使用密码学证书来定义实体组的系统和方法

摘要

一种用于发布密码学证书的系统和方法，包括在所述密码学证书上描述一个或多个前提条件。所述一个或多个前提条件包括一个或多个前提实体组中的成员资格。实体可以是参与方、资源或特权等。本发明还要求在所述密码学证书上指定一个或多个目标实体组。授权所述一个或多个前提实体组中的实体被添加作为另一个实体组中的成员的一个或多个前提组利益相关者签署所述密码学证书。所述密码学证书还由授权实体被添加作为所述一个或多个目标组的成员的一个或多个目标组利益相关者签署。示例前提条件涉及另一个实体组中的成员资格、物理特征、时间特征、地点特征或位置特征等等中的一个或多个。

说明书

技术领域

本发明总体上说涉及信息安全领域，具体地说涉及在密码学上保护系统。

背景技术

密码学是与信息安全及相关问题、尤其是身份的认证和信息的加密/解密有关的一门数学和计算机科学学科。在所谓“移动中的数据(data-in-movement)”应用中，密码学已被广泛应用于保护通信信道上通信参与方(例如客户端节点)之间的信息流。密码学还在所谓“处于静止的数据(data-at-rest)”应用中被应用于保护数据存储介质和数据库中的信息。

对称密码学和非对称密码学是使用具有一个或多个秘密参数的钥来进行认证以及信息的加密和解密的已知类别的算法。在对称密码学中，钥代表在通信参与方之间事先知晓的共享秘密。利用对称钥算法保护的系统使用相对简单的加密和解密计算。这种系统还需要在通信参与方之间选择、分发和维护共享秘密。为了避免密码学对手的安全性破坏和潜在发现，共享密钥必须被经常改变并且在分发期间和服务中保持安全，这使得对称钥密码学对于保护大的系统不实用且难以扩缩。

非对称密码学使用被称为公钥和私钥的一对数学上相关的钥，其避免了需要在通信参与方之间事先知晓共享密钥。尽管在计算上强度更大，但是非对称钥密码学克服了与对称钥密码学相关联的可扩缩性缺点。公钥基础设施(public key infrastructure，PKI)是使用非对称钥密码学来保护信息的已知系统。在这种系统中，在一个计算机站的一方使用随机创建的私钥来数字签署消息，而在另一个计算机站的一方使用从该私钥导出的分发的公钥来验证签名。通信参与方的公钥被分发在对应的身份证书中，其中所述身份证书亦称为公钥证书，是由一个或多个称为证书机构(CA)的被信任方发布的。这样，PKI对不拥有私钥的那些方保密消息，且身份证书允许具有相关联的公钥和身份证书的任何一方验证出该消息是用私钥创建的。因此，PKI使得通信方能够彼此认证并使用身份证书中的公钥信息来对消息进行加密和解密，从而建立消息机密性、完整性和认证而无需事先交换共享密钥。

每个身份证书包括数字签名，数字签名将公钥与由诸如名称、电子邮件地址等信息代表的身份绑定。通过数字签署该证书，CA证实了公钥属于该身份，即，该证书中记录的人、组织、服务器或其它实体。CA常常是发布数字证书供通信方使用的被信任的第三方。信任要求迫使CA以某种方式验证通信方的身份机密。假定如果通信方信任CA并且可验证它的签名，则它们还可验证出公钥确实属于标识在该证书中的任何人。

一些企业级PKI系统依靠证书链来建立一方的身份。在这种方案下，证书可由CA发布，该CA的合法性为此由更高级别的CA建立，依次类推。这产生了由几个CA(常常是多于一个的组织)组成的证书层级。CA可使用来自几个源的各种计算机和配套的互操作软件包来管理证书的发布。这使得标准对于PKI操作是关键的。IETF PKIX工作组涉及包括被称为X.509的证书标准在内的公钥证书格式的标准化。

使用密码学的各种点到点安全通信协议是已知的。这些协议的例子包括安全套接层(SSL)、传输层安全性(TLS)、安全壳(SSH)、IP安全性(IPsec)以及高保障因特网协议互操作性规范(HAIPIS)。SSL和TLS为在基于客户-服务器的网络内通信的应用提供密码学端点认证，以防止通信期间的窃听、篡改和消息伪造。SSH是允许在本地计算机和远程计算机之间建立安全信道的一组标准和相关联的网络协议。该协议使用公钥密码学来认证远程计算机。IPsec是为了实现认证、数据机密性和消息完整性而对所有IP包进行加密从而保护因特网协议(IP)通信的标准。HAiPE(高保障因特网协议加密机)是遵守国家安全局(NSA)的HAIPEIS的类型1加密装置。所使用的密码学是亦由NSA规定作为密码学现代化程序的一部分的套件A和套件B。HAIPEIS是基于Ipsec的，但具有附加的限制和增强。HAIPE通常是允许两个飞地(enclave)在不被信任的或较低分级的网络上交换数据的安全网关。在传统安全系统比如使用上述协议的安全系统中，基于CA对通信方身份的认证、常常通过防火墙在网络内的信道上传递被加密的消息。只要通信方的身份被认证，传统安全系统就允许通信方在信道上彼此通信。

应用常常基于用户所提供的凭证提供对资源的访问。通常，这些应用验证用户的角色并基于该角色提供对资源的访问。常常在金融或商业应用中使用角色来实施策略。例如，应用可以根据作出请求的用户是否为规定角色的成员而对正被处理的交易的大小施加限制。职员可以具有对处理小于规定阈值的交易的授权，主管可以具有较宽松的限制，副总裁可以具有更宽松的限制(或毫无限制)。还可以当应用需要多个批准来完成动作时使用基于角色的安全性。这种情形可以是购买系统，其中任何雇员都可生成购买请求，但是只有采购员可将该请求转换成可被发送给供应商的购买订单。

一种已知的基于角色的身份管理系统是由微软的.NET Framework提供的。在.Net Framework下，“负责人”代表用户的身份和角色，并且为用户的利益而作出动作。.Net Framework应用可基于负责人的身份或角色成员资格或者这二者作出授权决定。角色是关于安全性具有相同特权的指定组的负责人(如银行出纳员或管理员)。负责人可以是一个或多个角色中的成员。因此，应用可使用角色成员资格来确定负责人是否被授权执行所请求的动作。

另一种基于角色的系统是称为Eurekify Sage Enterprise RoleManager(ERM)的分析协作平台，其允许组织创建并管理在目标平台中部署的基于角色的特权模型。Sage ERM使得组织能够利用基于角色的访问控制(RBAC)的益处从商业角度管理它们的特权和策略并实现它们的标识管理和遵守目标。

目前，对象管理组OMG已起草了建议征求(OMG Document：bmi/2008-02-07)，以使基于角色的访问策略(RBAP)元模型定义基于角色的访问控制(RBAC)策略以及由RBAC运行时间环境施加的人员授权。该元模型意图成为支持建模工具与运行时间系统之间的RBAP模型的交换的独立于平台的模型(PIM)。

在另一种传统方法中，也称为伯克利实验室的劳伦斯伯克利国家实验室已开发出一种称为Akenti  的系统(http://dsd.lbl.gov/security/Akenti/homepage.html)。Akenti解决了在允许对由多个利益相关者控制的分布式网络中的资源进行受限访问时出现的问题。Akenti提供了一种表达和实施访问控制策略而不需要中央实施者和管理机构的方法。Akenti的架构意图在分布式网络环境中提供可扩缩的安全性服务。Akenti被设计成允许资源的每个利益相关者实施其独立于其它利益相关者的访问控制要求。Akenti允许每个利益相关者在任何时间改变其要求并且确信新要求将立即生效，并且在访问控制要求的表达中提供完整性和抗否认性(non-repudiability)的高保障性。

Akenti利用了数字签署的证书。证书可以声明身份(身份证书)，证实主体的属性(属性证书)，或者说明要满足的条件(使用条件证书)。Akenti中的证书能够承载用户身份认证以及资源使用要求和用户属性授权。Akenti中的“使用条件”涉及潜在用户在被允许使用资源之前必须通过产生对应的属性证书来满足的利益相关者的要求。该属性涉及人或其它可标识实体的特征。Akenti中的利益相关者可施加如下使用条件：即，用户必须属于特定组以便访问由该利益相关者控制的资源。因此，想要访问该资源的用户必须借助对应的属性证书来证明该特定组中的成员资格。属性证书声明用户或资源拥有特定使用条件所指定的属性。

然而，在Akenti的系统中，利益相关者与资源相关联。这些利益相关者基于要求用户满足规定属性的使用条件来控制资源访问。在Akenti下，只要用户满足资源利益相关者所规定的属性要求，资源访问就被允许。Akenti的系统的缺点之一是它不提供不是资源利益相关者的机构或者利益相关者的安全性要求。如果资源利益相关者不阻止用户访问资源，则这些非资源利益相关者不具有对用户访问资源的特权的控制。换句话说，Akenti中的资源利益相关者可允许用户进行资源访问，而非资源利益相关者可禁止用户进行该访问。

还知道一种称为Kerberos的计算机网络认证协议，其允许在非安全网络上通信的个体以安全的方式彼此证明它们的身份。由麻省理工学院(MIT)公布的一套免费软件实施了Kerberos协议，主要是使客户端-服务器模型提供相互认证，从而客户端和服务器二者验证彼此的身份。Kerberos协议消息被保护不被窃听和重放攻击。

Kerberos基于对称钥密码学并且需要称为钥分发中心(KDC)的被信任的第三方，其由两个逻辑上分开的部分组成：认证服务器(AS)和票授予服务器(TGS)。Kerberos以用于证明用户身份的“票”为基础工作。

KDC维护密钥的数据库；网络上的每个实体，无论客户端还是服务器，共享只有它自身和KDC知晓的密钥。对该钥的知晓用于证明实体的身份。为了两个实体之间的通信，KDC生成会话钥，该会话钥可被它们用来保护它们的交互。然而，使用Kerberos协议，必须通过联系KDS或中央服务器来验证“票”，从而为所实施的系统引入单个失效点。Kerberos系统的单个失效点特性对于具有间歇的或倾向于失败的通信能力的系统如嵌入式系统或自治系统是不利的。

因此，由于信息系统中的安全性需求变得更加复杂，需要基于先进且成熟的安全性参数来管理访问的安全系统和方法。

附图说明

图1示出了对根据读、写和读/写特权与存储资源交互的客户站参与方进行分组的示例概念图。

图2示出了示例组名称。

图3示出了将与实体相关联的前提条件绑定到目标组的组成员资格证书(GMC)。

图4示出了将与多个组相关联的一个或多个前提条件绑定到目标组的GMC。

图5是实施本发明的示例实施例的系统的框图。

图6示出了用于对参与方进行分组的示例GMC。

图7示出了用于对资源进行分组的示例GMC。

图8示出了用于对特权进行分组的示例GMC。

发明内容

简要地说，根据本发明的一方面，用于发布密码学证书的系统或方法在密码学证书上描述一个或多个前提条件。前提条件包括一个或多个前提实体组中的成员资格。一个或多个前提组利益相关者(或机构)签署该密码学证书，该前提组利益相关者(或机构)的批准是使用前提组中的成员资格来作决定所必需的。基于该批准作出的示例决定可涉及准许组中的成员资格、准许访问资源或进行动作。在一个实施例中，前提组的身份或名称与前提组利益相关者的身份相关联。例如，利益相关者的公钥可以是前提组的身份的一部分。在另一个实施例中，证书授予访问资源的特权。证书可由控制对特权或资源的访问的一个或多个利益相关者或机构签署。

此外，一种用于处理密码学证书的方法包括：接收密码学证书，该密码学证书描述包括至少一个前提实体组中的成员资格的至少一个前提条件；并确定该密码学证书是否由至少一个前提组利益相关者有效地签署，该至少一个前提组利益相关者的批准是使用前提组中的成员资格来作决定所必需的。

根据本发明的另一方面，一种用于发布密码学证书的系统和方法包括在密码学证书上描述一个或多个前提条件。该一个或多个前提条件包括一个或多个前提实体组中的成员资格。实体可以是参与方、资源或特权等。本发明还要求在密码学证书上指定一个或多个目标实体组。一个或多个前提组利益相关者或机构签署该密码学证书，从而授权该一个或多个前提组中的实体被添加作为另一个实体组中的成员。该密码学证书还由授权实体被添加作为该一个或多个目标组的成员的一个或多个目标组利益相关者或机构签署。示例前提条件涉及另一个实体组中的成员资格、物理特征、时间特征、地点特征或位置特征等等中的一个或多个。

根据本发明的一些更详细的特征，一个或多个前提组的名称包括：授权前提组成员在另一个组中的成员资格的一个或多个前提组利益相关者的名称；授权该一个或多个前提组中的成员资格的一个或多个前提组利益相关者的名称。该一个或多个前提组的名称还可包括一个或多个前提组消歧(disambiguating)标识符。在一个示例实施例中，该一个或多个前提组利益相关者的名称包括该一个或多个前提组利益相关者的公钥。该一个或多个前提组利益相关者的签名包括使用该利益相关者的私钥签署的证书的密码学签名。

类似地，该一个或多个目标组的名称包括：授权目标组实体在另一个组中的成员资格或被添加到另一组中的该一个或多个目标组利益相关者的名称；以及授权实体成为该一个或多个目标组的成员的一个或多个目标组利益相关者的名称。该一个或多个目标组利益相关者的名称包括该一个或多个目标组利益相关者的公钥，并且该一个或多个目标组利益相关者的签名包括使用该一个或多个目标组利益相关者的私钥签署的证书的密码学签名。

根据本发明的另一方面，一种密码学证书包括一个或多个前提组的名称、一个或多个目标组的名称、授权前提组中的实体成为另一个组中的实体的前提组利益相关者的一个或多个密码学签名、以及授权将实体名称添加到目标组的目标组利益相关者的一个或多个密码学签名。

根据本发明的又一方面，一种处理密码学证书的系统包括多个实体。该系统还包括一个或多个组成员资格证书。每个组成员资格证书包括一个或多个前提组的名称、一个或多个目标组的名称、以及担当一个或多个前提组利益相关者和目标组利益相关者的一个或多个利益相关者的名称。组成员资格证书如果由授权前提组中的实体成为另一个组中的实体的一个或多个前提组利益相关者在密码学上签署则是有效的。该组成员资格证书还由授权将实体添加到该一个或多个目标组的一个或多个目标组利益相关者在密码学上签署。节点从实体接收密码学证书。该节点检查有效组成员资格证书，如果接收到的密码学证书将该实体有效地绑定到在该有效组成员资格证书中指定的前提组，则该节点将该实体添加到在该有效组成员资格证书中指定的目标组。

具体实施方式

本发明涉及应用密码学证书来定义实体组的系统或方法。被分组的实体可以在性质上不同，因为不要求它们具有超出在密码学证书中被指定抑或被标识的能力的任何特性。示例实体包括物理实体和逻辑实体，如人、处理单元、节点、客户站、文件系统、计算机硬件、计算机程序的执行实例、读或写访问特权、操作系统特权、存储资源、计算资源和/或通信资源或者其它组。

图1示出了对根据一个或多个特权与存储资源交互的客户站参与方进行分组的示例概念图。参与方包括能够保持秘密、并且能够例如使用在ANSI X9.63，IEEE 1363-2000和ISO/IEC 15946-3中被标准化的相互认证协议如Elliptic Curve MQV(ECMQV)协议向其它参与方证明知晓该秘密而不泄露该秘密的实体。在一个实施例中，参与方可以用硬件或软件实现，并且可使用密码学公钥来标识或指定。网页客户端、SQL客户端、文件服务器、以太网卡、分区、应用、节点、系统、计算机或装置等等可以是参与方。

在一个示例实施例中，参与方是能够与资源直接交互并且通过资源与其它参与方间接交互的实体。资源包括非参与方实体，包括但不限于被执行、使用、利用、创建或保护的任何硬件、固件、数据和/或软件。资源不是参与方。可根据本发明在密码学上分组到一起的示例资源包括存储在文件系统中的文件、网络堆栈中的端口、计算机中的随机存取存储器等。其它示例资源包括任何可使用的处理能力、链路、通信信道、I/O总线、存储器总线、硬件或软件以及套接字库(socket library)、协议堆栈、设备驱动器等。资源还可以包括根据本发明实施任何适当的非对称和/或对称钥密码学算法和方法的加密/解密单元。

在本发明的一个示例实施例中，资源是可以由具有必要特权的那些参与方作用于或消耗的实体。特权包括一个或多个参与方与一个或多个资源之间的可允许的交互。例如与文件资源相关联的特权可以包括从该文件资源读取和/或向该文件资源写入的特权。另一个例子是使用随机存取存储器(RAM)运行程序的特权。

如上所述，在一个示例实施例中，用密码学公钥指定抑或标识参与方，因为它们能够保持秘密并且能够向其它参与方证明知晓该秘密而不会泄露该秘密。然而，使用具有足以标识资源或特权的细节的、对资源或特权的描述来指定、指示抑或标识资源和特权。

一般来说，本发明涉及使用和创建作为确定一个或多个指定实体(例如参与方、资源或特权)是否为组成员的手段的一个或多个证书的系统或方法。本发明的证书可以在不联系中央服务器的情况下被验证。可选地，实施本发明的系统或方法可以进一步包括允许附加的可标识信息与实体或组相关联或绑定到该实体或组的证书。因此，在本发明中，称为组成员资格证书(GMC)的一个或多个证书定义一个或多个实体是否为一个或多个目标组的成员。可以在GMC中指定个体实体以及一个或多个实体组具有目标组中的成员资格。GMC描述一个或多个组成员资格前提条件(GMPC)以及目标组的名称。示例GMPC可能需要：在GMPC被评估可满足性时依靠GMC的一方可验证的条件得以满足的证据，包括：另一指定组中的成员资格；是具有特定名称的实体的证据；具有物理(例如机械、光学、热学、几何等)、非物理、时间或非时间特征的证据，包括与状态、高度、宽度、几何、时间、地方、位置、地点、幅度、相位、频率、电流、电压、电阻等有关的特征。示例证据包括当前地点与规定地点匹配的证据、生物特征匹配的证据、当前日期和时间与规定日期或时间匹配的证据等。

例如，多个实体可以是指定前提组的一部分，如果满足必要的成员资格前提条件，则该指定前提组本身可成为目标组的成员。这样，每个GMC阐明指定目标组的前提成员资格条件。根据所定义的满足标准满足该一个或多个前提条件则向实体授予目标组中的成员资格。在本发明的各种实施例中，目标组中的成员资格的前提满足标准可涉及以下满足中的任何一个：每个前提的满足；前提之一的满足；由布尔代数方程描述的前提的某个组合的满足，其中该方程的算符包括与运算(and)和或运算(or)；总共n个前提中的某个数目m的满足。

如上所述，组成员资格前提条件的满足是向实体授予目标组中的成员资格所必需的。如下面进一步描述的那样，具有必要权力的利益相关者签署GMC以将该一个或多个GMPC绑定到目标组，从而允许满足该一个或多个前提条件的一个或多个实体成为指定目标组的成员。

这样，本发明通过要求组名称包含附加信息而扩展了用于对实体进行分组的现有的基于证书的方法。在一个示例实施例中，组名称直接或间接包括如下机构的公钥：该机构的批准是使用该组中的成员资格作为决定因素所必需的。这意味着：仅当决定-使用机构的集合是等同的时，两个组才具有相同的名称。在实施本发明的系统中，组名称可以包括其它信息并且具有对等同性的附加约束，只要本发明的这些信息和约束被包括并被应用。因此，每个GMC将一个或多个前提条件绑定到目标组名称。图2中展示了示例组名称的模板。

在本发明的一个示例实施例中，实施两种类型的GMC。图3示出了将与实体相关联的前提条件绑定到目标组的GMC，图4示出了将其它组中成员资格的一个或多个前提条件绑定到目标组的GMC。根据图3的示例GMC，组成员资格前提条件包括具有特定名称例如John Doe的实体属于目标组的证据，其中该实体与目标组的绑定由适当利益相关者在GMC上的签名来证明。根据图4的GMC，组成员资格前提条件包括另一个指定前提组中的成员资格的证据，再一次，其中名称前提组与目标组的绑定由适当利益相关者在GMC上的签名来证明。

因此，GMC的有效性由有效密码学签名的存在性决定，其中必要的利益相关者在该GMC上签署所述有效密码学签名，从而将组成员资格前提条件绑定到一个或多个目标组中的成员资格。在该一个或多个目标组的名称以及在GMPC中指定的组或个体的名称中标识利益相关者。根据本发明的一个实施例，称为“到该组”利益相关者的一类利益相关者授予准许进入目标组的许可。“到该组”利益相关者在证书上的签名是扩展属于目标组的实体的集合所必需的。在组名称中标识称为“来自该组”利益相关者的另一类利益相关者。这些组名称直接或间接包括如下机构的公钥：该机构的批准是使用该组中的成员资格作为决定因素所必需的。例如，“来自该组”利益相关者授予一个组中的实体成为另一个组的成员的许可、或者将附加信息如特权绑定到该组中的成员资格的证据的许可。“来自该组”利益相关者在GMC上的签名是授权使用一个组中的成员资格的证据作为目标组中的成员资格的前提所必需的。在将信息绑定到该组的其它证书(比如授予需要该组中的成员资格作为前提的特权的证书)上，“来自该组”签名同样是必需的。

无论前提组还是目标组，像在GMC上出现的组的名称由几个部分组成。第一，组名称包括足以确定每个“到该组”利益相关者的密码学公钥的信息。第二，组名称包括足以确定每个“来自该组”利益相关者的密码学公钥的信息。对利益相关者的集合进行描述的信息的一种示例形式是利益相关者公钥的明晰的列表。可替选地，可以使用分辨唯一身份证书的标识符的集合，所述唯一身份证书将这些标识符绑定到公钥。可选地，组的名称包括一个或多个消歧标识符，所述消歧标识符用于将该组与具有“到该组”和“来自该组”利益相关者的相同集合的其它组相区别。示例消歧标识符包括文本常用名称、数字图像；数字声音、任何前面列出的标识符的密码学哈希、或者前面列出的标识符的任意组合。

图3中所示的GMC包括要求实体证明它具有给定名称的单个GMPC。此外，GMC包含被该证书授予成员资格的单个目标组的名称。目标组名称包括消歧标识符以及任意数目的由变量m表示的“到该组”利益相关者标识符和由变量n表示的“来自该组”利益相关者标识符。为了对前提实体名称与目标组名称的绑定有效，图3的GMC还包含目标组的“到该组”利益相关者1-n的签名。如上所述，图3的目标组的“到该组”利益相关者1-n允许目标组中的成员资格被扩展为包括在图3的GMC中规定的前提实体名称。由于图3的GMC不要求一组中的成员资格的证据作为另一个组中的成员资格的前提，所以“来自该组”利益相关者的签名不是GMC的有效性所要求的。

图4中所示的GMC包含任意数目的GMPC，包括由变量k表示的任何数目的前提组名称，每个都要求实体证明对应前提组中的成员资格以便得到目标组中的成员资格。该GMC被设计成当组成员资格被用作GMC的前提条件时证明GMC有效性的签名要求。在图4的GMC中作为前提条件被列出其成员资格的每个组的名称具有任意数目的由变量m表示的“到该组”利益相关者和由变量n表示的“来自该组”利益相关者。这些变量在前提组的名称范围之内；不同的m值和n值可被用于GMC中的每个前提组名称。为了对前提名称与目标组名称的绑定有效，图4的GMC包含两种类型的利益相关者的签名。图4的GMC包含作为前提条件被列出其成员资格的组的“来自该组”利益相关者的签名。在图4的GMC上同样必需的是图4的目标组的“到该组”利益相关者1-n的签名，其允许目标组中的成员资格被扩展为包括可证明在图4的GMC中规定的前提组中的成员资格的实体。

实施本发明的系统通过检查必不可少地包括关于组成员资格的报表的每个GMC来了解所述组中的成员资格。该系统首先考虑为空的组。然后该系统通过检查GMC来了解足以使实体成为组成员的条件。在本发明的一个实施例中，当包含具有同一目标组的不同GMPC的多个GMC为该系统所知时，来自任一个证书的前提的满足足以使实体获得目标组中的成员资格。因此，不能访问每个发布的GMC的系统失误于拒绝接纳实体的组成员资格，且将又一些GMC引入或添加到该系统中可增加而不是减少具有给定组中的成员资格的实体的数目。这样，可以在不联系中央服务器的情况下验证GMC。因此，与Kerberos系统不同，本发明不引入单个失效点。

两个组名称在如下情况下涉及同一组：第一组名称中的“到该组”利益相关者和“来自该组”利益相关者的集合与第二组名称中的“到该组”利益相关者和“来自该组”利益相关者相同，并且第一组名称中的消歧标识符与第二组名称中的消歧标识符相同。

本发明可在几种环境下应用GMC。本发明的一个示例应用存在于对参与方、资源和/或特权之间的允许关系进行描述的安全性策略(SP)的创建、评估和实施中。参与方、资源和/或特权之间的关系由对应的利益相关者授权，并由根据特权(如果有的话)调解参与方对资源的访问的一个或多个保卫(guard)来实施。

图5示出了使用本发明实施强制访问控制SP的示例系统。该系统是使用一个或多个节点实施的。节点通常包括处理单元(未示出)，比如一个或多个CPU、微处理器、嵌入式控制器、数字信号处理器等，用于执行代码、程序和/或应用。每个节点可以是有线或无线节点、客户端、服务器、路由器、集线器、接入点、或者使用资源彼此通信的任何其它已知装置中的任何一个或组合。

在一个示例实施例中，图5的节点包含在分离内核(SK)的控制下在硬件上运行的分区、以及通过有线或无线网络连接到节点的任意数目的客户端。根据本发明的示例实施例，节点在SK的控制下运行。在由国家安全局(NSA)公布的标题为“U.S.Government Protection Profile forSeparation Kernels in Environment Requiring High Robustness”(SKPP)的保护简档(PP)中描述了可在本发明中使用的一个示例类的SK，通过引用将该保护简档整体合并于此。然而，应当指出，本发明可用在使用任何类型的计算模型的任何系统或网络中，所述计算模型比如具有或不具有SK的客户端-服务器模式、实时和非实时分布式网络、中央网络、对等网络、嵌入式系统等。

根据本发明的示例实施例，如图5中所示的至少一个节点在对应的SK的控制下运行。每个SK向其掌管的软件程序提供既防篡改又不可窃听的高保障性的分区和信息流控制特性。SK包括硬件和/或软件机构，其主要功能是创建节点的多个分区。分区是由SK根据实施一个或多个SP的全部或部分的配置数据、从该SK控制下的资源实施的提取。如进一步详细描述的那样，本发明使用由利益相关者签署的SP来实施系统的安全性参数。每个SK分区包括至少一个主体和/或资源。主体是执行功能的节点的控制范围内的任何实体，例如节点间通信功能。主体可以单独地或同时地使用资源，以允许主体访问资源内的信息。本发明的系统中的参与方可在通过一个或多个通信信道彼此耦合的不同节点或同一节点上的一个或多个SK所定义的主体或分区或节点中实现。

在SK的控制下工作的节点保护在该节点上的分区中运行的主体和资源不受违反SP的信息流影响。该SK将资源分成基于策略的等价类别，并根据SK的配置数据控制分配给分区的资源和主体之间的信息流。在一个实施例中，节点包括运行单个SK的任何硬件资源，其中该SK根据SK的配置数据控制该节点的多个分区之间和/或之内的信息流。具体来说，每个节点运行其自己的SK，该SK保护该节点独有的资源。优选地，该SK配置数据规格是明确的，并且允许检查人员(可能利用工具支持)确定该策略以及该策略所规定的每个资源分配规则是否允许任何给定的潜在连接。

本发明使用各种工具来创建或获得实施期望SP所需的数字签署的批准以及公钥和私钥。每个节点具有相关联的节点身份(NI)，其包括一对公钥和私钥。节点上的每个分区还具有对应的分区身份(PI)。每个分区的PI包括由在其上创建分区的节点的NI的公钥和涉及节点上的分区的唯一索引组成的一对值。

在图5的系统中，在被信任用以保护分区中的文件系统的资源的分区中实施保卫。该保卫必须确保没有担当参与方的客户端获得对文件系统分区的访问权，除非该访问符合SP。只有符合SP的那些客户端才能访问文件系统分区。在一个实施例中，文件系统分区试图满足每个呈现给它们的请求，且不参与实施SP。代替之，保护一个客户端的数据不受另一个客户端影响的任何策略由该保卫实施。网络将客户端连接到保卫分区，该保卫分区担当文件系统分区的参考监视器。客户端可运行分离内核操作系统或传统操作系统，如微软Windows或Linux。在另一个实施例中，资源利益相关者授权也可能是访问文件系统所需要的。

保卫可以用硬件或软件实现。示例保卫包括分区通信系统(PCS)和虚拟私有网络(VPN)实施。在2005年10月5日提交的并转让给本发明受让人的第11/125099号美国专利申请中公开了PCS，通过引用将该申请整体合并于此。PCS支持多级安全(MLS)系统，其实现了可构成许多更高级技术的基础的安全分布式通信。因此，PCS可被用作实施值得信任的分布式系统的构建块。PCS是在一个或多个信道上与另一个节点或客户端传递数据的节点内的通信控制器。PCT支持由SK管理的分区之间的数据流策略。PCS部署硬件和/或软件的组合，其在对应SK的控制下可运行或不可运行的节点/客户端之间提供通信。这样，PCS能够创建如下多域网络：所述多域网络的安全性不依赖于物理硬件分离和保护或任何具体网络硬件。

在本发明中，图5中所示的保卫可保护或控制许多种资源，包括以太网开关、网络路由器、操作系统内核、显示监视器、键盘、鼠标、投影仪、有线机顶盒、桌上计算机、膝上计算机、服务器计算机、卫星、传感器、射手、无人驾驶车辆、航电装置、个人视频和/或音频装置、电话、蜂窝电话、电话交换机、电视广播装置、电视机、数据库服务器、跨域保卫、分离内核、文件服务器、视频和/或音频服务器、智能卡或PDA。

在本发明中使用GMC来对服从SP的任何类型的实体进行分组。例如，GMC可被用来创建参与方组，其然后可与特权相关联。与将每个个体参与方与期望特权相关联的传统的基于角色的访问控制系统不同，根据本发明的分组允许更简明、更可维护的SP说明。由于存在描述组名称的分开的“到该组”和“来自该组”利益相关者的集合，应用本发明的GMC提供比传统RBAC更强的表达能力。每当被信任用以准许实体进入一组的利益相关者的集合不同于被信任用以将特权分配给该组或者使用该组中的成员资格来获得对另一个组的访问权的利益相关者的集合时，利益相关者的这种分开是所期望的。例如，质量控制检查员可被信任用以准许无线电进入代表符合标准的无线电的组，但是单独的利益相关者(如FCC)可负责准许该无线电进入使得该无线电能够在特定频率上传送的组。

在另一个实施例中，GMC可被用于通过创建资源组来实施SP。代替授予指定特定资源的特权，本发明的此实施例授予由可应用的GMC定义的资源组中的每个资源上的特权。例如，当资源是计算机文件时，可以使那些文件成为由对应GMC定义的组的成员。当新的GMC被发布时，由该组定义的文件的集合可增长。在本发明的又一个实施例中，可将特权分组，并且可将给定资源上的特权组中的每个特权授予参与方。此外，可将GMC的任何组合组合到单个系统中，从而允许参与方、资源和/或特权根据需要来被分组。

因此，本发明的GMC可用于实施期望的SP。在向网络上的保卫证明它们满足一些前提条件比如具有特定名称之后，GMC可由客户端呈现给该保卫。该证明可通过结合X.509身份证书的呈现运行密码认证和钥建立协议如ECMQV来完成。希望利用GMC实施用于多级安全性的Bell-LaPadula模型的利益相关者可以将客户端作为参与方来处理，并根据使用该客户端的人的安全性审核级别将它们分组。此外，可以将文件系统分区作为资源来处理并根据它们的分类级别将它们分组。使用客户端的人的安全性审核级别以外的因素也可有助于确定应该授权客户端访问给定的文件系统分区。本发明允许决定的这些组成部分被分别表达，并且允许确定委派给不同方的每个组成部分的满足而不丧失对作为结果的授权决定的控制。

作为例子，控制对秘密级敏感文件系统分区的访问的利益相关者可以决定以下条件对于读访问那些分区是必需的：使用该客户端的人持有该秘密级或更高级别的安全性审核资格；客户端位于安全设施之内；客户端正在运行安全操作系统。此外，该秘密级利益相关者知道能够确定任何给定客户端的这些因素中的每一个的个体或组织，并希望将每个条件的验证单独地委派给知道的个体或组织。然而，该利益相关者不希望将在其它环境下使用这些决定的能力委派给执行不同验证的那些个体或组织。

使用本发明，秘密级利益相关者指定四个组。第一指定组描述经秘密审核的客户端计算机，并且包括作为该组的唯一“到该组”利益相关者和唯一“来自该组”利益相关者的秘密级利益相关者。这确保了秘密级利益相关者是能够发布向该组提供特权的GMC的唯一实体，并且确保秘密级利益相关者是能够发布准许客户端进入该组的GMC的唯一机构。

接下来，秘密级利益相关者针对访问对秘密敏感的文件系统所必须满足的每个前提条件指定一个附加组。这些附加组的名称列出被信任用以验证该条件的组织作为“到该组”利益相关者，并列出秘密级利益相关者作为“来自该组”利益相关者。这确保了被委派的利益相关者是能够准许客户端进入代表条件验证的组的唯一实体，并且确保了秘密级利益相关者是能够使用作为前提的那些条件验证组来发布证书的唯一利益相关者。这些组代表目标组中的成员资格的前提条件。

最后，如图6中所示，秘密级利益相关者签署GMC，从而允许作为代表前提条件验证的三个组的成员的客户端成为秘密级客户端组的成员。因为秘密级利益相关者是这些前提组的“来自该组”利益相关者以及该目标组的“到该组”利益相关者，所以该GMC是有效的并且不需要另外的签名。当某人希望新的客户端计算机有权访问需要该秘密级客户端组中的成员资格的信息时，此人可与前提条件组的名称中的秘密级利益相关者所指定的“到该组”利益相关者通信，并与那些利益相关者一起工作以使它们确信所述条件已被满足。一旦那些条件验证利益相关者得以确信，它们就可发布如下GMC：所述GMC列出客户端计算机作为前提实体并列出代表它们验证的条件的组作为目标组。因为条件验证利益相关者是该组名称中列出的“到该角色”机构，并且不涉及其它组，所以GMC不需要另外的签名。因此，新的客户端可成为该秘密级客户端组的成员而不涉及该秘密级利益相关者；只有与该利益相关者被委派的条件验证利益相关者的通信是必需的。

本发明可用于以如下方式进一步增强图5中的保卫：根据该保卫所保护的资源的安全性敏感性级别对这些资源进行分组。例如，如果两个文件系统分区即分区1和分区2都具有秘密级敏感性，则秘密级利益相关者可创建包含这两个资源分区的秘密级敏感性组。如图7中所示，该组可使用对资源进行分组的GMC来创建。具有图7中的证书的保卫将允许被授予那些证书的目标组上的参与方的特权适用于分区1和分区2二者。

对图5的系统的进一步改进使用GMC来将特权组合到组中。例如，当单个名称传递几个特权时，分立的特权可以是读和写，它们成为指定的组读访问特权和写访问特权。可使用图8的GMC来准许称为“完全控制”的实体进入这两个组。当保卫拥有该GMC时，它可将“完全控制”实体作为拥有读和写特权来处理，因为它们在读访问特权组和写访问特权组中拥有成员资格。

根据前述内容，在一个示例实施例中，组名称直接或间接地关联于一个或多个利益相关者的身份，例如，其批准是使用该组中的成员资格来作决定所必需的那些利益相关者的公钥，所作的决定例如是允许访问资源、执行功能或授予另一个组中的成员资格。利益相关者还可签署密码学证书，以授权前提组中的实体被添加作为一个或多个目标组中的成员。此外，一种用于处理密码学证书的方法接收对包括至少一个前提实体组中的成员资格的至少一个前提条件进行描述的密码学证书，并确定该密码学证书是否由其批准是使用该前提组中的成员资格来作决定所必需的至少一个前提组利益相关者有效地签署。

在一个示例实施例中，SK上的每个资源还可由必须批准对那些资源的访问的一个或多个资源利益相关者来控制。为了批准，所述一个或多个资源利益相关者签署对应的密码学授权许可(CAP)，这充分地公开于2007年4月9日提交的标题为“SYSTEM AND METHOD FORACCESSING INFORMATION RESOURCES USINGCRYPTOGRAPHIC AUTHORIZATION PERMITS”的第11/783,359号美国专利申请中，该申请通过引用整体合并于此。在一个实施例中，CAP由一个或多个资源利益相关者签署，GMC由一个或多个“到该组”和“来自该组”利益相关者使用它们各自的私钥签署。然而，只有所述一个或多个资源利益相关者的批准不足以使参与方访问资源。相反，一个或多个“来自该组”利益相关者亦独立地批准前提组成员访问该资源。这样，可以组合GMC和CAP的概念以基于前提组成员资格条件来提供特权或对资源的访问。其实，CAP和GMC可在相同或不同的证书上实施。

在一个示例实施例中，PCS根据两个安全性策略调解经由信道的交互：信道连接性策略和资源管理策略。信道连接性策略定义可允许的连接。实质上，该策略是定义所有访问特权的访问特权控制策略。资源管理策略描述用于实施信道的共享通信资源如何在信道之间分配以及通过使用共享资源而使信道可(协作地或非有意地)彼此影响的程度。

信道包括从源分区到存在于相同或不同节点上的一个或多个目的地分区的连接，包括任何物理或逻辑部件，用于入站或出站信息的单向流动。读访问特权允许被授权的分区从信道读消息，写访问特权允许被授权的分区向信道写消息。信道被用于在节点之间实施点到点、点到多点或多点到多点通信。每个信道具有用于所传递的消息的相关联的对称加密/解密钥。该对称钥是当信道访问特权被授权时用于在信道上传递消息的各方之间的共享密钥。该共享密钥根据所定义的安全性参数经受周期性地改变。

网络中的各单独节点的分区之间的所有通信都是通过在信道上传递消息(即，读或写消息)来完成的。使用GMC，一个或多个分区可被分组为待被授予对一个或一组信道的写访问特权、读访问特权或这两者的参与方。此外，写访问特权、读访问特权或这两者可使用GMC来被分组以被应用于各个参与方或信道或者参与方或信道的组。

可替选地，由一个或多个资源利益相关者发布的经签署的CAP授权分区对信道的读、写或读和写访问特权，并且由一个或多个“到该组”和“来自该组”利益相关者发布的经签署的GMC授权参与方访问资源或资源组，如果这些参与方满足规定的前提组成员资格条件的话。每个信道具有一个或多个相关联的资源利益相关者，所述相关联的利益相关者负责授予从该信道读消息或向该信道写消息所必需的访问特权。每个信道的身份包括控制对该信道的读和写特权的资源利益相关者的公钥以及在资源利益相关者的控制下的唯一信道索引。以别的方式被相同地索引、但是其身份具有不同的控制资源利益相关者的信道被认为是不同的信道。

图5中所示的系统的示例实施例使用两种类型的分区：控制分区和应用分区(也称为用户分区)。分区之间的所有节点内交互由节点的控制分区结合分离内核来控制。控制分区只与分离内核、其自己的节点上的其它分区和其它节点上的控制分区通信。每个节点具有至少一个控制分区，尽管在特定实施中，分区的功能可以使用多个分区来实施。控制分区安全地存储(以秘密且不可遗忘的方式存储)安全性数据值，包括节点的私钥和公钥、其它节点公钥以及实施系统安全性的CAP和GMC。应用分区通过由本地SK根据对应的配置数据以及CAP和GMC的授权许可参数授权的手段、与包括控制分区的同一节点上的其它分区通信。控制分区提供一种机制，当接收到由各自的利益相关者签署的CAP或GMC时，可以通过该机制改变SK的安全性策略的安全性参数。

在传递消息之前，PCS确保参与通信的节点具有授权该通信的一致配置数据。对于所有的共享资源，如访问硬件/软件、密码学硬件/软件等，PCS初始化并测试这些资源。对于每个信道，发送信道端点(CE)分区与每个接收CE进行相互认证，并建立共享密钥。该相互认证是密码学上的，并且与授予对信道的访问特权相关联。该认证由验证通信主体的身份以及它们的访问特权组成。主体身份的验证可以通过运行ECMQV协议认证包含节点和/或分区的身份来进行。该协议的成功运行将导致共享密钥仅为进行该认证的CE所知。验证在信道上通信的特权需要验证包含在授权某些主体访问该信道的CAP或GMC中的签名。必须进行进一步的验证以确保那些签名对应于被标识为负责保护该信道身份中的信道的利益相关者。最后，CE将在CAP和GMC中指定的主体与在前一步骤中验证其身份的主体进行匹配。如果所有的CE都成功执行上述步骤。共享密钥被用于对在信道上传递的消息进行加密和解密。

一旦完成了共享资源和信道的初始化，就通知CP所述信道已为消息的传递做好准备。对信道的访问需要负责根据所颁布的SP发布CAP或GMC的一个或多个利益相关者的独立许可。借助CAP和/或GMC对信道的访问可能需要多个机构的独立授权。如上所述，本发明使用由实施安全性参数的机构签署的策略。在示例实施例中，所签署的策略包括CAP和GMC的列表以及对应利益相关者的公钥的列表。该策略由负责保护信道的一个或多个利益相关者以及负责控制组成员资格的一个或多个利益相关者签署。GMC和CAP的组合允许在任何信息系统中高度可扩缩地实施安全性策略；GMC允许参与方被分组成等价类，CAP可使用该等价类作为前提来代替参与方身份，从而避免重复。此外，借助GMC的传递性绑定以如下方式提供进一步的可扩缩性：允许组按照其它组的“与”和“或”组合来被定义。这与角色(或属性)必须直接绑定到参与方的其它方案形成对比。

根据前述内容应理解，实体分组的授权是基于由一个或多个利益相关者发布的公钥的，并且每个GMC包括由这些利益相关者数字签署的密码学证书。实体分组需要对授权这种实体分组的前提条件进行控制的一个或多个利益相关者的密码学签名。

本发明在对系统节点数目无预设限制的情况下实施安全性策略。本发明不要求对识别出的安全性域的数目或在这些域上实施的信息流策略有任何限制。因此，该系统的安全性策略可随着需要的出现而动态地改变，而无需改变所部署的软件。此外，由本发明创建的系统不依赖于对第三方(包括机构或利益相关者)的访问来执行验证。验证可由处理GMC以及利益相关者的公钥的任何实体执行。当任何节点丢失或出故障时，这些系统在性能或安全性很少或没有劣化的情况下继续工作。本发明可用于军事应用、分类级别、须知限制、银行业务、针对单独账户使用单独分区的结算中心。