傳播用于控制訪問的附加數據的制作方法

專利名稱：傳播用于控制訪問的附加數據的制作方法
相關申請交叉索引本申請要求2003年7月18日申請的美國臨時專利申請60/488,645的優先權，其通過引用組合于此，且還要求2003年9月24日申請的美國臨時專利申請60/505,640的優先權，其通過引用組合于此，且是2004年6月24日申請的美國專利申請10/876,275(未決)的延續，其要求2003年6月24日申請的美國臨時專利申請60/482,179的優先權，且其本身是2001年7月25日申請的美國專利申請09/915,180的部分的延續，其是2000年1月14日申請的美國專利申請09/483,125的延續(現在為美國專利6,292,893)，其是1999年7月19日申請的美國專利申請09/356,745的延續(已放棄)，其是1997年3月24日申請的美國專利申請08/823,354的延續(現在為美國專利5,960,083)，其是1995年11月16日申請的美國專利申請08/559,533的延續(現在為美國專利5,666,416)，其要求1995年10月24日申請的美國臨時申請60/006,038的優先權，且是2003年4月8日申請的美國專利申請10/409,638的延續(未決)，其要求下述申請的優先權2002年4月8日申請的美國臨時申請60/370,867；2002年4月16日申請的美國臨時申請60/372,951；2002年4月17日申請的美國臨時申請60/373,218；2002年4月23日申請的美國臨時申請60/374,861；2002年10月23日申請的美國臨時申請60/420,795；2002年10月25日申請的美國臨時申請60/421,197；2002年10月28日申請的美國臨時申請60/421,756；2002年10月30日申請的美國臨時申請60/422,416；2002年11月19日申請的美國臨時申請60/427,504；2003年1月29日申請的美國臨時申請60/443,407；及2003年2月10日申請的美國臨時申請60/446,149；所有這些申請的示教均通過引用組合于此。且其是2002年3月20日申請的美國專利申請10/103,541(未決)的部分的延續，其示教通過引用組合于此，其本身是2001年7月25日申請的美國專利申請09/915,180(未決)的部分的延續，且其是2000年1月14日申請的美國專利申請09/483,125的延續(現在為美國專利6,292,893)，其是1999年7月19日申請的美國專利申請09/356,745的延續(已放棄)，其是1997年3月24日申請的美國專利申請08/823,354的延續(現在為美國專利5,960,083)，其是1995年11月16日申請的美國專利申請08/559,533的延續(現在為美國專利5,666,416)，其基于1995年10月24日申請的美國臨時申請60/006,038。美國專利申請10/103,541還是1997年12月18日申請的美國專利申請08/992,897(現在為美國專利6,487,658)的延續，其基于1996年12月18日申請的美國臨時申請60/033,415，且其是1996年9月19日申請的美國專利申請08/715,712(已放棄)的部分的延續，其基于1995年10月2日申請的美國臨時申請60/004,796的延續。美國專利申請08/992,897的部分還是1996年10月11日申請的美國專利申請08/729,619(現在為美國專利6,097,811)的延續，其基于1995年11月2日申請的美國臨時申請60/006,143。美國專利申請08/992,897的部分還是1997年2月24日申請的美國專利申請08/804,868(已放棄)的延續，其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續，其基于1995年11月2日申請的美國臨時申請60/006,143。美國專利申請08/992,897的部分還是1997年6月11日申請的美國專利申請08/872,900(已放棄)的延續，其是1996年11月5日申請的美國專利申請08/746,007(現在為美國專利5,793,868)的延續，其基于1996年8月29日申請的美國臨時申請60/025,128。美國專利申請08/992,897還基于1997年2月3日申請的美國臨時申請60/035,119，其還是1997年8月5日申請的美國專利申請08/906,464(已放棄)的延續，其部分是1996年12月9日申請的美國專利申請08/763,536(現在為美國專利5,717,758)的延續，其基于1996年9月10日申請的美國臨時申請60/024,786，并基于1996年4月23日申請的美國專利申請08/636,854(現在為美國專利5,604,804)，并還基于1996年8月29日申請的美國臨時申請60/025,128。美國專利申請08/992,897的部分還是1996年11月26日申請的美國專利申請08/756,720(已放棄)的延續，其基于1996年8月29日申請的美國臨時申請60/025,128，并還基于1996年9月19日申請的美國專利申請08/715,712(已放棄)，并還基于1995年11月16日申請的美國專利申請08/559,533(現在為美國專利5,666,416)。美國專利申請08/992,897的部分還是1996年11月19日申請的美國專利申請08/752,223(現在為美國專利5,717,757)的延續，其基于1996年8月29日申請的美國臨時申請60/025,128，且部分還是1997年2月24日申請的美國專利申請08/804,869(已放棄)的延續，其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續，其基于1995年11月2日申請的美國臨時申請60/006,143。美國專利申請08/992,897的部分還是1997年3月24日申請的美國專利申請08/823,354(現在為美國專利5,960,083)的延續，其是1995年11月16日申請的美國專利申請08/559,533(現在為美國專利5,666,416)的延續，其基于1995年10月24日申請的美國臨時申請60/006,038。美國專利申請10/103,541還基于2001年3月20日申請的美國臨時申請60/277,244、及2001年6月25日申請的美國臨時申請60/300,621、及2001年12月27日申請的美國臨時申請60/344,245。上述所有申請均通過引用組合于此。美國專利申請10/409,638還是2001年6月25日申請的美國專利申請09/915,180(未決)的延續，其示教組合于此以供參考，其本身是2000年1月14日申請的美國專利申請09/483,125(現在為美國專利6,292,893)的延續，其是1999年7月19日申請的美國專利申請09/356,745(已放棄)的延續，其是1997年3月24日申請的美國專利申請08/823,354(現在為美國專利5,960,083)的延續，其是1995年11月16日申請的美國專利申請08/559,533(現在為美國專利5,666,416)的延續，其基于1995年10月24日申請的美國臨時申請60/006,038。上述所有申請的示教均通過引用組合于此。美國專利申請10/409,638還是2003年3月21日申請的美國專利申請10/395,017(未決的)的延續，其示教組合于此以供參考，其本身是2002年9月16日申請的美國專利申請10/244,695(已放棄)的延續，其是1997年12月18日申請的美國專利申請08/992,897(現在為美國專利6,487,658)的延續，其基于1996年12月18日申請的美國臨時專利申請60/033,415，且其部分是1996年9月19日申請的美國專利申請08/715,712(已放棄)的延續，其基于1995年10月2日申請的美國專利申請60/004,796，且其部分還是1996年10月10日申請的美國專利申請08/729,619(現在為美國專利6,097,811)的延續，其基于1995年11月2日申請的美國專利申請60/006,143，且其部分還是1997年2月24日申請的美國專利申請08/804,868(已放棄)的延續，其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續，其基于1995年11月2日申請的美國專利申請60/006,143，且其部分還是1997年6月11日申請的美國專利申請08/872,900(已放棄)的延續，其是1996年11月5日申請的美國專利申請08/746,007(現在為美國專利5,793,868)的延續，其基于1996年8月29日申請的美國專利申請60/025,128，且其還基于1997年2月3日申請的美國專利申請60/035,119，且其部分還是1997年8月5日申請的美國專利申請08/906,464(已放棄)的延續，其是1996年12月9日申請的美國專利申請08/763,536(現在為美國專利5,717,758)的延續，其基于1996年9月10日申請的美國專利申請60/024,786，且還基于1997年4月23日申請的美國專利申請08/636,854(現在為美國專利5,604,804)及1996年8月29日申請的美國專利申請60/025,128，且其部分還是1996年11月26日申請的美國專利申請08/756,720(已放棄)的延續，其基于1996年8月29日申請的美國專利申請60/025,128，并還基于1996年9月19日申請的美國專利申請08/715,712(已放棄)，并還基于1995年11月16日申請的美國專利申請08/559,533(現在為美國專利5,666,416)，且其部分還是1996年11月19日申請的美國專利申請08/752,223(現在為美國專利5,717,757)的延續，其基于1996年8月29日申請的美國專利申請60/025,128，且部分還是1997年2月24日申請的美國專利申請08/804,869(已放棄)的延續，其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續，其基于1995年11月2日申請的美國專利申請60/006,143，且其部分還是1997年3月24日申請的美國專利申請08/823,354(現在為美國專利5,960,083)的延續，其是1995年11月16日申請的美國專利申請08/559,533(現在為美國專利5,666,416)的延續，其基于1995年10月24日申請的美國專利申請60/006,038。上述所有申請的示教均通過引用組合于此。
背景技術：
1.技術領域本申請涉及物理訪問控制領域，特別是使用處理器操縱的鎖及相關數據的物理訪問控制領域。
2.背景技術在許多情況下，如在訪問機場、軍事設施、辦公樓等時，確保只有經授權的個人才可訪問受保護的區域和設備是非常重要的。傳統的門和墻可用于保護敏感區域，但具有傳統的鎖和鑰匙的門在管理許多用戶的設置時非常麻煩。例如，一旦雇員被解雇，很難收回當初雇用時發給該前雇員的物理鑰匙。此外，還有這樣的鑰匙被復制多把且永未交出的風險。
智能門提供訪問控制。在某些情況下，智能門可被裝備以鍵盤，用戶通過鍵盤可輸入其PIN或密碼。鍵盤可具有附加的存儲器和/或基本處理器，有效的PIN/密碼的列表可被保存在其中。因此，門可檢查當前輸入的PIN是否屬于當前的有效列表。如果屬于，則門打開。否則，門可保持被鎖。當然，不是(唯一)依賴于傳統的鑰匙或簡單的鍵盤，更現代的智能門可與卡(如智能卡和磁條卡)或無接觸設備(如PDA、移動電話等)一起工作。這樣的卡或設備可在除傳統鑰匙或電子鍵盤之外輔助使用或用以代替前述鑰匙或電子鍵盤。設計來由用戶攜帶的這些磁條卡、智能卡或無接觸設備可具有保存信息的能力，信息可被傳輸給門。更先進的卡還可具有計算和通信能力。門上的相應設備能夠從卡讀信息，并可能參加與卡的交互式協議，與計算機通信等。
門的一方面是其連通性等級。全連接的門是一直與一些數據庫(或其它計算機系統)連接的門。例如，數據庫可包含關于當前有效的卡、用戶、PIN等的信息。在某些情況下，為防止敵人改變流入門的信息，這樣的連接被保護(例如，通過將從門到數據庫的導線置放在鋼管內)。另一方面，全不連通的門不與其緊靠的附近區域的外面進行通信。在這兩個極端情況之間，還有具有斷續連通性的門(例如，無線連接的“移動”門，其僅在地面站范圍之內時才可與外面通信，如飛機或卡車的門)。
傳統的訪問控制機制有許多缺點。全連接的門非常昂貴。將安全管連接到遠處的智能門的花費可能遠超出智能門本身的成本。以密碼方式保護導線，同時可能較廉價，但也有其自己的成本(例如，保護和管理密鑰的成本)。此外，沒有鋼管和安全守衛的密碼系統不能防止導線被割斷，在這種情況下，不長久連接的門可能被迫在兩個極端選擇之間進行選擇即，總是保持關閉或總是打開，但二者均不是合意。在一些情況下，全連接門通常不是可行的選擇。(例如，在大西洋中部海平面以下的貨物集裝箱的門實際上被完全不連通。)不連通的智能門可能較連通的門便宜。然而，傳統接近智能門具有其自身的問題。例如，假設不連通的智能門能夠識別PIN。被終止的雇員不再被授權通過該門，然而，如果他還記得他自己的PIN，他將沒有任何困難打開如基本的智能門。因此，必須“抵消”已終止雇員的PIN的影響，這對于不連通的門來說很難。事實上，這樣的過程可能非常麻煩且昂貴機場設施具有好幾百道門，無論雇員在何時離開或被終止雇用關系，均調度特殊的工人隊伍出去并去除所有這些門的舊有程序太不切實際。
因此，希望提供與全連通的門相關聯的安全等級，而不導致額外的成本。如所證明的，不連通的智能門和卡本身并不保證訪問控制系統的安全、方便和低成本。

發明內容
根據本發明，控制訪問包括提供訪問障礙，其包括有選擇允許訪問的控制器，至少一管理實體產生憑證/證明，其中如果僅給出憑證和過期證明的值，則不可確定為有效證明，控制器接收憑證/證明，控制器確定訪問在當前是否被授權，如果訪問被當前授權，則控制器允許訪問。憑證/證明可以為一體，也可是分開的部分。可以是第一管理實體產生憑證，其它管理實體產生證明。第一管理實體還可產生證明或第一管理實體不可產生證明。憑證可對應于包括終值的數字證書，終值是將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。數字證書可包括電子設備的標識符。憑證可包括終值，終值為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。憑證可包括用戶請求訪問的標識符。憑證/證明可包括數字簽名。訪問障礙可包括墻和門。控制訪問還可包括提供連接到控制器的門鎖，其中控制器允許訪問包括控制器開動門鎖以允許門打開。控制訪問還可包括提供連接到控制器的讀卡機，其中控制器從讀卡機接收憑證/證明。憑證/證明可被提供在用戶呈現的智能卡上。控制訪問還可包括提供外部連接到控制器。外部連接可以是間歇性連接。控制器可使用外部連接接收至少一部分憑證/證明，或控制器可使用外部連接接收所有憑證/證明。控制訪問還可包括提供讀卡機連接到控制器，控制器從讀卡機接收憑證/證明的剩余部分。憑證/證明可被提供在用戶呈現的智能卡上。憑證/證明可包括用戶輸入的密碼。憑證/證明可包括用戶生物測定信息。憑證/證明可包括手寫簽名。憑證/證明可包括在用戶所持的卡上提供的秘密值。憑證/證明可在預定時間后過期。
根據本發明，實體控制多個用戶對至少一不連通的門的訪問包括將多個用戶映射到組，對于一系列日期的每一時間間隔d，使管理機構產生數字簽名SIGUDd，其表明該組的成員在時間間隔d期間可訪問門，使該組的至少一成員在時間間隔d期間接收SIGUDd以呈現給門從而通過門，使該組的至少一成員將SIGUDd呈現給門D，并在驗證下述內容之后使門打開(i)SIGUDd是表明該組成員可在時間間隔d訪問門的管理機構數字簽名，及(ii)當前時間在時間間隔d之內。該組的至少一成員可具有用戶卡且門可具有連接到機電鎖的讀卡機，該組的至少一成員可通過將SIGUDd保存在用戶卡內而接收SIGUDd，并通過使用戶卡被讀卡機讀而將SIGUDd呈現給門。管理機構可通過將SIGUDd記入可由該組的至少一成員訪問的數據庫中而使SIGUDd將被該組的至少一成員在時間間隔d期間接收。SIGUDd可以是公鑰簽名，且門可保存管理機構的公鑰。門還可驗證該組的至少一成員的身份信息。關于該組的至少一成員的身份信息可包括至少下述之一PIN及對門的復雜問題的回答。
根據本發明，控制物理訪問還包括分配實時憑證給一組用戶，檢查實時憑證，其中實時憑證包括固定的第一部分及定期被修改的第二部分，其中第二部分提供實時憑證為當前憑證的證明，通過在第一部分上執行操作并將結果與第二部分進行比較來驗證實時憑證的有效性；且只在實時憑證被驗證為有效時才允許該組成員的物理訪問。第一部分可由管理機構數字簽署。管理機構可提供第二部分。第二部分可由不同于管理機構的實體提供。實時憑證可被提供在智能卡上。該組的成員可在第一位置獲得實時憑證的第二部分。該組的成員可被允許訪問不同于且與第一位置分開的第二位置。實時憑證的第一部分的至少一部分可代表多次應用到實時憑證的第二部分的一部分的單向散列。多次可對應于自實時憑證的第一部分被發出之后逝去的時間量。控制物理訪問還可包括控制通過門的訪問。
根據本發明，確定訪問包括確定特定的憑證/證明是否表明訪問被允許，確定是否有另外的數據與憑證/證明相關聯，其中另外的數據獨立于憑證/證明，及如果特定憑證/證明表明訪問已被允許且有另外的數據與特定憑證/證明相關聯，則根據另外的數據提供的信息決定是否拒絕訪問。憑證/證明可以為一體，也可是分開的部分。可以是第一管理實體產生憑證，其它管理實體產生證明。第一管理實體還可產生證明或第一管理實體不可產生證明。憑證可對應于包括終值的數字證書，終值是將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。數字證書可包括電子設備的標識符。憑證可包括終值，終值為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。憑證可包括用戶請求訪問的標識符。憑證/證明可包括數字簽名。訪問可以是對由墻和門封閉的區域的訪問。確定訪問可包括提供門鎖，其中門鎖根據訪問是否被拒絕進行開啟。確定訪問還可包括提供接收憑證/證明的讀卡機。憑證/證明可被提供在用戶呈現的智能卡上。憑證/證明可包括用戶輸入的密碼。憑證/證明可包括用戶生物測定信息。憑證/證明可包括手寫簽名。憑證/證明可包括在用戶所持的卡上提供的秘密值。憑證/證明可在預定時間后過期。另外的數據可被數字簽署。另外的數據可以是與憑證/證明綁定的消息。消息可識別特定的憑證/證明并包括特定憑證/證明是否已被取消的指示。指示可以是空串。另外的數據可包括日期。另外的數據可以是包含關于特定憑證/證明的信息及包含關于一個或多個其它憑證/證明的信息的消息。確定訪問還可包括保存另外的數據。另外的數據可包括到期時間，其表明另外的數據將被保存多久。到期時間可對應于特定憑證/證明的到期。確定訪問還可包括將另外的數據保存預定長的時間。憑證/證明可在預定時間之后均到期。另外的數據可使用智能卡進行提供。智能卡可由試圖訪問區域的用戶呈現。對區域的訪問可使用墻和至少一門進行限制。另外的數據可用于不同于試圖訪問的用戶的用戶。確定訪問還可包括提供通信鏈路并使用通信鏈路傳輸另外的數據。通信鏈路可由智能卡提供以另外的數據。智能卡可要求與通信鏈路定期通信以保持有效。智能卡可被另一智能卡提供以另外的數據。另外的數據可被有選擇地提供給一小組智能卡。確定訪問還可包括提供優先級給另外的數據。另外的數據可根據提供給另外的數據的優先級而被有選擇地提供給一小組智能卡。另外的數據可被隨機提供給一小組智能卡。
根據本發明，發出和傳播關于憑證的數據包括使實體發出表明憑證已被取消的經鑒定的數據，使得經鑒定的數據保存在第一用戶的第一卡中，使用第一卡將經鑒定的數據傳輸給第一門，使第一門保存關于經鑒定的數據的信息，并使第一門依靠關于經鑒定的數據的信息來拒絕訪問憑證。經鑒定的數據可由數字簽名進行鑒定，且第一門可驗證數字簽名。數字簽名可以是公鑰數字簽名。數字簽名的公鑰可與憑證關聯。數字簽名可以是私鑰數字簽名。憑證和第一卡均屬于第一用戶。憑證可被保存在不同于第一卡的第二卡中，第一門可通過從存儲器檢索關于經鑒定的數據的信息而依靠這樣的信息。憑證可屬于不同于第一用戶的第二用戶。經鑒定的數據可被首先保存在不同于第一卡的至少一其它卡中，且經鑒定的數據可從至少一其它卡傳輸給第一卡。經鑒定的數據可通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。實體可通過首先使經鑒定的數據保存在應答器上然后使第一卡從應答器獲得經鑒定的數據而使得經鑒定的數據被保存在第一卡中。應答器可無保護。第一門可通過使經鑒定的數據首先傳輸給不同于第一卡的至少一其它卡而從第一卡接收關于經鑒定的數據的信息。至少一其它卡可通過使經鑒定的數據首先傳輸給不同于第一門的至少一其它門而從第一卡接收關于經鑒定的數據的信息。第一門可以是全不連通或間歇連通。
根據本發明，第一門接收關于第一用戶的憑證的經鑒定的數據，過程包括從屬于不同于第一用戶的第二用戶的第一卡接收經鑒定的數據，保存關于經鑒定的數據的信息，接收憑證，及依靠所保存的關于經鑒定的數據的信息拒絕訪問憑證。經鑒定的數據可由數字簽名進行鑒定，且第一門驗證數字簽名。數字簽名可以是公鑰數字簽名。數字簽名的公鑰可與憑證關聯。數字簽名可以是私鑰數字簽名。經鑒定的數據可通過首先保存在至少一其它卡中然后從至少一其它卡傳輸給第一卡而被保存在第一卡中。經鑒定的數據可通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。經鑒定的數據可通過首先保存在應答器上然后使第一卡從應答器獲得而被保存在第一卡中。應答器可無保護。第一門可通過使經鑒定的數據首先傳輸給不同于第一卡的至少一其它卡而從第一卡接收關于經鑒定的數據的信息。至少一其它卡可通過使經鑒定的數據首先傳輸給不同于第一門的至少一其它門而從第一卡接收關于經鑒定的數據的信息。第一門可以是全不連通或間歇連通。
根據本發明，幫助立即取消訪問包括接收關于憑證的經鑒定的數據，將關于經鑒定的數據的信息保存在第一卡上，及使第一門接收關于經鑒定的數據的信息。經鑒定的數據可由數字簽名進行鑒定。數字簽名可以是公鑰數字簽名。數字簽名的公鑰可與憑證關聯。數字簽名可以是私鑰數字簽名。憑證和卡均屬于第一用戶。如果第一卡在預先指定的時間中未能接收預先指定類型的信號，則第一卡將變為不可用于訪問。憑證可屬于不同于第一用戶的另一用戶。經鑒定的數據可通過首先保存在不同于第一卡的至少一其它卡中然后從至少一其它卡傳輸給第一卡而被第一卡接收。經鑒定的數據可通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。第一卡可從應答器獲得經鑒定的數據。應答器可無保護。第一卡可通過首先將經鑒定的數據傳輸給不同于第一卡的至少一其它卡而使第一門接收關于經鑒定的數據的信息。第一卡可通過首先將經鑒定的數據傳輸給不同于第一門的至少一其它門而使至少一其它卡接收關于經鑒定的數據的信息。第一門可以全不連通或間歇連通。最后第一卡可從存儲器刪除所保存的關于經鑒定的數據的信息。憑證可具有到期日期，第一卡可在憑證過期之后從存儲器刪除所保存的關于經鑒定的數據的信息。憑證的到期日期可從憑證內指定的信息推斷。
根據本發明，記錄與訪問區域相關的事件包括記錄與訪問區域有關的事件以提供事件記錄并鑒定至少一事件記錄從而提供經鑒定的記錄。記錄事件可包括記錄事件的時間。記錄事件可包括記錄事件的類型。事件可以是試圖訪問區域。記錄事件可包括記錄連同訪問區域嘗試使用的憑證/證明。記錄事件可包括記錄嘗試的結果。記錄事件可包括記錄不同于表明訪問應被拒絕的憑證/證明的數據的存在。記錄事件可包括記錄與區域有關的另外的數據。鑒定記錄可包括數字簽署記錄。鑒定至少一事件記錄可包括鑒定事件記錄及鑒定其它事件記錄以提供單一經鑒定的記錄。單一經鑒定的記錄可被保存在卡上。經鑒定的記錄可被保存在卡上。卡可具有另一經鑒定的記錄保存于其上。另一經鑒定的記錄可由卡連同用于訪問區域的卡提供。如果另一經鑒定的記錄未被驗證，則訪問可被拒絕。控制器可連同訪問區域一起提供，其中控制器進一步鑒定另一經鑒定的記錄。另一經鑒定的記錄可使用數字證書進行鑒定。記錄事件還可包括用戶呈現卡以試圖訪問區域。記錄事件還可包括在用戶試圖訪問區域時卡進一步鑒定經鑒定的記錄。與訪問區域有關，控制器可被提供，其中控制器和卡共同進一步鑒定經鑒定的記錄。記錄事件可包括提供相關產生數據，其指明經鑒定的記錄的內容。相關產生數據可與經鑒定的記錄綁定。相關產生數據可與經鑒定的記錄綁定且所得的綁定可被鑒定。所得到的綁定可被數字簽署。相關產生數據可以是一系列數字，且數字中的特定之一可被賦予事件。記錄事件還可包括鑒定特定數字和事件的綁定。鑒定綁定可包括數字簽署綁定。鑒定綁定可包括單向散列綁定然后數字簽署其結果。事件的相關產生數據可包括識別另一事件的信息。另一事件可以是在前的事件。另一事件可以是未來的事件。記錄事件還可包括關聯事件的第一和第二隨機值，將第一和第二隨機值中的至少一個與另一事件相關聯，及將第一和第二值中的至少一個與另一事件綁定。提供相關產生數據可包括使用多項式產生相關信息。提供相關產生數據可包括使用散列鏈產生相關信息。相關產生數據可包括關于多個其它事件的信息。相關產生數據可包括糾錯代碼。記錄事件還可包括傳播經鑒定的記錄。傳播經鑒定的記錄可包括將經鑒定的記錄提供在由試圖訪問區域的用戶呈現的卡上。區域可由墻和門確定。
根據本發明，至少一管理實體控制電子設備的訪問，其通過至少一管理實體為電子設備產生憑證和多個相應的證明，其中如果僅給出憑證和過期證明的值，不可確定有效的證明，電子設備接收憑證，如果訪問在特定時間被授權，電子設備接收對應于特定時間的證明，及電子設備使用憑證確認證明。至少一管理實體可在產生憑證之后產生證明。單一管理實體可產生憑證并產生證明。也可以是第一管理實體產生憑證，其它管理實體產生證明。第一管理實體也可產生證明或不可產生證明。憑證可以是包括終值的數字證書，終值為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。數字證書可包括電子設備的標識符。憑證可包括終值，其為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。憑證可包括電子設備的標識符。電子設備可以是計算機，其僅在訪問被授權時啟動。電子設備可以是磁盤驅動器。至少一管理實體控制電子設備的訪問可包括使用獨立于至少一管理實體的至少一證明分配實體提供證明。可以僅有一個證明分配實體或有多個證明分配實體。至少一管理實體控制電子設備的訪問可包括使用到電子設備的連接提供證明。連接可以是因特網。至少部分證明可被本機保存在電子設備上。至少一管理實體控制電子設備的訪問可包括，如果對應于時間的證明不可在本機獲得，電子設備經外部連接請求證明。每一證明可與特定的時間間隔相關聯。在與特定證明相關聯的特定時間間隔已消逝之后，電子設備可接收新證明。時間間隔可以是一天。
根據本發明，電子設備控制對其的訪問，其通過接收用于電子設備的憑證和多個相應證明中的至少一個，其中如果僅給出憑證和過期證明的值則不可確定有效的證明，且使用憑證測試多個證明中的至少一個。憑證可以是包括終值的數字證書，終值為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。數字證書可包括電子設備的標識符。憑證可包括終值，其為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。憑證可包括電子設備的標識符。電子設備可以是計算機。電子設備控制對其的訪問還可包括僅在訪問被授權時計算機啟動。電子設備可以是磁盤驅動器。電子設備控制對其的訪問可包括使用到電子設備的連接獲得證明。連接可以是因特網。至少部分證明可被本機保存在電子設備上。電子設備控制對其的訪問可包括，如果對應于時間的證明不可在本機獲得，電子設備經外部連接請求證明。每一證明可與特定的時間間隔相關聯。在與特定證明相關聯的特定時間間隔已消逝之后，電子設備可接收新證明。時間間隔可以是一天。
根據本發明，控制對電子設備的訪問包括提供憑證給電子設備，如果訪問在特定時間被允許，提供對應于特定時間的證明給電子設備，其中如果僅給出憑證和過期證明的值則不可確定證明。憑證可以是包括終值的數字證書，終值為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。數字證書可包括電子設備的標識符。憑證可包括終值，其為將單向函數應用到第一證明的結果。每一證明可以是將單向函數應用到未來證明之一的結果。憑證可包括電子設備的標識符。電子設備可以是計算機。控制對電子設備的訪問可包括僅在訪問被授權時計算機啟動。電子設備可以是磁盤驅動器。控制對電子設備的訪問可包括使用獨立于至少一管理實體的至少一證明分配實體提供證明。可以僅有一個證明分配實體。可以有多個證明分配實體。控制對電子設備的訪問可包括使用到電子設備的連接提供證明。連接可以是因特網。至少部分證明可被本機保存在電子設備上。控制對電子設備的訪問可包括，如果對應于時間的證明不可在本機獲得，電子設備經外部連接請求證明。每一證明可與特定的時間間隔相關聯。在與特定證明相關聯的特定時間間隔已消逝之后，電子設備可接收新證明。時間間隔可以是一天。


圖1A為根據在此描述的系統的實施例的示意圖，其包括連接、多個電子設備、管理實體、證明分配實體。
圖1B為根據在此描述的系統的另一實施例的示意圖，其包括連接、多個電子設備、管理實體、證明分配實體。
圖1C為根據在此描述的系統的另一實施例的示意圖，其包括連接、多個電子設備、管理實體、證明分配實體。
圖1D為根據在此描述的系統的另一實施例的示意圖，其包括連接、多個電子設備、管理實體、證明分配實體。
圖2為根據在此描述的系統的電子設備的詳細示圖。
圖3為根據在此描述的系統，連同電子設備確定是否執行確認執行的步驟的流程圖。
圖4為根據在此描述的系統，所執行的與執行確認有關的步驟的流程圖。
圖5為根據在此描述的系統，所執行的與產生憑證有關的步驟的流程圖。
圖6為根據在此描述的系統，所執行的與根據憑證核對證明有關的步驟的流程圖。
圖7為根據在此描述的系統的示意圖，包括對其物理訪問將被限制的區域。
具體實施例方式
參考圖1A，圖20示出了一般連接22，具有多個電子設備24-26連接到該連接。盡管圖20示出了三個電子設備24-26，在此描述的系統可與任何數量的電子設備一起工作。連接22可被實施為直接電子數據連接、通過電話線的連接、LAN、WAN、因特網、虛擬專用網、或任何其它用于提供數據通信的機構。電子設備24-26可代表一個或多個膝上型計算機、臺式計算機(在辦公室中或在雇員家中或其它位置)、PDA、移動電話、磁盤驅動器、海量存儲設備、或任何其它可用于限制對其的訪問的電子設備。在在此的實施例中，電子設備24-26代表可由機構的雇員使用的臺式或膝上型計算機，在用戶/雇員離開機構和/或計算機之一被丟失或偷竊時機構希望限制對電子設備的訪問。當然，可以有其它限制對一個或多個電子設備24-26的訪問的原因，在此描述的系統可與任何適當的實施方式一起使用。
管理實體28設定允許用戶訪問電子設備24-26的策略。例如，管理實體28可確定特定用戶U1不再有權訪問任何電子設備24-26，而另一用戶U2可訪問電子設備24但不可訪問其它電子設備25、26。管理實體28可使用任何策略用于設定用戶訪問。
管理實體28提供多個證明，其經連接22傳輸給電子設備24-26。證明可通過其它手段提供給電子設備24-26，這些手段將在下面詳細描述。電子設備24-26接收所分配的證明，使用內部保存的憑證(在本說明書別處詳細描述)，確定對其的訪問是否應被允許。可選地，證明分配實體32也可被連接到連接22及管理實體28。證明分配實體32提供證明給電子設備24-26。在在此的實施例中，證明僅對一個用戶和電子設備24-26之一有效，可選地，僅在某一日期或日期范圍有效。
證明可使用美國專利5,666,416中公開的類似機制提供，該專利通過引用組合于此，其中，每一電子設備24-26將管理實體28(或其它經授權的實體)簽署的數字證書作為憑證進行接收，數字證書包含特殊值，其代表單向函數應用到初始值N次后的值。在每一新的時間間隔，電子設備可被呈現以證明，其由通過應用單向函數獲得的N個值中之一組成。在該例子中，電子設備24-26可通過多次應用單向函數以獲得數字證書中提供的特殊值而確認證明是合法的。該機制及其它可能的機制均在本說明書別處詳細描述。
也可使用麻薩諸塞州Cambridge的CoreStreet，Ltd.提供的一個或多個產品提供在此提出的適當憑證和證明，或使用任何其它用于產生獨特證明的機制，其1)僅可已由管理機構(不存在管理安全違背)產生；及2)不能用于產生任何其它證明。因此，證明使得，給定合法證明P1，未經授權的用戶不可產生另一表面上合法的證明P2用于不同的目的(例如，用于不同的時間間隔、不同的設備等)。因而，發出的證明可以非保密方式保存和分發，這實質上降低了系統成本。當然，對產生憑證和/或證明的實體保持適當的安全性及對任何未發出(如未來的)的證明保持適當的安全性是有利的。
此外，擁有合法證明P1-PN的未經授權的用戶不可產生新證明PN+1。這在許多情況下是有利的。例如，被終止雇用關系的雇員在終止之后即使其還擁有他被公司雇用時用于膝上型計算機的所有先前的合法證明，其自己也不可產生新證明以提供對其公司膝上型計算機的未經授權訪問。
在在此的實施例中，電子設備24-26為具有執行在此描述的處理的固件和/或操作系統軟件的計算機，證明用于阻止對其的未經授權登錄和/或訪問。在啟動基礎上和/或在足夠時間已消逝之后，計算機應要求適當的證明以進行運行。在該實施例中，在此描述的功能可與標準Windows登錄系統(及BIOS或PXE環境)結合。管理實體28可與公司Microsoft網絡的普通用戶管理工具結合并允許管理員為每一用戶設定登錄策略。在許多情況下，管理實體28能夠從現存的管理信息導出所有所需要的信息，其使該新功能對管理員幾乎透明并降低了培訓和采用成本。管理實體28可在企業網絡內運行或由膝上型計算機制造商、BIOS制造商或其它受托伙伴存放為ASP模型。證明分配實體32可部分在企業網絡內運行、部分在全球站點運行。由于證明不是敏感信息，證明分配系統的可全球訪問的儲存庫可作為網絡服務運行，從而使證明可用于企業網絡之外的用戶。
在在此的實施例中，每一計算機每天應要求新證明。然而，本領域一般技術人員應意識到的是，時間增量可被改變，使得計算機可每周要求新證明或每小時要求新證明。
此外，還可能利用IDE硬盤驅動器的很少使用的特征，其允許在驅動器上設置密碼，在驅動器將旋轉并允許訪問內容之前密碼必須被呈現給驅動器。如果驅動器的固件被修改以使用在此描述的系統，則對硬盤驅動器的訪問可能被限制，使得即使將硬盤驅動器放置在不同的計算機中也不能訪問計算機硬盤驅動器。該特征可與其它類型的硬盤驅動器一起實施。
在其它實施方式中，系統可用于訪問數據文件、實際盤卷、邏輯卷等。在一些情況下，如限制訪問文件的情況下，其可用于對相應的操作系統進行適當的修改。
參考圖1B，圖20’示出了具有多個管理實體28a-28c的另一實施例。盡管圖20’示出了三個管理實體28a-28c，在此描述的系統可與任何數量的管理實體一起工作。在圖20’所示的實施例中，可能管理實體28a-28c之一(如管理實體28a)產生憑證，而管理實體28a-28c中的其它實體(如管理實體28b、28c)產生證明，或所有管理實體28a-28c均產生證明。可選地，可使用證明分配實體32。
參考圖1C，圖20″示出了具有多個證明分配實體32a-32c的另一實施例。盡管圖20″只示出了三個證明分配實體32a-32c，在此描述的系統可與任何數量的證明分配實體一起工作。圖20″所示的實施例可使用麻薩諸塞州Cambridge的Akamai Technologies Incorporated提供的技術實施。
參考圖1D，圖20示出了具有多個管理實體28a’-28c’和多個證明分配實體32a’-32c’的另一實施例。盡管20只示出了三個管理實體28a’-28c’和三個證明分配實體32a’-32c’，在此描述的系統可與任何數量的管理實體和證明分配實體一起工作。圖20 所示的實施例結合了圖1B所示實施例的特征和圖1C所示實施例的特征。
參考圖2，其詳細示出了電子設備24，其包括確認單元42、憑證數據44和證明數據46。確認單元42可使用硬件、軟件、固件或其結合實施。基于某些條件，如啟動，確認單元42接收啟動信號，其使得確認單元42檢查憑證數據44和證明數據46，基于檢查結果，產生表明合法證明已被呈現的通過信號或產生失敗信號。確認單元42的輸出由繼續處理/設備如計算機啟動固件使用以確定操作是否可繼續。
在在此的實施例中，電子設備24包括外部接口48，其由確認單元42控制。如確認單元42一樣，外部接口48可使用硬件、軟件、固件或其結合實施。外部接口48被連接到連接22，并用于取回可被保存在證明數據46中的新證明。因而，如果確認單元42確定保存在證明數據46中的證明不充分(例如已過期)，確認單元42提供信號給外部接口48以使外部接口48經連接22請求新證明。當然，如果電子設備24已被丟失和/或偷竊或如果用戶為已終止的雇員或如果有任何其它不允許訪問電子設備24的原因，則外部接口48將不能獲得有效證明。在一些實施例中，外部接口48提示用戶進行適當的電子連接(例如，將膝上型計算機連接到網絡)。
在在此的實施例中，時間數據52提供信息給確認單元42以指明有效證明被呈現給確認單元42的最近一次時間。該信息可用于阻止太頻繁地請求證明，同時防止在請求新證明之前等待得太久。確認單元42、外部接口48、憑證數據44、證明數據46、及時間數據52的相互作用和使用在本說明書別處詳細描述。
參考圖3，流程圖70示出了確定是否發送啟動信號給確認單元42所執行的步驟，以確定確認單元42是否應檢查憑證數據44和證明數據46以產生通過或失敗信號。處理開始于第一步驟72，其確定啟動操作是否正被執行。在在此的實施例中，證明總是連同啟動操作一起進行檢查。因此，如果在測試步驟72確定啟動正被執行，則控制從步驟72轉到步驟74，啟動信號被發送給確認單元42。在步驟74之后是步驟76，在再次循環之前進程等待預定長的時間。在在此的實施例中預定的時長可以是一天，盡管其它時長也可被使用。在步驟76之后，控制轉回到如上述的測試步驟72。
如果在測試步驟72確定啟動操作未被執行，則控制從測試步驟72轉到測試步驟78，其確定自上次運行確認單元42之后預定的時間量是否已消逝。這可通過使用時間數據元件52或許及當前系統時間進行確定。在在此的實施例中，在測試步驟78使用的預定時間量為一天。如果在測試步驟78確定自上次運行確認單元42以來的時間量大于預定時間量，則控制從測試步驟78轉到步驟74，啟動信號被發送給確認單元42。在步驟74之后或在測試步驟78之后(如果時間量不大于預定時間量)是如上所述的步驟76。
參考圖4，流程圖90示出了確認單元42確定是否已接收足夠的證明所執行的步驟。如本說明書別處所述，確認單元42發送或通過或失敗信號給后繼處理/設備(如計算機啟動固件或磁盤驅動器固件)。處理開始于第一步驟92，確認單元42確定必須的證明。必須證明為確認單元42確定的足以能夠發送通過信號的證明。確認單元42通過檢查憑證數據44、證明數據46、時間數據52、甚至內部/系統時鐘來確定必須證明。在步驟92之后是測試步驟94，其確定適當的證明是否可本地獲得(即在證明數據46中)及本地提供的證明是否滿足必要的要求(本說明書別處描述)。如果是，則控制從步驟94轉到步驟96，確認單元42發出通過信號。在步驟96之后，處理結束。
在一些實施例中，可能并希望獲得并保存未來的證明于證明數據46中。例如，預計不能連接到管理實體28和/或證明分配實體32的用戶可獲得和保存未來的證明。在這些實施例中，當電子設備連接到管理實體28和/或證明分配實體32時，其可自動輪詢未來的證明，其可根據重新定義的策略提供，或者(或此外)，用戶和/或電子設備明確請求未來的證明也是可能的，其可以也可不根據控制策略提供。
如果在測試步驟94確定適當的證明不可本地獲得(即在證明數據46中)，則控制從測試步驟94轉到測試步驟98，確認單元42確定適當的證明是否可從外部獲得，例如如上所述，通過提供信號以使外部接口48試圖取回證明。如果在測試步驟98確定外部提供的證明滿足必要的要求(本說明書別處描述)，則控制從測試步驟98轉到步驟96，如上所述，確認單元42發出通過信號。在在此的實施例中，外部提供的證明被保存在證明數據46中。
如果在測試步驟98確定適當的數據不可從外部獲得，或因為沒有適當的連接或因為其它原因，則控制從測試步驟98轉到步驟102，用戶被提示輸入適當的證明。在在此的實施例中，如果用戶在沒有適當電連接的位置，用戶可呼叫特定的電話號碼并接收數字形式的適當證明，其可連同步驟102提供的提示手動輸入到電子設備中。當然，用戶可通過其它手段接收證明，如被手寫、打字、甚或出版在報紙中的證明(例如，在分類區域)。
在步驟102之后是測試步驟104，其確定用戶是否已輸入滿足必要要求的證明(如本說明書別處所述)。如果是，則控制從測試步驟104轉到步驟96，如上所述，確認單元42發出通過信號。否則，控制從測試步驟104轉到步驟106，確認單元42發出失敗信號。在步驟106之后，處理結束。
參考圖5，流程圖120示出了產生確認單元42所使用的憑證所執行的步驟。流程圖120的步驟可由產生憑證(及一系列證明)的管理實體28執行并提供憑證給電子設備24。其它適當的實體(如經管理實體28授權的實體)可產生憑證。在在此的實施例中，隨機值可連同產生憑證和證明一起使用，通常是不可預測的。在步驟122之后是步驟124，下標變量I被設定為1。在在此的實施例中，所提供的憑證被用于全年且每天需要新證明，從而365個獨立的證明可連同產生憑證一起產生。下標變量I用于跟蹤被產生的證明的數量。在步驟124之后是步驟126，初始證明值Y(0)被設定為等于在步驟122確定的隨機值RV。
在步驟126之后是測試步驟128，其確定下標變量I是否大于端值IEND。如上所述，在在此的實施例中，365個證明連同產生憑證一起產生，從而，在該實施例中，IEND為365。然而，對于其它實施例，可將IEND設定為任何數。
如果在測試步驟128確定I值不大于IEND，則控制從步驟128轉到步驟132，Y(I)被設定為等于單向函數應用到Y(I-1)。在步驟132使用的單向函數是這樣的函數，給定應用單向函數的結果，其幾乎不可能確定被輸入單向函數的值。因而，對于在步驟132使用的單向函數，給定Y(I)，非常難并非不可能確定輸入值(在該例子中Y(I-1))。如在此使用的，術語單向函數包括任何適當提供該特性的函數或運算，包括但不限于傳統的單向散列函數和數字簽名。在步驟132使用的單向函數的該特性可用于能夠以不保密方式保存和分發發出的證明，如本說明書別處所述。憑證和證明可在不同的時間產生或證明可由產生憑證的實體或另一實體在稍后的日期產生。注意，對于其它實施例，在這方面，可能使Y(I)不是Y(I-1)或任何其它Y的函數。
處理開始于第一步驟122，隨機值RV被產生。在步驟132之后是步驟134，下標變量I加1。在步驟134之后，控制轉回到測試步驟128，如上所述。如果在測試步驟128確定I大于IEND，則控制從測試步驟128轉到步驟136，終值FV被設定為等于Y(I-1)。應注意，I被減1，因為I被遞增超出IEND。在步驟136之后是步驟138，管理實體28(或產生證明和憑證的其它實體)數字簽署終值、當前日期、及其它連同證明一起使用的信息。在在此的實施例中，其它信息可用于識別特定的電子設備(如膝上型計算機)、特定用戶、或將憑證和證明綁定到特定電子設備和/或用戶和/或一些其它財產的其它信息。可選地，日期和/或FV可與其它信息結合。例如，可使用類似OCSP簽署的消息，其簡單地說“device#123456 is valid on1/1/2004”或使miniCRL中對應于特殊設備的位為on或off。在這些情況下，設備上的憑證可鑒定設備(即確定設備真地是設備#123456等)。OCSP和miniCRL均為現有技術中公知的。在步驟138之后，處理結束。
參考圖6，流程圖150示出了確認單元42確定證明的有效性時所執行的步驟。處理開始于第一步驟152，確認單元42接收證明(例如，通過從證明數據44讀取證明)。在步驟152之后是步驟154，確認單元42接收憑證(例如，通過讀憑證數據46)。
在步驟154之后是測試步驟156，其確定連同憑證提供的其它信息是否匹配。如本說明書別處所述，其它信息包括電子設備的標識、用戶的標識、或其它財產識別信息。如果在測試步驟156確定與憑證相關聯的其它信息與其它信息描述的特定財產不匹配(例如，憑證用于不同的電子設備或不同的用戶)，則控制從測試步驟156轉到步驟158，失敗信號被提供。在步驟158之后，處理結束。
如果在測試步驟156確定與憑證相關聯的其它信息匹配，則控制從測試步驟156轉到步驟162，變量N被設定為等于當前日期減去與憑證相關的日期(即自憑證被發出之后的天數)。在步驟162之后是步驟164，在步驟152提供的證明值具有單向函數應用到其N次。在步驟164使用的單向函數對應于在步驟132使用的單向函數，如上所述。
在步驟164之后是測試步驟166，其確定在步驟164獲得的結果是否等于終值FV，FV是在步驟154接收的憑證的一部分。如果是，則控制從測試步驟166轉到步驟168，確認單元42提供通過信號。否則，如果在測試步驟166確定在步驟164獲得的結果不等于隨步驟154的憑證提供的終值FV，則控制從測試步驟166轉到步驟172，確認單元42提供失敗信號。在步驟172之后，處理結束。
數字簽名可提供有效形式的因特網鑒別。與傳統的密碼和PIN不一樣，數字簽名可提供到處可驗證且不可否認權威的鑒別。數字簽名可經簽署密鑰SK產生并經匹配的驗證密鑰PK驗證。用戶U對其自己的SK保密(使得只有U可代表U簽署)。幸運的是，密鑰PK不會“背叛”相匹配的密鑰SK，即，知道PK在計算SK時并不會給予敵人任何實際的好處。因此，用戶U可使其自己的PK盡可能地公開(從而每個人均可驗證U的簽名)。為此，PK最好被稱為公鑰。注意，術語“用戶”可表示用戶、實體、設備或用戶、設備和/或實體的集合。
公鑰還可用于非對稱加密。公用的加密鑰PK可與相匹配的解密鑰SK一起產生。再次地，知道PK不會背叛SK。任何消息可容易地使用PK加密，但經那樣計算的密文僅可經知道密鑰SK才可容易地解密。因此，用戶U可使其自己的PK盡可能地公開(使得每個人均可為U加密消息)，但保持SK專用(使得只有U可讀為U加密的消息)。
公知的RSA系統提供數字簽名和非對稱加密的例子。
文字數字字符串調用的證書規定給定密鑰PK是給定用戶U的公鑰。實體，通常稱為發證機構(CA)，產生并發出證書給用戶。證書在指定時間后過期，在公共CA的情況下，通常為一年。實際上，數字證書(C)由CA的數字簽名將幾個數值安全綁定在一起組成SN-對證書唯一的序列號、PK-用戶的公鑰、U-用戶的名稱、D1-發行日期、D2-有效期、及AI-另外的信息(包括沒有信息)。表示成符號，C＝SIGCA(SN，PK，U，D1，D2，AI)。
公用的加密鑰還可提供鑒別/識別手段。例如，一方知道特定公用加密鑰PK屬于特定用戶U(如因為該方已驗證U的相應數字證書及PK)并渴望識別U，其可使用PK加密隨機挑戰C，并要求U以正確的解密應答。由于只有SK的處理器(因而U)可做這項工作，如果對挑戰的應答是正確的，U被完全識別。
可提供系統控制對使用智能門(和/或智能虛擬門，參見本說明書別處的描述)的區域的物理訪問。智能門可驗證正進入的人在當前已被授權進入。向門不僅提供以特定用戶的憑證而且提供以單獨的證明是有利的，憑證/用戶在某種程度上依然有效，其甚至可由不連通的門安全使用。在實施例中，這樣的證明按下述產生。假定憑證向門指明用戶可進入。接著，對于每一憑證和每一時間間隔(如每天)，適當的實體E(如決定誰被授權在任意時間訪問該門的實體或為該實體工作的第二實體)計算經鑒定的指示(PROOF)，其為特定憑證在特定時間間隔是有效的指示。(如果憑證沒有確定門用戶被授權進入，PROOF還可向門指明憑證在特定時間間隔有效)。
E的PROOF可由E的數字簽名組成，其以經鑒定的方式指明特定憑證在特定時間間隔是有效的，例如SIGE(ID，Day，Valid，AI)，其中ID為識別憑證的信息(如憑證的序號)，Day為特定時間間隔的指示(普通的特定天)，Valid為憑證被視為有效的指示(如果E從未簽署類似的數據串該指示可被省略，除非憑證被視為有效)，AI指示任何視為有用的額外信息(包括沒有信息)。在一些情況下，E的簽名可以是公鑰簽名(但其也可是私鑰簽名，即，可經單一秘密密鑰產生和驗證的簽名，只有簽署者和驗證者知道)。如果憑證包括數字證書，一次等實施例可包括短期證書，即，對所需時間間隔重新發出憑證的數字簽名(例如，數字證書指明同一公鑰、同一用戶U和一些其它基本信息，但還指明開始日期和期滿日期以確定想要的、普通的日子)。例如，在次等實施例中，普通地讓短期證書持續一天，PROOF可采取SIGE(PK，U，D1，D2，AI)的形式，其中開始日期D1指明特定日子D的開始，結束日期D2指明日子D的相應結束，或D1＝D2＝D；或者，更簡單地，使用單日期信息字段確定正被討論的日子，SIGE(PK，U，Day，AI)。如果E與原始發證機構相符，短期證書PROOF可采取下述形式SIGCA(PK，U，D1，D2，AI)或SIGCA(PK，U，Day，AI)。
作為被鑒定的用戶不可產生當時其自身的PROOF(即其自身憑證當時的PROOF)，也不能將其昨天的PROOF改為今天其自身的PROOF，也不能將另一用戶今天的PROOF改為其自己今天的PROOF。因為PROOF實質上是非延性且不能變更的，這些PROOF不必須被保護。因而，實體E可以可忽略的成本使PROOF可用。例如，E可將特定日子的所有PROOF發布在因特網上(如使PROOF可經Akamai服務器或類似物獲得)，或將PROOF發送給用戶容易接近的應答器/服務器。例如，發送給位于機場(或辦公樓)入口的服務器，許多應被恰當訪問的門位于那里。這樣，來工作的雇員可容易地獲得其自己的PROOF(如通過將其自己的卡插入與服務器連接的讀卡機)并表示將PROOF保存在其自己的卡上，連同其自己的憑證。這樣，當用戶將其卡呈現給其憑證授權訪問的門時，門不僅可驗證憑證而且可接收和驗證當前授權的PROOF，根本不需連接。門驗證PROOF(如經自安裝后可保存的E的公鑰驗證E的數字簽名)及PROOF指明的時間間隔是否正確(如經其自身的本地時鐘)。如果一切正常，則門準許訪問，否則門拒絕訪問。實質上，門可以是不連通的門，其PROOF驗證相對容易(因為門可接收大多數可用方的PROOF真實用戶要求訪問)和相對安全(盡管門從可論證地大多數可疑方接收PROOF真實用戶要求訪問)。實際上，用戶要求訪問通常可以是在物理上接近門，因而可非常容易地提供PROOF，而不用使用任何連接到遠處站點的連接，因而可獨立于門的連通性運行。同時，在至關緊要的時刻，用戶要求訪問可能是最不可信賴的信息源。但是，因為用戶不可以任何方式產生或改變其自己當前有效性的PROOF，門可注意適當驗證的PROOF必須由E產生，且如果E知道用戶在特定時間間隔將不被授權則E不應產生PROOF。當用戶被停止授權時，E將停止發出該用戶授權的PROOF，因而用戶不再能進入相應的門(甚至不連通的門)，因為用戶將缺少門需要驗證以準許訪問的PROOF。因此，通過使用用戶要求訪問來證明適當及當前的授權，在此描述的相同免除了與其它系統相關的不方便，即不需要分派全體人員去對不連通的門重編程序。
該方法還使人們能夠按“角色”(或按“特權”)管理不連通的門的訪問。即，不使用憑證指定用戶被授權進入的門并接著如每天發出憑證當前有效性的PROOF(也不是發出指明特定憑證授權其用戶在特定時間間隔進入某些門的PROOF)，不連通的門可被編程(如在安裝時)以僅準予具有特定角色的用戶進入。例如，飛機的駕駛員座艙門可被編程以僅準予飛行員(PILOT)和檢查員進入。憑證可被發給雇員以主要保證他們的身份(這不會變)，同時E如每天對特定憑證發出的每一PROOF還可指定(如在AI字段中)其相應用戶在那天的角色。例如，PROOF＝SIGE(ID，Day，PILOT，AI)證明在那天對應于ID所確定的憑證的用戶為飛行員。這樣，雇員可從一個角色“轉換”為下一角色，而不用為他們重新發出憑證，且不需要在用戶憑證或其相應的每日PROOF內指明用戶可在那天進入哪些門。應注意，這樣的門的數量可以非常大。因而，在用戶憑證內指明用戶被準予進入的所有門是非常麻煩的。此外，如果增加新的門(例如因為購買了新飛機)，則飛行員的憑證不得不重新發出以指定額外的門，這也非常麻煩。
適于特定憑證的時間間隔可在憑證本身內指定，或可由憑證和PROOF一起指定。例如，憑證可指定特定的開始日期且其需要被每天證明有效，而PROOF可指定時間間隔244，其意味著PROOF指憑證中指定的開始日期之后的日子244。
在此描述的系統相對于更昂貴的連通門系統也是有利的。例如，假設所有門均被安全地連接到中央數據庫，及假設發生突然斷電(如由于陰謀破壞)。則連通門可能被迫使在兩個極端選擇之間選擇一直打開(有利于安全但不利于保密，特別是在恐怖分子導致斷電的情況下)及一直關閉(不利于安全但有利于保密)。通過對比，在突然斷電的情況下，在此描述的系統提供更靈活的反應，一些(不再)連通的門可保持一直關閉，而其它門一直打開，且其它門還可繼續按在此描述的不連通門訪問控制進行運行。即，只要正確的憑證和正確的PROOF被呈現，則依賴于電池的門可打開。實際上，在斷電發生之前，所有雇員可能已正常接收他們的預期PROOF。
當然，實體E可產生對不同憑證指定不同時間間隔的PROOF。例如，在機場設施中，警員和應急人員可每天具有指定下兩周作為相應時間間隔的PROOF，而所有正常的雇員可具有僅指定所述日子的每日PROOF。在長期及意外斷電的情況下，這樣的系統可提供更好的控制。如果發生那樣的斷電，PROOF的每日慣常分配可能被中斷，一般雇員可能未接收他們的每日PROOF，但警察和緊急事件處理人員依然可在他們的卡中輸入他們在頭天接收的兩周證明，因而可繼續在他們被準予進入的所有門(如所有門)處起作用。
應意識到的是，在此描述的方法包含使用由簡化形式的證書構成的憑證，其可被稱為最小證書。最小證書實質上可省略用戶名和/或證書的標識符ID(或用證書的公鑰代替用戶名和/或標識符ID，每一證書的公鑰是唯一的)。例如，最小證書憑證可采取C＝SIGCA(PK，D1，D2，AI)的形式，應理解該憑證的正確呈現包括證明對應于PK的秘密密鑰SK的知識(如通過挑戰-應答方法)。門預先知道關于PK的憑證的正確呈現(首選地，如果當前被確認)是否應導致準予進入。或者，最小憑證C可指定(如在AI中)知道相應SK的用戶是否有權進入特定的門。如果理解任何類似的簽名通過暗示表明有效性，關于其公鑰為PK的最小證書的PROOF可以是下述形式SIGE(ID，Day，Valid，AI)或SIGE(PK，Day，Valid，AI)或SIGE(ID，Day，AI)。或者，最小證書的當前PROOF可采取重新發出最小短期證書的形式如，SIGE(PK，D1，D2，AI)，其中開始日期D1指特定日子D的開始，D2相應為日子D的結束，或D1＝D2＝D；或者，SIGE(PK，Day，AI)；或者，讓E與最初發證機構一致，SIGCA(PK，D1，D2，AI)or SIGCA(PK，Day，AI)。總之，在此描述的任何致力于證書的方法均應被理解為也可應用最小證書。
智能門可驗證用戶的憑證的有效性和流通，憑證可伴隨相應的證明。用戶使用憑證/證明以獲得對區域的訪問類似于在控制電子設備的訪問時使用憑證/證明，如本說明書別處所述。下述為憑證/證明的例子，其中部分可與其它結合1、PIN或密碼，在與門相關聯的鍵座輸入或通過用戶卡通信給門；2、生物測定信息，由用戶經與門相關聯的特殊輸入機提供；3、傳統(手寫)簽名，由用戶經與門相關聯的特殊簽名簙提供；4、用于公鑰PK的數字證書(如，這樣的憑證可被保存在用戶卡中，正確的用戶/卡可使用相應的秘密密鑰SK鑒定/識別其對于門的身份—如經挑戰應答協議)。例如，如果PK是簽名公鑰，門可要求已簽署特定的消息，且正確的用戶—唯一知道相應秘密簽署密鑰SK的人—可提供正確的被請求的簽名；如果PK是公開的加密密鑰，門可請求使特定挑戰加密密文被解密，這可由知道相應秘密解密密鑰SK的正確用戶完成。
5、包括每日“確認值”(其確保證書在該特定日期有效)的增強數字證書，保存在用戶卡中并通信給門；6、確認用戶的證書在當前時間有效的中央機構的數字簽名，其提供服務器或應答器通信給門；7、保存在用戶卡中并通信給門的數字證書及通過服務器或應答器通信給門的每日“確認值”；8、保存在用戶卡中的秘密，其知識由門具有的交互(可能零知識)協議向門證明；9、機構的秘密密鑰簽名，保存在用戶卡中，其指示用戶被授權在特定日子進入。
因而，在一些情況下，憑證/證明被作為一體提供，而在其它情況下，憑證/證明以分開部分的形式提供憑證及分開的證明。例如，在憑證/證明由包括指示證書在該特定日期有效的每日確認值的增強數字證書構成且與用戶相關聯并被通信給門時，憑證(增強的數字證書)可獨立于證明(每日確認值)提供(通過不同的手段和/或在不同的時間)。類似地，憑證和證明可均由同一機構產生或由不同的機構產生。
參考圖7，其示出了包括區域202的系統200，其中對區域202的物理訪問將被限制。區域202由多個墻204-207封閉。墻207具有門212，以提供區域202的出口。在其它實施例中，可使用一扇以上的門。墻204-207及門212提供區域202的訪問障礙。門212可使用電子鎖214鎖上，其防止門212打開，直到電子鎖214接收適當的信號為止。電子鎖214可使用提供在此描述的功能的任何適當元件實施，包括但不限于使用不用定制的電子鎖。
電子鎖214可被連接到控制器216，其提供適當信號給電子鎖214以允許門212被打開。在一些實施例中，電子鎖214及控制器216可被提供在單一裝置中。控制器216可被連接到輸入裝置218，其可接收用戶的憑證，可選地，還接收指明用戶在當前被準予進入區域202的相應證明。輸入裝置218還可接收緊急合法性取消警報(HRA)，其表明用戶不再被允許進入區域202。HRA將在下文中詳細描述。輸入裝置218可以是任何適當的輸入設備如鍵座、讀卡機、生物測定裝置等。
可選地，控制器216可具有外部連接222，其可用于將數據傳輸到控制器216或從控制器216傳輸數據。外部連接222可以是保密的，盡管在一些實施例中外部連接222不需要保密。此外，外部連接222可能不需要，因為在此描述的功能可能使用不具有外部連接的獨立裝置提供。在提供外部連接222的例子中，外部連接222可用于傳輸憑證、證明、HRA和/或用于聯機對區域202的訪問。聯機訪問將在本說明別處詳細描述。應注意，外部連接222可以是斷續連接，使得，例如，在某些時間外部連接222提供對控制器216的連通性，而在其它時間控制器216沒有外部連接。在一些情況下，外部連接222可用于傳輸一部分憑證/證明(如PKI數字證書)，而用戶向輸入裝置218呈現憑證/證明的剩余部分(如連同數字證書使用的每日確認值)。
在一些實施例中，用戶可將卡224呈現給輸入裝置。如本說明書別處所述，卡224可以是提供數據(如憑證/證明)給輸入裝置218的智能卡、PDA等。卡224可從應答器226獲得部分或所有數據。在其它例子中，卡224可從其它卡(未示出)、輸入裝置218(或與訪問區域202相關聯的一些其它機構)、或一些其它適當源獲得數據。
在第一例子中，憑證和證明可使用具有物理保護的pin/口令進行維護。在該例子中，每天早上服務器為每一經授權的用戶U產生新的秘密口令SU并將新的SU通信給U被允許訪問的具體的門。通信可使用非保密線路加密發送或可經一些其它保密手段傳輸給門。當U在早上來上班時，中央服務器使U的卡接收當前秘密口令SU。秘密口令SU被保存在卡的安全存儲器中，其僅可在卡被適當授權時才被讀(如通過用戶輸入與卡有關的秘密PIN或通過與服務器或門上的受托硬件連接)。無論用戶試圖在何時進入門，卡均安全地將SU通信給門。門接著檢查從卡接收的值SU是否與早上從服務器接收的值匹配，如果是，則允許進入。
因而，SU為當天的用戶憑證。該系統優點在于每一憑證僅具有有限的持續時間如果雇員被終止雇用關系或其卡被偷竊，其憑證在第二天將沒有用。然而，系統要求某些連通至少需要短期連通(最好每天早上)以更新門。該傳輸應被保密(如物理上或使用密碼)。
在另一例子中，用戶憑證包括秘密密鑰簽名。該例子使用簽名，或公鑰簽名(如RSA簽名)或秘密密鑰簽名(如報文鑒定代碼或MAC)。例如，訪問控制服務器使用秘密密鑰SK產生簽名，門具有驗證這樣的簽名的手段(如經相應的公鑰或通過共享同一SK的知識)。當用戶U在日子D的早上來上班工作時，服務器使用戶卡接收簽名Sig，其鑒定U的辨識信息(如唯一卡號、或U的秘密口令、或生物測定信息如U的指紋)及日期D。當U試圖進入門時，卡將簽名Sig通信給門，其驗證Sig的有效性甚至U提供的辨識信息、及門鎖提供的日期。如果所有均正確，則門允許進入。
在該技術中，簽名Sig可被當作用戶的憑證連同證明。該方法具有其自身的優點卡不需要保存秘密，門不需要保持到中央服務器的安全連接，也沒有很長的有效憑證列表。
在另一例子中，用戶的憑證包括具有類似于圖5的流程圖120產生的那些散列鏈有效性證明的數字證書。該例子使用公鑰簽名及單向散列函數H(實現特殊類型的數字簽名)。中央機構具有密鑰對公鑰PK(為門所知道)和通常不被知道的秘密密鑰SK。對于用戶U，機構產生隨機秘密值X0并計算值X1＝H(X0)、X2＝H(X1)、…、X365＝H(X364)。因為H是單向散列函數，X的每一值不能從X的下一值計算。機構向U發出數字證書Cert，使用SK簽署并包含值X365，對一年有效。接下來，當U在日子i來上班工作時，機構使用戶卡接收該天的確認值Xj，其中j＝365-i。當U試圖進入門時，卡將確認值Xj和包含X365的證書Cert通信給門。門用機構的公鑰PK驗證Cert的有效性并還檢查向Xj應用i次H是否產生X365。應注意，“一年”和365可用任何其它時間周期代替。
因而，用戶的證書Cert及確認值Xj組成用戶的憑證/證明。該系統具有許多優點門及卡均不需要保存任何秘密；門不需要具有任何安全連接；證書可一年發出一次，且其后中央機構上的每日計算負載最小(因為機構只需要檢索Xj)；每日確認值可由非保密(便宜)布置的應答器提供，因為它們不需要隱秘。
用戶U的憑證/證明的持續時間通常被限制，這在許多情況下是有用的。例如，如果U是機場的雇員并被終止雇用關系，其憑證/證明可在該天結束時過期，其不再能夠進入機場的門。為更精確的訪問控制，可能希望具有更短持續時間的憑證。例如，如果U的憑證/證明包括小時和分鐘及日期，則U可在被終止雇用關系后一分鐘內被鎖在機場的外面。然而，較短持續時間的憑證/證明要求更頻繁的更新，這增加了系統的花費。因而，在希望具有短期憑證和具有低成本系統之間存在固有平衡，這可導致憑證的持續時間有時較所希望的長。例如，U可能需要立刻在機場的外面，但其憑證直到午夜才過期。因此，希望能夠立即撤消尚未過期的憑證。
應注意，如果憑證/證明一直被保存在安全數據庫中，每次請求訪問時門均查詢數據庫，則可通過從數據庫中移除被取消的憑證/證明而相當直接地取消憑證/證明。然而，使門每次查詢安全數據庫花費昂貴。首先，因為這增加了事務處理的很大延遲，由于用戶想立刻進入門，但他必須等待查詢被適當地完成。第二，因為該通信首選是在安全通道上進行，這可輕松地就每門花掉$4,000(或更多)或在某些情況下根本達不到(如飛機或貨物集裝箱的門)。第三，因為單一安全數據庫僅可處理有限的查詢負載，且復制安全數據庫本身非常昂貴和耗時(例如，因為保持數據庫安全的花費必定翻倍且保持這些拷貝同步的努力也必定增加)。因此，與全流通的方法不一樣，不連通或斷續連通方法(如上述例子)要求更少的通信且通常將憑證/證明保存在非保密的應答器或卡上。在這種情況下，簡單地從數據庫移除憑證/證明并不足夠。再次參考上述例子，口令SU或機構簽名或確認值Xj由于某種原因不得不被從用戶卡或門刪除。此外，即使這樣的刪除也不總是保證憑證的取消，因為保存在無保證的應答器中的憑證可為任何人獲得，包括惡意攻擊者，其將憑證保存并在憑證從用戶卡刪除之后試圖使用該憑證。因而，即使具有有限持續時間憑證的效能成本合算解決方案存在，這些解決方案本身沒有必要提供未過期憑證/證明的充分取消。
取消憑證/證明可使用緊急合法性取消警報(HRA)執行，其是傳輸給門的數據段(最好是經鑒定的)，其將阻止門授權具有取消的(盡管可能未過期)憑證/證明的用戶訪問。例如，HRA可由數字簽署的消息組成，其指明特定憑證/指明已被取消。然而，應注意，在安全連通的門的情況下，只沿受保護的連接發送HRA可能并不足夠。然而，如上所述，在一些情況下安全連通的門非常昂貴，而在其它情況下則不可能(或幾乎接近于不可能)使用那樣的門。
如果HRA被鑒定是有用的，從而HRA被呈現給其的實體可相對確定HRA是真實的。讓ID作為被取消的憑證/證明C的標識符(具體地，ID可與C本身一致)，則SIG(ID，″REVOKED″，AI)可以是HRA，其中“REVOKED”代表任何方式的C已被取消的信令(″REVOKED″可能是空串，如果憑證/證明被取消的事實可通過其它手段推斷—如全系統約定除了取消的情況，這樣的簽署的消息未被發送)，及AI代表任何額外的信息(可能是日期信息—如當憑證/證明已被取消時的時間和/或HRA被產生時的時間或沒有信息)。具體地，數字簽名SIG可以是公鑰簽名、秘密密鑰數字簽名、或報文鑒定代碼。通過適當地加密信息而發出經鑒定的HRA也是可能的。例如，經鑒定的HRA可采取ENC(ID，″REVOKED″，AI)的形式。
經鑒定的HRA的另一值得注意的例子在美國專利5,666,416中描述，其通過引用組合于此。發出機構將憑證/證明C組合到對C唯一的(數字簽名方案的)公鑰PK中，從而關于PK的數字簽名指明C被取消。在這樣的方案的特殊實施例中，PK可由值Y1組成，其計算為Y1＝H(Y0)，其中H為(最好散列)單向函數，Y0為秘密值。當憑證/證明C被取消時，僅由Y0組成的HRA被發出。這樣的HRA可通過散列Y0并檢查結果是否與屬于憑證/證明C的值Y1匹配而進行驗證。
應注意，簽名可能不被要求用于HRA。例如，在安全連通門的情況下，僅沿受保護的連接發送(ID，″REVOKED″，AI)足以作為HRA。然而，經鑒定的HRA的優點在于HRA本身不必是秘密的。經鑒定的HRA，一旦被適當的機構鑒定，可被保存在一個以上(可能在地理上分散)的應答器上。此外，這些應答器可以無保護(與發出機構不一樣)，因為它們沒有保存秘密信息。通過復制多個無保護應答器可以較低的成本提供更高的可靠性。美國專利5,666,416的經鑒定的HRA例子的一些其它優點為(1)HRA相當短(能夠為20字節那樣短)；(2)相當容易計算(簡單地，先前保存的Y0的查表)；及(3)相當容易驗證(只應用一次單向散列函數)。
經鑒定的HRA特別有利于有效的廣泛傳播，如下面進一步描述的那樣。當HRA通過接近門的多個點傳輸時，可能有多種可能將不正確的HRA插入系統中。實際上，由門接收的HRA不直接通過或來自經安全連接的發行人只不過是特定憑證取消的純粹未經證實的信息。然而，如果HRA被鑒定，該未經證實的信息可容易地由門確認，這可驗證其可靠性。
總之，HRA對單一憑證/證明可以是明確的或可提供關于多個憑證/證明的取消信息。例如，如果ID1，…，IDk為被取消的憑證的標識符，HRA可由單一數字簽名SIG(ID1，…，IDk；″REVOKED″；AI)組成。考慮門保存信息的情況，所述信息確定憑證/證明有權進入門。如果這樣的門接收指明一個或多個憑證/證明被取消的HRA，門不需要保存HRA。門從其存儲器刪除所確定的憑證/證明就足夠了(或以某種方式將它們標記為″REVOKED″)。接著，如果具有取消的憑證/證明的用戶試圖訪問，門將不允許訪問，因為所呈現的憑證/證明當前未被保存在門中，或如果保存在其中，但已被標記為″REVOKED″。
現在考慮門不保存確定所有允許的憑證/證明的信息，而是當呈現時驗證憑證/證明是否被允許。當用戶向這樣的門呈現憑證/證明時，門可首先驗證憑證/證明是否有效，不管HRA。(例如，如果憑證/證明包括數字簽名，則門驗證簽名。此外，如果憑證/證明包括期滿時間，門還可驗證憑證/證明未到期，如使用內部時鐘。)但即使通過所有檢查，如果憑證/證明被指示為已由HRA取消，門依然可拒絕訪問。因此，如果這樣的門具有關于相應HRA的信息則是有幫助的。實現此的一種辦法是門保存所有呈現給其的HRA。另一方面，在一些情況下，這可能不切實際。考慮許多憑證/證明可用于通過門的系統。例如，運輸部門正設想規模為10,000,000憑證的系統以用于曾經被允許訪問特定門的各種個體(包括飛行員、機場維護人員、航線雇員、機師、搬運工、經理人、卡車司機、警察等)。謹慎估計每年10％的取消率，則到年末門可保存有1,000,000HRA，這是花費非常昂貴的任務(如果可行的話)。此外，如果HRA的數量不能夠被預先準確確定，系統的設計者不得不過高估計用于HRA的存儲器容量以求保險，并在門內建立更多的存儲容量(以更高的成本)。
該問題可借助于可刪除HRA而得以解決。這意味著使HRA指明時間分量，其指定HRA在何時可被安全地從存儲器上刪除。例如，在憑證/指明持續時間有限的系統中，這可通過下述步驟實現(1)使憑證/證明包括期滿時間，在期滿時間之后，憑證/證明應不被門接受為有效的訪問憑證/證明；(2)使取消憑證/證明的HRA包括期滿時間；及(3)在期滿時間之后，使門從其存儲器刪除取消憑證/證明的HRA。例如，憑證/證明的期滿時間可以是憑證/證明過期的時間(及期滿時間可明確地包括在憑證/證明內并被鑒定或其可由全系統約定暗示)。在期滿時間之后刪除該HRA不會損害安全性。實際上，如果門沒有保存取消特定憑證/證明的HRA，可能因為門已在期滿后將HRA從存儲器中刪除，則過期憑證/證明將被門拒絕訪問。
應注意，在期滿時間可能在HRA中暗示或間接指明的情況下，上面的步驟(2)是可選步驟。例如，HRA具有SIG(C，″REVOKED″，AI)的形式，憑證/證明可包括其自己的期滿日期。此外，由于可刪除HRA還可使用根本不指明被取消憑證的期滿時間的HRA進行實施，上面的步驟(1)是可選步驟。例如，如果特定系統中的所有憑證均至多在一天有效，則所有HRA可在被保存一天后擦除(更一般地，如果憑證/證明的最大壽命可以某種方式推斷，則相應的HRA可在被保存前述時間量之后被擦除)。至于另一例子，當被呈現具有特定期滿時間的憑證/證明時，門可尋找取消憑證的HRA。如果存在且期滿時間已過，則門可安全地刪除HRA。否則，門可保存與所保存的HRA有關的期滿時間，并在該時間之后刪除HRA。
門可在HRA過期之后以多種方式將它們刪除。在一些情況下，HRA刪除可通過基于期滿時間維護HRA的數據結構(如優先隊列)而有效地實現。或者，門可定期查看存儲器中的所有HRA并清除不再需要的HRA。作為另一選擇，當遭遇HRA時，如果門意識到HRA不再有關，則門可刪除HRA。例如，HRA可被保存在列表中，憑證每次被呈現以進行驗證時均要檢查該列表。無論在何時在該列表中遇到過期HRA，過期HRA可被刪除。作為另一選擇，當存儲器需要被釋放時(或許用于其它HRA)，門僅按需刪除HRA。
可刪除HRA可大大降低門所需要的存儲容量。使用上述10,000,000用戶及10％每年取消率的例子，如果HRA過期并被刪除，則平均每天只有2,740(而不是1,000,000)個HRA需要被保存。該降低的存儲容量要求是可刪除HRA的最大潛在優勢。
HRA可為門盡可能快地獲得是有用的，以將不再可接受的憑證/證明通知給門。這是不連通門存在的問題，但也可是全連通的門存在的問題。當然，當HRA被發出時，全連通的門可在門的連接上發送HRA。然而，該傳輸可能被堅決的敵人阻止或干擾(例如，如果到門的連接通過加密手段保密，則敵人僅可切斷導線或改變/過濾行進的信號。如果到連接的門通過使導線在鋼管中而進行保護，則這樣的干擾和阻止可能更難，但也不是不可能)。這樣的惡意HRA干擾和阻止對斷續(如無線)連通的門可更容易地實施。
為使敵人更難阻止門接收HRA，HRA可由被取消的卡本身攜帶。例如，當卡與數據庫或連通的門(或知道相應HRA的任何門)通信時，門可將HRA發送給卡，卡可保存HRA。具體地，這可在不向用戶進行任何指示的情形下完成，以保護HRA免遭希望纂改卡并刪除HRA的用戶的損害。如果卡攜帶防止纂改硬件部件或不容易被用戶讀/刪除的數據(如加密數據)，則該方法更有效。當卡在隨后被使用以試圖進入任何(甚至全不連通的)門時，卡可將其HRA通信給門，基于適當的驗證，卡可拒絕訪問(及在某些情況下，保存HRA)。
HRA可在無線通道上(如經尋呼機或移動網絡或經人造衛星)發送給卡。即使卡僅具有有限的通信能力，這也可被完成，例如通過將無線發射機放置在每一用戶可能經過的地方。例如，在建筑物中，這樣的發射機可被放置在每一建筑物入口，以在卡的用戶無論于何時進入建筑物時為每一卡提供接收傳輸的機會。或者，發射機可被放置在停車場的入口等。
為防止懷惡意的用戶阻止傳輸(例如，通過將卡包裹在傳輸信號難以滲透的材料中)，實際上，卡可要求其接收定期傳輸以能完全起作用。例如，卡可每5分鐘期待一信號以使其時鐘與系統時鐘同步，或可期望接收另一定期(最好數字簽署的)信號，如GPS信號，或近期望適當頻率的適當噪聲。如果這樣的信號未在合理的時間間隔內接收到，卡可“封鎖”并簡單地拒絕與任何門通信，這使其本身不適于訪問。應注意，較簡單地將所有HRA傳播給所有卡，這樣的系統可能更經濟和更方便，因為HRA為不斷改變的消息。因而，將HRA傳播給所有卡可能要求建造特殊目的的人造衛星或定制已經存在的人造衛星。上述方法代替利用已經可用的廣泛傳輸的信號并安裝本地發射機用于常規消息。
或者，如果安全策略要求用戶可見地穿戴卡如安全徽章或在適當地方(在傳輸范圍內)將卡呈現給防護裝置，則可防止用戶進行阻止向卡傳輸的行為。用于傳播特定卡/憑證/證明的HRA的其它技術包括使用其它卡將HRA傳送給門。在該技術中，卡1可(例如當獲得其自己的每日憑證/證明時，或無線方式或當與連通的門通信時或在進行任何類型的連接時)接收HRA、HRA2、取消與不同的卡即卡2相關聯的憑證/證明。卡1接著可保存HRA2并將HRA2通信給門，門接著還保存HRA2。實際上，卡1可向多個門提供，例如提供給所有門或卡2在特定時間段(如全天)訪問或通信的所有不連通的門。這里，可由卡1到達的任何門(即使不連通)能夠拒絕包含取消的憑證/證明的卡2的持有人進入。優選地，HRA2是數字簽署或自鑒定的，且可由卡1到達的任何門檢查HRA2的可靠性以防止假HRA的惡意傳播。
這可通過使卡1到達的門將學得的HRA2通信給另一卡即卡3而得以增強，卡3隨后訪問門或與門通信。這是有用的，因為卡3可到達卡1將不到達或將在卡3之后到達的門。通過使這些另外到達的門與其它卡通信，該過程可繼續。此外，某些門即使不全連接到中央數據庫，也可具有相互之間的連接。因而，這樣的門可類似地交換可用HRA。如果卡具有相互通信能力—例如當接近時—它們也可交換關于它們保存的HRA的信息。
應注意，經鑒定的HRA對在此描述的HRA傳播技術特別有利。事實上，通過多個媒介(卡及門)發送HRA可能提供多個故障點，其中HRA可能被對手修改或假HRA可被對手注入。在某種意義上，未經鑒定的HRA在它們到達門時可能已變成純粹的未經證實的信息。另一方面，經鑒定的HRA，無論它們怎樣到達門，均可被保證是正確的。
在不大大考慮資源的情況下，所有HRA可以這種方式進行保存和傳播。采用一些優化也是可能的。例如，卡可像門那樣管理HRA存儲，并將過期的HRA刪除以釋放內在的卡存儲空間并防止與其它門進行不必要的通信。在這樣的系統內使存儲通信和最小是有用的，因為，即使未過期但取消的憑證的數量不多，但可能某些部件(如一些卡或門)沒有足夠的存儲器或帶寬來處理所有未過期的HRA。
使存儲和通信最小的另一可能包括選擇哪些HRA將經哪些卡進行傳播。例如，HRA可與優先級信息一起提供，其表明盡可能快地分散關于特定憑證/證明的知識的相對重要性。例如，一些HRA可被標記為“緊急”，而其它可被標記為“常規”(優先等級可以盡可能地精確或近似)。具有有限帶寬或存儲器的設備可記錄并交換關于較高優先級HRA的信息，且只要資源允許，可專心于較低優先級HRA。作為另一例子，阻止卡訪問特定門的HRA可經更可能快到達該門的卡(如其憑證使能在該門附近訪問該門的卡)進行傳播。事實上，卡及門可從事于建立哪一HRA接受存儲和/或另外傳播的目標。或者，HRA或保存它們的卡可在某種程度上進行選擇，其包括隨機性，或者門可提供HRA給一定數量的卡(如門“遇到”的前k個卡)。
這樣的傳播技術的使用可降低具有取消的憑證/證明的用戶將能進入的可能性，因為即使不連通的門，用戶也不得不在任何其它用戶以更新的卡提供適當的HRA給門之前到達門。在卡和門之間的信息交換可幫助確保許多卡可被快速地通知關于取消的信息。該方法還可用作防“蓄意干擾”攻擊的對策，所述攻擊試圖斷開連通的門并阻止門接收HRA。即使干擾攻擊取得成功且門永遠未獲得中央服務器或應答器的HRA通知，個體用戶的卡也可能向門通知HRA。應注意，在卡和門之間交換HRA的實際方法可變化。在少許短HRA的情況下，交換并比較所有已知HRA最有效。如果許多HRA被弄在一個列表中，列表可包含指明列表在何時由服務器發出的時間。接著，卡和門可首先比較它們的HRA列表的發出時間，且可用較新的列表替換較舊的列表。在其它情況下，可使用更復雜的用于發現和協調區別的算法。
有效的HRA傳播可通過下述步驟實現(1)發出經鑒定的HRA；(2)將經鑒定的HRA發送給一個或多個卡；(3)使卡將經鑒定的HRA發送給其它卡和/或門；(4)使門保存所接收的HRA和/或傳輸所接收的HRA給其它卡。
詳細介紹一些樣本HRA使用是有用的順序1(直接從“管理機構”到門)1、實體E取消用戶U的憑證/證明并發出HRA A，其包含憑證/證明已被取消的信息；2、A經有線或無線通信傳輸給門D；3、D驗證A的可靠性，如果驗證成功，保存關于A的信息；4、當U試圖通過呈現憑證/證明訪問D時，門D注意到所保存的關于A的信息指明憑證/證明已被取消并拒絕訪問。
順序2(從“管理機構”到用戶卡到門)1、實體E取消用戶U的憑證/證明并發出HRA A，其包含憑證/證明已被取消的信息；2、另一用戶U’來上班并將其卡呈現給E以獲取其當前憑證/證明；3、連同U’的當前憑證/證明，HRA A被傳輸給U’的卡；卡保存A(卡可以也可不驗證A的可靠性，取決于卡的能力)；4、當U’試圖訪問門D時，其卡將其憑證/證明連同A傳輸給D；5、D驗證A的可靠性，如果驗證成功，保存A；6、當U試圖通過呈現其憑證/證明訪問D時，門D注意到A取消U的憑證/證明并拒絕訪問。
順序3(從“管理機構”到另一門到用戶卡到門)1、實體E取消用戶U的憑證/證明并發出HRA A，其包含U的憑證/證明已被取消的信息；2、A經有線或無線通信傳輸給門D’；
3、D’驗證A的可靠性，如果驗證成功，保存A；4、另一具有其自己的憑證/證明的用戶U’將其卡呈現給D’以進入D’。D’除了驗證U’的憑證/證明并在合適時準予進入，還將A傳輸給U’的卡。卡保存A(卡可以也可不驗證A的可靠性，取決于卡的能力)；5、當U’試圖訪問門D時，其卡將其憑證/證明連同A傳輸給D；6、D’驗證A的可靠性，如果驗證成功，保存A；7、當U試圖通過呈現其憑證/證明訪問D時，門D注意到A取消U的憑證/證明并拒絕訪問。
順序4(從“管理機構”到用戶卡到門)1、實體E取消用戶U的憑證C并發出HRA A，其包含C已被取消的信息；2、用戶U攜帶其卡通過位于建筑物入口附近的傳輸點，這使得其卡接收A；卡保存A(卡可以也可不驗證A的可靠性，取決于卡的能力)；3、當U試圖訪問門D時，其卡將A連同C傳輸給D；4、D驗證A的可靠性，如果驗證成功，保存A并拒絕U的訪問；5、如果U再次試圖通過呈現C而訪問D，則門D注意到先前保存的A已取消C并拒絕訪問。
有時，在犯罪之后，建立誰試圖訪問特定的門、在什么時間、呈現了什么憑證/證明、及訪問是否被拒絕或同意是有用的。知道門的機構是否被堵塞、開關或敏感元件是否發生故障等也是有用的。到最后，可能希望維護發生的事件的事件日志。如果這樣的日志可在某些中央位置容易地獲得，其特別有用，從而其可被檢查并遵照其行事。例如，在硬件故障的情況下，修理隊可能需要被迅速調度。然而，這樣的日志有兩個主要問題。
首先，如果門被連通，則較容易通過經連接發送日志而收集日志。然而，對于不連通的門，收集事件日志則更難。當然，收集日志的一種辦法是派人到每一不連通的門以通過物理方式將日志傳回中央位置，但該方法成本太高。
其次，對于將被信任的事件日志，包括日志的產生、收集及存儲的整個系統的完整性應被保證。否則，例如，敵手可創建假日志記錄或刪除有效日志。傳統的方法如在物理上保護通信通道及數據存儲設施，其成本非常高(且通過它們自身也不足以保護)。
通過這樣的日志記錄的存在，假定日志記錄是有效的，則傳統的日志可斷定“某一用戶去某一門”。然而，這不適于高安全性應用。假定用戶U被控告損害被鎖的門D后面的某些財產。傳統的日志記錄僅可提供U進入D的無力證據人們不得不相信沒有人惡意偽造日志記錄。因而，希望使日志提供更強有力的證據，因為日志不可由敵人“人造”。具體地，無爭議的日志可證明門D(可能與U的卡合作)在日志中創建記錄。
在此描述的系統以下述方式解決了該問題無論門在何時接收作為訪問請求的部分的憑證/證明，門可創建日志記錄(如數據串)，其包含關于事件的信息，例如請求時間；請求類型(如果一個以上請求可能的話—例如，如果請求用于退出或進入，或打開或關閉引擎等)；憑證/證明及所呈現的身份(如果有)；憑證/證明是否被成功驗證；憑證/證明是否具有相應的HRA；訪問是否被授權或解決。
日志記錄還可包含任何不尋常事件的運行數據或信息，如電流或電壓起伏、敏感元件故障、開關位置等。產生無爭議日志的一種辦法包括使門借助于秘密密鑰(SK)數字簽署事件信息。所得的無爭議日志可由SIG(event，AI)表示，其中AI代表任何額外的信息。門D使用的簽名方法可以是公鑰或私鑰。
強調簽名相對于其是有效的公鑰PK、或用于產生簽名的秘密密鑰SK或產生簽名的門是有用的，因而可將無爭議日志象征性地表示為。SIGPK(event，AI)、SIGSK(event，AI)或SIGD(event，AI)。這樣的日志是無爭議的，因為敵人在不知道相應的秘密密鑰的情況下不可能偽造門的簽名。另一方面，日志的可靠性可由任何被適當通知的驗證者(如知道門的PK或門的SK的驗證者)檢查，而不必盼望保存日志的數據庫的完整性或傳輸日志的系統的完整性。總之，日志不僅可通過數字簽署每一記錄而被使得無可爭議，而且還可通過使用用于多個記錄的數字鑒定步驟使得無可爭議。例如，門可借助于數字簽名SIG(E1，...，E2，AI)鑒定多個事件E1、E2、…。照常，在本應用的這里及其它地方，數字簽名可能意味著數字簽署將被鑒定的數據的單向散列的過程。具體地，流鑒定可被看作數字簽名的特殊情況。例如，每一經鑒定的記錄可用于鑒定下一(或先前的)記錄。實現此的一種辦法包括使經鑒定的記錄包含用于鑒定下一或其它記錄的公鑰(具體地，以前數字簽名的公鑰)。
日志及無爭議日志還可由卡產生(具體地，卡可通過以數字簽署關于事件E的信息而產生無爭議日志表示成符號SIG(E，AI))。在此描述的所有日志技術也可被視為與卡產生的日志有關。
此外，其它日志和無爭議日志可通過門及卡獲得。例如，在門訪問請求期間，卡可將卡自己的(可能無爭議的)日志記錄提供給門。門可檢查日志記錄并僅在門發現日志記錄“可接受”時授權訪問。例如，門可驗證卡的數字簽名從而鑒定日志記錄；或門可根據門可接近的時鐘驗證包括在卡的日志記錄中的時間信息是否正確。
其它類型的無爭議日志還可通過使門及卡均致力于日志記錄的產生和/或鑒定而獲得。例如，卡可鑒定日志記錄，且門也可鑒定日志記錄信息的至少一部分，反之亦然。在具體的實施例中，卡C可將其日志記錄的簽名x＝SIGC(E，AI)給予門，門將副簽該簽名，表示為符號SIGD(x，AI’)，反之亦然。或者，門和卡可計算事件信息的聯合數字簽名(如借助于門和卡之間的秘密簽署的密鑰拆分計算，或將門的簽名與卡的簽名結合為單個“多重”簽名進行計算)。可使用幾個多重簽名方案，具體地，Micali、Ohta和Reyzin的方案。
可能將額外的信息包括在日志中。如果由卡和門報告的信息一致，額外的信息可被檢查。例如，卡和門可使用它們可用的時鐘將時間信息包括在日志記錄中。此外，卡(可能還有門)可將位置信息(如從GPS獲得的位置信息)包括在日志記錄中。或者，如果難以獲得當前位置(如因為GPS接收能力無法使用)，則最近知道的位置信息(及其在多久以前建立)可被包括。這樣，具體地，在移動門(如飛機的門)的情形下，可能確定當事件發生時門及卡位于何處。
當然，即使如上述的無爭議日志記錄也可被惡意地從數據庫刪除或被阻止到達數據庫。為防止這樣的刪除，提供刪除可檢測日志系統是有用的。這樣的系統可通過使用下述方案建立(1)鑒定方案(如數字簽名方案)；(2)關聯生成方案；及(3)關聯檢測方案。給定一日志事件E(一系列過去和/或未來事件的部分)，關聯生成方案可用于產生關聯信息CI，其繼而借助于鑒定方案而安全綁定到E以產生刪除可檢測日志記錄。關聯生成方案可確保，即使事件本身無關聯且一事件的存在不可從其它事件的存在進行推斷，CI仍以這樣的方式產生以保證缺少的沒有適當關聯信息的日志記錄存在，某些可使用關聯檢測方案檢測。在一些情況下，系統還可保證即使一些日志記錄不見了，其它日志記錄也可被保證可信和/或個別無爭議。
在第一例子中，日志記錄的關聯信息CI可包括順序編號日志記錄。相應的關聯檢測方案可包括通知數序中間隔的存在。但為了獲得刪除可檢測日志系統，CI和日志記錄之間的適當綁定被發現，這可能不容易實現，即使安全數字簽名用于系統的鑒定部分。例如，使第i個日志記錄由(i，SIG(event，AI))組成是不安全的，因為敵人可在刪除日志記錄后修改隨后的記錄的編號以隱藏間隔。具體地，在刪除日志記錄號100之后，敵手可將日志記錄101、102等的號碼減1。從而敵人可隱藏其刪除，因為，即使事件信息的完整性由數字簽名保護，但編號本身不能被保護。此外，即使也數字簽署編號可能也不能奏效。例如，假定第i個日志記錄由(SIG(i)，SIG(event，AI))組成。接下來，敵人可(1)觀察并記住SIG(100)；(2)刪除記錄號100；(3)用原始記錄101的SIG(101)代替SIG(100)，同時記住SIG(101)，依此類推，以完全隱藏刪除。
上述兩種方法均不能產生想要的CI和日志記錄的安全綁定。事實上，通過安全綁定(1)編號信息與(2)被編號的事件，我們意為當j不同于i時，即使提供(a)數i和Ei的安全綁定及(b)數j和Ej的安全綁定，敵人也不可制造數j和關于第i個事件Ei的事件信息的綁定。例如，第i個日志記錄可由SIG(i，Ei，AI)組成。這樣，第i個日志記錄的刪除將被特定的稍后的日志記錄檢測到。這是因為稍后的日志記錄攜帶比i大的數，其不能被敵手刪除、修改或用另一日志記錄編號信息替換，因為其與日志記錄安全綁定。例如，假定敵人刪除日志記錄號100SIG(100，E100，AI)。只要敵手不能刪除所有隨后的日志記錄(這將要求持續訪問數據庫)，為隱藏其刪除，敵手將需要創建具有相同號碼100的另一日志記錄。然而，這是很難的，因為(a)敵手不能產生全新的第100個日志記錄SIG(100，E’，AI’)，因為他沒有門的秘密簽署的密鑰；(b)敵手在未使數字簽名無效的情況下不能修改現有的日志記錄(如不能將SIG(101，E101，AI101)改變為SIG(100，E101，AI101)，即使他記住所刪除的記錄SIG(100，E100，AI100))；(c)敵手不能提取指示編號100的日志記錄的部分的簽名并將其與數字簽名綁定以產生另一日志記錄。
這樣的安全綁定還可通過不同于共同數字簽署記錄編號和被編號的事件的手段實現。例如，其可通過單向散列記錄編號和被編號的事件然后簽署散列而實現，以符號表示為SIG(H(i，Ei，AI))。至于另一例子，其可通過將編號的散列包括在事件的數字簽名中而得以實現，反之亦然例如，以符號表示為SIG(i，H(Ei)，AI))。其還可通過簽署編號信息及事件信息的數字簽名實現例如，以符號表示為SIG(i，SIG(Ei)，AI))。作為另一例子，人們可單獨地簽署(1)編號信息和唯一的字符串x；及(2)事件信息及字符串x，以符號表示為(SIG(i，x)，SIG(x，Ei，AI))(這樣的字符串x可以是當前時間)。
刪除可檢測日志還可通過與不同于順序編號信息的日志記錄關聯信息安全綁定而實現。例如，可在日志記錄i中包括一些來自先前日志記錄如記錄i-1的識別信息。這樣的信息可以是記錄i-1(或日志記錄i-1的部分)的防碰撞散列以符號表示，日志記錄i可被表示為SIG(H(日志記錄i-1)，Ei，AI)。接著，如果敵手試圖刪除日志記錄i-1，這樣的刪除在接收日志記錄i時將被檢測到，因為先前接收的日志記錄的散列H(日志記錄i-2)與H(日志記錄i-1)不匹配(由于H的防碰撞)，反之，H(日志記錄i-1)，由于其與日志記錄i安全地綁定，在不破壞數字簽名的有效性的情況下其不可被敵手修改。在此，日志記錄i還可意為其信息的子集如Ei。
應注意，不必須是日志記錄i-1的信息與記錄i綁定，其可以是先前或未來的另一記錄，或者實際上，多個其它記錄。此外，哪一日志記錄與哪一記錄綁定可隨機選擇。
其它關聯信息也可被使用。例如，每一日志記錄i可具有與兩個值(如隨機值或當前時間)xi和xi+1的安全綁定以符號表示，如SIG(xi，xi+1，Ei，AI)。接著，兩個相繼的日志記錄可總是共享一x值例如，記錄i和i+1將共享xi+1。然而，如果日志記錄被刪除，這將不再有效(因為敵手不能在沒有檢測的情況下修改簽署的日志記錄，除非其知道簽名的秘密密鑰)。例如，如果記錄號100被刪除，數據庫將包含SIG(x99，x100，E99，AI)和SIG(x101，x102，E101，AI)，且可注意到它們未共享共同的x值。這樣的關聯信息可采取其它形式實際上，日志記錄可與多個其它日志記錄關聯。具體地，這可利用多項式產生關聯信息而實現(如兩個或多個日志記錄中的每一個可包含以不同輸入求值同一多項式的結果)。這樣的關聯信息還可利用散列鏈例如，以值y1開始，讓y2＝H(y1)、y3＝H(y2)、…等，并接下來使yi與Ei安全綁定例如，第i個日志記錄可以符號表示為SIG(yi，Ei，AI)。接著，相繼日志記錄i和i+1可具有關聯值yi和yi+1，適當yi+1＝H(yi)。然而，如果敵手刪除日志記錄，這可能不再有效因而刪除可被檢測。例如，如果記錄100被刪除，數據庫將包含SIG(y99，E99，AI)和SIG(y101，E1101，AI)(如前所述，其不能在不破壞數字簽名的情況下被敵手修改)。接著，刪除可被檢測，因為H(y101)將不與y99匹配。使用多個散列鏈，或許使用非相繼記錄及雙向，也可提供這樣的關聯信息。
在另一實施例中，每一日志記錄可包含部分或所有先前甚或隨后的事件的指示，因而使日志不僅刪除可檢測，而且在刪除時可重建。可重建日志系統可通過使用下述方案建立(1)鑒定方案(如數字簽名方案)；(2)重建信息產生方案；及(3)重建方案。給定一日志事件E(一系列過去和/或未來事件的部分)，重建信息產生方案被用于產生重建信息RI，其接著可借助于鑒定方案與其它日志記錄安全綁定。重建信息產生方案確保，即使對應于事件i的日志記錄丟失，其它日志記錄包含足夠的關于E的信息，以允許從其它日志記錄中存在的RI重建E。例如，第i+1個記錄可包含關于所有或部分先前i個事件的信息，其由重建信息產生方案生成。因此，如果敵人以某種方式成功從數據庫擦除第j個日志記錄，關于第j個事件的信息Ej將在一個或多個隨后的記錄中揭示，使得即使在缺少第j個日志記錄的情況下也可使用重建方案重建信息Ej。因而，對敵人而言，對數據庫臨時訪問是不足夠的他不得不“始終”監視數據庫并刪除多個日志記錄以阻止關于第j個事件的信息被展現。選擇哪一事件包括在日志記錄中可由重建信息產生方案以隨機方式完成，以使敵人很難預測關于特定事件的信息將在何時在后繼的日志中揭示。優選地，可重建日志系統還可以是刪除可檢測和無可爭議的。
還應注意，關于包括在另一日志記錄中的事件j的重建信息不必是直接信息。其可由部分記錄j、或其散列值hj(具體地，由重建信息產生方案經單向/防碰撞散列函數計算)、或其數字簽名、或任何其它指示組成。具體地，如果使用單向防碰撞散列函數H，則可能無爭議地從包含hj的日志記錄i恢復關于第j個事件的信息以符號表示，如果第i個記錄被簽署，相應的無爭議日志可采取形式SIG(hj，Ei，AI)。例如，如果懷疑特定用戶在特定時間進入特定的門，可測試值hj是否與已響應于該事件創建的日志記錄Ej的散列H(Ej)匹配。這是無可爭議的，因為H的防碰撞特性實質上不可能提出不同于Ej的記錄E’j使得H(E’j)＝H(Ej)。
日志記錄Ej可被創建，在某種程度上應使其容易猜測(因而驗證)對于特定事件應是什么日志記錄(例如，通過使用日志記錄的標準化格式，使用近似時間間隔等)。單向散列因為其大小很小而特別有用可以散列許多甚或所有先前的日志記錄以包括在隨后的記錄中。例如，記錄i+1可包括h1＝H(E1)、h2＝H(E2)、…、hi＝H(Ei)。或者，可以嵌套(部分)散列，從而減少所要求的空間量。例如，如果嵌套所有散列，則第二日志記錄應包括h1＝H(E1)，第三日志記錄應包括h2＝H(E2，h1)...。因而，如果通過i-1和日志記錄i+1創建或觀察日志記錄i，則可無爭議地創建日志記錄i。該系統可通過(如使用僅數據庫知道的密鑰)加密日志記錄中的(部分)信息進行改進，從而敵人不能看到他必須損害哪一信息以危害特定事件的可重建性。實際上，一旦日志被加密保護，這樣的加密日志(最好是無爭議的加密日志)可被發到另一(第二)數據庫，而不會損失任何秘密。這使得敵人更難刪除現在他不得不進入兩個或更多數據庫以偽造日志。
可重建日志還可通過使用錯誤糾正代碼實現。具體地，這可通過產生每一日志記錄的多個分量(“部分”)并將它們以這樣的方式單獨(或許與其它日志記錄一起)發送，當足夠多的部分已被接收時，日志記錄可由重建方案重建，這可能調用錯誤糾正代碼的解碼算法。這些部分可被隨機或偽隨機傳播，因而當足夠的部分實際上到達時，使敵手很難刪除足夠多的部分以阻止日志記錄的重建。
事件日志(無論由卡創建還是由門或卡和門結合創建)可由卡攜帶以有利于其收集。當卡到達連通的門或與中央服務器通信或相反能夠與中央數據庫通信時，其可發送保存于其中的日志。這可類似于HRA的傳播那樣實現，除了HRA可從中央點發送給卡以外，而日志可從卡發送給中央點。因此，傳播HRA的所有方法應用于事件日志的收集。具體地，傳播HRA的方法可被變換為收集事件日志的方法，其通過(1)用接收器取代發送器，反之亦然；(2)用日志記錄代替HRA。
具體地，卡C1可收集與C1無關的事件的事件日志，如另一卡C2的訪問或門D的故障。此外，一門D1的事件日志可被保存(或許臨時)在另一門D2上(或許由卡C1攜帶到那里)。接著，當另一卡C2與D2通信時，其可接收這些日志記錄的部分并隨后將它們通信給另一門或通信給中央位置。該廣泛傳播可確保事件日志更快地到達中央點。(此外，一些門盡管不全連接到中央數據庫，可具有相互之間的連接。因而，這樣的門可類似地交換可用事件日志。如果卡具有相互通信能力--例如當接近時—它們也可交換關于它們保存的事件日志的信息。在這樣的收集過程中，無爭議的日志是有利的，因為它們不必須在安全通道上傳送，因為它們不能被偽造。因此，它們不依賴于卡或卡和門之間的連接的安全性。刪除可檢測日志提供額外的優點，如果某些日志記錄未被收集(或許因為某些卡從未到達連通的門)，其確保該事實可被檢測到。可重建日志在某些日志記錄沒有到達中央數據庫的情況下可允許日志記錄的重建(再次地，或許因為某些卡從未到達連通的門)。
在一些情況下，所有事件日志可以這種方式進行保存和傳播。否則，采用一些優化是有用的。一種優化方法是使事件日志與優先級信息一起提供，其表明通知中央機構關于特定事件的相對重要性。一些日志記錄可能比其它日志記錄更緊急例如，如果門被維持在打開或關閉位置，如果試圖進行未經授權的訪問，或如果檢測到不尋常的訪問模式。為了加速將這樣的重要信息傳送到其可被遵照行事的位置，訪問日志中的信息可用指明其重要性的標志標記(或其重要性可從其自身的信息推斷)。例如，一些日志記錄可被標記為“緊急”，而其它可被標記為“常規”。或它們可由指明它們的重要程度的數字或代碼字標記(優先等級盡可能適當地精確或接近)。例如，較高優先級的信息可被給予更多的卡和/或門以增加其將更快或更安全到達其目的地的可能性。同樣，卡或門，當接收高優先級的信息時，可通過從其存儲器刪除低優先級信息而為高優先級信息騰出空位。同樣，門可決定將高優先級信息給予經過其的每一卡，而低優先級信息僅被給予少數幾個卡或可等待直到門被連通為止。
或者或除了上述技術以外，卡可被選擇以在某種程度上保存特定的日志記錄，包括隨機保存，或門可將日志記錄提供給一定數量的卡(例如，門“遭遇”的前k個卡)。這樣的傳播技術的使用可大大降低事件日志中的重要記錄將不能到達其被遵照行事的中央位置的可能性。具體地，其可用作防“蓄意干擾”攻擊的有效對策，所述攻擊試圖阻止損壞的門通信其遇險信息。在卡和門之間交換日志的實際方法可變化。在少許記錄的情況下，交換并比較所有已知記錄最有效。在其它情況下，可使用更復雜的用于發現和協調區別的算法。
詳細介紹一些事件日志可被收集的樣本方法是有用的。下面，“管理機構”A包括一些中央點或數據庫，事件日志被收集于其中。
順序1(直接從門到管理機構)1、連通的門D響應于事件創建無可爭議的日志記錄E。
2、E經有線或無線通信傳輸給管理機構A。
3、A驗證E的可靠性，如果驗證成功，則保存E。
順序2(從門到用戶卡到管理機構)1、門D響應于事件創建無爭議日志記錄E。
2、被呈現用于訪問D的用戶U的卡C接收并保存E(除了與訪問有關的通信以外)。卡可以也可不驗證E的可靠性。
3、當U下班并在工作日結束時將其卡呈現給A時，E由卡傳輸給A。
4、A驗證E的可靠性，如果驗證成功，則保存E。
順序3(從門到用戶卡到另一(連通的)門到管理機構)1、門D響應于事件創建無爭議日志記錄E。
2、被呈現用于訪問D的用戶U的卡C接收并保存E(除了與訪問有關的通信以外)。卡可以也可不驗證E的可靠性。
3、隨后，U呈現其卡C以用于訪問另一(連通的)門D’。D’，除了驗證憑證并在合適時授權訪問以外，從C接收E。D’可以也可不驗證E的可靠性。
4、E經有線或無線通信由D’傳輸給管理機構A。
5、A驗證E的可靠性，如果驗證成功，則保存E。
受保護區域可由墻和物理門確定，如通過其人可進入的門、或集裝箱的門、安全門、交通工具的門等。受保護的區域也可由虛擬的門和墻確定。例如，區域可由檢測器保護，其可感覺侵入并可在未被提供授權時發出報警或發送另一信號。這樣的報警系統是虛擬門的一個例子在機場中，經常通過出口巷道進入門區將觸發這樣的報警，盡管沒有物理的門或墻已被違犯。虛擬門的另一例子是收費所盡管許多收費所不包含物理的柵欄或門，特定的汽車可能被授權也可能未被授權通過收費所。例如，這樣的授權可依賴于汽車的電子收費付款標記的有效性。另一例子是交通管制區。例如，要進入特定城市的市中心或通向核設施的路、軍隊軍營、或另一敏感區域，交通工具必須具有合適的授權，用于記賬、安全或擁塞控制等目的。
此外，保護不僅僅為區域所需要，還為設備需要，如飛機引擎或軍事裝備。例如，必須確保只有經授權的個人才可啟動飛機的引擎或運載危險材料的卡車的引擎。
有許多方式使用憑證/證明來進行訪問控制。應注意，對于在此公開的方式，術語“日子”應被理解為一系列時間段中的一般時間段，及“早上”意為時間段的開始。
在該申請中，“門”應被視為包括所有類型的入口(如物理的和/或虛擬的)、訪問控制系統/設備、及監視系統/設備。具體地，它們包括用于啟動引擎和控制裝置的關鍵機構(具體地，從而本發明可用于確保只有當前的授權用戶可啟動飛機、操作推土機或訪問和控制各種重要和/或危險的物品、設備和機件)。與該約定一致，我們將“進入”稱為被授權想得到的訪問(或物理的或虛擬的)。
類似地，具體地但不損失一般性，卡可被理解為用戶的任何訪問設備。應該意識到的是，卡的概念足夠概括地包括移動電話、PDA、或其它無線和/或先進設備，且卡可包括或連同其它安全措施一起工作，如PIN、口令及生物測定信息，盡管這些措施的部分可能“位于”卡持有人的大腦或身體中而不是卡本身之中。
此外，措辭“用戶”(經常稱為“他”或“她”)可被廣泛地理解為不僅包括用戶和人，還包括設備、實體(及用戶、設備和實體的集合)，包括但不限于用戶卡。
在此描述的系統可使用硬件和軟件的任何適當結合實施，包括但不限于保存在計算機可讀的介質中的軟件，其可由一個或多個處理器訪問。此外，用于加密、鑒定等的技術可被適當地結合和可交換地使用。在那一點上，下述美國專利和申請中的每一個均通過引用組合于此1995年10月2日申請的美國臨時專利申請60/004,796；1995年10月24日申請的美國臨時專利申請60/006,038；1995年11月2日申請的美國臨時專利申請60/006,143；1996年9月10日申請的美國臨時專利申請60/024,786；1996年8月29日申請的美國臨時專利申請60/025,128；1996年12月18日申請的美國臨時專利申請60/033,415；1997年2月3日申請的美國臨時專利申請60/035,119；2001年3月20日申請的美國臨時專利申請60/277,244；2001年6月25日申請的美國臨時專利申請60/300,621；2001年12月27日申請的美國臨時專利申請60/344,245；2002年4月8日申請的美國臨時專利申請60/370,867；2002年4月16日申請的美國臨時專利申請60/372,951；2002年4月17日申請的美國臨時專利申請60/373,218；2002年4月23日申請的美國臨時專利申請60/374,861；2002年10月23日申請的美國臨時專利申請60/420,795；2002年10月25日申請的美國臨時專利申請60/421,197；2002年10月28日申請的美國臨時專利申請60/421,756；2002年10月30日申請的美國臨時專利申請60/422,416；2002年11月19日申請的美國臨時專利申請60/427,504；2003年1月29日申請的美國臨時專利申請60/443,407；
2003年2月10日申請的美國臨時專利申請60/446,149；2003年6月24日申請的美國臨時專利申請60/482,179；2003年7月18日申請的美國臨時專利申請60/488,645；2003年9月24日申請的美國臨時專利申請60/505,640；1996年9月19日申請的美國專利申請08/715,712；1996年11月1日申請的美國專利申請08/741,601；1996年11月26日申請的美國專利申請08/756,720；1997年2月24日申請的美國專利申請08/804,868；1997年2月24日申請的美國專利申請08/804,869；1997年6月11日申請的美國專利申請08/872,900；1997年8月5日申請的美國專利申請08/906,464；2001年7月25日申請的美國專利申請09/915,180；2002年3月20日申請的美國專利申請10/103,541；2002年9月16日申請的美國專利申請10/244,695；2003年4月8日申請的美國專利申請10/409,638；2004年6月24日申請的美國專利申請10/876,275；美國專利5,604,804；美國專利5,666,416；美國專利5,717,757；美國專利5,717,758；美國專利5,793,868；美國專利5,960,083；美國專利6,097,811；及美國專利6,487,658。
在本發明已結合多個實施例公開的同時，其修改對本領域技術人員將是非常明顯的。因此，本發明的實質和范圍由下面的權利要求提出。
權利要求
1.發出和傳播關于憑證的數據的方法，包括(a)使實體發出表明憑證已被取消的經鑒定的數據；(b)使經鑒定的數據保存在第一用戶的第一卡中；(c)使用第一卡將經鑒定的數據傳輸給第一門；(d)使第一門保存關于經鑒定的數據的信息；及(e)使第一門依靠關于經鑒定數據的信息拒絕訪問憑證。
2.根據權利要求1的方法，其中經鑒定的數據由數字簽名進行鑒定，且第一門驗證數字簽名。
3.根據權利要求2的方法，其中數字簽名是公鑰數字簽名。
4.根據權利要求3的方法，其中數字簽名的公鑰與憑證關聯。
5.根據權利要求2的方法，其中數字簽名是私鑰數字簽名。
6.根據權利要求1的方法，其中憑證和第一卡均屬于第一用戶。
7.根據權利要求1的方法，其中憑證被保存在不同于第一卡的第二卡中，且第一門通過從存儲器檢索關于經鑒定的數據的信息而依靠這樣的信息。
8.根據權利要求1的方法，其中憑證屬于不同于第一用戶的第二用戶。
9.根據權利要求1的方法，其中經鑒定的數據被首先保存在不同于第一卡的至少一其它卡中，且經鑒定的數據可從至少一其它卡傳輸給第一卡。
10.根據權利要求9的方法，其中經鑒定的數據通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。
11.根據權利要求1的方法，其中實體通過首先使經鑒定的數據保存在應答器上然后使第一卡從應答器獲得經鑒定的數據而使得經鑒定的數據被保存在第一卡中。
12.根據權利要求11的方法，其中應答器無保護。
13.根據權利要求1的方法，其中第一門通過使經鑒定的數據首先傳輸給不同于第一卡的至少一其它卡而從第一卡接收關于經鑒定的數據的信息。
14.根據權利要求13的方法，其中至少一其它卡通過使經鑒定的數據首先傳輸給不同于第一門的至少一其它門而從第一卡接收關于經鑒定的數據的信息。
15.根據權利要求1的方法，其中第一門全不連通。
16.根據權利要求1的方法，其中第一門間歇連通。
17.第一門接收關于第一用戶的憑證的經鑒定數據的方法，包括(a)從屬于不同于第一用戶的第二用戶的第一卡接收經鑒定的數據；(b)保存關于經鑒定的數據的信息；(c)接收憑證；及(d)依靠所保存的關于經鑒定的數據的信息拒絕訪問憑證。
18.根據權利要求17的方法，其中經鑒定的數據由數字簽名進行鑒定，且第一門驗證數字簽名。
19.根據權利要求18的方法，其中數字簽名是公鑰數字簽名。
20.根據權利要求19的方法，其中數字簽名的公鑰與憑證關聯。
21.根據權利要求18的方法，其中數字簽名是私鑰數字簽名。
22.根據權利要求17的方法，其中經鑒定的數據通過首先保存在至少一其它卡中然后從至少一其它卡傳輸給第一卡而被保存在第一卡中。
23.根據權利要求22的方法，其中經鑒定的數據通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。
24.根據權利要求17的方法，其中經鑒定的數據通過首先保存在應答器上然后由第一卡從應答器獲取而被保存在第一卡中。
25.根據權利要求24的方法，其中應答器無保護。
26.根據權利要求17的方法，其中第一門通過使經鑒定的數據首先傳輸給不同于第一卡的至少一其它卡而從第一卡接收關于經鑒定的數據的信息。
27.根據權利要求26的方法，其中至少一其它卡通過使經鑒定的數據首先傳輸給不同于第一門的至少一其它門而從第一卡接收關于經鑒定的數據的信息。
28.根據權利要求17的方法，其中第一門全不連通。
29.根據權利要求17的方法，其中第一門間歇連通。
30.幫助立即取消訪問的方法，包括(a)接收關于憑證的經鑒定的數據；(b)將關于經鑒定的數據的信息保存在第一卡上；及(c)使第一門接收關于經鑒定的數據的信息。
31.根據權利要求30的方法，其中經鑒定的數據由數字簽名進行鑒定。
32.根據權利要求31的方法，其中數字簽名是公鑰數字簽名。
33.根據權利要求32的方法，其中數字簽名的公鑰與憑證關聯。
34.根據權利要求31的方法，其中數字簽名是私鑰數字簽名。
35.根據權利要求30的方法，其中憑證和卡均屬于第一用戶。
36.根據權利要求35的方法，其中如果第一卡在預先指定的時間中未能接收預先指定類型的信號，則第一卡將變為不可用于訪問。
37.根據權利要求30的方法，其中憑證屬于不同于第一用戶的另一用戶。
38.根據權利要求30的方法，其中經鑒定的數據通過首先保存在不同于第一卡的至少一其它卡中然后從至少一其它卡傳輸給第一卡而被第一卡接收。
39.根據權利要求38的方法，其中經鑒定的數據通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。
40.根據權利要求30的方法，其中第一卡從應答器獲得經鑒定的數據。
41.根據權利要求40的方法，其中應答器無保護。
42.根據權利要求30的方法，其中第一卡通過首先將經鑒定的數據傳輸給不同于第一卡的至少一其它卡而使第一門接收關于經鑒定的數據的信息。
43.根據權利要求42的方法，其中第一卡通過首先將經鑒定的數據傳輸給不同于第一門的至少一其它門而使至少一其它卡接收關于經鑒定的數據的信息。
44.根據權利要求30的方法，其中第一門全不連通。
45.根據權利要求30的方法，其中第一門間歇連通。
46.根據權利要求30的方法，其中第一卡最終從存儲器刪除所保存的關于經鑒定的數據的信息。
47.根據權利要求46的方法，其中憑證具有到期日期，第一卡在憑證過期之后從存儲器刪除所保存的關于經鑒定的數據的信息。
48.根據權利要求47的方法，其中憑證的到期日期可從憑證內指定的信息推斷。
全文摘要
發出和傳播關于憑證的數據包括使實體發出表明憑證已被取消的經鑒定的數據；使經鑒定的數據保存在第一用戶的第一卡中；使用第一卡將經鑒定的數據傳輸給第一門；使第一門保存關于經鑒定的數據的信息；及使第一門依靠關于經鑒定數據的信息拒絕訪問憑證。經鑒定的數據由數字簽名進行鑒定，且第一門驗證數字簽名。數字簽名可以是公鑰數字簽名。數字簽名的公鑰與憑證關聯。數字簽名可以是私鑰數字簽名。憑證和第一卡均屬于第一用戶。憑證被保存在不同于第一卡的第二卡中，且第一門通過從存儲器檢索關于經鑒定的數據的信息而依靠這樣的信息。經鑒定的數據被首先保存在不同于第一卡的至少一其它卡中，且經鑒定的數據可從至少一其它卡傳輸給第一卡。經鑒定的數據通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。
文檔編號G06F11/30GK101036339SQ200480022001
公開日2007年9月12日 申請日期2004年7月16日 優先權日2003年7月18日
發明者菲爾·利賓, 西爾維奧·米卡利, 戴維·恩貝里, 亞歷克斯·西涅利尼科夫 申請人:科爾街有限公司