具有鉴别功能的服务器及鉴别方法

专利名称：具有鉴别功能的服务器及鉴别方法
技术领域：
本发明涉及一种用于在电子商务和其他经由网络的通信中进行用户识别的方案。
背景技术：
近些年来，设计并使用了很多措施以防止象电子商务中的欺骗这样的欺骗行为。
例如，日本专利特开平No.2004-013831描述了一种技术，在该技术中，当用户登录服务器时，在使用密码等鉴别用户之后，在登录期间，诸如指纹这样的用户的生物信息连续地从用户终端传输到服务器，以便在整个登录过程中防止欺骗。
尽管这种方案因为使用了每个用户唯一具有的生物信息，从而可以有效地防止欺骗，但是根据这个方案的系统的不便在于，它的成本较高。
根据日本专利特开平No.2003-188873中描述的一个系统，用户终端从鉴别服务器获取一个已经在其中并入标识符的数字证书，所述标识符是用户终端内硬件设备唯一具有的，例如MAC(媒介访问控制)地址。当在用户终端试图使用数字证书来进行电子商务会话等等时，只有在比较之后，当并入数字证书的硬件标识符与从用户终端内的硬件获取的硬件标识符相匹配时，才允许该会话。因此，根据这个系统，可以防止使用欺骗获取的数字证书。
然而，这个系统对于用户也是不便的，因为限制了用户可以使用的终端。
数字签名在用户识别或鉴别系统中被广泛应用，它使用公共密钥基础设施(PKI)，例如在上述日本专利特开平No.2003-188873中描述的。通常通过存储在用户终端的密钥对或数字(或公共密钥)证书，或者通过用户携带的IC卡中保存的私有密钥和数字证书的组合来执行基于数字签名的用户识别。虽然传统的用户鉴别方案如果正确操作，可以是有效的，但是这些方案的不便在于，如果第三方通过窃取等方式获得了密钥对文件或IC卡，那么欺骗性的使用是可能的，而且实际上这也是很容易的。

发明内容
本发明提供了一种方案，该方案防止欺骗性地使用被盗用的工具，例如密钥对或IC卡，其包含了由用户使用的用于鉴别的私有密钥。
根据本发明的一个方面，提供了用于鉴别用户的服务器。该服务器具有接收单元，识别邮件发送单元和鉴别控制部分。接收单元接收来自用户的鉴别请求。识别邮件发送单元将识别邮件发送给用户。识别邮件识别用户是否是一个合法用户。当识别邮件识别出用户不是合法用户时，不管鉴别请求上的数字签名是否正确，鉴别控制部分都判定鉴别请求失败。
附图简述将基于下列附图详细描述本发明的实施例，其中

图1是示出结合本发明的系统的第一实施例的功能方框图；图2示出了在第一实施例的系统中执行的用户鉴别处理的流程；图3是示出当合法用户请求鉴别时，由第一实施例的系统执行的操作的图示；图4是示出当非法用户请求鉴别时，由第一实施例的系统执行的操作的图示；图5是示出一种系统结构的图示，在该结构中，识别邮件被发送到用户的便携式邮件终端；以及图6是示出根据本发明的附加实施例的用户鉴别处理的流程的图示。
具体实施例方式
将参照附图描述本发明的实施例。
图1是示出结合本发明的系统的第一实施例的功能方框图。
客户端PC10是由用户操作的计算机设备。客户端PC 10具有证书数据库12，用户的公共密钥证书(以下简称为“证书”)和相应的私有密钥记录在其中。PKI处理器14是一个执行关于PKI(公共密钥基础设施)内安全的处理的功能模块。尽管这个处理可以包括以下处理执行将数字签名附加到数据上的处理，验证附加到数据上的数字签名，编码数据，解码数据，但是PKI处理器14可以不必执行所有的这些处理。PKI处理器14可以包括SSL(安全套接字层)和S/MIME(安全的多用途网际邮件扩充协议)协议，而没有限制。客户端PC 10中的应用程序可以使用PKI处理器14，以便对付在经由网络30(例如互连网)与一个装置(比如服务器机器20)进行通信期间的欺骗、窃听等威胁。作为在客户端PC 10中使用的应用程序的一个实例，图1示出了用于发送和接收电子邮件的邮件客户端16，以及使用HTTP(超文本传输协议)执行处理的web客户端(例如web浏览器)18。这些实例是不受限制的，也可以使用其他的应用程序。
服务器机器20是一个通过网络30为客户端PC 10提供服务的计算机设备。由服务器机器20提供的服务的实例是由图1中所示的web服务器24提供的web页面和web应用程序。其他的实例包括根据FTP(文件传输协议)的文件传输服务以及许多其他服务。根据本实施例的服务器20的一个典型的特点涉及用于用户(客户端)鉴别目的的处理的功能和内容(稍后详细描述)，并且这个特点基本上不依赖于由服务器机器20向客户端PC 10提供的服务的类型。
服务器机器20中的密钥对管理器21已经在其中存储了服务器机器20自身的一对公共密钥和私有密钥。可以存储替代公共密钥的，包含该公共密钥的公共密钥证书。与客户端PC 10的PKI处理器14类似，服务器机器20的PKI处理器22执行PKI内的处理。
web服务器24是将web页面数据提供给客户端PC 10的服务器。web服务器24可以通过利用web页面作为用户接口(UI)来接收来自用户的指令，并且使用CGI(公共网关接口)技术提供与该指令相应的服务。该服务的实际处理是由服务处理器27执行的。因为由服务处理器27提供给用户的服务的内容基本上与本发明的本质不相关，因此省略对其的解释。
邮件服务器23被用于将识别邮件(在下边详细描述)发送给用户。
证书地址解释器25从接收自客户端PC 10的证书中读取用户的电子邮件地址，该用户是这个证书的主体。
识别邮件处理器26响应来自用户的用户鉴别请求，将一个识别邮件发送到用户的邮件地址，该识别邮件用于确认是否请求实际上是由该用户发起的。识别邮件处理器26进一步执行由该邮件发送触发的用户识别处理。后面将描述用户识别处理的具体实例。
图2示出了用户鉴别处理的流程。接下来参照使用SSL的客户端鉴别的实例来进行描述。
首先，客户端机器10的web客户端18访问一个web页面的URL，该页面位于服务器机器20的web服务器24中并需要客户端鉴别(S10)。该访问使用HTTPS(安全超文本传输协议)执行。
被访问的web服务器24使用PKI处理器22的协议将对鉴别数据的请求发送到web客户端18(S20)。按照这种方式，与由web服务器24请求的鉴别相关的处理实际上是由PKI处理器22执行的。然而，为了便于解释，这个处理可以在下文中被简称为“由web服务器24执行”。这也同样适用于对web客户端18的描述。
在S20请求的鉴别数据包含了用户的证书以及用户的数字签名，它们与在S20做出请求时发送到web客户端18的消息(Hello消息)相关。为了应对有多个用户证书记录在证书数据库12的情况，优选地，可以在屏幕上显示证书列表，以便使用户从该列表中选择一个证书。这种情况下，在S20提供一个web页面UI，用于做出选择。如果使用用户的IC卡，那么由装备在客户端PC 10的读卡器读取该IC卡。IC卡中保存的用户的证书被拷贝至证书数据库12中，然后显示在证书列表中。
一接收到对鉴别数据的请求，web客户端18就请求PKI处理器14使用用户的私有密钥将数字签名附加到在S20接收到的Hello消息上。随后，web客户端18将一对消息作为鉴别数据回发给web服务器24(S12)，所述消息是PKI处理器14根据web客户端的请求以及从证书数据库12获取的用户证书进行签名并返回的。
如果由web服务器24提供用于选择证书的web页面，那么web客户端18在S12将该web页面显示在客户端PC 10的屏幕上。该web页面显示了存储在证书数据库12中的证书的列表，并且已经在其中并入了根据JavaScript(商标)的输入模块，例如，用于接收用户选择的输入。通过这些输入模块，用户选择将要使用的证书。然后，PKI处理器14使用与所选的证书相对应的私有密钥，对上述hello消息签名。web客户端18将所述已签名的消息和所选的证书作为鉴别数据发送到web服务器24(S12)。
在传统的SSL鉴别会话中，接下来，web服务器24将通过使用包含在鉴别数据中的公共密钥证书内的公共密钥，验证附加到包含在鉴别数据中的消息上的数字签名来执行用户鉴别。相对照地，根据本实施例，在验证签名之前，将发送一个识别邮件到发起鉴别请求的用户的邮件地址以便执行用户识别。这个处理由步骤S24-S28执行。需要注意的是，包含上述步骤S10，S20和S12的HTTPS会话与基于数字签名的鉴别处理的前半部分相对应。
步骤S24-S28的处理由识别邮件处理器26执行，以响应来自PKI处理器22的请求。该处理的细节在下边进行描述。
在S24，证书地址解释器25从自web客户端18接收的证书获取用户的邮件地址。典型地，用户的(主体的)邮件地址在证书中的RFC3280(RFC2459的新版本)扩展框架(extended profile)中的主体域或者在主体别名域中的被列出。这个邮件地址在S24被读出。
在S26，创建一个将被发送到读出的邮件地址的识别邮件，并创建一个用于用户识别的web页面(称作“识别页面”)。
需要注意的是，识别页面的地址(URL)是一个临时地址，每次从用户接收到鉴别请求都会动态地生成临时地址(在S10)。使用临时地址以便使那些视图欺骗的人更难获知或猜到识别页面的URL。例如，识别页面的URL可以通过从由web服务器24管理的域内的预订范围中随机地选择来设置。识别页面的内容可以是任何形式的，只要接收识别邮件的用户可以进行输入来确认S10的鉴别请求实际上是由该用户发送的就可以。例如，识别页面可以显示一个消息，例如“产生一个鉴别请求。您允许该请求吗？”，同时显示允许或者拒绝该请求的GUI(图形用户界面)控制。
识别页面的URL在创建的识别邮件的文本等等中列出，所述识别邮件被发送到在S24获取的邮件地址。识别邮件可以包括这样的信息，例如“访问以下URL以执行用户识别”。当这个邮件被用户接收时，当这个邮件被邮件客户端16显示时，用户可以通过例如点击在显示屏上示出的识别页面的URL来访问该识别页面。然后，用户可以表明允许或禁止鉴别请求的意愿。需要注意的是，创建识别页面的步骤和获取邮件地址的步骤的执行顺序不限于以上所描述的。
当识别页面和识别邮件创建后，识别邮件被转交给邮件服务器23并被发出(S28)。
当执行上述识别邮件处理时(S24-S28)，web服务器24鉴别指令web页面发送到客户端PC 10的web客户端18，所述页面包括一个消息和一个GUI按钮(称为“鉴别按钮”)，其中，所述消息说明使用识别邮件的识别处理被执行，所述GUI按钮用于命令起动使用数字签名的鉴别处理(S22)。这个页面中示出的消息可以是，例如，“一个用于用户识别的邮件正被发送给你。在接收到该邮件并执行识别处理后，请点击‘鉴别按钮’”。使用该消息，能够将鉴别处理的当前过程通知给web客户端18的用户，同时建议用户执行关于识别邮件的识别处理。
当用户接收到识别邮件时，用户查看由邮件客户端16显示的识别邮件，并且访问邮件中指出的URL(S14)。作为响应，服务器机器20中的web服务器24将对应于该URL的识别页面发送到web客户端18(S30)。随后，web客户端18在屏幕上显示该识别页面。如果用户判定在识别页面示出的消息中提及的鉴别请求是由用户自己发起的，那么用户点击识别页面中示出的“允许鉴别”按钮。另一方面，如果鉴别请求不是由识别邮件的接收者发起的，那么接收者点击“禁止鉴别”按钮。当“允许鉴别”按钮或者“禁止鉴别”按钮被点击时，web客户端18将指示被点击的按钮的信息发送给web服务器24(S16)。需要注意的是，通过执行上述包括S14，S30，S16和S32的作为HTTPS会话的用户识别会话能够提高安全性。
当web服务器24接收到关于所述识别页面的用户输入时，如果输入是“禁止鉴别”，那么web服务器24判定涉及当前鉴别请求的用户鉴别失败，也就是说，请求鉴别的人不是合法用户(S32)。然后，web服务器24将包含指示鉴别失败的消息的web页面发回web客户端18，并且终止响应鉴别请求所执行的处理。另一方面，如果关于识别页面的用户输入是“允许鉴别”，那么处理将继续到图2所示的鉴别处理的后半部分(S32)。当输入“允许鉴别”时，一个显示诸如“点击鉴别指令页面中的‘鉴别按钮’”的消息的web页面可以被提供给web客户端18，以便建议用户继续鉴别会话。
在鉴别会话的后半部分中，当用户点击鉴别指令页面中指出的“鉴别按钮”时(S18)，这个操作的内容将从web客户端18发送到web服务器24。作为响应，PKI处理器22恢复被中断的SSL客户端鉴别处理(S34)，并且使用用户的公共密钥证书内的公共密钥来验证在S12接收的鉴别数据中的用户的数字签名。通过验证，如果数字签名被判定为是用户自己的，那么PKI处理器22判定用户鉴别处理成功，并将这个判定传达给web服务器24。在这种情况下，因为用户鉴别处理成功，所以从服务处理器27向用户端提供服务。另一方面，如果数字签名被判定为不是用户自己的，那么用户鉴别处理被判定为失败，并且一个指示失败的web页面被发送给web客户端18。
当用户在S16回应识别邮件发送响应以允许鉴别之前，点击在S22提供的鉴别指令页面中的鉴别按钮时，web服务器24可以判定用户鉴别处理失败，或者，web服务器24可以忽略先前的鉴别按钮响应，并提供一个web页面给web客户端18，用于邀请用户再次执行基于识别邮件的用户识别操作。
在图2所示的过程中，在识别邮件触发用户识别处理之前，包含鉴别按钮的鉴别指令页面被发送到用户端(S22)，所述鉴别按钮用于命令基于数字签名的鉴别会话处理继续进行。可替代地，当在用户识别会话期间，在S32确认用户识别之后，一个类似的包含鉴别按钮的鉴别指令页面可以被发送到用户端。
进一步的，根据图2所示的过程，在S20web服务器24发送一个hello消息到web客户端18，然后在S12，用户的证书和由用户签名的hello消息被从web客户端18发回到web服务器24。然而，鉴别处理流程不只限于以上所述。作为替代方案，步骤S20和S12可以只包括请求证书以及提交证书到服务器作为响应。在这种情况下，当在S32确认用户识别之后，在S34从服务器发送hello消息，并且随后用户对该hello消息进行签名并且发回该消息来接收鉴别。
此外，尽管根据图2的过程，在用户通过识别页面手工输入“允许鉴别”之后，由服务器机器20验证从客户端PC 10这端提交的数字签名，但是这个处理流程不是必要的。可替换地，例如，可以执行以下步骤序列。即，可以在使用识别邮件和页面进行用户识别处理期间同时执行并完成数字签名的验证。即使当验证成功时，该成功也要被保持在一个待定状态以避免立即判定用户鉴别成功。随后，当用户通过识别页面输入“允许鉴别”时，使保持在待定状态的用户鉴别结果有效以判定鉴别成功。根据这个顺序，如果验证数字签名失败，那么不需要等待来自识别页面的输入就可以判定鉴别失败。通过这个处理顺序可以获得与通过图2的过程获得的优点等同的优点。
参照图3和图4，将在下面描述通过本实施例获得的优点。
首先参照图3说明一个合法用户试图接收用户鉴别的例子。
当(1)合法用户A使用用户自己的证书(和私有密钥)从已经安装了用户证书120和私有密钥122的客户端PC 10发送用户鉴别请求到服务器机器20时，(2)服务器机器20发送一个识别邮件到证书中指明的邮件地址。在这种情况下，识别邮件被发送到合法用户A拥有的邮件地址。因此，用户A看到由邮件客户端16显示的邮件，并且(3)访问邮件中指明的识别页面的URL，以便执行用户识别。在这个用户识别处理之后，(4)服务器机器20使用证书和数字签名执行用户鉴别。这里，因为用户A合法地使用它们自己的证书和私有密钥，因此用户鉴别处理成功。
需要注意的是，服务器机器20拥有它自己的证书220和私有密钥222，根据需要，可以在与客户端PC 10通信期间使用它们。
接下来，参照图4描述一个例子，其中，使用某种方法获得用户A的证书120和私有密钥122的用户B使用它们来伪装成用户A进行欺骗。
在这种情况下，当(1)非法用户B通过从用户B的PC 10a向服务器机器20提交用户A的证书来请求用户鉴别时，(2)服务器20发送识别邮件到证书中指明的用户A的邮件地址。因此，(3)合法用户A能够意识到他们的证书被非法使用了。此外，用户A可以通过从所接收的识别邮件访问识别页面并点击“禁止”按钮来阻止非法用户B接收用户鉴别。因为如果用户不通过识别页面输入“允许鉴别”，服务器机器20不会判定基于证书的用户鉴别处理成功，即使合法用户A没有注意到识别邮件的到达，或者即使用户A注意到了邮件但是没有点击识别页面上的“禁止”按钮，也会避免把用户B当成用户A的错误的鉴别。
虽然在上述例子中，通过使用户访问在识别邮件中指示的识别页面来执行用户识别处理，但是可替换地，可以配置系统，以使可以通过响应识别邮件而发送的返回邮件来表达“允许鉴别”的意愿。更具体的说，当用户接收到识别邮件并且打算允许鉴别处理时，用户通过邮件客户端16来发送一个关于识别邮件的返回邮件。当服务器机器20接收到响应识别邮件的返回邮件时，服务器机器20判定鉴别处理被允许，并且基于数字签名执行鉴别处理。根据这个方案，即使由用户操作的客户端不包含web浏览器，用户识别也可以被执行。
虽然在上述实施例中，请求基于证书的用户鉴别的客户端应用程序(图1的实例中的web客户端18)和接收识别邮件的邮件客户端16被装备到了同一个客户端PC 10，但是这样的配置对于本发明不是必要的。在图5所示的实例中，请求基于证书的用户鉴别的客户端机器是一个数字多功能中心40，而便携式邮件终端(例如蜂窝电话)45被用作接收识别邮件的邮件客户端。数字多功能中心40是一个包含了打印机、扫描仪、复印机功能的设备，而且通过诸如局域网或者互连网这样的网络与服务器机器20相连。使用这个系统，用户A可以通过多功能中心40从服务器机器20接收服务。这些服务的一个实例为，将由多功能中心40扫描的文档数据记录到作为文档服务器的服务器机器20上。可以预见，在不久的将来，通过多功能中心40使用的网络上的各种服务器会变得越来越多。根据图5的系统，用户A将一个其中具有用户的自己的证书120和私有密钥122的IC卡50放置到多功能中心40的读卡器上。然后用户A通过多功能中心40的UI屏幕输入一个指令来表达使用由服务器机器20提供的服务的意愿。在这一点，(1)安装在多功能中心40中的PKI处理协议使用从IC卡50读出的用户A的证书访问服务器机器20，以便请求用户鉴别。随后，(2)服务器机器20从证书获取用户A的邮件地址，并且发送识别邮件到所获取的地址。用户A在他们的便携式邮件终端45接收识别邮件，并且(3)通过在邮件中指出的URL访问识别页面，以便执行用户识别。此后，(4)服务器机器20基于证书和数字签名执行用户鉴别。在这个实例中，因为合法用户A正确地使用他们自己的证书和私有密钥，所以用户鉴别成功。需要注意的是，用于用户识别的步骤(3)不必使用识别页面来执行。可替换地，当服务器机器20从用户收到响应识别邮件的返回邮件时，可以自动判定用户识别被确认。
在图5的实例中，虽然通过从用户A的便携式邮件终端45访问服务器机器20来执行用户识别，但是可替换地，可以通过以下方式来执行用户识别处理，例如，从便携式邮件终端45向多功能中心40传输识别邮件的信息，并且从多功能中心40访问服务器机器20。更具体地说，用于用户识别的，具有根据预定编码方案(例如QR编码或条形码)的格式的一个编码图像，可以被并入识别邮件中。这个识别编码图像可以显示预定的编码，用于表示识别的用户确认(这个编码只需要被服务器机器20知道)。识别邮件可以包括识别编码图像和一个指导用户操作的消息，例如“提出了鉴别请求。如果你允许这个请求，在屏幕上显示附加的编码图像，将朝下的屏幕放到多功能中心的文档扫描器上的箭头的位置，然后点击开始按钮”。当用户接收到这个识别邮件时，根据该消息，用户在便携式邮件终端45的显示屏幕上显示识别编码图像，并且将这个显示屏幕放在多功能中心40的台板上的特定位置上。当执行这个操作时，多功能中心40在一个等待状态，准备好执行关于在先前步骤(1)中提出的用户鉴别请求的处理(参见图5)。因此，当点击开始按钮时，多功能中心40将点击开始按钮判定为用于读取识别编码图像的指令，并且，在扫描后，从所扫描的图像内的预定位置认出编码图像。然后多功能中心40解释编码的内容，并发送编码到服务器机器20。一接收到该编码，服务器机器20就判定用户执行了用户识别处理。根据这个方案，用户允许多功能中心40读取包含在识别邮件中的编码信息的操作，用来作为判定用户识别成功的基础。
根据图2中示出的过程，SSL鉴别会话在中途被打断，并且在通过用户识别会话(S14，S30，S16，S32)确认识别时恢复。然而，这个步骤顺序仅仅是作为实例来描述的。可替换地，也可以使用在图6中示出的步骤顺序。
在图6的过程中，根据用户的操作，客户端PC 10通过HTTPS访问服务器机器20上的web鉴别入口页面的URL(S110)。然后，服务器机器20提供一个UI web页面给客户端PC 10来接收用户证书的输入(S120)。当用户通过UI web页面选择并且输入将要使用的证书时，该证书被发送到服务器机器20(S112)。一接收到证书，服务器机器20就提供给客户端PC 10一个说明web页面，该页面显示引导用户操作的消息，例如“用于鉴别的邮件正在发送给您。请接收该邮件以执行鉴别处理并继续后续处理”(S122)。同时，服务器机器20执行识别邮件发送处理(S124-128)。
在识别邮件发送处理期间，服务器机器20从用户证书内获取用户邮件地址，该用户证书是从客户端PC 10接收到的(S124)，并为这个特定用户创建一个用于执行SSL客户端鉴别的web页面(S126)。这个SSL客户端鉴别web页面的URL使用HTTPS协议，并且被动态地生成(与上述识别页面的URL类似)以响应用户对上述入口URL的访问，以便减小欺骗的风险。然后，服务器机器20创建一个包含客户端鉴别页面的URL的识别邮件(S126)，并且发送这个邮件到用户邮件地址(S128)。除了这个URL以外，识别邮件可以也包含用于指导用户操作的消息，例如“您的鉴别请求已被接收。如果您希望接收鉴别并且继续该处理，请访问下面的URL”。
当用户接收到这个识别邮件并且认出这个识别邮件是对他们自己的鉴别请求的回应，那么用户访问在来自客户端PC 10(或者是来自一个分离的，用户用于接收识别邮件的终端)的邮件中显示的URL(S114)。然后，服务器机器20执行传统的已知的SSL客户端鉴别处理(S130)。在这个鉴别处理期间，服务器机器20请求用户提交证书，然后接收包含数字签名的证书和数据，签名是通过使用对应于证书的私有密钥进行的，然后验证该签名。当S130的SSL客户端鉴别处理成功时，将在客户端PC 10(web客户端18)和服务器机器20(web服务器24)之间建立鉴别会话。随后，服务处理器27在已鉴别的会话下提供服务给用户。
同样地，在图6的过程中，用户对包含在识别邮件中的客户端鉴别URL的访问，作为判定用户识别成功的基础。根据这个过程，当第三方试图冒充用户身份时，因为接收到识别邮件，所以用户能够意识到正在试图进行非法访问。此外，因为没有通知非法的第三方实际的SSL客户端鉴别页面的URL，所以能够有效阻止非法使用，其中所述SSL客户端鉴别页面是接收来自服务器机器20的服务所需要的。
在上述实施例中，服务器机器20使用从用户提交的证书内获取的邮件地址，作为用户请求鉴别的邮件地址。然而，可能存在这样的情况，其中，用户希望将识别邮件发送到除证书上指示的地址以外的地址。为了满足这类用户的愿望，可以使用下面的修改的实施例。在这个实施例中，服务器机器20在其中记录了一个关联表，该关联表针对每个用户都包括了在证书中指明的邮件地址，以及一个对应的用作发送识别邮件的目的地的邮件地址。当服务器机器20从接收自用户的证书中获取主体的邮件地址时，并且发现用于发送识别邮件的目的邮件地址被对应于所获取的邮件地址而记录时，服务器机器20将发送一个识别邮件到目的邮件地址。
此外，在上述实施例中，虽然用户被要求提交证书，并且这个证书被用于获取用来发送识别邮件的邮件地址，但是这个配置对于本发明不是必要的。一个可替换的系统可以如下配置。服务器机器20已经提前为每个用户在其中注册了用户的邮件地址和用户的鉴别信息，例如密码或者生物统计信息。用户访问服务器机器20并使用已注册的鉴别信息(例如密码)接收鉴别，而不是将他们自己的证书提交到服务器机器20。当这个鉴别处理成功时，服务器机器20发送一个识别邮件到用户的邮件地址(这个地址注册在服务器机器20上)。与图6所示的过程类似，SSL客户端鉴别页面的URL可以包含在这个识别邮件中。后面的步骤与图6示出的一样。
虽然通过实例参照SSL鉴别对本发明的实施例进行了如上描述，但是，通常，本发明的方案可以被应用到任何在PKI框架内基于证书和数字签名而执行的用户鉴别处理。
本发明的优点可以总结如下。当第三方以某种方式获得用户的密钥对数据或用户的令牌(token)时，例如其中存储着用户的私有密钥的IC卡，并且试图使用所获得的数据或者令牌冒充用户的身份时，如果仅仅根据传统方案基于数字签名执行用户鉴别，那么鉴别处理将被错误地判定为成功，因而错误地判定来自第三方的访问是来自合法用户的访问。相反，根据本发明，这种欺骗访问的可能性被减小，因为将一个识别邮件发送到合法用户的邮件地址，并且当没有接收到用户响应该邮件进行的确认时，用户鉴别处理被判定为失败。此外，当试图进行欺骗访问时，合法用户能够意识到企图正在发生的事实，因为合法用户收到了有关访问鉴别服务器的识别邮件，而用户先前并不知道该访问。
上述实施例中的服务器机器20通常可以通过允许通用计算机执行一个实现服务器机器20的上述功能的程序来实现。典型地，可以在例如包含CD-ROM和DVD-ROM在内的光盘，包含软盘或硬盘在内的磁盘这样的计算机可读取的存储介质中提供这类程序。
如上所述，根据本发明的一个方面，提供了一种具有鉴别功能的服务器，用于通过验证已使用用户的私有密钥进行签名的鉴别数据的签名来执行用户鉴别。当这个鉴别服务器从客户端机器接收鉴别用户的请求时，鉴别服务器发送一个识别邮件到用户的电子邮件地址，该识别邮件是用于用户识别的电子邮件。如果鉴别服务器没有接收到来自用户的响应识别邮件的确认输入，那么用户鉴别处理被判定为失败。也就是说，如果鉴别服务器没有接收到确认用户已经响应该识别邮件的输入，不管鉴别数据的数字签名是否正确，用户鉴别处理都被判定为失败。
2005年3月2日提交的日本专利申请No.2005-057974的完全公开，包括说明书、权利要求书、附图以及摘要都通过参考并入这里。
权利要求
1.一种用于鉴别用户的服务器，包括接收单元，用于从所述用户接收鉴别请求；识别邮件发送单元，用于将识别邮件发送到所述用户，所述识别邮件识别所述用户是否为合法用户；以及鉴别控制部分，当所述识别邮件识别出所述用户不是合法用户时，不管所述鉴别请求上的数字签名是否正确，所述鉴别控制部分都判定所述鉴别请求是失败的。
2.如权利要求1所述的服务器，其中，所述识别邮件具有用于用户识别的web页面的地址。
3.如权利要求2所述的服务器，其中，所述web页面的地址是临时地址，每次基于来自所述用户的鉴别请求动态地生成该地址。
4.如权利要求1所述的服务器，还包括识别web页面创建部分，其用于创建识别web页面，所述识别web页面识别所述用户；以及其中，所述识别邮件发送单元发送包含所述识别web页面的地址信息的所述识别邮件，所述识别web页面由所述识别web页面创建部分创建。
5.一种用于鉴别用户的方法，包括接收来自所述用户的鉴别请求；向所述用户发送识别邮件，所述识别邮件识别所述用户是否为合法用户；以及当所述识别邮件识别出所述用户不是合法用户时，不管所述鉴别请求上的数字签名是否正确，都判定所述鉴别请求是失败的。
6.如权利要求5所述的方法，其中，所述识别邮件具有用于用户识别的web页面的地址。
7.如权利要求6所述的方法，其中，所述web页面的地址是临时地址，每次基于来自所述用户的鉴别请求动态地生成该地址。
8.如权利要求5所述的方法，还包括创建识别web页面，所述识别web页面识别所述用户；以及其中，所述识别邮件包含所述识别web页面的地址信息。
9.一种具有鉴别功能的服务器，该服务器经由网络从客户端机器接收用户鉴别请求，也从与所述用户鉴别请求相关联的客户端机器接收鉴别数据，该鉴别数据具有附加到其上的使用用户私有密钥的数字签名，以及验证所述鉴别数据上的数字签名，以响应所述用户鉴别请求执行用户鉴别处理，该服务器包括识别邮件发送部分，当从所述客户端机器接收到所述用户鉴别请求时，该识别邮件发送部分发送识别邮件到所述用户的电子邮件地址，所述识别邮件邀请所述用户进行输入，指明所述用户鉴别请求是否真的是由所述用户发起的；以及鉴别控制部分，当没有从所述用户接受到指明所述用户鉴别请求是由该用户发起的输入，以响应所述已发送的识别邮件时，不管所述鉴别数据上的数字签名是否正确，该鉴别控制部分都判定所述用户鉴别处理是失败的。
10.如权利要求9所述的服务器，其中所述识别邮件发送部分创建包含识别web页面的地址信息的所述识别邮件，所述识别web页面用于接受指明所述用户鉴别请求是否由所述用户发起的输入，并且所述识别邮件发送部分将所述创建的识别邮件发送到所述用户的电子邮件地址；以及所述鉴别控制部分基于所述用户的关于所述识别web页面的输入来判定所述用户鉴别请求是否由所述用户发起。
11.如权利要求10所述的服务器，还包括识别web页面创建部分，当接受到所述用户鉴别请求时，该部分创建所述识别web页面，该页面对于所述已接受的用户鉴别请求是独有的；其中所述识别邮件发送部分创建所述识别邮件，该识别邮件包含由所述识别web页面创建部分创建的所述识别web页面的地址信息。
12.如权利要求9所述的服务器，其中所述鉴别控制部分基于从所述用户接收的响应所述识别邮件的返回邮件，来判定所述用户鉴别请求是否由所述用户发起。
13.如权利要求9所述的服务器，其中所述用户鉴别请求包含所述用户的公共密钥证书的数据；以及所述识别邮件发送部分从所述公共密钥证书获取所述用户的电子邮件地址。
全文摘要
一中用于鉴别用户的服务器，其具有接收单元、识别邮件发送单元和鉴别控制部分。接收单元从用户接收鉴别请求。识别邮件发送单元发送识别邮件给用户。识别邮件识别用户是否为合法用户。当识别邮件识别出用户不是合法用户时，不管鉴别请求上的数字签名是否正确，鉴别控制部分都将判定鉴别请求是失败的。
文档编号H04L9/32GK1829148SQ20051010970
公开日2006年9月6日 申请日期2005年9月15日 优先权日2005年3月2日
发明者齐藤信一 申请人:富士施乐株式会社