CN103138934A - 安全密钥生成 - Google Patents
安全密钥生成 Download PDFInfo
- Publication number
- CN103138934A CN103138934A CN2012104733341A CN201210473334A CN103138934A CN 103138934 A CN103138934 A CN 103138934A CN 2012104733341 A CN2012104733341 A CN 2012104733341A CN 201210473334 A CN201210473334 A CN 201210473334A CN 103138934 A CN103138934 A CN 103138934A
- Authority
- CN
- China
- Prior art keywords
- key
- root key
- certificate
- rsa
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 46
- 230000015654 memory Effects 0.000 claims description 39
- 238000003860 storage Methods 0.000 claims description 12
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 abstract description 12
- 230000010354 integration Effects 0.000 abstract 1
- 238000012545 processing Methods 0.000 description 16
- 238000002347 injection Methods 0.000 description 15
- 239000007924 injection Substances 0.000 description 15
- 238000004891 communication Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000009434 installation Methods 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000015572 biosynthetic process Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- CVOFKRWYWCSDMA-UHFFFAOYSA-N 2-chloro-n-(2,6-diethylphenyl)-n-(methoxymethyl)acetamide;2,6-dinitro-n,n-dipropyl-4-(trifluoromethyl)aniline Chemical compound CCC1=CC=CC(CC)=C1N(COC)C(=O)CCl.CCCN(CCC)C1=C([N+]([O-])=O)C=C(C(F)(F)F)C=C1[N+]([O-])=O CVOFKRWYWCSDMA-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明涉及安全密钥生成,提供了安全密钥生成的方法和系统。在实施方式中,在制造处理期间,装置生成用于装置的初级种子并在装置中存储该种子。装置输出装置初密钥至安全的制造者服务器。安全的制造者服务器生成用于装置的公共/私有根密钥,并向认证授权机构请求用于装置的公共的装置根密钥的证书。存储有初级种子的装置集成至终端用户系统。当条件发生时,装置在集成至终端用户系统后现场生成公共/私有根密钥。系统也接收并安装用于公共根密钥的证书。
Description
相关申请的交叉参考
本申请要求于2011年11月21日提交的第61/562,050号题为“安全密钥生成”的美国临时专利申请以及于2012年6月14日提交的第13/523,801号题为“安全密钥生成”的美国专利申请的优先权,将它们的全部内容通过引用并入文本。
技术领域
本发明涉及数据通信安全,更具体地,涉及加密密钥管理。
背景技术
计算机系统越来越多地成为各种安全威胁的目标。许多计算机体系结构集成了具有安全子模块或者独立分开的安全处理器的装置,以为应用程序提供硬件支持。该安全子模块或者安全处理器通常成为整个系统的安全基础。在这些系统中,期望装置拥有装置独享根密钥。通常,装置独享根密钥为非对称密钥,其具有私有密钥部分和公共密钥部分。
该装置独享根密钥的公共部分可由认证授权机构(CA)通过证书认证。证书通过使用受信第三方(CA)的数字签名将装置独享根密钥公共部分捆绑至实体,如个人或者公司。典型地,该数字签名至少为利用CA的私有密钥加密的装置公共密钥的哈希值(hash)。通过提供装置根密钥的证书,集成该装置的系统能够建立对同级或者网络分层的高等级信任。直接或者间接地,装置根密钥能够用于建立系统的可靠性,以验证系统通信状态,确保双向通信安全。
生成装置根密钥和颁发用于装置根密钥的证书给集成该装置的系统,在逻辑上和技术上给装置制造处理带来了巨大的挑战。RSA根密钥的生成极其耗费时间,因而不适合大量生产。此外,如果密钥不是注入到装置中,安全评估中的保证需要注入密钥的设备与装置之间的安全通信。
因此,需要现场(in the field)安全生成装置根密钥和颁发装置根密钥证书的系统和方法。
发明内容
本发明提供了一种用于安全密钥生成的设备,其包括:具有安全模块的装置,其中,安全模块包括:非易失性存储器,存储初级种子;处理器,被配置为在设备内在条件发生时从初级种子生成装置根密钥;并且该设备还包括存储器,耦接到该装置。
优选地,安全模块的处理器还被配置为通过使用第二加密装置密钥加密装置根密钥。
优选地,装置根密钥包括公共的装置根密钥和私有的装置根密钥。
优选地,安全模块的处理器还被配置为通过使用第二加密装置密钥加密私有的装置根密钥。
优选地,存储器被配置为存储已加密的装置根密钥。
优选地,存储器被配置为存储已加密的私有的装置根密钥。
优选地,该设备还包括:用于接收用于装置根密钥的证书的接口,其中,证书包括:公共的装置根密钥和颁发证书的认证授权机构的签名。
优选地,存储器还被配置为存储用于RSA装置根密钥的证书。
优选地,条件为请求密钥生成的命令。
优选地,条件为设备的初始启动。
优选地,条件为安全模块的初始访问。
优选地,装置根密钥为RSA装置根密钥。
本发明还提供了一种利用终端用户设备来进行安全密钥生成的方法,终端用户设备包括:具有安全模块和存储器的装置,该方法包括:接收用于公共的装置根密钥的证书,其中,证书包括:公共的装置根密钥和颁发证书的认证授权机构的数字签名;验证证书;在终端用户设备内在条件发生时,使用存储在安全模块内的存储器中的预计算的初级种子生成私有的装置根密钥;以及在设备的存储器中存储证书和私有的装置根密钥。
优选地,条件为请求密钥生成的命令。
优选地,条件为设备的初始启动。
优选地,条件为安全模块的初始访问。
优选地,该方法还包括:提供证书至第二设备以验证装置。
本发明还提供了一种在装置制造者服务器中进行安全密钥生成的方法,方法包括:接收用于装置的初级种子,其中,初级种子用制造者密钥进行加密;在装置制造者服务器解密用于装置的初级种子;在装置制造者服务器的安全模块中,通过使用接收到的用于装置的初级种子,生成公共和私有RSA根密钥;向认证授权机构请求用于已生成的公共的装置根密钥的证书;从认证授权机构接收用于已生成的公共的装置根密钥的证书;提供证书至集成装置的系统;并且从装置制造者服务器中删除私有根密钥。
优选地,该方法还包括:将公共的装置根密钥与装置根密钥名称相关联。
优选地,装置根密钥名称通过使用用于装置的序列号和用于装置的初级种子生成。
优选地,序列号对于多个装置内的装置是唯一的。
优选地,该方法还包括:在制造者数据库中存储装置根密钥名称和公共的装置根密钥。
附图说明
文中所含的形成说明书的一部分的附图用于说明本发明,并且结合描述,进一步用于说明本发明的原理,以使本领域技术人员可以制造和利用本发明。
图1是包括本发明实施方式的系统的高级框图。
图2是根据本发明实施方式的示例性安全模块的框图。
图3示出了包括本发明实施方式的示例性操作环境。
图4示出了根据本发明实施方式按需现场生成装置根密钥的方法的流程图。
图5示出了根据本发明实施方式通过OEM将装置根密钥注入装置的方法的流程图。
图6示出了根据本发明实施方式制造者注入装置根密钥的方法的流程图。
图7示出了根据本发明实施方式RSA装置密钥的基于种子的现场获得的方法的流程图。
本发明将参考附图予以描述。要素首次出现的附图通常由对应参考标号中最左边的数字表示。
具体实施方式
下面的描述中,示出了大量的具体细节,以透彻理解本发明。然而,本领域技术人员应当理解,包括结构、系统以及方法的本发明可在没有这些特定细节的情况下实施本发明。此处的描述和呈现为本领域技术人员所用的通用手段,以高效传达给他们工作的实质内容给其他本领域的技术人员。在其他情况下,公知的方法、步骤、部件和电路未进行详细描述,以避免不必要地混淆本发明的方面。
本说明书中提到的“一个实施方式”、“实施方式”、“示例性实施方式”等,表示所描述的实施方式可包括特定的特征、结构或特性,但每个实施方式不必须要包括该特定的特征、结构或特性。此外,这些短语不一定需要指相同的实施方式。进一步地,当关于某个实施方式描述特定的特征、结构或特性时,这表示,本领域技术人员应当了解,无论是否明确描述,都可结合其他实施方式来影响这样的特征、结构或特性。用于安全密钥生成的系统
终端用户系统,如手机、电脑或者其他电子装置,集成了来自众多制造者的装置。例如,手机在多个组件中可包括基带处理器、收发器、GPS接收器和/或蓝牙装置。通过用于终端用户系统的组件的各种装置制造者,向系统制造者(通常指原始装置制造者)提供系统所必要的装置。
图1是包括本发明实施方式的系统100的高级框图。系统100可以为任何形式的电子装置,包括但不限于,台式计算机、无线计算机、服务器、路由器、无线手持装置或任何其他形式的电子装置。系统100可由原始设备制造者(OEM)制造。在高层次上,系统100包括装置110、处理器120和存储器130。
实施方式中,装置110可以由不同于原始设备制造者的制造者制造。实施方式中,装置110包括安全模块115。安全模块115为安全应用提供硬件支持。在可选的实施方式中,装置110可以为独立安全处理器,例如通用安全网络集线器(USH)。装置110具有根加密密钥(本文中指“装置根密钥”)。用于装置的根密钥为主密钥,其能够用于多种目的,包括但不限于生成其他密钥。
用于诸如装置110的装置的根密钥可以对于各个装置在统计学上唯一,而且必须绑定到该装置。为保证绑定,装置根密钥或者在装置上生成,或者在外部生成并安全注入到装置中。在该装置被部署后,该装置根密钥存储在装置110的非易失性存储器中或者存储在加密绑定到该装置的外部非易失性存储器(例如存贮器130)中。
装置根密钥通常为长效密钥,其可能不能被撤销。因为该装置根密钥用于建立与其他各方的信任,该装置根密钥必须具有充分强的加密性和良好保护性。基于公共密钥加密的非对称密钥是更为优选的,因为私有密钥不在同类(同级,peer)间共享。
装置根密钥可以由认证授权机构(CA)予以认证。在认证处理过程中,该CA生成用于装置根密钥的证书。该证书将装置根密钥的公共密钥部分与标识(如装置制造者)绑定。在其要素中,该证书包括:装置根密钥(如装置公共根密钥)、装置制造者的标识、CA的标识和用于CA的数字签名。该用于CA的数字签名通过对证书中的信息进行哈希处理,并利用CA的私有密钥加密哈希处理后的信息而获得。通过提供用于装置根密钥的证书,可以发展与网络环境中其他成员的额外信任。
创建装置根密钥和相应的根密钥证书存在巨大挑战。例如,制造过程中创建装置根密钥增加了制造处理的成本。在大批量装置制造处理中,装置的成本由材料成本(例如晶片、掩模和封装成本)以及处理成本决定。处理成本的主要贡献者为在每个装置所耗费的处理时间。
理想地,该装置根密钥应该在制造处理中通过装置基于片上随机熵源以及具有测试函数的其他加密函数生成。该处理确保装置根密钥的私有部分仅该装置知晓且永远不离开该装置。然而,当该装置根密钥为RSA密钥时,由该装置生成RSA密钥存在挑战。
目前,RSA是安全应用程序支持的主要算法。因而,装置根密钥的主要部分是RSA密钥。RSA安全性源自于分解大量数字的难度。为生成RSA公共/私有密钥对,应该首先选择两个随机大素数p和q。p和q的选择基于使用片上的熵源产生的种子的米勒-拉宾(Miller-Rabin)算法。对于2048位的RSA密钥,该两个素数都为1024位。素数选择算法极其耗费时间。该处理持续的时间显著差异可达大约15秒至超过1分钟。如果在制造处理过程中要由装置生成RSA根密钥,则装置的耗费将由于素数选择处理导致的处理时间增加而显著增加。此外,计算的非确定性使得对于大批量生产难以设定测试程序。
此外,诸如装置110的装置限制了片上存储器。由于私有密钥操作使用中国余数定理,RSA私有密钥由五元组{p,q,dp,dq,qinv}表示,以用于使用中国余部定理的私有密钥操作。对于2048位RSA装置密钥,每个参数都为1024位。如果RSA密钥在片上生成,则私有密钥必须安全存储,并绑定到装置上。在第一种方法中,装置110在片上具有足够的非易失性存储器,以允许RSA私有密钥在生成后编程至装置的非易失性存储器中。在第二种方法中,RSA私有密钥由装置独有的对称密钥(如256位AES密钥)加密并被输出。在这种方法中,装置独有的对称密钥必须编程至装置内的可编程非易失性存储器。
对于使用先进CMOS数字处理制造的装置,诸如嵌入式闪存的片上可重新编程非易失性存储器的技术尚不可用。使用一次编程(OTP)非易失性存储器以存储如此大的密钥将显著增加芯片尺寸。此外,OTP存储使得不可能撤销并重建用于特定应用的根密钥。因此,第一种方法不可用于使用这些先进CMOS数字处理制造的装置。
然而,第二种方法遭遇逻辑上的挑战。例如,当第二种方法用于装置制造处理中时,加密私有密钥和其相应的公共密钥必须收集和盘存到数据库中。加密的私有密钥随后必须由系统100的原始设备制造者(OEM)注入回装置中。可选地,一旦外部附接闪存可用,加密密钥可现场注入到装置中。如下文进一步详细描述,现场注入根密钥存在安全挑战。
图2是根据本发明实施方式的示例性安全模块210的框图。安全模块210包括一个或多个安全处理单元202、随机数生成器226、公共密钥加速器234以及非易失性存储器222。随机数生成器226被配置为生成随机数。例如,本文所描述的实施方式中,随机数生成器226被配置为生成随机数,作为用于生成RSA公共/私有密钥的种子。公共密钥加速器(PKA)234被配置为处理所支持的公共密钥操作专有的处理。例如,公共密钥加速器应被配置为生成RSA公共/私有根密钥。
安全模块210(或安全处理器)还可以包括实现安全模块(或安全处理器)与外部装置通信的部件。这些部件可以包括直接存储器存取(DMA)引擎、外围部件互联(PCI)接口、通用接口、通用串行总线(USB)接口和/或一个或多个总线。安全模块210还可包括具体实施方式所需的额外或可选的元件,如加密密钥管理器204、安全保护逻辑以及RAM。
图3示出了包括本发明实施方式的示例性操作环境390。环境390包括装置制造者、原始设备制造者(OEM)、认证授权机构以及用户。装置制造者具有装置制造者设施340、可选的密钥服务器350以及加密密钥管理数据库355。在实施方式中,密钥服务器250和数据库355不在装置制造者设施中。制造者设施340制造装置310。如上所述,各装置310具有相关联的装置根密钥。制造者设施340还包括一个或多个计算机345,其被配置为与制造者密钥服务器350通信。制造者密钥服务器350负责用于管理密钥和用于制造者装置310的证书。制造者密钥服务器350为安全服务器。在实施方式中,制造者密钥服务器350包括硬件安全模块(HSM)。
示例性环境390还可包括认证授权机构360。认证授权机构360被配置为认证制造者装置公共密钥并生成用于装置公共密钥的证书。在实施方式中,认证授权机构360由第三方操作。在可选的实施方式中,认证授权机构360可以由制造者提供或主持。环境390还包括原始设备制造者(OEM)设施370和终端用户设施380。OEM设施370将包括至少一个装置组装至终端用户系统300中。图3中所示元件可与网络380耦接在一起。网络380可以为一个或多个公共数据通信网络(例如因特网)、一个或多个私有数据通信网络、或公共数据通信网络和私有数据通信网络的组合。
用于安全密钥生成的方法
图4示出了根据本发明实施方式的装置根密钥按需现场生成方法的流程图400。图4是参考图3的示例性操作环境而描述的。然而,图4不局限于该实施方式。
在步骤410中,装置310通过使用诸如DSA或椭圆曲线DSA(ECDSA)的算法生成装置公共/私有密钥对。为便于讨论,此处DSA密钥指用于公共密钥部分的Kdi-pub和用于私有密钥部分的Kdi-priv。私有的DSA装置密钥存储于装置内的存储器中。
在步骤420中,公共的DSA装置密钥Kdi-pub,输出至制造者设施340中的计算机345中。计算机345从制造者设施340制造的多个装置310接收公共的DSA装置密钥。
在步骤430中,计算机345将公共的DSA装置密钥通信至制造者密钥服务器350。通信至制造者密钥服务器350的各个DSA公共装置密钥Kid-pub,都与用于该装置的标识符相关联。制造者密钥服务器350存储用于装置310的Kdi-pub。例如,Kdi-pub可以存储于制造者密钥管理数据库355中。
在步骤440,将装置310提供给OEM以集成至计算机系统300中。然后,OEM可提供组装好的计算机系统给终端用户(例如终端用户380)。
在步骤450中,装置RSA根密钥按需现场生成。装置RSA根密钥可在系统首次启动、初始访问安全模块/安全处理器或接收到对于RSA根密钥生成的请求时生成。装置根密钥可在OEM设施或(可选地)终端用户装置中生成。为了便于讨论,公共/私有装置RSA根密钥指EK-pub(用于公共密钥部分)和EK-priv(用于私有密钥部分)。
在步骤460中,装置310通过使用存储在装置310的存储器中的私有的DSA密钥Kdi-priv,为公共的RSA装置根密钥EK-pub签名。
在步骤470中,已签名的公共的RSA装置根密钥被通信至制造者密钥服务器350。已签名的公共的装置RSA根密钥也可以与识别装置310的信息通信。
在步骤475中,制造者密钥服务器350使用存储的公共的DSA密钥Kdi-pub验证接收到的签名。如果签名通过验证,则操作前进至步骤480。
在步骤480中,装置制造者在证书签名请求中将RSA装置根密钥(EK-pub)提供至CA 360。
在步骤485中,认证授权机构360生成包括公共的RSA装置根密钥的装置证书,并将证书提供给制造者密钥服务器350。如上所述,证书由认证授权机构360数字签名。
在步骤490中,装置证书提供给OEM或者终端用户。然后,OEM或终端用户能使用证书以向第三方证明该装置。
如图4的方法需要由装置制造者建立证书颁发机制,以允许终端用户或OEM申请证书。对于大批量生产的装置,建立和维护该机制比较昂贵。此外,终端用户需要技术上足够了解以请求和安装证书。许多终端用户缺乏这种技术。因此,图4方法可能需要额外的支持。
图5和图6中所述实施方式涉及RSA装置密钥的外部生成和已生成的密钥向装置的注入。密钥注入设备与装置之间的安全是关键。在密钥注入实施方式中,在密钥注入设备和接收密钥的装置之间可建立安全通信。此外,在实施方式中,可以提供密钥注入装置和装置相互验证。例如,密钥注入装置可验证装置为真正装置,以保证RSA密钥注入到预期装置中。装置也可能够验证密钥注入设备,以使得其能够确保从受信源接收RSA装置密钥。最后,密钥注入设备应通过操作者的适当访问控制(物理的或者逻辑的),在安全环境中得到足够保护。
图5示出了根据本发明实施方式的提供OEM将装置根密钥注入至装置的方法的流程图500。图5是参考图3的示例性操作环境而描述的。然而,图5不局限于该实施方式。在图5所示的实施方式中,用于装置的RSA根密钥由OEM主持的安全服务器外部生成。
在步骤510中,装置310通过使用诸如迪斐-海尔曼(Diffie Hellman,DH)算法、椭圆曲线DH(ECDH)、DSA、椭圆曲线DSA(ECDSA)或其他类似的算法生成密钥材料(如公共/私有密钥对)。装置密钥材料可存储在装置310的存储器内。
在步骤520中,例如,在装置310和服务器之间使用迪斐-海尔曼密钥交换建立共享秘密。
在步骤530中,将装置310提供给OEM,以集成到计算机系统300中。
在步骤540中,RSA装置根密钥(EK-pub、EK-priv)由OEM的安全服务器为装置生成。
在步骤550中,安全服务器通过使用共享秘密生成的对称密钥加密所生成的私有的RSA装置根密钥(EK-priv)。
在步骤560中,已加密的私有的RSA装置根密钥注入到装置310中。如上所述,在步骤560之前,OEM的密钥注入设备可以在提供RSA装置密钥之前验证装置为真正装置。此外,装置可包括验证密钥注入设备的功能。
通过加密,RSA私有密钥得到共享秘密的保护。因此,已加密RSA私有密钥可保存在装置的安全模块外部的存储器中。在加密的私有的RSA装置密钥注入到装置中之后,安全服务器从安全服务器中删除RSA密钥。
在步骤570中,RSA装置公共根密钥在证书签名请求中被通信至认证授权机构360。OEM也可以将装置制造者的通信标识通信至CA。
在步骤580中,认证授权机构360生成装置公共的RSA根密钥证书,其包括公共的装置RSA根密钥和认证授权机构的签名。然后,CA将证书提供给OEM的安全服务器。
在步骤590中,公共的装置RSA根密钥证书被提供给OEM,OEM转而将公共的装置RSA根密钥证书提供给集成该装置的系统300。
图6示出了根据本发明实施方式的制造者将装置根密钥注入的方法的流程图600。图6是参考图3的示例性操作环境而描述的。然而,图6不局限于该实施方式。在图6的实施方式中,RSA密钥由制造者主持的安全服务器生成。
在步骤610中,装置310通过使用诸如迪斐-海尔曼(Diffie Hellman,DH)算法、椭圆曲线DH(ECDH)、DSA、椭圆曲线DSA(ECDSA)或其他类似的算法生成密钥材料(如公共/私有密钥对)。装置密钥材料可以存储在装置310的存储器中。
在步骤620中,例如,在装置310与服务器之间使用迪斐-海尔曼密钥交换建立共享秘密。
在步骤630中,装置RSA根密钥(EK-pub、EK-priv)由安全服务器在密钥服务器设施处生成。应注意,装置制造者的安全服务器可以先于装置制造来生成RSA密钥。然后,安全服务器可以分配生成的RSA装置密钥给装置。
在步骤640中,私有的RSA装置根密钥EK-priv通过从共享秘密生成的对称密钥而加密。
在步骤650中,认证授权机构360在证书签名请求中接收到公共的RSA装置根密钥EK-pub。然后,CA生成包括公共的RSA装置根密钥的装置证书,并提供该证书至制造者密钥服务器。如上所述,该证书由认证授权机构360数字签名。
在可选的实施方式中,CA被提供有一组已生成的RSA密钥。在该实施方式中,可以为该组中的每个RSA密钥生成证书,并成批提供给安全服务器。
在步骤660中,加密的私有的RSA装置根密钥和公共的装置RSA根密钥证书被通信至制造者设施的计算机345。在将加密的私有的RSA装置根密钥通信至计算机345后,制造者的安全服务器删除私有的RSA装置根密钥。
在步骤665中,已加密的私有的装置RSA根密钥和装置RSA根密钥证书被通信至OEM。在实施方式中,制造者和OEM在将密钥和认证信息通信之前,建立安全通信。本领域技术人员应了解,通信可基于已知的协议(如SSL、TLS或IPSec)加密。应注意,在可选的实施方式中,已加密的装置RSA根密钥和装置RSA根密钥证书可以由装置制造者的安全服务器(密钥服务器350)而非计算机345进行通信。
在步骤670中,将装置310提供给OEM,以集成到计算机系统300中。
在步骤680中,OEM获得用于装置的装置RSA根密钥证书和已加密的私有的装置RSA根密钥。然后,OEM将私有的装置RSA根密钥注入到装置中,并安装证书。
如上所述,在步骤680之前,OEM的密钥注入设备可以在提供RSA装置密钥之前,验证装置为真正装置。此外,装置可以包括验证密钥注入设备的功能。
图7示出了根据本发明实施方式的RSA装置密钥的基于种子的现场获得的方法的流程图700。图7是参考图3的示例性操作环境而描述的。然而,图7不局限于该实施方式。图7的方法将装置制造处理的成本影响降到最低,且不易受安全风险的攻击。此外,图7所示的方法可伸缩。
在图7的实施方式中,装置在其集成至目标系统后,现场生成其RSA密钥。现场RSA密钥生成的等待时间是更可容忍的,因为其通常为涉及终端用户的交互处理。此外,因为该实施方式在系统中生成RSA密钥,且目标系统中存在相关联的存储器(例如闪存驱动器),所述存储的限制通常被消除。
在步骤710中,由装置310使用片上随机数生成器226生成初级种子。初级种子被编程至装置的一次可编程非易失性存储器222。对于2048位的RSA密钥,初级种子的大小需要比2048为RSA密钥的安全强度(即112位)大。为此,在实施方式中,选择256位的初级种子。因为生成初级种子不需要选择素数,使用步骤710可以以合理的速度完成。应注意,DSA私有密钥也可以为256位随机数。通过稍微修改DSA密钥(kdi)生成处理,已生成的随机种子可用作共用初级种子以获得RSA根密钥和DSA密钥。
在步骤715中,RSA初级种子被编程至装置的存储器中。例如,RSA初级种子可以存储在安全模块内的一次可编程非易失性存储器中。因此,以该方法,当制造装置时,初级种子在片上生成并存储。
在步骤720中,RSA初级种子输出到制造者设施340的计算机345中。计算机345从制造者设施340制造的多个装置310接收RSA初级种子。应注意,该步骤为可选步骤。如果不存在,则种子输出至装置制造者的安全服务器。
在步骤730中,计算机345通过制造者公共密钥(KM-pub)加密RSA初级种子,并输出已加密的RSA初级种子至制造者内的安全服务器。制造者的公共密钥可以为RSA公共密钥、DSA公共密钥、DH公共密钥、EC DSA公共密钥或EC DH公共密钥。本领域技术人员应当了解,其他形式的公共的制造者密钥也可以用于本发明。相应的私有密钥由制造者的安全服务器(如硬件安全模块)保存。制造者私有密钥通常在物理上和逻辑上得到制造者的保护,以免于未授权的访问。
在步骤740中,制造者密钥服务器装置中的安全服务器通过使用制造者的私有密钥解码RSA初级种子。
在步骤750中,制造者的安全服务器使用RSA初级种子生成RSA公共/私有根密钥对。在该步骤中,初级种子馈送至算法中以生成RSA根密钥。由于需要素数选择,所以该步骤需要漫长的计算。该算法确保,一旦初级种子确定并且唯一,则所获得的RSA根密钥也唯一。在生成RSA密钥对后,安全服务器从服务器中删除私有的RSA密钥。
在实施方式中,在RSA初级种子生成和输出后,装置根密钥的序列号和名称也可以由制造者生成。序列号和/或名称可以由计算机345和/或制造者的安全服务器生成。序列号可对于装置是唯一的,并被编程至装置的存储器中。RSA装置根密钥名称可以通过加密地哈希处理多个连接字段(如装置版本号、序列号和初级种子)而生成。本领域技术人员应当了解,其他的用于生成密钥名称的技术也可以用于本发明的实施方式。序列号、根密钥名称和生成的RSA根密钥存储在制造者的数据库中。
在步骤760中,认证授权机构(CA)260从制造者的安全服务器接收来自包括公共的RSA装置根密钥EK-pub的制造者的证书签名请求。然后,CA生成包括公共的RSA装置根密钥的RSA公共装置根密钥证书,并将RSA公共装置根密钥证书提供给制造者。证书签名请求也可包括序列号以及根密钥名称。如果这些都提供给CA 360,则CA 360将此信息包括到其颁发的证书中。如上所述,证书由认证授权机构360数字签名。
在步骤770中,制造者的安全服务器提供公共的RSA根密钥证书至计算机345。
在步骤780中,计算机345将公共的RSA根密钥证书分配给包括该装置的终端用户系统300。应注意,步骤780为可选的。在实施方式中,制造者的安全服务器(或制造者的其他平台)可以执行将公共的RSA密钥证书分配给包括该装置的终端用户系统300的步骤。还应注意,在实施方式中,装置制造者可以提供此信息给OEM,OEM转而将该信息提供给终端用户系统。
在步骤785中,公共的装置RSA根密钥证书装载至终端用户系统中,并被验证。如果验证成功,则操作处理前进至步骤790。如果验证不成功,则终端用户系统300通知OEM或装置制造者,并请求新的证书。
在步骤790中,终端用户系统300中的装置310在条件发生时生成RSA公共/私有根密钥对。例如,一旦接收到生成RSA根密钥的请求或命令时,装置RSA根密钥对可以立刻生成。可选地,装置RSA根密钥可以在系统初始启动时或当安全模块或者安全处理器首次被访问时生成。
在该步骤中,所存储的初级种子馈送至算法中以生成RSA根密钥。由于需要素数选择,所以该步骤需要漫长的计算。因此,其在装置部署后现场执行。该算法确保,一旦初级种子确定并且唯一,所获得的RSA根密钥也唯一。此外,因为该步骤现场执行,所以RSA根密钥(全部根密钥或私有的RSA根密钥)可以由装置包裹加密,且在明显没有任何软件干预的情况下,存储在所附的闪存装置中。
应理解,上述本发明的实施方式可以以硬件、固件、软件或者它们的任意组合来实现。本发明的实施方式也可实施为存储在机器可读介质上的指令,其可被一个或多个处理器读取和执行。机器可读介质可以包括以机器(例如计算装置)可读的形式存储和传送信息的任何机器。例如,机器可读介质可包括只读存储器(ROM);随机存取存储器(RAM);磁盘存储介质;光学存储介质;闪存装置;电学、光学、声学或其他形式的传播信号。
以上,已在示出了特定功能的实现和它们的关系的功能构建块的帮助下描述了本发明。为了描述方便起见,这些功能构建块的边界已在本文中任意定义。只要能够适当执行特定功能和它们的关系,也可以定义其他的边界。
Claims (10)
1.一种用于安全密钥生成的设备,其包括:
具有安全模块的装置,其中,所述安全模块包括:
非易失性存储器,存储初级种子,
处理器,被配置为在所述设备内在条件发生时从所述初级种子生成装置根密钥;以及
存储器,耦接到所述装置。
2.根据权利要求1所述的设备,其中,所述安全模块的处理器还被配置为通过使用第二加密装置密钥加密所述装置根密钥。
3.根据权利要求1所述的设备,其中,所述装置根密钥包括公共的装置根密钥和私有的装置根密钥。
4.根据权利要求3所述的设备,其中,所述安全模块的处理器还被配置为通过使用第二加密装置密钥加密所述私有的装置根密钥。
5.根据权利要求1所述的设备,其中,所述条件为:请求密钥生成的命令,或者所述设备的初始启动,或者所述安全模块的初始访问。
6.根据权利要求1所述的设备,其中,所述装置根密钥为RSA装置根密钥。
7.一种利用终端用户设备来进行安全密钥生成的方法,所述终端用户设备包括:具有安全模块和存储器的装置,所述方法包括:
接收用于公共的装置根密钥的证书,其中,所述证书包括:所述公共的装置根密钥和颁发所述证书的认证授权机构的数字签名;
验证所述证书;
在所述终端用户设备内在条件发生时,使用存储在所述安全模块内的存储器中的预计算的初级种子生成私有的装置根密钥;以及
在所述设备的存储器中存储所述证书和所述私有的装置根密钥。
8.根据权利要求7所述的方法,其中,所述条件为:请求密钥生成的命令,或者所述设备的初始启动,或者所述安全模块的初始访问。
9.一种在装置制造者服务器中进行安全密钥生成的方法,所述方法包括:
接收用于装置的初级种子,其中,所述初级种子用制造者密钥进行加密;
在所述装置制造者服务器解密所述用于装置的初级种子;
在所述装置制造者服务器的安全模块中,通过使用接收到的所述用于装置的初级种子,生成公共和私有RSA根密钥;
向认证授权机构请求用于已生成的公共的装置根密钥的证书;
从所述认证授权机构接收所述用于已生成的公共的装置根密钥的证书;
提供所述证书至集成所述装置的系统;并且
从所述装置制造者服务器中删除所述私有根密钥。
10.根据权利要求9所述的方法,还包括:将所述公共的装置根密钥与装置根密钥名称相关联。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161562050P | 2011-11-21 | 2011-11-21 | |
| US61/562,050 | 2011-11-21 | ||
| US13/523,801 | 2012-06-14 | ||
| US13/523,801 US8953790B2 (en) | 2011-11-21 | 2012-06-14 | Secure generation of a device root key in the field |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103138934A true CN103138934A (zh) | 2013-06-05 |
| CN103138934B CN103138934B (zh) | 2016-08-03 |
Family
ID=47681482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210473334.1A Active CN103138934B (zh) | 2011-11-21 | 2012-11-20 | 安全密钥生成装置和安全密钥生成方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8953790B2 (zh) |
| EP (1) | EP2597591A3 (zh) |
| KR (1) | KR101539448B1 (zh) |
| CN (1) | CN103138934B (zh) |
| HK (1) | HK1182847A1 (zh) |
| TW (1) | TWI487359B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107104795A (zh) * | 2017-04-25 | 2017-08-29 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
| CN107135070A (zh) * | 2017-04-25 | 2017-09-05 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
| CN107733647A (zh) * | 2017-12-08 | 2018-02-23 | 前海联大(深圳)技术有限公司 | 一种基于pki安全体系的密钥更新方法 |
| CN108306730A (zh) * | 2018-03-05 | 2018-07-20 | 飞天诚信科技股份有限公司 | 一种在嵌入式系统中生成密钥对的实现方法和装置 |
| CN108701308A (zh) * | 2016-03-30 | 2018-10-23 | 科因普拉格株式会社 | 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法 |
| CN109600229A (zh) * | 2018-11-28 | 2019-04-09 | 董志忠 | 基于ssl标准的跨平台的rsa算法 |
| WO2020140265A1 (en) * | 2019-01-04 | 2020-07-09 | Baidu.Com Times Technology (Beijing) Co., Ltd. | Data processing accelerator having security unit to provide root trust services |
| CN112118211A (zh) * | 2019-06-20 | 2020-12-22 | 北京京东尚科信息技术有限公司 | 设备通信方法、装置、系统、介质及电子设备 |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101301609B1 (ko) * | 2012-05-31 | 2013-08-29 | 서울대학교산학협력단 | 비밀키 생성 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
| US9390291B2 (en) * | 2012-12-29 | 2016-07-12 | Intel Corporation | Secure key derivation and cryptography logic for integrated circuits |
| FR3005186B1 (fr) * | 2013-04-30 | 2017-03-10 | Oberthur Technologies | Projet de validation d'un parametre cryptographique, et dispositif correspondant |
| US9386008B2 (en) * | 2013-08-19 | 2016-07-05 | Smartguard, Llc | Secure installation of encryption enabling software onto electronic devices |
| US10148629B1 (en) * | 2013-09-23 | 2018-12-04 | Amazon Technologies, Inc. | User-friendly multifactor authentication |
| US9635014B2 (en) * | 2014-02-21 | 2017-04-25 | Samsung Electronics Co., Ltd. | Method and apparatus for authenticating client credentials |
| GB2515853B (en) | 2014-02-25 | 2015-08-19 | Cambridge Silicon Radio Ltd | Latency mitigation |
| GB2512502B (en) | 2014-02-25 | 2015-03-11 | Cambridge Silicon Radio Ltd | Device authentication |
| US9621547B2 (en) * | 2014-12-22 | 2017-04-11 | Mcafee, Inc. | Trust establishment between a trusted execution environment and peripheral devices |
| US10348727B2 (en) | 2015-02-13 | 2019-07-09 | International Business Machines Corporation | Automatic key management using enterprise user identity management |
| US10454676B2 (en) * | 2015-02-13 | 2019-10-22 | International Business Machines Corporation | Automatic key management using enterprise user identity management |
| EP3059896B1 (fr) | 2015-02-17 | 2018-12-12 | Nagravision S.A. | Méthode d'appariement entre une unité multimédia et au moins un opérateur, unité multimédia, opérateur et entité de personnalisation pour la mise en uvre cette méthode |
| CN106161402B (zh) * | 2015-04-22 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| DE102015214696A1 (de) * | 2015-07-31 | 2017-02-02 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zum Verwenden eines Kunden-Geräte-Zertifikats auf einem Gerät |
| US10129035B2 (en) | 2015-08-10 | 2018-11-13 | Data I/O Corporation | Device birth certificate |
| US10567170B2 (en) | 2015-12-24 | 2020-02-18 | Mcafee, Llc | Hardware-generated dynamic identifier |
| US10733284B2 (en) * | 2016-10-06 | 2020-08-04 | Samsung Electronics Co., Ltd. | Trusted execution environment secure element communication |
| US10447668B1 (en) | 2016-11-14 | 2019-10-15 | Amazon Technologies, Inc. | Virtual cryptographic module with load balancer and cryptographic module fleet |
| US10461943B1 (en) * | 2016-11-14 | 2019-10-29 | Amazon Technologies, Inc. | Transparently scalable virtual hardware security module |
| CN108574570B (zh) | 2017-03-08 | 2022-05-17 | 华为技术有限公司 | 私钥生成方法、设备以及系统 |
| RU2659730C1 (ru) * | 2017-04-19 | 2018-07-03 | Общество с ограниченной ответственностью "БИС" | Способ обмена защищенными данными |
| KR102305858B1 (ko) * | 2017-09-26 | 2021-09-27 | 삼성에스디에스 주식회사 | 키 정보 프로비저닝 방법 및 이를 이용한 장치 |
| CN109982150B (zh) * | 2017-12-27 | 2020-06-23 | 国家新闻出版广电总局广播科学研究院 | 智能电视终端的信任链建立方法和智能电视终端 |
| US11038678B2 (en) | 2018-11-09 | 2021-06-15 | Microsoft Technology Licensing, Llc | Trusted key diversity on cloud edge devices |
| US11244078B2 (en) | 2018-12-07 | 2022-02-08 | Nxp Usa, Inc. | Side channel attack protection |
| WO2020246956A1 (en) * | 2019-06-03 | 2020-12-10 | Hewlett-Packard Development Company, L.P. | Key authentication |
| US11456867B2 (en) * | 2019-10-25 | 2022-09-27 | International Business Machines Corporation | Trust-anchoring of cryptographic objects |
| CN113282910B (zh) * | 2021-04-22 | 2023-07-18 | 中国科学院软件研究所 | 一种可信计算信任根的根密钥保护方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060072748A1 (en) * | 2004-10-01 | 2006-04-06 | Mark Buer | CMOS-based stateless hardware security module |
| CN1921384A (zh) * | 2006-09-12 | 2007-02-28 | 上海交通大学 | 一种公钥基础设施系统、局部安全设备及运行方法 |
| WO2011114197A1 (en) * | 2010-03-17 | 2011-09-22 | Nds Limited | Data expansion using an approximate method |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4634808A (en) * | 1984-03-15 | 1987-01-06 | M/A-Com Government Systems, Inc. | Descrambler subscriber key production system utilizing key seeds stored in descrambler |
| DE69514908T2 (de) * | 1994-02-24 | 2000-07-20 | Merdan Group Inc | Verfahren und einrichtung zum aufbau einer kryptographischen verbindung zwischen elementen eines systems |
| US7917760B2 (en) * | 1997-02-21 | 2011-03-29 | Multos Limited | Tamper resistant module having separate control of issuance and content delivery |
| US6895504B1 (en) * | 2000-09-29 | 2005-05-17 | Intel Corporation | Enabling secure communications with a client |
| US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
| US7203835B2 (en) * | 2001-11-13 | 2007-04-10 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| US20030138105A1 (en) * | 2002-01-18 | 2003-07-24 | International Business Machines Corporation | Storing keys in a cryptology device |
| US7352867B2 (en) * | 2002-07-10 | 2008-04-01 | General Instrument Corporation | Method of preventing unauthorized distribution and use of electronic keys using a key seed |
| US7263608B2 (en) * | 2003-12-12 | 2007-08-28 | Lenovo (Singapore) Pte. Ltd. | System and method for providing endorsement certificate |
| US8495361B2 (en) * | 2003-12-31 | 2013-07-23 | International Business Machines Corporation | Securely creating an endorsement certificate in an insecure environment |
| US7751568B2 (en) * | 2003-12-31 | 2010-07-06 | International Business Machines Corporation | Method for securely creating an endorsement certificate utilizing signing key pairs |
| US20050166051A1 (en) * | 2004-01-26 | 2005-07-28 | Mark Buer | System and method for certification of a secure platform |
| US8160244B2 (en) * | 2004-10-01 | 2012-04-17 | Broadcom Corporation | Stateless hardware security module |
| US7788483B1 (en) * | 2004-10-22 | 2010-08-31 | Winbond Electronics Corporation | Method and apparatus of identifying and enabling of functions of a trusted platform module device |
| US7699233B2 (en) * | 2005-11-02 | 2010-04-20 | Nokia Corporation | Method for issuer and chip specific diversification |
| US20080013721A1 (en) | 2005-11-30 | 2008-01-17 | Jing-Jang Hwang | Asymmetric cryptography with discretionary private key |
| US8719574B2 (en) * | 2006-08-31 | 2014-05-06 | Red Hat, Inc. | Certificate generation using virtual attributes |
| US8165303B1 (en) * | 2007-05-03 | 2012-04-24 | Adobe Systems Incorporated | Method and apparatus for public key cryptography |
| US8607065B2 (en) * | 2008-10-10 | 2013-12-10 | Microsoft Corporation | Trusted and confidential remote TPM initialization |
| US8397062B2 (en) * | 2009-04-21 | 2013-03-12 | University Of Maryland, College Park | Method and system for source authentication in group communications |
| US8832778B2 (en) * | 2009-08-04 | 2014-09-09 | Carnegie Mellon University | Methods and apparatuses for user-verifiable trusted path in the presence of malware |
| US8700893B2 (en) * | 2009-10-28 | 2014-04-15 | Microsoft Corporation | Key certification in one round trip |
| WO2011123462A1 (en) * | 2010-03-29 | 2011-10-06 | Maxlinear, Inc. | Generation of sw encryption key during silicon manufacturing process |
| US10193873B2 (en) * | 2010-09-30 | 2019-01-29 | Comcast Cable Communications, Llc | Key derivation for secure communications |
| US8645677B2 (en) * | 2011-09-28 | 2014-02-04 | Intel Corporation | Secure remote credential provisioning |
-
2012
- 2012-06-14 US US13/523,801 patent/US8953790B2/en active Active
- 2012-11-05 TW TW101140959A patent/TWI487359B/zh active
- 2012-11-07 EP EP12007571.8A patent/EP2597591A3/en not_active Ceased
- 2012-11-20 CN CN201210473334.1A patent/CN103138934B/zh active Active
- 2012-11-21 KR KR1020120132502A patent/KR101539448B1/ko active IP Right Grant
-
2013
- 2013-08-23 HK HK13109911.2A patent/HK1182847A1/zh unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060072748A1 (en) * | 2004-10-01 | 2006-04-06 | Mark Buer | CMOS-based stateless hardware security module |
| CN1921384A (zh) * | 2006-09-12 | 2007-02-28 | 上海交通大学 | 一种公钥基础设施系统、局部安全设备及运行方法 |
| WO2011114197A1 (en) * | 2010-03-17 | 2011-09-22 | Nds Limited | Data expansion using an approximate method |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108701308A (zh) * | 2016-03-30 | 2018-10-23 | 科因普拉格株式会社 | 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法 |
| CN108701308B (zh) * | 2016-03-30 | 2022-03-25 | 科因普拉格株式会社 | 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法 |
| CN107104795A (zh) * | 2017-04-25 | 2017-08-29 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
| CN107135070A (zh) * | 2017-04-25 | 2017-09-05 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
| CN107104795B (zh) * | 2017-04-25 | 2020-09-04 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
| CN107733647A (zh) * | 2017-12-08 | 2018-02-23 | 前海联大(深圳)技术有限公司 | 一种基于pki安全体系的密钥更新方法 |
| CN108306730A (zh) * | 2018-03-05 | 2018-07-20 | 飞天诚信科技股份有限公司 | 一种在嵌入式系统中生成密钥对的实现方法和装置 |
| CN108306730B (zh) * | 2018-03-05 | 2020-10-13 | 飞天诚信科技股份有限公司 | 一种在嵌入式系统中生成密钥对的实现方法和装置 |
| CN109600229A (zh) * | 2018-11-28 | 2019-04-09 | 董志忠 | 基于ssl标准的跨平台的rsa算法 |
| CN109600229B (zh) * | 2018-11-28 | 2022-03-22 | 董志忠 | 基于ssl标准的跨平台的rsa算法 |
| WO2020140265A1 (en) * | 2019-01-04 | 2020-07-09 | Baidu.Com Times Technology (Beijing) Co., Ltd. | Data processing accelerator having security unit to provide root trust services |
| CN112118211A (zh) * | 2019-06-20 | 2020-12-22 | 北京京东尚科信息技术有限公司 | 设备通信方法、装置、系统、介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI487359B (zh) | 2015-06-01 |
| TW201334493A (zh) | 2013-08-16 |
| EP2597591A3 (en) | 2017-11-22 |
| CN103138934B (zh) | 2016-08-03 |
| KR20130056199A (ko) | 2013-05-29 |
| EP2597591A2 (en) | 2013-05-29 |
| KR101539448B1 (ko) | 2015-07-24 |
| US20130129087A1 (en) | 2013-05-23 |
| US8953790B2 (en) | 2015-02-10 |
| HK1182847A1 (zh) | 2013-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103138934B (zh) | 安全密钥生成装置和安全密钥生成方法 | |
| US11595371B2 (en) | Device programming with system generation | |
| US10673638B2 (en) | Unified programming environment for programmable devices | |
| US8677144B2 (en) | Secure software and hardware association technique | |
| US10587451B2 (en) | Device programming with system generation | |
| US10706182B2 (en) | Systems and methods for using extended hardware security modules | |
| EP3518458B1 (en) | Method and device for secure communications over a network using a hardware security engine | |
| US9178881B2 (en) | Proof of device genuineness | |
| US11831753B2 (en) | Secure distributed key management system | |
| CN104094267A (zh) | 安全共享来自源装置的媒体内容的方法、装置和系统 | |
| JP2012005129A (ja) | 通信データの保護方法、セキュリティ・システム | |
| EP3772008A1 (en) | Device programming with system generation | |
| CN113378119A (zh) | 一种软件授权方法、装置、设备及存储介质 | |
| CN111641507B (zh) | 一种软件通信体系结构组件注册管理方法和装置 | |
| CN102662698B (zh) | 一种防抄袭的机顶盒及其启动方法 | |
| CN112217775B (zh) | 一种远程证明方法及装置 | |
| CN116132134A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| CN116232639A (zh) | 数据传输方法、装置、计算机设备和存储介质 | |
| CN114078009A (zh) | 支付处理方法、装置、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1182847 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170302 Address after: Singapore Singapore Patentee after: Avago Technologies Fiber IP Singapore Pte. Ltd. Address before: American California Patentee before: Zyray Wireless Inc. |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1182847 Country of ref document: HK |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20181107 Address after: Singapore Singapore Patentee after: Annwa high tech Limited by Share Ltd Address before: Singapore Singapore Patentee before: Avago Technologies Fiber IP Singapore Pte. Ltd. |
|
| TR01 | Transfer of patent right |