CN102598575B - 用于对密码保护的有效数据单元加速解密的方法和系统 - Google Patents
用于对密码保护的有效数据单元加速解密的方法和系统 Download PDFInfo
- Publication number
- CN102598575B CN102598575B CN201080050755.2A CN201080050755A CN102598575B CN 102598575 B CN102598575 B CN 102598575B CN 201080050755 A CN201080050755 A CN 201080050755A CN 102598575 B CN102598575 B CN 102598575B
- Authority
- CN
- China
- Prior art keywords
- key
- oem
- enc
- receiving system
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种系统和一种方法,用于对密码保护的有效数据单元(NDE)加速解密,其具有多个步骤。首先由发送装置生成配有所属的密钥标识(KOEM_ID)的带密码的密钥(KOEM)。接着由发送装置借助公开的带密码的密钥(KPUB)对生成的带密码的密钥(KOEM)进行非对称加密,并且由该发送装置借助生成的带密码的密钥(KOEM)对至少一个有效数据单元(NDE)进行加密。加密的有效数据单元(ENC-NDE)和非对称加密的带密码的密钥(ENC-KOEM)以及该带密码的密钥(KOEM)附属的密钥标识(KOEM-ID)被传输给接收装置,其中如果对该带密码的密钥(KOEM)的接收到的附属的密钥标识(KOEM-ID)检查得出,接收装置中存在的带密码的密钥(KOEM)仍未解密,那么由接收装置借助私人密钥(KPRIV)对接收到的非对称加密的密钥(ENC-KOEM)进行解密。最后接收装置利用存在于该接收装置中的带密码的密钥(KOEM)或者利用借助私人密钥(KPRIV)解密的带密码的密钥(KOEM)对接收到的带密码的加密的有效数据单元(ENC-NDE)进行解密。根据本发明的方法和系统在混合加密中实现了加速并且提高了数据传输率,而不会增加其中使用的线路复杂度。
Description
技术领域
本发明涉及一种方法和一种系统,它们用于对密码保护的有效数据单元加速解密,尤其是用于对混合加密的数据加速解密。
背景技术
在经过传输通道将数据从发送装置传输到接收装置时,这些数据在很多情况下都会被加密传输,以便防止未授权的第三方读取这些数据。公知了各种加密法,尤其是非对称及对称加密法。在传统的混合加密法中,将非对称加密与对称加密进行组合。因此,首先借助非对称加密法对生成的对话密码非对称地加密并缓存。利用这个生成的未加密的对话密码,在使用对称加密法的情况下将实际要进行传输的有效数据加密,并且在缓存后经过传输通道传输给接收装置。在接收装置方面以相应的方式实现解密。使用混合加密法,使得这些有效数据一方面利用非对称加密法被加密,其中该过程允许非对称的密钥管理,并且另一方面由于使用了对称加密法,因此用于对有效数据进行加密和解密的计算能力的高特性或者低要求可以被充分利用。非对称密钥管理法使用了密钥对,其由用于加密的公共密钥和用于解密的私人密钥组成。由于使用了非对称密钥管理法,所以无需对在非对称加密法中使用的公共密钥保密。在使用的密钥长度的安全等级差不多时,与非对称加密法相比,针对有效数据使用对称加密法和对称解密法会提高数据传输率。
在传统的混合加密法中,在许多实际应用情况中,混合加密法中的公共密钥(Public-Key)部分是一个性能瓶颈。这尤其表现在带密码的方法的软件执行时,例如在嵌入式系统、微控制器和智能卡中。因此,在使用混合加密法的传统系统中,在许多情况下会使用特殊的硬件,例如长整数运算器、密码处理器或者硬件乘法器,用于使公共密钥计算或者非对称地加密和解密加速进行。在非对称地加密和解密过程中执行的公共密钥操作或者说计算步骤都很复杂,并且需要很大的计算能力或者说十分耗时。
发明内容
因此,本发明的目的在于实现一种方法,该方法能够加速混合加密法,而不会明显提高对其中使用的线路的计算量或者说复杂度的要求。
根据本发明,该目的通过具有权利要求1所述特征的方法来实现。
本发明实现了一种用于对密码保护的有效数据单元加速解密的方法,其具有以下步骤:
(a)如果对接收到的、带密码的密钥(KOEM)的附属的密钥标识(KOEM-ID)检查得出,接收装置中存在的带密码的密钥(KOEM)仍未解密,那么由接收装置借助私人密钥(KPRIV)对接收到的非对称加密的密钥(ENC-KOEM)进行解密;并且
(b)利用该接收装置中存在的带密码的密钥(KOEM),或者如果在接收装置中不存在所述带密码的密钥(KOEM)时,则利用借助私人密钥(KPRIV)解密的带密码的密钥(KOEM)对接收到的用密码加密的有效数据单元(ENC-NDE)进行解密。
在根据本发明的方法的一个实施方式中,如果对接收到的密钥标识检查得出,在该接收装置中仍不存在附属的带密码的密钥,那么借助私人密钥解密的带密码的密钥连同其附属的密钥标识一起被存储起来。
在根据本发明的方法的一个实施方式中,有效数据单元由软件组件制造商OEM的软件组件构成。
在根据本发明的方法的一个可能的实施方式中,带密码的密钥KOEM由软件组件制造商的对话密钥构成。
在根据本发明的方法的一个可能的实施方式中,密钥标识由相应的带密码的密钥的散列值或者测验值构成。
在根据本发明的方法的一个可能的实施方式中,该密钥标识由发送装置的随机数发生器生成的随机值构成。
在根据本发明的方法的一个可替代的实施方式中,密钥标识由发送装置的计数器生成的计数值构成。
在根据本发明的方法的一种实施方式中,加密的有效数据单元、附属的非对称加密的带密码的密钥和其密钥标识通过网络或者以存储在数据载体上的形式由发送装置传输给接收装置。
在根据本发明的方法的一种实施方式中,发送装置由软件组件制造商的、用于开发软件组件的开发装置构成。
在根据本发明的方法的一种可能的实施方式中,接收装置由应用者的、用于执行软件组件的目标系统装置构成。
在根据本发明的方法的一种可能的实施方式中,接收装置由可编程存储控制装置构成。
本发明还实现了一种用于对密码保护的有效数据单元加速解密的系统,具有:
(a)发送装置(2),其具有:
-用于借助公共密钥(KPUB)非对称地对带密码的密钥KOEM)加密的第一加密单元;
-用于借助带密码的密钥(KOEM)对至少一个有效数据单元(NDE)加密的第二加密单元;和
-端口,用于提供加密的有效数据单元(ENC-NDE)、所述非对称加密的密钥(ENC-KOEM)和带密码的密钥(KOEM)的附属的密钥标识(KOEM-ID);
(b)传输装置,其用于传输加密的有效数据单元(ENC-NDE)、非对称加密的密钥(ENC-KOEM)和带密码的密钥(KOEM)的所述附属的密钥标识(KOEM-ID);和
(c)接收装置,其具有:
-检验单元,其用于根据接收到的密钥标识(KOEM-ID)检查传输的非对称加密的密钥(ENC-KOEM)是否已经以解密的形式存在于接收装置中;
-第一解密单元,如果对带密码的密钥(KOEM)的附属的密钥标识(KOEM-ID)检查得出,加密接收到的带密码的密钥(KOEM)仍未以解密的形式存在于接收装置中,那么第一解密单元借助私人密钥(KPRIV)对接收到的非对称加密的密钥(ENC-KOEM)进行解密;
-第二解密单元,其利用接收装置中已经以解密的形式存在的带密码的密钥(KOEM)或者利用由第一解密单元解密的带密码的密钥(KOEM)对接收到的密码加密的有效数据单元(ENC-NDE)进行解密。
本发明还实现了一种发送装置,其具有:
-用于借助公共密钥(KPUB)非对称地对带密码的密钥(KOEM)加密的第一加密单元;
-用于借助该带密码的密钥(KOEM)对至少一个有效数据单元(NDE)加密的第二加密单元;和
-端口,用于提供该加密的有效数据单元(ENC-NDE)、非对称加密的密钥(ENC-KOEM)和该带密码的密钥(KOEM)的附属的密钥标识(KOEM-ID)。
本发明还实现了一种接收装置,其具有:
-检验单元,用于根据接收到的密钥标识(KOEM-ID)检查传输的非对称加密的密钥(ENC-KOEM)是否已经以解密的形式存在于接收装置中;
-第一解密单元,如果对带密码的密钥(KOEM)的附属的密钥标识(KOEM-ID)检查后得出,加密接收到的带密码的密钥(KOEM)仍未以解密的形式存在,那么该第一解密单元借助私人密钥(KPRIV)对接收到的非对称加密的密钥(ENC-KOEM)进行解密;和
-第二解密单元,其利用接收装置中已经以解密的形式存在的带密码的密钥(KOEM)或者利用由第一解密单元解密的带密码的密钥(KOEM)对接收到的用密码加密的有效数据单元(ENC-NDE)进行解密。
附图说明
下面,参照附图对根据本发明的系统的根据本发明的方法的可能的实施方式进行说明。
图1示出了用于描述根据本发明的方法的一种可能的实施方式的流程图;
图2示出了用于描述根据本发明的系统的一种可能的实施方式的框图。
具体实施方式
如可以从图1中识别出的,加密的数据传输包括一种根据本发明对密码保护的有效数据NDE加速解密的方法,其中,在六个步骤S1至S6中实现的数据传输在步骤S5,S6中包含了根据本发明的解密方法。
在第一步骤S1中,首选生成带密码的密钥。这个带密码的密钥尤其可以是软件组件制造商OEM(原始设备制造商)的带密码的密钥。这个生成的带密码的密钥KOEM在步骤S1中配有附属的密钥标识KOEM-ID。在进行传输的一种可能的实施方式中,密钥标识KOEM-ID由相应的带密码的密钥KOEM的散列值或测验值构成或者说计算出。在一个可替换的实施方式中,密钥标识KOEM-ID由生成的随机数构成,该随机数例如由发送装置的随机生产器生成。在另一个可能的实施方式中,密钥标识KOEM-ID由发送装置内部的计数器生成的计数值构成。
在步骤S1中生成该带密码的密钥KOEM以及附属的密钥标识之后,在步骤S2中通过发送装置借助带密码的公共密钥Kpub对生成的带密码的密钥KOEM进行非对称加密。
在另一个步骤S3中,至少一个有效数据单元NDE由发送装置借助生成的带密码的密钥KOEM加密。在一个可能的实施方式中,有效数据单元NDE是软件组件制造商OEM的软件组件SWK或者说软件模块,其中,发送装置是该软件组件制造商的开发装置的一部分或者说一个开发环境。
在另一个步骤S4中,加密的有效数据单元ENC-NDE或者说加密的软件组件和非对称加密的带密码的密钥ENC-KOEM以及该带密码的密钥KOEM的附属的密钥标识(KOEM-ID)由发送装置传输给接收装置。在此在一个可能的实施方式中,这种传输可以通过线路或者网络实现。在一个可替换的实施方式中,这种传输借助存储器装置或者说数据载体实现。
在接收方面实现所述根据本发明的加密方法,其中在步骤S5中,如果对带密码的密钥的接收到的附属的密钥标识KOEM-ID检查得出,该带密码的密钥KOEM仍未以解密的形式存在于接收装置中时,则借助私人密钥KPRIV对接收到的非对称加密的密钥ENC-KOEM进行解密。
在另一个步骤S6中,如果接收装置中仍不存在带密码的密钥(KOEM),那么利用该接收装置中已存在的带密码的密钥KOEM或者利用借助私人密钥KPRIV解密的带密码的密钥KOEM对接收到的密码加密的有效数据单元ENC-NDE进行解密。
如果在步骤S5中对接收到的密钥标识KOEM-ID检查得出,附属的带密码的密钥KOEM仍不存于该接收装置中,那么借助私人密钥KPRIV解密的带密码的密钥KOEM连同其附属的密钥标识KOEM-ID一起被存储在接收装置中以备后用。
图2示出了根据本发明的系统1的一种可能的实施方式的框图,该系统用于对密码保护的有效数据单元加速解密。系统1具有发送装置2和接收装置3,它们通过传输装置4相互连接。在图2中所示的实施方式中,所述传输装置4是数据线。在一个可替换的实施方式中,传输装置是一个网络或者多个多网络。该网络也可以是无线网络。
在一个可替换的实施方式中,传输装置是存储器或者数据载体,它以存储的方式传输数据。
发送装置2具有第一解密单元2A,用于借助公共密钥Kpub对生成的带密码的密钥KOEM进行非对称加密。带密码的密钥KOEM例如可以在发送装置2的密钥生成器2B中生成。在一个可能的实施方式中,公开密钥Kpub可以存放在寄存器中或者发送装置2的存储器2C中。
发送装置2还包含第二加密单元2D,用于借助生成的带密码的密钥KOEM对至少一个有效数据单元NDE进行加密。在图2中所示的实施方式中,有效数据单元NDE来自发送装置2以外的有效数据来源。该有效数据单元NDE尤其可以是软件组件SWK,它由软件组件制造商OEM借助开发工具编程或者说生产。有效数据单元NDE或者说编程的软件组件SWK例如可以是能够迅速执行完的程序或者子程序。在此,该软件组件具有相应的程序或者说子程序的源代码或者目标代码。这个源代码或者目标代码或者该有效数据单元借助生成的带密码的密钥KOEM通过发送装置2的第二加密单元2D加密,并且由发送装置2的端口2E提供。发送装置2可以集成到该软件组件制造商OEM的开发环境中。端口2E提供加密的有效数据单元ENC-NDE或者加密的软件组件、非对称加密的密钥ENC-KOEM以及该带密码的密钥KOEM的附属的密钥标识KOEM-ID。
在一个可能的实施方式中,所述发送装置2具有单元2F,它用于提供附属的密钥标识KOEM-ID,该密钥标识例如在提供带密码的密钥KOEM的情况下由密钥生成器2B触发。在一个可能的实施方式中,单元2F可以是随机数生成器,其生成随机数作为密钥标识KOEM-ID。在一个可替换的实施方式中,单元2F是计数器,其提供计数值作为密钥标识KOEM-ID。
传输装置4将加密的有效数据单元ENC-NDE、非对称加密的密钥ENC-KOEM和该带密码的密钥KOEM附属的密钥标识KOEM-ID由发送装置2传输给接收装置3。这种传输装置4可以是数据线、一个或者多个网络或者数据载体。
正如图2中所示的那样,根据本发明的系统1的接收装置3具有检验单元3A,其借助接收到的密钥标识KOEM-ID检查被传输的非对称加密的密钥ENC-KOEM是否已经以解密的形式存在于接收装置3中。在一个可能的实施方式中,检验单元3A可以为此访问接收装置3的内存储器3B,多个密钥标识KOEM-ID以及附属的带密码的密钥KOEM存放在该存储器中。
接收装置3还具有第一解密单元3C,它设置用于:如果通过检验单元3A对带密码的密钥KOEM的附属的密钥标识KOEM-ID检查得出,该加密地接收到的带密码的密钥KOEM仍未以解密的形式存在于接收装置3的存储器3B中,则借助私人密钥Kpriv对接收到的非对称加密的密钥ENC-KOEM进行解密。在一个可能的实施方式中,第一解密单元3C通过控制信号线从检验单元3A获得相应的控制信号(使能Enable)。带密码的私人密钥Kpriv可以存放在存储器装置3的被保护的存储器单元3D中。
接收装置3还具有第二解密单元3E,其利用接收装置3中已经以解密的形式存在的带密码的密钥KOEM或者作为代替地利用由第一解密单元3C解密的带密码的密钥KOEM对接收到的密码加密的有效数据单元ENC-NDE进行解密。在图2中所示的实施方式中,接收装置3的多路复用器3F根据来自检验单元3A的控制信号进行连接。如果检验单元3A得出结论,加密接收到的带密码的密钥KOEM仍未以加密的形式例如存在于接收装置3的存储器3B中,那么它激活第一解密单元3C用于借助私人密钥Kpriv对接收到的非对称加密的密钥进行解密,并且借助多路复用器3F将第一解密单元3C的、提供解密的带密码的密钥KOEM的输出端转接至第二解密单元3E。相反地,如果检验单元3A确定,带密码的密钥KOEM已经以存储的方式存在于接收装置3中,那么就不必再通过第一解密单元3C进行解密,并且借助多路复用器3F将已经以存储方式存在的带密码的密钥KOEM提供给第二解密单元3E。在这种情况下就可以省去由第一解密单元3C进行的相对耗费成本的解密,从而加速对密码保护的有效数据单元NDE的解密。
在一个可能的实施方式中,带密码的密钥KOEM由软件组件制造商OEM的对话密钥构成。在一个可能的实施方式中,传输的有效数据单元NDE或者说传输的软件组件SWK在接收方面被执行单元或者说微处理器执行。接收装置3可以是应用者的目标系统装置的一部分,其用于执行软件组件SWK或者有效数据单元NDE。在一个可能的实施方式中,接收装置3具有可编程存储控制装置SPS。
在根据本发明应用混合加密法时,用于非对称地对有效数据加密的对话密钥配有在明文中可读的密钥标识。
在根据本发明的方法中,优选地附带并更新一个所有迄今在公共密钥法的帮助下解密的对话密钥的目录。这个目录例如可以位于接收装置3的存储器3B中。如果接收到用于进行解密的新的混合加密的数据记录或者说有效数据单元,那么首先检查迄今已经解密的对话密钥的目录是否已经包含相应的对话密钥的密钥标识,并且检查该密钥是否已经用于数据记录的实际有效数据加密。如果该目录已经包含该对话密钥的密钥标识,那么从这个目录中读取出附属的对话密钥,并且直接继续对有效数据进行对称解密。但是如果该目录不包含这个密钥标识,或者在利用来自该目录中的对话密钥对有效数据解密时确定不可能对加密的有效数据进行鉴定,那么仅在这种情况下才进行完全的混合解密。因此首先在公共密钥法的帮助下对用于将有效数据对称加密的对话密钥进行重组,并且紧接着借助于计算出的对话密钥对有效数据对称解密。紧接着,以这种方式计算出的对话密钥优选地连同其附属的密钥标识一起被存储在目录中或者存储器中。
相应地,可以在对有效数据单元NDE重新混合加密时事先进行的是,应使用已经公知的对话密钥对有效数据单元进行加密。在这种情况下,不必重新计算该对话密钥的公共密钥解密。仅执行对有效数据单元的对称加密。
由于在根据本发明的方法中会借助加密及解密单元对混合加密的对话密钥进行标记或者说标识,所以使得可以识别出过去是否已经在公共密钥计算操作的帮助下计算出特定的对话密钥。如果在该密钥中已经存在被计算的密钥的目录,那么在根据本发明的方法中可以不用重新执行会使性能下降的公共密钥操作。在这种情况下,将加密及解密过程减少,以便利用纯有效数据进行对称的计算操作。如果在根据本发明的系统中,特定的混合加密的数据记录或者说有效数据单元总是重复地被加密或解密,或者如果对于多个数据记录或者说有效数据单元使用相同的对话密钥,那么通过根据本发明的方法可以让系统或者计算机系统的性能或者效率显著提高。
在本发明的方法中使用了用于标记对话密钥的密钥标识,根据本发明的方法在可能的实施方式中可以通过在明文中可读的密钥标识与其他用于保护预计算的表格不受攻击或者用于减少机密的密钥材料(Schlüsselmaterials)的熵损失的方法组合起来。
根据本发明的方法和系统尤其可以用于安全可靠地或机密地将软件组件或者有效数据单元从开发环境2传输给目标系统装置3,例如可编程存储控制装置SPS。密钥ID在一个可能的实施方式中也可以是实际密钥数据的散列值或测验值。此外可能的是,随机地并且不依赖于密钥数据地生成密钥标识或者说密钥ID。
Claims (21)
1.一种用于对密码保护的有效数据单元(NDE)加速解密的方法,具有以下步骤:
(a)如果对接收到的、带密码的密钥(KOEM)的附属的密钥标识(KOEM-ID)检查得出,接收装置(3)中存在的带密码的密钥(KOEM)仍未解密,那么由所述接收装置(3)借助私人密钥(KPRIV)对接收到的非对称加密的带密码的密钥(ENC-KOEM)进行解密(S5);并且
(b)利用所述接收装置(3)中存在的所述带密码的密钥(KOEM),或者如果在所述接收装置(3)中不存在所述带密码的密钥(KOEM)时,则利用借助所述私人密钥(KPRIV)解密的带密码的密钥(KOEM)对接收到的用密码加密的有效数据单元(ENC-NDE)进行解密(S6)。
2.根据权利要求1所述的方法,其中如果对所述接收到的密钥标识(KOEM-ID)检查得出,在所述接收装置(3)中仍不存在所述带密码的密钥(KOEM),那么借助所述私人密钥(KPRIV)解密的所述带密码的密钥(KOEM)连同所述密钥附属的密钥标识(KOEM-ID)一起存储在所述接收装置(3)中。
3.根据权利要求1或2所述的方法,其中,所述有效数据单元(NDE)由软件组件制造商(OEM)的软件组件(SWK)构成。
4.根据权利要求3所述的方法,其中,所述带密码的密钥(KOEM)由所述软件组件制造商(OEM)的对话密钥构成。
5.根据权利要求1或2所述的方法,其中所述密钥标识(KOEM-ID)由相应的带密码的密钥(KOEM)的散列值或测验值构成。
6.根据权利要求4所述的方法,其中所述密钥标识(KOEM-ID)由相应的带密码的密钥(KOEM)的散列值或测验值构成。
7.根据权利要求1或2所述的方法,其中所述密钥标识(KOEM-ID)由发送装置(2)的随机生成器生成的随机数构成。
8.根据权利要求4所述的方法,其中所述密钥标识(KOEM-ID)由发送装置(2)的随机生成器生成的随机数构成。
9.根据权利要求1或2所述的方法,其中所述密钥标识(KOEM-ID)由发送装置(2)的计数器生成的计数值构成。
10.根据权利要求4所述的方法,其中所述密钥标识(KOEM-ID)由发送装置(2)的计数器生成的计数值构成。
11.根据权利要求7所述的方法,其中所述加密的有效数据单元(ENC-NDE)、所述非对称加密的带密码的密钥(ENC-KOEM)和所述密钥的密钥标识(KOEM-ID)通过网络或者以存储在数据载体中的形式由所述发送装置(2)传输给所述接收装置(3)。
12.根据权利要求9所述的方法,其中所述加密的有效数据单元(ENC-NDE)、所述非对称加密的带密码的密钥(ENC-KOEM)和所述密钥的密钥标识(KOEM-ID)通过网络或者以存储在数据载体中的形式由所述发送装置(2)传输给所述接收装置(3)。
13.根据权利要求7所述的方法,其中所述发送装置(2)由软件组件制造商(OEM)的、用于开发软件组件(SWK)的开发装置构成。
14.根据权利要求9所述的方法,其中所述发送装置(2)由软件组件制造商(OEM)的、用于开发软件组件(SWK)的开发装置构成。
15.根据权利要求11所述的方法,其中所述发送装置(2)由软件组件制造商(OEM)的、用于开发软件组件(SWK)的开发装置构成。
16.根据权利要求1或2所述的方法,其中所述接收装置(3)由应用者的、用于执行软件组件的目标系统装置构成。
17.根据权利要求15所述的方法,其中所述接收装置(3)由应用者的、用于执行软件组件的目标系统装置构成。
18.根据权利要求16所述的方法,其中,所述接收装置(3)具有可编程存储控制装置(SPS)。
19.用于对密码保护的有效数据单元(NDE)加速解密的系统(1),具有:
(a)发送装置(2),所述发送装置具有:
-用于借助公共密钥(KPUB)非对称地对带密码的密钥(KOEM)加密的第一加密单元(2A);
-用于借助所述带密码的密钥(KOEM)对至少一个有效数据单元(NDE)加密的第二加密单元(2D);和
-端口(2E),用于提供所述加密的有效数据单元(ENC-NDE)、所述非对称加密的密钥(ENC-KOEM)和所述带密码的密钥(KOEM)的附属的密钥标识(KOEM-ID);
(b)传输装置(4),所述传输装置用于传输所述加密的有效数据单元(ENC-NDE)、所述非对称加密的密钥(ENC-KOEM)和所述带密码的密钥(KOEM)的所述附属的密钥标识(KOEM-ID);和
(c)接收装置(3),所述接收装置具有:
-检验单元(3A),所述检验单元用于根据所述接收到的密钥标识(KOEM-ID)检查所述传输的非对称加密的密钥(ENC-KOEM)是否已经以解密的形式存在于所述接收装置(3)中;
-第一解密单元(3C),如果对所述带密码的密钥(KOEM)的所述附属的密钥标识(KOEM-ID)检查得出,所述加密接收到的带密码的密钥(KOEM)仍未以解密的形式存在于所述接收装置(3)中,那么所述第一解密单元借助私人密钥(KPRIV)对所述接收到的非对称加密的密钥(ENC-KOEM)进行解密;
-第二解密单元(3E),所述第二解密单元利用接收装置中已经以解密的形式存在的带密码的密钥(KOEM)或者利用由所述第一解密单元(3C)解密的所述带密码的密钥(KOEM)对所述接收到的密码加密的有效数据单元(ENC-NDE)进行解密。
20.一种用于根据权利要求19的系统(1)中的发送装置(2),具有:
-用于借助公共密钥(KPUB)非对称地对带密码的密钥(KOEM)加密的第一加密单元(2A);
-用于借助所述带密码的密钥(KOEM)对至少一个有效数据单元(NDE)加密的第二加密单元(2D);和
-端口(2E),用于提供所述加密的有效数据单元(ENC-NDE)、所述非对称加密的密钥(ENC-KOEM)和所述带密码的密钥(KOEM)的附属的密钥标识(KQEM-ID)。
21.一种用于根据权利要求19的系统(1)中的接收装置(3),具有:
-检验单元(3A),用于根据接收到的密钥标识(KOEM-ID)检查传输的非对称加密的密钥(ENC-KOEM)是否已经以解密的形式存在于所述接收装置(3)中;
-第一解密单元(3C),如果对带密码的密钥(KOEM)的所述附属的密钥标识(KOEM-ID)检查得出,接收到的所述带密码的密钥(KOEM)仍未以解密的形式存在,那么所述第一解密单元借助私人密钥(KPRIV)对所述接收到的非对称加密的密钥(ENC-KOEM)进行解密;和:
-第二解密单元(3E),所述第二解密单元利用在所述接收装置(3)中已经以解密的形式存在的所述带密码的密钥(KOEM)或者利用由所述第一解密单元(3C)解密的所述带密码的密钥(KOEM)对所述接收到的密码加密的有效数据单元(ENC-NDE)进行解密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102009052456.8 | 2009-11-09 | ||
| DE102009052456A DE102009052456A1 (de) | 2009-11-09 | 2009-11-09 | Verfahren und System zur beschleunigten Entschlüsselung von kryptographisch geschützten Nutzdateneinheiten |
| PCT/EP2010/065266 WO2011054630A1 (de) | 2009-11-09 | 2010-10-12 | Verfahren und system zur beschleunigten entschlüsselung von kryptographisch geschützten nutzdateneinheiten |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102598575A CN102598575A (zh) | 2012-07-18 |
| CN102598575B true CN102598575B (zh) | 2015-05-13 |
Family
ID=43480921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080050755.2A Active CN102598575B (zh) | 2009-11-09 | 2010-10-12 | 用于对密码保护的有效数据单元加速解密的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9571273B2 (zh) |
| EP (1) | EP2499774B1 (zh) |
| CN (1) | CN102598575B (zh) |
| DE (1) | DE102009052456A1 (zh) |
| WO (1) | WO2011054630A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103124257B (zh) * | 2011-11-21 | 2018-01-19 | 中兴通讯股份有限公司 | 安全联盟管理方法及设备 |
| CN103297400A (zh) * | 2012-03-01 | 2013-09-11 | 中兴通讯股份有限公司 | 基于双向转发检测协议的安全联盟管理方法及系统 |
| US9275249B1 (en) | 2013-03-07 | 2016-03-01 | Amazon Technologies, Inc. | Accelerated encrypted database operations |
| DE102013110552B4 (de) * | 2013-09-24 | 2015-05-07 | Bundesrepublik Deutschland, Vertreten Durch Das Bundesministerium Des Innern, Vertreten Durch Das Bundesamt Für Sicherheit In Der Informationstechnik, Vertreten Durch Den Präsidenten | Bereitstellung und Verwendung pseudonymer Schlüssel bei hybrider Verschlüsselung |
| US9942034B2 (en) * | 2015-02-13 | 2018-04-10 | Visa International Service Association | Confidential communication management |
| WO2018009612A1 (en) * | 2016-07-06 | 2018-01-11 | Patient Doctor Technologies, Inc. | Secure and zero knowledge data sharing for cloud applications |
| CN110460439A (zh) * | 2019-08-08 | 2019-11-15 | 平安科技(深圳)有限公司 | 信息传输方法、装置、客户端、服务端及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6918038B1 (en) * | 1996-08-13 | 2005-07-12 | Angel Secure Networks, Inc. | System and method for installing an auditable secure network |
| CN101479984A (zh) * | 2006-04-25 | 2009-07-08 | 斯蒂芬·L.·博伦 | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5265164A (en) * | 1991-10-31 | 1993-11-23 | International Business Machines Corporation | Cryptographic facility environment backup/restore and replication in a public key cryptosystem |
| JP2812312B2 (ja) * | 1996-01-12 | 1998-10-22 | 三菱電機株式会社 | 暗号化システム |
| US6704871B1 (en) * | 1997-09-16 | 2004-03-09 | Safenet, Inc. | Cryptographic co-processor |
| US6779111B1 (en) * | 1999-05-10 | 2004-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Indirect public-key encryption |
| IL130963A (en) * | 1999-07-15 | 2006-04-10 | Nds Ltd | Key management for content protection |
| US6898708B2 (en) * | 1999-12-07 | 2005-05-24 | Sanyo Electric Co., Ltd. | Device for reproducing data |
| DE10038779A1 (de) * | 2000-08-09 | 2002-03-07 | Schneider Automation Gmbh | Verfahren zur Übertragung von Daten in ein oder aus einem Steuerungsgerät wie speicherprogrammierbare Steuerung sowie Steuerungsgerät |
| US7143289B2 (en) * | 2000-10-30 | 2006-11-28 | Geocodex Llc | System and method for delivering encrypted information in a communication network using location identity and key tables |
| DE10059230C2 (de) * | 2000-11-29 | 2002-11-28 | 4Friendsonly Com Internet Tech | Verfahren zur Verfügbarmachung von multimedialen Datenmengen |
| JP4112188B2 (ja) * | 2001-03-09 | 2008-07-02 | シャープ株式会社 | データ記憶装置 |
| AU2002322034A1 (en) * | 2001-06-01 | 2002-12-16 | No Magic, Inc. | Electronic information and cryptographic key management system |
| BRPI0211093B1 (pt) * | 2001-07-10 | 2016-09-06 | Blackberry Ltd | sistema e método para efetuar o cache de chave de mensagem segura em um dispositivo de comunicação móvel |
| GB2384404B (en) * | 2002-01-18 | 2005-02-16 | Sun Microsystems Inc | Key management |
| US7773754B2 (en) * | 2002-07-08 | 2010-08-10 | Broadcom Corporation | Key management system and method |
| US20050195975A1 (en) * | 2003-01-21 | 2005-09-08 | Kevin Kawakita | Digital media distribution cryptography using media ticket smart cards |
| DE60313118D1 (de) * | 2003-02-04 | 2007-05-24 | Sgs Thomson Microelectronics | Halbleiterschaltkreis zur Entschlüsselung |
| US20130212707A1 (en) * | 2003-10-31 | 2013-08-15 | James Donahue | Document control system |
| JP2005149126A (ja) * | 2003-11-14 | 2005-06-09 | Sony Corp | 情報取得システム、情報取得方法、及び情報処理プログラム |
| KR100585135B1 (ko) * | 2004-02-28 | 2006-06-01 | 삼성전자주식회사 | 불법 복제 방지 기능을 갖는 aes 엔진 장치 및 이의암호화/복호화 방법 |
| US8015393B2 (en) * | 2004-04-12 | 2011-09-06 | Canon Kabushiki Kaisha | Data processing device, encryption communication method, key generation method, and computer program |
| DE102004055814A1 (de) | 2004-11-18 | 2006-05-24 | Endress + Hauser Process Solutions Ag | Verfahren zur Inbetriebnahme eines Feldgerätes der Prozessautomatisierungstechnik |
| US8396208B2 (en) * | 2004-12-21 | 2013-03-12 | Sandisk Technologies Inc. | Memory system with in stream data encryption/decryption and error correction |
| US7890634B2 (en) * | 2005-03-18 | 2011-02-15 | Microsoft Corporation | Scalable session management |
| EP1785902B1 (en) * | 2005-10-28 | 2010-05-05 | Emma Mixed Signal C.V. | Decryption key table access control on ASIC or ASSP |
| JP2007235324A (ja) * | 2006-02-28 | 2007-09-13 | Toshiba Corp | 復号または暗号化を行う情報処理装置および情報処理方法 |
| US20080063209A1 (en) * | 2006-09-07 | 2008-03-13 | International Business Machines Corporation | Distributed key store |
| US7908474B2 (en) * | 2006-09-22 | 2011-03-15 | International Business Machines Corporation | Method for improved key management for ATMs and other remote devices |
| US20080165973A1 (en) * | 2007-01-09 | 2008-07-10 | Miranda Gavillan Jose G | Retrieval and Display of Encryption Labels From an Encryption Key Manager |
| US20080256646A1 (en) * | 2007-04-12 | 2008-10-16 | Microsoft Corporation | Managing Digital Rights in a Member-Based Domain Architecture |
| US8594335B1 (en) * | 2007-09-28 | 2013-11-26 | Emc Corporation | Key verification system and method |
| JP4405575B2 (ja) * | 2007-09-28 | 2010-01-27 | 東芝ソリューション株式会社 | 暗号管理装置、復号管理装置、およびプログラム |
| EP2056517A2 (en) * | 2007-10-31 | 2009-05-06 | Hitachi Ltd. | Encryption apparatus, decryption apparatus and cryptography system |
| US8254577B2 (en) * | 2008-02-20 | 2012-08-28 | International Business Machines Corporation | Validation of encryption key |
| US8411867B2 (en) * | 2009-04-06 | 2013-04-02 | Broadcom Corporation | Scalable and secure key management for cryptographic data processing |
| US8509448B2 (en) * | 2009-07-29 | 2013-08-13 | Motorola Solutions, Inc. | Methods and device for secure transfer of symmetric encryption keys |
-
2009
- 2009-11-09 DE DE102009052456A patent/DE102009052456A1/de not_active Withdrawn
-
2010
- 2010-10-12 US US13/508,707 patent/US9571273B2/en active Active
- 2010-10-12 EP EP10765432.9A patent/EP2499774B1/de active Active
- 2010-10-12 CN CN201080050755.2A patent/CN102598575B/zh active Active
- 2010-10-12 WO PCT/EP2010/065266 patent/WO2011054630A1/de active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6918038B1 (en) * | 1996-08-13 | 2005-07-12 | Angel Secure Networks, Inc. | System and method for installing an auditable secure network |
| CN101479984A (zh) * | 2006-04-25 | 2009-07-08 | 斯蒂芬·L.·博伦 | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2499774A1 (de) | 2012-09-19 |
| CN102598575A (zh) | 2012-07-18 |
| DE102009052456A1 (de) | 2011-05-19 |
| EP2499774B1 (de) | 2017-04-12 |
| US20120321088A1 (en) | 2012-12-20 |
| US9571273B2 (en) | 2017-02-14 |
| WO2011054630A1 (de) | 2011-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11615411B2 (en) | POS system with white box encryption key sharing | |
| CN110313146B (zh) | 模糊度增强 | |
| CN100468438C (zh) | 实现硬件和软件绑定的加密和解密方法 | |
| CN102598575B (zh) | 用于对密码保护的有效数据单元加速解密的方法和系统 | |
| CA2652084C (en) | A method and apparatus to provide authentication and privacy with low complexity devices | |
| US20070189517A1 (en) | Pseudo public key encryption | |
| US9762560B2 (en) | Method for generating cryptographic “one-time pads” and keys for secure network communications | |
| CN101149768B (zh) | 一种专用处理器软件的加密和解密方法 | |
| KR102383829B1 (ko) | 안전하게 메시지를 교환하기 위한 방법, 이 방법을 구현하기위한 장치 및 시스템 | |
| RU2005104945A (ru) | Эффективное шифрование и аутентификация для систем обработки данных | |
| CN101262341A (zh) | 一种会务系统中混合加密方法 | |
| US6640303B1 (en) | System and method for encryption using transparent keys | |
| CN107534558B (zh) | 用于保护经由数据总线传输的数据的信息安全的方法以及数据总线系统 | |
| CN105306194A (zh) | 供加密档案和/或通讯协定的多重加密方法与系统 | |
| CN103188219A (zh) | 一种数字版权管理方法、设备及系统 | |
| CN103186720A (zh) | 一种数字版权管理方法、设备及系统 | |
| CN101867471A (zh) | 基于无理数的des认证加密算法 | |
| CN102246456A (zh) | 用于对抗对基于循环群的加密的侧通道攻击的系统和方法 | |
| CN102598014B (zh) | 机密地提供软件组件的方法和系统 | |
| CN115499118A (zh) | 报文密钥生成、文件加密、解密方法、装置、设备和介质 | |
| JP4556252B2 (ja) | 暗号変換装置、復号変換装置、暗号通信装置および自動料金徴収システムに用いられるicカード、車載機および路側機 | |
| CN114499825A (zh) | 一种双控密钥管理方法、系统、加密机和存储介质 | |
| CN110474967B (zh) | 块链实验系统及方法 | |
| Landge et al. | VHDL based Blowfish implementation for secured embedded system design | |
| CN104035890A (zh) | 基于静态随机存储器的可编程门阵列芯片加密方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |