CN101268653B - 在通信环境中使用的通用会话密钥的预生成 - Google Patents
在通信环境中使用的通用会话密钥的预生成 Download PDFInfo
- Publication number
- CN101268653B CN101268653B CN2006800341781A CN200680034178A CN101268653B CN 101268653 B CN101268653 B CN 101268653B CN 2006800341781 A CN2006800341781 A CN 2006800341781A CN 200680034178 A CN200680034178 A CN 200680034178A CN 101268653 B CN101268653 B CN 101268653B
- Authority
- CN
- China
- Prior art keywords
- session key
- key
- encrypted
- encrypted session
- pool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
预先生成通用会话密钥并将其存储在会话密钥池中以供以后在通信环境内通信时使用。用存储这些密钥的实体的私有密钥预加密存储在所述池中的会话密钥。为了在实体之间通信,从池中提取预加密的会话密钥,然后用目的地实体的公共密钥对其进一步加密,以保证数据完整性和数据机密性。然后将加密的密钥转发到目的地实体并在两个实体之间的通信期间使用该加密的密钥。
Description
技术领域
本发明通常涉及在通信环境中提供保密通信(securecommunication),具体而言,本发明涉及预生成用于在这样的环境中提供保密通信的通用会话密钥。
背景技术
会话密钥用来在通信环境的两个实体之间的通信中提供数据完整性和数据机密性。会话密钥仅仅在实体之间的连接是活动的时间期间是有效的。当连接结束时,会话和会话密钥的有效性也结束。
有各种类型的会话密钥和用于生成这些密钥的不同技术。一种类型的会话密钥是对称会话密钥,其中通信的两个实体,诸如在集群环境中的服务器和客户机,使用同一密钥。在一个例子中,这种类型的密钥是通过使服务器生成对称密钥并且随后把它分发给客户机而生成的。对称会话密钥的分发是通过用服务器的私有密钥给会话密钥签名和用客户机的公共密钥加密它以便提供数据完整性和数据机密性而进行保密的。
用私有密钥签名涉及用私有密钥加密消息摘要,这是慢的操作。在恢复情形下这是特别麻烦的。例如,假设管理域集群的管理服务器关断,然后恢复。管理服务器必须建立预先存在的、与集群中的每个客户机的通信信道。因此,服务器必须为管理域集群中的每个客户机生成新的会话密钥并将其分发给每个客户机。在大的集群(诸如,例如具有多于1024个节点的集群)中,这个操作在性能方面代价非常高。性能上的这种成本阻碍了可恢复性和可得到性。它也负面影响缩放尺寸。
根据上述内容,存在对于一种提供可用于在通信环境的各方之间提供保密通信的会话密钥的增强技术的需要。
发明内容
通过提供如权利要求1中要求的、用于提供在通信环境内通信中使用的会话密钥的方法,来克服现有技术的缺点和提供附加的优点。
优选地,该方法包括,例如,从会话密钥二元组池中任意选择会话密钥二元组以在通信环境的第一实体和通信环境的第二实体之间通信中使用,会话密钥二元组池提供多个会话密钥二元组,其中会话密钥二元组包括用第一实体的私有密钥预先加密的、但对于第二实体通用的会话密钥,以及具有未加密形式的同一会话密钥;从任意选择的会话密钥二元组中提取预先加密的会话密钥;用第二实体的公共密钥加密预先加密的会话密钥以提供进一步加密的会话密钥;以及把进一步加密的会话密钥发送到第二实体,以便在与第一实体的通信中使用。
这里还描述和要求与上面概述的方法相对应的系统和计算机程序产品。其它特征和优点通过本发明的技术来实现。这里还详细地描述了本发明的其它实施例和方面,并把它们看作是所要求的发明的一部分。
附图说明
在说明书的结尾具体指出了并在权利要求中作为例子明确要求了本发明的一个或多个方面。从以下结合附图做出的详细说明中将明白本发明的上述和其它目的、特征和优点,其中:
图1图示了结合和使用本发明的一个或多个方面的通信环境的一个实施例;
图2图示了按照本发明的方面的、图1的通信环境的进一步细节;
图3图示了按照本发明的方面使用的预先生成的会话密钥的高速缓存器的一个例子;
图4图形地图示了按照本发明的方面的、选择和传送会话密钥的一个例子;
图5图示了按照本发明的方面的、与建立两个实体之间的连接相关的逻辑的一个实施例;
图6图示了按照本发明的方面的、与管理会话密钥的高速缓存器相关的逻辑的一个实施例;
图7图示了按照本发明的方面的、与生成会话密钥相关的逻辑的一个实施例;以及
图8图示了按照本发明的方面的、与得到会话密钥相关的逻辑的一个实施例。
具体实施方式
按照本发明的方面,预先生成会话密钥,并把所述会话密钥保存在会话密钥池中。这个池的会话密钥是通用的,原因在于这些密钥不依赖通信环境的特定目的地实体(例如,目的地节点)。例如,所述池的任何会话密钥可以由一个实体选择,并被分发到所选择的目的地实体以使得这些实体可以通信。为了在两个实体之间提供保密通信,一旦从池中取得会话密钥,随后就用目的地实体的公共密钥加密该会话密钥。然而,在密钥处在池中时,它并非专用于该目的地实体。这提供了在创建、选择和分发在通信环境内的通信中使用的会话密钥方面的灵活性和简易性。
在图1中图示了结合和使用本发明的一个或多个方面的通信环境的一个实施例。作为例子,通信环境100包括具有多个节点102的集群环境。作为例子,节点是RS/6000或其它类型的计算系统。在这个具体例子中,集群100包括至少一个集群管理服务器104和一个或多个集群被管理节点106。集群管理服务器104执行集群管理应用108,其负责监视和控制集群被管理节点106的各个方面。集群被管理节点106执行客户机应用110,其与集群管理服务器节点104上的集群管理应用108交互作用(interact with)。每个客户机接收来自集群管理应用的指令,并根据这些指令行动以完成由集群管理服务器节点所作出的请求。
集群管理应用108和集群管理客户机106通过使用网络协议112进行通信。在每对通信装置(例如,服务器与客户机)之间的通信是保密的。为了提供这种保密性,使用会话密钥。会话密钥仅仅在活动的会话期间是有效的,这防止重放以前获取的数据流。在这个具体例子中,会话密钥是对称的,因此,两个通信装置使用同一个密钥来通信。为了保密起见,服务器通过用服务器的私有密钥(“qk”)114签名会话密钥和用客户机的公共密钥(“pk”)加密它而保密地分发对称会话密钥给客户机。
每个节点与可以与其交互作用的任何节点交换公共密钥,这样,数据的签名或加密是可能的。特定节点的密钥可以在集群管理应用与客户机的执行之间被存储在该节点的永久存储装置120中。另外,集群配置信息被存储在永久存储装置内。
每对通信装置(例如,服务器与客户机)利用唯一的会话密钥。因此,对于大的集群,通过使得许多会话密钥在需要时可得到而改进性能。按照本发明的方面,大量会话密钥在需要它们之前生成,并被存储和高速缓存以供将来使用,诸如在集群管理应用试图控制任何新的集群被管理节点的任何时候,或在集群管理应用与集群管理客户机之间的网络连接被临时暂停或断开的任何时候。而且,在一个实施例中,在从高速缓存器中提取密钥以提供会话密钥的充分供给时补充会话密钥。参照图2描述关于会话密钥的使用的附加细节。
如图2所示,集群管理应用108包括会话高速缓存器200,它具有通过使用应用选择技术而生成的唯一会话密钥。这样的技术的例子包括DES(数据加密标准)以及AES(高级加密标准),其中DES在联邦信息处理标准出版物46-3(1999年10月25日)中描述,并在http://csrc.nist.gov/publications/fips/fips46-3/fips46-3.pdf处可得到和通过从国家技术信息服务(NTIS),5285 Port Royal Road,Springfield,VA 22161订购拷贝可得到;而AES在联邦信息处理标准出版物197(2001年11月26日)中描述,并在http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf处可得到和通过从国家技术信息服务(NTIS),5285 Port Royal Road,Springfield,VA 22161订购拷贝可得到;通过引用而将这些出版物的每一个完全合并于本文中。会话密钥高速缓存器包括,例如,多个对称会话密钥,并且在执行集群管理应用之前被生成。会话密钥高速缓存器被保存在永久存储装置202中,然后在其执行的初始化阶段204期间由集群管理应用加载。
响应于集群管理应用试图连接到被管理节点上的集群管理客户机,集群管理应用从会话密钥高速缓存器200中提取新的会话密钥206,并把该会话密钥和与被管理节点上的集群管理客户机建立的网络连接相关联。与被管理节点上的集群管理客户机建立的网络连接代表要用会话密钥保护的通信会话。会话密钥与它保护的通信会话相关联,这样,当有要通过通信信道传送的数据时,正确的会话密钥被使用来验证该数据。
集群管理应用通过用与特定被管理节点相关的公共密钥加密会话密钥来保护该会话密钥,并把会话密钥通过网络连接发送到被管理节点上的集群管理客户机。集群管理客户机从网络传输中提取会话密钥208。这种提取包括,例如,通过使用客户机的私有密钥而解密会话密钥。存在根据各种标准的各种公共/私有密钥密码技术。一个这样的标准是RSA密码标准,它在被称为Open SSL(www.openssl.org)的封装中可得到。为了使用这个功能,作为一个例子,源代码可以在线地得到,以及被汇编到例如静态或共享的库中。关于RSA的进一步细节在ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.pdf(通过引用而将其内容完全合并于本文中)处描述。
在会话密钥的初始传送之后,只要网络连接被认为是活动的,密钥就被使用来签名或加密在集群管理应用与集群管理客户机之间的数据。对称密钥提供基于私有/公共密钥技术的改进的加密和签名性能。
集群管理应用可以把会话密钥高速缓存器内的存储器内的拷贝周期地同步到永久存储装置,并且当应用终结时,还把会话密钥高速缓存器内的未使用的密钥存储到永久存储装置。这允许应用在以后的执行期间利用任何未使用的会话密钥,而不需要生成新的会话密钥。
在一个例子中,会话密钥高速缓存器300(图3)包括多个数据二元组302。每个数据二元组302包括具有明文(clear)的未加密形式304的对称密钥值和具有加密形式306的同一个对称密钥值。对称密钥的加密形式是通过用会话密钥高速缓存器应用使用的私有密钥来加密会话密钥值而创建的。这个会话密钥高速缓存器包括预先生成的、通用的和准备在需要时使用的多个会话密钥。
作为一个例子,当集群管理应用400(图4)建立与被管理节点上的集群管理客户机402的连接时,它从存储器内的会话密钥高速缓存器406中提取任何可得到的数据二元组404。数据二元组被放入到中间处理存储器408中,并从存储器内的会话密钥高速缓存器406中永久地移出。
从数据二元组中提取明文的对称密钥值409,并将其存储在应用的存储器中作为用于在集群管理应用与集群管理客户机之间的连接的会话密钥410。而且,从数据二元组中提取加密的对称密钥值411,并且还通过用于被管理节点的公共密钥413将其加密,从而保证只有期望的接收人可以解密它的值。最终得到的加密数据414通过网络连接被发送到被管理节点上的集群管理客户机。
集群管理客户机通过使用它本身的私有密钥来解密加密数据414。还通过使用集群管理服务器节点的公共密钥进一步解密该结果。最后的结果被用作为用于在这个集群管理客户机与这个集群管理应用之间的所有通信的会话密钥。
参照图5描述与建立在一个实体与另一个实体之间的连接相关的进一步细节。在本例中,一个实体是管理应用,而另一个实体是使用会话密钥进行通信的管理客户机。然而,在另一个例子中,通信实体可以是另一种类型的实体。
在这里描述的实施例中,共享的多线程库被使用来实施和保存由通信实体使用的会话密钥高速缓存器。该库使用多线程(这里描述的)来在存储器中以及可选地,在磁盘或其它存储媒体中创建和保存会话密钥高速缓存器。处理多线程被使用来在处理自身内创建和保存会话密钥。然而,这是由利用的应用在后台以很不明显的行动执行的。
参照图5,一开始,在步骤500,启动应用,并且应用建立会话密钥高速缓存器上下文502。在该上下文中,应用规定某些参数,诸如,例如要使用的任何永久会话密钥、要使用的对称密钥技术(例如,DES、AES)、高速缓存器的限制、以及存储器内的会话密钥高速缓存器是否应当被周期性地同步到永久存储装置。对于由应用使用的每个会话密钥高速缓存器,由库分配会话密钥高速缓存器上下文描述符。密钥高速缓存器上下文描述符例如通过pthread mutex锁来保护,该pthreadmutex锁使得对于上下文描述符数据的访问被串行化。在上下文描述符中还定义了两个pthread条件,以便允许在密钥读出器(应用线程)、主生成器线程和公共生成器线程之间的同步,正如下面描述的那样。
响应于启动密钥高速缓存器上下文,在步骤504,启动新的执行线程,其被称为主生成器线程,以便执行会话密钥管理任务。例如由所述库创建的主生成器线程负责管理高速缓存器的存储器内版本和可能的盘上版本。这个线程创建从高速缓存器中替代使用过的密钥所需要的任何公共生成器线程,并且可以周期性地同步高速缓存器的存储器内版本和盘上版本,如果使用盘上版本的话,正如下面描述的那样。
回到步骤502,当应用试图联系客户机时,在询问506,应用确定是否需要新的连接。如果需要的话,则在步骤508,创建到客户机的新连接。在应用与它的客户机之间的新连接的创建依赖于如何编程应用。作为例子,要建立与它的客户机的通信信道的应用创建TCP或UDP套接字,然后监听/连接到该套接字,以便建立在应用的处理与客户机的处理之间的逻辑连接。
在交换任何其它信息之前,在步骤510,从会话高速缓存器得到会话密钥,并把它发送到客户机,正如下面参照图8更详细地描述的那样。应用在内部把新的会话密钥值和在应用与特定客户机之间的连接相关联。
回到询问506,如果没有正在联系的新客户机,或在得到用于新客户机的会话密钥之后,在步骤512,客户机和应用可以开始发送和接收信息。具体而言,与客户机交换签名的或加密的数据,以及在询问514,如果还有数据要交换,则继续进行。当应用与客户机不需要进一步通信时,在步骤516,应用关闭到客户机的连接,并永久丢弃它的会话密钥的拷贝。
在询问518,如果应用希望联系另一客户机,处理继续进行询问506。然而,如果确定应用不要联系另一客户机,则在步骤520,应用可以强迫同步存储器内的会话高速缓存器内容和会话密钥高速缓存器的永久拷贝。该操作可以发生在应用执行期间的任何点上。该同步保证所使用的会话密钥从永久会话密钥高速缓存器中被移出,以及不在应用的以后执行中被再次使用,这阻止了数据重放的企图。
在一个例子中,应用的隐含的同步器线程被使用来执行同步。存储器内的高速缓存器的当前内容被写入到盘中,重写当前的盘上高速缓存器内容,如果存在任何盘上内容的话。应用可以创建用于这个任务的线程,或可以在存在应用线程的情况下执行这个任务。主生成器线程周期性地假设同步器的作用是当对库的需求低时用当前的存储器内内容冲刷掉盘上版本。
在应用结束之前,在步骤522,应用终结会话密钥高速缓存器上下文。在步骤524,这个行动强迫终结会话密钥管理线程和由管理线程启动的任何其它后台执行线程,以及可能把会话密钥高速缓存器的存储器内拷贝同步到永久存储装置。此后,在步骤526,应用结束。
回到步骤504,参照图6描述关于启动高速缓存器管理线程的进一步细节。当在步骤600启动会话密钥管理线程时,线程在询问602,检验在会话密钥高速缓存器上下文信息中的应用指示的任何永久会话密钥高速缓存器。如果永久高速缓存器被定位,则在步骤604,把高速缓存器的内容加载到存储器,以及在步骤606,存储器内的高速缓存器是可得到的。
管理线程在步骤608,610,创建一个或多个后台执行线程,其生成会话密钥二元组以填充(populate)存储器内的会话密钥高速缓存器,以及代替由应用提取和移出的任何会话密钥二元组。这些线程被称为公共生成器线程,它们的创建和破坏例如由密钥高速缓存器库控制。可以有许多这样的、在后台同时执行的线程,以及其数目在密钥高速缓存器上下文中提供。每个公共生成器线程负责从高速缓存器的存储器内版本中代替已经使用过的密钥。在从高速缓存器中提取由应用设置的一定数目的密钥之前不启动生成器线程。生成器线程在每次传送时生成定额的密钥,以便增强性能。
在步骤612,管理线程暂停和等待来自应用的信号。这些信号表示何时从存储器内会话密钥高速缓存器中提取和移出会话密钥,何时存储器内会话密钥高速缓存器是空的,或何时会话密钥高速缓存器上下文结束。
当应用重新开始时,管理线程确定应用状态。如果在询问614会话密钥高速缓存器上下文结束,在步骤618结束它本身的执行之前,在步骤616管理线程终结可以是活动的任何后台密钥生成器线程。
回到询问614,如果高速缓存器上下文没有结束,则在询问620,进一步确定管理线程是否由应用信号通知。如果应用没有信号通知管理线程,则在步骤612,线程暂停和等待另外的活动。然而,如果应用信号通知了管理线程,则在询问622,管理线程确定在存储器内会话密钥高速缓存器中是否想要有更多的会话密钥二元组。如果高速缓存器内容超过预定的最小值,从而充分地充满(例如,75%充满,或任何其它想要的数目),则在步骤624,管理线程有机会把存储器内会话密钥内容同步到永久存储装置。在步骤612,线程再次暂停和等待其它活动。
然而,如果高速缓存器内容被耗尽,则在询问626,管理线程确定是否可以创建更多的密钥生成器线程来帮助补满存储器内会话密钥高速缓存器的内容。具体地,确定最大数目的密钥生成器线程是否是活动的。如果最大数目的密钥生成器线程是活动的,正如在上下文中指示的那样,则在步骤612,线程暂停和等待其它活动。另一方面,如果最大数目的密钥生成器线程是不活动的,正如在上下文中指示的那样,则处理返回到步骤608,其中启动密钥生成器线程。当公共生成器线程把密钥添加到高速缓存器时,它们广播信号以使得等待密钥的任何中断的读出器可以醒来和得到密钥。另外,当它们退出时,它们提供信号,以使得主生成器线程知道它们的终结,以及可能地,允许它创建其它公共生成器线程,如果想要更多密钥的话。这个处理继续进行,直至应用表示会话密钥高速缓存器上下文结束为止。
参照图7描述关于启动密钥生成器线程的进一步细节。密钥生成器执行线程在步骤700由会话密钥高速缓存器管理线程发起。应用不知道这个执行线程已被启动。在步骤702,每个密钥发生器线程在每个执行循环中有效地创建多个对称密钥。在生成会话密钥中使用的技术和在每次循环中创建的密钥数目由例如会话密钥高速缓存器上下文信息中的应用规定。在另一个例子中,可以设置缺省值,应用可以不考虑该值。
对于生成的每个会话密钥,为了数据完整性,在步骤704通过使用其中应用执行的节点的私有密钥来加密所述密钥。然后在步骤706,其加密版本中的这个会话密钥与它的原先版本组合成数据二元组。然后在步骤708,将在这个循环中创建的数据二元组存储在存储器内会话密钥高速缓存器中。一旦将会话密钥数据二元组存储在存储器内会话密钥高速缓存器中,密钥生成器执行线程就在步骤710,712用信号通知应用:新的密钥可供使用。
密钥生成器执行线程在询问714,检查存储器内会话密钥高速缓存器的状态以确定是否想要更多的会话密钥数据二元组。如果想要更多的会话密钥数据二元组,则线程在步骤702重新开始创建另外的会话密钥数据二元组的任务。这个过程继续进行,直至存储器内会话密钥高速缓存器被充分充满为止,如由应用指定的那样。在这时,在步骤716,密钥生成器执行线程结束。
如果存储器内会话密钥高速缓存器在以后的某个时间点被耗尽,则会话密钥高速缓存器管理线程创建新的密钥生成器执行线程以重新充满高速缓存器。
回到图5,具体地,回到步骤510,参照图8描述关于得到和发送会话密钥的进一步细节。当应用试图得到和发送新的会话密钥时,应用在询问800,检验在存储器内会话密钥高速缓存器中可得到的数据二元组。如果数据二元组不可得,则所述应用在步骤802,804,信号通知会话密钥管理线程:会话密钥高速缓存器被耗尽。然后,应用在步骤806,暂停,等待通知:已使新的会话密钥数据二元组在高速缓存器中可得到。这个通知由密钥生成器线程用信号通知,如参照图7描述的那样。一旦被信号通知,处理过程就从询问800继续进行,其中检验可得到的会话密钥数据二元组。
如果密钥二元组是可得到的,则在步骤808,从存储器内会话密钥高速缓存器中移出任何可得到的二元组,并把它提供给应用。由于数据二元组不依赖特定目的地,所以不需要搜索高速缓存器以找出特定的二元组。任何二元组都足够了。在一个例子中,应用的隐含的读出器线程执行这个行动。应用可以创建用于这个任务的线程,或可以在存在不同于管理线程的现有应用线程的情况下执行这个任务。
此后,在步骤810,从存储器内会话密钥高速缓存器中永久地移出二元组,以免任何其它连接再次使用它。在步骤812,814,应用信号通知会话密钥高速缓存器管理线程:会话密钥数据二元组被移出。这个信号可以使得管理线程发起密钥生成器执行线程以重新充满存储器内会话密钥高速缓存器的内容。
在步骤816,应用从数据二元组中提取明文的会话密钥和加密形式的会话密钥。在步骤818,由应用定位用于客户机节点的公共密钥,以及在步骤820,为了数据机密性,通过使用公共密钥值进一步加密会话密钥的加密形式。在步骤822,随后将这次加密的结果发送给期望的客户机节点。应用和客户机然后使用会话密钥值来签名、验证、加密、和/或解密在应用与客户机之间传送的数据。
以上详细描述的是用于预先生成通用会话密钥、在池中存储这些会话密钥以供应用存取、当新的连接建立时得到会话密钥、以及使用会话密钥与其它实体(例如,客户机、节点等等)通信的能力。例如,需要对称密钥的应用进入到其中大的对称密钥池可用于所述应用的使用的情形。当不再需要对称密钥时,所述应用退出这个情形,以及对称密钥池被释放或被存储以供将来使用,这取决于应用的请求。由主应用代码行(main-line application code)采取的唯一明显行动,在本实施例中,是创建高速缓存器上下文,检索密钥,可选的同步未使用的对称密钥的存储器内池与盘上永久存储装置,以及终结高速缓存器上下文。这些密钥的实际创建、加密、补充和后台同步在应用过程本身内,但以对于主应用代码行不可见的方式进行。
为了完成对于主应用代码行是不可见的、但在应用过程本身内的这些功能,使用了处理多线程。操作系统支持该处理多线程,以及以线程安全的方式(thread-safe manner)实施所述应用。以线程安全的方式封装被提供来保证高速缓存器上下文的数据结构,以及支持多线程访问。
当进入高速缓存器上下文时,共享的库创建和启动新的线程,其负责保证对称密钥池被创建并包含足够水平的密钥。这个线程,被称为主生成器线程,偶尔创建和终结在对于这些密钥有需要时实际创建这些对称密钥的同一个处理内的其它线程。这些线程被称为公共生成器线程。当高速缓存器上下文终结时,主生成器线程和任何其余的公共生成器线程也被终结。
有利地,按照本发明的一个或多个方面,为了数据完整性,生成被预加密的对称密钥池或高速缓存器。在一个例子中,这些密钥用主机私有密钥被预加密,但是这些密钥是通用的,这是因为它们可以使用于主机希望与其通信的任何客户机。因此,当管理服务器从灾难性故障恢复时,它仅仅从池中提取已经用它的私有密钥加密的密钥;因此,消除会话密钥分发中的代价最高的部分。在一个实施例中,所述池是存储器内高速缓存器,以及盘上(或其它存储媒体上)的高速缓存器。
高速缓存器被存储在盘或其它存储媒体上,以保存在应用的执行之间的密钥,从而通过允许应用加载密钥的高速缓存器,而不是生成新的高速缓存器,来节省当应用重新启动时的时间。
在一个例子中,使用二进制格式来把高速缓存器存储在盘上。在本例中,也使用主机字节排序(Host byte ordering)。格式的这种选择使得高速缓存器更容易从库进行保存。版本信息被存储在二进制文件中。这将允许所述库检测老的或新的高速缓存器文件格式,以及可以从这些文件中提取它可以使用的那些信息。
作为一个例子,文件格式使用自定义的数据字段。每个字段包括字段标识符和长度,其中数据值的长度是无法从字段标识符中知道的。文件的头信息包括读计数。这是每次文件被读到存储器中时增加以及每次执行文件同步时(通过主生成器线程处理,或明显地通过例程)复位的计数。这允许所述库检测完全相同的高速缓存器是否被应用多次再次使用。高的再次使用计数可以表示应用可以在它更新它本身的高速缓存器之前终结;它也可以表示应用被重复地启动和停止以便检测它的数据流中的图案和猜想被使用来保护数据的密钥值。如果所述库检测到已经太频繁地读出完全相同的高速缓存器文件内容,则所述库忽略该高速缓存器文件以及在存储器中构建新的高速缓存器。
作为进一步的改进且为了提供附加的保密性,使得高速缓存器文件的初始读出随机化。不是总是以与从高速缓存器文件中读出密钥的次序相同的次序来排序存储器内高速缓存器,这个例程随机地以任何次序构建高速缓存器。这有助于避免“猜想”尝试,即使在读计数检验失败时也是如此。
下面描述在盘上密钥高速缓存器中记录的数据的例子。文件从用来检验文件的类型的数字开始。下一段信息代表文件的版本。接着的信息段包括:会话密钥的类型;从这个文件读出的数目(在每次写入时复位);在高速缓存器文件中密钥的数目;预加密密钥挑战(challenge)(用预加密密钥加密的密钥计数);密钥二元组的集合(与密钥计数相同数目的密钥):
常数:格式版本id
数值:由在高速缓存器中的会话密钥使用的密钥类型
计数:自从最后的修改以来这个文件被读出的次数的计数(在写时复位)
计数:在高速缓存器中的密钥的计数
数值:预加密密钥挑战的长度(可能是0)
[数据]:预加密密钥挑战(如果长度是0,则省略)
数值:会话密钥的长度(在本例中,不能是0)
[数据]:会话密钥
数值:(可能)加密的整理排序(marshal)的密钥的长度
[数据]:会话密钥
数值:(可能)加密的整理排序的密钥的长度
:
[等等]
:
[文件结束]
当发生同步时,文件的整个内容用存储器密钥高速缓存器上下文的内容代替。换句话说,它是重叠的。在本实施例中,所述库不试图搜索高速缓存器文件来检测哪些密钥已被使用以及哪些密钥仍旧未被使用。这个方法在同步期间提供更大的性能。
以上详细地描述了有效地提供在通信环境内通信时要使用的会话密钥的能力。虽然以上描述了例子和各种实施例,但这些仅仅是例子。对于这些例子的许多变型可被包括在本发明的一个或多个方面中。例如,这里描述的环境仅仅是一个例子。其它类型的节点、服务器或客户机可以从本发明的一个或多个方面获益。另外,更多、更少或不同的实体可被包括在所述环境中,并且互相通信。作为另一个例子中,可以按照本发明的一个或多个方面使用不同类型的密钥,其包括不同类型的会话密钥。虽然会话密钥池的结构是高速缓存器结构,但再一次地,这仅仅是一个例子。可以使用其它结构而不背离本发明的精神。而且,虽然在一个实施方案中,使用库和多线程应用,但再一次地,这些仅仅是例子。可以使用其它类型的应用,其包括非库应用(non-library application)。再者,虽然提供了密钥生成和加密的例子,但可以使用任何技术来生成和/或加密密钥或其它数据。如这里使用的加密意欲包括被使用来保护数据的任何技术。而且,虽然这里使用了密钥,但本发明的一个或多个方面可被应用于其它类型的数据。也存在许多其它变型。
有利地,通过使用这个能力,当管理服务器或其它实体从灾难性故障恢复时,它仅仅从池中提取已经用服务器的(或其它实体的)私有密钥加密的密钥,由此消除会话密钥分发的代价最高的部分。被提取的密钥是通用的,原因在于它不依赖于一个特定的客户机或分发实体,所以,池的搜索是不必要的。然而,为了提供进一步的保密性,密钥一旦被提取,就在发送到实体之前用期望的实体的公共密钥对其进行加密。
有利地,本发明的一个或多个方面使得能够预生成大量会话密钥并将其保存在密钥池中供以后使用。在池中的密钥是通用的,但一旦被选择和处理,就提供在成对的实体之间的唯一加密密钥。因此,要通信的每对实体具有它自己的唯一密钥。通过预生成和签名池中的会话密钥,开销被减小,从而一旦密钥被使用,就使得性能问题最小化和保证保密性和完整性。这个能力对于所有类型的系统—包括例如具有单个行政控制点的集群式和分布式系统—是有利的。有利地,密钥池是按要求可得到的,并在重新启动中心控制点之间是持久的。再一次地,这增强了性能和减小了复杂性。
本发明的一个或多个方面的能力可以以软件、固件、硬件或它们的某些组合被实施。
本发明的一个或多个方面可被包括在例如具有计算机可用媒体的制造物品(例如,一个或多个计算机程序产品)中。媒体在其中具有例如计算机可读程序代码装置或逻辑(例如,指令、代码、命令等等),以提供和实行本发明的能力。可作为计算机系统的一部分包括制造物品或将其单独销售。
另外,可以提供由体现可由执行本发明的能力的机器执行的指令的至少一个程序的机器可读的至少一个程序存储装置。
这里显示的流程图仅仅是例子。对于这里描述的这些图或步骤(或操作)可以有许多变型而不背离本发明的精神。例如,这些步骤可以以不同的次序执行,或步骤可被添加、删除或修改。所有这些变型都被看作为所要求的发明的一部分。
虽然这里详细地显示和描述了优选实施例,但本领域技术人员将会明白,可以作出各种修改、添加、替换等等而不背离本发明的精神,因此,这些修改、添加、替换应当被看作是在以下的权利要求中限定的本发明的范围内。
Claims (18)
1.一种提供在通信环境中通信时使用的会话密钥的方法,所述方法包括:
使用通信服务器的私有密钥来加密多个会话密钥以提供在通信服务器与通信环境的一个或多个第二实体之间通信时使用的多个预加密的会话密钥,所述多个预加密的会话密钥是独立于该一个或多个第二实体生成的通用会话密钥;
响应于对于会话密钥的请求,把多个预加密的会话密钥保存在会话密钥池中以供使用;以及
把多个预加密的会话密钥中的一个预加密的会话密钥发送到所述一个或多个第二实体中的一个第二实体,其中所述发送包括:在发送该预加密的会话密钥之前,用第二实体的公共密钥进一步加密该预加密的会话密钥。
2.权利要求1的方法,其中多个会话密钥包括多个对称会话密钥。
3.权利要求1的方法,其中会话密钥池包括多个会话密钥二元组,其中多个会话密钥二元组的一个会话密钥二元组包括多个预加密的会话密钥中的一个预加密的会话密钥和该预加密的会话密钥的未加密形式。
4.权利要求1的方法,其中所述发送包括:从会话密钥池中提取要发送的预加密的会话密钥,所述提取任意选择预加密的会话密钥,其中被提取的预加密的会话密钥不依赖于第二实体。
5.权利要求4的方法,其中所述提取包括:从会话密钥池中删除所提取的预加密的会话密钥。
6.权利要求1的方法,还包括:管理会话密钥池,其中所述管理包括:响应于定义的条件,把一个或多个预加密的会话密钥添加到会话密钥池中。
7.权利要求6的方法,其中所述管理包括:响应于在会话密钥池中检测到不足数目的预加密的会话密钥,自动添加一个或多个预加密的会话密钥。
8.权利要求1的方法,其中会话密钥池被存储在存储器内,并且其中,该方法还包括:提供存储器内会话密钥池的永久存储装置。
9.权利要求1的方法,其中通信环境包括集群环境,所述通信服务器包括集群环境的服务器,以及所述一个或多个第二实体包括被耦合到所述通信服务器的集群环境的一个或多个客户机。
10.一种提供在通信环境中通信时使用的会话密钥的设备,所述设备包括:
用于使用通信服务器的私有密钥来加密多个会话密钥以提供在通信服务器与通信环境的一个或多个第二实体之间通信时使用的多个预加密的会话密钥的装置,所述多个预加密的会话密钥是独立于该一个或多个第二实体生成的通用会话密钥;
用于响应于对于会话密钥的请求,把多个预加密的会话密钥保存在会话密钥池中以供使用的装置;以及
用于把多个预加密的会话密钥中的一个预加密的会话密钥发送到所述一个或多个第二实体中的一个第二实体的装置,其中所述用于发送的装置包括:用于在发送该预加密的会话密钥之前,用第二实体的公共密钥进一步加密该预加密的会话密钥的装置。
11.权利要求10的设备,其中多个会话密钥包括多个对称会话密钥。
12.权利要求10的设备,其中会话密钥池包括多个会话密钥二元组,其中多个会话密钥二元组的一个会话密钥二元组包括多个预加密的会话密钥中的一个预加密的会话密钥和该预加密的会话密钥的未加密形式。
13.权利要求10的设备,其中所述用于发送的装置包括:用于从会话密钥池中提取要发送的预加密的会话密钥的装置,所述用于提取的装置任意选择预加密的会话密钥,其中被提取的预加密的会话密钥不依赖于第二实体。
14.权利要求13的设备,其中所述用于提取的装置包括:用于从会话密钥池中删除所提取的预加密的会话密钥的装置。
15.权利要求10的设备,还包括:用于管理会话密钥池的装置,其中所述用于管理的装置包括:用于响应于定义的条件,把一个或多个预加密的会话密钥添加到会话密钥池中的装置。
16.权利要求15的设备,其中所述用于管理的装置包括:用于响应于在会话密钥池中检测到不足数目的预加密的会话密钥,自动添加一个或多个预加密的会话密钥的装置。
17.权利要求10的设备,其中会话密钥池被存储在存储器内,并且其中,所述设备还包括:用于提供存储器内会话密钥池的永久存储装置的装置。
18.权利要求10的设备,其中通信环境包括集群环境,所述通信服务器包括集群环境的服务器,以及所述一个或多个第二实体包括被耦合到所述通信服务器的集群环境的一个或多个客户机。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/239,252 US7885412B2 (en) | 2005-09-29 | 2005-09-29 | Pre-generation of generic session keys for use in communicating within communications environments |
| US11/239,252 | 2005-09-29 | ||
| PCT/EP2006/065996 WO2007039375A1 (en) | 2005-09-29 | 2006-09-05 | Pre-generation of generic session keys for use in communications environments |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101268653A CN101268653A (zh) | 2008-09-17 |
| CN101268653B true CN101268653B (zh) | 2010-12-15 |
Family
ID=37497050
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800341781A Expired - Fee Related CN101268653B (zh) | 2005-09-29 | 2006-09-05 | 在通信环境中使用的通用会话密钥的预生成 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7885412B2 (zh) |
| CN (1) | CN101268653B (zh) |
| WO (1) | WO2007039375A1 (zh) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101213154B1 (ko) * | 2006-11-16 | 2012-12-17 | 삼성전자주식회사 | 키 업데이트 방법 및 이를 이용한 키 업데이트 장치 |
| JP4924211B2 (ja) * | 2007-01-23 | 2012-04-25 | 横河電機株式会社 | 無線ネットワーク構築方法及び無線ノード設置支援端末 |
| US8824686B1 (en) * | 2007-04-27 | 2014-09-02 | Netapp, Inc. | Cluster key synchronization |
| US8447039B2 (en) * | 2007-09-26 | 2013-05-21 | Cisco Technology, Inc. | Active-active hierarchical key servers |
| US7882035B2 (en) * | 2008-01-25 | 2011-02-01 | Microsoft Corporation | Pre-performing operations for accessing protected content |
| KR100981419B1 (ko) * | 2008-01-31 | 2010-09-10 | 주식회사 팬택 | 디지털 권한 관리를 위한 사용자 도메인 가입방법 및 그정보 교환 방법 |
| WO2009107474A1 (ja) * | 2008-02-29 | 2009-09-03 | 三菱電機株式会社 | 鍵管理サーバ、端末、鍵共有システム、鍵配信プログラム、鍵受信プログラム、鍵配信方法及び鍵受信方法 |
| KR20100100134A (ko) * | 2009-03-05 | 2010-09-15 | 한국전자통신연구원 | 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치 |
| CN102006162A (zh) * | 2010-11-04 | 2011-04-06 | 北京曙光天演信息技术有限公司 | 一种加密卡密钥对预生成及缓存方法 |
| US9137214B2 (en) * | 2010-12-15 | 2015-09-15 | Microsoft Technology Licensing, Llc | Encrypted content streaming |
| US20120272051A1 (en) * | 2011-04-22 | 2012-10-25 | International Business Machines Corporation | Security key distribution in a cluster |
| US8798273B2 (en) * | 2011-08-19 | 2014-08-05 | International Business Machines Corporation | Extending credential type to group Key Management Interoperability Protocol (KMIP) clients |
| US10263782B2 (en) * | 2011-10-12 | 2019-04-16 | Goldkey Corporation | Soft-token authentication system |
| US20130129095A1 (en) * | 2011-11-18 | 2013-05-23 | Comcast Cable Communications, Llc | Key Delivery |
| US8924478B2 (en) * | 2012-12-29 | 2014-12-30 | Futurewei Technologies, Inc. | Virtual desktop infrastructure (VDI) login acceleration |
| CN104125654A (zh) * | 2013-04-23 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 一种wifi网络的数据传输方法、装置及终端设备 |
| IL228523A0 (en) * | 2013-09-17 | 2014-03-31 | Nds Ltd | Processing private data in a cloud-based environment |
| CN103997405B (zh) * | 2014-05-28 | 2017-10-17 | 大唐移动通信设备有限公司 | 一种密钥生成方法及装置 |
| CN103986723B (zh) * | 2014-05-28 | 2017-12-05 | 大唐移动通信设备有限公司 | 一种保密通信控制、保密通信方法及装置 |
| DK201470780A1 (en) * | 2014-12-12 | 2016-06-27 | Gn Resound As | Apparatus for secure hearing device communication and related method |
| US9503437B2 (en) | 2014-12-12 | 2016-11-22 | Gn Resound A/S | Apparatus for secure hearing device communication and related method |
| US20220360573A1 (en) * | 2015-01-07 | 2022-11-10 | Cyph Inc. | Encrypted group communication method |
| CN106470345B (zh) | 2015-08-21 | 2020-02-14 | 阿里巴巴集团控股有限公司 | 视频加密传输方法和解密方法、装置及系统 |
| CN107086908B (zh) * | 2016-02-15 | 2021-07-06 | 阿里巴巴集团控股有限公司 | 一种量子密钥分发方法及装置 |
| CN107086907B (zh) | 2016-02-15 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的密钥同步、封装传递方法及装置 |
| CN107347058B (zh) | 2016-05-06 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 数据加密方法、数据解密方法、装置及系统 |
| CN107370546B (zh) | 2016-05-11 | 2020-06-26 | 阿里巴巴集团控股有限公司 | 窃听检测方法、数据发送方法、装置及系统 |
| CN107404461B (zh) | 2016-05-19 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| CN107959566A (zh) | 2016-10-14 | 2018-04-24 | 阿里巴巴集团控股有限公司 | 量子数据密钥协商系统及量子数据密钥协商方法 |
| CN107959656B (zh) | 2016-10-14 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据安全保障系统及方法、装置 |
| CN107959567B (zh) | 2016-10-14 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据存储方法、数据获取方法、装置及系统 |
| US10164778B2 (en) | 2016-12-15 | 2018-12-25 | Alibaba Group Holding Limited | Method and system for distributing attestation key and certificate in trusted computing |
| CN108667608B (zh) | 2017-03-28 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据密钥的保护方法、装置和系统 |
| CN108667773B (zh) | 2017-03-30 | 2021-03-12 | 阿里巴巴集团控股有限公司 | 网络防护系统、方法、装置及服务器 |
| CN108736981A (zh) | 2017-04-19 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 一种无线投屏方法、装置及系统 |
| CN107317673A (zh) * | 2017-05-25 | 2017-11-03 | 云南电网有限责任公司电力科学研究院 | 一种智能电能表通信加密算法 |
| CN109450620B (zh) | 2018-10-12 | 2020-11-10 | 创新先进技术有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
| BR112021011165A2 (pt) * | 2018-12-10 | 2021-08-31 | Algorand Inc. | Uso de protocolos de blockchain virtuais para implantar uma troca eletrônica justa |
| CN109873801B (zh) * | 2018-12-12 | 2020-07-24 | 阿里巴巴集团控股有限公司 | 在用户和可信计算集群之间建立可信通道的方法、装置、存储介质及计算设备 |
| CN109861980B (zh) * | 2018-12-29 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 一种建立可信计算集群的方法、装置、存储介质及计算设备 |
| CN110008738B (zh) * | 2019-02-21 | 2021-06-25 | 网易(杭州)网络有限公司 | 用于区块链合约数据的缓存方法、装置、介质和计算设备 |
| US11429519B2 (en) | 2019-12-23 | 2022-08-30 | Alibaba Group Holding Limited | System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive |
| US11831762B1 (en) * | 2020-05-29 | 2023-11-28 | EMC IP Holding Company LLC | Pre-generating secure channel credentials |
| CN113271289B (zh) * | 2020-12-15 | 2023-10-13 | 全芯智造技术有限公司 | 用于资源授权和访问的方法、系统和计算机存储介质 |
| US20230070163A1 (en) * | 2021-09-09 | 2023-03-09 | International Business Machines Corporation | Prevention of race conditions in a dual-server storage system for generation of encryption key |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5799086A (en) * | 1994-01-13 | 1998-08-25 | Certco Llc | Enhanced cryptographic system and method with key escrow feature |
| CN1256594A (zh) * | 1998-08-28 | 2000-06-14 | 朗迅科技公司 | 建立会话密钥协定的方法 |
| US6125185A (en) * | 1997-05-27 | 2000-09-26 | Cybercash, Inc. | System and method for encryption key generation |
| CN1400819A (zh) * | 2001-07-30 | 2003-03-05 | Scm微系统有限公司 | 传输机密数据的方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4578530A (en) * | 1981-06-26 | 1986-03-25 | Visa U.S.A., Inc. | End-to-end encryption system and method of operation |
| US5265164A (en) * | 1991-10-31 | 1993-11-23 | International Business Machines Corporation | Cryptographic facility environment backup/restore and replication in a public key cryptosystem |
| US5557678A (en) | 1994-07-18 | 1996-09-17 | Bell Atlantic Network Services, Inc. | System and method for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem |
| US5838792A (en) | 1994-07-18 | 1998-11-17 | Bell Atlantic Network Services, Inc. | Computer system for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem |
| US5602917A (en) | 1994-12-30 | 1997-02-11 | Lucent Technologies Inc. | Method for secure session key generation |
| US6088799A (en) * | 1997-12-11 | 2000-07-11 | International Business Machines Corporation | Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same |
| US6393127B2 (en) | 1998-03-02 | 2002-05-21 | Motorola, Inc. | Method for transferring an encryption key |
| EP1026898A1 (en) * | 1999-02-04 | 2000-08-09 | CANAL+ Société Anonyme | Method and apparatus for encrypted transmission |
| GB0007874D0 (en) | 2000-03-31 | 2000-05-17 | Simoco Int Ltd | Mobile radio communication system |
| RU2183348C2 (ru) | 2000-07-19 | 2002-06-10 | Военный университет связи | Способ аутентификации объектов |
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US7016494B2 (en) * | 2001-03-26 | 2006-03-21 | Hewlett-Packard Development Company, L.P. | Multiple cryptographic key precompute and store |
| EP1423958A2 (en) * | 2001-05-15 | 2004-06-02 | Veridis | Method and device for transmitting an electronic message |
| US7146400B2 (en) * | 2002-05-29 | 2006-12-05 | International Business Machines Corporation | Web and lotus notes adapter layers |
| US7599496B2 (en) | 2002-08-27 | 2009-10-06 | Pine Valley Investments, Inc. | Secure encryption key distribution |
| US9602275B2 (en) * | 2003-10-28 | 2017-03-21 | Intel Corporation | Server pool kerberos authentication scheme |
-
2005
- 2005-09-29 US US11/239,252 patent/US7885412B2/en not_active Expired - Fee Related
-
2006
- 2006-09-05 CN CN2006800341781A patent/CN101268653B/zh not_active Expired - Fee Related
- 2006-09-05 WO PCT/EP2006/065996 patent/WO2007039375A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5799086A (en) * | 1994-01-13 | 1998-08-25 | Certco Llc | Enhanced cryptographic system and method with key escrow feature |
| US6125185A (en) * | 1997-05-27 | 2000-09-26 | Cybercash, Inc. | System and method for encryption key generation |
| CN1256594A (zh) * | 1998-08-28 | 2000-06-14 | 朗迅科技公司 | 建立会话密钥协定的方法 |
| CN1400819A (zh) * | 2001-07-30 | 2003-03-05 | Scm微系统有限公司 | 传输机密数据的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070076889A1 (en) | 2007-04-05 |
| CN101268653A (zh) | 2008-09-17 |
| US7885412B2 (en) | 2011-02-08 |
| WO2007039375A1 (en) | 2007-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101268653B (zh) | 在通信环境中使用的通用会话密钥的预生成 | |
| US11818262B2 (en) | Method and system for one-to-many symmetric cryptography and a network employing the same | |
| US10439804B2 (en) | Data encrypting system with encryption service module and supporting infrastructure for transparently providing encryption services to encryption service consumer processes across encryption service state changes | |
| EP2258093B1 (en) | Secure communications in computer cluster systems | |
| JP5454960B2 (ja) | 再暗号化システム、再暗号化装置及びプログラム | |
| US8195956B2 (en) | Re-keying data in place | |
| CA3191453A1 (en) | Transferring cryptocurrency from a remote limited access wallet | |
| CN110601830B (zh) | 基于区块链的密钥管理方法、装置、设备及存储介质 | |
| CN108270739A (zh) | 一种管理加密信息的方法及装置 | |
| WO2023046207A1 (zh) | 一种数据传输方法、装置及计算机非易失性可读存储介质 | |
| CA3056814A1 (en) | Symmetric cryptographic method and system and applications thereof | |
| CA3031334A1 (en) | Devices and methods for enabling portable secure communication using random cipher pad cryptography | |
| CN116155491B (zh) | 安全芯片的对称密钥同步方法及安全芯片装置 | |
| CN108763401A (zh) | 一种文件的读写方法及设备 | |
| CN111526167A (zh) | 一种应用于区块链的数据传输方法及装置 | |
| CN110928564A (zh) | 安全更新应用的方法、业务服务器、集群及存储介质 | |
| CN112350920A (zh) | 基于区块链的即时通讯系统 | |
| CN114095468B (zh) | 消息中间件系统、邮局系统及消息收发方法 | |
| CN113382398A (zh) | 服务器、蓝牙耳机终端、蓝牙耳机固件更新处理系统 | |
| CN101470643A (zh) | 固定硬件安全单元备份、恢复方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 Termination date: 20110905 |