CN106797317B - 安全共享密钥共享系统及方法 - Google Patents
安全共享密钥共享系统及方法 Download PDFInfo
- Publication number
- CN106797317B CN106797317B CN201580054230.9A CN201580054230A CN106797317B CN 106797317 B CN106797317 B CN 106797317B CN 201580054230 A CN201580054230 A CN 201580054230A CN 106797317 B CN106797317 B CN 106797317B
- Authority
- CN
- China
- Prior art keywords
- shared key
- party
- unique identifier
- trusted
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及用于将共享密钥安全地传递到装置的系统及方法。一个实施例描述一种用以将共享密钥安全地传递到第一装置(32)及第二装置(34)的方法,所述方法包含:使用第一装置从密钥产生器(36)接收(52)与第一装置(32)相关联的共享密钥及唯一识别符配对;使用可信第三方(38)从密钥产生器(36)接收(54)共享密钥及唯一识别符配对;使用第一装置(32),使用唯一识别符及共享密钥产生(80)签名;使用第一装置(32)将签名及唯一识别符发射(82)到可信第三方(38);使用可信第三方(38)基于签名而验证(86)唯一识别符;当唯一识别符通过验证时使用可信第三方(38)确定共享密钥;及使用可信第三方(38)将共享密钥发射(88)到第二装置(34)以使得第一装置(32)及第二装置(34)能够通过使用共享密钥编码及解码所传递数据而安全地通信。
Description
技术领域
本发明一般来说涉及共享密码密钥的安全传递,且特定来说涉及并未通过安全信道连接的装置之间的共享密码密钥的传递。
背景技术
一般来说,装置可利用共享密码密钥来彼此安全地通信。举例来说,第一装置可利用共享密钥来签署(例如,编码)数据且将所述经签署数据发射到第二装置。所述第二装置可接着利用所述共享密钥来验证(例如,解码)所接收数据。以此方式,截获经编码数据的外部方在不具有共享密钥的情况下将不能解码数据。因此,借助共享密钥的使用使通信安全的前提是通信装置各自知晓共享密钥。
换句话说,可在使用共享密钥来编码及解码数据之前将共享密钥安全地传递到装置中的每一者。通常,用于安全地传递共享密钥的方法可利用广泛数学计算。举例来说,利用迪菲-赫尔曼方法来在装置之间传递共享密钥可涉及装置执行模算术,此可需要非平凡计算处理。然而,例如存储器装置的一些装置可具有有限处理能力。
因此,举例来说,通过甚至关于具有有限处理能力的装置达成共享密钥的传递来改进共享密钥的安全传递将为有益的。
附图说明
图1图解说明根据实施例的计算系统的框图;
图2图解说明根据实施例的用于传递共享密钥的装置的框图;
图3图解说明根据实施例的用于使图2的装置准备传递共享密钥的流程;
图4图解说明根据实施例的图2的装置之间的数据流程图;及
图5图解说明根据实施例的用于在图2的装置之间安全地传递共享密钥的流程。
具体实施方式
如上文所描述,共享密码密钥通常由装置用于达成安全(例如,经编码及/或经签署)通信。更具体来说,装置可利用共享密钥来签署(例如,编码)所发射数据且验证(例如,解码)所接收数据。举例来说,第一装置可通过使用共享密钥对数据执行密码散列而签署数据且将经签署数据连同散列结果一起发射到第二装置。第二装置可接着通过使用共享密钥执行密码散列且将结果进行比较而验证所接收数据。如此,在通信的任一端上的装置可利用共享密钥。换句话说,共享密钥可安全地传递到通信装置中的每一者。
如可了解,由于共享密钥为使所发射数据安全的基础,因此外部方不会获得共享密钥是重要的。如此,共享密钥应在外部方不确定共享密钥的情况下安全地传递到装置。可使用各种方法来促进共享密钥到装置的安全发射。此些方法可包含迪菲-赫尔曼密钥交换、罗纳德·李斯维特、阿迪·沙米尔与伦纳德·阿德曼(RSA)系统方法或另一公开密钥基础结构方法。然而,这些方法可为计算复杂的,其利用显著处理能力。
举例来说,为利用迪菲-赫尔曼密钥交换,第一及第二装置可首先确定质数模数(例如17)及质数模数的原根(例如3)。接着,第一及第二装置可各自选择机密整数。举例来说,第一装置可选择15且第二装置可选择13。使用其机密整数,第一及第二装置可各自使原根自乘到其相应机密整数且使用质数模数执行模运算。举例来说,第一装置可计算315%17,其等于6,且第二装置可计算313%17,其等于12。接着将所计算结果发射到另一装置。每一接收装置可接着使所接收结果自乘到其相应机密整数且使用质数模数执行模运算。举例来说,第一装置可计算1215%17,其等于10,且第二装置可计算613%17,其也等于10。以此方式,第一及第二装置两者可确定共享密钥,举例来说,10。
如此,第一及第二装置两者通常包含用以迅速地且高效地执行模算术的处理组件。更具体来说,处理组件执行多个指数及模运算计算。另外,为改进安全性,举例来说,所使用的数的大小可一直增加到数百个数字。换句话说,在现实世界情景中,指数及模运算计算可比上文所呈现的实例复杂得多。
然而,希望利用共享密钥来使数据安全的一些装置可在其处理性能方面受限制。一个此类实例可为用于引导计算系统的非易失性引导装置。一般来说,非易失性引导装置可包含执行有限运算且具有有限处理性能的处理组件。举例来说,处理组件可为仅仅执行整数算术与逻辑运算的算术逻辑单元(ALU)。
尽管增加此些装置的处理性能可为可能的,但成本可为过高的。换句话说,在不必须增加非易失性引导装置的处理性能的情况下关于计算系统达成共享密钥的安全传递将为有益的。
因此,本发明描述以最少处理要求达成共享密钥的安全传递的技术。举例来说,一些实施例可利用共享对称密钥来使通信安全,此实施起来可不如公开密钥基础结构(PKI)技术计算复杂。更具体来说,与在PKI技术中使用的更广泛计算性运算(例如模算术)相比较,共享对称密钥方法可在很大程度上使用组合逻辑来实施。
另外,一些实施例可通过可信第三方(例如服务器)的使用安全地传递共享密钥。更具体来说,密钥产生器可产生用于第一装置的唯一识别符及共享密钥配对。所述配对可(举例来说)在制造期间存储于第一装置中且存储于可信第三方中。为将共享密钥传递到第二装置,第一装置可将其唯一识别符及签名发射到可信第三方,所述签名可使用共享密钥及临时值(例如,随机或伪随机数)来产生。可信第三方可接着使用唯一识别符来检索对应共享密钥且验证签名。如果签名通过验证,那么可信第三方可保证其基于唯一识别符所查找的安全密钥与存储于第一装置上的安全密钥相同。如此,可信第三方可经由安全信道将共享密钥传递到第二装置而不在第一装置与第二装置之间的通信信道上暴露共享密钥。随后,第一及第二装置可使用共享密钥安全地通信。
因此,如下文将更详细地描述,即使在先存安全信道不存在于装置之间时,也可关于装置安全地共享共享密钥。换句话说,只要仅仅接收签名及唯一识别符的另一方不具有对唯一识别符及共享密钥配对(先前可经由安全信道关于可信第三方共享其)的存取权,所述方便可能无法确定共享密钥。另外,如下文将更详细地描述,可以第一装置所执行的最少计算关于第二装置安全地共享共享密钥。更具体来说,由第一装置进行的处理可仅仅包含(举例来说)通过对唯一识别符执行密码散列运算而使用共享密钥及临时值产生签名。
如上文所描述,本文中所描述的技术对于计算系统中的非易失性引导装置可为尤其有用的。为帮助图解说明,图1中描述具有非易失性引导装置12的计算系统10的实施例。计算系统10可为各种类型中的任一者,例如计算机、传呼机、蜂窝电话、个人备忘记事本、控制电路等。图1中所展示的各种功能块可包含硬件元件(包含电路)、软件元件(包含存储于计算机可读媒体上的计算机代码)或硬件与软件元件两者的组合。应进一步注意,图1仅仅为特定实施方案的一个实例且打算图解说明可存在于计算系统10中的组件的类型。
如所描绘,计算系统10包含中央处理器14及存储器16。更具体来说,中央处理器14可执行存储于存储器16中的指令以执行目前所描述技术中的各种操作。如此,中央处理器14可包含一或多个通用微处理器、一或多个专用处理器(ASIC)、一或多个现场可编程逻辑阵列(FPGA)或其任一组合。另外,存储器16可为有形非暂时性计算机可读媒体,其存储可由中央处理器14执行的指令及/或由中央处理器14处理的数据。在一些实施例中,存储器16可包含:易失性存储器,例如随机存取存储器(RAM);及/或非易失性存储器,例如只读存储器(ROM)、快闪存储器、铁电RAM(F-RAM)、硬盘、软盘、磁带、光盘或其任一组合。
另外,中央处理器14可利用计算系统10中的其它组件来执行各种功能。一个功能可包含与用户的资讯通信,其可包含将资讯提供到用户及从所述用户接收控制命令。举例来说,中央处理器14可将音频数据提供到扬声器18且指令扬声器18将音频数据作为声音传递到用户。另外,中央处理器14可将视频数据提供到显示器20且指令显示器20显示将资讯呈现给用户的图形用户接口。此外,为促进接收资讯,中央处理器14可经由一或多个输入装置22从用户接收控制命令。在一些实施例中,输入装置22可包含按钮、开关、键盘、光笔、鼠标、数字化仪与手写笔、声音识别系统、触敏显示器或其任一组合。
另外,可经由通信接口24与外部装置进行资讯通信。更具体来说,通信接口24可使得计算系统10能够连接到网络,例如个人局域网(例如,蓝牙网络)、局域网(例如,802.11xWi-Fi网络)及/或广域网(例如,3G蜂窝网络)。另外,通信接口24可使得计算系统10能够(举例来说)经由串行电缆直接连接到外部装置。
为初始化上文所描述的功能以及其它功能,可执行存储于引导装置12中的启动例程指令。如所描绘,引导装置12包含微控制器26及存储启动例程指令的一或多个非易失性存储器,例如引导块28。因此,在将计算系统10开启电源后,可即刻从引导块28检索启动例程指令使得中央处理器14可执行所述指令。更具体来说,启动例程可建立计算系统10的恰当运行的基础。举例来说,在一些实施例中,当中央处理器14执行启动例程指令时,可执行恶意软件错误检测以检测存储于存储器16中的恶意、有缺陷或以其它方式被破坏的代码的存在。
因此,确保启动例程指令从引导装置12到中央处理器14的安全传递是重要的。一种方法可为使用共享密钥。更具体来说,引导装置12可使用共享密钥签署(例如,编码)启动例程指令且将经签署指令传递到中央处理器14。中央处理器14可接着使用共享密钥验证(例如,解码)经签署指令且执行启动例程指令。换句话说,为利用共享密钥,可关于引导装置12及中央处理器14两者安全地共享共享密钥。
如上文所描述,可利用用于共享共享密钥的各种计算密集方法。因此,为利用此些方法,中央处理器14及微控制器26的处理能力应足以有效地执行计算。举例来说,可需要微控制器26有效地执行模算术。然而,由微控制器26利用以执行其它运算(例如编码/解码数据)的处理能力可低于用于执行计算密集计算(例如模算术)的处理能力。
因此,由于共享密钥可仅在连接到不同中央处理器14时或至多在计算装置10的每次通电后即刻被共享,因此本文中所描述的技术达成关于引导装置12及中央处理器14安全地共享共享密钥而不利用计算密集计算及跨越不安全通信信道暴露共享密钥。如此,微控制器26的处理性能可缩减,且因此引导装置12的制造成本也可降低。换句话说,本文中所描述的技术可使得共享密钥能够甚至在一方(例如,装置)受处理能力限制时安全地传递。
然而,本文中所描述的技术不限于处理能力受限制的装置。换句话说,任何装置可利用所述技术来安全地传递共享密钥。为帮助图解说明,图2中描述共享密钥共享系统30的框图。在所描绘实施例中,共享密钥共享系统30可达成装置A 32(例如,引导装置12)与装置B 34(例如,中央处理器14)之间的安全通信。换句话说,共享密钥共享系统30可安全地与装置A 32及装置B 34进行共享密钥传递。
为促进传递共享密钥,密钥共享系统30包含密钥产生器36及可信第三方38。在一些实施例中,密钥产生器36可在安全设施处产生用于装置的唯一识别符及共享密钥配对。因此,如所描绘,密钥产生器36可包含一或多个处理组件40及存储器42以促进密钥产生器36的功能。在一些实施例中,唯一识别符可为唯一地识别装置A 32的识别符,例如媒体存取控制(MAC)地址。另外,共享密钥可为用于使所传递数据安全的密码密钥(例如,对称密钥或私人密钥)。
在一些实施例中,密钥产生器36可为制造装置A 32的制造设施的部分。为帮助图解说明,当制造装置A 32时,制造商可利用密钥产生器36来产生唯一识别符及共享密钥配对且将所述配对存储于装置A 32中。举例来说,所述配对可静态地编程到装置A的非易失性存储器中,例如引导块28的不可由中央处理器14或另一实体直接存取或不暴露于中央处理器14或另一实体的一部分中。另外,由于配对在处于安全设施处时经存储,因此最小化不想要的入侵的可能性。如此,唯一识别符及共享密钥配对可安全地传递到装置A 32。因此,如所描绘,密钥产生器36经由第一安全通信信道33以通信方式耦合到装置A 32。
除产生用于装置A 32的配对之外,密钥产生器36还可产生用于多个装置中的每一者(举例来说,用于所制造的每一装置)的唯一识别符及共享密钥配对。所产生配对可接着安全地传递到可信第三方38。
一般来说,可信第三方38可为能够与密钥产生器36安全地通信且安全地存储多个唯一识别符及共享密钥配对的数据库。举例来说,可信第三方38可为位于云端的远程服务器。因此,如所描绘,可信第三方38可包含一或多个处理组件44以促进与密钥产生器36及用以存储所接收配对的存储器46的安全通信。
可利用用于使密钥产生器36与可信第三方38之间的通信安全的任何适合手段。举例来说,处理组件40及44可含有足以将在密钥产生器36与可信第三方38之间传递的数据加密的处理性能。在一些实施例中,加密可利用数据加密标准(DES)、高级加密标准(AES)、国际数据加密算法(IDEA)、RSA加密、迪菲-赫尔曼加密或另一PKI加密技术。因此,如所描绘,密钥产生器36经由第二安全通信信道35以通信方式耦合到可信第三方38。换句话说,密钥产生器36及可信第三方38可包含足以利用加密技术来使第二通信信道35安全的处理能力。在一些实施例中,第二安全通信信道35可利用网络,例如广域网(WAN)或局域网(LAN)。
如下文将更详细地描述,当初始化用于关于装置B 34共享共享密钥的过程时,装置A 32可将签名及其唯一识别符传递到可信第三方38。在一些实施例中,装置A 32可与可信第三方38直接通信。因此,如所描绘,装置A 32及可信第三方38可经由可能并非安全的第三通信信道37以通信方式耦合。在一些实施例中,第三通信信道37可利用网络,例如广域网(WAN)或局域网(LAN)。
在其它实施例中,装置A 32可通过装置B 34与可信第三方38通信。换句话说,装置A 32可将签名及其唯一识别符传递到装置B 34且装置B 34可将唯一识别符及签名中继到可信第三方38。因此,如所描绘,装置A 32经由可能最初并非安全的第四通信信道39以通信方式耦合到装置B 34。举例来说,在计算装置10中,第四通信信道39可为以通信方式耦合中央处理器14与引导装置12的数据总线。
如下文将更详细地描述,一旦可信第三方38接收到唯一识别符及签名,可信第三方38便可使用所接收唯一识别符来检索对应共享密钥且使用共享密钥来验证所接收签名。如果签名通过验证,那么可信第三方38可将共享密钥安全地传递到装置B 34。
一般来说,可利用用于使可信第三方38与装置B 34之间的通信安全的任何适合手段。举例来说,处理组件40及中央处理器14可含有足以将在可信第三方38与装置B之间传递的数据加密的处理性能。在一些实施例中,加密可利用数据加密标准(DES)、高级加密标准(AES)、国际数据加密算法(IDEA)、RSA加密、迪菲-赫尔曼加密或另一PKI加密技术。因此,如所描绘,可信第三方38经由第五安全通信信道41以通信方式耦合到装置B 34。换句话说,可信第三方38及装置B 34可包含足以利用加密技术来使第五通信信道41安全的处理能力。举例来说,在计算装置10中,中央处理器14及可信第三方可经由连接到通信接口24的网络以通信方式耦合。换句话说,第五安全通信信道41可利用网络,例如广域网(WAN)或局域网(LAN)。
一旦装置B 34接收到共享密钥,装置A 32及装置B 34便可通过使用共享密钥编码及解码所传递数据来安全地通信。以此方式,通过使用共享密钥签署数据(此验证所传递数据的完整性)来使在装置A 32与装置B之间传递的数据安全。如上文所描述,利用上文所描述的技术安全地传递共享密钥可通过设置密钥共享系统30来达成。
图3中描述用于设置密钥共享系统30的过程48的一个实施例。一般来说,过程48包含:产生唯一识别符及共享密钥配对(过程块50);将所述配对存储于第一装置中(过程块52);发射所述配对以用于存储于可信第三方中(过程块54);及将共享密钥安全地传递到第二装置(过程块56)。在一些实施例中,过程48可由存储于例如存储器16、42或46及/或引导块28的一或多个有形非暂时性计算机可读媒体(单独地或组合地)中的指令实施,且由例如中央处理器14、处理组件40或44及/或微控制器26的一或多个处理组件(单独地或组合地)执行。
因此,在一些实施例中,密钥产生器36可产生用于装置A 32的唯一识别符及共享密钥配对(过程块50)。更具体来说,密钥产生器36可产生用以唯一地识别装置A 32的唯一识别符。举例来说,在一些实施例中,所述唯一识别符可为包含序列号及制造商识别符的MAC地址。更具体来说,序列号可指示制造装置A 32的次序。换句话说,为产生序列号,密钥产生器36可将序列号指派给一个装置,使序列号递增,且将经递增序列号指派给下一装置。在其它实施例中,唯一识别符可(举例来说)基于规则集而随机产生。
另外,密钥产生器36可产生共享密钥,可使用所述共享密钥来关于装置A 32编码/解码所传递数据的。更具体来说,共享密钥可基于用于装置A与装置B之间的通信的编码/解码类型而产生。在一些实施例中,共享密钥可基于特定规则集而产生。在其它实施例中,共享密钥可为大随机产生字符串,其可包含数、字母及/或符号。共享密钥的大小可经选择以降低外部方能够猜测密钥的所有可能性的可能性。因此,共享密钥可为80位、128位、256位或更多位。
在一些实施例中,可单独产生唯一识别符及共享密钥。举例来说,用于装置A 32的唯一识别符可由制造商产生,制造商可不具有对用于产生共享密钥的算法的存取权。随后,单独安全设施可产生共享密钥。换句话说,密钥产生器36可包含制造设置及/或额外安全设施。
一旦产生用于装置A 32的唯一识别符及共享密钥,密钥产生器36便可将配对存储于存储器42中。更具体来说,唯一识别符及共享密钥可经存储使得其彼此对应。换句话说,可基于唯一识别符而确定对应共享密钥。在一些实施例中,当将共享密钥与单个唯一识别符配对时,可基于共享密钥而确定唯一识别符。
另外,密钥产生器36可将唯一识别符及共享密钥配对存储于装置A 32中(过程块52)。在一些实施例中,可在制造期间将配对存储于装置A 32中。举例来说,在引导装置12的制造期间,密钥产生器36可将配对静态地编程到不可由另一实体直接存取或不暴露于另一实体的非易失性存储器(例如不可由中央处理器14直接存取的引导块28的一部分)中。在一些实施例中,可(举例来说)使用离散电路将配对硬接线到装置A 32中。在其它实施例中,用于装置A 32的唯一识别符可由可不具有对共享密钥的存取权的制造商存储。随后,单独安全设施(举例来说,产生共享密钥的安全设施)可将共享密钥存储于装置A中使得共享密钥与唯一识别符配对。换句话说,可在完成引导装置12的制造之后将配对存储于引导装置12中。
更具体来说,配对可在安全设施(例如制造设施)处存储于装置A 32中。在一些实施例中,安全设施可包含用以降低外部方获得对配对的存取权的可能性的入侵阻止系统。如此,尤其当在制造期间存储配对时,共享密钥可安全地传递到装置A 32。
此外,可将唯一识别符及共享密钥配对存储于可信第三方38中(过程块54)。更具体来说,可(举例来说)经由网络将配对从密钥产生器36传递到可信第三方38。在此些实施例中,可通过将所传送数据加密而安全地传递配对。更具体来说,密钥产生器36可将配对加密且将经加密配对传递到可信第三方38。可信第三方38可接着将所接收配对解密且将经解密配对存储于存储器46中。
接着,可将共享密钥从可信第三方38安全地传递到装置B 34(过程块56)。在一些实施例中,可(举例来说)经由网络将共享密钥从可信第三方38传递到装置B 34。在此些实施例中,可通过将所传送数据加密而安全地传递共享密钥。更具体来说,可信第三方38可将共享密钥加密且将经加密密钥传递到装置B 34。装置B 34可接着将所接收密钥解密且将经解密共享密钥存储于(举例来说)存储器16中。
然而,由于使用共享密钥来使装置A 32与装置B 34之间的通信安全,因此共享密钥必须保持为机密的。因此,用于将共享密钥传递到装置B 34的过程可包含用以降低外部方获得共享密钥的可能性的安全措施。为帮助图解说明,图4中描述用于传递共享密钥的可信第三方38、装置B 34及装置A 32之间的数据流。
在所描绘实施例中,装置B 34可将对其唯一识别符及签名的请求发射到装置A 32(箭头58)。举例来说,在计算系统10中,中央处理器14可经由数据总线将请求传递到引导装置12。在一些实施例中,可使用临时值产生签名,所述临时值可为用于提供消息的原创性的随机或伪随机数。因此,装置B 34可连同请求一起发射临时值。在其它实施例中,可信第三方38可将请求连同临时值一起发射(未展示)到装置A 32。
响应于请求,装置A 32可产生签名(箭头60)。在一些实施例中,可通过使用临时值及共享密钥对唯一识别符执行密码散列而产生签名。举例来说,在计算系统10中,微控制器26可产生签名。
接着,装置A 32可将唯一识别符连同签名一起发射到装置B 34(箭头62)且装置B34可将唯一识别符及签名中继到可信第三方(箭头64)。举例来说,在计算系统10中,引导装置12可经由数据总线将唯一识别符及签名传递到中央处理器14。中央处理器14可经由连接到通信接口24的网络将唯一识别符及签名中继到可信第三方。在其它实施例中,装置A 32可将唯一识别符及签名直接传递(未展示)到可信第三方38。
使用所接收唯一识别符,可信第三方38可检索存储于装置A 32中的共享密钥(箭头66)。另外,使用共享密钥,可信第三方38可验证所接收签名(箭头68)。举例来说,参考上文所描述的计算系统10,可信第三方38可从存储器46检索共享密钥且使用处理组件44验证签名。更具体来说,可信第三方38可通过使用共享密钥对唯一识别符执行与由装置A 32执行以产生签名的运算相同的运算(例如,密码散列)来验证签名。
如果由可信第三方38确定的签名与从装置A 32接收的签名匹配,那么可信第三方38可将共享密钥传递到装置B 34(箭头70)。举例来说,参考上文所描述的计算系统10,可信第三方38可经由连接到通信接口24的网络将共享密钥传递到中央处理器14。
一旦接收到共享密钥,装置B 34便可存储共享密钥(箭头72)。举例来说,在计算系统10中,中央处理器14可将共享密钥存储于存储器16中。如上文所描述,限制共享密钥的暴露是重要的。如此,中央处理器14可存储共享密钥使得其不可由另一实体直接存取或不暴露于另一实体。换句话说,可将共享密钥安全地存储于装置B中。
以此方式,可通过使用共享密钥来验证所发射数据的完整性(举例来说,通过借助共享密钥签署所发射数据)来使装置A 32与装置B 34之间的随后通信(箭头74)安全。举例来说,在计算系统10中,中央处理器14可从存储器16检索共享密钥且通过使用共享密钥执行密码散列而签署(例如,编码)数据。在接收到经签署数据后,微控制器26即刻可从非易失性存储器(例如,引导块28)检索共享密钥且通过使用共享密钥执行相同密码散列来验证(例如,解码)数据。更具体来说,可通过将由中央处理器14执行的密码散列的结果与由微控制器26执行的密码散列的结果进行比较来验证结果。而且,当结果匹配时,微控制器26可验证中央处理器14的身份及/或验证数据尚未被更改。微控制器26可接着处理经验证数据。
类似地,微控制器26可从非易失性存储器(例如,引导块28)检索共享密钥且通过使用共享密钥执行密码散列而签署(例如,编码)数据。在接收到经签署后,中央处理器14即刻可从存储器16检索共享密钥且通过使用共享密钥执行相同密码散列来验证(例如,解码)数据。更具体来说,可通过将由中央处理器14执行的密码散列的结果与由微控制器26执行的密码散列的结果进行比较来验证结果。而且,当结果匹配时,中央处理器14可验证微控制器26的身份及/或验证数据尚未被更改。中央处理器14可接着处理经验证数据。可利用各种编码/解码技术,例如Twofish、Serpent、AES、Blowfish、CAST5、RC4、3DES及IDEA(举例来说)。如此,可在不将共享密钥暴露于其它实体的情况下使数据传递安全。
图5中描述用于实施数据流的过程76的一个实施例。一般来说,过程76包含:向第一装置请求唯一识别符及签名(过程块78);产生签名(过程块80);将唯一识别符及签名发送到可信第三方(过程块82);检索共享密钥(过程块84);验证签名(过程块86);将共享密钥发送到第二装置(过程块88);及使用共享密钥解码/编码通信(过程块90)。在一些实施例中,过程76可由存储于例如存储器16、42或46及/或引导块28的一或多个有形非暂时性计算机可读媒体中的指令实施,且由例如中央处理器14、处理组件40或44及/或微控制器26的一或多个处理组件执行。
如在数据流中,可由装置B 34初始化过程76。举例来说,当装置B 34确定期望与装置A 32的通信但装置B 34不知晓共享密钥时,装置B 34可初始化过程76。在其它实施例中,可由可信第三方38及/或装置B 34初始化过程76。举例来说,当装置B 34或可信第三方38确定装置B 34及装置A 32第一次(举例来说,在计算系统10的试运行时或在计算系统10的每次通电时)以通信方式耦合时,可初始化过程76。
一旦初始化过程76,便可将对唯一识别符及签名的请求传递到装置A 32(过程块78)。如在数据流中,举例来说,当装置B 34初始化过程76时,可将请求从装置B 34传递到装置A 32。在其它实施例中,当可信第三方38初始化过程76时,可将请求从可信第三方38传递到装置B 34且装置B 34可将请求中继到装置A 32。另外或替代地,可将请求从可信第三方38直接传递到装置A 32。
如上文所描述,可使用唯一识别符、共享密钥及/或临时值产生签名。因此,可将用于产生签名的临时值连同请求一起传递到装置A 32(过程块92)。一般来说,临时值可为随机或伪随机数。在一些实施例中,可由可信第三方38产生临时值使得可信第三方38可利用临时值来验证由装置A 32传回的签名。在其它实施例中,临时值可由装置B 34产生且传递到装置A 32及可信第三方38两者。
响应于接收到请求,装置A 32可产生签名(过程块80)。更具体来说,装置A 32可使用共享密钥及所接收临时值产生签名。在一些实施例中,装置A 32可通过使用共享密钥及临时值作为密钥来对唯一识别符执行密码散列而产生签名。密码散列函数的输出(例如,结果)为签名。另外,由于临时值可为随机或伪随机数,因此对于外部方再创建签名可为困难的。
装置A 32可接着将所产生签名及其唯一识别符传递到可信第三方38(过程块82)。如在数据流中,可将签名及唯一识别符从装置A 32传递到装置B 34且装置B 34可将签名及唯一识别符中继到可信第三方38。另外或替代地,可将签名及唯一识别符从装置A 32直接传递到可信第三方38。
使用所接收唯一识别符,可信第三方38可检索用于装置A 32的对应共享密钥(过程块84)。如上文所描述,可信第三方38可将用于多个装置的唯一识别符及共享密钥配对存储于(举例来说)存储器46中。因此,可信第三方38可搜索所存储配对以找到与所接收唯一识别符对应的共享密钥。
可信第三方38可接着验证从装置A 32接收的签名(过程块86)。更具体来说,由于可信第三方38具有共享密钥及临时值,因此可信第三方38可执行由装置A 32使用以产生签名的相同运算。举例来说,可信第三方38可使用共享密钥及临时值作为密钥对唯一识别符执行相同密码散列。可接着将密码散列函数的输出与所接收签名进行比较。如果签名匹配,那么可信第三方38可确定装置A 32实际上知晓共享密钥。换句话说,由于共享密钥唯一于装置A 32,因此可信第三方38可使用签名来验证装置A 32的身份。
另一方面,如果签名不匹配,那么可信第三方38可确定外部方伪装为装置A 32。换句话说,可信第三方38可确定外部方尝试确定共享密钥。在一些实施例中,此可指示对计算系统10的尝试入侵。如此,可信第三方38可阻挡检索共享密钥的进一步尝试及/或通知操作者可能入侵。
如果签名通过验证,那么可信第三方38可将共享密钥安全地传递到装置B 34(过程块88)。更具体来说,可信第三方38可将共享密钥加密且将经加密密钥发射到装置B 34。装置B 34可接着解密共享密钥且将共享密钥存储于(举例来说)存储器16中。
随后,装置A 32及装置B 34可通过使用共享密钥编码及解码数据而安全地通信(过程块90)。一般来说,装置A 32可使用共享密钥签署(例如,编码)数据且将经签署数据发射到装置B 34。在一些实施例中,装置A 32可通过使用共享密钥对数据执行密码散列而签署数据。装置A 32可接着将经签署数据发射到装置B。在一些实施例中,经签署数据可包含连同由装置A 32执行的密码散列的结果一起的数据。装置B 34可接着验证(例如,解码)且处理所接收数据。在一些实施例中,装置B 34可通过对数据执行相同密码散列且将由装置A32执行的密码散列的结果与由装置B 34执行的密码散列的结果进行比较来验证经签署数据。更具体来说,当结果匹配时,装置B 34可验证装置A 32的身份及/或验证数据尚未被修改(例如,篡改)。另外,在一些实施例中,相同密码散列函数可由装置A 32、可信第三方38及装置B 34执行以产生签名且签署/验证所发射数据。
以此方式,装置A 32及装置B 34可设置安全通信信道(例如,通信信道39)。因此,在计算系统10中,引导装置12可将启动例程指令安全地传递到中央处理器14。更具体来说,微控制器26可使用共享密钥签署(例如,编码)启动例程指令且将经编码指令发射到中央处理器14。中央处理器14可接着验证(例如,解码)指令且执行启动指令。另外,由于共享密钥安全地传递到中央处理器14及引导装置12两者,因此最小化外部方更改启动例程指令的风险。
因此,本发明的技术效应包含达成共享密钥到装置的安全传递。实际上,本发明技术使得共享密钥能够甚至在装置中的一者在处理能力方面受限制时安全地传递到装置。
尽管本发明可易于发生各种修改及替代形式,但特别实施例已通过实例方式展示于图式中并详细的描述于本文中。然而,应理解,并不打算将本发明限制于所揭示的特定形式。而是,本发明打算涵盖归属于如由所附权利要求书定义的本发明的精神及范围内的所有修改、等效形式及替代方案。
Claims (27)
1.一种用以将共享密钥安全地传递到包括引导装置的第一装置及包括中央处理器的第二装置的方法,所述第一装置及所述第二装置经配置而经由数据总线以通信方式耦合,所述方法包括:
使用所述第一装置从密钥产生器接收与所述第一装置相关联的共享密钥及唯一识别符配对;
使用可信第三方从所述密钥产生器接收所述共享密钥及唯一识别符配对;
使用所述第一装置,使用所述唯一识别符及所述共享密钥产生签名;
使用所述第一装置将所述签名及所述唯一识别符发射到所述可信第三方,其中所述可信第三方经由网络以通信方式耦合到所述中央处理器;
使用所述可信第三方基于所述签名而验证所述唯一识别符;
当所述唯一识别符通过验证时使用所述可信第三方确定所述共享密钥;及
使用所述可信第三方将所述共享密钥发射到所述第二装置以使得所述第一装置及所述第二装置能够通过使用所述共享密钥编码及解码所传递数据而安全地通信,使得所述第一装置及所述第二装置能够安全地通信包括:
使用所述引导装置通过使用所述共享密钥编码存储于所述引导装置中的启动例程指令而签署所述启动例程指令;
使用所述引导装置将所述经签署启动例程指令发射到所述中央处理器;
使用所述中央处理器通过使用所述共享密钥解码所述经签署启动例程指令而验证所述经签署启动例程指令;及
使用所述中央处理器执行所述启动例程指令以初始化计算系统。
2.根据权利要求1所述的方法,其中发射所述签名及所述唯一识别符包括响应于从所述可信第三方或所述第二装置接收的请求而发射所述签名及所述唯一识别符。
3.根据权利要求2所述的方法,其中所述请求包括临时值且产生所述签名包括使用所述共享密钥及所述临时值对所述唯一识别符执行密码散列。
4.根据权利要求2所述的方法,其包括在所述可信第三方或所述第二装置确定如下内容时进行发射:
所述第一装置及所述第二装置以通信方式第一次耦合;
所述第二装置被通电;
所述第二装置不知晓所述共享密钥;或其任一组合。
5.一种经配置以存储可由处理器执行的指令的有形非暂时性计算机可读媒体,其中所述指令由所述处理器执行以进行以下操作:
使用可信第三方存储与包括引导装置的第一装置相关联的共享密钥及唯一识别符配对;
使用所述可信第三方,至少部分地基于从所述第一装置接收的经签署唯一识别符而使用所述共享密钥验证所述第一装置的身份,其中所述经签署唯一识别符包括所述唯一识别符及由所述第一装置使用所述唯一识别符及所述共享密钥产生的签名;
当所述第一装置的所述身份通过验证时,使用所述可信第三方至少部分地基于所述唯一识别符而确定所述共享密钥,其中所述可信第三方经配置以存储与不同装置相关联的多个唯一识别符及共享密钥配对;
使用所述可信第三方将所述共享密钥发射到第二装置以使得所述第一装置及所述第二装置能够通过使用所述共享密钥编码及解码所传递数据而安全地通信,所述第二装置包括中央处理器,所述中央处理器经配置而经由数据总线以通信方式耦合到所述引导装置且经由网络耦合到所述可信第三方,其中使得所述第一装置及所述第二装置能够安全地通信包括:
使得所述引导装置能够通过使用所述共享密钥编码存储于所述引导装置中的启动例程指令而签署所述启动例程指令;
使得所述引导装置能够将所述经签署启动例程指令发射到所述中央处理器;
使得所述中央处理器能够通过使用所述共享密钥解码所述经签署启动例程指令而验证所述经签署启动例程指令;及
使得所述中央处理器能够执行所述启动例程指令以初始化计算系统。
6.根据权利要求5所述的计算机可读媒体,其中所述指令进一步由所述处理器执行以进行以下操作:
使用所述可信第三方产生临时值;及
使用所述可信第三方将请求所述经签署唯一识别符的请求发送到所述第一装置,其中所述请求包括所述临时值以使得所述第一装置能够通过使用所述共享密钥及所述临时值对所述唯一识别符执行第一密码散列运算而产生所述签名。
7.根据权利要求6所述的计算机可读媒体,其中验证所述第一装置的所述身份包括将所述签名与由所述可信第三方使用所述唯一识别符、所述共享密钥及所述临时值执行的第二密码散列运算的输出进行比较。
8.根据权利要求5所述的计算机可读媒体,其中将所述共享密钥发射到所述第二装置包括使用公开密钥基础结构加密技术将所述共享密钥加密。
9.根据权利要求5所述的计算机可读媒体,其中确定所述共享密钥包括使所述唯一识别符与所述多个配对中的一者匹配。
10.一种用以将共享密钥安全地传递到包括引导装置的第一装置及第二装置的方法,其包括:
使用密钥产生器产生唯一地识别所述第一装置的唯一识别符;
使用所述密钥产生器产生经配置以由所述第一装置用于编码所发射数据及解码所接收数据的所述共享密钥;
使用所述密钥产生器将所述唯一识别符及所述共享密钥存储于所述第一装置中;及使用所述密钥产生器将所述唯一识别符及所述共享密钥发射到可信第三方以使得所述可信第三方能够:
将所述唯一识别符及所述共享密钥作为配对存储;及
将所述共享密钥发射到所述第二装置以使得所述第一装置及所述第二装置能够通过使用所述共享密钥编码及解码数据而安全地通信,所述第二装置包括中央处理器,所述中央处理器经由数据总线以通信方式耦合到所述第一装置且经由网络耦合到所述可信第三方,其中使得所述第一装置及所述第二装置能够安全地通信包括:
使得所述引导装置能够通过使用所述共享密钥编码存储于所述引导装置中的启动例程指令而签署所述启动例程指令;
使得所述引导装置能够将所述经签署启动例程指令发射到所述中央处理器;
使得所述中央处理器能够通过使用所述共享密钥解码所述经签署启动例程指令而验证所述经签署启动例程指令;及
使得所述中央处理器能够执行所述启动例程指令以初始化计算系统。
11.根据权利要求10所述的方法,其中将所述唯一识别符及所述共享密钥发射到所述可信第三方包括使用公开密钥基础结构加密技术将所述唯一识别符及所述共享密钥加密且经由所述网络发射经加密的所述唯一识别符及共享密钥。
12.根据权利要求10所述的方法,其中产生所述唯一识别符包括产生媒体存取控制地址。
13.根据权利要求10所述的方法,其中产生所述共享密钥包括产生对称密钥。
14.根据权利要求10所述的方法,其中将所述唯一识别符及所述共享密钥存储于所述第一装置中包括在所述第一装置的制造期间对所述第一装置中的存储器进行静态编程使得所述共享密钥不可由另一实体存取。
15.一种非易失性引导装置,其包括:
一或多个非易失性存储器,其经配置以存储唯一识别符、共享密钥及可由处理器执行以初始化计算系统的启动例程指令,其中所述非易失性引导装置经配置而经由数据总线以通信方式耦合到所述处理器;及
微控制器,其经配置以:
接收将所述唯一识别符及签名提供给可信第三方的请求,其中所述请求包括临时值;
使用所述唯一识别符、共享密钥及所述临时值产生所述签名;
指令所述非易失性引导装置将所述签名及所述唯一识别符发射到可信第三方以使得所述可信第三方能够确定所述共享密钥且经由网络将所述共享密钥传递到所述处理器;
通过使用所述共享密钥编码所述启动例程指令而签署所述启动例程指令;及
指令所述非易失性引导装置经由数据总线将所述经签署启动例程指令发射到所述处理器以使得所述处理器能够:
通过使用所述共享密钥解码所述经签署启动例程指令而验证所述经签署启动例程指令;及
在所述启动例程指令通过验证时执行所述启动例程指令以初始化所述计算系统。
16.根据权利要求15所述的非易失性引导装置,其中所述微控制器经配置以:
通过使用所述共享密钥执行密码散列而编码所述启动例程指令;及
指令所述非易失性引导装置将所述经签署启动例程指令发射到所述处理器以使得所述处理器能够通过使用所述共享密钥执行所述密码散列且将由所述微控制器执行的所述密码散列的结果与由所述处理器执行的所述密码散列的结果进行比较而验证所述启动例程指令。
17.根据权利要求15所述的非易失性引导装置,其中所述可信第三方经配置以使用所述签名验证所述唯一识别符且在所述唯一识别符通过验证时将所述共享密钥传递到所述处理器。
18.根据权利要求15所述的非易失性引导装置,其中所述临时值为随机或伪随机数。
19.根据权利要求15所述的非易失性引导装置,其中:
所述微控制器经配置以经由所述数据总线从所述处理器接收所述请求且指令所述非易失性引导装置经由所述数据总线将所述签名及所述唯一识别符发射到所述处理器;且
所述处理器经配置以经由所述网络将所述签名及所述唯一识别符发射到所述可信第三方。
20.根据权利要求15所述的非易失性引导装置,其中所述一或多个非易失性存储器包括非易失性引导块。
21.一种经配置以存储可由计算系统的处理器执行的指令的有形非暂时性计算机可读媒体,其中所述指令由所述处理器执行以进行以下操作:
使用所述处理器指令所述计算系统将用以向装置请求唯一识别符及签名的请求从所述处理器发射到包括引导装置的所述装置,其中所述签名是至少部分地基于存储于所述装置中的共享密钥而产生;
使用所述处理器从所述装置接收所述唯一识别符及所述签名;
经由网络将所述唯一识别符及所述签名从所述处理器发射到可信第三方以使得所述可信第三方能够确定所述共享密钥;
使用所述处理器从所述可信第三方接收所述共享密钥;及
使用所述处理器,通过使用所述共享密钥编码发射到所述装置的数据且解码从所述装置接收的数据而经由数据总线与所述装置通信,其中用以与所述装置通信的指令包括用以进行以下操作的指令:
接收由所述装置使用所述共享密钥签署的启动例程指令;
通过使用所述共享密钥解码所述经签署启动例程指令而验证所述启动例程指令;及
在所述启动例程指令通过验证之后执行所述启动例程指令以初始化所述计算系统。
22.根据权利要求21所述的计算机可读媒体,其中指令所述计算系统发射所述请求包括指令所述计算系统在所述处理器最初耦合到所述装置时发射所述请求。
23.根据权利要求21所述的计算机可读媒体,其中所述指令进一步由所述处理器执行以从所述可信第三方接收所述请求。
24.根据权利要求21所述的计算机可读媒体,其中所述指令进一步由所述处理器执行以进行以下操作:
使用所述处理器产生临时值;及
将所述临时值从所述处理器发射到所述装置及所述可信第三方。
25.一种计算系统,其包括:
第一装置,其经配置而经由数据总线以通信方式耦合到第二装置,所述第一装置包括引导装置且所述第二装置包括中央处理器,其中所述第一装置经配置以:
使用共享密钥与所述第二装置安全地通信;
使得所述第二装置能够通过将与所述第一装置相关联的唯一识别符及签名发射到经由网络以通信方式耦合到所述第二装置的可信第三方而确定所述共享密钥;
在所述第二装置从所述可信第三方接收到所述共享密钥之后通过使用所述共享密钥执行第一密码散列而签署数据,其中所述数据包括启动例程指令;及
将所述经签署数据发射到所述第二装置以使得所述第二装置能够:
通过使用所述共享密钥执行第二密码散列且将来自所述第一密码散列的结果与来自所述第二密码散列的结果进行比较而验证所述数据;且
当所述启动例程指令通过验证时执行所述启动例程指令以初始化所述计算系统。
26.根据权利要求25所述的计算系统,其中所述第一装置经配置以响应于从所述第二装置或所述可信第三方接收的请求而将所述唯一识别符及所述签名发射到所述可信第三方以使得所述可信第三方能够验证所述第一装置的身份且在所述第一装置的所述身份通过验证时将所述共享密钥传递到所述第二装置。
27.根据权利要求25所述的计算系统,其中所述第一装置经配置以通过对所述唯一识别符执行所述第一密码散列而产生所述签名,其中所述第一密码散列为与所述第二密码散列相同的运算。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810948207.XA CN108809646B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/507,526 US9331989B2 (en) | 2014-10-06 | 2014-10-06 | Secure shared key sharing systems and methods |
| US14/507,526 | 2014-10-06 | ||
| PCT/US2015/051436 WO2016057209A1 (en) | 2014-10-06 | 2015-09-22 | Secure shared key sharing systems and methods |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810948207.XA Division CN108809646B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106797317A CN106797317A (zh) | 2017-05-31 |
| CN106797317B true CN106797317B (zh) | 2018-09-21 |
Family
ID=55633647
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580054230.9A Active CN106797317B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统及方法 |
| CN201810948207.XA Active CN108809646B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810948207.XA Active CN108809646B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US9331989B2 (zh) |
| EP (1) | EP3205046B1 (zh) |
| JP (1) | JP6221014B1 (zh) |
| KR (1) | KR101830589B1 (zh) |
| CN (2) | CN106797317B (zh) |
| WO (1) | WO2016057209A1 (zh) |
Families Citing this family (64)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8805844B2 (en) | 2008-08-04 | 2014-08-12 | Liveperson, Inc. | Expert search |
| US10356098B2 (en) * | 2013-02-19 | 2019-07-16 | Barry Gold | Systematic enhancement of contact information |
| US9906511B1 (en) * | 2015-06-29 | 2018-02-27 | Bar-Ilan University | Secure impersonation detection |
| US9832174B2 (en) * | 2015-08-11 | 2017-11-28 | Netapp, Inc. | Authentication for cluster peering |
| CN106470104B (zh) | 2015-08-20 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于生成共享密钥的方法、装置、终端设备及系统 |
| US10432403B2 (en) * | 2015-11-25 | 2019-10-01 | Fenwal, Inc. | Secure communication between infusion pump and server |
| US10262164B2 (en) | 2016-01-15 | 2019-04-16 | Blockchain Asics Llc | Cryptographic ASIC including circuitry-encoded transformation function |
| US11170094B2 (en) * | 2016-01-27 | 2021-11-09 | Secret Double Octopus Ltd. | System and method for securing a communication channel |
| GB2550905A (en) * | 2016-05-27 | 2017-12-06 | Airbus Operations Ltd | Secure communications |
| GB2551580A (en) * | 2016-06-24 | 2017-12-27 | Sony Corp | Data communications |
| US10404478B2 (en) | 2016-08-04 | 2019-09-03 | Macronix International Co., Ltd. | Physical unclonable function using divided threshold distributions in non-volatile memory |
| US10911229B2 (en) | 2016-08-04 | 2021-02-02 | Macronix International Co., Ltd. | Unchangeable physical unclonable function in non-volatile memory |
| US10855477B2 (en) | 2016-08-04 | 2020-12-01 | Macronix International Co., Ltd. | Non-volatile memory with physical unclonable function and random number generator |
| US11258599B2 (en) | 2016-08-04 | 2022-02-22 | Macronix International Co., Ltd. | Stable physically unclonable function |
| US10230700B2 (en) * | 2016-08-09 | 2019-03-12 | Lenovo (Singapore) Pte. Ltd. | Transaction based message security |
| US10606864B2 (en) | 2016-08-16 | 2020-03-31 | Quintessencelabs Pty Ltd. | Fault-tolerant key management system |
| CN107801187B (zh) * | 2016-08-31 | 2021-02-02 | 华为技术有限公司 | 加解密方法、装置及系统 |
| US9722803B1 (en) | 2016-09-12 | 2017-08-01 | InfoSci, LLC | Systems and methods for device authentication |
| US10419226B2 (en) | 2016-09-12 | 2019-09-17 | InfoSci, LLC | Systems and methods for device authentication |
| CN107181589B (zh) * | 2017-04-11 | 2020-09-22 | 北京奇艺世纪科技有限公司 | 一种堡垒机私钥管理方法及装置 |
| US11463439B2 (en) | 2017-04-21 | 2022-10-04 | Qwerx Inc. | Systems and methods for device authentication and protection of communication on a system on chip |
| CN107438005B (zh) * | 2017-06-21 | 2020-01-14 | 深圳奥联信息安全技术有限公司 | Sm9联合数字签名方法和装置 |
| US10313133B2 (en) * | 2017-06-21 | 2019-06-04 | Visa International Service Association | Secure communications providing forward secrecy |
| US10819696B2 (en) | 2017-07-13 | 2020-10-27 | Microsoft Technology Licensing, Llc | Key attestation statement generation providing device anonymity |
| WO2019026372A1 (ja) * | 2017-08-04 | 2019-02-07 | ソニー株式会社 | 情報処理装置、情報処理方法およびプログラム |
| DE102017118164A1 (de) * | 2017-08-09 | 2019-02-14 | Infineon Technologies Ag | Kryptographische schaltung und datenverarbeitung |
| US10836400B2 (en) | 2017-12-19 | 2020-11-17 | Micron Technology, Inc. | Implementing safety measures in applications |
| US10850684B2 (en) * | 2017-12-19 | 2020-12-01 | Micron Technology, Inc. | Vehicle secure messages based on a vehicle private key |
| US10594666B2 (en) | 2017-12-19 | 2020-03-17 | Micron Technology, Inc. | Secure message including a vehicle private key |
| US11178133B2 (en) | 2017-12-19 | 2021-11-16 | Micron Technology, Inc. | Secure vehicle control unit update |
| US10933882B2 (en) | 2017-12-27 | 2021-03-02 | Micron Technology, Inc. | Determination of reliability of vehicle control commands using a voting mechanism |
| US10836402B2 (en) | 2017-12-27 | 2020-11-17 | Micron Technology, Inc. | Determination of reliability of vehicle control commands via redundancy |
| US10981576B2 (en) | 2017-12-27 | 2021-04-20 | Micron Technology, Inc. | Determination of reliability of vehicle control commands via memory test |
| US10372943B1 (en) | 2018-03-20 | 2019-08-06 | Blockchain Asics Llc | Cryptographic ASIC with combined transformation and one-way functions |
| US20190327092A1 (en) * | 2018-04-23 | 2019-10-24 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Methods and systems for secure biometric authentication |
| US10256974B1 (en) | 2018-04-25 | 2019-04-09 | Blockchain Asics Llc | Cryptographic ASIC for key hierarchy enforcement |
| US11601402B1 (en) * | 2018-05-03 | 2023-03-07 | Cyber Ip Holdings, Llc | Secure communications to multiple devices and multiple parties using physical and virtual key storage |
| US11991273B2 (en) * | 2018-09-04 | 2024-05-21 | International Business Machines Corporation | Storage device key management for encrypted host data |
| US11088829B2 (en) | 2018-09-04 | 2021-08-10 | International Business Machines Corporation | Securing a path at a node |
| US11038698B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Securing a path at a selected node |
| US11507175B2 (en) | 2018-11-02 | 2022-11-22 | Micron Technology, Inc. | Data link between volatile memory and non-volatile memory |
| US10901862B2 (en) | 2018-11-13 | 2021-01-26 | Micron Technology, Inc. | High-reliability non-volatile memory using a voting mechanism |
| CN109639682A (zh) * | 2018-12-14 | 2019-04-16 | 深圳市青葡萄科技有限公司 | 文件分享方法 |
| JP7107241B2 (ja) * | 2019-02-12 | 2022-07-27 | コニカミノルタ株式会社 | 鍵共有方法、鍵共有システム、エージェント端末 |
| US11387983B2 (en) * | 2019-03-25 | 2022-07-12 | Micron Technology, Inc. | Secure medical apparatus communication |
| CN110190950B (zh) * | 2019-06-11 | 2021-04-27 | 飞天诚信科技股份有限公司 | 一种安全签名的实现方法及装置 |
| KR20210097379A (ko) * | 2020-01-30 | 2021-08-09 | 삼성전자주식회사 | 보안 장치, 전자 장치, 보안 부트 관리 시스템, 부트 이미지 생성 방법 및 부트 체인 실행 방법 |
| US11489821B2 (en) * | 2020-02-26 | 2022-11-01 | International Business Machines Corporation | Processing a request to initiate a secure data transfer in a computing environment |
| US11546137B2 (en) | 2020-02-26 | 2023-01-03 | International Business Machines Corporation | Generation of a request to initiate a secure data transfer in a computing environment |
| US11652616B2 (en) | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
| US11502834B2 (en) | 2020-02-26 | 2022-11-15 | International Business Machines Corporation | Refreshing keys in a computing environment that provides secure data transfer |
| US11184160B2 (en) | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
| US11770246B2 (en) * | 2020-09-02 | 2023-09-26 | Motorola Solutions, Inc. | Securely transferring key materials between processors in a multi-processor device |
| CN112926978A (zh) * | 2020-09-07 | 2021-06-08 | 陈建芸 | 基于区块链通信的支付信息处理方法及系统 |
| KR20220052016A (ko) | 2020-10-20 | 2022-04-27 | 삼성전자주식회사 | 스토리지 장치에서의 보안 동작을 위한 키 교환 방법 및 이를 이용한 접근 권한 이관 방법 |
| US11380379B2 (en) | 2020-11-02 | 2022-07-05 | Macronix International Co., Ltd. | PUF applications in memories |
| CN112584355A (zh) * | 2020-12-13 | 2021-03-30 | 北京明朝万达科技股份有限公司 | 一种用于车辆间通信的密钥协同方法、系统和介质 |
| US11968296B2 (en) * | 2021-03-09 | 2024-04-23 | Micron Technology, Inc. | Utilization of a memory device for per-user encryption |
| CN113114627B (zh) * | 2021-03-19 | 2023-01-31 | 京东科技信息技术有限公司 | 一种基于密钥交换的安全数据交互方法以及交互系统 |
| KR20230020239A (ko) | 2021-08-03 | 2023-02-10 | 시큐리티플랫폼 주식회사 | 플래시 메모리를 이용한 펌웨어 업데이트 보안 방법 및 이를 실행하기 위한 기록매체에 저장된 컴퓨터 프로그램 |
| KR102573894B1 (ko) | 2021-08-03 | 2023-09-01 | 시큐리티플랫폼 주식회사 | 플래시 메모리를 이용한 펌웨어 업데이트 공유키 관리 방법 및 이를 실행하기 위한 기록매체에 저장된 컴퓨터 프로그램 |
| KR102510167B1 (ko) * | 2021-08-03 | 2023-03-15 | 시큐리티플랫폼 주식회사 | 플래시 메모리를 이용한 펌웨어 대용량 업데이트 개선 방법 및 이를 실행하기 위한 기록매체에 저장된 컴퓨터 프로그램 |
| CN114418830A (zh) * | 2022-01-19 | 2022-04-29 | 百度在线网络技术(北京)有限公司 | 安全计算方法、装置、设备以及存储介质 |
| KR102535124B1 (ko) * | 2022-08-04 | 2023-05-26 | (주)이씨스 | 복수의 ble 장치를 하나의 장치로 인식시키는 ble 장치 복제 시스템 및 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222328A (zh) * | 2007-12-14 | 2008-07-16 | 西安西电捷通无线网络通信有限公司 | 一种实体双向鉴别方法 |
| CN101667913A (zh) * | 2009-09-18 | 2010-03-10 | 重庆邮电大学 | 基于对称加密的认证加密方法及加密系统 |
| CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5937063A (en) * | 1996-09-30 | 1999-08-10 | Intel Corporation | Secure boot |
| JP4574994B2 (ja) * | 2004-01-26 | 2010-11-04 | 東芝マイクロエレクトロニクス株式会社 | メモリ外付けマイコン |
| US20070288761A1 (en) * | 2006-06-09 | 2007-12-13 | Dale Jason N | System and method for booting a multiprocessor device based on selection of encryption keys to be provided to processors |
| CN100553193C (zh) * | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
| US8156322B2 (en) | 2007-11-12 | 2012-04-10 | Micron Technology, Inc. | Critical security parameter generation and exchange system and method for smart-card memory modules |
| CN101436930A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种密钥分发的方法、系统和设备 |
| US8543799B2 (en) * | 2008-05-02 | 2013-09-24 | Microsoft Corporation | Client authentication during network boot |
| US9559842B2 (en) | 2008-09-30 | 2017-01-31 | Hewlett Packard Enterprise Development Lp | Trusted key management for virtualized platforms |
| US8214630B2 (en) * | 2009-02-24 | 2012-07-03 | General Instrument Corporation | Method and apparatus for controlling enablement of JTAG interface |
| EP2228942B1 (en) * | 2009-03-13 | 2012-06-06 | Sap Ag | Securing communications sent by a first user to a second user |
| US8745365B2 (en) * | 2009-08-06 | 2014-06-03 | Imation Corp. | Method and system for secure booting a computer by booting a first operating system from a secure peripheral device and launching a second operating system stored a secure area in the secure peripheral device on the first operating system |
| US20120008784A1 (en) | 2010-07-08 | 2012-01-12 | Phillip Martin Hallam-Baker | Delegated Key Exchange System and Method of Operation |
| US20130080768A1 (en) | 2011-09-26 | 2013-03-28 | Erik Lagerway | Systems and methods for secure communications using an open peer protocol |
| US20130173903A1 (en) * | 2011-12-29 | 2013-07-04 | Eric T. Obligacion | Unified network architecture having storage devices with secure boot devices |
| US20130173906A1 (en) * | 2011-12-29 | 2013-07-04 | Eric T. Obligacion | Cloning storage devices through secure communications links |
| US8745371B2 (en) * | 2011-12-29 | 2014-06-03 | Unisys Corporation | Unified network architecture having storage devices with secure boot devices |
| EP2667539A1 (en) | 2012-05-21 | 2013-11-27 | Koninklijke Philips N.V. | Key sharing methods, device and system for configuration thereof. |
| US20140164753A1 (en) * | 2012-12-06 | 2014-06-12 | Samsung Electronics Co., Ltd | System on chip for performing secure boot, image forming apparatus using the same, and method thereof |
| US9237133B2 (en) | 2012-12-12 | 2016-01-12 | Empire Technology Development Llc. | Detecting matched cloud infrastructure connections for secure off-channel secret generation |
| CN105027492B (zh) | 2013-02-28 | 2019-05-07 | 皇家飞利浦有限公司 | 用于确定共享密钥的设备、方法和系统 |
-
2014
- 2014-10-06 US US14/507,526 patent/US9331989B2/en active Active
-
2015
- 2015-09-22 CN CN201580054230.9A patent/CN106797317B/zh active Active
- 2015-09-22 JP JP2017518068A patent/JP6221014B1/ja active Active
- 2015-09-22 EP EP15848645.6A patent/EP3205046B1/en active Active
- 2015-09-22 WO PCT/US2015/051436 patent/WO2016057209A1/en active Application Filing
- 2015-09-22 KR KR1020177012112A patent/KR101830589B1/ko active IP Right Grant
- 2015-09-22 CN CN201810948207.XA patent/CN108809646B/zh active Active
-
2016
- 2016-04-28 US US15/141,489 patent/US9686248B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222328A (zh) * | 2007-12-14 | 2008-07-16 | 西安西电捷通无线网络通信有限公司 | 一种实体双向鉴别方法 |
| CN101667913A (zh) * | 2009-09-18 | 2010-03-10 | 重庆邮电大学 | 基于对称加密的认证加密方法及加密系统 |
| CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170056018A (ko) | 2017-05-22 |
| US20170019380A1 (en) | 2017-01-19 |
| CN106797317A (zh) | 2017-05-31 |
| JP6221014B1 (ja) | 2017-10-25 |
| CN108809646A (zh) | 2018-11-13 |
| US9686248B2 (en) | 2017-06-20 |
| JP2017536729A (ja) | 2017-12-07 |
| EP3205046A1 (en) | 2017-08-16 |
| US20160099922A1 (en) | 2016-04-07 |
| CN108809646B (zh) | 2020-03-17 |
| EP3205046A4 (en) | 2018-07-18 |
| KR101830589B1 (ko) | 2018-02-20 |
| EP3205046B1 (en) | 2019-11-06 |
| WO2016057209A1 (en) | 2016-04-14 |
| US9331989B2 (en) | 2016-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106797317B (zh) | 安全共享密钥共享系统及方法 | |
| US10785019B2 (en) | Data transmission method and apparatus | |
| TWI721122B (zh) | 資料安全傳輸方法、客戶端及服務端方法、裝置及系統 | |
| KR101999188B1 (ko) | 비밀 공유를 위한 타원 곡선 암호를 사용하는 개인용 장치 보안 | |
| CN106416124B (zh) | 半确定性数字签名生成 | |
| KR101095239B1 (ko) | 보안 통신 | |
| CN104715187B (zh) | 用于认证电子通信系统中的节点的方法和装置 | |
| WO2018182890A1 (en) | Method and system for protecting data keys in trusted computing | |
| CN114036565B (zh) | 隐私信息检索系统及隐私信息检索方法 | |
| US11374975B2 (en) | TLS integration of post quantum cryptographic algorithms | |
| CN104038349A (zh) | 一种基于kp-abe的有效可验证的公钥可搜索加密方法 | |
| CN110198295A (zh) | 安全认证方法和装置及存储介质 | |
| JP6950745B2 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム | |
| CN104836784B (zh) | 一种信息处理方法、客户端和服务器 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN109962777A (zh) | 许可区块链系统中的密钥生成、获取密钥的方法及设备 | |
| JP2017524306A (ja) | 暗号化操作における悪意のある変更に対する保護 | |
| JP2018037938A (ja) | 鍵交換方法、鍵交換システム | |
| CN117240625A (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| CN109922022A (zh) | 物联网通信方法、平台、终端和系统 | |
| US11496287B2 (en) | Privacy preserving fully homomorphic encryption with circuit verification | |
| CN104868994B (zh) | 一种协同密钥管理的方法、装置及系统 | |
| KR101834522B1 (ko) | 데이터 확인 장치 및 이를 이용하여 데이터를 확인하는 방법 | |
| CN114117388A (zh) | 设备注册方法、设备注册装置、电子设备以及存储介质 | |
| EP3361670B1 (en) | Multi-ttp-based method and device for verifying validity of identity of entity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |