專利名稱:通過鑒定數(shù)據(jù)訪問應用的信息系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及對信息系統(tǒng)的改進�����,其中通過一個或多個鑒定數(shù)據(jù)(donnée accréditive)控制用戶對一個或多個程序����,例如應用,的訪問�����。
信息系統(tǒng)的安全并且尤其是訪問諸如操作系統(tǒng)或應用(家庭銀行事務��、電子商務等)的程序的安全是通過靜態(tài)的鑒定數(shù)據(jù)對用戶進行驗證為基礎的��,其中這些鑒定數(shù)據(jù)通常由分配給用戶的名字(他們的“登錄名”)以及靜態(tài)口令構成�。
在本文的以下部分中,措詞“信息系統(tǒng)”指的是任何由個人計算機��、電話��、移動電話或個人數(shù)字助理等組成的并能使用戶執(zhí)行本地應用或者某應用的客戶部分(例如在客戶機/服務器體系結構的環(huán)境下)的系統(tǒng)�����。
基于用戶掌握靜態(tài)口令的驗證協(xié)議在技術上是周知的�����。
—基本驗證以明文把口令發(fā)送到服務器端的驗證模塊���;—加密后的口令利用公鑰算法(例如DIFFE-HELLMAN算法)發(fā)送會話密鑰����,這使得能在二個實體之間建立一個通過其發(fā)送口令的保密信道并且不要求這二方事先在二方之間共享一個保密口令�;—壓縮(condensé)驗證應用的客戶部分利用由該服務器側驗證模塊發(fā)送的隨機數(shù)(aléa)加密口令(或者口令的壓縮);—kerberos該服務器側驗證模塊向用戶發(fā)送利用用戶的口令加密的鑒定數(shù)據(jù)��,從而只有該用戶可以使用這些鑒定數(shù)據(jù)����。
然而����,在若干方面上靜態(tài)口令是易受攻擊的�����,因為它們可能會暴露(如果第三方合法地或欺詐地知道口令)��,若它們薄弱(不修改地重復使用口令����、口令太短、字典式地攻擊)可能會被破壞���,可能會通過竊聽通信線或者模仿驗證服務器被泄露��,或者通過復制驗證序列被重放���。
為了補救上述缺點,現(xiàn)有技術已知采用其它比靜態(tài)口令更加安全的機制���。
技術上已知的第一種解決辦法包括使用動態(tài)口令�,即每次使用時要修改的口令。動態(tài)口令可以是同步的(在用戶端和服務器端同步地修改��,例如作為時間和/或使用次數(shù)的函數(shù))或者是異步的(每次訪問請求時要求服務器端驗證模塊生成一個不同的隨機數(shù)并將該隨機數(shù)發(fā)送到用戶端以借助某適當算法生成動態(tài)口令)�。在這二種情況中(同步口令或異步口令)�,服務器和用戶端共享密鑰。在用戶端���,可以通過一個個人保密設備(PSD)例如靈巧卡��、便攜保密電子設備(“令牌”)等生成動態(tài)口令����。
另一種解決辦法使用公鑰密碼系統(tǒng)���,其中用戶持有私鑰并且公鑰由認證機構認證�����。使用這種類型的系統(tǒng)的驗證序列可按如下進行—用戶向服務器發(fā)送鑒定數(shù)據(jù)(包含用戶名�、公鑰���、地址等)��,—一旦接收該鑒定數(shù)據(jù)�����,服務器的驗證模塊生成一個隨機數(shù)并把它發(fā)送給該用戶����;—該用戶使用私鑰對該隨機數(shù)簽字;以及—該驗證模塊利用公鑰驗證該簽過字的隨機數(shù)并且若存在匹配驗證該用戶����。
基于動態(tài)口令或者公鑰的解決辦法替代了基于靜態(tài)口令的驗證機制或者替代對外部驗證服務器的調(diào)用。
技術上還知道可調(diào)用口令服務器���,借助該服務器通過單個驗證和鑒權進程用戶可以不必輸入許多不同口令下訪問所有允許其訪問的計算機和系統(tǒng)���。一旦用戶通過一個采用強口令(包含大量字符的口令)的驗證進程得到驗證,用戶可以請求該口令服務器執(zhí)行某應用��。接著該口令服務器向該用戶的終端裝入一組包含著該用戶用于該所請求的應用的鑒定數(shù)據(jù)的數(shù)據(jù)�,以使該終端開始運行該應用。然而�,該解決辦法需要一個專用的驗證(SSO)服務器并且仍舊基于根據(jù)靜態(tài)口令的用戶面對該服務器的首先驗證����。
本發(fā)明的另一個目的是提供一種對于一個或多個應用的訪問控制帶有改進機制的數(shù)據(jù)處理系統(tǒng)�,其中不修改應用的用戶端和服務器端之間的基于共享靜態(tài)的和保密的鑒定數(shù)據(jù)的驗證協(xié)議而且服務器端應用的驗證模塊保持不變�����。
為此,本發(fā)明提供一種用于執(zhí)行至少一個的程序的信息系統(tǒng)���,用戶對該系統(tǒng)的訪問是通過向所述用戶分配至少一個鑒定數(shù)據(jù)控制的�����,所述系統(tǒng)包括—至少一個的包含著用于執(zhí)行所述程序的至少一部分的數(shù)據(jù)處理裝置的終端����,—和所述程序關聯(lián)的用于存儲專用于所述用戶的至少一個的第一鑒定數(shù)據(jù)的第一存儲器���,以及—訪問控制裝置�����,用于響應存儲在所述第一存儲器裝置中的所述第一鑒定數(shù)據(jù)和通過所述終端向所述程序施加的第二鑒定數(shù)據(jù)之間的匹配授權對所述程序的訪問�,至少一個所述用戶個人的保密設備��,其和所述終端關聯(lián)并包含用于保密地存儲所述第二鑒定數(shù)據(jù)的第二存儲器裝置����,其特征在于所述終端包括至少若干個的鑒定數(shù)據(jù)管理裝置����,其中包括—用于讀取和發(fā)送鑒定數(shù)據(jù)的裝置��,其適用于響應存在訪問所述程序的請求讀出所述第二存儲器裝置中存儲的所述第二鑒定數(shù)據(jù)并且把它們發(fā)送到所述訪問控制裝置�,以及—鑒定數(shù)據(jù)更新裝置�����,用于選擇性地命令生成新的鑒定數(shù)據(jù)并裝入到所述第一和第二存儲器裝置來替代以前存儲的鑒定數(shù)據(jù)��。
依據(jù)本發(fā)明的數(shù)據(jù)處理系統(tǒng)最好至少包括下述特性之一—所述訪問控制裝置適用于響應所述第一和第二鑒定數(shù)據(jù)的一致授權對所述程序的訪問����,—所述第二存儲器裝置適用于存儲所述用戶的第一標識碼�,所述終端包括用于向個人保密設備施加第二標識碼的接口裝置并且響應所述第一和第二標識碼的一致授權對所述個人保密設備的訪問,—所述鑒定數(shù)據(jù)更新裝置適用于自動地生成所述新鑒定數(shù)據(jù)并在不向所述用戶通知所述新鑒定數(shù)據(jù)時把所述新鑒定數(shù)據(jù)直接發(fā)送到所述第一和第二存儲器裝置��;—所述鑒定數(shù)據(jù)管理裝置是構成所述程序的一部分的軟件裝置����,—所述鑒定數(shù)據(jù)更新裝置適用于一旦由所述訪問控制裝置授權訪問相繼地生成新鑒定數(shù)據(jù)并裝入所述第一和第二存儲器裝置�,—所述鑒定數(shù)據(jù)管理裝置是和所述程序無關的軟件裝置,—所述鑒定數(shù)據(jù)更新裝置適用于一旦由所述驗證裝置驗證所述標識碼則相繼地生成新鑒定數(shù)據(jù)并裝入所述第一和第二存儲器裝置�,—所述鑒定數(shù)據(jù)管理裝置包括用于產(chǎn)生生成鑒定數(shù)據(jù)時的日期并把該日期裝入所述存儲器裝置中的至少一個中的裝置并且包括用于僅當在所述存儲器裝置中存儲所述所生成的鑒定數(shù)據(jù)超過一特定時間后才授權所述更新裝置生成新鑒定數(shù)據(jù)的禁止器裝置,—所述程序整個地在所述終端內(nèi)存儲和執(zhí)行以便本地地執(zhí)行所述應用���,—所述系統(tǒng)包含至少一個服務器以及用于在所述終端和所述服務器之間發(fā)送數(shù)據(jù)的裝置�����,所述程序部分地在所述終端中存儲和執(zhí)行并且部分地在所述服務器中存儲和執(zhí)行����,而且所述第一存儲器裝置和所述服務器并聯(lián)。
終端T的例子包括個人計算機�����、電話�����、移動電話���、個人數(shù)字助理等等����。它通常帶有用戶接口裝置�����、數(shù)據(jù)處理裝置(微處理器)和適當?shù)拇鎯ζ鹘M(未示出)����。借助適當?shù)某绦駻CC1����、ACC2�、……ACCN,終端T在通過網(wǎng)絡R與含有相應程序ACS1��、ACS2�����、…�����,ACSn的服務器S1���、S2�、…Sn鏈接時能執(zhí)行應用A1��、A2�、…�、An。當然�����,和該圖中所示那樣不同,信息系統(tǒng)I的每個服務器S1��、S2����、…、Sn也可采用多個應用���。概言之��,在終端T和信息系統(tǒng)I的一個服務器之間分配每個應用軟件應用A1由軟件ACC1和軟件ACS1組成��,應用A2由軟件ACC2和軟件ACS2組成�,而應用An由軟件ACCN和軟件ACSn組成��。
在終端T和信息系統(tǒng)I的服務器S1���、S2���、…Sn之間提供數(shù)據(jù)的雙向傳輸?shù)木W(wǎng)絡R可以為任何類型,例如因特網(wǎng)。
在本申請的環(huán)境下���,個人保密設備PSD是一個由充分授權(例如通過個人標號PIN等)的用戶獨自持有的或者能獨自訪問的設備��,并且它允許在其中在保證不由未授權的人讀和/或?qū)憯?shù)據(jù)的安全性下保密地存儲數(shù)據(jù)���。
例如,該設備可以是靈巧卡���,可以是供電的便攜式電子設備(令牌)�����,其包括有限數(shù)量的輸入���、輸出端口以及阻擋對其各條內(nèi)部總線訪問的軟硬件保護裝置,其中在該設備中數(shù)據(jù)在這些內(nèi)部總線上傳送��。例如在靈巧卡的情況下�,提供至終端T的鏈接的裝置L包括讀靈巧卡器,后者可集成在終端T中或者在終端T的外部���,作為對此的一種替代�,個人保密設備可以以安裝在終端T內(nèi)的并能保密地在該終端內(nèi)存儲加密或不加密的數(shù)據(jù)的軟件為形式����。這種實施例不能提供和靈巧卡相同級別的保密性,但是仍然呈現(xiàn)出可以自動地并且從而頻繁地修改用戶鑒定數(shù)據(jù)的明顯改進�����。后面對此進一步解釋���。
個人保密設備PSD包括一個存儲器M���,后者存儲專用于終端T的用戶的并且能使該用戶使用應用A1、A2��、…��、An的鑒定數(shù)據(jù)��。分配給用戶的鑒定數(shù)據(jù)例如包括一個登錄名和一個專用于涉及到的應用的口令����。
在信息系統(tǒng)I端,服務器S1���、S2�����、…�����、Sn包括各自的存儲著準許訪問該服務器實現(xiàn)的某應用的所有用戶的鑒定數(shù)據(jù)的文件F1���、F2�����、…�、Fn�。這樣,終端T的用戶的鑒定數(shù)據(jù)存儲在存儲器M和用于應用A1的文件F1中��,存儲在存儲器M和用于應用A2的文件F2中���,以及存儲在存儲器M和用于應用An的文件FN中�����。
當然�����,
圖1中示出的數(shù)據(jù)處理系統(tǒng)可包括多個通過網(wǎng)絡R和信息系統(tǒng)I連接的終端T并由不同的用戶使用�。
為了執(zhí)行某應用(家庭銀行事務�����,電子商務等)�,用戶在其終端T上激活該應用?�?梢酝ㄟ^用戶經(jīng)終端T輸入個人標識號PIN確定對個人保密設備的訪問��,一旦接受對設備PSD的訪問請求�,從該個人保密設備PSD讀出和所涉及的應用有關的用戶鑒定數(shù)據(jù)并且發(fā)送到所涉及的服務器,該服務器把從終端T接收到的鑒定數(shù)據(jù)和其鑒定數(shù)據(jù)文件中保存的鑒定數(shù)據(jù)進行比較���,并且如果匹配則授權執(zhí)行該應用�。
設置一個鑒定數(shù)據(jù)管理程序CMP����,用來管理對應用A1�����,A2�,…驗證的鑒定數(shù)據(jù)并且用于更新鑒定數(shù)據(jù)��。如后面更詳細說明那樣����,在終端T和對各應用指定的服務器S1、S2�、…、Sn之間分配程序CMP�����。
為了對給定應用進行驗證�����,終端T必須讀出個人保密設備PSD中的和該應用有關的鑒定數(shù)據(jù)�。
為此,有可能用修改的應用代替標準的客戶機端或終端端應用����,其中該修改的應用除管理應用的標準特征外還管理和設備PSD的通信��。這種類型的實現(xiàn)對應于圖2中示出的實施例�。
還有可能不修改標準客戶機端或終端端應用的情況下利用專用軟件讀出設備PSD中的鑒定數(shù)據(jù)并把鑒定數(shù)據(jù)發(fā)送給所涉及的應用����。實現(xiàn)此的解決辦法例如包括;仿真鍵盤或者發(fā)送含有鑒定數(shù)據(jù)的報文��。該第二種解決辦法對應于圖5��、7和8示出的實施例。
現(xiàn)轉到圖2��,其中出于簡明只示出一個服務器S����。在圖2的實施例中�,終端端的鑒定數(shù)據(jù)管理程序采取修改過的終端端應用ACCM的形式�。鑒定數(shù)據(jù)管理程序的一部分CMPc用一個圓圈表示�����。服務器S端處的鑒定數(shù)據(jù)管理程序CMPs也用一個圓圈表示從而該程序作為標準存在任何應用中以便修改用戶的鑒定數(shù)據(jù)或者裝入有關新用戶的鑒定數(shù)據(jù)��。分別是程序ACCM和ACS的一部分的程序CMPc和CMPs一起構成圖1中所示的鑒定數(shù)據(jù)管理程序CMP�����。
在圖2的實施例中���,集成到應用A中的鑒定數(shù)據(jù)管理程序通過修改過的客戶機端程序ACCM直接訪問個人保密設備PSD并且直接訪問服務器S的鑒定數(shù)據(jù)文件F。
為了能使用戶在驗證進程安全性改進下運行應用A�����,安全管理員向用戶提供一個不含有鑒定數(shù)據(jù)的設備PSD�。該設備PSD不含有任何固定口令��。
用戶把他的PSD設備和他的終端T相連并在該終端中初始化個人標識號PIN。
接著該用戶安裝該修改過的客戶機端應用ACCM以代替以前使用的標準客戶機端應用。
第一次使用程序ACCM訪問該應用時���,該用戶輸入他的個人標識號PIN以授權對設備PSD的訪問并且利用用戶知道的并且以前和他的標準客戶機端應用一起使用的靜態(tài)鑒定數(shù)據(jù)打開對該應用的訪問���。利用標準驗證協(xié)議把現(xiàn)有鑒定數(shù)據(jù)呈交給服務器端應用ACS����。
一旦打開該服務器端應用���,客戶機端應用ACCM的CMPc部分生成一個隨機口令�,向?qū)ζ浒l(fā)送該新口令的服務器端軟件CMPs提交口令改變請求,并接著向設備PSD裝入該靜態(tài)鑒定數(shù)據(jù)�����,其中該靜態(tài)鑒定數(shù)據(jù)包含以這種方式生成的該口令并且可能包含登錄名。然后在文件F中和存儲器M中存儲該新生成的靜態(tài)口令,但是用戶不知道該口令。這種機制使得能使用由大量字符組成的強口令即復雜口令(不能在詞典中找到的詞,其難以記憶并且從而難以猜測),比起實踐中使用時用戶必須記住或者用戶在鍵盤上輸入的短口令���,這種強口令防竊取能力要強得多得多����。
用戶下次訪問該應用時,用戶只需要通過終端輸入個人標識號PIN��,然后驗證進程通過讀出設備PSD中的鑒定數(shù)據(jù)并通過程序CMPc把鑒定數(shù)據(jù)發(fā)送到服務器端程序CMPs自動地進行。在該驗證進程期間,決不在終端T的屏幕上顯示鑒定數(shù)據(jù)從而用戶仍不知道,這增強了系統(tǒng)的安全性。
然后可以每次訪問所涉及的應用時���,如圖3中所示����,或者周期性地例如每天,如圖4中所示��,或者在系統(tǒng)管理員的特定請求下�,更新或改變固定口令����。
參照圖3�����,用戶在終端T上列出訪問請求X的請求(步驟1)并且服務器S處理該請求(步驟2)�。該用戶通過終端T輸入數(shù)字或者個人標識號PIN(步驟3)并且把它發(fā)送到設備PSD��,在步驟4設備PSD把用戶輸入的數(shù)字和該設備PSD中存儲的數(shù)字(5)進行比較����。
如果用戶輸入的PIN號不和存儲號(5)匹配����,拒絕該訪問請求(步驟6)�����,這使得服務器舍棄該請求(步驟7)。
如果步驟4的檢查結果是肯定的,設備PSD讀出其為應用X存儲的鑒定數(shù)據(jù)(靜態(tài)口令)(步驟8)并通過終端T把鑒定數(shù)據(jù)發(fā)送到服務器S����,在服務器S把這些鑒定數(shù)據(jù)和文件F中為該應用X以及為該用戶存儲的鑒定數(shù)據(jù)(固定口令)(步驟10)進行比較(步驟9)����。如果步驟9中比較的數(shù)據(jù)不匹配,拒絕對應用X的訪問(步驟11)���。如果數(shù)據(jù)匹配�����,服務器S授權對應用X的訪問(步驟12)并且終端T生成用于應用X的新鑒定數(shù)據(jù)(步驟13)��。
新的鑒定數(shù)據(jù)(隨機口令)被發(fā)送到服務器S和設備PSD(步驟14和15)���。在那里這些鑒定數(shù)據(jù)分別存儲在文件F中存儲器M中�����,隨著分別在服務器S和終端T執(zhí)行應用X(步驟16和17)結束該進程。
替代地�,如圖4中所示�����,如果從最近一次改變口令后已經(jīng)歷了預定時間���,可以修改或更新鑒定數(shù)據(jù)(靜態(tài)口令)�����。為此采用的進程在步驟12之前和圖3中示出的進程相同�����,因此不再重新說明��。
在步驟12之后��,終端T啟動改變用于應用X的鑒定數(shù)據(jù)的進程(步驟18)����,這導致讀出設備PSD中的把用于應用X的最近鑒定數(shù)據(jù)存儲在設備PSD中的日期(步驟19)。步驟20檢查最后一次改變該鑒定數(shù)據(jù)后是否已歷經(jīng)最小時間例如一天。如果沒有,不修改鑒定數(shù)據(jù)并且此后直接在服務器S和終端T中執(zhí)行應用(步驟21和22)���。
若步驟20判定已經(jīng)歷經(jīng)了該最小時間���,終端T生成用于應用X的新鑒定數(shù)據(jù)(步驟23),并把鑒定數(shù)據(jù)分別存儲在服務器S的文件F中和設備PSD的存儲器M中(步驟24和25),而且至少在設備PSD的存儲器M中存儲更新日期�����。
圖5中示出的本發(fā)明的實施例使用不同于圖2中所示的鑒定數(shù)據(jù)管理程序的實現(xiàn)��。在終端T端��,鑒定數(shù)據(jù)管理程序是一個和終端端或客戶機端應用ACC無關的拖放應用DD的一部分�。在信息系統(tǒng)I端���,鑒定數(shù)據(jù)管理軟件模塊CMS獨立于管理和服務器S相關的鑒定數(shù)據(jù)文件F的服務器端應用ACS��。模塊CMS可以在服務器S中或者某獨立的服務器中實現(xiàn)����,如圖2中所示���,必須理解本發(fā)明的實現(xiàn)不意味著對信息系統(tǒng)I的硬件或軟件的任何修改����。
下面的說明中假定終端T的用戶已經(jīng)由客戶機應用ACC授權訪問在終端執(zhí)行的并且由服務器端應用ACS授權訪問在服務器端執(zhí)行的某應用����。還假定該用戶擁有能對應用驗證他從而打開該應用的鑒定數(shù)據(jù)。
為了實現(xiàn)依據(jù)本發(fā)明的改進和保密措施��,安全管理員向該用戶發(fā)送一個空白的設備PSD�,即一個不含有鑒定數(shù)據(jù)的設備�����。
該用戶接著連接他的設備PSD和終端T并在該終端中安裝應用DD。該用戶還初始化用來控制對他的個人保密設備PSD的訪問的個人標識號PIN���。
向該用戶要求舊的鑒定數(shù)據(jù)并且通過應用DD傳送到鑒定數(shù)據(jù)管理模塊CMS以便驗證該用戶��。應用DD產(chǎn)生新的鑒定數(shù)據(jù)(靜態(tài)口令)并發(fā)送到模塊CMS����,模塊CMS直接或者通過程序ACS更新鑒定數(shù)據(jù)文件F�。用戶不知道新鑒定數(shù)據(jù)而且新鑒定數(shù)據(jù)可以包括“強”靜態(tài)口令(見上文)��。
為了使用該應用,該用戶啟動該應用DD,輸入他的個人標識號PIN以便能訪問設備PSD并且把應用DD在設備PSD中讀出的靜態(tài)鑒定數(shù)據(jù)輸入到程序ACC中���,例如利用應用DD和鼠標器通過拖放操作��。在本申請人的標題為“Dispositif informatique àaccès par accréditationperfectionn锓通過改進的鑒定數(shù)據(jù)訪問的數(shù)據(jù)處理設備”)的法國專利申請FR9915959(1999年12月17日申請)中說明這種通過拖放操作能把個人保密設備PSD中含有的鑒定數(shù)據(jù)輸入到一應用中的機制,有關細節(jié)請參閱該申請�。在把該鑒定數(shù)據(jù)裝入該應用中時不在終端的屏幕上示出鑒定數(shù)據(jù)從而用戶仍不知道該鑒定數(shù)據(jù)。
現(xiàn)參照圖6的流程圖說明該更新或修改鑒定數(shù)據(jù)的進程���。每次用戶在終端T上激活應用DD時執(zhí)行該進程����。
在步驟26用戶在終端T上請求訪問應用DD�����。在步驟27用戶輸入他的個人標識號PIN����,并在步驟28該PIN在設備PSD中與該設備里存儲的個人標識號PIN(29)比較����。如果這二個數(shù)不匹配��,拒絕訪問(步驟30)���。如果這二個數(shù)匹配��,啟動更新用于應用X的鑒定數(shù)據(jù)的進程(步驟31)。在模塊CMS中����,該進程導致為應用X驗證該用戶的請求(步驟32)并且讀出當前存儲在文件F中的該用戶用于應用X的鑒定數(shù)據(jù)(步驟33)。
與此并行���,在步驟31啟動的該進程引起讀出設備PSD中的用于應用X的該用戶的鑒定數(shù)據(jù)(步驟34)。通過終端T把該鑒定數(shù)據(jù)發(fā)送到模塊CMS�。
在步驟35該模塊比較步驟33中從文件F讀出的數(shù)據(jù)和步驟34中從設備PSD的存儲器M中讀出的數(shù)據(jù)�。如果它們不匹配則拒絕對CMS的驗證(步驟36)并且從而不修改鑒定數(shù)據(jù)。
否則�,在終端T中�,應用DD生成用于應用X的新鑒定數(shù)據(jù)(步驟37)�����。這些新鑒定數(shù)據(jù)經(jīng)模塊CMS存儲在文件F中(步驟38)并且存儲在設備PSD中(步驟39)����。
如果設備PSD含有的鑒定數(shù)據(jù)和多于一個的應用相關,接著應用DD的CMPT部分啟動更新用于應用Y的鑒定數(shù)據(jù)的進程(步驟40)���。該同一進程對設備PSD為其含有鑒定數(shù)據(jù)的所有應用更新鑒定數(shù)據(jù)�����。
當然��,如參照圖4說明那樣,可以根據(jù)目前設備PSD中存儲的鑒定數(shù)據(jù)在生成和存儲后歷經(jīng)了預定時間來決定生成新鑒定數(shù)據(jù)(靜態(tài)口令)。
請注意在本發(fā)明的該第二實施例中不在訪問應用之前連接終端T和模塊CMS�����。如參照圖2說明那樣通過向服務器端應用ACS發(fā)送鑒定數(shù)據(jù)實現(xiàn)訪問,并且如果為了修改鑒定數(shù)據(jù)而訪問模塊CMS是不可能的,例如如果模塊CMS是在和服務器S不同的服務器上實現(xiàn)的,利用存儲器M和文件F中含有的未修改鑒定數(shù)據(jù)永遠不可能訪問服務器S所支持的應用����。在當某另一時間激活應用DD建立和模塊CMS的連接之前只是推遲了對鑒定數(shù)據(jù)的更新����。從而依據(jù)本發(fā)明的系統(tǒng)在各個方面上都不同于要求事先建立從終端到口令服務器的連接以便能訪問某應用的口令服務器系統(tǒng)���。
圖7示出本發(fā)明的一實施例�����,其和圖5中示出的實施例的不同之處僅在于用來初始化和個性化該系統(tǒng)的裝置�。
圖7中示出的該系統(tǒng)包括一個個性化工具T�����,該工具帶有一個能使安全管理員在支持某給定應用的服務器的文件F中以及在某用戶使用的個人保密設備PSD中初始化和該用戶有關的并用于該應用的鑒定數(shù)據(jù)�。這意味著�����,除了初始鑒定數(shù)據(jù)之外��,由該個性化工具T把個人標識碼PIN裝入到設備PSD中����。用戶用于所涉及應用的鑒定數(shù)據(jù)可以替代地由安全管理員利用供定義用戶對該應用的權力的標準管理工具直接初始化或更新��。
在第二階段��,如標準實踐那樣�,可以通過獨立通道尤其是利用靈巧卡把設備PSD和相關的PIN碼發(fā)送給用戶�。
用戶接著把他的設備PSD和他的終端T相連接并把應用DD裝到他的終端上��。
為了訪問某應用�����,用戶激活應用DD,輸入他的PIN碼以能訪問設備PSD,并且接著利用應用DD和象前面參照圖5說明那樣把利用鼠標通過拖放操作從設備PSD中讀出的鑒定數(shù)據(jù)輸入到程序ACC之中。
另外��,如參照圖5說明的那樣���,周期地更新鑒定數(shù)據(jù)。
請注意,可以替代地在類似于參照圖2說明的軟硬件系結構情況下����,即鑒定數(shù)據(jù)管理程序是客戶機端應用ACCM和服務器端應用ACS的集成部分的情況下��,實現(xiàn)該初始化和個性化進程。
圖8示出圖7中示出的初始化和個性化進程的一種變型�����。
在圖8中,在安全管理員的控制下通過個性化工具生成各用戶的鑒定數(shù)據(jù)并且為每個用戶存儲在和鑒定數(shù)據(jù)管理模塊CMS相關的初始鑒定數(shù)據(jù)文件K中�。該安全管理員向用戶提供一個空白的設備PSD���,即一個不合有鑒定數(shù)據(jù)的設備�����。通過一條獨立信道向用戶發(fā)送一個也存儲在文件K中的初始驗證口令�����。
用戶連接接收到的設備PSD和終端����,并且若需要安裝應用DD���。用戶還對他的設備PSD分配一個個人標識號PIN。用戶接著借助應用DD和鑒定數(shù)據(jù)管理模塊CMS連接,并且通過傳送給他的初始驗證口令對該軟件驗證自己。一旦該用戶得到驗證,模塊CMS把存儲在文件K中的用于該用戶的初始鑒定數(shù)據(jù)裝入應用DD中。應用DD把該初始鑒定數(shù)據(jù)傳送到在其中存儲鑒定數(shù)據(jù)的設備PSD����。與此同時�����,模塊CMS把該用戶的初始鑒定數(shù)據(jù)裝入到文件F中����,或者若該用戶已為該所涉及的應用認可則在該文件中更新鑒定數(shù)據(jù)。
接著,如參照圖5至圖7說明那樣,所有必須向該應用驗證他們的用戶利用應用DD輸入他們的PIN碼并且接著把應用DD在設備PSD中讀出的鑒定數(shù)據(jù)裝入到程序ACC中。當然��,如前面的實施例中那樣��,當利用鼠標器和應用通過拖放操作裝入鑒定數(shù)據(jù)時,不在終端的屏幕上顯示鑒定數(shù)據(jù)從而用戶不知道鑒定數(shù)據(jù)����。
在初始化和個性化后�,如參照圖5和圖7說明那樣更新鑒定數(shù)據(jù)��。
圖9示出本發(fā)明的第二實施例,其中通過終端中裝入的應用LA完全在終端T上本地地執(zhí)行應用��。在這種情況下鑒定數(shù)據(jù)文件F存儲在終端T中。鑒定數(shù)據(jù)管理程序CMP也是本地執(zhí)行的并且形成拖放應用DD的一部分�����。程序CMP直接訪問個人保密設備PSP并且直接��,如所示��,或通過應用LA訪問文件F��。
最初,安全管理員向用戶提供一個不含有鑒定數(shù)據(jù)的空白設備PSD。
用戶連接他的設備PSD和他的終端,裝入應用DD并對他的設備PSD指定一個個人標識碼PIN。
為驗證該用戶應用DD需要該用戶的用于應用LA的舊鑒定數(shù)據(jù)��。應用DD生成新鑒定數(shù)據(jù),直接地或者經(jīng)過應用LA把新鑒定數(shù)據(jù)裝入到設備PSD中并代替舊鑒定數(shù)據(jù)���。
為了訪問應用LA����,用戶接著要做的只是激活應用DD,通過拖放操作輸入使能訪問設備PSD的PIN碼和把鑒定數(shù)據(jù)裝入應用LA����,如參照圖5、7和8說明那樣��。應再次知道在該操作期間不在屏幕上顯示鑒定數(shù)據(jù)并且因此用戶不知道鑒定數(shù)據(jù)����。
通過圖10的流程圖說明圖9中所示數(shù)據(jù)處理系統(tǒng)的環(huán)境下更新鑒定數(shù)據(jù)的進程���。
在步驟41a請求訪問應用DD后,用戶在步驟41b把他的PIN碼輸入到終端T中并且該碼被發(fā)送到設備PSD���,在步驟42 PSD把該碼和它所存儲的PIN碼(43)進行比較����。如果它們不匹配�,把絕該請求(步驟44)�����。
如果它們匹配����,應用DD啟動更新用于應用X的鑒定數(shù)據(jù)的進程(步驟45)。為此���,該進程讀出文件F中存儲的用于應用X的鑒定數(shù)據(jù)(步驟46)并且讀出設備PSD中存儲的用于同一應用X的鑒定數(shù)據(jù)(步驟47)�。比較這些鑒定數(shù)據(jù)(步驟48)并且若它們不匹配拒絕修改鑒定數(shù)據(jù)(步驟49)。
若它們匹配�����,應用DD生成用于應用X的新鑒定數(shù)據(jù)(步驟50)并把新鑒定數(shù)據(jù)存儲在文件F中(步驟51)和設備PSD中(步驟52)���。
若終端T裝備著用于數(shù)個應用X��、Y�����,等的軟件���,在步驟53啟動更新用于應用Y的鑒定數(shù)據(jù)的新進程,并且為所有這些應用重復相同進程��。
從上述說明可得出通過靜態(tài)鑒定數(shù)據(jù)尤其靜態(tài)口令所說明的系統(tǒng)可以驗證用戶�,其中保持使用戶不知道這些鑒定數(shù)據(jù)。從而用戶不需要記住口令并且從而不會引誘用戶把口令寫在某處從而不會忘記口令����。
如果用戶不必記住或者不必輸入到終端中����,靜態(tài)口令可以是復雜的并且是能和所涉及應用相容的最大長度��。
而且�,周期性地自動更新靜態(tài)口令,即不必由用戶決定��?��!皬姟焙椭芷诟碌撵o態(tài)口令存儲在用戶個人的靈巧卡或類似形式的或者純軟件形式的保密設備中�,這對防范非法嘗試讀出其中含有的數(shù)據(jù)提供很高程度的保護��。
最后��,為了訪問應用�,所說明的系統(tǒng)不要求實時地把終端和任何不部分地執(zhí)行該應用的服務器相連接����。盡管在圖5、7和8中示出的實施例中鑒定數(shù)據(jù)管理模塊CMS可安裝在和部分地執(zhí)行該應用無關的服務器上��,它仍然保持這樣的事實��,對于訪問該應用和該獨立服務器的連接不是必須的。從而所說明的系統(tǒng)本質(zhì)上不同于口令服務器系統(tǒng)�����。
另外����,所說明的系統(tǒng)不要求對現(xiàn)有服務器進行任何修改,所需修改只涉及要安裝在該終端上的該軟件����。從而所說明的數(shù)據(jù)處理系統(tǒng)明顯地加強了現(xiàn)有通過驗證靜態(tài)鑒定數(shù)據(jù)訪問一個或多個應用的系統(tǒng)的安全性。
不必指出這些說明的實施例只是例子�,在不背離本發(fā)明的精神下可修改這些實施例,尤其是用技術等同品替代�。例如,可以不象所說明的那樣在每次訪問應用的場合或者歷經(jīng)預定時間周期后更新鑒定數(shù)據(jù)��,而是根據(jù)一些事件的數(shù)目�����。每次驗證請求時或者每次訪問鑒定數(shù)據(jù)時可遞增計數(shù)器��。每次請求驗證或者每次訪問鑒定數(shù)據(jù)時,把計數(shù)器的存數(shù)和一個閾值進行比較并且當達到該閾值時修改鑒定數(shù)據(jù)�����。該閾值可以選擇����,從而對于某應用每次成功驗證時修改鑒定數(shù)據(jù),如參照圖6說明那樣��。
必須理解本說明書中和權利要求書中使用的表達“鑒定數(shù)據(jù)”指的是用于對應用進行驗證的鑒定數(shù)據(jù)(口令���、登錄名等)以及一個或多個用于計算一個或多個鑒定數(shù)據(jù)的密鑰或私鑰�。從而上面提到的“鑒定數(shù)據(jù)”的更新即可涉及鑒定數(shù)據(jù)也可/或可涉及用于計算鑒定數(shù)據(jù)的密鑰或私鑰�。
權利要求
1.用于執(zhí)行至少一個程序的信息系統(tǒng),其中用戶對所述程序的訪問是通過向所述用戶分配至少一個鑒定數(shù)據(jù)的措施控制的�����,所述系統(tǒng)包括至少一個的包含用于執(zhí)行所述程序的至少一部分的數(shù)據(jù)處理裝置的終端�����,和所述程序關聯(lián)的用于存儲專用于所述用戶的至少一個第一鑒定數(shù)據(jù)的第一存儲器��,訪問控制裝置���,用于響應存儲在所述第一存儲器裝置中的所述第一鑒定數(shù)據(jù)和通過所述終端向所述程序施加的第二鑒定數(shù)據(jù)之間的匹配授權對所述程序的訪問��,至少一個所述用戶個人的保密設備���,其和所述終端關聯(lián)并包含用于保密地存儲所述第二鑒定數(shù)據(jù)和第二存儲器裝置,其特征在于所述終端(T)包括至少一些鑒定數(shù)據(jù)管理裝置(CMP)���,其中包括用于讀出和發(fā)送鑒定數(shù)據(jù)的裝置��,其適用于響應存在訪問所述程序的請求讀出所述第二存儲器裝置(M)中存儲的所述第二鑒定數(shù)據(jù)并且把它們發(fā)送到所述訪問控制裝置���,以及鑒定數(shù)據(jù)更新裝置,用于選擇性地命令生成新的鑒定數(shù)據(jù)并裝入到所述第一和第二存儲器裝置(F��,M)來替代以前存儲的鑒定數(shù)據(jù)�。
2.依據(jù)權利要求1的系統(tǒng),其特征在于����,所述訪問控制裝置(9)適用于響應所述第一和第二鑒定數(shù)據(jù)的一致授權對所述程序的訪問。
3.依據(jù)權利要求1或2的系統(tǒng)�,其特征在于,所述第二存儲器裝置(M)適用于存儲所述用戶的第一標識碼,所述終端(T)包括用于向個人保密設備(PSD)施加第二標識碼的接口裝置并且響應所述第一和第二標識碼(PIN)的一致授權對所述個人保密設備的訪問����。
4.依據(jù)權利要求1至3中任一權利要求的系統(tǒng),其特征在于���,所述鑒定數(shù)據(jù)更新裝置適用于自動地生成所述新鑒定數(shù)據(jù)并在不向所述用戶通知所述新鑒定數(shù)據(jù)情況下把所述新鑒定數(shù)據(jù)直接發(fā)送到所述第一和第二存儲器裝置(F����,M)����。
5.依據(jù)權利要求1至4中任一權利要求的系統(tǒng),其特征在于����,所述鑒定數(shù)據(jù)管理裝置(CMP)是構成所述程序(ACC1,ACS1�����;ACC2�,等)的一部分的軟件裝置。
6.依據(jù)權利要求5的系統(tǒng)����,其特征在于���,所述鑒定數(shù)據(jù)更新裝置(CMP)適用于一旦由所述訪問控制裝置授權訪問數(shù)據(jù)則相繼地生成新鑒定數(shù)據(jù)并裝入所述第一和第二存儲器裝置(F����,M)。
7.依據(jù)權利要求1至4中任一權利要求的系統(tǒng)���,其特征在于��,所述鑒定數(shù)據(jù)管理裝置(CMP)是和所述程序(ACC����,ACS)無關的軟件裝置��。
8.依據(jù)權利要求3和7的系統(tǒng)�,其特征在于,所述鑒定數(shù)據(jù)更新裝置適用于一旦所述驗證裝置驗證所述標識碼則相繼地生成新鑒定數(shù)據(jù)并裝入所述第一和第二存儲器裝置(F����,M)。
9.依據(jù)權利要求6或8的系統(tǒng)�����,其特征在于,所述鑒定數(shù)據(jù)管理裝置(CMP)包括用于產(chǎn)生生成鑒定數(shù)據(jù)的日期并把該日期裝入所述存儲器裝置(M)中的至少一個中的裝置并且包括用于僅當在所述存儲器裝置(M)中存儲所述新生成的鑒定數(shù)據(jù)超過一特定時間后才授權所述更新裝置生成新鑒定數(shù)據(jù)的禁止器裝置(20)�。
10.依據(jù)權利要求1至9中任一權利要求的系統(tǒng),其特征在于�,所述程序整個地在所述終端(T)內(nèi)存儲和執(zhí)行以便本地地執(zhí)行所述應用。
11.依據(jù)權利要求1至9中任一權利要求的系統(tǒng)����,其特征在于,它包含至少一個服務器(S)以及用于在所述終端(T)和所述服務器之間發(fā)送數(shù)據(jù)的裝置(R)�,所述程序部分地在所述終端(T)中存儲和執(zhí)行并且部分地在所述服務器(S)中存儲和執(zhí)行,而且所述第一存儲器裝置(F)和所述服務器關聯(lián)���。
全文摘要
本發(fā)明涉及一種用于執(zhí)行軟件的系統(tǒng)���,其中通過鑒定數(shù)據(jù)控制用戶的訪問,該系統(tǒng)包括終端(T)�,和所述軟件相關用于存儲至少一個專用于所述用戶的第一鑒定數(shù)據(jù)的第一存儲裝置(F),用于響應所述第一鑒定數(shù)據(jù)和經(jīng)所述終端提供的第二鑒定數(shù)據(jù)之間的一致授權對所述軟件的訪問的訪問控制裝置���,所述用戶個人的并和所述終端關聯(lián)的保密設備(PSD)��,以及用于保密地存儲所述第二鑒定數(shù)據(jù)的第二存儲裝置(M)�����。終端(T)至少部分地包括用于管理鑒定數(shù)據(jù)的裝置(CMP)�,該裝置包括用于響應存在對所述軟件的請求讀出所述第二鑒定數(shù)據(jù)并發(fā)送到所述訪問控制裝置的裝置以及用于更新鑒定數(shù)據(jù)的裝置����,后者用于選擇性地控制分別在所述第一(F)和第二(M)存儲裝置中生成和修改新鑒定數(shù)據(jù)以替代以前存儲的鑒定數(shù)據(jù)。
文檔編號G06F21/12GK1409836SQ0081714
公開日2003年4月9日 申請日期2000年12月15日 優(yōu)先權日1999年12月17日
發(fā)明者耶弗斯·奧德伯特 申請人:阿克蒂夫卡德公司