计算机网络及其中控制网络组件访问个人识别设备安全的方法和系统的制作方法

专利名称：计算机网络及其中控制网络组件访问个人识别设备安全的方法和系统的制作方法
技术领域：
本发明涉及使计算机网络安全的装置，尤其涉及加入到计算机网络中并用于安全地认证个人持有者及控制个人对计算机网络的组件访问的范围的数字个人识别设备。
背景技术：
保护电子信息越来越受到全球关注。无论信息是由知识产权、重要的操作数据或个人信息组成，由于全球的竞争，公众对数据的个人发布的关注及新的立法，无意地暴露信息的代价日益增加。这些问题由普及的网络技术组成，它们使能从几乎任何地方和众多的访问设备访问数据。例如，影响如美国保健工业那的工业的管理需要(其中采用规则以保证保健器具采取所有合理的措施以保证个人的可识别的健康信息的安全性及保密)，于是产生越来越多的要求，能够在每个预期的用户允许访问网络或其中认为是敏感或机密的数据之前认证该用户。
网络的每个组件，和那样组件之间的每条路径能成为攻击的目标(即允许由未认证的对象访问)。此外，在网上访问机密数据的能力不一定需要个人登录到网络中，因为在网络计算机屏幕的观看距离内的未授权的观察者能在屏幕显示机密数据时简单地观看屏幕就能访问那样的数据，因此，着眼于用户认证来提供那样的保护以达到数据访问保护的通常方法只解决未授权的网络用户的问题，而不解决不试图通过使用而访问网络的未经授权的观察者的问题。
在网络系统中加密常用作安全措施，它使用私有密钥和公开密键。术语“私有密钥”和“公开密钥”在本专业中是公知的，并用于非对称加密，其中一个密钥用于加密而另一个用于解密，且这些密钥之一，即私有密钥，由用户保存，永不揭示或传送。非对称加密认为比对称加密提供更高级的加密，后者使用共享的密钥于加密及解密(共享的情况引入不安全的因素)。使用非对称加密发送消息到另一方，那一方的公开密钥使用公开密钥的底层结构(PKI)定位，并被用于加密消息，从而只有具有对应私有密钥的个人(即为其产生消息的另一方)能够解密该消息。
术语数字签名也是本专业众所周知的，并指的是使用私有密钥加密的消息摘要，消息摘要是要签名的文档或交易的浓缩形式，它不能用于重建文档或交易本身，且它对文档中小的改变特别敏感。通过用对应的公开密钥解密数字签名来验证数字签名以恢复消息摘要，随后将此消息摘要与由验证器从试图签署的文档计算的消息摘要比较。此技术能用作认证过程的一部分，其中一方证明他们具有能加密并返回消息摘要的特定私有密钥。在此情况，消息的特定内容不是关键的，在认证完成之后消息摘要能被舍弃。更一般地，加密的消息摘要被用于证明，特定密钥的持有者涉及包括该消息的交易，通常指出，他们同意该消息，就好象使用物理签名来表示签字的主人参与文档。在此情况，摘要的加密形式必须保留在安全方。数字签字的两种形式用作为本发明的部分。
用户识别系统常使用口令，智能卡，仿生网络安全信息，和/或PKI(公开密钥底层结构)安全措施，在它们集中于认证过程的安全部分的同时，已知的系统打开了其他的攻击道路。例如，软件和系统依赖于用户知道的某些事，如用户名和口令，这极容易被偷到，看到或用其他方法获取，随后被未授权的个人使用，根据权标的措施(即用户具有的某些东西)，如智能卡，类似地易受攻击，因为权标能遗失或被盗窃，因而不保证实际出现的是授权的用户。
根据仿生网络安全识别器的安全措施(即用户的某些东西)对未授权的介入同样易受攻击，例如，任何使用中央服务器证实出现的仿生网络安全信息产生安全的弱点，因为需要在参与那样远程证实的通讯通道上(即在捕捉出现的仿生网络安全信息的仿生网络安全传感器和当地计算机之间，和当地计算机和包含与出现的仿生网络安全信息比较的验证数据的验证中央服务器之间)传输重要的仿生网络安全数据。因而，若仿生网络安全识别器要有效地作为安全性措施，其操纵及处理的方式是重要的。
需要不仅识别出计算机网络可能遭受未授权的渗入的潜在的失败点，并还开发出以全面的方式解决和减少那样易受攻击的区域。安全性缺口能以各种形式发生，包括重演(指的是以前的响应元素被捕捉并用于插入一假的响应的情况，窥探(指的是未授权的观看)，欺骗(指的是冒名顶替者将其自己和经理均插入接收和发送，使其看来是网络的真诚的单元)，和/或拖后(指的是通过结合被授权的用户放弃的授权访问序列获得的未授权访问的情况)。
重要的是，要避免在识别/验证过程中由时间间隙和/或单向验证校核引起的易受攻击性。专利申请者认识到需要实时采取验证校核过程，并在中央验证授权和要验证的本地实体之间需要重复的验证校核，以防止某些类型的安全缺口。
也需要自动地和有效地监视控制的措施和对具有对网络的不同等级访问(如全部访问或有限止的访问)的授权的个人产生检查跟踪的措施。
发明概述按本发明，提供用于控制网络访问的改善的网络安全系统和方法，以及个人识别设备，以提供对个人的身份和在特定网络访问点出现的实时认证。在便携的个人数字识别设备上提供生物网络安全验证和加密的同时应用，以提供经认证的数字签名，它被用于建立对存在网络上的数据的安全访问，并用于在网络上完成安全的交易。
按本发明的安全系统控制在包括如个人计算机(PC)的工作站的网络访问上对计算机网络的访问。个人数字识别设备包括(a)包括收发器的无线通讯组件；(b)包含传感器和软件组件用于获取用户的输入生物网络安全信息并产生其数字表示的生物网络安全信息获取组件；(c)配置成与收发器及生物网络安全组件通讯的处理器，能操作完成(i)估算从数字表示导出的模型是否对应于从以前由生物网络安全信息产生的用户的生物网络安全数字表示导出的主模型，当制定有那样的对应，产生匹配信号；(ii)产生由个人数字识别器设备持有的私有密钥和对应的公开密钥，并输出所产生的公开密钥由收发器发送；(iii)使用私有密钥产生数字签名；和(iv)使用对应与安全管理器组件相关的私有密钥的公开密钥验证，加密的接收消息是从安全管理器组件来的；和(d)包含用户的生物网络安全信息的主模型，所产生的私有密钥和对应与安全管理器组件相关的私有密钥的公开密钥的安全存储器。个人数字识别设备配置成使用所产生的私有密钥产生数字签名的查问响应消息，随后响应从安全管理器组件接收的查问产生匹配信号并发送该响应消息。个人数字识别设备还配置成防止发送用户的生物网络安全信息的主模型及私有密钥中的任何一个。
基本单元与工作站相关并配置成起动和维持与个人数字识别设备的无线通讯。通讯在由与工作站相关的包络定义的区域上延伸，包络的形状和区域配置成包含邻近于工作站的那些位置，在那些位置上观察者能阅读和/或理解在工作站的屏幕上显示的信息。
安全中央服务器访问网络存储器并使用安全管理器组件及个人数字识别器设备认证用户。网络存储器包含对应由个人数字识别设备产生的私有密钥的公开密钥。
最好基本单元有规律地发送第一信号给个人数字识别设备，而当个人数字识别设备处于包络之中对它发送响应信号作为响应。系统最好包括多个个人数字识别器设备，多个工作站和多个基本单元，其中一个基本单元与每个工作站相关且每个基本单元发送轮询信号到与基本单元的有关包络中的每个个人数字识别设备，随后基本单元从每个个人数字识别设备接收响应信号。
最好保持在个人数字识别设备的安全存储器中的所有数据本身不能识别用户，且网络存储器包括可识别用户的数据，在用户的个人识别设备位于包络之中时它被显示在工作站的屏幕上。
最好一旦用户被认证在工作站上访问网络时，该用户通过网络对应用软件的访问由控制安全管理器组件的政策管理器组件确定。
附图简述现对附图进行阐述，它们通过例子示出本发明的较佳实施例(其中相似的参照号自始至终表示类似的单元)；

图1是通过控制网络访问使通讯网络安全的本发明系统的一般方框图；图2是原理方框图，示出按本发明的个人数字识别设备(PDI)的组件，其中PDI放置在再充电设备支架(托架)，用于从安全的单用户位置的网络访问；图3是示出本发明的安全系统的基本单元(BU)组件的方框图；图4(a)、4(b)和4(c)是流程图，示出按本发明的用户采集及登录的过程；和图5(a)和5(b)是流程图，示出由本发明用于产生数字签名的较佳实施例的安全系统使用的过程。
较佳示范实施例的详细描述按本发明的较佳安全系统示于图1中。在较佳实施例中作为个人计算机(PC)的多个工作站100通过网络200通讯，后者是全球通讯网，广域网(WAN)、城域网(MAN)或局域网(LAN)中任何一种。在提供对网络200的访问点的每个那样的PC100上有一个基本单元(BU)设备50，连接到PC的通讯端口(在所示的实施例中为USB端口)和设备管理器(DM)150软件组件，它转接如BU50和安全中央服务器300之间的消息。一个或多个个人数字识别(PDI)设备10，当该PDI在与PC100及所连接的BU50相关的预定检测包络中时与BU50通讯。PDI10使用无线通讯(对此实施例使用IR，但在其他可能的另选实施例中也能使用光线RF等其他方法)与UB50通讯，并能由允许通过PC100访问网络的个人发布，携带或佩载。
BU50使用同样的无线通讯装置与PDI10通讯，并自动地起动与位于检测包络中的任何那样PDI10的通讯。建立的检测包络使延伸到在PC100的显示屏幕的前方及侧面的区域，以致于包括任何个人/PDI对，其中人近到足以看到屏幕并能阅读或理解在屏幕上显示的内容。通过那样配置在BU50/PC100对和PDI10之间的通讯包络，安全系统在佩带PDI的人进入PC100的有效视觉范围时检测所有PDI。
PC100通过网络200与安全中央服务器300通讯，在服务器上运行安全管理器(SM)340，政策管理器(PM)320和交易管理器(TM)380应用程序。交易管理器380管理在安全中央服务器300和网络上其他设备之间的所有通讯，包括在PC100或在其他网络服务器上运行的设备管理器150和任何有关的应用。安全管理器340控制包括加密和数字任免的所有活动。政策管理器320判断用户对网上的应用软件或数据的访问是否受限止。若是则控制安全管理器340相应地限止用户的访问。通过中央服务器300访问包括软件组件(即注册应用套件)和安全数据库的注册授权(RA)组件360。
参考图2，PDI设备10只包含少量线路，且是简单、轻的和可佩戴的。PDI10包括仿生网络安全信息获取组件，在图示的实施例中它包括指纹微芯片传感器，它使用固态，非光学传感器取得用户手指的图象以确认用户的身份。感觉如语音特征，虹膜图案和面部特征并将其转换成表示的信号的传感器是在不同适当的实施例中可使用的其他选择。提供微处理器20处理用户的仿生网络安全注册和验证，建立并验证数字签名并实现非对称和/或对称的加密。提供本专业众所周知的安全存储器25，安全地只存储加密密钥和用户的仿生网络安全模型。在PDI10不存储可识别个人的数据(即本身直接或间接地识别用户的数据)，因为这使很熟练的非授权第三方获取用户的身份和用户的仿生网络安全模型，使那一方设法渗入安全存储器并获取对存储那里的数据的访问，无线通讯收发器15允许短范围的无线通讯(使用890nm的近红外)。可充电电池40供给管理系统电源以允许PDI0在适当的时间周期(如2周或更长)内连续运行。每个PDI10具有赋予的全球唯一的识别(ID)号，因而每个设备能由其ID号辨别。提供电池充电器再充电PDI10的电池，可使用再充电设备支架(托架)250将PDI10通讯端口连接器42(如USB连接器)直接连接到PC100，此直接的连接(即系统方式，其中PC100不需要或不使用BU50)有用于达到从安全位置对网络的安全登录，在安全位置只期望出现单个用户，例如总公司。设备的支架配置成与PDI的外壳联合，使得当PDI相对于设备的支架适当定位时，PDI安全地由设备的支架固定。
参考图3，基本单元(BU)设备50还包括允许短范围无线通讯(使用890nm的近红外)的无线通讯收发器55。如上所述，收发器55和BU50的定位配置成使能接收在PC100周围的预定检测包络中的任何PDI。微处理器60管理PDI10(若多于1个PDI在BU的无线通讯范围内能是多个PDI)和BU50之间以及BU50和PC100之间的通讯。提供通讯端口连接器65(如USB连接器)将BU50连接到主PC100。
每个PDI10和BU50包括硬件和软件的组合，它分别控制收发器10，55的操作，使得它们带着近似于人们的眼睛阅读与PC100有关的显示屏幕的能力的范围和角度特征操作，以致于任何足够靠近主PC以便能阅读或理解其显示屏幕上数据的个人/PDI对的出现能被BU检测到。检测包络的形状和大小是可控制的，并能通过施加到BU和PDI的硬件和软件改变的组合而变化，以适应当地PC/工作站配置或组织的需要。本专业熟练人士容易对任何给定的配置达要所希望的变化。通讯软件允许由基本单元50达得在预定检测包络中的所有PDI10，且基本单元维持以会话形式与每个那样PDI的通讯，只要它们落在检测包络的范围内，会话包括加密的数据流，并配置成能检测试图加入到此会话中的任何其他设备，当用户简单地避开或遮断在PDI10和BU50之间的光路时为了简化此会话的继续，有可能在PDI和BU双方包括第二收器，它使用如短范围无线电频率(RF)波那样的无方向通讯方式。不使用此方式开始会话，但能在短时间期间保持继续。
每个PDI10还包括加密软件组件，它管理在PDI10中一个或多个私有/公开密钥对的建立和在PDI中所有随后的处理，包括加密和解密消息。PDI10的认证通过通讯协议确认，而在线路板上(即包含在PDI中)的私有密钥用于数字签名由安全管理组件(SM)340发送的查问，安全管理组件在网络的中央服务器300上运行。重要的是当从安全管理器使用其线路板上私有密钥接收消息来源时，PDI10首先认证该安全管理器。PDI的加密软件模块配置成根据从外部应用程序来的消息签署由安全管理产生并送到PDI的消息摘要。在PDI签名那样的消息摘要之前，通过验证用于创建该摘要的安全管理器的密钥认证，该消息摘要实际上是从该安全管理器来的，这就保护PDE免受欺骗，签署不应签署的任何其他文档。
对本发明的封闭系统，加密的底层结构相当简单，并包括由简单的层次结构及安全服务器支持的公开密钥的数据库记录，以提供数字签名的专线验证。
在每个PDI10的仿生网络安全信息获取组件35中包括仿生网络安全软件组件。此软件组件将从指纹微芯片35接收的仿生网络安全图象的数字表示转换成一个模型，并将该模型与用户的仿生网络安全信息相匹配，后者是用户在用该安全系统注册对捕捉及存储的。仿生网络安全组件的匹配算法将从用户的仿生网络安全的输入实时(即实况)表示(即从指纹微芯片的输入)产生的模型与存储在PDI安全存储器25中的主模型相比较，并输出包含比较结果的数字签名的消息，发送到安全管理器。在遵照由政策管理器组件的请求的给定时刻或在预定时间间隔内，PDI10能通过将从用户的输入仿生网络安全信息导出的新的模型实时地与存储的模型比较而验证用户，那样的验证完全在PDI10的线路板上进行(即只使用它本身的装置)而不必传输所使用的存储数据来完成。
PC100包括设备管理器软件组件(DM)150，它从BU50接收信息，并转而与在中央服务器300上运行的交易管理器组件(TM)380通讯。当BU50在指定的预定时间周期内丧失与PDI10的通讯，在BU50和PDI10之间的会话结束，且TM380通知政策管理器组件(PM)320，该PDI10不再在预定的检测包络内。当TM380接收通知，BU50已检测到新的PDI10，它命令PC100向检测的用户显示有关登录过程的状态信息，且若是合适的，邀请授权的用户登录到该系统中。根据政策管理器的设定，作为现有登录的会话的部分在屏幕上当前显示的任何感知的信息自动变空白。在新检测的PDI设备的用户在仿生网络安全上用安全管理器认证他们自身并且政策管理器判定他们作为观察者具有观看此数据的权利之前，屏幕已恢复。
此外，在通知了检测的PDI后，交易管理器组件380控制PC100显示(在其显示屏幕上)检测的用户的视觉识别符，如用户的名字，或最好从注册数据库中检索的用户的面部形象。这提供两个安全校验。首先，向用那样的显示屏幕工作的授权用户提供在该屏幕的视觉范围内所有个人的身份的强烈的视觉通告，这帮助用户防止非授权的数据访问(用户立即知道其他人进入能阅读在屏幕上显示的信息的范围，并能确切地看到那人是谁)。其次，在屏幕前工作的用户期望在屏幕上看到在该屏幕的区域内的所有人的形象，若一个人的形象未被检测到，用户将警觉到，未被检测的个人的PDI是出了故障，需要充电，维修或更换。此特征可选地能用于控制在建筑物中的进入点，提供工作站值班员(如安全保卫)，当一个个人/PDI对在该工作站附近经过时，注册到PDI的个人的形象立即自动地显示(在安全情况中那样显示的形象及佩戴该PDI的个人应是同一个)。类似地，若蓄意的个人试图观看在他人登录时没有资格访问的信息，或若他们试图通过佩载假冒品进入安全位置，他们的形象不被显示的事实立即提醒合法的用户出现某些不恰当的事。
安全管理器组件340管理发生在PDI10和网络安全系统的其他组件之间，如注册授予权数据库360的安全过程，还管理由外部应用程序发送给用户或反向发送的消息，消息需要验证和/或数字签名。安全管理器使用结合数字签名的查问/响应机制认证PDI10，从向所有进一步的活动只由认证的用户采取。安全管理器还建立要发送到用户和所有系统事件的公证的日志的任何文档或交易的消息摘要(数字公证过程是本专业所众所周知的，并用于将时间/日期和可信的第三方签名附加到签名的文档)。此外，根据应用安全管理器能与政策管理器组件320通讯和咨询，后者应用商业规则和工作流程提供从数据库提取的数据的晶粒控制，这发生在应用需要对不同用户有不同安全层次的情况，即不同用户根据层次分类对访问数据具有不同层次的授权，使得高度机密的数据只允许对有限数目的用户。
安全系统对注册一个新用户使用结构的和严密的过程。对于系统已经赋予注册新用户的特权(注册特权)的现有的用户必须登录到网络中并运行注册应用程序，它形成注册授权组件(RA)360的前端。对于知道要登录的新用户的用户(这里称为保证人)也能出现在同一BU50处。注册授权数据库包含有关用户，他们的角色(如保证人)和他们注册新用户的特权的信息。在某些情况，如带有注册特权的用户也能扮作保证人的角色。然后输入有关新用户的某些基本的传记数据，可能包括新用户的名字、地址、生日，用于建立身份的支持文档的编号，以及系统配置或捕捉该个人的如面部形象的任何其他特定数据，那样输入的数据只存储在RA数据库而不存储在PDI10。然后用户得到PDI设备，而PDI的可操作性通过下到步骤测试，由PC100的BU50获取PDI并使用安全管理器校核该PDI，以保证它处在转交给新用户的正确状态；若是，则注册过程如下那样开始。使用微处理器20，PDI设备本身产生并内部存储用户的仿生网络安全模型和一个或多个公开及私有密钥。PDI采样新的用户指纹，直到得到一致的和满意的指纹模型。最终得到的指纹模型不传输到系统的任何外部组件而存储在PDI设备的安全存储器中。有关指纹的仿生网络安全信息从不离开PDI设备。然后注册应用程序命令PDI10产生一个或多个密钥对，且那样产生的所有私有密钥永远保留在PDI10中，永不传输到PDI之外。那样产生的公开密钥送到中央服务器300并存储的RA数据库360。安全管理器在安全存储器中还保持其本身的私有密钥，对应这些私有密钥中至少一个的公共密钥被提供给PDI，并保持在PDI的安全存储器中。然后这些私有和公开密钥被PDI和SM使用以验证或建立数字签名，交易和导向新用户的PDI或从那里来的查问。在新用户注册过程中，可要求保证人经过在保证人的PDI设备中的指纹芯片确认他们，以致于建立数字签名，证明保证人担保该新用户。
本安全系统的PDI10通过加密过程受保护，免受工厂(它们制造的地方)和使用方之间的窜改(免受在初始提交期间或设备维护期间发生的事件的影响)。新制造的PDI设备用在接收的机构处的安全管理器的公开密钥并用初始发布的私有密钥编程。当这些PDI设备被送到该机构时，它们各不相同的ID号的表被分别地并安全地送到该机构。在注册新用户的过程中，PDI使用初始发布的私有密钥向安全管理器认证自己(安全管理器具有私有密钥的公开密钥)，且安全管理器使用其私有密钥向PDI认证自己。此外，PDI设备的单独的ID号送到安全管理器，且这匹配从工厂接收的PDI设备ID号的表。此协议保护结构免受欺诈设备的攻击，对在工厂维修后返回到该机构的PDI设备使用同样的协议。
登录和其他特权在给网络域上只对那些PDI可用，它们用与该网络域相关的注册授权注册，但是因为每个PDI10也具有单独的ID号，它由安全管理器辨别而无关于对其注册初始使用的特定的注册授权。因而，PDI的ID号的全球特性允许通过共享不同注册授权的数据库集成不同的安全系统(即在不同注册授权下运行的系统)。
借助图4(a)到4(c)的流程图描述由安全系统在获取(即由BU50检测PDI10是否在范围中)PDI并随后对登录访问验证PDI的过程中完成的步骤。BU发送定常IR信号到环绕PC100/BU50在检测包络，安接收BU的此IR信号并立即响应该BU，由该BU起动其获取过程。然后BU将PDI加到轮询循环中，PDI由任何在范围中的BU获取而不管PDI是否在系统中注册。获取步骤在低处理层次上进行，而BU将新的PDI设备加到轮询循环用于监视该PDI，并发送消息到识别及查询PDI的单独的ID号的中央安全管理器。若该PDI是系统上注册的设备，用户具有登录的特权，并没有人登录到PC100(工作站)，将邀请用户登录到PC100。若该PDI是系统上注册的设备，但某人已登录到PC100，任何感知信息(如由政策管理器判定)可以立即成空白，并在PC100显示与检测的PDI有关的用户的可视识别符。根据此新用户观看与当前登入的会话有关的数据的特权，新的用户随后被允许在仿生网络安全方面认证他(她)自己，并保护作为观察者。这通过与政党登录的复位相同的过程而发生，其不同在于在最后步骤，TM记录观察者的出现并请求网络应用软件或PC100恢复屏幕而不是登录用户。对或者试图登录，或者成为观察者的用户，下一步骤是SM准备查问消息，它具有某些随机选择的信息，且SM用其私有密钥作数字签名。此消息随后传输到PDI设备。由屏幕显示邀请用户通过将他们的手指放在指纹芯片上并确认他们的身份未登录(可选地包括他们的名字)。PDI设备首先通过使用存储在PDI设备上SM的公开密钥验证消息上数字签名确认，它从合法的SM过程接收消息。然后获取用户的指纹并提取模型，并与存储在设备上的模型比较。若存在匹配，则消息发回到SM，它包含该查问并确认，该用户已在仿生网络安全方面被认证。此消息使用存储在线路板上它的私有密钥由PDI设备数字签名。确认消息由SM使用存储在注册授权中的PDI设备的公开密钥认证和校核，以保证该查问被正确地返回，这就避免了重演的攻击。若PDI设备被用作对单个登录(SSO)过程的认证装置，其中登录访问授权给网上的PC100，则TM380将消息送给PC100上的登录组件，请求登录用户。
若PC100的用户已经登录到PC100并希望访问基于一个或多个应用的特定网络，则TM380将通过SM，用运行该应用程序的安全服务器互相认证他们自己，并将通知此服务器，用户已经登入。例如在保健领域，对PC上的上下文管理有一个称为CCOW(Clinical Contest Object Workgroup-诊所上下文对象工作组)的形成的标准，它允许共享注册。然后TM380与CCOW使能的应用程序互动，允许用户使用有关用户的角色的信息和从注册授权360数据库获得的特权只访问由政策管理器320认为合适的应用程序或数据的子集。通常，在整个用户的登录会话中，安全管理器340和政策管理器320共同趣着在所有网络应用程序和数据上的安全过渡器。
一个PDI当被遗失或被盗窃时可记录在安全系统中。在此情况，一旦获得该PDI，SM验证该PDI，并作为结果判定，该PDI被列为遗失的。安全管理已知道获取PDI的BU，此外安全管理器知道该BU的位置和该PDI邻近于该BU。然后此识别PDI的位置的信息被传送到指定的用户(如管理员或安全协调员)使得丢失的PDI能被检索，并若它已被偷，负责的部分能够了解。
在用户的登入会话期间，在登录之后，PDI设备和基本单元周期地通讯，以保证该PDI仍然在检测包络之中，此会话包括加密通讯，它保证基本单元能够检测其他(未授权的)设备将消息插入通讯流的企图。若用户的PDI在第一预定时间周期内，例如由于用户从工作站走开去拿某个东西而停止与BU通讯，DM控制工作站完成预定的注销过程以保证没有未授证的个人能替代授权的用户继续使用该应用软件。这可以是暂时的自动注销，在此情况若在短的第二预定时间周期内再次检测到用户的PDI，DM将控制在用户处在BU失去与用户的PDI通讯的能力的点上恢复应用软件的操作。可选地，系统可配置成登录入会话期间，需要用户使用PDI在仿生网络安全上再次验证他们的出现，且这可以由经过的时间或由政策管理器根据用户对特定应用程序和数据的访问作出的决策随机地独发。这保证在整个登入的会话期间用户保持物理上带着PDI出现。
如图4(a)到图4(c)的流程图所述，在获取/验证过程中，系统在空间和时间两方面在用户的仿生网络安全认证及PDI的加密验证之间，在用户及安全管理器之间建立了紧密的联系，以至于安全地确立了，授权的用户带着指定给该用户的PDI出现，并正确地与安全管理器通讯。如这里所述，通过将存储的仿生网络安全模型与从现场仿生网络安全传感器(如指纹芯片)产生的仿生网络安全模型比较，在PDI的线路板上实时验证用户的身份，两个模型在整个过程中均保留在PDI中。PDI和安全管理器通过使用按照查问/响应协议通讯的数字签名互相验证，而且对任何给定的文档/交易签名PDI借助数字签名的消息，实时通知安全管理器关于用户的身份。
在使用应用程序的过程中，对用户可以有数字签名文档或其他形式交易(如药方)的要求。图5(a)和5(b)的流程图描述了系统为对文档/交易建立数字签名所采取的步骤。签名的过程由应用程序请求，它将要签名的文档/交易送到SM。SM建立包含源地址和目标地址，文档/交易的消息摘要，时间标签和随机数据的消息。然后此消息被数字签名并送到PDI设备。
PDI设备首先验证SM的签名，这避免了其他过程作出PDI设备的签名请求或消息摘要被窜改或替换的可能性。若签名的请求包括对确认用户的身份的需要，则请求用户当前在审查情况下现场数字签名该文档或交易是应用程序的责任。然后用户将他的手指放在指纹芯片上。然后PDI设备等待用户将其手指放在设备上。一旦检测到手指的放置，图象被捕捉，处理并与存储的模型作比较。若模型匹配出现的手指，建立包含源地址及目标地址，原始文档/交易的消息摘要和随机数据的消息。然后此消息被数字签名并送到BU，从那个再转送到SM。若手指不匹配模型，允许用户作若干次重试，然后指出匹配失败的数字签名消息被送到SM。SM使用PDI设备的单独ID查找PDI设备的公开密钥，且使用此信息验证消息。在地点、身份认证的结果被送到请求认证的应用程序，若必要，数字签名消息的拷贝被送到安全的公证服务。
能使用数字签名保证，基本文档/交易的数据事后未被改变。给定了包括仿生网络安全身份验证的前述过程的特性，也能做到揭穿用户拒绝该签名的企图。
本安全系统提供了在特定的网络访问点上用户出现的实时肯定的认证，它建立并监视在该网络访问点及选定的网络服务器之间的安全加密路径，它还提供收集数字签名的可靠手段。
在以前描述的较佳实施例中采用的独特的电子线路和处理功能容易被本领域的技术人员所理解，读者可认识到，技术人士另外设计出的各种其他应用。在电子安全系统和通讯设计领域中的技术人士很容易能将本发明应用于对给定应用领域的适当的实施方法。
因而可以理解，这里通过图示所示出和描述的特定实施例不试图限止由发明者申请的发明范围，这由附加的权利要求所确定。
权利要求
1.用于控制对计算机网络访问的个人数字识别设备，所述网络包括多个工作站，每个具有与其相关的基本单元，所述基本单元配置成与所述个人数字识别设备无线通讯，所述网络还包括采用安全管理组件及网络存储器的中央服务器，所述安全管理器组件与私有密钥及对应的公开密钥相关，且所述网络存储器包含对应于由所述个人数字识别设备保持的私有密钥的公开密钥，所述个人数字识别设备是轻型，配置成由注册的用户所佩戴和/或携带，并包括(a)包括收发器的无线通讯组件，用于与所述基本单元通讯；(b)仿生网络安全信息获取组件，用于获取用户输入的仿生网络安全信息并产生其数字表示；(c)配置成与所述收发器及所述仿生网络安全组件通讯的处理器，可操作完成；(i)计算从所述数字表示导出的模型是否对应于从以前由所述仿生网络安全组件产生的用户的仿生网络安全的数字表示导出的主模型，并当判定有对应关系时产生匹配信号；(ii)产生由所述个人数字识别设备保持的所述私有密钥和与其对应的所述公开密钥，并输出所述产生的公开密钥，由所述收发器发送；(iii)使用所述私有密钥产生数字签名；和(iv)使用对应与所述安全管理器组件相关为所述私有密钥的所述公开密钥验证，从所述安全管理器表面上接收的加密消息的源是否所述安全管理组件；(d)包含用户的仿生网络安全信息的所述主模型，所述产生的私有密钥，和对应与所述安全管理器组件相关的所述私有密钥的公开密钥的安全存储器；(e)电源；和(f)外壳；所述个人数字识别设备配置成产生，使用所述产生的私有密钥，数字签署的查问响应跟随所述匹配信号之后，以响应从所述安全管理器组件接收的查问消息，并用于发送所述响应消息，所述个人数字识别设备配置成防止发送用户的仿生网络安全的模型及所述私有密钥中的任一个。
2.按权利要求1的个人数字识别设备，其特征在于，所述仿生网络安全组件包括传感器。
3.按权利要求1的个人数字识别设备，其特征在于，响应信号自动地从所述传感器发送，以响应所述收发器从一个所述基本单元接收的信号。
4.按权利要求1的个人数字识别设备，其特征在于，保持在所述安全存储器的所有数据本身不能识别所述用户。
5.按权利要求2的个人数字识别设备，其特征在于，所述传感器包括固态指纹传感器。
6.按权利要求5的个人数字识别设备，其特征在于，所述传感器发送和接收光信号。
7.按权利要求6的个人数字识别设备，其特征在于，所述传感器发送和接收无线电频率信号。
8.按权利要求1的个人数字识别设备，结合支架，其特征在于，所述设备支架配置成与所述个人数字识别设备的所述外壳联合，使得当所述个人数字识别设备相对于所述支架设备合适定位时它由所述支架设备固定，所述设备支架包括通讯连接器，用于在所述个人数字识别设备由所述设备支架固定时，在通讯上将所述个人数字识别设备直接耦合到一个所述工作站。
9.用于在包括工作站的网络访问点控制对计算机网络访问的安全系统，所述系统包括A.个人数字识别设备，包括(a)包括收发器的无线通讯组件；(b)用于获取用户的输入仿生网络安全信息并产生其数字表示的仿生网络安全获取组件；(c)配置成与所述收发器及所述仿生网络安全组件通讯的处理器，可操作完成(i)计算从所述数字表示导出的模型是否对应于从以前由所述仿生网络安全组件产生的用户的仿生网络安全的数字表示导出的主模型，并当判定有对应关系时产生匹配信号；(ii)产生由所述个人数字识别设备保持的私有密钥和与其对应的公开密钥，并输出所述产生的公开密钥，由所述收发器发送；(iii)使用所述私有密钥产生数字签名；和(iv)使用对应与所述安全管理器组件相关的私有密钥的公开密钥验证，加密的接收的消息是从安全管理器组件而来；和(d)所含用户的仿生网络安全信息的主模型，所述产生的私有密钥，和对应与所述安全管理器组件相关的所述私有密钥的公开密钥的安全存储器，所述个人数字识别设备配置成产生，使用所述产生的私有密钥，数字签名的查问响应跟随所述匹配信号之后，以响应从所述安全管理器组件接收的查问，并用于发送所述响应消息，所述个人数字识别设备配置成防止发送用户的仿生网络安全的模型及所述私有密钥中的任一个；B.上所述工作站有关并配置成起动和维持与所述个人数字识别设备无线通讯的基本单元，所述通讯在由与所述工作站有关的包络确定的区域上延伸；和C.具有对网络存储器的访问并使用所述安全管理器组件以及用于认证所述用户的所述个人数字识别设备的中央服务器，所述网络存储器包括对应于由的个人数字识别设备产生的所述私有密钥的公开密钥。
10.按权利要求9的安全系统，其特征在于，所述仿生网络安全组件包括传感器。
11.按权利要求9的安全系统，其特征在于，所述工作站是个人计算机。
12.按权利要求9的安全系统，其特征在于，所述基本单元规则地发送第一信号到所述个人数字识别设备，当所述个人数字识别设备在所述包络中时所述个人数字识别设备自动发送响应信号作为响应。
13.按权利要求12的安全系统，还包括多个所述的个人数字识别设备，多个工作站和多个基本单元，其特征在于，基本单元与每个所述工作站相关，每个所述基本单元发送轮询信号到所述基本单元的相关包络中的每个所述个人数字识别设备，接着所述基本单元从每个所述个人数字识别设备接收所述响应。
14.按权利要求9的安全系统，其特征在于，保持在所述个人数字识别设备的所述安全存储器中的所有数据本身是不可识别所述用户的。
15.按权利要求9的安全系统，其特征在于，当所述用户的个人识别设备位于所述包络中时所述网络存储器包括可识别所述用户的数据，用于在所述工作站的屏幕上显示。
16.按权利要求9的安全系统，其特征在于，所述包络具有的形状和大上配置成包含邻近于所述工作站的那些区域，在那里观察者能阅读和/或理解在所述工作站的屏幕上显示的信息。
17.用于控制对计算机网络访问的方法，其中工作站提供对所述网络的访问点，所述网络包括所述工作站和安全网络存储器，以及基本单元通讯的中央服务器，基本单元配置成起动和维持与由用户携带或持有的便携式个人数字识别设备的无线通讯并与每个所述工作站有关，所述无线通讯在由与所述工作站相关的包络确定的区域上延伸，所述方法包括以下步骤(a)在对用户注册便携式个人数字识别设备时，在所述便携式个人数字识别设备中接收所述用户的输入仿生网络安全信息，产生其数字表示，从所述数字表示导出主模型，在存储器中安全地保持所述主模型，产生并在所述存储器中安全地保持私有密钥，产生对应于所述产生的私有密钥的公开密钥并在所述网络存储器中提供所述产生的公开密钥用于存储在所述网络存储器，并接收对应与网络安全管理器组件相关的私有密钥的公开密钥并存储到所述存储器；(b)从与一个所述工作站相关的基本单元发送第一信号到所述个人数字识别设备，并当所述个人数字识别设备在所述包络中时，自动地从所述个人数字识别设备发送在所述基本单元和所述个人数字识别设备之间建立通讯的响应信号，以响应所述第一信号；(c)在所述个人数字识别设备接收表面上从所述网络安全管理器组件来的数字签名的查问消息，并使用对应与所述安全管理器组件有关的所述私有密钥的公开密钥匙所述个人数字识别设备中验证所述查问的来源；(d)在所述便携式个人数字识别设备获取所述用户的输入仿生网络安全信息，产生其数字表示，并从所述数字表示导出仿生网络安全模型；(e)在所述便携个人数字识别设备中计算，所述仿生网络安全模型是否对应于所述主模型，若判定有那样的对应关系时产生匹配信号；(f)使用所述产生的私有密钥在所述个人数字识别设备中产生数字签名的查问响应消息，跟随产生所述匹配信号之后以响应所述查问消息，并发送所述响应消息到所述安全管理器组件以认证所述用户；和(g)允许所述认证的用户通过所述工作站访问所述计算机网络。
18.按权利要求17的方法，其特征在于，还包括配置所述包络的形状和大小，使包络邻近所述工作站的那些部位，在那里观察者能阅读和/或理解在所述工作站的屏幕上显示的信息。
19.按权利要求17的方法，其特征在于，还包括，在所述基本单元从所述个人数字识别设备接收所述响应信号之后，从所述基本单元发送轮询信号到所述个人数字识别设备，用于判定所述个人数字识别设备是否仍然位于所述基本单元的有关包络之中。
20.按权利要求17的方法，其特征在于，还包括在用户被识别时在所述工作站的屏幕上显示识别所述用户的数据。
21.按权利要求17的方法，其特征在于，还包括由注册工作者在担保人在场时最初注册所述用户，所述注册工作者及担保人均是计算机网络的注册用户，且所述注册工作者具有计算网络访问权并借助所述安全管理器组件验证具有注册的特权，并需要所述担保人向所述安全管理器组件提供仿生网络安全上数字签名的消息以认证所述担保人，且所述注册工作者、担保人和用户的每一个在所述用户的所述注册期间保留在所述包络之中。
22.按权利要求17的方法，其特征在于，当新的个人数字识别设备移动到所述包络中的位置时政策管理器组件能进行控制，使所述工作站的屏幕成空白，直到注册到所述个人数字识别设备的用户在仿生网络安全方面被识别。
全文摘要
改进的计算机网络安全系统和方法，和用于控制网络访问的个人识别设备。新的用户注册到便携式个人数字识别设备，用户的输入的仿生网络安全信息被接收并安全地保持在存储器中，私有密钥也被产生并安全地保持在存储器中。当个人数字识别设备在邻近工作站的包络中时，从与工作站相关的基本单元发送第一信号到个人数字识别设备，后者自动地发送在基本单元和个人数字识别设备之间建立通讯的响应信号。由个人数字识别设备产生和发送数字上和仿生网络安全上签名的查问响应消息。
文档编号H04L9/32GK1531673SQ02804435
公开日2004年9月22日 申请日期2002年1月31日 优先权日2001年2月1日
发明者A·博特, B·里德, A 博特 申请人:3M创新有限公司