專利名稱:訪問控制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于控制對信息系統(tǒng)的訪問的裝置�����、系統(tǒng)和方法����。更具體地,本發(fā)明的多個(gè)方面涉及使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制的控制裝置���、系統(tǒng)和方法��。
背景技術(shù):
和現(xiàn)有技術(shù)射頻識別(RFID)是ー門用于在供應(yīng)鏈內(nèi)對單個(gè)產(chǎn)ロ進(jìn)行標(biāo)記和追蹤的新興技術(shù)����。許多產(chǎn)品(或資產(chǎn)���,如包括箱體�、集裝架和防滾架等的運(yùn)輸項(xiàng)目)中的每ー個(gè)均可被賦予存儲在RFID標(biāo)簽內(nèi)的并可由其他方讀取的唯一序列化標(biāo)識符����。每個(gè)機(jī)構(gòu)都可采集此類產(chǎn)品信息并將其存儲在自己的數(shù)據(jù)服務(wù)(諸如“電子產(chǎn)品代碼信息服務(wù)”(EPCIS))中,并且 可使用此信息來優(yōu)化其內(nèi)部操作�����。此類產(chǎn)品信息的采集也被譽(yù)為能夠使用來自多個(gè)機(jī)構(gòu)的數(shù)據(jù)的ー類新的應(yīng)用�。實(shí)例包括端對端供應(yīng)路徑的優(yōu)化,以及對產(chǎn)品的完整“譜系”的驗(yàn)證(即����,驗(yàn)證是否已從正確的或被認(rèn)可的來源中接收該產(chǎn)品)。為了從序列化產(chǎn)品數(shù)據(jù)中獲得此種益處���,每個(gè)機(jī)構(gòu)必須愿意向挑選出來的ー組其他機(jī)構(gòu)公開該數(shù)據(jù)����。由于數(shù)據(jù)可能泄露有關(guān)機(jī)構(gòu)運(yùn)作的機(jī)密信息���,所以通常必須嚴(yán)格控制數(shù)據(jù)僅向被信任的并且對該數(shù)據(jù)具有合法的約定用途的那些方發(fā)布���。挑戰(zhàn)在于一個(gè)機(jī)構(gòu)如何對外部機(jī)構(gòu)建立對自己的數(shù)據(jù)的此類訪問權(quán)限����。因?yàn)檫m當(dāng)?shù)脑L問控制可能需要既是充分細(xì)化(fine-grained)的又是動(dòng)態(tài)的����,因而這是特別嚴(yán)重的問題。訪問控制可能需要是充分細(xì)化的����,這是因?yàn)閱蝹€(gè)產(chǎn)品可能會沿不同路徑流經(jīng)端對端供應(yīng)鏈。這樣���,當(dāng)經(jīng)銷商可能希望與特定零售商共享特定產(chǎn)品的信息時(shí)�,他可能并不希望與其共享已發(fā)送到不同零售商的類似產(chǎn)品的信息����。訪問控制可能需要是動(dòng)態(tài)的,這是因?yàn)橥ǔ2豢赡茉诠?yīng)鏈運(yùn)作之前就限定此類訪問權(quán)限�。例如,經(jīng)銷商可能事先不知道他將收到哪種序列化產(chǎn)品,因而也不知道它需要從制造商處訪問哪種數(shù)據(jù)�����。此外�����,經(jīng)銷商可能不知道他會將哪種產(chǎn)品分銷給各個(gè)零售商����,因而也不知道必須與這些零售商共享哪種信息�。
現(xiàn)有技術(shù)較早的國際申請WO 2009/083710描述了用于自動(dòng)建立對序列化信息系統(tǒng)的訪問權(quán)限的技木。根據(jù)這ー文獻(xiàn)����,RFID標(biāo)簽的存儲器可用于存儲參引(reference),接收系統(tǒng)可用該參引自動(dòng)申請對與貼有RFID標(biāo)簽的項(xiàng)目相關(guān)的序列化數(shù)據(jù)的訪問權(quán)限�����。這種參引稱為“邀請函(invitation)”�����。一旦接收到貼有標(biāo)簽的項(xiàng)目,接收系統(tǒng)可使用該邀請函來聯(lián)系令牌發(fā)放系統(tǒng)�。在經(jīng)過若干測試之后(可能包括認(rèn)證接收系統(tǒng)的身份、確認(rèn)該項(xiàng)目已被運(yùn)送給接收者�、以及認(rèn)證包含該邀請函的RFID標(biāo)簽的有效性),可向接收系統(tǒng)發(fā)放令牌�,該令牌然后可用于訪問多個(gè)序列化信息系統(tǒng)。在前段中描述的技術(shù)的ー個(gè)缺點(diǎn)在于安全性取決于檢查該項(xiàng)目已派送給接收者�,或者取決于對該RFID標(biāo)簽本身的認(rèn)證檢查。在任一種情況之下����,都必須聯(lián)系發(fā)放系統(tǒng)本身,以驗(yàn)證接收者的身份和其他憑證并且生成令牌����。這可能是ー個(gè)相當(dāng)密集的過程,這些驗(yàn)證檢查和簽名的令牌的創(chuàng)建很可能使令牌發(fā)放服務(wù)器崩潰��。能夠認(rèn)證的標(biāo)簽的使用會提高RFID供應(yīng)鏈操作的成本���,并且由于所有制造商需要使用符合同一認(rèn)證標(biāo)準(zhǔn)的安全標(biāo)簽�,因此可能會導(dǎo)致諸多困難����。由本發(fā)明人于2008年9月12日提交的未決歐洲申請(申請?zhí)朎P 08253008����,之后公布為EP 2166493)討論了用于使供應(yīng)鏈安全的代理重新加密技術(shù)的使用���。在此案中��,可使用重新加密來轉(zhuǎn)換標(biāo)簽上的用于驗(yàn)證該標(biāo)簽已傳輸經(jīng)過經(jīng)授權(quán)的供應(yīng)路徑的簽名����。利用諸如上述的慣用手段�����,共享數(shù)據(jù)的意愿通常需要由復(fù)雜的訪問權(quán)限和策略來限定或反映���。更改和執(zhí)行這樣的訪問權(quán)限通常需要人力管理和復(fù)雜的系統(tǒng)。發(fā)明者已確認(rèn)需要比那些慣用手段更為動(dòng)態(tài)的訪問權(quán)限���、以及需要對數(shù)據(jù)的較低計(jì)算密集型的性能導(dǎo)向的訪問控制執(zhí)行��。例如�����,對于特定項(xiàng)目的接收而言���,希望允許供應(yīng)鏈參與者能夠訪問此特定項(xiàng)目的制造記錄�。其他的技術(shù)可包括當(dāng)向下游“接收機(jī)構(gòu)”運(yùn)送貨物時(shí)對其的訪問控制策略的建立�。 此類方法的ー個(gè)缺陷在于通常需要對被運(yùn)送到每個(gè)潛在接收者的每種產(chǎn)品或項(xiàng)目設(shè)置各自的訪問控制策略,由此可能導(dǎo)致數(shù)目龐大的此類策略����。當(dāng)試圖訪問串行級信息系統(tǒng)時(shí),這在這種策略集的估算中會變得不可控制且不可擴(kuò)展��。發(fā)明者已經(jīng)確認(rèn)了能夠設(shè)定通用訪問控制策略的潛在益處�,該通用訪問控制策略可簡單地陳述為允許具有特定產(chǎn)品或資產(chǎn)標(biāo)識符的有效令牌的任何實(shí)體訪問指定的一組信息(例如,有關(guān)項(xiàng)目的運(yùn)送信息�����,或來自特定信息系統(tǒng)的信息)��。由于每個(gè)下游實(shí)體的唯一憑證(如身份)可不需要被包括在訪問控制策略中�,這樣可允許策略得以簡化。簡要地參考其他現(xiàn)有專利文獻(xiàn)��,美國專利申請US2008/0164976(“Griff iths-Harvey”)公開了ー種認(rèn)證的RFID系統(tǒng)����,與傳統(tǒng)的公鑰實(shí)現(xiàn)方式(如“RSA”�,一種由Rivest��、Shamir和Adleman首先(公開)描述的公知的公鑰加密算法)相比較��,該系統(tǒng)使用了橢圓曲線加密技術(shù)(ECC)以減小簽名大小和讀/寫次數(shù)�����?���?墒褂貌煌臄?shù)字簽名方案和算法來減小簽名大小并隱藏RFID標(biāo)簽的包含敏感產(chǎn)品識別信息的部分���。因此��,在制造或供應(yīng)鏈的不同階段�,可使用較小的標(biāo)簽或可寫入多個(gè)簽名����。例如在供應(yīng)鏈中,可使用密鑰管理系統(tǒng)來分配驗(yàn)證密鑰�,并且可提供用于將多個(gè)簽名加到RFID標(biāo)簽中的聚集簽名方案��。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的第一方面�����,提供了一種用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的ー個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制的控制裝置�����,對所述信息系統(tǒng)或每個(gè)信息系統(tǒng)的訪問通過訪問策略器而被管制��,所述網(wǎng)絡(luò)包括至少ー個(gè)令牌發(fā)放方��;以及至少ー個(gè)接收方實(shí)體���,所述至少ー個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌并且向在整個(gè)所述網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體轉(zhuǎn)發(fā)所述訪問預(yù)授權(quán)令牌,所述訪問預(yù)授權(quán)令牌具有與其相關(guān)聯(lián)的信息標(biāo)識符和數(shù)字簽名��,所述至少ー個(gè)接收方實(shí)體能夠操作為接收由所述至少ー個(gè)令牌發(fā)放方所發(fā)放的訪問預(yù)授權(quán)令牌����;所述控制裝置包括密鑰生成器,該密鑰生成器能夠操作為關(guān)于所述至少一個(gè)接收方實(shí)體生成(i)包括公鑰和私鑰的接收方實(shí)體公鑰/私鑰對��,所述接收方實(shí)體公鑰使得確保使用所述接收方實(shí)體私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證�;以及
(ii)令牌轉(zhuǎn)換密鑰��,所述令牌轉(zhuǎn)換密鑰使得使用關(guān)于所述至少一個(gè)接收方實(shí)體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉(zhuǎn)換為與所述令牌發(fā)放方相關(guān)聯(lián)的數(shù)字簽名����;所述密鑰生成器還能夠操作為關(guān)于所述至少一個(gè)令牌發(fā)放方生成(iii)令牌發(fā)放方公鑰/私鑰對�,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證;所述控制裝置還包括密鑰分配器���,該密鑰分配器能夠操作為向所述至少一個(gè)令牌發(fā)放方分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述接收方實(shí)體私鑰�����;向所述至少一個(gè)接收方實(shí)體分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述令牌轉(zhuǎn)換密鑰��;以及 向所述訪問策略器分配所述令牌發(fā)放方公鑰����。根據(jù)優(yōu)選的實(shí)施方式����,所述密鑰分配器可還能夠操作為向所述至少ー個(gè)接收方實(shí)體分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述接收方實(shí)體公鑰����。通過如此,接收方實(shí)體可嘗試解密從令牌發(fā)放方接收的預(yù)授權(quán)令牌����,由此保證了這些預(yù)授權(quán)令牌由期望的令牌發(fā)放方關(guān)于有關(guān)信息而正確地發(fā)放�。這樣可以防止接收方實(shí)體嘗試使用錯(cuò)誤發(fā)放的或者無效的令牌來請求訪問信息系統(tǒng)。根據(jù)優(yōu)選的實(shí)施方式����,訪問預(yù)授權(quán)令牌和/或數(shù)字簽名可存儲在與所述令牌相關(guān)聯(lián)的所述信息標(biāo)識符的存儲器部件中,或者它們可按將在下文中所討論的其他方式與所述信息標(biāo)識符相關(guān)聯(lián)�����。信息標(biāo)識符本身可以標(biāo)識ー個(gè)或多個(gè)特定的信息系統(tǒng)(即����,信任令牌發(fā)放方以準(zhǔn)予訪問的信息系統(tǒng))。另選地或另外地�����,信息標(biāo)識符可以標(biāo)識ー個(gè)或多個(gè)特定項(xiàng)目(如�����,產(chǎn)品),信息標(biāo)識符g在與這些特定項(xiàng)目相關(guān)聯(lián)���。應(yīng)當(dāng)注意的是���,在某些情形下,特定接收方實(shí)體可以僅試圖訪問ー個(gè)信息系統(tǒng)��,在這種情況下�,信息標(biāo)識符總體上僅需標(biāo)識與什么信息可被請求相關(guān)的項(xiàng)目。根據(jù)優(yōu)選的實(shí)施方式�,信息標(biāo)識符可存儲在射頻識別設(shè)備(S卩,“RFID標(biāo)簽”)的存儲器中�����。對此有許多替代方式���,然而它們可能是電子或數(shù)字編碼的貨單(例如��,在電子設(shè)備上或打印為條形碼)����。電子貨單可以承載在存儲設(shè)備(諸如���,RFID標(biāo)簽�����、記憶棒�、Wi-fi或藍(lán)牙存儲設(shè)備)中或可由速遞裝置(courier)從例如筆記本電腦或掌上電腦發(fā)布��。優(yōu)選地����,基于關(guān)于所述令牌發(fā)放方所生成的所述密鑰對的令牌發(fā)放方私鑰以及基于關(guān)于所述至少一個(gè)接收方實(shí)體所生成的所述接收方實(shí)體私鑰,生成關(guān)于特定接收方實(shí)體所生成的所述令牌轉(zhuǎn)換密鑰�����。根據(jù)優(yōu)選的實(shí)施例���,關(guān)于特定令牌發(fā)放方所生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗(yàn)證�,該數(shù)字簽名確保使用與所述至少一個(gè)接收方實(shí)體相關(guān)聯(lián)的接收方實(shí)體私鑰所創(chuàng)建的�����、然后使用關(guān)于所述至少一個(gè)接收方實(shí)體所生成的令牌轉(zhuǎn)換密鑰所轉(zhuǎn)換的消息的真實(shí)性�����。此外,優(yōu)選地��,在已經(jīng)向所述令牌發(fā)放方分配了關(guān)于所述接收方實(shí)體生成的所述接收方實(shí)體私鑰的情況下����,關(guān)于特定令牌發(fā)放方生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗(yàn)證,該數(shù)字簽名確保使用與所述至少一個(gè)接收方實(shí)體相關(guān)聯(lián)的接收方實(shí)體私鑰所創(chuàng)建的�、然后使用關(guān)于所述至少一個(gè)接收方實(shí)體生成的令牌轉(zhuǎn)換密鑰所轉(zhuǎn)換的消息的真實(shí)性。
根據(jù)優(yōu)選的實(shí)施例���,所述令牌發(fā)放方可以在由ー個(gè)或多個(gè)信息系統(tǒng)的訪問策略器所信任的實(shí)體的控制下操作���,以準(zhǔn)許對所述一個(gè)或多個(gè)信息系統(tǒng)的訪問?�?赡艽嬖诙鄠€(gè)信息系統(tǒng)�����,通過相應(yīng)的訪問策略器來管制對所述信息系統(tǒng)的訪問��。類似地����,可能存在多個(gè)令牌發(fā)放方,每個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌����。在多個(gè)信息系統(tǒng)有各自的訪問策略器的情況下,它們可以都“信任”公共的令牌發(fā)放方�,或者各自的訪問策略器可以與不同的令牌發(fā)放方具有“信任”關(guān)系。類似的���,可能存在多個(gè)接收方實(shí)體�,該多個(gè)接收方實(shí)體中的每ー個(gè)可操作為接收由公共令牌發(fā)放方所發(fā)放的訪問預(yù)授權(quán)令牌���,或者��,在存在多個(gè)令牌發(fā)放方的情況下�����,各個(gè)接收方實(shí)體可操作為接收由不同的令牌發(fā)放方所發(fā)放的預(yù)授權(quán)令牌�����。根據(jù)本發(fā)明的第二方面��,提供了一種用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的ー個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制的系統(tǒng)����,對所述信息系統(tǒng)或每個(gè)信息 系統(tǒng)的訪問通過訪問策略器被管制,所述系統(tǒng)包括根據(jù)第一方面的控制裝置�;至少ー個(gè)令牌發(fā)放方,該至少ー個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌����,以及向在整個(gè)所述網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體轉(zhuǎn)發(fā)所述訪問預(yù)授權(quán)令牌,所述訪問預(yù)授權(quán)令牌具有與其相關(guān)聯(lián)的信息標(biāo)識符和數(shù)字簽名����;以及至少ー個(gè)接收方實(shí)體,該至少ー個(gè)接收方實(shí)體能夠操作為接收由所述至少ー個(gè)令牌發(fā)放方所發(fā)放的訪問預(yù)授權(quán)令牌�����;其中所述至少ー個(gè)令牌發(fā)放方能夠操作為接收關(guān)于所述至少一個(gè)接收方實(shí)體由所述控制裝置所生成的接收方實(shí)體私鑰�����,使用所述接收方實(shí)體私鑰利用數(shù)字簽名對所述訪問預(yù)授權(quán)令牌簽名�,以及向所述至少一個(gè)接收方實(shí)體轉(zhuǎn)發(fā)經(jīng)簽名的所述訪問預(yù)授權(quán)令牌;所述至少ー個(gè)接收方實(shí)體能夠操作為接收關(guān)于所述至少一個(gè)接收方實(shí)體由所述控制裝置所生成的令牌轉(zhuǎn)換密鑰����,使用所述令牌轉(zhuǎn)換密鑰利用數(shù)字簽名對經(jīng)簽名的所述訪問預(yù)授權(quán)令牌重新簽名����,以及向所述訪問策略器提供所述經(jīng)重新簽名的令牌����;以及所述訪問策略器能夠操作為接收由所述控制裝置所生成的令牌發(fā)放方公鑰����,使用所述令牌發(fā)放方公鑰驗(yàn)證在所述經(jīng)重新簽名的令牌上的數(shù)字簽名的真實(shí)性,以及基于所述驗(yàn)證結(jié)果允許所述至少一個(gè)接收方實(shí)體訪問所述一個(gè)或多個(gè)信息系統(tǒng)�。根據(jù)本發(fā)明的第三方面,提供了一種用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的ー個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制的方法���,對所述信息系統(tǒng)或每個(gè)信息系統(tǒng)的訪問通過訪問策略器被管制�,所述網(wǎng)絡(luò)包括至少ー個(gè)令牌發(fā)放方����;以及至少ー個(gè)接收方實(shí)體,所述至少ー個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌��,以及向在整個(gè)所述網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體轉(zhuǎn)發(fā)所述訪問預(yù)授權(quán)令牌����,所述訪問預(yù)授權(quán)令牌具有與其相關(guān)聯(lián)的信息標(biāo)識符和數(shù)字簽名�����,所述至少ー個(gè)接收方實(shí)體能夠操作為接收由所述至少一個(gè)令牌發(fā)放方所發(fā)放的訪問預(yù)授權(quán)令牌���;所述方法包括關(guān)于所述至少一個(gè)接收方實(shí)體生成(i)包括公鑰和私鑰的接收方實(shí)體公鑰/私鑰對,所述接收方實(shí)體公鑰使得確保使用所述接收方實(shí)體私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證�����;以及
( ii )令牌轉(zhuǎn)換密鑰���,所述令牌轉(zhuǎn)換密鑰使得使用關(guān)于所述至少一個(gè)接收方實(shí)體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉(zhuǎn)換為與所述令牌發(fā)放方相關(guān)聯(lián)的數(shù)字簽名��;關(guān)于所述至少一個(gè)令牌發(fā)放方生成(iii)令牌發(fā)放方公鑰/私鑰對�����,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證�;向所述至少一個(gè)令牌發(fā)放方分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述接收方實(shí)體私鑰��;向所述至少一個(gè)接收方實(shí)體分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述令牌轉(zhuǎn)換密鑰�����;以及向所述訪問策略器分配所述令牌發(fā)放方公鑰。
針對第二和第三方面��,在上面關(guān)于第一方面提及的不同選擇和優(yōu)選的實(shí)施方式同樣適用于關(guān)于第二方面和第三方面�����。根據(jù)優(yōu)選實(shí)施方式的裝置���、系統(tǒng)和方法可以用于允許由于供應(yīng)鏈操作而自動(dòng)建立充分細(xì)化的動(dòng)態(tài)訪問控制權(quán)限。這樣使得能夠立即訪問所需數(shù)據(jù)�����,而沒有手動(dòng)建立此類訪問權(quán)限的負(fù)擔(dān)和成本�。有益的是(與在上述討論的國際申請WO 2009/083710中所陳述的技術(shù)相比較),根據(jù)優(yōu)選實(shí)施方式的裝置���、系統(tǒng)和方法可以用于允許在例如接收方處所內(nèi)局部地發(fā)放安全令牌��,而無需使用專門的安全RFID標(biāo)簽��。根據(jù)優(yōu)選實(shí)施方式的裝置�����、系統(tǒng)和方法可允許部分生成的安全令牌被包括在RFID標(biāo)簽或其他適當(dāng)類型的識別設(shè)備的用戶存儲器中或者與RFID標(biāo)簽或其他適當(dāng)類型的識別設(shè)備相關(guān)聯(lián)的用戶存儲器中�,該RFID標(biāo)簽或其他適當(dāng)類型的識別設(shè)備例如可附裝在裝運(yùn)貨物上或者以其它方式與裝運(yùn)貨物相關(guān)聯(lián)。此類部分生成的令牌然后可由接收方來“完成”����,由此生成可用于訪問信息系統(tǒng)(例如,上游供應(yīng)鏈合作伙伴的貨運(yùn)系統(tǒng))的最終授權(quán)令牌��?���?傮w上,將部分生成的令牌稱為“預(yù)授權(quán)令牌”����,而將已由接收方完成其授權(quán)的令牌稱為“最終授權(quán)令牌”?��?纱_保的是�,直至接收方已接收到最初的預(yù)授權(quán)令牌��,此類令牌才能由接收方生成。根據(jù)優(yōu)選實(shí)施方式的裝置���、系統(tǒng)和方法可以允許生成令牌�����,這些令牌允許已經(jīng)接收����、正在接收或?qū)⒁邮仗囟óa(chǎn)品的機(jī)構(gòu)可完全地訪問安全的序列化信息服務(wù)����。這樣可以去除需從持有序列化信息的上游供應(yīng)鏈合作伙伴處發(fā)放此類令牌的負(fù)擔(dān),以及去除了涉及的必要的通信設(shè)施和成本��。根據(jù)國際申請WO 2009/083710的技術(shù)�����,RFID標(biāo)簽對令牌發(fā)放系統(tǒng)僅承載最初的“邀請函”或參引���,目的在于解決未知的下游供應(yīng)鏈商家獲得串行級信息的問題。應(yīng)當(dāng)注意的是�����,這并不同于將被稱為的“預(yù)授權(quán)令牌”,并且并不能實(shí)現(xiàn)與之相同的功能�,預(yù)授權(quán)令牌一旦被適當(dāng)分配,將可以與由接收機(jī)構(gòu)具有的另外的機(jī)密相結(jié)合而生成最終的“可用的”授權(quán)令牌���?�?稍O(shè)置預(yù)授權(quán)令牌以允許僅由期望的接收系統(tǒng)生成有效的最終授權(quán)令牌�?���!案`聽”或讀取預(yù)授權(quán)令牌的另ー個(gè)系統(tǒng)將不能生成最終的授權(quán)令牌。此外�����,還可設(shè)置為直到所期望的接收方已實(shí)際接收到了相關(guān)聯(lián)的貨物并且獲得了預(yù)授權(quán)令牌��,該接收方才能生成最終的授權(quán)令牌����。因此,優(yōu)選的實(shí)施方式關(guān)于對已知的下游參與者自動(dòng)建立訪問權(quán)限特別有用�����。
現(xiàn)在將參考附圖來詳細(xì)描述本發(fā)明的優(yōu)選實(shí)施方式,在附圖中圖I示出了代理重新簽名方案的示意圖�;圖2例示了代理重新簽名的概念如何用于生成和重新簽名安全令牌;圖3表明了在使用根據(jù)本發(fā)明的實(shí)施方式的控制裝置�����、方法和系統(tǒng)的示例性供應(yīng)鏈系統(tǒng)中包含的實(shí)體的類型����,井指明了所包含的實(shí)體可發(fā)揮的作用;以及圖4例示了在使用根據(jù)本發(fā)明的實(shí)施方式的控制裝置�����、方法和系統(tǒng)的供應(yīng)鏈系統(tǒng)中發(fā)生的密鑰的生成和分配����。
具體實(shí)施例方式下面將參考圖3和圖4來描述根據(jù)本發(fā)明的實(shí)施例的裝置�����、系統(tǒng)和方法��。然而,首 先將對公鑰/私鑰加密和認(rèn)證的有關(guān)特性進(jìn)行簡要解釋�����,隨后參考圖I和圖2對代理重新簽名的概念的有關(guān)信息進(jìn)行簡要解釋�。公鑰加密是ー種涉及使用非対稱密鑰算法,而不是對稱密鑰算法或除了對稱密鑰算法之外的加密方法��。與對稱密鑰算法不同�,該非對稱密鑰算法一般不需要在發(fā)送方與接收方之間的密鑰的安全初歩交換??墒褂迷摲菍ΨQ密鑰算法來產(chǎn)生數(shù)學(xué)相關(guān)的密鑰對,其包括機(jī)密的“私鑰”和公開的“公鑰”�����。這些密鑰的使用允許通過使用私鑰產(chǎn)生消息的“數(shù)字簽名”來保護(hù)消息的真實(shí)性(authenticity)����,并且可使用公鑰來驗(yàn)證該消息的真實(shí)性。(一個(gè)已知為公鑰加密的相反過程允許保護(hù)消息的機(jī)密性和完整性����;根據(jù)這ー過程,使用公鑰來加密消息����,然后可僅使用私鑰來解密消息ー然而�����,這ー相反過程跟后續(xù)的描述沒有太大相關(guān))���。因此可使用數(shù)字簽名來證明數(shù)字消息或文獻(xiàn)的真實(shí)性。有效的數(shù)字簽名使得有理由相信該消息由已知的發(fā)送方所創(chuàng)建并且傳送過程中未被改變��。數(shù)字簽名通常用于軟件分銷���、金融交易���、以及用于檢測偽造和篡改是很重要的其他情況中。關(guān)于以下的說明���,從上面對公鑰加密的綜述中可看出特別重要的問題在干對于公鑰/私鑰對(即�,包括公鑰和私鑰的密鑰對)�,公鑰使得確保使用私鑰被創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證。現(xiàn)在將討論代理重新簽名的概念�,并且將引入和解釋將在后文中使用的術(shù)語��。參見圖1,代理重新簽名過程是這種過程將允許代理將第一實(shí)體的數(shù)字簽名(即�����,圖I的示例中的“ Alice”)轉(zhuǎn)變?yōu)榈诙?shí)體的數(shù)字簽名(即��,“Bob”)的信息給予代理的過程����。代理重新簽名允許在該代理方不需要控制或訪問與Alice或Bob任一方相關(guān)聯(lián)的私鑰的情況下實(shí)現(xiàn)這ー過程,因此其不能生成對于Alice或Bob本身的數(shù)字簽名�。在由MattBlaze、Gerrit Bleumer 和 Martin Strauss 的名為 “Divertible Protocols and AtomicProxy Cryptography��,�����,的論文(Lecture Notes in Computer Science (LNCS), 1998 年��,第1403 期,第 127-144 頁 Advances in Cryptology - EUR0CRYPT’98)中引入了這種原始概念����,并且在由 Giuseppe Ateniese 和 Susan Hohenberger 的名為 “Proxy Re-Signatures:NewDefinitions, Algorithms, and Applications,���,的論又(ACM Conference on Computer andCommunications Security, 2005 年 11 月 28 日���,第 310-319 頁)中進(jìn)一步探究了此概念�。
參見圖1���,代理12將來自Alice 10的完全有效并且可公開驗(yàn)證的簽名轉(zhuǎn)換為來自Bob 14的簽名����。給出消息“m”����,并用Alice的機(jī)密私鑰簽名該消息生成了簽名Ks_a(m),而用Bob的機(jī)密私鑰簽名相同的消息生成了簽名Ks_b(m)�。(注意,在用符號表示(“secret”)私鑰Ks...中使用下標(biāo)“s”以為了與在符號表示(“public”)公鑰Kp...中使用的下標(biāo)“p”進(jìn)行區(qū)分)�����。在該代理重新簽名方案中���,代理將從Alice處接收簽名Ks_a(m)����,并且通過使用“轉(zhuǎn)換密鑰”(translation key) Kt_a — b,代理可將來自Alice的簽名轉(zhuǎn)換為來自Bob的有效簽名Ks_b(m)。這ー過程可寫為以下形式Kt_a — b (Ks_a (m)) = Ks_b (m)其中Ks_a是Alice的私鑰[因此由Alice簽名的消息“m”寫為Ks_a(m)]Ks_b是Bob的私鑰[因此由Bob簽名的消息“m”寫為Ks_b (m)]Kt_a — b是從Alice到Bob的轉(zhuǎn)換密鑰 因此��,將使用Alice的私鑰簽名的消息經(jīng)歷從Alice到Bob的轉(zhuǎn)換�,提供了與相反使用Bob的私鑰簽名的消息相同的結(jié)果�����。由于在上述公鑰加密的綜述中被強(qiáng)調(diào)為特別重要的問題��,應(yīng)當(dāng)理解的是訪問Bob的公鑰的任何用戶因此都能夠驗(yàn)證由代理生成的簽名���。代理重新簽名的特性在于可以由完全不同的代理按順序并多次地進(jìn)行從ー個(gè)簽名到另ー個(gè)簽名的“轉(zhuǎn)換”��,而無需簽名實(shí)體(即���,私鑰的所有者)的干預(yù)。這樣�,私鑰可始終保持脫機(jī)并受保護(hù)。所有的簽名都是可公開驗(yàn)證的簽名����,就如同它們是由不同實(shí)體的真正所有者所簽署的。關(guān)于將在后文中詳細(xì)解釋的待描述的當(dāng)前提出方案的安全令牌重新簽名����,優(yōu)選的是使用單向方案�,即�,允許來自Alice的簽名到來自Bob的簽名的轉(zhuǎn)換但不允許來自Bob的簽名到來自Alice的簽名的轉(zhuǎn)換。如將從后面的解釋中所理解的���,關(guān)于當(dāng)前提出的方案�����,這對應(yīng)于將使用接收方的私鑰所簽名的令牌轉(zhuǎn)換為與使用預(yù)授權(quán)令牌發(fā)放方的私鑰所簽名的令牌一祥的令牌���。這在圖2示出。在當(dāng)前提出的方案中��,通常期望重新簽名密鑰僅對于創(chuàng)建最終授權(quán)令牌的產(chǎn)品接收方是已知的���。如將理解的�,使用重新簽名密鑰來執(zhí)行“轉(zhuǎn)換”功能(即�����,使用一個(gè)實(shí)體的私鑰所簽名的令牌轉(zhuǎn)換為與使用另ー個(gè)實(shí)體的私鑰所簽名的令牌一祥的令牌),因此在后面的描述中將使用術(shù)語“轉(zhuǎn)換密鑰”來代替術(shù)語“重新簽名密鑰”����,盡管這些術(shù)語實(shí)際上是可互換的。參見圖3����,圖3示出了供應(yīng)鏈控制系統(tǒng)30��,以及在供應(yīng)鏈系統(tǒng)中涉及的其他實(shí)體��?�?稍谝粋€(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)供應(yīng)鏈控制系統(tǒng)30�。供應(yīng)鏈控制系統(tǒng)30能夠與ー個(gè)或
多個(gè)預(yù)授權(quán)令牌發(fā)放方(用字母T表示)32、一個(gè)或多個(gè)接收方(表示為Rl�����、R2.....Rn) 34
以及一個(gè)或多個(gè)信息系統(tǒng)(表不為ISl����、IS2、. . .���、ISn) 36進(jìn)行通信��。這些實(shí)體中的姆一個(gè)均可依靠它們自己的計(jì)算機(jī)系統(tǒng)來自行執(zhí)行它們各自的功能�。供應(yīng)鏈控制系統(tǒng)30在其中(即,例如在存儲器部件中)存儲有供應(yīng)鏈模型310��,該供應(yīng)鏈模型310向控制器指示其他實(shí)體之間的可能關(guān)系�����,如�����,允許哪個(gè)(哪些)令牌發(fā)放方使得哪個(gè)(哪些)接收方能夠訪問哪個(gè)(哪些)信息系統(tǒng)�����。供應(yīng)鏈控制系統(tǒng)30還可包含被稱為密鑰生成器320的功能性部件和被稱為密鑰分配器330的功能性部件�����,該密鑰生成器320的功能是視情況來生成公/私鑰對和令牌轉(zhuǎn)換密鑰����,該密鑰分配器330的功能是向預(yù)授權(quán)令牌發(fā)放方32����、接收方34和信息系統(tǒng)36分配由密鑰生成器320所生成的密鑰�。供應(yīng)鏈控制系統(tǒng)30還被示出為具有“垃圾箱”340。該垃圾箱并不需要是控制器30的實(shí)際部件-其在圖3 (以及在后面將討論的圖4)中被表示出來以表明并非由密鑰生成器320生成的所有密鑰隨后都由密鑰分配器330來分配��。在優(yōu)選實(shí)施例中��,如將理解的�����,一類密鑰僅由控制器本身優(yōu)選地使用���,然后這類密鑰被銷毀而不是分配給任何其他實(shí)體。供應(yīng)鏈控制系統(tǒng)30與其他實(shí)體之間的通信通常涉及密鑰分配���,并且在圖3中由寬的虛線框箭頭來指示�。這可以通過互聯(lián)網(wǎng)或使用多種通信技術(shù)中任何ー種來實(shí)現(xiàn)�����,并且如后文所述的�����,這使得供應(yīng)鏈控制系統(tǒng)30能夠操作以向其他實(shí)體中的每ー個(gè)分配(直接地或間接地)適當(dāng)?shù)拿荑€。在其他實(shí)體32����、34和36本身之間發(fā)生涉及令牌的不同類型的交換。例如�����,借助于令牌(第一類型的令牌�����,即預(yù)授權(quán)令牌)被存儲在或附接在遍歷供應(yīng)鏈的項(xiàng)目中或者以其他方式與遍歷供應(yīng)鏈的項(xiàng)目相關(guān)����,這些令牌可從令牌發(fā)放方32傳送給接收方34,然后令牌(第二類型的令牌����,即最終授權(quán)令牌)可由接收方34提供給信息系統(tǒng)36。涉及令牌(與密鑰相反)的交換在圖3中由單線箭頭來指示���。圖4例示了可如何分配各種密鑰�。為了簡化附圖和下面的描述,僅示出了ー個(gè)接收方R1��。接收方Rl被示出為僅從一個(gè)預(yù)授權(quán)令牌發(fā)放方T接收預(yù)授權(quán)令牌����,并且試圖獲得 對僅ー個(gè)信息系統(tǒng)IS的訪問(雖然如前面關(guān)于圖3所解釋的,在供應(yīng)鏈中通常會有多于ー個(gè)的接收方����,并且會有多于ー個(gè)的令牌發(fā)放方和多于ー個(gè)的信息系統(tǒng))。如圖4所示��,供應(yīng)鏈控制系統(tǒng)30創(chuàng)建與預(yù)授權(quán)令牌發(fā)放方32相關(guān)聯(lián)(或者�����,如果有多于ー個(gè)預(yù)授權(quán)令牌發(fā)放方�,則與其每個(gè)相關(guān)聯(lián))的ー組密鑰����。對于被準(zhǔn)許訪問相關(guān)信息系統(tǒng)36的每個(gè)接收系統(tǒng)34生成ー個(gè)或多個(gè)私/公鑰對。因此��,對示為“接收方R1”的第一接收方機(jī)構(gòu)34���,生成私(或“機(jī)密的”)鑰KS_R1和公鑰KP_R1����,而對第二接收方機(jī)構(gòu)“接收方R2”(在圖4中未示出),將生成私鑰KS_R2和公鑰KP_R2��。關(guān)于預(yù)授權(quán)令牌發(fā)放方T還生成另ー私/公鑰對[KS_T�����,KP_T]���,但是應(yīng)注意����,并不向其發(fā)送任何密鑰(將在下文中闡述使用此密鑰對的方式)����。此外,對于可訪問信息系統(tǒng)36的每個(gè)接收方機(jī)構(gòu)34生成令牌轉(zhuǎn)換密鑰�����,該令牌轉(zhuǎn)換密鑰可用于將使用關(guān)于該接收方生成的私鑰所創(chuàng)建的數(shù)據(jù)簽名轉(zhuǎn)換(即�����,代理重新簽名)為與預(yù)授權(quán)令牌發(fā)放方相關(guān)聯(lián)的數(shù)字簽名,并且當(dāng)決定是否準(zhǔn)予訪問考慮中的信息系統(tǒng)時(shí)���,該令牌轉(zhuǎn)換密鑰被考慮中的信息系統(tǒng)(或者��,代表信息系統(tǒng)起作用的訪問策略器38)所信任���。因此,對“接收方R1”產(chǎn)生令牌轉(zhuǎn)換密鑰Kt_Rl — T�����,對“接收方R2”產(chǎn)生令牌轉(zhuǎn)換密Kt_R2 — T等等�����。然后向可訪問信息系統(tǒng)36的相關(guān)接收方機(jī)構(gòu)34分配每個(gè)令牌轉(zhuǎn)換密鑰以及對該機(jī)構(gòu)的公鑰�����。應(yīng)當(dāng)注意��,并不向考慮中的機(jī)構(gòu)分配每個(gè)接收方機(jī)構(gòu)的關(guān)聯(lián)私鑰�����,相反將其發(fā)送到預(yù)授權(quán)令牌發(fā)放方32����。用于預(yù)授權(quán)令牌發(fā)放方32的公鑰KP_T被分配給該預(yù)授權(quán)令牌發(fā)放方正為其生成訪問令牌的任何信息系統(tǒng)36?��?傮w上���,通常依賴于關(guān)于所涉及的令牌發(fā)放方已生成的私鑰以及依賴于關(guān)于特定接收方已生成的私鑰,來生成關(guān)于該接收方所生成的令牌轉(zhuǎn)換密鑰����。因此,關(guān)于令牌發(fā)放系統(tǒng)32所生成的私鑰KS_T被控制器30用來產(chǎn)生用于“接收方R1”的相應(yīng)的令牌轉(zhuǎn)換密鑰Kt_Rl — T和用干“接收方R2”的相應(yīng)的令牌轉(zhuǎn)換密鑰Kt_R2 — T���,但是在此過程中的任何階段并不需要向任何其他實(shí)體分發(fā)令牌發(fā)放方私鑰KS_T�,因此該令牌發(fā)放方私鑰可由控制器30銷毀(參見圖3�����,由指向垃圾箱的箭頭所指示)�。注意���,圖4中的信息系統(tǒng)36被示出為在其內(nèi)具有訪問策略器38部件。這樣顯示是為了例示除了提供信息的功能性之外�,信息系統(tǒng)36還可執(zhí)行管制功能,由此管制功能首先做決定是否準(zhǔn)予對考慮中的信息系統(tǒng)的訪問請求�。訪問策略器38部件可以是信息系統(tǒng)36本身的一部分,或者可以是外部部件�,并且實(shí)際上不需要在與信息系統(tǒng)相同的機(jī)構(gòu)控制下執(zhí)行。在此階段值得注意的是��,供應(yīng)鏈控制系統(tǒng)30可由與信息系統(tǒng)36相同的機(jī)構(gòu)來操作�,或者可以由例如可信的第三方來操作。然而�����,信息系統(tǒng)可以在除了供應(yīng)鏈控制器在其控制下正被操作的那些機(jī)構(gòu)之外的機(jī)構(gòu)的控制下��,或者可代表上述機(jī)構(gòu)行動(dòng)�����;例如���,它們可以在為供應(yīng)貨物負(fù)責(zé)的機(jī)構(gòu)的控制下����。對于包含在項(xiàng)目標(biāo)識符(如RFID標(biāo)簽)內(nèi)的或者以其它方式與項(xiàng)目標(biāo)識符相關(guān)聯(lián)的產(chǎn)品或資產(chǎn)標(biāo)識符�����,預(yù)授權(quán)令牌發(fā)放方生成經(jīng)簽名的預(yù)授權(quán)令牌��。最低限度地��,該令牌是用與所期望的接收方相關(guān)聯(lián)的私鑰加密的標(biāo)識符�,盡管可以包括其他信息,如將在后文中所描述的�。該預(yù)授權(quán)令牌接著被存儲在RFID標(biāo)簽(或者,其他的這種相關(guān)聯(lián)的項(xiàng)目標(biāo)識符)的用戶存儲器中��。令牌還可包括另一未加密的標(biāo)識符��,例如�,該標(biāo)識符可用于識別創(chuàng)建了預(yù)授權(quán)令牌的發(fā)放方。然后���,可以執(zhí)行包括以下步驟的運(yùn)送過程 I.從項(xiàng)目標(biāo)識符(例如���,RFID標(biāo)簽)中讀取產(chǎn)品或資產(chǎn)標(biāo)識符��。2.識別旨在準(zhǔn)予其訪問信息系統(tǒng)的期望的接收方�����。3.從密鑰庫中檢索與所期望的接收方相關(guān)聯(lián)的私鑰�。4.通過使用所期望的接收方的私鑰對標(biāo)識符和其他可選數(shù)據(jù)簽名并且通過添加未加密的令牌發(fā)放方標(biāo)識符�����,來生成預(yù)授權(quán)令牌����。5.將預(yù)授權(quán)令牌寫入RFID標(biāo)簽的用戶存儲器中。6.將預(yù)授權(quán)令牌發(fā)放方的公鑰添加到信息系統(tǒng)的訪問控制列表中(在已經(jīng)不存在此公鑰的情況下)�����。當(dāng)接收到產(chǎn)品或資產(chǎn)時(shí)��,接收方從標(biāo)簽的用戶存儲器中讀取預(yù)授權(quán)令牌����,包括預(yù)授權(quán)令牌發(fā)放方的標(biāo)識符�����。該標(biāo)識符用以檢索正確的令牌轉(zhuǎn)換密鑰(由于可能存在很多預(yù)授權(quán)令牌發(fā)放系統(tǒng))���?����?蛇x地����,可使用與令牌發(fā)放方相關(guān)的接收機(jī)構(gòu)的公鑰來解密預(yù)授權(quán)令牌。在此方式中��,接收機(jī)構(gòu)可檢查預(yù)授權(quán)令牌對于產(chǎn)品標(biāo)識符是名副其實(shí)的并且其已由所期望的令牌發(fā)放方所發(fā)放�。這避免了接收機(jī)構(gòu)用無效的令牌來請求對信息系統(tǒng)的訪問。然后�,用令牌轉(zhuǎn)換密鑰重新加密預(yù)授權(quán)令牌。這樣產(chǎn)生了可使用預(yù)授權(quán)令牌發(fā)放方的公鑰來驗(yàn)證的最終授權(quán)令牌(其中驗(yàn)證包括用公鑰來解密該令牌以獲得與產(chǎn)品標(biāo)識符匹配的標(biāo)識符)�����。由此�����,可按如下方式執(zhí)行接收過程I.從RFID標(biāo)簽讀取產(chǎn)品/資產(chǎn)標(biāo)識符、預(yù)授權(quán)令牌(包括令牌發(fā)放方標(biāo)識符)2.對于每個(gè)令牌�,從密鑰庫(由令牌發(fā)放方標(biāo)識符索引)中檢索接收方的公鑰3.使用相關(guān)的公鑰驗(yàn)證每個(gè)令牌4.對于每個(gè)令牌,從該密鑰庫(由令牌發(fā)放方標(biāo)識符索引)中檢索轉(zhuǎn)換密鑰5.然后�����,使用所檢索的轉(zhuǎn)換密鑰來重新加密每個(gè)令牌現(xiàn)在�,接收方可試圖去訪問發(fā)貨人的信息系統(tǒng)。接收機(jī)構(gòu)的客戶包括在對產(chǎn)品或資產(chǎn)信息的信息的請求中的最終授權(quán)令牌����。信息系統(tǒng)使用預(yù)授權(quán)令牌發(fā)放方的公鑰KP_T來解密最終授權(quán)令牌。通過在令牌內(nèi)包括未加密的預(yù)授權(quán)令牌發(fā)放方標(biāo)識符可協(xié)助此過程��。如果從令牌內(nèi)檢索的產(chǎn)品標(biāo)識符對應(yīng)于由客戶請求的標(biāo)識符����,并且信任令牌發(fā)放方釋放對這種標(biāo)識符的訪問,則允許該訪問繼續(xù)�����。信息系統(tǒng)訪問控制過程可以被總結(jié)為如下I.接收包括最終授權(quán)令牌(或多個(gè)令牌���,例如如果有多個(gè)信息項(xiàng)目)的訪問請求����。2.檢索被信任的預(yù)授權(quán)令牌發(fā)放方的公鑰(由預(yù)授權(quán)令牌發(fā)放方標(biāo)識符索引)。3.使用公鑰解密令牌���。4.檢查令牌內(nèi)的另外的訪問控制標(biāo)準(zhǔn)并且做出訪問決定���。預(yù)授權(quán)令牌發(fā)放方通常屬于與如下的信息系統(tǒng)相同的機(jī)構(gòu)�,S卩,對于 所述信息系統(tǒng)���,預(yù)授權(quán)令牌發(fā)放方正在產(chǎn)生預(yù)授權(quán)令牌����。然而���,信息系統(tǒng)機(jī)構(gòu)還可信任其他方產(chǎn)生預(yù)授權(quán)令牌�。在此方式中�,它們可以將對其信息系統(tǒng)的訪問的控制委托給其他方。為了信任預(yù)授權(quán)令牌發(fā)放方����,它們將發(fā)放方的公鑰添加到密鑰列表中�,該密鑰列表被準(zhǔn)許在信息訪問期間驗(yàn)證授權(quán)令牌��。我們已經(jīng)描述了作為加密產(chǎn)品或資產(chǎn)標(biāo)識符的最簡單令牌的情況��,其他信息也可包括在令牌中����。其他常見類型的信息可包括令牌的到期日。在這種情況下�,如果令牌到期了,即使使用預(yù)授權(quán)令牌發(fā)放方的公鑰驗(yàn)證了該令牌����,仍然不允許繼續(xù)信息訪問。預(yù)授權(quán)令牌發(fā)放方還可以通過在令牌內(nèi)設(shè)置另外的策略約束來包括對信息訪問的其他限制�。例如,令牌可以還包括信息記錄必須是“運(yùn)送”類型的約束�。當(dāng)信息系統(tǒng)解密了安全令牌,它可以應(yīng)用任何此類限制��。多個(gè)接收方根據(jù)用于控制多個(gè)下游供應(yīng)鏈合作伙伴的訪問的不同實(shí)施例����,存在多種選項(xiàng)�。特別簡單的選項(xiàng)是在控制器30的供應(yīng)鏈模型310中僅包括每個(gè)接收方作為實(shí)體�。然后可對每個(gè)分立的接收方實(shí)體34生成單獨(dú)的令牌。諸如RFID標(biāo)簽這樣的單個(gè)項(xiàng)目標(biāo)識符可以攜帶用于多個(gè)接收方的若干預(yù)授權(quán)令牌��,以使得能夠生成它們自己的最終授權(quán)令牌���。此方法具有的缺點(diǎn)是多個(gè)令牌一般需要額外的存儲器空間���,這對一些類型的RFID標(biāo)簽或其他項(xiàng)目標(biāo)識符可能會是個(gè)問題?��?商娲姆椒ㄊ菍⒍鄠€(gè)接收方分為組。然后����,每個(gè)組在控制器30的供應(yīng)鏈模型310內(nèi)可以分配有公/私鑰對。在接收方實(shí)體A和實(shí)體B之間共享的預(yù)授權(quán)令牌可以使用用于組A+B的私鑰來簽名�。A和B都接收能夠生成最終授權(quán)令牌的相同的轉(zhuǎn)換密鑰。委扭存在多個(gè)可用選項(xiàng)來使得訪問控制權(quán)限能夠從ー個(gè)下游接收方委托到另一方���。如果第二方也在貨物的物理供應(yīng)鏈路徑內(nèi)���,那么接收方A可僅告知接收方B生成最終授權(quán)密鑰所需的正確轉(zhuǎn)換密鑰��。這樣使得接收方B能夠?qū)\(yùn)往接收方A的任何貨物生成最終授權(quán)令牌��。如果/當(dāng)撤銷此委托�����,則控制器30可能需要為接收方A生成新的密鑰(以及新的轉(zhuǎn)換密鑰)并且向令牌發(fā)放方和接收方A分配這些密鑰����。另ー種替代方式是對接收方A生成最終授權(quán)令牌���,并在安全的通信網(wǎng)絡(luò)上與接收方B共享此令牌����。在此情況下����,例如,接收方A保持了其密匙的機(jī)密性并且可以基于每個(gè)項(xiàng)目來委托令牌���。最終����,如果信息系統(tǒng)愿意信任接收方A來管理向上的訪問權(quán)限委托,則接收方A可操作其自己的預(yù)授權(quán)令牌發(fā)放方�����。在這種情況下�,可以用由接收方A的預(yù)授權(quán)令牌發(fā)放方生成的令牌來代替原始的預(yù)授權(quán)令牌。然后可將接收方A的令牌發(fā)放方的公鑰添加到信息服務(wù)的可信 列表中�。
權(quán)利要求
1.一種控制裝置,該控制裝置用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制��,對所述一個(gè)信息系統(tǒng)或所述多個(gè)信息系統(tǒng)中的每ー個(gè)的訪問通過訪問策略器被管制���,所述網(wǎng)絡(luò)包括至少ー個(gè)令牌發(fā)放方���,所述至少ー個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌并且向在整個(gè)所述網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體轉(zhuǎn)發(fā)所述訪問預(yù)授權(quán)令牌,所述訪問預(yù)授權(quán)令牌具有與其相關(guān)聯(lián)的信息標(biāo)識符和數(shù)字簽名�����;以及至少ー個(gè)接收方實(shí)體���,所述至少ー個(gè)接收方實(shí)體能夠操作為接收由所述至少一個(gè)令牌發(fā)放方發(fā)放的訪問預(yù)授權(quán)令牌; 所述控制裝置包括 密鑰生成器��,該密鑰生成器能夠操作為關(guān)于所述至少一個(gè)接收方實(shí)體生成 (i)包括公鑰和私鑰的接收方實(shí)體公鑰/私鑰對,所述接收方實(shí)體公鑰使得確保使用所述接收方實(shí)體私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證��;以及 (ii)令牌轉(zhuǎn)換密鑰����,所述令牌轉(zhuǎn)換密鑰使得使用關(guān)于所述至少一個(gè)接收方實(shí)體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉(zhuǎn)換為與所述令牌發(fā)放方相關(guān)聯(lián)的數(shù)字簽名; 所述密鑰生成器還能夠操作為關(guān)于所述至少一個(gè)令牌發(fā)放方生成 (iii)令牌發(fā)放方公鑰/私鑰對����,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證; 所述控制裝置還包括密鑰分配器�,該密鑰分配器能夠操作為 向所述至少一個(gè)令牌發(fā)放方分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述接收方實(shí)體私鑰; 向所述至少一個(gè)接收方實(shí)體分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述令牌轉(zhuǎn)換密鑰�����;以及 向所述訪問策略器分配所述令牌發(fā)放方公鑰�。
2.根據(jù)權(quán)利要求I所述的控制裝置,其中所述密鑰分配器還能夠操作為向所述至少一個(gè)接收方實(shí)體分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述接收方實(shí)體公鑰���。
3.根據(jù)權(quán)利要求I或2所述的控制裝置��,其中所述訪問預(yù)授權(quán)令牌存儲在與所述令牌相關(guān)聯(lián)的所述信息標(biāo)識符的存儲器部件中����。
4.根據(jù)權(quán)利要求1、2或3所述的控制裝置���,其中所述數(shù)字簽名存儲在與所述令牌相關(guān)聯(lián)的所述信息標(biāo)識符的存儲器部件中��。
5.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置����,其中所述信息標(biāo)識符存儲在射頻識別設(shè)備中��。
6.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置�����,其中基于關(guān)于所述令牌發(fā)放方所生成的所述密鑰對的所述令牌發(fā)放方私鑰���,生成關(guān)于特定接收方實(shí)體所生成的所述令牌轉(zhuǎn)換密鑰�。
7.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置�,其中基于關(guān)于所述至少ー個(gè)接收方實(shí)體所生成的所述接收方實(shí)體私鑰,生成關(guān)于特定接收方實(shí)體所生成的所述令牌轉(zhuǎn)換密鑰��。
8.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置��,其中關(guān)于特定令牌發(fā)放方所生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗(yàn)證���,該數(shù)字簽名確保使用與所述至少一個(gè)接收方實(shí)體相關(guān)聯(lián)的接收方實(shí)體私鑰所創(chuàng)建的��、然后使用關(guān)于所述至少一個(gè)接收方實(shí)體所生成的令牌轉(zhuǎn)換密鑰所轉(zhuǎn)換的消息的真實(shí)性���。
9.根據(jù)權(quán)利要求8所述的控制裝置,其中��,在已經(jīng)向所述令牌發(fā)放方分配了關(guān)于所述接收方實(shí)體生成的所述接收方實(shí)體私鑰的情況下�����,關(guān)于特定令牌發(fā)放方生成的所述令牌發(fā)放方公鑰使得數(shù)字簽名能夠被驗(yàn)證�,該數(shù)字簽名確保使用與所述至少ー個(gè)接收方實(shí)體相關(guān)聯(lián)的接收方實(shí)體私鑰所創(chuàng)建的、然后使用關(guān)于所述至少一個(gè)接收方實(shí)體生成的令牌轉(zhuǎn)換密鑰所轉(zhuǎn)換的消息的真實(shí)性���。
10.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置�����,其中所述令牌發(fā)放方在ー個(gè)或多個(gè)信息系統(tǒng)的所述訪問策略器所信任的實(shí)體的控制下����,準(zhǔn)許對所述ー個(gè)或多個(gè)信息系統(tǒng)的訪問。
11.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置�����,該控制裝置用于使得對多個(gè)信息系統(tǒng)中的一個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制�,其中對所述信息系統(tǒng)的訪問通過相應(yīng)的訪問策略器而被管制。
12.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置��,該控制裝置用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制�,所述網(wǎng)絡(luò)包括多個(gè)令牌發(fā)放方,每個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌����。
13.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置,該控制裝置用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制��,所述網(wǎng)絡(luò)包括多個(gè)接收方實(shí)體�����,每個(gè)接收方實(shí)體能夠操作為接收由令牌發(fā)放方發(fā)放的訪問預(yù)授權(quán)令牌��。
14.一種用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制的系統(tǒng)���,對所述信息系統(tǒng)或所述多個(gè)信息系統(tǒng)中的每ー個(gè)信息系統(tǒng)的訪問通過訪問策略器而被管制�,該系統(tǒng)包括 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的控制裝置��; 至少ー個(gè)令牌發(fā)放方�,該至少ー個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌,以及向在整個(gè)所述網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體轉(zhuǎn)發(fā)所述訪問預(yù)授權(quán)令牌�,所述訪問預(yù)授權(quán)令牌具有與其相關(guān)聯(lián)的信息標(biāo)識符和數(shù)字簽名;以及 至少ー個(gè)接收方實(shí)體�����,該至少ー個(gè)接收方實(shí)體能夠操作為接收由所述至少ー個(gè)令牌發(fā)放方所發(fā)放的訪問預(yù)授權(quán)令牌���; 其中 所述至少ー個(gè)令牌發(fā)放方能夠操作為接收關(guān)于所述至少一個(gè)接收方實(shí)體由所述控制裝置所生成的接收方實(shí)體私鑰�����,使用所述接收方實(shí)體私鑰用數(shù)字簽名對所述訪問預(yù)授權(quán)令牌簽名����,以及向所述至少一個(gè)接收方實(shí)體轉(zhuǎn)發(fā)經(jīng)簽名的所述訪問預(yù)授權(quán)令牌����; 所述至少ー個(gè)接收方實(shí)體能夠操作為接收關(guān)于所述至少一個(gè)接收方實(shí)體由所述控制裝置所生成的令牌轉(zhuǎn)換密鑰,使用所述令牌轉(zhuǎn)換密鑰用數(shù)字簽名對經(jīng)簽名的所述訪問預(yù)授權(quán)令牌重新簽名�,以及向所述訪問策略器提供所述經(jīng)重新簽名的令牌����;以及 所述訪問策略器能夠操作為接收由所述控制裝置所生成的令牌發(fā)放方公鑰�,使用所述令牌發(fā)放方公鑰驗(yàn)證在所述經(jīng)重新簽名的令牌上的所述數(shù)字簽名的真實(shí)性,以及基于所述驗(yàn)證而允許所述至少ー個(gè)接收方實(shí)體訪問所述ー個(gè)或多個(gè)信息系統(tǒng)��。
15.—種用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體對ー個(gè)或多個(gè)信息系統(tǒng)的訪問能夠被控制的方法�,對所述一個(gè)信息系統(tǒng)或所述多個(gè)信息系統(tǒng)中的每ー個(gè)的訪問通過訪問策略器被管制,所述網(wǎng)絡(luò)包括至少ー個(gè)令牌發(fā)放方����,所述至少一個(gè)令牌發(fā)放方能夠操作為發(fā)放訪問預(yù)授權(quán)令牌,以及向在整個(gè)所述網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體轉(zhuǎn)發(fā)所述訪問預(yù)授權(quán)令牌���,所述訪問預(yù)授權(quán)令牌具有與其相關(guān)聯(lián)的信息標(biāo)識符和數(shù)字簽名�����;以及至少ー個(gè)接收方實(shí)體�����,所述至少ー個(gè)接收方實(shí)體能夠操作為接收由所述至少ー個(gè)令牌發(fā)放方所發(fā)放的訪問預(yù)授權(quán)令牌�; 所述方法包括 關(guān)于所述至少一個(gè)接收方實(shí)體生成 (i)包括公鑰和私鑰的接收方實(shí)體公鑰/私鑰對�����,所述接收方實(shí)體公鑰使得確保使用所述接收方實(shí)體私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證;以及 (ii)令牌轉(zhuǎn)換密鑰��,所述令牌轉(zhuǎn)換密鑰使得使用關(guān)于所述至少一個(gè)接收方實(shí)體生成的私鑰所創(chuàng)建的數(shù)字簽名能夠轉(zhuǎn)換為與所述令牌發(fā)放方相關(guān)聯(lián)的數(shù)字簽名��; 關(guān)于所述至少一個(gè)令牌發(fā)放方生成 (iii)令牌發(fā)放方公鑰/私鑰對��,所述令牌發(fā)放方公鑰使得確保使用所述令牌發(fā)放方私鑰所創(chuàng)建的消息的真實(shí)性的數(shù)字簽名能夠被驗(yàn)證����; 向所述至少一個(gè)令 牌發(fā)放方分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述接收方實(shí)體私鑰��; 向所述至少一個(gè)接收方實(shí)體分配關(guān)于所述至少一個(gè)接收方實(shí)體生成的所述令牌轉(zhuǎn)換密鑰�;以及 向所述訪問策略器分配所述令牌發(fā)放方公鑰。
全文摘要
一種用于使得由在整個(gè)供應(yīng)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體(34)對一個(gè)或多個(gè)信息系統(tǒng)(36)的訪問能夠被控制的控制裝置(30)��、系統(tǒng)和方法�����,對所述信息系統(tǒng)或每個(gè)信息系統(tǒng)(36)的訪問通過訪問策略器(38)被管制���,該網(wǎng)絡(luò)包括至少一個(gè)令牌發(fā)放方(32)��;以及至少一個(gè)接收方實(shí)體(34)�,該至少一個(gè)令牌發(fā)放方(32)能夠操作為發(fā)放訪問預(yù)授權(quán)令牌以及向在整個(gè)網(wǎng)絡(luò)的路徑上的一個(gè)或多個(gè)實(shí)體(34)轉(zhuǎn)發(fā)訪問預(yù)授權(quán)令牌,該訪問預(yù)授權(quán)令牌具有與其相關(guān)聯(lián)的信息標(biāo)識符和數(shù)字簽名�����,該至少一個(gè)接收方實(shí)體(34)能夠操作為接收由所述至少一個(gè)令牌發(fā)放方(32)所發(fā)放的訪問預(yù)授權(quán)令牌����。
文檔編號H04L9/32GK102792633SQ201180014005
公開日2012年11月21日 申請日期2011年1月14日 優(yōu)先權(quán)日2010年1月29日
發(fā)明者安德列·亞索伯拉, 特雷弗·伯布里奇 申請人:英國電訊有限公司