具有密钥由第三方保存特性的密码系统和方法

文档序号:7567317阅读:224来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:具有密钥由第三方保存特性的密码系统和方法
背景技术
本发明涉及密码通信系统。更具体地,本发明涉及在密码通信系统中使用的密钥的安全产生、验证、存储和分配。而且更具体地讲,本发明涉及密钥由第三方保存的系统和由自验证芯片设备执行的公用密钥验证管理。
复杂的计算机技术和分布数据处理系统的研制与激增已导致数字形式的信息转发的快速增加。这个信息被用于财务与银行事务、电子邮政、电子数据交换和其它的数据处理系统。在未加密的或未保护的通信信道上发送这个信息会使发送的信息受到电子监听或改变。密码通信系统防止由未授权方监视在不安全信道上发送的消息而保持这些发送的私密性。密码通信系统还防止由未授权方改变在不安全信道上发送的消息中的信息而保证这些发送的完整性。密码通信系统通过提供可识别的、难忘的和文件相关的数字化标记图保证该发送的完整性和可靠性,该标记图可防止被他自己的消息的发送器所拒绝。
密码系统包含数字数据传输的编码和加密,包括数字化的话音或视频传输,使它们变得对该预定的接收器之外的所有接收器都不能理解。由数字化的声音、字母和/或数字组成的明文消息进行数字编码,然后使用根据也称为密钥的一个给定集的数值或数字转变该编码的消息的复杂的算术算法加密。该密钥是一个数据比特序列,根据使用的算法或密码系统,该序列可以随机地选择或具有特别的算术特性。在计算机实现的复杂的密码算法可变换和操作几百或几千比特长的数值,而且可承受任何已知的未授权解密方法。有两种基本类型的密码算法对称密钥算法和不对称密钥算法。
对称密钥算法使用一个相同的密钥,由通信的发送器用于加密和由该通信的接收器用于解密。对称密钥密码系统是建立在共用该密钥的双方互相相信上,使用该密码系统防止不信任的第三方。最熟悉的对称密钥算法是由国家标准与技术协会首先出版的国家数据加密标准(DES)算法。请见“FederalRegister”1975.3.17,Vol.40,No.52和1975.8.1,Vol.40,No.149。当对通信的那个会话期间以该密钥(DES密钥为56比特长)(会话期间密钥)加载时,发送器密码装置使用该DES算法加密该消息。当以与加密使用的相同的密钥加载时,接收器密码装置使用该DES算法的反算法解密该解密的消息。但是,一般的对称密钥加密系统的恰当度已有问题,因为在该发送器和接收器之间希望通信之前,需要该发送器和该接收器在安全信道上交换该密钥,密钥未授权的第三方已接入该安全信道。首先安全地交换密钥和只在这时才解密该通信的这个过程经常是慢的和不方便的,而且因此在要求自然的或自动提供通信的情况下或者要求在互相不熟悉的双方之间通信的情况下是不可工作的。此外,由未授权的第三方拦截该密钥将使改方能够在加密通话的两端监听。
第二类密码算法即不对称密钥算法,加密和解密使用不同的密钥。在使用不对称密钥算法的密码系统中,用户使该密钥公用并保持解密密钥的私密性,而且不能从公用密钥导出该私人密钥。因此,知道特定用户的公用密钥的任何人可对发往该用户的消息加密,而只有对应那个公用密钥的私人密钥的所有者的用户可解密该消息。这个公用/私人密钥系统首先在IEEETransactiononInformationTheory,1976.11的Diffie和Hellman的文章“NewDirectioninCryptography”中和在美国专利4200770(Hellman等人)中提出,二者都引用在这里供参考。
较早类型的不对称密钥算法允许通过通信双方交互产生用于通信的那个会话期间的加密密钥在不安全的信道上进行安全通信。使用不对称密钥算法,两个交互作用的用户同时和独立地产生一个安全密钥,它不被监听者推导出而且对称地用于编码用户之间的通信会话期间。这个产生安全密钥的交互式方法由狄菲和荷尔曼(Diffie和Hellman)在他们的1976年的文章中描述了。根据这个现有技术的方法,称为交互式的狄菲--荷尔曼方案,在图2中示出,两个用户A、B的每个用户随机地选择一个离散数21、22,然后使用两个公用已知的数值和由那个用户选择的离散数值21、22计算一个中间号23、24。接着每个用户发送该中间号23、24给另一个用户,然后使用他自己的离散数值21、22和刚从另一个用户接收的中间号24、23计算该离散的(对称的)密钥25。然后交互地产生的密钥25由两个用户对称地使用作为DES或其它对称密钥加密和解密在不安全信道上以对称密钥算法通信的方法的通信会话期间。这个交互式过程只要求几秒的实际时间,而且在特定的会话期间的所有数字通信,包括数字化声音或视频传输,可仅仅在会话期间的开始时按下按键开始交互式密钥交换过程进行加密。因为在交互式的狄菲--荷尔曼密钥产生方案中选择的所有的数值是非常大的,该计算是不可能反演的,而且离散的密钥不能由监听者计算,因此保持该通信的私密性。因为计算不能反演,每个用户知道使用这个算法接收的任何通信不被改变而且只能是由另一个用户发送的,因而可保证该通信的完整性和可靠性。但是,这个交互式密钥交换方法要求双方实时交互作用以便产生密钥,而且对于未经请求的通信或不熟悉的双方可能是无用的。特别是,该交互式的狄菲--荷尔曼密钥交换方案对于存储与转发电子邮政类型的消息或者对于在电子数据存储系统中文件的长期存储是不行的,因为该接收器不是联机协商该会话期间的密钥。
称为检验的狄菲--荷尔曼的一种修改的、非交互式的狄菲--荷尔曼方案可在通信双方不是联机在一起时使用。在图3中示出检验的狄菲--荷尔曼会话期间密钥产生方案的开始、检验步骤。作为该接收方的一个用户随机地选择一个离散数值31(他的私人密钥),然后使用两个公知的数32和由那个用户选择的离散数值31计算一个中间号33。然后那个用户发送检验的证明以及该中间号和那两个公用数值给检验管理机构,上述数值一起形成他的公用密钥34,然后由该发出检验管理机构发出以数字地标记36的公用密钥检验证明35,将该用户的识别符组合到该用户的狄菲--荷尔曼公用密钥信息34。由那个用户公开的公用密钥34保持一样,直到他决定重建密钥和选择另一个私人密钥31为止。图4中示出使用检验的狄菲--荷尔曼方法发消息。为了发送消息到那个用户,发送用户首先得到接收用户的检验证明35并且验证该检验管理机构的签名36。接着该发送方使用接收方的中间号33(从接收方的证明)和该发送方随机选择的自己的离散数41(他的私人密钥)计算用于那个通信会话期间的会话期间密钥。然后该发送方使用该会话期间密钥42加密消息43和代替在该通信的开头未加密的他的中间号40。当接收该通信时,该接收方使用该发送方的未加密的中间号40和他自己的离散数31(或私人密钥)计算该会话期间密钥42,然后使用该会话期间密钥42解密消息43。正如交互式的狄菲--荷尔曼方案,在该检验的狄菲--荷尔曼方案中产生的该会话期间密钥则由双方用于在使用常规的对称算法如DES的不安全信道上的那个会话期间加密和解密通信。但是,该检验的狄菲--荷尔曼方案要求一个可信的实体或一个检验管理机构签发该接收方的公用密钥证明,以便发送用户可相信包含在其中的信息是正确的。另外,由该发送方随机选择的私人密钥不应与连接到该发送方自己的公用密钥证明的私人密钥相同,他使用该随机选择的私人密钥计算那个通信的该会话期间密钥和该中间号;为了避免其他人学习他的永久私人密钥数(相应于已经检验的公用密钥数),该发送方应该使它们不同于任何短暂的私人密钥或只为特别的消息产生的中间号。
另一个不对称密钥算法在发明者Rivest、Shamir和Adleman之后称为RSA算法,在美国专利4405829(Rivest等人)中叙述,在这里引用供参考,一个数的因子的困难,该数是两个大的质数的乘积。正如交互式的狄菲--荷尔曼方案,RSA算法是相对地直截了当的计算但是特别不适用于反演。因此,不可能从该公用密钥导出私人密钥,而且以这种方式,保持了该通信的私密。一旦一个消息使用RSA算法以该公用密钥加密,只有该私人密钥可解密它,反之亦然。正如检验的狄菲--荷尔曼方案,RSA算法要求一个可信的实体检验和公开该用户的公用密钥。但是,与这两个狄菲--荷尔曼方案相反,RSA算法不是自己产生因双方对称地使用的“会话期间密钥”。而是,特定用户的公用密钥直接地加密到那个用户的通信,和那个用户的私人密钥解密以该用户的公用密钥加密的那些通信。这样,RSA算法是一个纯不对称的密钥算法。
但是,RSA因为算法是复杂的而且包含以很大的数取消息的幂次、使用RSA算法加密或解密更适度长度的消息要求大量的时间。因此,使用RSA不对称算法传送在对称算法中使用的DES密钥是更简单、更快和有效的。这个现有技术的操作模式称为RSA密钥传送而且表示在图5和6中。例如,参见图5,用户可产生一个随机DES密钥51并且以那个DES密钥加密消息52。然后该用户可以以预定接收用户的公用RSA密钥53加密该DES密钥51并且发送该DES加密的消息54以及以RSA加密的DES密钥55给该接收用户。在接收该传输之后,如图6所示的,该接收方使用他的私人RSA解密密钥56解密DES密钥51和使用那个DES密钥51解密消息52。因为DES算法要求比RSA算法少得多的时间和费用进行计算,该对称DES密钥被用于加密和解密该实际的消息,而该不对称RSA密钥被用于加密和解密对称的DES密钥。
该RSA公用/私人密钥密码系统还提供数字的“签名”,它是与消息相关的和与签名者相关的,而且可用于检验该接收的消息是因该发送方实际地发送的和它是未改变的接收的。RSA数字签名是基于RSA的附加的特性,除了允许该用户的私人密钥只解密使用那个用户的公用密钥加密的那些通信外,允许用户的私人密钥加密只能由那个用户的公用密钥解密的消息。因为只有该用户具有该私人密钥,使用私人密钥加密允许可由具有存取该用户的公用密钥的任何人检验的原件的证明。实际上,该发送方首先使用他的私人密钥编码该消息文本为签名的消息,它可由任何人解密但是只可来自发送方。如果希望的话,该发送方则可任选地使用该接收方的公用密钥加密待发送的签名的消息。当收到该密文时,如果需要的话,该接收方以他的私人密钥解密该密文,并且以该发送方的公用密钥解码该签名的消息。因为只有该发送方知道他的唯一私人密钥,只有该发送方可能已发送该特定的“签名”消息。而且,因为只有该接收方具有该发送方的公用密钥,该发送方不能要求该接收方或未授权的第三方改变或伪造他的消息;因此该签名防止该发送方抛弃该消息。此外,因为仅仅该发送方的私人密钥变换该原始消息和仅仅该发送方知道他的唯一私人密钥,该接收方或未授权的第三方都不能改变该消息;因此该签名检验该消息的完整性。
RSA算法还提供另一类的数字签名,使用一个散列函数产生对每个文件是唯一的短消息摘要。图7和8分别表示使用散列函数的RSA签名产生和RSA签名检验。散列函数是“单向”的另一个复合的数学算法,即,使得它不可能从该散列结果重构该文件,而且是“无冲突的”,即,使得它不可能产生散列为相同摘要的另一个文件。如图7中所示的,该发送方首先通过散列算法73传送消息72,产生该消息摘要,然后以他的RSA私人密钥75加密该摘要,形成附在消息72的紧凑的数字签名76。在收到消息72和消息摘要76的传输之后,如图8所示的,该接收方使用该发送方RSA的公用密钥77解密该发送方RSA的加密消息摘要76(数字签名)。该接收方还使用相同的散列算法73从该接收的消息产生消息摘要74。从由该接收方执行的两个变换得到的两个消息摘要应该是相同的,因此检验该消息是由该发送方签名的。
数字签名的另一个系统称为数字签名算法DSA,它也被用于发送方检验。DSA算法在美国专利申请序号07/738431中揭示了,整个引用在这里供参考。DSA算法具有类似RSA于签名算法的特性发送方通过散列算法传送该消息产生消息摘要,然后使用他的私人密钥加密或签名该消息摘要;接收方使用该发送方的公用密钥检验加密的摘要。但是,不像RSA签名算法那样,当接收方解密该签名块时恢复该原始消息摘要,DSA检验算法只产生签名检验的肯定确认;使用预定的接收方的公用密钥加密的通信在稍后不能以接收方的相应私人密钥解密来恢复。由于这个原因,DSA算法完全能够用于数字签名,但是不能由于密钥传送或由于直接消息加密。
为了该公用/私人密钥系统有效地操作,用户必须委托一个集中的密钥检验管理机构负责公开和更新公用密钥的索引簿。该密钥检验管理机构必须由发送方和接收方的所有用户委托,为所有的用户分配正确的公用密钥,使得没有消息发送到不是故意的接收方。为此目的,正如上面所讨论的和在下面详细叙述的,该检验管理机构将分配每个用户的名字和公用密钥信息,而且将它自己的数字签名加在该分配的信息上,以便检验该信息的正确性。但是,当在检验的过程中包含一个以上实体或一系列的实体时,存在着几个不同的方法或“委托模式”用于确定用户将如何处理该证明的。三个主要模式是(1)一个纯系列模式,(2)在多个系列之间使用交叉检验的模式,和(3)一个“本地委托”模式。这些模式在标准文件美国国家标准X9.30“Public Key Cryptography Using Irreversible Algorithms for the FinancialService IndustryPart3Certificate Management for DSA”(American Bankers Assn.Washington,D.C.,1992年)中详细叙述,引用在这里供参考。虽然还没有对于上述委托模式哪一个是最好的一般的一致的意见,但是认为通过这个公开将建立一个合适的、一般地接受的检验委托模式并且涉及在任何时候都遵守由一个以上实体颁发的证明。
上述的公用/私人密钥系统考虑希望秘密地发送和接收通信的银行的私人利益。但是,另外,也要考虑法律实施和政府的国家安全利益。必须保持为了法律实施和国家安全目的由政府对于私人电子传输的监视或监听,因此不允许嫌疑犯、恐怖分子和外国间谍密谋超出该法律范围。而电话通信可通过电话监听进行监视,密码算法使得加密的数据甚至不能由能力很强的码中断计算机解密。因此,体积和数字的百分比的增加以及以先进的算法解密的数字化传输将适用于挫败和阻挠这些通信的合法的政府电子监视,特别是如果解密设备在电话、计算机、传真机和所有其它数据处理设备中广泛实施。
使政府或其它授权的调查者能够监视嫌疑犯的一种方式是一切所有的密码通信的用户由私人管理机构或政府第三方保存他们的私人密钥,即,允许私人管理机构或政府作为该用户的私人密钥的委托保管者。当需要监视时,则政府将能够存取或将能够存取该私人密钥,以便监视所有加密的通信。但是,这种方法是不可用的,因为它没有足够的保护措施防止私人密钥的政府滥用和防止由于从政府或私人管理机构偷盗或者因政府或私人管理机构人员不纯而可能将该私人密钥泄露给未授权的第三方。
由第三方保存私人密钥以保持用户的个人利益和法律实施安全性利益的另一个方法是使用一个系统,例如在1993年3月由SilvioMicali在CRYPTO92提出的并且在1993年10月13日由“the Laboratory for Computer Science of the MassachusettsInstitute of Technology”出版的“Fair Public Key Cryptosystems”中以及在美国专利5276737中叙述的方法,二者都引用在这里供参考。利用这个方法,示于图9--11,希望检验用于保密目的的他的私人密钥的用户必须以下面的方法由第三方保存他的私人密钥。如图9所示的,该用户首先将他的密钥91变成几“片”92,每片可单独地检验(90)为整个密钥91的一个有效部分。该密钥只有知道所有的片或它们的一些规定的号码才能被重建。然后该用户发送(93)每片到不同的第三方保存机构或代理94,如

图10中所示的,该用户使用一个特别的算法检验该片为该私人密钥的一个正确部分(91)和将这个检验传送(96)到一个主第三方保存中心。参见图11,在收到该私人密钥的每片是正确的检验96、97之后,然后该主第三方保存中心可发出该用户的公用密钥99的证明98,允许它用于具有这样保证的私人系统中如果需要是或只遵循担保或法庭程序,法律实施事务所能够从该用户选择的第二三者保持代理得到该私人密钥的分离的片段,重新组合它们并且监视那个用户的通信。利用这个系统,可保证用户的密码传输的秘密,而且可保证政府在表示需要时能够接入密码传输。因为正常地没有一个实体以存取整个私人密钥和因为该用户选择他相信的实体,大大地减少非法的或者不可靠的动作的机会。而且,因为较宽范围的实体符合作为第三方保存代理机构,更进一步减少同时兼顾所有第三方保存代理机构的机会,因此进一步减少中断所有委托商务。
作为委托的管理机构检验该用户的公用密钥的可靠性的主第三方保存中心周期地发出证明或公证公用密钥及其自己的识别信息之间的连接的公用可用的证明。可靠性证明保证到那个命名的公用密钥用户的传输实际上被收到而且仅由该预定的接收方读出。该证明通常是以国际上公认的电子格式,例如在CCITT建议X.509中规定的和由国际标准组织(ISO)作为国际标准发布的电子格式。公用密钥由第三方保存证明格式示于图12中。除了其它的之外,该证明包括制作该证明(发放者)121、所有者公用密钥122、所有者的识别信息126、证明序列号123和有效开始和结束日期124的机构或密钥管理中心的名字。该发放者的数字签名125“密封”该证明并防止其改变。
但是,美国政府已提出作为政府(和可能作为工业的)标准的另一个方法,使它能由第三方保存私人密钥并且监视通信。美国政府已研制一个微电路,称为“削波器芯片”(Clipperchip),它可装入政府和商业生产的电话与计算机设备中。该削波器芯片是一个低费用的芯片,可用于大量密码和密钥管理;顶点芯片(Capstonchip)是削波器芯片的更先进的版本,加上了数字签名和消息摘要能力。像其它的密码系统那样,削波器芯片使用对称密码算法,虽然称为跳跃插座(Skipjack)的一个分类的算法以类似于DES的方法扰频电话和数字计算机数据通信,但是使用一个80比特密钥。每个削波器芯片有一个唯一的顺序号,所有削波器芯片公用的削波器系列密钥及授权的政府代理需要的它自己的对称专用设备密钥,以便解密由包含该芯片的设备编码的消息。在制造包含该芯片的设备时,唯一的专用设备密钥将分为两个分量(称为“密钥片”)并且与在该政府内建立的两个密钥由第三方保存数据库或代理分开地放置。法律实施机构通过获得担保或其它法律管理机构和提供该担保给两个第三方保存代理机构可存取这些专用设备密钥监听或监视该通信。当削波器芯片设备希望通信时,它们首先同意对称会话密钥,以该密钥加密该通信。可以使用导出该对称会话密钥的任何方法如交互式的狄菲--荷尔曼密钥导出过程,和在用户之间传送DES会话密钥的任何方法如RSA。在每个通信的开始,每个用户给另一个用户发送一个法律实施存取字段(LEAF),该字段包含足够的信息允许法律实施机构监听或监视该通信。削波器LEAF的相信的格式示于图13(注意,因为LEAF格式、产生和检验的细节当前由美国政府分类“秘密”,本讨论和图13二者都是预测的)。为了形成LEAF,该会话密钥首先使用专用设备密钥加密;然后该设备密钥加密的会话密钥、发送方设备的顺序号和原始未加密会话密钥的检验和(检验值)一起以削波器系列密钥加密完成该LEAF。然后该消息使用选择的会话密钥进行加密。会话密钥加密的消息和系列密钥加密的LEAF一起发送到该接收器。当收到该通信时,接收用户首先加载接收LEAF的入它的削波器芯片,以便检验LEAF是否有效和在LEAF内加密的会话密钥是否与前面接收的会话密钥相符。如果该LEAF是有效的,削波器芯片将以前面接收到的选择会话密钥解密该消息。
但是,可合法地监听或监视该通信的执法机构不知道该会话密钥,因此,为了获得必要的密钥必须首先解密LEAF,该机构获取了所需的LEAF之后,使用该削波器系列密钥对它解密,然后将来自LEAF的芯片序列号和法院编序的担保或其它合法的授权提供给那两个政府的第三方保存代理机构,回过来接收监听用户的私人设备密钥的两个密钥片。该机构组合这两个由第三方保存的设备密钥分量并且使用得到的设备密钥解密来自该LEAF的设备密钥加密的会话密钥。然后该会话密钥可用于解密来自该通信的实际消息。发送方和接收方各产生一个LEAF和确认其它的LEAF的要求保证法律实施机构在获取该LEAF时有合理的机会,因为期望每个LEAF经过该相同的通信媒体在用户之间传送。此外,法律实施通过解密由那个用户产生的LEAF只选择地监视一个可疑的用户,不管哪个用户始发该通信。
不幸地是,政府的削波器芯片建议存在着很多技术问题,大多数的阻塞物(stemming)来自这样的事实由第三方保存的私人密钥在制造期间永久地埋入该削波器芯片中。因为特定设备的私人加密密钥被埋入该芯片中而且不能改变,如果折衷的话该芯片和可能包含它的整个设备必须抛弃。如果期望折衷或者以规则的间隔避免潜在的折衷的话,对于特定设备的用户最好能够随意地重建密钥,重由第三方保存和重新检验该设备。除了该用户不能重建密钥和重由第三方保存之外,该削波器设备的用户不选择数量或者由该政府采用的密钥由第三方保存代理机构的识别码来保护他的私人密钥,而是该私人密钥对分部分设置在两个由第三方保存数据库或者由政府建立的代理中。由于政府可能完成接入任何传输或通过该设备的事务处理的危险,用户可能不相信该削波器芯片设备,存取可能被滥用或恶化。用户也可能希望他们的密钥由比政府提供的更信任的第三方保持,以便使得他们的私人密钥更安全。如果密钥由第三方保存的概念是重要的,每个用户必须能够根据希望的相信度选择他自己的受托管理人,该受托管理人第三方保存他的私人密钥。
而且,人们相信该政府削波器系统允许用户只能对称地和实时地通信,而且不提供对存储与转发电子邮政类型消息的任何直接支持。在加密通信之前,该发送方和接收方首先必须商定不对称会话密钥,该密钥加密该通信。典型地,这个密钥交换使用交互式的狄菲--荷尔曼方案,该唯一的密钥交换方法相信是由该削波器芯片支持的。因此,除非他们希望安排他们自己的密钥管理系统,限制用户同时地、交互式地通信,诸如实时话音或传真通信。但是,为了使用存储与转发电子邮政类型消息,用户必须能够存取预定的接收方的公用密钥,诸如使用检验的狄菲--荷尔曼或检验的RSA密钥传送方案,即使预定的接收方还不能用于交互式联机通信。因为人们相信政府的削波器系统不便于这样,存储与转发消息是困难的。因此政府建议的标准系统可能限制用户联机交互式的通信能力。
而且,在政府的系统下,该用户的雇主没有存取加密的数据或者他们雇员的传输。代表雇主的雇员在开发、通信或发送机密或专有的数据,雇主必须保持存取他们雇员的数据或传输。可能出现很多情况,其中加密的信息只是对直接使用该密码系统的专门雇员是可用的,而对管理这些雇员和持有该操作数据资源的管理部门或董事会是不可用的。通过加密数据或通信,雇员可为他们自己开发或适应新的程序、产品和技术或者可进行非法的活动和事务处理,而他们的雇主都不知道这些。而且,人员的变动或重新组织和存储设施的变化可导致被加密的大量信息的丢失,在加密时这些信息是足够重要的。请见DonnB.Parker的文章“加密和避免商务信息混乱”(1993.11.3-5Reston,VA在First Annual AC Conference on Computer andCommunication Security会议上特邀发言人的发言),引用在这里供参考。除了该数据的始发者或该传输的发送方之外,该削波器芯片只允许该政府接入该传输。虽然雇主可寻找法院发出的担保,以便监视他们雇员的通信,雇主可能希望以更分离的方式监视他们的内部官员,而不是在任何时间出现怀疑时开始联邦调查。
此外,委托装入该芯片的分类算法而且只在硬件中是可用的,并且只从政府授权的芯片制造商将政府引入通信与计算机硬件的快速变化和高度竞争的市场。政府代理或政府授权的制造商可能不能或不愿意专门为可能是一个私人制造商的特定公司设计和销售先进的设备和产品。如果政府只授权一些销售者生产具有该分类算法的芯片,则将减少竞争而且可避免该技术被用到其它的产品中。另外,因为Skipjack算法的细节还没有变成公用,出现了该算法是否是不安全的怀疑,或者由于其设计者的疏忽或者由于政府故意引入的天窗(trapdoor)。密码系统设计的一个重要值是加密消息的秘密和安全性应取决于相关密钥值的秘密,而不取决于该系统细节的秘密。
因此,希望提供一个商用的密钥由第三方保存的系统,该系统使用公开的算法,以引入该用户的委托和秘密的方式工作并且解决由国家安全与法律实施要求提出的问题。
还希望提供一个商用的密钥由第三方保存的系统,该系统使用可由该用户随意地或以规则的间隔改变的私人密钥。
进一步希望提供一个商用的密钥由第三方保存的系统,该系统允许该用户选择该密钥由第三方保存的代理保护他的私人密钥或他的私人密钥的分离的片段。
又进一步希望提供一个商用的密钥由第三方保存的系统,该系统包含未限制的政府存取的保护,也允许由用户的雇主或由该外国用户成为公民的国家存取。
还希望提供一个商用的密钥由第三方保存的系统,该系统提供美国政府建议的削波器芯片系统的替代方案。
发明概要本发明的一个目的是提供一个商用的密钥由第三方保存的系统,该系统使用公开的算法,以引入该用户的委托和秘密的方式工作并且解决由国家安全与法律实施要求提出的问题。
本发明的另一个目的是提供一个商用的密钥由第三方保存的系统,该系统使用可由该用户随意地或以规则的间隔改变的私人密钥。
本发明的进一步的目的是提供一个商用的密钥由第三方保存的系统,该系统允许该用户选择该密钥由第三方保存的代理保护他的私人密钥或他的私人密钥的分离的片段。
本发明的又有一个目的是提供一个商用的密钥由第三方保存的系统,该系统包含未限制的政府存取的保护,也允许由用户的雇主或由该外国用户成为公民的国家存取。
本发明还有另一个目的是提供一个商用的密钥由第三方保存的系统,该系统提供美国政府建议的削波器芯片系统的替代方案。
本发明的这些和其它的目的是根据本发明的原理提供一个密码的密钥由第三方保存的系统实现的,该系统使用一个方法,诸如Micali“公正”(Fair)由第三方保存方法,用于可检验地分离用户的私人密码密钥为分量和用于发送那些分量到由特定用户选择的委托代理,和用于提供一个系统,并且通过提供使用也是自证明的芯片设备实施的现代公用密钥检验管理的一个系统实现的。在本发明的优选实施例中,只在满足一些条件时该新的芯片才加密或解密,即,(1)如果输入一个有效的“发送方证明”和一个有效的“接收方证明”,这里的“有效”意味着特定用户私人密码密钥可证明地是由具有由第三方保存代理机构的特定号码的第三方保存并且由该芯片制造商检验,以及(2)如果由该发送方产生的一个有效消息控制标题和由该接收方检验,因此给予请求和得到由第三方保存密钥的授权调查者足够的信息。因为本发明取决于证明管理的系统,她可作成非常灵活并且不依赖于地点和时间,不像纯联机系统。由第三方保存私人密码密钥和接收由第三方保存的证明的方法在这里还应用到以委托的第三方登记委托的设备和从允许该设备与其它委托设备通信的情况的更一般的情况。
本发明的进一步的优选实施例提供在多个用户中产生可检验地委托通信的方法,包括在委托的在第三方保存中心由第三方保存由多个用户使用的多个不对称密码密钥的步骤;在该由第三方保存中心检验所述多个密钥的每个密钥;在检验时证明所述多个密钥的每个密钥的授权;和在所述证明时使用多个密钥偶然事故的相应事故从所述多个用户的每个用户开始通信。本发明的又一个实施例用于根据使用包括每个通信的消息控制标题由授权的法律实施机构进行通信解码,使用专门的法律实施解码器组件并检查法律实施监听防止法律实施和其它官员滥用。进一步的优选实施例使用证明系统重建密钥和更新设备硬件,和面向信息流数据的密码。
附图的简要说明本发明的上述和其它目的及优点在结合附图考虑下面的详细描述时将过清楚了,附图中参考字符指相同的部分图1A-1G是在本发明的附图中使用的符号和缩写的表;图2是表示现有技术的交互式狄菲--荷尔曼密钥导出方法的步骤的流程图;图3是表示现有技术检验狄菲--荷尔曼方法的检验部分步骤的流程图;图4是表示现有技术检验狄菲--荷尔曼方法的消息部分步骤的流程图;图5是表示使用现有技术的RSA密钥传送方法的加密步骤的流程图;图6是表示使用现有技术的RSA密钥传送方法的加密步骤的流程图;图7是表示使用现有技术的RSA密钥传送方法的签名产生步骤的流程图;图8是表示使用现有技术的RSA密钥传送方法的签名检验步骤的流程图;图9-11一起表示现有技术Micali密钥由第三方保存过程的流程图;图12是现有技术公用密码密钥由第三方保存证明的格式的一个例子;图13是削波器设备法律实施存取字段(LEAF)的可信格式的一个例子;图14是由本发明的设备制造商签发的设备证明的一个例子;图15是表示只以一个第三方保存代理机构可检验地保持的方法的步骤的流程图;图16是表示只根据委托设备可检验地由第三方保存一个密钥的方法的步骤的流程图;图17是表示以消息控制标题(MCH)发送加密消息的方法的步骤的流程图;图18是在RSA密钥传送格式中MCH的一个例子;图19是以MCH接收加密消息的方法的步骤的流程图;图20是MCH解码器组件和用于其处理流程的流程图的一个例子;
图21是自检验委托的的时间标记设备的一个例子;图22是由本发明的设备的制造商签发的设备所有者证明的格式的一个例子;图23是表示由本发明的设备所有者重新由第三方保存一个密钥(重建密钥)的方法的步骤的流程图;和图24是表示以的委托的第三方的本发明委托设备登记方法步骤的流程图。
发明的详细说明包括使用数字签名的公用密钥密码系统可潜在地是产生国家或者甚至全球无纸件电子文件系统的基础。使用这些系统在费用的节省方面具有巨大的商业重要性。这些系统的开发和广泛采用的关键要素是对基础密码系统和由政府、银行、公司和其它用户包括个人用户的数字签名的信赖。对这些系统的信赖不是来自他自己的内部系统的每个用户或其它用户的信赖,而是来自公用密钥密码系统每个用户或它提供的检验机制的信赖。本发明的商用密码系统使用自检验满足这些有关要求,因此,信赖的密码设备作为信任的公平制裁者。
在本发明的优选实施例中,防篡改芯片或包含该芯片的防篡改委托设备执行加密、解密和数字签名,他被装入对该芯片是唯一的不可修改的公用/私人签名密钥对和“制造商的证明”。装入的制造商证明使得该设备包含该芯片(a)使用它自己的私人设备签名密钥数字地“签名”文件和通信(“数据结构”),证明它们是从那个设备唯一地发出的,和(b)通过将制造商的证明附加在文件和通信证明那些数据结构是可相信的,因为发出设备是已知的和委托类型的设备,而且是由那个委托的制造商制造的。实际上制造商的证明写明“其私人密钥符合这里证明的公用密钥的设备是XXX类型的,签名,制造商”。因为该私人签名密钥是以防篡改方式装入的,而且因为该制造商是可信的,所以由该设备发出的和使用该私人签名密钥签名的文件和通信也是可相信的。
本发明的优选实施例包含八个主要使用阶段(1)产生或制造包含在该设备中的芯片,(2)以由第三方保存代理机构登记该设备的密码密钥,(3)正常加密和解密用户消息,(4)由授权的法律实施机构解码通信,(5)由该所有者或雇主重建密钥和更新该设备,(6)检查法律实施的监听,(7)加密面向信息流数据,和(8)国家安全保护。
委托设备的制造本发明的委托设备的制造是基于存在以下一般特性(1)一个内置微处理器(或微控制器),一个小型计算机,它调解所有外部存取和执行各种计算的与编程的操作;(2)一个任选的密码共用处理器,它可以以比通用微处理器可能的速度高的多的速度执行标准的算术加密和解密操作,而且它最好包含一个硬件噪声源,诸如一个二极管噪声源,协助产生由于密码密钥产生所需的可检验随机码;(3)一个输入-输出子系统,协助处理数据流和往返该微处理器的命令,它可包括一个状态显示器或监视器;和(4)一个存储器子系统,它可能采用几种类型的存储器存储技术,每种技术具有不同的性能特性和存取性,诸如(a)只读存储器(“ROM”),它可包含永久的和不可改变的程序和数据,(b)电可擦除可编程只读存储器(“EEPROM”)或快速(“FLASH”)存储器,它可包含半永久程序和数据,即,它们可被改变但是在设备掉电或关断时不会丢失,和(c)随机存取存储器(“RAM”),它可用于暂时计算和暂时数据存储,但是在电源关断时不丢失。
整个设备可以按这样的方式设计和制造其所有单元特别包括永久和半永久的存储区被保护而避免可能泄漏它们的内容或改变它们的操作模式的篡改。保护该设备单元不被篡改的一个方法是通过使用特殊的涂复,不破坏该涂复下面的信息要去掉该涂复是困难的。另外,存在着其它特性可能导致该存储器被擦除,如果试图对任何存储区实际封装作任何改变或者如果出现可能表示篡改试图的可疑动作,诸如试图使无效和消除该设备内部保护机制而冷却该设备至异常低的温度。其中一些保护特性可能要求恒定的电池电源,使得如果觉察到篡改,该设备可采取电的措施删除重要的数据。本发明不规定进行设备防篡改的任何具体优选方法,而是依靠现有的和未来的技术,它们可能是或可能成为一般认为提供可接受程度的保护,防止该设备中的数据的未授权的公开或修改。具有这种特性的设备有时称为防篡改安全模块(TRSM),其目前的一个例子是前面讨论的、可从Mykotronx公司买到的削波器/-Capstone设备。
芯片的制造商可以是许多主要计算机微处理器芯片制造商的任一厂商。该制造商最好是密码工业中公知的,而且芯片质量及其制造过程的安全性和整体性是可信赖的。
为了在本发明的实施例中使用,制造的芯片应包括以下能力。该芯片首先应包括一个内置设备公用/私人密钥对,用于由该设备发出的设备签名,其私人签名密钥是不可读的和防篡改的。密码签名密钥可以是任何可接受的密码类型,例如RSA。但是,由于RSA具有加密和签名两种能力和因为它最好隔离该签名和加密过程,所以密码签名密钥最好应该是DSA。该芯片还应该包括用于该设备签名密钥的内置的和防篡改的制造商的证明,这种格式的一个例子示于图14中。包含该芯片的设备可附上其签名的这个证明,以便证明由具有在下面叙述的质量的已知的和可信赖类型的设备发出的签名。
制造用于本发明的实施例中的芯片还应包括以防篡改方式内置在该芯片内的制造商的公用签名检验。制造商的公用签名密钥可由该用户用于检验从其它的设备接收的指令,检查这些指令是否已附上由制造商的私人签名密钥产生的有效的数字签名,以便确定这些指令是否由该制造商发出的或该制造商信赖的。该芯片也可包括内置的和防篡改的公用指令密钥,这些密钥可由该用户用于检验从其它的设备接收的指令。公用指令密钥可以是由该制造商选择的、一些其它委托实体如BankersTrust公司的公用密钥,或者可以是一个委托国家或全球系统范围管理机构的公用密钥,而且可以选择地由该制造商内置人该芯片,用作避免必须检验附加的制造商-委托实体证明的“捷径”。制造商可安装各种合格的密钥由第三方保存房屋的几个指令密钥,该制造商选择和相信是可能的和可信赖的。
此外,用在本发明的实施例中的芯片可具有产生用于由单个用户加密和解密数据与通信的公用/私人密钥对的能力。密码加密密钥可以是任何可接受的不对称的密码类型,如RSA。但是,密码密钥最好是狄菲--荷尔曼类型的,即该用户的秘密号是私人密钥而该用户的公开的中间号是公用密钥,它们一起用在检验的狄菲--荷尔曼方案中产生用于加密和解密通信的一个会话密钥。然后这样产生的会话密钥以不可读的和防篡改的方式存储在该芯片内。另外,一旦用于该设备的公用/私人密码密钥对已经产生,该芯片还可具有重建密钥和产生一个新的公用/私人密码密钥对代替该先前的密钥对。在另一个实施例中,如在后面讨论的,也可使用交互式狄菲--荷尔曼密钥产生,以便保证所有发送方和接收方都分配新的随机号来产生该消息会话密钥。在本发明的优选的实施例中,该委托的设备只在两个条件下能够解密已加密的通信。第一个条件是有效的主第三方保存中心对二者进行检验,在它接收该加密的传输之前,发送方和接收方设备必须已经接入这个设备。每个证明如果是由主第三方保存中心签名的这是有效的,证明该设备的私人密码密钥已由一个或多个合格的第三方保存代理机构保持,而且最好是由可检验的密钥分离协议的两个或多个Micali型的代理保持。这个主第三方保存中心证明必须附有由建立所述的主第三方保存中心向有效的第三方保存代理机构的制造商签发的证明,或者必须指定为该制造商内置入该芯片的公用指令密钥的保持者的第三方(委托的国家或全球系统范围管理机构)签名。用于解密的第二个条件是被解密的消息必须在前面有一个有效消息控制标题(MCH)数据字段(其格式将在下面叙述),以便法律实施或雇主安全人员有足够的数据获得接收方的由第三方保存私人密钥并且监视该通信。
在本发明的另一个实施例中,该芯片还具有产生不同于设备签名的内置密钥对、而用于用户签名的公用/私人密钥对的能力。正如该设备签名密钥对,密码用户签名密钥可以是任何可接受的密码类型,如RSA,但是最好是DSA,又避免与用于消息加密的密钥的任何可能的混淆。用户签名私人密钥应该是不可读的和防篡改的。该用户应该使用该私人签名密钥签名用于发送方检验和非信誉目的的通信。在本发明的又一个实施例中,该芯片还具有使用该设备签名密钥的能力,以便签名检验已为该用户产生的该用户公用签名密钥的请求,因此证明已由已知的防篡改特性的设备产生该用户签名密钥对和保护该私人密钥。在本发明的又一个实施例中,该芯片还可具有一个硬件噪声源,诸如二极管噪声源,在密钥产生期间产生随机数,和一个唯一的实际设备串行数允许跟踪该设备或其动作的统计、网络管理和报表系统。在这个实施例中,该设备签名将不仅证明该用户设备是已知的防篡改特性的,而且由该设备产生的每个密钥或随机数是每次使用一个高质量的随机数发生器最好是一个二极管噪声源重新随机地产生的。
在制造包含本发明的芯片的可信设备中,该芯片存储器至少被分为如下三个一般存储区(1)包含数据和在制造期间装入的固件的永久和不可修改的存储空间;(2)包含数据的半永久和可修改的存储空间,该数据诸如为该用户产生的并在由该芯片为用户保存在委托中用户的私人密码和签名密钥,的这些数据和密钥可由该芯片用于代表该用户进行数字签名或解密,但是在该设备之外是决不公开的;和(3)包含工作区的非永久和暂时存储空间,用于暂时存储各个数据处理操作的输入、中间结果和最后结果。根据设计,这三个一般存储区各存在于不同类型的存储系统中,例如用于永久数据的ROM,用于保存在委托中的用户数据的EEPROM或FLASH存储器,和用于易失的暂时存储的RAM。另一种方法可能是使用永久和非永久数据的FLASH存储器。又一个选择是利用一个芯片操作系统,它使用一个目标目录管理微处理器的存储器。根据这个方法,存储器的一部分可专用于存储器中的其它项目的一个表或目录,而且可包括每个目标的标准信息,诸如-逻辑名称(例如,“制造商的公用密钥”);-类型(例如,密钥,证明,码程序等等);-数据的开始地址和长度(以字节表示);-最后修改的数据(任选);-保护等级(永久的,用户或易失的);-公开等级(外部可读的或外部不可读的)。
在这个方法中,只要整个存储器是同等地防篡改的,没有专门的区域需要指定用于保护的或非保护的数据,因为根据包含在该数据目标的相关目录条目中的代码,该微处理器可以容易地执行希望的保护等级。这个方法也可如应用在数据那样容易地应用在固件码程序,而且在升级或代替委托的固件码程序时可以有利地应用,无需实际地代替该设备或其任何存储器单元。
本发明的优选实施例的设备的保护存储区可包含以下类型的信息,包括数据和固件程序码。
A.由制造商永久地装入的1.可向外部公开的a.系统范围管理机构公用密钥(任选);b.制造商公用密钥;c.来自系统范围管理机构的制造商证明;d 设备公用密钥;e 来自制造商的设备证明;f 设备唯一的顺序号;g 固件型号;
h 委托银行公用指令密钥。
2.可能不向外公开的a 设备私人签名密钥;3.固件a.操作系统和文件系统;b.基本密码库存程序;c.由第三方保存系统程序;d.其它的委托应用码。
B.由用户操作产生的和保存在用户的委托中1.可向外部公开的a.用户的公用密码密钥;b.用户的公用密码密钥由第三方保存证明;c.用户的公用签名密钥;d.用户的公用签名密钥证明;2.可能不向外公开的a.用户的私人解密密钥;b.用户的私人签名密钥。
C.其它的非易失的读-写存储器(任选)a.顾客的签名证明;b.顾客的由第三方保存证明;c.顾客的设备证明(MCH用于检验)。
D.工作存储器(可以是易失的)公用密钥(所有类型),证明(所有类型),无用数据值,签名数据块,其它的被处理的数据结构。
密钥由第三方保存过程在本发明的芯片已制造之后和在使用该芯片加密或解密通信之前,该用户的公用解密密钥必须与主第三方保存中心或与由该芯片制造商许可的第三方保存代理机构登记。该用户自己可执行这个操作或在制造期间该制造商可初始化或与一个由第三方保存代理机构登记该芯片,因此由他自己解除该用户的要求,由第三方保存他的密钥。但是,该制造商仍可该用户的选择,在稍后的时间由他自己重建密钥。对于许多单独的用户,允许该制造商利用或不用一个重建密钥的选择登记该芯片是足够的。另外,消费者很可能信赖由改芯片制造商选择的第三方保存代理机构。公司或其它的雇主可编程他们自己的芯片和他们雇员的芯片,并且以他们自己选择的第三方保存代理机构代理登记芯片。但是,公司一般地不允许他们的雇员自己重建密钥,因为如上所讨论的,这将导致对公司信息和资产失去控制。
为了产生和登记解密密钥,该用户(或执行该操作的任何实体)执行已装入该芯片的并且指令该芯片执行Micali密钥由第三方保存方法或所使用的具体密钥由第三方保存方法的特定步骤的固件程序。见图9-11,15和16。选择使用那种方法以一个或多个第三方保存代理机构保持该私人密钥,该芯片首先随机地产生或选择一个秘密数,他将是那个用户的私人解密密钥(以及另一个为公用数,如果这些数还未由一些其它的先前的随机产生,则该公用数是要求的)。该芯片将以不可读的和防篡改方式存储该私人密钥。如图15所示的,私人解密密钥可以单个由第三方保存代理机构保持。该委托的设备150首先产生该用户的公用/私人密码密钥对150,然后发送到该由第三方保存中心153一个加密的和签名的消息152,消息152包括密码密钥对151和设备顺序号154,附有用于签名检验的制造商的证明。由第三方保存中心153检验签名、解密该消息分组和存储该用户的私人解密密钥。该由第三方保存中心153还发送给该用户一个签名的证明156与用于签名检验的因由第三方保存中心的证明158,证明156包括用户的设备顺序号154和用户的公用密码密钥151以及设备的公用签名检验密钥157。一旦用户的设备检验到这个第三方保存中心的签名时,登记就完成了。
如果该私人密钥由一个以上的第三方保存中心保存,则该芯片固化的一个特别的公式将该私人密钥分开为称为密钥裂片的几片。使用在前面叙述的并示于图9的Micali由第三方保存方法和算法,该芯片接着使用该特别的Micali算法计算一些值90,使得每个值是基于私人密钥片92的一片的算术变换。然后该芯片形成由该用户指定的每个受委托者或由第三方保存代理机构94的一个公用分组,每个公用分组93包含该用户设备的唯一顺序号、一个私人密钥片和一些值的子集,使特定的受委托者检验接收的私人密钥片为整个私人密钥的一个有效部分,不必让受委托者知道整个私人密钥。如在后面所讨论的,如果该用户不是该设备的所有者,而是例如雇主所有的雇员,受委托者公用分组也可包括该设备所有者的唯一识别号和设备的所有者证明,使得雇主所有者能够得到雇员用户的私人密钥而不必首先得到一个批准。然后该制造商芯片使用唯一设备私人签名密钥签名每个受委托者公用分组,并且附上该发送芯片的制造商证明,因此证明从已知的和委托类型的设备发出的发送信息。最后,该芯片将输出每个签名的受委托者公用分组,由该用户传递到委托的第三方保存代理机构。
主第三方保存中心检验分开片还有另一个优选的方式,不使用Micali方法,只依靠该委托的设备。使用示于图16中的检验该密钥片的这个方法,该芯片为私人密码密钥的每个密钥片产生一个随机数。然后该芯片为该用户指定的每个受委托者或第三方保存代理机构163形成一个公用分组,每个分组包含该用户设备的唯一数,一个私人密钥片和该随机数之一。该芯片使用该唯一的设备私人签名密钥签名每个受委托者公用分组和为发送芯片附上制造商的证明162,因此证明发送的信息发自已知的和委托类型的设备。正如Micali方法,然后该芯片输出每个签名的受委托者公用分组161,由该用户传递到委托的第三方保存代理机构163。另外,该芯片还必须产生一个消息(加密的)164给主第三方保存中心165,除了其它的之外,该消息包括用户的公用密码密钥和该用户指定的第三方保存代理机构名称以及与该密钥片一起给出的、到每个相应的第三方保存代理机构的随机数。
但是,因为每个受委托者公用分组包含一个私人密钥片,通过接入从用户到该第三方保存代理机构的第三方可读出所有用户的公用分组的内容和在那些分组内组合私人密钥片以便重新组装整个私人密钥这是可能的。然后,使用该私人密钥,第三方可以以用户的名义解密和加密通信。避免这个情况的最好方式是在从用户向第三方保存代理机构发送公用分组使用时使用加密的通信系统。该用户可得到为由第三方保存该用户私人密钥选择的每个第三方保存代理机构的公用密码密钥证明,每个证明是由主第三方保存中心签名,证明该特定的第三方保存代理机构是由主第三方保存中心委托接收和存储密钥片分组,然后可证明主第三方保存中心的签名或者使用来自该设备的制造商(或者来自系统范围的管理机构)的证明或者使用预置的指令密钥。然后该设备可根据代理的证明的公用密码密钥对每个第三方保存代理机构加密传输161,包括该用户的私人密钥公用分组。另一个方案,该制造商可在该芯片中装入与每个指令密钥相符的几个委托的由第三方保存代理机构的公用密码密钥,如上面所讨论的,以便该用户发送他的私人密钥片到由该指令密钥的保持者委托的由第三方保存代理机构,这是典型的主第三方保存中心。这样,在该主由第三方保存中心中的所有的由第三方保存代理机构或者该制造商的“家族”可解密第三方保存的用户请求,同时减轻该用户获得所有由第三方保存代理机构的公用密码密钥证明的负担。
一旦每个第三方保存代理机构或受委托者163从该用户或从该用户设备接收适当的公用分组161,该受委托者检查来自该用户设备、在受委托者公用分组中接收的私人密钥片,并且与主第三方保存中心165一起检验这是整个私人密钥的有效的及正确部分。对于该由第三方保存中心和主第三方保存中心需要具有证明或检验的一个可靠装置,该用户的私人密码密钥片实际上已被存储。希望该密钥片的检验是由该第三方保存代理机构或该主第三方保存中心完成的,无需通过检查或它自己具有这些段,或者在一个地点将它们组合在一起。Micali“公正”第三方保存系统为该第三方保存中心提供一个高的委托方式,检验密钥段的分开的节省。在Micali的方法中,示于图10和11,这个检验是通过一些值的集进行的,该集是在公用分组的准备期间通过使用特别的Micali算法由该用户计算的,而且包含在到第三方保存代理机构的每个公用分组中的密码片。Micali算法和密钥片检验是本领域公知的,并且无需在这里重复。然后每个受委托者94存储在稍后用于解密的设备制造商证明,稍后在解码中使用,并且通过发送合适的签名的消息以及用户的名字和设备证明到该主第三方保存中心,和通过签名及存储该密钥片90,来证明该密钥片93。只在与(a)委托或法院程序或者(b)来自该设备的合法所有者一起提供时,该受委托者才揭示其具有的给定的私人解码密钥片(多个片)。
如图16中所示的,使用优选的第三方保存和检验方法只依赖于该委托的设备,每个受委托者163发送一个消息167到识别该用户名字、公用密码密钥、设备号和它接收的随机数的主第三方保存中心。另外,该用户设备发送一个分组到主第三方保存中心165,包含用于检验私人密钥片的随机数,而且该分组应该使用主第三方保存中心的公用密码密钥加密。主第三方保存中心165从该用户设备和从受委托者163接收消息164、167,并且证明从每个受委托者接收的各个随机数与所述用户设备给于那个受委托者的随机数相符。注意,根据这个方法,第三方保存代理机构163和主第三方保存中心仅仅根据在公用分组161的委托设备的签名保证该第三方保存是合适的。这个第三方保存和检验方法无需执行任何辅助算术操作以便证明该第三方保存是合适的或者证明用于检验的公用密钥与存储的密钥片相符。虽然从公用的、用户或系统范围委托的观点,可能仍然希望使用可检验的密钥第三方保存手法如Micali处理,在使用这种处理的附加费用不是合理时,很清楚这是不需要的和可省去。另外,利用只依赖委托的设备的这个方法,对于可设计的密钥分离方案的复杂性没有限制,因为无需设计复杂的辅助算法来检验任何给定方案的正确性能。只需要委托装入该固件码的设备制造商的完整性和委托该设备防篡改。
在检验所有用户的虽然密钥片之后,主第三方保存中心自己进一步证明相应于该私人密码密钥的公用密码密钥由所有用户的受委托者批准了;主第三方保存中心165通过签发签名的证明(称为主第三方保存中心证明,公用密码密钥证明或简称第三方保存证明)证明相应于被证明的公用密钥该私人密钥已经以合适的方式由第三方保存来批准该公用密钥。从该设备制造商证明得到的用户设备的公用签名密钥也可以以主第三方保存中心证明代替,因此不需要在该过程的稍后时间发送或检验设备制造商证明。主第三方保存中心证明可以为如下格式版本号第三方保存证明顺序号主第三方保存中心国家码主第三方保存中心名字主第三方保存中心公用密码密钥(用于产生LEAF)用户区别名称用户公用密码密钥(不证明的)用户设计的公用签名检验密钥(用于检验设备的签名)有效日期(开始/结束)主第三方保存中心签名[主第三方保存中心系统范围证明]由主第三方保存中心已签发的公用密码密钥被分配并且可由该设备所有者使用以便启动他是的设备始发加密的消息,或者由其它的设备加密给予该设备所有者的、包含用户的公用/私人密码密钥对的消息。
应该指出,本发明不要求一个以上的第三方保存代理机构为个用户的私人密码密钥片的接收方;在一些情况下,仅仅存储具有单个第三方保存代理机构(第三方保存中心)的用户私人密码密钥可能是足够的。但是,为了增强在该系统中的用户和公用信赖,希望在几个第三方保存代理机构之间分开该用户的私人密码密钥,以致需要所有的密码片或规定数量的密码片,以便重新组装该用户密钥并且加密他的通信。还希望每个第三方保存代理机构是一个独立的、委托商务操作,因此执行“片知识”(片knowledge),使得在试图恶化、贿赂、敲诈或滥用的情况下,它要比如果私人密钥以单个实体存储的情况更难于非法地得到该用户的私人密码密钥。还希望这些实体在地理上分开,以便进一步抑制试图破坏或恶化。
通信的加密希望发送加密的通信到另一个用户的用户必须持有他自己设备的第三方保存证明和预定的接收方的公用密码密钥的第三方保存证明,因为如果丢失了本发明的设备将既不能加密也不能解密。首先,该发送方必须将他自己的有效证明装入该设备,通常是在他第一次从该主第三方保存中心收到它时。然后,预定的接收方的公用密码证明可直接地从预定的接收方、从列出公用密钥证明的目录业务或从该发送方的本地文件得到,该发送方本地文件例如为具有该发送方先前与其已交换加密通信的用户的文件。在本发明的一个实施例中,因为发送方的设备不加密和接收方的设备不解密,除非该接收方的公用密码密钥证明是“有效的”,以便该接收方的设备解密该加密的消息,则接收方的公用密码密钥证明必须由以下之一签名(a)接收方设备的制造商(这不像是因为设备制造商最可能不是保持用户私人密钥的情况);(b)主第三方保存中心,和附上证明该主第三方保存中心为有效的受委托者的制造商证明;或者(c)在制造期间其指令密钥被装入该设备的一个受委托者或主第三方保存中心。使用在该接收方的公用密码密钥证明中给出的预定的接收方的证明的公用密码密钥,则发送用户产生一个会话密钥供该发送方和接收方用于加密和解密该通信。这个会话密钥最好使用检验的狄菲-荷尔曼方法或者可替代的任何其它等效系统产生。在检验的狄菲-荷尔曼方法中,该用户首先随机地为那个消息产生他的短暂私人密钥,然后根据他自己的私人密钥和该接收方的公用密钥(即,该接收方的中间号和两个公用号,它们都包含在接收方的公用密码密钥证明中)计算该会话密钥。然后,使用该会话密钥,该发送方加密被发送到该接收方用户的消息。
但是,在决定是否发送加密的消息到预定的接收方时,如果该发送方的设备是由与制造该接收方设备不同的制造商制造的,该发送方不能检验该接收方的公用密码密钥证明的特性或在其上数字签名的特性,接收方的设备由不同的制造商制造的情况会阻止发送方的设备轻易地检验出该制造商的签名或该制造商的证明(它证明签名该接收方密钥第三方保存证明的主第三方保存中心),声明该接收方的主第三方保存中心是有效的并且由那个制造商批准的。否则,接收方的芯片在解密之前将不能对该发送方的证明检验这些条件。需要对双方的第三方保存的实施进行限制,以便使法律实施机构能够合法地拦截和解密由给定的嫌疑用户正在发送和接收的消息,而不必得到另一方的、非监视方的私人密码密钥,以及因此存取非监视方的无关消息。
虽然仍然允许一个以上的制造商制造密码设备,提出这个问题的一种方式是在设备中或在由该用户的主第三方保存中心或该芯片制造商签发的证明中装入来自委托的国家实体如Federal Reserve Bank(“FRB”)的公用密钥,它可用于检验由该FRB签发给每个其它的各个主第三方保存中心或制造商的另外的证明。这种证明可检验特定的主第三方保存中心或制造商的可信度并且可由该FRB签名。然后发送用户可得到预定接收方的公用密码密钥证明并且可相信签发该证明的主第三方保存中心,因为该主第三方保存中心是由该FRB而不是由该芯片制造商认可的,因为是由该FRB公用密钥或证明证明的。而且,特点设备的签名是可信的,因为如由该FRB证明或公用密钥证明的,另一个制造商证明那个设备是由该FRB许可的。为了在较少parochial基于美国等级上处理这个问题和促进更加国际和世界范围的系统,委托的全球实体的公用密钥,如在瑞士的Bank for InternatioalSettlements(国际清算银行)可被装入委托的设备、FRB证明或者主第三方保存中心或制造商证明(取决于所采用的委托方式)并且可以对于FRB密钥所讨论的相同方式工作,以便在广泛的基础上认可主第三方保存中心和制造商。另一个方式,虽然不涉及美国或世界管理机构,对于委托由另一个制造商证明的第三方保存中心的一个设备是用于设备制造商或主第三方保存中心互相交叉检验。这将允许该发送方的设备帮助实施接收方的第三方保存限制设备,这是通过允许该发送方的设备检验接收方第三方保存证明的证明路径,通过接收方设备制造商或主第三方保存中心返回给它自己进行的。在该优选的实施例中,委托的系统范围实体的公用密钥可装入该委托的设备中和可以上面FRB关于或全球实体密钥所讨论的相同方式工作,以便在系统范围基础上许可所有的主第三方保存中心和制造商。
当任何用户、实体或设备“检验”数字地签名的“证明”,不论是由检验管理机构或制造商签发的制造商证明或由第三方保存证明,在大多数的或所有的及建议的公用密钥证明管理系统中的普通实际是(在整个说明书中都这样假定)用户、实体或设备还检查任何可应用的“证明撤销表”(“CRL”),以便确定该检验管理机构或其它的签发者是否已分配、传播或者使根据合适的安全政策进行更新的撤回证明表可用,以及根据签发者名称和证明号确定该证明是否已撤回。签发给用户的证明可由于死亡、名称或职业变化、或包含该私人密钥的设备(个人灵巧卡)丢失、被盗或毁坏。签发给一个实体的证明可由于商务的中止、名称变化或者变化该私人密钥的设备的丢失、被盗或毁坏而被撤销。签发给随便的证明可由于丢失、被盗、从设备取走或随便的毁坏而被撤销。在证明检验期间CRL的检查在该公开的文章(例如ANSIX9.30-Part3)中完全公开了并且不需要进一步讨论。所有的用户、实体和设备将正常地接入适当的通信设施并且可检索CRL或执行所希望的询问。否则,根据本发明,认为发出CRL的所有实体使它们对所有有兴趣的各方是可用的。
消息控制标题格式当发送加密的通信时,该发送用户必须形成包含以下信息的合适的消息控制标题(MCH)字段(1)由发送方使用该发送方随机地产生的短暂的私人密钥计算的加密消息的发送方中间号,该短暂的私人密钥还由该发送方用于计算对该消息加密的会话密钥。接收方用户必须具有这个中间号,以便计算解密该消息的会话密钥。
(2)该发送方的主第三方保存中心的名称和国家代码。
(3)从该接收方的公用密钥证明得到的该接收方的主第三方保存中心的名称和国家代码。
(4)使用该发送方的主第三方保存中心的公用密码密钥(从该发送方的第三方保存中心证明得到的)加密的发送方第三方保存证明号,使得只有该发送方的主第三方保存中心可对它解密。
(5)发送方中间号(不同于该发送方的前面的中间号),由该发送方用于给该发送方主第三方保存中心计算用于加密该发送方证明号的该短暂会话密钥。该发送方的主第三方保存中心必须具有这个号,以便计算用于加密该发送方的证明号的该短暂密钥。
(6)使用该发送方自己的公用密钥(来自该发送方自己的公用证明的中间号)加密的加密消息的会话密钥,因此实际上该发送方发送该消息会话密钥给它自己。一旦法律实施从该发送方的第三方保存代理机构得到该发送方的私人密钥分量,就可存取这个消息会话密钥。
(7)发送方的中间号(不同于该发送方的先前两个中间号),由该发送方用于给他自己计算用于加密该消息会话密钥的短暂密钥。法律实施必须具有这个号,以便也使用从发送方的主第三方保存中心得到的该发送方的私人密钥(他的秘密号)计算用于解密该消息会话密钥的短暂密钥。
(8)使用发送方的主第三方保存中心的公用密码密钥(从接收方的第三方保存证明得到的)加密的接收方证明号,使得只有该接收方的主第三方保存中心可解密它。
(9)发送方的中间号(不同于发送方的前面三个中间号),由发送方用于给接收方的主第三方保存中心计算用于加密接收方的第三方保存证明号的短暂密钥。接收方的主第三方保存中心必须具有这个号,以便计算用于加密接收方的证明号的短暂会话密钥。
(10)时间标记(任选),用于跟踪目的和可能帮助委托数据及时间限制的实施。
(11)发送方随便的签名。
(12)由发送方主第三方保存中心签发的发送方公用密钥第三方保存证明。发送方第三方保存证明包含发送方设各的公用签名密钥,它是主第三方保存中心已检验的、然后从发送方设备的制造商证明复制的。
(13)来自主第三方保存中心证明,如果接收方芯片是由不同的制造商制造的,则委托该制造商或任何系统范围的的管理机构,附在该发送方的第三方保存证明上。只在双方之间的第一次通信时需要制造商、FRB或系统范围管理机构的证明。该证明也可以是来自接收方的制造商或主第三方保存中心的交叉证明。
所述的MCH可以总结如下发送方中间号(允许接收方解密该消息)发送方主第三方保存中心国家码发送方主第三方保存中心名称接收方主第三方保存中心国家码接收方主第三方保存中心名称用于发送方主第三方保存中心加密的发送方第三方保存证明号发送方中间号(用于加密发送方证明号)用于发送方加密的消息会话密钥发送方中间号(用于加密到该发送方的消息会话密钥)用于接收方主第三方保存中心加密的接收方第三方保存证明号发送方中间号(用于加密接收方证明号)时间标记发送方设备MCH签名[发送方第三方保存证明][第三方保存中心证明]图17表示发送具有MCH的加密消息的过程。整个MCH172(所附的证明173、174、175不是该MCH的技术部分)使用该设备私人DSA签名密钥签发,附上制造商的装入的证明(在发送方的第三方保存证明内),以便证明该设备的公用签名密钥。这保证了整个MCH完整地传递给接收方和接收方芯片可以容易地检验MCH没有被改变。制造商的证明可能附上国家的(FRB)或世界管理机构证明,在接收方的设备是由不同的制造商制造的情况下证明发送方芯片的制造商的可信赖。
在本发明的另一个实施例中,在整个秘密不是关键的情况下可使用第二个较短的MCH格式。在这个MCH中,对于相应的主第三方保存中心不加密发送方证明号也不加密接收方证明号。不加密证明号节省了产生MCH的许多时间和空间。在本发明的又一个实施例中,对于一般情况可使用第三个更短的MCH格式,在该情况下,为了密钥第三方保存的目的,通过使EC1与EC2相同,发送方和接收方使用相同的主第三方保存中心。通过取消用于识别第二主第三方保存中心的信息和用于特别中间号的MCH需要,可使该MCH显著地缩短,该特别中间号用于加密到第二主第三方保存中心的接收方证明号。此外,通过使用RSA密钥传送加密用于该消息和用于三个加密的内LEAF分量的每个分量DSE的密钥,MCH的长度可进一步地减少。按照这个方法,每个发送方中间号可以以较小的RSA包装的DES密钥代替。因此,发送方可以RSA加密用于接收方的消息会话密钥并且不需要MCH中的第一中间号。发送方也可以RSA加密他自己的消息会话密钥(实际上,用于法律实施解密后者),因此不需要MCH中的第三中间号。发送方可进一步RSA加密他自己的和接收方的证明号,因此不需要MCH中的第二和第四中间号。如图18所示的,消除了第四中间号及其相关的密码并且以较小的RSA传送密码181代替每个中间中间号节省了MCH长度的大量空间。
随机材料的分配一些人可能认为只使用RSA密钥方法或检验的狄菲-荷尔曼方案交换的消息会话密钥不是足够地安全,因为,使用这两个方法的任一个方法,虽然发送方和接收方都提供信息,但是只有发送方产生该消息会话密钥。然而,根据安全通信的军事标准,在每个通信会话之前产生会话密钥中,发送方和接收方都必须分配随机材料,很明显以便减少发送方可能使用一个弱的密钥或重复地使用相同的密钥因此使该接收方经受违背他的意愿的不希望的安全危险的机会。按照这个发明设想的委托设备的系统可以以两种方式减轻这种担心。首先,它可保证发送设备使用从内置硬件噪声源导出的随机数分开地产生每个密钥,如前所述的,该噪声源如反向偏置二极管。然后,只要该设备签发该MCH或消息控制标题,则接收方可保证每个消息会话密钥和用于产生它的随机数是强的和唯一的。还有,在更大的安全时的那些情况可能要求由通信的两侧分配随机材料,如用于分类信息的类别1军事系统所规定的。
在目前为止的说明中,已将发送方描述为根据包含在接收方的第三方保存证明中的公用密码密钥而不是根据在该通信的建立阶段从接收方接收的随机材料产生消息会话密钥。但是,安排该发送方接收从接收方来的分配产生一个新问题。不能简单地允许接收方在他自己上产生一个狄菲-荷尔曼中间号并发送它给发送方用于产生消息会话密钥,因为接收方不再使用在其委托设备内的第三方保存虽然密钥解密消息和因为它们的通信从来不由法律实施监视。继续成功的实施第三方保存方案要求不使用登记的委托设备发送方或者接收方都不能读出消息。
为了允许在通信之前发送方和接收方分配随机材料给消息会话密钥的情况,初始的密钥交换协议可被修改,允许一个可能是接收方的设备产生一个新的短暂的狄菲-荷尔曼秘密号,与接收方的第三方保存私人密钥分开,用于计算新的中间号,它又被发送到发送方用于计算加密消息的消息会话密钥。接收方的第三方保存私人密钥仍然被用于产生该中间号(包括在MCH内)和用于加密MCH的各个部分的短暂会话密钥。但是,这个修改要求新的秘密号的产生出现在该可能是接收方的设备内;这个新的秘密号仍在该委托设备内;和为了证明新的短暂秘密号确实安全地被限制的接收方的设备内,该新的中间号在被发送到该发送方设备之前由该可能是接收方的设备签发新的中间号。如前所述,发送方设备产生与发送方的第三方保存私人密钥分开的新的秘密号,并且使用新的秘密号和接收方的新的中间号产生用于解密该消息的消息会话密钥。发送方的设备还将使用发送方的新的秘密号产生发送方的新的中间号,它将被发送到接收方的设备作为用于监听目的的MCH一个单元。在这个方法中,因此,如果需要,消息会话密钥将包括由发送方和接收方二者分配的随机材料。
但是,按照这个修改的密钥交换协议,因为接收方和发送方实际上使用每个消息的新的狄菲-荷尔曼私人密钥,第三方保存特性仍然“消失”了,因为法律实施和公司管理决不能从第三方保存代理机构得到那些短暂的消息密码密钥。因此,第三方保存系统和有兴趣的团体的需要是如前述那样要求消息会话密钥在MCH中传送。实际上,为了保证监听的均匀性,在前面描述为MCH的一部分的所有字段保持不变。传送消息会话密钥到发送方的字段(对于监听发送方的法律实施机构这是读出该消息的唯一方式)必须仍然包括在MCH中,以便保持监听均匀性的原则。如前述那样,使用发送方的公用密码密钥将消息会话密钥加密为MCH,法律实施仍然可存取。如前所述的,发送方的新的中间号将被发送到接收方作为MCH的第一单元,以便允许法律实施监听接收方和计算消息会话密钥。因此,为了适应交互式狄菲-荷尔曼密钥交换技术,这个协议要求该可能是接收方的新的中间号在内部产生并且由这个设备签发,而且要求发送方的新的中间号加到MCH不用于代替前述的密钥传送方法中,因为这是有兴趣的团体(法律实施、雇主和其他人)可读出消息的唯一方法。但是,这个方法对于除了联机电话、网络或拨号事务处理之外的事务处理是不经济的,因为该设备必须记住太多,即每个对应方的特别中间号。这个方法最好用于蜂窝电话、网络登录等,通过它纯实时交互式会话。
有兴趣标题的团体MCH一般地放在加密的消息之前作为消息标题。在许多目前的电子信函与文件系统中,使用如上讨论的MCH设计的RSA传送实施例,通过使用每个接收方的公用密码密钥RSA加密消息会话密钥,几个接收方可读出一个编码的消息。即,在几个接收方预定要接收相同的加密的消息时,对每个预定接收方该MCH标题可包括该预定的接收方名称,后接消息会话密钥,使用那个接收方的公用密码密钥RSA加密每个预定接收方。因此,每个预定的接收方可在MCH标题中定位他的实体、解密他的消息会话密钥的备份和读出该消息。即使有几个预定的接收方,在通信的两端实行MCH的校正在发送端,由发送方的设备的内部逻辑实行MCH的输出,即在加密消息之前它产生一个有效的MCH的要求;在接收端,利用发送方设备的数字地签名的接收方设备通过检验实行MCH校正。如前所指出的,因为消息密钥的接收方的备份被综合到MCH,除非MCH原封不动的发送和接收,没有接收方可解密该消息,不像Clipper系统,在其中MCH本身不连接到密钥传送机制。
按照这个MCH格式概念,MCH可总结为图25所示的。如在前面的MCH格式中,由发送方的设备的数字签名258保证MCH的可靠性。此外。如前所述的,发送方和接收方的第三方保存证明号按照他们相应的主第三方保存中心251、252的公用密码密钥加密。但是,在这个格式中,由发送方设备签发的MCH变成一个修改的“接收方表”,相对于同时代的加密电子信函系统工作的方式是更灵活和更容易理解。例如,发送方和接收方的名称(或者系统ID或地址)这时在MCH253、254中表示未加密。虽然这冲击发送方和接收方的无名者,因为在电子信函系统中不以发送方和接收方的名称和地址标记要发送消息是困难的实际情况。因为秘密的丢失是不严重的。另外,发送方和接收方的雇主255、256的名称(或他们的唯一ID,如纳税号或DUNS号)也表示未加密,因此大大地减少了雇主的安全人员查找由他们的各个雇员发送和接收的消息的负担。另一个方案,不是留下未加密的发送方、接收方和雇主的名称块,这些实体可完全一样地读出未加密的“发送方”、“地址”、“发送方的雇主”和“接收方的雇主”(和他们的等效内容)如前所述,实际的识别符在加密区内。因此,该通信的一个预定的接收方可在MCH中查找他的未加密的识别缩写,并且以这种方式尝试解密和只读出传送给他并为他加密的MCH部分。另外,如图25所示的这个MCH格式通过规定辅助雇主线(a,b等)允许由该雇主的机构内的可能的子单元存取。对于有秘密意识的雇主,如前所述的,MCH可读出未加密的“senderemplsub-unitb”(“发送方雇主1子单元b”),并且在加密区中包含实际的公司单元识别符。因为每个MCH实体都被标记,对于可有多少个雇主存取层没有限制;在某种意义上他们都变成该消息的许可的“接收方”。此外,与前面的MCH格式相反,这个MCH格式可包括直接地对雇主257加密的消息会话密钥,使得该雇主不需要到主第三方保存中心和代理去以便获得解密该消息的消息会话密钥。虽然可能与在工作场所雇员秘密的期望相冲突,这个格式允许雇主以最少的努力检查或恢复他们雇员的文件。
为了在发送通信之前以这个格式产生MCH,发送方首先必须获得所有预定的接收方和他们的雇主的必须的名称/代码和公用密钥。这个信息可从接收方的第三方保存证明和从他自己的第三方保存证明积累。但是,为了普遍化这个方法和使这个信息对希望发送通信的用户是可用的,该主第三方保存中心必须包括入每个用户的标准形式第三方保存证明,如前面所讨论的,他的雇主和任何雇主子单元二者的唯一识别或代码号和公用密码密钥。第三方保存证明布局可以使用重复的子组设计,用于有效地处理“有兴趣的团体”方的可变号。每个有兴趣的团体方条目有一个唯一的识别号,一个公用密码密钥和可能地有一个指令码(或政策码,如下面所讨论的),命令发送方的设备如何编码那方的MCH条目。该指令码可包括给于发送设备以下任选的选择单元(1)该方的唯一识别号或者是未加密的或者是使用一个别名,例如“empl-a”;(2)消息会话密钥在或不在编码区;(3)该方的唯一识别号在或不在编码区;和(4)时间标记或随机号在或不在编码区的开始。这些(和可能其它的)指令码可定义为比特掩蔽标识。各方的表(和/或他们的代码),他们的公用密码密钥和指令标识将告诉发送方的设备如何根据部分或全部无名者每方的希望格式MCH的有兴趣的团体部分。实际上预先考虑了许多有兴趣的团体方不是受无名者的打搅,因为如果他们清楚地保持他们自己的名字和识别号,他们搜索和识别他们的雇员的消息将容易的多。
由接收方解密当预定的接收方接收加密的消息191和MCH字段192时,必须进行几个事情以便接收方读出该消息,如图19中所示的。首先,该接收方必须在他的芯片190中装入他自己的有效的第三方保存证明193,因为按照本发明的优选实施例,没有它芯片不解密。典型地,接收方第三方保存证明已经存储在预检验状态的设备存储器中。接着接收方将MCH192和发送方的第三方保存证明194装入他的芯片190,发送方的第三方保存证明还包含发送方设备的各个签名检验密钥(如果需要的话,具有合适的系统范围、国家或世界管理机构证明195)。接收方芯片190检查发送方第三方保存证明194,以便证明发送方的私人密码密钥已由第三方保存。这是使用制造商的各个密钥检验该设备证明的制造商签名,或者如果需要的话,在第三方保存中心证明上的系统范围管理机构的签名和检查在发送方的第三方保存证明上的第三方保存中心的签名是否有效进行的。在优选的实施例中,系统范围管理机构的公用签名密钥用于直接地检验第三方保存证明195。然后接收方芯片在处理前检查MCH签名,以便证明(1)发送设备是委托的,(2)发送方的密钥是由第三方保存的,以及由该发送方检验,和(3)MCH192是有效的,即MCH为合适的格式并包含所有必须的信息。这是通过检验发送方的设备签名、发送方的设备制造商的证明的签名和如果需要的话检验制造商的系统范围管理机构的证明。该制造商的和系统范围管理机构的公用密钥可装入接收方的芯片190以便利这个过程。在最简单的情况下,接收方只需要按照他自己装入的制造商公用密钥或系统范围委托实体指令密钥确认发送方第三方保存证明194一次。一旦表示对于特定的发送方那些是有效的,接收方只需要使用发送方的预确认的设备公用密钥确认MCH签名结果每个消息只一个签名确认。如果发送方的证明194或MCH192是无效的,接收方芯片将不解密该消息。最后,在检验这些证明和签名之后,接收方根据发送方的中间号计算包括在MCH内的消息会话密钥和接收方自己的私人密钥(他的秘密号),该私人密钥相应于在他的公用密码密钥证明193中公开的他的公用密钥。使用该会话密钥,接收方解密由该发送用户发送的消息。
由法律实施解密为了拦截和解密到达和来自特定用户的通信,法律实施必须具有法院批准书或许可证监视特定用户的通信。法院批准书最可能包括(1)法律实施可开始监视该用户通信的“开始监视”日期和时间,(2)“结束监视”日期和时间,在此后法律实施不能监视用户的通信,和可能地(3)在“结束监视”日期后的宽限期,在该宽限期期间,法律实施可保持用户的私人密钥,以便只解密前面拦截的通信但不拦截或监视那个用户的任何附加通信。在监视发送用户的通信中,法律实施拦截该通信和从MCH识别发送方的主第三方保存中心的名称和国家,以便确定从谁请求发送方的私人密码密钥。然后法律实施提供法院批准书和从拦截的通信来的MCH给发送方的主第三方保存中心,使用其私人密钥解密被加密为MCH的发送方的证明号。使用发送方的证明号,发送方的主第三方保存中心查找发送用户的名称和发送方的第三方保存代理机构的名称,并将它们与发送方的设备制造商证明一起全都提供给法律实施机构,法律实施机构在随后解码期间需要它们。然后法律实施机构与每个发送方的第三方保存机构接触并提供发送方的名称和担保给它,而且从每个第三方保存代理机构得到由发送方委托给它的密钥片。因为在本发明中法律实施拦截和解密加密通信的优选方法是使用下面说明的解码器组件,法律实施对第三方保存代理机构的要求也将包括法律实施解码器组件的公用密码密钥,使得该密码片可直接地发送到法律实施解码器组件而不是到法律实施代理本身。每个第三方保存代理机构发送它具有的发送方的密钥片到法律实施解码器组件作为具有一个“开始监视”日期、一个“停止监视”日期和一个任选的宽限期的一个加密消息,使得解码器组件能够实施许可证条款。然后解码器组件解密该加密的密钥片消息,组合密钥片并使用发送方的重新装配的私人密钥,从该通信获得会话密钥,该会话密钥由发送方加密为MCH,作为消息发送给他自己。然后解码器组件可只在许可证规定的监视期间监视和拦截到达和来自该发送方的通信,并只可在许可证规定的宽限期结束之前继续解密那些拦截的通信。
使用类似的过程监视到达和来自接收方的通信。法律实施从拦截通信的MCH识别接收方的主第三方保存中心的名称和国家,然后提供许可证和来自拦截通信的MCH给接收方的主第三方保存中心,它使用其私人密钥解密被加密为MCH的接收方的证明号。使用接收方的证明号,接收方的主第三方保存中心查找接收方的名称和他的第三方保存代理机构的名称并将它们全都提供给法律实施机构。然后法律实施机构与每个接收方的第三方保存代理机构接触并给它提供接收方的名称和许可证。每个第三方保存代理机构发送由接收方用户委托给它的密钥片到法律实施解码器组件作为到解码器组件的加密的消息,具有由该解码器组件实施许可证条款的一个“开始监视”日期、一个“停止监视”日期和一个宽限期。然后解码器组件解密已加密的密钥片,组合它们并使用接收方得到的重新装配的私人密钥以及在每个MCH首部的发送方的中间号计算通信的会话密钥。然后解码器组件可只在许可证规定的监视期期间监视和拦截到达和来自接收方的通信,并且只可在许可证规定的宽限期结束之前继续解密那些拦截的通信。
在本发明的另一个实施例中,到法律实施解码器组件的每个第三方保存代理机构的加密密钥片消息的格式可如下用户的证明号私人密钥片段X(i)开始监视日期和时间停止监视日期和时间法院允许的宽限期(天数/小时)(这个密钥片消息的)日期和时间第三方保存代理机构签名[第三方保存代理机构证明]在这个格式中,除了证明号之外的所有信息可根据解码器组件的密码密钥加密。因为来自第三方保存代理机构密钥片消息对那个特定的解码器组件加密,没有其他的用户或解码器组件可读出它们。此外,“开始监视”和“停止监视”日期和时间指示该解码器组件何时开始监视和解码通信以及何时停止监视;宽限期允许该解码器组件一个附加的规定的时间期间解码任何积压的前面拦截的通信,在此时间期间之后解码器组件必须停止解码和必须清除该对象的私人密钥。因此,在许可证规定的日期之前解码器组件可被用于解密所监视的用户的通信,在该时间解码器组件及其内置时钟防止任何进一步的解密。解码器组件也可拒绝处理消息日期和时间过时12小时(或其它的规定的时间期间)或者具有已经过去的过期的日期和时间的密钥片消息。
解码器组件的实施在本发明的优选的实施例中,法律实施采用专门的防篡改解码器组件,在一些规定的和控制的条件下拦截和解密所监视用户的通信。图20示出解码器组件及其处理流程的一个例子。解码器组件200被设计为本发明的委托设备系统内类似设计的委托设备,因此可实施各种条件,以便防止法律实施机构的不适当的动作。解码器组件200由制造商装入的私人设备签名密钥和该公用签名密钥的制造商的公用签名密钥证明202,它与该设备私人签名密钥相符。除了制造商的证明202外,解码器组件还可具有由(或代表)法律实施管理机构或者拥有该解码器组件的公司安全部门签发的证明203,确认或公证解码器组件和法律实施或安全管理机构之间的连接,并且确认解码器组件是在其单独控制下。解码器组件200还能够产生公用/私人密钥对,正像本发明的正规的用户芯片那样,用于加密和解密到解码器组件的管理和控制消息。解码器组件200还能够安全地存储其私人密钥并且在由其本身签名的证明201内签发相应的公用密码密钥,具有所附的由制造商签名的其设备证明202。能够产生(和使用)公用/私人密钥对使监听用户的第三方保存代理机构206在由法律实施机构提供给许可证的主第三方保存中心以监视用户的通信时能够发送那个监听用户的密钥片204给使用解码器组件的公用密码密钥加密的解码器组件,和使解码器组件那个使用其私人密码密钥解密那些密钥片。但是,不像本发明的正规的用户芯片那样,它解密消息和返回未加密的结果给该用户,解码器组件从不输出监听的用户的私人密钥给法律实施机构。而是,解码器组件安全地存储这些信息,直到许可证中和密钥片消息中规定的宽限期结束为止,在该时间解码器组件永久地消除该信息。
因此,为了执行其作为受委托设备的责任和实施由监听管理机构强加的日期和时间限制,解码器组件200还必须包含应该可信的、标定的和检验的数据/时间时钟205。解码器组件制造商当制造商签发具有其已知设备特性表的设备证明202时,解码器组件制造商证明和确认时钟205的有效性和标定。当解码器组件200从第三方保存代理机构207接收包含时间限制(根据该许可证)的密钥片204时,在此之前或之后许可证是元效的,解码器组件200使用其内部时钟205证明该法律实施许可证仍然是有效的。如果许可证还未生效,这解码器组件将不监视或解密被监听用户的通信。如果该许可证(和任何可应用的宽限期)已过期,则不监听用户的私人密钥被清除而且根据那个许可证不能再由该解码器组件再产生(除非签发具有新的时间期间的新的许可证)。应该指出,虽然对于本发明的正规用户芯片可信的时钟205是任选的,但是对于解码器组件200这是强制性的,以便使解码器组件实施监听许可证的日期和时间限制。但是,正规用户芯片通过保持他的芯片时钟的标定可协助时间限制的实施。如果用户的时钟不标定,在通信期间由用户设备产生的MCH在时间标记字段包含应该零值。在那种情况下,在许可证和宽限期过期之后,解码器组件不解密只能实施许可证的停止监视日期。因此,解码器组件不能实施开始监视日期,因为只要许可证仍然是有效的,该许可证允许解密以零时间标记值提交的所有MCH,即使在许可证期间开始监视日期和时间之前它们被拦截。但是,如果用户时钟被校正,法律实施解码器组件可能和将拒绝解密包含一个有效的和在许可证开始监视日期和时间之前的日期和时间委托的时间标记的所有MCH。最好地,本发明的解码器组件只解密在许可证电视机期间可靠地时间标记的通信。可以预料,这个附加的避免法律实施可能的许可证时间期间滥用可激励本发明的芯片用户保持他们的芯片为校正状态。但是,在该系统用于加密数据存储系统中的大量消息时,对于随后的许可证时间期间的实施或恢复规则可能是很希望的,因为该规则的合法范围之外的很多消息可能受检查。
法律实施检查特性利用第三方保存密码系统,关心的是法律实施机构可能容易地贿赂,以便得到保护高经济值的数据的密码密钥。例如,资金雄厚犯罪企业的成员能够从特定的公司偷盗一组有价值的工业计划,首先非法地监听公司的通信,以便得到一些消息标题和第三方保存代理机构名称,然后贿赂低工资的政治官员请求药品调查的许可证,以便从第三方保存得到代理该公司的私人密码密钥,最后使用该密码密钥盗窃该计划。因为这时密码用于许多计算机之间的秘密通信,法律实施监听具有最小保护的电信系统再也不能接受了。需要强得多的保护集,以便使政治过程和控制提高到现代公司计算机安全实践的水平并且防止这类情况出现。
委托设备的一种这样的保护是用于编号每个消息控制标题的内部计数器,在每个存取之后该计数器顺序地递增。消息的顺序号(MSN)可放置在每个加密的消息标题中,使得对于外部它是不可见的。这可在以下情况加密该号实现(1)按照发送方的公用密码密钥以及发送方的消息会话密钥的复份,(2)按照发送方或接收方的第三方保存代理机构的公用密码密钥,或者(3)最好按照最后的发送方、接收方和他们的第三方保存代理机构,以及可能的话按照有兴趣的团体中的所有各方。但是,根据政策,发送方的第三方保存代理机构也可选择允许在空间经济和暴露它危险低的基础上清楚地显示该顺序号。避免消息控制标题的复份号是关键,而且在可能的程度上还应避免编号中的间隔。
另一种保护特性可能是允许用户在消息控制标题中包含包括一个任选的秘密“题目行”。如果用户担心按照不适当的许可证的非法监听,该用户可编码一个短的题目,诸如“计划#123”,以便改变他自己的和其他的消息内容。另一个方案,用户可简单地保持有关设备指定的消息顺序号和用户指定的题目的他自己的记录(通过一个邮件软件系统)。为了节省空间,如果没有输入题目,这是经常的情况,则题目行将是长零的。
第三个保护是给消息控制标题的签名部分加上消息内容的摘要或杂乱信息,以便防止用户或法律实施随后声称解密消息的内容不是实际第发送的。即,用户随后不能以无害的消息代替前面已发送的药品处理消息,或者不能恶化法律实施官员随后以药品处理或元害消息代替官员盗窃的有价值的工业计划。
这些保护可用作附加安全措施。首先,发送方设备产生的消息顺序号可由发送方和接收方以及由法律实施和法院系统用于跟踪该消息。虽然法律实施存取可能很难有效地控制,特别在是在追踪罪犯热期间,和虽然法院系统不可能总是在发出监听许可之前仔细地分析法律实施请求,可执行该事实之后的努力,以便以看来不寻常的某个方式检查一个监听的、任一个监听的、监听的随机样值的、或监听的结果。因此法律实施机构的委托设备解码器组件的委托被修改为包括消息顺序号的安全内部登录和已被监视的以及允许由法律实施读出的消息的消息摘要(和题目行,如果有的话)。由具有该用户密钥片的监听用户的第三方保存代理机构发送到解码器组件的电子管理机构也可包括签发该许可证法院的各个密码和签名密钥。然后解码器组件能够响应一个请求打印出消息顺序号和题目行的记录,可能是根据合适地许可的接收方如签发该许可证的法院的密钥加密的。
在另一个实施例中,在解码器组件收到与从第三方保存代理机构接收的密钥片相符的特别的法院规则之前,它不开始解密所监视的通信。例如,从第三方保存代理机构接收的和使用解码器组件的公用密码密钥加密的密钥片消息可被增强以包括签发该许可证的法院的公用密码和签名密钥。或者,第三方保存代理机构可在他们的密钥片消息中查阅许可证的日期和号码(如果有的话),然后解码器组件可从该法院接收法院的公用密码和签名密钥,以及已经附在原始监听批准书的法院密钥批准书。例如,给予第三方保存代理机构的法院批准书可被增强包括以下数据,该数据是密钥片消息需要的主第三方保存中心名称或ID号被监视的用户的证明号法院名称或ID号许可证号(如果有的话)许可证的日期和时间开始监视的日期和时间停止监视的日期和时间消息的最大数量(任选)[法官签名]法官证明法官检验证明(例如法院等)然后第三方保存代理机构通过使从第三方保存代理机构到解码器组件的加密的密码片消息包括以下附加信息可“检验”到该解码器组件的法院的公用密码和签名密钥,附加的信息必须出现在从来自每个第三方保存代理机构的每个密码片中主第三方保存中心名称或ID号监视的用户证明号第三方保存代理机构名称或ID号(发送这个密钥片消息)法院名称或ID号法院的公用密码密钥法院的公用签名密钥许可证号(如果有的话)许可证的日期和时间消息的最大数量(任选)第三方保存代理机构签名[第三方保存代理机构证明]因此解码器组件接收该保证所有的密钥片消息来自相同的法官和相同的许可证。
解码器组件也具有该法官的公用密码和签名密钥的事实允许该法官请求和接收(保密地)在监听期间由解码器组件拦截和解密的所有消息顺序号和消息标题行的记录,作为监听后检查法律实施机构的不合法的、非法的或恶化进行的保护。此外,解码器组件不删除、擦除或重用分配给被监视的消息记录的任何存储器,直到解码器组件从法官或法院接收单独的规定,对前面接收的公用密码密钥进行检验,表面解码器组件可这样做。发出这样的规定不是因为法院已从该解码器组件收到他前面请求的监视的消息记录,就是因为已决定在这种情况下不需要检查。如果监视的消息记录存储器存储区满了,在该记录发送到法官或法院以及收到由法院签发的规定允许解码器组件擦除该监视的记录之前,解码器组件不再解密消息。在清除监视消息记录之前法律实施可继续拦截新消息,虽然为了检查在全部消息记录被清除之前不解密新的消息。解码器组件还具有提醒法律实施该监视的消息记录接近容量的特性,使得他们可请求上装消息检查记录以致解码器组件不停止解密。这些事务处理和通信可以是完全自动的和几乎是瞬时的。
检查记录中的每个条目除了消息摘要外,可包含第二摘要,它是(a)该消息摘要加上(b)衔接在一起的前面记录条目及重写摘要的的全文的乘积。这可防止任何不诚实的法院人员增加、删除或者重排顺序该记录中的条目。这个概念在美国专利5136646和5136647中讨论,这些专利引用在此供参考。
作为随后的动作,法院稍后请求法律实施提供消息标题和法院已接收到的检查记录中的消息摘要的全部内容。而且,在其监听管理机构中,在监视消息记录和消息标题必须检查之前,法院可人为地限制可由解码器组件解密的监视消息数小于整个消息记录容量。虽然这类限制对法律实施调查能力整个没有影响,因为该记录的下装到法院一般检查几乎是瞬时的,它可提醒法院不正常的环境。在要求比仅仅发送监视消息记录到法院更强的控制的特别的情况下,在法律实施必须寻找新的许可证监视附加通信之前,法院可限制法律实施小于整个消息记录容量。
因此,如果(1)发送方和接收方继续跟踪他们发送和接收消息的顺序号,和相关在消息控制标题中的标题行或记录在他们本地系统软件中的消息,(2)法律实施和法院二者包含由法律实施解密的每个消息的完整记录,和(3)每个消息记录包括该消息的摘要,以便防止任何方随后改变该消息以掩盖其动作,然后可信的监听后检查可确定是否有法律实施机构的任何贿赂或腐败行为。虽然这个系统仍不能防止上面提到的既定的盗窃计划现象,犯罪企业知道其行动可由法院完全检查出和讨论的用户可提供对不适当政策行动的有价值检查。它也可进行调节,根据许可证法律实施机构记录和提交所有拦截的消息给法院并且允许监听方请求监听检查,特别地使讨论的用户与商业企业相关和根据那个监听保存犯罪嫌疑。
面向数据流的数据在涉及面向数据流数据的通信中,如电话呼叫,其中每个通信包括来自两个或多个用户的几个消息分组数据流,发送方设备是不可能散列和签名整个消息作为MCH的一部分。虽然发送具有通信的每个分组的MCH是可能的,但是根据处理实际和网络带宽这样做费用很高。因此,在呼叫建立的时应当只这样发送MCH一次。处理加密数据的连续数据流的优选方式是指定主叫用户为“发送方”和在通信开始时与MCH协商,如前所述的,包括消息顺序号(MSN)和散列由该设备签名的第一分组。然后,发送方的设备可产生一系列唯一的分组顺序号(PSN),在每个通信开始时其顺序从零开始。对于所有的后续分组,该设备只需要散列和签名特定的分组,和包括(和签名)该分组的HASH,MSN(整个消息的名称)和PSN。被叫者通过参阅该通信的主叫方的MSN、随后记住从零开始的它自己的分组和使被叫方设备签名的一组对它发送的每个分组执行类似的动作,该组由分组HASH、主叫方的MSN和被叫方的PSN组成,因此形成一个“分组控制标题”(PCH)。这些设备可任选地包括偏移通信的开始时间的当前时间(以秒或毫秒为单位),在前面公开的MCH版本中已出现。这可使呼叫能够更真实地重放。
为了在通信之后进一步区分主叫方和被叫方的分组,还希望包括分配给通信的各方的号码、具有简单编码方案的呼叫方码(CPC),如主叫方=0,被叫方=1,和到相同加密会话的任何附加方接收更高的号码。或者,代替该CPC,可使用一个唯一的识别码,如设备顺序号,该设备顺序号加上设备制造商ID号,或者前述的散列。
这些方法也可一般化为多方会话密钥产生的方法。例如,主叫方可产生一个会话密钥和使用那个相同的密钥开始与同时使用RSA密钥传送的几个被叫的呼叫。因此对于在前双方(主叫和被叫)之后的每个附加方有一个单独的MCH。主叫方的设备可处理多方呼叫为单独的呼叫或具有相同会话密钥但是具有多个CPC的单个呼叫。因此每个被叫可负责使用该主叫的MSN和保持它自己的CPC和PSN。可替代地,假设使用常规的双方会话密钥产生方法(如狄菲-荷尔曼方法),可存在会议电话呼叫,其中中心方(例如,系统的操作者)发出所有的呼叫并且对所有的其他方的每方的分组执行实时解密和再加密。中心方也可以是在下一个被叫散列的个人,在这种情况下,被叫方的分组由那个个人的设备解密,然后使用被叫方用于与其他方(或各方)通信的会话密钥再编码。有关使用具有三方或更多方的狄菲-荷尔曼方法也请见B.Schnier,AppliedCryptography,J.Wiley1994,第276页。
分组控制标题(PCH)可由以下构成原始的主叫方的MSN用户呼叫方码(CPC)(主叫方=0,等等)用户分组顺序号(PSN)偏移呼叫建立的时间(ms)(这个分组的)散列[设备签名]可能最好不发送具有通信的每个分组的PCH,因为在使用短分组的一些系统中导致很重的开销,而只周期地发送PCH。这类似于在网络通信中称为“滑动窗口”的技术,其中不对每个分组而只对大量的分组执行分组编顺序和重试。通常这种系统基于线路噪声动态地调节该“窗口”,或者在差错检查之间发送的分组的数量,即对每条清静的线路使该窗口变大,但对导致许多差错重试的多噪声线路使该窗口变小。如果差错经常出现,小的窗口将要求用户只重发小量的数据;如果差错很少,可不经常地进行检查,虽然在差错情况下重发丢失数据很高。分组控制标题可直接地综合入通信系统的滑动窗口方案中,因此提供希望的能力检查法律实施动作,直到分组级,同时还允许现代通信网络的最大系统通过量。
为了进一步加强监听过程的可检查性,正向地标记具有一些特别分组的通信会话的末端是有利的。在拆线之前,这个分组可由每个设备自动地不为用户所知地发送到其他方,以便避免在实际上出现对方时用户或法律实施机构在稍后要求完成的或未结束的会话。这可通过在该设备要发出“准备拆线”分组时命令每个设备接受从其使用者输入的“现在要挂机”实现,然后控制其他设备也这样进行。设备将确定它们具有不包含附加数据但最好包括全部发送和接收的分组、呼叫持续时间等的“最后”分组的数据流。
时间标记设备正如上面关于解码器组件所讨论的,在其优选的实施例中本发明的另一个特性是一个自检验的委托的和防篡改时间标记设备,它可数字地签发(或签暑)签名的时间标记(或包含这种时间标记的数据结构),该时间标记可由第三方认为是可信的。这种时间标记设备在AddisioM.Fischer的美国专利5001752和5136643中描述。在图21所示的其优选实施例中,时间标记设备210(或子系统)只可由委托的管理机构如制造商或由制造商委托的机构校准并且设置在工作,其中邮资表只可由本地美国邮政业务支局设置,并且从这时由该公用和邮政系统委托只分配多达预付数量的邮资表邮票。一旦校准了,时间标记设备210(或子系统)只在那个命令是由制造商本身或已附制造商的证明212的实体、或由制造商委托的表明该实体被委托设置和校准主设备的时间标记设备(或子系统)的实体签名时才响应“时间-设置”命令211(或再校准)。时间设置命令的操作可能需要时间设置管理机构的人员执行,掌握该设备的临时实际的所有权并且立即擦除时间设置命令211,以便防止设备所有者捕获该命令并在稍后的时间代替它的可能性,以便“追溯”(back-date)设备的时钟。
一旦校准了和只要它是未动的,时间标记设备210将加上时间标记213或根据它的内部时钟机制完成结构的数据中的时间标记数据,以其私人设备密钥签名214得到的数据结构并提供其制造商的证明215。如果主设备掉电、被篡改或接收一个命令使它自身不工作,则时间标记设备将停止发出标记。在这种情况下,为了避免损害其它可能有用的功能,作为绝对情况这些功能不要求委托的时间标记,在构成的数据字段调用输入的时间标记时,则该时间标记设备将使用一个习惯,诸如以预先同意的“零”值如全二进制零或二进制一填充时间标记字段(或等效的习惯)。但是,在构成的数据字段或主设备要求发出一个实际的时间标记时,如在法律实施解码器组件的情况,如果时间标记设备已停止发出时间标记,则该主设备起着要求时间标记不工作的功能;在解码器组件的情况下,该组件将拒绝解密被拦截的通信。以便避免或使出现主设备掉电情况最小,每个委托的时间标记设备最好装备只用于时钟的它自己的单独的长寿命电池、在电池变化之前避免时间标记设备掉电的一些“低电池”告警指示器和在电池变化操作期间保持适当的电荷的一些装置(如存储电容器、第二电池舱或任选的外部电源)。
对于由时间标记设备发出的每个时间标记,可具有由制造商(或其它时间设置管理机构)发出的时间标记设备证明,表明该时间标记时钟的质量和可靠性,它最后设置的日期及其期望的时间偏移。在接收方用户接收由主设备已数字地签发的一个数据结构时,那个接收方知道,如果时间标记字段以有效值完成,则该设备的签名和证明证明在产生、签名和发出该数据结构时该时间是正确的。这个检验是根据(1)最近校准的时间标记时钟的管理机构的可信度,(2)如在设备证明中的制造商所表明的,时钟偏移的容限,和(3)在篡改或掉电时该时钟使它自己不工作的能力。接收方进一步知道,如果时间标记字段包含一个零值,则在该设备产生、签名和发出数据结构时时间标记时钟不是处在委托校准的状态。有关时间标记设备的委托特性及其内部时钟机制的这个信息最好可使用合适的属性值编码方案直接地编码为设备证明。但是,这个信息也可从制造商的名称和设备类型暗示,这可由制造商在说明书和在发出设备证明时作为公开地表明“政策声明”的一部分的性能证明中公布。
这种时间标记也可由该设备发出作为除了MCH产生和解码之外的其它消息处理操作的一部分。在用户签名另一个文件或使用他的个人签名密钥事务处理时,这些时间标记可附在设备用户的个人签名,他安全地被限定在该设备内。该设备签名和共同签名用户签名的时间标记单元,或可替代地在用户的整个签名块上签名(它包含也由该用户签名的时间标记以及文件的散列结果的消息摘要)。任何该设备提供它的证明,以便使该时间标记对于知道制造商的公用密钥的第三方可信和可委托。
委托的升级、代替和重编密钥这个发明的另一个特性是有关防篡改委托设备,它包含有关装入的制造商的公用密钥、一个保护的非易失存储区和一个安全中央处理单元(CPU)并且可以以委托方式升级或补充由制造商装入的任何固件程序。委托设备通过接受作为输入的一个数据主体进行升级和补充,该数据包含新的或附加的固件码,它适合于那类设备并且以制造商的签名数字地签名,该签名使该设备确信新的固件码已由制造商开发、测试和批准,和因此该设备应该(a)以新的固件码重叠的一个或几个当前装入的固件程序或者(b)加上新的固件码作为保护存储器的当前未使用区。在优选的实施例中,保护存储器应该是快速(FLASH)类型的,当断电但也可由个该设备擦去(虽然相对地慢)和需要时进行重用,可以无限地保持这个消息,保护存储器还可包括任何数据存储区(如软盘驱动),是否为防篡改,其中被升级或补充的码可以加密的形式存储,其解密密钥只由委托设备知道。通过以加密的形式存储该程序,该设备有效地防止它们被不知道解密密钥的任何人修改。在该设备接收新的固件(或软件)码的签名部分时,用户输入该码与制造商的签名并且发出“处理固件升级”命令到该设备。然后该设备使用制造商的公用签名密钥检验制造商的签名,该密钥是在制造期间装入设备中的。如果制造商的签名证实该码不接收并且该设备执行希望的升级。
如上所述的,委托升级委托设备的固件过程可进一步延伸以容纳希望升级固件程序的许可的第三方,所述程序与相对于那些第三方的设备功能有关,包括诸如本密钥第三方保存系统的功能,主要由与委托设备制造商无关的一组主第三方保存中心设计和管理。在第三方升级的例子中,制造商可签名包含第三方固件提供者的公用密钥的固件升级证明并且将它发送到那个第三方。然后第三方可开发、测试和批准代替或附加固件程序,以第三方的虽然签名密钥给它们签名,和附上来自制造商的其升级证明。当收到这种升级时,用户可将签名的码程序和制造商的升级证明装入该设备,然后发出“处理第三方固件升级”命令。如果该设备可检验在新的码程序的第三方签名与制造商的升级证明,然后检验升级证明与在制造期间装入该设备的制造商的公用签名密钥。如果两个签名证明升级被接收和设备执行希望的升级。
除了接收升级或补充设备固件程序的命令外,防篡改委托设备也可接收命令来代替或补充“命令”公用密钥,这是在制造期间装入的。如前所讨论的,委托设备除了在该设备制造期间装入的制造商的公用密钥外,可具有公用密钥。这种“命令”公用密钥可包括如在本发明中所述的一个或多个主第三方保存中心。这些装入的密钥包括制造商或其他委托第三方的密钥,可用于检验各种证明,如第三方保存证明、设备证明、升级证明、升级设置命令证明和可提供给该设备据此动作的其它证明。除了只中继在制造期间装入的公用密钥外,该设备还可接收外部的命令以便装入新的公用密钥或代替现有的密钥。为了设备接收和在非公用区存储委托的第三方的公用签名密钥,制造商将在由制造商签名的、命令该设备废弃所附的证明在签名的命令数据分组(或证明)中包含新的公用密钥并在其中存储签名的公用命令密钥。特别的分组也可命令该设备新的密钥被委托给那类事务处理(如与密钥第三方保存应用一起使用、租车应用、医疗数据应用或其它的应用)。当从制造商收到这种公用密钥数据分组时,该设备首先检验制造商的签名,然后接收和存储新的公用密钥和对该公用密钥的使用限制。
制造商在制作期间或是装入第三方公用指令密钥的时候还可以指定指令数据分组中的一部分,也就是一个事务处理,认可第三方密钥可以更换制造商自己的公用签名核对密钥。尽管对制造商自己的公用签名密钥的更换似乎根本不需要,但是也有这样的可能,即制造商的有关的私人签名密钥(用于向设备发出设备证明和其他指令)可能会因失窃而泄密。制造商的私人签名密钥被窃后,窃贼可以发出看上去有效的指令,认可新的(可靠性靠不住的)第三方保存中心,以及认可新的时间设定授权。更多的可能性是制造商的私人签名密钥仅是丢失或是被破坏了,这样就会阻止发出任何进一步的有效指令。这些事件在计算机系统的术语中被称为”事故”,并且会导致制造商的所有设备都要被取消。然而,通过本发明,允许委托的第三方更换制造商泄露的签名密钥,这样就可以防止或减少由这种取消所造成的损失。假如制造商已在制作期间或是此后利用指令数据分组在设备中埋设了一个或多个委托的第三方的指令密钥,并且在第三方的公用指令密钥可以认可的事务处理中包括对其自己的公用密钥的更换,制造商就可以去找委托的第三方,请求他向制造商的所有设备发出授权更换制造商的公用签名密钥的指令数据分组,从而为自己和其用户节省了实际更换所有实际设备时可能要耗费的巨额资金。由于制造商发出的所有设备证明也需要更换,可以通过让各个设备发出一个对设备自身的公用设备签名密钥的证明请求来实现这一目的。如果制造商的私人密钥已经丢失或者损坏但是并没有泄露则所有先前的签名就仍然有效,而用户仅需要出示其原有的设备证明来换取由制造商的新签名密钥为同一信息签发的新的设备证明。然后,制造商将归还新的设备证明(通常是通过联机或是电子邮件事务处理来完成)。尽管这样做也很费钱,但是要比在用户中成批地实际更换制造商委托的所有设备便宜得多,并且可以减少制造商的信誉损失。
本发明在委托的设备中加入了更换制造商公用密钥或任何其他委托的公用指令密钥的机制,从而可以减少因为使用整个系统的基础公用密钥所带来的系统保密性风险。这样可以通过真正的分级委托模式来提高可靠性,通常只需要较短和较简单的发证程序,需要较少的证明,较少的努力确定使用那些证明和较少的计算时间证明签名。
由物主控制的重建密钥(rekeying)如上所述,用户还可以在制作后的任何时间按照其用户加密密钥对来重建他的设备密钥。用户可以向委托的设备发出一个软件指令,执行密钥交第三方保存方法的特定步骤,即产生一个新的私人和公用加密密钥对,把密钥片发送给第三方保存代理人,并且最终从主第三方保存中心接收新的第三方保存证明。然而,有时还希望由用户的雇主或保证人(如果用户是另一个设备或程序,就是物主)来控制密钥和重建密钥的程序,以便于(a)确认用户选定的第三方保存代理人是雇主可以接受的,(b)保证作为设备的真正物主的雇主仍能知道选定的第三方保存代理人,因此才能从第三方保存代理人那里请求用户的密钥片,而不需要首先获得许可或是法院的指令。雇主可以出于任何理由要求存取特定的设备密钥,例如在相关的设备丢失,被盗或损坏之后执行内部的监督或是恢复加密的正确数据。雇主还可能因任何其他理由而对设备重建密钥,例如因为先前的设备密码或签名密钥已经泄露或是被消除,因为设备已发给了另一个雇员,或是因为设备物主的机构已经按照制度周期性地重建密钥所有加密的设备。
在优选实施例中,制造商已经预先设定了委托的设备,因此,除非设备首先接收到物主对设备220的证明,否则就不会产生密钥以及起动第三方保存的程序,如图22所示的,物主证明中包括特定的设备固定序号221和制造商的签名225。在购买时由制造商向设备的团体购买者发出的物主证明还包括团体的名称222,该团体唯一的识别号码223(例如InternalRevenueServiceEmployerIdentificationNumber(EIN)或是Dun&BradstreetNumber(DUNS)),以及团体的公用签名核对密钥224,它对应着由团体保存的私人签名密钥,并且被用来识别由团体向设备发出的重建密钥或是其他指令。设备按顺序接收这一信息,仅在用团体物主的私人签名密钥签发的重建密钥或其他指令与设备的物主证明中所含的公用密钥相符时才作出响应。
参见图23,当雇主(设备的物主)需要重建密钥设备230时,雇主向设备230发出一个签名的指令231,该指令包括(1)设备的序号232,唯一的物主识别号码233,(2)第三方保存代理人235和主第三方保存中心234的名称,(3)重建密钥指令的日期和时间,(4)重建密钥指令期满的日期和时间236,以及(5)重建密钥指令的唯一序号237,以及用雇主的私人签名密钥签名的指令238。在接收到有效的物主证明239和有效的重建密钥指令231时,在委托的设备230之内的芯片首先要识别物主证明239上的制造商的签名以及重建密钥指令231上的雇主的签名。然后,委托的设备象以前一样完成密钥产生和交第三方保存的程序,在每个交第三方保存的共享信息包中包括物主的唯一识别号码233,并且仅把共享信息包传送给雇主在重建密钥指令231中指定的第三方保存代理人235。可以通过对设备的规定来限制这些指令(指令可以由电子设备发出)的重播,使设备用非易失存储方式保存其接收到的最后几个重建密钥指令的序号,并且拒绝再次执行这些指令。假定设备的时钟保持在正常状态,也可以仅通过把设备的时钟调整到指令中的期满日期和时间来限制重建密钥指令的顺序重播。在一个最佳实施例中,如果一个指令具有非零的期满日期/时间,但是在期满日期/时间保持空白时将前进,一个时钟未经校准的设备就会拒绝处理重建密钥指令。
如果从用户设备接收到包含唯一的物主识别号码的一个密钥(或重建密钥)片共享信息包,第三方保存代理人和主第三方保存中心就会在各自的数据库中记录这个唯一的识别号码,并且会接着要求从物主那里得到私人加密密钥。在一个最佳实施例中,第三方保存代理人和第三方保存中心各自还会要求指定了唯一的物主识别号码的一个密钥片共享信息包必须伴随着由制造商签名的各自的设备物主证明。如果用物主的私人签名密钥签发的密钥请求信息与设备物主证明中的物主私人签名密钥相符,这一设备物主证明就会得到第三方保存代理人和主第三方保存中心的认可。
在另一个实施例中,得到委托的设备可以从物主那里接受重建密钥,重新委托第三方保存,所有权转移或是其他指令,而不需要使用单独的设备物主证明。要求对设备的指令必须使用单独的设备物主证明是管理工作中的一种负担,因为物主必须为其拥有的所有设备的证明保存一个数据库,并且每当其想要重建设备密钥或是向设备发送其他指令时都要找出合适的证明。如图26所示的,一种较好的方式是由制造商向物主发出一个证明,用做一个给定设备组的物主公用指令密钥,让卖方在卖出设备260时在设备260内部安装其公用指令识别密钥261,然后根据内部存储的这些密钥建立起一个系统。当设备的制造商最初将其卖给一个物主时,设备260会首先使用由制造商装入设备之内的制造商公用指令密钥263来识别物主的制造商证明的有效性。如果设备内部的物主公用指令密钥区264是空白的,设备就会把物主的制造商证明262中的物主公用指令密钥261复制到设备的物主公用指令密钥区264中。如果在设备中存有一个物主公用指令密钥,并且与物主试图起动设备时所用的密钥不同,该设备就会认为制造商已经把设备卖给了另外的团体。由于每台设备最多只能有一个真正的物主,设备的所有权取决于在设备260内部有没有物主公用指令密钥261,它被用来代替(或是补充)前述的物主证明。
如果没有安装物主公用指令密钥,就认为设备是单一使用者的消费设备,对设备的重建密钥和所有权转移没有限制;因此,设备会把没有安装物主密钥视为仅仅服从用户的指令,而不需要服从上述的重建密钥,重新委托第三方保存,以及所有权转移的规则。如图27中所示,如果在委托的设备270中已经安装了物主公用指令密钥271,就不会执行用户重建密钥,重新委托第三方保存,以及所有权转移的指令272,除非这些指令带有对应的物主私人签名密钥274的签字273。一旦识别出物主的签名273,委托的设备就执行上述的重新委托第三方保存的程序步骤。这样,物主在对设备发出指令时不需要出示物主证明来证明其对特定编号的设备的所有权。然而,由物主签名的指令必须被限制在编号的设备或是某些等级的设备,这些设备的号码应符合给定的规则或节制,以免指令被输入物主所有的每个设备。
另外,如图28所示,物主可以发出转移设备所有权的指令,即把最初安装的物主公用指令识别密钥更换成另外的密钥(来自购买者,即设备的新物主)。设备的物主向设备280发出所有权转移指令282,该指令包括用现有物主的私人指令签名密钥283签发的新物主的名称和公用指令识别密钥。设备用现有的物主公用指令密钥281来识别所有权转移指令282,用新的物主公用指令密钥284来更换该密钥,在此后仅响应新物主的指令。另外,物主还可以通过安装第二公用指令密钥来增加另一个“第二物主”。这第二公用指令识别密钥具有一定的“权利”范围,表示其操作已被授权可以接受指令。这些权利可以包括重建密钥,增加另外的物主,删除一个物主(和有条件出售时一样),删除所有物主,以及没收没有说明物主的消费设备。然而,这些有限的权利可以包括比原始或基本的指令识别密钥或多或少的权利,或是与其相等的权利,其中包括更换或清除基本物主指令密钥的权利。
广义的设备登记值得注意的是,把私人解密密钥交第三方保存以及接收第三方保存证明的上述通用方法还可以应用于更广泛的场合,由委托的第三方登记委托的设备,并且从第三方接收授权,允许该设备与其他委托的设备进行通信,不需要仅限于密钥交第三方保存的范围和用途。在图24所表示的通用方式中,与委托的第三方(TTP)241进行通信的可编程的委托设备240装备有私人签名密钥和制造商证明242,用于对应的公用签名密钥。它还包括制造商的以及全系统(或全球)管理机构的(SWA)公用密钥的可靠副本,它们可以是一样的,并且确保系统级的软件可以支持附加应用级软件以及有关的公用密钥的远程安装,参见本文中其他部分内容。设备240可以由任何一个TTP241来登记,TTP241的潜在数量是不受限制的,它们是通过由管理机构243发出的有SWA签名的证明被允许进入这一通用登记系统的(按照公用密钥证明等级的普遍原理,SWA还可以指定另外一级的证明人授权TTP进入系统)。如果用户已通过一个给定的TTP登记了他的设备,他就可以与其他商业伙伴进行专业的事务处理。
在这一过程的第一步中,用户发出一个请求244,由给定的证明的TTP241登记他的设备240。这一请求244包括一些由该设备签发的信息245,用于识别用户和登记请求的性质,并且附着制造商的设备证明242,以便证明上述的签名并且知道设备的种类。这个选定的TTP241还可能要求其他的信息以及来自用户或其他团体的保证,以便核实用户的身份、来源、可信程度等等,这些内容已经超出了这一协议的范围,但是可能影响TTP对是否同意授权所做出的决定。TTP241采用适当的公用密钥来识别制造商在设备证明242上的签名以及在用户的登记请求245中的信息245上的设备签名。
如果满足上述条件,用户就被允许进入所请求的事务处理等级,TTP241随后发出一个响应246,其中包含一个证明247,授权该设备以该用户的名义执行指定的事务处理。TTP的设备授权证明247通常包括以下的验证信息,即TTP,用户,用户的设备,同意执行的事务处理,以及按照惯例的用户设备公用签名密钥的重复证明副本(参见下文),因此,用户在以后的每次商业往来事务处理中就不必再出示他的设备证明了。TTP的响应246还可以包括可下装的软件和/或装入用户的委托设备中的公用密钥248,使其能执行授权的事务处理。如果TTP的响应246要求用户在其设备中安全地装入新的软件或是公用密钥,这一响应246还会包括由SWA发出的管理机构243的TTP证明,用于证明TTP的公用签名密钥以及把软件和公用密钥传输给上级管理机构。当用户的委托设备240接收到TTP的响应246时,就使用装入的SWA公用签名密钥来识别管理机构243的TTP证明,并且使用其内包含的TTP公用签名密钥来识别软件和公用密钥的升级248以及TTP的设备授权证明247。
再参见图24,如果用户希望与商业伙伴250执行一项事务处理,他的设备就会按照由设备中(在制作时或是此后下装时)安装的软件程序中装入的规律列出该项事务处理的数据249,就象本文中通篇讨论的那样,并且会签发该事务处理249以及附加上用于其对应的公用密钥的证明。这一证明可以是制造商的设备证明242,但是更多的可能是TTP的设备授权证明247,它包括了用于一般证明的设备公用密钥的副本。商业伙伴250通常会利用TTP的公用密钥来识别其设备授权证明247上的TTP的签名,然后使用其内包含的设备公用签名密钥在事务处理249上识别设备的签名,从而确定该设备是否符合由相关的软件所要求的事务处理协议。如果该商业伙伴还没有得到专用的TTP公用签名识别密钥,用户也可以在其事务处理249中加入管理机构243给TTP的SWA证明,商业伙伴可以使用SWA公用密钥来识别,为了进入这一系统,这是必须具有的。
以上所述的广义方式足以做到(a)用交第三方保存的私人加密密钥来替换第三方保存中心(TTP)签发的第三方保存证明,其中包含或隐含在用户设备证明中的信息传送给第三方保存中心,告诉它该设备已经装备有能够执行上述密钥交第三方保存的加密系统的特定功能的软件,或是(b)如果这一设备没有这样装备,但是可以这样来装备,在安装时通过软件升级的下装方式就可以使设备达到第三方保存系统的业务要求。发送给商业伙伴250的事务处理数据249可以是前面加有信息控制标题的加密信息,并且伴随有一个TTP241(主第三方保存中心)发出的授权247(用户的交第三方保存的证明)。
因此,图24的广义系统具有许多非常有用的特点,它可以使开放的通信网环境中复杂的商业和管理事务处理得到简化。特别是可以有许可不同的设备制造商,只要求参与的设备能够执行可靠的多级事务处理,能够下装软件,以便执行额外种类的可靠的多级事务处理并且能签发如此产生的事务处理。另外,委托的第三方的数量是任意的,它们各自发出不同的业务授权,并且各自产生并保证不同等级的软件应用,例如密钥交第三方保存,数字现金管理,汽车租赁或是用户的医疗记录管理。因此,即使商业伙伴需要(通过用户设备的软件和协议)使用同等装备的委托设备,也可以由原有用户之外的不同方制造,发放以及装备这种设备,同时,按照系统的规则,只要是参与者具有SWA公用签名识别密钥247的副本,原有用户的事务处理仍可以被接受和处理,这样就使所有版本的设备和它们的程序在得到SWA和它的TTP的证明时能彼此识别并协同工作。这种协议可以满足许多商业用途,在协议中包括执行业务需求的系统,用于(a)采用可查验的交第三方保存的密钥来加密,(b)管理数字形式的现金或其他贵重文件,以及(c)获取和使用用户的医疗或其他私人信息。
独特的物主识别号码根据需要平衡便于使用和秘密权,独特的物主识别号码还可以有选择地出现在(a)用户的交第三方保存的证明中,或是(b)在正常通信期间以及在密钥片信息交第三方代理机构保存期间发出的MCH中。试图对通信进行解密的调查员希望通过查看一个包含物主识别号码的MCH来确定利用该MCH进行通信的一方或双方的设备是否属于一个给定的物主。然而,包括某些物主的利益在内的其他保密利益可能会建议从MCH中删除物主识别号码,以便提高通信的保密性。如果物主识别号码仅包括在设备交第三方保存的证明中,而没有出现在通信的MCH中,由特定的雇主雇佣的调查员在试图确定一项特定的通信是否发自该雇主的雇员时,面对着大量的未列出设备物主的MCH,他需要向给定的MCH中列举的主第三方保存中心询问MCH是否发自属于其雇主的一个设备。主第三方保存中心对密钥已经交给这个主第三方保存中心保存的MCH通信一方的证明号码进行解密,并且检查该用户证明是不是发给该调查员的雇主的。如果是,并且如果调查员的请求是用雇主-物主的签名密钥签发的(即调查员是由该雇主-物主授权进行调查的),主第三方保存中心就会透露这一信息。如果调查员没有得到授权,就会要求调查员出示一种许可证或是法院的指令,才能对未知的设备物主在MCH中的可疑行动进行调查。可以预料大多数设备物主不会拒绝在其用户的交第三方保存的证明和MCH中公开其姓名,因为在大多数电子通信系统中不可能隐瞒物理和逻辑的网络地址信息,这种信息通常被用于确定给定信息的发送和接收单位。因此,公布唯一的物主识别号码所带来的损失很小,而提供发送方设备物主和接收方设备物主的姓名可以快速的挑选和分类信息好处却很多。
另外,独特的物主识别号码仍可被包括在雇员的交第三方保存的证明中或是通信的MCH中,并不需要公布。在雇员的交第三方保存的证明和MCH中,除了上述的其他密钥之外还应该包括一个雇主公用密码密钥。这些密钥通常出现在发送方和接收方双方的交第三方保存的证明中(假定发送方和接收方都有各自的雇主)。如果由发送方的设备构成MCH,它会在MCH中装入一方或双方雇主的唯一识别号码,这些号码分别用各自雇主的公用加密密钥来加密,因此,在实施时,发送方的设备使用MCH向每个雇主-物主发送一个信息,它由各个雇主-物主自己的独特ID构成,并且仅有它才能解密。这种方法类似于上文中所述的发送方使用MCH发送发送方和接收方双方的证明号码时的方法,这些证明号码是用各自的第三方保存中心的公用加密密钥来加密的,并且向接收方(MCH的正常功能)以及发送方发送信息会话密钥,以便能够窃听双方。这种技术使雇主便于确定哪个MCH属于他的雇员,同时防止出现这样的状态,也就是属于物主-雇主的雇员的所有信息都可以从信息业务流中被识别出来,并且其中的物主ID号码是没有加密并且容易获得的。
这种方案仍有一个缺点,那就是用雇主公用加密密钥加密的唯一的雇主识别号码总是产生相同的值,因此是可以辨认的值。这种方案的较好的实施方式是根据雇主的公用密钥和雇员的交第三方保存的证明号码(雇主当然有权知道这一号码)一起加密包含当前时标(或是另外的随机号码)的数据块,以致时标可使加密的数据块很容易改变。在加密的数据块内部还可以包括几个字节特殊的”引人注目的”电文,例如”EMPL”(或者可能是雇主的唯一ID,也可以是空白的),以便使正在对字段解密的实体能够成功地解密(如果其他数据项是二进制的,就可能无法确定)。在这种情况下,雇主的所有权证明使得仅有雇主才能读出这个字段。另外,如果时标还不足以反映每次的区别,并且不能使所有雇主的MCH数据块具有唯一性,为了增加可改变性,还可以在数据块中加入另外的随机码。
这种改进的方案是对发送的每个信息为发送和接收双方的雇主而编制的,它可以使雇主和其他保证人确定哪项通信是由他们的雇员发送或是接收的,而不需要为每次通信向适当的第三方保存中心提交加密的MCH,以便确定这些通信是不是发自该雇主所拥有的设备,这样做也许能节省大量的金钱。象以前一样,每个雇主仍然要与主第三方保存中心和第三方保存代理机构保持接触,以便获得其雇员的私人加密密钥,并且必须用私人签名密钥签发他的请求,这一私人签名密钥应与设备制造商签发给他的物主证明中的公用签名识别密钥相符,从而证明他是该雇员的设备的真正物主。雇主至少要花费时间,精力和金钱来要求那些涉及通信的MCH的发送方关闭那些并非他所有的设备。并且象以前一样,如果雇主怀疑在伴随着通信的MCH的信息中有来自非法设备的犯罪或是其他不正当行为,雇主就能与适当的执法机构联系,说明其怀疑有犯罪行为的原因,并且要求该机构到法院取得许可证,以便对这些通信进行监听和/或译码,这些非法通信可能是来自第三方的非雇员罪犯,更可能是来自个别的雇员,不管他是不是雇员,他正在使用的密码设备不是雇主所拥有并经过登记的设备。
这种把信息安排在加密的MCH中,从而仅允许有权读取这种信息的一方读取该信息的方法显然可以推广到发送方和接收方(他们都可以对信息预约密钥解密)之外的其他各方,即各方的主第三方保存中心(他们可以对各自的用户证明号码解密),以及各方的雇主-物主(他们可以对其雇员的证明号码或是其自己的唯一物主识别号码解码,从而确定是不是自己的通信设备,而不需要与其他人联系,同时避免在每个信息上被发现)。这一点也可以推广到其他方面,例如大公司中的一个部门,或是例如没有许可证要求的某外国的地方执法机构。当然,如上所述,如果各方面并不拒绝在每个信息上公开姓名并且按惯例供他人识别,用这些密钥加密的所有信息也可以采用不加密的方式。如果一方没有人管,例如一个没有雇主的用户,这一信息也可以省略。简化的方案是在所有情况下使用一种MCH格式,在不用时留下空白的字段。另外,最佳的实施例是在同一系统中使用各种不同的MCH格式,每种格式通过第一字段中的独特的版本号码来识别,从而使处理MCH的每个设备能确定需要哪个字段,并且以此为依据来分析MCH。这种方法可以无限地套用到MCH中的有关各方,它可能是一个最灵活的系统。总的计算量主要取决于实际中有多少这种字段需要用各个独立方的公用加密密钥来加密。
雇主可以令每个入口附有一个”保险字段”或是一种指令码,该指令码包含命令雇主的设备应在MCH中包括哪些信息的代码,雇主通过这种方式更容易控制MCH中所包括的信息。象以前一样,指令码可以包括为雇主提供以下选择的元素(1)雇主的姓名和唯一的识别号码,可以加密或是使用化名;(2)不加密的字”雇主”,配上在一个MCH字段内加密的雇主独特识别号码;(3)设在一个加密字段中的用户证明号码;(4)设在一个加密字段中的信息预约密钥;(5)设在一个加密字段中的时标;以及(6)设在任意的其他加密字段中的随机扰乱号码。许多这样选择可以同时采用。另外,这些保险选择对于所有有关团体的成员都是一样的,包括通信的各方,这样就允许用他们的邮政或系统ID来表示各方,或是在相对透明的MCH字段中仅使用字”发送方”或”接收方”。
多个同时交第三方保存的密钥
除了上述的用于设备软件程序升级的特征和用于更换制造商公用密钥的特征之外,本发明的委托的设备还应该具有同时维持和管理几组交第三方保存的加密密钥的能力。通常,当设备开始重建密钥的周期时,即产生一个新的私人加密密钥并且交第三方保存的时候,并且在接收到用于对应的新公用加密密钥的一个交第三方保存的证明时,设备就会清除原有的私人密钥,以便使设备依赖于新的交第三方保存的私人密钥。设备也可以根据需要在短时间内保存原有的私人密钥,这段时间被用于把加密的数据恢复成采用原有的私人加密密钥存储的数据。然而,在一个替代的实施例中,设备还可以接受和处理一个重新交第三方保存的指令,如上所述,该指令可以来自用户或是设备的物主,从而产生涉及到同一个私人/公用加密密钥对的第二个有效的交第三方保存证明。在本实施例中,设备很可能是使用不同的第三方保存代理机构的目录以及一个不同的主第三方保管中心来处理交第三方保存的程序,并且可以接收一个不同但是等效的第三方保存证明,用于由第二主第三方保存中心签发的同样的公用/私人加密密钥对,并且可以和第一个第三方保存证明交换地使用。如果设备的用户需要跨国旅行,或是对应的各方处于其他的国家,特别是在这些其他国家要求对始发或终止于该国的通信进行法定的监视时,就可以使用这个第二公用加密密钥证明。在这种情况下,通过在另一个国家把同样的设备密钥重新交第三方保存,用户(或用户的雇主)就可以满足其他国家的法规,同时仍允许用户或用户的雇主通过他本国的原有的第三方保存代理机构从事日常的商业活动(合法物主监视,恢复泄露的密钥等等)。然后,为了使物主能跟踪其雇员的MCH,只需要在每个MCH中找到发送方和接收方物主ID就足够了,这样就能使物主知道他的确有能力得到密钥。为了节省时间和工作量,物主随后可以把这一MCH发送给外国的主第三方保存中心,以便获得外国的第三方保存证明号码,其下面的设备号码,以及其下面的设备证明,但却将其交给其本国的第三方保存代理机构,后者可以识别自己已经拥有的物主证明,并且开放实际的私人加密密钥片。这一程序可以帮助设备的物主履行任何附加的法律手续,以便从外国的第三方保存代理机构获得实际的密钥片。
国家机密出口防护美国政府的现行政策是允许美国公民在美国国内不受限制地使用密码,但是对密码设备、软件或是技术秘密的出口却有严格的限制和惩罚。可以对本系统进行修改,以便允许在美国国内相对自由地使用密码设备,同时对它们的国际使用加以限制。这种系统可以采用内部操作的”政策范围”,它对所有软件和硬件销售商都是开放的,并且尽量不改变整个系统中使用的标准信息格式。人们进一步还希望在一个国家内的许多团体内部使用私人的第三方保存代理机构,在这种情况下,密钥交第三方保存系统的角色仅是用于使特定的团体能监测和控制自己的雇员使用的密码,没有任何明确或隐含的责任,这样就可以简化在接入这种团体已经用交第三方保存的密钥加密的通信时的法律程序。特别是这类公司有可能购买自己使用的软件和硬件,但是有可能拒绝承接任何公共义务,以便在很短的时帧中为私人密钥提供入口,例如执法机构用于对罪犯或恐怖分子进行热线追踪的通信系统就是这样的。
为此可以这样来做,即首先假定整个系统中的所有设备都被直接或间接地链接到了一个全系统的管理机构(SWA),它(如上所述)向第三方保存代理机构,主第三方保存中心以及设备制造商发出证明,以便使得到授权和委托的各方可以被系统内部的设备识别出来。一个国家或是全球的通信系统在实际应用中必须能支持存在多个和不相关的主第三方保存中心和代理机构,必须由权威性的SWA为各方担保。在发给主第三方保存中心或是第三方保存代理机构的每件证明中,SWA标明它是”公用”或是”私人”的。”公用”的主第三方保存中心或第三方保存代理机构具有这样的装备和责任,它应该迅速地响应国家安全或执法机构的许可证和传票。已经将密钥交给这种第三方保存代理机构保存的用户可以被允许从事国境外的通信。”私人”的主第三方保存中心或第三方保存代理机构包括那些单个公司或一个国家的密钥中心,它已经装备供其自己使用的密钥交第三方保存系统的技术,但是不接受任何公用层次的委托业务。SWA发给主第三方保存中心或第三方保存代理机构的证明还包括一个国家的代码。这样,由主第三方保存中心签发给每个用户的并且附带主第三方保存中心的SWA证明的第三方保存证明也会带有该用户的国家代码。应该注意的是,按照惯例,尽管SWA也许不可能干预信息传播的正确性,用户的第三方保存证明仍应该说明它是由一个公用或是非公用的第三方保存代理机构发出的。这样就可以使设备执行有关的规定,比起总是要求主第三方保存中心的SWA证明的方式要更加简便。
图29和30表示了在发送和接收国际密码通信时的交第三方保存问题的执行方式。如图29所示,发送方的委托设备290通过申请发送和接收双方的交第三方保存证明291,293来委托这种系统,如果发送方和接收方交给第三方保存的不是同一个主第三方保存中心,还需要在发送国际通信之前申请他们的主第三方保存中心SWA证明292,294。接收方用户及其主第三方保存中心的国家代码295,296必须相符,以便使发送设备290能与其进行通信。另外,如果发送方和接收方处于不同的国家295,297,并且其中某一用户使用的是非公用的主第三方保存中心298,299,发送设备就会拒绝向这种接收方始发通信。如图30所示,如果发送方和接收方处于不同的国家,并且其中某一用户使用非公用的主第三方保存中心,接收方委托设备300也可以执行这种系统拒绝解密通信。这些规则可以贯彻禁止未交第三方保存的国际密码通信的政策,因为主第三方保存中心不能篡改其公用的身分,这是由SWA来管理的,即使主第三方保存中心能够篡改用户的国家代码(使用户看起来象是处在外国),设备也不会允许在用户和主第三方保存中心的国家代码之间存在差别。尽管这些规则不能阻止用户非法地将其委托的密码设备带出国境,但是可以允许他在每个国家保存一个交第三方保存的密钥,并且在每个政策范围内仅使用正确的密钥进行通信,这样就可以满足各国的要求。
多用户设备版本
本发明的另一特征是能够使用同一设备同时始发和管理与不同地区或远程用户进行通信的几个不同的会话。许多大公司支持着众多的用户,他们经常通过终端对话同时进行注册,但是他可能希望与遍及全世界的其他团体进行加密的会话。然而,由于在一台共享的计算机上很难为每个用户会话提供一台独立的受托设备,受托的设备可以跟踪每次通信的信息会话密钥,其做法是将其与用于这一会话的唯一的信息序号(MSN)一起存储。然后,如果接收到承载该MSN的任何一个附加信息包,就可以对这种信息包解密,并且无延迟地为其加密。另外,设备可以将几个用户的私人解密密钥交第三方保存,同时把各个用户私人密钥与一个特定的用户唯一识别号码相链接,并且仅在提出某些适当的用户证明时才允许使用各个密钥,这种用户证明例如是一个口令、智能卡、PIN,生物统计(Biometric)、查询响应等等。在为交第三方保存而产生各个公用/私人密钥对时为其分配一个用户识别号码和通行字,或是一个等效的代码,就可以用设备来实现对口令的日常控制,例如控制其长度,期满,重试锁定以及轻易的推测,从而限制非法接入的可能性。
本发明提供了一种以密钥交第三方保存为特征的密码系统和方法。熟悉本领域的人员可以看出还能用所述实施例之外的其它方法实现本发明,实施例的作用仅是为了说明,本发明仅由随后的权利要求书所限定。
权利要求
1.在多个用户中间可检验地产生委托的私人密码数据通信同时允许一个外部机构监视上述通信的方法,包括以下步骤把多个用户用于密码通信的许多不对称的加密密钥至少交给一个受托的第三方保存中心保存;由上述至少一个第三方保存中心为上述多个密钥各自提供交第三方保存的证明;使用上述多个密钥中的第一密钥对上述多个用户中从第一用户到第二用户的通信加密;在上述加密的通信中加入一个信息控制标题,它包含足以识别上述至少一个受托的第三方保存中心的信息;以及由上述第二用户使用上述多个密钥中的第二密钥对上述加密的通信解密;其中由上述第二用户对上述加密的通信解密的步骤是随上述第一和第二用户的上述密钥的证明而确定的,并且要求该证明出现在上述通信的有效信息控制标题中。
2.按照权利要求1的方法,其中从上述第一用户为通信加密的上述步骤是随着上述第一和第二用户的上述密钥的证明而确定的,并且要求该证明出现在上述通信的有效信息控制标题中。
3.按照权利要求1的方法,其中上述第一用户和上述第二用户是相同的,上述通信是由上述第一用户为自己加密而用于存储的。
4.按照权利要求1的方法,其中每个用户具有多个随机产生的不对称的加密密钥,其中包括多个匹配的公用密钥和私人密钥对,上述密钥对可以用于对密码通信进行加密和解密,从而使每个用户具有至少一个匹配的公用和私人加密密钥对。
5.按照权利要求4的方法,其中,对于每个用户来说,上述交第三方保存的步骤进一步包括以下步骤把上述至少一个匹配的密钥对的私人密钥拆成等份;向至少一个上述受托方提供上述私人密钥中的至少一份;向至少一个上述受托方提供验证信息,使上述受托方能检验上述私人密钥的上述至少一份的正确接收;以及由上述至少一个受托的第三方保存中心检验上述至少一个受托方接收上述私人密钥的上述至少一份的正确。
6.按照权利要求5的方法,其中上述交第三方保存的步骤进一步包括对与包含上述用户私人密钥的上述至少一个第三方保存中心的通信进行加密的步骤,以便用上述第三方保存中心执行上述的拆开步骤。
7.按照权利要求6的方法,其中上述对与包含上述用户私人密钥的上述至少一个第三方保存中心的通信进行加密的步骤进一步包括由上述用户用数字地签名上述通信的步骤。
8.按照权利要求5的方法,其中上述拆开的步骤进一步包括把各个用户的私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份。
9.按照权利要求5的方法,其中上述拆开的步骤进一步包括把各个用户的私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中的M<N。
10.按照权利要求5的方法,其中向至少一个受托方各自提供上述私人密钥中的至少一份的上述步骤进一步包括对与包含上述用户私人密钥的上述至少一份的每个上述至少一个受托方的通信进行加密的步骤。
11.按照权利要求10的方法,其中向至少一个受托方各自提供验证信息的上述步骤进一步包括对与每个上述至少一个受托方的包含上述验证信息的通信进行加密的步骤。
12.按照权利要求11的方法,其中对每个包含上述用户私人密钥的上述至少一份的上述至少一个受托方的通信进行加密的步骤是由上述用户执行的,并且进一步包括由上述用户以数字方法签名上述通信的步骤。
13.按照权利要求12的方法,其中对每个包含上述验证信息的上述至少一个受托方的通信进行加密的步骤是由上述用户执行的,并且进一步包括由上述用户以数字方法签名上述通信的步骤。
14.按照权利要求13的方法,其中对每个包含上述用户私人密钥的上述至少一份的上述至少一个受托方的通信进行加密的步骤是由上述第三方保存中心执行的,并且进一步包括由上述第三方保存中心以数字方法签名上述通信的步骤。
15.按照权利要求14的方法,其中对每个包含上述验证信息的上述至少一个受托方的通信进行加密的步骤是由上述第三方保存中心执行的,并且进一步包括由上述第三方保存中心以数字方法签名上述通信的步骤。
16.按照权利要求5的方法,其中对于每个受托方来说,用上述至少一个第三方保存中心进行检验的步骤进一步包括以下步骤由上述受托方通知上述第三方保存中心已接收到上述用户的上述私人密钥的上述至少一份;由上述受托方向上述第三方保存中心发送上述验证信息;以及由上述第三方保存中心根据上述受托方正确发送的上述验证信息来确认上述受托方对上述用户的上述私人密钥的上述至少一份的正确接收。
17.按照权利要求16的方法,其中由上述受托方向上述第三方保存中心发送上述验证信息的上述步骤还包括对包含上述验证信息的上述第三方保存中心的通信加密的步骤。
18.按照权利要求17的方法,其中对包含上述验证信息的上述第三方保存中心的通信加密的上述步骤进一步包括由上述受托方以数字方法签名上述通信的步骤。
19.按照权利要求5的方法,其中上述多个用户各自具有一个唯一的数字识别代码,其中的上述方法进一步包括向每个上述至少一个受托方提供上述用户的唯一数字识别代码的步骤。
20.按照权利要求1的方法,其中为上述多个密钥各自的提供交第三方保存的证明的步骤进一步包括由上述至少一个第三方保存中心为上述的多个加密密钥各自发出一个交第三方保存的证明,对上述加密密钥与一个对应用户之间的连接进行公证,并且证明上述加密密钥已经交第三方保存。
21.按照权利要求20的方法,其中为上述多个密钥各自提供交第三方保存的证明的步骤进一步包括向上述对应的用户传送上述交第三方保存证明的一个副本。
22.按照权利要求21的方法,其中为上述多个密钥各自提供交第三方保存的证明的步骤进一步包括使上述交第三方保存证明对其他上述多个用户仍然有效的步骤。
23.按照权利要求22的方法,其中使上述交第三方保存证明有效的步骤还包括把上述交第三方保存证明放在这些用户可以接入的第三方保存证明目录中。
24.按照权利要求1的方法,其中进一步包括由一个上级管理机构来证明上述至少一个受托的第三方保存中心的可靠性。
25.按照权利要求24的方法,其中证明受托的第三方保存中心的步骤包括由上述上级管理机构为每个上述至少一个受托的第三方保存中心发出一份证明,为上述第三方保存中心的第三方保存业务的可靠性进行公证。
26.按照权利要求25的方法,其中证明受托的第三方保存中心的步骤还包括向上述有关的受托的第三方保存中心传送上述上级管理机构证明的副本的步骤。
27.按照权利要求25的方法,其中证明受托的第三方保存中心的步骤还包括使上述上级管理机构证明对其他上述多个用户仍然有效的步骤。
28.按照权利要求25的方法,其中上述上级管理机构是整个系统的管理机构。
29.按照权利要求25的方法,其中上述上级管理机构包括受托设备的至少一个制造商。
30.按照权利要求29的方法,其中证明受托的第三方保存中心的步骤还包括以下步骤,即由整个系统的管理机构为每个上述至少一个设备制造商发出制造商证明,为上述至少一个设备制造商的可靠性进行公证,并且证明由他制造的每台上述设备都能够随机地产生不对称的加密密钥,还能用不可读的防篡改方式存储上述密钥。
31.按照权利要求30的方法,其中证明受托的第三方保存中心的步骤还包括向上述有关的制造商传送上述制造商证明的副本的步骤。
32.按照权利要求30的方法,其中证明受托的第三方保存中心的步骤还包括向上述制造商制造的设备的用户传送上述制造商证明的副本的步骤。
33.按照权利要求4的方法,其中证明交第三方保存的每个上述多个密钥的步骤进一步包括由一个第三方保存中心为每个上述匹配的加密密钥对发出一个第三方保存证明,为上述匹配的加密密钥对和一个对应的用户之间的连接进行公证,并且证明上述匹配的加密密钥对的上述私人密钥已经交给第三方保存。
34.按照权利要求33的方法,其中证明交第三方保存的每个上述多个密钥的步骤进一步包括向上述对应的用户传送上述第三方保存证明的副本的步骤。
35.按照权利要求33的方法,其中证明交第三方保存的每个上述多个密钥的步骤进一步包括使上述第三方保存证明对其他上述多个用户仍然有效的步骤。
36.按照权利要求35的方法,其中使上述交第三方保存证明有效的步骤还包括把上述第三方保存证明放在上述用户可以接入的第三方保存证明目录中。
37.按照权利要求33的方法,其中为交第三方保存的每个上述多个密钥作证的步骤进一步包括,在发出上述第三方保存证明之前,由上述至少一个第三方保存中心检验每个上述匹配的加密密钥对的私人密钥是否已交第三方保存。
38.按照权利要求37的方法,其中用于上述匹配的加密密钥对的上述第三方保存证明包括上述证明发出第三方保存中心的识别,上述第三方保存证书的数字代码识别和上述匹配的加密密钥对的上述公用密钥。
39.按照权利要求38的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一用户的第三方保存中心的识别和上述第一用户的第三方保存证明的上述数字代码识别。
40.按照权利要求39的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户的第三方保存中心的识别和上述第二用户的第三方保存证明的上述数字代码识别。
41.按照权利要求40的方法,其中上述第一用户的第三方保存中心和上述第二用户的第三方保存中心是相同的;并且上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一和第二用户的第三方保存中心的识别和每份上述第三方保存证明的上述数字识别代码。
42.按照权利要求39的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一用户的雇主或是管理人的识别。
43.按照权利要求42的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户的雇主或是管理人的识别。
44.按照权利要求43的方法,其中上述第一用户的雇主或是管理人和上述第二用户的雇主或是管理人是相同的;上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一和第二用户的雇主或是管理人的识别和每份上述第三方保存证明的上述数字识别代码。
45.按照权利要求39的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括一个时标,表示上述第一用户形成上述信息控制标题的日期和时间。
46.按照权利要求45的方法,其中上述用户有一个受托的时钟,用于产生时标,用时标表示形成上述加密通信和上述信息控制标题的日期和时间;以及上述增加信息控制标题的步骤还包括证明上述时标的可靠性的步骤。
47.按照权利要求46的方法,其中证明上述时标的可靠性的上述步骤还包括由上级管理机构发出一个证明,为用于产生上述时标的上述时钟的可靠性进行公证。
48.按照权利要求47的方法,其中证明上述时标的上述步骤还包括给每个产生的上述时标附上上述的时钟证明。
49.按照权利要求47的方法,其中上述上级管理机构是整个系统的管理机构。
50.按照权利要求47的方法,其中上述上级管理机构包括上述时钟的制造商。
51.按照权利要求46的方法,其中上述上级管理机构包括一个第三方保存中心,上述时钟证明是在上述第三方保存证明中发出的,并且取决于该设备制造商的决定和上述交第三方保存过程中的设备信息。
52.按照权利要求39的方法,其中进一步包括由具有监听授权的上述外部团体监听上述加密通信的步骤。
53.按照权利要求51的方法,其中上述监听步骤进一步包括以下步骤由上述外部团体拦截上述加密通信;向上述第一用户的第三方保存中心出示上述监听授权和上述信息控制标题;从已经交上述第一用户的第三方保存中心保存的上述第一用户的匹配的加密密钥对获得私人密钥;以及使用上述第一用户的私人密钥对上述加密的通信解密。
54.按照权利要求53的方法,其中上述出示授权的步骤包括从上述信息控制标题中提取上述第一用户的第三方保存中心的上述识别,以及上述第一用户的第三方保存证明中的上述数字识别代码;并且向上述第一用户的第三方保存中心出示上述监听授权和上述第一用户的第三方保存证明的上述数字识别代码。
55.按照权利要求54的方法,其中上述第一用户具有用于产生时标的一个受托的时钟,用时标表示形成上述加密通信和上述信息控制标题的日期和时间;以及增加信息控制标题的上述步骤进一步包括形成一个加密信息控制标题分组,该分组包括一个时标,用于指示上述第一用户形成上述信息控制标题的日期和时间;以及证明产生时标的上述时钟的可靠性。
56.按照权利要求55的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
57.按照权利要求53的方法,其中上述监听授权受到至少一种预定的限制。
58.按照权利要求57的方法,其中上述至少一种预定的限制包括时间的限制,使上述监听授权包含起始日期和时间,在此之前不能执行获得上述第一用户的上述私人密钥的上述步骤。
59.按照权利要求58的方法,其中上述至少一种预定的限制包括另一个时间的限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第一用户的上述私人密钥的上述步骤。
60.按照权利要求53的方法,其中上述至少一种预定的限制包括时间的限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第一用户的上述私人密钥的上述步骤。
61.按照权利要求53的方法,其中获得上述第一用户的私人密钥的上述步骤进一步包括以下步骤从上述至少一个受托方取回上述第一用户的私人密钥的上述至少一份;并且用上述取回的各份上述私人密钥重新组装上述私人密钥。
62.按照权利要求61的方法,其中上述获得的步骤是由上述第三方保存中心执行的。
63.按照权利要求61的方法,其中上述获得的步骤是由上述外部机构执行的。
64.按照权利要求38的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户的第三方保存中心的识别和上述第二用户的第三方保存证明的上述数字代码识别。
65.按照权利要求64的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户的雇主或是管理人的识别。
66.按照权利要求64的方法,其中进一步包括由具有监听授权的上述外部机构监听上述加密通信。
67.按照权利要求66的方法,其中上述监听步骤进一步包括以下步骤由上述外部机构监听上述加密的通信;向上述第二用户的第三方保存中心出示上述监听授权和上述信息控制标题;从已经交上述第二用户的第三方保存中心保存的上述第二用户的匹配的加密密钥对获得私人密钥;以及使用上述第二用户的私人密钥对上述加密的通信解密。
68.按照权利要求67的方法,其中上述出示授权的步骤包括从上述信息控制标题中提取上述第二用户的第三方保存中心的上述识别,以及上述第二用户的第三方保存证明中的上述数字识别代码;并且向上述第二用户的第三方保存中心出示上述监听授权和上述第二用户的第三方保存证明的上述数字识别代码。
69.按照权利要求68的方法,其中上述第一用户具有用于产生时标的一个受托的时钟,用时标表示形成上述加密通信和上述信息控制标题的日期和时间;以及增加信息控制标题的上述步骤进一步包括形成一个加密信息控制标题分组,该分组包括一个时标,用于指示上述第一用户形成上述信息控制标题的日期和时间;以及证明用于产生时标的上述时钟的可靠性。
70.按照权利要求69的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
71.按照权利要求67的方法,其中上述监听授权受到至少一种预定的限制。
72.按照权利要求71的方法,其中上述至少一种预定的限制包括时间的限制,使上述监听授权包含起始日期和时间,在此之前不能执行获得上述第二用户的上述私人密钥的上述步骤。
73.按照权利要求72的方法,其中上述至少一种预定的限制包括另一个时间的限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第二用户的上述私人密钥的上述步骤。
74.按照权利要求73的方法,其中上述至少一种预定的限制包括时间的限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第二用户的上述私人密钥的上述步骤。
75.按照权利要求67的方法,其中获得上述第二用户的私人密钥的上述步骤进一步包括以下步骤从上述至少一个受托方取回上述第二用户的私人密钥的上述至少一份;并且用上述取回的各份上述私人密钥重新组装上述私人密钥。
76.按照权利要求75的方法,其中上述获得的步骤是由上述第三方保存中心执行的。
77.按照权利要求75的方法,其中上述获得的步骤是由上述外部机构执行的。
78.按照权利要求4的方法,其中对于公用密钥和私人密钥的上述多个匹配对中的每个匹配对来说,仅有上述私人密钥可以解密采用上述公用密钥加密的通信。
79.按照权利要求78的方法,其中由上述第一用户用来对上述第二用户的通信加密的上述多个密钥中的上述第一密钥包括上述第二用户的一个公用密钥。
80.按照权利要求78的方法,其中由上述第二用户用来对上述加密通信解密的上多个密钥的上述第二密钥包括上述第二用户的一个私人密钥。
81.按照权利要求1的方法,其中为通信加密的上述步骤进一步包括以下步骤产生一个唯一的密钥,用于对上述第一和第二用户之间的加密通信进行加密和解密;并且由上述第一用户使用上述密钥加密上述第二用户的上述通信。
82.按照权利要求81的方法,其中产生唯一的密钥的上述步骤包括以下步骤由上述第二用户使用上述第二用户的一个私人密钥和至少一个公用号码来计算上述第二用户的一个中间号码;使上述第一用户获得上述第二用户的中间号码;并且由上述第一用户使用上述第一用户的私人密钥和上述第二用户的上述中间号码来计算上述密钥;这样,用上述密钥加密的从上述第一用户到上述第二用户的上述通信仅能用上述密钥来解密。
83.按照权利要求82的方法,其中上述第二用户的上述中间号码和上述至少一个公用号码包括上述第二用户的公用密钥。
84.按照权利要求82的方法,其中由上述第一用户用来加密到上述第二用户的通信的上述多个密钥中的上述第一密钥包括在计算上述密钥的步骤中使用的上述第一用户的上述私人密钥。
85.按照权利要求82的方法,其中由上述第二用户用来解密上述加密的通信的上述多个密钥中的上述第二密钥包括在计算中间号码的上述步骤中使用的上述第二用户的上述私人密钥。
86.按照权利要求82的方法,其中进一步包括以下步骤由上述第一用户使用上述第一用户的一个私人密钥和上述至少一个公用号码来计算上述第一用户的一个中间号码。
87.按照权利要求86的方法,其中增加信息控制标题的步骤还包括形成信息控制标题分组的步骤,该分组包括上述第一用户的上述中间号码和上述至少一个公用号码。
88.按照权利要求87的方法,其中由上述第二用户为上述加密通信解码的上述步骤进一步包括以下步骤由上述第二用户使用上述第二用户的上述私人密钥和上述第一用户的上述中间号码来计算上述密钥;并且由上述第二用户使用上述密钥对来自上述第一用户的上述通信解密。
89.按照权利要求81的方法,其中产生唯一的密钥的上述步骤包括由各个上述第一和第二用户交替地产生上述密钥的步骤。
90.按照权利要求89的方法,其中由各个上述第一和第二用户交替地产生上述密钥的上述步骤包括以下步骤由上述第一用户使用上述第一用户的私人密钥和至少一个公用号码来计算第一中间号码;由上述第二用户使用上述第二用户的私人密钥和上述至少一个公用号码来计算第二中间号码;由上述第一用户使用上述第一用户的上述私人密钥和上述第二中间号码来计算上述密钥;并且由上述第二用户使用上述第二用户的上述私人密钥和上述第一中间号码来计算上述密钥;这样,用上述密钥加密的从上述第一用户到上述第二用户的通信或是从上述第二用户到上述第一用户的通信仅能用上述的密钥来解密。
91.按照权利要求90的方法,其中由上述第一用户用来加密上述第二用户的通信的上述多个密钥中的上述第一密钥包括在计算第一中间号码的上步骤中使用的上述第一用户的上述私人密钥。
92.按照权利要求90的方法,其中由上述第二用户用来对上述加密的通信解密的上述多个密钥中的上述第二密钥包括在计算第二中间号码的上述步骤中使用的上述第二用户的上述私人密钥。
93.按照权利要求90的方法,其中由上述第二用户为上述加密通信解密的上述步骤进一步包括以下步骤由上述第二用户使用上述密钥对来自上述第一用户的上述通信解密。
94.在具有多个受托设备的密码系统中,每个受托的设备具有至少一个随机产生的不对称加密密钥的匹配对,其中的上述密钥匹配对中的公用密钥被用于为上述设备的加密通信加密,而上述密钥匹配对中对应的私人密钥被用于为上述加密通信解密,在许多设备中间可检验地产生委托的密码通信并且允许一个外部机构监视上述通信的方法,包括以下步骤每个上述受托设备把加密密钥的上述匹配对中的至少一个私人密钥至少交给一个受托的第三方保存中心保存;由上述至少一个第三方保存中心为每个上述设备的上述密钥匹配对中的上述私人密钥提供交第三方保存的证明;使用第二设备的上述密钥匹配对的公用密钥为从第一个上述设备到第二个上述设备的通信加密;在上述加密的通信中加入一个信息控制标题,它包含足以识别上述至少一个受托的第三方保存中心的信息;以及由上述第二设备使用上述第二设备的上述密钥匹配对的私人密钥对上述加密的通信解密;其中由上述第二设备对上述加密的通信解密的步骤是随上述第一和第二设备各自的上述私人密钥证明而确定的,并且要求该证明出现在上述通信的有效信息控制标题中。
95.按照权利要求94的方法,其中上述从上述第一设备为通信加密的步骤是随着上述第一和第二设备的上述密钥证明而确定的,并且要求该证明出现在上述通信的有效信息控制标题中。
96.按照权利要求94的方法,其中,对于每个上述至少一个不对称加密密钥的匹配对来说,仅有上述私人密钥才能对采用上述公用密钥加密的通信解密。
97.按照权利要求94的方法,其中上述第一设备和上述第二设备是相同的,使得从上述第一设备到它自己的上述通信被加密而用于存储。
98.按照权利要求94的方法,其中每台上述受托的设备都能够随机地产生上述至少一个匹配的加密密钥对,以安全,防篡改和不可读的方式存储上述密钥对。
99.按照权利要求98的方法,其中每台上述受托的设备都有一个制造商,进一步的步骤是由一个上级管理机构证明上述设备能随机地产生和存储上述密钥。
100.按照权利要求99的方法,其中证明制造商的上述步骤包括由上述上级管理机构为上述制造商发出证明,为上述制造商和上述设备随机产生并存储上述密钥的能力的可靠性担保。
101.按照权利要求99的方法,其中上述上级管理机构是整个系统的管理机构。
102.按照权利要求94的方法,其中,对于每个受托的设备来说,上述交第三方保存的步骤进一步包括以下步骤把上述私人密钥拆成等份;向至少一个上述受托方各自提供上述私人密钥中的至少一份;向至少一个上述受托方各自提供验证信息,使上述受托方能检验上述私人密钥的上述至少一份的正确接收;以及由上述至少一个受托的第三方保存中心检验由各个上述至少一个受托方对上述私人密钥的上述至少一份的正确接收进行。
103.按照权利要求102的方法,其中每个上述至少一个受托的第三方保存中心具有至少一个公用和私人加密密钥的匹配对,它们被用来为加密的通信加密和解密;并且上述交第三方保存的步骤进一步包括对包含上述受托设备私人密钥的上述至少一个第三方保存中心的通信加密的步骤,以便由上述第三方保存中心执行上述的拆开步骤。
104.按照权利要求103的方法,其中由上述设备的制造商把上述至少一个受托的第三方保存中心的上述加密密钥预装入上述受托的设备,从而为了交第三方保存已由上述制造商选定一组的至少一个第三方保存中心;并且上述交第三方保存的步骤进一步包括使用一个上述预装入的第三方保存中心的加密密钥加密通信的步骤,该通信包含了来自上述一组的至少一个第三方保存中心的一个第三方保存中心的至少一份上述私人密钥。
105.按照权利要求103的方法,其中上述至少一个第三方保存中心的上述加密密钥是由上述设备从上述设备可以接入的第三方保存证明目录中获得的。
106.按照权利要求103的方法,其中对包含上述受托设备私人密钥的上述至少一个第三方保存中心的通信加密的步骤是由上述设备执行的,并且包括由上述设备以数字方法签名上述通信的步骤。
107.按照权利要求102的方法,其中每个上述至少一个受托方具有至少一个公用和私人加密密钥的匹配对,它们被用来加密和解密通信;并且上述的拆开步骤是由上述设备执行的。
108.按照权利要求107的方法,其中由上述设备的制造商把上述至少一个受托方的上述加密密钥预装入上述受托的设备,从而为交第三方保存上述制造商已选定一组的上述至少一个受托方;并且为每个至少一个受托方提供上述私人密钥的至少一份的上述步骤进一步包括使用一个上述预装入的受托方加密密钥用上述私人密钥的至少一份对每个至少一个受托方的通信加密的步骤,该受托方来自上述一组的上述至少一个受托方。
109.按照权利要求108的方法,其中对每个至少一个受托方的通信加密的步骤是由上述设备执行的,并且包括由上述设备以数字方法签名上述通信的步骤。
110.按照权利要求108的方法,其中为每个至少一个受托方提供上述私人密钥的至少一份的上述步骤进一步包括以下步骤对包括一个识别的上述第三方保存中心的通信加密,该识别表示每个上述至少一个受托方接收到了上述私人密钥中的一份。
111.按照权利要求108的方法,其中为每个至少一个受托方提供验证信息的上述步骤进一步包括对每个上述至少一个受托方的包含上述验证信息的通信加密的步骤。
112.按照权利要求111的方法,其中对每个包含上述验证信息的上述至少一个受托方的通信加密的步骤是由上述设备执行的,并且进一步包括由上述设备以数字方法签名上述通信的步骤。
113.按照权利要求111的方法,其中为每个至少一个受托方提供验证信息的上述步骤进一步包括对上述第三方保存中心的通信加密的步骤,该中心包括(a)每个上述至少一个受托方接收到上述验证信息的识别,以及(b)上述验证信息。
114.按照权利要求102的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份。
115.按照权利要求102的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中M<N。
116.按照权利要求102的方法,其中向每个至少一个受托方提供上述私人密钥的至少一份的上述步骤进一步包括对包含上述私人密钥的上述至少一份的每个上述至少一个受托方的通信进行加密的步骤。
117.按照权利要求116的方法,其中对每个包含上述设备私人密钥的上述至少一份的上述至少一个受托方的通信加密的步骤进一步包括以数字方法签名上述通信的步骤。
118.按照权利要求116的方法,其中上述向每个至少一个受托方提供验证信息的步骤进一步包括对包含上述验证信息的每个上述至少一个受托方的通信加密的步骤。
119.按照权利要求118的方法,其中对每个包含上述验证信息的上述至少一个受托方的通信加密的步骤进一步包括由上述第三方保存中心以数字方法签名上述通信的步骤。
120.按照权利要求102的方法,其中,对于每个受托方来说,用上述至少一个第三方保存中心进行检验的步骤包括以下步骤由上述受托方通知上述第三方保存中心已接收到上述设备的上述私人密钥的上述至少一份;由上述受托方向上述第三方保存中心发送上述验证信息;以及由上述第三方保存中心根据上述受托方正确发送的上述验证信息来确认上述受托方对上述设备的上述私人密钥的上述至少一份的正确接收。
121.按照权利要求120的方法,其中由上述受托方向上述第三方保存中心发送上述验证信息的上述步骤还包括对包含上述验证信息的上述第三方保存中心的通信加密的步骤。
122.按照权利要求121的方法,其中对包含上述验证信息的上述第三方保存中心的通信加密的上述步骤进一步包括由上述受托方以数字方法签名上述通信的步骤。
123.按照权利要求102的方法,其中上述许多受托设备各自具有一个唯一的数字识别代码,其中上述方法进一步包括向每个上述至少一个受托方提供上述设备的唯一数字识别代码的步骤。
124.按照权利要求102的方法,其中进一步包括由一个上级管理机构证明上述至少一个受托的第三方保存中心的可靠性的步骤。
125.按照权利要求124的方法,其中证明受托的第三方保存中心的上述步骤包括由上述上级管理机构为每个上述至少一个受托的第三方保存中心发出证明的步骤,为用于第三方保存的上述第三方保存中心的可靠性进行公证。
126.按照权利要求125的方法,其中上述上级管理机构是整个系统的管理机构。
127.按照权利要求125的方法,其中上述上级管理机构包括设备的至少一个制造商。
128.按照权利要求127的方法,其中证明受托的第三方保存中心的上述步骤还包括以下步骤由整个系统的管理机构为每个上述至少一个设备制造商发出证明,为上述至少一个设备制造商的可靠性进行公证,并且证明由他制造的每台上述设备都能够随机地产生不对称加密密钥的匹配对,还能用不可读的防篡改方式存储上述密钥。
129.按照权利要求94的方法,其中证明交第三方保存的上述私人密钥的上述步骤进一步包括步骤由一个第三方保存中心为上述设备的每个上述匹配的加密密钥对发出一个第三方保存证明,为上述匹配的加密密钥对中的上述公用和私人密钥与一个对应的设备之间的连接进行公证,并且证明上述匹配的加密密钥对的上述私人密钥已经交给第三方保存。
130.按照权利要求129的方法,其中用于每个上述匹配的加密密钥对的上述第三方保存证明包括第三方保存中心发出上述证明的识别,上述第三方保存证明的数字识别代码,以及上述匹配的加密密钥对的上述公用密钥。
131.按照权利要求129的方法,其中证明交第三方保存的上述私人密钥的上述步骤进一步包括,在发出上述第三方保存证明的步骤之前,由上述发出证明的第三方保存中心确认上述匹配的加密密钥对的上述私人密钥已经交第三方保存。
132.按照权利要求131的方法,其中,对于每个受托方来说,由上述至少一个第三方保存中心进行确认的上述步骤包括以下步骤由上述受托方通知上述第三方保存中心已接收到上述设备的上述私人密钥的上述至少一份;由上述受托方向上述第三方保存中心发送上述验证信息;以及由上述第三方保存中心根据上述受托方正确发送的上述验证信息证明上述受托方对上述设备的上述私人密钥的上述至少一份的正确接收。
133.按照权利要求132的方法,其中由上述受托方向上述第三方保存中心发送上述验证信息的步骤包括为包含上述信息的上述第三方保存中心的通信加密的步骤。
134.按照权利要求133的方法,其中对包含上述验证信息的上述第三方保存中心的通信加密的上述步骤进一步包括由上述受托方以数字方法签名上述通信的步骤。
135.按照权利要求131的方法,其中每个上述匹配的加密密钥对的上述第三方保存证明包括上述发出证明的第三方保存中心的识别,上述第三方保存证明的数字识别代码,上述设备的识别,以及上述匹配的加密密钥对的上述公用密钥。
136.按照权利要求135的方法,其中上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一设备的第三方保存中心的识别和上述第一设备第三方保存证明的上述数字识别代码。
137.按照权利要求136的方法,其中上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二设备的第三方保存中心的识别和上述第二设备第三方保存证明的上述数字识别代码。
138.按照权利要求137的方法,其中上述第一设备的第三方保存中心和上述第二设备的第三方保存中心是相同的;上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一和第二设备的第三方保存中心的识别和每份上述第三方保存证明的上述数字识别代码。
139.按照权利要求136的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一设备的物主的识别或是上述第一设备的用户的雇主或管理者的识别。
140.按照权利要求139的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二设备的物主的标志或是上述第二设备的用户的雇主或管理者的识别。
141.按照权利要求140的方法,其中上述第一和第二设备的上述物主或是上述第一和第二设备的上述用户的雇主或管理者是相同的;上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述物主,雇主或是管理者的识别,以及每个上述第三方保存证明的上述数字识别代码。
142.按照权利要求136的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括一个时标,表示上述第一设备形成上述信息控制标题的日期和时间。
143.按照权利要求142的方法,其中上述设备有一个受托的时钟,用于产生时标,用时标表示形成上述加密通信和上述信息控制标题的日期和时间;以及上述增加信息控制标题的步骤还包括证明上述时标的可靠性作证的步骤。
144.按照权利要求143的方法,其中证明上述时标的可靠性的上述步骤还包括由上级管理机构发出一个证明,为用于产生上述时标的上述时钟的可靠性进行公证。
145.按照权利要求144的方法,其中证明上述时标的上述步骤还包括给每个产生的上述时标附上上述的时钟证明。
146.按照权利要求144的方法,其中上述上级管理机构时钟是整个系统的管理机构。
147.按照权利要求144的方法,其中上述上级管理机构时钟包括上述设备的制造商。
148.按照权利要求144的方法,其中上述上级管理机构时钟包括一个第三方保存中心。
149.按照权利要求143的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
150.按照权利要求143的方法,其中上述时钟仅能由上述时钟的制造商授权的机构来设定或校准。
151.按照权利要求136的方法,其中进一步包括由具有监听授权的上述外部机构来监听上述加密的通信。
152.按照权利要求151的方法,其中上述监听步骤进一步包括以下步骤由上述外部机构监听上述加密的通信;向上述设备的第三方保存中心出示上述监听授权和上述信息控制标题;获得上述第一设备的上述匹配的加密密钥对中的私人密钥,该私人密钥已经交给上述第一设备的第三方保存中心保存;以及使用上述第一设备的上述私人密钥为上述加密的通信解码。
153.按照权利要求152的方法,其中上述出示授权的步骤进一步包括以下步骤从上述信息控制标题中提取上述第一设备的第三方保存中心的上述识别以及上述第一设备的第三方保存证明的上述数字识别代码;以及向上述第一设备的第三方保存中心出示上述监听授权和上述第一设备的第三方保存证明的上述数字识别代码。
154.按照权利要求153的方法,其中上述第一设备具有一个受托的时钟,用于产生一个时标,表示形成上述加密通信和上述信息控制标题的日期和时间;以及上述增加信息控制标题的步骤进一步包括以下步骤形成包括一个时标的加密信息控制标题分组,该时标表示上述第一设备形成上述信息控制标题的日期和时间;以及证明用于产生时标的上述时钟的可靠性。
155.按照权利要求154的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
156.按照权利要求151的方法,其中用上述第一设备的上述私人密钥为上述通信解密的步骤是由上述外部机构执行的。
157.按照权利要求152的方法,其中用上述第一设备的上述私人密钥为上述通信解密的步骤是由上述第三方保存中心执行的。
158.按照权利要求152的方法,其中上述监听授权至少受到一种预定的限制。
159.按照权利要求158的方法,其中上述至少一种预定的限制包括一种时间限制,使上述监听授权包含一个起始日期和时间,在此之前不能执行用上述私人密钥对上述通信解密的上述步骤。
160.按照权利要求158的方法,其中上述至少一种预定的限制包括另一个时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行用上述私人密钥对上述通信解密的上述步骤。
161.按照权利要求158的方法,其中上述至少一种预定的限制包括时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行用上述私人密钥对上述通信解密的上述步骤。
162.按照权利要求152的方法,其中获得上述第一设备的私人密钥的上述步骤进一步包括以下步骤从上述至少一个受托方取回上述第一设备的私人密钥的上述至少一份;并且用上述取回的各份上述私人密钥重新组装上述私人密钥。
163.按照权利要求162的方法,其中上述获得的步骤是由上述第三方保存中心执行的。
164.按照权利要求162的方法,其中上述获得的步骤是由上述外部机构执行的。
165.按照权利要求162的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份;提取上述至少一份私人密钥的上述步骤包括从每个上述至少一个受托方各自提取上述私人密钥的上述至少一份,从而提取所有的N份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的所有上述N份上述私人密钥重新组装上述私人密钥。
166.按照权利要求162的方法,其中,对于每个上述至少一个受托方来说,提取所有N份上述私人密钥的上述步骤进一步包括对包含设备私人密钥的上述至少一份的上述外部机构的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
167.按照权利要求166的方法,其中对包含设备私人密钥的上述至少一份的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
168.按照权利要求165的方法,其中提取所有N份上述私人密钥的上述步骤进一步包括对于每个上述至少一个受托方来说,对包含私人密钥的上述至少一份的上述至少一个第三方保存中心的通信加密,从而用上述第三方保存中心执行重新组装上述私人密钥的上述步骤。
169.按照权利要求168的方法,其中对包含设备私人密钥的上述至少一份的上述第三方保存中心的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
170.按照权利要求162的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中M<N;提取上述至少一份私人密钥的上述步骤包括从上述至少一个受托方提取上述私人密钥的上述至少一份,从而提取至少M份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的上述至少M份上述私人密钥重新组装上述私人密钥。
171.按照权利要求170的方法,其中对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述外部机构的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
172.按照权利要求171的方法,其中对包含上述设备私人密钥份的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
173.按照权利要求170的方法,其中对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述至少一个第三方保存中心的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述第三方保存中心执行的。
174.按照权利要求173的方法,其中对包含上述设备私人密钥份的上述第三方保存中心的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
175.按照权利要求135的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二设备的第三方保存中心的识别以及上述第二设备的第三方保存证明的上述数字识别代码。
176.按照权利要求175的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二设备的物主的识别或是上述第二设备的用户的雇主或管理者的识别。
177.按照权利要求175的方法,其中进一步包括由具有监听授权的上述外部机构来监听上述加密的通信。
178.按照权利要求177的方法,其中上述监听步骤进一步包括以下步骤由上述外部机构监听上述加密的通信;向上述第二设备的第三方保存中心出示上述监听授权和上述信息控制标题;获得上述第二设备的上述匹配的加密密钥对中的私人密钥,该私人密钥已经交给上述第二设备的第三方保存中心保存;以及使用上述第二设备的上述私人密钥为上述加密的通信解密。
179.按照权利要求178的方法,其中上述出示授权的步骤进一步包括以下步骤从上述信息控制标题中提取上述第二设备的第三方保存中心的上述识别以及上述第二设备的第三方保存证明的上述数字识别代码;以及向上述第二设备的第三方保存中心出示上述监听授权和上述第二设备的第三方保存证明的上述数字识别代码。
180.按照权利要求179的方法,其中上述第一设备具有一个受托的时钟,用于产生一个时标,表示形成上述加密通信和上述信息控制标题的日期和时间;以及上述增加信息控制标题的步骤进一步包括以下步骤形成包括一个时标的加密的信息控制标题分组,该时标表示上述第一设备形成上述信息控制标题的日期和时间;以及证明用于产生时标的上述时钟的可靠性。
181.按照权利要求180的方法,其中为上述时标的可靠性作证的上述步骤还包括由上级管理机构发出一个证明,为用于产生上述时标的上述时钟的可靠性进行公证。
182.按照权利要求181的方法,其中证明上述时标的上述步骤还包括给每个产生的上述时标附上上述的时钟证明。
183.按照权利要求181的方法,其中上述上级管理机构是整个系统的管理机构。
184.按照权利要求181的方法,其中上述上级管理机构包括上述设备的制造商。
185.按照权利要求181的方法,其中上述上级管理机构包括一个第三方保存中心。
186.按照权利要求180的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
187.按照权利要求180的方法,其中上述受托的时钟仅能由上述时钟的制造商指定的机构来设定或校准。
188.按照权利要求178的方法,其中用上述第二设备的上述私人密钥为上述通信解密的步骤是由上述外部机构执行的。
189.按照权利要求178的方法,其中用上述第二设备的上述私人密钥为上述通信解密的步骤是由上述第三方保存中心执行的。
190.按照权利要求178的方法,其中上述监听授权至少受到一种预定的限制。
191.按照权利要求190的方法,其中上述至少一种预定的限制包括一种时间限制,使上述监听授权包含一个起始日期和时间,在此之前不能执行获得上述第二设备的上述私人密钥的上述步骤。
192.按照权利要求190的方法,其中上述至少一种预定的限制包括另一个时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第二设备的上述私人密钥的上述步骤。
193.按照权利要求190的方法,其中上述至少一种预定的限制包括时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第二设备的上述私人密钥的上述步骤。
194.按照权利要求178的方法,其中获得上述第二设备的私人密钥的上述步骤进一步包括以下步骤从每个上述至少一个受托方取回上述第二设备的私人密钥的上述至少一份;并且用上述取回的各份上述私人密钥重新组装上述私人密钥。
195.按照权利要求194的方法,其中上述获得的步骤是由上述第三方保存中心执行的。
196.按照权利要求194的方法,其中上述获得的步骤是由上述外部机构执行的。
197.按照权利要求194的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份;提取上述至少一份私人密钥的上述步骤包括从每个上述至少一个受托方各自提取上述私人密钥的上述至少一份,从而提取所有的N份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的所有上述N份上述私人密钥重新组装上述私人密钥。
198.按照权利要求197的方法,其中对于每个上述至少一个受托方来说,提取所有N份上述私人密钥的上述步骤进一步包括对包含设备私人密钥的上述至少一份的上述外部机构的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
199.按照权利要求198的方法,其中对包含设备私人密钥的上述至少一份的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
200.按照权利要求197的方法,其中提取所有N份上述私人密钥的上述步骤进一步包括对于每个上述至少一个受托方来说,对包含私人密钥的上述至少一份的上述至少一个第三方保存中心的通信加密,从而用上述第三方保存中心执行重新组装上述私人密钥的上述步骤。
201.按照权利要求200的方法,其中对包含设备私人密钥的上述至少一份的上述第三方保存中心的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
202.按照权利要求194的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中M<N;提取上述至少一份私人密钥的上述步骤包括从上述至少一个受托方提取上述私人密钥的上述至少一份,从而提取至少M份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的上述至少M份上述私人密钥重新组装上述私人密钥。
203.按照权利要求202的方法,其中,对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述外部机构的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
204.按照权利要求203的方法,其中对包含上述设备私人密钥份的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
205.按照权利要求202的方法,其中对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述至少一个第三方保存中心的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述第三方保存中心执行的。
206.按照权利要求205的方法,其中对包含上述设备私人密钥份的上述第三方保存中心的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
207.按照权利要求94的方法,其中为通信加密的上述步骤进一步包括以下步骤产生一个唯一的密钥,用于对上述第一和第二设备之间的加密通信进行加密和解密;并且由上述第一设备使用上述密钥对上述第二设备的上述通信加密。
208.按照权利要求207的方法,其中产生唯一的密钥的上述步骤包括以下步骤由上述第二设备使用上述第二设备的上述私人密钥和至少一个公用号码来计算上述第二设备的一个中间号码;使上述第一用户获得上述第二用户的中间号码;并且由上述第一设备使用上述第一设备的私人密钥和上述第二设备的上述中间号码来计算上述密钥;这样,用上述密钥加密的从上述第一设备到上述第二设备的上述通信仅能用上述密钥来解密。
209.按照权利要求208的方法,其中上述第二设备的上述私人密钥是由上述第二设备随机地产生的。
210.按照权利要求208的方法,其中上述第二设备的上述中间号码包括上述第二设备的上述公用密钥。
211.按照权利要求208的方法,其中上述第二设备的上述中间号码以及上述至少一个公用号码包括上述第二设备的上述公用密钥。
212.按照权利要求208的方法,其中进一步包括以下步骤由上述第一设备使用上述第一设备的上述私人密钥和上述至少一个公用号码来计算上述第一设备的一个中间号码。
213.按照权利要求212的方法,其中上述第一设备的上述私人密钥是由上述第一设备随机地产生的。
214.按照权利要求212的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一设备的上述中间号码和上述至少一个公用号码。
215.按照权利要求214的方法,其中由上述第二设备为上述加密通信解密的上述步骤进一步包括以下步骤由上述第二设备使用上述第二设备的上述私人密钥和上述第一设备的上述中间号码来计算上述密钥;并且由上述第二设备使用上述密钥对来自上述第一设备的上述通信解密。
216.按照权利要求207的方法,其中产生唯一的密钥的上述步骤包括由各个上述第一和第二设备交互地产生上述密钥的步骤。
217.按照权利要求216的方法,其中由各个上述第一和第二设备交互地产生上述密钥的上述步骤包括以下步骤由上述第一设备使用上述第一设备的私人密钥和至少一个公用号码来计算第一中间号码;由上述第二设备使用上述第二设备的私人密钥和上述至少一个公用号码来计算第二中间号码;由上述第一设备使用上述第一设备的上述私人密钥和上述第二中间号码来计算上述密钥;并且由上述第二设备使用上述第二设备的上述私人密钥和上述第一中间号码来计算上述密钥;这样,用上述密钥加密的从上述第一设备到上述第二设备的通信或是从上述第二设备到上述第一设备的通信仅能用上述的密钥来解密。
218.按照权利要求217的方法,其中上述第一设备的上述私人密钥是由上述第一设备随机地产生的。
219.按照权利要求217的方法,其中上述第二设备的上述私人密钥是由上述第二设备随机地产生的。
220.按照权利要求217的方法,其中由上述第二设备对上述加密通信解密的上述步骤进一步包括由上述第二设备用上述密钥对来自上述第一设备的上述通信解密的步骤。
221.在具有多个受托设备的密码系统中,每个受托的设备具有至少两个随机产生的不对称加密密钥的匹配对,其中密钥的第一匹配对中的公用密钥被用于为上述设备的加密通信加密,而密钥的上述第一匹配对中对应的私人密钥被用于解密上述加密通信,而密钥的第二匹配对中的私人密钥被用于数字数据的数字签名,密钥的上述第二匹配对中对应的公用密钥被用于检验上述数字签名,在多个用户设备中间可检验地产生委托的密码通信,并且允许一个外部机构监视上述通信的方法,包括以下步骤每个上述受托设备把至少一个私人解密密钥至少交给一个第三方保存中心保存;由上述至少一个第三方保存中心为每个上述设备的上述至少一个私人解密密钥提供交第三方保存的证明;为每个上述设备的至少一个私人签名密钥提供证明;使用上述第二设备的公用加密密钥为从第一个上述用户设备到第二个上述用户设备的通信加密;在上述加密的通信中加入一个信息控制标题,它包含足以识别上述至少一个受托的第三方保存中心的信息;以及由上述第二设备使用上述第二设备的一个私人解密密钥对上述加密的通信解密;其中由上述第二设备对上述加密的通信解密的步骤是随上述第一和第二设备各自的上述私人解密密钥的证明而确定的,并且要求该证明出现在上述通信的有效信息控制标题中。
222.按照权利要求221的方法,其中上述从上述第一设备为通信加密的上述步骤是随着上述第一和第二设备各自的上述私人解密密钥的证明而确定的,并且要求该证明出现在上述通信的有效信息控制标题中。
223.按照权利要求221的方法,其中上述第一设备和上述第二设备是相同的,上述通信是由上述第一设备为自己加密而用于存储的。
224.按照权利要求221的方法,其中每台上述受托的设备都能够随机地产生上述至少两个匹配的加密密钥对,以便用于加密和解密以及用于签名和检验,还能用安全,防篡改和不可读的方式存储每个上述密钥对。
225.按照权利要求224的方法,其中每台上述受托的设备都有一个制造商,而上述为至少一个私人签名密钥提供证明的步骤进一步包括由一个上级管理机构证明上述设备能随机地产生和存储上述密钥。
226.按照权利要求225的方法,其中证明上述设备的能力作的上述步骤包括由上述上级管理机构为上述制造商发出证明,为上述制造商和由上述制造商制造的设备随机产生并以不可读的防篡改方式存储上述密钥的能力的可靠性担保。
227.按照权利要求226的方法,其中上述上级管理机构是整个系统的管理机构。
228.按照权利要求226的方法,其中上述制造商证明被附加到用上述制造商产生的私人签名密钥签发的每个签名上。
229.按照权利要求221的方法,其中进一步包括由一个上级管理机构证明上述至少一个第三方保存中心的可靠性的步骤。
230.按照权利要求229的方法,其中证明第三方保存中心的上述步骤包括由上述上级管理机构为每个上述至少一个第三方保存中心发出证明的步骤,为用于第三方保存的上述第三方保存中心的可靠性进行公证。
231.按照权利要求230的方法,其中上述上级管理机构是整个系统的管理机构。
232.按照权利要求230的方法,其中上述上级管理机构包括设备的至少一个制造商。
233.按照权利要求221的方法,其中对于每个用户设备来说,上述交第三方保存的步骤进一步包括以下步骤把上述私人解密密钥拆成等份;向至少一个上述受托方各自提供上述私人密钥中的至少一份;向至少一个上述受托方各自提供验证信息,使上述受托方能检验上述私人密钥的上述至少一份的正确接收;以及由上述至少一个第三方保存中心对各个上述至少一个受托方对上述私人密钥的上述至少一份的正确接收进行检验。
234.按照权利要求233的方法,其中每个上述至少一个第三方保存中心包括一个受托的设备,并且上述交第三方保存的步骤进一步包括对包含上述用户私人解密密钥的上述至少一个第三方保存中心的通信加密的步骤,以便用上述第三方保存中心执行上述的拆开步骤。
235.按照权利要求234的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份。
236.按照权利要求234的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中M<N。
237.按照权利要求234的方法,其中由上述设备的制造商仅把一个第三方保存中心的公用加密密钥预装入上述用户设备,从而为交第三方保存上述制造商已选定上述的一个第三方保存中心;并且上述交第三方保存的步骤进一步包括使用上述装入的第三方保存中心加密密钥对上述第三方保存中心的通信加密的步骤。
238.按照权利要求234的方法,其中由上述设备的制造商把至少一个第三方保存中心的公用加密密钥预装入上述用户设备,从而为交第三方保存上述制造商已选定一组的至少一个第三方保存中心;并且交第三方保存的上述步骤进一步包括用上述预装入的一个第三方保存中心公用加密密钥对上述一组至少一个第三方保存中心之一的包含至少一份上述私人密钥的通信加密的步骤。
239.按照权利要求234的方法,其中上述至少一个第三方保存中心的上述公用加密密钥是由上述用户设备从一个第三方保存证明目录中获得的。
240.按照权利要求234的方法,其中对包含上述用户设备私人加密密钥的上述至少一个第三方保存中心的通信加密的步骤进一步包括由上述设备用上述私人设备签名密钥为上述通信用数字方法签名的步骤。
241.按照权利要求234的方法,其中上述向每个至少一个受托方提供至少一份上述私人密钥的步骤进一步包括由上述第三方保存中心对每个上述至少一个受托方的包含上述至少一份上述私人密钥的通信加密的步骤。
242.按照权利要求241的方法,其中对每个包含上述至少一份上述设备私人密钥的上述至少一个受托方的通信加密的步骤进一步包括由上述第三方保存中心以数字方法签名上述通信的步骤。
243.按照权利要求241的方法,其中上述向每个至少一个受托方提供验证信息的步骤包括由第三方保存中心在每个上述至少一个受托方的包含上述至少一份上述私人密钥的通信中加入上述验证信息的步骤。
244.按照权利要求243的方法,其中对每个上述至少一个受托方的通信加密的步骤进一步包括由上述第三方保存中心以数字方法签名上述通信的步骤。
245.按照权利要求233的方法,其中每个上述至少一个受托方包括一个受托的设备,而上述拆开的步骤是由上述设备执行的。
246.按照权利要求245的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份。
247.按照权利要求245的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中M<N。
248.按照权利要求245的方法,其中由上述设备的制造商把上述至少一个受托方的公用加密密钥装入上述用户设备,从而为交第三方保存上述制造商已选定一组的至少一个受托方;并且为每个至少一个受托方提供上述私人密钥的至少一份的上述步骤进一步包括由上述用户设备用一个上述预装入的受托方公用加密密钥对每个至少一个受托方的包含至少一份上述私人密钥的通信加密,该受托方来自上述一组的至少一个受托方。
249.按照权利要求248的方法,其中对每个上述至少一个受托方的通信加密的步骤进一步包括由上述用户设备以数字方法签名上述通信的步骤。
250.按照权利要求248的方法,其中向每个至少一个受托方提供至少一份上述私人密钥的上述步骤进一步包括上述用户设备加密上述第三方保存中心的通信的步骤,后来的用户在上述证明步骤中包括每个上述至少一个受托方的一个识别,受托方已从上述用户设备接收到一份上述私人密钥。
251.按照权利要求248的方法,其中向每个至少一个受托方提供验证信息的上述步骤包括由上述用户设备在每个上述至少一个受托方的包含上述至少一份上述私人密钥的通信中加入上述验证信息的步骤。
252.按照权利要求251的方法,其中对每个上述至少一个受托方的通信加密的步骤进一步包括由上述用户设备以数字方法签名上述通信的步骤。
253.按照权利要求233的方法,其中对于每个受托方来说,用上述至少一个第三方保存中心进行检验的步骤进一步包括以下步骤由上述受托方通知上述第三方保存中心已接收到上述用户设备的上述私人密钥的上述至少一份;由上述受托方向上述第三方保存中心发送上述验证信息;以及由上述第三方保存中心根据上述受托方正确发送的上述验证信息来确认上述受托方对上述私人密钥的上述至少一份的正确接收。
254.按照权利要求253的方法,其中由上述受托方向上述第三方保存中心发送上述验证信息的上述步骤还包括由上述受托方对包含上述验证信息的上述第三方保存中心的通信加密的步骤。
255.按照权利要求254的方法,其中对包含上述验证信息的上述第三方保存中心的通信加密的上述步骤进一步包括由上述受托方以数字方法签名上述通信的步骤。
256.按照权利要求233的方法,其中证明上述至少一个私人加密密钥提供交第三方保存的上述步骤进一步包括由一个第三方保存中心为每个上述用户设备的每个匹配的密钥对发出一个交第三方保存的证明,对上述公用和私人密钥与上述对应设备之间的连接进行公证,并且证明上述匹配密钥对的上述私人加密密钥已经交第三方保存。
257.按照权利要求256的方法,其中证明交第三方保存的上述私人加密密钥的上述步骤,在发出上述第三方保存证明的步骤之前,进一步包括确认上述私人加密密钥已交第三方保存的步骤。
258.按照权利要求257的方法,其中对于每个受托方来说,确认上述私人加密密钥已交第三方保存的步骤进一步包括以下步骤由上述受托方通知上述第三方保存中心已接收到上述设备的私人加密密钥的上述至少一份;由上述受托方向上述第三方保存中心发送上述验证信息;以及由上述第三方保存中心根据上述受托方正确发送的上述验证信息来证明上述受托方对上述设备的私人加密密钥的上述至少一份的正确接收。
259.按照权利要求258的方法,其中上述第三方保存中心包括一个受托的设备,并且由上述受托方向上述第三方保存中心发送上述验证信息的步骤包括对包含上述验证信息的上述第三方保存中心的通信加密的步骤。
260.按照权利要求259的方法,其中上述受托方包括一个受托的设备,而对上述第三方保存中心的通信加密的步骤进一步包括由上述受托方用私人签名密钥为上述通信数字签名的步骤。
261.按照权利要求260的方法,其中上述证明步骤进一步包括在包含上述验证信息的上述通信上证明受托方的签名。
262.按照权利要求256的方法,其中上述第三方保存证明包括发出上述证明的第三方保存中心的一个识别,上述第三方保存证明的一个数字识别代码,以及与上述交第三方保存的私人解密密钥相对应的上述公用加密密钥。
263.按照权利要求262的方法,其中为上述加密的通信增加信息控制标题的上述步骤包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一用户设备的第三方保存中心的一个识别以及上述第一用户设备的第三方保存证明的上述数字识别代码。
264.按照权利要求263的方法,其中增加信息控制标题的上述步骤进一步包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户设备的第三方保存中心的一个识别以及上述第二用户设备的第三方保存证明的上述数字识别代码。
265.按照权利要求264的方法,其中上述第一设备的第三方保存中心和上述第二用户设备的第三方保存中心是相同的;并且上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一和第二设备的第三方保存中心的识别和每份上述第三方保存证明的上述数字识别代码。
266.按照权利要求263的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第一用户设备的物主或是上述第一用户设备的用户的雇主或是管理人的识别。
267.按照权利要求266的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户设备的物主或是上述第二用户设备的用户的雇主或是管理人的识别。
268.按照权利要求267的方法,其中上述第一和第二用户设备的上述物主或是上述第一和第二用户设备的上述用户的上述雇主或是管理人是相同的;上述增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述物主,雇主或是管理人的识别和每份上述第三方保存证明的上述数字识别代码。
269.按照权利要求263的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括一个时标,表示上述第一用户设备形成上述信息控制标题的日期和时间。
270.按照权利要求269的方法,其中每个上述受托的设备有一个时钟,用于产生时标,用时标表示形成上述加密通信和上述信息控制标题的日期和时间;以及上述增加信息控制标题的步骤还包括为上述时标的可靠性作证的步骤。
271.按照权利要求270的方法,其中为上述时标的可靠性作证的上述步骤还包括由上级管理机构发出一个证明,为用于产生上述时标的上述时钟的可靠性进行公证。
272.按照权利要求271的方法,其中为上述时标作证的上述步骤还包括给每个产生的上述时标附上上述的时钟证明。
273.按照权利要求271的方法,其中上述上级管理机构时钟是整个系统的管理机构。
274.按照权利要求271的方法,其中上述上级管理机构时钟包括上述设备的制造商。
275.按照权利要求270的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
276.按照权利要求263的方法,其中进一步包括由具有监听授权的上述外部机构来监听上述加密的通信。
277.按照权利要求276的方法,其中上述监听步骤进一步包括以下步骤由上述外部机构监听上述加密的通信;向上述第一用户设备的第三方保存中心出示上述监听授权和上述信息控制标题;获得上述第一用户设备的私人解密密钥,该私人解密密钥已经交给上述第一用户设备的第三方保存中心保存;以及使用上述第一用户设备的上述私人解密密钥为上述加密的通信解密。
278.按照权利要求277的方法,其中上述出示授权的步骤进一步包括以下步骤从上述信息控制标题中提取上述第一用户设备的第三方保存中心的上述识别以及上述第一用户设备的第三方保存证明的上述数字识别代码;以及向上述第一用户设备的第三方保存中心出示上述监听授权和上述第一用户设备的第三方保存证明的上述数字识别代码。
279.按照权利要求278的方法,其中上述第一用户设备具有一个受托的时钟,用于产生一个时标,表示形成上述加密通信和上述信息控制标题的日期和时间;以及上述增加信息控制标题的步骤进一步包括以下步骤形成包括一个时标的加密信息控制标题分组;以及为用于产生时标的上述时钟的可靠性作证。
280.按照权利要求279的方法,其中为上述时标的可靠性作证的上述步骤还包括由上级管理机构发出一个证明,为用于产生上述时标的上述时钟的可靠性进行公证。
281.按照权利要求280的方法,其中为上述时标作证的上述步骤还包括给每个产生的上述时标附上上述的时钟证明。
282.按照权利要求280的方法,其中上述上级管理机构时钟是整个系统的管理机构。
283.按照权利要求279的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
284.按照权利要求277的方法,其中用上述第一用户设备的上述私人解密密钥为上述通信解密的步骤是由上述外部机构执行的。
285.按照权利要求277的方法,其中用上述第一用户设备的上述私人解密密钥为上述通信解密的步骤是由上述第三方保存中心执行的。
286.按照权利要求277的方法,其中上述监听授权至少受到一种预定的限制。
287.按照权利要求286的方法,其中上述至少一种预定的限制包括一种时间限制,使上述监听授权包含一个起始日期和时间,在此之前不能执行获得上述第一设备的上述私人密钥的上述步骤。
288.按照权利要求287的方法,其中上述至少一种预定的限制包括另一个时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第一设备的上述私人密钥的上述步骤。
289.按照权利要求286的方法,其中上述至少一种预定的限制包括时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第一设备的上述私人密钥的上述步骤。
290.按照权利要求277的方法,其中获得上述第一设备的私人密钥的上述步骤进一步包括以下步骤从上述至少一个受托方取回上述第一用户设备的私人密钥的上述至少一份;并且用上述取回的各份上述私人密钥重新组装上述私人密钥。
291.按照权利要求290的方法,其中上述获得的步骤是由上述第三方保存中心执行的。
292.按照权利要求290的方法,其中上述获得的步骤是由上述外部机构执行的。
293.按照权利要求290的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份;提取上述至少一份私人密钥的上述步骤包括从每个上述至少一个受托方各自提取上述私人密钥的上述至少一份,从而提取所有的N份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的所有上述N份上述私人密钥来重新组装上述私人密钥。
294.按照权利要求293的方法,其中提取所有N份上述私人密钥的上述步骤进一步包括对于每个上述至少一个受托方来说,加密包含上述至少一份的设备私人密钥的上述外部机构的通信的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
295.按照权利要求293的方法,其中对包含设备私人密钥的上述至少一份的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
296.按照权利要求293的方法,其中提取所有N份上述私人密钥的上述步骤进一步包括对于每个上述至少一个受托方来说,加密包含上述至少一份的私人密钥的上述至少一个第三方保存中心的通信,从而用上述第三方保存中心执行重新组装上述私人密钥的上述步骤。
297.按照权利要求296的方法,其中加密包含上述至少一份的设备私人密钥的上述第三方保存中心的通信的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
298.按照权利要求290的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中M<N;提取上述至少一份私人密钥的上述步骤包括从上述至少一个受托方提取上述私人密钥的上述至少一份,从而提取至少M份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的上述至少M份上述私人密钥来重新组装上述私人密钥。
299.按照权利要求298的方法,其中,对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述外部机构的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
300.按照权利要求299的方法,其中对包含上述设备私人密钥份的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
301.按照权利要求298的方法,其中对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述至少一个第三方保存中心的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述第三方保存中心执行的。
302.按照权利要求301的方法,其中对包含上述设备私人密钥份的上述第三方保存中心的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
303.按照权利要求262的方法,其中为上述加密的通信增加信息控制标题的上述步骤进一步包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户设备的第三方保存中心的一个识别以及上述第二用户设备的第三方保存证明的上述数字识别代码。
304.按照权利要求303的方法,其中增加信息控制标题的步骤还包括形成一个加密信息控制标题分组的步骤,该分组包括上述第二用户设备的物主或是上述第二用户设备的用户的雇主或是管理人的识别。
305.按照权利要求303的方法,其中进一步包括由具有监听授权的上述外部机构监听上述加密的通信的步骤。
306.按照权利要求305的方法,其中上述监听步骤进一步包括以下步骤由上述外部机构监听上述加密的通信;向上述第二用户设备的第三方保存中心出示上述监听授权和上述信息控制标题;获得上述第二用户设备的私人解密密钥,该私人解密密钥已经交给上述第二用户设备的第三方保存中心保存;以及使用上述第二用户设备的上述私人解密密钥为上述加密的通信解密。
307.按照权利要求306的方法,其中上述出示授权的步骤进一步包括以下步骤从上述信息控制标题中提取上述第二用户设备的第三方保存中心的上述识别以及上述第二用户设备的第三方保存证明的上述数字识别代码;以及向上述第二用户设备的第三方保存中心出示上述监听授权和上述第二用户设备的第三方保存证明的上述数字识别代码。
308.按照权利要求307的方法,其中上述第一设备具有一个受托的时钟,用于产生一个时标,表示形成上述加密通信和上述信息控制标题的日期和时间;以及上述增加信息控制标题的步骤进一步包括以下步骤形成包括一个时标的加密信息控制标题分组;以及证明用于产生时标的上述时钟的可靠性。
309.按照权利要求309的方法,其中证明上述时标的可靠性的上述步骤还包括由上级管理机构发出一个证明,为用于产生上述时标的上述时钟的可靠性进行公证。
310.按照权利要求309的方法,其中证明上述时标的上述步骤还包括给每个产生的上述时标附上上述的时钟证明。
311.按照权利要求309的方法,其中上述上级管理机构时钟是整个系统的管理机构。
312.按照权利要求309的方法,其中上述上级管理机构时钟包括上述设备的制造商。
313.按照权利要求308的方法,其中上述受托的时钟仅能由上述时钟的制造商来设定或校准。
314.按照权利要求306的方法,其中用上述第二用户设备的上述私人解密密钥为上述通信解密的步骤是由上述外部机构执行的。
315.按照权利要求306的方法,其中用上述第二用户设备的上述私人解密密钥为上述通信解密的步骤是由上述第三方保存中心执行的。
316.按照权利要求306的方法,其中上述监听授权至少受到一种预定的限制。
317.按照权利要求316的方法,其中上述至少一种预定的限制包括一种时间限制,使上述监听授权包含一个起始日期和时间,在此之前不能执行获得上述第二设备的上述私人密钥的上述步骤。
318.按照权利要求317的方法,其中上述至少一种预定的限制包括另一个时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第二设备的上述私人密钥的上述步骤。
319.按照权利要求317的方法,其中上述至少一种预定的限制包括时间限制,使上述监听授权包含结束日期和时间,在此之后不能执行获得上述第二设备的上述私人密钥的上述步骤。
320.按照权利要求306的方法,其中获得上述第二用户设备的私人解密密钥的上述步骤进一步包括以下步骤从每个上述至少一个受托方取回上述第二用户设备的私人密钥的上述至少一份;并且用上述取回的各份上述私人密钥重新组装上述私人密钥。
321.按照权利要求320的方法,其中上述获得的步骤是由上述第三方保存中心执行的。
322.按照权利要求320的方法,其中上述获得的步骤是由上述外部机构执行的。
323.按照权利要求320的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥需要所有的N份;提取上述至少一份私人密钥的上述步骤包括从每个上述至少一个受托方各自提取上述私人密钥的上述至少一份,从而提取所有的N份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的所有上述N份上述私人密钥来重新组装上述私人密钥。
324.按照权利要求323的方法,其中对于每个上述至少一个受托方来说,提取所有N份上述私人密钥的上述步骤进一步包括对包含上述至少一份的设备私人密钥的上述外部机构的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
325.按照权利要求324的方法,其中对包含上述至少一份的设备私人密钥的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
326.按照权利要求323的方法,其中提取所有N份上述私人密钥的上述步骤进一步包括对于每个上述至少一个受托方来说,对包含上述至少一份的私人密钥的上述至少一个第三方保存中心的通信加密,从而用上述第三方保存中心执行重新组装上述私人密钥的上述步骤。
327.按照权利要求326的方法,其中对包含设备私人密钥的上述至少一份的上述第三方保存中心的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
328.按照权利要求320的方法,其中上述拆开步骤进一步包括把上述私人密钥拆成N份,为了重新组装上述私人密钥仅需要M份,其中M<N;提取上述至少一份私人密钥的上述步骤包括从上述至少一个受托方提取上述私人密钥的上述至少一份,从而提取至少M份上述私人密钥;并且重新组装上述私人密钥的上述步骤包括用提取的上述至少M份上述私人密钥来重新组装上述私人密钥。
329.按照权利要求328的方法,其中对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述外部机构的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述外部机构执行的。
330.按照权利要求329的方法,其中对包含上述设备私人密钥份的上述外部机构的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
331.按照权利要求328的方法,其中,对于每个上述至少一个受托方来说,提取至少M份上述私人密钥的上述步骤进一步包括对包含上述设备私人密钥份的上述至少一个第三方保存中心的通信加密的步骤,因此,重新组装上述私人密钥的上述步骤是由上述第三方保存中心执行的。
332.按照权利要求331的方法,其中对包含上述设备私人密钥份的上述第三方保存中心的通信加密的步骤进一步包括上述受托方以数字方法签名上述通信的步骤。
333.一种授权一个受托的设备在第一用户和第二方之间执行电子事务处理并且保证上述受托的设备能够按照用户不能更改的预定规则参与上述电子事务处理的方法,该方法包括从上述受托的设备用电子方式向第三方发送一个授权参与上述电子事务处理的请求,上述请求包括上述受托设备的身份;上述第三方至少部分地根据上述受托设备能够按照上述规则工作的判断来决定是否授权上述受托的设备参与上述事务处理;从上述第三方用电子方式向上述受托的设备发送参与上述电子事务处理的授权,上述授权包括一种证明,证明上述第三方具有上述的授权;从上述受托的设备用电子方式向第二方发送上述证明,保证上述受托的设备已得到授权参与上述电子事务处理并且仅能按照上述的规则来工作;以及按照上述规则从上述受托的设备用电子方式向上述第二方发送事务处理数据。
334.按照权利要求333的方法,其中上述授权发送步骤包括从上述第三方向上述受托的设备发送上述规则的步骤。
335.按照权利要求333的方法,其中上述受托的设备在上述授权发送步骤之前就包含上述规则。
336.按照权利要求333的方法,其中上述授权发送步骤包括为上述证明加上上述第三方的数字签名的步骤。
337.按照权利要求333的方法,其中上述请求发送步骤包括发送上述受托设备的上述身份证明的步骤,该证明有上述受托设备的制造商的数字签名。
338.按照权利要求333的方法,其中上述决定步骤包括根据上述受托设备的上述身份来确定上述设备是否能防篡改的步骤。
339.按照权利要求333的方法,其中上述受托的设备与它的一个不对称密码系统的公用密钥和私人密钥相关,并且上述请求发送步骤包括向上述第三方发送上述设备公用密钥的步骤。
340.按照权利要求337的方法,其中上述身份证明包括用于上述受托设备的一个公用-私人密钥对中的公用密钥,并且上述请求步骤包括在上述请求上附加一个用上述设备私人密钥产生的上述受托设备的数字签名,从而使上述第三方可以确认上述请求是来自上述受托设备的。
341.按照权利要求333的方法,其中上述受托的设备与它的一个不对称密码系统的第一密钥和第二密钥相关,并且向上述第二方发送事务处理数据的步骤包括附加一个用上述第一密钥产生的上述受托设备的数字签名的步骤。
342.按照权利要求340的方法,其中向上述第二方发送事务处理数据的步骤包括向上述第二方发送上述第二密钥的步骤。
343.按照权利要求341或342的方法,其中上述第一和第二设备密钥分别是私人和公用密钥。
全文摘要
本发明提供一种具有密钥交第三方保存特性的系统和方法,它使用可检验地将用户私人密码密钥分离为部分并且发送这些部分到由特别用户选择的委托代理的一种方法,以及提供一种系统,该系统使用一种由也能自我证明的芯片设备实施的、现代公用密钥证明管理。在本发明的优选的实施例中,只在符合一定条件时芯片才加密或解密,即(1)如果输入一个有效的“发送方证明”和一个有效“接收方证明”,这里“有效”意味着特别用户的私人密码密钥以规定数量的第三方保存代理机构可检验地保存,并且主第三方保存中心由芯片制造商登记并证明,和(2)如果由该发送方产生一个有效的消息控制标题并由接收方使其有效,因此给予许可的调查者用于请求和得到第三方保存的密钥的足够信息。本发明的另一个优选实施例提供在多个用户之间产生可检验的委托通信的方法,包括步骤在委托的第三方保存中心由第三方保存由多个用户使用的多个不对称的密码密钥;在第三方保存中心检验所述多个密钥的每个密钥;根据检验证明所述多个密钥的每个密钥的许可证;和根据所述证明使用所述多个密钥的相应密钥开始来自所述多个用户的每个用户的通信。
文档编号H04L9/32GK1138927SQ95191205
公开日1996年12月25日 申请日期1995年1月13日 优先权日1994年1月13日
发明者F·W·苏迪亚 申请人:银行家信托公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:F.W.苏迪亚
  • 技术所有人:塞特科公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
忘记id密码和恢复密钥相关技术
公开密钥密码体系相关技术
密码密钥盘相关技术
输入密钥库的密码短语相关技术
密钥和密码的区别相关技术
对称密钥密码体制相关技术
公开密钥密码体制相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2