在用于验证通过数据链路(3)被连接到第二装置(2)的第一装置(1)的一个用户的身份的方法中,向该用户提供用户专用的口令字(8),本方法包括从第一装置(1)向第二装置(2)发送用户专用的数据,并将数据的至少一部分与在第二装置(2)上的数据进行比较,口令字数据的大小超过在预定的时间间隔内数据链路(3)所能传送的数据量。从第一装置(1)向第二装置(2)发送的用户专用数据包括向用户提供的用户专用的口令字(8)的一个或多个子段(9,10)。含有通过数据链路(3)被连接到第二装置(2)的第一装置(1)的系统,使用这样一种方法。计算机程序允许可编程处理装置起到第一装置(1)或第二装置(2)的作用。(*该技术在2022年保护过期,可自由使用*)
【技术实现步骤摘要】
技术介绍
本专利技术涉及一种方法,用于验证通过一条数据链路被连接到第二装置的第一装置的用户的身份,其中,向该用户提供一个用户专用的口令字,本方法包括从第一装置向第二装置发送用户专用的数据,并将该数据的至少一部分跟参考数据进行比较。这样的方法被用来,例如,验证一个付费电视系统的一个用户的身份,或者限制访问的网站的访问者的身份。在这些情况下,有必要去验证用户或访问者的身份。只有那些已经付费去接收一定的广播信号的用户才应被允许这样做。类似地,只有那些具有对网站的访问权的计算机用户才应被允许去访问该网站。用于识别网络中的一个装置的用户的通用技术就是要求他提供一个口令字。在第二装置后面的机构将从该用户接收的口令字跟保存在它的记录中的一个拷贝进行比较,以便验证他的身份。这样一个系统依赖于该用户的善意。若该用户决定使他的口令字可用于未经授权的第三方,则这个第三方可能冒充第一装置的用户的身份。像因特网那样的网络提供了一种使数据被广大公众使用的相对容易的方式。这样一来,在网络中的一个恶意的用户可能使他的口令字变为广大公众都能使用,使得信赖该口令字的系统不安全。围绕这个问题的一种方法就是向用户提供不断改变的口令字。每次请求验证都要求用户提供一个不同的口令字。然而,由于必须从一个列表中生成或选择口令字,所以这种方法可能是麻烦的和费时的。使用非常长的口令字向一个系统提供了额外的安全性。当使用本专利技术的方法时,为了避免长的验证过程,从第一装置向第二装置发送的用户专用数据包括向用户提供的用户专用口令字的一个或多个子段。这样一来,对用户身份的验证不需要传送整个口令字。这使得验证过程进行得更快并且不麻烦。第二装置可以向第一装置发送一项关于口令字的某些段的请求。在根据本专利技术的方法的一个较佳实施例中,这些部分是以随机方式选出的。这就提供了针对窃听者的安全性。对第一装置和第二装置之间通信的窃听将不会揭示足够的信息,使窃听者不能继续冒充第一装置的用户。可以在一个数据载体,例如一张CD或DVD盘片上向第一装置的用户提供整个口令字。可以使用一种标准的方法对该数据载体进行拷贝保护。附图说明图1表示使用根据本专利技术的方法的一个计算机网络。一个第一装置1,在本例中为在网络中的一部计算机,直接地或间接地被连接到一个第二装置2,使得数据可以从其中一个传送到另一个。在这个特定的实施例中,第二装置是一个服务器。第一装置通过一条数据链路3被连接到第二装置2。数据链路3可以是像局域网那样的一个网络,一种拨号连接,或者一种因特网连接。第一装置1的一个用户希望登录,以便例如从第二装置或从网络中的其他已连接的装置检索文件。已经向该用户提供了可用的口令字,包括一个很长的比特串。这个口令字对用户来说是唯一的。此外,还可以使用某种将用户跟口令字联系起来的方法。这可能是在很长的比特串的一部分中的一组代码,或者一个用户名,或者计算机1的一个标识。在图1的特定的实施例中,已经在采取CD形式的数据载体4中向用户提供可用的口令字。也可以使用任何其他类型的数据载体。当第一装置1是一部计算机时,数据载体可以是,例如,一个软磁盘,一张DVD盘片或者一盒磁带。被连接到第一装置1,或者作为第一装置1的一部分的是某种装置5,用以读出口令字。在图1中,这是一个CD播放器,但是它也可能是一个DVD播放器,或者适于读出数据载体4的内容的某种其他装置。为了避免用户直接地拷贝数据载体4的内容,它被加上拷贝保护。这种保护技术可能,例如,包括将一些坏扇区设置于CD4。大多数CD写入器都不能处理来自坏扇区的数据。第二装置2可以保留各坏扇区的一份记录。由此就免除了对已包含在一个坏扇区中的一段口令字的请求。图2示意性地表示在本专利技术的一个优选实施例中口令字的生成。对用户来说是唯一的一个源码6被送往口令字发生器7。口令字发生器7最好是一个随机数发生器。但是,口令字发生器7使用某些其他算法也是可以理解的。口令字发生器7生成用户专用的口令字8,包括一个很长的比特串。在根据本专利技术的方法的一个步骤中,用户专用的口令字8的子段9,10可以被选择用于从第一装置1发送到第二装置2。口令字的长度及其数据大小,在设置该系统之前就已经由其发布者确定。为了确定口令字8的长度,至少有两项标准是重要的。在图1的系统中,第一项标准就是数据链路3的容量。在其他系统中,通往在网络中的一部典型的计算机的最快的数据链路的容量通常是一项好的标准。若该计算机被连接到因特网,则因特网链路的速度将成为决定性的标准。由于口令字在因特网上扩散这种途径具有导致严重破坏的潜在危险,所以本专利技术的一个主要方面就是防止口令字通过因特网扩散。口令字数据大小被这样选择,使之超过数据链路3在一定时间间隔内所能传送的数据量。这个一定的时间间隔被选择得足够长,以阻止用户们共享口令字。在像图1那样的一个自包含网络中,这可能是几个小时的事情。若该计算机能够连接到因特网,则可以选择一个更长的间隔,例如,10-12小时。在任何情况下,这个时间间隔应当足够长,使得下载整个口令字8是极端地没有吸引力的。第二项标准就是在其上向用户提供可用的口令字8的数据载体4的存储容量。在CD-ROM的情况下,其最大值约为640Mb。使用载体4的全部容量以提供最高的安全水平是有利的。本方法不设定比特串长度的上限。为什么是这样,通过察看图3,这个问题就清楚了,在图3中,描述了本专利技术的方法的一个实施例的一份示意性的流程图。该图表示当验证第一装置1的一个用户(例如,在图1中计算机1的一个用户)的身份时,在第二装置2中所发生的某些重要步骤。在数据载体4已经被插入到CD播放器之后,装置5读出口令字,第一装置1发出一项登录请求,它被第二装置2在第一步骤11接收。此项请求或者由用户键入,可能使用一段帮助程序,或者在将CD或数据载体4插入到与第一装置1连接的一个读出器时,由帮助程序自动地产生。登录请求可以向第二装置2提供关于该用户或第一装置1的身份的信息,使得该用户能与口令字8联系起来。可供选择地,从第一装置1发出的口令字8的被选子段9,10可能包括一种标识用户的方法。在后一种情况下,口令字的一个或多个子段9,10含有一组标识代码,用以标识该用户。第二装置2能随即从相关的段中取出这组代码,用它来将该用户链接到正确的参考数据。由于口令字8如此之长,以至于无法在任何合理的时间间隔内通过数据链路3将其传送,所以,由第一装置1向第二装置2发送的口令字8的已选定的子段9,10在大小上将是较小的。可以事先设定已选定的子段9,10的总的数据大小。最好是,它被这样选择,使得整个验证过程尽可能地短,同时仍然保持适当水平的安全性,如以上在讨论图1时所列举的那样。在一个优选实施例中,当每次必须验证用户身份时,在第二步骤12,第二装置2就选择不同的子段9,10。由于每一次会晤都使用口令字8的不同的子段9,10,所以捕获在一次会晤中所发送的子段9,10是没有意义的。在数据链路上的窃听者1’,1”仍然无法在一次后续的会晤中冒充该用户。为了更进一步地提高安全性水平,第二装置2可以将子段9,10选择为随机发送。在口令字共享不成为问题的场合中可使用的根据本专利技术的方法的一个单独的实施例中,这方面允许使用较短的口令字。由于每次需要验证用户身份时都选择不同的子段,本文档来自技高网...
【技术保护点】
用于验证通过数据链路(3)被连接到第二装置(2)的第一装置(1)的用户的身份的方法,其中,向该用户提供用户专用的口令字(8),本方法包括从第一装置(1)向第二装置(2)发送用户专用的数据(9,10),并将所述数据(9,10)的至少一部分与参考数据进行比较,其特征在于,口令字数据的大小超过在预定的时间间隔内数据链路(3)所能传送的数据量。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:杰拉德约汉德克尔,
申请(专利权)人:耶德托存取公司,
类型:发明
国别省市:NL[荷兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。