CN1582558B - 识别码计算 - Google Patents

Abstract

以在用户的个人区域网(PAN)的设备间分布的方法计算ID。这些设备以无线方式通讯。服务器运行该PAN的一个模拟。如果服务器和PAN计算出匹配的结果，则认为用户的ID是正确的，可以进行有条件的访问。为实用目的而在用户的PAN设备间分布计算ID和其随机属性使得系统很难被侵入。

Description

识别码计算

技术领域

本发明涉及一种提供认证服务的方法，例如，用于与数据处理系统的安全交易。

背景技术

未公开的申请PCT/IB02/01582(代理人卷号PHUS 018056)DEVICEIDENTIFICATION AND CONTROL IN NETWORK ENVIRONMENT涉及一种家用器具控制网络，包括将一个器具连接到所述网络的模块。当所述模块与器具相互连接时，该模块采用所述器具的标识符。该器具在其例如电源插头中包括一个标签，该标签带有识别信息，被所述模块读取并传输到一个控制器。该模块本身可以具有与位置有关的识别符，用于使能与拓扑有关的软件应用。

未公开的申请PCT/IB02/01015(代理人卷号PHUS018043)TASKMANAGEMENT SYSTEM涉及一种系统，用于管理包括目标的移动的任务。该系统包括附属于该目标的一个指示器，和检测目标的移动位置的传感器，该传感器用于一个监测组件，例如，该监测组件用于根据传感器输入，在用户接口中产生和删除执行任务的提示符。在一个实施例中，该指示器是例如连接到目标的射频无源设备，该传感器是传统的接近传感器，位于执行所述任务时所述目标将经过的路径上，监测组件是链接到一个PDA(个人数字助理)的家庭网络的一部分。在另一实施例中，用两个或更多的传感器在第一位置(起始位置)确定目标的位置和在第二位置(目的地)确定目标的位置，和/或目标移动的方向，而不仅仅在经过移动路径中的一个位置时检测目标的移动。在该两个实施例中，当所述任务被执行时，传感器在预定位置检测目标的出现/消失，和/或目标的移动(通过检测所述指示器)，并向所示监测组件提供一个信号，指示所述任务完成。所述监测组件于是产生一个响应，如自动消除执行所述任务的提示符。

在本文中称为提示符中的ID的标识符数据、口令、或代码用于要求用户识别或认证的电子交易中的安全目的。这样的交易的例子包括基于使用信用卡的交易。另一个例子是电子银行。另一个例子是通过互联网从远端位置登录进公司的数据网络。另外的用途是标记(badge)访问安全站点。

总体上，实现了下列方案。用户已经被授予一个ID，该ID必须被记住，或者加密在某种令牌上，例如具有磁条的卡或固态存储器、诸如蜂窝电话等的CE设备等。为了执行包含该ID的操作或交易，要求用户将该ID发送到一个控制计算机(如，银行计算机、电信服务提供商的计算机、安全服务器等)。然后该计算机比较所发送的ID与本地存储的编码，以便根据匹配或不匹配作出授权决定。

发明内容

上述情况存在一些缺陷。例如，ID通常是恒定的(即，不随时间变化)，在发送过程中可能被截取，或者包含该ID的令牌可能被盗。第一种缺陷可以通过使用一次加密编码来避免：每次请求与服务器建立新的连接时，计算该ID的一个新值。但是，这只能解决部分安全问题，因为还是可能破译该编码或从一个独立的来源获得信息。经过一定时间的数据收集后，很可能反推出所要求的编码。一次加密编码不能解决令牌丢失或被盗的问题。

本发明的目的是提高安全性。本发明由独立权利要求限定。从属权利要求限定优选实施例。

在一个实施例中，发明人建议通过在用户的个人电子设备之间分布ID的新值的计算来提高安全性。决定授权的服务器或计算机对同一个人设备的每个单独用户进行一次模拟运行，以同步所述ID的值。在该情况下，仅盗取一个ID编码卡或信用卡还不够，没有其它设备或该卡的用户，该卡没用。

本发明涉及使个人能够使用唯一ID的方法。其使得用户的PAN(个人区域网)的多个设备都能够以在设备间分布的方式计算该ID。必须判断用户的ID是否正确的系统可以通过检查该ID是否与运行在一台远程服务器上的该PAN的模拟相一致来完成所述判断。可选地，由PAN在不同场合产生的各种ID分别表示该特定用户并对应于一个查找表中的入口。优选地，每个设备包括一个对应的FSM(有限状态机)。该对应的FSM每经过一个时间步就根据一个对应的数学关系计算一个数量值。该对应的数学关系将例如在前一时间步由至少另外一个FSM计算的数量值，和由该相应的FSM计算的量估计的值的对应历史作为参数。该对应的数学关系呈现一种事实上随机的特性。

本发明的一个实施例是例如在个人设备上使用的软件，用于使该设备调节一个FSM，并与另一设备通讯，以实现上述事实上随机的系统。

另一实施例是例如一种用于PAN中的个人设备。该设备调节一个FSM，并能够与该PAN中的另一设备通讯，以实现该事实上随机的系统。

另一实施例是银行信用卡系统、有条件访问系统、或另一种安全系统的服务程序。该服务程序判断用户是否有权访问系统。该服务程序运行该用户的PAN的模拟。该服务程序可以被委托给独立于该被保护系统的信托方，或者也可以是该系统整体的一部分。

在一个更具体的例子中，本发明考虑一种分布式信息处理系统，其包括一组相互作用的设备或用具，构成例如一个个人区域网(PAN)。这些设备最好通过短距离无线协议如Bluetooth通讯。所述组包括例如蜂窝电话、数字钟、PDA、车钥匙的钥匙链、嵌入一个不明显目标如珠宝或别针，或甚至在使用可佩带电子设备的衣服中的电子设备等。该组设备对每个用户是唯一的。这些设备内部具有有限状态机(FSM)。一个(远程)控制服务器运行该组的FSM的模拟器。每个对应设备的FSM在每个时间步计算依赖于前一步中其它设备的FSM的值以及还可能依赖于对应设备的内部状态(例如根据设备存储器和I/O消息缓冲器的内容)以及依赖于先前值的历史的对应数值。选择该数学关系使其导致FSM的集合作为动态过程运转，为了实践目的，该动态过程被认为是非周期的随机过程。模拟器在服务器上进行相同的工作。模拟器与设备FSM的结果应当相同。一旦匹配，就认为该用户为授权用户。一旦不匹配，就认为该用户为未授权的，并可以产生一个告警。所述ID值例如是由具体的一个FSM计算的当前数值，或者是来自不同FSM的值的组合，或者是值的一个序列等。

系统的安全性在于以下事实，即，黑客如果要侵入系统，则必须具有在某一步所有FSM的值的瞬时值，并考虑历史来收集这些步骤的值，并进入每个设备的内部状态。所有这些操作必须在一个时间步中完成，这是一项复杂的计算任务，特别是由于系统的分布特性，几乎是不可能的。几个安全层可以独立应用或相结合，以加强系统的保护、鲁棒、和安全性。

系统的建立可以取决于用户在其PAN中带有什么设备或用具。可以用一个自动控制器来初始化服务器和/或相应地初始化设备。例如，可以使用如未公开的申请PCT控制系统PCT/IB02/01015(代理人卷号PHUS018043)TASK MANAGEMENT SYSTEM，来判断用户带有什么。

附图说明

下面参考附图举例解释本发明，

附图1中示出本发明的系统的图。

具体实施方式

在下面的讨论中，采用如下定义：

系统：在PAN中考虑的设备的集合；

设备：系统的组件，包括基于CPU的控制器；

设备状态信息(DSI)：根据设备存储器中的规则计算的控制编码，可能包括设备的I/O消息缓冲器；

控制服务器：系统外的计算机，其监视系统的操作；

模拟器：作为FSM的分布网络模拟系统的模拟软件。

附图是本发明的系统100的框图。系统100包括系统102，如，一个PAN。系统102包括设备104、106、...、108。每个设备104-108具有一个对应的FSM110、112、...、114。系统100进一步包括控制服务器116，其运行一个模拟器118，在软件中模拟系统102的特性。模拟器118的结果与设备104-108的状态在求值器120中比较，以判断用户是否被授权。

在第一安全层中，模拟器118在控制服务器116上执行。对于每个离散的时间步，每个设备104-108的CPU计算与该设备相关的DSI。该DSI与模拟器118所计算的对应于该设备的DSI编码比较。这些值之间的不匹配表示例如操作失败或系统102的非法改编程序。

X_k(t)＝F_k(X₁(t-1)，X₂(t-1)，...，X_M(t-1)，S_k，X_k(t-2)，X_k(t-3)，X_k(t-4)，...，X_k(t-N))是定义一个FSM的一个数学表达式。在每个时间步t都根据该表达式计算每个设备(k)的X_k(t)值，其中：

“t”是当前时间；

“k”是设备(k)的索引或标号，假设设备的个数等于M(在图示例子中，M等于3)，则其取值范围为1-M；

“S_k”是设备(k)的DSI；

“F_k”(.，.，.)是数学向量函数的第k个元素，其这样选择，使得M个公式的组描述一个随机的非周期动态过程。

相应地，对于确定的“k”，X_k(t)依赖于在前一时间步所获得的所有设备104-108的值X，依赖于设备(k)的DSI，以及依赖于设备(k)的值X的历史。所考虑的历史的长度是由数N决定的。模拟器118在每个时间步中利用同样的数学关系对所有的“k”计算这些X_k(t)值。当用户试图访问要求有效的ID的系统(未示出)时，由设备104-118为时间点“t”计算的一个或多个值X_k(t)与模拟器118为同一时间点计算的对应值X_k(t)进行比较。差异表示用户没有授权，或系统102的完整性遭到破坏。

至少PAN上的一个设备允许与控制服务器116直接或通过一个代理(未示出)通信。优选地，值X_k(t)与指定设备的标号k的指示一起被送到服务器116，除非该标号已经在系统中预定义。为了提高系统的准确性和安全性，将产生的带有一个或多个设备标号“p”以及可选地带有一个或多个时标Tq的值Xp(t＝Tq)传输到控制服务器116。控制服务器116可以拾取任何值Xp(t＝Tq)，以便根据由模拟器118提供的结果估算它们。PAN与其它网络之间的通讯可以利用值Xp(t＝Tq)作为密钥发生器的种籽来加密。

为了重新编程任何设备104-108，或为了直接发出一些额外的指令，并对系统102产生影响，病毒或黑客必须通过系统102的所有设备104-108，并必须收集所有设备104-108的要求的历史X_k(-1)，X_k(t-2)，...，X_k(t-N)。由于图2的一组公式给出的模型的估算的随机属性，所有这些操作都要在一个时间步中完成。这使得黑客对系统102在技术上和计算上进行不被检测到的侵害非常困难。

FSM的组构成一个离散系统，该系统可以呈现有限个数的可能系统状态。理论上，由系统接连呈现的状态可以通过上述判断公式计算。因此，状态的序列实际上并非随机的，除非给上述数学关系引入随机变量。例如，一个或多个设备104-108可以通过使一个或多个Fk依赖于它来给系统开发中考虑的参数提供随机值。如果设备104包含一个蜂窝电话，则该参数的值是例如上星期拨出或接收的电话次数，该次数可能用电话间的时间间隔加权，并在用户需要一个ID时确定。如果设备106是一台收音机或MP3播放器，该参数的值是例如由播放数据的缓冲器的内容所确定的数。因此，为了本发明的实践目的，例如，为了应用的寿命，表述“随机”和“非周期”应当理解为还表示看上去随机的非随机特性。

应当注意，上述实施例举例说明而不是限制了本发明，本领域的技术人员将能够设计多种替换实施例，而不偏离所附权利要求的范围。在权利要求中，置于括号内的任何标号不应当被认为限制权利要求。术语“包括”不排除权利要求中所列的元件或步骤以外的其它元件或步骤。在元件前面的“一”、“一个”不排除存在多个这样的元件。本发明可以利用包含几个不同元件的硬件实现，也可利用适当编程的计算机实现。在列举几个装置的设备权利要求中，几个装置可以用一个相同的硬件实现。在相互不同的从属权利要求中引用某些手段的事实并不表示这些手段的组合不能使用。

Claims (3)

1.一种用于确定个人区域网用户的ID值的方法，所述个人区域网包括多个设备，多个设备中的每个包括相应的有限状态机，其中：

每个相应的有限状态机在每一时间步根据相应的数学关系计算数量值，

所述相应的数学关系具有以下参数：

在前一时间步通过所述有限状态机中的至少另一个有限状态机计算的数量值，和

由相应的有限状态机计算的数量值的相应历史；以及其中

所述相应的数学关系是这样的，使得所述计算的数量值呈现实际上随机的特性；并且其中使用所述计算的数量值来确定ID值。

2.一种用于认证用户的方法，包括：

根据权利要求1的方法确定用户的ID值；

通过在远程服务器处执行个人区域网的模拟来确定模拟的ID值，其中远程服务器运行个人区域网中多个设备中的有限状态机的模拟器，并且模拟器在远程服务器上进行与所述多个设备中的有限状态机相同的工作以生成模拟；以及

确定根据权利要求1的方法所确定的ID值是否与所述模拟的ID值一致。

3.一种用于个人区域网的个人器具，

所述个人器具包括相应的有限状态机并且被配置用于与个人区域网的至少一个其它个人器具进行通信，所述其它个人器具的每个包括另一个有限状态机；

其中每个相应的有限状态机在每一时间步根据相应的数学关系计算数量值，

所述相应的数学关系具有以下参数：

在前一时间步通过所述有限状态机中的至少另一个有限状态机计算的数量值，和

由相应的有限状态机计算的数量值的相应历史；以及其中

所述相应的数学关系是这样的，使得所述计算的数量值呈现实际上随机的特性；并且其中使用所述计算的数量值来确定ID值。