CN108809646B - 安全共享密钥共享系统 - Google Patents
安全共享密钥共享系统 Download PDFInfo
- Publication number
- CN108809646B CN108809646B CN201810948207.XA CN201810948207A CN108809646B CN 108809646 B CN108809646 B CN 108809646B CN 201810948207 A CN201810948207 A CN 201810948207A CN 108809646 B CN108809646 B CN 108809646B
- Authority
- CN
- China
- Prior art keywords
- electronic device
- shared key
- data
- signature
- unique identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Abstract
本发明涉及用于将共享密钥安全地传递到装置的系统及方法。一个实施例描述一种用以将共享密钥安全地传递到第一装置(32)及第二装置(34)的方法,所述方法包含:使用第一装置从密钥产生器(36)接收(52)与第一装置(32)相关联的共享密钥及唯一识别符配对;使用可信第三方(38)从密钥产生器(36)接收(54)共享密钥及唯一识别符配对;使用第一装置(32),使用唯一识别符及共享密钥产生(80)签名;使用第一装置(32)将签名及唯一识别符发射(82)到可信第三方(38);使用可信第三方(38)基于签名而验证(86)唯一识别符;当唯一识别符通过验证时使用可信第三方(38)确定共享密钥;及使用可信第三方(38)将共享密钥发射(88)到第二装置(34)以使得第一装置(32)及第二装置(34)能够通过使用共享密钥编码及解码所传递数据而安全地通信。
Description
分案申请的相关信息
本案是分案申请。该分案的母案是申请日为2015年9月22日、申请号为201580054230.9、发明名称为“安全共享密钥共享系统及方法”的发明专利申请案。
技术领域
本发明一般来说涉及共享密码密钥的安全传递,且特定来说涉及并未通过安全信道连接的装置之间的共享密码密钥的传递。
背景技术
一般来说,装置可利用共享密码密钥来彼此安全地通信。举例来说,第一装置可利用共享密钥来签署(例如,编码)数据且将所述经签署数据发射到第二装置。所述第二装置可接着利用所述共享密钥来验证(例如,解码)所接收数据。以此方式,截获经编码数据的外部方在不具有共享密钥的情况下将不能解码数据。因此,借助共享密钥的使用使通信安全的前提是通信装置各自知晓共享密钥。
换句话说,可在使用共享密钥来编码及解码数据之前将共享密钥安全地传递到装置中的每一者。通常,用于安全地传递共享密钥的方法可利用广泛数学计算。举例来说,利用迪菲-赫尔曼方法来在装置之间传递共享密钥可涉及装置执行模算术,此可需要非平凡计算处理。然而,例如存储器装置的一些装置可具有有限处理能力。
因此,举例来说,通过甚至关于具有有限处理能力的装置达成共享密钥的传递来改进共享密钥的安全传递将为有益的。
发明内容
本申请的一个方面涉及一种经配置以经由网络以通信方式耦合至第三方服务器的计算装置。在一个实施例中,所述计算装置包括:引导装置,其经配置以:存储唯一识别符、共享密钥以及启动例程指令;至少部分基于所述唯一识别符和所述共享密钥产生签名;将所述签名和所述唯一识别符传递到所述第三方服务器以使得所述第三方服务器验证所述引导装置的身份并在所述引导装置的身份通过验证时检索所述共享密钥;以及通过至少部分基于所述共享密钥编码所述启动例程指令来产生经编码数据;以及中央处理单元,其经由数据总线以通信方式耦合至所述引导装置,其中所述中央处理单元经配置以:经由所述数据总线从所述引导装置接收所述经编码数据;当所述引导装置的身份通过所述第三方服务器的验证时,经由所述网络从所述第三方服务器接收所述共享密钥;通过至少部分基于所述共享密钥解码所述经编码数据来确定所述启动例程指令;以及执行所述启动例程指令以初始化所述计算装置。
本申请的另一方面涉及一种经配置以促进多个电子装置中的两个或更多个装置之间的安全通信的计算系统。在一个实施例中,所述计算系统包括:第三方服务器,其经由网络以通信方式耦合至所述多个电子装置的一者或多者,其中所述第三方服务器经配置以:存储第一配对,所述第一配对经配置以将第一共享密钥与第一唯一识别符相关联,其中所述第一共享密钥经配置以由所述多个电子装置中的第一电子装置使用以编码第一传送数据且所述第一唯一识别符经配置以指示所述第一电子装置的身份;从所述多个电子装置中的一者接收第一签名和所述第一唯一识别符;至少部分基于所述第一唯一识别符及所述第一共享密钥确定第二签名;当所述第一签名与所述第二签名匹配时,确定所述第一签名是由所述第一电子装置产生的;以及当所述第一签名是由所述第一电子装置产生时,将所述第一共享密钥传递到所述多个电子装置中的第二电子装置以使得所述第二电子装置执行以下步骤:通过使用所述第一共享密钥解码从所述第一电子装置接收的所述第一传送数据来确定指令;以及执行所述指令以在所述第二电子装置中执行操作。
本申请的再一方面涉及一种经配置以通信方式耦合多个电子装置的通信网络。在一个实施例中,所述通信网络包括:第一通信信道,其经配置以通信方式耦合第一电子装置和第二电子装置,所述第一电子装置存储数据且所述第二电子装置至少部分基于所述数据执行操作,其中所述第一通信信道经配置以在由所述第一电子装置使用共享密钥对所述数据编码后,促进将所述数据传送至所述第二电子装置;第二通信信道,其经配置以通信方式耦合所述第一电子装置和第三电子装置,所述第三电子装置存储所述共享密钥及与所述第一电子装置相关联的唯一识别符之间的配对,其中所述第二通信信道经配置以促进将签名传送至所述第三电子装置,所述签名由所述第一电子装置至少部分基于所述共享密钥和所述唯一识别符而产生;以及第三通信信道,其经配置以通信方式耦合所述第二电子装置和所述第三电子装置,其中所述第三通信信道经配置以在所述第三电子装置基于所述签名验证所述第一电子装置的身份以使得所述第二电子装置执行所述操作后促进将所述共享密钥从所述第三电子装置传送至所述第二电子装置,其中经由所述第一通信信道从所述第一电子装置接收的所述数据使用所述共享密钥编码后,所述第二电子装置至少部分基于所述数据而执行所述操作。
本申请的又一方面涉及一种计算系统。在一个实施例中,所述计算系统包括:第一电子装置,其经配置以经由第一通信信道以通信方式耦合至第二电子装置且经由第二通信信道以通信方式耦合至第三电子装置,其中所述第一电子装置经配置以:经由所述第一通信信道将请求传送至所述第二电子装置,其中所述请求包括临时值以及所述第二电子装置将由所述第二电子装置至少部分基于所述临时值、共享密钥以及与所述第二电子装置关联的唯一识别符产生的签名传送至所述第三电子装置的请求;当所述第三电子装置至少部分基于所述签名验证了所述第二电子装置的身份时,经由所述第二通信信道从所述第三电子装置接收经加密密钥;解密所述经加密密钥以确定所述共享密钥;经由所述第一通信信道接收由所述第二电子装置使用所述共享密钥编码的数据;至少部分基于所述共享密钥解码所述数据;以及在所述数据经解码后,至少部分基于所述数据执行操作。
附图说明
图1图解说明根据实施例的计算系统的框图;
图2图解说明根据实施例的用于传递共享密钥的装置的框图;
图3图解说明根据实施例的用于使图2的装置准备传递共享密钥的流程;
图4图解说明根据实施例的图2的装置之间的数据流程图;及
图5图解说明根据实施例的用于在图2的装置之间安全地传递共享密钥的流程。
具体实施方式
如上文所描述,共享密码密钥通常由装置用于达成安全(例如,经编码及/或经签署)通信。更具体来说,装置可利用共享密钥来签署(例如,编码)所发射数据且验证(例如,解码)所接收数据。举例来说,第一装置可通过使用共享密钥对数据执行密码散列而签署数据且将经签署数据连同散列结果一起发射到第二装置。第二装置可接着通过使用共享密钥执行密码散列且将结果进行比较而验证所接收数据。如此,在通信的任一端上的装置可利用共享密钥。换句话说,共享密钥可安全地传递到通信装置中的每一者。
如可了解,由于共享密钥为使所发射数据安全的基础,因此外部方不会获得共享密钥是重要的。如此,共享密钥应在外部方不确定共享密钥的情况下安全地传递到装置。可使用各种方法来促进共享密钥到装置的安全发射。此些方法可包含迪菲-赫尔曼密钥交换、罗纳德·李斯维特、阿迪·沙米尔与伦纳德·阿德曼(RSA)系统方法或另一公钥基础设施方法。然而,这些方法可为计算复杂的,其利用显著处理能力。
举例来说,为利用迪菲-赫尔曼密钥交换,第一及第二装置可首先确定质数模数(例如17)及质数模数的原根(例如3)。接着,第一及第二装置可各自选择机密整数。举例来说,第一装置可选择15且第二装置可选择13。使用其机密整数,第一及第二装置可各自使原根自乘到其相应机密整数且使用质数模数执行模运算。举例来说,第一装置可计算315%17,其等于6,且第二装置可计算313%17,其等于12。接着将所计算结果发射到另一装置。每一接收装置可接着使所接收结果自乘到其相应机密整数且使用质数模数执行模运算。举例来说,第一装置可计算1215%17,其等于10,且第二装置可计算613%17,其也等于10。以此方式,第一及第二装置两者可确定共享密钥,举例来说,10。
如此,第一及第二装置两者通常包含用以迅速地且高效地执行模算术的处理组件。更具体来说,处理组件执行多个指数及模运算计算。另外,为改进安全性,举例来说,所使用的数的大小可一直增加到数百个数字。换句话说,在现实世界情景中,指数及模运算计算可比上文所呈现的实例复杂得多。
然而,希望利用共享密钥来使数据安全的一些装置可在其处理性能方面受限制。一个此类实例可为用于引导计算系统的非易失性引导装置。一般来说,非易失性引导装置可包含执行有限运算且具有有限处理性能的处理组件。举例来说,处理组件可为仅仅执行整数算术与逻辑运算的算术逻辑单元(ALU)。
尽管增加此些装置的处理性能可为可能的,但成本可为过高的。换句话说,在不必须增加非易失性引导装置的处理性能的情况下关于计算系统达成共享密钥的安全传递将为有益的。
因此,本发明描述以最少处理要求达成共享密钥的安全传递的技术。举例来说,一些实施例可利用共享对称密钥来使通信安全,此实施起来可不如公钥基础设施(PKI)技术计算复杂。更具体来说,与在PKI技术中使用的更广泛计算性运算(例如模算术)相比较,共享对称密钥方法可在很大程度上使用组合逻辑来实施。
另外,一些实施例可通过可信第三方(例如服务器)的使用安全地传递共享密钥。更具体来说,密钥产生器可产生用于第一装置的唯一识别符及共享密钥配对。所述配对可(举例来说)在制造期间存储于第一装置中且存储于可信第三方中。为将共享密钥传递到第二装置,第一装置可将其唯一识别符及签名发射到可信第三方,所述签名可使用共享密钥及临时值(例如,随机或伪随机数)来产生。可信第三方可接着使用唯一识别符来检索对应共享密钥且验证签名。如果签名通过验证,那么可信第三方可保证其基于唯一识别符所查找的安全密钥与存储于第一装置上的安全密钥相同。如此,可信第三方可经由安全信道将共享密钥传递到第二装置而不在第一装置与第二装置之间的通信信道上暴露共享密钥。随后,第一及第二装置可使用共享密钥安全地通信。
因此,如下文将更详细地描述,即使在先存安全信道不存在于装置之间时,也可关于装置安全地共享共享密钥。换句话说,只要仅仅接收签名及唯一识别符的另一方不具有对唯一识别符及共享密钥配对(先前可经由安全信道关于可信第三方共享其)的存取权,所述方便可能无法确定共享密钥。另外,如下文将更详细地描述,可以第一装置所执行的最少计算关于第二装置安全地共享共享密钥。更具体来说,由第一装置进行的处理可仅仅包含(举例来说)通过对唯一识别符执行密码散列运算而使用共享密钥及临时值产生签名。
如上文所描述,本文中所描述的技术对于计算系统中的非易失性引导装置可为尤其有用的。为帮助图解说明,图1中描述具有非易失性引导装置12的计算系统10的实施例。计算系统10可为各种类型中的任一者,例如计算机、传呼机、蜂窝电话、个人备忘记事本、控制电路等。图1中所展示的各种功能块可包含硬件元件(包含电路)、软件元件(包含存储于计算机可读媒体上的计算机代码)或硬件与软件元件两者的组合。应进一步注意,图1仅仅为特定实施方案的一个实例且打算图解说明可存在于计算系统10中的组件的类型。
如所描绘,计算系统10包含中央处理器14及存储器16。更具体来说,中央处理器14可执行存储于存储器16中的指令以执行目前所描述技术中的各种操作。如此,中央处理器14可包含一或多个通用微处理器、一或多个专用处理器(ASIC)、一或多个现场可编程逻辑阵列(FPGA)或其任一组合。另外,存储器16可为有形非暂时性计算机可读媒体,其存储可由中央处理器14执行的指令及/或由中央处理器14处理的数据。在一些实施例中,存储器16可包含:易失性存储器,例如随机存取存储器(RAM);及/或非易失性存储器,例如只读存储器(ROM)、快闪存储器、铁电RAM(F-RAM)、硬盘、软盘、磁带、光盘或其任一组合。
另外,中央处理器14可利用计算系统10中的其它组件来执行各种功能。一个功能可包含与用户的资讯通信,其可包含将资讯提供到用户及从所述用户接收控制命令。举例来说,中央处理器14可将音频数据提供到扬声器18且指令扬声器18将音频数据作为声音传递到用户。另外,中央处理器14可将视频数据提供到显示器20且指令显示器20显示将资讯呈现给用户的图形用户接口。此外,为促进接收资讯,中央处理器14可经由一或多个输入装置22从用户接收控制命令。在一些实施例中,输入装置22可包含按钮、开关、键盘、光笔、鼠标、数字化仪与手写笔、声音识别系统、触敏显示器或其任一组合。
另外,可经由通信接口24与外部装置进行资讯通信。更具体来说,通信接口24可使得计算系统10能够连接到网络,例如个域网(例如,蓝牙网络)、局域网(例如,802.11x Wi-Fi网络)及/或广域网(例如,3G蜂窝网络)。另外,通信接口24可使得计算系统10能够(举例来说)经由串行电缆直接连接到外部装置。
为初始化上文所描述的功能以及其它功能,可执行存储于引导装置12中的启动例程指令。如所描绘,引导装置12包含微控制器26及存储启动例程指令的一或多个非易失性存储器,例如引导块28。因此,在将计算系统10开启电源后,可即刻从引导块28检索启动例程指令使得中央处理器14可执行所述指令。更具体来说,启动例程可建立计算系统10的恰当运行的基础。举例来说,在一些实施例中,当中央处理器14执行启动例程指令时,可执行恶意软件错误检测以检测存储于存储器16中的恶意、有缺陷或以其它方式被破坏的代码的存在。
因此,确保启动例程指令从引导装置12到中央处理器14的安全传递是重要的。一种方法可为使用共享密钥。更具体来说,引导装置12可使用共享密钥签署(例如,编码)启动例程指令且将经签署指令传递到中央处理器14。中央处理器14可接着使用共享密钥验证(例如,解码)经签署指令且执行启动例程指令。换句话说,为利用共享密钥,可关于引导装置12及中央处理器14两者安全地共享共享密钥。
如上文所描述,可利用用于共享共享密钥的各种计算密集方法。因此,为利用此些方法,中央处理器14及微控制器26的处理能力应足以有效地执行计算。举例来说,可需要微控制器26有效地执行模算术。然而,由微控制器26利用以执行其它运算(例如编码/解码数据)的处理能力可低于用于执行计算密集计算(例如模算术)的处理能力。
因此,由于共享密钥可仅在连接到不同中央处理器14时或至多在计算装置10的每次通电后即刻被共享,因此本文中所描述的技术达成关于引导装置12及中央处理器14安全地共享共享密钥而不利用计算密集计算及跨越不安全通信信道暴露共享密钥。如此,微控制器26的处理性能可缩减,且因此引导装置12的制造成本也可降低。换句话说,本文中所描述的技术可使得共享密钥能够甚至在一方(例如,装置)受处理能力限制时安全地传递。
然而,本文中所描述的技术不限于处理能力受限制的装置。换句话说,任何装置可利用所述技术来安全地传递共享密钥。为帮助图解说明,图2中描述共享密钥共享系统30的框图。在所描绘实施例中,共享密钥共享系统30可达成装置A 32(例如,引导装置12)与装置B 34(例如,中央处理器14)之间的安全通信。换句话说,共享密钥共享系统30可安全地与装置A 32及装置B 34进行共享密钥传递。
为促进传递共享密钥,密钥共享系统30包含密钥产生器36及可信第三方38。在一些实施例中,密钥产生器36可在安全设施处产生用于装置的唯一识别符及共享密钥配对。因此,如所描绘,密钥产生器36可包含一或多个处理组件40及存储器42以促进密钥产生器36的功能。在一些实施例中,唯一识别符可为唯一地识别装置A 32的识别符,例如媒体存取控制(MAC)地址。另外,共享密钥可为用于使所传递数据安全的密码密钥(例如,对称密钥或私人密钥)。
在一些实施例中,密钥产生器36可为制造装置A 32的制造设施的部分。为帮助图解说明,当制造装置A 32时,制造商可利用密钥产生器36来产生唯一识别符及共享密钥配对且将所述配对存储于装置A 32中。举例来说,所述配对可静态地编程到装置A的非易失性存储器中,例如引导块28的不可由中央处理器14或另一实体直接存取或不暴露于中央处理器14或另一实体的一部分中。另外,由于配对在处于安全设施处时经存储,因此最小化不想要的入侵的可能性。如此,唯一识别符及共享密钥配对可安全地传递到装置A 32。因此,如所描绘,密钥产生器36经由第一安全通信信道33以通信方式耦合到装置A 32。
除产生用于装置A 32的配对之外,密钥产生器36还可产生用于多个装置中的每一者(举例来说,用于所制造的每一装置)的唯一识别符及共享密钥配对。所产生配对可接着安全地传递到可信第三方38。
一般来说,可信第三方38可为能够与密钥产生器36安全地通信且安全地存储多个唯一识别符及共享密钥配对的数据库。举例来说,可信第三方38可为位于云端的远程服务器。因此,如所描绘,可信第三方38可包含一或多个处理组件44以促进与密钥产生器36及用以存储所接收配对的存储器46的安全通信。
可利用用于使密钥产生器36与可信第三方38之间的通信安全的任何适合手段。举例来说,处理组件40及44可含有足以将在密钥产生器36与可信第三方38之间传递的数据加密的处理性能。在一些实施例中,加密可利用数据加密标准(DES)、高级加密标准(AES)、国际数据加密算法(IDEA)、RSA加密、迪菲-赫尔曼加密或另一PKI加密技术。因此,如所描绘,密钥产生器36经由第二安全通信信道35以通信方式耦合到可信第三方38。换句话说,密钥产生器36及可信第三方38可包含足以利用加密技术来使第二通信信道35安全的处理能力。在一些实施例中,第二安全通信信道35可利用网络,例如广域网(WAN)或局域网(LAN)。
如下文将更详细地描述,当初始化用于关于装置B 34共享共享密钥的过程时,装置A 32可将签名及其唯一识别符传递到可信第三方38。在一些实施例中,装置A 32可与可信第三方38直接通信。因此,如所描绘,装置A 32及可信第三方38可经由可能并非安全的第三通信信道37以通信方式耦合。在一些实施例中,第三通信信道37可利用网络,例如广域网(WAN)或局域网(LAN)。
在其它实施例中,装置A 32可通过装置B 34与可信第三方38通信。换句话说,装置A 32可将签名及其唯一识别符传递到装置B 34且装置B 34可将唯一识别符及签名中继到可信第三方38。因此,如所描绘,装置A 32经由可能最初并非安全的第四通信信道39以通信方式耦合到装置B 34。举例来说,在计算装置10中,第四通信信道39可为以通信方式耦合中央处理器14与引导装置12的数据总线。
如下文将更详细地描述,一旦可信第三方38接收到唯一识别符及签名,可信第三方38便可使用所接收唯一识别符来检索对应共享密钥且使用共享密钥来验证所接收签名。如果签名通过验证,那么可信第三方38可将共享密钥安全地传递到装置B 34。
一般来说,可利用用于使可信第三方38与装置B 34之间的通信安全的任何适合手段。举例来说,处理组件40及中央处理器14可含有足以将在可信第三方38与装置B之间传递的数据加密的处理性能。在一些实施例中,加密可利用数据加密标准(DES)、高级加密标准(AES)、国际数据加密算法(IDEA)、RSA加密、迪菲-赫尔曼加密或另一PKI加密技术。因此,如所描绘,可信第三方38经由第五安全通信信道41以通信方式耦合到装置B 34。换句话说,可信第三方38及装置B 34可包含足以利用加密技术来使第五通信信道41安全的处理能力。举例来说,在计算装置10中,中央处理器14及可信第三方可经由连接到通信接口24的网络以通信方式耦合。换句话说,第五安全通信信道41可利用网络,例如广域网(WAN)或局域网(LAN)。
一旦装置B 34接收到共享密钥,装置A 32及装置B 34便可通过使用共享密钥编码及解码所传递数据来安全地通信。以此方式,通过使用共享密钥签署数据(此验证所传递数据的完整性)来使在装置A 32与装置B之间传递的数据安全。如上文所描述,利用上文所描述的技术安全地传递共享密钥可通过设置密钥共享系统30来达成。
图3中描述用于设置密钥共享系统30的过程48的一个实施例。一般来说,过程48包含:产生唯一识别符及共享密钥配对(过程块50);将所述配对存储于第一装置中(过程块52);发射所述配对以用于存储于可信第三方中(过程块54);及将共享密钥安全地传递到第二装置(过程块56)。在一些实施例中,过程48可由存储于例如存储器16、42或46及/或引导块28的一或多个有形非暂时性计算机可读媒体(单独地或组合地)中的指令实施,且由例如中央处理器14、处理组件40或44及/或微控制器26的一或多个处理组件(单独地或组合地)执行。
因此,在一些实施例中,密钥产生器36可产生用于装置A 32的唯一识别符及共享密钥配对(过程块50)。更具体来说,密钥产生器36可产生用以唯一地识别装置A 32的唯一识别符。举例来说,在一些实施例中,所述唯一识别符可为包含序列号及制造商识别符的MAC地址。更具体来说,序列号可指示制造装置A 32的次序。换句话说,为产生序列号,密钥产生器36可将序列号指派给一个装置,使序列号递增,且将经递增序列号指派给下一装置。在其它实施例中,唯一识别符可(举例来说)基于规则集而随机产生。
另外,密钥产生器36可产生共享密钥,可使用所述共享密钥来关于装置A 32编码/解码所传递数据的。更具体来说,共享密钥可基于用于装置A与装置B之间的通信的编码/解码类型而产生。在一些实施例中,共享密钥可基于特定规则集而产生。在其它实施例中,共享密钥可为大随机产生字符串,其可包含数、字母及/或符号。共享密钥的大小可经选择以降低外部方能够猜测密钥的所有可能性的可能性。因此,共享密钥可为80位、128位、256位或更多位。
在一些实施例中,可单独产生唯一识别符及共享密钥。举例来说,用于装置A 32的唯一识别符可由制造商产生,制造商可不具有对用于产生共享密钥的算法的存取权。随后,单独安全设施可产生共享密钥。换句话说,密钥产生器36可包含制造设置及/或额外安全设施。
一旦产生用于装置A 32的唯一识别符及共享密钥,密钥产生器36便可将配对存储于存储器42中。更具体来说,唯一识别符及共享密钥可经存储使得其彼此对应。换句话说,可基于唯一识别符而确定对应共享密钥。在一些实施例中,当将共享密钥与单个唯一识别符配对时,可基于共享密钥而确定唯一识别符。
另外,密钥产生器36可将唯一识别符及共享密钥配对存储于装置A 32中(过程块52)。在一些实施例中,可在制造期间将配对存储于装置A 32中。举例来说,在引导装置12的制造期间,密钥产生器36可将配对静态地编程到不可由另一实体直接存取或不暴露于另一实体的非易失性存储器(例如不可由中央处理器14直接存取的引导块28的一部分)中。在一些实施例中,可(举例来说)使用离散电路将配对硬接线到装置A 32中。在其它实施例中,用于装置A 32的唯一识别符可由可不具有对共享密钥的存取权的制造商存储。随后,单独安全设施(举例来说,产生共享密钥的安全设施)可将共享密钥存储于装置A中使得共享密钥与唯一识别符配对。换句话说,可在完成引导装置12的制造之后将配对存储于引导装置12中。
更具体来说,配对可在安全设施(例如制造设施)处存储于装置A 32中。在一些实施例中,安全设施可包含用以降低外部方获得对配对的存取权的可能性的入侵阻止系统。如此,尤其当在制造期间存储配对时,共享密钥可安全地传递到装置A 32。
此外,可将唯一识别符及共享密钥配对存储于可信第三方38中(过程块54)。更具体来说,可(举例来说)经由网络将配对从密钥产生器36传递到可信第三方38。在此些实施例中,可通过将所传送数据加密而安全地传递配对。更具体来说,密钥产生器36可将配对加密且将经加密配对传递到可信第三方38。可信第三方38可接着将所接收配对解密且将经解密配对存储于存储器46中。
接着,可将共享密钥从可信第三方38安全地传递到装置B 34(过程块56)。在一些实施例中,可(举例来说)经由网络将共享密钥从可信第三方38传递到装置B 34。在此些实施例中,可通过将所传送数据加密而安全地传递共享密钥。更具体来说,可信第三方38可将共享密钥加密且将经加密密钥传递到装置B 34。装置B 34可接着将所接收密钥解密且将经解密共享密钥存储于(举例来说)存储器16中。
然而,由于使用共享密钥来使装置A 32与装置B 34之间的通信安全,因此共享密钥必须保持为机密的。因此,用于将共享密钥传递到装置B 34的过程可包含用以降低外部方获得共享密钥的可能性的安全措施。为帮助图解说明,图4中描述用于传递共享密钥的可信第三方38、装置B 34及装置A 32之间的数据流。
在所描绘实施例中,装置B 34可将对其唯一识别符及签名的请求发射到装置A 32(箭头58)。举例来说,在计算系统10中,中央处理器14可经由数据总线将请求传递到引导装置12。在一些实施例中,可使用临时值产生签名,所述临时值可为用于提供消息的原创性的随机或伪随机数。因此,装置B 34可连同请求一起发射临时值。在其它实施例中,可信第三方38可将请求连同临时值一起发射(未展示)到装置A 32。
响应于请求,装置A 32可产生签名(箭头60)。在一些实施例中,可通过使用临时值及共享密钥对唯一识别符执行密码散列而产生签名。举例来说,在计算系统10中,微控制器26可产生签名。
接着,装置A 32可将唯一识别符连同签名一起发射到装置B 34(箭头62)且装置B34可将唯一识别符及签名中继到可信第三方(箭头64)。举例来说,在计算系统10中,引导装置12可经由数据总线将唯一识别符及签名传递到中央处理器14。中央处理器14可经由连接到通信接口24的网络将唯一识别符及签名中继到可信第三方。在其它实施例中,装置A 32可将唯一识别符及签名直接传递(未展示)到可信第三方38。
使用所接收唯一识别符,可信第三方38可检索存储于装置A 32中的共享密钥(箭头66)。另外,使用共享密钥,可信第三方38可验证所接收签名(箭头68)。举例来说,参考上文所描述的计算系统10,可信第三方38可从存储器46检索共享密钥且使用处理组件44验证签名。更具体来说,可信第三方38可通过使用共享密钥对唯一识别符执行与由装置A 32执行以产生签名的运算相同的运算(例如,密码散列)来验证签名。
如果由可信第三方38确定的签名与从装置A 32接收的签名匹配,那么可信第三方38可将共享密钥传递到装置B 34(箭头70)。举例来说,参考上文所描述的计算系统10,可信第三方38可经由连接到通信接口24的网络将共享密钥传递到中央处理器14。
一旦接收到共享密钥,装置B 34便可存储共享密钥(箭头72)。举例来说,在计算系统10中,中央处理器14可将共享密钥存储于存储器16中。如上文所描述,限制共享密钥的暴露是重要的。如此,中央处理器14可存储共享密钥使得其不可由另一实体直接存取或不暴露于另一实体。换句话说,可将共享密钥安全地存储于装置B中。
以此方式,可通过使用共享密钥来验证所发射数据的完整性(举例来说,通过借助共享密钥签署所发射数据)来使装置A 32与装置B 34之间的随后通信(箭头74)安全。举例来说,在计算系统10中,中央处理器14可从存储器16检索共享密钥且通过使用共享密钥执行密码散列而签署(例如,编码)数据。在接收到经签署数据后,微控制器26即刻可从非易失性存储器(例如,引导块28)检索共享密钥且通过使用共享密钥执行相同密码散列来验证(例如,解码)数据。更具体来说,可通过将由中央处理器14执行的密码散列的结果与由微控制器26执行的密码散列的结果进行比较来验证结果。而且,当结果匹配时,微控制器26可验证中央处理器14的身份及/或验证数据尚未被更改。微控制器26可接着处理经验证数据。
类似地,微控制器26可从非易失性存储器(例如,引导块28)检索共享密钥且通过使用共享密钥执行密码散列而签署(例如,编码)数据。在接收到经签署后,中央处理器14即刻可从存储器16检索共享密钥且通过使用共享密钥执行相同密码散列来验证(例如,解码)数据。更具体来说,可通过将由中央处理器14执行的密码散列的结果与由微控制器26执行的密码散列的结果进行比较来验证结果。而且,当结果匹配时,中央处理器14可验证微控制器26的身份及/或验证数据尚未被更改。中央处理器14可接着处理经验证数据。可利用各种编码/解码技术,例如Twofish、Serpent、AES、Blowfish、CAST5、RC4、3DES及IDEA(举例来说)。如此,可在不将共享密钥暴露于其它实体的情况下使数据传递安全。
图5中描述用于实施数据流的过程76的一个实施例。一般来说,过程76包含:向第一装置请求唯一识别符及签名(过程块78);产生签名(过程块80);将唯一识别符及签名发送到可信第三方(过程块82);检索共享密钥(过程块84);验证签名(过程块86);将共享密钥发送到第二装置(过程块88);及使用共享密钥解码/编码通信(过程块90)。在一些实施例中,过程76可由存储于例如存储器16、42或46及/或引导块28的一或多个有形非暂时性计算机可读媒体中的指令实施,且由例如中央处理器14、处理组件40或44及/或微控制器26的一或多个处理组件执行。
如在数据流中,可由装置B 34初始化过程76。举例来说,当装置B 34确定期望与装置A 32的通信但装置B 34不知晓共享密钥时,装置B 34可初始化过程76。在其它实施例中,可由可信第三方38及/或装置B 34初始化过程76。举例来说,当装置B 34或可信第三方38确定装置B 34及装置A 32第一次(举例来说,在计算系统10的试运行时或在计算系统10的每次通电时)以通信方式耦合时,可初始化过程76。
一旦初始化过程76,便可将对唯一识别符及签名的请求传递到装置A 32(过程块78)。如在数据流中,举例来说,当装置B 34初始化过程76时,可将请求从装置B 34传递到装置A 32。在其它实施例中,当可信第三方38初始化过程76时,可将请求从可信第三方38传递到装置B 34且装置B 34可将请求中继到装置A 32。另外或替代地,可将请求从可信第三方38直接传递到装置A 32。
如上文所描述,可使用唯一识别符、共享密钥及/或临时值产生签名。因此,可将用于产生签名的临时值连同请求一起传递到装置A 32(过程块92)。一般来说,临时值可为随机或伪随机数。在一些实施例中,可由可信第三方38产生临时值使得可信第三方38可利用临时值来验证由装置A 32传回的签名。在其它实施例中,临时值可由装置B 34产生且传递到装置A 32及可信第三方38两者。
响应于接收到请求,装置A 32可产生签名(过程块80)。更具体来说,装置A 32可使用共享密钥及所接收临时值产生签名。在一些实施例中,装置A 32可通过使用共享密钥及临时值作为密钥来对唯一识别符执行密码散列而产生签名。密码散列函数的输出(例如,结果)为签名。另外,由于临时值可为随机或伪随机数,因此对于外部方再创建签名可为困难的。
装置A 32可接着将所产生签名及其唯一识别符传递到可信第三方38(过程块82)。如在数据流中,可将签名及唯一识别符从装置A 32传递到装置B 34且装置B 34可将签名及唯一识别符中继到可信第三方38。另外或替代地,可将签名及唯一识别符从装置A 32直接传递到可信第三方38。
使用所接收唯一识别符,可信第三方38可检索用于装置A 32的对应共享密钥(过程块84)。如上文所描述,可信第三方38可将用于多个装置的唯一识别符及共享密钥配对存储于(举例来说)存储器46中。因此,可信第三方38可搜索所存储配对以找到与所接收唯一识别符对应的共享密钥。
可信第三方38可接着验证从装置A 32接收的签名(过程块86)。更具体来说,由于可信第三方38具有共享密钥及临时值,因此可信第三方38可执行由装置A 32使用以产生签名的相同运算。举例来说,可信第三方38可使用共享密钥及临时值作为密钥对唯一识别符执行相同密码散列。可接着将密码散列函数的输出与所接收签名进行比较。如果签名匹配,那么可信第三方38可确定装置A 32实际上知晓共享密钥。换句话说,由于共享密钥唯一于装置A 32,因此可信第三方38可使用签名来验证装置A 32的身份。
另一方面,如果签名不匹配,那么可信第三方38可确定外部方伪装为装置A 32。换句话说,可信第三方38可确定外部方尝试确定共享密钥。在一些实施例中,此可指示对计算系统10的尝试入侵。如此,可信第三方38可阻挡检索共享密钥的进一步尝试及/或通知操作者可能入侵。
如果签名通过验证,那么可信第三方38可将共享密钥安全地传递到装置B 34(过程块88)。更具体来说,可信第三方38可将共享密钥加密且将经加密密钥发射到装置B 34。装置B 34可接着解密共享密钥且将共享密钥存储于(举例来说)存储器16中。
随后,装置A 32及装置B 34可通过使用共享密钥编码及解码数据而安全地通信(过程块90)。一般来说,装置A 32可使用共享密钥签署(例如,编码)数据且将经签署数据发射到装置B 34。在一些实施例中,装置A 32可通过使用共享密钥对数据执行密码散列而签署数据。装置A 32可接着将经签署数据发射到装置B。在一些实施例中,经签署数据可包含连同由装置A 32执行的密码散列的结果一起的数据。装置B 34可接着验证(例如,解码)且处理所接收数据。在一些实施例中,装置B 34可通过对数据执行相同密码散列且将由装置A32执行的密码散列的结果与由装置B 34执行的密码散列的结果进行比较来验证经签署数据。更具体来说,当结果匹配时,装置B 34可验证装置A 32的身份及/或验证数据尚未被修改(例如,篡改)。另外,在一些实施例中,相同密码散列函数可由装置A 32、可信第三方38及装置B 34执行以产生签名且签署/验证所发射数据。
以此方式,装置A 32及装置B 34可设置安全通信信道(例如,通信信道39)。因此,在计算系统10中,引导装置12可将启动例程指令安全地传递到中央处理器14。更具体来说,微控制器26可使用共享密钥签署(例如,编码)启动例程指令且将经编码指令发射到中央处理器14。中央处理器14可接着验证(例如,解码)指令且执行启动指令。另外,由于共享密钥安全地传递到中央处理器14及引导装置12两者,因此最小化外部方更改启动例程指令的风险。
因此,本发明的技术效应包含达成共享密钥到装置的安全传递。实际上,本发明技术使得共享密钥能够甚至在装置中的一者在处理能力方面受限制时安全地传递到装置。
尽管本发明可易于发生各种修改及替代形式,但特别实施例已通过实例方式展示于图式中并详细的描述于本文中。然而,应理解,并不打算将本发明限制于所揭示的特定形式。而是,本发明打算涵盖归属于如由所附权利要求书定义的本发明的精神及范围内的所有修改、等效形式及替代方案。
Claims (27)
1.一种经配置以经由网络以通信方式耦合至第三方服务器的计算装置,所述计算装置包括:
引导装置,其经配置以:
存储唯一识别符、共享密钥以及启动例程指令;
至少部分基于所述唯一识别符和所述共享密钥产生签名;
将所述签名和所述唯一识别符传递到所述第三方服务器以使得所述第三方服务器验证所述引导装置的身份并在所述引导装置的身份通过验证时检索所述共享密钥;以及
通过至少部分基于所述共享密钥编码所述启动例程指令来产生经编码数据;以及
中央处理单元,其经由数据总线以通信方式耦合至所述引导装置,其中所述中央处理单元经配置以:
经由所述数据总线从所述引导装置接收所述经编码数据;
当所述引导装置的身份通过所述第三方服务器的验证时,经由所述网络从所述第三方服务器接收所述共享密钥;
通过至少部分基于所述共享密钥解码所述经编码数据来确定所述启动例程指令;以及
执行所述启动例程指令以初始化所述计算装置。
2.根据权利要求1所述的计算装置,其中:
所述引导装置经配置以至少部分基于所述共享密钥对所述唯一识别符执行第一密码散列来产生所述签名;且
所述第三方服务器经配置以:
至少部分基于从所述引导装置接收的所述唯一识别符来检索所述共享密钥;
至少部分基于所述共享密钥对所述唯一识别符执行第二密码散列;以及
当所述第一密码散列的第一结果与所述第二密码散列的第二结果匹配时,验证所述引导装置的身份。
3.根据权利要求1所述的计算装置,其中:
所述引导装置经配置以至少部分基于所述共享密钥对所述启动例程指令执行第一密码散列来产生所述经编码数据,其中所述经编码数据包括所述启动例程指令及所述第一密码散列的第一结果;且
所述中央处理单元经配置以:
至少部分基于所述共享密钥对所述经编码数据的至少一部分执行第二密码散列来确定所述启动例程指令;以及
当所述第二密码散列的第二结果与所述第一密码散列的所述第一结果匹配时,执行所述启动例程指令以初始化所述计算装置。
4.根据权利要求1所述的计算装置,其中:
所述引导装置包括经配置以存储所述启动例程指令、所述唯一识别符及所述共享密钥的非易失性存储器;且
所述非易失性存储器包括只读存储器(ROM)、快闪存储器、铁电RAM(F-RAM)、硬盘、软盘、磁带、光盘或其任意组合。
5.根据权利要求1所述的计算装置,其包括经配置以通信方式将所述计算装置耦合至所述网络的通信接口;
其中所述网络包括个域网、局域网、广域网或其任意组合。
6.根据权利要求1所述的计算装置,其中:
所述引导装置包括经配置以存储所述启动例程指令的引导块;且
所述引导块不可由所述中央处理单元存取。
7.根据权利要求1所述的计算装置,其中所述中央处理单元经配置以:
在所述计算装置通电时确定所述启动例程指令;以及
执行所述启动例程指令以对存储在所述计算装置的存储器元件中的数据执行错误检测。
8.根据权利要求1所述的计算装置,其中:
所述共享密钥包括密码密钥、对称密钥或私人密钥;且
所述唯一识别符包括识别所述引导装置的媒体存取控制地址。
9.根据权利要求1所述的计算装置,其中所述计算装置包括计算机、传呼机、蜂窝电话、个人备忘记事本或控制电路。
10.一种经配置以促进多个电子装置中的两个或更多个装置之间的安全通信的计算系统,所述计算系统包括:
第三方服务器,其经由网络以通信方式耦合至所述多个电子装置的一者或多者,其中所述第三方服务器经配置以:
存储第一配对,所述第一配对经配置以将第一共享密钥与第一唯一识别符相关联,其中所述第一共享密钥经配置以由所述多个电子装置中的第一电子装置使用以编码第一传送数据且所述第一唯一识别符经配置以指示所述第一电子装置的身份;
从所述多个电子装置中的一者接收第一签名和所述第一唯一识别符;
至少部分基于所述第一唯一识别符及所述第一共享密钥确定第二签名;
当所述第一签名与所述第二签名匹配时,确定所述第一签名是由所述第一电子装置产生的;以及
当所述第一签名是由所述第一电子装置产生时,将所述第一共享密钥传递到所述多个电子装置中的第二电子装置以使得所述第二电子装置执行以下步骤:
通过使用所述第一共享密钥解码从所述第一电子装置接收的所述第一传送数据来确定指令;以及
执行所述指令以在所述第二电子装置中执行操作。
11.根据权利要求10所述的计算系统,其中:
所述第一电子装置经由数据总线以通信方式耦合至所述第二电子装置且所述第一电子装置经配置以:
存储所述指令;以及
至少部分基于所述第一共享密钥对所述指令执行第一密码散列来产生所述第一传送数据,其中所述第一传送数据包括所述指令及所述第一密码散列的第一结果;且
所述第二电子装置经配置以:
至少部分基于所述共享密钥对所述第一传送数据的至少一部分执行第二密码散列来确定所述指令;以及
当所述第二密码散列的第二结果与所述第一密码散列的所述第一结果匹配时,执行所述指令以初始化所述第二电子装置的操作。
12.根据权利要求10所述的计算系统,其中所述第三方服务器经配置以当所述第一签名与所述第二签名不匹配时:
指示对所述计算系统的尝试入侵;
阻挡检索所述第一共享密钥的后续尝试及/或通知操作者可能入侵。
13.根据权利要求10所述的计算系统,其中所述第三方服务器经配置以存储第二配对,所述第二配对经配置以将第二共享密钥与第二唯一识别符相关联,其中所述第二共享密钥经配置以由所述多个电子装置中的第三电子装置使用以编码第二传送数据且所述第二唯一识别符经配置以指示所述第三电子装置的身份。
14.根据权利要求10所述的计算系统,其中所述第三方服务器经配置以通过执行公钥基础设施PKI技术来将所述第一共享密钥传送至所述第二电子装置。
15.一种用于经由通信网络传送共享密钥的系统,所述系统包括:
第一电子装置;
第二电子装置,其经由第一通信信道以通信方式耦合至所述第一电子装置;以及
第三电子装置,其经由第二通信信道以通信方式耦合至所述第一电子装置,且经由第三通信信道以通信方式耦合至所述第二电子装置,
其中所述第一电子装置存储数据且所述第二电子装置至少部分基于所述数据执行操作,其中所述第一通信信道经配置以在由所述第一电子装置使用所述共享密钥对所述数据编码后,促进将所述数据传送至所述第二电子装置,
其中所述第三电子装置存储所述共享密钥及与所述第一电子装置相关联的唯一识别符之间的配对,其中所述第二通信信道经配置以促进将签名传送至所述第三电子装置,所述签名由所述第一电子装置至少部分基于所述共享密钥和所述唯一识别符而产生,
其中所述第三通信信道经配置以在所述第三电子装置基于所述签名验证所述第一电子装置的身份后促进将所述共享密钥从所述第三电子装置传送至所述第二电子装置,以使得经由所述第一通信信道从所述第一电子装置接收的所述数据使用所述共享密钥编码后,所述第二电子装置至少部分基于所述数据而执行所述操作。
16.根据权利要求15所述的系统,其中:
存储于所述第一电子装置中的所述数据包括启动例程指令;且
由所述第二电子装置执行的所述操作包括至少部分基于所述启动例程指令初始化所述第二电子装置。
17.根据权利要求15所述的系统,其中所述第三通信信道经配置以连接至所述第二电子装置的通信接口。
18.根据权利要求15所述的系统,其中所述通信网络包括个域网、局域网、广域网或其任意组合。
19.根据权利要求15所述的系统,其中:
所述第一通信信道包括数据总线;且
所述第三通信信道利用广域网或局域网。
20.根据权利要求19所述的系统,其中所述第二通信信道利用广域网或局域网。
21.根据权利要求15所述的系统,其中所述第二通信信道经配置以通过以下操作促进将所述签名从所述第一电子装置传送至所述第三电子装置:
经由所述第一通信信道将所述签名从所述第一电子装置传送至所述第二电子装置;以及
经由所述第三通信信道将所述签名从所述第二电子装置传送至所述第三电子装置。
22.一种计算系统,其包括:
第一电子装置,其经配置以经由第一通信信道以通信方式耦合至第二电子装置且经由第二通信信道以通信方式耦合至第三电子装置,其中所述第一电子装置经配置以:
经由所述第一通信信道将请求传送至所述第二电子装置,其中所述请求包括临时值以及所述第二电子装置将由所述第二电子装置至少部分基于所述临时值、共享密钥以及与所述第二电子装置关联的唯一识别符产生的签名传送至所述第三电子装置的请求;
当所述第三电子装置至少部分基于所述签名验证了所述第二电子装置的身份时,经由所述第二通信信道从所述第三电子装置接收经加密密钥;
解密所述经加密密钥以确定所述共享密钥;
经由所述第一通信信道接收由所述第二电子装置使用所述共享密钥编码的数据;
至少部分基于所述共享密钥解码所述数据;以及
在所述数据经解码后,至少部分基于所述数据执行操作。
23.根据权利要求22所述的计算系统,其中:
由所述第二电子装置编码的所述数据包括启动例程指令;
所述第一电子装置经配置以通过至少部分基于所述启动例程指令初始化所述第一电子装置来执行所述操作;以及
所述第三电子装置包括可信第三方。
24.根据权利要求22所述的计算系统,其中所述第一电子装置经配置以使用公钥基础设施PKI技术来解密所述经加密密钥。
25.根据权利要求24所述的计算系统,其中所述PKI技术包括数据加密标准(DES)、高级加密标准(AES)、国际数据加密算法(IDEA)、迪菲-赫尔曼加密或罗纳德·李斯维特、阿迪·沙米尔与伦纳德·阿德曼(RSA)加密。
26.根据权利要求22所述的计算系统,其中所述第一电子装置经配置以在所述第一电子装置通电时将所述请求传送至所述第二电子装置。
27.根据权利要求22所述的计算系统,其中所述第一电子装置经配置以:
通过以下操作解码所述数据:
确定由所述第二电子装置使用所述共享密钥执行的第一密码散列的第一结果;
使用所述共享密钥对从所述第二电子装置接收的所述数据执行第二密码散列;以及
当所述第二密码散列的第二结果与所述第一密码散列的所述第一结果匹配时,验证所述数据是由所述第二电子装置传送的而未经修改;以及
只有当所述数据经过验证后,基于所述数据执行所述操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/507,526 US9331989B2 (en) | 2014-10-06 | 2014-10-06 | Secure shared key sharing systems and methods |
| US14/507,526 | 2014-10-06 | ||
| CN201580054230.9A CN106797317B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统及方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580054230.9A Division CN106797317B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108809646A CN108809646A (zh) | 2018-11-13 |
| CN108809646B true CN108809646B (zh) | 2020-03-17 |
Family
ID=55633647
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580054230.9A Active CN106797317B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统及方法 |
| CN201810948207.XA Active CN108809646B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580054230.9A Active CN106797317B (zh) | 2014-10-06 | 2015-09-22 | 安全共享密钥共享系统及方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US9331989B2 (zh) |
| EP (1) | EP3205046B1 (zh) |
| JP (1) | JP6221014B1 (zh) |
| KR (1) | KR101830589B1 (zh) |
| CN (2) | CN106797317B (zh) |
| WO (1) | WO2016057209A1 (zh) |
Families Citing this family (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8805844B2 (en) | 2008-08-04 | 2014-08-12 | Liveperson, Inc. | Expert search |
| US10356098B2 (en) * | 2013-02-19 | 2019-07-16 | Barry Gold | Systematic enhancement of contact information |
| US9906511B1 (en) * | 2015-06-29 | 2018-02-27 | Bar-Ilan University | Secure impersonation detection |
| US9832174B2 (en) * | 2015-08-11 | 2017-11-28 | Netapp, Inc. | Authentication for cluster peering |
| CN106470104B (zh) | 2015-08-20 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于生成共享密钥的方法、装置、终端设备及系统 |
| US10432403B2 (en) * | 2015-11-25 | 2019-10-01 | Fenwal, Inc. | Secure communication between infusion pump and server |
| US10262164B2 (en) | 2016-01-15 | 2019-04-16 | Blockchain Asics Llc | Cryptographic ASIC including circuitry-encoded transformation function |
| US11170094B2 (en) * | 2016-01-27 | 2021-11-09 | Secret Double Octopus Ltd. | System and method for securing a communication channel |
| GB2550905A (en) | 2016-05-27 | 2017-12-06 | Airbus Operations Ltd | Secure communications |
| GB2551580A (en) * | 2016-06-24 | 2017-12-27 | Sony Corp | Data communications |
| US10715340B2 (en) | 2016-08-04 | 2020-07-14 | Macronix International Co., Ltd. | Non-volatile memory with security key storage |
| US11258599B2 (en) | 2016-08-04 | 2022-02-22 | Macronix International Co., Ltd. | Stable physically unclonable function |
| US10855477B2 (en) | 2016-08-04 | 2020-12-01 | Macronix International Co., Ltd. | Non-volatile memory with physical unclonable function and random number generator |
| US10911229B2 (en) | 2016-08-04 | 2021-02-02 | Macronix International Co., Ltd. | Unchangeable physical unclonable function in non-volatile memory |
| US10230700B2 (en) * | 2016-08-09 | 2019-03-12 | Lenovo (Singapore) Pte. Ltd. | Transaction based message security |
| US10606864B2 (en) * | 2016-08-16 | 2020-03-31 | Quintessencelabs Pty Ltd. | Fault-tolerant key management system |
| CN107801187B (zh) * | 2016-08-31 | 2021-02-02 | 华为技术有限公司 | 加解密方法、装置及系统 |
| US9722803B1 (en) | 2016-09-12 | 2017-08-01 | InfoSci, LLC | Systems and methods for device authentication |
| US10419226B2 (en) | 2016-09-12 | 2019-09-17 | InfoSci, LLC | Systems and methods for device authentication |
| CN107181589B (zh) * | 2017-04-11 | 2020-09-22 | 北京奇艺世纪科技有限公司 | 一种堡垒机私钥管理方法及装置 |
| US11463439B2 (en) | 2017-04-21 | 2022-10-04 | Qwerx Inc. | Systems and methods for device authentication and protection of communication on a system on chip |
| US10313133B2 (en) | 2017-06-21 | 2019-06-04 | Visa International Service Association | Secure communications providing forward secrecy |
| CN107438005B (zh) * | 2017-06-21 | 2020-01-14 | 深圳奥联信息安全技术有限公司 | Sm9联合数字签名方法和装置 |
| US10819696B2 (en) | 2017-07-13 | 2020-10-27 | Microsoft Technology Licensing, Llc | Key attestation statement generation providing device anonymity |
| WO2019026372A1 (ja) * | 2017-08-04 | 2019-02-07 | ソニー株式会社 | 情報処理装置、情報処理方法およびプログラム |
| DE102017118164A1 (de) * | 2017-08-09 | 2019-02-14 | Infineon Technologies Ag | Kryptographische schaltung und datenverarbeitung |
| US10594666B2 (en) | 2017-12-19 | 2020-03-17 | Micron Technology, Inc. | Secure message including a vehicle private key |
| US10836400B2 (en) | 2017-12-19 | 2020-11-17 | Micron Technology, Inc. | Implementing safety measures in applications |
| US11178133B2 (en) | 2017-12-19 | 2021-11-16 | Micron Technology, Inc. | Secure vehicle control unit update |
| US10850684B2 (en) * | 2017-12-19 | 2020-12-01 | Micron Technology, Inc. | Vehicle secure messages based on a vehicle private key |
| US10933882B2 (en) | 2017-12-27 | 2021-03-02 | Micron Technology, Inc. | Determination of reliability of vehicle control commands using a voting mechanism |
| US10981576B2 (en) | 2017-12-27 | 2021-04-20 | Micron Technology, Inc. | Determination of reliability of vehicle control commands via memory test |
| US10836402B2 (en) | 2017-12-27 | 2020-11-17 | Micron Technology, Inc. | Determination of reliability of vehicle control commands via redundancy |
| US10372943B1 (en) | 2018-03-20 | 2019-08-06 | Blockchain Asics Llc | Cryptographic ASIC with combined transformation and one-way functions |
| US20190327092A1 (en) * | 2018-04-23 | 2019-10-24 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Methods and systems for secure biometric authentication |
| US10256974B1 (en) | 2018-04-25 | 2019-04-09 | Blockchain Asics Llc | Cryptographic ASIC for key hierarchy enforcement |
| US11601402B1 (en) * | 2018-05-03 | 2023-03-07 | Cyber Ip Holdings, Llc | Secure communications to multiple devices and multiple parties using physical and virtual key storage |
| US20200076585A1 (en) * | 2018-09-04 | 2020-03-05 | International Business Machines Corporation | Storage device key management for encrypted host data |
| US11038698B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Securing a path at a selected node |
| US11088829B2 (en) | 2018-09-04 | 2021-08-10 | International Business Machines Corporation | Securing a path at a node |
| US11507175B2 (en) | 2018-11-02 | 2022-11-22 | Micron Technology, Inc. | Data link between volatile memory and non-volatile memory |
| US10901862B2 (en) | 2018-11-13 | 2021-01-26 | Micron Technology, Inc. | High-reliability non-volatile memory using a voting mechanism |
| CN109639682A (zh) * | 2018-12-14 | 2019-04-16 | 深圳市青葡萄科技有限公司 | 文件分享方法 |
| JP7107241B2 (ja) * | 2019-02-12 | 2022-07-27 | コニカミノルタ株式会社 | 鍵共有方法、鍵共有システム、エージェント端末 |
| US11387983B2 (en) * | 2019-03-25 | 2022-07-12 | Micron Technology, Inc. | Secure medical apparatus communication |
| KR20210097379A (ko) * | 2020-01-30 | 2021-08-09 | 삼성전자주식회사 | 보안 장치, 전자 장치, 보안 부트 관리 시스템, 부트 이미지 생성 방법 및 부트 체인 실행 방법 |
| US11184160B2 (en) | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
| US11652616B2 (en) | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
| US11489821B2 (en) * | 2020-02-26 | 2022-11-01 | International Business Machines Corporation | Processing a request to initiate a secure data transfer in a computing environment |
| US11502834B2 (en) | 2020-02-26 | 2022-11-15 | International Business Machines Corporation | Refreshing keys in a computing environment that provides secure data transfer |
| US11546137B2 (en) | 2020-02-26 | 2023-01-03 | International Business Machines Corporation | Generation of a request to initiate a secure data transfer in a computing environment |
| US11770246B2 (en) * | 2020-09-02 | 2023-09-26 | Motorola Solutions, Inc. | Securely transferring key materials between processors in a multi-processor device |
| CN112132576B (zh) * | 2020-09-07 | 2021-08-06 | 易宝支付有限公司 | 基于区块链通信的支付信息处理方法及区块链信息平台 |
| KR20220052016A (ko) | 2020-10-20 | 2022-04-27 | 삼성전자주식회사 | 스토리지 장치에서의 보안 동작을 위한 키 교환 방법 및 이를 이용한 접근 권한 이관 방법 |
| US11380379B2 (en) | 2020-11-02 | 2022-07-05 | Macronix International Co., Ltd. | PUF applications in memories |
| CN112584355A (zh) * | 2020-12-13 | 2021-03-30 | 北京明朝万达科技股份有限公司 | 一种用于车辆间通信的密钥协同方法、系统和介质 |
| US11968296B2 (en) * | 2021-03-09 | 2024-04-23 | Micron Technology, Inc. | Utilization of a memory device for per-user encryption |
| CN113114627B (zh) * | 2021-03-19 | 2023-01-31 | 京东科技信息技术有限公司 | 一种基于密钥交换的安全数据交互方法以及交互系统 |
| KR102573894B1 (ko) | 2021-08-03 | 2023-09-01 | 시큐리티플랫폼 주식회사 | 플래시 메모리를 이용한 펌웨어 업데이트 공유키 관리 방법 및 이를 실행하기 위한 기록매체에 저장된 컴퓨터 프로그램 |
| KR102510167B1 (ko) | 2021-08-03 | 2023-03-15 | 시큐리티플랫폼 주식회사 | 플래시 메모리를 이용한 펌웨어 대용량 업데이트 개선 방법 및 이를 실행하기 위한 기록매체에 저장된 컴퓨터 프로그램 |
| KR20230020239A (ko) | 2021-08-03 | 2023-02-10 | 시큐리티플랫폼 주식회사 | 플래시 메모리를 이용한 펌웨어 업데이트 보안 방법 및 이를 실행하기 위한 기록매체에 저장된 컴퓨터 프로그램 |
| CN114418830A (zh) * | 2022-01-19 | 2022-04-29 | 百度在线网络技术(北京)有限公司 | 安全计算方法、装置、设备以及存储介质 |
| KR102535124B1 (ko) * | 2022-08-04 | 2023-05-26 | (주)이씨스 | 복수의 ble 장치를 하나의 장치로 인식시키는 ble 장치 복제 시스템 및 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101667913A (zh) * | 2009-09-18 | 2010-03-10 | 重庆邮电大学 | 基于对称加密的认证加密方法及加密系统 |
| CN101834725A (zh) * | 2009-03-13 | 2010-09-15 | Sap股份公司 | 对第一用户发送到第二用户的通信进行安全保护 |
| WO2013174554A1 (en) * | 2012-05-21 | 2013-11-28 | Koninklijke Philips N.V. | Key sharing device and system for configuration thereof |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5937063A (en) * | 1996-09-30 | 1999-08-10 | Intel Corporation | Secure boot |
| JP4574994B2 (ja) * | 2004-01-26 | 2010-11-04 | 東芝マイクロエレクトロニクス株式会社 | メモリ外付けマイコン |
| US20070288761A1 (en) * | 2006-06-09 | 2007-12-13 | Dale Jason N | System and method for booting a multiprocessor device based on selection of encryption keys to be provided to processors |
| CN100553193C (zh) * | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
| US8156322B2 (en) | 2007-11-12 | 2012-04-10 | Micron Technology, Inc. | Critical security parameter generation and exchange system and method for smart-card memory modules |
| CN101436930A (zh) | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种密钥分发的方法、系统和设备 |
| CN101222328B (zh) * | 2007-12-14 | 2010-11-03 | 西安西电捷通无线网络通信股份有限公司 | 一种实体双向鉴别方法 |
| US8543799B2 (en) * | 2008-05-02 | 2013-09-24 | Microsoft Corporation | Client authentication during network boot |
| US9559842B2 (en) | 2008-09-30 | 2017-01-31 | Hewlett Packard Enterprise Development Lp | Trusted key management for virtualized platforms |
| US8214630B2 (en) * | 2009-02-24 | 2012-07-03 | General Instrument Corporation | Method and apparatus for controlling enablement of JTAG interface |
| US8745365B2 (en) * | 2009-08-06 | 2014-06-03 | Imation Corp. | Method and system for secure booting a computer by booting a first operating system from a secure peripheral device and launching a second operating system stored a secure area in the secure peripheral device on the first operating system |
| US20120008784A1 (en) | 2010-07-08 | 2012-01-12 | Phillip Martin Hallam-Baker | Delegated Key Exchange System and Method of Operation |
| US20130080768A1 (en) | 2011-09-26 | 2013-03-28 | Erik Lagerway | Systems and methods for secure communications using an open peer protocol |
| CN102427449B (zh) * | 2011-11-04 | 2014-04-09 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
| US8745371B2 (en) * | 2011-12-29 | 2014-06-03 | Unisys Corporation | Unified network architecture having storage devices with secure boot devices |
| US20130173906A1 (en) * | 2011-12-29 | 2013-07-04 | Eric T. Obligacion | Cloning storage devices through secure communications links |
| US20130173903A1 (en) * | 2011-12-29 | 2013-07-04 | Eric T. Obligacion | Unified network architecture having storage devices with secure boot devices |
| US20140164753A1 (en) * | 2012-12-06 | 2014-06-12 | Samsung Electronics Co., Ltd | System on chip for performing secure boot, image forming apparatus using the same, and method thereof |
| WO2014092702A1 (en) | 2012-12-12 | 2014-06-19 | Empire Technology Development Llc | Detecting matched cloud infrastructure connections for secure off-channel secret generation |
| EP2962420B1 (en) | 2013-02-28 | 2018-08-08 | Koninklijke Philips N.V. | Network device configured to derive a shared key |
-
2014
- 2014-10-06 US US14/507,526 patent/US9331989B2/en active Active
-
2015
- 2015-09-22 EP EP15848645.6A patent/EP3205046B1/en active Active
- 2015-09-22 CN CN201580054230.9A patent/CN106797317B/zh active Active
- 2015-09-22 CN CN201810948207.XA patent/CN108809646B/zh active Active
- 2015-09-22 WO PCT/US2015/051436 patent/WO2016057209A1/en active Application Filing
- 2015-09-22 JP JP2017518068A patent/JP6221014B1/ja active Active
- 2015-09-22 KR KR1020177012112A patent/KR101830589B1/ko active IP Right Grant
-
2016
- 2016-04-28 US US15/141,489 patent/US9686248B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834725A (zh) * | 2009-03-13 | 2010-09-15 | Sap股份公司 | 对第一用户发送到第二用户的通信进行安全保护 |
| CN101667913A (zh) * | 2009-09-18 | 2010-03-10 | 重庆邮电大学 | 基于对称加密的认证加密方法及加密系统 |
| WO2013174554A1 (en) * | 2012-05-21 | 2013-11-28 | Koninklijke Philips N.V. | Key sharing device and system for configuration thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017536729A (ja) | 2017-12-07 |
| US9331989B2 (en) | 2016-05-03 |
| KR20170056018A (ko) | 2017-05-22 |
| US20160099922A1 (en) | 2016-04-07 |
| EP3205046B1 (en) | 2019-11-06 |
| CN108809646A (zh) | 2018-11-13 |
| EP3205046A4 (en) | 2018-07-18 |
| KR101830589B1 (ko) | 2018-02-20 |
| CN106797317B (zh) | 2018-09-21 |
| CN106797317A (zh) | 2017-05-31 |
| WO2016057209A1 (en) | 2016-04-14 |
| US9686248B2 (en) | 2017-06-20 |
| JP6221014B1 (ja) | 2017-10-25 |
| EP3205046A1 (en) | 2017-08-16 |
| US20170019380A1 (en) | 2017-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108809646B (zh) | 安全共享密钥共享系统 | |
| CN110378139B (zh) | 一种数据密钥保护方法、系统及电子设备和存储介质 | |
| US10284372B2 (en) | Method and system for secure management of computer applications | |
| CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
| US9674158B2 (en) | User authentication over networks | |
| US8462955B2 (en) | Key protectors based on online keys | |
| CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
| JP5855696B2 (ja) | 完全性検証を含むブロック暗号化方法およびブロック復号化方法 | |
| WO2017041603A1 (zh) | 数据加密方法、装置及移动终端、计算机存储介质 | |
| TWI809292B (zh) | 資料的加解密方法、裝置、存儲介質及加密文件 | |
| JP6927981B2 (ja) | パスコード検証のためのフォワードセキュア型暗号技術を使用した方法、システム、及び装置。 | |
| KR101739203B1 (ko) | 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법 | |
| US20190044922A1 (en) | Symmetric key identity systems and methods | |
| US20210328799A1 (en) | Automated authentication of a new network element | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| CN111949996A (zh) | 安全私钥的生成方法、加密方法、系统、设备及介质 | |
| KR102199464B1 (ko) | 컨소시엄 블록체인 참가 노드 간의 인증 방안 | |
| KR102094606B1 (ko) | 인증 장치 및 방법 | |
| EP3361670B1 (en) | Multi-ttp-based method and device for verifying validity of identity of entity | |
| KR102145679B1 (ko) | Https 프로토콜에서 mitm 공격을 회피하는 방법 | |
| CN110048837B (zh) | 用于复制密码机设备的方法和系统及密码机设备 | |
| JP2013179473A (ja) | アカウント生成管理システム、アカウント生成管理サーバ、アカウント生成管理方法及びアカウント生成管理プログラム | |
| CN116628771A (zh) | 芯片安全启动的方法、系统、存储介质及终端 | |
| CN116188009A (zh) | 一种国密软加密模式秘钥获取方法、系统、终端和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |