EJB”)框架936(图9)中和与会话跟踪和状态管理有关；12)如果验证失败，将一般的故障消息返回给客户机系统(为减少在黑客任务期间黑客可能接收的信息，不管原因如何，最好对所有验证故障采用无区别的故障消息)；13)请求监视/报告/记录服务组件来记录用于记费、访问控制以及系统监视使用的所有有意义的事件；14)在来自域管理员的请求的基础上，终止会话，或如果会话已经超时；以及15)如果相同域的域管理员已经登录，以及只有当验证核对成功时，用消息提示用户告诉他另一域管理员目前已经登录。
当用成员访问和令牌检索组件930时，基于确保安全性，用于该组件的所有客户-服务器通信是SSL(HTTPS)。
通常，域管理员的安全官(域管理机构以及工作组管理员)，其责任是维护域安全政策、维护成员数据(包括成员职务以及访问许可证书)以及创建成员令牌。
在优选实施例中，令牌创建是批处理，其增强了PXa3系统的可升级能力。如图8所示，最好由与PXa3应用服务器805分开和远离的令牌生成器815实现令牌生成。将令牌生成器815划分成两个组件令牌燃烧器(token burner)816和CKM令牌提供者817。在优选实施例中，将令牌提供者包含在商业可获得的称为CKM版本5.1，mhTECSEC提供的产品中。如在下面将进一步描述的那样，使用用于CKM令牌提供者817的TECSEC CKM产品，根据用户请求，加密、散列，然后存储和/或传送成员令牌文件-包括对本发明的具体实现是特定的以及包含成员安全简档表的成员帐户信息。
通过将DA访问组件935(图9)与令牌生成器815(图8)分开，经DA访问组件的数据访问是基于事务的，并允许同时多个对DA访问组件的访问。另外，可将DA访问组件935以及令牌生成器815组合成单一组件。通过使数据访问是基于事务的，域管理机构以及工作组管理员可同时与成员访问一起访问数据库810。
不象成员访问和令牌检索组件，PXa3服务器的一个实施例保存用于每个域管理员访问会话的状态(即，实现对每个访问会话的“有状态”进程)。对这种不同的一个原因产生于事实(a)域管理员访问对话可要求多次的客户-服务器交换；以及(b)同时访问的数量相当小，即使在单一服务器服务于多个域的情况下。此时，有状态的方法具有下述优点1.由于相对少的同时的域管理员访问会话，将PXa3服务器(以及客户机，在这种情况下为环球网浏览器)从每次验证客户机解脱出来，实际上减轻了为域管理机构/工作组访问保存状态的困难。换句话说，与成员访问和令牌检索组件相比，有状态方法实际上增强了性能和可升级能力。
2.由于将状态保存在服务器上用于每个域管理机构/工作组访问会话，只验证客户机一次，不再需要在每个其后的请求上验证。由于每次登录对话仅验证一次，使验证过程比无状态进程可能允许的更复杂和更安全是可行的。
3.另外，通过保存每个域管理机构/工作组管理员访问会话的状态，开发基于访问会话状态的访问控制机制是可能的，因此增强了PXa3服务器系统的安全性。由于域管理机构在PXa3服务器上具有比单个成员更大的访问特权，经常需要更大的安全性，即使以少量的性能损失为代价。
DA访问组件935应当线性可升级和有效。通过将该组件935与令牌提供者组件817(图8)分开(以下将进一步描述)以及因此使令牌创建请求异步，实现可升级能力的可接受程度。
对PXa3服务器系统800，DA访问组件与成员访问和令牌检索组件930相比提供了可用性挑战。如上所述，DA访问组件提供动态的、基于环球网页的界面，用于便于认证任务。因此应当遵循所有建立的环球网设计指南以增强可用性。在其他事件中，用于DA访问组件的用户界面应当提供用户友好的、安全以及专业的意识。
(c)服务器议证组件。该组件940处理服务器认证请求。PXa3服务器认证与域认证不混淆。服务器管理员830(图8)负责整个PXa3服务器系统800的配置、维护以及政策设置，PXa3服务器系统800可代管多个CKM域。另一方面，域管理员125、126或140(图2)负责诸如他所负责的特定域的政策设置和成员资格维护的任务。在优选实施例中，有一个PXa3服务器管理员，与服务器系统上的CKM域的数量无关。
另一方面，PXa3服务器认证也不与UNIX认证或网络认证混淆。相反，将其限制到对PXa3系统来说特定的任务上。在某种意义上，PXa3服务器认证是应用层认证类型-其目的是配置在PXa3环球网服务器、应用服务器等等上运行的特殊开发的PXa3应用程序。因此服务器认证组件940(图9)提供以下功能1)创建、删除、禁用以及启用CKM域；2)提供服务器内寻址配置功能(当提出或移除PXa3服务器(环球网服务器、应用服务器、数据库服务器或令牌生成服务器)时，很可能调用低级认证；然而，也有可能需要做某种应用级配置。服务器管理员830能使用服务器认证界面来进行应用级的配置改变。例如，如果数据库服务器改变，则可能需要改变JDBC驱动程序。)3)提供数据库维护功能(这些功能中的某些可能与记费和审记有关，然而一些其他功能可能是简单的数据库配置功能)；4)提供服务器安全政策设置功能(如，当数据中心代管多个CKM域时，最好由服务器管理员830设置这些域间的关系)；5)提供诊断界面，服务器管理员830使用该诊断界面来诊断有可能任何一个PXa3服务器将要出现故障的系统问题，(该功能需求与报告和监视服务特别相关(下面将进一步描述)；在某种意义上，报告/监视服务是问题的动态方面，而服务器认证是同一问题的静态方面)；6)提供用于服务器管理员830核对统计数据，如服务器使用的界面(该信息分成两个类别(1)当前服务器使用信息，如有效会话的数量；以及(2)历史服务器使用信息)；以及
7)建立静态负载平衡(由于极其大量的成员访问，可用分层方式实现负载平衡在最顶层，执行静态负载平衡[静态负载平衡通常包含简单的请求调度算法，以及与数据库分配非常相关])。
上述列表是示例性的，并不规定为再现用于服务器认证组件的功能的强制性或全部列表。在一个实施例中，服务器认证组件940是基于环球网的，尽管对该组件的环球网可访问性没有要求。
如同DA访问组件935一样，在一个实施例中，对如上所述的相同理由，也可将服务器认证组件940设计成有状态的。
允许服务器认证为远程发生或限制成本地，或LAN访问主要是政策问题。仍然需要做出设计考虑。对服务器认证组件940来说，一种可能性是留意除80和443外的不同的防火墙端口。该端口应当配置成仅可从LAN内或由站点安全政策允许的某一机器访问。
本领域的普通技术人员将意识到，根据所涉及的操作系统、环球网服务器、数据库服务器以及应用服务器，可不同地执行服务器认证任务的进程，但仍然在本发明的范围内。由于服务器管理员有特权来改变服务器配置参数，因此有可能损坏系统，可靠性是最关心的。为此，应当特别注意该组件的设计和开发。另外，推荐以基于事务的方式实现该组件。由服务器管理员请求的动作不是成功就是失败。万一动作失败，服务器配置应当保持不变就象从未请求该动作一样。另外，希望系统记住最后一个“好的”配置，以便可将系统恢复到工作配置，万一服务器管理员不经意地改变至关紧要的配置参数并导致系统非功能。最好，应当将事故预防紧记心中来设计用户界面。对大多数用户动作，应当需要确认。用户界面的布局也应当直观，以便降低错误风险。用户输入应当核对格式，以及当发现任何格式错误时提示用户。
(2)辅助组件如图9中所示，用于PXa3服务器系统的辅助组件包括(a)验证组件945；(b)监视/报告/记录服务组件950；以及(c)记费/审计服务组件955。如上所述，这些组件为PXa3应用服务器805提供辅助功能。这三个组件是示例性而不是强制的。每个辅助组件的功能要求由本发明的每种实现的商业要求而定。
(a)验证组件。在本发明的优选实施例中，该组件945核对和检验来自客户机，域管理机构/工作组管理员客户机以及成员客户机的请求的可靠性。验证组件945提供下述功能1)从具有用户信息和验证数据的其他组件接收验证请求；2)根据由域管理机构/工作组管理员或服务器管理员提供的验证请求，为存储在此的验证模板，访问数据库服务器810；3)检验用户可靠性并将布尔结果值返回给相应的调用组件；4)如果使用来自第三方的生物特征验证服务(或基于时间或位置或基于硬令牌的验证机制)，将验证请求传送给适合的验证服务，接收来自该服务的结果并将该结果返回给调用组件；5)为了有状态会话中后来的请求，用专用的验证机制核对会话有效性以及用户可靠性，并将该结果返回给相应的调用组件；以及6)在有状态会话中处理用户注销请求。
在本发明的一个实施例中，上述列表描述对验证组件945来说强制性的特征，然而，特征的全部列表将由本发明的特殊实现而定。
在下述两种示例性的情况中包含可靠性核对。首先，当用于成员令牌的请求包含用于初始检验的验证数据时，处理可靠性核对。这种情况可进一步分成两种子情况第一个是无状态情况，当在成员访问的情况下，当每个请求包含验证数据时；第二种是有状态访问的初始登录的情况，如域管理机构访问。包含何种信息由本发明的特定实现和用于那个实现的适当的安全政策决定。在大多数情况下，至少包含域信息、用户ID以及PIN。然而，该组件的设计应当仍然可扩展来适应验证的扩展方法，如生物识别。
当用于成员令牌的请求作为用于有状态会话的后来请求，如域管理机构访问或服务器认证访问到来时，发生其中处理可靠性核对的第二种情况。在这种情况下，很可能在请求中不传送验证数据。因此，通过会话核对以及专用的验证机制，如cookie、伺服会话等等检验请求的可靠性。
注意到为了防止窃听以及服务器验证，而不是为了防止客户冒充，单向SSL(HTTPS)的安全性很重要是很重要的。认证授权(CA)功能可进一步用来允许双向SSL验证。
在优选实施例中，为确保最大的安全性，验证组件945物理地驻留在与用于成员访问和令牌检索930、DA访问935、以及服务器认证访问940的组件相同的机器上。尽管PXa3服务器系统800(图8)的一个实施例在安全区中，同时仅可从Internet直接访问环球网服务器801，通过具有在同样的Java虚拟机(“JVM”)上运行以利用Java安全模型的验证组件945，进一步提高该实施例的安全性。
(b)监视/报告/记录服务组件。在本发明的优选实施例中，该组件950处理下述任务1)监视服务器的状态；2)将异常性报告给负责人；以及3)记录有意义的事件(如将错误以及异常记录到一个或多个日志文件中；将用户事件记录到数据库)。
为监视和报告任务，第三方商业监视和报告工具，如由FreshwaterSoftware.Inc提供的SiteScope(版本4.0及以上)很适合。如果使用第三方工具，那么本领域的普通技术人员将实现PXa3应用服务器包括用于监视和报告工具的异常指令(和触发器)。
最好应当记录的有意义事件主要分成两种类别(a)错误和异常；以及(b)用户事件。记录错误和异常以便后来服务器管理员诊断服务器问题；为了诸如记费、审计以及服务器性能评价的目的，用户事件是有价值的信息。
根据选择的监视和报告工具，可能希望将记录某些类型的错误和异常的任务留给那个工具。然而，在大多数情况下，希望使错误日志在单个地方。另外，有可能选择的监视和报告工具的记录不包含对诊断PXa3应用服务器805所需要的准确信息。因此，最好记录错误和异常信息而与工具无关。错误和异常信息最好存储在一个或多个日志文件中。
当然，错误报告和记录与异常处理和恢复非常相关。在PXa3应用服务器设计的优选实施例中，将错误分成三种类型1)致命系统错误使服务器的(子)系统不可恢复的系统级错误，而没有人为干预。
2)关键错误在某些条件下使功能不起作用的错误。除非条件改变，关键错误通常不可恢复。
3)非关键错误自动恢复是可能的错误。
在优选实施例中，应当记录所有致命系统错误，以及多数关键错误。另外，也应当报告所有致命系统错误。也应当报告一些关键错误。根据PXa3系统的特定实现，也希望记录一些非关键错误，但在大多数情况下，如果恢复尝试成功，不记录它们是可取的。
相反，为便于查询和排序，存储用户事件信息的最好地方是在数据库中。准确地说，需要记录何种事件更多的是市场决定而不是设计决定，因此是由本发明的特定实现决定的。在优选实施例中，应当允许域管理机构/工作组管理员启动和/或禁止用户事件记录。建议将事件成分三种类别必需的、希望的以及任选的。仅后两种类别中的事件应当能由域管理机构/工作组管理员禁止。最好应当赋予用于记费和审计所必需的事件所需的收费。
监视和报告服务可靠极其重要。误报警最多是令人生气，但未报告致命错误可是灾难性的。当发生非关键性错误时，应当尝试恢复。在某些条件下，经常发生相同的错误。当非关键错误的原因是一些其他的、未检测到的关键的或致命的错误时，这尤其准确。因此，优选的实施例将包括将任何非关键错误升级到关键错误的机制，该机制在恢复期间重复自身许多次。在这种情况下，放弃进一步的恢复尝试并通知用户。
在大多数情况下，如果恢复成功，不需记录非关键错误。如果执行用户事件记录，最好具有某种类型的数据库连接池以提高性能。
(c)记费/审计服务组件。该组件955提供记费/审计界面。在优选实施例中，记帐/审计服务组件955(a)查询数据库表有关由在预定时间间隔建立的记费要求所表示的信息；(b)为提供(运行)PXa3服务的公司生成记费报告；以及(c)将报告存储在数据库表或文件中。
与服务器认证组件940一样，记帐/审计组件955是用户事件记录的静态方面。换句话说，记费/审计组件955是用户事件日志的用户。实际上，记费/审计服务组件只不过是利用由监视/报告/记录组件950记录的用户事件数据的基于环球网的数据库应用。在优选实施例中，记费将基于有效的基于时间的定制服务。因此，单个用户的特殊使用数据可能对记费没有意义。但是，对审计目的来说这些数据将仍然有用，并且在用户组织可能希望在除时间周期外的基础上(如成员访问的数量)记费的情况中。
象任何服务器维护任务一样，记费报告生成不应损害成员的正常使用。因此，在优选实施例，为了不影响服务器的正常使用，从数据的镜像拷贝生成记费执行。镜像以及使产品拷贝以及镜像拷贝间的数据同步的操作最好安排在成员使用最高时发生。推荐该时间由服务器管理员830配置。
也建议生成记费报告不采用延长的时间周期。希望如每天为那天的活动生成汇总，而不是在每月未一起做，即使记费周期是一个月。在优选实施例中，包括基于日报生成月报的机制。
(b)逻辑配置PXa3服务器系统800(图8)具有典型的三层结构，这对本领域的普通技术人员来说是公知的。如图10所示，正面是直接与用户交互作用的表示层1025；中部是逻辑流和发生数据处理的商业逻辑层1030；背面是存储持久数据的数据层1035。本领域的普通技术人员将理解，在任何典型的Internet配置中，将防火墙1000和负载平衡器1005放置在Internet330和一个或多个PXa3环球网服务器801间。最好，将另外的防火墙1010放置在应用服务器805和数据库和令牌生成器(分别为801和815)间以提供隔离的物理子网。
该多层设计提供PXa3服务器系统800的不同功能元件间的分离。通过这些层间定义好的界面，每层为能单独开发和维护的系统元件。因此，可单独调整每层，这大大地提高了整个系统的可升级能力。
(1)表示层PXa3系统最好使用特别适用于大量突出用户查看和感觉要求的灵活的用户界面。因此，本发明的优选实施例使用将表示元件与商业逻辑元件分隔开来的PXa3服务器结构设计采用三层实现提供在定制从与数据表示有关的背景颜色到图标的一切的用户灵活性。另外，可很容易将PXa3框架嵌入现有的用户页中。
表示层1025是与用户交互作用的层。在多层、基于环球网的解决方案中，表示层由两个子层组成。一个子层是在用户计算机设备，如桌上型系统上运行的环球网客户程序。这种客户程序的典型例子是环球网浏览器，如Internet Explorer或Netscape Navigator。其他子层包括驻留PXa3环球网服务器801上的环球网页并下载到环球网客户机用于显示。
在优选实施例中，什么组成环球网客户程序子层由用户交互作用是否是成员访问或域管理机构/工作组管理员访问而定。在成员访问的情况下，环球网客户程序是本发明特殊开发的、为成员访问特殊设计的、称为PXa3成员客户机系统850(图11，在下面进一步描述)的客户机系统。在优选实施例中，PXa3成员客户系统充当使能的PXa3应用(如Microsoft Word)和PXa3应用服务器间的代理，并根据请求从PXa3服务器系统检索用于使能PXa3应用的成员令牌。在域管理机构/工作组管理员访问和服务器认证访问的情况下，环球网客户机系统分别是环球网浏览器831和832(图8)。然而，确切地使用哪个浏览器是对服务器设计有很小后果的次要的问题。
在DA访问的情况下，例如，域管理机构可使用环球网浏览器来与PXa3服务器系统通信并输入成员信息和证书。为了创建成员令牌，浏览器将信息传送给服务器系统。为此目的选择的环球网浏览器可以是任何商业上可获得的产品，如Internet Explorer或NetscapeNavigator。
在优选实施例中，PXa3环球网服务器801(图10)的表示层1025(图9和10)包括不同的静态HTML页、JSP页以及伺服程序。通过使用基于应用服务器如BEA Weblogic服务器的EJB和J2EE，最好减少使用伺服程序，因为表示功能最好是由JSP实现以及商业逻辑功能应当处于商业逻辑层1030(图9和10)并由不同的EJB936(图9)执行。
关于用于本发明的上述实施例的组件，成员访问和令牌检索组件930、DA访问组件935、服务器认证组件940以及可能的记费/审计组件955均在某些方面与表示层1025有关。(记费/审计组件有点特殊。在多个域的情况下，希望服务器管理员830和域管理员可需要核对记费/审计记录，虽然具有不同的范畴。在更复杂的情况下，可能是某人有权核对记费记录而不必具有认证特权的情况。在任何情况下，用于记费/审计记录核对的基于环球网的界面存在于优选实施例中。)(a)成员访问组件的表示层。在优选实施例中，成员访问和令牌检索组件930(图9)的表示层1025应当至少提供下述功能1)以按成员访问协议定义的格式接受客户请求，并将请求传递给商业逻辑层1030用于处理；以及2)从商业逻辑层获得有关客户请求结果的返回对象，并以由成员访问协议定义的格式将该结果提供给客户。
必须强调，在本发明的优选实施例中，成员访问和令牌检索组件930的表示层1025是特殊的，因为该层的环球网客户部分不是浏览器-而是为PXa3系统特殊设计的(下面将进一步描述)。因此，对客户请求的响应不需要遵循HTML格式，只要PXa3客户机能理解该响应(例如，该响应遵循所有的成员访问协议并且是基于HTTP的)。因此，最好在伺服程序而不是JSP页中实现成员访问和令牌检索组件930的表示层1025。
(b)DA访问组件的表示层。在本发明的优选实施例中，DA访问组件935(图9)的表示层1025应当至少提供下述功能
1)以HTML格式并按DA访问协议定义的接受客户请求，以及将请求传递给商业逻辑层1030用于处理；2)从商业逻辑层获得有关客户请求的结果的返回对象，并将请求用户引导到相应的相关URL。
建议在JSP页中实现DA访问组件935的表示层1025，因为DA环球网客户机最好是浏览器。
(C)用于服务器认证组件的表示层。在本发明的优选实施例中，用于服务器认证组件940的表示层1025至少提供下述功能1)以HTML格式并由服务器认证协议定义的接受客户请求，并将请求传递给商业逻辑层1030用于处理；2)从商业逻辑层获得有关客户请求的结果的返回对象，并将请求用户引导到相应的相关URL。
建议在JSP页中实现服务器认证组件940的表示层1025，因为(在优选实施例中)，环球网客户机是浏览器。另外建议表示层的设计考虑到这样的事实在优选实施例中，在PXa3应用服务器805(域访问、成员访问和服务器认证)中有三个独立的环球网应用。因此，在三个环球网应用的表示层中应当有分离度。最好，使用通知/消息服务，如Java Messaging Service(“JMS”)，环球网应用间的交互作用应当在商业逻辑层1030或可能在数据层1035发生。
(2)商业逻辑层在本发明的优选实施例中，在基于J2EE的应用服务器中，PXa3服务器系统的商业逻辑层1030由不同的EJB936(图9)实现。在PXa3服务器系统800中，该层位于其他两层的中间。为此，商业逻辑层也被称为中间层。在J2EE术语中，也称为EJB层。
基于J2EE的解决方案容易从一种平台移动到另一平台。具体来说，只要PXa3应用服务器805的设计和实现遵循J2EE规范，就可将PXa3服务器解决方案配置到多个不同的平台上。迄今为止，可从不同的厂商获得用于许多风格的UNIX和Windows平台的不同的基于J2EE的应用服务器。例如，可获得用于Unix和Windows平台的来自BEA系统的Webiogic服务器，以及IBM Websphere服务器。
在优选实施例中，所有六个服务器组件(上述描述过)均包含在商业逻辑层中。
(a)成员访问组件的商业逻辑层。在本发明的优选实施例中，成员访问和令牌检索组件930(图9)的商业逻辑层1035至少执行下述功能1)处理成员客户机请求；2)核对验证信息并且如果需要的话，要求成员客户机提供更多的信息；3)在单一应用服务器代管多个域的情况下，核对用于成员客户机的域信息并对相关数据库做出决定来查询存储的成员信息；4)将成员信息传送到验证组件945(图9)用于验证；5)核对验证组件945的返回结果，并确定该结果是否已经验证过成员105(图2)；6)如果成员验证成功，检索和递送适合的成员令牌122(图8)；7)准备用于表示层1025的响应并提供给成员105；以及8)请求监视/报告/记录服务组件950(图9)以便记录有意义的事件。
如上所述，在本发明的优选实施例中，成员访问是无状态的。因此，不必在用于成员访问和令牌检索组件930(图9)的商业逻辑层1030中存储会话，并且成员访问会话组件是无状态的。
(b)用于DA访问组件的商业逻辑层。在优选实施例中，用于DA访问组件935(图9)的商业逻辑层1030至少提供下述功能1)处理DA客户请求；2)核对验证信息，并且如果需要的话，要求DA客户提供更多的信息；3)如果支持多个域，核对域信息来确定查询哪个相关数据库来获得存储的DA信息；4)将DA客户信息传送给验证组件945(图9)用于验证；
5)核对验证结果；6)在初始登录进程成功后，建立认证会话；7)当必要时，请求令牌生成器815(图8)；8)根据从验证组件945返回的结果(以及如果适合，令牌生成器815)，准备对表示层1025的响应来提交给域管理员(125，126或140；图2)；9)请求监视/报告/记录服务组件950(图9)记录有意义的事件；以及10)在接收域管理员注销请求后，或超时后清除会话。
在PXa3服务器设计的一个实施例中，DA访问是有状态的。因此，DA访问会话组件是有状态的。
(c)用于服务器认证组件的商业逻辑层。在本发明的优选实施例中，该组件940(图9)的商业逻辑层1030所要求的功能与DA访问组件935(图9)的那些类似，具有两个例外首先，在服务器认证组件940中，不需要核对域信息，因为服务器管理员830(图8)不属于任何一个CKM域100(图2)；其次，不需要调用令牌生成器815。服务器认证组件940执行各种服务器认证任务而不是这两个功能。因此，在本发明的优选实施例中，服务器认证组件940的商业逻辑层1030至少执行下述功能1)处理管理员客户请求；2)核对验证信息，以及如果需要，要求客户提供更多的信息；3)将管理员客户信息传送给验证组件945(图9)用于验证；4)核对验证组件945的返回结果；5)在初始登录成功后建立会话；6)执行各种服务器认证任务(如上所述)；7)根据从验证组件945返回的结果以及所请求的服务器认证任务，为表示层1025准备响应以便提交给服务器管理员830(图8)；8)请求监视/报告/记录服务组件950(图9)记录有意义事件；以及
9)在接收管理员注销请求，或超时后，清除会话。
在优选的PXa3服务器设计中，服务器管理员访问是有状态的。因此，服务器管理员访问会话组件是有状态的。
(d)辅助组件的商业逻辑层。参考图9，验证组件945、监视/报告/记录服务组件950以及记费/审计服务组件955的每一个执行在商业逻辑层1035中所有的它们的各自的功能。这些功能描述如上。
如此前所提到的，本发明的优选实施例在PXa3应用服务器805中使用三个环球网应用程序。这三个环球网应用程序在同样的Java虚拟机(“JVM”)内的不同虚拟存储地址空间中运行。在某些情况下，这些环球网应用程序需要彼此相互作用。在一个应用程序将一条信息存储在数据库中以及另一应用程序为该信息查询该数据库的意义上，一些交互作用可以是静态的。然而，通常应用程序必须与另一应用程序动态通信。在这种情况下，应用程序需要通知另一应用程序有关可能影响执行那个另一应用程序的状态改变。为此，在本发明的优选实施例中，使用J2EE平台的Java消息服务(JMS)来实现环球网内的应用程序通信。
(3)数据访问层数据访问层1035是存储持久数据的地方。在优选实施例中，数据访问层为同时多个域提供支持来驻留在单一(或多个)数据库服务器中，以便实现协同定位设备所要求的商业上效率高和可升级的配置。如果为了性能或安全原因，用户希望内部操作服务，那么可将单一域配置在单一数据库服务器中。
在优选实施例中，令牌生成是批处理。最好将成员令牌122(图2和8)存储在特殊设计、安全文件系统中。同时在优选实施例中，以加密形式存储所有特定域的敏感信息。每次处理查帐索引时，通过使用如固有的Oracle数据库修改机制俘获旧值和新值来修改数据库。如上所述，优选实施例包括提供有关连接、令牌请求(包括如用于成员保护、时间戳、连接以及适合的令牌)以及认证改变的历史记录的监视/报告组件950(图9)。
在优选实施例中，存储在数据层1035中的数据分为四种类型(a)服务器配置信息；(b)域信息；(c)成员资格信息；以及(d)成员令牌。为一种类型的数据，为有效和保密数据访问，开发单独的数据访问组件。
(a)服务器配置信息。在优选实施例中，以及与其他信息相比，将服务器配置信息存储在各种文件中。当启动服务器时，将这些文件中的配置特性载入存储器。在载入存储器后，将一些特定应用信息存储在广泛应用的存储器如伺服小程序上下文中。通过将服务器配置信息存储在文件而不是数据库中，减少了任何因数据库故障而造成的服务器故障的风险。
(b)域信息。在优选实施例中，可将域信息存储在数据库表或ACL配置文件中。也有可能使用Java网络目录界面(“JNDT”)存储该信息。
(c)成员资格信息。在优选实施例中，将成员资格信息存储在数据库表中。根据用户请求和本发明的特定实现，在多个域支持的情况下，用于不同域的成员资格信息数据库可在相同数据库、相同数据库服务器或单独机器的单独数据库的单独的表中。数据库访问应当是基于事务的，建议将Java事务服务(“JTS”)用作数据访问机制。这将确保多个服务器的多个并行的用户访问的数据完整性和数据一致性。然而，本领域的普通技术人员将意识到通过任何良好设计和开发的数据库访问机制，将降低开发和维护劳动强度。
(d)成员令牌。如上所述，优选实施例按批处理实现令牌生成，而不是实时处理，以便避免令牌生成的性能瓶颈。因此，当域管理员请求创建成员令牌时，首先排列该请求。再参考图8，令牌生成器815稍后核对队列并创建令牌(在下面将进一步描述令牌生成的方法)。在优选实施例中，令牌生成器815还负责将新生成的令牌存储在数据库服务器810的安全令牌存储器中。如上所述，优选实施例采用TECSEC CKM5.1产品作为令牌提供者817。令牌生成器815从个人的成员帐户信息(包括成员(访问许可)安全简档表120)创建成员令牌文件并将其以加密的形式存储在数据库服务器810的安全令牌存储器中。最好，将成员令牌存储在特殊设计的文件系统中。因此，定义内部令牌存储标准以便令牌生成器815和成员访问和令牌检索组件930(图9)能遵循同样的数据库约定。
数据库810也存储所有有关单个的成员令牌122(图8)的可用性的信息。当成员令牌可用并可用于检索时，成员访问和令牌检索组件930(图9)检索令牌并将其传送给请求的成员。
2.成员客户机设计在优选实施例中，将管理员客户机实现设计成使用用于域管理机构、工作组管理员、服务器管理员以及安全官功能的商业上可获得的浏览器。然而，成员客户机应用最好使用特殊采用的设计。尽管在优选实施例中，域管理员(域管理机构125和工作组管理员145)不必需要具有驻留在他们的本地计算机设备上的用于认证功能的成员客户机应用850，管理员可能需要它，如果他们常希望加密或解密文件，因为为了加密能力，需要安全简档表120(以及相关的成员令牌122)。然而，在其他方面，基于浏览器的实现足以用于认证功能和他们相关的安全级要求(如上所述)，而可升级能力不太重要。
在优选实施例中，所有客户机连接遵循HTTPS标准，以及经在线用户界面由成员输入的表格提交获得客户请求。另外，除SSL加密外，通过预定义的加密密钥选择，在应用级可选地加密所有PXa3客户机-服务器传输数据，并且在应用级将没有密钥交换过程。
同时在优选实施例中，将PXa3成员客户程序包封装到自解压的Win32可执行安装文件中，以便成员经环球网能下载和执行该安装文件。理论上，程序包安装进程记录对成员客户机系统所做的改变，以便程序包删除进程能撤消那些改变。程序包安装进程也将PXa3令牌提供者组件(下面将进一步描述)拷贝到适合的目的路径，并安装所有需要的Windows注册表以及桌面快捷方式。程序包安装的最后步骤将起动成员客户应用程序。
在图11中示出了整个客户机结构和它的主要元件关系的一个实施例。工作组管理员140(图2)一在PXa3环球网站点305(图2)建立他或她的成员帐户300(图2)，就可由成员105(图2)下载PXa3成员客户应用程序(系统)850。成员客户应用850包含CKM运行时间环境(包括加密库和功能)855以及PXa3令牌提供者860。PXa3令牌提供者860进一步包括(a)令牌检索组件861，便于成员访问和服务器通信功能；(b)会话定义组件870，提供令牌有效期；以及(c)CKM令牌提供者组件875，启用加密和解密功能并提供令牌文件处理。
成员客户应用850也与类属对象加密机856一起工作，类属对象加密机执行数据对象加密和解密以及各种应用插入857和其他应用858。在优选实施例中，类属对象加密机856将加密和解密任何数据对象类型，但不处理小于完整文件的对象。然而，将插入设计成在特殊应用，如Microsoft Word中工作，以便可将对象指定为标准文件的子集部分，并在本发明的细粒度承诺下递送。同时成员客户应用最好包括验证组件880，用于在成员客户机系统级上管理用户验证过程，以及用户界面组件885。
在优选实施例中，成员客户应用850的CKM令牌提供者组件875利用在前提到过的，由TECSEC提供的商业可获得的CKM应用，执行ANSI X9.69加密标准。在成员客户应用的优选实施例中，TECSEC产品提供用于CKM运行时间环境(“RTE”)855和CKM令牌提供者875的软件。该商业可获得的产品提供CKM运行时间环境，包括(a)实用软件，允许成员本地管理他们的成员令牌；(b)实用软件，加密/解密用户CKM文件；(c)TECSEC专用令牌提供者软件，用作优选实施例的CKM令牌提供者组件875；以及(d)专用TECSEC运行时间库和工具，用于开发TECSEC产品和PXa3成员客户应用的特殊实现间的工作界面。
同时在优选实施例中，称为“PXa3会话管理器”865的组件管理从PXa3服务器系统800的安全中央存储器810到成员客户系统经安全递送信道检索成员令牌122(图8)。如上所述，将TECSEC CKM产品用作服务器系统800的令牌生成器815(图8)的CKM令牌提供者817(图8)，加密、散列然后存储成员令牌文件。令牌文件包括对本发明的具体实现是特定的并包含成员访问许可安全简档表120(图2)的成员帐户信息。成员客户应用850也包括成员令牌期满机制(下面将进一步描述)。
PXa3成员客户应用850的成员验证组件880当涉及PXa3令牌提供者860中的登录功能时初始化验证(使用在前描述过的任何一种验证方案)。为减轻PXa3服务器系统800的负担，根据特殊建立的域政策，PXa3成员客户应用850也执行算法来防止不正确密码用在验证过程中。例如，在某些次错误密码攻击后，拒绝成员令牌检索请求直到一定的经过时间。
在成功验证的基础上，如果在客户系统中没有物理存在的成员令牌，或如果现有的成员令牌已经过期，PXa3会话管理器865将试图经Internet330从PXa3服务器系统800检索成员最新的令牌。在这种情况下，至少将下述数据发送到PXa3服务器系统以便经“检索令牌请求”限定新成员令牌的检索1)成员域名，表示该成员属于那个域；2)用户ID和/或密码，为了验证识别用户；以及3)序列号，唯一标识成员客户机系统(以及在成员客户程序包安装期间创建)尽管优选实施例包含经会话管理器865的自动令牌检索，成员也可人工请求经某些其他的便利工具，如由商业TECSEC CKM产品提供的工具加载成员令牌122是可能的。在带内产生用于成员令牌的请求一换句话说，使用目前在成员客户系统上运行的同样的应用程序启动请求(由用户手动或由PXa3会话管理器自动)，以及在与由PXa3系统使用的相同的通信网络连接上传送请求来在网络上分配加密的数据对象/数字内容。
另外，在本发明的优选实施例中，从成员客户机到PXa3服务器系统至少有两种类型的请求一个类型是“检索令牌请求”，如上所述，另一种类型是“改变密码请求”。如上所述，“检索令牌请求”可由PXa3会话管理器自动或由成员手动发送。提供“改变密码请求”以允许成员按需改变他或她的密码。该请求通过新密码，确认密码以及上述列出的包括包含在“检索令牌请求”中的信息的所有参数。如果“改变密码请求”成功，PXa3服务器系统实际上返回新成员令牌和更新的密码。其他实施例提供另外类型的客户-服务器请求(例如，为了恢复遗忘的密码，由成员启动的“恢复请求”)。
在优选实施例中，成员客户应用包括表示成员令牌检索进度的进度表。如果PXa3会话管理器865和PXa3服务器系统800间的成员令牌检索通信断开，尝试自动重试。在成功成员令牌检索后，成员令牌将存储在适当定义的位置中，以及适当的Windows注册表修改。在优选实施例中，在能用作由成员加密/解密前，将包括加密成员安全简档表信息的检索的成员令牌“包”在确认TECSEC CKM产品的软令牌要求的数据对象中。
3.PXa3会话期满在来自PXa3服务器系统的用于成员令牌的第一请求的基础上打开PXa3会话。在PXa3客户系统中的成员令牌的操作期间，会话保持建立(并由此定义)。在令牌期满时终止会话。在本发明的优选实施例中，有三级可修改成员令牌期满(a)在域管理机构级；(b)在工作组管理员级；以及(c)在成员级。每级根据下述的一个或多个标准来支持成员令牌期满1)对加密数据对象的特定的访问量(例如，在内容出售的环境中的免费试用)；2)成员令牌是否是驻留RAM或存储在用户客户系统的非易失性存储器中(即，即使在已经关闭激活的CKM应用后，根据关闭激活的CKM应用与用于将来使用的令牌的持久性的令牌期满；3)经过时间；或4)按需刷新(即，由成员明确地做出终止令牌的命令)。
在优选实施例中，如果在任何一级满足这些期满标准的任何一个，则确定终止成员令牌。在期满的基础上，刷新并从成员客户系统删除成员令牌，以及由PXa3会话管理器自动发出新令牌检索请求。如果仍然确定终止最新检索到的令牌，那么也刷新和删除那个令牌，以及直到配置的经过时间过去后不再发生新的令牌检索请求。
另外，一个实施例支持包括按固定日期或天数和小时数的“成员漫游”的令牌期满机制。根据由管理员时区感知的日期和时间测量日期和天数。
虽然上述描述了多个优选实施例和本发明的实现方式，本领域的普通技术人员将意识到用于在此描述的基于环球网应用服务模型的一般技术的其他实施例和实现方式是可能的。因此确定本发明的范围仅由下述附加权利要求书限定。
权利要求
1.一种用于通过分散公用网向多个网络用户提供加密能力的方法，该方法包括(a)接收代表网络用户的访问许可安全简档表的请求；(b)验证请求；(c)创建用在形成用于允许网络用户解密选择的部分加密对象以及加密选择的部分明文对象的加密密钥中的访问许可安全简档表；以及(d)通过网络安全地将访问许可安全简档表发送给网络用户。
2.如权利要求1所述的方法，其特征在于，创建步骤包括(i)识别将具有加密能力的一个或多个网络用户群；(ii)为每个群建立一个或多个访问码，其中每个访问码适合与其他组分结合来形成加密密钥；以及(iii)为每个网络用户创建一个或多个安全简档表，其中每个安全简档表至少包含一个访问码。
3.如权利要求2所述的方法，其特征在于，每个群是类别、组织、组织单元、职务、工作计划、地理位置、工作组或域。
4.一种用于通过分散公用网向多个网络用户提供解密能力的方法，该方法包括(a)接收代表网络用户的解密能力的请求；(b)验证请求；(c)创建用在形成用于允许网络用户解密加密对象的加密密钥中的访问许可安全简档表；(d)从用户接收与加密对象有关的信息；(e)使用访问许可安全简档表和接收的与加密对象有关的信息生成加密密钥；以及(f)通过网络安全地将加密密钥传送给网络用户。
5.如权利要求4所述的方法，其特征在于，创建步骤包括(i)识别将具有加密能力的一个或多个网络用户群；(ii)为每个群建立一个或多个访问码，其中每个访问码适合与其他组分结合来形成加密密钥；以及(iii)为每个网络用户创建一个或多个安全简档表，其中每个安全简档表至少包含一个访问码。
6.如权利要求5所述的方法，其特征在于，每个群是类别、组织、组织单元、职务、工作计划、地理位置、工作组或域。
7.一种用于通过分散公用网加密地将信息安全地分配给多个网络用户的方法，该方法包括(a)创建包括一个或多个嵌入对象的计算机可表示的数据对象；(b)选择要加密的数据对象的一个或多个嵌入对象；(c)加密选择的嵌入对象；(d)创建一个或多个访问许可证书；(e)为每个选择的嵌入对象指定访问许可证书，其中访问许可证书确保仅授权的用户能解密数据对象的加密嵌入对象；(f)授权用户；以及(g)通过网络传送数据对象。
8.如权利要求7所述的方法，其特征在于，信息是数据内容。
9.如权利要求7所述的方法，其特征在于，授权步骤包括(i)接收代表网络用户的访问许可安全简档表的请求；(ii)验证请求；以及(iii)通过网络安全地将安全简档表传送给网络用户。
10.如权利要求7所述的方法，其特征在于，授权步骤包括(i)通过网络将代表网络用户的访问许可安全简档表的请求发送给中央服务器系统；(ii)在中央服务器系统接收请求；(iii)验证请求；以及(iv)通过网络安全地将安全简档表从服务器系统传送到网络用户。
11.如权利要求7所述的方法，其特征在于，授权步骤是自动的并根据所采用的用户拥有的安全简档表。
12.如权利要求7所述的方法，其特征在于，加密步骤包括(i)识别将允许访问将加密的数据对象的网络用户群；(ii)由证书类别集生成适合的加密证书密钥，所述证书密钥与网络用户群有关；(iii)至少由域组分、维护组分以及伪随机组分生成加密工作密钥；(iv)用工作密钥加密数据对象；(v)用证书密钥加密伪随机组分；以及(vi)将加密的伪随机组分与加密的数据对象关联。
13.如权利要求7所述的方法，其特征在于，通过下述步骤创建访问许可安全简档表(i)识别将具有加密能力的一个或多个网络用户群；(ii)为每个群建立一个或多个访问码，其中每个访问码适合与其他组分结合来形成加密密钥；以及(iii)为每个网络用户创建一个或多个安全简档表，其中每个安全简档表至少包含一个访问码。
14.如权利要求13所述的方法，其特征在于，每个群是类别、组织、组织单元、职务、工作计划、地理位置、工作组或域。
15.如权利要求1、4或9所述的方法，其特征在于，通过网络由网络用户带内启动请求。
16.如权利要求1、4、9、10或11所述的方法，其特征在于，访问许可安全简档表是以可适用于期满的令牌的形式。
17.如权利要求1、4、9或10所述的方法，其特征在于，验证步骤包括使用生物识别。
18.如权利要求1、4、9或10所述的方法，其特征在于，验证步骤包括使用硬件令牌。
19.如权利要求1、4、9或10所述的方法，其特征在于，验证步骤包括使用软件令牌。
20.如权利要求1、4、9或10所述的方法，其特征在于，验证步骤包括使用用户密码。
21.如权利要求1、4、9或10所述的方法，其特征在于，验证步骤包括使用做出该请求的时间记录。
22.如权利要求1、4、9或10所述的方法，其特征在于，验证步骤包括使用用户物理位置的记录。
23.一种用于控制访问保密系统的方法，该方法包括(a)选择将保密的一个或多个系统部分；(b)创建一个或多个系统用户群，所述群规定将允许哪些用户访问系统的那些保密部分；(c)为每个群建立一个或多个访问码；(d)为系统的保密部分指定访问码，其中每个访问码适合与其他组分结合来形成用于控制访问系统的一个或多个保密部分的密钥；(e)保密访问码；以及(f)通过分散公用网将保密访问码分配给将允许访问系统的一个或多个选择部分的系统用户。
24.如权利要求23所述的方法，其特征在于，保密系统是物理系统。
25.如权利要求23所述的方法，其特征在于，保密系统是计算机网络。
26.如权利要求23所述的方法，其特征在于，保密访问码是至少部分通过生物识别保密。
27.如权利要求23所述的方法，其特征在于，保密访问码是至少部分通过软令牌保密。
28.如权利要求23所述的方法，其特征在于，保密访问码是至少部分通过硬件令牌保密。
29.如权利要求23所述的方法，其特征在于，保密访问码是至少部分通过密码保密。
30.如权利要求23所述的方法，其特征在于，保密访问码是至少部分通过使用做出请求的时间记录保密。
31.如权利要求23所述的方法，其特征在于，保密访问码是至少部分通过使用用户的物理位置记录保密。
32.一种用于通过分散公用网管理多个网络用户的加密能力的方法，该方法包括(a)识别用于规定哪些用户将具有加密能力的一个或多个网络用户群；(b)为每个群中的每个网络用户创建成员帐户；(c)执行与维护单一数据库中的成员帐户有关的认证任务；(d)为每个群建立一个或多个访问码，其中每个访问码适合与其他组分结合来形成加密密钥；(e)为每个群中的每个网络用户创建一个或多个安全简档表，其中将每个安全简档表存储在用户成员帐户中并至少包含一个访问码；(f)生成与每个安全简档表有关的成员令牌；(g)保密安全简档表以及相关的成员令牌；以及(h)根据验证的请求以及根据每个单个用户安全简档表，通过网络将成员令牌分配给单个网络用户。
33.如权利要求32所述的方法，其特征在于，建立步骤进一步包括创建用于规定基于职务的访问许可的证书和加密算法。
34.如权利要求32所述的方法，其特征在于，执行步骤是通过分散公用网远程实现的。
35.如权利要求32所述的方法，其特征在于，创建步骤是通过分散公用网远程实现的。
36.如权利要求32所述的方法，其特征在于，创建和分配步骤是自动实现的。
37.如权利要求32所述的方法，其特征在于，认证任务包括报告成员活动、系统事件以及记费活动。
38.如权利要求32所述的方法，其特征在于，认证任务包括增加成员帐户、删除成员帐户以及更新成员帐户。
39.如权利要求32所述的方法，其特征在于，每个群是类别、组织、组织单元、职务、工作计划、地理位置、工作组或域。
40.如权利要求32所述的方法，其特征在于，安全简档表和成员令牌是至少部分通过生物识别保密。
41.如权利要求32所述的方法，其特征在于，安全简档表和成员令牌是至少部分通过软令牌保密。
42.如权利要求32所述的方法，其特征在于，安全简档表和成员令牌是至少部分通过硬件令牌保密。
43.如权利要求32所述的方法，其特征在于，安全简档表和成员令牌是至少部分通过个人身份号码保密。
44.如权利要求32所述的方法，其特征在于，安全简档表和成员令牌是至少部分通过使用时间记录保密。
45.如权利要求32所述的方法，其特征在于，安全简档表和成员令牌是至少部分通过使用用户的物理位置记录保密。
46.一种用于通过分散公用网认证和分配加密能力的中央安全管理系统，该系统包括(a)一组服务器系统；(b)一组成员域，其中在至少一个服务器系统上维护每个成员域；(c)与维护成员域组有关的一组系统维护任务；(d)一个或多个系统管理员，用于执行系统维护任务组；(e)一组成员，其中经成员帐户将每个成员至少与一个成员域关联；(f)一组成员安全简档表，其中每个安全简档表唯一与成员帐户关联并向与成员帐户关联的成员提供加密能力；(g)一组认证任务，与维护成员帐户组关联；(h)一组域管理员，用于通过网络远程执行认证任务。
47.如权利要求46所述的系统，其特征在于，每个成员帐户包括用于成员识别和验证的装置。
48.如权利要求46所述的系统，其特征在于，至少一个服务器系统包括用于成员识别和验证的装置。
49.如权利要求46所述的系统，其特征在于，每个成员帐户与单一成员有关。
50.如权利要求46所述的系统，其特征在于，认证任务组包括报告和与每个成员帐户有关的记帐任务。
51.如权利要求46所述的系统，其中根据不同级的认证任务，将管理员分成分层结构群。
52.一种用于通过分散公用网将加密能力分配给多个网络用户的中央安全管理系统，该系统包括(a)多个成员令牌，用于向验证过的分散公用网用户提供加密能力；(b)一组服务器系统，用于管理分配成员令牌；(c)用于从至少一个服务器系统请求成员令牌的装置；(d)一组客户机系统，其中每个客户机系统包括(i)用于接收请求的成员令牌的装置，以及(ii)用于利用由所述每个成员令牌提供的加密能力的装置；以及(e)用于通过分散公用网安全地将请求的成员令牌从至少一个服务器系统分配给至少一个客户机系统的装置。
53.如权利要求52所述的系统，其特征在于，每个客户机系统进一步包括用户验证装置。
54.如权利要求52所述的系统，其特征在于，用于请求成员令牌的装置驻留在每个客户机系统上。
55.如权利要求52所述的系统，其特征在于，用于验证用户的装置驻留在至少一个服务器系统上。
56.如权利要求52所述的系统，其特征在于，管理成员令牌的分配包括动态更新成员令牌。
57.如权利要求1、4、7、23、32、46或52所述的方法，其特征在于，分散公用网是Internet。
58.如权利要求1、4、7、23、32、46或52所述的方法，其特征在于，分散公用网是蜂窝电话网。
全文摘要
本发明结合加密密钥管理技术与各种验证选择和使用在称为PXa
文档编号H04L29/06GK1457587SQ01815637
公开日2003年11月19日 申请日期2001年8月15日 优先权日2000年8月15日
发明者威廉·B·斯威特, 约翰·J·于 申请人:维亚克沃公司