TW200803392A - Method, device, server arrangement, system and computer program products for securely storing data in a portable device - Google Patents
Method, device, server arrangement, system and computer program products for securely storing data in a portable device Download PDFInfo
- Publication number
- TW200803392A TW200803392A TW95137273A TW95137273A TW200803392A TW 200803392 A TW200803392 A TW 200803392A TW 95137273 A TW95137273 A TW 95137273A TW 95137273 A TW95137273 A TW 95137273A TW 200803392 A TW200803392 A TW 200803392A
- Authority
- TW
- Taiwan
- Prior art keywords
- portable device
- encrypted
- data
- fragment
- key
- Prior art date
Links
Description
200803392 九、發明說明· 【發明所屬之技術領域】 本發明通常涉及保護儲存的數位資料以防止未授權存 取和使用的技術領域。更具體地,本發明涉及在携帶式電 子設備的未保護記憶體中的數位資料的安全儲存裝置。 【先前技術】 爲了針對諸如行動銀行等的機密應用使用携帶式電子 設備,用戶必須將可被分類爲秘密或機密的數位資料儲存 • 到設備的記憶體中。儲存的數位可以包括例如數位憑證或 加密密鑰,其本質上用作數位認證手段。能應請求提供特 定數位憑證的一方、或佔有並能夠使用特定加密密鑰的一 方具有對數位和服務的存取權,否則該資料或服務將對其 不可用。所儲存的機密資料可以包括例如根據標準X.509 的數位憑證、或PKI(公共密鑰基礎結構)排列的密鑰中的一 個。
許多携帶式設備,特別是行動電話,包括所謂的SIM ® (用戶認證模組),其重要的一部分是防竄改之記憶體。SIM 內儲存的數位資料在本質上是安全的,這是因爲,SIM僅 在用戶給出正確的PIN (個人認證號)或口令句(passphrase) 的情況下才允許存取其內容,並在嘗試不正確口令句達預 先定義(較少)數目後則永久自我封鎖。 SIM及本質上對應的防竄改之儲.存裝置的缺點在於: 除携帶式設備的專有的嵌入式操作系統之外’其對於其它 軟體來說一般是不可存取的,或者,其至少對於需要安全 200803392 的數位資料儲存裝置的所有應用程式來說是不可存取的。 例如,在撰寫本說明書的時期,許多携帶式設備爲運行第 三方軟體而提供JAVA環境,但是JAVA環境中執行的手機 程式(midlet)被拒絕存取該SIM的安全儲存能力(capability) 。一種被稱爲JSR_ 177的標準被認爲將對該問題提供至少 部分的補救,但是支持該標準的設備僅被預期將在未來出 現在市場上。 用於在普通的未保護記憶體中儲存機密數位資料的直 Φ 接解決方案是:將其以加密形式儲存,並且在每次用戶想 要使用該加密數位資料時,向用戶請求PIN或口令句。當 用戶給出其口令句時,隨著執行解密操作,其使機密資料 可符合當前需要。之後,消除明文(p 1 a i n t e X t,即機密資料 的解密形式),所以在下次需要它時,必須在新的PIN詢問 後再次解密它。 該直接解決方案的缺點是需要足夠強大的加密,隨之 而來的就是需要較大的密鑰空間。要求人類用戶記住非常 ® 長的口令句是不可行的。目前典型的PIN爲四位數位,其 意味著存在不超過10000個不同PIN,並且,任何方便的 口令句的合理長度極限不會非常高。如果對携帶式設備的 被加密但未被保護的記憶體內容正確地解密,僅需要適當 的四位PIN,那麼藉由將整個加密的記憶體下載至足夠強 勁的計算機,並嘗試所有可能的PIN直到獲得呈現包含有 意義訊息的結果爲止來破解保護是相對容易的。 能通過特殊密鑰實現之安全性的程度取決於加密演算 -6 - 200803392 法的品質、可用於破解嘗試的計算容量數、以及加密資料 失去其關聯性的期限。在撰寫本說明書的時期,倘若使用 例如AES(高級加密標準)的高品質加密演算法、以及例如 FIPS 140-2(其中,FIPS意指聯邦訊息處理標準)的良好密 鑰產生規範,則通常將1 2 8位元密鑰認定爲基本上無法破 解的。因爲密鑰中的每個新位元位置使得暴力破解嘗試成 功所需的時間倍增,所以增加密鑰長度則提高安全性。 還存在另一類解決方案,其中,用戶不給出作爲口令 句的字符串,而是允許設備讀取生物認證符(例如指紋)。 這些解決方案需要複雜的硬體,並且因而自然地更加昂貴 ,且與基於口令句的解決方案相比,更難於在實際情況中 實現。 【發明內容】 本發明的一個目的是:允許將機密數位資料安全地儲 存在電子設備的未保護記憶體中,而無需用戶記住並給出 過長的口令句。 通過儲存以強加密演算法加密的機密訊息來實現本發 明的目的,其長解密密鑰被儲存在被保護的伺服器上,並 僅允許對該被保護的伺服器的有限次數的存取嘗試。需要 簽名密鑰來進行存取嘗試,該簽名密鑰也已僅以加密形式 被儲存。不正常的用戶僅可以通過進行存取嘗試來測試其 解密簽名密鑰的成功,而被保護的伺服器將在少量不成功 的猜測之後阻斷進一步的嘗試。 200803392 根據本發明之方法的特徵在於,在針對方法的獨立項 要求的特徵部分中描述的特徵。 根據本發明之携帶式設備的特徵在於,在針對携帶式 設備的獨立項要求的特徵部分中描述的特徵。 根據本發明之伺服器配置的特徵在於,在針對伺服器 的獨立項要求的特徵部分中描述的特徵。 根據本發明之電腦程式產品的特徵在於,在針對電腦 程式產品之相應的獨立項要求的特徵部分中描述的特徵。 • 本發明背後的一個基本觀點是,如果攻擊者能在每次 嘗試後驗證其是否成功、並能繼續嘗試直到其成功爲止, 那麼,加密數位資料僅易被暴力攻擊破壞。這意味著,正 確解密的”明文”資料必須有某些價値。如果明文資料包括 某些易於理解的語言的單詞,則成功的量度是:已解密結 果和某些常用詞彙之間的比較是否產生任何匹配。如果明 文資料本身是解密密鑰,則將其應用於某個進一步的解密 操作必須隨後提供易於理解的結果等等。 ® 本發明重要的組成區塊(building block)是一種實際應 用’根據攻擊者能夠驗證其可能之暴力嘗試的成功的唯一 途徑是使用已解密的結果來存取服務,冒充是該服務的合 法用戶。該服務之提供側將僅充許非常有限次數的非成功 嘗試,之後阻擋該用戶(合法或冒充者)所進行的所有進一 步的嘗試。少量可允許的失敗意味著··在服務提供側作出 反應之前,暴力功擊者僅實現瀏覽了可能之密鑰空間的無 意義之一小部分。這隨意之意味著:密鑰空間甚至不需要 200803392 很大,也就是說,用戶所必須記住並給出的口令句係不會 很長。 根據本發明的另一方面,該服務並非僅是任意服務, 而是用戶對他自身所持有的或將獲取之機密資料的某個另 外之片段適當地解密所需的實際長密鑰的儲存裝置。強加 密演算法和長密鑰係保護該資料之另一片段的機密性。用 戶仍然不需要記住或給出該長密鑰,這是因爲,用戶能夠 每次以由服務提供側維護的安全儲存裝置獲取它。實際上 • ,因爲設備及所包含的軟體將以完全自動的方式處理長密 鑰,所以用戶甚至不需要知道長密鑰的存在。 當用戶想要對強加密數位資料的片段進行解密時,他 給出相對簡單的口令句。携帶式設備利用該口令句或其衍 生來解密所謂的請求密鑰或簽名密鑰,其爲對稱密碼系統 的密鑰、或構成非對稱密碼系統的密鑰對的一半。在對稱 系統的情況下,該密鑰的另一複製係僅以被服務提供側系 統所持有的方式存在。在非對稱系統的情況下,該密鑰對 # 的另一半係僅以被服務提供側系統所持有的方式存在。携 帶式設備係形成請求,用簽名密錄來對其至少一部分簽名 ,並將已簽名請求發送到服務提供側。 服務提供側系統利用其自己的密鑰的複製、或其自身 之密鑰對的一半來驗證來自合法方的請求。此後,服務提 供側系統提取在請求中指示的已儲存的強密鑰,並將其傳 送至用戶的携帶式設備。透過適當保護的傳送通道來產生 這種傳送。携帶式設備利用強密鑰或其衍生來對強加密數 -9- 200803392 位資料的實際片段進行解密,對其的需要啓動了整個處理 過程。然後’解密的結果或其衍生可以被用於需要機密資 料的任何需求(例如授權交易)。 本專利申請提供的本發明的範例實施例,不應被解讀 爲對所附加之申請專利範圍的應用性造成限制。動詞,,包括” 在本專利申請案中被用作開放的限制,並不排除還存在有 未描述之特徵。除非明確聲明,附屬項中描述的特徵是可 互相自由可組合的。 【實施方式】 第1圖示意性地說明根據本發明之實施例的系統的特 定設備和功能。設備1 〇 1較佳爲配備有固有通信能力的用 戶的携帶式終端,如蜂窩式通信系統的多功能携帶式終端 、或能夠進行無線通信的携帶式電腦。其還可爲帶有有線 網路連接的個人工作站。設備1 〇 1包括記憶體1 02,其不 需要具有任何固有的安全性特徵。例如,記憶體1 02可以 是携帶式終端的RMS (記錄管理系統)記憶體。 除了其它資料以外’儲存在記憶體1 0 2中的是兩段加 密數位資料。這些段資料中的第一段在此被稱爲簽名密鑰 ksign。它以力α密形式被儲存在記憶體102中’但它不需要 被強加密。這裡’將強加密視爲不可能被暴力攻擊所破解 :在撰寫本說明書的時期,一個強加密的例子是根據F 1 p s 140-2而選擇的具有128位元密鑰的AES。下述條件應用於 簽名密鑰KSign的”弱’’加密: i)只需要相對短的口令句用於解密。口令句的短是相 -10- 200803392 對槪念,但其應被理解爲意味著大多數人類用戶將會認爲 短到足以方便記住並輸入到電子設備的口令句長度。 2) 以不正確的口令句對加密簽名密鑰KSIGN的嘗試解 密,給出顯示爲正確解密簽名密鑰的某種現象。換言之, 只通過觀察解密嘗試的結果,不可能斷定該嘗試是否成功 。如果簽名密鑰KSIGN的解密形式是一段僞隨機資料,則 此條件最容易被滿足。 3) 需要用來正確解密KSIGN之口令句是易於通過類似 • 範例設備1 〇 1的設備的共同使用之輸入手段來給出的口令 句。因爲目前的大多數携帶式終端的共同特徵是數位鍵, 所以如果該口令句是數位串,則此條件最容易被滿足。 應注意,用戶將給出的口令句不必與演算法用來解密 簽名密鑰KS1CN的密碼元素相同。爲保持術語一致,保留 術語”口令句”以意指人類用戶向設備1 0 1給出的輸入片段 ’而使用名稱”弱解密密鑰”及符號UPASS以指示演算法用來 解釋密簽名密鑰KSIGN的密碼元素。uPASS是口令句的衍生 ® 。例如,UPASS可以是通過執行口令句的數位表示(或其 SHA-256散列(hash))與使用本發明的所有設備共同所需要 長度的位元串之間的邏輯(反或)而獲得的A E S密鑰。在本 質上,本發明不排除直接利用口令句或其散列作爲弱解密 密鑰。 被儲存在記憶體1 02中的加密數位資料的第二段在此 被指定爲憑證C。根據標準X· 5 09,憑證C可以包含私鑰 ’其在第1圖中未示出,但我們指定其爲交易密鑰KCa。 -11- 200803392 另外,第1圖中顯示爲憑證C的資料可以就是交易密鑰KCA 。不論加密數位資料的第二段的性質是什麼,都將其以強 加密形式儲存,在圖中通過雙線而以圖形方式示出加密的 強度。一個範例的強加密方法是具有FIPS 104-2密鑰、以 及至少128位元(較佳爲256位元)的密鑰長度的AES。包 含加密數位資料之記憶體的第二段的部分可被稱爲密鑰儲 存(keystore) 1 03,經常使用其首字母縮寫詞KS。一種可能 性是始終將密鑰儲存1 03的全部內容保持爲強加密,無論 其中已儲存了什麼資料(如果有的話)。 爲了解密該加密數位資料的第二段,需要強密鑰kks 。再次地,其不必是演算法將作爲用於解密的實際密碼元 素來使用的強密鑰KKS本身;該實際密碼元素在此被稱爲 「強解密密鑰」KSD,例如,其可以是強密鑰KKS與用戶給 出的口令句(或口令句的散列)之間的X0R操作的結果。一 個重要的安全規則是,將強密鑰KKS或從其導出的強解密 φ 密鑰KSD儲存在設備1〇1中的時間不長於正在進行之解密 操作所需要的時間。這種重要的密碼元素被保持儲存的時 間越長,未授權方以一種或另一種途徑獲得對它的存取的 可能性就越大。 第1圖還顯示了設備1 0 1的兩個功能塊,其被稱爲智 能簽名器104和交易簽名器105。這些功能塊一般是用於 處理和傳送對交易的請求和指令的軟體過程。這些處理的 目的和操作在後面將更詳細地討論。此外,設備丨〇〗包括 -12- 200803392 至少一個收發器106。 服務提供側系統1 Π中的伺服器配置包括:網路介面 1 1 2,其適於安排與用戶設備的通信;請求處理器1 1 3 ;以 及儲存手段,其在第1圖中顯示爲驗證密鑰儲存裝置114 和強密鑰儲存裝置1 1 5。前者的目的是儲存與用戶設備中 存在的簽名密鑰具有——對應關係的密鑰。在對稱密碼系 統的情況下,這意味著用戶的簽名密鑰的正確的複製;在 不對稱密碼系統的情況下,這意味著其在用戶設備中存在 H 之一半的密鑰對的另外一半。 當從用戶設備傳來已簽名的請求時,請求處理器113 利用從驗證密鑰儲存裝置1 1 4讀取的對應密鑰、或密鑰對 的對應另一半,來驗證該簽名。在成功驗證後,請求處理 器1 1 3從強密鑰儲存裝置1 1 5提取適當的所請求的強密鑰 ,並將其傳送到請求中的用戶設備。網路介面112包括用 於建立並維持安全連接的必要手段,其中需要該安全連接 來與用戶設備交換機密訊息。 ® 服務提供側系統1 1 1也被顯示來包括交易處理器1 1 6 。我們可以假設用戶最終目的是執行交易,該交易將被交 易處理器1 1 6處理,但僅當用戶能夠正確解密並使用在用 戶設備1 〇 1的記憶體1 〇2中儲存的加密數位資料的第二段 時才成功。不必在請求處理器113和儲存裝置114及115 的同一系統中具有交易處理器11 6 ;實際上,用戶希望執 行的交易可以在與完全不同的服務提供側以及各自的完全 不同的服務提供側系統的通信中發生。 -13- 200803392 第2圖示出了在第1圖之系統中可能發生的事件的範 例序列。作爲工作的範例劃分,我們假設用戶設備包括: 應用程式,其組織事件的進程;智能簽名器程式,其執行 涉及請求訊息的特定任務;以及交易簽名器程式,其執行 涉及交易的特定任務。該劃分在本質上只是範例,並且, 可在用戶設備中以多種替代式來配置相應的功能塊。 在步驟201,用戶向用戶設備給出命令,以啓動執行 交易所需要的應用程式。如果需要,步驟2 0 1可以要求用 • 戶給出PIN號、或應用程式爲了開始執行而需要的其它用 戶特定碼。在步驟202,用戶設備通知用戶:在能夠執行 交易前需要口令句。在步驟2 0 1和2 0 2之間可能已有其它 步驟,其中,用戶已定義其想要執行哪個類型的交易。 在步驟203,用戶給出其口令句。用戶設備將該口令 句轉發到智能簽名器,在步驟204,智能簽名器利用該口 令句而導出弱解密密鑰。如前所述,在最簡單的儈況中, 步驟204僅意著採用口令句的數位表示來用作弱解密密鑰 ® ,而更複雜的替代情況包括(但不限於):從口令句的數位 表示來計算出散列,並進行該散列和某些預設位元串之間 的XOR操作。 在步驟2 0 5,智能簽名器利用弱解密密鑰來解密簽名 密鑰KS1GN,其中,智能簽名器已以加密形式從用戶設備的 記憶體提取了簽名密鑰KS1GN。在步驟206,智能簽名器組 成請求訊息,其目的向服務提供側系統指示:用戶需要特 定的強密鑰。請求訊息的實際組成可以在早先(例如’在步 -14- 200803392 驟201和202之間)就已經有效。真正需要簽名密鑰KSIGn 的是步驟207,其中,用戶設備對請求訊息進行簽名。從 標準PKI文獻中,對訊息進行數位簽名的一般處理係眾所 公知。對於本發明之目的,假設在步驟2 0 7利用簽名密鑰 KSIGN來處理在步驟206組成的請求訊息的至少一部分就 足夠了,使得相應的逆處理僅對擁有同樣的密鑰(在對稱密 碼情況下)、或簽名密鑰KSIGN是其第一半之密鑰對的另一 半的一方才是可能的。 • 在步驟2 0 8,智能簽名器將完整的已簽名請求訊息返 回到應用程式,在步驟209,該應用程式將該訊息傳送到 服務提供側系統。在步驟2 1 0,服務提供側系統中的請求 處理器識別出所涉及的用戶帳戶,且在步驟2 1 1中,尋找 對應的驗證密鑰(上面提到之同樣的密鑰、或"另一半")並驗 證簽名。如果簽名不能被驗證,則操作在此停止,這是因 爲,驗證的失敗指示:用戶由於錯誤、或因爲他不是合法 用戶且不知道正確的口令句而在步驟203給出了錯誤的口 _令句。 我們假設在步驟2 1 1驗證成功。在步驟2 1 2,在用戶 設備和服務提供側系統之間建立安全通信連接’如已知的 SSL(安全套接層)連接。這可在早先就已經實現’例如’使 得在步驟209的傳送可能已通過安全連接發生。在步驟2 1 3 ,請求處理器提取所請求的強密鑰KKS,且在步驟2 1 4中 ,請求處理器將其通過安全連接傳送到用戶設備。 在已接收到強密鑰KKS之後,在步驟2 1 5 ’用戶設備 -15- 200803392 中的應用程式將其轉發到交易簽名器,在步驟2 1 6,該交 易簽名器利用強密鑛Kks導出強解密密鐘KsD。再次如前 所述,在最簡單的情況下,步驟2 1 6僅意味著採用強密鑰 KKS來用作強解密密鑰KSD,同時,更複雜的替代情況包括 (但不限於):可能提示用戶再次給出他的口令句(或從臨時 儲存裝置讀取早先在步驟203給出的〇令句),從口令句的 數位表示計算出散列(或從臨時儲存裝置讀取.早先在步驟 2 04計算的散列),並且進行該散列和所接收的強密鑰KKS • 之間的XOR(反或)操作。 在步驟2 1 7,交易簽名器係使用強解密密鑰KSD來解 密密鑰儲存的內容,其包括憑證C和交易密鑰KCA。在步 驟2 1 8中組成交易訊息,其目的是向服務提供側系統給出 用來執行交易的命令。這可能在早先就已經完成,甚至早 先在步驟201和202之間、或在其花費時間來請求和接收 強密鑰的期間就已經完成。在步驟2 1 9,用戶設備利用憑 證C和/交易密鑰KCA來處理交易訊息,使得其變爲已被密 ® 碼保護。作爲代表性的範例,用戶設備通過交易密鑰KCA 對交易訊息進行數位簽名。 在步驟220,交易簽名器將完整的、已被密碼保護的 交易訊息返回到應用程式,且在步驟2 2 1中,該應用程式 將訊息轉發到服務提供側系統。步驟222包括校驗交易訊 息的完整性和驗證簽名,且如果這些正常地成功,則允許 交易執行。再次應注意的是,步驟22 1的傳送可以轉到(並 且,因此實際交易可發生在)完全不同於服務提供側系統的 -16- 200803392 某處,其中用戶在步驟20 9-2 14從該服務提供側系統請求 並獲得強密鑰。 數位簽名一般意味著通過某些適合的單向散列演算法 、如已知的HMAC (散列訊息認證碼)來計算出數位簽名。通 過利用用戶設備和服務提供側系統二者上的同步計數器, 能給步驟209、2 1 4和22 1增加更多的安全性。計數器値較 佳爲1 2 8位元或更大的大整數値,並較佳以僞隨機順序進 行,使得通過得知一個計數器値,由於某種原因滲透到通 # 信連接的不正當的一方將仍會在嘗試猜測下一個計數器値 上有困難。可以存在用於不同種類交易的不同的順序計數 器、以及用於上行鏈路和下行鏈路方向的不同的計數器、 或用於特定用戶和特定服務提供側之間的所有流量(traffic) 的單個計數器、或這兩個極端極限之間的任何混合。在每 次用於簽名或簽名驗證之後,增加順序計數器的値。然後 ,輸入到散列演算法的値爲訊息資料(或其預定部分)、從 順序計數器獲得的計數器値或計數器値的衍生、以及用於 ^ 簽名的密鑰的至少一部分。 爲了考慮到計數器中輕微不同步的可能原因,可取的 是:如果驗證方法不能以單次嘗試來重建正確的簽名,則 其以在接近第一次嘗試値的可允許計數器値之預定窗的範 圍內的少量其它計數器値來試驗。如果這些値中的一個給 出匹配,則驗證者告訴其適當的順序計數器來儲存該値爲 當前値。如果可允許的計數器値均未給出匹配,則應警告 並提示通信方,以找出不同步的原因。 -17- 200803392 在前面某一階段,已發生設定階段(setuP Phase) 導致這樣的狀態,其中,用戶設備和服務提供側系統 存了適當的密鑰,且用戶設備擁有在後面的過程階段 要的密碼演算法及其它功能塊。參考第3圖,下面說 現該安裝階段的有利方法。第3圖中示出的手段和功 是範例性的,且對以有利的方式執行安裝階段來說具 定的重要性。可將第3圖考慮爲既示出設備類型特徵 示出特定方法步驟。 馨 目的是建立至少一個共享秘密(s e c r e t),且向用戶 3 1 1配備其共享秘密的複製、以及其在進一步的操作 需要的必要的客戶端程式。在第3圖中,我們已選擇 種方法,其中,服務提供側系統產生共享秘密,其中 享秘密施加自然的附加限制,即其必須被盡可能安全 交到用戶設備3 1 1。具體地,我們假設共享秘密與上 名密鑰KSIGN和憑證c是可比較的。 服務提供側系統301的產生器302產生共享秘密 ® 密鑰和憑證)。這些如這樣被儲存到服務提供側的機密 裝置3 03,其中,我們假設該機密儲存裝置被嚴密保 以防止任何未授權的存取。將共享秘密的用戶複製不 段發送到用戶設備3 1 1,而是最有利地被分爲兩半, 沒有一半是如這樣的完整的密鑰或憑證。其中一半被 (baked into)"至將被遞交到用戶終端的客戶端程式。我 其爲使客戶端程式個人化;在第3圖中,範例性地該 客戶端程式個人化器3〇4,其從產生器3 02接收共尊 ,這 已儲 所需 明實 能塊 有特 ,又 設備 中將 了一 該共 地遞 述簽 (即, 儲存 護、 是以 使得 ”燒入 :們稱 ί明了 =秘密 -18- 305 200803392 的適當的一半,並利用它來使從客戶端程式儲存裝置 讀取的一般的客戶端程式個人化。未用於客戶端程式 化的其餘一半可被稱爲啓動碼。 服務提供側系統3 0 1包括第一傳送手段3 06及第 送手段3 07,其分別將啓動碼和已個人化之客戶端程 送到用戶設備3 11。該傳送裝置的實現對本發明來說 要,而僅依賴於將被用於傳送的第一通道3 2 1和第二 3 22的選擇。因爲第二通道3 22必須傳遞已個人化之 ^ 端程式,所以其必須是一種可應用於輕易地轉移整個 文件的通道。第二通道3 2 2 —般包括無線資料連接、 資料下載連接(電纜、藍牙、紅外線等)、携帶式記憶 段、或這些的任意組合。因爲執行安裝階段需要安全 證相互雙方,所以,需要其物理上在服務提供側或其 代表的前提下發生不是不合理的(但也不是強制的,如 別的方式達到所需安全級別的話)。 第一通道32 1必須只傳遞相對短的啓動碼,一般 ^ 選擇通道類型方面給出更多自由度的字符串。能在一 上或屏幕上向用戶顯示啓動碼,或能將其在因網際網 其它任何遠程通信網路等上傳送。爲維持設定階段的 性’可取的是:第一和第二通道321和3 22彼此足夠 同’以使不正當的一方不可能同時滲透它們二者。 用戶設備3 1 1通過第一接收手段3 1 2接收啓動碼 通過第二接收手段3 1 3接收已個人化之客戶端程式。 次地,接收手段的實際的實現對本發明來說不重要, 個人 二傳 式傳 不重 通道 客戶 數位 短程 體手 地認 授權 果以 是在 張紙 路或 安全 地不 ,並 再一 而僅 -19· 200803392 依賴於通道的選擇。第二接收手段3 1 3可以是例如遠程或 短程資料通信收發器,而第一接收.手段3 1 2可以是例如短 訊息接收器、或甚至簡單如按鍵,用戶將通過其輸入他已 在紙上或網頁上看到的啓動碼。用戶設備將接收到的客戶 端程式儲存到客戶端程式儲存裝置3 1 4中。 基本上有兩個選項:僅以其被接收的形式將共享秘密 的第二半部與已個人化之客戶端程式一起儲存;或者(如同 我們已在第3圖中所假設)替代地或附加地,用戶設備從已 個人化之客戶端程式提取第二半部,並在組合器3 1 5中將 其與第一半部(啓動碼)組合,以獲得原始的共享秘密。在 上述第一選項中,組合器315是不重要的部分(triviality) ,且在加密器3 1 6結束的只是啓動碼。在任何情況下,加 密器利用用戶通過口令句輸入手段3 1 7給出的機密口令句 ,對其接收的共享秘密加密。我們應該注意到,第3圖中 的區塊3 1 7可能物理上與例如區塊3 1 2 —樣,尤其是當它 是按鍵時。 用戶設備將已加密的共享秘密儲存在儲存裝置3 1 8中 ’並從其記憶體消除該共享秘密的所有明文形式。最後提 到的動作、以及儲存裝置3 1 8不需要是安全的、已保護之 記憶體的片段的這個事實,緊密地涉及一個原則,即:任 何非正當者都不具有任何有效的手段可用來成功測試其暴 力破譯加密。 至少存在兩個共享秘密(其在上面的描述中已呈現爲 簽名密鑰KSIGN和憑證C)的事實可以以各種方式影響第3 圖中的事件的程式。上面我們建議了 :兩個共享秘密均可 -20· 200803392 在單次運行通過已描述的事件的期間都能被遞交到用戶設 備。還可能在兩個不同的過程中遞交該共享秘密’使得以 兩半的方式遞交簽名密鑰KSIGN,其中一半被用於使智能簽 名器程式個人化,且以兩半方式分開地遞交憑證c ’其中 一半被用於使交易簽名器程式個人化。還可能的是:僅將 第3圖的過程應用於遞交該兩個共享秘密中的一個,而以 某個其它方式將另一個遞交到用戶設備。 第4圖示出了 一種替代密鑰產生器302’,其在使用非 φ 對稱密碼的情況下被使用在服務提供側系統中。密鑰產生 器302’適合產生非對稱密碼系統的至少一個密鑰對。該密 鑰對的一個密鑰保持在服務提供側系統的密鑰儲存中,而 該密鑰對的另一個密鑰被進一步分成兩個部分,其中一部 分被直接傳送給用戶,而另一部分被用於使客戶端程式個 人化。密鑰對的兩個密鑰都不被公開。應該注意,非對稱 密鑰配置比對稱的需要更多的記憶體和處理能力,這使得 第3圖的對稱密鑰方法在許多應用環境中相當有利。 • 上述範例實施例不應該被解釋爲設置僅僅對指定的特 定實施例的限制。例如,盡管在撰寫本說明時蜂窩式電話 是到目前爲止人們始終携帶的最普遍的携帶式通信設備, 但用戶的携帶式設備並不需要是蜂窩式電話這是因爲用戶 將不需要獲取任何額外的硬體而使其成爲用戶設備的好選 擇。不應將術語解讀成導致非必要限制的本發明的另一點 是給出口令句的步驟,其不必意味著以適當的順序按下某 些鍵。它可能引用其它形式的輸入訊息,包括讓用戶設備 -21- 200803392 讀取用戶的生物認證符。 【圖式簡單說明】 被考慮爲本發明特徵的新穎性特徵,在所附屬項要求 中特別闡明。然而,當聯系附圖閱讀時,本發明本身、及 其解釋和操作方法,和其額外目的和優點一起,從下面具 體實施例的描述中將會被最好地理解。 第1圖係表示用戶設備和服務提供側的伺服器排列的 配置。 • 第2圖係表示從携帶式設備之記憶體取回機密資料的 解密形式的事件的過程。 第3圖係表示將共享秘密和個人化的客戶端程式遞交 到用戶設備的範例方法。 第4圖係表示對第3圖的配置的替代密鑰產生器。 【主要元件符號說明】 10 1 携 帶 式 設 備 102 記 憶 體 103 密 鑰 儲 存 104 智 能 簽 名 器 105 交 易 簽 名 器 106 收 發 器 111 服 務 提 供 側 系 統 112 網 路 介 面 113 三主 求 處 理 器 114 驗 證 密 鑰 儲 存 裝置 •22- 200803392
115 強 密鑰 儲 存 裝 置 116 交 易處 理 器 301 服 務提 供 側 系 統 302 產 生器 303 服 務提 供 側 的 機 密 儲存裝置 304 客 戶端 程 式 個 人 化 器 305 客 戶端 程 式 儲 存 裝 置 306 第 一傳 送 手 段 307 第 二傳 送 手 段 3 12 第 一接 收 手 段 3 13 第 二接 收 手 段 3 14 客 戶端 程 式 儲 存 裝 置 3 15 組 合器 3 16 加 密器 3 17 P 令句 輸 入 手 段 3 18 儲 存裝 置 32 1 第 一通 道 322 第 二通 道 -23-
Claims (1)
- 200803392 十、申請專利範圍: 1. 一種用於將資料安全地儲存到携帶式設備(101)中的方法 ,包括: 將機密資料(C)之片段以加密形式儲存(3 18)到該携 帶式設備(101)的記憶體(102)中,以及 將對該機密資料(C)之片段進行解密所需的解密密 鑰儲存(3 03)到不同於該携帶式設備(101)的服務提供側 系統(1 1 1)中,該解密密鑰對請求有效; • 其特徵在於,該方法包括: 將已加密數位之資料(KSIGN)之片段儲存(3 18)到該 携帶式設備(101)的記憶體(102)中,並從該携帶式設備 (101)消除該機密資料(C)之片段及該已加密數位之資料 (KSIGN)之片段二者的所有解密形式,以及 將與該已加密數位之資料(Ksign)之片段具有密碼一 一對應關係的數位資料之片段儲存(3 03)到該服務提供側 系統(1 1 1)中; # 其中,對該已加密數位之資料(Ksign)之片段的加密 進行解密係要求用戶向該携帶式設備(1 〇 1)給出口令句, 且其中,使得該服務提供側系統(1 1 1)回應於具有該已加 密數位之資料(KSIGN)之片段的解密形式且被以密碼方式 處理的請求,因此對於這種請求的回應係包括將該解密 密鑰遞到該携帶式設備(1 〇 1)。 2. 如申請專利範圍第1項之方法’其中該已加密數位之資 料(KSIGN)之片段係已加密之數位簽名密鑰’且與已加密 -24- 200803392 數位之資料(KSIGN)的片段具有密碼化之一對一對應關係 的該數位資料之片段係對應於該已加密數位之資料 (KSIGN)的數位簽名驗證密鑰,因此使該服務提供側系統 (111)對以該數位簽名密鑰的解密形式而被數位簽名的請 求作出回應。 3 ·如申請專利範圍第1項之方法,其中該將機密資料之片 段以加密形式儲存到該携帶式設備(1 0 1)的記憶體中、以 及將已加密數位之資料之設備儲存到携帶式設備(101)的 記憶體中的步驟中的至少一個係包括: 在該服務提供側系統(111)中產生(3 02)並儲存(3 03 ) 共享秘密, 將產生的共享秘密的第一部分遞交(3 0 6,312,321) 到該携帶式設備(1 〇 1), 藉由將不同於該第一部分而產生的共享秘密之第二 部分包括到客戶端程式中,而使該客戶端程式個人化 (3 04),並將個人化的客戶端程式透過與用於遞交所產生 的共享秘密之第一部分的遞交通道不同的遞交通道(3 22) 來遞交(3 07, 3 1 3, 3 22)到該携帶式設備(1〇1),以及 在該携帶式設備(1 〇 1)中組合(3 1 5 )共享秘密的第一 部分和第二部分,對該組合的結果加密(3 1 6),並將加密 的結果儲存(3 18)到該携帶式設備(1〇1)的記憶體(102)中。 4 . 一種用於携帶式設備(1 〇 1)之方法,用於取回以加密形式 儲存在該携帶式設備(1〇1)的記憶體(1〇2)中的機密資料 (C)之片段的解密形式,該方法係包括從該携帶式設備 (101)外部請求(2〇9)並接收(2 14)對機密資料之片段進行 -25- 200803392 解密所需的解密密鑰,其特徵在於’該方法包括: 接收來自該携帶式設備(101)之用戶的(2 03) 口令句, 利用(2 04, 205),該口令句來對在該携帶式設備(101) 之記憶體(102)中儲存的已加密數位之資料(KSiGN)之片 段進行解密, 產生(2 0 6)請求訊息,並利用已解密的數位資料之片 段來以密碼方式處理(207)該請求訊息, 將以密碼方式處理的請求訊息傳送(209)到該服務提 • 供側系統(1 1 1), 從該服務提供側系統(111)接收(2 14)解密密鑰,以及 利用(216,2 17)所接收的解密密鑰來對機密資料(C) 之片段進行解密。 5·如申請專利範圍第4項之方法,其中該已加密數位之資 料(KSIGN)之片段係已加密的數位簽名密鑰,並且以密碼 方式處理(20 7)該請求訊息包括:利用該數位簽名密鑰的 解密形式來對該請求訊息進行數位簽名。 ® 6·如申請專利範圍第4項之方法,其中該機密資料(C)之片 段是係數位憑證,並且該方法包括:在已使數位憑證解 密後,利用已解密的數位憑證在命令遠端系統執行交易 (222)的期間來認證(218,219,220,221)該携帶式設備 (1 0 1)的用戶端。 7·—種用於將資料安全地儲存在携帶式設備(1 〇1)中之系統 ,該系統包括: 携帶式設備(1 〇 1 ),其具有接收器(1 〇 6)和用於以加密 -26- 200803392 形式儲存機密資料(C)之片段的記憶體(102), 伺服器配置(111),其具有用於與該携帶式設備(101) 通信的網路介面(112)、以及用於儲存對機密資料(C)之片 段進行解密所需的解密密鑰的密鑰儲存裝置(115), 其特徵在於: 該携帶式設備(1 0 1)係適於儲存已加密數位之資料 (KSIGN)之片段,並從携帶式設備(101)消除該機密資料(C) 之片段以及該已加密數位之資料(KSIGN)之片段二者的所 有解密形式, 該伺服器配置(111)係適於儲存與該已加密數位之資 料(KS1GN)的片段具有密碼化之一對一對應關係的數位資 料之片段, 該携帶式設備(1 0 1)係適於要求用戶給出的口令句, 利用給出的口令句來對該已加密數位之資料(KSIGN)之片 段的加密進行解密,並利用該數位資料的解密形式來產 生並以密碼方式處理請求訊息, 該伺服器配置(111)係適於驗證從該携帶式設備(1 〇 1) 接收的請求訊息,並藉由將該解密密鑰遞交到該携帶式 設備(10 1)來回應已驗證的請求訊息,以及 該携帶式設備(101)適於利用由該伺服器配置(111) 所遞交的該解密密鑰來對機密資料(C)之片段進行解密。 8.—種用於安全地儲存資料的携帶式設備(101),其包括接 收器(106),和用於以加密形式儲存機密資料(C)之片段的 記憶體(102),其特徵在於: 該携帶式設備(1 〇 1)係適於儲存已加密數位之資料 -27- 200803392 (KSIGN)之片段,並從該携帶式設備(101)消除該機密資料 (c)之片段以及該已加密數位之資料(KSIGN)之片段二者 的所有解密形式, 該携帶式設備(101)係適於要求(202)用戶給出口令 句,利用給出的口令句來對該已加密數位之資料(KSIGN) 之片段的加密進行解密,利用該數位資料的解密形式來 產生並以密碼方式處理請求訊息(209),並將以密碼方式 方法的請求訊息遞交到服務提供側系統(111),以及 該携帶式設備(1 01)適於從該服務提供側系統接收 (2 14)解密密鑰,作爲對傳送以密碼方式處理的請求訊息 的回應,並利用由服務提供側系統遞交的解密密鑰來對 機密資料(C)之片段進行解密。 9 .如申請專利範圍第8項之携帶式設備(1 〇 1 ),其中爲了接 收並儲存該機密資料之片段和該數位資料之片段的其中 至少一個,該携帶式設備包括: 第一接收手段(3 12)和第二接收手段(313), 組合器(315),其適於組合透過該第一接收手段(312) 接收之共享秘密的第一部分,以及透過該第二接收手段 (3 13)接收之共享秘密的第二部分,以及 加密器(3 1 6),其適於對該組合器的輸出進行加密, 並將加密的結果儲存到記憶體(1 〇2)中。 如申請專利範圍第8項之携帶式設備(1〇1),其中適於儲 存加密形式的該機密資料(C)之片段,以及該已加密數位 之資料(KSIGN)之片段的記億體(102)是未保護的記憶體。 -2 8 - 200803392 # 1 1 · 一種用於携帶式設備(1 ο 1)之電腦程式產品,用於安全地 將資料儲存在該携帶式設備(1 〇 1 )中,該電腦程式產品係 包括電腦程式手段,當被載入電腦時,電腦程式手段使 電腦以加密形式儲存機密資料(c)之片段,其特徵在於, 該電腦程式產品包括: 電腦程式手段,當被載入電腦時,其使電腦儲存已 加密數位之資料(KS1GN)之片段,並從電腦消除該機密資 料(C)之片段及該已加密數位之資料(KsiGN)之片段二者 Φ 的所有解密形式, 電腦程式手段,當被載入電腦時,其使電腦要求(2 〇 2 ) 用戶給出口令句,利用給出的口令句來對該已加密數位 之資料(K s Ϊ G N )之片段的加密進行解密(2 〇 4,2 0 5 ),並利用 該數位資料的解密形式來產生(2 06)和以密碼方式處理 (2 〇 7 )請求訊息,並將以密碼方式處理的請求訊息傳送 (209)到服務提供側系統(111),以及 電腦程式手段,當被載入電腦時,其使電腦從該服 ® 務提供側系統(111)接收(21 4)解密密鑰來作爲對傳送以 密碼方式處理之請求訊息(2 09)的回應,並利用由該服務 提供側系統(111)遞交的解密密鑰對機密資料(C)之片段 來進行解密。 -29-
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20051022A FI20051022A (fi) | 2005-10-11 | 2005-10-11 | Menetelmä, laite, palvelinjärjestely, järjestelmä ja tietokoneohjelmatuotteet datan tallentamiseksi turvallisesti kannettavassa laitteessa |
Publications (1)
Publication Number | Publication Date |
---|---|
TW200803392A true TW200803392A (en) | 2008-01-01 |
Family
ID=35185163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW95137273A TW200803392A (en) | 2005-10-11 | 2006-10-05 | Method, device, server arrangement, system and computer program products for securely storing data in a portable device |
Country Status (3)
Country | Link |
---|---|
CN (1) | CN1949196A (zh) |
FI (1) | FI20051022A (zh) |
TW (1) | TW200803392A (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9021601B2 (en) * | 2009-10-23 | 2015-04-28 | Vasco Data Security, Inc. | Strong authentication token usable with a plurality of independent application providers |
US9705674B2 (en) * | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
US10460314B2 (en) * | 2013-07-10 | 2019-10-29 | Ca, Inc. | Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions |
US10541811B2 (en) * | 2015-03-02 | 2020-01-21 | Salesforce.Com, Inc. | Systems and methods for securing data |
EP3443462B8 (en) | 2016-04-14 | 2022-05-18 | Sequent Software Inc. | System and method for generation, storage, administration and use of one or more digital secrets in association with a portable electronic device |
-
2005
- 2005-10-11 FI FI20051022A patent/FI20051022A/fi not_active IP Right Cessation
-
2006
- 2006-10-05 TW TW95137273A patent/TW200803392A/zh unknown
- 2006-10-11 CN CN 200610136116 patent/CN1949196A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
FI20051022A0 (fi) | 2005-10-11 |
FI20051022A (fi) | 2007-04-12 |
CN1949196A (zh) | 2007-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101237632B1 (ko) | 토큰과 검증자 사이의 인증을 위한 네크워크 헬퍼 | |
CN108377190B (zh) | 一种认证设备及其工作方法 | |
US8407475B2 (en) | Augmented single factor split key asymmetric cryptography-key generation and distributor | |
US7734045B2 (en) | Multifactor split asymmetric crypto-key with persistent key security | |
US7571471B2 (en) | Secure login using a multifactor split asymmetric crypto-key with persistent key security | |
US8099607B2 (en) | Asymmetric crypto-graphy with rolling key security | |
US8719952B1 (en) | Systems and methods using passwords for secure storage of private keys on mobile devices | |
US7711122B2 (en) | Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys | |
US9071426B2 (en) | Generating a symmetric key to secure a communication link | |
US8775794B2 (en) | System and method for end to end encryption | |
EP4016920A1 (en) | Confidential authentication and provisioning | |
US20020038420A1 (en) | Method for efficient public key based certification for mobile and desktop environments | |
EP1383265A1 (en) | Method for generating proxy signatures | |
US20030115452A1 (en) | One time password entry to access multiple network sites | |
CN109861813B (zh) | 基于非对称密钥池的抗量子计算https通信方法和系统 | |
WO2002033521A2 (en) | Method and apparatus for controlling access to functions with different security levels | |
WO2006119184A2 (en) | Protecting one-time-passwords against man-in-the-middle attacks | |
EP3476078B1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
WO2005008950A1 (en) | Secure seed generation protocol | |
US20110162053A1 (en) | Service assisted secret provisioning | |
CN111526007B (zh) | 一种随机数生成方法及系统 | |
US20210392004A1 (en) | Apparatus and method for authenticating device based on certificate using physical unclonable function | |
JP6627043B2 (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
US20020018570A1 (en) | System and method for secure comparison of a common secret of communicating devices | |
US7360238B2 (en) | Method and system for authentication of a user |