的Pi。加密可以通过AESECB借助从Pg(或R,如果 i= 1)导出的密钥进行。可以借助可以根据包括在下文介绍的那些方法的任何已知方法的 CMACPRF,根据包括本文描述的那些方法的任意已知方法来计算加密密钥Ke:
[0065] L=E(Pi_1,0b) (1)
【主权项】
1. 一种用于加密资料供应(CMP)的方法,所述方法包括: (a) 在第一供应服务器上生成委派消息, 其中,所述委派消息指示由所述第一供应服务器向第二供应服务器委派的关于加密资 产到电子设备的随后供应的供应权利, 其中,生成所述委派消息包括以下中的至少一个: (A) 向所述委派消息中插入对于所述第一供应服务器是未知的并且使用所述电子设备 的公钥进行加密的关联性密钥,其中,所述电子设备的所述公钥能够用于对数据进行加密, 以用于随后由所述电子设备使用所述电子设备的私有加密密钥进行解密; (B) 向所述委派消息中插入所述第二供应服务器的公钥;使所述电子设备能够在本地 生成对于所述第一供应服务器是未知的所述关联性密钥;其中,所述关联性密钥能够由所 述第二供应服务器基于所述第二供应服务器的所述公钥来获取; (b) 将所述委派消息从所述第一供应服务器传送到所述电子设备; (c) 在所述第二供应服务器处,并且基于所述委派消息,使用所述关联性密钥,将一个 或多个加密资产供应到所述电子设备。
2. 根据权利要求1所述的方法,其中,所述第一供应服务器,通过监听在所述第一供应 服务器、所述第二供应服务器、所述电子设备以及授权服务器之间的所有通信,不能够对由 所述第二供应服务器供应到所述电子设备的一个或多个加密资产的内容进行密码破译,BP 使是所述第一供应服务器向所述第二供应服务器委派了一个或多个供应权利用于随后供 应所述加密资产中的一个或多个。
3. 根据权利要求1所述的方法,其中,将所述第二供应服务器介绍给所述电子设备以 用于加密资产的随后供应的所述第一供应服务器,不能够对在所述第二供应服务器和所述 电子设备之间交换的数据进行密码破译,即使是所述第二供应服务器和所述电子设备在所 述第一供应服务器的所述介绍之前不具有任何共享秘密并且不具有能够用于在所述第二 供应服务器和所述电子设备之间的安全通信的任何加密密钥数据。
4. 根据权利要求1所述的方法,包括: 从所述第一供应服务器向所述第二供应服务器委派用于将加密资产从所述第二供应 服务器安全地发送到所述电子设备的权利,其中,所述第一供应服务器不能够对从所述第 二供应服务器发送到所述电子设备的任何加密资产进行密码破译。
5. 根据权利要求1所述的方法,其中,生成所述委派消息包括: 向所述委派消息中插入所述第二供应服务器的公钥,以使得能够执行识别协议以用于 随后的加密资产到所述电子设备的个性化供应。
6. 根据权利要求1所述的方法,其中,生成所述委派消息包括: 向所述委派信息中插入要由所述第二供应服务器使用的关联性密钥,以使得能够随后 执行使用所述关联性密钥向一个或多个电子设备供应加密资产。
7. 根据权利要求1所述的方法,其中,经由从所述第一供应服务器到所述电子设备的 单遍单方向通信来执行将所述委派消息传送到所述电子设备。
8. 根据权利要求1所述的方法,包括,在执行步骤(a)之前: 经由安全通信信道,从所述第二供应服务器向所述第一供应服务器安全地传送:(A) 所述第二供应服务器的公有加密密钥,以及(B)使用密钥进行加密的类范围关联性密钥, 所述密钥允许所述关联性密钥由所述电子设备来解密。
9. 根据权利要求1所述的方法,包括: 经由单遍单方向供应协议从所述第一供应服务器向所述电子设备至少供应: (i) 所述第二供应服务器的公有加密密钥, (ii) 所述第二供应服务器的服务器证书,所述服务器证书由授权服务器进行数字签 名; (iii) 所述第二供应服务器被授权向所述电子设备随后供应的加密资产的指示。
10. 根据权利要求1所述的方法,其中,生成所述委派消息包括: 向所述委派消息中插入一个或多个标志,所述标志向所述电子设备指示所述第二供应 设备是否被授权供应:(X)仅个性化加密资产,或(Y)仅针对多个电子设备的类别的类范围 加密资产,或(Z)个性化加密资产和类范围加密资产二者。
11. 根据权利要求1所述的方法,包括: 在从所述第二供应服务器向所述电子设备供应特定的加密资产之前,执行: 通过所述第二供应服务器获取来自授权服务器的授权票据,所述授权票据指示所述第 二供应服务器被授权将所述特定的加密资产供应到所述电子设备。
12. 根据权利要求11所述的方法,其中,所述授权票据的获取由标志触发,所述标志指 示对于由所述第二供应服务器执行的每一个供应事件都要求的授权,所述标志位于由所述 授权服务器发给所述第二供应服务器的服务器证书中。
13. 根据权利要求11所述的方法,其中,所述获取包括: 在所述第二供应服务器处,联系所述授权服务器以向所述授权服务器呈现:(A)所述 第二供应服务器的服务器证书,以及(B)意在由所述第二供应服务器供应到所述电子设备 的所述特定的加密资产的散列。
14. 根据权利要求13所述的方法,其中,所述获取进一步包括: 在所述第二供应服务器处从所述授权服务器接收所述授权票据,所述授权票据包括由 所述授权服务器对意在由所述第二供应服务器供应到所述电子设备的所述特定的加密资 产的所述散列的数字签名; 其中,所述数字签名使所述电子设备能够在存储所述特定的加密资产之前由所述电子 设备进行验证。
15. 根据权利要求1所述的方法,其中,经由从所述第二供应服务器到所述电子设备的 单遍单方向通信来执行向所述电子设备供应所述加密资产。
16. -种用于加密资料供应(CMP)的系统,所述系统包括: 生成委派消息的第一供应服务器, 其中,所述委派消息指示由所述第一供应服务器向第二供应服务器委派的关于加密资 产到电子设备的随后供应的供应权利, 其中,所述第一供应服务器通过执行以下中的至少一个来生成所述委派消息: (A) 向所述委派消息中插入对于所述第一供应服务器是未知的并且使用所述电子设备 的公钥进行加密的关联性密钥,其中,所述电子设备的所述公钥能够用于对数据进行加密, 以用于随后由所述电子设备使用所述电子设备的私有加密密钥进行解密; (B) 向所述委派消息中插入所述第二供应服务器的公钥;使所述电子设备能够在本地 生成对于所述第一供应服务器是未知的所述关联性密钥;其中,所述关联性密钥能够由所 述第二供应服务器基于所述第二供应服务器的所述公钥获取; 其中,所述第一供应服务器引起所述委派消息从所述第一供应服务器到所述电子设备 的传送; 其中,所述第二供应服务器使用所述关联性密钥,并且基于所述委派消息,将一个或多 个加密资产供应到所述电子设备。
【专利摘要】本发明公开了向设备供应加密资产的系统、设备和方法。一种方法包括:(a)在第一供应服务器处生成委派消息;所述委派消息指示由所述第一供应服务器向第二供应服务器委派的关于加密资产到电子设备的随后供应的供应权利,其中,生成所述委派消息包括以下中的至少一个:(A)向所述委派消息中插入对于所述第一供应服务器未知的并且使用所述电子设备的公钥对其进行加密的关联性密钥;(B)向所述委派消息中插入所述第二供应服务器的公钥;使所述电子设备能够在本地生成对于所述第一供应服务器未知的所述关联性密钥;(b)将所述委派消息传送到所述电子设备;(c)在所述第二供应服务器处,基于所述委派消息,使用所述关联性密钥,向所述电子设备供应加密资产。
【IPC分类】H04L9-32, H04L29-06
【公开号】CN104868998
【申请号】CN201510182003
【发明人】H·巴尔-埃尔, A·克利莫夫, A·沈
【申请人】迪斯克雷蒂克斯科技公司
【公开日】2015年8月26日
【申请日】2015年2月17日