CN103563290B - 公共加密体系结构服务中组合密钥控制信息的方法和系统 - Google Patents
公共加密体系结构服务中组合密钥控制信息的方法和系统 Download PDFInfo
- Publication number
- CN103563290B CN103563290B CN201280026042.1A CN201280026042A CN103563290B CN 103563290 B CN103563290 B CN 103563290B CN 201280026042 A CN201280026042 A CN 201280026042A CN 103563290 B CN103563290 B CN 103563290B
- Authority
- CN
- China
- Prior art keywords
- cipher key
- key token
- token
- key
- cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于创建密钥令牌的方法,包括:接收第一密钥令牌、第二密钥令牌以及将所述第一密钥令牌与所述第二密钥令牌相组合的请求;标识所述第一密钥令牌的密钥类型和所述第二密钥令牌的密钥类型;判定所述第一密钥令牌的所述密钥类型是否可以与所述第二密钥令牌的所述密钥类型相组合;响应于判定所述第一密钥令牌的所述密钥类型可以与所述第二密钥令牌的所述密钥类型相组合,将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌;以及输出所述第三密钥令牌。
Description
背景技术
本发明涉及加密密钥,更具体地说,涉及公共加密体系结构(CCA)服务中的加密密钥。
CCA通常用于诸如支付卡服务之类的金融服务,以便保护诸如用户账户数据和检验代码之类的金融数据。CCA指定密钥控制信息的字节数组,称为控制向量(CV),CV绑定到加密密钥,例如使用物理上安全的硬件安全模块(HSM)保护的数据加密标准(DES)密钥。CV用于管理密钥和控制密钥使用两者。
CV中的位例如表示密钥类型,它标识密钥的广泛能力,例如密钥是否可以对数据进行加密和/或解密,对密钥进行包装或解包,计算或检验消息验证代码(MAC),对个人标识号(PIN)信息进行加密或解密,以及生成或检验PIN信息。CV位还可以表示密钥子类型,它是在密钥类型支持的操作中针对密钥能力的限制,例如将密钥限于用于加密或解密,但不用于这两者。CV位可以包括密钥管理指示符,它们控制是否可以分发密钥,并且如果可以,则是否可以在包装在密钥块中时导出密钥。密钥使用也可以以CV位表示。密钥使用控制可如何在密钥类型和密钥子类型施加的限制之外使用密钥,这些限制例如包括针对密钥可以处理的数据类型的限制,或者针对可以与密钥一起包装的密钥类型的限制。
CV通常为8字节或16字节量,与它所绑定到的DES密钥的长度匹配。CV通常包括在称为密钥令牌的CCA数据结构中,密钥令牌还包括密钥的包装版本。包装过程以加密方式将CV绑定到密钥,使得当解包时,更改CV将改变密钥的结果值,从而致使密钥无用。
发明内容
根据本发明的一个实施例,一种用于创建密钥令牌的方法包括:接收第一密钥令牌、第二密钥令牌以及将所述第一密钥令牌与所述第二密钥令牌相组合的请求;标识所述第一密钥令牌的密钥类型和所述第二密钥令牌的密钥类型;判定所述第一密钥令牌的所述密钥类型是否可以与所述第二密钥令牌的所述密钥类型相组合;响应于判定所述第一密钥令牌的所述密钥类型可以与所述第二密钥令牌的所述密钥类型相组合,将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌;以及输出所述第三密钥令牌。
根据本发明的另一个实施例,一种系统包括处理器,所述处理器可操作以便:接收第一密钥令牌、第二密钥令牌以及将所述第一密钥令牌与所述第二密钥令牌相组合的请求;标识所述第一密钥令牌的密钥类型和所述第二密钥令牌的密钥类型;判定所述第一密钥令牌的所述密钥类型是否可以与所述第二密钥令牌的所述密钥类型相组合;响应于判定所述第一密钥令牌的所述密钥类型可以与所述第二密钥令牌的所述密钥类型相组合,将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌;以及输出所述第三密钥令牌。
根据本发明的另一个实施例,一种非瞬时性计算机可读存储介质包括计算机可执行指令,当所述计算机可执行指令在计算机装置的处理器上执行时,引导所述处理器执行一种用于创建密钥令牌的方法,所述方法包括:接收第一密钥令牌、第二密钥令牌以及将所述第一密钥令牌与所述第二密钥令牌相组合的请求;标识所述第一密钥令牌的密钥类型和所述第二密钥令牌的密钥类型;判定所述第一密钥令牌的所述密钥类型是否可以与所述第二密钥令牌的所述密钥类型相组合;响应于判定所述第一密钥令牌的所述密钥类型可以与所述第二密钥令牌的所述密钥类型相组合,将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌;以及输出所述第三密钥令牌。
通过本发明的技术实现其它特性和优点。在此详细描述了本发明的其它实施例和方面,并且这些实施例和方面被视为要求保护的本发明的一部分。为了更好地理解本发明以及优点和特性,将参考说明书和附图。
附图说明
在说明书结尾处的权利要求中具体指出并明确要求保护了被视为本发明的主题。从下面结合附图的详细描述,本发明的上述和其它特性和优点将变得显而易见,这些附图是:
图1示出系统的一个示例性实施例;
图2A-2B示出可以由图1的系统执行的示例性方法的框图;
图3示出由图1的系统使用的表;
图4示出可以由图1的系统执行的用于创建密钥令牌的示例性方法的框图。
具体实施方式
公共加密体系结构(CCA)服务的一个实例称为卡检验值生成(CVV生成),其使用两个八字节CCA密钥生成支付卡检验值。另一个CCA服务称为CVV检验,其使用原始密钥组,或者在某些情况下使用第二密钥组来检验CVV,第二密钥组包括可以仅与CVV检验服务一起使用的基于控制向量(CV)的限制。
每个服务使用两个单独的八字节密钥令牌,称为key_a和key_b。在CVV生成和CVV检验服务中,在令牌中包装的加密密钥用于不同的目的。CCA服务支持可以用于key_a和key_b的三种类型密钥。这三种类型密钥包括用于CVV检验和CVV生成服务的进程特定密钥,所述进程特定密钥称为CVV-KEYA和CVV-KEYB。可以计算消息验证代码(MAC)以及CVV的密钥称为ANY-MAC密钥。可以计算MAC以及对数据进行加密和解密以及计算CVV的密钥称为DATA密钥。
在先前的CCA规范下,针对key_a和key_b使用单独的8字节密钥。在某些CCA规范下,可以针对进程使用单个16字节密钥,其中16字节密钥包括两个等分部分,使用在硬件安全模块(HSM)中实现的包装过程将每个等分部分以加密方式绑定到密钥令牌。
下面描述的方法和系统允许使用单独8字节密钥的方案的用户将单独8字节密钥转换为单个16字节密钥,同时维护控制信息和密钥安全性。出于示例性目的,实例密钥包括组合成单个16字节密钥的两个8字节密钥,但是示例性实施例并不限于特定的密钥长度。因此,可以使用与下面描述的方法和系统类似的方法和系统,将具有任何密钥长度的任何数量的较短密钥的任何布置组合成单个较长密钥。
在这点上,图1示出系统100的一个示例性实施例。系统100包括处理器102,处理器102以通信方式连接到显示设备104、输入设备106、存储器108、联网设备110以及HSM112。联网设备110可以以通信方式连接到通信网络118,通信网络118可以以通信方式连接到其它处理器(未示出)。HSM112包括HSM处理器116,HSM处理器116以通信方式连接到HSM存储器114。
在操作中,处理器102例如可以操作应用编程接口(API),这些API执行处理任务,创建具有调用参数的数据分组并将它们发送到HSM112。HSM处理器116接收和处理数据分组,并创建发送到请求API的响应分组。数据分组例如可以包括一组参数,这些参数定义为指向对象的指针。所述参数例如包括key_a_identifier_length,该参数是指向整数的指针,该整数指定key_a_identifier参数的长度(字节)。key_a_identifier是指向字符串变量的指针,该变量包含包括密钥的CCA密钥令牌。key_b_identifier_length和key_b_identifier参数类似于上面描述的key_a参数,但与key_b关联。output_key_identifier_length是指向整数的指针,该整数指定output_key_identifier参数的长度(字节)。output_key_identifier参数是指向字符串变量的指针,该变量接收承载16字节版本的8字节输入key_a和8字节输入key_b的输出密钥令牌以及CV。
图2A-2B示出可以由(图1的)系统100执行的示例性方法的框图。参考图2A,在方框202,HSM112接收指定为key_a的密钥和指定为key_b的密钥。例如,可以通过处理器102从存储器108接收所述密钥。在方框204,HSM112判定所接收的密钥是否均是方案中使用的对称加密算法(例如,数据加密标准(DES))的有效CCA密钥令牌。在这点上,HSM112例如检验CCA密钥令牌的完整性以便确保CCA密钥令牌未损坏,检验所有字段包含有效值,检验令牌类型标识符用于可接受的DES令牌,并且进行其它有效性检查。如果密钥均不是DES的有效CCA密钥令牌,则可以在方框206向用户输出错误消息。如果密钥均是DES的有效CCA令牌,则在方框208,HSM112判定密钥是否均包含8字节DES密钥。如果不包含,则可以在方框206输出错误消息。在方框210,使指定的key_a和key_b通过CVV生成密钥检查子例程。在方框212,CVV生成密钥检查子例程判定指定的key_a和key_b的CV是否均对于CVV生成服务有效。如果CV对于CVV生成服务均无效,则在(图2B)的方框214,使指定的key_a和key_b通过CVV检验密钥检查子例程。在方框216,CVV检验密钥检查子例程判定指定的key_a和key_b的CV是否均对于CVV检验服务有效。如果CV对于CVV检验均无效,则可以在(图2A的)方框206输出错误消息。如果CV对于CVV生成或CVV检验服务中的至少一个有效,则在方框218,HSM112判定是否针对指定为key_a和key_b的特定类型密钥的组合而允许组合过程。尽管所示实施例包括使用DES,但还可以在备选实施例中使用任何其它特定的对称加密算法或方案。
在这点上,图3示出表300,HSM112使用表300在逻辑上判定是否根据指定为key_a和key_b的特定类型密钥而允许组合过程。参考图3,HSM112确定将何种类型的密钥指定为key_a,以及将何种类型的密钥指定为key_b,并且应用表300以判定是允许还是不允许组合过程。例如,如果指定为key_a的8字节输入密钥是CVVKEY-A类型密钥,并且指定为key_b的8字节输入密钥是CVVKEY-B类型密钥,则允许将密钥组合成16字节密钥的组合过程。如果指定为key_a的8字节输入密钥是DATA类型密钥,并且指定为key_b的8字节输入密钥是DATA类型密钥,则允许将密钥组合成16字节密钥的组合过程。同样,如果指定为key_a的8字节输入密钥是ANY-MAC类型密钥,并且指定为key_b的8字节输入密钥是ANY-MAC类型密钥,则允许将密钥组合成16字节密钥的组合过程。备选地,如果指定为key_a的8字节输入密钥是CVVKEY-B类型密钥,则无论指定为key_b的密钥类型为何,都不允许组合过程,而如果指定为key_b的8字节输入密钥是CVVKEY-A类型密钥,则无论指定为key_a的密钥类型为何,都不允许组合过程。
再次参考图2B,如果对于指定为key_a和key_b的特定类型密钥的组合不允许组合过程,则可以在方框220输出拒绝消息。在方框222,HSM112判定用户是否具有必需的权限以便引导系统100执行组合过程。对于在(图3的)表300中被指定为允许的密钥组合,可以允许大多数或全部用户引导系统100执行组合过程。如果用户具有必需的安全权限以便引导系统100执行特定密钥类型的组合,则可以允许密钥类型的其它组合。例如,可以使用标识用户和指示用户安全级别的用户登录过程,确定用户的安全权限。例如,参考图3,如果指定为key_a的8字节输入密钥是CVVKEY-A类型密钥,并且指定为key_b的8字节输入密钥是DATA类型密钥或ANY_MAC类型密钥,则只要请求组合过程的用户被授权或具有必需的权限以便引导系统100执行这种组合过程,便会有条件地允许将密钥组合成16字节密钥的组合过程。参考图2B,如果用户没有必需的权限以便引导系统100针对特定密钥(如表300中指示的)执行组合过程,则可以在方框220输出拒绝消息。如果用户具有必需的权限以便针对特定密钥(如表300中指示的)执行组合过程,则HSM112使用所接收的8字节密钥令牌创建16字节密钥令牌,并且将所创建的16字节密钥令牌输出给用户,16字节密钥令牌例如可以通过(图1的)显示设备104输出,或者保存在存储器108中以便随后由用户检索。
图4示出一种用于创建16字节密钥令牌的示例性方法的框图。在方框402,生成具有用于16字节密钥的长度的默认CVVKEY-ACV。在这点上,CVVKEY-A是一种密钥令牌结构,其包含将保存16字节CVV密钥的令牌的默认值。CVVKEY-A具有针对密钥保留的空间,包含CV和其它控制信息,例如令牌标识符标志、令牌版本号、标志字节和令牌验证值。在方框404,将指定为key_a的未加密8字节密钥复制到16字节缓冲区的开头,将指定为key_b的未加密密钥复制到16字节缓冲区的结尾。在方框406,使用对密钥材料进行加密并将CVVKEY-ACV绑定到加密后的密钥材料的密钥包装方法,对缓冲区中的结果16字节密钥进行包装。可以针对特定的令牌类型使用任何适当的包装方法。所述包装过程确保在不致使密钥材料无用的情况下无法改变CV。在方框408,将包装后的密钥和16字节CVVKEY-ACV插入输出密钥令牌。在方框410,将输出密钥令牌输出给用户。
下面将描述一个实例密钥包装过程;但是可以在备选实施例中使用任何适当的备选密钥包装过程。在这点上,对于16字节DES密钥(K),其中左边8个字节是KL而右边8个字节是KR,将使用具有两个等分部分KEKL和KEKR的双倍长DES密钥加密密钥KEK对密钥K以及具有两个等分部分CVL和CVR的控制向量CV进行包装。所述过程包括计算KEKL’=KEKLXORCVL(其中XOR是异或逻辑运算)和KEKR’=KEKRXORCVR。值KEKL’和KEKR’一起用作双倍长DES密钥KEK’。使用三元组DES电子代码本(ECB)加密通过KEK’对KL进行加密以便定义包装后的密钥的左侧等分部分,使用三元组DESECB加密通过KEK’对KR进行加密以便定义包装后的密钥的右侧等分部分。上面描述的密钥令牌结构接收CV、包装后的密钥的左侧和右侧等分部分以及是令牌结构的一部分的其它元素。
上述实施例的技术效果和益处允许将一组短密钥组合成较长密钥,可以将该较长密钥输出给用户而不危及密钥或系统的安全性。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是—但不限于—电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括例如在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括—但不限于—电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括—但不限于—无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的各个方面的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其它设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(articleofmanufacture)。也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的功能/动作的过程。附图中的流程图和框图显示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在此使用的术语只是为了描述特定的实施例并且并非旨在作为本发明的限制。如在此使用的,单数形式“一”、“一个”和“该”旨在同样包括复数形式,除非上下文明确地另有所指。还将理解,当在此说明书中使用时,术语“包括”和/或“包含”指定了声明的特性、整数、步骤、操作、元素和/或组件的存在,但是并不排除一个或多个其它特性、整数、步骤、操作、元素、组件和/或其组合的存在或增加。
下面权利要求中的对应结构、材料、操作以及所有装置或步骤加功能元件的等同替换,旨在包括任何用于与在权利要求中具体指出的其它元件相组合地执行该功能的结构、材料或操作。出于示例和说明目的给出了对本发明的描述,但所述描述并非旨在是穷举的或是将本发明限于所公开的形式。在不偏离本发明的范围和精神的情况下,对于所属技术领域的普通技术人员来说许多修改和变化都将是显而易见的。实施例的选择和描述是为了最佳地解释本发明的原理和实际应用,并且当适合于所构想的特定使用时,使得所属技术领域的其它普通技术人员能够理解本发明的具有各种修改的各种实施例。
Claims (10)
1.一种用于创建密钥令牌的方法,所述方法包括:
接收第一密钥令牌、第二密钥令牌以及将所述第一密钥令牌与所述第二密钥令牌相组合的请求;
判定所述第一密钥令牌和所述第二密钥令牌是否是特定加密算法的有效公共加密体系结构CCA令牌;
判定所述第一密钥令牌和所述第二密钥令牌是否包含具有所需数量字节的特定加密算法密钥;
响应于判定所述第一密钥令牌和所述第二密钥令牌是所述特定加密算法的有效CCA令牌,并且判定所述第一密钥令牌和所述第二密钥令牌包含具有所述所需数量字节的所述特定加密算法密钥,标识所述第一密钥令牌的密钥类型和所述第二密钥令牌的密钥类型;
判定所述第一密钥令牌的所述密钥类型是否可以与所述第二密钥令牌的所述密钥类型相组合;
响应于判定所述第一密钥令牌的所述密钥类型可以与所述第二密钥令牌的所述密钥类型相组合,将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌;以及
输出所述第三密钥令牌。
2.根据权利要求1的方法,其中在将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌之前,所述方法还包括:
根据所述第一密钥令牌的所述密钥类型和所述第二密钥令牌的所述密钥类型,判定请求将所述第一密钥令牌与所述第二密钥令牌相组合的用户是否被授权请求所述组合;以及
响应于根据所述第一密钥令牌的所述密钥类型和所述第二密钥令牌的所述密钥类型判定所述用户未被授权请求所述组合,拒绝所述将所述第一密钥令牌与所述第二密钥令牌相组合的请求。
3.根据权利要求1的方法,其中在标识所述第一密钥令牌的密钥类型和所述第二密钥令牌的密钥类型之前,所述方法还包括:
判定与所述第一密钥令牌关联的第一控制向量CV和与所述第二密钥令牌关联的第二CV是否均对于卡检验值CVV生成服务有效,响应于判定所述第一CV和所述第二CV对于所述CVV生成服务无效,判定所述第一CV和所述第二CV是否对于CVV验证服务有效;以及
响应于判定所述第一CV和所述第二CV对于所述CVV验证服务无效,输出错误消息。
4.根据权利要求1的方法,其中将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌包括:
生成CV;
将所述第一密钥令牌的密钥复制到缓冲区的第一部分中;
将所述第二密钥令牌的密钥复制到所述缓冲区的第二部分中;
将所述缓冲区中的所述密钥和所述CV插入输出密钥令牌以便定义所述第三密钥令牌;以及
将所述密钥包装在所述第三密钥令牌中以便将所述CV绑定到所述密钥。
5.根据权利要求1的方法,其中所述第一密钥令牌是8字节令牌,所述第二密钥令牌是8字节令牌,以及所述第三密钥令牌是16字节令牌。
6.一种用于创建密钥令牌的系统,包括:
用于接收第一密钥令牌、第二密钥令牌以及将所述第一密钥令牌与所述第二密钥令牌相组合的请求的装置;
用于判定所述第一密钥令牌和所述第二密钥令牌是否是特定加密算法的有效公共加密体系结构CCA令牌的装置;
用于判定所述第一密钥令牌和所述第二密钥令牌是否包含具有所需数量字节的特定加密算法密钥的装置;
用于响应于判定所述第一密钥令牌和所述第二密钥令牌是所述特定加密算法的有效CCA令牌并且判定所述第一密钥令牌和所述第二密钥令牌包含具有所述所需数量字节的所述特定加密算法密钥,标识所述第一密钥令牌的密钥类型和所述第二密钥令牌的密钥类型的装置;
用于判定所述第一密钥令牌的所述密钥类型是否可以与所述第二密钥令牌的所述密钥类型相组合的装置;
用于响应于判定所述第一密钥令牌的所述密钥类型可以与所述第二密钥令牌的所述密钥类型相组合,将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌的装置;以及
用于输出所述第三密钥令牌的装置。
7.根据权利要求6的系统,还包括:用于根据所述第一密钥令牌的所述密钥类型和所述第二密钥令牌的所述密钥类型,判定请求将所述第一密钥令牌与所述第二密钥令牌相组合的用户是否被授权请求所述组合的装置;以及用于响应于根据所述第一密钥令牌的所述密钥类型和所述第二密钥令牌的所述密钥类型,判定所述用户未被授权请求所述组合拒绝所述将所述第一密钥令牌与所述第二密钥令牌相组合的请求的装置。
8.根据权利要求6的系统,还包括:用于判定与所述第一密钥令牌关联的第一控制向量CV和与所述第二密钥令牌关联的第二CV是否均对于CVV生成服务有效的装置;用于响应于判定所述第一CV和所述第二CV对于所述CVV生成服务无效,判定所述第一CV和所述第二CV是否对于CVV验证服务有效的装置;以及用于响应于判定所述第一CV和所述第二CV对于所述CVV验证服务无效,输出错误消息的装置。
9.根据权利要求6的系统,其中用于响应于判定所述第一密钥令牌的所述密钥类型可以与所述第二密钥令牌的所述密钥类型相组合,将所述第一密钥令牌与所述第二密钥令牌相组合以便创建第三密钥令牌的装置包括:
用于生成CV的装置;
用于将所述第一密钥令牌的密钥复制到缓冲区的第一部分中的装置;
用于将所述第二密钥令牌的密钥复制到所述缓冲区的第二部分中的装置;
用于将所述缓冲区中的所述密钥和所述CV插入输出密钥令牌以便定义所述第三密钥令牌的装置;以及
用于将所述密钥包装在所述第三密钥令牌中以便将所述CV绑定到所述密钥的装置。
10.根据权利要求6的系统,其中所述第一密钥令牌是8字节令牌,所述第二密钥令牌是8字节令牌,以及所述第三密钥令牌是16字节令牌。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/150,448 US8953789B2 (en) | 2011-06-01 | 2011-06-01 | Combining key control information in common cryptographic architecture services |
| US13/150,448 | 2011-06-01 | ||
| PCT/IB2012/052680 WO2012164487A1 (en) | 2011-06-01 | 2012-05-29 | Combining key control information in common cryptographic architecture services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103563290A CN103563290A (zh) | 2014-02-05 |
| CN103563290B true CN103563290B (zh) | 2016-03-16 |
Family
ID=47258475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280026042.1A Expired - Fee Related CN103563290B (zh) | 2011-06-01 | 2012-05-29 | 公共加密体系结构服务中组合密钥控制信息的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8953789B2 (zh) |
| CN (1) | CN103563290B (zh) |
| DE (1) | DE112012002277B4 (zh) |
| GB (1) | GB2505609B (zh) |
| WO (1) | WO2012164487A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014103308A1 (ja) * | 2012-12-28 | 2014-07-03 | パナソニック株式会社 | 制御方法 |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9367676B2 (en) | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| GB2514428B (en) * | 2013-08-19 | 2016-01-13 | Visa Europe Ltd | Enabling access to data |
| US9252944B2 (en) * | 2014-03-21 | 2016-02-02 | International Business Machines Corporation | Key wrapping for common cryptographic architecture (CCA) key token |
| WO2015145211A1 (en) * | 2014-03-27 | 2015-10-01 | Kam Fu Chan | Token key infrastructure and method for cloud services |
| US9450760B2 (en) * | 2014-07-31 | 2016-09-20 | Nok Nok Labs, Inc. | System and method for authenticating a client to a device |
| JP2016046719A (ja) | 2014-08-25 | 2016-04-04 | 株式会社東芝 | データ生成装置、通信装置、移動体、データ生成方法およびプログラム |
| US20170076366A1 (en) * | 2015-09-11 | 2017-03-16 | Bank Of America Corporation | Universal tokenization system |
| US10249002B2 (en) | 2015-09-11 | 2019-04-02 | Bank Of America Corporation | System for dynamic visualization of individualized consumption across shared resource allocation structure |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US9838203B1 (en) * | 2016-09-28 | 2017-12-05 | International Business Machines Corporation | Integrity protected trusted public key token with performance enhancements |
| IT201700050153A1 (it) * | 2017-05-09 | 2018-11-09 | St Microelectronics Srl | Modulo hardware di sicurezza, relativo sistema di elaborazione, circuito integrato e dispositivo |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US12041039B2 (en) | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| CN110837633B (zh) * | 2019-10-16 | 2021-10-08 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
| US11575520B2 (en) | 2020-12-14 | 2023-02-07 | International Business Machines Corporation | Key block enhanced wrapping |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426645A (zh) * | 2000-04-25 | 2003-06-25 | 格姆普拉斯公司 | 计算密钥控制数据的方法 |
| CN101394268A (zh) * | 2008-09-12 | 2009-03-25 | 华南理工大学 | 基于广义信息域的高级加密系统及方法 |
| CN101938743A (zh) * | 2009-06-30 | 2011-01-05 | 中兴通讯股份有限公司 | 一种安全密钥的生成方法和装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4918728A (en) | 1989-08-30 | 1990-04-17 | International Business Machines Corporation | Data cryptography operations using control vectors |
| US5007089A (en) | 1990-04-09 | 1991-04-09 | International Business Machines Corporation | Secure key management using programable control vector checking |
| JP2689998B2 (ja) | 1990-08-22 | 1997-12-10 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 暗号動作を行う装置 |
| US5200999A (en) | 1991-09-27 | 1993-04-06 | International Business Machines Corporation | Public key cryptosystem key management based on control vectors |
| US7660421B2 (en) * | 2002-06-28 | 2010-02-09 | Hewlett-Packard Development Company, L.P. | Method and system for secure storage, transmission and control of cryptographic keys |
| JP2005051360A (ja) | 2003-07-30 | 2005-02-24 | Nippon Telegr & Teleph Corp <Ntt> | 配信装置および配信処理方法並びにデジタル情報の配信を行うためのプログラム |
| US7908474B2 (en) * | 2006-09-22 | 2011-03-15 | International Business Machines Corporation | Method for improved key management for ATMs and other remote devices |
| JP2008092432A (ja) | 2006-10-04 | 2008-04-17 | Toshiba Corp | デジタルコンテンツの送信方法および受信装置 |
| US9038886B2 (en) * | 2009-05-15 | 2015-05-26 | Visa International Service Association | Verification of portable consumer devices |
-
2011
- 2011-06-01 US US13/150,448 patent/US8953789B2/en not_active Expired - Fee Related
-
2012
- 2012-05-29 GB GB1322085.0A patent/GB2505609B/en active Active
- 2012-05-29 DE DE112012002277.7T patent/DE112012002277B4/de active Active
- 2012-05-29 CN CN201280026042.1A patent/CN103563290B/zh not_active Expired - Fee Related
- 2012-05-29 WO PCT/IB2012/052680 patent/WO2012164487A1/en active Application Filing
- 2012-10-10 US US13/648,551 patent/US8953792B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426645A (zh) * | 2000-04-25 | 2003-06-25 | 格姆普拉斯公司 | 计算密钥控制数据的方法 |
| CN101394268A (zh) * | 2008-09-12 | 2009-03-25 | 华南理工大学 | 基于广义信息域的高级加密系统及方法 |
| CN101938743A (zh) * | 2009-06-30 | 2011-01-05 | 中兴通讯股份有限公司 | 一种安全密钥的生成方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2505609A (en) | 2014-03-05 |
| US20130044875A1 (en) | 2013-02-21 |
| US8953792B2 (en) | 2015-02-10 |
| US20120308000A1 (en) | 2012-12-06 |
| GB2505609B (en) | 2018-10-24 |
| DE112012002277T5 (de) | 2014-03-27 |
| WO2012164487A1 (en) | 2012-12-06 |
| GB201322085D0 (en) | 2014-01-29 |
| US8953789B2 (en) | 2015-02-10 |
| DE112012002277B4 (de) | 2021-09-23 |
| CN103563290A (zh) | 2014-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103563290B (zh) | 公共加密体系结构服务中组合密钥控制信息的方法和系统 | |
| US12051064B2 (en) | Transaction messaging | |
| US8739297B2 (en) | Key usage policies for cryptographic keys | |
| CN110266467B (zh) | 基于区块高度实现动态加密的方法及装置 | |
| KR102259962B1 (ko) | 인증이 있는 암호 메시지명령 | |
| US9288051B2 (en) | Secure key management | |
| CN111131278A (zh) | 数据处理方法及装置、计算机存储介质、电子设备 | |
| CN110276610B (zh) | 基于交易偏移量实现动态加密的方法及装置 | |
| US9252944B2 (en) | Key wrapping for common cryptographic architecture (CCA) key token | |
| CN103563289B (zh) | 保护加密系统中的控制向量的方法和系统 | |
| US8713709B2 (en) | Key management policies for cryptographic keys | |
| US8856520B2 (en) | Secure key management | |
| CN110263547B (zh) | 基于合约状态的修改次序实现动态加密的方法及装置 | |
| US9306745B2 (en) | Secure key management | |
| CN114629633B (zh) | 密钥块增强封装 | |
| US20240354756A1 (en) | Transaction messaging | |
| CN117176325A (zh) | 一种加密处理方法、解密处理方法及相关装置 | |
| CN104954139A (zh) | 密码机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160316 Termination date: 20210529 |