用于核對在計算機網絡上訪問數據的人的身份真實性的系統和方法技術方案

一種數據處理系統（100），包括：一數據庫（4）；能夠在一網絡（2）上互相通信的主計算機（3）和用戶計算機（1）；其中所述用戶計算機發送一數據請求消息（RQ）到主計算機（3），所述請求消息包含數據信息（RD）、身份信息（RI），以及真實性信息（A；VI），其中主計算機（3）核對所述驗證信息，并僅當身份信息（RI）限定一被授權用戶以及驗證信息（A；VI）證實用戶的識別信息時發送所需數據。所述請求消息進一步包含輔助信息（RT），以及主計算機（3）根據輔助信息計算一可靠性值（R），比較計算出的可靠性值和一預定義的可靠性閾值，并僅當所述可靠性值至少達到所述可靠性閾值時發送所需數據。

【技術實現步驟摘要】
【國外來華專利技術】
本專利技術概括而言涉及一用于核對登錄計算機網絡上的人的身份真實性的系統。
技術介紹
圖I用示意圖顯示了一具有數據的數據庫，其以參考數字I標示。與數據庫4關聯的一主計算機以參考數字3標示。一用戶計算機以參考數字I標示。用戶計算機I和主計算機3能夠在一網絡2上互相通信，所述網絡2可包括一無線通信路徑和/或一有線通信路徑，還可包括因特網。在一簡單的情況中，用戶計算機I發送一請求消息到主計算機3(以下也簡單地顯 示為“主機”)，標識所需數據，然后主機3接收該請求消息，處理標識所需數據的信息，從數據庫4中檢索所需數據，并發送一響應消息到用戶計算機1，這個響應消息包括所需數據。如果涉及的數據可被任何人訪問，這樣的設置是足夠可行的。然而，有許多例子，其中數據訪問只限于授權的人。一個重要的例子為病人信息，其為保密性起見而限制訪問。另一例子為一公司，工作人員被允許訪問他們自己的檔案但不允許訪問其他工作人員的工作檔案，同時只有一些工作人員被允許訪問記帳數據。另一例子為一銀行帳戶。另一個規模更小的例子為訪問一筆記本電腦(laptop)或U盤(USBstick)或其他類型的便攜的數據存儲裝置。在這些情況中，主機3設置有一記憶體5 (參見圖2)，其包含信息(例如以表格的形式)，所述信息定義了人們與允許他們訪問的數據之間的關系。在請求消息中，包含有用戶標識信息(例如名字或登入代碼)，其標識使用用戶計算機I的用戶。主機核對該用戶標識信息以識別用戶，決定用戶被授權訪問哪個數據，并核對所請求的數據是否為該用戶可訪問的數據的一部分?，F在有一問題，主機3不知道使用用戶計算機I的用戶是否實際為他宣稱的用戶本人。對此問題，有必要采用某種驗證程序，以保證用戶標識信息的真實性。為了驗證用戶標識真實性，現存有多種可能性。一個簡單的可能操作為，例如使用鍵盤或任何其他適當類型的輸入裝置，輸入一口令。該口令應該只為真實的用戶所知。主機只接收該口令信息，但不知道口令是否由真實的用戶還是虛假的用戶輸入，所述虛假的用戶在以下用“冒名頂替者”指代。由此，這起碼的事實，即主機3接收正確的口令并不保證操作用戶計算機I的人實際為被授權的人僅列舉幾個例子，有可能該被授權的人把口令細節給予(自愿或非自愿地)其他人，有可能一冒名頂替者猜到正確的口令，并甚至有可能一冒名頂替者偷竊口令細節，例如通過觀看被授權的人，或通過找到一筆記本，被授權的人把他的口令記錄在該筆記本中。用于驗證用戶身份的另一可能操作為使用唯一的機器可識別對象，例如具有磁條的磁卡，這種情況下用戶計算機I可設置有一讀卡裝置6 (參見圖3)。具有磁條(或可選地為一芯片)的卡包含信息，以及適當的讀取器，為本身所知。對于另一類型的信息攜帶對象，需要對應類型的讀取器，這對本領域技術人員將是明顯的。該涉及的手段已經提高了安全性，但是有可能原始卡已被偷竊或復制。再另一個用于驗證用戶身份的可能操作是使用身體特征的識別，所述身體特征對于被授權的人的真實身體是惟一的。例如，指紋掃描器和虹膜掃描器為通常所知并在市場上可買到。然而，盡管讀卡器可從卡中讀取信息并把其發送到主機3，身體特征的檢測一般涉及掃描器內的一識別過程，所述掃描器在一學習模式中已掃描和儲存有關的身體特征，以及其在正常運作中瞬時比較掃描信息和存儲信息，并基于本地產生要被發送到主機的是/否(YES/N0)信息。在用戶移動和希望在不同的地點使用不同的計算機的情況，這將難以執行這樣的驗證程序。總的來說，通常，有可用的多種類型的驗證方法，其需要不同類型的信息和需要不同類型的讀取器，而有可能用戶并不總是把所有信息載體帶在身上(他可能忘記帶上他的磁卡)，還有可能并不是所有訪問地點(計算機I)裝有所有可能類型的讀取器。另外，可能一些類型的信息相比其它類型的信息要求更高級別的保護(例如相比用于個人雜志的稿件，病人信息可要求更高級別的針對未授權訪問的保護)。 進一步的問題可能是，某些信息載體相比其他為或變得沒那么可靠。例如，在一基于使用磁卡或芯片卡的系統中，可以設想這種卡來自不同的供應者。政府可提供例如非常高質量的身份證(護照、駕駛員執照)，把其親自發給預定的用戶，僅當他認明他自己的身份時。一公司可能使用例如品質差一點的便宜的卡?；蛘咭驗榭ㄊ青]寄或放在一堆卡內以讓預定的用戶從中挑揀，發卡過程可能沒那么安全。進一步可以設想，卡的加密技術在現今是安全的而在未來卻會折衷，以致這些卡可容易地被復制并因此欠缺安全。
技術實現思路
本專利技術的目的是消除或至少減少上述問題。在根據本專利技術的一系統中，用戶計算機不僅把定義用戶(名字)的信息和與真實性有關的信息(比如口令)發送到主機，并且把和使用的驗證方法(例如讀卡器、指紋掃描器)有關的輔助信息發送到主機，所述驗證方法包含限定了所使用的裝置的信息(制造商、類型)和限定了所使用的卡的信息(制造商、類型、使用年限)。如果使用了多種方法(口令以及卡片)，這也被告知主機。此外主機設置有一記憶體，其包含所述輔助信息和一可靠性值之間的關系(例如以表格的形式)。在使用中，主機處理所述輔助信息，使用所述關系和所述輔助信息計算可靠性值，比較所述可靠性值和一預定義的可靠性閾值，并僅當所述可靠性值至少達到所述可靠性閾值時準予訪問。因此，除了與用戶身份有關的信息(誰是用戶)和與真實性有關的信息(身份證明)，主機還接收與真實性的可靠性有關的信息，并且可以讓用戶在某些情況滿足低級別驗證而在其它情況下要求高度可靠的真實性。從而，可使某種數據通過一口令訪問而其他的類型的數據僅能通過一芯片卡或生物測定數據來訪問。這需要網絡操作員為每一數據目標定義一可靠性閾值。進一步，如果某一種驗證過程打折扣，例如某一種芯片卡被破解，網絡操作員有可能簡單地及迅速地降低與該指定的驗證過程相關的可靠性值，以使該過程不再接受對高度敏感的數據的訪問。附圖說明本專利技術的這些及其他方面的特征和優點，以下通過參照附圖對優選實施例的描述來做進一步的說明，其中相同的參考數字代表相同或相似的部件，且其中圖1-3為方框圖，其示意性地展示根據現有技術水平的網絡；圖4為一方框圖，其示意性地展示根據本專利技術的網絡；圖5為一流程圖，其示意性地展示根據本專利技術的網絡中的信息流。具體實施例方式參照圖4和圖5，根據本專利技術的數據處理系統100包括主機3，其設置有可靠性值定義記憶體10。記憶體10包括一表格(或其他類型的關系)，其定義一預設的可靠性值，所述預設的可靠性值對應某一驗證參數，所述驗證參數可能涉及驗證過程的類型、信息載體的制造商、發布所述信息載體的過程、讀取裝置的類型，等等。主機3進一步設置有可靠性閾值定義記憶體20。記憶體20包括一表格(或其他類型的關系)，其定義與數據庫4中限定 的部分數據關聯的可靠性閾值。操作如下，其中含有7個子操作。在第一子操作210中，用戶輸入請求信息到用戶計算機I。該請求信息包含數據信息D (步驟211)，數據信息D定義用戶希望訪問的數據，以及身份信息I (步驟212)，身份信息I定義用戶的身份(例如名字)。用戶還輸入真實性信息A到讀取器6 (步驟213)中，真實性信息A可以為一口令、一芯片卡，或甚至生物測定數據，如上述說明。讀取器6把信息傳送到用戶計算機I。該信息包含正確性信息V (步驟214)，其可以是真實本文檔來自技高網...

【技術保護點】

【技術特征摘要】
【國外來華專利技術】...

【專利技術屬性】
技術研發人員：R·皮特斯，R·M·范德爾德里弗特，M·斯蒂吉爾，
申請(專利權)人：奧撒薩斯私營有限責任公司，
類型：
國別省市：