数据验证方法和装置.pdf

数据验证方法和装置
    【技术领域】

    本发明涉及在网络上发送的数据的验证，尤其是借助于密码手段在如国际互联网络类的不安全的网络上的数据的验证。

    背景技术

    每当信息跨越不安全的网络传送时，信息可能被以某些方式截取和干扰。因此，在利用这种网络连接到与密切有关的用户所进行的许多活动中，要求每个用户确认对方的身份。尤其是利用国际互联网络实施这些活动的情况。

    满足上述要求的一种方法是使用数字签名。跨越不安全的网络发送数据的起始方(数据源)可以使用这种数字签名得到验证。

    这种签名履行传统签名的作用：提供数据源的验证，而且同时可以具有法律效益。为了防止暗示数据源的错误指向，如果是可能的，那么确保很难欺骗性地签署电子文件则是很重要地。

    一种普遍可以接受而且实现这个唯一的已知方法是使用密码术。尤其是，使用一种称作公共密钥方案的非对称密码术。公共密钥方案采用两个不同的但是数学上是相关的“密钥”。这种不对称的密钥利用所谓“单向”的算法来工作。使用这种算法可以生成所谓具有一个密钥的数字签名而且利用另一个密钥来检验这一点，但是它非常耗时而且事实上几乎不能实现，为了使用检验密钥产生签名，要利用密钥大小的正确选择。

    当前非常简单的问题是使用验证密钥以便验证签名和信息的完整性与来源，而且这也是每个密钥对儿如何正常地使用。这些公共的密钥方案或者可以是基于单向功能，其中核实过程包括查证数学方程式(例如，ElGamal椭圆曲线等等，参考1996年公布的实用密码技术手册中循环冗余校验(CRC)，Menezes，A.Oorschot，P.van，和Vanstone，S.其编入的内容可以在此参考)或者可以基于加密-解密功能(例如，RSA加密方法，参考1978年2月21日公布的，计算机协会(ACM)通信中120-126页，用于获得公共密钥密码系统数字签名的方法(A method for Obtaining Digital Signaturesof Public Key Cryptosystems，Communications of the ACM，21(2)，1978：120-126)，Rivest，R.L.，Shamir，A.和Adleman，L，其编入的内容可以在此参考)。后者不同于对称的加密，在此同样的密钥是用于加密和解密信息两者。这种不对称法的优点之一是，即使第三方拥有用于验证信息的密钥，没有另一个密钥他们也不能生成签名。如果使用一种加密-解密方案，则加密密钥是验证密钥而解密密钥是签名密钥。

    最广泛使用的公共RSA加密方案，其利用两个非常大的素数，而且事实上记录时需要花费非常长的时间把两个素数的乘积化分到两个原始数字的因子。由于足够大的数，因此RSA加密法可以很好地抗伪造的签名。通常，密钥之一是两个素数因子pa与q的乘积n并且被称作公共指数e，而另一个密钥是利用模运算从一对素数和e导出的数。公共指数e必须被选择为相互为素数的p-1和q-1，然后可能导出秘密指数d，例如对于重复地使用欧几里得(Euclid)算法的某些x，作为满足ed-x(p-1)(q-1)＝1的最小正整数。其更详细资料可以在如上所述的Menezes等中找到。

    因为被用来验证的密钥知识不能够做签名，所以能够尽可能广泛地传播这个密钥(所谓的“公共密钥”)给尽可能多的人，典型地通过提供所谓公共密钥的基本结构(PKI，参考CCITT(国际电报电话咨询委员会)建议的X.509：1994年，验证构架一指南，和公共密钥的基本结构：PKIX参考工具、因特网任务工程强制，其收录的两者都可以在此参考)，以便任何人都可以使用它。

    如果一特定的公共密钥可用于验证信息，由此可见信息的发起人必须已经是保持私人密钥的用户。因此，通过利用公共密钥方案能够指出特殊信息的来源。

    然而，因此要求某些方案适当地捆绑用户的身份在专用的公共密钥对儿上。

    例如，持有者可以简单地向全世界披露他自己的公共/私人密钥对儿。然而，签名文件的接受者因此将只能具有持有者的信息有关他的身份，以及该持有者是主人，而且该密钥没有被危害。在这种情况下，信息的接受者无法验证信息发送者，关于他们身份或者所有权状态是否真实，只能验证信息来自声称特殊身份和声称是密钥对儿的拥有者的某人。

    由于PKI密钥拥有者的身份和状态验证的上述问题，称作验证管理方(CA)的第三方已经演变成验证所声称的特殊用户是谁。该用户必须向CA提供某些凭证和他的公共密钥，而CA作为回答颁发一个所谓的证书，不过由CA以选定的格式(例如X.509v3)在信息上产生一个签名，构成用户的全权证书和他的公共密钥。另外，CA必须构造一个可用的目录指南，从该目录中任何用户密钥的状态可以随时传送给任何其他的用户，或者通过利用所谓的撤回列出表，或者通过在线查询。此外，CA颁发证书的政策声明，其描述适合于系统用户的规则，包括由用户已经确定的方法。至于详细内容查看CCITT，和公共密钥基本结构：如上所述的PKIX参考工具。

    包含公共密钥/私人密钥对在内的数字证书与没有证书在内的传统签名解决方案相比具有额外的优点，它可以具有限制的操作周期而且还可以被中止或者撤回，用户的私人密钥将被折衷处理，例如使其对第三方适用。为了使签名对任何人有用，它最好表示为标准化格式，例如公共密钥加密标准(PKCS#1)签名，其根据CMS(密码信息语法)形成(PKCS#7，更加详尽的资料查看，2001年，美国RSA实验室的RSA密码术标准(PKCS#1、7，RSA Cryptography Standard)其收编的内容可以在此参考)。

    从上面的描述可以看出，一直保持签名的私人密钥的安全是至关重要的，否则它的价值将被消除，因为其价值在于通过显示来源于特殊密钥对儿拥有者的信息来验证信息作者的身份。这仅仅是在私人密钥没有危害的情况下。因此，保持私人密钥的安全性是必须采取的措施。

    为了保护用于数字签名密钥对儿的私人密钥，一种确定的方法是用软件解决，而且将其存储在自己的工作站或者存储在由自己控制的个人识别码或者通行短语来保护的软盘上。然而，一般认为这种只有软件的解决方案对高价值的处理没有足够的安全性，除非工作站被非常良好地保护。这是因为它一般可能利用在工作站上彻底搜索密码来恢复私人密钥，而在任何情况下，很难保护私人密钥免遭所谓的“特洛伊木马”的攻击。此时，一种恶意的程序(一种病毒)例如经过包含可执行文件的电子邮件由入侵者安装，而且这个程序在用户使用签名处理过程时秘密地复制了用户的私人密钥，或者秘密地复制用于保护私人密钥的通行字短语。可以引入一些手段使这种攻击更困难，但是尽管这样，它们还是不容易防止的。为了安全性和适应性的理由通过智能卡来提供物理保护是有吸引力的，这另外提供了一种灵活的解决方案。这种方法的缺点是需要智能卡阅读器，因此还没有广泛地使用。

    一种替换方式很长时间被认为非常有吸引力，其被代替将私人密钥存入智能卡(芯片卡)。但是这要求被用来申请的工作站必须附加智能卡阅读器。因为作为标准，工作站很少具有这种嵌入的阅读器，而且因为不可能为了与芯片卡通信而单独地超出标准，所以唯一的可能性是附加一台外部设备并且在该工作站上安装驱动程序，这是既费时又费钱的事。

    对于允许用户产生数字签名的解决方案，鉴别和安全是主要的争论焦点。因此本发明的目的是为了消除或者改善至少一个与已有技术有关的难题。尤其是达到高保密性等级的目的，而同时对该难题给出一种灵活的解决方案。

    此外，存储在工作站的私人密钥可能显现“不受阻碍”，也就是说以非加密的格式，存储在用户的电脑高速缓冲存储器中、或者在打印机高速缓冲存储器中、或者在卷轴记录带上，或者另外在因特网服务提供者(ISP)的高速缓冲存储器中，即使从用户的电脑中被删掉也没有关系。事实上，即使删除的项目也可以利用专门的技术从电脑中恢复，以便从硬盘驱动器等恢复数据。的确，无论何时用于签名产生的私人密钥，它必须以无保护的形式提供。

    对安全性问题的其他解决方案允许用户从中央服务器下载他们的私人密钥并且在工作站的软件中产生签名。这产生了灵活性，但是如果工作站不安全，那么它还是容易受到攻击，除非对可使用的工作站下载私人密钥进行限制。

    在本发明的实施方案中，用户的私人密钥集中地储存在一个验证装置中，它由多个未必全部在同样物理地点的服务器之一组成。这些服务器是抗篡改的，一般采用硬件安全模块(HSM)例如具有一组限制命令可使用的IBM4758。这些服务器中的一台包含不同用户的私人密钥，其称作签名服务器，它是以只有合法使用权者才可以利用他自己私人密钥来启动签名产生的这样一种方式启动的。

    根据本发明提供一种方法，其通过产生数字签名用来验证用户提供的数据，或者利用他的私人密钥在他的控制下对这个数据上做类似的事情，该方法包括步骤：从数据源装置接收将在验证装置被验证的数据；利用对于验证装置的一个或多个安全信息要素，在验证装置中验证所述数据，所述要素对用户是唯一的；和从验证装置输出所验证的数据，传送给接受者装置；其中安全信息要素验证数据的提供者是所述用户。

    上述方法提供降低验证装置的管理成本、增加了用户使用方便、以及增加了安全性的优点，因为该信息对用户是唯一的，不管是以加密还是非加密的格式，其从不脱离验证装置的签名服务器。这允许用户使用多个工作站而不传送他们的私人密钥给每个工作站。因此，只有破坏了签名服务器才可能导致私人密钥在签名服务器外面可利用，因此必须使用为了此目的而设计的抗篡改硬件，例如IBM4758。

    在更先进的方案中，私人密钥实际上可以在任何N个服务器之间使用大家所熟悉的“秘密共享”这样的方法来分配，它们每个都持有密钥的组成部分，根据密钥他们为签名的产生可以计算输入，该签名被返回到数据源装置，然后从K个输入中计算出全数字式签名，其中K是2到N之间的某些数字。这个方案的优点是在攻击者能够计算私人密钥之前，至少要危及破坏K个服务器。

    验证装置可能包括集中建立的和可接近来自一个或多个数据源装置的任何东西。更可取地，该验证装置包括一个签名服务器。更可取地，该验证装置还包括一个鉴别服务器。更可取地，该验证装置是可以访问许多数据源装置。

    该数据源装置一般可以是工作站，但是也可以是交互式电视，或者是用于提供现金的自动柜员机，或者是来自中央验证装置的其他的信息源。该数据源装置具有全部需要有效地与验证装置通信的软件，但是这些软件可以仅仅在交互需要的期间提供或下载到数据源装置。数据源装置允许与验证装置通信。

    更可取地，唯一的要素或一些要素包含用户专用的公共密钥/私人密钥对儿的私人密钥。唯一的要素或者一些要素可以在用户提供的数据上产生用户专用的数字签名。对于上述提出的原因，这种PKI密钥和数字签名提供高保密性，因为欺骗性地解密它们很难。

    接受装置可以与数据源装置相同，或者换句话说，可以是第三方装置。后者允许整个信息，或者仅仅是要验证信息的衍生部分(最好是散列值)在验证以后传递到需要的用户，而不必要返回该验证信息给数据源装置。

    第三方装置可以是除数据源装置之外任何用于接收验证数据的合适装置，例如分开的工作站，或者计算机网络。例如，第三方装置可以是用于局域网(LAN)的网关。换句话说，该验证装置和第三方装置可以在单个的局域网区域内，或者包括广域网(WAN)。

    根据本发明的另一方面，在此提供一种验证由用户提供的电子数据(如来源于该用户的)的方法，该方法包括在数据源装置和验证装置之间建立一个安全连接，从数据源装置发送将由验证装置接收的数据，以及利用对于用户是唯一的信息，接收来自验证装置的作为源于用户的被验证的数据版本。

    更可取地，包括将数据的验证版本插入到要发送给第三方装置的另外的数据中的步骤。

    更可取地是，该验证装置保存对用户唯一的信息(只有用户才有的信息)以便执行验证。

    更可取地是，对用户唯一的信息是该用户专用的公共密钥/私人密钥对儿的私人密钥。还有，更可取地，该唯一的信息是该用户专用的数字签名。更可取地，要验证的数据是信息的散列值。其优点是整个信息不必发送给签名服务器去签名，因此减少数据源装置和签名服务器之间的网络传输。

    更可取地，在要验证的数据传递之前和传递期间，在数据源装置和验证装置之间建立一个鉴别连接。另外，该连接可以是加密的。这减少了连接被截取或者干扰的可能性。    

    该数据源装置可以提供一个或者几个令牌给验证装置用于鉴别。更可取地，令牌之一经过到鉴别连接的替代信道由验证装置提供给用户或者数据源装置。通过需要截取两个信道才能完全地访问该数据，这也显著地增加了安全性。

    替代信道可以是移动电话网络信道。尤其是使用短信息业务的信息传递令牌。

    在最简单解决方案中该令牌可以是一个固定密码。在优选的解决方案中，该令牌是一次性密码，它通过鉴别信道(例如移动式电话)进行通信，或者利用与验证装置共享密钥的实际令牌动态地进行计算。这种解决方案通常适合于销售，而且在下面给出一些例子。

    更可取地，由数据源装置提供的令牌对于每个事务处理是唯一的，事务处理是由验证装置验证的签字数据的过程，而且将签字的数据提供给接受装置。该令牌可以存储在携带式装置上。

    更可取地是，不止一种类型的令牌可以鉴别用户或者数据源装置。例如，除了由实际令牌产生的或发送到用户的移动式电话的一次性密码之外，还可以使用固定密码。这些令牌的独立性使攻击者很难同时危害两个。因此这种方案被认为提供“坚固的”用户鉴别，并且可以被使用以获得比利用单个验证令牌单独地获得的级别更高级的安全性。

    更可取的特点是该方法通过不考虑数据源而鉴别用户达到的一个安全级别来操作，以及利用通过鉴别用户和数据源装置达到的另一个更高的安全级别来操作。更可取地，验证装置根据用于验证用户或数据源装置的安全性及数据的令牌的种类，利用不同的唯一要素验证该数据。这种多级验证提供不同级别的安全性和信任程度，要利用不同种类令牌安置在一些连接上，而且要使用不同级别的签名取决于使用的令牌。

    使用不止一种令牌的地方，对验证用户也许同时使用，所希望的可能是通过分开的独立管理员组的控制来保证这些令牌的管理。为此，有可能将该验证装置构成不止一台以上分开的服务器为一组，而且必须每台服务器管理管理一个或多个独立的鉴别令牌。

    这种情况下的一个例子，用户的私人密钥利用几个服务器之间的秘密共享方案来分配。一种替换的方法是，用户的密钥驻留在称为签名服务器的单个服务器中，并且为此与一个或多个与用户鉴别有关的其他服务器(称为鉴别服务器)共同操作。

    用户可以与每个服务器建立分别的连接。对于该用户来说，还可以利用分开服务器所管理的令牌来鉴别他们自己，而不必建立对每台服务器的分别连接。这种方案的例子在本发明实施例的下面描述中给出。

    更可取地是，用于确认用户与/或要被验证的数据的确认数据必须在数据可以被验证之前由验证装置接收。

    更可取地，验证装置发送一个请求到远程装置以便为用户提供识别数据。此外，验证装置可以接收来自远程装置的识别数据(例如，一次性密码)的版本，而且这个版本可以与用户提供的另外的用户数据(例如，一次性密码的衍生版本)进行比较。然后，如果比较成功，要验证的数据被验证为源自该用户的数据。

    在用户的工作站与远程装置之间可以建立一个连接。这个连接可以独立于工作站与验证装置/签名服务器之间的连接而被验证和鉴别。

    根据本发明的另一方面，在此提供一种用于验证数据的方法，其包含接收远程装置的向用户提供识别数据的请求，提供所述识别数据给用户，和提供识别数据的衍生版本到远程装置。这种方法提供了用于发送识别数据(例如一次性密码)给用户的另外的一条信道。传送识别数据的方法可以不同于用来传送来自远程装置的请求的方法，以及不同于发送识别数据衍生版本的方法。

    根据本发明的另一方面，提供根据权利要求43或45中提出的计算机装置。根据本发明的其他方面，提供根据权利要求44或者46中提出的载体媒介。

    根据本发明的的另一方面，在此提供一种数据验证装置，其包括适合验证从远程数据源装置接收的数据源于用户的的签字装置，其中该验证装置被设置成从数据源装置接收数据，利用存储在验证装置中的信息验证数据属于该用户，所述信息对于该用户是唯一的，以及将验证的数据发送给接受装置。

    更可取地是，该接受者装置是数据源装置。另外，该接受者装置也可能是第三方装置。

    更可取地是，将数据源装置和验证装置设置成在要验证的数据传送之前和传送期间，在数据源装置和验证装置建立一个鉴别连接。而且更可取的特征是该连接是加密的。

    该数据源装置可以设置为向验证装置提供一个用于鉴别的令牌。更可取地，这个令牌是经过对于鉴别连接的替代信道由鉴别装置提供给用户或数据源。该令牌可以是固定的密码。另外，该密码可以是一次性密码。再有，该令牌对于这个事务处理可以是唯一的。

    更可取地是，在本发明的装置中，不只一种类令牌可以鉴别用户和数据源装置。

    作为更可取的特征，如果一个特殊的数据源装置(例如使用可信任的工作站)，该数据验证装置可以被设置成不管数据源装置而通过鉴别用户达到的一个安全级别来操作，以及通过鉴别用户和数据源装置达到的另一更高的安全级别来操作。另外，验证装置可以设置成根据用于验证用户或数据源装置的安全性及数据的令牌的种类，利用不同的唯一要素验证该数据。

    验证装置还可以包括指示装置，其用于发送请求到远程装置以便指示该远程装置发送识别数据(例如一次性密码)给用户。该验证装置还可以包括接收装置，其用于接收来自远程装置的从识别数据衍生的数据。

    来自远程装置的衍生数据利用比较装置与接收装置接收的另外的数据进行比较，如果在比较装置比较的数据相匹配，则验证装置证实该数据是要被验证的数据。

    根据本发明的另一方面，在此提供一种用于验证数据的装置，其包含从远程装置接收请求以便提供识别数据给用户的接收装置；提供所述识别数据给用户的提供装置；和用于提供识别数据的衍生版本给远程装置的另一提供装置。

    更可取地，还提供密码产生装置，它产生一个密码(例如一次性密码)，尽管还可以产生其它的识别数据。更可取地，接收装置和另一提供装置被设置成通过与提供装置不同的通信方法操作。

    如上所述本发明的实施方式和各个方面不仅要分别地解释还要结合说明，而且可以以任何方式结合以便提供本发明的更多的实施例。另外，来自一个实施方式的独特的特征可以与另一实施方式的其它特征相结合，以至于不同实施方式和各方面的各自的特征的各种结合能够提供本发明的更多的实施例。

    【附图说明】

    现在将参考附图(纯粹地举例说明)描述本发明的具体实施例，其中：

    图1显示根据本发明第一实施例的各个部件之间关系的结构；

    图2显示根据本发明第一实施例的在不包括访问签名密钥的与授权用户过程有关的步骤；

    图3显示根据本发明的第一实施例的方法流程图；

    图4显示根据本发明的另一实施例的方法流程图；和

    图5显示根据本发明的另一实施例的流程图。

    【具体实施方式】

    图1示意性地示出根据本发明实施例的系统。它显示了用户102操作一个数据源装置，在本实施例中是工作站101，它经过通信线140与验证装置连接，验证装置在本实施例中是签名服务器110。通信线路140本质上是不安全的。工作站101可以是能够与签名服务器110建立通信的任何终端。例如，工作站101可以是一台交互式的电视机。必要的条件是工作站101能够与签名服务器110通信。在链路的工作站101一侧不需要专用的软件。签名服务器110安全地存储每个用户的私人密钥，并且可以另外记录与用户以及它们活动有关的一些或者全部相关信息。签名服务器110处理经过工作站101来自用户的请求而且可以向CA服务器发出请求。签名服务器110理论上被证明符合国际标准，例如FIPS(联邦信息处理标准)140-1等级3或者4(查看1994年，美国国家标准与技术协会公布开的FIPSPub140-1，在此可以参考其编入的内容)，这是一个公认的标准，其指出服务器硬件保护的抗篡改特性的质量。

    签名服务器110接收来自工作站101的作为来源于用户要验证的数据。验证是利用存储在签名服务器110中的用户私人密钥，加密从工作站101接收的数据并且返回该数据到接受者(可以是该用户或者是第三方)来完成。下面，根据本发明实施例的处理过程将参考图3、图4和图5更详细地描述。

    现在描述本发明实施例中使用的硬件的具体情况。除签名服务器110之外，在该实施例的具体实施中，验证装置还具有分开的鉴别服务器120，正如签名服务器110一样，它是通过抗篡改的硬件来得到增强。换句话说，相对签名服务器110来说，鉴别服务器120可以是远距离的。签名服务器110经过优良的加密链路150(即，加密并且验证的)与鉴别服务器120连通，例如通过共享的万能钥匙，或者根据公共密匙加密-解密，利用标准的解决方法，有时也被称为VPN(虚拟专用网络)。这是利用众所周知已有技术中的标准密码技术在服务器之间建立对话密钥和安全的加密信道。使用的密钥可能取决于用于访问的用户密码。从鉴别服务器120到签名服务器110的安全信道150延伸到签名服务器110的硬件部分，在某种意义上，这个信道使用的密钥是由抗篡改的硬件控制而且从不出现在验证装置的外面。系统的完整性不必依赖服务器所处的区域的安全程度。同样申请的全部通信往返于签名服务器110与鉴别服务器120两者之间。

    鉴别服务器120通过替代信道151将一次性密码与/或口令分配给用户。在本实施例中，替代信道151使用SMS(短信息业务)信息经过移动式电话蜂窝网络发送用于通信的一次性密码。换句话说，用户可能拥有手持小型装置称作安全令牌190，它与鉴别服务器120共享专用的密钥。一旦口令已经通过工作站101接收(这是由用户在令牌190上键入的)时，而基本的响应是利用保持在令牌190上的密码加密口令，它是在工作站101作为一次性密码被键入。当从鉴别服务器120接收一次性密码的衍生版本时，签字服务器110可以验证该响应的确是口令的加密。然而，许多替换物都是可用的，例如蜂窝网络(它是国际互联网络的特殊型式，而且它可以由WAP允许的移动电话访问)上的无线应用协议(WAP)，或者常规的纸张邮件。换句话说，密码可以经过国际互联网络、经过小应用程序来分配，其尽可能直接地与附加在工作站101的打印机通信(当这限制复制保持在他们的打印机/假脱机缓存器中密码复本的风险，或者限制在工作站101上“探测”密码的特洛伊木马欺骗软件时)。下面讨论在本发明中可以使用密码类型的例子。在任何情况下，这个验证过程的确切特性不局限于这样的描述，而且在本发明的上下文内许多变化都是可能的。

    在注册时，固定密码是以安全的方式发送给用户102(他可以在任一点及时地改变)，以致于每个用户102都可以在工作站101与签名服务器110之间的连接中被鉴别，作为用户鉴别处理的一部分。在本实施例中，在线的情况下，一次性密码经过从鉴别服务器120到用户的移动电话(没有显示)的SMS信息来分配。这种在线的一次性密码可能具有非常短的有效性周期，它与事实上包含的鉴别一起，服务器知道如何定位用户，给出较高安全性的密码。用户的移动电话号码是唯一可确定该用户的，所以被偷窃的、借用的或者克隆的移动电话用于识别将失败，除非SMS信息被可能同时使用这个信息的某人截取，由于鉴别信道与通信信道无关所以这是相对比较难的。

    这个实施例允许用户102利用他们的数字签名，同时保证数字签名本身从未脱离安全中心验证装置，否则就要加密。

    现在将利用图1所示的各个部分描述根据本发明实施例的密码-令牌的分配。首先，用户102借助于信道152从工作站101连接签名服务器110。签名服务器110经过建立在签名服务器110和鉴别服务器120之间的安全连接150，指示鉴别服务器120发送一次性密码给用户102。鉴别服务器120利用如上所述的SMS信息在信道151上来完成这发送。鉴别服务器120还经过信道150提供一次性密码的衍生版本给签名服务器110。在这个实施例中，这个导出的版本是一次性密码的散列值。该散列值是利用标准的单向算法导出，例如SHA-1算法(参考美国国家标准协会，1995的安全散列标准FIPS Pub180-1，在此可以参考其编入的内容)。散列值一般更加小于导出它的信息，而且一旦计算出该散列，则原始信息就不能从中找到。还有，两个信息具有相同散列值是完全不可能的。然后，这个一次性密码的散列与工作站101提供的散列相比较。因为相同标准的散列算法是由鉴别服务器120与工作站101两者使用的，所以如果该两个散列相配，则该用户被接受视为是由签名服务器110验证的。换句话说，该密码的其它种衍生版本可能被发给签名服务器110。该必要条件仅仅是常用于导出密码或者令牌-响应的版本处理过程在鉴别服务器120与工作站101中是相同的，因此一个密码将产生相同的衍生版本在鉴别服务器120与工作站1 01，但是两个不同的密码不能产生相同的结果。

    散列值的比较提供被验证的用户，而签名服务器110不接收真正的一次性密码。

    现在将描述如上所述密码令牌的分配变化。用户建立与签名服务器110和鉴别服务器120两者的独立连接，而不仅仅是对签名服务器110的。在这种情况下，要验证的数据通过一个接口被发送给鉴别服务器120，而数据的散列值通过另外的接口发送到签名服务器110。换句话说，该散列价值可以用或者附加其它的相关数据来替代。典型情况下，要被鉴定的数据是根据第三方的应用(例如，银行)通过例如一个小应用程序或者或者一些小应用程序在数据源装置产生的，然后分别将数据和数据上的散列转送到鉴别服务器120和签名服务器110。每个连接可以用分开的令牌来鉴别，例如，适合于签名服务器连接的固定密码和适合于鉴别服务器连接的一次性密码。鉴别服务器120将要被验证的数据转送到签名服务器110，签名服务器110可以计算该数据的散列值并且与直接从用户102接收的散列值比较。这种方案在已经由鉴别服务器120鉴别的用户102的签名服务器110也提供很强的保证，而且具有优点，即签名服务器110不接收任何与鉴别服务器的用户鉴别相关的信息。

    签名服务器110由具有保护密码设备(例如，IBM4758)的抗篡改硬件保密模块(HSM)支持，该密码设备产生密钥和签名，而且如果这些密钥没有被使用则它们被储存在外部，在主密钥下加密。如图2所示，在本发明的实施例中，工作站110提供给验证装置的原始数据被传送给HSM111，其经过利用用户102的密码和标准加密技术建立的信道141。第二层加密140从工作站延伸到验证装置，但是没有延伸到HSM111。这是一个与鉴定服务器鉴别很强的加密链接，而且这个信道传送有关用户102的详细资料和为该替代信道151指定的鉴别方法等更多的信息。主要表明的是，敏感的密钥从不出现在安全盒的外面。这种解决方案广泛地由银行业使用，例如与身份识别编码-保护有关。数据库112记录全部有关管理员的信息。HSM 111管理着密钥和密码功能性的存储器。签名服务器110是由防火墙180和物理安全措施182两者来保护，以便避免、减少或者阻止未授权的访问。

    在本发明的实施例中，签名服务器110是由托管人员(例如，在双重控制下的)控制的客户160、161、162支持，通过鉴定与加密的链接与签名服务器110相连。在签名服务器110与客户之间的对话期间，管理员将首先登录，然后在这个阶段，鉴定和加密客户160、161、162与签名服务器110之间的全部通讯联络的对话密钥与使用主密钥是一致的，再利用标准程序建立一个客户160，161、162与服务器之间的VPN。需要输送的密钥(用于交换对话密钥的主密钥)存储在智能卡上，由管理员操作并且用来管理(即，建立/允许/不允许)保密高级职员与职员在签名服务器110的帐号，以便浏览签名服务器110数据库中的数据以及在签名服务器110上注册用户(在该服务器上具有签名的那些用户)。

    在高度保密的事务处理中，本发明实施例提供更多增强的方法，以便阻挠通过图形用户界面发动的攻击而获得大家所熟悉的WYSIWYS(你看到的是你的签名)：一种简单的可能性是让验证装置确认数据的基本部分，该数据是在执行验证前由要验证的用户经过用于鉴别目的第二信道提供的。在这种情况下要验证的整个信息毫无疑问是转送到用于检查的验证装置。

    保密高级官员和职员是签名服务器110的两个级别的管理员：保密高级官员对全部有关操作签名服务器110方面的安全性负责，包括新增管理员、输出审查记录、以及停止或者取消管理员帐号。职员对相关的用户活动(比如利用系统注册新用户)负责，停止/取消用户、摘录有关用户活动的报告等。这两级管理是通过限制更多人访问某些系统而增加了系统的安全性。

    当签名服务器110的两个级别管理员已经给定时，有可能根据需要在许多不同的结构之间划分授权的活动。例如，有可能允许用户执行简单的管理任务例如发布新密码、对他们的活动请求报告或者如果怀疑是欺诈的使用就停止他自己的帐号。然而，在当前的实施例中，帐号可能仅仅是由职员重新授权给的而且将产生一个新的密码，是经过用户的移动电话从鉴别服务器120发送给顾客的。

    鉴别服务器120还借助于硬件保密模块121以与签名服务器110同样的方式得到加强，并且具有数据库122，并且是由防火墙181和物理安全措施183保护的。鉴别服务器120还与客户170、171、172相连接，其利用如上所述的鉴定加密信道与签名服务器110有关的客户链接。为了安全起见，客户170、171、172与客户160、161、162是分开地支配签名服务器110。

    签名服务器110和鉴别服务器120最好在安放位置上分开，而且它们每个是作为独立主体分别与每个客户160、161、162和170、171、172进行操作管理的。这减少了未授权访问两个服务器的可能性，在用户的私人密钥被误用时，这是必须的。

    另外，鉴别服务器120和签名服务器110也可以安放在相同的验证装置内。在这种情况下，每个服务器管理的客户160、161、162和170、171、172(例如，与服务器控制连接的)最好保持分开状态，以致通过保证相同的客户访问两个服务器的客户不能是相同的来提供增强的安全性，尽管他们可能是相同的。这种单服务器方法的优点是由于仅仅一个服务器操作而不是两个服务器，因此解决方法简单，但缺点是，需要更仔细以便保证委托的人员不能妨碍系统。

    在本实施例中，如给定的在线一次性密码一样，除SMS信息分配在线一次性密码之外，许多其它种类的密码和递送方法都可以使用。鉴别可以利用令牌190(例如密码)、一次性密码、存储的秘密等手段来获得。不同种类的令牌在机动性和安全性方面具有不同的特性。对于所有类型的密码，生成一个用于在签名服务器110检验请求的密钥。签名服务器110将以类似的方法产生密钥并且验证该请求。

    固定的密码是没有变化的密码，并且能在不同的场合使用多次去鉴别用户。这种固定的密码是机动的，但是因为它们容易被窃取，即实际上在用户输入密码时被偷看或欺骗用户在假的密码提示中输入密码而被窃取，所以固定密码比一次性密码保密性差。确定一个固定密码的安全是否被危及到是不可能的，但是假设怀疑危及了安全的情况下(例如，根据检查跟踪)，可以禁止使用该密码。

    固定密码必须是通过安全的信道(例如，在密封的信封中)由鉴别服务器120原始地提供给用户，因为用户最初没有办法在网络上验证他自己。在初始密码已经接收之后，如果提供了足够的鉴别和机密性，用户可以联机改变该密码。

    固定密码可以依据它们的安全易受影响的情况来分类，以致使一个人可以有一个控制之下的密码或者安全的环境和另外一个有很少控制的密码或者安全的环境。

    替换地，可以使用存储的一次性密码，它们是机动的而且比固定密码更安全，但是它们可能被实际盗窃或者复制所危害。无论密码是存储在印刷物上还是存储在移动装置上，盗窃是容易被发觉的。然而，复制就不容易发觉了。

    存储的一次性密码有较长的有效期而且必须安全地从鉴别服务器120传送到用户。必须防止一次性密码的复制，而且如果密码是在国际互联网络上在线传送这就可能很难做到了，因为在用户相信它们已经被消除之后，它们还可以长时间地保存在各种高速缓冲存储器文档和打印机缓存器中。密码保密的通信减少了在传输给用户期间窃取密码的问题，但是不能保证存储在工作站中的任何有关纯文本的复制。

    本实施例的在线一次性密码比存储的一次性密码更加安全，因为短期的有效性周期，所以使盗窃以及随后的使用实际上不可能。然而，尽管两个信道同时被同一攻击者攻击是非常不可能的，但是备用信道的截取还是可能的，有这样的趋势。

    另一替换物是终端指纹，它可以用来识别特定用户的工作站101。它是识别工作站101的唯一特征值。这种指纹可能根据存储在工作站101中的秘密、工作站101的硬件配置以及工作站101中的硬件装置的所有序列号来计算。然而，当通过复制所有这些信息可以伪造指纹时，这些指纹仅仅与受控环境(即那些具有物理和软件保护的)的终端相关。终端指纹在用户使用许多不同终端的场合中是不合适的令牌，而更适合于需要单个终端的可靠识别场合。偷窃指纹需要插入或者电脑黑客的攻击，但是不认为能够发现。

    如果存在一个用户安全信赖的可用的工作站101，工作站101利用安全信道连接到签名服务器110和鉴别服务器120，这将改善安全性，因为这将使用户以安全的方式在任一点及时从这特定的工作站中改变他的存储的密码。

    在另一替换方式中，当与签名服务器110的对话链接时，高级别的安全性产生。这是指服务器将令牌190返回，该令牌是存储在工作站101的而且在下一个对话的作用下返还给服务器。返回的令牌190可以分配也可以不必分配但是要安全地保存，而且将始终允许用户去检测他签名的误用，因为令牌可能会归还给欺诈的用户，而不是合法那个，由于下一次对话将舍弃鉴别。为了确保令牌在连接失败的情况下不丢失，这种解决方案需要用户和服务器之间精细地同步。许多已知的方法可用于进行上述同步处理。

    此外，对于计算机更安全的令牌190是附加密码的，这是通过利用查询-响应协议提供工作站101的完全识别。虽然这种附加实际上可能是很少和灵活的，它们不适合多工作站101的使用，而是要求单个工作站101的完全识别。这个例子将是一个连接到工作站101串行口的小型装置(安全装置)，例如市场上销售的软件与或信息保护的装置。

    象密码发生器和智能卡这样手持装置的前端提供非常可靠的所述装置的识别，即使该装置可能会像任何其它装置一样被盗窃。经过SMS到其它电话的终端一次性密码相比较，手持密码装置的优点是，SMS信息可能被窃听或者截取而密码装置就不会。

    最安全的识别方法可能是利用用户的身体特征例如视网膜或者扫描的指纹。然而，目前，这种扫描器还没有广泛地通过对话方式在任何工作站101上使用。

    因为与移动装置的通信变得更加先进，所以它能够适应越来越多的先进的鉴别信道，而且只要它们满足用户授权与/或鉴别的要求条件，这些可以同样地使用。

    显而易见，上述讨论的各种方案具有各种各样的安全等级。最低的级别(级别1)是用户仅仅记住他与签名服务器共享的密码，它包括不论何时必须生成的签名。

    更先进是这种解决方案(级别2)，它另外包括先前经过独立授权的信道(例如，SMS信息、借助于原始邮件建立目录的纸张)从鉴别服务器接收的或者通过加密信道传递到安全工作站然后打印输出的一次性密码。在每个新的事务处理中，除了用户记忆的唯一密码之外也使用新的密码。

    更先进和灵活的(级别3)是用户拥有手持令牌的情况，例如VASCODigipass，或者RSA SecureID Fob，它与签名服务器共享常规密钥。当该用户登录时，他也接受来自验证装置的询问，他在令牌上键入密码。然后该令牌处理该询问而且返回所谓的响应在它的显示屏上，该响应是由该用户在工作站上作为一次性密码键入的，并且由验证装置确定是正确的。通常，同样适用于销售的其他令牌利用与验证装置共享的密钥定期自动地计算新的响应，当该询问对系统是隐含的时，验证装置可以改变为不使用询问。

    至于级别3，基于市场上销售的令牌的任何十分安全的私人识别方案原则上可以结合进本发明，以便建立必要的用户鉴别。这个令牌也可以是移动装置，它可以安全地与验证装置通信，例如利用WAP-安全技术从鉴别服务器接收一次性密码，或者利用任何一种适用于该装置的通信安全技术，例如，与连接到鉴别服务器的某些终端通过物理网络实现通信兰牙技术或者红外线等载波通信。此外，因为用鉴别服务器与移动装置之间的安全信道通信是安全的，所以物理网络没有必要是安全的。

    更高的安全级别，例如，如果硬件密码装置用来提供工作站101的全部识别，对于固定永久信赖的工作站101是可以到达的。对于这个级别，工作站101可以绑定到一个IP-地址或者一个电话号码。

    当然，许多访问与安全性的级别可以根据不同的性质与需要而提出。上述实施例的优点是签名服务器110是以这样的一种方式使用的，即用户的私人密钥无论是否加密从不在超出签名服务器110安全的范围外传送。这意味着实质上增加了保护用户私人密钥的安全性。

    因为有可能利用不同的信任级别操作，取决于验证令牌190或者提供给签名服务器110的令牌，所以低标准识别的对话(即，根据级别2的验证)只能用在由于欺诈而引起潜在损失较小的事务处理签名(例如，小型的存储体处理)，而更安全的对话(即，根据级别3或者4的那些验证)例如用户的家用PC，可以用在由于欺诈而引起潜在损失较大的事务处理，本发明的实施例允许安全固定终端系统与能够使用在任何工作站101的移动终端结合在一起使用。因此给出下列优点。

    当用户希望在签名服务器110注册时，他或者她与维护注册的管理员联系。如果用户希望用证件注册，存在两个选择，这取决于CA与签名服务器110是不是由相同的组织管理。

    1.如果两个服务器是由相同的组织管理，则用户可以同时在CA与签名服务器110注册，而且可以立即产生密钥对儿和证书。

    2.如果这些服务器是由不同的组织管理的，则用户首先需要在CA注册以及或许接收发送者的密钥ID和IAK(初始的鉴别密钥)，然后该用户只是在签名服务器110注册而已。如果顾客愿意将发送者ID和IAK显示给管理员，则象情况1一样可能立即产生密钥对儿，否则密钥产生必须经过国际互联网络启动。

    注册程序可能利用众所周知的与了解的方法获得，例如国际标准PKIX，而且一般应该是所选CA的可信赖性。证书只有在验证装置从许多数据源装置接收要验证的数据时才需要。如果该数据源装置是已知的则不需要外部的CA。

    图3显示当信息是利用保存在签名服务器110中的用户私人密钥签名时所包含步骤的程序流程图。

    信息在S300进入工作站101。该信息可以是人工地输入工作站101。另外，信息也可以在前一阶段写入而且在加载到工作站101之前存储在其它地方。在这个实施例中，当准备发送信息时，工作站101与国际互联网络连接。然而，也可以替换地使用工作站与签名服务器110之间的直接(点到点)连接。国际互联网络是用于在一个非保密信道上连接签名服务器110。在这一阶段，签名服务器110与工作站101不知道它们分别与谁连接。为了确定这一点，通信的验证需要在S302完成。签名服务器110的验证可以利用公共的密钥/私人密钥对儿来完成。签名服务器110的公共密钥被公布而且适用于工作站101，例如来自CA。建立服务器身份的各种方法适用于所有涉及服务器的私人密钥加密或者解密信息的使用。因为签名服务器110的私人密钥只对签名服务器110是已知的，所以工作站101能够识别来自签名服务器110的信息。还有，利用签名服务器110的私人密钥/公共密钥对儿，从工作站101到签名服务器110可以由过工作站101建立一条安全信道，其利用服务器的公共密钥加密而且只有该服务器才能够利用它的私人密钥解密它。在已有技术中品种繁多的验证与加密过程可以在本发明中使用。在当前的实施例中，是利用在验证过程期间由签名服务器识别的固定密码来识别用户的。

    然而，在这一阶段，签名服务器110没有鉴别由验证系统的特殊用户使用的工作站101。签名服务器110必须从工作站101接收仅由用户所知的某一秘密，以便执行验证。这是在S304，由签名服务器110请求鉴别服务器120发送在线一次性密码给用户，一次性密码经过与签名服务器110和工作站101之间的链接分开的信道。在这个实施例中，这通过SMS信息完成的。一旦它已经被接收到，随后用户在S308将它键入工作站101。

    因为从工作站101到签名服务器110的连接在从工作站101到签名服务器110的方向上是安全的，所以窃听将不能识别键入并且发送给签名服务器110的密码。另外，在S310，如上所述，工作站101从密码导出散列值，而不是通过该连接发送密码。在S312，鉴别服务器120将它自己导出结果的版本发送给签名服务器110，而且签名服务器110比较这两个值。在S314，如果它们是相同的，则不正确的密码不大可能进入，而该密码被验证。

    一旦已经验证了该密码，就在S316建立双向的安全信道。这是可以利用秘密(即，密码)建立，它与签名服务器110的公共密钥一起发送给签名服务器110以便产生对话密钥。这个安全信道是基于通常的VPN原理的。

    另外，根据用户是处在保密工作站101还是非保密工作站101，或者上述讨论的密码形式中的一种或令牌190可以用来鉴别用户。

    如上所述，本发明不局限于任何具体的算法和方法以建立安全信道。建立安全信道是简单的需要。在当前实施例的情况下，安全信道是双向的。然而，一般情况下不需要。

    一旦已经建立了双向的安全信道，在S318工作站101计算用户希望验证信息的散列值。然后这个散列值在安全信道上发送给签名服务器110。在S320，一旦签名服务器110接收到该散列值，它从HSM中检索用户的私人密钥并且利用用户的私人密钥来编码该散列值(当然，用户的私人密钥可以在用户的身份建立后的任何时候检索)。

    然后将签名的散列归还给工作站101。现在这个散列已经利用用户的私人密钥加密，因此它被验证如同来源于用户的一样。这就实现了私人密钥从没有离开签名服务器110的物理的和软件保护的工作环境。因此，本发明的这个实施例通过保证私人密钥从不适用于外部的签名服务器110来克服安全性的缺点。这个私人密钥安全性的增加导致证书的增加价值，例如该信息可能更可信。

    然后在S322将签名的散列值嵌入全部初始信息中，因此在S324能够在非保密信道(例如国际互联网络)上将其发送给接受者。该信息被验证如来自于数字签名的所有者。

    另外，因为在本发明的实施例中签名服务器110和鉴别服务器120两个都使用，所以它们在位置上最好分开，而且因为工作站101、签名服务器110和鉴别服务器120三个都与来自工作站101的数据验证有关，所以签名服务器和鉴别服务器两者必定被危及到安全以至于使验证受到挫折。通过服务器的分离和每个服务器的独立管理来减少发生这种情况的可能性。

    因为签名的散列值作用如信息内容的标识符和鉴别码两个一样，因此非保密信道可以用来分配该签名信息。在图3中的S326，接受者核对用于发布用户密钥/私人密钥对儿的验证授权，而且接收用户的公共密钥。这是用来解密信息的散列值因而验证用户信息的创始者。此外，接受者可以计算信息本身的散列值以及检查这个散列值于加密散列值的匹配。如果情况不是这样，则该信息已经被篡改而且可以丢弃它。

    如果该信息在非保密信道上发送，当它不可能篡改没有检测的信息时，还可能在接受者收到之前被截取和读取该信息。为了避免这个发生，可以利用如上所述的方法在用户与接受者之间建立一个安全信道，或者任何其他合适的方法。该安全信道仅仅需要是从用户到接受者。接受者不需要为了信息传递回到用户而建立安全信道，除非易受伤害的或者秘密的信息要从接受者归还给用户。

    另外，为了避免第三者截取和读取用户和接受者之间信息的问题，可以使用图4所示的方法。

    这种方法类似于图3中所示的方法。在S400该信息被键入工作站101。S402到S416如上所述参考图3，在工作站101与签名服务器110之间建立一个安全信道。然而，因为仅仅需要建立单向的安全信道，所以在这个实施例中，下列安全信道的建立步骤不同于图3中所示的实施例。这个实施例不同的是，整个信息是在步骤S418从工作站101发送到签名服务器110。

    因此，需要加密的信息没有必须从签名服务器110返回到工作站101。然而，实际上最好建立一个双向的安全信道，以便避免来自第三方关于签名服务器错误信息和它状态的被发送到工作站101。

    在这个实施例中，签名服务器110利用该用户的私人密钥加密由用户发送的整个信息。此外，用户还提供递送信息的细节给接受者。在这一阶段，除了注意信息的接收之外，签名服务器110不需要答复工作站101。

    一旦该信息已经利用用户的私人密钥加密，签名服务器110还要利用签名服务器110的私人密钥添加该签名服务器110的签名，而且直接将这个加密的信息转送给新的接受者。接受者可以以图3中讨论的同样方式验证该信息，除了使用签名服务器110的公共密钥，还使用用户的公共密钥。再者，此时也可使用加密和签字的标准方法。

    某些、或者全部签名请求可以具有在审查注册中登记的摘要区。摘要的目的是，如果事务处理被怀疑，就能够在用户活动中提取有意义的报告和允许跟踪。

    此外，可以支持多重请求处理，其中用户为必须分开验证的每个请求的多重签名提供多重请求。这就允许用户准备许多请求而且让它们全部利用单个登记来完成。如果需要，专用网络应用程序可以存储密码以便提供更友好的用户接口。

    用户还可以要求信息或者信息散列是定时-标记并且具有有限使用期限。这是利用签名请求中确定时间-标记是否提供的标志来完成。例如，时间标记可以借助于PKIX TSP协议通过连接时间标记服务器提供，这里接收的某些信息上的签名或许多连锁的签名被发送给提供独立时间标记的独立第三方。然后添加时间标记，而且在由接收到的签名和时间标记组成的信息上产生签名。

    下面将将参考图5描述替代上面图3和4所描述的方法的一种方法。

    该系统和方法在签名和鉴别服务器110、120在位置上分开并且通过独立主体管理时是特别有用的。所有其他的特点同样也可以参考图3和图4的描述。

    要签名的数据在S500被键入工作站。应用程序或者其他的程序从第三方下载到工作站101。在这个实施例中，工作站运行小程序或者程序，与签名服务器110和鉴别服务器120两者连接。签名服务器110在S502请求和接收来自用户102(如上面注册所描述)的固定密码。然后在S504与签名服务器110建立授权的连接，参考如上所述的S302。

    在S506(如上面描述的S304)，签名服务器110请求鉴别服务器120经过不同的信道发送一次性密码给该用户。

    在S508，一次性密码被发送给用户，在S510，它跨越工作站101与鉴别服务器120之间建立的连接输入。因此在S512，在工作站101与签名服务器110以及工作站101与鉴别服务器120两者之间建立验证的连接。

    在S514要验证的数据通过单向连接被发送给鉴别服务器120，而且在步骤S516要验证数据的导出值(在这个实施例中是数据的散列值，如上所述)被发送给签名服务器110。

    鉴别服务器120发送要验证的数据给签名服务器，其计算数据的散列以便产生一个为了与直接从工作站发送的导出值进行比较的导出值。

    然后在S518，两个导出值由签名服务器110进行比较，其确保两个服务器连接到同一用户。

    然后签名服务器110可以对从鉴别服务器120接收的数据签字，并且将其返回到鉴别服务器120，或者转送到第三方接受者。

    数据的衍生版本还能够发送给鉴别服务器120而实际数据则发送给签名服务器110。然而，这是不可取的，因为签名服务器110是在鉴别服务器120验证它之前就拥有要签字的数据，而且如果存在签名服务器110的不合理控制则系统可能被误用。

    如上所述，象使用鉴别服务器120公布的一次性密码一样验证工作站101与服务器110之间的连接，还可以使用令牌确认工作站101与签名服务器110之间的连接，就图4而言，分开令牌以便验证工作站101与图5情况下每台个服务器之间的连接。在这个替换的验证过程中，建立完全独立的双信道是特别有用的，在此签名服务器110与鉴别服务器120在位置和管理上都是分开的。

    本实施例提供一种满足充分保护私人密钥需要的验证方法，例如满足欧洲联盟指示中对合格证书的要求；允许真正的拥有者启动来自连接到某些合适网络(例如国际互联网络)上的任何合适工作站101的数字签名生成永远不会危及到签名密钥的安全，同时还可以防止任何人完全控制如上所述的工作站101，以至于随后所有者利用自己的密钥产生的新签名。

    虽然上述实施例已经相对于工作站与服务器进行了描述，但是任何需要利用没有将用户私人密钥离开安全服务器的数字签名签署信息的情况也属于本发明的范围。还有，此处使用的服务器、客户与工作站的术语不局限于这些术语较窄的意义。服务器可以是任何计算机，其能够作为中央处理机由许多工作站连接。工作站是用户与服务器之间的接口，如果需要它将传送电子数据与密码给服务器。用户只不过是一些界面，其允许服务器的管理。

    本发明已经如上所述纯粹地通过举例来说明，而且在发明的精神范围内可以进行一些修改。本发明还包括任何所描述的各个特征，或者在此处隐含、或者在附图中隐含、或者与这些特征的任何结合、或者任何这些特征的任何概括或者延伸到它的等效结合。

    除非上下文清楚地需要，否则遍及该说明书和权利要求的词汇“包括”、“包含”等等，在与排他的或纯粹的相反的范围内构成；即，在“包括，但不限于”的意义上。