本发明公开了一种用于按需向漫游用户发放验证凭证的方法与设 备。凭证在软件中储存、发放并传送，避免了额外的硬件。在该系统的 一个基本实施方案中，当一个用户以他事先交给凭证服务器保存的共享 密文(shared secret)的形式提供了身份证明时，他就能够根据意愿要 求他的凭证。共享密文可以由用户选择，并且可以是易于记忆的密文， 如：母亲未婚时的姓名，三年级的老师等。用户将通过一个询问-响应协 议(challenge-response protocol)来响应服务器的询问，在发放用户凭 证之前先要给出对此类问题服务器所要求的正确答案。在本发明的另一 个实施方案中，一个用户认证凭证可以储存在由简单共享密文方案保护 的服务器上，简单共享密文方案可以是如口令、基于指纹或视网膜图像 的生物测量学认证方案、或一对一散列的共享密文。在本发明的又一个 实施方案中，用户与服务器通过一个密码伪装的询问-响应协议进行交互 操作。特别是，如果用户正确地响应了服务器的询问，用户将接收到他 的认证凭证。然而，如果用户的响应不正确，比如可能在一个黑客试图 突破系统时，用户将接收似是而非且形式很好却无效的凭证。进而，可 以用一个只有用户知道的附加密文对认证凭证本身加密或伪装。当一个 认证凭证被嵌入许多相似(伪合法)的数据中时，它是密码伪装的形式。 这些数据有足够大的区域，用户能够没有任何困难地使用一个他能记住 的共享密文来查出正确的数据。然而，数据又有足够多的相似之处，入 侵者会发现所有数据都是那么似是而非。可以以伪装的或去伪的形式来 提供这样一个密码伪装的认证凭证，即，可以在凭证服务器或用户计算 机上进行去伪操作。上面所述的本发明的各种实施方案提供了一个或多 个或以下优点：
根据本发明的第一方面，提供了一种计算机可实施的用于在一个网 络环境中获得一个可用来进行一个电子交易的认证凭证的方法包括：(a) 通过一个网络访问一个服务器，来请求一个预定的认证凭证，所述认证 凭证：(i)在产生所述请求之前就已经存在于所述服务器中，(ii)唯一 标识其请求者，并且(iii)适于在进行一个电子交易中使用；(b)从所 述服务器接收一个要求预定响应的询问，该预定响应与所述认证凭证持 有者相关联；(c)向所述询问发送一个回答；并且(d)响应所述服务器 对所述回答是否满足所述询问的判断，从所述服务器接收所述认证凭证； 所述方法可以由所述请求者从多个请求地点以可重复的、按需提供的方 式来操作。
根据本发明的第二方面，提供了一种用于在一个网络环境中获取一 个可以用来进行一个电子交易的认证凭证的设备，包括：(a)一个网络 接口，配置为：(i)通过网络访问一个服务器来从中请求一个预定的认 证凭证，所述认证凭证：(A)在所述请求之前就存在于所述服务器，(B) 唯一标识其请求者，并且(C)适于用来进行一个电子交易，并且(ii) 从服务器接收一个询问，这个询问要求与所述认证凭证的所述请求者相 关联的预定响应；(b)一个用户接口，配置为接收来自所述请求者的对 所述询问的回答；(c)所述网络接口配置为根据一个由所述服务器所作 的对所述回答是否满足所述询问的判断来接收所述认证凭证；以及(d) 一个存储器，配置为在所述请求者的计算设备上储存所述认证凭证；所 述设备可以被所述请求者所使用，来从多个请求者地点获取可重复的、 按需提供的访问。
根据本发明的第三方面，提供了一种计算机可实施的用于在一个网 络环境中提供一个可以用来进行电子交易的认证凭证的方法，包括：
(a)通过网络接收一个来自请求者的对预定认证凭证的请求，所述 认证凭证：(ii)在所述请求之前就存在于所述服务器，(ii)唯一标识其 请求者，并且(iii)适于用来进行一个电子交易；(b)向所述请求者发 送一个询问，要求与所述请求者相关联的预定响应；(c)接收对所述询 问的回答；(d)判断所述回答满足询问；并且(e)为所述请求者发送所 述认证凭证；所述方法可以由所述请求者在多个请求者地点来操作，以 外理可重复的、按需提供的认证凭证请求。
根据本发明的第四方面，提供了一种用于在一个网络环境中提供一 个可以用来进行一个电子交易的认证凭证的设备，包括：(a)一个网络 接口，配置为：(i)通过网络接收来自一个请求者的对一个预定认证凭 证的请求，所述认证凭证：(A)在所述请求之前就存在于所述设备中； (B)唯一标识其请求者；并且(C)适于在进行一个电子交易中使用， (ii)发送一个询问，要求一个与所述请求者相关联的预定响应，并且(iii) 从所述所有者处接收一个对所述询问的回答；(b)逻辑，配置为判断所 述回答是否满足所述询问；并且(c)一个存储器，配置为储存将发放给 所述请求者的所述认证凭证；所述设备可以由所述请求者在多个请求者 地点进行操作，以处理重复的、按需提供的认证凭证请求。
布置中不需要额外的硬件。这是与硬件标记如需要广泛布置卡片及 读卡器的智能卡对照而言的。
(1)高度的用户方便性。漫游用户不需要携带标记，却能够在需要 时要求它们。
(2)低管理费用。丢失、误置或忘记标记的用户不需要管理介入。
(3)快速的分发速度。带漫游访问的软凭证可以迅速布置，因为它 们可以直接使用并且几乎不需要用户/管理者培训。
(4)对纯单一因素系统增强的安全性。
附图说明
图1描绘了一个本发明的示范实施方案，其中一个用户访问一台web 服务器来与由一台访问控制服务器保护的交易服务器进行一个电子交 易。
图2描绘了一个钱包的示范实施方案，其中一个私钥由一个PIN(个 人身份号码)来保护。
图3描绘了一个示范实施方案，其中图2的钱包以一个密码伪装的 形式来保护。

我们现在使用一个操作web浏览器来访问一个或多个远程服务器 的用户的示范环境来叙述本发明的多个示范实施方案，借助该方案，用 户能够自由地在因特网中漫游而仍然保持对其认证凭证的访问。熟悉技 术的人员会认识到本发明也适用于其他客户机-服务器环境，包括但不局 限于数据库、医疗客户工作站及财务交易工作站。而且，网络环境不一 定是因特网，而可以是一个内联网或实际上的任何分布式计算机网络。
现在参照图1，一个在浏览器140的用户希望访问一个Web服务 器110来进行一个电子交易。Web服务器110被访问控制服务器120保 护起来，访问控制服务器120防止对交易服务器130未经认证的访问。 例如，Web服务器110可以是一个公司的主页，访问控制服务器120可 以是一个防火墙，而交易服务器130可以包含用户希望访问的专有公司 数据。在另一个示例中，访问控制服务器120可以是一个会员资格或者 信用/支付验证系统，而交易服务器130可以是一个后端装运/发货系统。 熟悉技术的人员会意识到任何或所有服务器110、120和130可以合成 在一个服务器中，可以有多个附加服务器实现其他专门的功能，任何这 些服务器可以是集中的或者广泛分布的。同样地，电子交易可以是几乎 任何类型的，包括但不局限于安全电子邮件、访问特许的或机密的信息 以及购买电子或实物商品或服务。
在访问交易服务器130进行电子交易之前，用户首先需要向访问控 制服务器120验证自己。正如在发明背景中所提到的，用户通常使用其 私钥执行一个密码操作来验证自己，该操作是关于一个访问控制服务器 120发送的询问。这个加密的操作可以是一个简单加密，一个伴随加密 的散列(通常指一个数字签名)，或者熟悉技术的人员熟知的其他协议。 当然，在安全性较低的应用程序中，认证凭证可以是一个简单口令。私 钥、口令和其他认证凭证对那些熟悉技术的人员来说都是熟知的，并且 不需要在这里进行详细的描述。例如，读者可以参考知名的标准文本如 Applied Cryptography(Bruce Schneier，第二版，1996，101-112页及 548-549页)来了解详细内容。
不管是何种认证凭证或协议，如果访问控制服务器120验证了用
户，用户接着就被允许访问交易服务器130。本发明提供了一种方法与 设备，用于根据需要向希望能够访问服务器110、120与/或130的来自 各种浏览器140的用户(所谓的”漫游用户”)提供认证凭证。
这种按需提供的漫游能力是由一个凭证服务器160来提供的，该服 务器160通过一个软件钱包150向在浏览器140的用户下载认证凭证(如 私钥)。如此处所用的，钱包150只需要作为一个认证凭证的基本容器 来使用。这样，就可以认为它只是其中体现了认证凭证的数据结构，或 者它可以是多个复杂的具有处理其他用户拥有的项目如数字证书或数 字货币(包括而不局限于，电子现金或单据)能力的容器。在本发明的 一个基本实施方案中，凭证服务器160体现为一个web服务器。用户向 凭证服务器指出其浏览器140，该凭证服务器以在设置阶段事先与用户 相关联的共享密文的形式向用户发出一条询问。这个共享密文可以是以 下的示范形式：
问题：母亲未婚时的姓名？    答案：Jones
问题：狗的名字              答案：Lucky
问题：喜欢的运动            答案：足球
问题：PIN？                 答案：PIN
实际的问题数目从凭证服务器到凭证服务器，根据它们各自的安全 策略，可以有多种变化。如果用户提供了正确的答案，凭证服务器160 从一个钱包数据库170(它可以是或不是凭证服务器160的一部分)获 得用户的钱包，并将钱包提供给在浏览器140端的用户。在一个替代实 施方案中，钱包或它的一部分可以直接提供给任何服务器110、120和 130。
上述的任何一个方案中，1)或者钱包可以安装在软件程序的存储器 空间，与/或接着2)或者钱包可以安装到硬件驱动器或计算机的其他物 理存储器上。如果仅仅是前者的话，在会话结束时，认证凭证将被毁掉。 如果是后者的话，在那台特定的计算机上，认证凭证可以跨多个会话而 为用户所用。在任何一种情况下，当用户漫游到另一台计算机上时，可 以重复该进程来按需提供对所需认证凭证的访问，而不需要实物标记 (尽管，如果想要的话，本发明还能够与一个实物标记一起使用)。
上面描绘了所谓共享密文的使用，借助它，用户和服务器都共享访 问系统所需的信息的复件。当然，本发明不局限于这种简单协议，这种 协议由于其自身特点，会被欺骗服务器滥用。例如，也可以使用零知晓 证明(zero knowledge proofs)，用户使用它能够向服务器证明他知道 其母亲未婚时的姓名(或其他密文信息)，而不用实际向服务器告知该 姓名。作为一个简单的例子，对一个只需要知道相关公钥来验证私钥的 验证者来说，用户的私钥自身就能够以这种方式来使用。零知晓证明的 原理与实施对熟悉技术的人员来说是熟知的，并且不需要在这里叙述。 读者可以参考知名的标准文本如前面提过的Applied Cryptography来 获得详细内容。
在本发明的一个实施方案中，钱包自身可以被一个共享密文保护。 例如，图2显示了一个钱包的示范实施方案，其中由一个PIN来保护一 个私钥。如前所述，PIN(更普遍地是一个共享密文)可以是由用户向 凭证服务器160传送的共享密文，而在钱包中的私钥(更普遍地是认证 凭证)可以被凭证服务器160解密并以明码提供给在浏览器140端的用 户。或者，对在浏览器140端本地解密的用户，整个钱包(包括加密形 式的认证凭证)都可以提供给用户。不论使用哪种方法，对PIN保护的 认证凭证进行解密的进程如下所述。用户输入一个PIN200(更普遍地 是一个访问代码)来对钱包解锁，而PIN通过一个一对一散列函数210。 散列函数还包括一个盐值(salt value)或者其他加强安全性的特征，对 于熟悉技术的人员是可以理解的。所输入的PIN的散列值215被与储存 的散列值220进行比较，储存的散列值220是正确的PIN的散列值。如 果两个散列值一致，PIN被送到解密模块240。加密并储存在区域230 中的私钥(以正确的PIN作为加密密钥)被解密模块240解密，解密模 块240代表性地是DES(数据加密标准)或某些其他加密函数如三重 DES、IDEA或BLOWFISH。此后，发放经过解密的私钥250以供使用。
计算散列并对储存的散列解密的密操作可以使用一个或多个密码 逻辑(如软件或硬件)模块来实施，而正确的散列值和私钥可以被储存 在受保护的数据区域或其他存储形式(如从ROM中读取，从计算机可 读介质中读取等)中。一个典型的密钥钱包也可以包括用于接收候选PIN 的输入与输出逻辑和用于输出经解密的私钥，也包括用于管理、查看、 复制和处理密钥和其他数据的逻辑。
散列函数的一对一特性确保正确的PIN且只有正确的PIN将会对 密钥钱包解锁。不幸的是，它也允许一个恶意的黑客通过强制搜索来猜 测完整的PIN。例如，他可以写一段程序，简单地在密钥钱包上检验所 有6位PIN代码。如果他得到了密钥钱包的复件，他就能够在他的计算 机上以完全检测不到而且是自动化的方式只花几分钟的时间来进行这 种攻击。
为了抵御PIN散列攻击，本发明的另一个实施方案使用一种称为 密码伪装的技术来提供与认证凭证有关的更好的安全性。下面对照图3 简要地叙述密码伪装；对于全部详细内容，读者可以参考这里相结合的 同样未决的美国专利申请No.08/996,758。
现在参考图3，认证凭证(如私钥)通过如图2中所示的一个访问 代码来保护。但是，用一个多对一散列来替代一对一散列，多对一散列 即一个散列，其中多个输入产生(即再生)相同的散列输出。在一个示 范实施中，多对一散列函数310可以将6位代码散列为2位散列值。在 常规的密钥钱包中，输入的PIN300的散列值315与储存的散列值320 进行比较，储存的散列值320是正确的PIN的散列值。如果两个散列值 相同，密钥钱包打开。私钥再次被加密储存到密钥钱包的区域330中， 以正确的PIN作为加密密钥。当正确的PIN被输入时，储存的加密的 密钥被解密并发放正确的私钥350以供使用。然而，因为散列函数是多 对一的，将会有许多不同的输入PIN能够满足散列询问来打开密钥钱 包。(散列值与正确的PIN的散列值相同的PIN，包括正确的PIN，在 这里称为伪合法PIN)。例如，如果散列函数将6位代码散列为2位散 列代码值，从总共可能的1000000个6位代码中，将会出现10000个能 打开密钥钱包的6位伪合法PIN。伪合法PIN将全部被送入解密模块 340来对所储存的加密的密钥进行解密，以产生一个候选的私钥。但是， 除了一个之外，其他所有这些候选的私钥都将是所储存的(正确的)私 钥的非正确解密结果。只有当输入的PIN是那个正确的PIN时，正确 的私钥才能被恢复。
更适宜地，应该将上述多对一散列函数选为一个优质散列(good hash)。例如且不局限于此，MD5和SHA是为人熟知的优质散列函数。 优质散列函数是一种在所有可能PIN的空间中充分均匀地分布伪合法 PIN的方法。例如，考虑一个从6位代码到2位散列值的散列函数。如 果散列函数是一个优质散列，这些值将被充分均匀地分布。特别地，在 一百个PIN中会有一个是伪合法的，并且这些将是有效地随机分布。尤 其是，如果用户在输入正确PIN时出现打字错误，其结果PIN将是一 个伪合法PIN的机会是1/100。
另一个可能的实施方案使用一个弱散列(week hash)，即一个散 列，它产生伪合法PIN的群集，这使一个猜到一个伪合法PIN的入侵 者更容易找到其他的伪合法PIN。一个出现一系列1位打字错误的合法 用户也可以得到一个伪合法PIN序列，而如果接受由此加密的私钥或者 消息的系统有一个针对重复失败报警或禁用的特性，这将会不经意地把 合法用户关在外面。因此，相对于优质散列，弱散列通常是不受欢迎的。 不过，有一些应用程序，其中弱散列提供某种特性，如计算的效率和易 于实现，对专门的应用程序是有利的。
上述段落叙述了进一步保护钱包的技术，或者带有一个一对一散 列，或者带有一个多对一散列。熟悉技术的人员将意识到解密进程 200-250和300-350(如密码伪装)可以在用户计算机或凭证服务器160 进行。在前一种情况下，钱包以解密的形式被下载到用户端，而在后一 种情况下，在下载到用户端之前，钱包在凭证服务器160上进行解密。
更普遍地，也可以认识到，对这一点所述的各种询问-响应协议(如 简单共享密文；生物测量学方法如指纹识别；图2的一对一散列密文； 以及图3的多对一散列密文)能够在凭证服务器160或浏览器140端使 用，并且这种使用可以发生在任何组合或排列中。例如，对最小安全性 来说，凭证服务器160可以通过一个简单共享密文被访问，钱包可以以 明码方式下载到用户端。或者，钱包可以被一个一对一或多对一(即加 密地伪装的)散列共享密文进一步保护，并且根据用户对适当询问-响应 协议的响应在凭证服务器上对钱包进行解密。解密的(或者，在多对一 散列的情况下，去伪的)钱包则会以明码形式被下载到用户端。对更好 的安全性来说，钱包可以以伪装形式下载到用户端，在用户计算机上进 行去伪操作。还要求更好的安全性的话，可以用一个一对一或多对一散 列进程来代替简单共享密文，用于初始的服务器访问。通常，一对一散 列或多对一散列可以在初始服务器访问阶段布置，而任何简单共享密 文、一对一散列、多对一散列技术可以在后续的钱包下载阶段使用。
由于这些及其他可以被熟悉技术的人员理解的变化，因此，本发明 的范围不局限于在此公开的特定实施方案，但受限于所附权利要求的全 部范围。
交叉参见相关申请
本申请是未决的美国专利申请No.08/996,758的部分继续申请。