CN102782694B - 用于数据安全的设备、方法和系统 - Google Patents
用于数据安全的设备、方法和系统 Download PDFInfo
- Publication number
- CN102782694B CN102782694B CN201180010929.7A CN201180010929A CN102782694B CN 102782694 B CN102782694 B CN 102782694B CN 201180010929 A CN201180010929 A CN 201180010929A CN 102782694 B CN102782694 B CN 102782694B
- Authority
- CN
- China
- Prior art keywords
- message
- data
- terminal device
- controller
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Abstract
提供存储用户数据且可与终端设备(2)交互以将关于所存储的用户数据的信息提供给所述终端设备(2)的类型的数据安全设备(5)。此数据安全设备(5)具有用于存储用户数据的存储器(10)、用于传输所述安全设备(5)与可连接至数据通信网络(3)的终端设备(2)之间的数据通信的接口(7),以及控制器(8)。所述控制器(8)通过生成消息而处理来自所述终端设备(2)的请求;将所述消息发送到所述终端设备(2);接着接收所述消息进行编码的加密构造;检查所述加密构造对于所述消息的有效性,且接着进行关于所述用户数据的所请求信息至所述终端设备(2)之后续提供。还提供了对应的方法、终端设备(2)和系统(1)。
Description
技术领域
本发明一般地涉及用于以下类型的数据安全设备的事务审计:所述数据安全设备存储用户数据且可与终端设备交互以将关于所存储的用户数据的信息提供给所述终端设备。提供使得能够进行这些事务的可靠审计的数据安全设备,以及用于与此类安全设备一起使用的终端设备、使用这些设备的系统,以及用于控制此类设备的操作的计算机程序。
背景技术
存在用户需要证明特定信息以便访问某一资源的众多情况。此信息经常为安全敏感信息,因为其可能为秘密的、私用的、个人的,或因其它原因而被视为值得保护以免于未授权揭示。此类信息可作为用户数据存储于适于与终端设备交互的数据安全设备的存储器中。所述安全设备可将关于所存储的用户数据的信息提供给终端设备以便证明为了访问相关资源而需要的任何信息。在成功证明后,终端设备即允许对所述资源的用户访问。
对于此类数据安全设备,智能卡为常见形状因子(form factor)。实例包括电子身分(eID)卡、信用卡、医疗保健及保险卡。通常以某一方式(例如,通过密码编码过程)来保护存储于卡上的用户数据以防止未授权访问并提供对有效性的保证。具体地说,通常将用户数据编码为加密构造(cryptographic construction)(具体地说,某一形式的加密凭证),所述加密构造由已检验由用户数据所表示的信息的受信机构发出。例如,在基于属性的系统中,用户信息的项目由指派给预定义“属性”的值表示,这些预定义“属性”根据待证明的信息(例如,指定出生城市、年龄、职业、头发颜色等)来定义。所述属性值可编码为凭证中的用户数据以证明所表示信息的正确性。出于安全目的,理想地设计凭证系统以使得可在不透露除了待证明数据以外的任何数据的情况下进行关于所存储用户数据的证明。因此,请求关于所存储用户数据的某一特定信息的证明的终端设备可在不知晓关于用户数据的任何其它事项的情况下获得所需要的证明。
当与数据安全设备交互时,终端设备向所述安全设备发送指定关于所存储用户数据的所需信息的请求。例如,在基于属性的系统中,此规定(或“策略”)指示需要揭示的任何属性值和/或关于特定属性值需要证明哪些事项。安全设备然后与终端一起参与加密证明,所述加密证明表明拥有验证用户属性满足所述策略的有效凭证。
终端与安全设备之间的信息交换的可靠审计是存在问题的。具体地说,需要用户能够检查终端在其各种事务中所请求的信息,但出于此目的获得可靠审计信息并非直截了当的。各种因素促成了此问题。例如,典型数据安全设备(如智能卡)一般不具有其自身的用户接口。因此,这些设备无法逐个事务地向用户显示审计信息。虽然终端设备通常确实提供用户接口,但这些设备一般不可信,且因而用户无法依靠这些设备正当地呈现审计信息。具体地说,不可信的终端可能在不向用户通知交互的情况下向安全设备询问关于其用户数据的许多问题。所述终端可能接着能够自所有这些事务推断出机密的用户数据。例如,如果安全设备提供逐个年龄范围(例如,“我大于18岁”或“我小于16岁”)的证明,则终端可通过不同年龄策略自许多请求推断出用户的实际认证年龄,或甚至推断出实际的出生日期。在无安全设备自身的用户接口的情况下,安全设备无法直接向用户通知此误用。
另一困难是数据安全设备(如智能卡)中的永久性存储器具有有限的可重写性。此情形使得安全设备记录其自身的用户事务的审计线索(audittrail)是不切实际的。例如,当前eID卡中所使用的EEPROM(电可擦除可编程只读存储器)限于约10,000次写入操作(归因于固有擦除循环所引起的损耗)。实际上,eID卡功能性理想地在任何可能的情况下避免了对EEPROM的写入操作。此情形部分是因为所述卡被设计为使得即使单一EEPROM单元被破坏,所述卡也将完全地拒绝服务,且已存在eID卡由于过量写入操作而过早到期的情形。
数据安全设备中的易失性存储器当然可记录涉及多个未揭示请求的终端滥用的细节。然而,当设备的易失性状态随着每次失去电力而被删除时,终端可重设设备的易失性状态且因而甚至删除对误用的易失性记录。
自上文可见,仅就审计信息而言,数据安全设备倾向于受终端设备支配,且因此数据安全设备易受用户未在意的多请求攻击影响。在安全设备可以多种方式响应终端请求(其中每一响应揭示关于用户的额外信息)的情况下,此基本限制尤其显著。终端可接着通过询问许多未揭示问题而提升其关于用户的知识。已提议认证终端设备以使得仅允许所述终端设备请求特定属性。然而,这只是限制了终端操作的属性空间,而并不阻止终端提升其对此空间的边界的知识,即使更广泛的事务实际上需要少得多的知识亦如此。另一选项为使用受信终端,或用于监视终端操作的受信硬件设备,所述受信硬件设备结合了受信用户显示器及输入。
发明内容
本发明的一方面的一个实施例提供一种数据安全设备,所述数据安全设备包括:存储器,其用于存储用户数据,接口,其用于传输所述安全设备与可连接至数据通信网络的终端设备之间的数据通信,以及控制器,其用于处理来自所述终端设备的对关于所述用户数据的信息的请求。所述控制器适于通过以下操作来处理所述请求:
生成包括关于所述用户数据的所请求信息的指示的消息,生成所述消息以便允许使用秘密数据来检验所述消息是由所述控制器生成的;
将所述消息发送到所述终端设备以便经由所述网络传送至用于在所述网络中发布所述消息的发布实体;
自所述终端设备接收由所述发布实体发出的、对由所述发布实体发布的所述消息进行编码的加密构造;
针对由所述控制器生成的所述消息检查所述加密构造的有效性;以及
取决于所述加密构造而将关于所述用户数据的所请求信息提供给所述终端设备。
因此,在体现本发明的安全设备中,控制器通过生成包括所请求信息的指示的消息而响应对关于所存储用户数据的信息的请求。以此方式生成此消息以便允许对来源之后续检验,亦即,检验所述消息确实是由该控制器生成。此检验过程可能需要使用秘密数据(通常存储于安全设备自身中),但在此数据仅可用于被允许查看针对安全设备的审计信息的授权方(或可能多方)的意义上,所述秘密数据在任何情形下皆为“秘密”。通常,唯一的授权方将为安全设备自身的用户。将所得消息发送到终端设备且经由网络中继至发布实体。此实体在网络中发布所述消息,且生成编码所发布消息的加密构造。可通过根据加密编码过程(例如,使用加密签名算法)来编码所发布消息而以多种方式来生成此类加密构造。经由终端将通过发布实体所发出的加密构造返回至安全设备。设备控制器可接着检验所述加密构造对于最初生成的消息而言是否有效(亦即,所述构造是否为原始消息的有效编码)。如果有效,则此情形确认原始消息确实已经发布。因此在实际上将最初请求的信息发送到终端之前检查加密构造的有效性,信息至终端之后续提供取决于所述加密构造。
以此方式,安全设备可确保在实际上将由终端设备所请求的信息提供给终端设备之前存在所述信息的发布记录。因此,可先验地确保设备的事务的可靠审计线索的可用性。用户因此可随后检查发布的审计线索以确认所请求的信息不多于由终端设备所揭示的信息。此外,因为所发布的消息的来源的检验需要上文所论述的秘密数据,所以未授权方无法检验哪些消息源于该特定安全设备。可因此使得用户的审计线索为匿名的。体现本发明的安全设备可因此提供一种用于建立针对提供给终端设备的信息的可靠审计线索的简单巧妙、极其实用且非常有效的系统。此系统可能不防止通过欺诈终端进行多请求攻击的个别滥用实例。然而,此系统可提供有效的诈骗检测机制,从而允许快速地识别欺诈终端及终端拥有者,由此防止持续滥用且充当有效遏制。
已检查了加密构造对于最初生成的消息的有效性之后,控制器可取决于所述加密构造(例如,取决于构造的有效性和/或取决于构造中的信息)而将关于用户数据的所请求信息提供给终端。在优选实施例中,所述控制器适于仅当所述构造对于最初生成的消息而言有效时才将关于用户数据的所请求信息提供给终端设备。然而,可设想备选实施例。例如,可设想以下实施例:如果发现所述构造中编码的消息不同于最初生成的消息,则所述控制器仅将特定信息提供给终端,例如,某一预定最少信息或诸如所述构造中编码的消息中被指示为由终端设备所请求的信息(如果其是实际上所请求的信息的较少子集)。当对于请求而言未接收到有效构造时,所述控制器通常可限制可提供的信息,或所服务的请求数,或可在此情形下记录永久性存储器中的事务细节(尽管此解决方案将由于上文所论述的原因而通常为不当的)。对于更安全且有效的操作而言,用户信息的提供将取决于有效加密构造的接收。
由安全设备所生成的消息可包括终端设备所请求的信息的任何便利指示。此指示可便利地为包括在来自终端设备的请求中的策略(或类似规定),但大体而言,可使用可藉以识别所请求信息的任何规定、定义、描述或其它指示。
可以多种方式来实现用以允许检验来源的消息的生成。具体地说,可使用各种加密消息生成过程以允许使用秘密数据来检验来源,所述秘密数据以某种方式与消息生成过程关联。例如,所述消息生成过程可涉及密码加密过程以使得成功解密需要秘钥,和/或涉及包括使用秘密值或若干秘密值生成的某一或某些特定要素以使得所述秘密值(多个)的知识允许对如此生成的消息的后续识别。在优选实施例中,所述控制器适于通过加密关于用户数据的所请求信息的指示以产生可使用秘密用户密钥解密的密文而生成所述消息。为此目的由优选实施例使用密钥匿名加密算法,由此发布的消息不仅可匿名,且不可由除了秘密用户密钥的持有方以外的任何一方进行链接。在优选实施例中,所述消息生成亦可涉及额外过程,由此消息可包括其它要素以及前述密文。具体地说,所述控制器优选地适于针对由所述控制器生成的每一消息计算加密质询(challenge)以促进检验所述消息是由所述控制器生成并将所述加密质询包括在该消息中。理想地加密此质询以使得只有授权的发布实体才可解密包括在消息中的质询。
在尤其优选的实施例中,所述控制器适于针对消息使用(至少)随机数及预定秘密值来计算针对所述消息的加密质询以便允许在不介入通过设备存储任何消息特定的数据的情况下使用所述秘密值来检验所述消息是由所述控制器生成。所述随机数用于确保所发布消息的不可链接性,而所述秘密值使得能够进行来源检验。以此方式,可保证不可链接性,且同时不需要至安全设备中的永久性存储器的写入操作。具体地说,为使后续检验过程工作,所述安全设备不需要存储所述质询,或所使用的特定随机数,或甚至将需要针对每一消息使用永久性存储器的任何其它消息特定的数据。以下将给出此类技术的详细实例。
可设想以下情况:通过自身持有(或从安全设备获得)所需要的秘密数据的某一受信终端设备来执行所发布消息的检查且因此执行哪些消息发源于给定安全设备的检验。然而,更便利的是,此过程可由所述安全设备的控制器来执行。因此,所述控制器优选地适于执行包括以下操作的审计过程:经由所述终端设备从由所述发布实体在所述网络中发布的消息接收消息数据;从所述消息数据识别对应于所述消息数据的所发布消息之中由所述控制器生成的任何消息;以及对于如此识别出的每一消息,将与该消息中的所述指示对应的关于所述用户数据的所请求信息的描述发送到所述终端设备以便输出至用户。通常,前述消息数据可包括整个消息或识别消息来源所需的任何消息内容。输出至用户的信息的描述可为如包括在所述消息中的指示或可为相关信息的某一其它表示。
本发明的第二方面的一个实施例提供一种终端设备,所述终端设备包括:通信接口,其用于在所述终端设备与数据通信网络之间传送数据;安全设备接口,其用于在所述终端设备与具有存储用户数据的存储器的数据安全设备之间传送数据;以及终端控制器,其用于将对关于所述用户数据的信息的请求发送到所述数据安全设备。在接收发送到所述安全设备的所述请求中请求的关于所述用户数据的信息之前,所述终端控制器适于:
响应于发送到所述安全设备的所述请求而从所述安全设备接收消息;
经由所述数据通信网络将所述消息发送到用于在所述网络中发布所述消息的发布实体;
从所述发布实体接收由所述发布实体发出的、对由所述发布实体发布的所述消息进行编码的加密构造;以及
将所述加密构造发送到所述安全设备。
本发明的另外方面的相应实施例提供了计算机程序,所述计算机程序包括用于控制根据本发明的第一方面的实施例的安全设备及根据本发明的第二方面的实施例的终端设备的操作的程序代码装置。体现本发明的计算机程序可构成独立程序或可为较大程序的要素,且可提供(例如,体现在诸如磁盘的计算机可读介质或电子传输中)以便加载到设备中。所述计算机程序的所述程序代码装置可包括指令集的任何表达(以任何语言、代码或标记),所述指令集旨在使计算机直接地或在(a)转换为另一语言、代码或标记及(b)以不同材料形式再现中的任一或两者之后执行相关方法。
本发明的另一方面的一个实施例提供一种系统,所述系统包括:
根据本发明的第二方面的终端设备,所述终端设备可连接至数据通信网络;
根据本发明的第一方面的数据安全设备,所述数据安全设备用于处理来自所述终端设备的对关于所述用户数据的信息的请求;以及
发布实体,所述发布实体连接至所述网络以用于与所述终端设备进行数据通信,所述发布实体适于经由所述网络从所述终端设备接收所述消息、在所述网络中发布所述消息、生成对所发布消息进行编码的加密构造,以及将所述加密构造发送到所述终端设备。
大体而言,在使得消息可用于通过经由网络连接至实体的设备进行访问的意义上,所述发布实体可为可在网络中发布消息的任何设备、系统或机构。便利地,所述发布实体适于操作用于发布所述消息的公告栏。
大体而言,在本文中参考本发明的一方面的一个实施例来描述诸特征的情况下,可在本发明的另一方面的实施例中提供对应特征。
附图说明
现在将仅通过实例的方式参考附图描述本发明,这些附图是:
图1为体现本发明的数据通信系统的示意性表示;
图2为图1系统的数据安全设备及终端设备的更详细图示;
图3示出在向数据安全设备请求信息之后,图1系统的若干设备之间的交互;
图4更详细地示出图3过程的关键步骤;及
图5示出在数据安全设备所执行的审计过程期间图1系统的若干设备之间的交互。
具体实施方式
图1展示体现本发明的数据通信系统1。系统1包括终端设备2,所述终端设备2可连接至数据通信网络3以用于经由所述网络与其它设备通信。网络3通常可包括一个或多个组件网络或互连网络(internetwork),包括因特网。系统1亦包括发布实体,所述发布实体在此处由连接至网络3的服务器4来表示。如以下进一步论述,服务器4将受信公告栏(BB)服务提供给网络3。(尽管在此处指示为单个块,但通常服务器4的功能性可分散于服务器系统的多个物理机器上)。呈智能卡5的形式的数据安全设备可与系统中的终端设备2交互。智能卡5结合有嵌入式芯片(由此图中未展示),所述嵌入式芯片含有与卡的持有者(“用户”)有关的用户数据。
图2为终端设备(“终端”)2及智能卡5的示意性方块图,所述示意性方块图更详细地展示这些设备的主要组件。智能卡5包括用于传输卡5与终端2之间的数据通信的终端接口(I/F)7。接口7通常可由任何形式的有线或无线通信接口来实施,但通常包括一组电触点以便在将卡插入终端的读卡器插槽中时与终端接合。呈卡控制器8的形式的控制逻辑总体上控制卡的操作。控制器8包括用于为来自终端2的请求服务且亦用于实施如以下详细描述的事务审计过程的功能性。卡5包括易失性存储器9,易失性存储器9用作针对控制器8的各种操作的工作存储器。可包括(例如)ROM及EEPROM的永久性存储器10提供上文所提及的用户数据以及在控制器8的操作中所执行的加密过程所需的各种其它数据的永久性存储。如以下更详细论述,此数据包括各种加密密钥及用于加密算法的参数,以及包括秘密值s的秘密数据。
终端2包括用于经由卡的终端接口7与卡5通信的安全设备接口(此处为读卡器接口12)。终端2具有用户接口13,用户接口13包括显示器14及小键盘15,由此可将信息显示给用户且用户可将信息输入至终端。终端2亦可包括用于与网络3进行数据通信的通信接口16。呈终端控制器17的形式的控制逻辑总体上控制终端的操作,且实施如以下详述的用于向卡5请求信息的过程。终端控制器17结合有用于根据其各种操作中的需要而存储数据的存储器(在此未单独地展示)。虽然通常控制器8、17的控制逻辑可以以硬件、软件或硬件与软件的组合来实施,但在此实例中,所述逻辑通过软件来实施,所述软件配置相应设备2、5的处理器以执行所描述的功能。此处理器通常可包括一个或多个处理芯片或核心。根据本文中的描述,适当的软件对本领域技术人员而言将是显而易见的。
在此实例中,假设卡5为根据以下进一步描述的基于属性的系统来编码用户数据的eID卡。用户可使用所述卡以经由与终端2的交互来访问受限服务或其它资源。具体地说,对资源的访问需经受关于存储在卡中的用户数据的某一所需信息的证明。取决于特定应用情况,可由终端2自身提供资源,或由控制终端2或可与终端2通信的某一其他方提供资源。因此,终端2可为资源提供者拥有或可不为资源提供者拥有,且可针对不同应用以多种方式来实施。具体地说,终端2可为用于特定应用的专用终端设备或可为可经由网络3访问由其它设备(图中未展示)提供的资源的通用设备,诸如个人计算机、移动电话、PDA(个人数字助理)等。终端设备的精确形式很大程度上与将描述的操作无关。关键点在于对资源的访问需经受关于卡上的用户数据的某一所需信息的证明,且此证明经由卡5与终端2之间的交互进行。具体地说,当卡5已连接至终端2且任一初步处理(诸如,输入并检查用户PIN(个人识别号))已完成时,终端将向卡发送对关于访问相关资源所需的其用户数据的任何信息的请求。现将参看图3描述系统1的各种组件之间的随之发生的交互。
图3给出当由终端2发出对信息的请求时,由卡5(如通过图的左手栏所表示)、终端2(如通过图的中央栏所表示)及BB服务器(BB)4(如通过图的右手栏所表示)执行的关键步骤的综述。图的顶部处的步骤(a)表示通过终端控制器17经由设备的接口12、7将请求发送到卡控制器8。关于用户数据的所请求信息在此是由包括在请求中的策略p来定义。在接收到请求之后,在图的步骤(b)中,通过卡控制器8将策略p存储于易失性存储器9中。卡控制器8接着生成包括终端所请求的信息的指示的消息M。在此实施例中,这通过将策略p包括在所述消息中而实现。消息M依照以下所详述的特定方式生成,且包括除了策略p以外的诸多要素,以便允许随后检验消息M是由卡控制器8生成。在图的步骤(c)中,卡控制器经由接口7、12将响应R发送到终端控制器17。此响应包括消息M,如以下所详述,消息M的一些要素在所述响应中加密。在接收到所述响应之后,终端控制器17经由网络3经终端的网络接口16连接至BB服务器4。所述终端控制器接着将所述响应发送到BB服务器4。
在接收到所述响应之后,在图3的步骤(e)中,BB服务器4首先通过以下所详述的过程从所述响应提取消息M。接下来,所述服务器经由张贴P向公告栏发布消息M。(公告栏的操作为本领域中所熟知的且在此不需要进一步描述)。如以下所详述,BB服务器4接着生成对所发布消息P进行编码的加密构造(CC)。在步骤(f)中,BB服务器将构造(CC)发送到终端设备2,且终端控制器17将所述构造转发至卡控制器8。
在接收到构造(CC)之后,在步骤(g)中,卡控制器8检查对于由卡控制器所生成的原始消息M而言,所述构造为有效构造。随之发生的操作取决于该构造的有效性。仅当该构造有效时,卡控制器才继续在步骤(h)中将关于其用户数据的信息(如由策略p所指定)提供给终端设备2。在此情形下,终端设备接着进行其访问决策,且相应地允许抑或不允许用户对资源进行访问。然而,如果在步骤(h)中该构造并非有效,则卡控制器将不提供任何用户信息,且终端的请求被拒绝。
现将更详细地描述可通过图3过程中的各种设备实施的协议的实例。对于此实例而言,定义发出者的集合I={I1,I2,…},以及属性的集合A={a1,a2,…}。每一发出者I认证属性的已知集合及可能的部分函数aI,U,从而在用户的请求之后针对用户U将属性映射至具体值上。发出者可能拒绝来自U的此类请求,但在其它情况下事务导致U持有由属性aI及属性的值aI,U组成的凭证cI,U,及加密签名σI,U。任何第三方可检验签名σ来自I,且在签名不变得无效的情况下,U将不能够改变经签名的值。
假设由卡5的用户U对资源的访问需要卡控制器8证明关于特定发出者I所发出的属性及属性值的拥有。假设存储于卡5的存储器10中的用户数据包括含有所需属性值的凭证cI,U,则卡控制器8可发出此类证明。
待描述的协议使用策略p、时间的识别符τ及加密质询c。策略p指定需要发行哪些属性值和/或关于特定属性值需要证明何种信息。如以下所描述,时间识别符τ将事务绑定至特定时间且允许在特定时间窗内对事务进行审计。质询c允许卡控制器在由BB服务器4发布的消息之中识别其自身的事务消息。系统亦使用公钥/私钥对,其中实体X的密钥对由假设被广泛知晓的公钥pkX及假设仅为X所知晓的秘钥skX(亦称为“私用密钥”)组成。
将参看图4的过程流程图来描述系统的操作。此大体上对应于图3,但更详细地指示协议的步骤。在该图的步骤(a)中,终端2获得当前时间τ(其中应理解,此处的“时间”可为真实时间,但可更一般地根据事件的任何有序序列来衡量,由此可将时间指示符τ简单地视为指示事件的有序序列中的特定阶段的索引)。本领域技术人员将显而易见用于生成时间索引τ的合适时间源(不管实施于终端2还是某一其它可由网络3访问的设备中)。如上文所描述,时间τ与策略p一起包括在发送到卡5的请求中。
在该图的步骤(b)中,由卡控制器8生成的消息M包括由以下所详述的过程生成的加密质询c,及加密策略p的密文。这使用加密算法E,加密算法E将策略p及公钥/私钥对pkC、skC中的公钥pkC作为输入,所述公钥/私钥对pkC、skC与卡关联且存储于永久性存储器10中。加密算法通过在公钥pkC下加密p而产生密文存在解密算法,所述解密算法使用仅为卡控制器8已知的秘钥skC来产生此处的加密使用密钥匿名加密算法E来执行以使得无人可链接加密的项目。作为一个实例,当ElGamal密码系统使用短暂密钥时可使用ElGamal密码系统。(对于本领域技术人员而言ElGamal系统为熟知的且被描述于T.ElGamal的“基于离散对数的公钥密码系统及签名方案(A Public KeyCryptosystem and a Signature Scheme based on Discrete Logarithms)”(Advances in Cryptology:CRYPTO 1984,LNCS的第196期,第10至18页,Springer 1985))。因此,使用具有生成器g及次序q的循环组G,卡可存储秘密z∈G及h=gz。所述加密将被计算为其中r为随机选择的组元素。
加密质询c及时间指示符τ连同策略p一起存储于卡的易失性存储器9中。接着在公钥/私钥对pkBB、skBB(其与BB服务器4关联)的公钥pkBB下加密该质询,从而产生密文δ=EpkBB(c)。这确保仅真正的BB服务器4可解密该质询。如所指示,在图4的步骤(c)中由卡5发送到终端2的响应包括两个密文γ、δ。在步骤(d)中,终端2将所述响应连同与步骤(a)中的请求关联的时间τ一起转发至BB服务器4。
在步骤(e)中,BB服务器首先经由解密提取消息的质询c。服务器4接着将τ、c及加密的策略γ以张贴发布至公告栏。接下来,服务器4生成对所述发布项进行编码的加密构造。具体地说,服务器4使用签名生成算法Ssk'BB(τ,c,γ)以在秘密BB签名密钥sk'BB下对所述发布项进行签名从而产生签名σ。(注意,BB 4的签名密钥对不同于上文所提及的加密密钥对)。接着在步骤(f)中将签名σ发送回卡5。
在步骤(g)中,卡控制器检验针对所述请求而存储于易失性存储器9中的策略p、质询c及时间τ的签名的有效性。这使用签名检验算法Vpk'BB,签名检验算法Vpk'BB使用对应于签名密钥sk'BB的公钥pk'BB以解码该签名。当且仅当发布项(τ,c,γ)含有存储于存储器9中用于请求的质询c及时间τ的相同值且密文γ在秘钥skC下根据存储于存储器9中的相同策略p进行解码时,所述检验算法才返回真。因此,仅当凭证σ为针对最初由卡生成的正确时间τ及消息(γ,c)的有效签名时,卡5才将凭证σ检验为有效。在针对BB服务器4的信任假设下,这证明含有策略p的原始消息已正确地发布至公告栏。此外,签名的检验确保在步骤(d)中提供给BB的时间τ与在步骤(a)中提供给卡的时间τ相同。(另外,如果BB服务器适于检查时间τ的正确性,则可确保所使用的时间的正确性)。如果该签名有效,则在步骤(g)中,卡控制器8根据策略p来实施关于用户凭证cI,U中的用户属性的知识的所需证明PK(p),由此将关于用户数据的所请求信息提供给终端2。
将可见,所描述的系统使得卡控制器8能够确保在实际上将所请求的信息提供给终端2之前将定义终端2所请求的信息的策略p发布至受信公告栏。此外,在与终端2的事务之后的任何时间,用户可将卡5携至受信终端以检索策略p。此允许用户检查该策略是否遵循在事务期间经由终端显示器14传送至用户的策略。图5给出此审计过程的基本步骤的综述。该图展示由该图的左手栏表示的卡5(经由受信终端)与由该图的右手栏表示的BB服务器4之间的交互。对于此高度实务性实施而言,在所述过程的步骤(a)中,用户选择执行审计过程的时间窗。所述审计过程将接着限于由BB服务器4在该时间窗中发布的消息。由用户借助受信终端选择时间间隔且在该图中以Δτ=(τ1…τ2)来表示。在步骤(b)中,卡控制器8经由受信终端将请求发送到BB服务器4以用于请求含有在指定时间间隔Δτ中的时间τ的BB发布项(τi,ci,γi)。BB服务器4在步骤(c)中检索含有消息(ci,γi)的相关发布项(τi,ci,γi),且在步骤(d)中将这些发布项(τi,ci,γi)发送到卡5。接下来,在步骤(e)中,卡控制器8从返回的发布项中识别由控制器8生成的任何消息(ci,γi)。卡控制器可检验其自身使用秘密值s生成的哪些消息存储于卡的永久性存储器10中。以下更详细地解释此操作。对于如此识别出的每一消息,控制器8接着在步骤(f)中解密密文γi以获得其中编码的策略pi。接着经由终端将所得策略pi及关联的时间τi显示给用户。用户因此可检查其与先前终端的事务的审计线索,且检查揭示的信息不多于彼时由终端透露的信息。因此可识别差异且将欺诈终端报告至适当的授权机构。
现在将描述使得卡控制器8能够检验消息的来源的特定技术。这些技术使得能够在不需要卡将任何数据写入至其永久性存储器10的情况下执行检验过程。亦即,在涉及发布至BB 4的消息的生成的给定事务与通过卡控制器8识别该消息的后续审计过程之间,卡5无需保留任何消息特定的数据(诸如,质询c或甚至计数器)。由于不使用任何永久性存储,所以当从公告栏检索信息时,卡控制器需要进行一些计算。将解释两种策略,所述两种策略允许卡控制器计算质询c以使得卡控制器可在不允许其他方链接同一设备的不同事务的情况下在BB发布项当中识别卡控制器自身的消息。
第一技术使用相对较小、随机选择的数字r∈{0,1}h、存储于卡存储器10中的固定秘密值s,及诸如f(x)=g1/(x+s)(模数v)的可检验随机函数(VRF),其中g为具有质数阶v的组G的生成器,所述质数阶v如Y.Dodis及A.Yampolskiy的“具有短证明及密钥的可检验随机函数(A verifiablerandom function with short proofs and keys)”(Public Key Cryptography'05,LNCS的第3386期,第416至431页,Springer 2005)中所定义。卡控制器8通过c=f(r)=g1/(r+s)(模数v)来计算质询。为了检验其所发布消息(ci,γi)的来源,控制器8针对所有可能的选择rl∈{0,1}h来计算cl=f(rl)。在图5的步骤(e)中,控制器8可将所有可能质询值cl与在BB上发布的消息中所接收的质询相比较。此解决方案中的基本原理是将少数(随机选择的)值映射至大型消息空间上。选择所述参数以使得:(1)卡控制器8在其寿命(或至少与事务的数目相比较而言长的时间跨度)期间选择相同r的概率小;及(2)两个不同卡控制器生成相同c的概率可忽略。(然而,为了虑及冲突发生的可能性,可使用策略中的校验和来识别待消除的错误解密的策略)。
第二技术涉及计算消息的质询c以使得该质询包括取决于随机数r且具有取决于固定秘密值s的预定关系的一对值。在审计过程中,通过识别包括具有所需关系的一对值的任何质询ci而识别由控制器生成的消息(ci,γi)。更具体地说,卡控制器8通过选择具有g∈RG的随机数及使用所存储的秘密s来计算gs而计算该质询。将质询c设置为c=(g,gs)。在审计过程中,控制器8可将每一c=(g,g')下载到发布项中,且在图5的步骤(e)中计算gs。具有g'=gs的所有所发布消息均源自于卡控制器8。在此技术及第一技术两者中,供获取秘密s的消息空间足够大而使得不同卡不太可能使用相同秘密。
将可见,以上系统允许如智能卡5的数据安全设备(其具有至永久性存储器的严格有限的写入循环且不具有I/O能力)获得针对与不受信的终端2的事务的可靠审计线索。此审计线索为卡用户私用,且因此不需要相信任何独立审计者的私密允诺。卡用户可确信,在实际上将所请求的用户信息提供给终端之前已发布了定义该信息的策略。另外,用户可在无任何其他方能够识别用户或甚至链接同一用户的不同事务的情况下检索并检查所发布的策略。因此可识别并报告请求多于终端实际上透露的数据的欺诈终端,从而提供对终端诈骗的有效遏制。对于安全操作而言,系统仅需要受信的BB 4及对受信终端的用户访问以用于审计过程。即使该受信BB服务器亦不知晓关于用户事务的任何信息(亦即,事务方或交换的信息)。所述协议不需要数据安全设备永久地存储关于个别事务的任何信息。在反应时间远不如事务自身期间重要的时间处发生检索审计线索时所需要的计算。图4的事务协议保证了在事务的第一部分与步骤(g)中所执行的检验之间已无电力故障(power failure)。因此,卡控制器可执行独立于策略的预先计算,且此类预先计算可显著减少用户必须等待在图4的步骤(h)中完成最终证明的时间。对于(例如)遵循eID卡系统的预期而言,这可为非常重要的。
虽然上文中数据安全设备为智能卡,但可设想众多其它形式的数据安全设备,包括(大体而言)任何形式的数据承载硬件令牌。另外,虽然上文已针对编码用户数据而描述了基于属性的系统,但在本发明的实施例中当然可使用其它系统。在不脱离本发明的范围的情况下,可对所描述的示意性实施例进行许多其它改变及修改。
Claims (14)
1.一种数据安全设备(5),包括:
存储器(10),其用于存储用户数据,
接口(7),其用于传输所述安全设备(5)与可连接至数据通信网络(3)的终端设备(2)之间的数据通信,以及
控制器(8),其用于处理来自所述终端设备(2)的对关于所述用户数据的信息的请求,其中所述控制器(8)适于通过以下操作来处理所述请求:
生成包括关于所述用户数据的所请求信息的指示的消息,生成所述消息以便允许使用秘密数据来检验所述消息是由所述控制器(8)生成的;
将所述消息发送到所述终端设备(2)以便经由所述网络(3)传送至用于在所述网络中发布所述消息的发布实体(4);
自所述终端设备(2)接收由所述发布实体(4)发出的、对由所述发布实体(4)发布的所述消息进行编码的加密构造;
针对由所述控制器(8)生成的所述消息检查所述加密构造的有效性;以及
取决于所述加密构造而将关于所述用户数据的所请求信息提供给所述终端设备(2);
其中所述控制器(8)还适于执行审计过程,所述审计过程包括:
经由所述终端设备(2)从由所述发布实体(4)在所述网络(3)中发布的消息接收消息数据;
从所述消息数据识别与所述消息数据对应的所发布消息之中由所述控制器(8)生成的任何消息;以及
对于如此识别出的每一消息,将与该消息中的所述指示对应的关于所述用户数据的所请求信息的描述发送到所述终端设备(2)以便输出至用户。
2.如权利要求1的设备,其中所述控制器(8)适于仅当所述加密构造对于由所述控制器(8)生成的所述消息有效时才将关于所述用户数据的所请求信息提供给所述终端设备(2)。
3.如权利要求1或2的设备,其中所述控制器(8)适于通过加密关于所述用户数据的所请求信息的所述指示以产生可使用秘密用户密钥解密的密文而生成所述消息。
4.如权利要求3的设备,其中所述控制器(8)适于根据密钥匿名加密系统来加密所述指示。
5.如权利要求1的设备,其中所述控制器(8)适于针对由所述控制器生成的每一消息计算加密质询,以促进检验该消息是由所述控制器生成并将所述加密质询包括在该消息中。
6.如权利要求5的设备,其中所述控制器(8)适于使用与所述发布实体关联的公钥/私钥对中的公钥来加密消息中的所述加密质询。
7.如权利要求5或6的设备,其中所述控制器(8)适于使用针对该消息的随机数和预定秘密值来计算所述加密质询,以便允许在不介入由所述设备(5)存储任何消息特定的数据的情况下使用所述秘密值来检验所述消息是由所述控制器(8)生成。
8.如权利要求7的设备,其中在所述审计过程中,所述控制器(8)适于:
经由所述终端设备(2)从由所述发布实体(4)发布的消息接收加密质询;以及
通过将所述质询与由所述控制器(8)使用所述随机数和所述预定秘密值计算的所有可能质询相比较而从所述质询识别由所述控制器(8)生成的任何消息。
9.如权利要求7的设备,其中所述控制器(8)适于:
计算消息的所述加密质询,使得所述质询包括取决于所述随机数且具有取决于所述秘密值的预定关系的一对值;以及
在所述审计过程中,经由所述终端设备(2)从由所述发布实体(4)发布的消息接收加密质询,以及通过识别包括具有所述预定关系的一对值的任何质询而从所述质询识别由所述控制器(8)生成的任何消息。
10.如权利要求1的设备,其中所述设备(5)包括智能卡。
11.一种用于使数据安全设备(5)的处理器执行一种用于处理来自终端设备(2)的对关于用户数据的信息的请求的方法,所述数据安全设备(5)具有用于存储所述用户数据的存储器(10)及接口(7),所述接口(7)用于传输所述安全设备(5)与可连接至数据通信网络(3)的所述终端设备(2)之间的数据通信,对于每一所述请求,所述方法包括:
生成包括关于所述用户数据的所请求信息的指示的消息,生成所述消息以便允许使用秘密数据来检验所述消息是由所述控制器(8)生成的;
将所述消息发送到所述终端设备(2)以便经由所述网络(3)传送至用于在所述网络中发布所述消息的发布实体(4);
自所述终端设备(2)接收由所述发布实体(4)发出的、对由所述发布实体(4)发布的所述消息进行编码的加密构造;
针对由所述控制器(8)生成的所述消息检查所述加密构造的有效性;以及
取决于所述加密构造而将关于所述用户数据的所请求信息提供给所述终端设备(2);
其中该方法还执行审计过程,所述审计过程包括:
经由所述终端设备(2)从由所述发布实体(4)在所述网络(3)中发布的消息接收消息数据;
从所述消息数据识别与所述消息数据对应的所发布消息之中由所述控制器(8)生成的任何消息;以及
对于如此识别出的每一消息,将与该消息中的所述指示对应的关于所述用户数据的所请求信息的描述发送到所述终端设备(2)以便输出至用户。
12.一种终端设备(2),包括:
通信接口(16),其用于在所述终端设备(2)与数据通信网络(3)之间传送数据;
安全设备接口(12),其用于在所述终端设备(2)与具有存储用户数据的存储器(10)的数据安全设备(5)之间传送数据;以及
终端控制器(17),其用于将对关于所述用户数据的信息的请求发送到所述数据安全设备(5),其中在接收发送到所述安全设备的所述请求中请求的关于所述用户数据的信息之前,所述终端控制器(17)适于:
响应于发送到所述安全设备的所述请求而从所述安全设备(5)接收消息;
经由所述数据通信网络(3)将所述消息发送到用于在所述网络中发布所述消息的发布实体(4);
从所述发布实体(4)接收由所述发布实体(4)发出的、对由所述发布实体发布的所述消息进行编码的加密构造;以及
将所述加密构造发送到所述安全设备(5);
其中所述所述安全设备(5)的控制器(8)还适于执行审计过程,所述审计过程包括:
经由所述终端设备(2)从由所述发布实体(4)在所述网络(3)中发布的消息接收消息数据;
从所述消息数据识别与所述消息数据对应的所发布消息之中由所述控制器(8)生成的任何消息;以及
对于如此识别出的每一消息,将与该消息中的所述指示对应的关于所述用户数据的所请求信息的描述发送到所述终端设备(2)以便输出至用户。
13.一种用于使终端设备(2)的处理器执行一种用于请求关于用户数据的信息的方法,所述终端设备(2)可连接至数据通信网络(3)且可操作以与具有存储所述用户数据的存储器(10)的安全设备(5)进行数据通信,所述方法包括将对关于所述用户数据的信息的请求发送到所述安全设备(5),以及在接收所述请求中请求的信息之前:
响应于所述请求而从所述安全设备(5)接收消息;
经由所述数据通信网络(3)将所述消息发送到用于在所述网络中发布所述消息的发布实体(4);
从所述发布实体(4)接收由所述发布实体(4)发出的、对由所述发布实体发布的所述消息进行编码的加密构造;以及
将所述加密构造发送到所述安全设备(5);
其中该方法还执行审计过程,所述审计过程包括:
经由所述终端设备(2)从由所述发布实体(4)在所述网络(3)中发布的消息接收消息数据;
从所述消息数据识别与所述消息数据对应的所发布消息之中由所述控制器(8)生成的任何消息;以及
对于如此识别出的每一消息,将与该消息中的所述指示对应的关于所述用户数据的所请求信息的描述发送到所述终端设备(2)以便输出至用户。
14.一种数据安全系统(1),包括:
如权利要求12的终端设备(2),所述终端设备(2)可连接至数据通信网络(3);
如权利要求1至10中的任一权利要求的数据安全设备(5),所述数据安全设备(5)用于处理来自所述终端设备(2)的对关于所述用户数据的信息的请求;以及
发布实体(4),所述发布实体(4)连接至所述网络(3)以用于与所述终端设备(2)进行数据通信,所述发布实体(4)适于经由所述网络(3)从所述终端设备(2)接收所述消息、在所述网络(3)中发布所述消息、生成对所发布消息进行编码的加密构造,以及将所述加密构造发送到所述终端设备(2)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10154826 | 2010-02-26 | ||
| EP10154826.1 | 2010-02-26 | ||
| PCT/IB2011/050638 WO2011104654A1 (en) | 2010-02-26 | 2011-02-16 | Transaction auditing for data security devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102782694A CN102782694A (zh) | 2012-11-14 |
| CN102782694B true CN102782694B (zh) | 2015-04-08 |
Family
ID=43875278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180010929.7A Active CN102782694B (zh) | 2010-02-26 | 2011-02-16 | 用于数据安全的设备、方法和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8688988B2 (zh) |
| JP (1) | JP5680115B2 (zh) |
| CN (1) | CN102782694B (zh) |
| DE (1) | DE112011100182B4 (zh) |
| GB (1) | GB2490075B (zh) |
| TW (1) | TWI497336B (zh) |
| WO (1) | WO2011104654A1 (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9253168B2 (en) | 2012-04-26 | 2016-02-02 | Fitbit, Inc. | Secure pairing of devices via pairing facilitator-intermediary device |
| US8615377B1 (en) | 2010-09-30 | 2013-12-24 | Fitbit, Inc. | Methods and systems for processing social interactive data and sharing of tracked activity associated with locations |
| US8762101B2 (en) | 2010-09-30 | 2014-06-24 | Fitbit, Inc. | Methods and systems for identification of event data having combined activity and location information of portable monitoring devices |
| US8694282B2 (en) | 2010-09-30 | 2014-04-08 | Fitbit, Inc. | Methods and systems for geo-location optimized tracking and updating for events having combined activity and location information |
| US8712724B2 (en) | 2010-09-30 | 2014-04-29 | Fitbit, Inc. | Calendar integration methods and systems for presentation of events having combined activity and location information |
| US10004406B2 (en) | 2010-09-30 | 2018-06-26 | Fitbit, Inc. | Portable monitoring devices for processing applications and processing analysis of physiological conditions of a user associated with the portable monitoring device |
| US9310909B2 (en) | 2010-09-30 | 2016-04-12 | Fitbit, Inc. | Methods, systems and devices for physical contact activated display and navigation |
| US8620617B2 (en) | 2010-09-30 | 2013-12-31 | Fitbit, Inc. | Methods and systems for interactive goal setting and recommender using events having combined activity and location information |
| US11243093B2 (en) | 2010-09-30 | 2022-02-08 | Fitbit, Inc. | Methods, systems and devices for generating real-time activity data updates to display devices |
| US9148483B1 (en) | 2010-09-30 | 2015-09-29 | Fitbit, Inc. | Tracking user physical activity with multiple devices |
| US8738323B2 (en) | 2010-09-30 | 2014-05-27 | Fitbit, Inc. | Methods and systems for metrics analysis and interactive rendering, including events having combined activity and location information |
| US10983945B2 (en) | 2010-09-30 | 2021-04-20 | Fitbit, Inc. | Method of data synthesis |
| US8954291B2 (en) | 2010-09-30 | 2015-02-10 | Fitbit, Inc. | Alarm setting and interfacing with gesture contact interfacing controls |
| US9390427B2 (en) | 2010-09-30 | 2016-07-12 | Fitbit, Inc. | Methods, systems and devices for automatic linking of activity tracking devices to user devices |
| US9241635B2 (en) | 2010-09-30 | 2016-01-26 | Fitbit, Inc. | Portable monitoring devices for processing applications and processing analysis of physiological conditions of a user associated with the portable monitoring device |
| US8762102B2 (en) | 2010-09-30 | 2014-06-24 | Fitbit, Inc. | Methods and systems for generation and rendering interactive events having combined activity and location information |
| US8805646B2 (en) | 2010-09-30 | 2014-08-12 | Fitbit, Inc. | Methods, systems and devices for linking user devices to activity tracking devices |
| US8954290B2 (en) | 2010-09-30 | 2015-02-10 | Fitbit, Inc. | Motion-activated display of messages on an activity monitoring device |
| US8744803B2 (en) | 2010-09-30 | 2014-06-03 | Fitbit, Inc. | Methods, systems and devices for activity tracking device data synchronization with computing devices |
| US8738321B2 (en) | 2010-09-30 | 2014-05-27 | Fitbit, Inc. | Methods and systems for classification of geographic locations for tracked activity |
| US8738925B1 (en) | 2013-01-07 | 2014-05-27 | Fitbit, Inc. | Wireless portable biometric device syncing |
| US8769627B1 (en) * | 2011-12-08 | 2014-07-01 | Symantec Corporation | Systems and methods for validating ownership of deduplicated data |
| US9641239B2 (en) | 2012-06-22 | 2017-05-02 | Fitbit, Inc. | Adaptive data transfer using bluetooth |
| US9039614B2 (en) | 2013-01-15 | 2015-05-26 | Fitbit, Inc. | Methods, systems and devices for measuring fingertip heart rate |
| US9728059B2 (en) | 2013-01-15 | 2017-08-08 | Fitbit, Inc. | Sedentary period detection utilizing a wearable electronic device |
| US9031812B2 (en) | 2014-02-27 | 2015-05-12 | Fitbit, Inc. | Notifications on a user device based on activity detected by an activity monitoring device |
| US9288298B2 (en) | 2014-05-06 | 2016-03-15 | Fitbit, Inc. | Notifications regarding interesting or unusual activity detected from an activity monitoring device |
| WO2015173434A1 (en) * | 2014-05-16 | 2015-11-19 | Nec Europe Ltd. | Method for proving retrievability of information |
| CN104021351B (zh) * | 2014-05-28 | 2017-11-17 | 宇龙计算机通信科技(深圳)有限公司 | 一种数据资源的访问方法及装置 |
| CN105450592A (zh) | 2014-08-05 | 2016-03-30 | 阿里巴巴集团控股有限公司 | 安全校验方法、装置、服务器及终端 |
| US10085328B2 (en) | 2014-08-11 | 2018-09-25 | RAB Lighting Inc. | Wireless lighting control systems and methods |
| US10039174B2 (en) | 2014-08-11 | 2018-07-31 | RAB Lighting Inc. | Systems and methods for acknowledging broadcast messages in a wireless lighting control network |
| US10531545B2 (en) | 2014-08-11 | 2020-01-07 | RAB Lighting Inc. | Commissioning a configurable user control device for a lighting control system |
| WO2016191376A1 (en) * | 2015-05-22 | 2016-12-01 | Antique Books, Inc. | Initial provisioning through shared proofs of knowledge and crowdsourced identification |
| US10080530B2 (en) | 2016-02-19 | 2018-09-25 | Fitbit, Inc. | Periodic inactivity alerts and achievement messages |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6055512A (en) * | 1997-07-08 | 2000-04-25 | Nortel Networks Corporation | Networked personal customized information and facility services |
| CN1579065A (zh) * | 2001-11-06 | 2005-02-09 | 国际商业机器公司 | 用于数据供应、交易和电子投票的方法和系统 |
| US6913193B1 (en) * | 1998-01-30 | 2005-07-05 | Citicorp Development Center, Inc. | Method and system of tracking and providing an audit trail of smart card transactions |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU1571101A (en) * | 1999-10-18 | 2001-04-30 | Stamps.Com | Role assignments in a cryptographic module for secure processing of value-bearing items |
| JP4608246B2 (ja) * | 2003-11-13 | 2011-01-12 | 日本電信電話株式会社 | 匿名通信方法 |
| US20070124589A1 (en) * | 2005-11-30 | 2007-05-31 | Sutton Ronald D | Systems and methods for the protection of non-encrypted biometric data |
| US8826024B2 (en) * | 2006-10-23 | 2014-09-02 | Hewlett-Packard Development Company, L.P. | Trusted compliance operations inside secure computing boundaries |
| EP2043036B1 (en) * | 2007-09-20 | 2010-06-09 | Tds Todos Data System Ab | System, method and device for enabling interaction with dynamic security |
| CN100553193C (zh) * | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
| JP2009200990A (ja) * | 2008-02-25 | 2009-09-03 | Univ Of Tsukuba | ディスク暗号鍵の生成及びリカバリ方法並びに機密情報管理システム |
| JP5660454B2 (ja) * | 2011-01-12 | 2015-01-28 | 独立行政法人情報通信研究機構 | プライバシを保障した機器間接続方法 |
-
2011
- 2011-02-16 WO PCT/IB2011/050638 patent/WO2011104654A1/en active Application Filing
- 2011-02-16 CN CN201180010929.7A patent/CN102782694B/zh active Active
- 2011-02-16 GB GB1214024.0A patent/GB2490075B/en active Active
- 2011-02-16 US US13/580,222 patent/US8688988B2/en not_active Expired - Fee Related
- 2011-02-16 JP JP2012554455A patent/JP5680115B2/ja active Active
- 2011-02-16 DE DE112011100182.7T patent/DE112011100182B4/de active Active
- 2011-02-22 TW TW100105845A patent/TWI497336B/zh active
-
2012
- 2012-09-13 US US13/614,985 patent/US8667287B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6055512A (en) * | 1997-07-08 | 2000-04-25 | Nortel Networks Corporation | Networked personal customized information and facility services |
| US6913193B1 (en) * | 1998-01-30 | 2005-07-05 | Citicorp Development Center, Inc. | Method and system of tracking and providing an audit trail of smart card transactions |
| CN1579065A (zh) * | 2001-11-06 | 2005-02-09 | 国际商业机器公司 | 用于数据供应、交易和电子投票的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8688988B2 (en) | 2014-04-01 |
| US20120324226A1 (en) | 2012-12-20 |
| GB2490075A (en) | 2012-10-17 |
| TW201205333A (en) | 2012-02-01 |
| DE112011100182B4 (de) | 2021-01-21 |
| JP5680115B2 (ja) | 2015-03-04 |
| DE112011100182T8 (de) | 2012-12-06 |
| TWI497336B (zh) | 2015-08-21 |
| GB201214024D0 (en) | 2012-09-19 |
| GB2490075B (en) | 2013-05-15 |
| WO2011104654A1 (en) | 2011-09-01 |
| DE112011100182T5 (de) | 2012-10-04 |
| US8667287B2 (en) | 2014-03-04 |
| CN102782694A (zh) | 2012-11-14 |
| JP2013520906A (ja) | 2013-06-06 |
| US20130024694A1 (en) | 2013-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102782694B (zh) | 用于数据安全的设备、方法和系统 | |
| CN101521569B (zh) | 实现服务访问的方法、设备及系统 | |
| JP4866863B2 (ja) | セキュリティコード生成方法及びユーザ装置 | |
| CN109687959B (zh) | 密钥安全管理系统和方法、介质和计算机程序 | |
| RU2584500C2 (ru) | Криптографический способ аутентификации и идентификации с шифрованием в реальном времени | |
| CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
| JP2000357156A (ja) | 認証シード配布のためのシステムおよび方法 | |
| KR20090058496A (ko) | 저복잡도 장치들을 사용하여 인증 및 프라이버시를 제공하는 방법 및 장치 | |
| CN104782077B (zh) | 密码证书重发的方法和装置以及防篡改设备 | |
| CN106059760B (zh) | 一种从用户端密码模块调用系统私钥的密码系统 | |
| CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
| CN100459495C (zh) | 一种公开加密方式的口令动态加密输入方法 | |
| CN109302286B (zh) | 一种Fido设备密钥索引的生成方法 | |
| US20230259899A1 (en) | Method, participant unit, transaction register and payment system for managing transaction data sets | |
| CN110098925A (zh) | 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统 | |
| CN1319024C (zh) | 电子信息处理方法 | |
| WO2012163970A1 (en) | Method for generating an anonymous routable unlinkable identification token | |
| CN201717885U (zh) | 密码提供设备和密码认证系统 | |
| CN105681041B (zh) | 一种rfid所有权转移方法 | |
| CN110798321B (zh) | 一种基于区块链的物品信息服务方法 | |
| CN110086627B (zh) | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 | |
| WO2021019782A1 (ja) | 所有者同一性確認システムおよび所有者同一性確認方法 | |
| WO2021019783A1 (ja) | 所有者同一性確認システム、端末および所有者同一性確認方法 | |
| EP3035589A1 (en) | Security management system for authenticating a token by a service provider server | |
| CN112039921A (zh) | 用于停车访问的验证方法、停车用户终端和节点服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |