CN117313114A - 安全地传递数据的方法和系统 - Google Patents
安全地传递数据的方法和系统 Download PDFInfo
- Publication number
- CN117313114A CN117313114A CN202311078882.9A CN202311078882A CN117313114A CN 117313114 A CN117313114 A CN 117313114A CN 202311078882 A CN202311078882 A CN 202311078882A CN 117313114 A CN117313114 A CN 117313114A
- Authority
- CN
- China
- Prior art keywords
- slave
- master
- encryption lock
- encryption
- keying material
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000012546 transfer Methods 0.000 claims abstract description 98
- 238000013475 authorization Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 6
- 230000001010 compromised effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Communication Control (AREA)
Abstract
本公开涉及一种用于在主加密锁(10)和从加密锁(12)之间安全地传递主密钥资料的方法和系统。每个加密锁(10、12)连接到数据传递系统。从加密锁(12)包含公钥和私钥,并且主加密锁(10)包含要安全地传递到从加密锁(12)的主密钥资料。数据传递系统读取从加密锁的公钥,并且将其发送到主加密锁(10)。主加密锁(10)利用从加密锁的公钥将主密钥资料加密,以产生加密的主密钥资料。加密的主密钥资料经由数据传递系统发送到从加密锁(12),并且从加密锁(12)利用从加密锁的私钥将加密的主密钥资料解密。这允许各自具有以这种方式配置的从加密锁(12a‑12n)的多个用户使用相同的主密钥资料来彼此安全地通信。
Description
本申请是于2018年08月30日提交的PCT/GB2018/052458进入中华人民共和国国家阶段的申请号为201880071086.3、发明名称为“安全地传递数据的方法和系统”的中国发明专利申请的分案申请。
技术领域
本公开涉及用于在主加密锁和从加密锁之间安全地传递主密钥资料的方法和系统、以及用于在用户之间安全地传送数据的方法和系统。
背景技术
通常希望在各个用户之间安全地传递数据。通常,此类数据传递将经由局域网或互联网进行。当数据敏感时,可以在可能不安全的网络上传递数据之前对数据加密。使用互联网在该公司的员工之间传递数据或与客户传递数据的许多企业都使用“公钥密码术”。在公钥密码术中,每个用户具有称为公钥和私钥的一对密码密钥。公钥可以与希望与密钥的所有者进行安全通信的任何人公开共享,而私钥用于将使用该公钥已加密的数据解密。当A希望与B安全地通信时,A使用B的公钥对消息(数据)加密,然后将加密的消息发送到B。然后B使用B的私钥将消息解密。有利地,此方法不需要两个用户A和B在通过不安全的信道通信之前彼此秘密地交换加密密钥。
加密的另一种形式是“对称密钥加密”,其中相同加密密钥用于加密和解密两者。在此类系统中,用户A和B在通过不安全的信道彼此通信之前必须首先安全地交换加密密钥。
对称密钥加密系统与公钥密码术相比具有优点和缺点。通常,对称密钥系统更快地进行编码和解码。在对称密钥系统中,即使有可能数据将被拦截,也可以传递加密的数据。由于没有密钥与数据一起传输,因此数据被解密的机会比公钥系统低。最后,仅具有密钥的接收者可以将数据解密。因此,发送者可以确信仅授权的接收者可以将数据解密。对称密钥加密的主要缺点是需要以安全的方式将初始加密密钥提供到所有用户。
发明内容
根据第一方面,提供了一种在主加密锁(master dongle)和从加密锁(slavedongle)之间安全地传递主密钥资料(master keying material)的方法,其中从加密锁包含公钥和私钥,其中主加密锁包含主密钥资料,并且其中主密钥资料用于允许加密锁的用户安全地访问加密的数据;该方法包括:将主加密锁和从加密锁连接到数据传递系统;经由数据传递系统将从加密锁的公钥传递到主加密锁;在主加密锁处使用从加密锁的公钥将主密钥资料加密,并且因此在主加密锁处产生加密的主密钥资料;经由数据传递系统将加密的主密钥资料传递到从加密锁;在从加密锁处利用从加密锁的私钥将加密的主密钥资料解密;并且在从加密锁处存储主密钥资料;使得加密锁中的任何一个加密锁的用户都可以使用主密钥资料将由相同的加密锁或加密锁的另一个加密锁加密的数据解密。
主密钥资料可以是主加密密钥。
通过这种方法,有利地,从加密锁的私钥和未加密的主密钥资料不跨过数据传递系统传递或被数据传递系统读取。因此,该方法允许安全地产生包含主密钥资料的一个或多个从加密锁,并且因此允许安全地产生共享相同的主密钥资料的一组加密锁。然后,加密锁可以提供基于安全加密锁的对称密钥系统。有利地,数据传递系统在任何时候都无法访问未加密的主密钥资料,并且因此即使数据传递系统受到了破坏(例如,由于窃听者,计算机病毒等),在传递期间主密钥资料也保持秘密。带有这种主密钥资料的加密锁是有用的,因为它允许用户容易地在各种设备之间传递加密锁(例如,从他们的工作桌面到家用计算机),并且保持对加密的数据的安全访问。特别地,(一个或多个)加密锁可以用于访问存储在诸如“云”的可远程访问的存储器中的加密的数据,使得可以从任何位置安全地访问单个安全数据存储。
该方法可以包括:使用与第一方面中阐述的相同的方法将主密钥资料传递到多个从加密锁。因此,可以利用来自单个主加密锁的相同的主密钥资料对多个从加密锁中的每一个安全地编程。这允许各自具有从加密锁的多个用户使用主密钥资料彼此安全地传送数据。此外,可以在从加密锁内执行数据的加密和解密,而将主加密锁保持在安全位置。这可以保持主密钥资料安全,因为它永远不会传递到可能不安全的机器上,也不会通过可能不安全的网络进行传递。
在这种情况下,加密密钥或密钥资料可以是为对数据加扰和解扰(即,将数据加密和解密)而明确创建的随机比特串。加密密钥通常使用旨在确保每个密钥都不可预测且唯一的算法来设计。因此,主密钥资料、从加密锁公钥和/或从加密锁私钥可以是为将数据加密和解密而创建的数据串。(一个或多个)密钥可以具有256字节(2048比特)或更长的长度。
当首次使用主加密锁时,可以例如使用FIPS随机数生成器随机生成主密钥资料。以这种方式,主加密锁的制造商不知道主密钥资料,因为它可能是由具有主加密锁的用户生成的。这确保没有主密钥资料的中央库,该中央库易受到黑客攻击或盗窃。此外,它使用户确信其加密的通信不能被制造商解码。
数据传递系统可以是个人计算机(PC),该计算机可选地连接到多个从加密锁,以快速产生具有相同的主密钥资料的一组从加密锁。可替代地,数据传递系统可以是设计用于安全产生具有主密钥资料的多个从加密锁的专用设备。这种专用设备有利地不连接到互联网,并且可以被配置为仅运行用于在主加密锁和从加密锁之间传递(加密的)数据的必要过程。例如,用于执行该方法的数据处理例程可以被硬编码到专用设备中的计算机芯片中。当传递主密钥资料以防止经由互联网或来自插入专用设备的恶意加密锁的攻击时,这可以提供额外的安全性。在另一个示例中,数据传递系统可以是没有内部程序或处理器的线缆或集线器。在这种情况下,主加密锁和从加密锁可以被配置为使用加密锁中的一个或每个中的数据处理设备来执行该方法。因此,(一个或多个)加密锁可以包括用于执行计算操作的处理器或类似物。
为了进一步增强加密锁的安全性,主加密锁和/或(一个或多个)从加密锁可以包括附加安全性,以识别授权的用户并防止未授权的用户访问。这可以具有以下效果:仅授权的用户可以访问主密钥资料,使得即使未授权的用户获得了加密锁,他们也不能访问加密的数据。这还允许在授权的用户之间安全地传递(一个或多个)加密锁,而不会存在对主密钥资料的未授权访问的风险,例如通过邮寄或快递递送(一个或多个)加密锁。因此,在允许访问加密锁的内容之前,(一个或多个)加密锁可以需要授权的用户的标识。在许可将新数据写入加密锁之前,可以需要增加的一层安全性。在可以将主密钥资料传递到另一个加密锁之前,主加密锁可以需要更高级别的授权。因此,(一个或多个)从加密锁和主加密锁在用于将数据加密和解密时对普通用户可访问,而可以存在更高级别的用户(诸如管理员),该更高级别的用户被许可访问主加密锁以复制主密钥资料和/或访问从加密锁以访问从加密锁公钥并安装新的主密钥资料。
例如,增加的安全性可以包括用户认证系统,诸如PIN输入系统或生物特征传感器。(一个或多个)加密锁因此可以被配置为通过将由用户认证系统获得的数据与存储在加密锁上的与授权的用户有关的数据进行比较来识别授权的用户。在PIN系统的情况下,在访问正确的PIN后,加密锁可以允许以普通级别或管理员级别进行访问。在生物特征系统的情况下,加密锁可以允许访问先前用该加密锁注册的一个或多个用户。加密锁可以被布置为以任何合适的方式来注册用户,并且可以以注册模式被供应到第一用户,从而允许第一用户注册他们自己的生物特征和/或他们自己的PIN,其中第一用户可选地具有管理员级别访问。管理员级别访问可以许可附加用户注册到用户认证系统。
因此,在通过数据传递系统将从加密锁的公钥传递到主加密锁的步骤之前,该方法可以包括以下步骤:经由主加密锁用户认证系统将主加密锁解锁,其中将主加密锁解锁允许主加密锁发送和接收数据;并且在从加密锁未恢复出厂设置的情况下,经由从加密锁用户认证系统将从加密锁解锁,其中将从加密锁解锁允许从加密锁发送和接收数据。加密锁可以在主密钥资料的传递过程期间保持解锁,并且加密锁可以在该过程已经完成之后(诸如在加密锁从数据传递系统断开连接之后)自动锁定。
该方法可以包括:在传递从加密锁的公钥之前,使用预定加扰算法对从加密锁的公钥加扰;并且在传递从加密锁的公钥之后并在对主密钥资料加密之前,在主加密锁处对从加密锁的公钥解扰。在这种情况下,(一个或多个)从加密锁可以包括适当的加扰算法,并且主加密锁可以包括用于对加扰的从加密锁的公钥解扰的指令。这有助于防止以下情况:数据传递系统受到破坏,并且恶意用户已经模仿了从加密锁,但生成了他自己的公钥,该公钥被发送到主加密锁,以用于发现主密钥资料。
在添加了从加密锁公钥的加扰的使用的情况下,仅合法的从加密锁知道加扰算法,并且这可以被硬编码到加密锁上,例如,在首次产生时在工厂进行。数据传递系统(及其上用于执行该方法的任何软件)都没有加扰算法的知识,并且可选地,仅主加密锁包括对从加密锁公钥解扰所需的指令。由于黑客没有加扰算法的知识,这是因为该加密算法不被包含在数据传递系统中,也从未通过数据传递系统传递,并且可以只存在于主加密锁上,可以经由上面讨论的合适的用户认证系统对主加密锁进行保护,因此这提供了进一层的安全性,以防止恶意模仿的从加密锁。在公钥的长度为256字节(2048位)的情况下,为了强行破解加扰算法,攻击者必须尝试256!次来非法入侵加扰算法。
加密锁通常是便携式硬件,其连接到另一个设备,以为该另一个设备提供附加功能。例如,一种已知类型的加密锁是USB存储器加密锁,其允许经由加密锁在设备之间传递数据。另一种类型的加密锁是数据加密加密锁,其用于将存储在加密锁上或存储在外部存储器上的数据加密。此类加密锁由英国iStorage Limited生产,商品名为DatashurRTM。WO2009/136161公开了一种用于在数据穿过加密锁时进行数据的硬件加密的现有技术加密锁。本方法的(一个或多个)从加密锁和/或主加密锁可以被布置为以类似的方式操作。加密锁因此可以是包含诸如闪存的存储器的加密锁。加密锁可以包括用于将加密锁连结到数据传递系统的USB连接。USB是在设备之间传递数据的常用标准。因此,可以经由USB连接到通用计算设备(台式计算机、膝上型计算机、平板电脑、智能手机等)的加密锁将得到广泛使用。
如上所述,可以提供多个从加密锁,每个从加密锁具有相应的公钥和相应的私钥;并且该方法可以包括针对每个从加密锁依次:将从加密锁的公钥传递到主加密锁;在主加密锁处利用从加密锁的公钥将主密钥资料加密;将加密的主密钥资料传递到从加密锁;并且在从加密锁处利用从加密锁的私钥将加密的主密钥资料解密。
这提供了快速产生多个从加密锁的优点,该从加密锁可以分发给多个用户,以用于安全地共享利用主密钥资料加密的信息。
根据另一方面,提供了一种在授权的计算设备之间安全地共享数据的方法,其中第一计算设备连接到第一从加密锁,并且第二计算设备连接到第二从加密锁,第一从加密锁和第二从加密锁已经通过上述方法中的任何一种利用相同的主密钥资料编程,该方法包括:利用存储在第一从加密锁中的主密钥资料,使用第一从加密锁将第一数据加密;可选地通过网络将加密的第一数据传递到第二计算设备;使用第二从加密锁将加密的第一数据解密;以及将未加密的第一数据从第二从加密锁传递到第二计算设备。
根据另一方面,提供了一种用于在主加密锁和从加密锁之间安全地传递主密钥资料的系统,该系统包括:数据传递系统;主加密锁,其包含主处理器和主密钥资料;以及从加密锁,其包含从处理器、从公钥和从私钥;其中数据传递系统具有多个端口,以用于连接到主加密锁和从加密锁;数据传递系统被配置为将从加密锁的公钥传递到主加密锁;主加密锁被配置为利用从加密锁的公钥将主密钥资料加密,以产生加密的主密钥资料,并且将加密的主密钥资料返回到数据传递系统;数据传递系统被配置为将加密的主密钥资料传递到从加密锁;从加密锁被配置为使用从加密锁的私钥将加密的主密钥资料解密,并且在从加密锁处存储主密钥资料,使得加密锁中的任何一个加密锁的用户都可以使用主密钥资料将由相同的加密锁或加密锁中的另一个加密锁加密的数据解密。
主加密锁可以包括主加密锁用户认证系统,从加密锁可以包括从加密锁用户认证系统,并且/或者数据传递系统可以包括数据传递系统用户认证系统,其中加密锁和/或数据传递系统被配置为在允许在加密锁之间传递数据之前需要在相应的用户认证系统处输入授权码。
系统允许以安全方式产生包含主密钥资料的从加密锁。在任何时候无需将未加密的主密钥资料放在数据传递系统上,并且因此,即使数据传递系统受到破坏(例如,由于计算机病毒等),在传递期间主密钥资料也保持秘密。由此类系统产生的多个从加密锁可以被分发给希望彼此安全地通信的多个用户。从加密锁中的每一个已经利用相同的主密钥资料进行安全编程,并且因此,即使在经由可能不安全的网络(例如互联网)进行通信时,用户也可以使用主密钥资料彼此安全地传送数据。
从加密锁可以被配置为在传递从加密锁的公钥之前,使用预定加扰算法对从加密锁的公钥加扰,使得数据传递系统传递加扰的从加密锁的公钥;并且主加密锁可以包含加扰算法并且被配置为在将主密钥资料加密之前对加扰的从加密锁的公钥解扰。
数据传递系统(及其上用于执行该方法的任何软件)没有加扰算法的知识。由于黑客没有加扰算法的知识,这是因为该加扰算法不被包含在数据传递系统中,也从未通过数据传递系统传递,因此这提供了进一层的安全性,以防止恶意仿真的从加密锁。
该系统可以包括多个从加密锁,每个从加密锁具有相应的公钥和私钥;并且数据传递系统包含至少两个端口,其中一个端口用于连接到主加密锁,并且另一个端口用于连接到至少一个加密锁。
该系统可以包括多个从加密锁,每个从加密锁具有各自的公钥和私钥;并且数据传递系统包含至少三个端口,其中一个端口用于连接到主加密锁,并且至少两个其他端口用于连接到多个从加密锁中的至少两个。
根据这种布置的系统可以快速地准备多个从加密锁,而无需用户在接收到主密钥资料之后将每个从加密锁移除并且将新的从加密锁附接到数据传递系统。
根据另一方面,提供了一种用于在用户之间安全地传送数据的系统,该系统包括:联接到第一从加密锁的第一计算设备、联接到第二加密锁的第二计算设备,其中第二加密锁是第二从加密锁或主加密锁,其中主加密锁和从加密锁已经使用上述方法中的任何一种进行配置,或者其中主加密锁和从加密锁已经通过上述系统中的任何一种进行配置,其中,当第一计算设备用于将第一数据发送到第二计算设备时,第一计算设备被配置为将第一数据发送到第一从加密锁,第一从加密锁被配置为使用主密钥资料将第一数据加密,并且第一设备被配置为可选地经由网络将加密的第一数据发送到第二计算设备,并且其中第二计算设备被配置为接收第一加密的数据并且将第一加密的数据发送到第二加密锁,第二加密锁被配置为使用主密钥资料将第一加密的数据解密,并且将解密的第一数据发送到第二计算机设备。
该系统允许用户使用对称密钥加密来彼此安全地通信,该对称密钥加密比公钥加密快。此外,由于本公开提供了一种用于向用户提供主密钥资料的安全方法,因此克服了关于主密钥资料的初始传递的对称密钥加密的已知缺点。
根据另一方面,提供了一种用于在主加密锁和从加密锁之间安全地传递主密钥资料的专用设备,该专用设备包括多个端口,以用于连接到主加密锁和从加密锁;该专用设备被配置为从从加密锁请求公钥并将该公钥传递到主加密锁,并且从主加密锁请求加密的主密钥资料并将加密的主密钥资料传递到从加密锁。
根据该方面的专用设备可以被提供为用于准备从加密锁的独立设备,该独立设备可以具有比配置为执行该方法的用户的PC更高的安全性。
附图说明
现在将仅通过示例的方式并参考附图来更详细地描述本公开的某些实施例,其中:
图1示出了附接到集线器的计算机,在该集线器中插入了主加密锁和若干从加密锁;
图2示出了用于将主密钥资料从主加密锁安全地传递到从加密锁的方法步骤的顺序图;
图3示出了用于接受主加密锁和多个从加密锁的专用设备;并且
图4示出了多个设备的系统,每个设备具有从加密锁,其中用户可以使用公共主密钥资料通过网络彼此安全地通信。
具体实施方式
图1示出了计算机20和插入计算机的集线器30。主加密锁12插入集线器30上的第一端口32a中。一个或多个从加密锁12a-n(总称为12)插入集线器30上的其他端口32b-m中。
集线器30可以是任何标准USB集线器,或者是具有另一种类型的端口(例如,FireWireTM)的集线器。可替代地,可以在不使用集线器30的情况下将主加密锁10和从加密锁12直接连接到计算机20中的端口。
包括计算机20和加密锁10、12的上述系统用于将主密钥资料从主加密锁10安全地传递到(一个或多个)从加密锁12a-n。这允许产生全部共享相同的主密钥资料的多个从加密锁。例如,当在公司或工作组内彼此传递数据时,属于相同公司或工作组的所有从加密锁都可以使用相同的主密钥资料进行加密和解密。
主密钥资料可以是主加密密钥。
计算机20仅仅是用于连接主加密锁10和(一个或多个)从加密锁12a-n的通用数据传递系统的一个示例。然而,应当理解,可以使用其他形式的数据传递系统。
例如,数据传递系统可以是专用设备40,如下面结合图3所述。
可替代地,数据传递系统可以是不具有内部处理器的线缆或集线器,在这种情况下,主加密锁10和从加密锁12中的一者或两者可以包含被配置为执行用于安全地传递主密钥资料的方法步骤的处理器。
当首次使用主加密锁10时,主密钥资料可以由FIPS批准的随机数生成器随机生成,并且该主密钥资料以加密形式存储在主加密锁10中的安全处理器内。
每个从加密锁12a-n具有适用于在公钥密码术中使用的唯一公钥/私钥对。如在公钥密码术中众所周知的那样,公钥可以被公开共享,并且可以被友好的和不友好的其他人看到。私钥被保持秘密,并且可以用于将已经使用公钥加密的数据解密。
计算机20可以运行被设计用于依次将主密钥资料安全地传递到从加密锁12a-n中的每一个的软件。然后可以将这些从加密锁分发给例如公司或工作组中的工人,以用于与他们自己的设备(例如PC、笔记本电脑、平板电脑、电话等)一起使用,以允许这些设备使用主密钥资料彼此安全地通信。
图2示出了顺序图,其示出了可以将主密钥资料从主加密锁10安全地传递到每个从加密锁12a-n的方法。
初始步骤201、202和203各自是可选的并且彼此独立。
在步骤201中,将PIN或其他认证输入到主加密锁10中以将主加密锁10解锁,使得其可以发送和接收数据。
在步骤202中,将PIN或其他认证输入到从加密锁12中以将从加密锁12解锁,使得其可以发送和接收数据。每个从加密锁12a-n可以具有将设备解锁所需的唯一PIN或其他认证。可替代地,为了便于初始设置,多个从加密锁12a-n可以具有相同的PIN或临时一次性PIN。
在步骤203中,将PIN或其他认证输入到数据传递系统中,以允许其在主加密锁10和从加密锁12之间传递数据和/或与主加密锁10和从加密锁12通信。
可选步骤101:数据传递系统可以从从加密锁12请求公钥。该请求可以源自主加密锁10(如图2中的虚线所示)或源自计算机20或专用设备40等。
可选步骤102:从加密锁可以使用预定加扰算法对该从加密锁的公钥加扰(即,使得在步骤103中将加扰的公钥呈现给数据传递系统)。
步骤103:将从加密锁的公钥(可选地已加扰)传递到数据传递系统。
步骤104:将从加密锁的公钥传递到主加密锁10。
可选步骤105:如果在步骤102中对从加密锁的公钥加扰,则已经利用加密算法预编程的主加密锁对公钥解扰。
步骤106:主加密锁10使用(未加扰的)从加密锁的公钥将主密钥资料加密。
步骤107:将加密的主密钥资料从主加密锁10传递到数据传递系统。
步骤108:将加密的主密钥资料传递到从加密锁12。
步骤109:从加密锁使用从加密锁的私钥将主密钥资料解密并存储。
根据图2所示的方法,数据传递系统永远不会看到未加密的主密钥资料。因此,如果数据传递系统受到攻击者的破坏,则攻击者不能轻易发现主密钥资料。
数据传递系统例如可以是主动的,例如请求从加密锁的公钥,或者可以是被动的,并且仅充当由加密锁10、12发送的数据的传输介质。
图3示出了用于将主密钥资料从主加密锁10安全地传递到(一个或多个)从加密锁12a-n的替代系统。在该系统中,提供了专用设备40以用于执行上述方法步骤101-109。即,在该示例中,专用设备40是数据传递系统。
专用设备40包含多个端口42a-m。端口42a中的第一个用于连接到主加密锁10。其余端口42b-m各自用于连接到多个从加密锁12a-n中的一个。
专用设备还包括一组控制键44、显示设备46和控制按钮48。
控制键44可以包括具有数字0至9的数字键盘、锁定按钮、解锁按钮和箭头按钮。专用设备40在将执行方法步骤101-109之前可以可选地需要数字码以将该设备解锁(即步骤203)。锁定按钮可以用于在使用后重新锁定专用设备40,以防止未授权的用户制作他们自己的从加密锁12。
该显示屏幕可以是用于向用户显示诸如“锁定”、“解锁”、“准备传递”等消息的LCD屏幕。
按下复制按钮48可以使专用设备40开始将主密钥资料从插入第一端口42a中的主加密锁10安全地传递到插入(一个或多个)其他端口42b-m中的(一个或多个)从加密锁12a-n。
当多个从加密锁12a-n插入专用设备40中时,专用设备40可以依次对每个从加密锁12执行方法步骤101-109。即,对第一从加密锁12a执行步骤101至109,并且一旦完成,对第二从加密锁12b执行步骤101至109,等等。
类似地,当将多个从加密锁12a-n插入计算机20(或者通常是插入数据传递系统)中时,计算机20可以依次对每个从加密锁12执行方法步骤101-109。即,对第一从加密锁12a执行步骤101至109,并且一旦完成,对第二从加密锁12b执行步骤101至109,等等。
一旦多个从加密锁12a-n具有存储在其上的主密钥资料,就可以将从加密锁12a-n分发给多个用户,例如,员工或工作组的成员,以允许他们彼此安全地交换数据。
图4示出了多个用户可以使用多个不同的设备50a-e经由网络60(例如,经由云)彼此通信的示意图。设备50a-e可以是台式计算机、平板计算机、智能电话、膝上型计算机和/或能够连接到从加密锁12的任何其他常用计算设备中的任何一个。
相应的从加密锁12a-e被插入每个设备50a-e中。已经通过上述方法利用相同的主密钥资料准备了每个从加密锁12a-e。当第一用户52a想要与另一用户52b共享数据时,第一用户52a指示他的设备50a经由网络60将数据发送到另一用户52b。第一用户52a的从加密锁12a使用主密钥资料对数据加密。数据然后经由网络60发送到第二用户52b。第二用户的设备50b接收加密的数据,并将其传到第二从加密锁12b。然后,第二从加密锁12b使用主密钥资料将数据解密,并且将未加密的数据返回到第二用户的设备50b。
在这种布置中,主密钥资料从不被设备50a-e读取或传递到设备50a-e上,网络60也看不到主密钥资料。相反,主密钥资料仅存在于从加密锁12a-e中的每一个中的安全处理器上。因此,如果网络60的安全性受到破坏,则窃听者/黑客将仅能看到加密的数据。
此外,如果设备50a-e中的一个或多个的安全性受到破坏,则窃听者/黑客将仅能在该设备上看到加密和未加密的数据,而不会由此获得对主密钥资料的访问,并且因此将不能够破坏整个网络。
因此,可以在无需预备新的主密钥资料并将新的主密钥资料交付给新的从加密锁12上的每个用户的情况下,对受到破坏的设备进行修复/重新保护(例如,通过运行防病毒程序等)。
在未图示的替代实施例中,主加密锁10或从加密锁12中的一个可以被配置为当两个加密锁10、12经由例如线缆或集线器连接在一起时执行该方法。在这种情况下,线缆是数据传递系统。在该实施例中,需要处理器的所有步骤均由主加密锁10或从加密锁12适当地执行。尽管如此,该方法仍工作,以在主加密锁和从加密锁之间安全地传递主密钥资料,因为该方法不需要由数据传递系统进行处理。这确保窃听者读取线缆上的信号永远不会看到未加密的主密钥资料。
不管权利要求书如何,本发明还涉及以下条款:
1、一种在主加密锁和从加密锁之间安全地传递主密钥资料的方法,
其中所述从加密锁包含公钥和私钥,
其中所述主加密锁包含主密钥资料,并且其中所述主密钥资料用于允许所述加密锁的用户安全地访问加密的数据;
所述方法包括:
将所述主加密锁和所述从加密锁连接到数据传递系统;
经由所述数据传递系统将所述从加密锁的公钥传递到所述主加密锁;
在所述主加密锁处使用所述从加密锁的公钥来将所述主密钥资料加密,并且因此在所述主加密锁处产生加密的主密钥资料;
经由所述数据传递系统将所述加密的主密钥资料传递到所述从加密锁;
在所述从加密锁处利用所述从加密锁的私钥将所述加密的主密钥资料解密;以及
在所述从加密锁处存储所述主密钥资料;
使得所述加密锁中的任何一个加密锁的用户都能够使用所述主密钥资料将由相同的加密锁或所述加密锁中的另一个加密锁加密的数据解密。
2、根据条款1所述的方法,其中所述主密钥资料是在首次使用所述主加密锁时随机生成的,优选地,其中所述主密钥资料是使用FIPS随机数生成器生成的。
3、根据条款1或2所述的方法,其中在通过所述数据传递系统将所述从加密锁的公钥传递到所述主加密锁的步骤之前,所述方法能够包括以下步骤:
经由主加密锁用户认证系统将所述主加密锁解锁,其中将所述主加密锁解锁允许所述主加密锁发送和接收数据;
并且,在所述从加密锁未恢复出厂设置的情况下,经由从加密锁用户认证系统将所述从加密锁解锁,其中将所述从加密锁解锁允许所述从加密锁发送和接收数据。
4、根据任一前述条款所述的方法,包括:
在传递所述从加密锁的公钥之前,使用预定加扰算法对所述从加密锁的公钥加扰,以及
在传递从加密锁的公钥之后并在将所述主密钥资料加密之前,在所述主加密锁处对所述从加密锁的公钥解扰。
5、根据任一前述条款所述的方法,其中所述主加密锁是第一可移除加密锁,并且其中所述从加密锁是第二可移除加密锁。
6、根据任一前述条款所述的方法,其中所述从加密锁的私钥和未加密的主密钥资料不被传递到所述数据传递系统或由所述数据传递系统读取。
7、根据任一前述条款所述的方法,其中提供多个从加密锁,每个从加密锁具有相应的公钥和相应的私钥;并且
其中所述方法包括针对每个从加密锁依次:
将所述从加密锁的公钥传递到所述主加密锁;
在所述主加密锁处利用所述从加密锁的公钥将所述主密钥资料加密;
将加密的主密钥资料传递到所述从加密锁;以及
在所述从加密锁处利用所述从加密锁的私钥将所述加密的主密钥资料解密。
8、一种在授权的计算设备之间安全地共享数据的方法,其中
第一计算设备连接到第一从加密锁,并且第二计算设备连接到第二从加密锁,
所述第一从加密锁和所述第二从加密锁已经通过任一前述条款所述的方法利用相同的主密钥资料编程,
所述方法包括:
使用所述第一从加密锁与存储在所述第一从加密锁中的所述主密钥资料将第一数据加密;
可选地通过网络将加密的第一数据传递到所述第二计算设备;
使用所述第二从加密锁将所述加密的第一数据解密;以及
将未加密的第一数据从所述第二从加密锁传递到所述第二计算设备。
9、一种用于在主加密锁和从加密锁之间安全地传递主密钥资料的系统,所述系统包括:
数据传递系统;
主加密锁,其包含主处理器和主密钥资料;以及
从加密锁,其包含从处理器、从公钥和从私钥;
其中所述数据传递系统具有多个端口,以用于连接到所述主加密锁和所述从加密锁;
所述数据传递系统被配置为将所述从加密锁的公钥传递到所述主加密锁;
所述主加密锁被配置为使用所述从加密锁的公钥将所述主密钥资料加密,以产生加密的主密钥资料;
所述数据传递系统被配置为将所述加密的主密钥资料传递到所述从加密锁;并且
所述从加密锁被配置为使用所述从加密锁的私钥将所述加密的主密钥资料解密,并且在所述从加密锁处存储所述主密钥资料,使得所述加密锁中的任何一个加密锁的用户都能够使用所述主密钥资料将由相同的加密锁或所述加密锁中的另一个加密锁加密的数据解密。
10、根据条款9所述的系统,其中所述主加密锁包括主加密锁用户认证系统,所述从加密锁包括从加密锁用户认证系统,并且/或者所述数据传递系统包括数据传递系统用户认证系统,其中所述加密锁和/或数据传递系统被配置为在允许所述加密锁之间的数据传递之前需要在相应的用户认证系统处输入授权码。
11、根据条款9或10所述的系统,其中所述主加密锁被配置为在首次使用所述主加密锁时生成随机密钥资料,优选地,其中所述主密钥资料是使用FIPS随机数生成器生成的。
12、根据条款9至11中任一项所述的系统,其中所述从加密锁被配置为在传递所述从加密锁的公钥之前,使用预定加扰算法对所述从加密锁的公钥加扰,使得所述数据传递系统传递加扰的从加密锁的公钥;并且
所述主加密锁包含加扰算法并且被配置为在将所述主密钥资料加密之前对所述加扰的从加密锁的公钥解扰。
13、根据条款9至12中任一项所述的系统,其中所述系统包括多个从加密锁,每个从加密锁具有相应的的公钥和私钥;并且
所述数据传递系统包含至少三个端口,其中一个端口用于连接到所述主加密锁,并且至少两个其他端口用于连接到所述多个从加密锁中的至少两个;
其中所述系统被配置为将所述主密钥资料安全地依次传递到每个从加密锁。
14、一种用于在用户之间安全地传送数据的系统,所述系统包括:
第一计算设备,其联接到第一从加密锁,
第二计算设备,其联接到第二加密锁,其中所述第二加密锁是第二从加密锁或主加密锁,
其中所述主加密锁和所述从加密锁已经使用根据条款1至7中任一项所述的方法进行配置,或者其中所述主加密锁和所述从加密锁已经由根据条款9至13中任一项所述的系统进行配置;
其中,当所述第一计算设备用于将第一数据发送到所述第二计算设备时,所述第一计算设备被配置为将所述第一数据发送到所述第一从加密锁,
所述第一从加密锁被配置为使用所述主密钥资料将所述第一数据加密,并且
所述第一设备被配置为可选地经由网络将加密的第一数据发送到所述第二计算设备,并且其中
所述第二计算设备被配置为接收第一加密的数据并且将所述第一加密的数据发送到所述第二加密锁,
所述第二加密锁被配置为使用所述主密钥资料将所述第一加密的数据解密,并且将解密的第一数据发送到所述第二计算机设备。
15、根据条款13中任一项所述的系统,其中每个加密锁被配置为需要用户标识来将所述加密锁解锁以供使用,优选地,其中每个加密锁具有多个按钮,并且所述用户标识是通过以预定顺序按下所述按钮进行输入的代码。
16、根据条款13或14所述的系统,还包括服务器,其中每个加密锁被配置为具有标识,并且被配置为需要来自所述服务器的授权码,以执行加密和解密,并且
其中所述服务器被配置为具有加密锁标识的白名单或黑名单,使得具有所述主密钥资料的未授权的加密锁被排除而不与具有所述主密钥资料的授权的加密锁进行通信。
17、一种用于在主加密锁和从加密锁之间安全地传递主密钥资料的专用设备,
所述专用设备包括多个端口,以用于连接到所述主加密锁和所述从加密锁;
所述专用设备被配置为从所述从加密锁请求公钥并将所述公钥传递到所述主加密锁,并且从所述主加密锁请求加密的主密钥资料并将所述加密的主密钥资料传递到所述从加密锁。
Claims (15)
1.一种在主加密锁和多个从加密锁之间安全地传递主密钥资料的方法,
其中每个所述从加密锁包含相应的公钥和私钥,
其中所述主加密锁包含主密钥资料,并且其中所述主密钥资料用于允许所述加密锁的用户安全地访问加密的数据;
所述方法包括:
将所述主加密锁和所述从加密锁连接到数据传递系统;以及然后针对每个从加密锁依次:
经由所述数据传递系统将所述从加密锁的公钥传递到所述主加密锁;
在所述主加密锁处使用所述从加密锁的公钥来将所述主密钥资料加密,并且因此在所述主加密锁处产生加密的主密钥资料;
经由所述数据传递系统将所述加密的主密钥资料传递到所述从加密锁;
在所述从加密锁处利用所述从加密锁的私钥将所述加密的主密钥资料解密;以及
在所述从加密锁处存储所述主密钥资料;
使得所述加密锁中的任何一个加密锁的用户都能够使用所述主密钥资料将由相同的加密锁或所述加密锁中的另一个加密锁加密的数据解密。
2.根据权利要求1所述的方法,其中所述主密钥资料是在首次使用所述主加密锁时随机生成的,优选地,其中所述主密钥资料是使用FIPS随机数生成器生成的。
3.根据权利要求1或2所述的方法,其中在通过所述数据传递系统将每个所述从加密锁的公钥传递到所述主加密锁的步骤之前,所述方法能够包括以下步骤:
经由主加密锁用户认证系统将所述主加密锁解锁,其中将所述主加密锁解锁允许所述主加密锁发送和接收数据;
并且,在给定的从加密锁未恢复出厂设置的情况下,经由从加密锁用户认证系统将所述从加密锁解锁,其中将所述从加密锁解锁允许所述从加密锁发送和接收数据。
4.根据权利要求1或2所述的方法,包括:针对每个从加密锁,
在传递所述从加密锁的公钥之前,使用预定加扰算法对所述从加密锁的公钥加扰,以及
在传递从加密锁的公钥之后并在将所述主密钥资料加密之前,在所述主加密锁处对所述从加密锁的公钥解扰。
5.根据权利要求1或2所述的方法,其中所述主加密锁是第一可移除加密锁,并且其中所述从加密锁是第二可移除加密锁。
6.根据权利要求1或2所述的方法,其中每个所述从加密锁的私钥和未加密的主密钥资料不被传递到所述数据传递系统或由所述数据传递系统读取。
7.一种在授权的计算设备之间安全地共享数据的方法,其中
第一计算设备连接到第一从加密锁,并且第二计算设备连接到第二从加密锁,
所述第一从加密锁和所述第二从加密锁已经通过任一前述权利要求所述的方法利用相同的主密钥资料编程,
所述方法包括:
使用所述第一从加密锁与存储在所述第一从加密锁中的所述主密钥资料将第一数据加密;
可选地通过网络将加密的第一数据传递到所述第二计算设备;
使用所述第二从加密锁将所述加密的第一数据解密;以及
将未加密的第一数据从所述第二从加密锁传递到所述第二计算设备。
8.一种用于在主加密锁和多个从加密锁之间安全地传递主密钥资料的系统,所述系统包括:
数据传递系统;
主加密锁,其包含主处理器和主密钥资料;以及
多个从加密锁,每个所述从加密锁包含从处理器、从公钥和从私钥;
其中所述数据传递系统具有至少三个端口,其中一个端口用于连接到所述主加密锁,并且至少两个其他端口用于连接到所述多个从加密锁中的至少两个;
所述数据传递系统被配置为针对每个从加密锁依次将所述从加密锁的公钥传递到所述主加密锁;
所述主加密锁被配置为使用所述从加密锁的公钥将所述主密钥资料加密,以产生加密的主密钥资料;
所述数据传递系统被配置为将所述加密的主密钥资料传递到所述从加密锁;并且
所述从加密锁被配置为使用所述从加密锁的私钥将所述加密的主密钥资料解密,并且在所述从加密锁处存储所述主密钥资料,使得所述加密锁中的任何一个加密锁的用户都能够使用所述主密钥资料将由相同的加密锁或所述加密锁中的另一个加密锁加密的数据解密。
9.根据权利要求8所述的系统,其中所述主加密锁包括主加密锁用户认证系统,每个所述从加密锁包括从加密锁用户认证系统,并且/或者所述数据传递系统包括数据传递系统用户认证系统,其中所述加密锁和/或数据传递系统被配置为在允许所述加密锁之间的数据传递之前需要在相应的用户认证系统处输入授权码。
10.根据权利要求8或9所述的系统,其中所述主加密锁被配置为在首次使用所述主加密锁时生成随机密钥资料,优选地,其中所述主密钥资料是使用FIPS随机数生成器生成的。
11.根据权利要求8或9所述的系统,其中每个所述从加密锁被配置为:在传递其从加密锁公钥之前,使用预定加扰算法对其从加密锁公钥加扰,使得所述数据传递系统传递加扰的从加密锁的公钥;并且
所述主加密锁包含加扰算法并且被配置为在将所述主密钥资料加密之前对所述加扰的从加密锁的公钥解扰。
12.一种用于在用户之间安全地传送数据的系统,所述系统包括:
第一计算设备,其联接到第一从加密锁,
第二计算设备,其联接到第二加密锁,其中所述第二加密锁是第二从加密锁或主加密锁,
其中所述主加密锁和所述从加密锁已经使用根据权利要求1至6中任一项所述的方法进行配置,或者其中所述主加密锁和所述从加密锁已经由根据权利要求8至11中任一项所述的系统进行配置;
其中,当所述第一计算设备用于将第一数据发送到所述第二计算设备时,所述第一计算设备被配置为将所述第一数据发送到所述第一从加密锁,
所述第一从加密锁被配置为使用所述主密钥资料将所述第一数据加密,并且
所述第一设备被配置为可选地经由网络将加密的第一数据发送到所述第二计算设备,并且其中
所述第二计算设备被配置为接收第一加密的数据并且将所述第一加密的数据发送到所述第二加密锁,
所述第二加密锁被配置为使用所述主密钥资料将所述第一加密的数据解密,并且将解密的第一数据发送到所述第二计算机设备。
13.根据权利要求8所述的系统,其中每个加密锁被配置为需要用户标识来将所述加密锁解锁以供使用,优选地,其中每个加密锁具有多个按钮,并且所述用户标识是通过以预定顺序按下所述按钮进行输入的代码。
14.根据权利要求8或12所述的系统,还包括服务器,其中每个加密锁被配置为具有标识,并且被配置为需要来自所述服务器的授权码,以执行加密和解密,并且
其中所述服务器被配置为具有加密锁标识的白名单或黑名单,使得具有所述主密钥资料的未授权的加密锁被排除而不与具有所述主密钥资料的授权的加密锁进行通信。
15.一种用于使用如权利要求1至6任一项所述的方法在主加密锁和多个从加密锁之间安全地传递主密钥资料的专用设备,
所述专用设备包括多个端口,以用于连接到所述主加密锁和所述从加密锁;
所述专用设备被配置为:
针对每个从加密锁依次:从所述从加密锁请求公钥并将所述公钥传递到所述主加密锁,并且从所述主加密锁请求加密的主密钥资料并将所述加密的主密钥资料传递到所述从加密锁。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1714256.3A GB2566107B (en) | 2017-09-05 | 2017-09-05 | Methods and systems of securely transferring data |
| GB1714256.3 | 2017-09-05 | ||
| PCT/GB2018/052458 WO2019048829A1 (en) | 2017-09-05 | 2018-08-30 | METHODS AND SYSTEMS FOR SECURE DATA TRANSFER |
| CN201880071086.3A CN111295654B (zh) | 2017-09-05 | 2018-08-30 | 安全地传递数据的方法和系统 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880071086.3A Division CN111295654B (zh) | 2017-09-05 | 2018-08-30 | 安全地传递数据的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117313114A true CN117313114A (zh) | 2023-12-29 |
Family
ID=60050672
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880071086.3A Active CN111295654B (zh) | 2017-09-05 | 2018-08-30 | 安全地传递数据的方法和系统 |
| CN202311078882.9A Pending CN117313114A (zh) | 2017-09-05 | 2018-08-30 | 安全地传递数据的方法和系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880071086.3A Active CN111295654B (zh) | 2017-09-05 | 2018-08-30 | 安全地传递数据的方法和系统 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US11074332B2 (zh) |
| EP (2) | EP3916595A1 (zh) |
| JP (1) | JP7160605B2 (zh) |
| KR (1) | KR102510785B1 (zh) |
| CN (2) | CN111295654B (zh) |
| AU (2) | AU2018330723B2 (zh) |
| CA (1) | CA3074801A1 (zh) |
| ES (1) | ES2880693T3 (zh) |
| GB (1) | GB2566107B (zh) |
| SG (1) | SG11202001718TA (zh) |
| WO (1) | WO2019048829A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2566107B (en) | 2017-09-05 | 2019-11-27 | Istorage Ltd | Methods and systems of securely transferring data |
| GB2574433B (en) * | 2018-06-06 | 2022-11-02 | Istorage Ltd | Dongle for ciphering data |
| GB2578767B (en) | 2018-11-07 | 2023-01-18 | Istorage Ltd | Methods and systems of securely transferring data |
| JP7170588B2 (ja) * | 2019-05-31 | 2022-11-14 | ルネサスエレクトロニクス株式会社 | データ処理方法及びデータ処理システム |
| WO2022159757A1 (en) | 2021-01-25 | 2022-07-28 | Computero Inc. | Data backup device |
| CN113051101B (zh) * | 2021-04-26 | 2021-12-14 | 广州市新矽亚电子科技有限公司 | 一种共总线多从机的通信系统及方法 |
| GB2609390B (en) | 2021-06-24 | 2023-09-06 | Istorage Ltd | Portable encryption device with multiple keys |
Family Cites Families (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000004431A (ja) * | 1998-06-16 | 2000-01-07 | Toshiba Corp | 有料放送受信方法および装置 |
| JP3389909B2 (ja) * | 2000-01-17 | 2003-03-24 | 日本電気株式会社 | 無線通信システム |
| JP3552648B2 (ja) * | 2000-06-20 | 2004-08-11 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法 |
| US20030133576A1 (en) * | 2000-10-18 | 2003-07-17 | Frederic Grumiaux | Generation of a common encryption key |
| US20030070078A1 (en) * | 2001-10-08 | 2003-04-10 | Nosrati David F. | Method and apparatus for adding security to online transactions using ordinary credit cards |
| US8335915B2 (en) * | 2002-05-14 | 2012-12-18 | Netapp, Inc. | Encryption based security system for network storage |
| US20030233573A1 (en) * | 2002-06-18 | 2003-12-18 | Phinney Thomas L. | System and method for securing network communications |
| WO2004036467A1 (en) * | 2002-10-17 | 2004-04-29 | Vodafone Group Plc. | Facilitating and authenticating transactions |
| KR101254209B1 (ko) | 2004-03-22 | 2013-04-23 | 삼성전자주식회사 | 디바이스와 휴대용 저장장치간에 권리 객체를 이동,복사하는 방법 및 장치 |
| US7409550B2 (en) * | 2004-08-16 | 2008-08-05 | Mitsubishi Electric Research Laboratories, Inc. | Method for binding networked devices |
| AT501428A1 (de) * | 2005-02-01 | 2006-08-15 | Kapsch Trafficcom Ag | Verfahren zur authentifizierung eines datensendenden endgerätes |
| US8167722B2 (en) * | 2005-05-11 | 2012-05-01 | Qualcomm Atheros, Inc | Distributed processing system and method |
| EP1908215A1 (fr) * | 2005-07-26 | 2008-04-09 | France Télécom | Procédé de contrôle de transactions sécurisées mettant en oeuvre un dispositif physique unique à bi-clés multiples, dispositif physique, système et programme d'ordinateur correspondants |
| US7694134B2 (en) | 2005-11-11 | 2010-04-06 | Computer Associates Think, Inc. | System and method for encrypting data without regard to application |
| CN101102180B (zh) * | 2006-07-03 | 2010-08-25 | 联想(北京)有限公司 | 基于硬件安全单元的系统间绑定及平台完整性验证方法 |
| EP2122900A4 (en) | 2007-01-22 | 2014-07-23 | Spyrus Inc | PORTABLE DATA ENCRYPTION DEVICE WITH CONFIGURABLE SAFETY FUNCTIONS AND METHOD FOR FILING ENCRYPTION |
| US20080184341A1 (en) | 2007-01-29 | 2008-07-31 | David Jaroslav Sebesta | Master-Slave Protocol for Security Devices |
| US8156322B2 (en) | 2007-11-12 | 2012-04-10 | Micron Technology, Inc. | Critical security parameter generation and exchange system and method for smart-card memory modules |
| GB0808341D0 (en) | 2008-05-08 | 2008-06-18 | Michael John P | External storage security and encryption device |
| US8423779B2 (en) * | 2009-02-23 | 2013-04-16 | Wms Gaming, Inc. | Compounding security with a security dongle |
| US8509449B2 (en) * | 2009-07-24 | 2013-08-13 | Microsoft Corporation | Key protector for a storage volume using multiple keys |
| US20110113235A1 (en) * | 2009-08-27 | 2011-05-12 | Craig Erickson | PC Security Lock Device Using Permanent ID and Hidden Keys |
| CN101841353B (zh) * | 2010-03-08 | 2014-02-19 | 华为终端有限公司 | 一种通过加密狗进行数据加密的方法及设备 |
| JP5552918B2 (ja) * | 2010-06-24 | 2014-07-16 | ソニー株式会社 | 接続設定方法、カメラシステム及び記憶媒体 |
| GB2473154B (en) | 2010-11-16 | 2011-06-15 | Martin Tomlinson | Public key encryption system using error correcting codes |
| US9209980B2 (en) | 2011-06-21 | 2015-12-08 | Blackberry Limited | Provisioning a shared secret to a portable electronic device and to a service entity |
| US8677127B2 (en) * | 2011-12-08 | 2014-03-18 | Lantiq Deutschland Gmbh | Method and apparatus for secure setup of an encrypted connection between two communication devices |
| US9356777B2 (en) * | 2012-01-23 | 2016-05-31 | Q-Up Technologies Llc | Secure communications system for direct transfer between mobile device |
| DE102012101876A1 (de) * | 2012-03-06 | 2013-09-12 | Wincor Nixdorf International Gmbh | PC Absicherung durch BIOS/(U) EFI Erweiterungen |
| US10599830B2 (en) * | 2012-08-08 | 2020-03-24 | Northend Systems Bv | System and method for controlled decentralized authorization and access for electronic records |
| GB201221433D0 (en) * | 2012-11-28 | 2013-01-09 | Hoverkey Ltd | A method and system of providing authentication of user access to a computer resource on a mobile device |
| JP5585699B2 (ja) * | 2013-07-08 | 2014-09-10 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム |
| CN105900375B (zh) | 2014-01-13 | 2020-02-07 | 维萨国际服务协会 | 用于在认证交易中保护身份的设备、系统和方法 |
| US20150200918A1 (en) | 2014-01-16 | 2015-07-16 | Muzhar Khokhar | Multi Layered Secure Data Storage and Transfer Process |
| EP2937806A1 (en) | 2014-04-22 | 2015-10-28 | ALSTOM Renewable Technologies | Method and system for securing electronic data exchange between an industrial programmable device and a portable programmable device |
| JP6168415B2 (ja) | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
| US10764054B2 (en) * | 2015-11-13 | 2020-09-01 | Badge Inc. | Public/private key biometric authentication system |
| CN106897640B (zh) * | 2015-12-18 | 2024-02-02 | 深圳市振华微电子有限公司 | 管用分离的计算机加密锁 |
| US9720700B1 (en) | 2016-10-05 | 2017-08-01 | Apricorn | Secure storage devices, with physical input device, for secure configuration in a configuration-ready mode |
| CN106682459B (zh) * | 2017-02-28 | 2023-04-14 | 北京深盾科技股份有限公司 | 生产信息安全装置的方法、生产设备以及系统 |
| CN107026730B (zh) * | 2017-04-01 | 2021-01-05 | 北京深思数盾科技股份有限公司 | 数据处理方法、装置及系统 |
| GB2566107B (en) | 2017-09-05 | 2019-11-27 | Istorage Ltd | Methods and systems of securely transferring data |
| GB2578767B (en) | 2018-11-07 | 2023-01-18 | Istorage Ltd | Methods and systems of securely transferring data |
-
2017
- 2017-09-05 GB GB1714256.3A patent/GB2566107B/en active Active
-
2018
- 2018-08-30 ES ES18766006T patent/ES2880693T3/es active Active
- 2018-08-30 CA CA3074801A patent/CA3074801A1/en active Pending
- 2018-08-30 KR KR1020207009743A patent/KR102510785B1/ko active IP Right Grant
- 2018-08-30 EP EP21180784.7A patent/EP3916595A1/en active Pending
- 2018-08-30 AU AU2018330723A patent/AU2018330723B2/en active Active
- 2018-08-30 CN CN201880071086.3A patent/CN111295654B/zh active Active
- 2018-08-30 SG SG11202001718TA patent/SG11202001718TA/en unknown
- 2018-08-30 CN CN202311078882.9A patent/CN117313114A/zh active Pending
- 2018-08-30 WO PCT/GB2018/052458 patent/WO2019048829A1/en unknown
- 2018-08-30 EP EP18766006.3A patent/EP3679502B1/en active Active
- 2018-09-03 JP JP2018164453A patent/JP7160605B2/ja active Active
- 2018-09-04 US US16/120,721 patent/US11074332B2/en active Active
-
2023
- 2023-02-16 AU AU2023200899A patent/AU2023200899B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| AU2023200899A1 (en) | 2023-03-16 |
| GB201714256D0 (en) | 2017-10-18 |
| CN111295654B (zh) | 2023-07-18 |
| JP7160605B2 (ja) | 2022-10-25 |
| ES2880693T3 (es) | 2021-11-25 |
| SG11202001718TA (en) | 2020-03-30 |
| AU2018330723A1 (en) | 2020-03-26 |
| KR20200051711A (ko) | 2020-05-13 |
| US11074332B2 (en) | 2021-07-27 |
| AU2023200899B2 (en) | 2023-11-09 |
| AU2018330723B2 (en) | 2023-01-19 |
| GB2566107A (en) | 2019-03-06 |
| JP2019068413A (ja) | 2019-04-25 |
| EP3679502B1 (en) | 2021-06-23 |
| EP3916595A1 (en) | 2021-12-01 |
| KR102510785B1 (ko) | 2023-03-15 |
| US20190095604A1 (en) | 2019-03-28 |
| EP3679502A1 (en) | 2020-07-15 |
| GB2566107B (en) | 2019-11-27 |
| WO2019048829A1 (en) | 2019-03-14 |
| CN111295654A (zh) | 2020-06-16 |
| CA3074801A1 (en) | 2019-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111295654B (zh) | 安全地传递数据的方法和系统 | |
| US8635456B2 (en) | Remote secure authorization | |
| US8411867B2 (en) | Scalable and secure key management for cryptographic data processing | |
| US11233653B2 (en) | Dongle for ciphering data | |
| US11677546B2 (en) | Methods and systems of securely transferring data | |
| US10263782B2 (en) | Soft-token authentication system | |
| WO2021144677A1 (en) | Sharing encrypted items with participants verification | |
| EP3955142B1 (en) | Method and system for authentication of a computing device | |
| GB2579884A (en) | Methods and systems of securely transferring data | |
| US10979226B1 (en) | Soft-token authentication system with token blocking after entering the wrong PIN | |
| JP2022522555A (ja) | セミトラステッドな中継者を使用したセキュアなメッセージ受け渡し | |
| CN115865541A (zh) | 一种群发文件的处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |