專利名稱:管理計算機應用程序安全性的系統(tǒng)和方法
技術領域:
本發(fā)明涉及數(shù)據(jù)處理系統(tǒng),尤其是這樣的系統(tǒng)����,對其中由這些數(shù)據(jù)處理系統(tǒng)實現(xiàn)的各種不同類型的應用程序的訪問條件��,給出一種管理系統(tǒng)和方法�����。該發(fā)明首選地應用于包括醫(yī)療����、銀行����、交通工具���、移動通訊等多種領域的計算機智能卡的微處理器���,但并非僅限于這方面的應用。
已知的多種安全性管理方法存在如下主要缺點-第一個缺點是必須分級選擇一個應用程序�,也就是說為了進入“子輩”應用程序,必須通過一種強制的選擇��,類似于在硬盤上一個目錄下選擇一個文件那樣�����,由“祖輩”應用程序開始,經“父輩”應用程序����,最后到達“子輩”應用程序;另外�,對安全問題并無任何防備。
因此����,選擇目錄級別和安全級別毫無關系。
-第二個缺點是限制安全級別數(shù)目����,或應用程序的數(shù)目。這是由于專為每一應用程序保存著一個安全記錄�����,存儲該應用程序的密碼便可獲得的權利���。為了增加n個級別��,即具有一個多應用程序系列(multiapplication series)�����,就必須使每一應用程序有一安全記錄��,從而導致使用大量的高速存儲器保存安全記錄��。由于高速存儲器的容量有限��,如此存儲許多安全記錄是不合適的��。因而在某些系統(tǒng)中�����,分級的數(shù)目或應用程序的數(shù)目限制在三個��,也就是說只限于三級安全記錄�����。
-第三個缺點是不許應用程序的簡單“釋放”�����,即“子輩”應用程序不能獨立于“父輩”應用程序�。這是因為當創(chuàng)建一個新的應用程序時,必須使用僅有的��、“父輩”應用程序的權利和密碼����,直至為該“子輩”應用程序創(chuàng)建特有的密碼。
本發(fā)明的目的是要提供一種方法��,用以管理數(shù)據(jù)處理應用程序的安全問題���,該方法沒有以上所揭示的缺點����,因而可能-使得分級的數(shù)目或應用程序的數(shù)目不受限制�����;-使“子輩”應用程序獨立于“父輩”應用程序��,在安全性方面���,前者勿需通過后者���。
因此本發(fā)明涉及一個管理數(shù)據(jù)處理應用程序安全性的系統(tǒng),其特征在于-數(shù)據(jù)處理應用程序記錄在n級樹狀結構的目錄文件中,第一級目錄是最高級�;-共有r個安全記錄,其中每一個安全記錄都可以分配給一個單一的目錄��,而每一個安全記錄包含一個目錄下所授予的所有權利或密碼S1至Sp�����。
本發(fā)明還涉及上述管理系統(tǒng)中數(shù)據(jù)處理應用程序安全性的一種管理方法�����,其特征在于它包含如下各步驟(a)在一個安全記錄中存儲在一個目錄下根據(jù)特定的規(guī)則所授予的數(shù)種權利�;(b)在樹中搜尋示出的密碼;以及(c)在數(shù)據(jù)處理應用程序所處目錄級中驗證等同于一種或多種權限知識����,以便滿足訪問條件。
該發(fā)明其它的特征和優(yōu)點將在后面給出的詳細實施范例的描述中看到�����,這些描述伴以附圖進行說明�����,其中
圖1是一個目錄樹結構的例子���;圖2.1至2.14表明一個安全記錄分配給一個目錄或從一個目錄釋放的三種應用規(guī)則的實例�;圖3.1a至3.6a和圖3.1b至3.6b是出示密碼的規(guī)則的應用實例����;以及圖4.1至4.6顯示驗證授權的規(guī)則的應用的實例。
本發(fā)明的詳細描述����,在將其應用于一個計算機智能卡,更精確地說���,用于一個智能卡的微處理器的例子中給出��。但是���,它也適用于任何數(shù)據(jù)處理系統(tǒng),其中系統(tǒng)所提供的某些服務或功能�,必須或者僅僅是只對某些用戶或操作員開放。
在智能卡的例子中��,例如銀行卡或移動電話卡�,用戶可用的服務或功能受到預訂類型特權的控制���,用戶通過提供密碼授予這些特權,得以訪問那些使用服務或功能所必要的文件�����。
本說明書的其余部分����,將采用到下列若干定義-文件是指能受到讀寫條件保護的一組數(shù)據(jù);
-目錄Rep是指一組樹狀組織的文件和/或目錄(圖1)��;通常一個目錄只是專門用于一個應用程序�����;-訪問一個文件或目錄Rep的條件��,規(guī)定了需要滿足的準則����,諸如輸入一個密碼或提交一個外部的身份鑒定,以便能夠實現(xiàn)該文件或目錄中某類或某一項功能�。
-文件和目錄組織成具有幾個級別的樹,其中最高級目錄(第一級)稱之為“根”目錄��,或該目錄樹的根����。級是具有同樣分層目錄的特征。運用若干目錄才有可能將數(shù)據(jù)構筑在智能卡上�。圖1中,僅示出了目錄Rep1,Rep2,Rep31,Rep32,Rep41,Rep42,Rep51和Rep52�,每一目錄可以包含一個或多個文件。目錄Rep1是根目錄�����,包含n=5級目錄��,目錄Rep41和Rep42屬于i=4級���。
-一個安全記錄R包含在一個目錄下所授予的所有權利���,而一項權利是證明你知道秘密的證據(jù),通過提供一個名字�����、一個數(shù)字或一條標識符得以鑒別���。證明知道秘密有多種方法���,例如通過終端和智能卡之間交換秘密的數(shù)值�,或者通過交換該秘密能夠計算出來的數(shù)據(jù)等��;這種操作稱之為出示秘密�。
一般地說,在一個智能卡上建立安全系統(tǒng)的目的是要通過證明你知道一個或更多的秘密才能使用智能卡的服務或功能��。因此����,為了使用智能卡的一種功能,必須-對智能卡來說��,將知道這一個或數(shù)個秘密的證據(jù)事先存儲在一個安全記錄中�����;-對智能卡或終端的持有人來說�,證明他知道保護該功能的這一個或數(shù)個秘密;-當使用這一功能時��,智能卡要驗證用者確實知道這些秘密����。
本發(fā)明所提供的方法包括如下各步(a)根據(jù)某一目錄下安全記錄的分配和釋放規(guī)則����,將知曉一個或多個秘密的信息即所授予的權利���,存儲在智能卡中;(b)在目錄樹中搜尋所給出的秘密���;(c)驗證確實知道秘密以滿足訪問條件�。
要把知曉一個秘密的信息存儲在一個智能卡中(步驟(a))����,必須正確地給出該秘密,相當于證明外部�,例如一個終端或一個持卡人,知道該秘密�,以便授予終端或持卡人使用智能卡提供的功能的權利。這種權利正是以一個應用程序對應一條記錄地存儲在一個安全記錄中���。
安全記錄R包含p個數(shù)字或位置�,其中每一位置被分配一個秘密知識��,相應于所授予的一種權利。對于一個具有p=8位的記錄���,它可以記錄S1至S8個秘密的知識��,相應于所授予的8項權利����。
安全記錄R的數(shù)目r可以任意�����,在即將敘述的例子中r=3�。與已有技術不同,安全記錄不再專屬某單一級別或目錄����,而一個目錄和一條安全記錄之間的連接是動態(tài)的,也就是說����,按照該發(fā)明所提供方法的規(guī)則這種連接可以不時地建立或破壞。
為了將一項權利存儲在某一目錄�,首先必須按照如下RG1至RG3三條規(guī)則從一個目錄分配或釋放安全記錄規(guī)則RG1一旦當前目錄授予一項權利,例如一條密碼或一則身份鑒別,那么該目錄便分配給一個記錄��。如果該目錄下已經授予過一項權利���,那么更新該目錄專有的記錄�。
規(guī)則RG2選擇一個新目錄導致該目錄與它原有安全記錄的連接遭到破壞����,除非如果所選的是它的子目錄���。
規(guī)則RG3如果安全記錄數(shù)r已經飽和���,也就是說在所述的例子中已使用了R=3個安全記錄,那么按照規(guī)則RG1����,就將最先分配的記錄即目錄樹中的最高級,分配給新的當前目錄�。
應該指出,應用規(guī)則RG2使我們可能將兩個安全記錄分配給同一級目錄�����,因此將一個安全記錄分配給某一目錄,可以用一個分配給有關安全記錄的分級結構Ni來描述�,其中i為1至n.圖2.1至2.14說明規(guī)則RG1,RG2和RG3的應用情況。在這些附圖和后邊其它的附圖中�,實心圓表示一個目錄,陰影圓表示所選的目錄���,而空心圓表示所選的一個釋放了權利的目錄�����。
圖2.1表示沒有選目錄����,而圖2.2和2.3分別表示選擇了目錄Rep1和Rep2��。
規(guī)則RG1的應用情況表示在圖2.4,2.6,2.8,2.10,2.12和2.14中�。圖2.4表示處于N2級的目錄Rep2下,一個出示秘密的情況�。圖2.6表示處于N3級的目錄Rep31下,出示秘密的情況���。圖2.8表示處于N4級的目錄Rep41下����,出示權利的情況。圖2.10表示處于N5級的目錄Rep51下����,出示權利的情況。圖2.12表示處于目錄Rep41下��,出示權利的情況��。圖2.14表示目錄Rep42下��,出示權利的情況��。
規(guī)則RG2的應用情況表示在圖2.5,2.7和2.9中�,示出當一個新的“子”目錄被選時���,如何在一個安全記錄和它的目錄之間維持連接����。
圖2.5,2.7和2.9分別表示選擇目錄Rep31,Rep41和Rep51�。
規(guī)則RG2的應用表示在圖2.11和2.13中,是說明一個安全記錄與其所對應的目錄之間的連接被破壞的情況�����。圖2.11表示選擇目錄Rep41,而圖2.1 3表示選擇目錄Rep42�����。
圖2.10說明規(guī)則RG3的應用�,其中分配最早的記錄R1現(xiàn)在分配給新選的目錄Rep51.
步驟(a)包括存儲與知道秘密有關的權利,而步驟(b)包括在目錄樹中搜索由持卡人或由終端提供的秘密����。
在應用程序所處目錄級提供的一個秘密,授予該同樣應用程序在該級的使用權利��。這樣�����,在處于Ni級的應用程序中成功地出示一個秘密���,根據(jù)規(guī)則RG1將更新該級專有的安全記錄����,即使所提供的秘密物理上處于一個較高級的目錄�����,情況也是如此。
出示一個秘密的規(guī)則如下規(guī)則RG4出示一個參考秘密S�����,等于驗證智能卡或終端的持有者知道從當前應用程序沿分級軸線直到根目錄發(fā)現(xiàn)的第一個參考秘密S的值��。
出示處于Ni級的當前應用程序的參考秘密S���,是由如下的中間步驟實現(xiàn)的�����,它們包括(b1)在當前目錄即Ni級中�,用一個安全管理系統(tǒng)的手段��,搜索參考秘密S���,并驗證該秘密存在于應用程序之中;(b2)如果該秘密存在�����,那么驗證出示秘密可否取得成功�����,例如密碼的值是否正確,密鑰號碼是否相符等��。
如果出示秘密的手續(xù)成功����,那么與參考秘密S相聯(lián)系的權利在Ni級的當前應用程序的目錄下被授予。
如果出示秘密的手續(xù)失敗�,那么與參考秘密S相聯(lián)系的權利未能授予,而試圖出示秘密的過程也就終止�。
(b3)如果參考秘密S在處于Ni級的當前應用程序中不存在,搜尋處于當前應用程序上一級N(i-1)的父輩應用程序中是否存在具有同樣參考信息的秘密��。
(b4)如果處于N(i-1)級的父輩應用程序中存在該秘密�,證明出示秘密的工作取得成功。
如果出示成功���,那么與參考秘密S相聯(lián)系的權利就在當前應用程序所處的Ni級下被授予���。
如果出示失敗,那么與參考秘密S相聯(lián)系的權利便沒有得到認可���,而試圖出示秘密的過程也就終止�。
(b5)如果參考秘密S不存在于N(i-1)級的父輩應用程序之中,沿著分級軸線在N(i-2)級進行搜索��,如此等等���,直至無從發(fā)現(xiàn)參考秘密S的存在�。
(b6)如果沒有找到參考秘密S����,試圖出示秘密的過程終止。
圖3.1a至3.6a和圖3.1b至3.6b給出幾個例子���,說明規(guī)則RG4的應用情況��。圖3.1a和3.1b,3.2a和3.2b,3.3a和3.3b對應授予權利的例子��,而圖3.4a和3.4b,3.5a和3.5b,3.6a和3.6b對應未能授權的例子�����。
圖3.1a中,秘密S3在本地存在于目錄Rep41之下���,而沒有給目錄Rep41分配任何記錄���。圖3.1b中����,知道秘密S3得以證實�;處于N4級的目錄Rep41分配了一個記錄R3,并授予了權利�。
圖3.2a中,秘密S3在本地存在于目錄Rep41之下����,而且記錄R3已經分配給目錄Rep41。因此知道秘密S3得以證實��,分配給目錄Rep41的安全記錄得以更新�,從而授權工作完成(圖3.2b)。
圖3.3a中�,秘密S2沒有在本地存在于目錄Rep41之下;記錄R3已經分配給目錄Rep41�,而同時一個秘密S2存在于目錄Rep2,Rep1,Rep42和Rep51之下。因此知道秘密S2得以證實�����,分配給目錄Rep41的安全記錄得以更新,從而授權工作完成(圖3.3b)�。
圖3.4a中,秘密S2沒有在本地存在于目錄Rep41之下����;記錄R3已經分配給目錄Rep41,而秘密S2存在于目錄Rep2,Rep1,Rep42和Rep51之下���。因此知道秘密S2未得到證實����,分配給目錄Rep41的安全記錄未得以更新�����,從而授權工作未能完成(圖3.4b)�����。
圖3.5a中��,秘密S2沒有在本地存在于目錄Rep41之下���;記錄R3已經分配給目錄Rep41��,而同時一個秘密S2存在于目錄Rep2,Rep1,Rep42和Rep51之下���。因此知道秘密S2未能得到證實,從而分配給目錄Rep41的安全記錄R3未能得到更新�,授權工作未能完成(圖3.5b)。
圖3.6a中�,秘密S2沒有在本地存在于目錄Rep41之下;記錄R3已經分配給目錄Rep41�����,而一個秘密S2同時存在于目錄Rep2,Rep1,Rep42和Rep51之下����。知道秘密S2未能得到證實,從而分配給目錄Rep41的安全記錄未得以更新�,授權工作未能完成(圖3.6b)。
步驟(c)包括驗證確實知道一個或數(shù)個秘密以滿足訪問條件��,亦即驗證外界確實知道保護使用智能卡一種功能和服務的秘密�,也就是說確實授予了必要的權利。
為此�,本發(fā)明給出第五條規(guī)則RG5,其內容陳述如下規(guī)則RG5要求知道某一秘密S從而取得某種功能的授權���,如果和只有如果��,由屬于有當前應用程序和包含秘密S作為它的分隔符的應用程序的樹段的至少一個應用程序����,從當前應用程序開始,沿目錄分級軸線直到根目錄應用程序����,所碰到的第一個秘密是已知的,即當前被示出的���,如果秘密S存在于當前應用程序��,這些應用程序可以被合并�����。
為了完成步驟(c)�,管理系統(tǒng)必須執(zhí)行下列步驟�,包括(c1)驗證一個安全記錄與處于Ni級的當前應用程序相聯(lián)系;(c2)如果該安全記錄包含所必需的權利���,便授權使用有關功能并結束驗證工作���;(c3)如果沒有與當前的應用程序相聯(lián)系的安全記錄���,或者如果有聯(lián)系的記錄不包括必需的權利,那么便在處于Ni級的當前應用程序中搜尋是否存在參考秘密S�;(c4)如果當前應用程序中存在該秘密����,就拒絕使用有關功能并終結驗證工作;(c5)如果處于Ni級的當前應用程序中不存在參考秘密S���,驗證是否存在一個安全記錄與當前應用程序的處于N(i-1)級的父輩應用程序相聯(lián)系���;(c6)如果與其父輩應用程序相聯(lián)系的安全記錄包括使用功能的必要權利,便授權使用該功能并終結驗證工作����。
(c7)如果沒有安全記錄與父輩應用程序相聯(lián)系,或如果有關聯(lián)的安全記錄不包括必需的權利�����,便在當前應用程序的處于N(i-1)級的父輩應用程序中搜尋是否存在參考秘密S���;(c8)如果處于N(i-1)級的父輩應用程序中存在該參考秘密S�,就拒絕使用有關功能并終結驗證工作;(c9)如果處于N(i-1)級的父輩應用程序中不存在該參考秘密S��,以及發(fā)現(xiàn)不了參考秘密S的其它情況�,驗證沿著當前應用程序的分級軸線直至跟目錄應用程序,是否存在一個安全記錄與當前應用程序的處于N(i-2)級的祖輩應用程序相聯(lián)系����;(c10)如果發(fā)現(xiàn)不了秘密,就拒絕使用有關功能并終結驗證工作�;圖4.1和4.2說明兩個授權功能的例子,而圖4.3,4.4,4.5和4.6給出拒絕使用某功能的四個例子���。
圖4.1中���,接受使用功能,因為秘密S3是本地的并在目錄Rep41下是已知的�����。
圖4.2中����,接受使用功能��,因為秘密S1雖然不是本地存在的��,但在目錄Rep2下是已知的����。
圖4.3中�����,拒絕使用功能�,因為秘密S3本地存在于目錄Rep41下��,但本目錄下沒有授權�。
圖4.4中,拒絕使用功能�,因為秘密S3本地存在于目錄Rep41下,雖然一個安全記錄分配給目錄Rep41����,但是不能證明知道秘密S 3。
圖4.5中���,拒絕使用功能��,因為秘密S2既不是本地存在于目錄Rep41�����,也不是本地存在于目錄Rep31�����,卻存在于目錄Rep2��,但沒有安全記錄分配給目錄Rep2�。應注意到雖然秘密S2在目錄Rep1是知道的,但依然拒絕使用功能�。
圖4.6中,拒絕使用功能����,因為沿分級軸線從目錄Rep41到目錄Rep1找不到秘密S1,雖然秘密S1存在于目錄Rep51和Rep32����。
權利要求
1.一種管理數(shù)據(jù)處理應用程序安全性的系統(tǒng),其特征在于-數(shù)據(jù)處理應用程序記錄在目錄文件中(Rep1,Rep2,Rep31,Rep32,Rep41,Rep42,Rep51,Rep52)����,目錄文件組成一個n-級樹��,第一級目錄(Rep1)是最高級�;以及-r個安全記錄(R)����,每個安全記錄(R)可以分配給一個單一的目錄,和每個記錄包括在某目錄下所授予的所有的S1至Sp條權利或秘密�����。
2.一種在權利要求1所述系統(tǒng)中管理數(shù)據(jù)處理應用程序安全性的方法���,其特征在于包括在下面各步驟(a)根據(jù)所給出的規(guī)則(RG1,RG2,RG3),將某目錄下授予的權利(S1至Sp)存儲在若干安全記錄(R)中��;(b)在目錄樹中搜尋所示出的秘密����;以及(c)在數(shù)據(jù)處理應用程序所處目錄級驗證知道一種或多種權利。
3.如權利要求2的方法����,其特征在于步驟(a)所說的存儲規(guī)則如下(RG1)當前目錄一旦授予某種權利便立即分配給該目錄一個安全記錄,或者如果當前目錄授予某種權利�����,那么該目錄的安全記錄便進行更新;(RG2)當選擇一個新目錄時�,便丟失原目錄與它的安全記錄之間的聯(lián)系,除非被選目錄是原目錄的子目錄�����;(RG3)如果所有安全記錄被分配�,將最早分配的安全記錄分配一個新目錄。
4.如權利要求2或3的方法�����,其特征在于步驟(b)運用如下的規(guī)則(RG4)驗證所給出的秘密(S)可在當前目錄(Ni)或較高級的目錄是已知的��。
5.如權利要求2,3或4的方法����,其特征在于步驟(b)包含如下中間步驟(b1)在處于(Ni)級的當前目錄中搜尋秘密,并驗證該秘密存在于應用程序之中���;(b2)如果該秘密(S)存在����,驗證秘密出示成功;如果出示秘密成功�,與秘密(S)相聯(lián)系的權利在當前應用程序所處的(Ni)級目錄上被授予;如果出示秘密失敗��,與秘密(S)相聯(lián)系的權利沒有承認���,終止出示秘密的嘗試���;(b3)如果當前應用程序所處的(Ni)級不存在該秘密(S),搜尋處于N(i-1)級的父輩應用程序中是否存在該秘密(S)�����;(b4)如果N(i-1)級的父輩應用程序中存在該秘密(S)�����,驗證出示秘密成功���;如果出示秘密成功,與秘密(S)相聯(lián)系的權利在(Ni)級的當前應用程序中被授予�����;如果出示秘密失敗,與秘密(S)相聯(lián)系的權利沒有承認��,終止出示秘密的嘗試����;(b5)如果處于N(i-1)級的父輩應用程序中不存在該秘密,沿分級軸線搜尋是否N(i-1)級的應用程序中存在該秘密(S)���,并驗證出示秘密是否成功��;如此等等����,直到發(fā)現(xiàn)最高級不存在秘密(S)為止���;(b6)如果秘密(S)沒有找到�,終止出示秘密的嘗試����。
6.如權利要求2至5中任一個的方法,其特征在于步驟(c)應用如下規(guī)則(RG5)要求知道某一秘密從而取得某種功能的授權����,如果和只有如果��,從當前應用程序沿目錄分級軸線直到根目錄應用程序�,對屬于當前應用程序和包含秘密(S)的應用程序在其中是分隔符的樹段的至少一個應用程序是已知的����。
7.如權利要求2至6中任一個的方法,其特征在于步驟(c)包括如下步驟(c1)驗證處于Ni級的當前應用程序與某一安全記錄相聯(lián)系��;(c2)如果安全記錄包括所要求的權利�����,授權有關的功能并終止驗證手續(xù)�����;(c3)如果沒有安全記錄與當前應用程序相聯(lián)系��,或如果雖有記錄但其中不包括所要求的權利��,搜尋處于Ni級的當前應用程序中是否存在參考秘密S��;(c4)如果當前應用程序中存在該秘密�,拒絕授權功能,終止驗證手續(xù)����;(c5)如果處于Ni級的當前應用程序中不存在參考秘密S,驗證安全記錄與處于N(i-1)級的當前應用程序的父輩應用程序相聯(lián)系�;(c6)如果與父輩應用程序相關的安全記錄包含使用某功能所必需的權利,授權使用該功能并終止驗證手續(xù)�����;(c7)如果沒有安全記錄與父輩應用程序相聯(lián)系��,或者如果有關的安全記錄中不包含必需的權利��,當前程序的在處于N(i-1)級的父輩應用程序中進行搜索��,看是否存在參考秘密S�;(c8)如果N(i-1)級的父輩應用程序中存在參考秘密S,拒授有關功能��,終止驗證手續(xù)�����;(c9)如果N(i-1)級的父輩應用程序中不存在參考秘密S�,沿著從當前應用程序到根目錄應用程序的分級軸線���,驗證當前應用程序的處于N(i-2)級的祖輩應用程序是否與某安全記錄相聯(lián)系;如果未發(fā)現(xiàn)參考秘密S����,一直持續(xù)下去;(c10)如果找不到該秘密��,拒授有關功能并終止驗證手續(xù)�����。
全文摘要
本發(fā)明給出一個管理計算機應用程序安全性的系統(tǒng),其特征在于:計算機應用程序記錄在目錄文件中(Rep1,Rep2,Rep31,Rep32,Rep41,Rep42,Rep51,Rep52),目錄文件組成一個具有n級的樹狀結構,第一級目錄(Rep1)是最高級;r個安全記錄(R)的每一個分配給一個單一的目錄,而每一個安全記錄包括一個目錄下所賦予的一組權利或秘密Sl至Sp��。
文檔編號G06F21/62GK1295683SQ99804589
公開日2001年5月16日 申請日期1999年1月20日 優(yōu)先權日1998年1月29日
發(fā)明者C·庫利爾, P·布倫 申請人:格姆普拉斯公司