用于建立可信赖连接的个人设备、终端、服务器和方法

摘要

一个准备连至终端的个人设备,配备有用于通过所述设备在用户与终端之间建立可信赖连接的计算机化方法,该终端连至并可由至少一个服务器证实,该服务器可由该设备证实。在设备连至终端的情况下,可启动第一证实步,其中终端向服务器证实它自己,在证实成功后在服务器与终端间建立一条第一证实的可靠连接。随后可启动第二证实步,其中服务器通过建立的第一证实的可靠连接向设备证实它自己,并在成功后在服务器与设备之间建立第二证实的可靠连接。

说明书

本发明涉及使用不可靠终端访问计算机系统的情况。更具体地，它涉及通过网络连至计算机系统的公共不可靠终端及这类公共不可靠终端的证实。

自动取款机(ATM)和因特网网台是用于访问计算机系统的公共不可靠终端的典型例子。图1中阐述了一个典型系统。用户1使用银行卡2自ATM6中取款。在所有现有系统中，用户1应输入个人确认码(PIN)或密码词以便可靠地向银行证实他们自己。但没有办法让用户1证实银行，相应地证实ATM6。有过案例，盗贼们设立了伪ATM并成功地自毫不怀疑的用户窃取了PIN和磁条信息。

相同的伪终端问题如下所述地发生在许多其它场合：

ATM和销售终端：在这两种情况下，每个用户1向一个特定服务器5(例如信用卡发行者)登记。用户1的所有事务实际上都由服务器5授权。服务器5通常可确认和证实合法终端6。一个典型入侵案例是入侵者设置一个非法终端6，等待用户1输入PIN码，自卡2读取任何必要信息，然后拒绝服务，例如显示一条“终端故障”消息。不怀疑的用户1只是简单地换到另一不同终端6、而入侵者可稍后在合法终端6上使用偷来的信息。

公共因特网网台：在商业中心、飞机场、所谓“因特网网吧”和其它公共场所中用公共终端来短时间访问因特网成为日益普及的活动。对于只想用这些终端在网上“冲浪”的用户这并无风险。但人们可以而且的确做更为安全敏感的事务，例如自公共因特网网台访问他们个人或公司的计算机系统，支付账务等。此案例与前述案例在某些方面不同：

·用户1可能自同一终端6访问多个服务器5，及

·需要保护的个人信息的类型是不固定的，甚至事先不知道。

在虚拟商业中心网台的例子中有类似情况。虚拟商业中心网台允许预期的顾客在虚拟商业中心中店主的广告中浏览并购买商品。从功能上讲，此情况类似于公共因特网网台。

在特定设置下，例如当ATM使用生物测量方法而不用密码来证实，可避免伪终端问题，然而还存在共同问题。解决此共同问题的办法必须考虑不同方案，其中用户可用资源可能不同：一个用户可能具有一个可靠的带有它自己的显示设备的个人设备，也可能只有一块标准集成芯片卡(例如智能卡)而不附带显示器，或者在最简单和最普通的情况下可能任何个人可靠设备都没有。

在1997年2月的1EEE Computer Society的Computer，innovativetechnology for computer professionaly，pp.61-67上的文章“可靠的移动用户设备和安全模块”中描述了一个简单协议，其中用户可证实一个带显示器的用户设备。

本发明的一个目的是提供一项解决与不可靠公共终端有关的问题的方案。

本发明的另一个目的是向用户提供一项在用户使用公共终端处理安全敏感信息之前让用户证实该终端的方案。

这些和其它目的是由权利要求书1-41中所要求的设备、终端、服务器、通信系统和方法所完成的。

根据权利要求1的个人设备的优点是用户可证实一个未知的据以付款的不可靠终端，因而找出该终端是否可靠。

当该设备包括可送至终端的存储的预定证实信息时，该设备不必具有用于输出可靠性输出消息的输出装置。该设备从而利用终端的输出能力和以前已建立的可靠路径。

使用第三证实步骤以将个人设备向终端证实自己所带来的好处是不但该设备可信赖服务器并通过服务器信赖终端，而且终端也能信赖该设备。因此，终端也能检测到伪设备并在检测到非法个人设备时中断安全敏感应用程序。

使用双向证实步骤是有利的，因为证实中的双方在成功时互相信任，从而建立一条全双向可靠通道。因此可双向地交换安全敏感信息。然后可退出第三证实步骤。

要求用户证实自己的好处还在于设备可知道能否信任用户。因此设备也能检测到伪用户从而在检测到非法用户时中断安全敏感应用程序。

当可靠性输出消息包括可视及/或可听及/或可感知信息时，这有很大优点，因这些人类可读信息可快速而并不复杂地发送对可靠终端的确认。

如可靠性输出消息包括至少一个值供在存于终端中的表中查询之用，则个人设备需要较小存储空间，由于对查询表中一个单元的简单访问就足够识别正确的可靠性输出信息。

在可靠性输出消息可由服务器送至终端的方案中，最好由用户将可靠性输出消息传送至服务器，它适用于个人设备甚至不能由用户写入的情况。这为本发明在预制造的不能修正的个人设备如预编程或预写入的智能卡或磁卡中开辟领域。

当对服务器成功地证实该设备时将可靠性输出消息送至终端，可得到更高安全性，因只要不进行证实操作，服务器中的可靠性输出消息是安全的。因此没有入侵者能设法自设备中取得可靠性输出消息。

只用提供给用户的可靠性输出消息的一部分，可得到再更高些的安全性，因用户可多次使用相同的可靠性输出消息而不会有以下危险：入侵者设法偷得输出消息并在下次使用一个冒充为合法终端的伪终端去欺骗用户。

本发明涉及一种允许用户证实未知终端的系统。用户可籍此检测出一个他想用的终端是否为一伪终端或一合法而可靠的终端。只有可靠终端才能用于通过该终端完成安全敏感操作。本发明使用第一证实步以使终端向服务器证实自己。或简单地将个人设备连至终端，或由用户完成某些附加操作，即可开始证实。用户例如可按终端或个人设备上的一个或多个按钮或键，如果这些输入装置存在的话。任何已知证实系统可用于证实，例如使用私有—公共键系统。决定于该个人设备是否具有自己的输出装置例如扬声器或屏幕，可在个人设备上或终端本身上输出最终消息，即该终端是否可靠的消息。由于用户信赖其个人设备，此消息应来自该设备本身。在设备没有自己的输出装置的情况下，可在设备中发出此消息而自它发送至终端，由后者输出。用户可输入证实信息至其个人设备中，该信息可全部或部分地传送至终端。最终，终端可使用所传送信息以输出可靠性输出消息。在第一证实步之后接着是第二证实步，其中服务器向个人设备证实它自己，如果存在一个服务器的话。在两个证实步都成功之后，可将可靠性输出消息送至用户。如个人设备无写入能力，则用户可通过可靠通道将证实信息，亦称为证实向量传送至服务器。在证实成功后，服务器可输出某些消息至终端以使它输出可靠性输出消息。因此自服务器送至终端的消息可以是可靠性输出消息本身，它的一部分或任何其它可将可靠性输出消息颁布给用户的消息。在用户没有其自己的个人设备的情况下，也可在接近终端之前使用该方法传送证实向量至服务器。用户已与服务器同意一维或多维类型的查问—响应—证实向量。证实是按照查问—响应原理完成的，在证实成功之后，服务器最后通过终端颁布输出消息。在第二发消息步即输出可靠性输出消息之前有第一发消息步，即自服务器颁布消息。第一发消息步的消息的内容为终端是可靠的。

在任何实施例中，传送的消息不必全部传送。可以只发送一部分消息或它的某些指针并在查询表中查询最终可靠性输出消息或终端可靠性消息，这样做可能已足够。

下面通过例子结合附图详细说明本发明，它显示于：

图1是一个设备、一个终端和一个服务器的安排，

图2是用于建立可信赖连接的第一种方法的时序图，

图3是用于建立可信赖连接的第二种方法的时序图，

图4是用于建立可信赖连接的第三种方法的时序图，

图5是用于建立可信赖连接的第四种方法的时序图。

为清晰起见所有图并不按实际尺寸显示，尺寸间的关系也不按实际尺寸显示。

下面描述本发明和不同示例性实施例的一般方案。

图1中阐释一个可应用本发明的典型系统。用户1自一个公共不可靠终端6访问一个以后称为服务器5的服务器系统5。此终端6具有一个可用于与用户1通信的终端输出设备3，例如一个屏幕或类似设备。此终端输出设备3还有供用户1与终端6通信用的装置，例如键盘。终端6，其相应的终端输出设备3通过网络4连至服务器5，后者的最简单形式为一条直通线。为访问服务器5的目的，用户1在他信赖认为可正确证实一个公共终端6的服务器上有一个记录。公共终端可防止篡改，但入侵者能轻易地用一台伪终端替代一台合法终端6或在貌似真实的位置放一台新的伪终端。服务器5了解合法终端6并能证实它们。用户1证实服务器5时所需信息以及在必要时服务器上证实用户1时所需信息是在已知用户登记或其它初始化步骤(例如在共享键上同意)中设置的。一旦一个实体证实了另一个，其结果是建立了一条保密的证实的通道。换言之，入侵者不能劫持作为证实过程结果的证实的通道。此处使用符号U，T和S分别标识用户1，终端6和服务器5。当用户具有一台可靠个人设备2，例如智能卡，手机或磁卡时，即用D标识它。

上面提到的证实步骤是用证实协议实施的。有不同众所周知的用于完成单向和双向两种证实的证实协议，例如安全插口层(SSL)，KryptoKnight和Kerberos。在1996 Internet Draft的“SSL协议：3.0版本”中Alan O.Freier，Philip Kariton和Paul C.Kocher描述了SSL的细节。1993年6月的1EEE Journal on Selected Areas inCommunications，Vol.11，No.5，pp.679-693上R.Bird，I.Gopal，A.Herzberg，P.Janson，S.Kutten，R.Molva和M.Yung说明了KryptoKnight。1993年的Internet Request for Comment RFC 1510的“Kerberos网络证实服务(V5)”中John T.Kohl和B.Clifford Neuman描述了Kerberos。

此处建议的解决方法采用一个合适的证实协议，它可以是上述协议中的一个，也可以是任何其它为类似目的服务的协议。

服务器5可以复制，从而避免成为瓶颈。所有服务器5的副本必须知道合法终端6的最新信息及证实它们所需信息。也可以有几个服务器5，每个负责一个单独领域。在此情况下，假定有一个必需的基础结构，例如供服务器5彼此证实所用公共键基础结构。在任何一种情况下，终端6的数量很可能比服务器5的数量高出若干个数量级。第一种情况：具有内含输出能力的个人设备

首先考虑的方案是用户1具有一个完全独立的带有其自己输出通道例如手机的屏幕的可靠个人设备2。终端6不能访问设备输出通道。因此，用户确信通过此输出通道送给他的任何信息事实上的确是从他的可靠个人设备2发出的。换言之，在可靠个人设备2与用户1之间存在着可靠路径CO(St1a)。当用户1(U)走近不可靠终端6(T)时，他利用某些手段例如红外连接，物理连接将他的设备2(D)连至终端6(T)，从而完成通信(St1b，st1c)。图2中阐释了相应消息流原理图。

首先，完成第一证实步AI，其中终端6向服务器5证实它自己。

1.U→D：(St1d)用户U通过例如在D的显示器上按一个按钮来请求设备D证实它所连接的终端6(T)。

2.D→T：(St2)设备D请求T向服务器S证实它自己。

3.T→S：(St3a)T向服务器S运行单向证实协议。如这成功，则服务器S知道它有一条通向T的证实的通道S-T。此证实的通道S-T建立为第一证实的可靠连接c1(St3b)。因此服务器5信赖终端6。

然后利用第一证实的可靠连接c1来完成第二证实步AII。

4.S→D：(St4a)服务器S通过第一证实的可靠连接c1向设备D运行单向证实协议。如这成功，则设备D知道它有一个借道S-T通向服务器S的证实的通道S-D。此证实的通道S-D建立为第二证实的可靠连接c2(St4b)。

作为下一步，后随第一送消息步MI。终端向服务器5发送会晤键‘key’(St4c)。服务器S和终端T可用此键以交换信息。由于服务器信赖终端，它可接受键并使用它。使用此会晤键可加强安全性，因试图窃取并修改所交换信息的入侵者既无机会读取所交换信息，也不可能修改它而不被察觉。使用会晤键，即每次新会晤的新键，是所描述系统在完全相同配置下的不中断使用，这又能增加安全性，因即使入侵者窃取了键，此键在下一次会晤时即已无用。

5.S→D：服务器S通过S-D发送“T已证实”结果的消息。此消息是一条终端可靠性消息m_t，它通过终端6到达设备2(St5a)。此外，服务器S此处发送附加信息，例如会晤键‘key’，或一次性证书，设备D和T在第三证实步AIII中使用它们。在此步中，在设备D和T之间运行证实协议(St5b)，而当证实成功后即在它们之间构造一条安全通道D-T(St5c)。此证实的通道D-T建立为第三证实的可靠连接c3(St5c)。

6.D→U：接着是第二发消息步MII，其中设备D向用户U显示“根据S，T已证实”结果的消息。此消息称为输出消息m_o。出现的可靠性输出消息m_o告诉用户U他可信赖终端6。

7.D→U：在用户U应向服务器S证实的方案中，可在上述交换的另一阶段中做这步。为此，在第四证实步AIV中设备2可请求用户1向设备2证实他自己(St7)。

8.U→D：用户1输入一段适用于证实用户1为合法用户的信息，从而回答该请求。此段信息例如是一个个人确认码PIN或一个密码词(St8)。

如上所述，有不同众所周知的证实协议可用于以上的单向证实流，也可用于以下方案。在步3中，T可运行双向证实协议。这可挫败假冒为服务器S的入侵者。在用户U必须向服务器S证实的方案中，可用相互证实交换的形式实现步4而放弃步7和步8。只要用户U没有对T或服务器S识别，用户U的计划路径对T是保密的。

上述方案可归纳如下。个人设备2配备有装置以便连至终端6。它还包括代码，它在设备2中运行以完成在用户1和终端6之间建立一条可信赖连接的一种方法。此终端6连至并由至少一个服务器5证实，后者可由设备2证实。如设备2通过物理的，光学的或有线的或无线装置连至终端6，则可执行下列步骤：

·启动第一证实步AI，其中终端6向服务器5证实它自己。此启动成功后，在服务器5与终端6之间建立起第一证实的可靠连接c1。

·接着启动第二证实步AII，其中服务器与通过建立的第一证实的可靠连接c1向设备2证实它自己。此证实成功后，在服务器5与设备2之间建立起第二证实的可靠连接c2。

·然后在第一发消息步MI期间由设备2接收终端可靠性消息(m_t)。由服务器5通过建立的第二证实的可靠连接c2接收的这条消息确认终端6的建立的证实性。

·然后在第二发消息步MII期间由设备2向用户1提供一条可靠性输出消息(m_o)。这是通过设备2输出端和/或通过终端6的终端输出端完成的。

个人设备2可能包括存储的预定证实信息(vec)，它可送至终端6以便建立可靠性输出消息(m_o)。优选方案可能是由服务器5将可靠性输出消息(m_o)送至终端6。此证实输出消息(m_o)可包括可视、可听或可感知信息，例如下列中的一个或多个：背景色，前景色，背景图形，声音，字母，数字。类似地，可靠性输出消息(m_o)可能包括至少一个值以供在存于例如终端6中的表中查询。可靠性输出消息(m_o)也可能已由用户1传送至服务器5。这最好通过可靠通信连接CS来完成。证实步AI，AII和AII可以是双向的。

在以上方案中终端6能够在第一证实步AI期间向服务器5证实它自己，以便在该步成功后在服务器5与终端6之间建立第一证实的可靠连接c1。此外，终端6使服务器5与设备2之间建立第二证实的可靠连接c2更为方便。对于一定实施而言，终端6可能需要一个终端输出端3。

此外，终端6可能包括一个存储的查询表，可通过可靠性输出消息(m_o)访问该表。

服务器5通过网络4或一条链路连至终端6并能在第一证实步AI期间证实终端6。在第一证实步AI之后在服务器5与终端6之间建立第一证实的可靠连接c1。此外在第二证实步AII期间允许服务器5向设备2证实它自己，以便建立第二证实的可靠连接c2。然后服务器5通过建立的第二证实的可靠连接c2传送终端可靠性消息(m_t)给设备2以确认终端6的建立的证实性。第二种情况：没有输出能力的个人智能卡

现考虑以下方案：用户配置了设备2，例如集成电路卡(例如智能卡)，它没有输出能力。可以尝试为此方案使用相同解决方案。然而，在步6中出现问题，因设备D没有它自己的显示器。因此，它不具有通向用户U的可靠路径。可以有具备其它类型可靠路径例如移动电话的设备，它可使用语音合成器将消息送至用户U，这样仍可使用上面描述的解决方法。然而标准智能卡没有这类输出机构。因此要修改解决方法。

剪裁安全重要窗口是众所周知的对付特洛伊木马侵袭的安全措施。在1996年SEMPER联合组织的技术报告“关于基本服务，体系结构和设计的初步报告”中N.Asokan等人对此描述。此技术报告是送交欧洲委员会的SEMPER方案；见http：//www.semper.org中有关信息。1996年11月California的Oakland的Second USENIX Workshopon Electronic Commerce论文集pp.243-250的论文“WWW电子商务和Java特洛伊木马”中J.D.Tygar和A.Whitten提出了另外的建议。也实施了某些不同方案，例如在SEMPER Trusted INteractiveGraphical User INterface中(见www.semper.org)，或Lotus Notes软件的登录对话盒中的象形文字。虽然对于头脑简单的特洛伊木马这是一个有效的反措施，但在特洛伊木马已对显示器读写过的方案中它就不是有效的。只要向用户显示一个个人化窗口，特洛伊木马程序即可读取个人化信息并在合法个人化窗口之上构成一个具有相同信息的伪窗口。

今后将个人化方案与证实协议组合以得到一个对于现今考虑的方案的有效解决方法。在现有恐吓模型中，合法终端可抵制篡改，而非法终端无法向服务器5证实它们自己。通过在证实终端6之前不披露个人信息，即使面临足智多谋的入侵程序也是安全的。此处考虑较强的恐吓模型，其中入侵者可能通过例如安装特洛伊木马来扰乱合法终端。

假定用户1具有一个可靠(家庭)基地(例如一台家庭PC)，供他在开始旅程之前准备其设备2，例如智能卡。为了准备，用户选择一个预定证实信息vec，亦称为证实向量。该证实向量此处包括一种或更多种证实符。特定类型的证实符是这样的：

·它可采取数个值中的一个，

·每个不同值可由独立的人所感知并与其它值区别开。

证实符类型的例子是：

·任意的文本词

·背景色(多至256个颜色值)

·前景色(多至256个颜色值)

·背景图形(多至16个图形)

·声音序列(多至256不同音)

另一个例子是包括易为用户1识别的文本词。有不同装置可用来向用户1显示字：例如，可视—将它们显示于屏上—，可听—使用语音合成器—，或可感知，—用盲文表示字—。字和词是最有用的证实符类型，因它们可自相对地广阔的空间中提取，及它们可用不同方式向用户1发送。

图3中阐述向用户1证实不可靠终端6时完成的步骤。

此处可靠家庭基地包括设备2与用户1之间的可靠路径CO(St1a)。因此用户信赖其设备2。为准备旅程，用户1完成一个准备步PI，其中他在其可靠家庭中选用一个组合作为预定证实信息vec：例如，一维形式词＝abracadabra，背景颜色＝兰色，前景颜色＝白色，背景图形＝网格，音调＝圣诞铃声歌并将其存放在智能卡2上(St1b)。

当用户走近不可靠终端6并将他的智能卡1插入终端读卡机中(St1c，St1d)时，发生下列消息流：

1.U→T：在第一证实步AI中，用户U请求T向服务器S证实它自己，例如通过敲入服务器S的识别符并在T的显示器上触摸一个按纽(St1e)。

2.T→S：终端T向服务器S运行一个单向证实协议(St2a)。如这个成功，则服务器S知道它有一条通向T的证实的通道S-T。此证实的通道S-T建立为第一证实的可靠连接c1(St2b)。因此服务器5信赖终端6。

然后利用第一证实的可靠连接c1完成第二证实步AII。

3.S→D：服务器S通过证实的通道S-T向设备D运行一个单向证实协议(St3a)。如这个成功，则设备D知道它具有一条通向服务器S的证实的通道S-D，后者借道证实的通道S-T。此证实的通道S-D建立为第二证实的可靠连接c2(St3b)。

下一步是第一发消息步MI。终端发送一个会晤键‘key’至服务器5(St3c)。

4.S→D：服务器S通过S-D发送“T已证实”结果的消息。此消息是终端可靠性消息m_t，它通过终端6到达设备2(St4a)。此外，此处服务器S发送附加信息，例如会晤键“key”或一次证书，这些将由设备D和T在第三证实步AIII中使用。此步中，在设备D与T之间运行一个证实协议(St4b)，并在证实成功后在它们之间构成一条安全通道D-T。此证实的通道D-T建立为第三证实的可靠连接c3(St4c)。

5.D→T：接着是第二发消息步MII，其中设备D向用户U传送“根据S，T已证实”结果的消息。由于设备D自己没有显示器，它就利用终端6的显示器。设备D向终端T披露预选证实向量，即相应的预定证实信息vec(St5)。

6.T→U：T向用户U显示收到的证实向量，在其终端输出设备3上相应地显示预定证实信息vec或它的一部分，例如显示所示颜色和背景图形并播放所选音调。此输出信息组成可靠性输出消息m_o。出现的可靠性输出消息m_o告诉用户U他可信赖终端6。

换言之，设备D只在服务器S已证明T为合法终端6之后才向T披露证实符。非法终端能正确地猜出用户1的证实符的概率是非常小的，例如对于以上建议的参数，其概率为256×256×16×256分之一。如一个劣等终端非常接近连续地猜错了若干用户的证实符，则可向负责的控制当局报告，将它检测为非法终端。

只要用户U没有向T或服务器S识别自己，就可有助于将用户U的行程对T保密。

下面的改动是可能的：

智能卡可能存储器不够大以存放全部证实符。然而如证实符是预先规定的，则智能卡只需存储一个索引，而终端6可用此索引在表中查询该证实符的不同分量的所有可能的值。第三种情况：没有输出能力的不可写个人智能卡

有些智能卡不能由用户1写入。在此情况下，将方案修改如图4中所示：

1.在准备阶段PI中，用户1选择证实向量并通过一条保密的证实的通道cS将它自他家庭基地送至服务器5。作为证实向量，相应地作为预定证实信息vec，用户1选择一个组合：例如，一维形式词＝abracadabra，背景颜色＝兰色，前景颜色＝白色，背景图形＝网格，音调＝圣诞铃声歌。此外，在设备2和用户1之间还有一条可靠路径CO(St1a)。用户1即信赖他的设备2。当用户1走近不可靠终端6并将其智能卡1插入终端读卡机时(St1b，St1c)，发生下列消息流：

2.D→T：在第一证实步AI中，设备D请求T向服务器S证实它自己(St2)。插入设备D后自动引发此请求。

3.T→S：终端T向服务器S运行一个单向证实协议(St3a)。如这个成功，服务器S知道它具有一条通向T的证实的通道S-T。此证实的通道S-T建立为第一证实的可靠连接c1(St3b)。因此服务器信赖终端6。

然后利用第一证实的可靠连接c1完成第二证实步AII。

4.S→D：服务器S通过证实的通道S-T运行一个单向证实协议至设备D(St4a)。如这个成功，设备D知道它有一条通向服务器S的借道于证实的通道S-T的证实的通道S-D。此证实的通道S-D建立为第二证实的可靠连接c2(St4b)。

下一步是第一发消息步MI。终端向服务器5发送一个会晤键‘key’(St4c)。

5.S→D：服务器S通过S-D发送一条“T已证实”结果的消息。此消息是通过终端6到达设备2的终端可靠性消息m_t(St5a)。此外，服务器S此处发送附加信息，例如会晤键‘key’或一次证书，它们在第三证实步AIII中由设备D和T使用。在此步中，在设备D与T之间运行证实协议，并在证实成功后在它们之间构成一条安全通道D-T(St5b)。此证实的通道D-T建立为第三证实的可靠连接c3(St5c)。

6.S→T：下面接着是第二发消息步MII，其中服务器S向用户U发送一条“根据S，T已证实“结果的消息。由于设备D自己没有显示器，服务器S即利用终端6的显示器。设备D向终端T披露预选的证实向量，即相应的预定证实信息vec(St6)、此输出信息构成可靠性输出消息m_o。

7.T→U：T向用户U显示收到的可靠性输出消息m_o，在其终端输出设备3上相应地显示可靠性输出消息m_o或它的一部分，例如显示所选颜色和背景图形并播放所选音调。该出现的可靠性输出消息m_o告诉用户U他可信赖终端6。

此处步5中的证实步是必要的，因服务器S绝不能向正使用合法终端6但假装为用户1的入侵者披露证实向量。相同的证实向量可使用多次。用户1也可在准备阶段PI选择一套证实向量。另一方案是用户1要求终端T每次显示证实向量的不同分量。这也有助于挫败曾观察过合法用户1并了解过他的证实向量的入侵者。

如前例中那样，终端T可与服务器S运行一个双向证实协议(步2)。这可挫败假冒服务器S的入侵者。第四种情况：没有个人设备

智能卡和其它个人可靠设备可能在不久的将来普遍使用。但目前它们的使用仍有限。大部分用户只具有简单密码词(例如用于访问因特网)或存储卡(例如信用卡的情况)。本节中研究用户1什么个人计算设备2都没有的方案。图5中原理性地阐述相应的步骤。

单向证实的称为S/Key的解决方法由N.Haller在1994年2月California的San Diego的Catamaran Hotel的Internet Society的Symposium on Network and Distributed Systems Security上的“S/Key一次密码系统”论文中描述。此文件全部包括进来了。

使用这种S/Key系统，一个服务器在初始化阶段发送一批查询/响应对至用户。用户即打印出这些对的清单。响应都是一次密码。为访问系统，用户识别他自己及服务器发送一个查问。用户即在他的打印清单中查到合适响应，将它送回至服务器，并从他的清单中划去该对。建议双向地使用类似S/Key的系统。

在开始行程前的准备步PI中，服务器S通过一条保密的证实的通道CO发送一批查问/响应对至在用户家庭基地中的用户1，用户1为每项查问选择不同的证实向量并将证实向量/查问对送回至服务器S。用户1也打印出<查问，响应，证实向量>三项的全部清单。

当用户1走近一个不可靠终端6，发生下列消息流：

1.U→T：在第一证实步AI中，用户U请求终端T向服务器5证实它自己，例如敲入用户U和终端T的识别码并按下按钮(St1)。

2.T→S：终端T向服务器S运行一个单向证实协议。如这个成功，则服务器S知道它具有一条通向终端T的证实的通道S-T。此证实的通道S-T建立为第一证实的可靠连接c1(St2b)。服务器5因此信赖终端6。

然后利用第一证实的可靠连接c1完成第二证实步AII。

3.S→T：服务器S通过S-T向终端T发送一个早先在准备阶段PI中与用户U交换过的查问中的一个(St3)。

4.T→U：终端T向用户U显示该查问(St4)。

5.U→T：用户U在他的打印清单中寻找对应于该查问的响应，如它尚未被划掉，则将它敲入(St5)。

6.T→S：终端T通过S-T向服务器S发送响应(St6)。

7.S→T：如该响应有效，则服务器S查询与该查问对应的证实向量并通过S-T将它发送至终端T(St7)。

8.T→U：终端T向用户U显示收到的证实向量(St8)。

用户U可根据他的打印清单确认这是否为真正的对应于查问的证实向量。如果是，则他相信终端T是一台合法终端6。用户U然后从他的打印清单中划去对应于查问的项目。如查询失败，则用户U及服务器S仍应划去对应于该查问的项目并不再使用它。如前一样，终端T能与服务器S一起运行一个双向证实协议(步2)。此将挫败一个伪装为服务器S的入侵者。

下面是此方案的更动：

用户1可能不想随身携带一分打印清单。它可能也是一个安全上的弱点：如入侵者没法得到该打印清单，则他就能欺骗用户1和/或服务器5。在此情况下，他可用单个证实向量。可略去步3-6。步7中服务器S发送证实向量至终端T而不再检验。此简化对于有目标的入侵是不安全的，该有目标的入侵者通过例如与合法终端交互而获取特定用户的证实向量，设置一个伪终端6并等待这些用户走近。但此简化对抵制无目标的入侵是有用的，无目标的入侵者设置一个伪终端6而不考虑具体用户。如用户定期地改变他们的证实向量，则不可能发生大规模的有目标入侵。

原则上证实消息也可由服务器传送给用户。

如前面方案一样，第二种变动是允许用户1查问终端T要求后者每次显示证实向量的不同分量，即用户1规定作为查问的证实向量类型，因为这能帮助用户1记住查问内容。例如，让用户1记住一种颜色、一个音调和一个字要比记住三种颜色容易些。

用户1不必记住他的全部证实向量，而只需要能识别不正确证实向量。构作具有高平均信息量的证实向量的一种可能方案是按主题按排它们。例如，用户1可提出一个有关主题“汽车”的查问，并询问他的汽车的具体特点。一辆汽车有若干便于识别的特点。

该方案可归纳如下：

(a)执行第一证实步AI，其中终端6向服务器5证实它自己。第一证实成功后，在服务器5与终端6之间建立一条第一证实的可靠连接c1。

(b)在第二证实步AII期间，自服务器5接收一个查问并将它输出至用户1。

(c)然后自用户1接收一个响应并将它传送给服务器5。在第一发消息步MI期间，在终端6处收到一个可靠性输出消息(m_o)。

(d)在第二发消息步MII期间，将至少一部分可靠性输出消息(m_o)通过终端6的输出端3送给用户1。

上述方法决定于用户可用计算资源的水平。在大部分情况下可证实不可靠终端并在用户与某些远程服务器系统之间建立起可靠会晤以便交换及/或处理敏感信息。

熟悉技术的人知道可在不背离本发明实质和范围的情况下对所说明的具体实施例作出许多修改和更动。

所有说明和阐述过的实施例可全部或部分地组合。