專利名稱::物理訪問控制的制作方法
技術領域:
:本發明涉及數字證書領域,特別是用于控制物理訪問的數字證書確認領域。
背景技術:
:數字證書(C)由發證機構(CA)的數字簽名組成,其將幾個數值安全匯集在一起SN、對證書唯一的序列號、PK、用戶的公鑰、U-用戶的標識符、D1-發行日期、D2-有效期、及另外的字段。表示成符號,C=SIGCA(SN,PK,U,D1,D2,...)。經過廣泛驗證的是,數字證書提供最佳形式的因特網和其它訪問鑒別。然而它們也難于管理。證書可能在一年后過期(即D2-D2=1年),但它們可能在其過期前被取消,例如,由于它們的持有人離開他們的公司或在公司內擔任不同的職務。因而,由給定數字證書使能的每一事務需要該證書當前有效的適當證據,且該證據通常需要被存檔以保護將來的主張。不幸地,用于證明所發出的證書的有效性的傳統技術并沒有做得很好。以未來的數字證書的容量,今天的有效性證據將既難于以安全方式獲得,又太長了,因而太昂貴從而不能傳輸(特別是在無線設置中)。證書確認被普遍認為是至關重要的問題。除非得以有效地解決,其將嚴重限制PKI的增長和有用。目前,有兩種主要的方法來證明證書的有效性證書廢除列表(CRL)及在線證書狀態協議(OCSP)。CRLCRL被定期發出。CRL實質上由CA簽署的列表組成,其包含所有被取消的證書的序列號。與電子事務一起出現的數字證書接著與最近的CRL進行比較。如果給定證書沒有過期但在列表上,則每個人均可從CRL知道該證書不是有效的,且證書持有人不再有權進行該事務處理;否則,如果證書沒有出現在CRL中,則證書被演繹為是有效的(雙重否定)。CRL尚沒有得到太多的關切,因為害怕它們變得難以管理的長。(該害怕已通過最近的CRL分區技術而得以稍微減輕)。幾年前,國家標準和技術研究院向MITRE公司分發任務,令其研究聯邦政府的公鑰基礎設施(PKI)的組織和成本。(見公鑰基礎設施,最終報告;MITRE公司;國家標準和技術研究院,1994)。該研究得出結論,到目前為止,CRL構成聯邦的PKI成本列表中的最大項目。OCSP在OCSP中,CA通過返回C自己的數字簽名在當前時間的有效性狀態而回答一詢問。OCSP在以下方面有一些問題。帶寬。由OCSP產生的每一有效性證據具有不同尋常的長度。如果使用基于RSA或其它因子分解的簽名方案,實際上,該證據要求最少2,048位用于CA的簽名。計算。數字簽名是計算上復雜的運算。在某些大型應用中,如在峰值業務量時,OCSP可能要求在短時間內計算數百萬個簽名,其在計算上代價非常高。通信(如果集中)。假設一個確認服務器以集中的方式實施OCSP。則,所有證書有效性詢問最好均將不得不發送給它,該服務器將是導致相當的擁塞和延遲的大“瓶頸”。如果大量誠實的用戶突然詢問服務器,則“拒絕服務”的中斷將可能發生。安全(如果是分布式的)。通常,將一個服務器的負載跨幾個(如,100)服務器分布,這些服務器戰略地位于全球各地,以減輕網絡擁塞。然而,在OCSP情況下,負載分布產生比其解決的問題更壞的問題。為了將其響應加到其接收的證書詢問,100個服務器的每一個均應有其自己的秘密簽名鑰匙。因而,危及100個服務器的任一服務器均將危及整個系統。安全電子庫可保護這樣的分布服務器,但非常昂貴。
發明內容本發明公開了一種通過數字證書確認過程控制物理訪問的系統和方法,其與標準證書格式一起工作并使發證機構(CA)能夠在任何時間間隔(如每天、小時、或分鐘)證明每一證書C的有效性狀態,時間間隔起始于C的發出日期D1。C的時間間隔可在證書本身內指定,除非對所有證書其是一樣的。例如,所有證書可具有一天的間隔,且每一證書在發出365天后過期。假定由CA提供某些初始輸入,使用單向散列函數來計算包括在數字證書上的所指定的字節大小的值,并計算保密并使用在確認過程中的其它值。控制物理訪問包括檢查實時憑證,其中實時憑證包括固定的第一部分及定期修改的第二部分,其中第二部分提供實時憑證是最新的證據;通過執行第二部分上的運算并將結果與第一部分比較來驗證實時憑證的有效性;及僅在實時憑證被驗證為有效時允許物理訪問。第一部分可由機構數字簽署。機構可提供第二部分或第二部分可由機構以外的實體提供。實時憑證可被提供在智能卡上。用戶可在第一位置獲得實時憑證的第二部分。用戶可被允許訪問不同于第一位置并與其分開的第二位置。實時憑證的第一部分的至少一部分可代表單向散列,其被多次施加到實時憑證的第二部分的一部分。多次可對應于自實時憑證的第一部分發出后逝去的時間量。控制物理訪問可包括通過門控制訪問。本發明將參考幾個附圖進行描述,其中圖1為根據本發明的一實施例的示出CA怎樣將關于每一其發出的單個證書廢除狀態信息CRSi發送給索引簙的示意圖,其中這些證書C1,...Ck尚未過期。圖2為在不重要的OCSP環境中的事務順序的示意圖。圖3為在服務器中導致相當擁塞和延遲的大“瓶頸”的示意圖。圖4為示出在服務于源自不同安全領域的證書有效性請求中OCSP如何具有困難的示意圖。圖5為根據本發明的一實施例的服務于源自不同安全領域的證書有效性請求的示意圖。圖6為根據本發明的一實施例的RTC系統的示意圖。圖7為根據本發明的一實施例,在跨CA環境中,RTC-over-OCSP將被怎樣展開的示意圖。圖8為根據本發明的一實施例的系統運行的示意圖。圖9為偷取的計算機時間線(timeline)的示意圖。優選實施例的詳細描述安全物理訪問確保只有經授權的個人才能訪問受保護的區域是至關重要的(如,在機場、軍事裝置、辦公樓等)。受保護的區域可由物理的門(特別地,通過門人可進入,或集裝箱、保險箱、或汽車的門)和墻確定,或可以其它方式實質性地確定。例如,受保護的區域可包括這樣的區域,進入其將導致檢測器發出侵入信號(且如果未被授權,則可能發出警報信號或聲音)。在機場,通常,通過出口通道進入大門區域將引發這樣的信號,即使沒有門或墻被侵犯。還應注意的是,在本申請中,門應被解釋為包括所有其它類型的訪問-控制裝置,其可以傳統或更現代類型的鑰匙實施。特別地,用于啟動引擎的鑰匙機構(從而我們的發明成為確保只有當前經授權的用戶才能啟動飛機、火車、或其它有價值的訪問的新方式)。已建立了我們上下文的一般性,在具體性的、但不損失一般性的結局中,我們將“門”稱為控制訪問或建立周界的手段,并將“進入”稱為訪問希望保護的區域的手段。智能門提供這樣的訪問控制。在最簡單的層次,智能門可被裝備以鍵座,用戶通過其輸入他/她的PIN或密碼。鍵座具有一附加的存儲器或基本的處理器,其中保存有有效PIN/密碼的列表,從而可檢查當前輸入的PIN/密碼是否屬于列表上的PIN/密碼之一。如果是,則門打開,否則其保持為鎖住的狀態。該基本的訪問控制機構提供最小的安全性。特別地,解聘的雇員不再被授權通過該門;然而,如果他還記得自己的PIN,他將沒有任何問題的打開這樣的基本的智能門。因此,“消除”已解聘雇員的PIN是非常必要的。然而,這樣的程序非常麻煩且成本高昂機場設施可能有數百個門,無論雇員何時離開或被解聘,派遣一特殊的工人隊伍出去“消除”所有這樣的門太不實際了。肯定需要更多的安全性,且不產生過多的花費和犧牲方便性。當然,除了(唯一地)依賴于傳統的鑰匙或簡單的鍵座,更現代的智能門可與如智能卡及磁條卡的卡或無接觸裝置一起工作(單獨的或連同一起)。但該增強的工具裝置并不本質上保證訪問-控制系統的安全性、便利性和低成本。這些均非常重要地依賴于在整個安全體系結構中使用了多少這樣的工具。理想地,智能門應識別進入的人并驗證其當前是否有權進入。在兩個任務中,第一個可能較容易。身份識別可以各種方式執行具體地1.使用PIN及密碼,其可在連接到門的鍵座上輸入;2.使用生物測定特征,其可由用戶經連接到門的特殊讀取機輸入;3.使用傳統的簽名,其由用戶經連接到門的特殊的墊提供;4.使用智能卡或無接觸卡(如經特殊的讀卡機/接收器將PIN發送給門);5.使用數字證書—如其保存在智能卡、無接觸卡或無線裝置中,其可經讀卡機或其它接收器“通信給門”。我們認為,對于使用在本發明的系統內,數字證書特別有吸引力,因而我們希望進一步詳細描述其以某些方式與智能卡一起使用,我們設想將其組合在本發明系統內。具體地,但不損失一般性,我們將希望訪問的個人擁有的裝置稱為“卡”。卡可保存數字證書及相應的密鑰。基于卡持有人的適當指令(例如,通過在卡上的鍵座上按密碼而執行),卡將數字證書傳輸給門機構并通過使用相應的密鑰執行識別協議(如解密隨機的挑戰)。優選地,數字證書,特別地及其相應的密鑰,應被保護在卡/裝置的安全硬件部分內。在某些情況下,可能希望匿名的而不是安全訪問控制。在這種情況下,不需要執行識別,但需執行授權。然而,在大多數情況下,某些形式的識別被規定因而我們假定識別可或已經被執行(如通過上述的5種方法之一)。總之授權可怎樣被執行?即使門已肯定地知道正應付JohnDoe,但門怎樣能確保JohnDoe是當前有權進入的人?傳統地,智能門請教當前(如給定的天/日期)授權的用戶的數據庫以驗證其實際上為請求訪問的個人。但這要求智能門連接到遠處的數據庫。此外,這不是普通的網絡連接其必須是安全的網絡連接。實際上,不僅必須使用密碼保護的通信以防止冒名頂替者模仿連接到門的數據庫,還必須防止敵人切斷將門連接到數據庫的線纜,否則一旦斷開,門必須從同等壞的選項選擇(a)一直打開或(b)一直保持關閉。但安全網絡連接很容易使門鎖的機電組件的成本變小線路組件最多花費$1000,而安全網絡連接可能花費$4000(如果線纜必須大距離安全連接則更多,如在機場。此外,即使在花費該$4000之后,在公共場所如機場有安全網絡連接嗎?應注意的是,向智能門提供到遠處的數據庫的無線連接也是不可能的。首先,長距離無線發射機和接收機非常昂貴。其次,在某些設施中,無線帶寬可能被嚴格限制(以避免可能干擾其它裝置)或根本禁止這樣的使用。第三,無線通信很容易堵塞,從而有效地將門與數據庫斷開(因而強迫其選擇兩個同等壞的決定)。第四,如果門屬于大西洋中間的集裝箱,很可能其根本不能與岸上的任何數據庫無線通信)。因而本發明的一方面是提供低成本、方便且安全的分離的智能門,其是不連接到(無論有線或無線)任何數據庫或機構的低成本、方便且安全的智能門。數字簽名和證書在優選實施例中,本發明依賴于數字簽名,且優選地依賴于20字節技術。數字簽名(如RSA)用于證明特定的消息M源自特定的用戶U。為此目的,U產生一對匹配鑰驗證鑰PK和簽名鑰SK。數字簽名經SK產生,且經匹配鑰PK驗證。用戶U應對其自己的SK保密(使得只有U可代表U簽名)。數字簽名之所以工作是因為PK不會“背叛”匹配鑰SK,即,PK的知識不會在計算SK方面給敵人任何實際的好處。因此,用戶U應使其自己的PK盡可能公開(使得每一人均能驗證U的簽名)。為此,PK最好被叫作公鑰。我們將用SIGU(M)表示消息M的U的數字簽名。數字簽名意于包括私鑰簽名,在這種情況下,簽名人和驗證人可共享一公共的密鑰。叫作證書的文字數字字符串通過保證特定鑰PK確實是用戶U的公鑰而使能數字簽名。一旦確定用戶的身份,發證機構(CA)產生并發出證書給用戶。因而,該證書向所有人證明CA已驗證持有人的身份,及可能其它屬性。(如,如果公司充當其自己的CA并向其雇員發出證書,證書一定程度上可證明其持有人是經授權的以綁定他/她的雇主)。證書在指定的時間量之后過期,在公共CA的情況下通常為1年。實質上,數字證書C由CA的數字簽名組成,其將幾個數字安全地結合在一起SN、唯一的證書序列號、PK、用戶的公鑰、U、用戶的名字、發出日期D1、期滿日期D2、及另外的數據。表示成符號,C=SIGCA(SN,PK,U,D1,D2,...)。證書還可包括PK為加密鑰的情況。在這種情況下,U可向驗證人V證明其身份,其通過將證書C發送給V,并使V使用鑰PK加密隨機挑戰(字符串)R,并繼而請求U將解密發回。如果用戶使用R做出響應,則V確信其正應付U,因為只有U知道匹配PK的解密鑰。本發明的優選實施例提供了非常好的用于訪問控制的解決方案。具體地,如果卡包含根據本發明的數字證書,則授權將被很便宜地執行。代替向中央數據庫詢問每一數字證書的有效性,門只需獲得根據本發明的20字節有效性證據,其確認卡的當前有效性。例1現在,A為控制一組智能門的機構(即實體),U為在特定時間段應被授權訪問特定門的用戶。每一用戶擁有一卡(如前述一般意義的卡)。每一智能門具有一關聯的讀卡機(一般意義的能夠通信或至少可從用戶卡接收信息),在真正物理(而不是虛擬的)門的情況下,其與機電鎖連接。優選地,每一門還具有唯一的標識符(并知道其自己的標識符)。門具有讀卡機及不易竄改的鎖及擁有A的公鑰PKA并能夠驗證A的簽名的計算裝置。在特定時間段,機構決定哪一用戶可通過哪一門。(例如,在不損失一般性的情況下,我們假定每一感興趣的時間間隔由天組成。)為此目的,A可使用其自己的私用數據庫DBl,保存所有的許可,其為在特定日(或任何可預見的未來的某天)誰有權通過哪一門。可推測地,A保護該數據庫,否則敵人可能為其目的而改變保存在那里的許可。然而,A從DB計算公共數據庫PDB如下。對于具有在天d通過門D的許可的每一用戶U,A計算數字簽名SUDd,其指出這確實是事實。例如,A計算SUDd=SIGA(U,D,d)。應注意的是,只有A可計算這些數字簽名,所有具有A的公鑰PKA的人均可驗證它們。不知道A的密鑰SKA的人不可能偽造這些簽名,且他們在不使這些簽名無效的情況下也不能以任何方式(如將U的許可轉換為用于未授權用戶U的許可)修改這些簽名。因而,A可及時且沒有太多擔憂地計算和發送(如在一天的開始)這些簽名到儲存庫PR。儲存庫是可由用戶訪問的地方。例如,位于大型設施的雇員入口(如機場的雇員入口)處的服務器。因為A的簽名是不可偽造的,在A和PR之間的連接不需要是安全的。其足以使A在合理的時間內將其簽名成功轉移到PR。當雇員U在一天d到達設施(如通過PR位于其處的入口點)工作時,其可將其卡與PR相連接(如,其將卡插入與PR連接或與PR遠程通信的讀卡機/記錄器)。通過這樣做,其在其卡上獲得SIGUDd,指出該天其有權通過門D的數字簽名。這要求入口點而不是數百個門與A連接,且該連接也不需要是安全的。實際上,D不必僅指單一的門。例如,其可指一組門(如行李處理門),且A的簽名指U可通過由D所指的每一門。或者,多個門D1、...、Dn可被逐一指定,且U可通過其中的每一門的事實可由A的一個以上的簽名指出。例如,SIGUD1d...SIGUDnd。在這種情況下,所有這些簽名均被轉移到U的卡中。現在假定在一天d期間U在設施中四處行走并到達其已有授權的許可的門D。因此,其卡現在保存SIGUDd。接著,U可將其卡C插入在門D處的讀卡機。與該門關聯的處理器則使用A的公鑰驗證SIGUDd確實是有效的。接著使用其自己的時鐘驗證當前日確實是d。如果兩項均是真的,則門D打開。應注意的是,門可通過執行各種方式的識別檢查其確實是卡持有人。特別地,U還可被要求在與門關聯的鍵座上輸入其PIN。(注意,不同于以前的,被解雇的雇員不能進入門D,即使其記得自己的PIN。實際上,在該例子中的門將同時需要PIN及當天的正確簽名。然而,在U已被解雇后,A不再為任何隨后的天d產生簽名SIGUDd,因此U不能向門提供該簽名。他也不能偽造A的該簽名。因此,在其被解雇后的任何日子,其均不能“說服”D打開。)或者,僅在U在C的背面上的鍵座上輸入正確的PIN時,卡才可將SIGUDd轉移到D的讀卡機,且僅在卡證明其確實是U的卡之后,儲存庫PR可將SIGUDd下載到卡C上。或者,U可描繪屬于U的卡C的標識符,且當插入在讀卡機中時,如借助于密碼協議,卡可證明其確實是卡C。或者,最后優選地,U的卡攜帶U的證書,且在輸入正確的PIN之后,卡通過解密門的隨機挑戰而證明U的身份。在這種情況下,SIGUDd最好指出U具有通過門D的許可,其通過指出U的證書攜帶其所有人的許可實現。例如,SIGUDd=SIGuDd,其中u是U的證書的標識符,如U的證書的序列號(和發行人)。在所有這些方式中,應該意識到的是,門“分離”于A。門僅(可能識別U并)經內部計算和使用A的公鑰及其自己的內部時鐘檢查U具有進入的許可。因此,系統不僅非常安全,而且還非常經濟。該有效性或授權證據可以多種不同的方式提供。下面正是這個怎樣被完成的例子。例2卡所有人可在適當時間“獲得”有效性證據。例如,在工作環境中,每人在報到而開始工作時可獲得當前的有效性證據。在許多工作地方(特別是那些對安全敏感的地方,如機場),雇員在報到而開始工作時簽到。該“簽到”可包括獲得20字節的有效值,SIGUDd,并將其保存在卡上。卡可經有線的或無線的連接獲得該值。例3卡可經無線網絡如呼機網絡獲得有效性證據。在適當的時間,如果卡被授權訪問,20字節的值被發送給卡。應注意,帶寬要求是最小的授權值短于呼機網絡傳輸的典型消息。在適當的時間,如果卡被授權訪問,SIGUDd被發送到該卡。例4經有線或無線網絡,門可類似地提前獲得其預期將遭遇的每一卡的有效性證據。例5當卡開始與其相互作用時,門可經要求獲得卡的有效性證據。應注意,沒有任何上述方法要求門和中央服務器之間的任何種類的安全連接。這是因為有效性證據是自我鑒別的,從而即使門從一不信任的源和/或經不安全的連接接收有效性證據,仍可確定其正確性。事實是,在大型和/或遠程區域、具有多個門的區域及移動區域,如飛機或火車的門,這些方法根本不要求連接來用于門提供更好的手段以進行訪問控制。還應注意的是,在本申請中,門和受保護的區域應被解釋為包括可以傳統或更現代類型的鑰匙保護的所有其它類型的訪問點。特別地,用于啟動引擎的鑰匙機構(使得只有當前有權的雇員可啟動飛機、火車或其它引擎)。本領域技術人員可認識到的是,20字節有效性證據是特殊限制類型的數字簽名方案,在其提供獨一無二的優點時,如壓縮性和效率,通過實踐具有更一般的數字簽名方案的本發明可得到許多其它優點,其可能不需要確認技術。本發明的優選實施例的組件為(1)能夠驗證數字簽名的門機構,其與基于成功驗證而打開門的裝置相連接;(2)機構組件,其提供數字簽名,該簽名表示通過門進入的授權在特定時間段已被準予;(3)能夠接收數字簽名并呈現它的卡或其它有線/無線裝置組件。訪問授權可伴隨以下述步驟順序之一順序1(1)機構組件使得卡接收授權簽名;(2)卡接收并保存授權簽名;(3)卡將授權簽名呈現給門,其驗證簽名并僅在授權簽名有效的情況下打開。順序2(1)將卡呈現給門以請求訪問授權;(2)門請求授權簽名;(3)機構組件使門接收授權簽名;(4)門驗證授權簽名并僅在其有效時打開。順序3(1)卡從機構組件請求授權簽名;(2)機構組件將授權簽名傳輸給卡;(3)卡接收并保存授權簽名;(4)卡將授權簽名呈現給門,其驗證簽名并僅在授權簽名有效時打開。順序4(1)門提前(或按其自己的請求或不是)從機構組件接收其預期將遭遇的多個卡的授權簽名;(2)將卡呈現給門以請求訪問授權;(3)門驗證卡的授權簽名并僅在其有效時打開。這些順序僅是多個例子的一部分。另外,這些順序可被組合。例如,門可接收信息/授權的一部分(如20字節的值),而卡可接收另一部分(如數字證書)。它們還可被及時地分開卡可首先接收信息/授權的一部分(如數字證書),隨后再接收其它部分(如每小時的20字節值)。此外,授權數字簽名可被賦于卡持有人的長期證書。例如,卡可包含在每一年有效的長期證書,且機構組件可發出每天的簽名以驗證證書在當前日還有效。在沒有任何請求的情況下,機構組件可自動產生授權。例如,機構組件可在每天晚上為第二天將被授權的雇員產生授權簽名。這種方法使授權組件能夠是非交互的,因而較容易安全地建立。另外,授權組件可使用分開的、可能不安全的裝置,其用于將授權簽名分發給卡和/或門。這將使授權組件能夠僅集中于一個任務產生授權。其將不需要在安全授權組件和(可能較不安全的)門及卡之間的麻煩的直接連接。特別地,授權的分發可按如下步驟發生(1)機構組件產生授權;(2)機構組件在可能不安全的連接上傳輸授權給分發數據庫。這些數據庫可以在多個位置且不需要是安全的。例如,在具有5個雇員入口的公司中,可能在每一入口均有一分發數據庫。(3)分發數據庫將授權傳輸給卡和/或門,或基于請求(“拉”)或自動地(“推”)。使能上述分發的特性在于授權本身是不可偽造的,其僅能由機構組件產生。因此,一旦產生,其可在可能不信任的線路和裝置上分發,沒有任何安全風險。這使得不需要任何其它方或裝置與機構組件交互,因而導致較任何要求安全連接的方案更便宜的解決方案。事實上,該系統中的任何組件之間的連接均不需要是安全的。(只有機構組件本身必須是安全的,使得不會產生不適當的授權。)因而,容錯的、分布式的訪問授權體系結構可被更容易地建立。此外,如前所述,可能在不需要任何用于門的連接的情況下建立該體系結構。應該意識到的是,本發明的訪問控制系統可與部分3的租戶CA結合。例如,幾個機構(如在一辦公樓內,停車機構、清潔機構、或共享使用辦公樓的多個公司)在保持對訪問不同受保護區域的持有人的能力進行單獨控制的基礎上可使用同樣的證書。例6系統可運行如下。用戶U(或其卡)具有證書CERT,其包含一確認字段—即D365-用于感興趣的每一門D。U可在天j通過門D的許可可通過釋放不可偽造的20字節值X365-j進行證明。門D可通過將其散列j次并檢查結果是否與CERT的有效性字段D365一致而檢查該許可。假使A必須應付多個門(如1000個門),則CERT可包含1000個不同的有效性字段,每一字段對應于不同的門,且每一門Dj檢查其相對于第j個有效性字段的計算。在這種情況下,即使用戶通過每一門的許可被分開提供,每一用戶在特定日具有至多1000個證據。因而在特定日需要至多20k字節裝載于其卡上。應注意的是,因為在此卡為一般的卡,卡可以是無接觸卡,讀卡機可以是接收機,且卡不需插入讀卡機但需傳輸到讀卡機。注意,該“無線”卡-讀卡機交互還是非常局部的,且非常不同于A或數據庫在遠處時的卡-機構/數據庫交互。此外,授權數字簽名可被賦于卡持有人的長期證書。例如,卡可包含在每一年有效的長期證書,且機構組件可發出每天的簽名以驗證證書在當前日還有效。在沒有任何請求的情況下,機構組件可自動產生授權。例如,機構組件可在每天晚上為第二天將被授權的雇員產生授權簽名。這種方法使授權組件能夠是非交互的,因而較容易安全地建立。事實上,該系統中的任何組件之間的連接均不需要是安全的。(只有機構組件本身必須是安全的,使得不會產生不適當的授權。)因而,容錯的、分布式的訪問授權體系結構可被更容易地建立。此外,如前所述,可能在不需要任何用于門的連接的情況下建立該體系結構。應該意識到的是,本發明的訪問控制系統可與部分3的租戶CA結合。例如,幾個機構(如在一辦公樓內,停車機構、清潔機構、或共享使用辦公樓的多個公司)在保持對訪問不同受保護區域的持有人的能力進行單獨控制的基礎上可使用同樣的證書。記錄分離的門的訪問證據當分離的(分離于機構和數據庫)且也非常安全的同時,低成本且便利的智能門最好是連接的智能門,后者提供通過特定門記錄訪問的能力。例如,知道誰曾在特定日通過特定門是非常重要的。連接的門通過發送適當的訪問信息到遠處的數據庫或機構而很容易做到這點。但分離的門不能徹底做到這點。訪問信息可通過發送適當的個人信息以從門到門收集該信息而收集。這不總是很方便地去做。然而,下面的系統提供了非常可行的選擇。當用戶U在時間t通過(或企圖通過)門D時,門可產生適當的字符串LOGUDt,并將其本機保存(至少暫時地)。為確保該信息到達適當的數據庫,門可使用用于通過其進入的卡。例如,D可將LOGUDt寫(或使得LOGUDt被寫)在其它用戶U(可能包括U自己)的卡上。無論U在何時與PR(如下一工作日)或任何其它有線的或良好連接的裝置連接,則PR或所述裝置將LOGUDt傳輸到適當的數據庫。這種情況下,適當的數據庫將最后接收并繼而以較容易核查的方式更永久地保存LOGUDt。可能數據庫將接收LOGUDt的冗余拷貝,但其很容易清除任何不想要的冗余并僅保留原始副本。優選的LOGUDt包括U自身的數字簽名。這種情況下,當U在特定時間通過特定門時其不能容易地拒絕,且U聲稱門的訪問信息是偽造的。事實上,只有他具有用于產生LOGUDt的秘密簽署的鑰匙。例如,LOGUDte由SIGU(D,t)組成,其指出U在時間t通過門D。如果用戶U的卡攜帶與公鑰PKU匹配的秘密簽署的鑰匙SKU,則這非常容易實現。優選地,卡還攜帶PKU的數字證書,并因而LOGUD可不僅包括SIGU(D,t),還包括U的證書。也是優選地,用戶卡可根據在其自己的時鐘上顯示的時間t產生SIGU(D,t),且門可僅在U提供該訪問證據(可能除了其它授權證據如那些前面討論的證據以外)SIGU(D,t)之后讓U進入,假如由U鑒定的時間足夠接近門時鐘測量的當前時間t。用戶還可能要求在時間t進入門D,但該門完全在另一地方,因而SIGU(D,t)一點也不能證明其曾通過如特定建筑的第三層的第二門某些人有問題的通過以將所述位置傳輸到門的讀卡機等。為防止這樣的要求,或保護用戶免遭這樣的欺騙,用戶卡(裝置)可結合一GPS機構,SIGU(D,t)可實際上包括由卡測量的本地位置LP。在這種情況下,用戶可將訪問證據SIGU(D,t,ps)趨向于門,門可接受它且僅在不僅時間看上去正確而且本地位置也正確時讓用戶進入。與其計算卡/裝置內的ps,用戶不如使用其信任的一個或多個組件,且該組件可從它們自用戶處接收的信息計算用戶的位置(及可能它們自己的位置)。實施基本系統如圖1中所見,CA將個人證書廢除狀態信息CRS發送給目錄,其關于每一其發出的、但尚未過期的證書C1,...Ck。目錄將CRSi發送給已詢問該發證機構的序列號為“i”的證書的請求用戶。本發明公開了一種用于通過數字證書確認過程來控制物理訪問的系統和方法,數字證書確認過程與標準證書格式(如X.509v3)一起工作,且其使發證機構(CA)能夠證明每一證書C自C的發出日期D1開始的任何時間間隔(如每天、小時、或分鐘)的有效性狀態,C的時間間隔可在證書本身內指明,除非其對所有證書是一樣的。具體地但非限制的目的,下面我們為所有證書假定一天的間隔,且每一證書自其發出365天后期滿。制作證書C。除了傳統的數字如序列號SN、公鑰PK、用戶名U、發出日期D1、期滿日期D2(=D1+365)之外,證書C還包括兩個對其唯一的20字節值。明確地,在發出證書C之前,CA隨機地選擇兩個不同的20字節值,Y0和X0,并從它們計算兩個對應的20字節值,Y1和X365,其使用享有下述特性的單向散列函數HH至少10000倍快于數字簽名計算;無論輸入多長,H產生20字節輸出;且H很難顛倒給定Y,發現X使得H(X)=Y實際上是不可能的。(見,例如,安全散列標準;FIPSPUB180,94年7月11日修訂(聯邦注冊,Vol.59,No.131,pp.35211-34460);1994年8月5日修訂(聯邦注冊,Vol.59,No.150,pp.39937-40204))。值Y1通過散列Y0一次計算Y1=H(Y0);X365通過散列X0365次計算X1=H(X0),X2=H(X1),...,X365=H(X364)。因為H總是產生20字節輸出,Y1、X365和所有中間值Xj均為20字節長。值Y0、X0、X1、...、X364被保密,同時Y1和X365被包括在證書中C=SIGCA(SN,PK,U,D1,D2,...,Y1,X365)。我們將Y1稱為廢除目標,把X365稱為有效目標。廢除及確認尚未過期的證書C。在C發出后第i天(即在D1+i天),CA按如下計算并釋放C的狀態的20字節證據。如果C被廢除,則作為C廢除的證據,CA釋放Y0,即,廢除目標Y1的H倒置(H-inverse)。否則,作為C在那天有效的證據,CA釋放X365-i,即,有效目標X365的第iH倒置。(例如,C在發出100天后有效的證據由X265組成。)CA可通過提供響應于詢問的值或將其發送在萬維網上而釋放Y0或X365-i。驗證尚未過期的證書C的狀態。在任何日子,C的廢除證據Y0通過散列Y0一次并檢查結果是否等于C的廢除目標Y1來驗證。(即,驗證人自己測試Y0真地是Y1的H倒置。)注意,Y1被保證是C的廢除目標,因為Y1在C內被證明。在C發出后第i天,C在該天的有效證據X365-i通過將值X365-i散列i次并檢查結果是否等于C的有效目標X365而驗證。(即驗證人自己測試X365-i真地是X365的H倒置)。注意,驗證人知道當前日D及C的發出日D1,(因為D1在C內被證明),并因而立即計算i=D-D1。安全件廢除證據不能被偽造。證書C的廢除證據由C的廢除目標Y1的H倒置組成。因為H實質上不可能倒置,一旦驗證人檢查給定的20字節值Y0確實是C的廢除證據,其知道Y0肯定已被CA釋放。事實上,只有CA可計算Y1的H倒置不是因為CA比任何其它人能更好地倒置H,而是因為其通過以Y0開始并散列它而計算Y1。因為只要C保持有效,CA永遠不釋放C的廢除證據,敵人不能偽造廢除證據。有效性證據不能被偽造。在天i,證書C的有效性證據由C的有效性目標X365的第iH倒置組成。因為H實質上不可能倒置,一旦驗證人檢查給定的20字節值X365-i確實是C在天i的有效性證據,其知道CA肯定已釋放X365-i。事實上,只有CA可計算X365的第iH倒置不是因為CA比任何其它人能更好地倒置H,而是因為其通過以X0開始并散列它365次而計算X365,因而計算X365的所有第一365倒置。如果證書C在天i+1被廢除,CA已經在先前的i天中釋放值X365-1,...,X365-i(當C還有效時)但尚未釋放并將在將來永遠釋放值X365-i-1(或任何其它值Xj,j<365-i)。因此,為偽造C的在i+1天有效的證據,敵人應計算X365的i+1stH倒置(即X365-i的H倒置),其非常難于實現。類似地,敵人不能為C計算在i+1之后的任何天的有效性證據。要那樣做,應該能夠再次在輸入X365-i的基礎上倒置H。例如,如果其能計算C在i+2天的有效性證據,X362-i-2,則通過將其散列一次,可容易地獲得X365-i-1,X365-i的H倒置。效率證書C僅包括兩個另外的20字節值,Y1和X365。這是可忽略的成本。取消了C已經包括數據的CA簽名(至少2048位長),其包括公鑰PK(至少1024位長),及C可包括注釋及除SN、PK、U、D1和D2之外的大量其它數據。產生和僅要求366次散列。這是可忽略的成本。其取消了發出證書已經要求計算簽名。廢除證據和有效性證據僅20字節長。我們的20字節證據均為微不足道的傳輸和存儲,使得20字節技術對無線應用是理想的技術(在此,因為帶寬還有限,許多移動電話和其它無線設備的存儲容量也有限)。根據本發明的實施例的證據可以如此短,因為它們使它們的安全性源自基本的密碼組成,如單向函數,其可展現指數級的安全性。(非常不同地,數字簽名方案具有復雜的安全性要求。它們的典型的數字理論實施至多提供亞指數級的安全性,并因而使非常長的密鑰稱為必要。)無論證書的總數字是幾百還是幾十億,證據保持20字節長。事實上,有2160種可能的20字節字符串,且兩個證書碰巧具有相同的廢除或有效性證據的可能性可以忽略不計。還應注意的是,由于加密或鑒別,我們的20字節證據的長度不會增加。我們的20字節證據傾向于公開并因而不必加密。類似地,我們的20字節證據是自我鑒別的通過將它們散列適當的次數,它們產生證書內指明的有效性目標或廢除目標。如果被偽造或改變,它們將不工作,因而不必以任何方式簽署或鑒別。最后,在i天的20字節有效性證據X365-i不必另外包括值i在某種意義上,其已經包括其自己的時間戳。實際上,如上所述,i是當前日期和證書的發出日期之間的差,如果散列X365-ii次產生證書C的有效性目標,則這證明X365-i是C在i天的有效性證據。20字節證據被立刻計算。廢除證據Y0或有效性證據X365-i只是從存儲器檢索。(或者,如果在證書發出期間只是X0被保存,每一X365-i可被在i天匆忙地再次計算;例如,通過至多364次散列。令人驚奇地更有效的策略在下面的部分中討論。)無線環境本發明的實施例對于無線實施是理想的。其可升級性是巨大的其可輕松供應幾十億證書。其要求的帶寬可忽略不計,實質上30位序列號用于詢問,20字節用于響應。其要求的計算也是可以忽略的,因為證書狀態詢問由單一的表查詢回答且可立即被驗證。當然,大可升級性、最小帶寬及微不足道的計算使得本發明技術為無線環境中的一個選擇。但有本發明的另一應用,其在無線應用中提供另外的優點。即,每天早上—例如,在午夜—無線用戶可接收其證書的20字節有效性證據用于該天的剩余時間。(該20字節值可基于用戶的請求獲得,或被自動推到用戶的移動裝置—如,借助于SMS消息或其它控制消息。)由于其微不足道的長度,該證據可被容易地保存在大多數移動電話和PDA中。接著,無論用戶想在那天的何時辦理,用戶簡單地將其自己的證書連同證書的用于那天的20字節有效性證據一起發送。因為有效性證據是到處可驗證的,證書和證據的驗證人不必調用任何CA或任何回應者。驗證人可完全離線工作。在移動環境中,其中任何調用轉換成錢和時間成本,該離線能力是非常有價值的。與OCSP比較本發明和OCSP均為經請求的系統即,用戶發送關于證書當前有效性的詢問并取回不可偽造的且到處可驗證的證據作為響應。但也有如下區別時間精確性;帶寬;CA效率;安全性;及運行費用。時間精確性原則上,OCSP可指明具有極大精確性的時間,而根據本發明的優選實施例的響應指明具有預定精確性的時間一天、一小時、一分鐘等。在低價值應用中,1天有效性是廣為接受的。對于大多數財務應用,DigitalSignatureTrust考慮4小時的精確性就足夠了。(也許這較其看上去更不令人驚訝對于大多數財務事務,在早上接收的定單在下午執行,在下午接收的定單在第二個工作日執行。)在任何情況下,時間不由具有無限多阿拉伯數字的真實數字指明。在經請求確認系統中,小于1分鐘的時間精確性很少有意義,因為詢問和證書信任方的時鐘可能不是同步的。事實上,在這樣的系統中,15秒的時間精確性是實際的實時。為處理這樣的極端精確性,本發明的優選實施例計算大約1M長的散列鏈(即,需要計算X1M型的有效性字段),因為在一年中至多有527,040分鐘。如果那樣長的鏈可被有效處理,則本發明的優選實施例實際上是實時。在證書發出時計算1M散列是沒有問題的1M散列可在少于1秒的時間中執行,即使使用非常合理的平臺,且證書通常一年發出一次,且沒有巨大的時間壓力。類似地,考慮到其通常僅關注于個別的事務且有較多的時間,1秒計算對于證書有效性證據的驗證人(如依靠證書的商人)也是沒有問題的。然而,根據證書狀態請求計算1M散列可能影響產生有效性證據的服務器的性能,因為其通常在某時處理許多事務。幸運地,該服務器不必在線計算所有這些開始于X0的散列,而是通過表查尋—利用存儲器中具有每一證書的全部散列鏈。但是,保存1M長的散列鏈在具有巨大數目的證書的應用中可能是一個問題。但,幸運地,如我們將在隨后提及的,即使普通的服務器也可通過使用較好的算法以令人驚奇的效率重新計算1M長的散列鏈。帶寬本發明的優選實施例較OCSP具有明顯的帶寬優勢。前者使用20字節的回答,而后者通常使用256字節。CA效率在OCSP情況下,有效性詢問由(復雜的)數字簽名回答,而在本發明的情況下,通過(微不足道的)表查尋回答,只要CA保存每一證書的整個X鏈。注意,具有1百萬證書的量,當時間精確性為1天或1小時時CA可負擔得起保存每一證書的整個X鏈。(在第一種情況下,CA不得不保存365個20字節值,即每證書7.3K字節,因而全部為7.3B字節。在第二情況下,全部為175.2B字節。)如果時間精確性為15秒,則每一散列鏈包括1M20字節值,對于整個系統,全部存儲要求將在10.5tera字節,一個相當大的存儲量。為大力降低該存儲要求,CA可僅為每一證書保存單一20字節值(即X0),并從其通過至多1M散列重新計算每一Xi值。或者,Jacobsson[5]已經發現令人驚奇的時間/存儲折衷。即,CA可以正確的順序重新計算所有n個Xi值,其通過保存log(n)散列值并每次執行log(n)散列實現。如果n為1M,這意味著僅保存每證書20散列值,且每次證書需確認時僅執行20次散列。其它折衷也是可能的。特別地,對于我們的1M鏈的情況,Reyzin[R]已示出,CA可計算所有Xi值(i=1M下降到1),其通過僅保存3個散列值并每次至多執行100次散列實現。總之,即使在實際上實時的應用中(即使用15秒時間精確性),本發明的優選實施例通過僅保存60字節每證書即可以微不足道的100次散列運算代替復雜的數字簽名運算。安全性及運行費用最后兩個區別將在指明本發明的優選實施例和在考慮中的OCSP的實施類型之后被更好地論述。集中的實施安全性分析無論何時,證明證書的有效性均依賴于特定鑰匙的保密,安全的電子庫(vault)應可保護該鑰匙,以保證整個系統的完整性。通過本發明或OCSP的集中實施,我們意指一個電子庫可回答所有有效性詢問。如果配置的證書的數量較小(如不大于100K),則集中實施是優選的,使得電子庫可處理產生的詢問容量,即使幾乎所有證書在很小的時間間隔內均被使用,幾乎同時觸發有效性詢問。在該實施中,優選實施例相對于OCSP在以下方面更好。末日保護在傳統的OCSP中,如果(盡管電子庫和裝甲的保護)敵人成功穿透電子庫并危及秘密簽署的密鑰的安全,則其可使先前廢除的證書“復活”及“廢除”還有效的證書。(類似地,如果CRL簽署密鑰在CRL系統中被危及安全)。通過對比,在本發明的優選實施例中,穿透安全的電子庫不會幫助對手偽造任何先前廢除的證書的有效性。事實上,當證書在i天被廢除時,不僅其廢除證據Y0被公開,而且,同時地,所有其Xi值(或至少值X0到X365-i)被刪除。因此,在成功進入后,敵人發現沒有什么東西使其能夠“延伸”廢除的證書的有效性。要那樣做,其應在沒有任何幫助的情況下成功基于X365-i而倒置單向散列H,其中其被歡迎嘗試(且可在沒有進入任何安全電子庫的情況下進行真實的嘗試)。最壞的情況,根據本發明,敵人可在成功進入后在系統中偽造有效證書的廢除,因而阻止誠實的用戶鑒別合法的事務。當然,這是壞的情況,但尚沒有使不誠實的用戶鑒別非法的事務一樣壞。分布式實施安全性及運行費用分析集中實施要求所有關于證書有效性的詢問發送到同一電子庫。在具有幾百萬活性證書的應用中,這很容易導致較長的耽擱及拒絕服務。為保護免于這樣的擁塞、耽擱及服務拒絕,可將回答有效性詢問的負載擴展到幾個地理上分開的回應者服務器。然而,在OCSP的情況下,每一另外的回應者需要具有秘密簽署的密鑰,并因而需要被保存在電子庫中,使得OCSP系統的擁有花費非常繁重。滿足財務機構要求的高級電子庫花費至少$1M來建立,及$1M來運行。(好的電子庫應包含裝甲的混凝土、鋼門、備用功率發電機、受保護的燃料庫以運行發電機潛在的一段時間等。運行它將涉及最少4個不同組的24×7×365運算,加上管理監督等。)在一應用中,要求10該電子庫在峰值業務量時保證合理快的響應,OCSP系統的擁有成本將是$10M的初始投資及進行中的$10M每年的預算。即使使用較不安全的電子庫及運算,幾百萬美元的初始及進行成本還是必須的。然而,在本發明的優選實施例的情況下,可以使用一個電子庫(其為CA無論如何應具有的)及任意數的“不信任回應者”(即普通服務器)可實現分布式實施。讓我們看看根據本發明的分布式系統的準確細節,具體地,假定(a)有10M證書;(b)有1000個服務器,戰略地位于全球各地以使響應時間最小;及(3)時間間隔為1天。CA運行(初始化費用)每天早上,以最小的序列號開始,按如下編譯10M記錄陣列對于具有序列號j的每一證書C,保存C的20字節有效性/廢除證據在位置j。接著,注明F的日期并簽署F并將其發送到1000個服務器中的每一個。用戶運行(詢問費用)為知道證書C的狀態,將C的序列號、j(及CAID,如果必要)發送到服務器S。服務器運行(回答費用)每天早上,如果接收到適當注明日期并簽署的陣列F,用新陣列替換舊陣列。在任何時間通過返回當前F的在位置j的20字節值而回答關于序列號j的詢問。優選實施例的運行1.即時準備陣列F如果每一證書的整個散列鏈被保存,則每一記錄僅僅通過表查尋操作計算。在另一實施例中,其還可被當場計算。2.F不包含秘密其包括還有效的證書及已廢除的證書的準確的及全部賬戶。(CA的目標實際上是以最有效的方式使該非秘密的信息盡可能公開。)3.直接將F傳輸到服務器這樣做是因為F不包含秘密,不要求加密,且不會造成安全風險。盡管10M證書量較大,在正常的時間間隔發送200M字節文件到1000個服務器是非常可行的。4.每一服務器回答為20字節長再次地,每一回答不要求加密、簽名或時間戳。5.沒有誠實的拒絕服務因為發送的每一值僅為20字節長,因為每一個這樣的值被立即計算(通過表查尋),且因為業務量可被展開到1000個服務器,不應有拒絕服務發生,至少在系統的合法使用期間沒有。6.服務器不必被信任它們僅轉發由CA接收的20字節證據。由于是自我鑒別的,這些證據不可被改變且散列到相應的目標。本發明的分布式實施繼續享有同樣的、其集中副本的末日保護即,成功進入電子庫的敵人不可能使廢除的證書復活。然而,老練的對手忍住鉆電子庫中的空子,只要可能,其寧愿軟件攻擊。幸運地,盡管可能對撞分布式/集中的OCSP,軟件攻擊不能登上本發明的分布式實施。在OCSP中,事實上,CA被要求接收來自不信任方的外部詢問,并通過數字簽名并因而借助于其寶貴的密鑰回答它們。因此,存在這樣的可能性,OCSP要求的“向外部世界開窗”可能被有敵意地使用從而暴露秘密簽署的密鑰。用于對比,在本發明的分布式實施中,則沒有這樣的“窗口”CA是在電子庫中并永遠不接收或回答來自外界的任何詢問;其僅在定期的間隔輸出非秘密的數據。事實上,每天(或小時)其輸出包括公開信息的文件F。(CA可從其RA接收廢除請求,但這些請求為經鑒別的通道來自較少的幾個信任的實體—例如使用安全智能卡。)不信任的回應者從不信任方接收詢問,但它們借助于它們的文件F并因而通過公開的數據回答那些詢問。因此,在軟件攻擊本發明的優選實施例時,普通回應者僅“暴露”公開信息。簡化的PKI管理PKI管理不是微不足道的。(見,例如,因特網公鑰基礎結構,部分IIICertificateManagementProtocols;byS.Farrell,A.Adams,andW.Ford;InternetDraft,1996;PrivacyEnhancementforInternetElectronicMail-PARTIICertificate-BasedKeyManagement;byS.KentandJ.Linn;1989)。本發明的優選實施例可改善許多應有中的PKI管理,通過(1)減少發出的證書的數量;(2)使能夠對證書進行特權管理;及(3)與多個獨立的CA共享注冊功能。讓我們以一系列具體的例子非正式地闡釋PKI管理中的改進。(注意,在一例子中使用的特征和技術可很容易地嵌入在另一例子中。我們不明確地這樣做以避免無窮數量的可能變化。)打開/關閉證書(及中止它)例7音樂下載假定因特網音樂賣主希望讓用戶從1000個服務器的任一個以$1/天的費用下載他們想要的任何歌曲。這可用數字證書有效地實現。然而,在該例子中,U可能非常肯定其將在該年的某些天下載音樂,但他不能預期這些天是哪一天或是多少天。因而音樂中心需要為U發出不同的1天證書,無論U在何時那樣請求U請求這樣的證書,并在支付或許可支付之后,其接收證書并繼而在那天與1000個音樂服務器的任一個一起使用。然而,發出1天證書具有不同尋常的管理成本,既用于賣主也用于用戶。且在用戶希望享有另一“音樂日”時這些成本每次肯定被復制。在優選實施例中,本發明可按如下減輕這些成本。U聯系賣主的第一次,其可被發給具有發出日期D1=0、期滿日期D2=365、及有效字段X365、廢除目標Y1、及中止字段Z365的證書C。(賣主的CA建立與有效性字段一樣的中止字段通過以隨機的20字節值Z0開始,并接著將其散列365次,在1天間隔的情況下。其接著保存整個散列鏈,或僅Z0,或使用適當的能產生任何想要的Zi的時間/存儲方法。)在日子i=1,...,365,如果U請求那天的“音樂日”,則賣主簡單地釋放20字節值Z365-i以指明證書是有效的。否則其釋放以指明證書是“暫停的”。否則,其釋放Y0以指明證書已被廢除。可選地,如果U和音樂賣主同意—假定—“音樂周在日子i開始”,則或用于那7天的20字節值在適當時間被釋放,或單一的20字節值X365-i-7在日i被釋放。也就是說,與其無論U在何時希望下載音樂而給予U一新的單天證書,不如賣主給予一個1年的證書。在任何時間,該單一的證書可被在某天打開,其僅通過釋放適當的20字節值。因而,例如,本發明的優選實施例通過發出每年的證書代替發出(及嵌入在用戶的瀏覽器中)10單天的證書,因為其碰巧將在該年的365天中的10天打開。賣主還可使用上述方法發出先驗地指明可被打開的天的數量的證書(例如,365天中的10天的證書)。因為其具有可預計的成本,這樣的證書更適于作為禮物。為同一用戶打開/關閉許多證書例8安全驗證管理數字證書在保證只有適當的用戶才可訪問某些資源方面真地工作得很好。原則上,特權可被指明在證書自身上面。例如,國務院可具有10個不同的安全驗證級別,L1...L10,通過發出類似下面的證書C,表示其具有授權的安全性級別5C=SIGSD(SN,PK,U,L5,D1,D2,...)其中,D1和D2表示發出日期和期滿日期。然而,在證書自身上面指明特權可導致證書管理惡夢無論其特權在何時變化,證書需要被廢除。事實上,雇員的安全性級別可隨其任務改變,其在同一年內經常改變。例如,如果U的安全驗證級別被臨時升級到3,則國務院應廢除原始的C并發出新證書C。這個任務可被簡單化,其通過使U因而及C’保持與以前一樣的公鑰(及期滿日期)實現;例如,通過使C’=SIGSD(SN’,PK,U,L3,D1’,D2,...)然而,U還面臨將新C’“插入”其在各個地方的瀏覽器內的任務其桌面PC、其膝上型電腦、其移動電話、其PDA等。現在,使CA以稍微不同的形式采取行動重新發出證書是一回事,但依靠用戶采取行動是完全不同的另一回事。如果使用短期證書(如在發出1天后過期),該管理問題僅被加劇。在本例子的上下文中,單天證書可使國務院雇員或用戶U能夠出席需要更高安全級別的會議。(如果U在適當的移動設備、智能卡甚或磁條卡中具有這樣的證書,其可,例如,使用證書打開通向該天的會議的門。)短期證書的使用非常廣泛,并已被提倡,因為其很大程度上省卻了廢除的困難(沒必要廢除將在24小時內過期的證書,至少在大多數應用中是這樣)。然而,發出短期證書使得它們位于所有有關用戶的瀏覽器中還是有管理成本。這些管理成本可通過按如下使用本發明的優選實施例而得以減輕。假定1天的時間精確度就足夠了,國務院發給用戶U一證書,其包含10個有效性字段及1個廢除字段如C=SIGSD(SN,PK,U,D1,D2,A365,B365,C365,D365,E365,F365,G365,H365,I365,J365,Y1,)其中第一有效性字段A365對應于安全驗證級別1……及第10個有效性字段J365對應于安全驗證級別10,同時,Y1照常是C的廢除字段。證書C被按如下使用。在天n,如果U還在位(即證書C還有效),且U的安全驗證級別為5,則國務院公開(如,發送給其所有在分布式NOVOMODO實施中的回應者)20字節的有效性證據E365-n。如果在天m,U的安全驗證級別變為2,則國務院公開B365-m。以此類推。一旦C變成無效的(如因為U被終止作為雇員或因為U的密鑰被危及),則國務院公開Y0(且從其存儲器擦除)“未來的”A、B、C、D、E、F、G、H、I和J值。這種方式,盡管內部指明其自己的特權,當它們的特權以正常方式變化時,證書C不需要被廢除,且用戶不必在他們的瀏覽器中裝載新證書。實質上,本發明的優選實施例具有這樣的最小痕跡,CA(而不是發出、廢除、再發出許多有關的證書)能夠非常簡單地發出一個證書,具有非常高的不被廢除的可能性(因為安全驗證級別的變化并不轉化為廢除)。因此,很少有證書將停止被發出或廢除在該應用中,從而導致更簡單的PKI管理。總之,本發明的優選實施例代替關于一組動態變化的特性或屬性的復雜的證書管理,其通過單一的證書(具有最小的額外長度)及單一的20字節值用于屬性實現。電信公司可使用類似于例2的方法來將無線設備從一收費表切換到另一收費表,如用于漫游的目的。房東CA和租戶CA主要的PKI成本與RA功能有關。事實上,識別用戶U可要求昂貴的個人會見并驗證U確實知道正確的密鑰(對應于將被證明的公鑰PK)。如果該RA功能可在許多CA中共享則是很好的,同時使它們對它們自己的證書保持完全獨立的控制。例9機構證書政府及大的機構包括并列的及分級的分支機構部門、營業單位等。雇員可能與兩個或多個分支機構有從屬關系。例如,在美國政府中,其可為NIST及商務部工作。為每一這樣的從屬關系發出數字證書將導致證書的總數很高,并導致復雜的PKI管理每次雇員停止/增加一個其從屬關系時,最好廢除相應的證書/發出新證書。理想地,兩個對立面應被協調(1)機構僅為每一雇員發出一個證書,及(2)每一分支機構為每一其從屬關系發出并控制單獨的證書。這兩個對立面可按如下由本發明的優選實施例協調。在開始,應注意本發明的優選實施例與將證明過程分離于確認過程是一致的,第一過程由CA控制,第二過程有確認機構(VA)控制。例如,假定1天的時間精確度,一旦CA準備發出具有序列號SN的證書C,其將SN發送給VA,其選擇Y0和X0,秘密地保存三元組(SN,Y0,X0),照常計算Y1和X365,并接著將Y1和X365返回給CA,其將它們包括在C內。這種方式,CA不必打擾對C的確認CA獨自負責識別用戶并適當地發出C,而VA是唯一可證明C有效或已廢除的機構。該分離可被以各種方式使用,以使機構證書靈活地反映內部的分支機構動態。下述的僅是這些方式中的一個,并使用政府及部門作為運行的例子。政府總體上將具有其自己的CA,每一部門也將具有自己的CA。設想k個不同的部門具有相應的CA,CA1...CAk,及1天的時間精確度,政府證書C具有下面的形式C=SIGGOV(SN,PK,U,D1,D2,X365,Y1,[X3651,Z3651],...,[X365k,Z365k])其中,照常,SN是證書的序列號,PK是用戶的公鑰,U為用戶的身份,D1為發出日期,D2為期滿日期,X365為有效性字段,Y1為廢除字段,且其中X365j是CAj的確認字段,及Z365j是CAj的中止字段。這樣的證書由具有來自部門CA的輸入的政府CA產生。在識別用戶U并選擇唯一的序列號SN、發出日期D1、及期滿日期D2之后,政府CA將SN、PK、U、D1、D2(最好以鑒別的形式)發送給每一部門CA。第j個這樣的CA接著選擇兩個秘密的20字節值X0j和Z0j;保存(SN,PK,U,D1,D2,X0j,Z0j),或更簡單地,(SN,X0j,Z0j);并返回用于在位置j(或使用“標簽”j)將其組合在政府證書中。該證書C按如下用本發明的分布式實施管理,使得工作為1證書、2證書、…、k證書;即,作為k個獨立的證書,每部門一個。在天n,設想100個響應者如果C還有效,政府CA發送20字節值X365-n給所有100個響應者,否則發送Y0。接著,第j部門CA發送20字節值X365-nj之給所有100個響應者,以表明C可作為j證書而被依賴,否則發送Z365-nj。因此,政府CA獨自負責識別用戶并發出證書,但每一部門CA可獨立地管理實際上是其自己的證書。(這是絕對至關重要的。如果CA1為司法部門,CA2為DOD,則盡管有一些重迭的興趣,最好每一個單獨行動)。所得的證書系統運行非常經濟。首先,證書的數量被大大減少(原則上,僅有一個證書用于雇員)。第二,特定的雇員在不需要廢除舊證書或發出新證書的情況下可離開并加入不同的部門。第三,不同的部門CA可共享同一響應者。(實際上,無論何時,特定用戶從屬于特定部門不是秘密的起碼的事實—某些事對于大多數部門將是真的—服務器實質地僅包含“可公開的信息”。)因而,關于作為j證書的C的狀態的詢問被用兩個20字節值回答一個作為政府證書,一個作為j證書。這使得一個或多個能夠敏捷地廢除在“集中級別”的C(如,如果U丟失了對應于PK的密鑰)。例10在上述例子中,證書C僅可以集中的方式廢除,但其可容易地安排,廢除的責任被推到各個部門。例如,為使第j部門CA能夠完全自治地廢除并中止C作為j證書,C可采取下述形式C=SIGGOV(SN,PK,U,D1,D2,[XN11,Y11ZN11],...,[XNkk,Y11,ZNkk]).同樣,不同的部門對它們自己的證書可具有不同的時間精確度。這通過使C具有下述格式而可容易地實現,C=SIGGOV(SN,PK,U,D1,D2,[TA1,XN11,Y11,ZN11],...,[TAk,XNkk,Y11,ZNkk)其中TAj為第j個CA的時間精確度,Nj為D1和D2之間的時間單位的數量。(如,如果TAj是1天且D1-D2=1年,則XNjj=X365j。)在一個機構內,發出按上述構造并管理的證書的一個主要優點包括使證書能夠保持有效的,盡管用戶從一個分支機構移到另一分支機構。然而,應該認識到的是,上述技術還可用于單一機構范圍之外。事實上,政府CA可被看作為房東CA,k個部門CA看作服務不相干機構(而不是分支機構)的租戶CA,且證書可被看作租用的證書。該術語借自更常見的例子,其中應用“聯合結構和獨立控制”的優點。租用的證書事實上模擬于具有同一層痕跡的標本建筑。而不是僅其自己的房間的建筑,富裕的建筑商建造20層的建筑,將其自己置于小棚屋房間,而將其它層的好房出租或出售。20個租戶的每一個接著充作單一的所有人。其完全自治地并不依賴于建筑商地決定誰將被允許進入其公寓及誰將被給予鑰匙。當然,20層建筑較單層的20倍便宜其可能正好花費10倍。該經濟節約在租用的證書中甚至更顯著。事實上,發出正常證書的成本及發出租用的證書的成本完全一樣。因而,發出租用的證書對房東CA是非常有利的,或至少可完全償還其自己的證書產生的費用。另一方面,租戶CA也具有它們自己的優勢,實際上它們節約了發行費用它們共享發出證書k的費用,且它們節約了基礎結構費用它們共享同一響應者(因為它們僅包含公開數據)。用作外部租戶CA的房東CA的自然候選人為信用卡公司、大的財務機構、及政府(如經USPS或IRS)。實際上,在許多情況下,它們與幾百萬“用戶”具有長久的和密切的關系,并可能在不投資太多資源用于用戶識別的情況下更容易地發給他們一數字證書(如,信用卡公司已將年度賬單發送給其客戶,并可補充支持該知識)。信用卡公司可能喜歡作為房東CA發出證書的想法,以更有效地運行其自己的類似程序(具有賓館鏈、航空公司等作為他們的租戶)。IRS可能已經決定使用數字證書,及租用的證書可能隨后將提供他們以收入流,其將償還建設快速的和更好的服務所產生的費用。例11迄今為止,我們已描述房東和租戶CA的方式要求房東CA在發出過程期間與其自己的租戶CA合作,并因而其已經預先識別其租戶CA。然而,對于房東CA,發出租用的證書設想—假定-20個租戶CA實際上是可能的,并未已識別所有或任一這些租戶。更合適地,未來的租戶CA將能夠出租已經發出的證書中的空間。該能力對新證書使能的應用是理想的。而不是忍受發出證書給幾百萬客戶所必須的開支,提供新證書使能的產品的公司可著手處理房東CA,其具有發出的幾百萬證書,在設備之后出租他們中的空間,并接著簽訂客戶作為大部分房東CA用戶,其通過徹夜打開他們所有的相應證書(沒有任何客戶識別及其它發行費用)并接著根據其自己的規則啟動管理他們。我們將在下文中描述各種使能該功能的技術。另外的系統設備確認系統現在讓我們看看,我們可怎樣使本發明的技術適于設備(如移動電話、PDA、射頻識別權標、PC、膝上型電腦、VCR、網絡設備、路由器、防火墻、置頂盒、CD播放機、游戲機、DVD設備等)。例如,有十足的能力打開這些設備,或讓它們繼續運行。如果設備被偷竊,例如,希望其不再運行。另一方面,如果其未被偷竊,則其將繼續正常地運行。類似地,如果用戶“租用”該設備,或支付訂費,或代表公司使用設備(如該設備是公司的膝上型電腦),如果其不再支付租金或訂費,或不再為公司工作,則設備需要被關掉/禁用。否則,設備應正常運行。同樣,這些設備可以動態的方式打開、關閉、再打開。當然,這些功能可借助于根據本發明的優選實施例的系統來實現。實質上,再次假定,用于具體的但沒有任何限制的目的,以每天的間隔,設備可攜帶數字證書C,其指明有效性字段X,及設備僅在其具有每天的關于X的有效性證據時才可在特定天工作。設備可具有信任的/受保護的時鐘來避免被欺騙。設備(特別是移動設備)可被“推”以其自己的每天的有效性證據。或者,設備可向第二實體請求其該天的有效性證據。例如,設備可提供其序列號并接收作為回應的該天的有效性證據。這可以工作是因為有效性字段的整體性由證書保證,并因而由CA的X的數字簽名保證(連同其它信息,如日期信息)。然而,我們可以下述另外的方式保護X的整體性即,通過以不可改變的方式“燒進”設備例如,通過將其寫入只讀存儲器中,即芯片(智能卡/PDA/電話/膝上型電腦等芯片組)。在這種方式中,設備的用戶不能以任何方式改變X。證據驗證算法還可被燒進。從而,一旦特定日的所謂的有效性證據P出現,則P被散列適當的次數并接著與燒進的X比較。更普遍地,在此可使用單向函數F,而不是單向散列函數。從而,整個過程包括制造看起來像這樣第一實體產生初始值IV,并在V的基礎上將單向函數F迭代給定的次數,使得獲得最后的值FV。第二實體(可能等于第一)將X燒進設備D。設備D具有迭代函數F的裝置。設備D隨后接收所謂的第n證據值PV,其中n為正整數,并通過基于PV對函數F迭代n次而驗證PV并檢查所得的值是否等于燒進的值X。設備D可詢問其自己的時鐘以確保第n證據值對應于當前日期。當前日期實際上可以是自固定日期開始的日期序列中的第n日期。固定日期也可被燒進設備中以保護其整體性。在每一迭代,函數F可接收另外的輸入作為輸入(不僅僅是先前計算的值,還有)。例如,D的標識符可以是在每一迭代時的輸入。該另外的輸入在每一不同的迭代時也可以不同。例如,整數k可以是在迭代k時的輸入。同樣,不可能只有一個單向函數F。事實上,有一連串單向函數,且Fk可以是在迭代k應用的函數。有效性字段X(實質上對D是唯一的)還可被用作D的標識符(或其的一部分),以分別節省對D的序列號和有效性字段的處理。迄今為止,所描述的系統可被用于打開或關閉特定的設備D。但其還可被用于打開或關閉特定的唯一一個功能或幾個可能功能中的一個。例如,X可以是對于功能FX的有效性字段,Z為功能FZ的有效性字段,以此類推。在這種情況下,接收關于X(Z)的有效性證據意味著功能FX(FZ)在那天在設備D上被打開。這樣的另外的有效性字段Z……還可被燒進設備D。同樣,其功能與X/Z/……關聯的描述/標識符也可被燒進。如果可能的功能的數量(及有效性字段的數量)較大,則有效性字段可被Merkle散列并接著Merkle樹的根值可被燒進。在這種情況下,要打開功能FX(在特定天),可向設備提供適當的關于X的有效性證據(對于那天的),連同在Merkle樹中從X到根的鑒別路徑。Merkle鑒別路徑算法也可被燒進。無時鐘設備確認如我們已看到的,優選實施例的技術可用于確認設備并將它們打開或關閉以防止它們的誤用。通常,該應用的安全性在于設備具有不可由敵人控制的時鐘的事實,只有設備的真實所有人才可能控制(如,被解聘的雇員在其被解聘后希望用其還在家的公司的膝上型電腦訪問公司數據)。實際上,即使公司不再發出天j的有效性證據,且即使沒有這樣的有效性證據,設備在天j將不會工作,敵人可對設備的時鐘重上發條,以導致設備相信當前日為d<j,接著將正確發出的天d的有效性證據發回設備,從而欺騙設備在天j運行。優選實施例提供了這樣的技術,其在即使設備無時鐘即沒有時鐘或沒有安全的時鐘的情況下可執行設備確認。技術設想一確認者,決定特定設備在一連串日期中的特定日期是否應被確認—即打開或關閉--的實體。具體的,但非限制性的,我們假定特定日期為一連串天中的特定天。設備最后具有安全的存儲器部件及時鐘。盡管不安全的,至少在被打開時設備可告訴特定時鐘是否已被重置。例如,只要其保持運行,設備可告訴24小時已過去。確認軟件最好被保護在設備中(如,在受保護的存儲器部件中運行,或燒進,或位于防火墻內),以避免被以任何方式改變。注意,某些智能卡以類似的方式工作。例如,它們具有受保護的存儲器部件,它們可具有最小的功率用于將特定值保持在(如安全的)存儲器內,并具有時鐘,但不是電池能夠使其在任何重要的時間長度運行。因而,一旦插入在讀卡機中,智能卡的時鐘變得積極的,及卡可準確地監控時間的消逝(如因為時鐘也在安全的存儲器中),但一旦卡被拿出讀卡機,則時鐘不再工作,盡管較小的值還可被保留在安全的存儲器中。例12在該方法中,確認者及設備共享密鑰K。密鑰K最好位于設備的安全存儲器部件中。從該密鑰K,設備及確認者均能夠傳輸一連串對應于日期序列的不可預知的(對第三方而不是擁有K的方)值。例如,對于每一天1、2……一連串值包括V1=H(K,1)、V2=H(K,2)……其中H為單向散列函數,或每次用密鑰K加密1、2……的加密函數。在天j,如果確認者希望設備再多活動一天,其公布(如發送給響應者)值Vj=H(K,j)。現在假定設備在已經于天d活動后在天j被打開,并接著在天j以前被關閉。則設備已將值Vd=H(K,d)或最近天的指示器(如d)保持在存儲器中。設備將不會再次運行直到其在天d后得到有效性證據。或者,設備自己持續保存—如在一個變量中—其在天d期間已工作的時間量。因此,當設備被關閉時,其不僅可記住d,而且還記住如6小時10分鐘。因而,當其被再次打開時,其將繼續工作17小時50分鐘。在其后,其其將要求d之后的日子的有效性證據。現在假定設備真地在天j>d被再次打開。則設備獲得用于天j的(所謂的)有效性證據Vj(如,在向響應者請求后,其被推以那樣的證據或其接收那樣的證據)。接著,設備試圖看Vj是否是當前在存儲器中的證據Vd之后的有效性證據(或關于存儲器中的天d之后的天)。例如,設備使用其密鑰K繼續產生Vd+1,Vd+2…直到值Vj被產生(或者直到超出給定的天數—如設想我們根本不再關心設備在10000天后的工作)。如果這是那樣,則其將自己打開另外的24小時(即在存儲器中保留新的Vj或j,并適當地運行和監控時鐘,使得在持續打開24小時之后,需要新的值Vj+1或Vk,k>j)。設備可通過不公布或反饋以將來的有效性證據而被關閉,或通過公布或使其接收一特殊的值如H(K,NOMORE)或保存在存儲器中的特殊值Vnomore而被關閉。設備可通過公布或使其接收一特殊的值如H(K,suspend,j)而被中止。用于有效性、廢除及中止證據的密鑰可以是相同的或不同的。這已經提供了大量保護。假定設備在天j-1尚正常地使用,但接著被偷竊,且沒有對于天j的有效性證據曾被公布或被使得可用于該設備。接著,無論在被偷竊之前設備是否已被關閉,其將在天j的開始停止工作。事實上,如果其已被關閉,當恢復它將需要j-1天后的那天的有效性證據以將其自己正常地打開時,沒有這樣的證據出現。如果在偷竊時其是打開的,至多24小時之后其將停止工作。最壞的情況是,設備被打開(例如在天j-3),并因而記入有效性證據Vj-3的占有,并接著被關閉。假定設備在這時被偷竊且其丟失直到天j-1才被通知,或者設備在天j-1被偷竊且敵人記錄設備可能已看到的值Vj-2和Vj-1。則這樣的敵人可至多反饋這兩個值給設備并使其至多再工作兩天。例13該方法實質上如例11中公開的方法一樣工作,其使用一連串不可預知的值,在一連串日期的每一日期(如,非限制性的,天)公布或使其可用于設備,時鐘不安全等,但沒有在設備中使用密鑰。例如,設備保存Xk及如上所述并使用同樣的變量基于初始值XO迭代一(或多個)單向函數Fk次的結果。接著Xk被寫入防火墻(如以不可改變的方式)或保存在存儲器的受保護的部分。天j的有效性證據簡單地為Xk-j,如本發明的基礎方案中那樣。再次地,中止和廢除可以類似的方式出現。RTC物理訪問結構在混合環境中的多特權管理加強的訪問控制系統必須回答用于每一用戶的兩個問題。第一問題為鑒別或識別“你是你說的那個人嗎?”該問題通常通過識別證章、鑰匙生物測定特征或密碼而直接或間接地提出。這些為長久的用戶識別提供了合理的回答,但沒有提出時間更緊急的確認問題“你當前被允許做你想做的了嗎?”例如,識別證章可告訴你Alice已在最近的10年作為雇員被雇請,但不能單獨地確定她依然是具有計算機服務器房間的訪問許可的雇員。對于物理訪問控制,安全的鎖必須通過鑒別來確定身份,并接著執行確認以確定用戶當前的特權是否允許進入。某些鎖通過有線的網絡連接到中央托管的許可機構來執行該確認。整個基于網絡有線鎖的物理訪問解決方案具有兩個很大的限制。每一有線鎖的成本包括安全配線、現場控制面板、及勞工的成本,總共每門幾千美元。有線結構的區域限于可通過永久網絡而輕松地訪問的鎖。這阻止了用于移動的或很難到達那些如汽車、存儲集裝箱、有用的櫥柜等上的鎖的加強的訪問控制。根據本發明的優選實施例的實時憑證技術提供了安全的方式,其對有線的及分離的鎖執行有效的物理訪問確認。這允許智能門鎖在不要求到每一鎖的昂貴網絡連接的情況下確認當前用戶的特權和許可。本公開內容描述了幾種結構,其可用于基于大量獨立的用戶特權而提供分離的確認。每一結構提供與現有的訪問控制硬件和軟件的互用性,以用在不同種類的安裝中。對于每一結構,本文將描述實時憑證是怎樣提供另外的靈活性的,同時引人注目地降低了高安全性的總成本。下面,描述的所有四個結構特征在于同一RTC確認過程。在這些方案之間的主要區別在于鑒別用戶的過程,其影響價格及與現有訪問解決方案的兼容性。無接觸ID/存儲器第一RTC確認結構為基于具有讀/寫存儲器訪問的無接觸ID卡的訪問控制環境。這被使用普通的MIFARETM標準無接觸卡作為例子進行描述,但該確認解決方案可同樣用于任何存儲器ID卡。當MIFAREID卡被用在當前網絡化的物理訪問環境中時,鎖從卡讀ID并將其傳輸給附近的面板或服務器,其檢查特權并執行確認。鑒別過程為卡ID的確定,確認過程被基于該ID而遠程處理。本發明的物理訪問解決方案可保持與該種有線門的兼容性,并增加對分離的門的支持,其通過使用卡的讀/寫存儲器以保存該卡的數字簽署的“確認證據”而實現。該證據被定期在任何網絡化的讀卡機寫到卡中,接著其可在任何分離的鎖處被讀以建立該用戶的當前有效性及許可。下面的表示出了保存在卡上的RTC確認證據的邏輯內容,連同每一組成的存儲要求卡SIPO<DPn="65">--><dpn="d65"/>}for(k=0;k<n;k++){t1=f(r-1,k);if(t1==-2)continue;t2=f(r,n-k-1);if(t2==-2)continue;t=t1+t2+n-k;if(t<t_min||t_min=-2){t_min=t;k_min=k;}}table[r][n]=t_min;ktable[r][n]=k_min;returntable[r][n];}voidmain(){intmax_r,max_n,i,j;printf(″maxballs″);<!--SIPO<DPn="66">--><dpn="d66"/>scanf(″%d″,&max_r);printf(″chainlength″);scanf(″%d″,&max_n);table=(int**)malloc((max_r+1)*sizeof(int));ktable=(int**)malloc((max_r+1)*sizeof(int));if(table==NULL||ktable=NULL){printf(″Outofmemory!\n″);retUrn;}for(i=0;i<=max_r;i++){table[i]=(int*)malloc((max_n+1)*sizeof(int));ktable[i]=(int*)malloc((max_n+1)*sizeof(int));if(table[i]==NULL||ktable[i]=NULL){printf(″Outofmemory!\n″);return;}for(j=0;j<=max_n;j++)ktable[i][j]=table[i][j]=-1;}for(i=0;i<=max_r;i++)<!--SIPO<DPn="67">--><dpn="d67"/>for(j=0;j<=max_n;j++)f(i,j);printf(″\nTableforF(r,n)--thenumberofstepsneeded\nn\\r″);for(i=0;i<=max_r;i++)printf(″%6d″,i);printf(″\n″);for(j=0;j<=max_n;j++){printf(″%6d″,j);for(i=0;i<=max_r;i++)printf(″%6d″,table[i][j]);printf(″\n″);}printf(″\nTablefork--theoptimalpositiontoputthefirstpebble\nn\\r″);for(i=0;i<=max_r;i++)printf(″%6d″,i);printf(″\n″);for(j=0;j<=max_n;j++){printf(″%6d″,j);for(i=0;i<=max_r;i++)printf(″%6d″,ktable[i][j]);<!--SIPO<DPn="68">--><dpn="d68"/>printf(″\n″);}}\end{verbatim}私鑰安全物理訪問(在類似KERBEROS的設置中的實時憑證)一般而言,想定可包括多個門及多個用戶。此外,訪問可由多個機構控制(每一機構控制通過某些門的訪問,用于不同機構的一批門可能重迭)。在大多數一般情況,訪問通過使用戶將憑證提交給門而進行控制(這樣的憑證的驗證可能要求用戶和門的交互,如PIN輸入,及門和用戶卡之間的消息交換)。在門的情況下,以最少的成本支持訪問安全性是特別重要的,甚至不將門連接到網絡或任何特定的服務器。一個重要的發現是,無論我們使用什么憑證,我們的RTC技術可得到重要的安全性、基礎結構及成本利益。RTC可連同公鑰密碼方法(證書、公鑰簽名、PKI)及私鑰密碼工具(對稱的或私鑰簽名及加密、類似Kerberos的系統等)一起使用。使用公鑰技術對分離的門進行訪問控制已被提出。在此,我們描述怎樣將這些想法適用到私鑰技術。基本原語加密、簽名、假隨機函數特別地,私鑰加密、私鑰簽名(akaMAC)、私鑰隨機函數均是我們將使用的典型的私鑰原語。對于我們的許多目的,這些原語可被交替地使用。例如,確定性的私鑰簽名方案(在共享秘密簽署的密鑰SK的兩個實體之間)及隨機函數Fs(其種子在兩個實體之間共享)實際上可被認為是等價的。二者均產生對第三方而言不可預知的輸出,第三方可能直到對應的輸入,但不是SK或s。例如,返回具有密鑰SK的x的數字簽名的函數FSK(x)在實踐中可被認為是一個較好的具有種子SK的足夠假的隨機函數。另一方面,函數Fs(x),其在輸入x的基礎上返回在具有種子s的假隨機函數F的x的值,可被認為是具有密鑰s的私鑰簽名算法。單向及單向散列函數我們還將使用另外的基本原語單向函數F和單向散列函數H。實質上,函數F是單向的,如果(1)給定輸入X,可有效地計算F(X),同時,(2)給定F(X),其中X最好已被足夠隨機地選擇以足夠地不可預知,計算X實際上是不可能的(如,原則上,因為太多的X值不得不被嘗試,且沒有有效的方法來縮小可能的候選值的數量)。函數H為單向散列函數,如果其是單向的且(盡管最好使較長的輸入匹配較短的輸入或任意長的輸入,如160位長)難于發現兩個截然不同的輸入X和Y使得H(X)=H(Y)。在實踐中,我們可使用單向散列函數H構建其它原語。例如,私鑰簽名可以下面的簡單方式構建。要用密鑰SK簽署消息M,可計算H(SK,M)。即,適當地結合SK和M-如,連接它們—并接著散列該結果。當然,要簽署M并注明M的日期,可增加日期d到該結合中,因而代之以計算H(SK,M,d)。類似地,假隨機函數可按如下構建。基于輸入x,要產生具有種子s的假隨機函數的輸出,可計算H(s,x);即,可適當地結合s和x,并接著應用單向散列函數到該結果。安全物理訪問我們只關注由私鑰設置產生的新的方面,而跳過那些可自然適于新想定的普通方面(如,每日的/正常的計算方面等)。我們以簡單的想定開始。單一機構讓D為門(具有所述的機制),A為希望控制D的訪問的機構,及U為用戶(可能為A工作),再次地,具有一卡CU,具有適當的標識符等。接下來,A可通過與D共享密鑰SK而控制D的訪問。如果A希望授權U在天d(時間間隔d)訪問D,其計算證據PUDd,A以外的其它任何人(及可能D)都很難計算,但對于D很容易驗證。讓我們看看這是怎樣被完成的,二者均使用私鑰加密和私鑰簽名。私鑰加密解決方案(具有可能的恒等證據)例如,PUDd可以是消息的加密EUDd,其用專用加密密鑰SK根據一些已經建立的私鑰加密算法如DES指明U及可能D和d。在從U的卡接收EUDd的基礎上,D用密鑰SK將其解密,且如果結果指明U和當前日(時間間隔)d,則門打開。門可用其自己的鎖確定其自己的時間是否落在時間間隔d的范圍內。在此,與其它地方一樣,U用以指示用戶及U的適當標識符。如果用戶U具有與其關聯的卡(最好安全地),則U可以是該卡或其適當的標識符。在后面的情況下,例如,門的讀卡機可從卡得到U,且還得到EUDd,則其用密鑰SK解密EUDd,并將解密的U與卡提供的進行比較,以確保它們相等。注意,EUDd向門D證明用戶U被授權在時間間隔d通過其進入,但這并不向D證明其確實是與用戶U打交道。因而,我們可增加基本的計劃,用于U向門提供其自己的身份。這可以幾種方式實現。特別地,機構A可僅提供EUDd給U的卡,且U的卡被提供以鍵座,并僅在正確的PIN在其鍵座上被輸入時才將EUDd傳輸到門(且如果錯誤的PIN被輸入大于給定數量的次數,卡可自我毀壞或擦除有關的非永久性存儲器內容)。這種方式下,無論門在何時接收EUDd,其知道其正從U的卡接收(因為A僅傳輸EUDd給U的卡)且其知道“卡背后的用戶”肯定是U(與具有偷竊的U的卡的懷惡意的用戶相對照)因為U的卡不會工作或傳輸EUDd給D,除非U的PIN已在其鍵座上輸入。用于U向D證明其身份的第二種方式包括使U向D直接提供其自己的PIN。例如,門D可具有其自己的鍵座,且U使用它來輸入他自己的PIN、PINu。門可具有內部的方式(如表)來將PINu到U,并因而可認識到其確實是與U打交道。然而,如果在系統中有許多門,為每一門提供和更新(如,因為新用戶加入系統)表可能是不實際的。因而最好使U的標識符可直接為PINu。例如,EUDd可以是EPINuDd。當用戶U接近門D時,他輸入PINu到D的鍵座及其卡將EPINuDd傳輸給門。門接下來檢查所輸入的PIN是否等于EPINuDd中所指明的,在這種情況下,其正與正確的用戶打交道且該同一用戶被A授權通過門D,并不使用任何PIN用戶表實際上,鍵座告訴D一知道PINu的用戶在其前面,且EPINuDd告訴D知道PINu的用戶為當前授權通過D的用戶。在第三種方式中,而不是直接出現在EUDd中,用戶PIN可被安全地與EUDd結合。例如,A可能將EUDd給予用密鑰PINu或從PINu可重構建的密鑰K加密的U的卡(如,k=H(PINu)orK=H(PINu,d)orK=H(D,PINu,d)等)。在這種情況下,門D將檢查在時間間隔d,PIN被安全地結合到用戶的授權。例如,其使用PINu解密EUDd,并使用其與機構A共享的密鑰SK檢查EUDd為適當的授權。使用回答者但是A怎樣才可容易地并安全地將EUDd傳輸到U的卡?我們提出使用響應者。這些均為設備(如服務器或能夠連接到服務器的計算機終端/讀卡機)。優選地,這些響應者不必被放在庫里或被保護。這樣的保護可能增加大量的成本且不方便系統,使系統在不保護響應者的情況下安全的工作是至關重要的。理想地,機構A在一系列日期中的每天d執行更新。每一日期最好指明時間間隔(如一天)。例如,d可以是天d或天d的開始。在更新d期間,A決定哪一用戶U應被授權訪問/通過D,并計算可由D驗證的證據。例如,在基于加密的共享密鑰的系統中,該證據可以是上述的字符串EUDd,并可被驗證,因為A與D共享密鑰SK,A用其計算EUDd。所有這些證據接著被發送給響應者。這些響應者最好位于方便的位置。例如,在機場系統中,響應者可位于機場的主要入口。用戶U接著(如當到達工作時)從響應者獲得其自己的通過門D的授權。優選地,U的卡可向響應者鑒別其自身以接收EUDd。這是非常方便的,因為沒有無線的及其它昂貴的系統,用戶可獲得其每天的對于所有其在特定天被授權從正門(用戶不得不通過其通過)通過的門的授權,并使用傳統的機制如將其自己的卡插入讀卡機中(如,以證明他已出現開始工作)。其后,他可自由地在機場四處行走,并可容易地使用其已獲得的授權EUDd通過所有其被授權的受保護的門D。但是因為該方便性及響應者最好是不安全的事實,懷惡意的用戶也可能獲得誠實的用戶的授權。因而下述是必要的,(1)在不保護響應者的前提下阻止這樣的事發生,和/或(2)確保對誠實的用戶的授權不可為任何其它人使用。后者的情況通過使用戶在門輸入PIN而可被足夠地加強,如已經所討論的,最好安全地結合到由卡釋放的授權。因而,從響應者獲得U的授權EUDd的懷惡意的用戶V不能在門模仿U,因為其不知道U的PIN。前者的保護可通過使機構A在用U的卡CU內的并為A知道的密鑰SKCU加密授權EUDd之后將其發送給響應者而得以加強。這種方式下,A實質上給響應者一加密的授權EUDd’,其僅可由U的卡轉換為授權EUDd,使其對下載別人的該天授權的懷惡意的V沒用。即使V以任何其想要的方式制造其自己的卡,V還是不知道SKCU。進一步地,使A與門D共享密鑰SKD及與用戶U共享密鑰SKU是可能的。則PUDd可以是值EUDdk,包括用戶U、門D及天d的指示,及某一隨機秘密的k,所有這些均(由A)用密鑰SKD加密。(注意,在這種情況下,U不能解密EUDdk)。此外,U可接收Ek,即用SKU加密的k。(D和d可為U知道,或可被通信給U-如,通過在主門的同一響應者。)這種方式下,因為U知道SKU,U同樣獲得秘密的k。為了進入門D,卡U可發送EUDdk給D。D可以一隨機的值q響應,且卡U接著發送Eq,即用秘密的k加密的q。門D可解密Eq,驗證使用了同樣的q,且U與EUDdk中指明的相同,且日期d為當前日期,如果所有的檢查均被確認,將讓U通過。這種機制還可組合上述的PIN機制,使其更加安全。基于k的另外的挑戰-響應方法也是可能的。(特別地,D可計算和發送Eq并要求U發回正確的解密q。)即使攻擊者監控卡和門之間的通信,這樣的機制也可提供安全性。然而,在門看見由用戶輸入的PIN的敵人在偷竊U的卡之后可模仿U,至少在時間間隔d期間,如果U的卡內具有EUDd的話。其后,如果U報告其卡已被偷竊,A將不再使EUDd可用于U的卡。私鑰簽名解決方案例如,PUDd可以是消息的私鑰數字簽名,其根據一些已建立的私鑰簽名算法,用A和D均知道的私鑰SK指明U和d(可能及D)。特別地,H為單向散列函數,則UDd=H(SK,U,d)。在從卡接收U的基礎上,門的讀卡機可用其自己的私鑰SK簽署U和d并比較該計算的結果是否與從可獲得的字符串PUDd匹配。注意,攜帶有鎖的門讀卡機可能知道當前日d,因而不必從卡檢索d。只要A每次授權所有天的訪問,這就可以工作。否則,卡還發送d(或選擇的時間間隔)給讀卡機,接著讀卡機用SK簽署所獲得的U和d,檢查結果確實等于PUDd,接著檢測當前時間(根據門的時鐘)在d的范圍內。如果是,則其打開。再次地,U可被要求輸入PIN作為交易的一部分。在這種情況下,PIN還可被用作U的部分。例如,U可包括u和PIN,其中u為識別用戶的字符串,PIN為用戶知道的密碼。在這種情況下,卡將u及PUDd(可能及D或d及另外的數字)傳輸給門讀卡機,用戶向與讀卡機結合的門控或讀卡機自身輸入PIN,接著讀卡機重構U=(uPIN),接著用SK簽署Ud以檢查PUDd是否被獲得。再次地,如果d由卡提供,其還檢查當前時間在d的范圍內。該方法使得用戶及其卡以更緊密的方式結合,使得偷竊卡的敵人在沒有適當的PIN時很難使用它。當然,同樣的SK可被用于一組門,在這種情況下,通過授權U范圍其中的一個,A自動授權他訪問所有的門。為允許最大的訪問間隔,每一門D可具有密鑰SKD。結合兩種方法作為結合兩種方法的例子,U可從A接收(如使用上述的機制,特別地,使用加密)用于天d的密鑰SKUd。他接著使用私鑰簽名向門D“證明”他的身份和/或授權。即,門D可發送隨機的消息m給卡U;作為響應,卡U可發送m的簽名H(m,SKUd)。注意,該簽名的計算可能要求PINu。門D接著驗證該簽名。這可能要求門D知道SKUd(如,已直接從A接收,或從其它信息計算,如H(SKD,d,U)等。)或者,A可使用與D共享的密鑰加密SKUd,從而獲得ESKUd。接著ESKUd可被給予U(如,如上所述),接著U可將其連同簽名發送給D。多個機構如我們已看到的,對于組織/機構A,有能力與門D共享密鑰SKD,以控制哪一用戶U可在給定的時間間隔d訪問D。該過程可被擴展以使多個組織A、B、C...單獨地控制通過門D或一組門D1、D2、D3…的訪問,每一組織X與門D共享密鑰SKXD,接著使用上述的解決方案。例如,每一組織X可選擇SKXD并將其插入D的讀卡機。每一組織X可能不得不從門到門發送一個或多個的一組給雇員/雇請的工人/承包人/次承包人。在具有許多門的設施中,要這樣做可能是不實際的或浪費的,因為其它組織可能已經那樣做了。同樣,如果有或將有許多機構,則讀卡機在保存所有這些密鑰方面有困難。此外,應當采取適當的預防措施。否則,沒有東西能防止敵人將其自己的密鑰插入門的讀卡機,接著,分辨它,其可使用任何上述方法來授權他自己或他的同謀對該門的訪問。由于這些原因,我們提出下述解決方案。注意,同樣的方法可被應用于單個的解決方案。第一解決方案如我們已看到的,如果他或他的卡共享特定時間間隔的密鑰,用戶可通過安全的門。因此,在這種情況下,用戶及門共享一會話密鑰。Kerberos及Needham-Schroeder協議提供了用于確保實體對共享秘密會話密鑰的機制,在此并可被應用在整個系統中。然而,這些協議均基于密鑰分發中心,其是在線的且無論共享的會話密鑰在何時被需要,其必需被聯系。因而,我們希望提出另外的、更方便的方法。在開始,即使對于實施基于Kerberos/Needham-Schroeder的系統,我們需要一種用于中央機構分發密鑰給門的方式(其可能較分發密鑰給其它機構更為困難)。我們設想特殊的機構SA(例如,在機場,機場機構)可安全地分發密鑰給門讀卡機。優選地,SA可以是可那樣做的唯一實體。例如,門讀卡機在遞送和制造時沒有密鑰在其內,使得一旦第一組密鑰(可能是一組單一的密鑰)被插入,則讀卡機將其長時間保存,并不接受其它密鑰用于將來的存儲。這種方式下,通過首先插入任何密鑰在門讀卡機中(之前,期間,或安裝后不久),SA確保沒有其它人可在門內安裝密鑰。或者,對于在門讀卡機中保存其它密鑰,則需要控制PIN或密鑰。門讀卡機在沒有任何控制PIN或密鑰的情況下被遞送和制造,使得一旦第一控制PIN或密鑰(或可能一組密鑰)被插入時,則讀卡機將它們長時間保存,并在將來不再接受其它控制PIN或密鑰。然而,假定輸入正確的控制PIN/密鑰,則任何新密鑰可被插入和保存在讀卡機內。這種方式下,通過首先插入任何控制PIN/密鑰在門讀卡機中(之前,期間,或安裝后不久),SA確保沒有其它人可在門讀卡機內插入和保存密鑰。在這一點上,SA知道門D的讀卡機的所有密鑰,例如,SKAD、SKBD、SKCD等。不是實施Kerberos,而是更簡單的,即SA現在將SKAD給予機構A,SKBD給予機構B,等。這里,機構A/B/…可控制用戶U訪問D,其通過私鑰加密方法或私鑰簽名方法實現。注意,這些機構可單獨操作不同組的門。例如,假定1.門D1在其讀卡機內具有密鑰SKXD1,及SA將SKXD1給予機構X;2.門D2在其讀卡機內具有密鑰SKXD2,及SA將SKXD2給予機構Y;同時3.SA不將門D1的密鑰給予Y,及不將門D2的密鑰給予X。接著,機構X可控制對門D1的訪問,機構Y可控制門D2,二者為完全獨立的方式。一轉好的解決方案但即使使用上述可用的特征,我們可在某些重要方面改善系統如上述的系統。即密鑰-存儲器大小。在門讀卡機最好為每一不同的組織保存控制其的不同密鑰的同時,這抬高了讀卡機應安全保存的密鑰的數量。增加新控制。當新機構或新門被引入到系統中時,新控制發出可能發生。如果門D不為組織X保存密鑰,且隨后想要X獲得對D的控制,則SA必須在D的讀卡機內插入用于X的密鑰。例如,如果新組織出現,則SA必須派遣一隊工人去在應由新組織控制的每一門D內插入SKXD。然而,這樣的物理“旅行”可能是不方便的。為避免它們,SA可在門D的讀卡機中預安裝另外的密鑰,接著將它們與出現的新組織結合,或與隨后必須控制通過D的訪問的組織結合。然而,這個策略只會加劇在第一加重號處描述的情況。此外,如果引入新門,其將由某些已經存在的機構控制,則SA將不得不在門讀卡機中插入新密鑰,并接著將適當的密鑰遞送給已經存在的、必須控制新門的機構。盡管可做,但遞送密鑰總是有問題的。收回控制。一旦密鑰SKXD被保存在門D中并為組織X知道,則X將繼續控制通過D的訪問,即使在某一點對D的控制應被專門地給予不同的組織。為避免此,SA應再次從事于物理旅行并將SKXD從門D中移除(如借助于控制PIN/密鑰機制)。現在讓我們描述怎樣致使這些另外的改善。基本系統輪廓在開始,我們可使系統與每門單一的密鑰一起工作。例如,SA在門D中保存單一的密鑰SKD(當然跟蹤該信息)。該密鑰可潛在地由SA從唯一由SA知道的D的標識符和秘密種子s計算例如,SKD=H(s,D)。接著,SA將對D的控制給予機構X,通過給予X以選自SKD和X的密鑰SKXD實現。例如,作為在X求值的具有種子SKD的假隨機函數(為了簡單,我們假定實體與其適當的標識符一致)。特別地,我們可使SKXD=H(SKD,X)。機構A接著使用SKXD授權用戶U在時間間隔(如天)d訪問D,如先前那樣。特別地,通過使用SKXD作為私鑰簽名方案的簽署密鑰例如,通過計算SKXDUd=H(SKXD,U,d)并接著使SKXDUd被保存在U的卡中。當U的卡與D的讀卡機通信時,則卡提供(a)X和(b)SKXDUd及可能其它信息如d(及關于用戶U的信息)給讀卡機。在接收該信息的基礎上,讀卡機計算H(SKD,X)并接著使用該結果(依其所述等于SKXD)作為同一私鑰簽名方案的簽署密鑰并簽署(U,d)-在上述的例子中,通過在將其與SKXD結合后散列(U,d)。如果結果與由卡看管的值(依其所述,SKXDUd)匹配,如果時間間隔關于讀卡機的時鐘是正確的(及如果U輸入正確的PIN,如果PIN被適當地用在上述系統內),則門打開。密鑰存儲器.增加控制注意,該每門單密鑰系統不僅使密鑰存儲器要求最小,而且極大地簡化了增加控制的問題。在機構X需要獲得對門D的第一次控制的任何時間,SA不需物理地到達D并在D的讀卡機中插入(或幫助X的插入)新的D-X密鑰。而是,如果D具有為SA知道的密鑰SKD,則SA簡單地從SKD計算D-X密鑰(如,SKXD=H(SKD,X)),并將該D-X密鑰遞送(如電子地)給X。收回控制對于每一門D及被授權在時間間隔(如天)d控制D的機構X,SA計算并使其簽名可用。例如,該簽名可以是關于SA與門D共享的密鑰SKD的私鑰簽名。特別地,該簽名可以是值H(SKD,valid,X,d’)。注意,即使盡管作為私鑰簽名,簽名本身可被公布,不必有任何擔憂。事實上,使用上述的基于H的私鑰簽名實施,如果H為安全的單向散列函數,則從H(SKD,valid,X,d’)計算SKD是很難的。因而,當用戶U在其卡中獲得該天的正確門控許可時,他可獲得用于門D的SKXDUd及H(SKD,valid,X,d’)。門D的讀卡機接著可像以前那樣驗證SKXDUd,并通過散列SKD、valid、X及d’而另外地確定X確實已在間隔d’控制D,并檢查由卡看管的同樣的值在d’之內。事實上,只有SA(及D)知道秘密簽署的密鑰SKD機構X僅知道H(SKD,X)且從H(SKD,X)和H(SKD,valid,X,d’)計算SKD是非常困難的。注意,時間間隔d和d’不可一樣。例如,SA可對在每周的基礎上授權X對D控制感到滿意,同時X可在每天的基礎上授權用戶訪問通過D。或者,系統可用密鑰的取決于時間的版本代替上述的SKXD的使用如,SKXDd=H(SKD,X,d)。則SA將不得不在時間間隔d之前將SDXDd遞送給每一機構X。為收回控制,SA簡單地停止發送時期d的SKXDd,因為其SA決定決絕X對D的控制。還應注意的是,系統當前考慮了一些隱私,因為SA不必知道哪一用戶U被X給予了對D的訪問,也不知道它們的號碼。當然,方案可除去該隱私保護(如,報告或通過使用Kerberos系統)。例14現在讓我們概括一下我們的優選實施方式,其用于在具有超級機構SA、多個(最好是分離的)門D、多個組織X、多個用戶U的系統中實現安全物理訪問。優選的實施例使密鑰存儲量最小并使添加及收回組織X對門D的控制非常容易。在優選實施例中,SA授權組織X在給定的時間間隔控制門D。在該時間間隔期間,X本身可授權用戶U訪問D。我們設想(及可能其它參與者)在對應于一連串時間間隔的一連串日期d的每一日期采取行動。例如,d可以是特定天的開始及特定天的相應時間間隔。為了簡單,我們可使用d表示日期及相應的時間間隔。(然而,應該理解的是,這不是限制性的例如,日期可以是特定的天,時間間隔對應于在該天之后的日期。)具體地,但非限制性的,我們可假設每一日期/時間間隔為一天。我們使用私鑰數字簽名描述優選實施例。這并沒有限制的目的。我們的優選實施例應被認為可用上述任何其它私鑰系統實施。更具體地,我們假定私鑰簽名使用單向散列函數H實施。這并沒有限制的目的H(SK,DATA)應總是被認為是具有數據的密鑰SK的數字簽名。我們假定SA與門D共享密鑰SKD。SA還可與組織X共享密鑰SKX。(SKD可由A經主密鑰SK產生。對于SKX是類似的。例如,SKD可等于H(SK,D),及SKX可等于H(SK,X)。SA接著可秘密地—或經加密—提供給D以SKD。對于X是類似的。)在每一天d,如果SA希望授權組織X訪問門D,其計算并使X接收密鑰SKXDd,其是安全結合到X、D、及可由D驗證(如,基于輸入X和d)的天d的密鑰。例如,SKXDd=H(SKD,X,d),即,SA使用密鑰SKD簽署X、d。SA接著使X接收SKXDd。SA可通過發送SKXDd到X而使X接收SKXDd,這最好在使用與X共享的密鑰SKX將其加密之后。也是優選地,SA發送那樣加密的SKXDd給X,這通過使其被保存在響應者中、X接著從其下載而實現。如果X希望在天d內的時間間隔t授權用戶U訪問D,則X計算并使得U接收密鑰SKXDdUt,其是安全結合到X、D、U及可由D驗證的t的密鑰。例如,SKXDdUt=H(SKXDd,U,t),即,X使用密鑰SKXDd簽署U、t。X接著使U接收SKXDdUt。X可通過發送SKXDdUt到U而使U接收SKXDdUt,這最好在使用與U共享的密鑰SKU將其加密之后。也是優選地,X發送那樣加密的SKXDdUt給U,這通過使其被保存在響應者中、U接著從其下載而實現。如果U希望在時間間隔t訪問D,U使得D接收X、U、t(如,U的卡傳輸到D的讀卡機)。如果D在天d接收X、U、t,其從其密鑰SKD計算SKXDd并接著從SKXDd計算SKXDdUt。D接著驗證時間間隔t確實在天d的范圍內,并使用其自己的時鐘驗證當前時間確實在時間間隔t的范圍內。此外,D通過使用密鑰SKXDdUt的挑戰-響應機制驗證其正與U/U的卡打交道。如果這些驗證均通過,D打開。例如,D可通過計算H(SKD,X,d)而從其密鑰SKD計算SKXDd,并接著通過計算H(SKXDd,U,t)而從SKXDd計算SKXDdUt。例如,使用密鑰SKXDdUt的挑戰-響應機制可包括使D發送一隨機的字符串q并接收回具有密鑰SKXDdUt的q的加密,或具有密鑰SKXDdUt的q的數字簽名。或者,D可發送Eq,具有密鑰SKXDdUt的q的加密,且必須接收回q。注意,優選方案應被理解為包括使用與上述方案協作的PIN。特別地,在前面部分中所述的任何PIN應用均可被使用在優選方案內。注意,優選方案提供了大量的靈活性,因為d和t可以不同。例如,SA可提供X在周d對D進行控制,而X可在周d內的天t授權用戶U訪問D。然而,我們可使d=t,在這種情況下,t不必被指明或單獨使用在優選系統中。Kerberos方法在我們的安全訪問應用中,直接使用Kerberos方法將不能很好地工作。將所有門及SA實施為同一區域是最自然的(對于該區域,SA充作入場券授權服務(TicketGrantingService),TGS)。每一組織及其雇員將在分開的區域。對于該區域每一組織的機構則可充作鑒別服務AS(及可能其自己的TGS)。根據Kerberos協議,每一用戶可通過獲得入場授權的入場券(ticket-grantingticket)TGT而為各自的機構/AS鑒別。該入場券TGT接著由用戶發送給SA/TGS,連同請求用戶被授權的每一門的服務授權入場券。SA/TGS接著不得不驗證用戶的合格性,且,如果用戶—如果所有均是正確的—提供這些服務授權的入場券。很顯然,該協議是非常費力的,并賦予SA大量的負擔。特別地,驗證特定的用戶被授權哪一門并發出各自的入場券是SA的職責。此外,其要求SA是在線的并實時從事于協議。使用戶具有到SA的通道也引出了額外的安全性威脅。沒有協議的Kerberos入場券原則上,我們可“放棄”Kerberos協議而僅使用入場券。即,所有入場券可以預先預定或提前預計算,且用戶可在主門進入的時間獲得它們,并不需要參加適當的Kerberos協議。然而,許多上述問題仍將保留—特別地,將某些門的控制授權給特定的機構對SA而言應是自然的(但在這種情況下,該控制可被很容易地收回,可能在隨后的點被恢復)。在Kerberos內使用RTC幫助解決該問題的一種辦法是使用實時憑證RTC。例如,我們可使用上述方法中的入場券。然而,在該方法中,我們不會在每天的基礎上產生入場券。而是,我們可使用長效入場券,經在入場券的授權數據字段中已傳遞的RTC管理短效訪問控制。在該例子中,RTC可如公鑰證書的例子中那樣正確地工作。然而,在此某些優化是可能的。使用上述的RTC帶來大量可能的好處。這些包括(但不限于)1.容易管理a.現在,SA肯定很少被涉及b.代替相對較大的入場券,用戶將需要獲得非常小的RTCc.產生RTC可被委托給相應的機構d.收回控制是容易的這可以至少兩種方式實現。第一,更簡單和自然的—在入場券期滿時不需由SA更新。更精確的機制將使用兩種RTC由SA發出的RTC及由其它機構發出的RTC。接著,每天SA需要對每一機構發出單一的RTC,其保持(或者,其不得不為每一機構-門對發出RTC,其中機構被授權打開門)。每一機構還將為每一用戶發出RTC(或者,為每一用戶-門對,其中用戶被授權打開門)。注意更傳統的Kerberos方法要求更多的入場券被產生并在在線協議這傳遞。e.RTC允許清晰的角色分離,有助于管理和基礎結構的許多方面。2.效率a.空間RTC大大小于相應的入場券。b.時間因為它們非常短(且它們較少且只有較少數量的通信巡回),通信將非常快,使用戶能夠在獲得RTC的同時以合理的速度移動通過門。c.負載分布RTC可由非安全的響應者分發。RTC的復制既不昂貴也不危險。3.安全性a.RTC對安全性不敏感,一旦它們被產生,即可被更容易地管理(如由不安全的響應者),并沒有對安全性的任何威脅。b.入場券和授權的分開(經RTC)在密鑰管理中具有更多的安全性(當密鑰/入場券被實際上產生和通信時)。c.SA隔離SA永遠不會真正需要具有與任何用戶的直接通信線路。除Kerberos之外可以發現的是,上述機制從核心Kerberos特征獲益甚少(這主要由于Kerberos被設計用于不同的應用的事實)。這樣,在此我們探究我們可怎樣使用基于RTC的機制,其不直接關于Kerberos。這些機制可類似于上面的私鑰加密和私鑰簽名。在這些機制中,特殊機構SA將與每一組織A(B,C,...)和每一門D共享秘密。例如,這可以通過使用上述方法使得SA需要僅保存單一的秘密s實現。在SA和A之間共享的秘密接著可以是SKA=Hash(s,A)。類似地,在SA和D之間共享的秘密為SKD=Hash(s,D)。注意,A和D也需要分別僅保存一密鑰SKA或SKD。此外,另外的密鑰SKAD=Hash(SKD,A)對應于每一組織-門對(A,D)。該密鑰可由SK和D容易地計算。將SKAD給予A是必須的但可能不足以使A控制對門的訪問。此外,A可能需要從SA(或從另一方)接收用于當前時間周期d的RTC。該RTC,稱為RTCAD,不需要是秘密的,并可證明A還與SA保持良好的關系。由A雇用并被授權進入門D的每一用戶U接著可從A接收密鑰SKAUD=Hash(SKAD,U)。注意,SKAUD可由A和D在沒有任何另外的密鑰的情況下容易地計算。將SKAUD給予U是必須的但可能不足以使U能夠打開門D。此外,U可能需要單獨的用于當前時間周期d的RTCRTCAUDd。注意,該方法已引人注目地簡化了信息流在每一時間周期d的開始,SA為每一組織A發出單一的RTCAD。每一組織A繼而為每一用戶-門對發送單一的TCAUDd。所有這些RTC均可由雇員在進入主門時獲得。假定,用戶U被授權進入設施內的100個門,用于所有門的RTCAUDd要求少于2KB-即使慢速連接也可管理的量(通常,其僅花不到1秒的時間)。要打開門D,用戶U需要呈現RTCAd及RTCAUDd,并基于密鑰SKAUD執行鑒別(該鑒別可以是挑戰-響應型以保護密鑰)。注意由于相對少量的RTCAd憑證可能呈現在系統中,這些憑證的確認可能不需要在每用戶的基礎上進行。而是,每一門可確認其接收的每一RTCAd并緩存結果,以用于其它用戶的確認。特殊機構SA可能希望對組織訪問門進行更好的控制。要實現此,代替每組織憑證RTCAd,SA可發出每一組織門對(A,D)的RTCRTCADd。接著,對于SA,授權并收回每一組織在每天的基礎上對每一門的控制是可能的。注意,這至多使每一用戶需要接收的RTC數據量翻倍(對于上述例子,依然保持所要求的過渡時間在不到1秒的時間內)。聚集RTC可以發現,訪問控制權不會引人注目地天天改變。這樣,上述機制的許多能力均未被使用。我們提出RTC聚集機制,其可被用在相對穩定的環境中以提高甚至另外的效率。例15作為一個例子,有100個組織,每一組織有權使用1000個門。因此,有100000個組織-門對,因而,RTCADd憑證將由SA每天發出和分發。此外,如果每一組織雇用大約1000人,這將導致100000000個RTCAUDd憑證將由所有組織發出和分發。讓我們將所有組織-用戶-門三個一組的AUD分為按層級安排的組。例如按如下可很容易地想象這些。讓所有AUD對應于對稱的二進制樹形網絡的樹葉(以優選方式排序的)。接著,樹的每一節點n對應于一組所有AUD對應于在n的子樹中的樹葉的AUD。對于每一這樣的節點和時間周期d,讓其有一個對應憑證RTCnd。則對于任一AUD祖先n,AUD在周期d的有效性可由任一憑證RTCnd證明。因而,如果所有AUD組在天d保持有效,則單一的憑證RTCr足以用于整個系統,其中r為樹的根。總之,如果有100個AUD組變得無效的,則至多1500個憑證就足以證明整個系統(其代替100000000)。更一般地,如果有k組無效,至多k(26-lgk)個憑證被需要用于整個系統的證明。該方法導致引人注目的改善,即使聚集RTC要求更多的值被保存在門和/或用戶中在上述例子中,這樣的開銷可至多導致存儲器中的26開銷的因素,而節約了通信中的巨大的定購(在上述例子中為4或5)。更一般地,如果將被授權的(在我們的例子中,這些是AUD組)一組實體保護N個成員,且其中的k個將被排除,則至多需要k(1gN-lgk)個憑證來證明整個系統,同時用于聚集的開銷至多為lgN。甚至更有效的組表示法可能存在(如,在上述已被認知為子集覆蓋方法時,我們還可使用子集區分覆蓋及基于其的最新結果)。這樣,該聚集憑證的確認可被優化,如通過緩存至少用于較大的組的結果。RTC實施及最優化實時憑證的許多不同的實施是可能的。這些RTC的實施還允許許多不同的優化。例如,實時憑證可被實施如下x0為隨機值,如20字節長。xi被定義為xi=Hash(xi)。xn為以某一方式(如由SA從SA安全通信到門D)固定的公開值。接著,Xn-d為時間周期d的實時憑證RTCd。其可通過應用Hash()到xn-dd次而被驗證并驗證結果是否等于xn。這實質上是RTC怎樣被實施在公鑰證書的情況中—例如,xn可被包括為證書的一部分。在此實質上使用同樣的實施也是可能的。代替將xn包括在證書內,在此我們可將其包括為Kerberos入場券的一部分。或者,我們可通過其它一些安全方式通信它,如用門D的密鑰SKD加密等。RTCd的另一可能的實施是簡單地將其設為等于Hash(SKD,RTC,d),其中RTC指憑證ID。例如,為了使組織A能夠具有在天d對D的控制,憑證RTCADd應被使用,其中RTCADd可被設為RTCADd=Hash(SKAD,d)。用戶U在天d訪問門D的憑證,如由組織A發出,可以是RTCAUDd=Hash(SKAD,U,d)。該方法允許憑證正好提前特定的日期被預發出,且不授權在想要的時間周期外的任何天的訪問(即使這些是非鄰近的)。上述憑證的確認是直接的。注意,上述憑證實質上是具有適當密鑰的對稱的簽名。在所有上述憑證中,加密可被用以代替Hash。注意,我們已使系統在每一步更有效。設定機場具有1000個門、100個機構及10000個可能的工人,為了簡單,并假設控制在每天的基礎上給出。則中央機構被卷入計算每一門-用戶密鑰的Kerberos/Needham-Schroeder系統肯定每天涉及1億個密鑰。如上面所概述的系統,僅要求SA每天產生并遞送少于100000個密鑰給所有機構。在OCSP中的實時憑證我們現在描述本發明的優選實施例的實時憑證確認技術在使用開放證書狀態協議(OCSP)用于數字證書確認的環境中的使用。這表明本發明技術怎樣保持與OCSP的兼容性,同時提供較傳統OCSP實施質量上較高的安全性和可升級性。傳統的OCSP實施CRL可能變得非常大,因為它們集中提供關于許多證書的廢除證據(因而,及間接地,有效性證據)。比較地,OCSP為單個的證書提供有效性證據。OCSP服務通常由OCSP響應者實施。這樣的響應者為服務器,其在從客戶(aka證書信任方)接收關于由特定CA發出的特定證書的有效性的問題的基礎上,提供指示證書狀態和回答時間的數字簽署的回答。為實現此,對于OCSP響應者而言,知道所有CA的證書的狀態是必須的,因為只有CA可廢除其自己的證書。如果OCSP響應者為CA自身,這樣的知識被很一般地獲得。否則,必須采用一些其它形式來使OCSP響應者保持關于CA的證書的狀態的更新。例如(cfr,美國專利號5,717,758,基于證明的證書廢除系統),CA可將其最近的CRL發送給響應者,且響應者可請教簽署的文檔以推斷感興趣的證書當前是有效還是已被廢除,且在其簽署的響應中,同樣指明時間及下一更新的時間。(在此,該更新時間與CA的下一CRL的日期一致是自然的,因為CRL可觸發不同的響應。)當然,懷惡意的響應者可提供關于特定CA的證書的假的簽署的回答,有或沒有請教后者的CRL。對于證書信任方,要安全地依賴于OCSP響應者關于特定CA的證書的數字簽署的回答,OCSP設想CA提供一響應者證書給響應者,一特殊的數字證書—由CA簽署—其實質上向其它方證明CA委托響應者提供關于其證書的準確證據。注意,對于該工作過程,每一OCSP響應者(及每一CA)必須具有秘密簽署的密鑰,且該密鑰必須被保護(理想地,通過將其放置在電子庫或服務器在電子庫中使用它)。圖2示出了在繁瑣的OCSP環境中的事務處理順序。秘密簽署的密鑰被保護的事實通過將它們置入粗的“邊線”而被強調。在簽署的數據的情況下,簽署者的名字被立即指示在下面。該圖示出了該事務處理的各個PKI敏感的組成,如陰影框所示。發證機構自身具有私鑰SK1,其必須被保持安全的以防止未經授權的證書發出和廢除。該密鑰被用于簽署CRL,其被公布給OCSP響應者。響應者1A的密鑰也必須被保持安全的,并被用于簽署響應者1A的OCSP響應。OCSP的缺點缺點1計算數字簽名是計算集中的運算。由響應者基于每一響應創建的數字簽名在請求時產生,且是到目前為止確認運算的計算最集中的部分其可容易地在任何地方增加從50毫秒到1秒的時間到事務處理時間。即使響應者緩存其關于數字證書C的數字簽名,并接著當詢問C時發送同一簽名,直到下一更新,對詢問C的第一用戶的回答將被大大延遲。缺點2通信(與集中的實施)假設單個確認服務器以集中的方式實施OCSP。則所有證書有效性詢問將實際上不得不發送給它,且服務器將是導致相當的擁塞和延遲的主要“網絡瓶頸”,如圖3中所示。如果巨大數量的誠實用戶突然詢問服務器,則中斷的“拒絕服務”將可能發生。缺點3安全性(如果是分布式的實施)為防止集中的OCSP實施可能導致的瓶頸問題,CA可考慮分布由其證書產生的請求負載,其通過將它分布在幾個OCSP服務器中(其適當地證明)。一般而言,分布單個服務器的負載到幾個服務器(如100個),戰略地位于全球各地,將減輕網絡擁塞。然而,在OCSP情況下,負載分布產生比其解決的問題更壞的問題。為了將其響應加到其接收的證書詢問,100個服務器的每一個均應有其自己的秘密簽名鑰匙。因而,危及100個服務器的任一服務器均將危及整個系統。如果傳統的OCSP響應者被危及安全,攻擊者可做下述三件事之一。第一,其可阻止響應者發出任何響應。這種類型的攻擊在證書信任方是可檢查的,因而不是太嚴重。第二,其可使用已發現的秘密簽署的密鑰簽署響應,其指明合法的證書已被廢除。第三,最具破壞性地,其可使響應者產生簽署的響應,其指明廢除的證書依然有效。這種類型的假肯定響應可允許已終止的雇員重新有權使用系統等。防止響應者被危及的最好辦法是使其從安全的電子庫運行,具有24×7的監視等。不幸地,這是成本高昂的選擇。真正安全的電子庫,滿足財務CA需要的所有要求,可能需花費$1M以上來建立及$1M/年來運行。即使愿意付出這樣的費用,電子庫也不能在一夜建成!如果CA需要幾個電子庫來減輕其當前響應者的負載,在新電子庫建成以前其不得不等上幾月。此外,即使幾個昂貴的電子庫已在合適的位置,它們還可能是不安全的。這是因為OCSP機制要求響應者接收來自不信任的源的請求,并使用其秘密簽署的密鑰服務它們。因而存在這樣的可能性,懷惡意的代理更喜歡探索操作系統下面的任何弱點并因而將秘密簽署的密鑰暴露以通過裝甲的混凝土墻鉆空子。總之,如果沒有電子庫或足夠昂貴的周界保護響應者,則危及安全的可能性非常高,但即使真正安全的建筑容納響應者,響應者還可能受軟件攻擊對于老練的數字敵人,OCSP機制使電子庫看起來非常像具有“窗口”的料倉。缺點4信任流OCSP在服務源自不同安全領域的證書有效性請求時有困難。在圖4所示的想定中,由組織#1運行的響應者能夠提供關于來自CA#1的證書的狀態的響應,但由另一組織運行的響應者則可能沒有足夠的信息來提供關于“外來的”證書的響應。例如,由發證機構CA2運行的響應者2A不知道怎樣回答關于CA1的證書的請求。源自缺乏特定的知識的這個問題可以下述兩種方式之一提出。第一,來自組織#2的證書信任方可發現來自組織#1的響應者向它們詢問來自CA#1的證書的狀態。然而,這限制了性能,因為來自組織#1的響應者可能在地理上遠離于組織#2中感興趣的證書信任方,這樣,網絡時間可大大減慢整個確認過程。第二是允許來自組織#2的響應者做出關于來自組織#1的證書的響應,通過使CA#1轉發其CRL到“外來的”響應者。這確實不引起安全威脅,因為CRL是數字簽署的,并因為CA希望通知最大可能的受眾關于其自己的證書的有效性。這向組織#2的響應者提供了足夠的信息以用于回答來自證書信任方的關于CA1的證書的請求。但對于證書信任方,要真地認真地采用響應者2A的數字簽署的回答,CA1還應證明響應者2A對回答其自己的證書的有效性詢問是可信賴的。整個過程如圖5所示。該方法提供了較好的可升級性和性能,但其弄混了兩個組織之間的安全性和信任流。在上述例子中,響應者#2A權威地響應于證書信任方CA#1的證書#321還是有效的。因為任何原因(錯配置、敵方攻擊、或直接欺騙)做出不正確的響應,響應者2A可導致對來自組織#1的用戶不利的結果。通過允許響應者#2A做出關于其自己的證書的權威聲明,組織#1放棄其先前保有的某些信任。作為例子,設想組織為信用卡發行者。銀行#1廢除了用戶#321的卡證書,且其支付以確保其響應者是安全的和可靠的。來自銀行#2的響應者被錯配置,使得當商人證書信任方詢問用戶#321的有效性時,它們錯誤地響應該用戶有效。商人接受該回答并允許被廢除的用戶的交易進行。組織之間的這種類型的信任委托在某些情況下是可接受的,但其對傳統的OCSP的任何大規模按級調配不總是有用的。在OCSP中的實時憑證根據上述問題,我們希望提出另外的證書確認系統,實時憑證(RTC),其在保持與當前的OCSP標準的兼容性的同時,解決了傳統OCSP的所有上述缺陷。RTC技術不同于傳統的OCSP,因為1.其不委托信任給外來的響應者;2.其將所有確認信任集中到單一機構(RTC機構);還有3.其將來自該單一機構的詢問負載分布給任意數量的未受保護的響應者;4.即使在依賴于數千響應者的分布式實施中其也不降低安全性(即使這些響應者未受保護);5.其引人注目地改善了對詢問的響應時間。這在安全性、性能、可升級性及非均勻性方面對傳統OCSP提供了根本的改善。RTC系統包括下述步驟CA證明RTCA新系統以RTC機構(RTCA)為中心。這是一個可以或可不與特定組織的CA一致的實體。優選地,每一CA提供其自己的具有特殊證書的RTC,RTCA證書。CA最好數字地簽署該證書,指明其委托且確實授權RTCA提供關于其自己的證書的有效性信息。該證書可結合特定的驗證密鑰PK(對于其,RTCA擁有相應的秘密簽署的密鑰)到RTC機構(如由特定的標識符、OID號識別)并以某些方式指明證書實質上給予RTC狀態,并可包括其它傳統的證書信息和格式。在兩個實體一致的情況中,具有不同的簽署密鑰對它們還是有利的,有效地使得在任何情況下,CA僅發出證書及RTC機構僅管理它們(即,證明它們有效或被廢除)。存在這樣的情況,即使CA和RTCA一致,RTCA證書依然可被采用。優選地,每一CA具有唯一一個RTC,盡管用于冗余的目的,具有一個以上可能是有利的,無論是否使用同一簽署的密鑰。RTCA保護其簽署的密鑰RTCA必須保護其簽署的密鑰,例如,借助于電子庫或安全設施。(然而,如我們將看到的,對于證書確認目的,沒有必要需要另外的電子庫)。RTCA可位于同一受保護的設施中,一個以上的服務器嵌入其秘密簽署的密鑰,或者安全地保存(如,在銀行的安全保險箱中)密鑰的拷貝,或招待一個以上的服務器,每一服務器具有由CA適當證明的秘密簽署的密鑰。CA通知RTCA其證書的狀態。例如,其以在線/實時的方式保持對證書有效性的任何變化的評價(發送消息通知RTCA證書狀態的變化,只要其發生)。或者,當產生時,其可發送其CRL給RTCA。RTCA獨立于任何請求,單獨簽署給定時間間隔的每一證書的有效性狀態最好定期地(或在一連串日期的任何日期),基于其當前確認知識(如基于CA的最新CRL)并獨立于任何證書信任方請求,RTCA處理其CA的每一顯著地證書,并數字地簽署陳述該證書狀態的聲明。因此,結果攜載指明用于該證書的下一更新的時間組成。如果RTC的周期取決于發出CA發出的CRL,更新時間可以是下一CRL的時間。時間組成還可指明用于處理中的CRL的發出時間。因此,實質上,RTCA預計算數字簽名,其指示每一證書在給定時間間隔T的狀態(如從最新CRL的日期---或從足夠近的日期---到下一CRL的日期---或到足夠近的日期,在任一情況下,允許足夠的時間來處理所有必要的信息)。該預計算獨立于任何關于證書的證書信任方請求執行。事實上,優選地,RTCA在時間間隔中進行的任何關于證書狀態的詢問之前預計算所有簽署的證書狀態的聲明,或完全在時間間隔之前。特別地,RTCA可早于T開始1分鐘而預計算所有其簽署的關于時間間隔T的聲明。這樣做將不與CRL“同步”的事實不太嚴重。CRL本身不是實時的,關于證書廢除的信息及證書已被廢除的原因可能需要相當多的時間。例如,用戶可認識到,其密鑰已被危及安全并因而在該事實之后1天請求其自己的證書被廢除。因而,在任何情況下,證書以1天的延遲被廢除。優選地,RTCA簽署的證書有效性的聲明為標準的OCSP格式。即,實質上,RTCA最好預計算OCSP-響應于尚未被產生的OCSP請求。這是重要的,因為OCSP軟件已經在合適的位置,且其不需要修改任何現有的證書信任方軟件的情況下可非常方便的利用RTC系統。RTCA發送其預計算的有效性狀態的簽名給未保護的響應者在預計算該簽名后,RTCA使其可用于其它方,包括證書信任方(如,響應于它們的請求),但是,特別地,發送給響應者。這些響應者不需要被保護。實際上,它們處理RTCA簽署的消息,且這些不能以不可檢測的方式而被實質上修改或改變。事實上,RTCA可容易地發送它們給外來的響應者(響應者屬于其它組織)。RTCA可有助于響應者處理其簽名,其通過將它們以適當組織的方式呈現給響應者。例如,其可根據證書序列號排序呈現其簽署的證書有效性狀態,或以任何方式,或確保每一簽署的數據具有同一或適當接近的長度等。為確保所有有關的預計算的響應已被接收,RTCA可簽署并注明其響應的整體的日期(如,所有這些關于同一時間間隔和CA)。此外,RTCA最好將其自己的RTCA證書發送給其響應者。該傳輸不必在每次更新時均發生。特別地,其可僅在開始的時候執行。響應者保存RTCA預計算的簽名響應者將所接收的預計算的RTCA的簽名保存足夠的時間。優選地,如果這些簽名關于給定時間間隔T,它們保存它們至少直到T的結束。優選地,響應者(特別是那些與RTCA屬于同一組織的響應者)可以是主動的并檢查它們已正確和及時地接收適當的RTCA簽名。例如,響應者可(1)驗證預計算的關于時間間隔T的響應已在T的開始被接收(或其它關于T的適當的時間);(2)驗證所接收的RTCA簽名(及可能適當的RTCA證書);(3)驗證其是否已接收所有簽名(如少于預期數量的簽名,比最終傳輸的簽名少等);(4)驗證其是否已接收先前被聲明廢除的證書的有效性的RTCA簽署的聲明;等。如果任一問題均被檢測,其可通知RTCA或另一適當的實體。證書信任方向響應者詢問有效性狀態信息證書信任方向響應者詢問證書的有效性狀態,它們使用OCSP格式用于它們的請求。響應者以預計算的響應回答詢問當詢問給定證書的有效性時,響應者從存儲器取回RTCA預計算的用于該證書的回答并將其返回。響應者還可轉發已簽署預計算的響應的RTCA的適當證書。證書信任方驗證預計算的回答(及RTCA證書)證書信任方處理接收響應以確認感興趣的證書的有效性狀態。優選地,如果響應為OCSP格式,它們使用OCSP軟件用于該處理。優選地,它們驗證適當的RTCA證書。通過該申請,應該理解的是,證書可以是不同類的證書,CA證書及CRTA證書的當前有效性的證據可被添加及驗證,只要需要。圖6示出了RTC系統RTC系統的優點RTCA定期產生CA的所有當前證書的數字簽署的有效性聲明(證據,因為該聲明不能被偽造),并將它們分發給任何感興趣的響應者。(每一證據最好被構建為句法正確的OCSP響應,由RTCA私鑰簽署。)當證書信任方詢問證書的狀態時,RTC響應者能夠返回其已緩存的相應預產生的響應。證書信任方可驗證RTCA的簽名。(此外,其還可驗證RTCA的證書,以確保其正與特定CA的可信RTC機構打交道。當然,這樣的所有其它證書可以是不同類的。)優點1計算數字簽名是計算幾種的運算。但RTC系統將該困難集中于單一服務器(實體)上RTCA。因此,非常容易和相對便宜的給給單一的實體裝備以足夠強大的計算機以處理所有要求的數字簽名。對比地,RTC響應者僅執行微不足道的計算。它們實質地(1)保存RTCA簽名及(2)僅響應于證書信任方詢問執行取回-轉發操作。因此,它們可被實施以非常便宜的硬件。因此,總RTC成本可顯著地低于OCSP的成本。同時,響應時間非常快。事實上,非常便宜的RTC響應者用于取回并發送預計算的RTCA響應的時間相對于OCSP響應者所花的時間可以忽略不計,因為OCSP必須響應于證書信任方請求執行數字簽名。優點2通信在RTC系統中,響應者可使用微不足道的硬件且不需要是安全的。結果,RTC響應者是非常便宜的,事實上,可被大量配置。即,可總是負擔得起RTC系統的分布式實施。因此,即使在短時間內巨量的證書-有效性請求被產生,該負載可總是被擴展到許多RTC響應者,在不產生更多成本的情況下,消除了擁塞和良性拒絕服務的風險。(注意,RTCA的工作量僅取決于證書的量并受有效性狀態請求的數量的影響。因而,單一的RCA可被使用,即使預期有數以億計的有效性請求。)優點3安全性在RTC系統中,只有RTCA(包括CA,如果其是不同位置的實體)被保護。事實上,響應者不保存任何密鑰它們僅保存RTCA的數字簽名,但為了所有安全性的目的,在由RTCA計算之后其可被完全公開。對比地,每一OCSP響應者具有秘密簽署的密鑰,危及其可危及整個系統。因此,防護單點是首選的且較防護許多同等重要的點容易。此外,不像在OCSP中,證書信任方不能容易地上演軟件攻擊。事實上,RTC響應者以非秘密的信息服務證書信任方的請求。實際上,它們沒有任何密鑰并僅需要保存預計算的數字簽名。因而,即使證書信任方成功地嵌入某種特洛伊木馬詢問,其將不能暴露任何東西。其至多可暴露RTC響應者知道的所有東西,也就是說,其證書的全部和準確的賬戶是有效的且其在給定的時間間隔被廢除。及這不僅是非秘密的信息,而且甚至是發證機構愿意大家普遍知道的信息,使得沒有人會不正確地依賴于其證書之一。最后,注意,軟件攻擊不可容易地由RTCA上演。實際上,盡管用于秘密簽署的密鑰,RTCA不處理來自不信任源的請求。這是因為,RTCA不回答任何不信任的請求其簡單地從CA(非常可信的源)接收輸入并定期輸出數據(簽署的有效性聲明)。因此,插入特洛伊木馬的能力將在RTC系統中喪失!換言之,在RTC系統中,不僅單一的電子庫就足夠了,而且沒有任何“窗口”。優點4信任流除了這些優點外,在OCSP上的RTC方法在涉及多個組織的不同類的PKI配置內能夠有相當的靈活性。下面的圖表示出了OCSP上的RTC可怎樣被配置在跨CA環境中。圖7示出了來自組織#2的響應者可怎樣從組織#1接替響應,而不需要從組織#1傳輸任何信任到組織#2的響應者。由于RTC響應者是簡單的、非委托的接替信息,它們可被廣泛分布和鏡像,并不降低整個系統的安全性。證書信任方詢問組織2的響應者(響應者2B)關于組織#1的證書的有效性。注意,其得回的響應令人信服的,因為其是由組織#1(RTCA1)的RTCA數字簽署的。此外,來自正確組織的直接數字簽名最好由證書信任方也得到RTCA1的證書(最好由CA1簽署)的事實確證,其保證RTCA1確實是組織1的適當的RTC機構。總之,組織#1使組織#2的響應者能夠提供令人信服的有效性證據,其用于組織#1的證書,并不放棄任何量的對其自己的證書的有效性狀態的控制。即,在RTC系統中,信任可從一組織流到另一組織,沒有任何相關的安全性或控制損失。優點5安全的不均勻性圖7示出了極端的情況,其中響應者被對待為明顯的網絡基礎結構而不是堅毅的信任點。其示出了使不同類的響應者能夠安全構簡單RTC的極端情況,其能夠從許多源服務關于證書狀態的請求。這類似于由因特網的DNS基礎結構提供的服務,因為其允許不同類的命名服務器的收集,其顯然地發現和緩存詢問的有效響應。該非均勻性是RTC系統相對于傳統的OCSP的一個顯著優點。其允許很廣范圍的組織相互工作,使得來自不同組織的證書信任方可以安全的、可靠的、有效的方式交互確認來自其它組織的證書。實時憑證(RTC)是成本低的、安全的、可升級的、及完全有效的證書確認系統。RTC可(1)提供選擇給開放證書狀態協議(OCSP),及(2)在OCSP內工作并增強OCSP。RTC系統甚至在行使與OCSP標準保持兼容性的選擇時,提供相對于OCSP的顯著優點,以提供質量高的安全性和可升級性。RTC最優化2方對3方證書確認U為具有證書Cu的一方。作為與V方交易的部分,U可發送Cu給V(除非V已經有了),并可能執行另外的任務(如展示關于在Cu中證明的公開驗證密鑰的數字簽名,其屬于U或通過解密隨機挑戰加密識別)。為了交易安全,V可確認Cu的當前有效性并使有效性詢問到達RTC響應者。響應者可回答該詢問,其通過取回并返回最近的RTCA簽署的關于Cu的聲明。然而,詢問RTC響應者使3方交易而不是2方交易,從而增加了所希望的U-V交易時間。由于其是可預知的時間間隔,RTC可值得注意地幫助。即,U方可在每一時間間隔T的開始接收Cu在T期間均有效的RTCA簽署的聲明Du。U可響應于到其的請求接收Du或可被推以Du。在每一情況下,在間隔T期間與V交易,U可轉發Du給V,除了交易所必需的所有其它步驟或任務之外。因此,U-V交易被顯著地加速,因為V為了確認U的證書的當前有效性,不必調用任何第三方。在某種意義上,盡管“全部時間”,其包括U獲得Du,不可被加速,U-V交易將是。注意,不需要在全部時間中保存,僅加速U-V交易依然是有價值的。事實上,假定RTCA聲明在午夜被計算并指明全天為它們的時間間隔。接著,U可在該天前期獲得Du(當沒有真正的壓力存在時),并接著在工作小時期間進行的時間敏感的U-V交易期間將其轉發給V,當節約時間可能是實質的時。此外,效率被獲得,在獲得和緩存Du之后,如果U在與幾方(如100)交易時將其在全天轉發。這種方式下,例如,單一證書信任方詢問成功地替換100個證書信任方請求。注意,該優化還可由V方實現。即,在從RTC響應者獲得響應Du之后,響應于關于U方的證書Cu的有效性的詢問,V方可將Du給予U或使Du可用于其它方使用。該優化也可應用于優選的、RTC的與OCSP相容的實施中。實際上,我們建議也應用類似的優化到傳統的OCSP實施中。即,用戶請求并獲得關于其自己的證書的OCSP響應,接著將該OCSP響應作為其交易的部分在適當的時間間隔轉發給其它交易方。或者,當由證書信任方第一次詢問U方的證書Cu的有效性時,OCSP響應者計算其響應Ru,將其返回給詢問的證書信任方,且還將其轉發給U,使得U可緩存它,至少一段時間,及可將其作為其基于Cu的交易的部分轉發。有幫助的證書確認注意,RTC系統可使用在單個證書中發現的數據實施,從而節約另外的證書和/或響應長度。如我們已看到的,CA可發出RTCA證書,其授權特定RTCA提供關于其自己的證書的有效性的權威回答。理想地,該RTCA證書指明必需被用于驗證RTCA簽署的響應的公鑰。然而,CA可將該RTCA嵌入在其自己的證書內。即,CA(具有適當的格式,OID等)可包括在證書Cu中,同樣,應被用于驗證關于Cu的有效性的數字簽署的響應的公鑰PK。這種方式下,證書信任方不需接收單獨的RTCA證書。當向RTC響應者詢問最新的Cu的有效性證據時,其僅可獲得RTCA簽署的響應。事實上,Cu在其內指明公開的驗證密鑰,證書信任方可使用其用于驗證Cu的有效性證據。這可產生顯著的傳輸節約及存儲節約。類似地,證書Cu可指明其自己的時間間隔。在這種情況下,RTCA響應不需指明間隔T的開始和結束。或者,如果證書具有包括全天的有效性間隔是清楚的,則不需要該信息在證書內指明,且在RTCA響應應用中也實現了同樣的節約。單獨廢除在特定證書C的有效性或中止的RTC證據應指明時間間隔的同時,廢除的證據不必指明任何時間間隔其有能力及時指明單一的點。實際上,不像有效性和中止,傳統的廢除是不能取消的過程。因而,單一的廢除時間rt可有能力用于證明廢除的證書。且rt不必是任何時間間隔T的開始。因此,一旦被永久廢除,RTCA不必在所有更新的日期發送C的廢除證據。原則上,廢除證據可被發送一次并接著由RTC響應者緩存并在證書信任方詢問關于C時被返回。注意,RTCA在證書C已被廢除時可被立刻通知。例如,在時間間隔T的中間,其中RTCA已經產生并轉發C的有效性證據給RTC響應者。當然,在下一更新之前,不會為C計算這樣的有效性證據。因而,較好的計數器測量包括使廢除證據優先于有效性證據。即,誠實的證書信任方在某一時間間隔T既看到C的有效性證據,又看到C的廢除證據(在時間t),并將C當作廢除的(在時間t后)。然而,某些證據信任方可能永遠不會看到這樣的廢除證據,因而C在T結束之前可能被認為依然有效。如我們所看到的,這樣的問題是不可避免的,在這種意義上,及時在傳統的OCSP中,C的廢除新聞需要一定的時間才能到達響應者,且其可能需要花更長的時間來認識到C應被廢除。但是,這些問題可通過使RTCA計算并發送C的廢除證據給所有RTC響應者而被減輕,只要其獲悉該廢除。所有正常運行的RTC響應者接著將從存儲器擦除C的任何有效性證據并用新近接收的廢除證據代替。這種方式下,自那時起,它們將向證書信任方提供關于C的有效性的準確證據。系統一般性CA/RTCA/響應者/參與方/用戶可以是任何實體(如個人、組織、服務器、設備、計算機程序、計算機文件)或實體的集合。證書應被解釋為包括所有種類的證書,及特別地,包括分級的證書及平面證書(cfr.美國專利號5,420,927,組合于此以供參考)。有效性狀態和有效性狀態證據卡包括用于分級的證書的有效性狀態和有效性狀態證據。驗證證書C的有效性可包括驗證CA證書的有效性,對于具有發出的C的CA而言,及驗證CRTA證書的有效性,對于提供簽署的關于C的有效性狀態的響應的RTCA而言。盡管傳統地,證書是數字簽署的文檔,其將特定的密鑰結合到特定的用戶,下面的美國專利5,666,416(組合于此以供參考),證書應包括所有種類的數字簽署的文檔。例如,充作CA的賣主可通過數字地簽署其價格列表而證明它(可能連同日期信息)。該證書的有效性狀態同樣是至關重要的。例如,賣主可能想要證明價格列表的當前有效性。因而客戶可能希望確認價格列表文檔的當前有效性。特別地,對于證明網頁的當前有效性,RTC系統是理想的選擇。事實上,產生當前有效性證據的RTCA可在網頁本身后面保存。(在這種情況下,則一方可被認為是計算機文件。)發送數據D(給X方)應被解釋為包括使D可用(或使X接收D)。具有實時確認的三因素鑒別下述為具有實時確認和廢除的有效的三因素鑒別,其被執行以沒有在證書信任方連接基礎結構。這可工作于物理訪問應用如門或邏輯的應用如文件或應用訪問。下面描述的一物理訪問想定。其它應用很容易由本領域技術人員從該模型推及。例161.用戶具有保存在無線設備上的憑證(物理權標)。該權標最好具有安全保存數字證書和私鑰的能力。優選地,權標具有長距離(WAN)連接方法(如GPRS、SMS、尋呼、CDMA、GSM等)及短距離(PAN)連接方法(如藍牙、IR、RF等)。權標還可具有一個或多個另外的鑒別因素(用于PIN的鍵座或生物測定特征讀取器)。該例子假定權標為藍牙移動電話。2.門具有帶有能夠執行標準PKI操作的小CPU的控制面板,且短距離(PAN)連接方法被用于該物理權標。這個例子假定藍牙使能的計算機類似于我們的標準演示門。3.用戶被提示將PIN號碼輸入到其移動電話內(或輸入其自己的生物測定信息,如果生物測定信息讀取器可用的話)。該提示可一天發生一次,用戶試圖第一次通過門時,每幾個小時一次,隨機地,基于特殊的SMS消息的接收。PIN(或生物測定信息)用作第二鑒別因素(第一因素為電話上的證書),并“解鎖”電話以用在物理訪問應用中。4.一旦用戶在門的范圍內(對于藍牙,30英尺),電話及門相互認可并開始初始的鑒別及確認順序4.1(可選的)門通過經藍牙將門的證書發送給電話而向電話確認其自己。電話使用我們的任一標準方法檢查證書并確認門。這解決了“欺詐讀卡機”的問題并在電話公開任何信息之前確保門是合法的讀卡機。4.2電話將用戶的證書發送給門,其包含用戶的生物測定信息細節。電話還發送RTC證據(優選地,或確認權標,即20字節有效性證據,或分布OCSP證據)以證明其當前有效性。證據先前已經WAN以正常的CoreStreet方式接收,如1997年9月9日授權的、題為“證書廢除系統”的美國專利5,666,416所描述的。4.3門以正常的RTC方式鑒別并確認用戶的證書。門可在當前范圍內(多個雇員可能在門的附近)對多個(甚至所有)電話進行上述工作。5.在用戶到達門時,先前的步驟已被完成。用戶在安裝在門上或門附近的讀取器上掃描其指紋(或其它生物測定特征)。門將生物測定特征細節與保存在范圍內的所有確認的證書中的數據進行匹配。如果生物測定特征匹配,則門打開。否則,門保持關閉。其具有下述優點1.強大的鑒別(在該例子中為3因素,還可能更多)2.對用戶很清楚的(僅走近門并打開它,沒有卡或PIN號需被記住)3.實時廢除和確認4.在任何門沒有連接基礎結構被要求—可在30000英尺或在海洋的中間進行5.可被建立以標準的硬件和軟件組件步驟4.1是有單獨的利益的獨立發明,因為其解決了現有的問題(如由國防部識別),對于這些問題,除此之外尚無其它解決方案。該方案可被擴大,其通過使“廢除證據或服務登錄行進到和/或自其它人的卡/電話到分離的門”實現。保護移動計算資源本發明的優選實施例基于20字節的、不可偽造的、公開的“證據”。20字節證據通過使用稱為散列的單向函數而密碼地保護。該方法很簡單,不需要加密且不使用數字簽名。這些特性使該技術可理想的用于大規模配置(規模上1億);帶寬有限的應用(如無線應用);離線確認(即不要求網絡連接)。膝上型電腦偷竊是一個嚴重的問題,其強加了置換成本、降低了生產率、丟失不可恢復的數據。失去對敏感/機密數據的控制(敏感的運行信息、對客戶的建議、電子郵件、日歷、聯系表、未決的合并、新產品IP、戰略、及投放計劃、財務運算結果、秘密的賠償信息),并丟失了網絡和基礎結構的細節(如用戶名&密碼、撥入號、IP地址配置、DNS命名規則、及主要的郵件服務)。在一實施例中,本發明提供用于租用,即許可使用指定的時間,其中租期是可配置的參數。本發明的技術加強了有效“租用”的出現。租用為20字節,不可偽造的“公開權標”有效的權標,中止權標及廢除權標。新租用被自動接收。計算機可以被暫時禁用,且系統管理員或用戶可恢復膝上型電腦。計算機由系統管理員使用可能的防御可被永久的禁用。圖8示出了根據本發明的一實施例的系統運行。只要設備還有權,有效的租用權標由中央機構1天產生1次。在受保護的設備上得到有效的租用權標可以許多方式實現并對終端用戶是非常清楚的。如果設備被竊取,將發生兩件事有效租用權標中止產生(沒有辦法能夠延伸超出當天的使用);廢除權標被傳播到網絡(任何連接實施設備立即不可用)。被偷竊的設備在以下時間內被關閉幾秒(最好的情況,如果實現推能力);幾小時(一般情況,只要進行任何網絡連接);一天(最壞的情況,沒有連接可能)。系統保護免遭任意的竊賊及內部竊賊的破壞。偷竊設備沒有任何意義,因為硬件不可用;軟件不可用;及數據不可讀。類似于某些卡式無線電品種,只要被偷竊其不再可用,因此阻止偷竊。有效性權標通過下述方法遞送有線網絡;無線網絡;SMS無線“推”;尋呼系統;經紅外端口的手持電話/PDA;藍牙設備;手動型的經另外的通道接收(如,″7G9LTC77U8QLS2PSQK2QEN9VPXXHXPUL″)如經傳真、電子郵件、電話呼叫。圖9為被偷竊的計算機時線的示意圖。另外的保護方法可被使用,包括用于保護的物理錨;用于重新獲得并作為威懾的資產跟蹤服務;運動敏感元件及警報以作為威懾;訪問密鑰作為威懾及訪問控制;用于重新獲得并作為威懾的跟蹤軟件;及其僅保護數據的數據加密,潛在的攻擊及結果包括移除/包圍軟件如果有“管理特權”則可能的,但在廢除后極難。可選的BIOS/硬件反措施,其提供幾乎100%的保護。替換/重新格式化硬盤所有安全的數據丟失,及可選的BIPS/硬件鉤以防止驅動器替換。將硬驅移到另一機器以讀數據數據可被加密。阻止廢除權標的接收拖延膝上型電腦的運行,直到租用期滿(最壞的情況)。根據在此公開的本發明的實踐或說明,本發明的其它實施例對本領域的技術人員而言是顯而易見的。說明書及其中的例子進應被視為示例性的,本發明具有的真實范圍和實質將由下述的權利要求指出。權利要求1、一種用于實體A控制至少一用戶U訪問至少一不連接的門D的方法,門D具有確定當前時間的裝置,包括步驟對于一日期序列的每一時間間隔d,使A產生數字簽名SIGUDd,其指明用戶U在時間間隔d期間可訪問門D;使得U在時間間隔d期間接收用于呈現給門D以通過D的SIGUDd;使U將SIGUDd呈現給門D;及在驗證下述兩項后使D打開(i)SIGUDd確實是指明U在時間間隔d可訪問門D的A的數字簽名,及(ii)當前時間確實在時間間隔d內。2、根據權利要求1所述的方法,其中U具有用戶卡及D具有與機電鎖連接的讀卡機,且其中U通過將SIGUDd保存在其卡中而接收SIGUDd,并通過使其卡由D的讀卡機讀取而將SIGUDd呈現給D。3、根據權利要求1所述的方法,其中A使得SIGUDd在時間間隔d期間可由U接收,其通過將SIGUDd置入U可訪問的數據庫中實現。4、根據權利要求1所述的方法,其中SIGUDd是公鑰簽名,且其中D保存A的公鑰。5、根據權利要求1所述的方法,其中D還驗證關于U的身份信息。6、根據權利要求1所述的方法,其中關于U的身份信息由下述至少之一組成PIN及對D的挑戰的回答。7、在具有實體A、至少一不連接的門、及用戶擁有用戶卡以訪問門的訪問控制系統中,一種用于不連接的門D的方法,其向A指出特定用戶U試圖訪問D,包括步驟使D從U接收信息IU,其指明U希望訪問門D;使D至少暫時保存IU;及對于至少一隨后的用戶V,使D使得V至少暫時將IU保存在V的卡中以用于呈現給實體A。8、根據權利要求7所述的方法,其中V將IU呈現給A,其通過將IU轉移到A可訪問的數據庫或將信息傳輸到A實現。9、根據權利要求7所述的方法,其中IU包括下述至少之一(i)提供給U的用于訪問門D的信息,及(ii)由U產生以訪問D的信息。10、根據權利要求7所述的方法,其中IU包括由U產生的數字簽名。11、根據權利要求7所述的方法,其中IU包括U的數字簽名。12、一種控制物理訪問的方法,包括檢查實時憑證,其中實時憑證包括固定的第一部分及定期修改的第二部分,其中第二部分提供實時憑證為最近的憑證的證據;通過在第一部分上執行一運算并將結果與第二部分比較而驗證實時憑證的有效性;及只在實時憑證被驗證為有效憑證時才允許物理訪問。13、根據權利要求12所述的方法,其中第一部分由機構數字地簽署。14、根據權利要求13所述的方法,其中機構提供第二部分。15、根據權利要求14所述的方法,其中第二部分由機構以外的實體提供。16、根據權利要求12所述的方法,其中實時憑證被提供在智能卡上。17、根據權利要求12所述的方法,其中用戶在第一位置獲得實時憑證的第二部分。18、根據權利要求17所述的方法,其中用戶被允許訪問不同于且分離于第一位置的第二位置。19、根據權利要求12所述的方法,其中實時憑證的第一部分的至少部分表示單向散列,其被多次應用到實時憑證的第二部分的一部分。20、根據權利要求19所述的方法,其中多次對應于自實時憑證的第一部分發出后所逝去的時間量。21、根據權利要求12所述的方法,其中控制物理訪問包括控制通過門的訪問。全文摘要本發明公開了一種用于通過數字證書確認過程來控制物理訪問的系統和方法,數字證書確認過程與標準證書格式一起工作,且其使發證機構(CA)能夠證明每一證書C自C的發出日期D1開始的任何時間間隔(如每天、小時、或分鐘)的有效性狀態,C的時間間隔可在證書本身內指明,除非其對所有證書是一樣的。例如,所有證書可具有1天的間隔,每一證書自發出365天后過期。假定某些初始輸入由CA提供,單向散列函數被用于計算包括在數字證書上的指定字節大小的值,并計算其它保密的且用在確認過程中的值。文檔編號G06Q20/00GK1659597SQ0381326公開日2005年8月24日申請日期2003年4月8日優先權日2002年4月8日發明者西爾維歐·米卡利,戴維·恩貝里,菲爾·利賓,利奧·瑞森,亞歷克斯·西涅利尼科夫申請人:科爾街有限公司