[发明专利]安全和存储系统及方法

说明书

相关申请

本申请根据35U.S.C.§119(e)要求于2004年12月7日提交的题目为“Hotplate”的美国临时申请No.60/634,032的优先权，该申请在这里被引入作为参考。

技术领域

本发明涉及用于实现访问和存储信息系统上的信息以及在信息系统中传输信息的安全性的系统和方法。

背景技术

信息系统的安全对于公司和社会来讲是非常重要的问题。在所有使用计算机的地方，HIPAA-GLB-SarbOx规则(regulations)、不满的员工所造成的事件、公众高度关注的病毒和窃取(hacking)事件、电子身份偷窃(electronic identity theft)、信用卡窃取(credit cardhacking)、在线欺诈(online fraud)和日益增加的法律责任已经将信息安全提升为主流考虑。最近的民意测验和研究显示，很大部分并且不断增长比例的消费者由于安全考虑而选择不在线进行交易。尽管有这些考虑，许多机构继续依赖密码来进行计算机访问和事务确认(validation)。

密码带来两个基本问题。第一个是弱的安全性，因为密码相对容易受到泄露，并且因此不能实际提供真正的安全性。第二个是费用，因为应用程序销售商和IT部门通常试图通过发布携带非常高的技术支持成本的密码策略来减轻基于密码的系统的弱点。这两个问题将在下面更详细地介绍。

如今，密码在登录(sign-on)系统中占优势。已经发现密码经常由于用户失误和黑客故意而受到威胁。经常可以在计算机系统旁的记事帖(Post-It^TM)上、在放错地方或丢失的钱包中的列表上、在丢失的电子邮件中以及在丢弃的计算机硬盘中发现密码。也可以很容易地通过非常简单有效的登录并转发键盘行为的软件程序来获得它们。此外，在万维网上可以获得工具包来帮助黑客威胁密码。

在许多情况下，某人要获得密码所需要做的就是生成一个看起来与合法的登录屏幕类似的网页并要求用户输入其密码。这种类型的窃取(hacking)有时被称为欺骗(spoofing)。被称为网络钓鱼(phishing)的另一种方法用于试图让人们输入他们的访问码以及类似的私人信息。有关欺骗和网络钓鱼的教程(包括指引示例)在许多网站上都可以获得。这些网站甚至演示如何挫败内置到大多数受流行的互联网浏览器中的报警机制。更糟糕的是，有一些系统使用诸如数字证书和公钥密码学的稳健措施(robust measure)来保卫通信，但仍然使用密码来初始访问计算机。

类似地，众多单登录系统，包括Microsoft Passport^TM，使用唯一密码来控制对多个应用程序和站点的访问。在这些情况中，密码成为主密钥。这就可能非常容易模仿入口站点来盗取密码。

如上所述，基于密码的安全的第二问题是高的技术支持成本。计算环境已经成长得如此复杂，使得大多数公司依赖于企业技术支持部(corporate help desk)来即时回复许多请求。为了管理成本，这些功能中的一些正在被外包。公司希望找到一个更好的、更经济的方法来在这类计算机问题暂停它们的生产力时使它们的员工尽可能快地恢复工作。

主要的问题是“密码重置”。公司每年每个用户对于该问题的通常成本在$75到$200的范围内。百分之七十(70％)的用户每个月至少一次遇到密码问题。此外，大约百分之三十(30％)的技术支持部呼叫是密码重置。这主要是由于用户丢失或忘记它们的密码。在许多情况下，忘记密码是可以理解的，因为一些企业用户可能必须记住用于许多应用程序的大量密码。每个应用程序可能对于可接受的密码具有不同的规则。互联网已经激化了该问题，因为很多有用的站点要求密码。企业设置中的许多计算机用户被要求记住多于30个密码。甚至还有这种情况，即采购代理商被要求记住70个密码以访问大的供应链应用程序阵列。

为了提高安全性，许多IT部门和安全顾问建议经常更改密码。在该策略之下，软件需要频繁的密码改变，并且将拒绝使用过期密码的登录尝试。除非用户将他或她的密码写下来(这实际上会威胁安全性)，否则很容易忘记密码。