专利名称:编码和解码消息的方法和相关设备的制作方法
技术领域:
本发明涉及一种确保和识别网络上的消息的方法、以及相应的安全设备。
背景技术:
网络由一组发送者/接收者设备构成,所述发送者/接收者设备适合于诸如经由数字总线通过无线电传输或通过因特网网络来交换消息。
为了确保在安全发送者/接收者设备(通称为证明权威机构)和客户端发送者/接收者设备之间通过网络传送的消息流,已知是借助于加密密钥对消息进行加密。
通常,发送这些消息的设备能够使用加密密钥,而接收者设备具有相应的解密密钥。
这些消息的加密具有两种主要类型的应用-确保通过用无法理解和无法利用的文本来替代明文构成的消息;-识别消息,其在于利用数字签名来保证在网络上传播的消息的原始性和完整性。
在这两种类型的应用中,适当地,使第三方的欺骗性拦截和对消息的解密、或者通过欺骗性附加签名而造成的伪造的危险最小化。
因此,已经提出了各种密码方法来避免未授权的加密或解密。
例如,已经提出了所谓的对称密码方法。在这种方法中,将被称为秘密密钥的相同密钥用于加密和解密消息。然而,由于当发现秘密密钥时,网络中的所有发送者/接收者设备受到损坏,因此这些方法并非非常安全。
对这些方法的改进在于使用被称为对称密钥的推导的技术。图1示出了该技术的典型使用。图1示意地示出了证明权威机构100和能够与该证明权威机构进行通信的设备网络中的给定客户端设备102。
根据对称密钥推导的技术,每一个客户端设备102处理与网络中的其他设备的密钥不同的其自身的特定加密/解密密钥KDi。该密钥根据在每一个客户端设备102中所存储的标识符CIDi、以及对证明权威机构100单独已知的所谓主密钥MK计算而来或推导而来。该推导密钥用于同时对消息进行加密和解密。
在开始时,由证明权威机构产生推导密钥KDi并以安全的方式存储在每一个客户端设备中。之后,在与给定客户端设备每一次交换消息m之前,证明权威机构100向客户端设备102请求其标识符CIDi,然后通过将推导函数应用于标识符CIDi和主密钥MK,重新计算所涉及的客户端设备的推导密钥KDi。接下来,证明权威机构借助于所计算出的推导密钥对消息进行加密(符号“E”)或解密(符号“D”)。符号E{KDi}(m)对应于借助密钥KDi对消息m进行加密。
在文献WO 02/19613中描述了用于识别消息的对称密钥技术的所谓推导的示例。
该技术比传统对称方法更为安全,这是由于当给定客户端设备的推导密钥受到攻击时,因为攻击者不能够计算其他设备的推导密钥,因而并非网络中的所有客户端设备均会受到破坏。然而,由于其需要确保所有客户端设备,因此该技术较为昂贵。
另外,已经提出了非对称密码的方法。这些方法的特征吞于使用被称为公用密钥/私用密钥的一对不相同的加密和解密密钥。
图2示出了非对称方法的典型使用,其中客户端设备202、203能够将已加密消息传送到证明权威机构200。
根据该非对称方法,客户端设备的网络中的每一个客户端设备202、203包括公用密钥PubCi、PubCj,该公用密钥专用于其并用来加密要传送的消息m。证明权威机构200在数据库中存储了与客户端设备的公用密钥相对应的所有私用密钥。在图2的示例中,由证明权威机构200利用每一个客户端设备的标识符来存储这些私用密钥。当客户端设备203想要将已加密消息m传送到证明权威机构200时,除了利用其公用密钥加密消息m(E{PubCi}(m))之外,该客户端设备传送其标识符CIDi,从而该证明权威机构能够检索相应的私用密钥PrivCi。然后,借助于私用密钥PrivCi对该消息m进行解密。
有利地,诸如这样的非对称方法并不需要确保客户端设备。特别地,对客户端设备的攻击并因而发现其公用加密密钥并不允许对所派发的消息进行解密。仅专门与该公用加密密钥对应的私用密钥允许对该消息进行解密。
然而,该类非对称方法的主要缺陷在于需要证明权威机构来管理其中存储了网络中的所有客户端设备的所有私用密钥的数据库。该数据库需要尺寸相当大的存储器。而且,在该数据库中对私用密钥的搜索涉及到相当长的消息传递时间,这妨碍了交换。
作为一种变体,因此提出了其中单对的私用/公用密钥对所有消息进行加密的非对称方法。因此,网络的所有客户端设备均包含相同的公用密钥,且证明权威机构存储了唯一的私用密钥。然而,由于对私用密钥的攻击会破坏客户端设备的整个网络,因此这些方法并不充分安全。
发明内容
本发明的目的是提出一种加密/解密的替代方法,表现出提升等级的安全性,而无需存储和管理非对称密钥的数据库。
为此,本发明的主题是一种对要通过通信网络在发送者和接收者之间交换的消息进行加密/解密的方法,所述发送者和接收者均为安全设备和客户端设备网络中的所定义的客户端设备之一,所述方法包括以下步骤-由安全设备和由所定义的客户端设备分别利用私用密钥和公用密钥来执行非对称密码操作,所述私用密钥不同于公用密钥;以及-将至少一个公用数据项从所定义的客户端设备派发到安全设备;其特征在于所述方法在发送/接收由安全设备加密的消息期间,还包括步骤根据安全设备中所存储的秘密主密钥以及由所定义的客户端设备所派发的所述或每一个公用数据项来确定与所定义的客户端设备的公用密钥相对应的私用密钥。
有利地,该方法使用了与非对称密码的方法相关的对称密钥的推导的技术。因此,该推导技术将不被用来产生秘密推导密钥,而是产生成对的私用/公用密钥中的私用密钥。
本发明的另一主题在于一种能够通过通信网络与客户端设备的网络中的所定义的客户端设备交换消息的安全设备,所述安全设备能够接收所定义的客户端设备特定的且由所定义的客户端设备在任何消息交换之前派发的至少一个公用数据项,所述安全设备包括利用与存储在所定义的客户端设备的公用密钥相对应的私用密钥来执行非对称密码的操作,其特征在于还包括存储主密钥的安全装置;根据主密钥和所派发的所述或每一个公用数据项来确定所述私用密钥的装置。
参考附图,通过完全非限定性的典型实施例和实施方式,本发明将得到更好地理解和示出,其中图1是能够交换根据对称密钥的推导的已知方法加密的消息的证明权威机构和接收者设备的结构的示意图;图2是能够交换根据非对称加密的已知方法加密的消息的证明权威机构和发送者设备的结构的示意图;图3是在网络设备的初始化阶段期间,用于产生成对的私用/公用密钥的根据本发明实施例的安全设备的结构的示意图;图4是根据本发明典型实施例,在初始化阶段期间的加密/解密方法的各个步骤的概括图;图5是根据本发明典型实施例的用于确保消息的安全设备和客户端设备的结构的示意图;图6是根据本发明典型实施例的用于确保消息的加密/解密方法的各个步骤的概括图;
图7是根据本发明典型实施例的用于识别消息的安全设备和客户端设备的结构的示意图;以及图8是根据本发明典型实施例的用于识别消息的加密/解密方法的步骤的概括图。
具体实施例方式
图3示意地示出了安全设备1和客户端设备Ci的结构。
安全设备1包括随机数产生器2、用于存储主密钥的存储器3、用于计算私用密钥的部分di的模块4、以及用于计算公用密钥PubCi的模块5。
随机数产生器2能够一方面产生易于构成所谓的主密钥MK的数,另一方面,产生能够识别网络上的客户端设备的多个数CIDi。
优选地,所谓的主密钥MK具有128比特的长度,而客户端设备Ci、Cj的标识符CIDi、CIDj具有64比特的长度。
另外,产生器2还能够随机地产生两个完全不同的大奇素数p和q(512比特),用于由计算模块5来计算公用密钥。
安全设备的存储器3为非易失性的“ROM”或“EEPROM”类型等。能够存储由产生器2所产生的主密钥MK。由于主密钥仅是安全设备所已知的秘密密钥,因此有利地,用于存储该密钥的存储器3是高度安全的,从而确保所交换的消息的安全性。
计算模块4能够确定一对私用/公用密钥中的私用密钥的一部分。通常,私用密钥PrivCi是由两个部分构成的混合密钥。第一部分由在任意非对称算法中被称为模量ni的公用密钥一部分形成。第二部分在RSA型的非对称算法中通常被称为秘密指数diPrivCi=(ni,di)。计算模块4能够根据客户端设备Ci的标识符CIDi和主密钥MK来计算私用密钥PrivCi的第二部分di。
优选地,计算模块4包括计算单元6,能够执行将标识符CIDi的长度修改为表示为ECIDi的标识符扩展的函数。例如,可以使用公知的被称为MGF的扩展函数。该函数能够将64比特的数扩展为1024比特的数。在来自RSA实验室的文献“PKCS#1v2.1RSA CryptographyStandard-June 14,2002”中具体描述了该函数(在以下因特网地址可得到ftp//ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.pdf)。
计算模块4包括根据主密钥MK对标识符扩展ECIDi进行加密的单元7。该单元实现了对称推导算法。优选地,其需要在CBC模式下使用的通常被称为AES“先进加密标准”的算法。在2001年11月的文献FIPS197,26中描述了该算法(在以下因特网地址可得到http//csrc.nist.gov/publications/fips/fips197/fips-197.pdf)有利地,计算模块4还包括作为已加密的标识符扩展ECIDi的函数来选择秘密指数di的单元8。为了选择该秘密指数di,选择单元8使用确定函数。例如,该单元适合于选择数据项并使该数据项满足以下标准-该数据项di必须小于对标识符扩展进行加密所得到的ECIDi;-该数据项di必须是最接近于对标识符扩展进行加密所得到的ECIDi的数,与以下素数列表互质2、3、5、7、11、13。可能地,可以将素数列表扩展到更长的素数列表。
示意地,可以将确定模块5分解为两个计算单元。每一个单元能够计算公用密钥的元素PubCi=(ni,ei)。
第一计算单元9能够按照使(pi-1)×(qi-1)与秘密指数di互质的方式,来选择由随机数产生器2所产生的两个最大素数pi和qi。实际上,首先产生使(pi-1)与di互质的数pi,然后产生使(qi-1)与di互质的数qi。
另外,计算单元9能够计算被称为模量ni的私用密钥的第一部分从而使ni=pi×qi。该模量ni还构成了私用密钥PrivCi=(ni,di)的元素。
第二计算单元10使用扩展的欧几里得算法,根据秘密数据pi、qi和di来产生公用密钥ei的另一元素。在由A.Menezes,P.van Oorschot和S.Vanstone缩写的著作“Handbook of Applied Cryptography”,CRC出版社,1996,第67页中具体描述了扩展的欧几里得算法。在以下因特网地址处能够查询该著作http//www.cacr.math.uwaterloo.ca/hac/。
更准确地,计算数据项ei从而使ei×di=1 mod(pi-1)×(qi-1)。
网络的客户端设备Ci包括用于存储标识符CIDi和公用密钥PubCi=(ni,ei)的存储器11、以及用于非对称加密或签名验证的模块。
通常,对其通信网络的安全设备1和客户端设备Ci、Cj个性化或初始化,从而能够交换已加密消息。
现在将描述根据本发明来个性化安全设备和客户端设备的方法的基本步骤。
根据本发明的个性化方法包括第一步骤产生用于安全设备1的唯一主密钥MK和用于特征化或个性化网络中的客户端设备Ci、Cj的多个标识符CIDi、CIDj。
该方法包括第二步骤用于计算与每一个客户端设备相关的私用/公用密钥对。具体地,通过利用安全设备的主密钥MK对每一个设备Ci的标识符CIDi进行加密来获得私用密钥PrivCi=f{MK}{CIDi}。特别地,通过应用诸如使用扩展欧几里得算法的算术函数,根据私用密钥来计算相应的公用密钥PubCiPubCi=F(PrivCi)。
根据对网络中的安全设备和客户端设备进行个性化的方法的第三步骤,将所产生的标识符CIDi、CIDj和根据所述标识符计算出的公用密钥PubCi、PubCj分配给网络上的每一个客户端设备Ci、Cj,或者在其制造期间插入到客户端设备上。
最后,相应的私用密钥PrivCi、PrivCj以及能够计算私用/公用密钥对的中间数据的整个集合受到破坏。因此,安全设备没有存储任何与这些客户端设备的任一个相关的数据项。
现在将结合图4来描述个性化方法的典型实施例的步骤。
在个性化网络中的设备的阶段的步骤41期间,产生器2产生构成主密钥MK的128比特的随机数、以及能够成为要个性化的客户端设备Ci的标识符CIDi的64比特的数。
在步骤42期间,将这样产生的主密钥MK存储在安全设备1的存储器3中。该主密钥MK将充当计算与网络中的所有客户端设备相关的私用/公用密钥对的整个集合的基础。
在步骤43,计算单元6通过扩展算法来扩展客户端设备Ci的标识符CIDi,从而产生形成了标识符扩展ECIDi的128比特的数。
然后,在步骤44,利用主密钥MK对标识符扩展ECIDi进行加密。由计算单元7通过应用AES型的对称算法来实现该加密。
接下来,在步骤45期间,选择单元8选择形成秘密指数di的数。
在步骤46和47的过程中,计算模块5选择两个大素数pi和qi,并根据这些数和秘密指数di来计算公用密钥PubCi=(ni,ei)。
在步骤48,一旦已经计算出给定客户端设备Ci的公用密钥PubCi=(ni,ei),则安全设备1在安全方式下将该公用密钥派发给该给定客户端设备,这里不再详细描述,其中伴随着该公用密钥的计算源自于其中的标识符CIDi。
将标识符CIDi和公用密钥PubCi记录在客户端设备Ci的存储器11中。
有利地,根据本发明,相对于读取,不需要使客户端设备的存储器11是安全的,这是由于发现了公用密钥PubCi和标识符CIDi并不以任何方式来允许计算相应的私用密钥PrivCi或计算网络的另一私用或公用密钥,从而保持了要传送的已加密消息和发送者/接收者设备的网络的安全性。
另外,在步骤49中,标识符CIDi、以及根据其计算出的数据的整个集合(特别是秘密数据pi和qi、秘密指数di、公用指数ei、模量ni、以及标识符扩展ECIDi并未保持在安全设备1的存储器3中,且受到损坏。
结果,对主密钥MK的攻击并不允许在不知道其标识符的情况下,计算与给定客户端设备相关的私用/专用密钥。
个性化方法的目标是配置安全设备和客户端设备,从而允许考虑其安全或其识别,允许对已加密消息的交换。
现在将参考图5和6来描述根据本发明的发送者/接收者设备的典型使用。
特别地,图5示出了能够派发已加密消息E{Pub Cj}(m)的给定客户端设备Cj的结构、以及能够派发该消息的安全设备1的结构。
通常,客户端设备Cj包括非易失性存储器11和加密模块12。
客户端设备Cj的存储器11包括标识符CIDj以及由模量nj和公用数据项ej构成的公用密钥PubCj。
安全设备1包括存储器3,其中存储了主密钥MK;模块4,用于计算秘密指数dj;以及解密模块13。
根据本发明,加密模块12和解密模块13使用实现了诸如算法RSAES-OAEP等算法的非对称密码方法。在先前已经提到的文档“PKCS#1v2.1#RSA Cryptography Standard”中可以找到对该算法的描述。
用于计算秘密指数dj的模块4包括与在客户端设备的个性化阶段期间所使用的计算模块4相同的计算模块。结果,其按照与个性化阶段期间相同的方式,根据客户端设备Ci的标识符CIDi和主密钥MK来计算秘密指数di,从而该秘密指数di仍然对应于在客户端设备Ci的存储器11中所存储的公用加密密钥PubCi。
将结合图6来描述用于确保消息的加密/解密方法。
该方法包括步骤61加密要传送的消息。由客户端设备Ci的加密模块12利用公用密钥PubCj=(nj,ej)来实现该加密。
E{Pub Cj}(m)=RSAES-OAEP Encrypt{(nj,ej)}(m)接下来,在步骤62期间,将客户端设备Cj的标识符CIDj和模量nj以及已加密消息E{Pub Cj}(m)派发到安全设备1。
最后,计算安全设备1的秘密指数dj的模块4的、用于计算6、7和用于选择8的单元执行步骤63,根据由客户端设备Cj所派发的标识符CIDj来计算标识符扩展ECIDj;步骤64,利用主密钥MK对标识符扩展ECIDj进行加密;以及步骤65,用于根据对标识符扩展ECIDi进行加密的结果来选择秘密指数dj。选择单元8需要使用与在客户端设备的个性化阶段期间所应用的规则相同的选择规则。
最后,安全设备1的非对称解密13的模块执行步骤66利用由计算出的秘密指数dj和由客户端设备Cj所派发的模量nj构成的混合私用密钥来解密消息
m=RSAES-OAEP-Decrypt{(dj,nj)}(E{Pub Cj}(m))有利地,安全设备1并不保留绑定到发送消息的客户端设备Cj上的任何数据项。具体地,在步骤67期间,其标识符扩展ECIDj、其秘密指数dj和其模量nj受到损坏。
本发明的加密/解密方法还能够通过由安全设备1来附加签名而由已签名消息去往其的客户端设备Cj来验证该签名,来识别消息。
将结合图7和8来描述用来识别消息的原始性的本发明的加密/解密方法。
图7示意地示出了安全设备1和客户端设备Cj的结构。
由安全设备和客户端设备构成的系统类似于结合图5所述的系统。结果,图5和7相同的元件采用了相同的参考符号并不将再次描述。
事实上,安全设备/客户端设备系统包括与安全设备的解密模块13和客户端设备的加密模块12分离的相同模块4和存储器3、11,分别由签名产生模块14和签名验证模块15替代。
用于对消息进行签名的加密/解密方法包括步骤81,在步骤81的过程中,安全设备1从其想要为其派发已签名消息m的客户端设备Cj请求标识符CIDj和模量nj。
在步骤82,83和84的过程中,安全设备的计算模块4按照与先前所述的用来确保或个性化消息的加密/解密方法相同的方式,根据所派发的标识符CIDj和主密钥MK来重新计算客户端设备Cj的秘密指数dj。
接下来,在步骤85期间,安全设备1的签名模块14利用计算出的秘密指数dj和由客户端设备Cj所派发的模量nj来对该消息进行签名S{PrivCj}(m),其中PrivCj=(dj,nj)。
最后,在步骤86的过程中,安全设备1将消息m以及其签名S{(dj,nj)}(m)派发到所定义的客户端设备Cj。
在步骤87期间,客户端设备Cj的验证模块15通过执行以下操作,利用其存储器11中所存储的且与私用密钥PrivCj=(dj,nj)相对应的公用密钥PubCj=(nj,ej)来验证该消息的签名V{PubCj}(S{(PrivCj)}(m))=0或1在步骤88期间,所定义的客户端设备Cj的标识符CIDj、以及能够确定私用密钥的中间数据CIDj、ECIDj、dj和nj被安全设备破坏。
对于签名操作S和签名验证操作V,特别地,将能够使用在以上所提到的“PKCS#1v2.1RSA Cryptography Standard”中所描述的RSASSA-PSS算法。
权利要求
1.一种对要通过通信网络在发送者和接收者之间交换的消息进行加密/解密的方法,所述发送者和接收者均为安全设备(1)和客户端设备(Ci,Cj)网络中的所定义的客户端设备(Ci)之一,所述方法包括以下步骤-由安全设备(1)和由所定义的客户端设备(Ci)分别利用私用密钥(ni,di)和公用密钥(ni,ei)来执行非对称密码操作,所述私用密钥不同于公用密钥;以及-将至少一个公用数据项(ni,CIDi)从所定义的客户端设备(Ci)派发(62,81)到安全设备(1);其特征在于所述方法在发送/接收由安全设备加密的消息期间,还包括步骤根据安全设备中所存储的秘密主密钥(MK)以及由所定义的客户端设备(Ci)所派发的所述或每一个公用数据项(ni,CIDi)来确定与所定义的客户端设备(Ci)的公用密钥(ni,ei)相对应的私用密钥(ni,di)。
2.根据权利要求1所述的加密/解密消息的方法,其特征在于派发(62,81)所述的或每一个公用数据项的步骤包括步骤派发公用密钥的一部分(ni),所述公用密钥的一部分形成了私用密钥的第一部分。
3.根据权利要求1或2所述的加密/解密消息的方法,其特征在于派发(62,81)所述的或每一个公用数据项的步骤包括用于派发客户端设备(Ci)的标识符(CIDi)的步骤;并且确定私用密钥的步骤包括根据所派发的标识符来计算私用密钥的第二部分(di)的步骤。
4.根据权利要求3所述的加密/解密消息的方法,其特征在于确定与客户端设备的公用密钥(ni,ei)相对应的私用密钥(ni,di)的步骤包括步骤通过对称算法,利用秘密主密钥(MK)对应用于所定义的客户端设备(Ci)的标识符(CIDi)的函数的结果(ECIDi)进行加密(44,64,83)。
5.根据权利要求4所述的加密/解密消息的方法,其特征在于确定与客户端设备的公用密钥(ni,ei)相对应的私用密钥(ni,di)的步骤包括步骤由确定计算单元(8)根据对应用于所定义的客户端设备(Ci)的标识符(CIDi)的函数的结果(ECIDi)进行加密的结果,选择(45,65,84)私用密钥的第二部分(di)。
6.根据权利要求5所述的加密/解密消息的方法,其特征在于通过确定算法来选择私用密钥的第二部分(di)的步骤是通过选择满足以下条件的数来进行的-该数小于应用于所定义的客户端设备(Ci)的标识符(CIDi)的函数的结果(ECIDi)的所述加密结果;-该数最接近于应用于所定义的客户端设备(Ci)的标识符(CIDi)的函数的结果(ECIDi)的所述加密结果,并且与素数列表互质。
7.根据权利要求3到6任一个所述的加密/解密消息的方法,其特征在于还包括步骤破坏(49,67,87)所定义的客户端设备(Ci)的标识符(CIDi)、以及根据所述标识符计算出的所有数据(pi,qi,di,ECIDi,ei,ni),从而确定私用密钥。
8.根据前述权利要求任一个所述的加密/解密消息的方法,其特征在于所述密码操作包括识别消息的操作,包括以下步骤-由安全设备(1)利用在确定私用密钥的步骤期间所确定的私用密钥(ni,di)对消息(85)进行签名;-将消息的签名和所述消息传送到(86)客户端设备以便验证该签名;以及-由客户端设备利用所述公用密钥(ni,ei)来验证(87)所述消息的签名。
9.根据前述权利要求任一个所述的加密/解密消息的方法,其特征在于所述密码操作包括确保消息的操作,包括以下步骤-由客户端设备(Ci)利用所述公用密钥(ni,ei)对消息(m)进行加密(61);-将已加密消息传送到(62)安全设备(1);以及-利用在确定私用密钥期间所确定的私用密钥(ni,di),对由安全设备(1)所加密的消息进行解密(66)。
10.根据权利要求3到9任一个所述的加密/解密消息的方法,其特征在于所述方法包括对所定义的客户端设备(Ci)进行个性化的在先阶段,包括以下步骤-由安全设备(1)产生唯一秘密主密钥(MK)、以及所定义的客户端设备(Ci)所特定的、且能够识别其的标识符(CIDi)-由计算模块(5)根据私用密钥的第二部分(di)来计算所定义的客户端设备(Ci)的所述公用密钥(ni,ei)。
11.根据权利要求10述的加密/解密消息的方法,其特征在于所述个性化阶段还包括以下步骤-选择(46)由两个大素数pi、qi构成的两个秘密数据,从而使(pi-1)×(qi-1)与所定义的客户端设备(Ci)的私用密钥的第二部分(di)互质;以及-计算(48)所定义的客户端设备(Ci)的模量ni,从而使ni=pi×qi,以及-由扩展的欧几里得算法根据所定义的客户端设备(Ci)的所述或每一个秘密数据项pi、qi和模量ni来计算(48)公用密钥的一部分(ei)。
12.一种能够通过通信网络与客户端设备(Ci,Cj)的网络中的所定义的客户端设备(Ci)交换消息的安全设备(1),所述安全设备能够接收所定义的客户端设备(Ci)特定的且由所定义的客户端设备(Ci)在任何消息交换之前派发的至少一个公用数据项(CIDi,ni),所述安全设备(1)包括-利用与存储在所定义的客户端设备(Ci)的公用密钥(ni,ei)相对应的私用密钥(ni,di)来执行非对称密码的操作,其特征在于还包括-存储(3)主密钥(MK)的安全装置;-根据主密钥(MK)和所派发的所述或每一个公用数据项(CIDi,ni)来确定所述私用密钥(di,ni)的装置(4)。
13.根据权利要求12所述的安全设备,其特征在于所述公用数据项(CIDi,ni)包括所定义的客户端设备(Ci)的公用密钥的一部分(ni)和/或所定义的客户端设备的标识符(CIDi)。
14.根据权利要求13所述的安全设备,其特征在于所述私用密钥是混合密钥,包括与所定义的客户端设备(Ci)的公用密钥(ni,ei)的一部分相对应的第一部分(ni)、以及根据主密钥(MK)和所定义的客户端设备的标识符(CIDi)计算出的第二秘密部分(di)。
15.根据权利要求12到14任一个所述的安全设备,其特征在于用于利用所确定的私用密钥(di,ni)来执行非对称密码操作的装置包括-对消息(m)进行签名(S)的装置;以及-对消息(m)进行加密(E)的装置。
16.根据权利要求14或15所述的安全设备,其特征在于所述确定(4)私用密钥的装置还包括-利用主密钥(MK)进行对称加密的单元(7),能够对应用于所定义的客户端设备(Ci)的标识符(CIDi)的函数的结果(ECIDi)的进行加密;以及/或者-计算确定算法的单元(8),用于根据由对称加密单元(7)所产生的加密结果来选择私用密钥的第二秘密部分(di)。
17.根据权利要求14到16任一个所述的安全设备,其特征在于还包括初始化网络的客户端设备的装置,所述初始化装置包括-随机地产生(2)唯一主密钥(MK)和多个彼此完全不同的标识符(CIDj,CIDi)的装置,每一个标识符易于表示客户端设备网络的唯一客户端设备(Ci);-用于计算的单元(9),能够作为私用密钥的第二秘密部分(di)的函数来选择两个秘密数据项(pi,qi),并且计算公用密钥的第一部分(ni);以及-用于计算的单元(10),通过扩展的欧几里得算法,根据秘密数据(pi,qi)、私用密钥的第二部分(di)和公用密钥的第一部分(ni)来计算公用密钥的第二部分(ei)。
18.一种包括指令的计算机程序,当在根据可编程计算器实现的安全设备上执行所述程序时,所述指令执行根据权利要求1到11任一个所述的加密/解密消息的方法步骤。
19.一种可在根据可编程计算器实现的安全设备上使用的记录介质,其上记录了根据权利要求18所述的程序。
全文摘要
本发明涉及一种对安全设备(1)和客户端设备网络中的所定义客户端设备(C
文档编号H04L9/30GK1813440SQ200480018270
公开日2006年8月2日 申请日期2004年7月5日 优先权日2003年7月4日
发明者让-皮埃尔·安德罗 申请人:汤姆森许可贸易公司