DE69628780T3

DE69628780T3 - Verfahren zur Erzeugung von sicheren Kästen in einem Schlüsselverwaltungssystem

Info

Publication number: DE69628780T3
Application number: DE69628780T
Authority: DE
Inventors: Walter J. Baker; Robert A. Cordery; Frank M. D'ippolito; Gary M. Heiden; Kathryn V. Lawton; Steven J. Pauly
Original assignee: Pitney Bowes Inc
Current assignee: Pitney Bowes Inc
Priority date: 1995-03-31
Filing date: 1996-04-01
Publication date: 2011-02-10
Anticipated expiration: 2016-04-02
Also published as: DE69628780T2; EP0735719A2; CA2173018C; DE69628780D1; EP0735719A3; EP0735719B1; EP0735719B2; CA2173018A1; US5742682A; JPH09191308A

Description

Die vorliegende Erfindung betrifft im allgemeinen ein System zum kryptographischen Schlüsselmanagement und insbesondere ein System zum Schlüsselmanagement kryptographischer Schlüssel, die für Frankierzähler ausgegeben werden.
In der vorliegenden Spezifikation bedeutet der Ausdruck ”logische Sicherheitsdomäne” eine Domäne, die einen vollen Satz von Schlüsselgenerierung, Schlüsselverteilung, Schlüsselinstallation und Berechtigungsverifikationsdiensten bereitstellt.
US-A-4 935 961 beschreibt ein Verfahren zum Generieren von Verschlüsselungsschlüsseln für eine Meldungsfolge, die Schritte umfassend (a) Bestimmen einer Folge von N-unterschiedlichen Verschlüsselungsschlüsseln; (b) Zuordnen eines Wertes einer Folgen-Variablen T_i zu jeder Meldung; und (c) Auswählen eines der N Verschlüsselungsschlüssel als eine Funktion der Variablen T_i für jede der Meldungen und Verschlüsseln mindestens eines Teils jeder der Meldungen in Übereinstimmung mit einem Verschlüsselungsschlüssel, der auf eine vorbestimmte Weise von dem entsprechenden der ausgewählten Schlüssel hergeleitet worden ist; und wobei (d) der Schritt des Auswählens eines der Verschlüsselungsschlüssel Ergebnisse liefert identisch zu den Schritten von: (d1) Speichern eines festen Haupt- bzw. Masterkeys K₀ mit C Elementen; (d2) Speichern einer Permutationstabelle, wobei die Tabelle C Spalten und N Zeilen hat, die Spalten der Tabelle nacheinander den Elementpositionen des Schlüssels K₀ entsprechen, die Elemente der Tabelle aus Zahlen von 1 bis C bestehen; und (d3) Auswählen einer Zeile N_i der Tabelle in Übereinstimmung mit der Variablen T_i und (d4) Chiffrieren des Schlüssels K₀ zum Herleiten eines Verschlüsselungsschlüssels K₁ mit C Elementen durch Einstellen des j-ten Elementes von K₁ gleich dem y-ten Element von K₀ für jedes Element von K₁, wobei y die Zahl bei Spalte j, Zeile N_i der Permutationstabelle ist, wobei j eine Integrationsvariable ist im Bereich von 1 bis C. US-A-4,935,961 beschreibt jedoch nicht ein Schlüsselmanagementsystem (KMS), das eine Vielzahl von funktionell eigenständigen Sicherheitsboxen einschließt oder ein KMS, das logische Sicherheitsdomänen einschließt. Folglich offenbart US-A-4,935,961 weder das Authentifizieren einer Zielbox zu einer Herstellungsbox oder das Betreiben einer logischen Sicherheitsdomäne in der Ziel-Box, noch legt sie dies nahe.
Digitale Drucktechnologie hat Postversender in die Lage versetzt, digital, d. h. Bit-Map-adressierbar auf bequeme Weise zu drucken. Es hat sich als wünschenswert herausgestellt, solche Techniken zum Zwecke des Belegens der Bezahlung von Porto zu verwenden. Technologische Vorteile bei der Digitaldrucktechnologie haben es ermöglicht, Porto-Indizia, die für jedes Poststück einzigartig sind, zu drucken. Ein Computer-betriebener Drucker kann beispielsweise ein Portoindizium an einem gewünschten Ort auf der Vorderseite eines Poststückes aufdrucken. Das Indizium ist einzigartig, weil es das Poststück direkt betreffende Information einschließt, beispielsweise Portowert, Datum, Stückzählung und/oder Ursprungspostcode.
Aus der Sicht eines Postamtes wird geschätzt werden, dass die Digitaldruck- und Scan-Technologie es recht leicht ermöglicht, Postwert-tragende Indizia zu fälschen, da irgendwelche geeigneten Computer und Drucker verwendet werden können zum Generieren mehrere Kopien eines Bildes.
Um ein Poststück zu validieren, das heißt, zum Sicherstellen, dass die Buchung für einen auf dem Poststück aufgedruckten Portobetrag korrekt vorgenommen worden ist, ist es bekannt dass man als Teil der Frankierung eine verschlüsselte Zahl einschließt, beispielsweise derart, dass der Wert der Frankierung bestimmt werden wird aus der Verschlüsselung, um zu lernen, ob der Wert, wie er auf dem Poststück aufgedruckt ist, korrekt ist. Siehe beispielsweise U.S.-Patent Nrn. 4,757,537 und 4,775,246 von Edelman et al. sowie U.S.-Patent Nr. 4,649,266 von Eckert. Es ist auch bekannt, ein Poststück durch Einschließen der Adresse als weiteren Teil der Verschlüsselung zu authentisieren, wie in U.S.-Patent Nr. 4,725,718 für Sansone et al. und U.S.-Patent Nr. 4,743,747 für Fougere et al. beschrieben.
Das U.S.-Patent Nr. 5,170,044 für Pastor beschreibt ein Verfahren und eine Anordnung für das Wiedergeben binärer Daten in Form eines Indiziums, das ein binäres Array von Bildpunkten umfasst. Die tatsächlichen Bildpunkt-Arrays werden gescannt, um den Bereitsteller des Poststückes zu identifizieren und andere verschlüsselte Klartextinformation zu gewinnen. U.S.-Patent Nr. 5,142,577 für Pastor beschreibt verschiedene Alternativen zu der DES-Codierung zum Verschlüsseln einer Meldung und zum Vergleichen der entschlüsselten Portoinformation mit der Klartextinformation auf dem Portostück.
U.S.-Patent Nr. 5,390,251 für Pastor et al. beschreibt ein System zum Steuern der Validierung des Druckens von Indizia auf Poststücke von einer potentiell großen Zahl von Benutzern von Frankiergeräten einschließlich einer Anordnung, die in jedem Gerät angeordnet ist zum Generieren eines Codes und zum Drucken des Codes auf das Poststück. Der Code ist ein verschlüsselter Code und repräsentiert das die Indizia druckende Gerät und andere Information, die einzigartig bestimmend ist bezüglich der Legitimation von Porto auf dem Poststück.
Ein Digital-Frankierer stellt einen Beleg der Bezahlung des Portos durch Signieren der Portoinformation auf dem Umschlag bereit mit zwei ”Digital-Token” bzw. ”Digital-Berechtigungen”. Eine Digital-Berechtigung stellt einen Beleg bereit bezüglich des Portodienstes und die zweite Digital-Berechtigung belegt den Verkäufer wie zum Beispiel den Anmelder der vorliegenden Erfindung. Eine Digital-Berechtigung ist eine Trunkierung des Ergebnisses der verschlüsselnden Indizia-Information einschließlich beispielsweise Portowert, Stückzählung, Datum der Aufgabe und Ursprungspostamt.
Eine neue Klasse von Digital-Frankieren ist entwickelt worden, die kryptographische Vorrichtungen zum Produzieren von Belegen der Portobezahlung verwenden. Die Verschlüsselung wird durchgeführt unter Verwendung eines kryptographischen Schlüssels. In jedem digitalen Frankierer werden unabhängige Schlüssel verwendet zum Generieren der digitalen Berechtigung. Aus Sicherheitsgründen sind die Schlüssel unterschiedlicher Frankierer auch unabhängig. Information über den Frankierer und das Poststück wird kombiniert und verschlüsselt mit dem Verkäufer- und Posthauptschlüssel oder Schlüsseln, die daraus hergeleitet sind. Abschnitte der resultierenden Information werden auf das Poststück aufgedrückt als digitale Berechtigungen. Die Information und die Berechtigungen können verifiziert werden durch eine Einrichtung, die die Information auf dieselbe Weise verarbeitet und die sich ergebenden digitalen Berechtigungen mit denen vergleicht, die auf dem Poststück aufgedruckt sind.
Ein Schlüssel-Managementsystem wird zum Verteilen von kryptographischen Schlüsseln an digitale Frankierer in einer sicheren und zuverlässigen Weise benötigt. Das Schlüssel-Managementsystem muss eine Vorrichtung einschließen zum Verifizieren von Indizia und digitalen Berechtigungen zum Erfassen der betrügerischen Generierung von Indizia und duplizierten Indizia.
Es ist erwünscht, dass das Schlüssel-Managementsystem die Fähigkeit hat, Frankierer herzustellen, ohne das Zuordnen von Frankierern zu einem bestimmten Land, d. h. das Herstellen generischer Frankierer, die bevorratet werden könnten. Jedoch ergibt sich beim Herstellen generischer Frankierer ein Problem, das entweder den Bedarf des Installierens von Schlüsseln im Feld unterbreitet oder den Bedarf des Übersetzens von Schlüsseln zwischen Domänen. Jede Alternative stellt eine signifikante Sicherheits- und Schlüsselintegritätsgefährdung dar. Es ist erwünscht, dass ein Schlüssel-Managementsystem eine Vorrichtung einschließt, die solche Probleme vermeidet.
RESÜMEE DER ERFINDUNG
Die vorliegende Erfindung stellt ein Verfahren des Herstellens einer Sicherheitsbox in einem Schlüssel-Managementsystem bereit, das eine Vielzahl von funktionell ausgeprägten Sicherheitsboxen einschließt, welches Verfahren eine erste Herstellungsbox initialisiert, wenn eine solche nicht existiert. Das Verfahren kreiert in einer Herstellungsbox mindestens eine logische Sicherheitsdomäne, welche durch einzigartige Domänen-Authentifikation und Vertraulichkeitsschlüssel durchgesetzt wird, einschließlich Verschlüsselungsschlüsseln, die zum Durchführen von Schlüssel-Managementsystemprozessen innerhalb der Domäne benötigt werden und stellt eine Ziel-Sicherheitsbox bereit mit der Fähigkeit, mindestens eine Schlüssel-Managementsystemfunktion aus einer Vielzahl von durch das Schlüssel-Managementsystem benötigten Funktionen auszuführen. Das Verfahren authentifiziert die Ziel-Sicherheitsbox zu der Herstellungsbox, installiert eine einzigartige Sicherheitsboxidentifikation in der Ziel-Sicherheitsbox und kreiert mindestens eine logischer Sicherheitsdomäne in der Ziel-Sicherheitsbox entsprechend einer logischen Sicherheitsdomäne in der Herstellungsbox. Das Verfahren sendet einen Befehl von einem Schlüssel-Managementsystemcomputer zum Initialisieren der Ziel-Sicherheitsbox zum Ausführen eines Domänen-Prozesses für mindestens eine der Schlüssel-Managementsystemfunktionen, die innerhalb der Ziel-Sicherheitsbox bereitgestellt sind und initialisiert die Ziel-Sicherheitsbox in jedem Sicherheitsdomänen-Prozess, der in dem Befehl von dem Schlüssel-Managementsystemcomputer angezeigt wird. Das Verfahren installiert in der Ziel-Sicherheitsbox die Verschlüsselungsschlüssel, die benötigt werden, einen Schlüsselgenerierungsprozess innerhalb der Domäne auszuführen. Beispielsweise kann die Ziel-Sicherheitsbox mit mindestens einem von einer Schlüsselverifizierungsfunktion, einer Schlüsselinstallationsfunktion, einer Berechtigungsverifizierungsfunktion, einer Schlüsselregistrierfunktion oder einer Sicherheitsboxherstellungsfunktion versehen sein.
Die vorliegende Erfindung stellt auch ein Verfahren zum Herstellen der ersten Herstellungsbox bereit. Dieses Verfahren schließt die Schritte des Kreierens der ersten Herstellungsbox mit einem uninitialisierten Indikator ein, das Senden eines Befehls zum Initialisieren der ersten Herstellungsbox vom Schlüssel-Managementsystemcomputer zur ersten Herstellungsbox, das Generieren einer Operationskombination und eines entsprechenden Satzes von Operationsanteilen in der ersten Herstellungsbox, und das Speichern der Operationsanteile auf einem entfernbaren Datenträger. Das Verfahren generiert in der ersten Herstellungsbox Schlüsselmaterial für Domänenschlüsselsatz-Vertraulichkeit und Schlüsselmaterial für Domänenschlüsselsatz-Authentisierung. Das Verfahren generiert einen Satz von Domänenanteilen in der ersten Herstellungsbox und speichert den Satz von Domänenanteilen auf einem entfernbaren Medium. Das Verfahren generiert einen Satz von Sicherheitsbox-Authentisierungsschlüsseln in der ersten Herstellungsbox, speichert die Sicherheitsbox-Authentisierungsschlüssel auf einem entfernbaren Medium und stellt eine erste Herstellungsboxidentifizierung in der ersten Herstellungsbox ein zum Anzeigen eines initialisierten Zustands.
Das Schlüssel-Managementsystem schließt eine Vorrichtung ein zum Generieren, Verteilen und Organisieren von kryptographischen Schlüsseln, die von einem Informationstransaktionssystem verwendet werden, das eine kryptographische Vorrichtung zum Produzieren eines Belegs bzw. Beweises von Informationsintegrität verwendet. Das System umfasst eine Vielzahl von funktionell ausgeprägten Sicherheitsboxen, die betriebsmäßig miteinander gekoppelt sind. Jede der Sicherheitsboxen führt Funktionen zur Schlüsselgenerierung, Schlüsselinstallation, Schlüsselverifizierung oder Validierung von Berechtigungen aus. Betriebsmäßig mit den Sicherheitsboxen gekoppelte Computer stellten Systemsteuerung bereit und erleichtern die Kommunikation zwischen den Sicherheitsboxen. Eine Vielzahl von separaten logischen Sicherheitsdomänen stellen Domänenprozesse zur Schlüsselgenerierung, Schlüsselinstallation, Schlüsselverifikation und Validierung von Berechtigungen bereit, die von der die Transaktion beweisenden Einrichtung innerhalb der Domäne produziert worden sind unter Verwendung der Schlüssel-Managementfunktionen. Eine Vielzahl von Domänenarchiven, jeweils jeder der Domänen entsprechend, zeichnen sicher und zuverlässig Schlüsselzustandsaufzeichnungen und Hauptschlüssel (Master Keys) für jede Domäne auf. Das Schlüssel-Managementsystem installiert die Hauptschlüssel in der Transaktionsbeweis- bzw. Transaktionsbelegeinrichtung und validiert die Berechtigungen. Die Sicherheitsboxen schließen eine Schlüsselgenerierbox ein zum Generieren, Verschlüssen und Signieren eines Hauptschlüssels; eine Schlüsselinstallationsbox zum Empfangen, Verifizieren und Entschlüsseln des signierten Hauptschlüssels und zum Installieren des Hauptschlüssels in der Transaktionsbelegeinrichtung; eine Schlüsselverifikationsbox zum Verifizieren des Installierens des Hauptschlüssels in der Transaktionsbelegeinrichtung, eine Berechtigungsverifikationsbox zum Verifizieren der Berechtigungen und mindestens eine Herstellungsbox zum Generieren von Domänenschlüsseln und Verteilen der Domänenschlüsseln unter den Sicherheitsboxen für jede der Domänen.
In Übereinstimmung mit der bevorzugten Ausführungsform der vorliegenden Erfindung generiert und verteilt ein Schlüssel-Managementsystem kryptographische Schlüssel wie zum Beispiel Händlerschlüssen, USPS-Schlüssel und Schlüssel von Postdiensten anderer Länder an digitale Frankierer für mehrere Domänen. Eine Domäne ist eine logische Trennung von Daten und Funktionen, aufgezwungen durch einzigartige Domänenauthentisierungs- und Vertraulichkeitsschlüssel. Das Schlüssel-Managementsystem verhindert irgendwelche Übertragung bzw. Translation von Schlüsseln zwischen Domänen, stellt in einer Domäne sicher, dass die Schlüssel in der Domäne generiert worden sind und dass sie in nur einem Frankierer durch das System installiert worden sind. Das Schlüssel-Managementsystem verteilt und bewahrt kryptographische Schlüssel für mehrere Domänen sicher auf. Ferner ist das Schlüssel-Managementsystem derart strukturiert, dass das Schlüssel-Management für alle Domänen identisch ist.
Das Schlüssel-Managementsystem unterstützt die folgenden Sicherheitserfordernisse: (i) Frankiererschlüssel sind immer vertraulich; (ii) die Fähigkeit des Verifizierens von Indizia-Information hält für die Lebensdauer des Systems an; (iii) der Zustand des Frankiererhauptschlüssels muss immer exakt beibehalten werden; (iv) das Trennen von Domänen muss beibehalten werden, um eine Indizia zu generieren und zu verifizieren; und (v) ein Schlüssel ist nur einmal installiert oder dazu gedacht, installiert zu werden.
BESCHREIBUNG DER ZEICHNUNGEN
Die obigen und andere Ziele und Vorteile der vorliegenden Erfindung werden ersichtlich auf das Berücksichtigen der folgenden detaillierten Beschreibung betrachtet im Zusammenhang mit beiliegenden Zeichnungen, in denen durchgehend gleiche oder ähnliche Bezugszeichen sich auf gleiche oder ähnliche Teile beziehen und in denen zeigt:
1 ein Blockdiagramm eines kryptographischen Schlüssel-Management- und Validierungssystems in Übereinstimmung mit der vorliegenden Erfindung;
2 ein Blockdiagramm des Zusammenhangs der Sicherheitsdomänen in dem Schlüssel-Management- und Validierungssystem der 1;
3 ein Blockdiagramm eines Händlerdatenzentrums in dem Schlüssel-Management- und Validierungssystem der 1;
4 ein Blockdiagramm der Händlerherstellungsanlage in dem Schlüssel-Management- und Validierungssystem der 1;
5 ein Blockdiagramm eines Postdatenzentrums im Schlüssel-Management- und Validierungssystem der 1;
6 ein Blockdiagramm der Verwaltungs-Domäne einer Herstellungsbox in dem Schlüssel-Management- und Validierungssystem der 1;
7 ein Flussdiagramm eines Schlüssel-Managementprozesses;
8 ein Flussdiagramm zur Schlüsselidentifikation;
9 ein Blockdiagramm des Schlüsselmaterials für die Herstellungsbox;
10 ein Blockdiagramm des Schlüsselmaterials für die Eichenbox;
11 ein Blockdiagramm des Schlüsselmaterials für die Stahlbox;
12 ein Blockdiagramm des Schlüsselmaterials für die Messingbox;
13 ein Flussdiagramm eines Welt-Domänen-Digital-Frankiererprozesses;
14 ein Flussdiagramm gültiger Hauptschlüsselzustandsübergänge;
15 ein Blockdiagramm gültiger Hauptschlüsselzustandsübergänge;
16 eine Meldung von der Eichenbox zur Messingbox;
17 eine Meldung von der Eichenbox zur Stahlbox;
18 ein Logikdiagramm zur Schlüsselfrischeerfassung;
19 eine Meldung von der Stahlbox zur Messingbox;
20 eine Meldung von einem Frankierer zur Messingbox;
21 ein Blockdiagramm der Fehlerbehandlung;
22 ein Flussdiagramm einer Initialisierung einer ersten Herstellungsbox;
23 ein Flussdiagramm einer Initialisierung einer generischen Box;
24 ein Flussdiagramm der Verarbeitung einer Schlüsselanforderung;
25 ein Flussdiagramm der Verarbeitung einer Schlüsselinstallation;
26 ein Flussdiagramm der Verarbeitung einer Schlüsselregistration;
27 ein Flussdiagramm der Verarbeitung eines veralteten Schlüssels;
28 ein Flussdiagramm der Verifizierungsverarbeitung;
29 ein Blockdiagramm des Flusses von Schlüsselinstallationsmeldungen;
30 eine Tabelle der Schlüsselinstallationsmeldungen von 29;
31 eine Tabelle von Schlüsselregistriermeldungen; und
32 ein Blockdiagramm des Zusammenhangs zwischen Domänen und Unter-Domänen bzw. Sub-Domänen.
DETAILIERTE BESCHREIBUNG DER VORLIEGENDEN ERFINDUNG
In der Beschreibung der vorliegenden Erfindung wird auf die Zeichnungen Bezug genommen, in denen verschiedene Aspekte eines Schlüssel-Management- und Validierungssystems zu sehen sind, das hierin auch als Schlüssel-Managementsystem bezeichnet wird.
Systemübersicht
Nun wird Bezug genommen auf 1, ein Blockdiagramm eines Schlüssel-Managementsystems stellt eine Übersicht des Ortes und des Informationsflusses der Schlüssel-Managementsystemkomponenten bereit. Das Schlüssel-Managementsystem, allgemein mit 10 gekennzeichnet, umschließt Verkäuferanlagen 12 und 14 und Postanlagen 16 und 18. Der Verkäufer ist die Einheit, die das Schlüssel-Managementsystem organisiert. Das Schlüssel-Managementsystem 10 schließt eine Vielzahl von funktionell ausgeprägten Sicherheitsboxen, Computern und Kommunikationsleitungen ein. In Übereinstimmung mit der vorliegenden Erfindung stellt das Schlüssel-Managementsystem 10 Herstellungs- und Betriebsunterstützung für eine neue Generation von Digital-Frankiererprodukten bereit. Hier erwähnte Digital-Frankierer und Digital-Frankiererprodukte werden von dieser neuen Generation von Digital-Frankiererprodukten sein. Es wird darauf hingewiesen, dass die vorliegende Erfindung geeignet ist zum Organisieren des Generierens und Verteilens von kryptographischen Schlüsseln sowie für das Verifizieren von kryptographischen Daten für andere Anwendungen.
In Übereinstimmung mit der vorliegenden Erfindung werden Hersteller- und Posthauptschlüssel generiert, archiviert und in Frankierern installiert durch Komponenten des Schlüssel-Managementsystems 10. Post-Berechtigungsschlüssel werden abgeleitet, verteilt und zum Fern-Verifizieren durch Komponenten des Schlüssel-Managementsystems 10 verwendet. Verkäufer- und Postberechtigungen werden verifiziert durch Komponenten des Schlüssel-Managementsystems 10.
Das Schlüssel-Managementsystem 10 unterstützt die Installation und die Langzeitbewahrung von Verschlüsselungsschlüsseln in Digital-Frankiererprodukten. Das Generieren von Hauptschlüsseln wird von Hauptschlüsselgenerierboxen 20 und 23 unterstützt, die hier auch Eichenboxen genannt werden, einem angefügten Schlüssel-Managementsystemcomputer 24, der hier auch als KMC bezeichnet wird und einem Archivserver 25. Die Verteilung von Hauptschlüsseln wird durch einen Schlüsselverteilcomputer 30 unterstützt, der hier auch als KDC bezeichnet wird. Die Installation von Hauptschlüsseln wird durch eine Hauptschlüsselinstallationsbox 32 unterstützt, die hier auch als Stahlbox bezeichnet wird und einem angefügten Parametrisierungs-, Säh- und Registriercomputer bzw. ”Parametrization, Seeding And Registration”- oder PSR-Computer 34. Eine zentralisierte Verifikation von gedruckten Digital-Berechtigungen wird durch Berechtigungsverifizierungsboxen bzw. Token-Verifizierungsboxen 21 und 40 unterstützt, die hier auch als Messingboxen bezeichnet werden und jeweils angefügte Schlüssel-Managementsystemcomputer 24 und 42. Schlüsselarchive 25 und 45 zeichnen sicher und zuverlässig Schlüsselzustandsmeldungen und Schlüssel auf.
Sicherheitsdomänen
Nun wird Bezug genommen auf 2, das Schlüssel-Managementsystem 10 schließt separate logische Sicherheitsdomänen ein: Eine Händler-Domäne 50 und eine oder mehrere Domänen 52 für Postbehörden. Jede Domäne stellt einen vollen Satz von Schlüsselgenerier-, Schlüsselverteil-, Schlüsselinstallations- und Berechtigungsverifikationsdiensten bereit. Jede Domäne kann verschiedene Einrichtungen umschließen wie zum Beispiel Händler- und Posteinrichtungen. Mehrere logische Sicherheitsdomänen können innerhalb jeder Sicherheitsbox existieren. Das Trennen solcher mehrerer Domänen wird durch Verschlüsselung von Domänenmeldungen in der Hauptschlüsseldatenbank (Master Key Database) erreicht. Die Datenbankverschlüsselungsschlüssel unterscheiden sich für jede Domäne. Innerhalb einer Sicherheitsbox wird die Trennung von Domänen durch die eingeschränkten Prozesse in der Box ermöglicht. Jedoch überlappen die Sicherheitsdomänen nur an einer Stelle innerhalb eines Digital-Frankierers. Der Digital-Frankierer berechnet zwei Bezahlungsbeweisberechtigungen, eine unter Verwendung des Händlerhauptschlüssels und die andere unter Verwendung des Posthauptschlüssels. Das Verfehlen der Verifizierung einer der Digital-Berechtigungen ist ein ausreichender Betrugsbeweis.
Nun wird auf 3 Bezug genommen, das Händlerdatenzentrum 12 stellt physikalische und Informationszugangs-Steuerung für Schlüssel-Managementsystemkomponenten bereit. Das Händlerdatenzentrum 12 beinhaltet mindestens eine Eichenbox 20, die als Händlerhauptschlüsselgenerierbox dient, mindestens eine Messingbox 21, die als Händlerberechtigungsverifizierungsbox funktioniert und eine Herstellungsbox 23. Aus Sicherheitsgründen hat jede Box eine einzigartige ID bzw. Identifikationskennung. Zur zusätzlichen Sicherheit sind die Generier-Verifikations- und Herstellungsfunktionen physikalisch voneinander getrennt, d. h. die Eichenbox, die Messingbox und die Stahlbox sind separate Boxen. Es wird darauf hingewiesen, dass mehr als eine funktionelle Box in einer physikalische Box enthalten sein kann, wenn so gewünscht.
Der Händler-KMS-Computer 24 organisiert die sicheren Eichen-, Messing- und Herstellungsboxen und Meldungen zwischen diesen. Er unterstützt Sicherheitsboxkommunikation, Händlerschlüsselarchivierungsdienste, Postschlüsselarchivierungsdienste und Kommunikation mit der Händlerherstellungsanlage 14 und dem Postdatenzentrum 16.
Nun wird Bezug genommen auf 4, die Händlerherstellungsanlage 14 stellt physikalische und Informationszugangssteuerung für Schlüssel-Managementsystemkomponenten bereit. Eine Händlerherstellungsanlage 14 beinhaltet einen Händlerschlüsselverteilcomputer 30 und mindestens eine sichere Stahlbox 32, die als Hauptschlüsselinstallationsbox funktioniert, und einen entsprechenden PSR-Computer 34. Der Händlerschlüsselverteil- und PSR-Computer 30 und 34 unterstützen Kommunikation mit dem Schlüssel-Managementsystemcomputer 24, anderen Sicherheitsboxen und Online-Digitalfrankieren 36. Der PSR-Computer 30 organisiert entsprechende Stahlboxen 32 und die Initialisierung von Digitalfrankieren 36.
Nun wird Bezug genommen auf 5, das Postdatenzentrum 16 kann physikalische und Informationszugangssteuerung für Komponenten des Schlüssel-Managementsystems 10 bereitstellen. Das Postdatenzentrum 16 kann eine Posteichenbox 22 beinhalten, die als eine Posthauptschlüsselgenerierbox funktioniert und eine Postmessingbox 40, die als Postberechtigungsverifikationsbox funktioniert. Ein Postschlüssel-Managementsystemcomputer 42 kann Sicherheitsboxindikation unterstützen, Postschlüsselarchivierungsdienste und Kommunikation mit einer Postgutanlage 18 und dem Händlerdatenzentrum 12.
Nun wird Bezug genommen auf 6, eine zusätzliche logische Sicherheitsdomäne ist erforderlich zum Unterstützen der Installation und der Bewahrung aller anderen Sicherheitsdomänen in Schlüssel-Managementsystemkomponenten. Diese wird Schlüssel-Managementsystemverwaltungs-Domäne 60 genannt, welche zuständig ist für das Generieren von Sicherheitsdomänen und das Installieren von Sicherheitsdomänen in Schlüssel-Managementsystemkomponenten.
Das Installieren von länderspezifischen Unter-Domänen in einer Welt-Sicherheitsdomäne ist die Zuständigkeit der Welt-Sicherheitsdomäne. Das Installieren von Produktcodeparametern innerhalb einer Sicherheitsdomäne ist die Zuständigkeit der betreffenden Sicherheitsdomäne. Dies wird nachstehend detaillierter erläutert.
Funktionelle Eigenschaften
Die folgenden Absätze stellen einen Überblick über alle Operationen und Meldungen im Schlüssel-Managementsystem 10 bereit.
Das Schlüssel-Managementsystem 10 stellt einige erforderliche Funktionen zum Unterstützen der Herstellung und des Betriebs von Digital-Frankiererprodukten bereit. Es ist zuständig für das Erstellen, Verteilen und Langzeitspeichern aller Verschlüsselungsschlüssel, die in Digital-Frankiererprodukten verwendet werden. Es ist auch zuständig für die Verifizierung von Digital-Berechtigungen, die durch Digital-Frankiererprodukte generiert worden sind, welche solche Verschlüsselungsschlüssel verwenden.
Zwei oder mehr Sicherheitsdomänen werden durch das Schlüssel-Managementsystem 10 implementiert. Die Händler-Sicherheitsdomäne 50 schließt Schlüsselgenerierungs-, Verteilungs-, Archivierungs- und Verifizierungsdienste ein. Die Post-Sicherheitsdomäne 52 implementiert ähnliche Dienste. Diese Domänen überlappen in einem Punkt, dem Digital-Frankierer, der sowohl Händler- als auch Posthauptschlüssen enthält, wie in 2 gezeigt, d. h., nur in dem Frankierer sind Händler- und Posthauptschlüssel gleichzeitig verfügbar.
Schlüssel-Eigenschaften
Schlüssel-Generierung
Nun wird Bezug genommen auf 7, ein Flussdiagramm des Schlüssel-Managementprozesses ist dargestellt. Ein Digital-Frankierer 36 empfängt einen Händler-Hauptschlüssel und einen Posthauptschlüssel während er physikalisch in der Händler-Herstellungsanlage 14 angeordnet ist, vor der Verteilung.
Der Schlüssel-Managementsystem-Sicherheitsboxherstellungsprozess und der Domänenhauptschlüssel-Generierprozess stellen Verschlüsselungschlüssel bereit für das Schlüssel-Managementsystem 10 und Digital-Frankierer 36. Domänenhauptschlüssel für Digitalfrankier 36 werden durch einen Domäneneichenprozess 70 generiert. Domänenschlüssel, die verwendet werden zum Verschlüsseln von Domänenhauptschlüsseln, wenn sie generiert, archiviert und installiert werden, werden durch die Herstellungsbox 23 generiert. Zum Bereitstellen von Sicherheits- und nicht-deterministischen Schlüsseln werden zwei Zufallszahlengeneratorprozesse verwendet. Jede Eichenbox und Herstellungsbox schließt einen Hardware-Zufallszahlengenerator ein. Ein Software-Pseudozufallszahlengenerator ist auch eingeschlossen. Das Ergebnis dieser beiden Prozesse wird individuell getestet zum Verifizieren, dass die Hardware und Software innerhalb akzeptierbarer Grenzen arbeiten. Die Ergebnisse der beiden Generatoren werden kombiniert durch eine Exklusiv- oder -Operation. Wenn daher der Hardware-Zufallszahlengenerator ausfällt, stellt der Pseudozufallszahlengenerator ein akzeptables Schlüsselmaterial bereit, bis der Hardwaregenerator repariert werden kann.
Andere KMS-Sicherheitsboxen haben begrenzte Anforderungen zum Generieren von Schlüsselmaterial. Seeziell werden durch Messing- und Stahlboxen 21 und 32 Inbetriebnahme-Vertraulichkeitsschlüssel generiert während des Installationsprozesses. Wegen der eingeschränkten Anforderungen und des Vorhandenseins von vertrauenswürdigen Behörden während des Installationsprozesses werden nur Software-Pseudozufallszahlengeneratoren verwendet.
Hauptschlüssel-Identifikation
Das Schlüssel-Managementsystem 10 muss die Sicherheitsanforderung erzwingen, dass ein Hauptschlüssel nur einmal in irgendeinem Digitalfrankier 36 erprobt oder installiert werden kann. Beispielsweise muss das Schlüssel-Managementsystem 10 sicherstellen, dass ein Domänenhauptschlüssel nicht zweimal installiert wird, wenn zwei oder mehr Stahlboxen 32 in dem System verwendet werden. Dieses Erfordernis wird durch die Verwendung von Domänen-Hauptschlüsselidentifikationsnummern erfüllt, die erstellt werden von Zählern domänenspezifisch monotoner Folgen. Domäneneichenprozesse und Domänenstahlprozesse verfolgen die letzte Domänenhauptschlüsselidentifikationsnummer, die für eine spezifische Domänen-ID empfangen worden ist. Wenn eine neue Schlüsselgeneriermeldung oder Schlüsselinstallationsmeldung empfangen worden ist, verifizieren die Domäneneichenprozesse oder die Domänenstahlprozesse, dass die Domänehauptschlüsselidentifikationsnummer größer ist als die, die in der vorangegangenen Meldung enthalten war.
Wenn das Schlüssel-Managementsystem 10 einen Schlüsselanforderungsbefehl empfängt, ist eine Stahl-ID erforderlich. Die Stahl-IDs sind in der Verteilungshauptschlüsselaufzeichnung enthalten und müssen durch den Domänenstahlprozess 76 geprüft werden. Wenn die Stahl-ID der Meldung nicht übereinstimmt mit der Stahl-ID für die Stahlbox, wird die Meldung zurückgewiesen. Die Stahl-ID kann nicht ohne ein Zerstören der Meldungssignatur in der Meldung modifiziert werden. Die Kombination der Domänenhauptschlüsselidentifikationsnummer, der Stahl-ID und der Meldungssignatur erfüllt das Einmalinstallationserfordernis.
Nun wird Bezug genommen auf 8, ein Schlüsselverteilcomputer 30 fordert einen Schlüssel bei 80 an. Bei 82 generiert ein Schlüssel-Managementsystemcomputer 24 eine neue monoton zunehmende Schlüssel-ID von einem Domänenarchiv 74. Bei 84 bestimmt der Domäneneichenprozess 70, ob die Eichenbox-Schlüssel-ID neu ist gegenüber einem zuletzt gesehenen Wert. Wenn sie nicht neu ist, wird eine Eichenboxfehlerbedingung bei 86 veranlasst. Wenn die Schlüssel-ID neu ist, generiert und verschlüsselt bei 88 die Eichenbox 20 einen Schlüssel, fügt die Schlüssel-ID hinzu und signiert dann und sendet die Meldung an die Stahlbox 32. Bei 90 bestimmt der Domänenstahlprozess 76, ob die Schlüssel-ID neu ist gegenüber einem zuletzt gesehen Wert. Ein Stahlboxfehler tritt auf, wenn der Meldungssignaturtest fehlschlägt, die Stahlbox-ID nicht korrekt ist oder die Schlüssel-ID nicht neu ist. Wenn kein Fehler auftritt, installiert die Stahlbox 32 den Schlüssel in einem Frankierer 36 bei 98.
Herstellungsbox und Domänenschlüssel
Nun wird Bezug genommen auf 9–12, die Sicherheitsboxen innerhalb des Schlüssel-Managementsystems 10 müssen initialisiert sein mit Domänenkonfigurationsinformation und Schlüsselmaterial. Dies wird erreicht durch die Verwendung von einer Herstellungsbox 23, die zuständig ist für das Kreieren von Domänen und den Domänenschlüsseln 110. Wenn eine Domäne kreiert wird, ist eine einzigartige Domänen-ID erforderlich. Nachdem eine Domäne eingerichtet worden ist in der Herstellungsbox 23, können andere Sicherheitsboxen mit der Domäneninformation initialisiert werden.
Alle Domänenschlüssel 110 werden durch die Herstellungsbox 23 generiert. Die Domänenschlüssel 110 bestehen aus Vertraulichkeits-, Authentisierungs- und Operationsschlüsseln, die verschlüsselt werden durch den Domänenschlüsselsatz 103. Domänenschlüssel 110 werden unter den unterschiedlichen Sicherheitsboxen gemeinsam benutzt. Jede Sicherheitsbox hat spezifische Anforderungen an das Schlüsselmaterial.
Jede Herstellungsbox 23 erfordert eine Operationskombination 101, die aufgebrochen ist in drei Shamir-Sicherheitsteile 102. Individuelle Teile werden auf entfernbare Medien geschrieben und an autorisiertes Personal ausgegeben. Jede Herstellungsbox 23 erfordert einen Domänenschlüsselsatz 103, der aus einem RSA-Schlüsselpaar für Vertraulichkeit besteht und einem RSA-Schlüsselpaar für Authentisierung. Die Vertraulichkeits- und Authentisierungsschlüssel sind aufgebrochen in drei Shamir-Sicherheitsteile 104. Individuelle Teile werden auf entfernbare Medien geschrieben und an autorisiertes Personal ausgegeben. RSA-Schlüsselpaare sind beschrieben in ”A Method for Obtaining Digital Signatures and Public-Key Cryptosystems” von R. L. Rivest, A. Shamir und L. Adleman in Communications of the ACM, Bd. 21, Nr. 2, Februar 1978, Seiten 120–127. Shamir-Sicherheitsteile werden beschrieben in ”How To Share A Secret” von A. Shamir in Communications of the ACM, Bd. 22, Nr. 11, Nov. 1979, Seiten 612–613.
In der bevorzugten Ausführungsform erfordert jede Eichenbox 20 eine Operationskombination 105, die aufgebrochen ist in zwei Shamir-Sicherheitsteile 106 (10). Individuelle Teile 106 werden auf entfernbare Medien geschrieben und ausgegeben an autorisiertes Personal. Alle Teile 106 müssen in die Eichenbox 120 eingegeben werden, bevor sie arbeiten kann. Das letzte eingegebene Teil 106 muss in der Eichenbox verbleiben, um sie funktionsfähig freigegeben zu halten. Wenn das letzte eingegebene Teil 106 entfernt wird, ist die Eichenbox 20 gesperrt.
Jeder Domäneneichenprozess 70 erfordert ein RSA-Schlüsselpaar zur Authentisierung. Der private Authentisierungsschlüssel (P'OA) ist nur dem Domäneneichenprozess 70 bekannt und der Herstellungsbox 23. Der öffentliche Authentisierungsschlüssel (POA) ist dem entsprechenden Domänenstahlprozess 76 und Domänenmessingprozess 72 bekannt. Der Domäneneichenprozess 70 erfordert keinen privaten Vertraulichkeitsschlüssel.
In der bevorzugten Ausführungsform erfordert jede Stahlbox 32 in der Händler-Herstellungsanlage eine Operationskombination 119, die aufgebrochen ist in zwei Shamir-Sicherheitsteile 120 (11). Individuelle Teile 120 werden auf entfernbare Medien geschrieben und an autorisiertes Personal ausgegeben, beispielsweise einen Aufseher und einen Bediener. Der Satz von Aufseher- und Bedienerteilen 120 muss in die Stahlbox 32 eingegeben werden, bevor sie arbeiten kann. Der letzte eingegebene Teil 106, beispielsweise der Bedienerteil muss in der Stahlbox 32 verbleiben, um sie für den Betrieb zugelassen, zu halten. Wenn der Bedienerteil 120 entfernt wird, wird die Stahlbox 32 gesperrt.
Jeder Domänenstahlprozess 76 erfordert ein RSA-Schlüsselpaar zur Authentisierung. Der private Authentisierungssschlüssel ist nur dem Domänenstahlprozess 76 bekannt. Der öffentliche Authentisierungsschlüssel ist nur dem Domänenmessingprozess 72 bekannt. Jeder Domänenstahlprozess 76 erfordert ein RSA-Schlüsselpaar zur Vertraulichkeit. Der private Vertraulichkeitsschlüssel bzw. P'sc-Schlüssel ist nur dem Domänenstahlprozess 76 bekannt. Der öffentliche Vertraulichkeitsschlüssel bzw. Psc-Schlüssel ist dem Domäneneigenprozess 70 bekannt.
In der bevorzugten Ausführungsform der vorliegenden Erfindung erfordert jede Messingbox 21 eine Betriebskombination 121, die aufgebrochen ist in zwei Shamir-Sicherheitsteile 122 (12). Individuelle Teile 122 werden auf entfernbare Medien geschrieben und an autorisiertes Personal ausgegeben. Alle Teile 122 müssen in eine Messingbox 21 eingegeben werden, bevor sie arbeiten kann. Der letzte eingegebene Teil 122 muss in der Messingbox 21 verbleiben, um sie für den Betrieb zugelassen zu halten. Wenn der zuletzt eingegebene Teil 122 entfernt wird, wird die Messingbox 21 gesperrt.
Jeder Domänenmessingprozess 72 erfordert ein RSA-Schlüsselpaar zur Authentisierung. Die privaten und öffentlichen Authentisierungsschlüssel (P'BA und PBA) sind nur dem Domänenmessingprozess bekannt. Jeder Domänenmessingprozess erfordert ein RSA-Schlüsselpaar zur Vertraulichkeit. Der private Vertraulichkeitsschlüssel (P'BC) ist nur dem Domänenmessingprozess 72 bekannt. Der öffentliche Vertraulichkeitsschlüssel PBC ist dem Domäneneichenprozess 70 bekannt. Jeder Domänenmessingprozess 72 erfordert einen DES-Schlüsselsatz für Vertraulichkeit, der nur dem Domänenmessingprozess 72 bekannt ist. Jeder Domänenmessingprozess 72 erfordert einen DES-Schlüsselsatz zur Authentisierung, der nur dem Domänenmessingprozess 72 bekannt ist.
Fachleute werden verstehen, dass die Anzahl der Teile, die als erforderlich für den Betrieb der Sicherheitsboxen ausgewählt ist, auf der Sicherheitsstrategie basiert, die für das Schlüssel-Managementsystem implementiert ist.
Digital-Frankierer-Erfordernisse
Eine Herstellungsfolgenummer definiert in Verbindung mit einer Produktcodenummer einen Digital-Frankierer 36 einzigartig innerhalb des Digital-Frankiers 36 innerhalb des Händler-Herstellungsprozesses. Das bevorzugte Verfahren der Herstellungsfolgenummerzuordnung ist folgendermaßen. Ein Bestand von Identifikationsetiketten, von denen jedes eine einzigartige Produktcodenummer enthält und ein Herstellungsfolgennummernpaar wird in der Herstellungsreihe bevorratet. Ein Identifikationsetikett wird jedem Digital-Frankier 36 zugeordnet. Diese Nummern werden in den PSR-Computer 34 eingegeben und in den Digital-Frankier 36 vor dem Schlüsselinstallationsprozess heruntergeladen.
Der Frankierer ist sicher konfiguriert, so dass, sobald Schlüssel während der Herstellung installiert werden, sie nie mehr entfernt werden können oder bestimmt werden außerhalb der Herstellungsumgebung, ohne einen physikalischen Beweis von Sabotage zurückzulassen.
Der Domäneneichenprozess 70 verwendet während des Hauptschlüsselgenerierungsprozesses einen Satz von Testinformation. Ein Testmuster wird verwendet zum Generieren eines Satzes von Testberechtigungen zum Prüfen des Hauptschlüsselinstallationsprozesses bei der Herstellung. Das Testmuster besteht aus zwei vorformatierten 64 Bit-Binärwerten. Diese werden verschlüsselt mit dem Ziel-Domänenhauptschlüssel und der spezifizierten Position und die Anzahl von Berechtigungen von dem resultierenden Chiffriertext wird generiert.
Das Testmuster ist in der Domäneneichen- und Domänenmessingprozessbetriebssoftware enthalten. Alle Digital-Frankierer verwenden dieselbe Testinformation während der Schlüsselinstallationsprüfprozedur. Das Testmuster ist ein Satz von Information, die zwischen dem Schlüssel-Managementsystem 10 und dem Ziel-Digital-Frankierer geteilt wird. Das Testmuster kann in dem ROM für einen spezifischen Digital-Frankierer gespeichert sein.
Welt-Domänen-Digital-Frankierer
Welt-Domänen-Digital-Frankierer haben keine länderspezifische Information, wenn sie die Herstelleranlage verlassen. Der Grund hierfür ist, die Bevorratung von Digital-Frankierern auf regionaler Basis zu ermöglichen und sie im letzten Moment länderspezifisch zu machen. Die Produktcodezahl für einen Welt-Domänen-Digital-Frankierer ist eine zweibuchstabige Produktcodevorsilbe gefolgt von einer vorbestimmten Zahl. Vor der Länderpersonalisierung wird eine Indizia-Seriennummer eine Null-Zeichenfolge sein. Sowohl Produktcodenummer- als auch Indizia-Seriennummerwerte müssen zur Zeit der Schlüsselregistrierung definiert sein, um den Domänenhauptschlüssel zu aktivieren.
Nun wird Bezug genommen auf 13, ein Prozessflussdiagramm für einen Welt-Domänen-Digital-Frankierer wird bereitgestellt. Welt-Domänenhauptschlüssel für Welt-Domänen-Digital-Frankierer werden durch den Welt-Domäneneichenprozess 170 generiert. Kopien von Welt-Domänenhauptschlüsseln werden in dem Welt-Domänenarchiv 174 gespeichert. Welt-Domänenhauptschlüssel werden in Welt-Domänen-Digital-Frankierer 136 installiert und von dem Welt-Domänenstahlprozess 176 geprüft. Die Installation von Welt-Domänenhauptschlüsseln wird durch den Welt-Domänenmessingprozess 172 verifiziert. Die Welt-Domänenhauptschlüsselaufzeichnung wird von dem Welt-Domänenmessingprozess 172 aktualisiert, zum Installieren des Zustandes. Der Welt-Domänenmessingprozess 172 ist nicht an der Schlüsselregistrierung beteiligt.
Autorisiertes Personal ordnet den Welt-Domänen-Digital-Frankierer 136 durch Einstellen der Digital-Frankierer-Produktcode-Nummer und der Indizia-Seriennummer einer länderspezifischen Sicherheitsdomäne zu. Sobald der Digital-Frankierer 236 einer länderspezifischen Sicherheitsdomäne zugeordnet ist, kann er nicht mehr zur Welt-Domäne zurückkehren. Eine digital signierte Schlüsselregistrieraufzeichnung wird durch den Digital-Frankierer generiert, die die Produktcode-Nummer, die Indizia-Seriennummer und eine Herstellungsfolgenummer enthält. Die digital signierte Schlüsselregistrieraufzeichnung wird an den Schlüssel-Managementsystemcomputer 24 zurückgegeben.
Der Schlüssel-Managementsystemcomputer 24 wird die Welt-Domänen-Hauptschlüsselaufzeichnung von dem Welt-Domänenarchiv 176 holen. Die Welt-Domänenhauptschlüsselaufzeichnung und die Schlüsselregistrierungsaufzeichnung werden an den länderspezifischen Domänenmessingprozess 272 gesendet. Die Aufzeichnungen werden verifiziert. Wenn kein Problem gefunden worden ist, wird der Domänenhauptschlüssel verschlüsselt mit dem länderspezifischen Sicherheitsschlüssel. Die Domänenaufzeichnung wird bezüglich Integrität und Authentisierung durch den länderspezifischen Sicherheitsdomänen-Privatschlüssel signiert. Die Domänenhauptschlüsselaufzeichnung wird an das länderspezifische Domänenarchiv 274 gesendet.
SYSTEMERFORDERNISSE
Domänenarchiv
Domänenarchive 74 unterstützen die Langzeitaufbewahrung und Wiederaufspürung von Domänenhauptschlüsseln. Dies wird erreicht durch einige Transaktionen zwischen der Eichenbox 20, dem Domänenarchiv 74 und der Messingbox 21. Wenn der Digital-Frankierer durch die Hersteller-, Verteilungs- und Kundenstandorte läuft, wird der Domänenhauptschlüsselzustand aktualisiert. Jede Zustandsänderung wird in den Domänenarchivsaufzeichnungen registriert, eine vollständige Historie der Schlüsselaktivität für die Lebensdauer des Domänenhauptschlüssels bereithaltend.
Nun wird Bezug genommen auf 14 und 15, ein Prozessablaufdiagramm, das gültige Hauptschlüsselzustandsübergänge zeigt, wird bereitgestellt. Nachdem die Eichenbox 20 den Schlüsselgenerierprozess abgeschlossen hat, werden eine verschlüsselte Kopie des Domänenhauptschlüssels und der Information an das Domänenarchiv 74 weitergeleitet. Der Zustand des Domänenhauptschlüssels wird auf NEU eingestellt bei 180. Das Domänenarchiv 74 wird Datenbankspeicher zuordnen und die Information schreiben.
Nachdem die Stahlbox 32 und die Messingbox 21 den Schlüsselinstallationsprozess abgeschlossen haben, wird die Domänenhauptschlüsselaufzeichnung aktualisiert. Der Zustand des Domänenhauptschlüssels kann gegebenenfalls bei 182 auf INSTALLIERT eingestellt werden, wenn der Prozess erfolgreich war. Der Zustand des Domänenhauptschlüssels kann gegebenenfalls bei 184 auf SCHLECHT eingestellt werden, wenn irgendein Fehler während des Schlüsselausgabe- oder Installationsprozesses aufgetreten ist. Solche Fehler könnten eine verlorene Meldung, Meldungsfehler, fehlerhaftes Schreiben des Domänenhauptschlüssels in den Digital-Frankiererspeicher, einen Fehler beim Prüfen der Prüfberechtigungen oder andere einschließen.
Wenn dem Digital-Frankierer eine Indizia-Seriennummer für eine spezifische Postdomäne zugeordnet worden ist, werden die Verkäufer- und Post-Domänenhauptschlüsselaufzeichnungen aktualisiert. Der Hauptschlüsselzustand wird bei 186 auf AKTIV eingestellt und Verifikationsdienste werden für diesen Digital-Frankierer zugelassen. Wenn der Digital-Frankierer außer Dienst genommen wird, werden die Händler- und Porto-Domänenhauptschlüsselaufzeichnungen aktualisiert. Der Hauptschlüsselzustand 188 wird auf VERALTET eingestellt.
Schlüssel-Managementsystemadressen
Das Schlüssel-Managementsystem 10 setzt sich aus einem Satz von physikalischen Sicherheitsboxen und logischen Sicherheitsdomänen zusammen. Zwischen diesen Komponenten fließende Meldungen müssen ausreichende Information enthalten, um es Prozessen und Prüfern zu erlauben, die Meldungsteilnehmer zu identifizieren.
Logische Sicherheitsdomänen werden durch ein Adressenobjekt, das Domänen-ID bezeichnet wird, bestimmt. Diese Adresse definiert eindeutig eine Instanz einer speziellen Domäne innerhalb des Schlüssel-Managementsystems 10. Beispiele gültiger Domänen-IDs können sein VE für eine Händler-Sicherheitsdomäne, USPS für die Instanz einer Sicherheitsdomäne des Post-Dienstes der Vereinigten Staaten und UKRM für die Instanz einer Sicherheitsdomäne der Königlichen Post des Vereinigten Königreichs. Sicherheitsdomänen umfassen einige Sicherheitsboxen und können einige Archive umfassen. Mehrere Sicherheitsdomänen können innerhalb der physikalischen Grenzen einer Sicherheitsbox nebeneinander existieren. Nur eine Domäne ist innerhalb einer Sicherheitsbox zu einer bestimmten Zeit aktiv. Zwischen Domänen sind keine Daten übertragbar.
Logische Sicherheitsboxobjekte werden durch ein Adressobjekt bestimmt, das Sicherheitsboxtyp genannt wird. Diese Adresse definiert eindeutig die Sicherheitsboxfunktion, die Teil hat an einer Meldungstransaktion. Die Eichenbox 20 ist der Hauptschlüsselgenerator. Die Stahlbox 32 ist die Hauptschlüsselinstallationsbox. Die Messingbox 21 ist die Berechtigungsverifizierungsbox. Die Zinnbox 44 ist die Fern-Berechtigungsverifikationsbox.
Identifikation physikalischer Sicherheitsboxen wird bestimmt durch ein Adressenobjekt, das Sicherheitsbox-ID genannt wird. Diese Adresse definiert eindeutig eine Instanz dieser Box innerhalb des Schlüssel-Managementsystems. Sie setzt sich aus einem Sicherheitsboxtyp und einem numerischen Identifizierer zusammen.
KMS-Konfigurationsdaten
Jede Komponente des Schlüssel-Managementsystems 10 wartet einige Konfigurationstabellen, die es der Betriebssoftware ermöglichen, die Gültigkeit zu bestimmen und die Verarbeitungserfordernisse für die Schlüssel-Managementsystemdienstemeldungen. Befehlstabellen werden verwendet zum Identifizieren, welche Schlüssel-Managementsystemdienstemeldungen und Befehle von Komponenten des Systems erwartet werden. Eine KMS-Systembefehlstabelle definiert alle Befehle, die in einer Systemebene akzeptiert werden. Untergruppen der Systemebenentabelle werden durch die Komponenten des Systems gespeichert einschließlich der Eichenboxen 20, der Messingboxen 21, der Stahlboxen 32, der Herstellungsboxen 23, des KMS-Computers 24, des Schlüsselverteilcomputers 30 und des PSR-Computers 34. Empfangene Meldungen, die nicht in der Lokalbefehlstabelle enthalten sind, werden zurückgewiesen.
Konfigurationstabellen werden verwendet zum Identifizieren, welche Schlüssel-Managementsystem-Domänen-IDs von Komponenten des Systems erkannt werden. Eine KMS-Systemkonfigurationstabelle definiert alle Domänen-IDs, die in einer Systemebene akzeptiert werden. Untergruppen der Systemebenentabelle sind durch Komponenten des Systems gespeichert einschließlich der Eichenboxen 21, der Messingboxen 21, der Stahlboxen 32, der Herstellungsboxen 23, des KMS-Computers 24, des Schlüsselverteilcomputers 30 und des PSR-Computers 34. Empfange Meldungen für Domänen-IDs, die nicht in der Lokalkonfigurationstabelle enthalten sind, werden zurückgewiesen.
Aufzeichnungstabellen werden verwendet zum Identifizieren, welche Schlüssel-Managementsystemaufzeichnungen von Komponenten des Systems erkannt werden. Eine KMS-Systemaufzeichnungstabelle definiert alle Informationsaufzeichnungen, die in einer Systemebene erkannt werden. Untergruppen der Systemebenentabelle sind von Komponenten des Systems gespeichert einschließlich der Eichenboxen 20, der Messingboxen 21, der Stahlboxen 32, der Herstellungsboxen 23, des KMS-Computers 24, des Schlüsselverteilcomputers 30 und des PSR-Computers 34. Empfangene Meldungen, die nicht in der Lokalaufzeichnungstabelle enthaltene Informationsaufzeichnungen enthalten, werden zurückgewiesen.
Informationfluss
Der Domäneneichenprozess 70 liefert den Domänenhauptschlüssel an das Domänenarchiv 74. Nun wird Bezug genommen auf 16, der Domänenhauptschlüssel (K_DM) wird mit dem öffentlichen Schlüssel des Domänenmessingprozesses (P_BC) verschlüsselt, bevor er in dem Domänenarchiv 74 gespeichert wird. Dadurch kann der Domäneneichenprozess 70 gegebenenfalls den Domänenhauptschlüssel (K_DM) aus dem Domänenarchiv 74 gegebenenfalls nicht entschlüsseln. Der Domäneneichenprozess 70 signiert die Domänenhauptschlüsselaufzeichnung mit dem privaten Schlüssel (P_OA) des Domäneneichenprozesses, bevor er gespeichert wird in dem Domänenarchiv 74. Demnach kann der Domänenmessingprozess 72 darauf vertrauen, dass die Domänenhauptschlüsselaufzeichnung von dem Domäneneichenprozess 70 kreiert worden ist.
Der Domäneneichenprozess 70 liefert den Domänenhauptschlüssel (K_DM) an den Domänenstahlprozess 76. Nun wird Bezug genommen auf 17, der Domänenhauptschlüssel (K_DM) wird mit dem öffentlichen Schlüssel des Domänenstahlprozesses P(_SC) verschlüsselt, bevor er zum Domänenstahlprozess 76 gesendet wird. Demnach kann der Domäneneichenprozess 70 den Domänenhauptschlüssel (K_DM) gegebenenfalls nicht von einer Verteilter-Hauptschlüssel-Aufzeichnung entschlüsseln. Der Domäneneichenprozess 70 signiert die Verteilte-Hauptschlüssel-Aufzeichnung mit dem privaten Schlüssel P'(OA) des Domäneneichenprozesses, bevor er ihn zu dem Domänenstahlprozess 76 sendet. Demnach kann der Domänenstahlprozess 76 sich darauf verlassen, dass die Verteilte-Hauptschlüssel-Aufzeichnung von dem Domäneneichenprozess 70 kreiert worden ist.
Nun wird Bezug genommen auf 18, der Prozessablauf für die Schlüssel-Frischeerfassung ist dargestellt. Zum Unterstützen der zuvor erwähnten Sicherheitserfordernisse wird ein Schlüssel nur einmal installiert oder es wird nur einmal versucht, ihn zu installieren zum Sicherstellen der Domänenhauptschlüssel-Frische. Das Domänenarchiv ordnet allen Domänenhauptschlüsseln monoton aufeinanderfolgende Schlüssel-IDs (KID) zu. Separate Schlüssel-ID-Indizes werden für jede Domänen-ID bewahrt. Der Domäneneichenprozess 70 und der Domänenstahlprozess 76 spüren die Schlüssel-ID-Werte auf und vergleichen sie mit Schlüssel-ID-Werten, die in der Schlüsselgeneriermeldung empfangen worden sind und der Verteilte-Hauptschlüsselaufzeichnung. Demnach können der Domäneneichenprozess 70 und der Domänenstahlprozess 76 erfassen, wenn eine Schlüsselgeneriermeldung oder eine Verteilte-Hauptschlüssel-Aufzeichnung wiedergegeben worden ist.
Nun wird Bezug genommen auf 19, der Domänenstahlprozess 76 signiert die Hauptschlüsselinstallationsaufzeichnung mit dem privaten Schlüssel P(_SA) des Domänenstahlprozesses, bevor er sie zu dem KMS-Computer 24 sendet. Hierdurch kann der Domänenmessingprozess 72 sich darauf verlassen, dass die Hauptschlüsselinstallationsaufzeichnung von dem Domänenstahlprozess 76 erstellt worden ist.
Zur Zeit der Schlüsselregistrierung signiert der Digital-Frankierer die Schlüsselregistrieraufzeichnung sowohl mit dem Händler-Hauptschlüssel K(_VM) als auch dem Porto-Hauptschlüssel K(_PM). Dadurch können die Post- und Händler-Hauptmessingprozesse 72 sich darauf verlassen, dass die Schlüsselregistrieraufzeichnungswerte von dem Digital-Frankier 36 stammen. Jeder Domänenmessingprozess 72 verschlüsselt dann den Domänenhauptschlüssel in der Domänenarchivaufzeichnung mit einem geheimen DES-Schlüssel des Domänenmessingprozesses. Als ein Ergebnis kann der Domänenmessingprozess 72 sich darauf verlassen, dass andere Domänenmessingprozesse nicht das Schlüsselmaterial lesen können. Der Domänenmessingprozess 72 signiert Domänenhauptschlüsselaufzeichnung mit dem geheimen DES-Schlüssel des Domänenmessingprozesses, bevor er ihn zum Domänenarchiv 74 sendet. Dadurch kann der Domänenmessingprozess 72 sich darauf verlassen, dass die Domänenhauptschlüsselaufzeichnung nur von dem Domänenmessingprozess 72 modifiziert worden ist. Ein Beispiel einer Meldung von einem Frankierer zu einem Messingprozess ist in 20 gezeigt.
Prüfpfad
Das Schlüssel-Managementsystem 10 bewahrt einen Prüfpfad von Zeitereignissen während der Lebensdauer eines Domänenhauptschlüssels. Diese Ereignisse zeigen an, wenn Aktionen von dem Schlüssel-Managementsystem 10 vorgenommen worden sind. Die aufgelisteten Zeitereignisse müssen ansteigend sein für eine erfolgreiche Domänenhauptschlüsselbenutzung. Systemmeldungen mit Zeitereignissen, die früheren Ereignissen vorangehen, werden zurückgewiesen. Empfangene Verifizierungsanforderungen mit Daten, die der Schlüssel-Managementsystem-Schlüsselregistrierzeit vorangehen, werden zurückgewiesen.
In der bevorzugten Ausführungsform der vorliegenden Erfindung zeichnet der KMS-Computer 24 die KMS-Anforderungszeit, das heißt, wenn ein Schlüsselanforderungsbefehl von dem Schlüsselverteilcomputer 30 empfangen worden ist, auf. Der PSR-Computer 34 zeichnet die PSR-Installationszeit auf, das ist, wenn ein Schlüsselinstallationsbefehl zu einer Stahlbox 32 geliefert worden ist. Der KMS-Computer 24 zeichnet die KMS-Installationszeit auf, das ist, wenn ein Schlüsselinstallationsverifizierbefehl von dem Schlüsselverteilcomputer 30 empfangen worden ist. Der Digital-Frankierer 36 zeichnet das Frankiererregistrierdatum auf, das ist, wenn ein Indizia-Registrierbefehl von dem Kommunikationsport oder der Benutzerschnittstelle empfangen worden ist. Der KMS-Computer 24 zeichnet die KMS-Schlüsselregistrierzeit auf, das ist, wenn ein Indizia-Registrier-Verifizierbefehl von dem Digital-Frankierer empfangen worden ist.
In einer alternativen Ausführungsform zeichnet die Eichenbox 20 eine Ortszeit auf, wenn der Schlüsselgenerierbefehl von dem KMS-Computer 24 empfangen worden ist. Die Stahlbox 32 zeichnet eine Ortszeit auf, wenn der Schlüsselinstallationsbefehl empfangen worden ist. Die Messingbox 21 zeichnet eine Ortszeit auf, wenn eine Schlüsselverifizieranforderung vom Schlüssel-Managementsystemcomputer 24 empfangen worden ist.
Fehlerbehandlung
Das Schlüssel-Managementsystem 10 stellt einen Satz von Fehlererfassungs- und Meldungsmechanismen für Schlüssel-Managementsystemdienstemeldungen bereit. Probleme können auftreten, wenn Meldungen vorbereitet werden, über Kommunikationsleitungen gesendet werden, empfangen werden oder verarbeitet werden durch die empfangende Partei. Wenn in dem System Fehler erfasst werden, wird die Befehlsquelle bestätigt und ein Eintrag wird vorgenommen in dem Systemfehlerprotokoll.
Nun wird Bezug genommen auf 21, ein eine Übersicht der Fehlerbehandlung zeigendes Blockdiagramm wird bereitgestellt. Fehler in dem System werden in drei unterschiedlichen Ebenen erfasst. Die erste Ebene der Fehlerbehandlung ist implementiert innerhalb des PB232-Protokolls. Dieses Protokoll stellt durch die Verwendung von STX- und ETX-Steuerzeichen eine Rahmenbildung für Meldungen bereit. Meldungsidentifizierung wird bereitgestellt durch die Verwendung von vordefinierten Klassencodes. Meldungsintegrität wird bereitgestellt durch die Verwendung von Fehlererfassungscodes. Wenn die empfangene Meldung diese Mechanismen einhält, wird der Empfänger ein Positiv-Bestätigungssteuerzeichen senden. Wenn nicht, wird der Empfänger ein Nicht-Bestätigungssteuerzeichen senden. Die sendende Komponente kann versuchen, noch einmal ein Senden der Meldung zu probieren oder andere korrektive Aktionen vornehmen. PB232-Fehlerbehandlungsmechanismen sind von konventioneller Art.
Die zweite Ebene der Fehlerbehandlung ist durch die Befehlsbehandlerprozesse des Schlüssel-Managementsystems 10 implementiert. Diese vergleichen den empfangenen Befehl mit einem Satz von erwarteten Befehlen wie in einer Befehlstabelle definiert. Das Befehlsfeld wird verifiziert. Die Anzahl erwarteter Parameter wird geprüft. Die Syntax individueller Parameter wird geprüft. Wenn irgendein Fehler gefunden worden ist in dem Befehl, wird eine Befehlsfehlermeldung zu der Befehlsquelle zurückgesendet.
Die dritte Ebene von Fehlerbehandlung wird durch die Befehlsbehandlerprozesse des Schlüssel-Managementsystems 10 implementiert. Diese vergleichen Parameter in dem Befehl mit einem Satz erwarteter Parameter, wie in einer Konfigurationstabelle definiert. Individuelle Parameter werden gegenüber der Konfigurationstabelle überprüft. Das Zuordnen unterschiedlicher Parameter wird gegenüber der Konfigurationstabelle geprüft. Die Verfügbarkeit von Hardwareressourcen und Datenbankaufzeichnungen wird geprüft. Signaturen von Meldungskomponenten und die Gültigkeit von verschlüsselten Meldungskomponenten wird geprüft. Wenn irgendein Fehler in dem Befehl oder während der Befehlsverarbeitung gefunden worden ist, wird eine Befehlsantwortmeldung mit einem Antwortcode zurückgegeben. Wenn irgendein Fehler in der Antwort gefunden worden ist, wird eine Befehlsantwortfehlermeldung zurückgesendet mit einem Antwortcode.
Initialisierungsrozess
Die folgenden Absätze stellen eine Übersicht des Initialisierungsprozesses einer sicheren Box des Schlüssel-Managementsystems 10 bereit, wie in 22 und 23 gezeigt. Wie zuvor beschrieben, gibt es in der bevorzugten Ausführungsform der vorliegenden Erfindung vier Schlüssel-Managementsystem-Sicherheitsboxarten. Eine Herstellungsbox 23 ist zuständig für Schlüssel-Managementsystem- und Sicherheitsboxinitialisierung. Eine Eichenbox 20 ist zuständig für eine Domänenhauptschlüsselgenerierung. Eine Stahlbox 32 ist zuständig für eine Domänenhauptschlüsselinstallation. Eine Messingbox 21 ist zuständig für eine Domänenhauptschlüsselregistrierung und eine Berechtigungsverifikation. In einer alternativen Ausführungsform ist eine Zinnbox eine Fern-Berechtigungsverifikationsbox.
Nun wird Bezug genommen auf 22, die erste Herstellungsbox muss initialisiert werden. Die Herstellungsbox-Betriebssoftware wird geladen und getestet. Die Sicherheitsbox ID wird initialisiert auf M00000000. Wenn die Herstellungsbox 23 eingeschaltet wird, wird die Sicherheitsbox-ID abgefragt. Wenn sie M00000000 eingestellt ist, wartet die Herstellungsbox 23 auf einen Satz erster Sicherheitsboxeinstell-ID-Meldungen von dem KMS-Computer 24. Der KMS-Computer 24 befiehlt dann der ersten Herstellungsbox 23, die Sicherheitsbox-ID auf M00000001 einzustellen. Die erste Herstellungsbox 23 empfängt und prüft dann die Meldung. Wenn keine Fehler gefunden worden sind, generiert die erste Herstellungsbox 23 eine Operationskombination 101 und einen Satz von Operationsteilschlüsseln 102. Die Operationsteilschlüssel 102 werden auf entfernbare Media geschrieben.
Als nächstes generiert die erste Herstellungsbox 23 zwei RSA-Schlüsselpaare, eines für die Domänenschlüsselsatz-Vertraulichkeit und das andere für die Domänenschlüsselsatz-Authentisierung. Diese Schlüssel werden aufgebrochen in Domänenanteile und auf entfernbare Media geschrieben. Die Schlüssel werden zum Verschlüsseln und Signieren von Domänenschlüsselsätzen verwendet, bevor sie zu dem KMS-Computer 24 gesendet werden und in das Archiv geschrieben werden oder auf entfernbare Media. Die erste Herstellungsbox 23 generiert einen Satz von Sicherheitsbox-Authentisierungsschlüsseln. Ein RSA-Schlüsselpaar wird für jede Art von Box generiert, d. h. für die Herstellungs-, die Eichen-, die Stahl- und die Messingbox. Der öffentliche Schlüssel für jede Boxenart wird auf entfernbare Media geschrieben. Die Schlüssel müssen dann durch den Software-Ingenieur in die Sicherheitsbox-Betriebssoftware geschrieben werden. Nachdem alle Operationsanteile und Authentisierungsschlüssel erfolgreich geschrieben worden sind, wird die Sicherheitsbox-ID eingestellt auf M00000001.
Der KMS-Computer 24 fordert die Herstellungsbox 23 auf, eine Domäne zu kreieren. Die Herstellungsbox 23 richtet die Domänen-ID im internen Speicher ein und generiert den erforderlichen Domänenschlüssel 110, der verschlüsselt wird mit dem Vertraulichkeitsschlüssel des Domänenschlüsselsatzes 103 und signiert wird mit dem Authentisierungsschlüssel des Domänenschlüsselsatzes 103. Die verschlüsselten und signierten Domänenschlüssel werden in das Archiv geschrieben und/oder auf entfernbare Media.
Zusätzliche Herstellungsboxen 23 werden initialisiert durch eine Quellen-Herstellungsbox, die irgendeine Herstellungsbox ist, die initialisiert worden ist. Die Herstellungsbox-Betriebssoftware wird geladen und getestet in jeder zusätzlichen Herstellungsbox 23. Die Sicherheitsbox-ID wird eingestellt auf M00000000. Wenn die Herstellungsbox 23 zum ersten Mal eingeschaltet wird, fragt sie die Sicherheitsbox-ID ab. Wenn diese M00000000 ist, wartet die Herstellungsbox auf eine Sicherheitsboxeinstell-ID-Meldung von der Quellen-Herstellungsbox. Der KMS-Computer 24 befiehlt der Quellen-Herstellungsbox, jede zusätzliche Herstellungsbox 23 zu initialisieren. Die Quellenherstellungsbox ordnet die nächste Herstellungsbox-Sicherheits-ID zu, signiert die Meldung mit dem privaten Herstellungsboxhochfahr-Authentisierungsschlüssel und sendet ihn zur Herstellungsbox 23. Die Herstellungsbox 23 speichert die Sicherheitsbox-ID und generiert einen Herstellungsboxhochfahr-Vertraulichkeitsschlüssel. Die Sicherheitsbox-ID und der öffentliche Hochfahr-Vertraulichkeitsschlüssel werden zurückgesendet zu der Quellen-Herstellungsbox und signiert mit dem privaten Herstellungsboxhochfahr-Authentisierungsschlüssel. Der KMS-Computer 24 befiehlt der Quellen-Herstellungsbox, einen Domänenherstellungsprozess für die Herstellungsbox auszuführen. Die erforderlichen Domänenschlüsselkomponenten werden zu der Herstellungsbox 23 unter Verwendung des Hochfahr-Vertraulichkeitsschlüssels geliefert. Dieser Prozess wird für alle erforderlichen Domänen wiederholt.
Jedes Mal, wenn Domänen hinzugefügt werden zu einer Herstellungsbox 23, müssen andere initialisierte Herstellungsboxen aktualisiert werden, um solche zusätzlichen Domänen wiederzugeben. In der bevorzugten Ausführungsform sind alle initialisierten Herstellungsboxen konfiguriert mit identischen Schlüsseldaten.
Für eine Eichenboxinitialisierung wird die Eichenbox-Betriebssoftware geladen und getestet. Die Sicherheitsbox-ID wird eingestellt auf O00000000. Wenn die Eichenbox 20 zum ersten Mal eingeschaltet wird, fordert sie die Sicherheitsbox-ID an. Wenn diese O00000000 ist, wartet die Eichenbox 20 auf einen Satz von Sicherheitsbox-ID-Meldungen von der Herstellungsbox 23. Der KMS-Computer 24 befiehlt der Herstellungsbox 23, die Eichenbox 20 zu initialisieren. Die Herstellungsbox 23 ordnet die nächste Eichen-Sicherheitsbox-ID zu, signiert die Meldung mit dem privaten Eichenboxhochfahr-Authentisierungsschlüssel und sendet sie zur Eichenbox 20, die die Sicherheitsbox-ID speichert und einen Eichenboxhochfahr-Vertraulichkeitsschlüssel generiert. Die Sicherheitsbox-ID und der öffentliche Hochfahr-Vertraulichkeitsschlüssel werden zurückgesendet zur Herstellungsbox, signiert mit dem öffentlichen Eichenboxhochfahr-Authentisierungsschlüssel. Der KMS-Computer 24 befiehlt der Herstellungsbox 23, einen Domäneneichenprozess für die Eichenbox 20 auszuführen. Die erforderlichen Domänenschlüsselkomponenten werden zur Eichenbox 20 unter Verwendung des Hochfahr-Vertraulichkeitsschlüssels gesendet. Dieser Prozess befähigt die Eichenbox 20, den Domäneneichenprozess 70 für eine Domäne zu implementieren. Dieser Prozess wird wiederholt für alle für eine spezielle Eichenbox erforderlichen Domänen.
Zur Stahlboxinitialisierung wird die Stahlbox-Betriebssoftware geladen und getestet. Die Sicherheitsbox-ID wird eingestellt auf S00000000. Wenn die Stahlbox 32 zum ersten Mal eingeschaltet wird, fragt sie die Sicherheitsbox-ID ab. Wenn sie S00000000 ist, wartet die Stahlbox 32 auf eine Sicherheitsbox-ID-Einstellmeldung von der Herstellungsbox 23. Der KMS-Computer 24 befiehlt der Herstellungsbox 23, die Stahlbox 32 zu initialisieren. Die Herstellungsbox 23 ordnet die nächste Stahl-Sicherheitsbox-ID zu, signiert die Meldung mit dem privaten Stahlboxhochfahr-Authentisierungsschlüssel und sendet sie zur Stahlbox 32. Die Stahlbox 32 speichert die Sicherheitsbox-ID und generiert einen Stahlboxhochfahr-Vertraulichkeitsschlüssel. Die Sicherheitsbox-ID und der öffentliche Hochfahr-Vertraulichkeitsschlüssel werden zurückgesendet zur Herstellungsbox 23, signiert mit dem öffentlichen Stahlboxhochfahr-Authentisierungsschlüssel. Der KMS-Computer 24 befiehlt der Herstellungsbox 23, einen Domänenstahlprozess 76 für die Stahlbox 32 auszuführen. Die erforderlichen Domänenschlüsselkomponenten werden zur Stahlbox 32 geliefert unter Verwendung des Hochfahr-Vertraulichkeitsschlüssels. Dieser Prozess befähigt die Stahlbox 32, den Domänenstahlprozess 76 für eine Domäne zu implementieren. Dieser Prozess wird wiederholt für alle Domänen, die für eine spezielle Stahlbox erforderlich sind.
Zur Initialisierung der Messingbox wird die Messingbox-Betriebssoftware geladen und getestet. Die Sicherheitsbox-ID wird eingestellt auf B00000000. Wenn die Messingbox 21 zum ersten Mal eingeschaltet wird, fragt sie die Sicherheitsbox-ID ab. Wenn diese B00000000 ist, wartet die Messingbox 21 auf eine Sicherheitsbox-ID-Einstellmeldung von der Herstellungsbox 23. Der KMS-Computer 24 befiehlt der Herstellungsbox 23, die Messingbox 21 zu initialisieren. Die Herstellungsbox 23 ordnet die nächste Messing-Sicherheitsbox-ID zu, signiert die Meldung mit dem privaten Messingboxhochfahr-Authentisierungsschlüssel und sendet sie zur Messingbox 21. Die Messingbox 21 speichert die Sicherheitsbox-ID und generiert einen Messingboxhochfahr-Vertraulichkeitsschlüssel. Die Sicherheitsbox-ID und der öffentliche Hochfahr-Vertraulichkeitsschlüssel werden zurückgesendet zur Herstellungsbox 23, signiert mit dem öffentlichen Messingboxhochfahr-Authentisierungsschlüssel. Der KMS-Computer 24 befiehlt der Herstellungsbox 23, einen Domänenmessingprozess für die Messingbox 21 auszuführen. Die erforderlichen Domänenschlüsselkomponenten werden zur Messingbox 21 geliefert unter Verwendung des Hochfahr-Vertraulichkeitsschlüssels. Dieser Prozess befähigt die Messingbox 21, den Domänenmessingprozess für eine Domäne zu implementieren. Dieser Prozess wird wiederholt für alle für eine spezielle Messingbox erforderlichen Domänen.
Generier-, Installations- und Registrier-Prozess
Nun wird Bezug genommen auf 24–27, ein Überblick eines Domänenhauptschlüssel-Installationsprozesses des Schlüssel-Managementsystems 10 ist gezeigt. Es gibt keine Unterschiede zwischen der Händler- und irgendeiner Post-Domäne. Jeder arbeitet in einer ähnlichen unabhängigen Weise. Zum erfolgreichen Installieren eines vollen Satzes von Domänenhauptschlüsseln in den Digital-Frankier 36 läuft ein Satz von Operationen für die Händler-Domäne ab und ein anderer Satz von Operationen läuft für die ausgewählte Post-Domäne ab.
Nun wird Bezug genommen auf 24, 29 und 30, Domänenhauptschlüsselanforderungen kommen von dem Schlüsselverteilcomputer 30 während der Herstellungsprozessherstellung. Bei 300 werden die Anforderungen mit einer Identifikationsnummer der Stahlbox 32 vom Schlüsselverteilcomputer 30 zum KMS-Computer 24 in der Meldung MI0 gesendet. Der KMS-Computer 24 fordert eine Schlüssel-ID bei 302 vom Domänenarchiv 74 an, welches dann eine einzigartige Schlüssel-ID für die Domäne generiert. Bei 304 sendet das Domänenarchiv 74 eine Schlüssel-ID-Antwort an den KMS-Computer 24 in der Meldung MI0'. Der KMS-Computer 24 zeichnet eine Ortszeit für eine Prüfspur auf und bei 306 sendet er Information in einer Schlüsselgeneriermeldung MI1 zur Eichenbox 20. Die Eichenbox 20 prüft die Anforderung zum Bestimmen der Gültigkeit der Domäne, der Gültigkeit der Sicherheitsbox-ID für die Domäne und ob die Schlüssel-ID höher ist als die letzte für diese Domäne verarbeitete. Wenn irgendeine der Prüfungen einen Fehler belegt, sendet die Eichenbox 20 eine Fehlermeldung zum KMS-Computer 24 zurück. Wenn die Prüfungen wahr sind, generiert die Eichenbox 24 einen Domänenhauptschlüssel und einen Satz von Test-Berechtigungen bzw. Tokens. Bei 308 liefert die Eichenbox 20 eine Domänenhauptschlüsselaufzeichnung zum KMS-Computer 24 in der Meldung MI2.
Bei 310 gibt der KMS-Computer 24 die Domänenhauptschlüsselaufzeichnung zum Domänenarchiv 74 in der Meldung MI3 weiter. Das Domänenarchiv 74 speichert die Domänenhauptschlüsselaufzeichnung in der Datenbank und eine Antwort wird zum KMS-Computer 24 bei 312 gesendet. Bei 314 leitet der KMS-Computer 24 die Antwort zur Eichenbox 20 weiter, welche eine Generierantwortmeldung an den KMS-Computer 24 sendet bei 316. Bei 318 sendet der KMS-Computer 24 die Schlüsselinstallationsaufzeichnung zum Schlüsselverteilcomputer 30 in einer Anforderungsantwortmeldung MI4.
Nun wird Bezug genommen auf 25, wenn ein Digital-Frankier 36 in einer Herstellungslinie präsentiert wird, fordert der PSR-Computer 34 eine Installations-Domänenschlüsselaufzeichnung von dem Schlüsselverteilcomputer 30 bei 330 an. Bei 330 sendet der Schlüsselverteilcomputer 30 eine Installations-Domänenschlüsselaufzeichnung zum PSR-Computer in der Meldung MI4', die ferner gesendet wird zur Stahlbox 32 bei 334. Die Stahlbox 32 fordert von dem Digital-Frankier 36 Information, dann sendet sie den Domänenhauptschlüssel in der Meldung MI5 zu dem Digital-Frankier 36. Der Digital-Frankier installiert und prüft den Schlüssel und gibt den Status zurück zur Stahlbox 32, die den Digital-Frankier bezüglich eines Satzes von Frankierertestberechtigungen angefragt hat. Bei 338 werden die Frankierertestberechtigungen in der Meldung MI6 zu der Stahlbox 32 zurückgesendet, die die Frankierertestberechtigungen gegenüber den von der Eichenbox 20 empfangenen prüft. Demnach prüft die Stahlbox 32, dass der von der Eichenbox 24 generierte Domänenhauptschlüssel derselbe ist wie der in dem Digital-Frankier 36 installierte. Bei 340 leitet die Stahlbox 32 den Installationszustand und Information in der Meldung MI7 an den Schlüssel-Managementcomputer 24 durch den PSR-Computer und Schlüsselverteilcomputer 30. Der Schlüssel-Managementcomputer 24 holt eine Domänenhauptschlüsselaufzeichnung vom Domänenarchiv, nimmt bei 342 einen Ortszeitstempel und leitet die Information zur Messingbox 21 in der Meldung MI8. Die Messingbox 21 generiert Testberechtigungen aus der Domänenhauptschlüsselaufzeichnung von dem Domänenarchiv 74. Diese werden verglichen mit den Frankierertestberechtigungen. Diese prüfen, dass der Domänenhauptschlüssel im Domänenarchiv derselbe ist wie der in dem Digital-Frankierer installierte Schlüssel. Wenn sie ausprüfen, wird die Domänenhauptschlüsselaufzeichnung aktualisiert und in der Meldung MI9 zum Schlüssel-Managementcomputer 24 bei 344 weitergeleitet. Der Schlüssel-Managementcomputer 24 leitet in der Meldung MI9 die Domänenhauptschlüsselaufzeichnung zum Domänenarchiv 74 und wenn erfolgreich, gibt er eine Antwort zur Messingbox 21 bei 346. Die Messingbox 21 prüft die Antwort und gibt eine erfolgreiche oder eine fehlerhafte Verifizierung an den KMS-Computer 24 zurück bei 348 und an den Schlüsselverteilcomputer 30 in der Meldung MI10.
Die Schlüsselregistrierung besteht aus dem Zuordnen des Registrierlandes und der Indiza-Nummer mit der Produktcodenummer und dem Schlüssel. Der Schlüssel wird dann in der Landesunterdomäne der installierten Domäne unter Verwendung eines geheimen Schlüssels gespeichert, der spezifisch ist für die Landesunter-Domäne. Das wesentliche Merkmal ist, dass der Messingprozess, der für die Landesunter-Domäne spezifisch ist, von der Installationsdomäne abhängt, um Schlüssel sicher und mit Integrität zu installieren. Schlüssel werden niemals von einer Installations-Domäne zu einer anderen übertragen.
Nun wird Bezug genommen auf 26 und 31, wenn der Digital-Frankierer vorbereitet ist für eine spezifische Sicherheitsdomäne, sind die Indizia-Seriennummer und/oder eine Produktcodenummer in den Digital-Frankierer in einer Meldung MR1 eingegeben. Der PSR-Computer 34 fordert eine Registrierberechtigung vom Digital-Frankierer 36 bei 360 an. Der Digital-Frankierer generiert zwei Digital-Berechtigungen und gibt sie an den PSR-Computer bei 362 zurück. Der PSC-Computer kombiniert die Berechtigungen mit anderer Frankierer-Information und leitet die resultierende Aufzeichnung an den Schlüssel-Managementcomputer 24 durch den Schlüsselverteilcomputer 30 bei 364 weiter. Bei 366 holt der Schlüssel-Managementcomputer 24 eine Domänenhauptschlüsselaufzeichnung von dem Domänenarchiv, nimmt einen Ortszeitstempel und leitet die Information zur Messingbox 21 in der Meldung MR2 weiter. Die Messingbox 21 generiert Registrierberechtigungen von der Domänenhauptschlüsselaufzeichnung von dem Domänenarchiv 74. Diese werden verglichen mit den Frankierer-Registrierberechtigungen. Dies prüft, dass die Indizia-Seriennummer, die Produktcodenummer und die Herstellungsfolgenummer korrekt von dem Digital-Frankierer gemeldet worden sind. Wenn sie ausprüfen, wird die Domänenhauptschlüsselaufzeichnung aktualisiert und weitergeleitet zum KMS-Computer 24 bei 364. Der Schlüssel-Managementcomputer 24 leitet die Domänenhauptschlüsselaufzeichnung zum Domänenarchiv 74 in der Meldung MR3 und wenn erfolgreich, gibt er eine Antwort an die Messingbox 21 bei 370 zurück. Die Messingbox 21 prüft die Antwort und gibt eine erfolgreiche oder fehlerhafte Verifizierung in der Meldung MR4 an den Schlüssel-Managementcomputer 24 bei 372 zurück.
Jede Domäne hat mindestens enie Unterdomäne, die zuständig ist für das Registrieren von Schlüsseln zu Indizia-Nummern und das Durchführen von Indizia-Verifizierung innerhalb dieser Unterdomäne. Insbesondere die Welt-Domäne hat hat einige Länder-Unterdomänen. Es ist möglich, für ein Land Frankierreihen einer Unterdomäne der Welt-Domäne zu haben und Frankierer in der einzigartigen Unterdomäne seiner eigenen Post-Domäne. In dem in 32 gezeigten Beispiel hat das Land 3 sowohl eine einzigartige Post-Domäne als auch eine Post-Unterdomäne der Welt-Domäne. Jedoch hat das Land A nur Frankierer, die Schlüssel haben, welche innerhalb der einzigartigen Post-Domäne dieses Landes installiert sind.
Nun wird auf 27 Bezug genommen, wenn ein Digital-Frankierer außer Betrieb genommen wird, wird die Information aufgezeichnet und zum KMS-Computer 24 gesendet. Der Schlüssel-Managementcomputer 24 holt eine Domänenhauptschlüsselaufzeichnung vom Domänenarchiv, nimmt einen Ortszeitstempel vor und leitet Information zur Messingbox 21 weiter bei 380. Die Domänenhauptschlüsselaufzeichnung wird aktualisiert und weitergeleitet zum Schlüssel-Managementcomputer 24 bei 382. Der Schlüssel-Managementcomputer leitet die Domänenhauptschlüsselaufzeichnung zum Domänenarchiv weiter und wenn erfolgreich, gibt er eine Antwort zurück zu der Messingbox 21 bei 384. Die Messingbox 21 prüft die Antwort und gibt eine erfolgreiche oder fehlerhafte Verifizierung zum Schlüssel-Managementcomputer 24 bei 386 zurück.
Generieren von Berechtigungen
Jeder Frankierer verwendet den Domänenhauptschlüssel der verwendet wird zum Generieren einer Berechtigung von Poststückdaten. Das Schlüssel-Managementsystem kann temporäre Post-Schlüssel verteilen zum Autorisieren von Postverifizierungsstandorten mit einer Verteilerberechtigungsverifizierbox 44 (1), auf die hier auch Bezug genommen wird als Zinnbox. Die temporären Post-Schlüssel werden von der Zinnbox 44 verwendet zur lokalen Verifizierung von Indizia. Unter dieser Anordnung stellt das Schlüssel-Managementsystem eine höhere Ebene von Sicherheit bereit, weil die Post lokale Verifizierung von Indizia ohne das Verteilen der Hauptschlüsseldatenbank an mehrere Standorte erhalten kann.
Verifizierungsprozess
Die folgenden Absätze stellen eine Übersicht des Verifizierungsprozesses des Schlüssel-Managementsystems 10 dar. Es gibt keine Unterschiede zwischen der Händler- und irgendeiner Post-Domäne. Jede arbeiten auf ähnliche Weise unabhängig. Zum erfolgreichen Verifizieren beider Berechtigungen läuft ein Satz von Operationen für die Händler-Domäne ab und ein anderer Satz von Operationen läuft für die ausgewählte Post-Domäne ab.
Berechtigungsverifikationsanforderungen kommen von einem in einer Postversandanlage 18 angeordneten Datenfesthaltesystem 19. Die Anforderung enthält eine ASCII-Textwiedergabe von auf einem physikalischen Poststück aufgedruckter Information. Nun wird Bezug genommen auf 28, bei 400 wird die Anforderung zu einem Schlüssel-Managementcomputer 24 gesendet, der in den Händler- oder Datenzentren angeordnet ist. Der Schlüssel-Managementcomputer 24 inspiziert die Poststückdatenprüfziffern und nimmt Korrekturen vor, wenn erforderlich. Der Schlüssel-Managementcomputer 24 holt eine Domänenhauptschlüsselaufzeichnung vom Domänenarchiv und leitet die Information zur Messingbox 21 weiter bei 402. Die Messingbox 21 prüft die Anfrage und verifiziert, ob der Welt-Domänenhauptschlüssel aktiv ist. Die Messingbox 21 berechnet die Berechtigung der ausgewählten Domäne neu unter Verwendung des Welt-Domänenhauptschlüssels von dem Domänenarchiv und der Poststückinformation. Die berechnete Berechtigung wird verglichen mit der Poststückberechtigung zum Sehen, ob sie übereinstimmen. Ein Gut/Schlecht-Vergleichsergebnis wird an den KMS-Computer 24 bei 404 gesendet. Ein zweites Beispiel ist in 28 gezeigt zum Unterstreichen, dass eine zusätzliche Verifizierung erforderlich ist zum Verifizieren der anderen Domänenberechtigung.
Die vorangegangene Beschreibung der vorliegenden Erfindung ist die bevorzugte Ausführungsform, wobei die Post einen Händler autorisiert hat, Post-Hauptschlüssel zu generieren und sie in Digital-Frankierern zu installieren. Die Schlüssel werden dann zum Postdatenzentrum 16 gesendet, um verwendet zu werden für Postberechtigungsvalidierung. Das Schlüssel-Managementsystem schließt die Möglichkeit ein für unterschiedliche Verteilung von Funktionalität, Sicherheitsboxen und Datenbanken. Beispielsweise autorisiert eine Post in einem anderen Beispiel den Händler oder eine andere Partei zum Warten und Betreiben des Postdatenzentrums 16 einschließlich der Funktionen der Post-Schlüsselgenerierung, Wartung, Berechtigungsvalidierung und des Kommunizierens der Schlüssel zu Händlern. In dieser Ausführungsform sind die Post-Messingbox 40 und das Post-Schlüsselarchiv 42 physikalisch am Standort des Händlers angeordnet oder einer anderen Partei. In einer anderen Ausführungsform organisiert die Post ihr Datenzentrum und die Post-Eichenbox 22 ist physikalisch im Postdatenzentrum 16 angeordnet.
In einer anderen alternativen Ausführungsform (nicht dargestellt) könnte irgendeine Kombination der Schlüssel-Managementsystemfunktionalität, d. h. Domäneneichenprozess, Domänenstahlprozess oder Domänenmessingprozess in irgendwelche der Sicherheitsboxen integriert sein.
Demnach wird verstanden, dass das Schlüssel-Managementsystem eine inhärente Flexibilität hat, die es unterschiedlichen Domänen, d. h. Postämtern erlaubt, unterschiedliche physikalische Implementierungen desselben logischen Schlüssel-Managementsystems zu implementieren. Das Schlüssel-Managementsystem stellt eine solche Flexibilität bereit während des Aufrechterhaltens eines hohen Pegels an Systemintegrität und Sicherheit. Es ist ferner verständlich, dass die vorliegende Erfindung es mehreren Händlern erlaubt, mehrere Postämter zu unterstützen.
Die vorliegende Erfindung ist für eine bevorzugte Ausführungsform beschrieben, die sich auf einen Digital-Portofrankiererbeweis bezeiht. Fachleuten ist verständlich, dass die vorliegende Erfindung auch geeignet ist für die Verwendung als Schlüssel-Managementsystem für Transaktionsbelege im allgemeinen wie zum Beispiel für Geldtransaktionen, Gegenstandstransaktionen und Informationstransaktionen.
Wie hier verwendet, bezieht sich der Ausdruck ”Digital-Portofrankierer” auf konventionelle Arten von Digital-Portofrankierern, die gekoppelt sind an sichere Druckvorrichtungen und andere Arten digitaler Portofrankierer, die gekoppelt sind an unsichere Druckvorrichtungen oder andere Konfigurationsunterschiede haben von solchen konventionellen Digital-Portofrankieren.
Während die vorliegende Erfindung offenbart und beschrieben worden ist unter Bezugnahme auf eine einzelne Ausführungsform davon ist offenbar, wie oben erwähnt, dass Variationen und Modifikationen darin vorgenommen werden können innerhalb des Schutzbereiches der folgenden Patentansprüche.

Claims

Verfahren zum Herstellen einer Ziel-Sicherheitsbox in einem Schlüssel-Managementsystem, das eine Vielzahl von funktionell ausgeprägten Sicherheitsboxen einschließt, wobei das Verfahren die Schritte umfasst: a) Initialisieren einer ersten Herstellungsbox, wenn eine solche nicht existiert; b) Kreieren von mindestens einer Sicherheitsdomäne, welche durch einzigartige Domänen-Authentifikation und Vertraulichkeitsschlüssel durchgesetzt wird, welcher Ausdruck eine Domäne bedeutet, die einen vollen Satz von Schlüsselgenerierung, Schlüsselverteilung, Schlüsselinstallation und Berechtigungsverifikationsdiensten bereitstellt einschließlich Verschlüsselungsschlüsseln, die zum Durchführen von Schlüssel-Managementsystemprozessen innerhalb der Domäne benötigt werden in einer Herstellungsbox; c) Bereitstellen einer Ziel-Sicherheitsbox mit der Fähigkeit des Durchführens mindestens einer Schlüssel-Managementsystemfunktion aus einer Vielzahl von Funktionen, die von dem Schlüssel-Managementsystem erfordert werden; d) Authentifizieren der Ziel-Sicherheitsbox zu der Herstellungsbox; e) Installieren einer einzigartigen Sicherheitsboxidentifikation in der Ziel-Sicherheitsbox; f) Kreieren mindestens einer logischen Sicherheitsdomäne in der Ziel-Sicherheitsbox entsprechend einer logischen Sicherheitsdomäne in der Herstellungsbox; g) Senden eines Befehls von einem Schlüssel-Managementsystemcomputer zum Initialisieren der Ziel-Sicherheitsbox zum Ausführen eines Domänenprozesses für mindestens eine der Schlüssel-Managementsystemfunktionen, die innerhalb der Ziel-Sicherheitsbox bereitgestellt sind; und h) Initialisieren der Ziel-Sicherheitsbox in jedem Domänenprozess, der in dem Befehl von dem Schlüssel-Managementsystemcomputer angezeigt wird.
Verfahren nach Anspruch 1, wobei die Ziel-Sicherheitsbox mit einer Schlüsselgenerierungsfunktion bereitgestellt wird und Schritt h den Schritt umfasst: In der Ziel-Sicherheitsbox, Installieren der Verschlüsselungsschlüssel, die benötigt werden, einen Schlüsselgenerierungsprozess innerhalb der Domäne auszuführen.
Verfahren nach Anspruch 1 oder 2, wobei die Ziel-Sicherheitsbox mit einer Berechtigungsverifikationsfunktion ausgestattet ist und Schritt h den Schritt umfasst: In der Ziel-Sicherheitsbox, Installieren der Verschlüsselungsschlüssel, die benötigt werden, einen Berechtigungsverifikationsprozess innerhalb der Domäne auszuführen.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Ziel-Sicherheitsbox mit einer Schlüsselinstallationsfunktion ausgestattet ist und Schritt h den Schritt umfasst: In der Ziel-Sicherheitsbox, Installieren der Verschlüsselungsschlüssel, die benötigt werden, einen Schlüsselinstallationsprozess innerhalb der Domäne durchzuführen.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Ziel-Sicherheitsbox mit einer Berechtigungsverifikationsfunktion ausgestattet ist und Schritt h den Schritt umfasst: In der Ziel-Sicherheitsbox, Installieren der Verschlüsselungsschlüssel, die benötigt werden, einen Berechtigungsverifikationsprozess innerhalb der Domäne durchzuführen.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Ziel-Sicherheitsbox mit einer Schlüsselregistrationsfunktion ausgestattet ist und Schritt h den Schritt umfasst: In der Ziel-Sicherheitsbox, Installieren der Verschlüsselungsschlüssel, die benötigt werden, einen Schlüsselregistrationsprozess innerhalb der Domäne durchzuführen.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Ziel-Sicherheitsbox mit einer Sicherheitsboxherstellungsfunktion ausgestattet ist und Schritt h den Schritt umfasst: In der Ziel-Sicherheitsbox, Installieren der Verschlüsselungsschlüssel, die benötigt werden, einen Sicherheitsboxherstellungsprozess innerhalb der Domäne durchzuführen.
Verfahren nach einem der vorhergehenden Ansprüche, wobei Schritt a den Schritt umfasst: Kreieren der ersten Herstellungsbox mit einem uninitialisierten Indikator; Senden eines Befehls zum Initialisieren der ersten Herstellungsbox vom Schlüssel-Managementsystemcomputer zur ersten Herstellungsbox; Generieren einer Operationskombination und eines entsprechenden Satzes von Operationsanteilen in der ersten Herstellungsbox; Speichern der Operationsanteile auf einem entfernbaren Datenträger; Generieren von Schlüsselmaterial für Domänenschlüsselsatzvertraulichkeit in der ersten Herstellungsbox; Generieren von Schlüsselmaterial für Domänenschlüsselsatzauthentisierung in der ersten Herstellungsbox; Generieren eines Satzes von Domänenanteilen in der ersten Herstellungsbox und Speichern des Satzes von Domänenanteilen auf entfernbarem Datenträger; Generieren eines Satzes von Sicherheitsboxauthentisierungsschlüssel in der ersten Herstellungsbox; Speichern der Sicherheitsboxauthentisierungsschlüssel auf entfernbarem Datenträger; und Einstellen einer ersten Herstellungsboxidentifizierung in der ersten Herstellungsbox zum Anzeigen eines initialisierten Zustands.
Eine Ziel-Sicherheitsbox erhältlich durch das Herstellungsverfahren eines der vorhergehenden Ansprüche.
Ein Schlüssel-Managementsystem bestehend aus einer Sicherheitsbox nach Anspruch 9.