CN1716855B

CN1716855B - 呼号

Info

Publication number: CN1716855B
Application number: CN2005100822793A
Authority: CN
Inventors: C·F·惠特玛; J·D·本纳龙; K·卡梅隆
Original assignee: Microsoft Corp
Current assignee: Microsoft Technology Licensing LLC
Priority date: 2004-06-30
Filing date: 2005-06-29
Publication date: 2011-01-26
Anticipated expiration: 2025-06-29
Also published as: JP4902144B2; KR101150109B1; JP2006048654A; KR20060048695A; EP1612643A2; US7929689B2; US20060005013A1; EP1612643A3; CN1716855A

Abstract

一种生成呼号的方法。一种生成呼号的方法包括：确定一突出限定符；查找一突出经验值；以及用突出限定符对突出经验值进行散列。

Description

呼号

相关申请的交叉引用

本申请与待批美国专利申请“Methods and Systems for AuthenticatingMessages”有关，后者于2003年3月27日提交，序列号为10/401,241。

背景技术

密钥和密码标识(“ID”)在要求用户验证的许多应用中起到至关重要的作用，所述应用比如计算机系统等等。在一示例性的点对点计算机系统中，用户标识(“ID”)可能被用作对系统管理员的验证程序，当用户电子地提出ID时(比如电子邮件)授权其访问一网络。或者，ID可由语音或通过写操作来发送。

过去，ID使用名片手动地提出或者口头提出。ID一般是不容易记住的二进制数的一个长流。ID可以用加密过程来保密。然而，受保护的ID一般较长，而且也很难容易地分发。因此，用户在用加密来保护ID时还放弃了使用的方便性。

发明内容

以下示出本发明的简化概述，以便使读者能基本理解本发明。该概述不是本发明的广泛综述，它未标识出本发明的关键元件、或者描绘出本发明的范围。它仅有的目的是以简化形式给出这里所公开的一些概念，以便作为下面给出的更详细描述的先导。

本发明向计算机网络提供了一种相对较短的“呼号”来标识用户。网络可以是点对点网络，其中网络中的单独计算机相比在其它网络中对于安全性有更多的责任。呼号包括与给出呼号以便准入网络的人的信息。所述呼号很短并且容易记住，而常规的ID一般较长且难以记住。呼号也包括一“经验”值，该值被预先计算以便对自身进行散列法，并且包括个人信息以便输出容易被转换成包括字母和数字的呼号的固定长度结果。可以包括除个人信息以外的其它信息来根据应用程序进行散列法。

本领域的技术人员会理解希望拥有一个用密码保密的较短的容易记住的ID。这类呼号会需要足够短，以便在提供充分安全性的同时能记住，从而能够改进点对点或其它网络的可用性。

通过结合附图参照以下详细描述，能够更好地理解本发明的许多伴随特征。

附图说明

以下讨论可以参照各个附图最好地理解，下面综述了各附图，形成本说明书的一部分。

图1是为允许访问点对点计算机网络而使用的典型安全用户标识的说明；

图2是由一种生成呼号的方法的第一实施例所产生的缩短的呼号标识符的表示；

I.具有明确数目的零值的呼号以及一种生成呼号的方法的第一实施例

图3说明了呼号的变换；

图4是说明确定呼号的过程的流程图；

图5是表示呼号对于从L比特形成的各个呼号以及对于为T秒计算的突出经验值的脆弱性的表格；

图6是说明比特长度L为45比特的冲突频率相对于群体大小的表格；

II.具有验证程序所要求数目的零值的呼号以及一种生成呼号的方法的第二实施例

图7说明了按照第二实施例的呼号的形成；

III.呼号到ASCII变化的字母数字编码

图8和图9说明了呼号的字母数字编码；以及

IV.应用于点对点名称解析协议的呼号的第三实施例

图10是用于生成在呼号第三实施例中所使用的呼号的过程的流程图。

具体实施方式

下面结合附图提供的详细描述是本发明当前实施例的描述，而不表示其中能构造或使用本发明的仅有形式。以下描述提出了本发明的功能以及用于结合所述实施例构成和运作本发明的步骤序列。然而，相同或等效的功能和序列可由不同实施例实现，所述不同实施例也包含在本发明的精神和范围内。

尽管这里把本发明描述和示出为在点对点计算机网络系统中实现，然而所述的系统仅仅是一个例子而非限制。本领域的技术人员会理解，本发明适合应用于多种不同类型的计算机系统中。

图1是为允许访问示例性的点对点或等效网络而使用的典型安全用户标识的说明。点对点计算机网络是可以无需服务器计算机而运作的计算机网络，其中安全性即是对网络中每个对等计算机的责任。如图所示，用于标识和验证用户访问的标识101一般很长。这一二进制数一般有160个二进制数位长102，该长度等于40位十六进制数。标识101的另一例是一PNRP名称，该PNRP名称包括两个分量：由40个十六进制数位表示的数字、以及任意长度的字符串。这一标识不容易被传送，除了由机器传送。

许多计算机网络可能要求生成一般用在“点对点”名称解析过程中的对等名称。如目前所实现的，点对点名称解析协议(PNRP)一般被约束为：或使用能由用户容易地处理的短对等名称(不会提供足够的安全性)；或使用包括不能由用户容易处理的长二进制串的长对等名称(一般提供了较高级别的安全性)。本领域的技术人员会认识到，缩短的标识符可应用于任一类型的计算机网络、或者期望安全且缩短的标识工具的系统。

长对等名称一般通过应用加密过程来保密。然而，这种长名称一般不能由用户容易地处理。长名称一般难以记住和输入以便访问计算机网络。简言之，本领域的目前状态一般迫使用户在容易使用和安全性之间作出选择。因此期望提供一种方式，能够以安全的方式、用短的容易记住的标识符来标识点对点网络中的计算机。

图2是由一种生成呼号的方法的第一实施例所产生的缩短的呼号标识符202的表示。特别是，该实施例在呼号中使用了一“零值数目字段”。为这里所述的点对点标识(“呼号”)使用生成安全呼号的系统和方法产生了容易记住的安全码或呼号202，所述安全码或呼号202可用于在点对点网络(“P2P”)以及本领域技术人员已知的其它等效网络应用中进行标识。特别是，在构造呼号时使用的特定信息以及所应用的密码功能能在不同的应用中使用呼号。例如，呼号以及生成呼号的方法的一个实施例可以应用于点对点名称解析协议(PNRP)。

产生一般用于点对点标识的呼号的方法解决了在安全传送用户标识时的困难。安全性通过使用安全过程来构造可被容易记住并由用户输入的短呼号来实现。这种呼号一般得到加密过程的强有力的保护。例如，用于点对点标识的呼号，比如“ZA4-3Y-4W-ZF4”202是短的且安全的。与记住社会保障号码相比，这一呼号可以略微难记。

所示的示例性呼号202包括十个字母数字字符。本领域的技术人员会认识到，可以产生具有较多或较少字符的呼号。十个呼号字符的每一个都表示5个二进制比特203。各个分段是已被打断成5比特分段的较长二进制数的各部份。本领域的技术人员会认识到，字母数字字符可以用在等效的实施例中来表示或多于或少于5比特长度的二进制数。

从该例中可见，呼号数位中的第一位是字母“Z”。该例中，第一位已被定义为表示用于对呼号进行解码的零值数目。这里字母Z已被定义为表示十进制数31，即5比特二进制数11111。本领域的技术人员会认识到，在本发明的等效实施例中，标识零值数目的数位位置、以及呼号中的零值数目可能发生变化。类似地，在该例中可以代替“Z”而选择任一比特模式或字符。

该呼号的其余九个字母数字字符表示了其余的二进制数。这些数位被指定为(“L”)。该例中，L的长度为45比特。二进制数L是从用于对用户标识加密的加密过程的结果推断出来的。在2到10位置上的其余L个比特被打断成5比特分段，所述5比特分段被映射到九个其余的字母数字字符。本领域的技术人员会认识到，二进制数到字母数字字符的映射可以通过表格查找、公式或本领域技术人员已知的等效方法来完成。本领域的技术人员还会认识到，在等效的实施例中，十个字符的排序可以不同。

在对来自呼号的零值数目以及数L解码之后，对二进制数位执行加密过程以便重新创建用户的标识。一旦已经建立了用户标识，就向持有呼号的人许可访问网络以及其它特权。

从突出的限定符生成第一实施例的呼号

假定要命名的实体拥有常规生成的公钥/私钥对K/P、以及个性化信息串或数字标识X。个性化信息串可由要被命名的实体的自然属性组成。例如，个性化信息串可以包括常用名、公司名、城市和电子邮件地址的组合等等。常规构造的公钥K可由一二进制串表示，个性化信息串可由一文本串表示。

图3说明了呼号的形成。呼号生成过程的第一步是查找一“突出的”“经验(salt)”值S，使得当S通过一加密单向函数(“H(x)”)与K 310和X 309一起被散列307时，结果是一“突出的”散列值(“H”)301，该值以大量的零值开始。在生成呼号的后续步骤中需要一定数量的零值。在查找突出的经验值时，可能在一特定的时间间隔上尝试许多值，并且保留产生期望数量的零值的突出经验值。当用户给出呼号用于验证时，突出经验值使呼号能通过一验证过程。

本领域的技术人员会理解，可以代替先导的零值而使用任一特定的比特模式。例如，进一步的替代实施例可以使用先导的1、或最小数目的“0110”组等等。在生成呼号时寻找的是呼号中与预定模式相匹配的部分，而组成呼号的其余比特不具有能组成呼号的其余数位的模式。或者，可以从二次函数而非用于产生突出散列值的散列函数获得预定的模式。

散列是通常用在加密过程中的过程，该过程通过向任意数量的数据应用称为散列算法的数学函数，从而产生固定大小的结果。在所述实施例中使用的散列函数是本领域技术人员公知的类型。典型的散列算法包括MD2、MD4、MD5和SHA-1。

所述实施例中使用的散列函数可以表征为单向加密散列函数。本领域的技术人员会理解，单向散列函数一般有几种独特属性：它便于从任意长度的消息输入中计算固定长度的散列值或结果；给定固定长度的散列值，就难以计算任意长度的消息；以及给定任意长度的消息输入，就难以查找会产生相同固定长度散列值的另一消息。

从突出经验值以及其它串产生的突出散列H 301、在散列所产生的数的MSB侧以大量的零值(或者其它等效的预定义比特模式)开始。本领域的技术人员会理解，在替代的等效实施例中，零值(或其它等效的预定义比特模式)可以位于LSB数位或其它位置上，或者所述散列或另一函数的其它特征会被用作一指示符。突出的经验值和最终的突出散列通过用不同经验值估计的单向散列函数的迭代而得到。导致具有最大数量先导零值的散列的经验值被保留作为突出的散列。重复试验直到逝去了一定时间量T为止。本领域的技术人员会理解，本发明的实施例试图在攻击者会花T的倍数来查找相同数量的零值并匹配40或45个比特的假设下，找到某一固定时间“T”的零值。用于查找突出经验值的搜索过程的一个实施例可以如下写出：

初始化找到的零值数目：Z＝0

对于时间T，做：

选择一个新的经验值V

计算HV＝单向散列(K，X，V)

计算Y、HV中先导零值的数目

如果(Y＞Z)

则S＝V，H＝HV，Z＝Y

在指定时间T的结尾处，找到突出的经验值S和突出的H。

突出的散列H通过一加密的强有力的单向函数被定义为K、X和S的散列。

突出散列＝H＝H(K，X，S)

从二进制数的突出散列H创建一逻辑的呼号。突出散列301具有预定数目的比特(“M”)。M包括突出散列的先导零值(“Z”)302、以及突出散列值H中紧跟着最后一个先导零值(即先导零值的LSB)的预先选择的比特数(“L”)303。

一旦确定了零值数目，下一步就是确定在呼号的内容中要包括从突出散列H剩余的多少个比特L。参数T(用来查找突出经验值)和L是考虑到安全性和比例缩放问题而选择。上述过程有两个参数：试验在此期间运行的时间T以及所选比特的数目L。这些参数通过考虑到到预定条目数目的比例缩放、使攻击者的欺骗攻击变得困难、以及对呼号的将来防御而确定，使得它在将来保持安全。将来防御一般使考虑到摩尔定律的试验，使得当计算机的速度提高时，呼号的不可锻性保持有效。选择这些参数时的一个额外考虑因素是抵抗来自攻击者的“编目”攻击。

第一实施例中零值数目的编码

一旦找到零值数目，也必须找到一种将它们的数字编码为呼号的方式。为了生成具有足够安全性的短呼号，把总比特数保持足够小，使得它们可以在短的数字或字母数字串内被编码。要被编码的比特总数是数目L和对零值数目进行编码所必要的比特数Z之和。一般来说，数字Z会低于128，并且可以用7比特来编码。

在替代的实施例中，可能用4比特对空八位组的数目编码，或者用5比特对空“4比特半位元组”的数目进行编码，而不是对空比特的实际数目编码。用于查找足够数量的半位元组的经修改过程是：

初始化找到的零值数目：Z＝0

对于时间T，做：

选择一个新的经验值V

计算HV＝单向散列(K，X，V)

计算Y、HV中先导半位元组的数目

如果(Y＞Z)

则S＝V，H＝HV，Z＝Y

例如，24个先导零值通常在具有1GHz CPU的常规PC上在一分钟之内这样获得。

如下所示，数L很少会低于40比特，数L是在先导零值后面会组成呼号的比特组。先导零值数目Z的实际范围会在24和88之间。24和87之间的值可以用一公式来编码：

Z＝24+R

该公式中，R是在0和63之间变化的数。可以等效地使用以下公式：

Z＝24+2*R

P是在0和31之间的数，P对零值对的数目进行编码。0和31之间的数是非常实际的，因为它可以作为单个字母数字字符被编码。用于查找可以在单个字母数字字符内被编码的足够数量的零值的已修改过程是：

初始化找到的零值对数目：Z＝0

重复：

选择一个新的经验值V

计算HV＝单向散列(K，X，V)

计算Y、HV中先导零值对的数目

如果(Y＞Z)

则S＝V，H＝HV，P＝Z

直到Z大于24且逝去了时间T为止

设Z＝Z-12

接下来的折衷是值L和时间T的选择。下面讨论它们的选择。

通过使用逻辑呼号的数字或字母数字编码来得到适用于偶然交换的呼号，所述编码包括零值数目Z的编码以及L个所选比特的编码。组成呼号的Z加L个比特304可以被打断成5比特的分段。每个5比特分段都由一字母数字字符表示。然后把字母数字字符汇编成呼号305。最终，可以加入一个或多个分隔符来形成最终的呼号306。也可以采纳像删除先导的“Q”这样的呼号缩短惯例。

图4是说明确定呼号的过程的流程图。在步骤401，配置一突出限定符。在步骤402，找到突出的经验值。在步骤403，对突出经验值(S)、个性化信息串(X)和公钥(K)进行散列法，以形成M个比特。在步骤404，从散列中找到先导零值的数目。在步骤405，从散列中取得先导零值的数目(Z)。在步骤406，从散列中取得比特数目(L)并包括在呼号中。最后在步骤407，通过找到Z和L比特的字母数字表示来形成呼号。

呼号验证过程

当第三方接收到一呼号时，他们通过要求呼号的声明持有者来给出公钥K、个性化信息串X和突出经验值S的值，从而验证呼号、公钥和个性化信息串之间的关联。第三方会使用一验证程序从K、X和S中计算出突出散列。他们接着会验证先导零值的数目与呼号中表示的值Z相匹配、验证值Z不小于预定的最小值、并且验证呼号中编码的L比特与散列值中的相应比特相匹配。作为附加的预防措施，验证程序会“在视觉上”检验个性化信息串X对应于所预期的自然值。

如上所述，以安全和比例缩放的考虑因素而选择参数T和L。上述过程有两个参数：试验在此期间运行的时间T、以及所选比特的数目L。这些参数根据以下需求来确定：比例缩放到预定条目数目的需求、不容易欺骗的需求、以及将来防御的需求，即抵抗摩尔定律。另外的考虑因素是抵抗“编目”攻击。

考虑可能的欺骗攻击时选择L和T

任何把公钥和短签名链接的过程都需要考虑到欺骗攻击，在所述欺骗攻击中攻击者找到得到相同签名的另一公钥。

通常的防御措施是依靠生成公钥的困难性。如果签名是公钥和某一固定文本的散列，且如果签名的长度为L比特，攻击者就会需要在找到匹配前生成2^L个公钥。本领域的技术人员会理解，生成公钥包括找到两个长的质数，这是一个非常昂贵的操作。然而，只有没有能力的攻击者才会尝试使用标准的密钥生成软件来找到匹配的密钥。相反，攻击者可能使用以下过程，比如：

得到第一质数。

把质数加入list(列表)。

Repeat：(重复)

得到新的质数P

For(对于)list(列表)中的每个质数Q：

计算N＝P*Q(简单乘)

计算关联到N的公钥K

计算散列(K，个性化信息)

If(散列与目标匹配)

//我们已成功

Return(P，Q)(返回(P，Q))

End if

End for

If列表尺寸＜最大尺寸

把P加入list(列表)

End list

End Repeat

在这一过程中，根据尺寸为M的最大列表，质数计算仅仅是平均每隔M个循环出现一次。通过选择一个大的M，攻击者有效地使质数生成对于核心循环运行时间的影响最小，核心循环由散列函数的成本支配而结束。依赖于公钥生成的复杂性不是一种有效的防御措施。

为了找到包括Z的先导零值的散列，生成程序会需要执行大约2^(Z)次操作；为了找到相应的散列，攻击者会需要执行大约2^(Z+L)次操作。通过选择Z和L的足够大的值，确保了呼号难以被欺骗，而无需对质数生成作出假设。

另一种常用的防御措施是提高散列函数的成本，例如通过请求多次运行一标准散列以便得到所谓的“N次幂散列”。不考虑加密因素，缺陷是散列函数成本的提高是对称的：它施加于呼号及其验证的生成。这不是期望的属性。可能希望有不对称的设置，其中生成可能要求大量计算以便阻碍欺骗攻击，但是验证非常快以便不对读者强加过期的负载。

呼号过程要求生成程序执行大量试验以便找到足够数量的先导零值。这可能要求长的生成时间，但不影响验证时间，验证时间仅仅比简单散列比较慢一些。

考虑将来防御和摩尔定律时选择L和T

一般在评估散列算法的加密强度时考虑到计算能力随时间的发展。根据摩尔定律，对于一给定成本可用的计算能力大约每隔一年半翻一倍、每隔三年翻四倍。这意味着：在其它量等值的情况下，对于攻击者可用的计算能力数量每隔一年半翻一倍。换句话说，今天需要一百万年的攻击，在从现在起三十年后，只需要少于一年。现在看上去牢不可破的代码在将来可能很容易攻击，除非它已被充分地加强，或“将来防御”。

为了保护呼号不受将来的攻击，选择零值的初始数目以符合摩尔定律。通过这样做，摩尔定律有益于呼号的安全性。根据摩尔定律选择初始零值数目，而不是增加代码的尺寸以便产生长的呼号。现今使用的代码可能有相对少量的零值，但是将来几年使用的代码可能有增加的先导零值数目。

如果在新机器上生成新代码，则从今天起三年后，在生成过程上花同样的时间量会找到有两个额外零值的散列。本领域的技术人员会认识到，生成的成本与2^(Z)成正比，攻击的成本与2^(Z+L)成正比。通过在生成中花固定时间量，攻击者会需要花开始准备攻击的2^L倍时间。简而言之，在30年内攻击者的难度和现在一样。例如，如果生成周期T被设为1分钟，长度L被设为40比特，则生成一欺骗值在当前的机器上会要求大约2百万年的计算，从现在起30年后类似生成的呼号在类似的机器上仍然需要2百万年的计算来进行防御。

然而，这一论据仅在呼号仅用于短持续期时才有用。破解2003年时一分钟内生成的40比特呼号用2003年可用的计算机需要2百万年的计算，或者用并行使用的2百万台这样的计算机计算一年。破解在2033年时一分钟内生成的40比特呼号用该年可用的计算机也需要2百万年的计算。但是2033年的计算机将能够仅在2年内破解2003年的呼号。

因此，呼号会有一定形式的过时。在某一年生成的呼号应该不可能用于超过一些年。呼号的总弹性取决于生成时花费的时间以及比特数L。通过使生成过程运行得更长而得到较好的弹性：生成时间T的每次翻倍都会防止摩尔定律的迭代。在进一步的替代实施例中，通过长时间运行生成过程可以形成真正强的呼号。

在进一步的替代实施例中，通过把到期日与呼号相关联可以提供合理的保护。这在使用呼号作为引导机制来找到通信者的实际公钥时尤其有吸引力。在找到公钥后，可以使用完整的信息，而不是在呼号中所表示的压缩信息。完整信息更不容易受过时的损坏。

考虑自然冲突可能性时选择L和T

即使没有攻击，短代码的一个问题在于：两个用户正好选取了导致同一呼号的密钥、个性化信息串和经验值的组合时出现“自然”冲突的可能性。

呼号中使用的比特长度L受限制以便保持呼号为短，而计算机用户的数量(“P”)可以很大。例如，在P＝10^10的群体中每个计算机用户分配至少一个呼号，以便使用本领域技术人员公知的方法使冲突机会小于50％，这样需要使长度L大于67比特。如果冲突机会要小于1％，则L应该大于73比特。

这样大小的比特串会在15个字母数字字符的呼号内被编码。该长度超过呼号的实际长度。简言之，只有在个性化信息串嵌入了诸如电子邮件地址这样的独特标记、并且该独特标记沿着呼号被安全地传输时，完全消除冲突概率才是实际的。

由于呼号长度受限制并且会出现冲突，因此可以采用一种检测冲突的方法。冲突会用呼号的解析来解决。如果存在冲突，读者会得到与呼号相关联的公钥、个性化信息串和经验值的几个版本，所有这些都经过第一级验证过程。读者基于个性化信息串来选择“正确的”或“预期的”版本。冲突解决过程可以通过执行以下步骤或其等效步骤来迭代：

1)开始对呼号的搜索；

2)检取与呼号相关联的公钥、个性化信息串和经验值；

3)如果没有这种条目可用，搜索以失败终止；

4)使用单向函数执行验证。如果它失败，则重复步骤2；

5)如果个性化信息串与预期值匹配，则搜索成功地结束；以及

6)如果个性化信息串不匹配，则重复步骤2。

如果解决过程是有效的，则密钥仅需要足够长以便保持与冲突解决机制相兼容的冲突频率。例如，通过个性化信息串的长列表分类是无效的。本领域的技术人员会认识到，冲突会很少见，并且如果2^L充分地大于P：L＞log₂P，则仅包括几个匹配条目。

选择L和T时的定量

呼号的第一实施例由一组字母数字字符组成。每个字符对信息的5个比特编码。从长度考虑，呼号的第一实施例不应该长于10个字母数字字符。10个字符之一对零值数目Z编码。其余9个字符用于对L比特编码，在使用每字符5比特时，使L为45比特。L＝35、40或45的呼号的替代实施例也是可行的。在对于第一实施例达到L为45比特时，上述标准可以用本领域技术人员公知的方法来定量。值L可以被分配可计量的指标，以便获悉这些值中的哪一些是可接受的；类似地，应该用来搜索零值的时间T已被定量。

用以下一组标准总结前面的章节，前面的章节讨论了欺骗攻击、编目攻击、自然冲突以及随时间增加的计算能力，所述标准是：总的Z+L应该足够大以防止欺骗。零值数目Z对应于计算时间T。乘积T*2^L应该足够大以防止欺骗，即使考虑到摩尔定律的迭代。个性化信息串应该足够独特以便阻碍编目攻击。给定可能的群体大小时，长度L应该足够长以便使名称冲突很少见。

考虑欺骗攻击时选择L和T的定量

图5是表示基于击败欺骗攻击而选择的比特长度L和时间T的表格。该表格示出根据比特数(35、40或45)和所花费的计算时间T(15、60、240、960或3840秒)的函数，将需要多少年来破解呼号。在该表中，双下划线且粗体的值低于100000年。破解密钥所需的计算可以容易地分布到计算机网络。本领域的技术人员会理解，在过去可能已经使用了100000台计算机的网络来破解加密询问。为了使呼号至少一年阻止这种网络的攻击，35比特的L不是最佳的选择，除非对零值的搜索持续至少4分钟。

大于10000000年的值是单下划线的且斜体的，这些值在100000台当今计算机组成的网络上会需要100年的计算。从表中可见，45比特的L一般是安全的。结合16分钟或更多的对零值搜索时间(T)使用45比特的L会得到可能在10年保持有效的呼号。

考虑编目攻击时选择L和T的定量

图6是表示呼号对于从L比特形成的各个呼号以及对于为T秒计算的突出经验值的易受攻击性的表格。像呼号这样的短代码会受到“编目”攻击，编目攻击是欺骗攻击的变体。在该攻击中，一个攻击者或一组攻击者生成大量的呼号“解决方案”，并且将它们保存在数据库中，即编目。每个解决方案把攻击者已知的公钥和呼号的特殊值相链接。本领域的技术人员会理解，该表格还表明可能由100000台计算机的网络在一年内构造的编目大小。“易受攻击性”列表示为使编目包括至少一个有效呼号而应该在网络中出现多少次编目的名称。

本领域的技术人员会认识到，编目攻击仅用于通用的个性化信息串。如果个性化信息串仅包括用户的名和姓，则编目攻击会非常低效。

在替代的实施例中，可能通过在个性化信息串内包括附加的标记来减少通用名称的频率，从而加强呼号的安全性。例如，可以向个性化信息串加入城市和国家名称。于是，编目攻击仅针对在其个性化信息内具有相同的附加标记的用户。例如，那些具有相同的名和姓、并且住在同一城市内的用户。本领域的技术人员会认识到，这些用户形成了一个相对小的群体。本领域的技术人员会理解，在一个城市内很少会有多于几百个这样的用户。从表中可见，组合45比特的比特长度L以及4分钟(240秒)的持续期T在本申请中提供了足够的安全性。

在进一步的替代实施例中，个性化信息串包括像电子邮件地址这样的独特标记，然后该标记作为呼号的一部分被安全地通过，于是阻止了编目攻击。这一编目攻击就像欺骗攻击一样难以成功实现。

避免讨厌的标识符

生成呼号时绘制的巧合可能导致不是非常期望的呼号，比如“IAM-SO-DUMB”。随机机会甚至会导致呼号包括那些公然无礼的词汇，比如一些公知的四字母单词。

最有把握消除这些可能性的方式是把所提出的呼号提交给用户，使用户或者接受所提出的值或者要求另一个值。把计算设计为16个顺序步骤能帮助快速地重新生成另一呼号。如果呼号被拒绝，则在一替代实施例中，使用完整的新计算所必要的时间的十六分之一来重复过程的最后一个步骤是足够的。如果保持由最后散列步骤导出呼号这样的设计，则在进一步的替代实施例中也可能在该阶段引入一个最终经验值，因此可以通过简单地选取一随机数而导出新的呼号。

进一步的实施例插入一保护，通过加入在生成过程中包括一“不期望关键词”列表的步骤来阻止不期望的呼号。这种包括关键词的保护使代码自身变得有些讨厌。然而，在替代的实施例中，二进制值的字母数字编码具有意义。我们可以在程序中包括被编码的二进制值而非实际的关键词。它们存在但却是以不可读的形式存在。

II.具有由验证程序设置的所请求数目的零值的第二实施例呼号以及生成所述呼号的方法

在第一实施例中有一些可能改进的方面。可能不必要对呼号中的先导零值数目编码，从而允许或者较短的呼号、或者同样长但却包含较大数量L个有效位的呼号。同样，可能以字母数字编码出现不期望的结果。它们会不注意地导致“可读的”字符串，所述可读字符串包含无礼的词汇。呼号生成过程应该确保避免了这些词汇。

对第二实施例中的零值数目编码

第一实施例中零值数目的编码是有害的。假定零值数目总是大于24且小于98，而且是零值对的数目而非零值的数目提供了足够的保证。

更为根本的是，呼号中零值数目的编码假定呼号的持有者应该决定多少零值是必要的。在第一实施例中，查找一突出经验值所花费的时间是固定的，假设在该时间内找到的零值数目会“符合摩尔定律”，并且表示那一年计算机的平均容量。然而，固定时间限制在用于生成呼号的计算机能力以及该呼号的强度之间产生了相关性。在第二实施例中，假定必要的零值数目会由呼号的接收者确定。

该实施例在验证代码中编码了一个校验。呼号的接收者会获得公钥K、标识符X和突出经验值S，接着会验证散列中零值数目Z大于一最小值，该最小值是年数Y和有效位数目L的函数：

Z＞Z0-L+(Y-2003)/X

该公式中，设置数Z0来表示一密钥长度，该长度被视为在2003年内足够强。系数X描述了为使平均计算机的容量翻倍所需的年数。对于实际实现而言，根据摩尔定律把X值设为1.5，把值Z0设为62，得出以下公式：

Z＞62-L+(Y-2003)/1.5

该公式中，假设100000的计算年数是充分的困难，从而计算数62。实际上，“障碍”会取决于使用呼号的环境。金融上的应用会需要较大的值，例如66(1000000年)。军事服务需要更大的值。

图7说明了按照第二实施例的呼号的形成。由于呼号不对零值数目编码，因此不能使用和第一实施例中相同的散列函数。组成呼号的L比特会位于突出散列中的固定位置，而在另一固定位置后计算零值。

III.呼号到ASCII变化的字母数字编码

图8和图9说明了呼号的字母数字编码。在创建呼号时，期望为呼号选取容易彼此区分并且不会有打字错误的字母和/或数字。对等方标识符被分配到一字母数字表示。在该实施例中所选用的示例性编码在所产生的呼号中不使用数0和1以及字母O和I。本领域的技术人员会理解，不使用这些字母的原因是它们容易彼此混淆，但替代的实施例可以使用这些字符。本领域的技术人员还会理解，进一步的替代实施例可以删除或添加其它字符。本领域的技术人员会认识到，在本发明的实际替代实施例中，并不限于罗马字符和阿拉伯数字。本领域的技术人员还认识到，只要可以生成期望数量的字符，就可以使用全部数字或全部字符。在示例性的实施例中，删除不期望的字符留出了8位和24个字母，提供了图示的32的符号。

如上所示，在产生呼号时，该过程为已经在呼号中被选用的每个字符分配一个从0到31的数值，得到32个可用字符。当计算机读取呼号时，呼号的每个字符都在计算机内存中被分配到一数值。当呼号从计算机输出时，计算机中组成呼号的每个数都被分配一个数或字母来组成被输出给用户的呼号。组成呼号的字符选择由呼号生成过程来选择。接着通过一呼号验证过程来检验它们的有效性。

IV.应用于点对点名称解析协议(PNRP)的呼号

图10是使用点对点呼号的一个实施例的点对点网络的框图。点对点网络技术提供了一个或多个分布式网络间的实时通信。点对点联网是无服务器的技术。在点对点网络中，单独的PC能无需互联网服务器而实时地交换数据、共享资源、定位其它用户、通信以及协作。PC一般包括在PC耦合到点对点网络允许点对点通信的应用软件。在这一类网络中，对等计算机的每一台都负责它自身的安全。因此，经授权用户的验证和冲突地址的解析是和在基于服务器的网络上的任务有所不同的任务。

连到对等方群组、随后加入对等方群组是对等方网络中的常见任务，这些任务在标识用户时使用了安全性预防措施。为了加入一个群组，对等方计算机从对等方群组的持有人接收邀请。为了从群组持有人接收邀请，试验性的群组成员必须首先把标识材料传送到群组持有人，这些材料是其对等方名称和公钥。该信息使用电子邮件、文件共享、XML等等来传送。群组持有人接着会向试验性的群组成员发出邀请。

当试验性的群组成员接收到该信息时，试验性群组成员使用邀请信息来连到该群组。为了连到该群组，试验性群组成员使用PNRP和群组ID来解析群组成员的地址，并且通过该群组成员连到对等方网络。

试验性群组成员和当前群组成员间的相互验证出现，一般通过受信的网络进行。在相互验证后，试验性群组成员现在成为具有单个邻居的新群组成员。邻居是来自对等方网络的计算机，该计算机已经接受了该连接，并且与之进行验证。

特别是关于连到点对点计算机网络，点对点网络包括为联网提供了一组联网应用程序接口(“API”)的基础设施联网软件。这些点对点应用可以关于协作性通信、内容分布等等。点对点基础设施API软件可以包括以下组件：对等方名称解析协议、多点通信、分布式数据管理、安全对等方标识以及安全点对点群组。

点对点名称解析协议(PNRP)使点对点网络中的对等方能不牵涉到服务器而解析“对等方名称”，服务器一般是在基于服务器的网络中所需的。PNRP使对等方计算机能标识网络中的其它计算机或对等方。对等方名称解析协议提供了一应用程序接口(API)，该接口能够对名称到端点、或网络中可能冲突的其它节点进行点对点解析。

对等方名称解析协议(PNRP)API是一名称到IP解析协议，该协议使一组参与的对等方能够通过允许计算机节点在点对点网络中查找彼此从而彼此交互。点对点网络中一般提供的任务包括：注册和注销对等方名称、解析对等方名称以及列举对等方群组。本领域的技术人员会理解，解析对等方名称包括：查找彼此不冲突的对等方名称。除了查找彼此不冲突的对等方名称以外，期望找到的名称提供足够的安全性，并且期望用户能记住他们的对等方名称。

对等方名称是可以标识计算机、用户、群组或服务的稳定名称。对等方名称一般包括说明对等方是否安全的权限、以及仅仅是一字符串的分类符。本领域的技术人员会理解，安全对等方名称一般可以使用安全散列算法(SHA-1)或MD5算法来导出一个128位的PNRP标识符，该标识符把公钥K散列为分类符C以便提供对等方名称的安全传输。在第三实施例中，C包括标识符X、经验值S以及散列算法的标识。

加密密钥是本领域技术人员公知的设备，用于在网络通信中提供安全。加密密钥通常在点对点环境中用来授权访问、以及验证信源的标识。加密密钥使拥有密钥的人能够访问密钥所关联的数据，或者伪造密钥持有人的数字签名。公钥算法一般提供了包括一个公钥和一个私钥在内的密钥对，标记为K/P。由于私钥可以被用作对消息接收者的标识符，因此必须保持私钥的私密性和安全性。公钥可以自由分布，使其它人可以对消息进行解码。密钥对的公钥通常用数字证书来分发。当密钥对的一个密钥用来对消息加密时，该密钥对的另一个密钥就用来对消息解密。

这些密钥会很长，一般至少为256个十六进制位。因此传送密钥、尤其是传送公钥会是麻烦的。可以使用即时消息传递或电子邮件，但会干预密钥，从而期望验证密钥。还期望在验证密钥的过程中包括这样的验证：即接收密钥的人是应该发送者期望发送密钥给他的人。

IV.应用于点对点名称解析协议的呼号的第三实施例

点对点名称解析协议(“PNRP”)使对等方能在不牵涉服务器的情况下解析“对等方名称”。PNRP对等方名称由两个字段组成：第一个字段是“权限”，它是公钥的SHA-1散列；第二个字段是“限定符”，它是一统一代码(Unicode)文本串。PNRP使用以下加密散列函数从这两个字段导出一个128位的PNRP-ID：

PNRP-ID＝hash(权限，hash(限定符))

该第三实施例用“呼号”扩充了PNRP。为了为PNRP生成一呼号，用户会生成一“突出的限定符”。权限、突出经验值和突出限定符的组合导致一PNRP-ID，该ID以大量的零值开始。呼号从该PNRP-ID导出。一个新的PNRPAPI使用户能列举与一呼号相匹配的PNRP条目、然后获得相关的权限和限定符。

突出的PNRP限定符

突出的限定符从个性化信息串、次级散列函数的标识符以及突出经验值形成，由分隔符“//”和“/”分隔。本领域的技术人员会理解，个性化信息串的内容会根据其中使用呼号的应用而改变。例如，PNRP呼号的示例性实施例使用一独特的个性化信息串，而其它应用可能要求不同的个性化串。

本领域的技术人员会理解，信息串由分隔符或本领域公知的其它等效方法来分隔。本领域的技术人员还会认识到，信息串的顺序以及所使用的分隔符可能发生变化。

所使用的散列函数也包括在突出限定符中，并且由分隔符分开。本领域的技术人员会理解，散列函数的类型可以是会得到足够安全性的本领域技术人员公知的类型。例如，SHA-1散列函数或其等效函数。

经验值在呼号生成过程中选择。经验值通过执行对等方名称的次级散列、使经散列的结果以足够数量的零值开头而选择。经验值自身由ASCII字母和数字组成。正式句法是：

突出限定符＝<个性化>“//”<散列函数>“/”<经验值>

突出限定符的一个例子为：

限定符：JonSmith<jsmith@yuhoo.com>//SHA1/A5E5F3Z4YWZTRF0TW9RTQ

经验值的选取使得权限和限定符的次级散列以大量的零值开头。

呼号第三实施例的生成

呼号生成过程的目的在于找到一个突出限定符，该限定符使对等方名称和相关的呼号能通过验证过程。这包括查找一充分的“突出经验值”，使对等方名称的次级散列以足够数量的零值开头。

在验证部分中可见，足够数量的零值随时间而变化。为这些目的而使用公式：

Z＞17+(Y-2003)/1.5

为生成目的，不应把值Y设为当前这一年，而是设为预期呼号将一直保持有效的那一年。缺省情况下，这会被设为当前这一年加上10年。

生成过程如下：

1)使用在验证过程中预期的PNRP名称权限的规范形式，根据每个PNRP来初始化这一权限的值。

2)按照用户名称初始化个性化信息X的值。

3)选择一有效的次级散列函数，缺省为SHA-1，并且标记相应的标识符I。

4)选择足够数量的零值Z。

5)重复：

a.选取一经验值S。

b.基于权限和试验性的突出限定符，基于X、I和S来组成对等方名称。

c.根据函数I计算对等方名称的散列。

d.测量该散列中的零值数目(N)。

直至数N大于或等于数Z。

6)计算与对等方名称相关联的PNRP标识符。

7)基于PNRP标识符的最有效的45比特组成一呼号。

8)验证呼号是否包括无礼的词汇；如果是，则重复步骤5。

步骤5在现代计算机上预期持续15秒。

生成函数的最后一步是为了检验呼号中随机字符集不会产生一些无礼的语言。它可以通过询问用户他们是否接受使用所提议的呼号来实现。

在第三实施例中生成的呼号的验证

呼号验证过程把对等方标识符与呼号相比较、验证次级散列包括足够数量的先导零值，Z。先导零值数量的验证使呼号难以被第三方欺骗。在第一近似中，呼号的加密强度等效于一对称密钥的强度，对称密钥的长度为Z+45。值Z会随时间变化。由于摩尔定律预测到计算机会变得越来越强大，因此Z的长度要求也会增加。如果假定摩尔定律在可预知的将来仍然成立，则先导零值的数值Z可能被认为是当前这一年Y的函数：

Z＞17+(Y-2003)/1.5

本领域的技术人员会认识到，上述不等式中使用的值17对应于用于计算折衷的所选安全性，在需求较大的环境中可以使用较大的值。

用于验证呼号的次级散列函数可以随时间变化。在当前实现中，使用本领域技术人员已知的散列函数SHA1。在替代的实施例中，计算机内存可以维持一可接受的散列函数列表供使用。特别是，预期散列函数会继续被开发以便提供改进的安全性。本发明的实施例通过在新散列函数出现时为它们提供将来用途，从而包含新散列函数的发展。

验证应如下进行：

1)计算与对等方名称相关联的PNRP标识符。

2)把PNRP标识符的最有效45比特与呼号中编码的45比特相比较。

3)如果45比特不匹配，则验证失败。

4)从突出经验值中提取次级散列函数的标识符。

5)如果散列函数标识符不存在、对于验证程序不可接受、或者不被辨认为有效值，则验证失败。

6)用指定的次级散列函数计算整个对等方名称的规范形式的散列。

7)测量所产生的散列中的先导零值数目。如果零值数目少于目标值Z，则验证失败。

8)验证标识串是人的可能描述或是呼号所指定的实体；如果不是如此，则验证失败。

9)如果通过了步骤1到8，则验证成功。

对等方名称的“规范形式”通过以下得到：确保对等方名称的权限部分(通常由十六进制位组成)仅用数字以及大写字母A、B、C、D、E和F来编码。注意到步骤8一般包括与人的交互。

从呼号中检取PNRP记录

在一些情况下，检取与呼号相关联的PNRP记录、因而检取相关的对等方名称是有帮助的。这可以如下实现：检取全部PNRP记录，所述PNRP记录的PNRP标识符以和呼号相同的45比特开始；检取相应的对等方名称；删除未通过验证过程的步骤1到7的对等方名称；以及使用验证过程的步骤8来仅保留与预期标识相匹配的名称。

Claims

1.一种生成呼号的方法，包括：

确定突出限定符，所述突出限定符包括与用户相关联的公钥/私钥对中的公钥；

在至少一预定时间内迭代测试经验值，直到找到当其与所述突出限定符进行散列时使得散列结果包含具有至少预定最小数目的比特的预定模式的突出经验值；

用突出限定符对突出经验值进行散列以创建突出散列；以及

编码所述突出散列中预定数目的比特，所述预定数目的比特是从所述突出散列的一部分中选择的，所述部分是在相对于所述预定模式的位置处选择的，以为所述用户创建呼号；

其中以上步骤是由计算机执行的。

2.如权利要求1所述的生成呼号的方法，其特征在于，找到突出经验值包括在预定时间中找到使散列结果包含最小数目的比特的预定模式的经验值。

3.如权利要求2所述的生成呼号的方法，其特征在于，所述比特的预定模式包括多个先导零值。

4.如权利要求3所述的生成呼号的方法，其特征在于还包括：保留先导零值后的多个比特，所述多个比特的数目小于所述先导零值后的比特总数。

5.如权利要求4所述的生成呼号的方法，其特征在于还包括：把先导零值的数目编码为一个字母数字呼号零值数位。

6.如权利要求5所述的生成呼号的方法，其特征在于还包括：把先导零值后的多个比特编码为多个字母数字呼号数位。

7.如权利要求6所述的生成呼号的方法，其特征在于还包括：从所述呼号零值数位和多个字母数字呼号数位形成一呼号。

8.如权利要求4所述的生成呼号的方法，其特征在于，所述编码步骤包括：

从所述突出散列的先导零值后的多个数位创建一二进制数；

把二进制数分成多个5比特分段；以及

把每一个5比特分段编码为相应的字母数字字符。

9.如权利要求8所述的生成呼号的方法，其中二进制数的长度为45比特。

10.如权利要求8所述的生成呼号的方法，其中字母数字零字符是在最高有效位(MSB)位置处的。

11.一种产生加密散列的方法，包括：

形成与个人相关联的一个性化信息串；

找到一突出经验值，该突出经验值在用与个人相关联的所述个性化信息串和公钥/私钥对中的公钥散列时在经散列的结果中产生最小数量的先导零值；

用所述个性化信息串和公钥对所述突出经验值进行散列以生成突出加密散列；以及

将所述突出加密散列的一部分编码为表示所述个人的呼号的多个字母数字字符，

其中以上步骤是由计算机执行的。

12.如权利要求11所述的产生加密散列的方法，其中个性化信息串包括个人的姓名。

13.如权利要求11所述的产生加密散列的方法，其中个性化信息串包括个人的电子邮件地址。

14.如权利要求11所述的产生加密散列的方法，其中个性化信息串包括个人的公司名称。

15.一种产生呼号的方法，包括：

为用户配置一突出限定符，所述突出限定符包括与所述用户相关联的公钥/私钥对中的公钥以及所述用户的个人标识符；

找到一突出经验值，当其与所述突出限定符进行散列时生成一散列，所述散列在其预定部分中具有大小满足预定准则的预定比特模式；

把突出限定符和突出经验值散列成M比特的散列；

从所述M比特散列中选择预定数目的L个比特；以及

通过使用表格查找把预定比特模式的大小编码为一字母数字呼号的一位并将所述L个比特编码成所述字母数字呼号的其它数位；

其中以上步骤是由计算机执行的。