CN100382112C

CN100382112C - 用会话密钥块保证电子交易中的保密性的方法

Info

Publication number: CN100382112C
Application number: CNB2003801081082A
Authority: CN
Inventors: 杰夫里·B·罗茨皮什; 萨维塔·斯里尼瓦桑; 宁·I·辛格弗雷多; 诺尔·达利特; 雷迪·兰姆; 布尔尼特·D·布莱克利
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2002-12-31
Filing date: 2003-12-19
Publication date: 2008-04-16
Anticipated expiration: 2023-12-19
Also published as: US20040128259A1; EP1593100B1; DE60315726T2; WO2004059588A1; EP1593100A1; ATE370479T1; DE60315726D1; CA2511061A1; KR20050085233A; CN1732485A; AU2003300244A1

Abstract

本发明公开一种系统、方法、商业方法和计算机程序产品，用于与潜在的非置信服务器进行电子交易同时保持用户匿名和交易保密性，还允许服务器验证用户是有资格参与交易的有效用户。匿名服务请求发送到服务器。服务器发送已经加密的应答，使得仅有效用户可以解密。允许选择性地撤销行为不端的用户的广播加密方案将警告请求者服务器正在进行的尝试识别。交易和内容量可以为基于使用的记账而监控，同时保持匿名。每个内容项目可以用内容密钥唯一地加密，该内容密钥然后用会话密钥加密并且与应答一起以加密形式包含，以减少计算工作量。

Description

用会话密钥块保证电子交易中的保密性的方法

技术领域

本发明涉及与潜在非置信服务器进行电子交易，更特别地涉及当允许服务器验证用户是有资格参与交易的有效用户时保持用户匿名和交易保密性。

相关申请的交叉引用

本发明涉及九个共同拥有未决美国专利申请，包括：

-于2001年1月26日提交的名称为“无国籍接收者的广播加密和密钥撤销的方法”的U.S.Ser.No.09/770,877。

-于2001年1月26日提交的名称为“在广播加密系统中跟踪叛国接收者的方法”的U.S.Ser.No.09/771,239。

-于2001年2月5日提交的名称为“分配加密密钥的方法”的U.S.Ser.No.09/777,506。

-于2001年2月20日提交的名称为“分配加密密钥的方法”的U.S.Ser.No.09/789,451。

-于2002年1月8日提交的名称为“保证内容保护和订购一致的方法”的U.S.Ser.No.10/042,652。

-于1999年7月20日提交的名称为“可记录介质的复制保护的内容防护系统”的U.S.Ser.No.09/358,162。

-于2000年5月22日提交的名称为“可记录介质的内容保护的无重合介质密钥块”的U.S.Ser.No.09/575,740。

-于1998年4月24日提交的名称为“在有暴露的接收器设备的情况下加密广播程序的系统”的U.S.Ser.No.09/597,600。

-于2000年5月3日提交的名称为“识别暴露密钥的辩论介质密钥块”的U.S.Ser.No.09/564,658。

背景技术

保密性的担忧随着互联网的成长而成长。不幸地是，当前标准仅是保证而不是强制。服务提供者经常提供复杂的法律协议以定义他们保守客户隐私的义务。但是，作为实际问题，许多客户仍然怀疑，因为诉讼中所涉及的费用和难以决定性地提供哪个服务提供者泄漏什么客户信息。商业组织知道客户信息的价值并致力于其有力的开发。客户已经大声地抱怨讨厌的“邮寄宣传品”、电话销售电话、以及电子邮件(通常称为“垃圾邮件”)，这些通常是信息泄漏的结果，但是尚没有这些麻烦事的有效解决方法。随着电子商务继续进入企业对企业(“B2B”)舞台，保密性的问题将变得更加关键和高代价。

“保密性问题”的更特别方面涉及客户需要证明他们在一个组中的成员资格同时保持一定程度的匿名以在电子交互过程中保护他们的隐私。保护客户身份是保护隐私的一个方面，保护交易内容是另一个方面。客户有什么方法保持匿名吗，尤其当服务器要求为其服务付费时？毕竟，服务器具有确信只有付费用户可以使用其服务的合法权益。服务器有什么方法知道给定的请求来自有效用户，而不可能知道哪个特定用户发出请求吗？

标准加密技术例如SSL和HTTPS协议在当保密信息在客户端和服务器之间流动时防止窃听者看到保密信息方面是有效的。但是如果客户端不信任服务器怎么办？如果服务器(合法地或非法地)将客户端的请求或权益报告给第三方怎么办？例如在制药工业中，公司正在研究的特定疾病可能包括其最敏感的公司信息。类似地，在财经服务行业中，知道特定客户(例如主要共同基金公司)正在着重研究特定股票本身可能是非常有价值的。在许多这种情况下，客户可能坚持保持匿名当被验证为所提供的各种服务的有效用户时。安全互联网协议例如SSL和HTTPS没有提供任何方法供服务器保证客户端是有效用户，除非请求与用户标识/密码数据结合，这容易使任何客户端匿名无效。

该“匿名验证”问题已经知道很长时间，并且曾经尝试来解决它。一种流行的方法是使用公共密钥加密技术并且为预订客户提供“匿名凭证”。然后这些凭证必须与每个服务请求一起提供。该解决方法具有主要的潜在弱点，虽然因为客户支付凭证的所有便利方法都要求他标识自己，例如通过提供信用卡。他如何可以相信服务器没有将他的所谓匿名凭证与他的真正身份关联？为了有效，这种解决方法必须与一些“匿名支付”想法例如电子现金关联。但是，电子现金解决方法迄今还没有在市场中普及。客户通常希望继续使用常规的支付方法(例如信用卡)。

另一种匿名验证技术涉及“盲签名”，其最初由David Chaum发明供匿名电子现金中使用。在这种情况下，顾客和服务器参与验证协议以建立身份，在此期间服务器数字地签写封闭的一段信息，然后该信息由用户解封闭并随后用于保证(甚至对第三方)它具有由服务器授予的权利。解封闭的项目甚至对原始服务器也不显露用户的身份。

另一种变体涉及“由第三者保存的身份”以允许在顾客和服务器之间的随后纷争事件中揭露交易顾客的身份。这最初由Brickell等人提出用于匿名电子现金版本，其允许揭露洗黑钱或其他非法交易。

最后，Boneh和Franklin提供一种基于“组群签名”的匿名验证系统，其中用户可以证明他们在任意授权用户组群中的成员资格，但仍然允许密钥撤销和由第三方保存身份。

先前提及的方法全部依赖于公共密钥加密技术，并且需要短暂的凭证或凭证撤销列表，这容易增加维护成本、计算负荷以及交易处理中涉及的愤怒因素。

因此，需要一种与潜在的非置信服务器进行电子交易同时保持用户匿名和交易保密性，还允许服务器验证用户是有资格参与交易的有效用户的改进方法。

发明内容

因此，本发明的一个目的在于提供一种系统、方法、商业方法和计算机程序产品，用于与潜在的非置信服务器进行电子交易同时保持用户匿名和交易保密性，还允许服务器验证用户是有资格参与交易的有效用户。用户最初向交易服务器注册为的交易服务的用户并且被提供有用于解密消息的一组唯一的设备密钥。然后用户通过任何已知方法发送匿名交易请求到交易服务器。然后服务器发送只能由已注册用户解密、对请求的加密应答。

本发明的相关目的在于提供包括交易请求和应答的完全交易匿名。匿名服务请求发送到服务器。服务器发送已经加密的应答，使得仅有效用户可以解密它们。允许选择性地撤销行为不端的用户的广播加密方案将警告请求者服务器正在尝试识别它们。交易和内容量可以为基于使用的记账而监控，同时保持匿名。每个内容项目可以用内容密钥唯一地加密，该内容密钥然后用会话密钥加密并且与应答一起以加密形式包含，以减少计算工作量。

为了实现上述目的，本发明提供了一种保证电子交易被匿名处理的方法，包括：向潜在的非置信分发者初始注册请求者；传递一组唯一的设备密钥到所述请求者，所述设备密钥可以用以计算出会话密钥；将来自所述请求者的匿名交易请求发送到所述分发者；传送来自所述分发者的加密应答；以及由所述请求者使用所述会话密钥处理所述应答。

为了实现上述目的，本发明还提供了一种保证电子交易被匿名处理的系统，包括：向潜在的非置信分发者初始注册请求者的装置；传递一组唯一的设备密钥到所述请求者的装置，所述设备密钥可以用以计算出会话密钥；将来自所述请求者的匿名交易请求发送到所述分发者的装置；所述分发者发送加密应答的装置；以及所述请求者使用所述使用所述会话密钥处理所述应答的装置。

前述目的相信由如下所述本发明的实施方案所满足。

附图说明

图1是根据本发明一种实施方案，本发明操作的流程图。

图2是根据本发明一种实施方案，本发明初始注册和设备密钥传递步骤的图。

图3是根据本发明一种实施方案，本发明的请求和应答步骤的图。

图4是根据本发明优选实施方案，本发明的请求和应答步骤的图。

图5是根据本发明一种实施方案，当使用中间物时本发明的请求和应答步骤的图。

具体实施方式

现在参考图1，本发明的一般操作的流程图被显示。在步骤100中，请求者最初向分发者注册。分发者可以是实际内容服务器，或者可以是请求者和内容服务器之间的中间物。

典型的内容服务器包括例行公事地处理交易的设施，其中已注册请求者的身份或特定交易的内容，或者二者可能是非常敏感的信息。财经公司，维护数字库的公司，和拍卖行可能发现本发明特别有用。商业机构可以是典型的请求者。例如，制药公司可能请求与关于特定疾病或基因序列的研究相关的服务。营销专家可能使用数据挖掘工具从数据库中提取有用的信息。风险资本家可能为投资做准备而调查特定的公司，或者大股东可能设置限价委托以当某些条件出现时买卖股票。匿名交易处理不仅在这些情景下是期望的，而且可能甚至由未来的立法所要求。

内容可以采取任何形式，包括但不局限于电子计算机文件以及常规物理数据存储装置例如软盘、CD-ROM和DVD-ROM。内容可以由任何方法分发，包括但不局限于邮寄物理介质，和经由电视、卫星、电缆和计算机网络(包括经由电子邮件和各种文件传输协议)发送信号，如本领域中已知的。

接下来，在步骤102中，分发者传递一组唯一的设备密钥到请求者(或者，更典型地，到请求者的接收设备)。设备密钥在各种广播加密技术中使用以计算会话密钥块，也称作介质密钥块。虽然两个设备可能共同具有一些设备密钥，但没有两个设备将具有完全相同的一组设备密钥。给定会话密钥块，设备使用它的设备密钥来处理会话密钥块并计算用来解密广播消息的另一个密钥，称作会话密钥。每个合法设备计算相同的会话密钥，虽然它们都以不同的方法计算它。当未授权的设备试图执行相同的计算时，它被误导并总是以会话密钥的错误答案结束，因此被选择性地防止解密广播消息。这称作撤销设备。

分发者也具有会话密钥块，它将根据需要服务任何人。分发者将周期性地改变会话密钥块。当预订到期时，或者如果分发者具有给定已注册请求者正在滥用他的预定的证据，(例如，通过将他的设备密钥传递给第三方)，给定请求者在会话密钥块中被撤销。但是，当处于良好身份的已注册请求者希望发出请求时，他可以计算当前的会话密钥。所有广播加密方案和会话密钥块技术在本发明的范围内。

在步骤104中，请求者发送匿名交易请求到分发者。发送请求的任何协议可以使用。只要分发者不能确定请求者的身份，请求者不需要信任分发者以保持交易匿名。互联网协议总是允许分发者知道请求者的TCP/IP地址。该地址有时标识请求者。但是，有时所有分发者知道，例如“该请求来自XYZ中的某个人”，其中XYZ是特定的ISP，或者“该请求来自ZYX公司防火墙后面的某个人”。TCP/IP匿名网络，所谓MIX网络，在本领域中众所周知。这种匿名网络可以处理交易请求以保证匿名。

许多可能的加密协议在本发明的范围内。例如，请求者可以清楚也就是未加密的形式发送请求，并且分发者将使用当前会话密钥加密随后的应答。用会话密钥加密请求，而维持清楚的应答，并且实现相同的效果是可能的。可能二者都加密。甚至可能都不加密，而是用基于会话密钥的消息验证码(在加密文献中称作MAC)来验证清楚的请求。

所有这些技术保护请求者的匿名，在于请求者知道分发者将绝对不知道谁发出请求，而不需要依赖于一些传说可实施的法律协议。涉及加密的技术也提供防止窃听的保护。通过在标准链路级加密技术例如SSL中打包请求和应答来保护防止窃听也在本发明的范围内。

请求的交易可以包括，但是并不局限于：

-通过拍卖竞标，买入或卖出物品

-买卖股票，优先认购权，物品，或财经交易中的其他证券或商品

-研究感兴趣的话题，包括关于科学，医学，知识产权，和历史或法律记录的研究文献

-执行任何种类的不动产交易

-访问数据库。

在步骤106中，分发者发送加密的应答。匿名网络也可以处理应答(或者多个应答，如果每个请求触发多于一个应答)的传输。分发者可以使用任何广播加密方案来广播应答。分发者使用加密方案以保证仅已注册的请求者(例如服务的付费用户)可以用会话密钥解密应答，其中会话密钥使用先前已经分发的设备密钥来计算。只要与交易相关的应答可以仅由有效已注册请求者集合中的一些成员解密，分发者被保证数据没有被盗版。本发明因此保护请求者的匿名，同时向分发者保证请求者是付费用户或将不能使用应答。

最后，在步骤108中，请求者处理应答。处理包括解密应答以访问原始加密的内容，但是也可以包括从可能非常大的广播传输集合中选择特定应答的先前步骤。注意，该匿名起作用，即使服务器知道哪个用户具有哪个设备密钥。事实上，服务器知道该信息作为他们的服务滥用管制的部分是有用的。但是，如果服务器试图“跟踪”哪个密钥正在给定的请求中使用，怎么办？所有上述会话密钥块技术能够执行所谓跟踪。这些技术通过测试撤销请求者的全部类，并且看给定请求者是否已经被撤销来操作。然后，通过分而治之，跟踪者可以最终找到特定的请求者。但是，当这发生时，请求者将观察到许多情况，当他已经不可解释地被撤销时。在本发明中，这些撤销用作警告请求者分发者变得不好，并且请求者应当停止他与分发者的操作，如果他对保密性有所担忧。分发者始终可能猜对的概率趋于零地小，所以请求者决不会看到不可解释的撤销。

现在参考图2，本发明的初始注册和设备密钥传递步骤的图被显示。请求者(指定为R₁)注册作为由分发者(指定为D)提供(或经由传递)的特定服务的用户。分发者传递(且可能自身创建)一组唯一的设备密钥给请求者。

现在参考图3，本发明的请求和应答步骤的图被显示。请求者发送匿名交易请求到分发者。然后，分发者发送关于交易的加密应答。应答可以是由所有已注册请求者R₁～R_n接收的广播。

现在参考图4，本发明优选实施方案的请求和应答步骤的图被显示。在该实施方案中，请求者和分发者之间点对点的连接用于通信。该连接不标识请求者，也就是它不提供关于可以用来攻击请求者匿名的返回地址的信息。

如果分发者处理许多匿名请求并且广播许多加密应答，如图3中所示，每个有效的请求者将要获得许多加密消息。所以，在优选实施方案中，每个请求者使用到分发者的点对点连接。普通HTTP Web连接是这种实现的实例。分发者可能不能由点对点连接中他的TCP/IP返回地址来识别请求者。大多数人基于他们如何连接来获得一定量的匿名：例如，当一个人连接到互联网时，典型地或者在工作中通过防火墙，或者在家中通过ISP连接。在二种情况下，外部服务器看到的返回地址是非常普通的公司或ISP地址，其不会单独标识请求者。保证返回地址中安全匿名的MIX网络在本领域中已知。本发明的优选实施方案使用由任何可用方法提供返回地址中的匿名的点对点连接。使用点对点连接，用户可以仅看到他的应答。

在优选实现中，提供一种标准化Web服务器的工具，例如IBMWebSphere(R)。该工具使用DES(数据加密标准)密码根据需要加密内容，虽然所有密码在本发明的范围内。工具可以作为“CGI”程序运行以加密动态内容，或者可以在背景中运行并加密静态内容。在任何一种情况下，如此加密的内容用特殊的MIME型标记，例如“x/SKB保护的”。每个请求者的Web浏览器使用解密该内容并将它返回到浏览器的插件，假设请求者具有该服务的适当(没有撤销)的设备密钥。

现在参考图5，当使用中间物时本发明的请求和应答步骤的图被显示。在该实施方案中，中间物是受信任的第三方管理员(指定为A)，其为分发者处理一些交易处理任务。这些任务可以包括创建和/或随后传递设备密钥到请求者，以及跟踪请求者的注册信息并且周期性地向分发者提供反映当前一组已注册请求者的会话密钥块。

在许多情况下，接收者向分发者进行支付以变成(或保持)已注册用户并不关联到处理交易的特定量，或提供的内容量。经常，请求者将为特定一段时间无限制访问资源而支付分发者，不管请求者对资源的利用。注意，关于本发明，请求者可以通过信用卡支付服务预定，并且分发者将决不会识别他个人的内容请求。

虽然，在其他情况下，分发者可以建立根据处理的交易量和/或处理的交易中的内容量向请求者收费的记账实践。为了处理该情景，请求者可以运行抗篡改软件，其跟踪确定记账并防止欺骗的交易使用信息。请求者可能不信任这种软件来维护匿名，虽然。因此，相互信任的第三方可能有必要证实软件运行良好，其将复杂度等级增加到基本发明。

因此，在该实施方案中描述的、基于使用的记账问题的不同解决方法是让受信任的第三方管理员来执行一些记账相关的任务，例如跟踪交易数据例如交易量和/或交易大小。因此，本发明可以延伸到分发者根本不会获取关于其用户的任何个人信息，而仅经由管理员提供服务到已授权请求者的情景。

通过用唯一的内容密钥加密每块内容以减少准备应答的计算工作量也在本发明的范围内。内容密钥然后用当前会话密钥加密，然后以加密的形式包含在应答中。这极大地减少当会话密钥块改变(因为它周期性地这样做)时需要重新加密的数据量。

本发明也可以用作电子商务的商业方法，其中请求者支付费用以使他们的交易匿名地处理。作为选择，交易的保密性可以由分发者免费提供，以提供优于不提供本发明独特特征的竞争者的市场优势，并且向请求者提供预订的另外激励。本发明可以进一步延伸以覆盖存在多个等级的预订服务的情况。例如，可能存在可以访问扩展文集的“黄金服务”。将每个等级的服务与不同的会话密钥块相关联是简单的事情。

通用计算机根据这里的发明步骤而编程。本发明也可以实施为由数字处理装置使用的制造商品-机器构件-以执行本逻辑。本发明在使得数字处理装置执行这里的发明方法步骤的关键机器构件中实现。本发明也可以由计算机内的处理器执行的计算机程序实施为一系列计算机可执行的指令。这些指令可以驻留在例如计算机的RAM中或计算机的硬盘驱动器或光盘驱动器上，或者指令可以存储在DASD阵列，磁带，电子只读存储器，或其他适当的数据存储设备上。

虽然本发明已经关于其说明性实施方案而描述，应当理解，各种改变可以在这里描述的装置和方法中进行而不背离本发明的范围和讲授。因此，所述实施方案仅看作说明性的，且本发明并不被限制，除了如附加权利要求中指定。

Claims

1.一种保证电子交易被匿名处理的方法，包括：

向潜在的非置信分发者初始注册请求者；

传递一组唯一的设备密钥到所述请求者，所述设备密钥可以用以计算出会话密钥；

将来自所述请求者的匿名交易请求发送到所述分发者；

传送来自所述分发者的加密应答；以及

由所述请求者使用所述会话密钥处理所述应答。

2.根据权利要求1的方法，其中所述分发者是内容服务器。

3.根据权利要求1的方法，其中所述分发者是所述请求者和内容服务器之间的中间物。

4.根据任何前面一个权利要求的方法，其中所述请求与下列至少一个相关：拍卖、财经交易、研究交易、不动产交易、和对数据库的访问。

5.根据权利要求1到3中任意一个权利要求的方法，其中将来自所述请求者的匿名交易请求发送到所述分发者的步骤是由匿名网络执行的。

6.根据权利要求1到3中任意一个权利要求的方法，其中传送来自所述分发者的加密应答的步骤是由匿名网络执行的。

7.根据权利要求1到3中任意一个权利要求的方法，其中所述请求触发多个所述应答。

8.根据权利要求1到3中任意一个权利要求的方法，其中所述应答是广播，并且仅已注册请求者可以用使用所述设备密钥计算的会话密钥解密所述应答。

9.根据权利要求8中所述的方法，其中由所述请求者使用所述会话密钥处理所述应答的步骤包括从多个广播应答中选择特定应答。

10.根据权利要求1到3中任意一个权利要求的方法，其中由所述请求者使用所述会话密钥处理所述应答的步骤包括解密所述应答。

11.根据权利要求1到3中任意一个权利要求的方法，其中所述请求者能够通过对所述分发者进行的跟踪，检测所述分发者尝试进行的撤销操作，从而确定所述请求者是否受到威胁。

12.根据权利要求1到3中任意一个权利要求的方法，其中所述请求者对所述分发者的支付不依赖于处理的交易。

13.根据权利要求1到3中任意一个权利要求的方法，其中所述请求者对所述分发者的支付依赖于处理的交易。

14.根据权利要求13的方法，其中由相互信任的第三方证实的抗篡改软件跟踪交易数据。

15.根据权利要求13的方法，其中由受信任的第三方执行下列中至少一个：提供所述设备密钥到所述请求者、跟踪请求者注册信息、以及周期性地向所述分发者提供反映当前一组已注册请求者的会话密钥块。

16.根据权利要求1到3中任意一个权利要求的方法，其中所述请求者和所述分发者经由不标识所述请求者的点对点连接进行通信。

17.根据权利要求1到3中任意一个权利要求的方法，其中所述应答包括用唯一内容密钥保护的内容，其中唯一内容密钥由当前会话密钥加密并且以加密形式包含在所述应答中。

18.一种保证电子交易被匿名处理的系统，包括：

向潜在的非置信分发者初始注册请求者的装置；

传递一组唯一的设备密钥到所述请求者的装置，所述设备密钥可以用以计算出会话密钥；

将来自所述请求者的匿名交易请求发送到所述分发者的装置；

所述分发者发送加密应答的装置；以及

所述请求者使用所述使用所述会话密钥处理所述应答的装置。