DE69636584T2 - Verfahren zur Schlüsselverteilung und Verifizierung in einem Schlüsselverwaltungssystem - Google Patents

Verfahren zur Schlüsselverteilung und Verifizierung in einem Schlüsselverwaltungssystem Download PDF

Info

Publication number
DE69636584T2
DE69636584T2 DE69636584T DE69636584T DE69636584T2 DE 69636584 T2 DE69636584 T2 DE 69636584T2 DE 69636584 T DE69636584 T DE 69636584T DE 69636584 T DE69636584 T DE 69636584T DE 69636584 T2 DE69636584 T2 DE 69636584T2
Authority
DE
Germany
Prior art keywords
key
domain
container
credential
transaction information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69636584T
Other languages
English (en)
Other versions
DE69636584D1 (de
Inventor
John F. Weston Braun
Robert A. Danbury Cordery
Frank M. Derby D'Ippolito
Kathryn V. Branford Lawton
Steven J. New Milford Pauly
Leon A. West Hartford Pintsov
Jr. Frederick W. Oxford Ryan
Jr. Monroe A. Trumbull Weiant
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pitney Bowes Inc
Original Assignee
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pitney Bowes Inc filed Critical Pitney Bowes Inc
Application granted granted Critical
Publication of DE69636584D1 publication Critical patent/DE69636584D1/de
Publication of DE69636584T2 publication Critical patent/DE69636584T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00854Key generation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • G07B2017/00887Key distribution using look-up tables, also called master tables with pointers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00895Key verification, e.g. by using trusted party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Multi Processors (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Description

  • Die vorliegende Erfindung bezieht sich allgemein auf ein System zur Verwaltung kryptographischer Schlüssel und im Besonderen auf ein System zur Schlüsselverwaltung von zu Frankiermaschinen verteilten kryptographischen Schlüsseln.
  • Die vorliegende Erfindung bezieht sich auf drei Europäische Anmeldungen, die den U.S. Anmeldungen 08/415,824, 08/414,896 und 08/414,563 entsprechen und die gleichzeitig hiermit eingereicht und dem Bevollmächtigten der vorliegenden Erfindung zugeteilt worden sind.
  • Die digitale Drucktechnologie hat Postversendern das Realisieren digitalen, das heißt Bitweise adressierbaren, Druckens in einer angenehmen Weise ermöglicht. Es ist als wünschenswert festgestellt worden, solche Techniken zum Zweck des Nachweisens einer Portoentrichtung zu verwenden. Technologische Fortschritte in der digitalen Drucktechnologie haben das Drucken von Porto-Freistempeln bzw. Porto-Freimachungsvermerken ermöglicht, die für jedes Poststück eindeutig sind. Ein Computer-getriebener Drucker kann zum Beispiel einen Post-Freistempel auf eine gewünschte Stelle auf der Oberseite eines Poststücks drucken. Der Freistempel ist eindeutig, weil er eine sich direkt auf das Poststück beziehende Information enthält, zum Beispiel einen Portowert, ein Datum, eine Stückzahl und/oder eine Herkunftspostleitzahl.
  • Aus der Sicht einer Post wird erkannt, dass die digitale Druck- und Abtasttechnologie es ziemlich einfach macht, einen postalischen Wert tragenden Freistempel zu fälschen, da jeder geeignete Computer und Drucker zum Erzeugen vielfacher Kopien eines Bildes verwendet werden kann.
  • Um ein Poststück zu validieren bzw. für gültig zu erklären, das heißt zum Sicherstellen, dass das Abrechnen für den auf ein Poststück gedruckten postalischen Betrag korrekt durchgeführt worden ist, ist es bekannt, dass man als Teil der Frankierung eine verschlüsselte Zahl aufnehmen kann, so dass zum Beispiel der Wert der Frankierung von der Verschlüsselung bestimmt werden kann, um zu ersehen, ob der auf das Poststück gedruckte Wert korrekt ist. Man betrachte zum Beispiel U.S. Patent Nr. 4,757,537 und 4,775,246 von Edelmann et al., und auch U.S. Patent Nr. 4,649,266 von Eckert. Es ist auch bekannt, ein Poststück zu authentisieren durch Aufnehmen der Adresse als einen weiteren Teil der Verschlüsselung wie in U.S. Patent Nr. 4,725,718 von Sansone et al. und U.S. Patent Nr. 4,743,747 von Fougere et al. beschrieben.
  • U.S. Patent Nr. 5,170,044 von Pastor beschreibt ein Verfahren und eine Vorrichtung für die Darstellung von binären Daten in der Form eines Freistempels mit einer binären Gruppe von Pixeln. Die tatsächlichen Gruppierungen von Pixeln werden abgetastet, um den Lieferanten des Poststücks zu identifizieren und um andere verschlüsselte Klartextinformation wieder herzustellen. U.S. Patent Nr. 5,142,577 von Pastor beschreibt verschiedene Alternativen für das DES-Codieren zum Verschlüsseln einer Nachricht und zum Vergleichen der entschlüsselten postalischen Information mit der Klartextinformation auf dem Poststück.
  • U.S. Patent Nr. 5,390,251 von Pastor et al. beschreibt ein System zum Steuern bzw. Kontrollieren der Gültigkeit eines Freistempel-Druckens auf Poststücke von einer potentiell großen Anzahl von Benutzern von Frankiermaschinen, das eine in jeder Frankiermaschine eingerichtete Vorrichtung beinhaltet zum Erzeugen eines Codes und zum Drucken des Codes auf jedes Poststück. Der Code ist ein verschlüsselter Code, stellvertretend für die den Freistempel druckende Vorrichtung und andere Information eindeutig bestimmend hinsichtlich der Rechtmäßigkeit von Porto auf den Poststücken.
  • Eine digitale Frankiermaschine stellt einen Nachweis der Portoentrichtung bereit durch Signieren der postalischen Information auf dem Briefumschlag mit zwei "digitalen Token". Ein digitales Token stellt den Nachweis für den Post-Dienst bereit, und das zweite digitale Token stellt den Nachweis für den Verkäufer dar, wie den Bevollmächtigten der vorliegenden Erfindung. Ein digitales Token ist eine Trunkierung des Ergebnisses vom Verschlüsseln von Poststempel-Information, die zum Beispiel Portowert, Stückzahl, Datum der Aussendung und Ausgangspostamt beinhalten.
  • Eine neue Klasse von digitalen Zählern bzw. digitalen Frankiermaschinen wird entwickelt, die kryptographische Mittel zum Erzeugen eines Nachweises der Portoentrichtung einsetzen. Die Verschlüsselung wird durchgeführt mit Verwenden eines kryptographischen Schlüssels. In jeder digitalen Frankiermaschine werden unabhängige Schlüssel zum Erzeugen der digitalen Token verwendet. Aus Sicherheitsgründen sind die Schlüssel in verschiedenen Frankiermaschinen ebenfalls unabhängig. Die Information über die Frankiermaschine und die Poststücke wird zusammengefasst und verschlüsselt mit den Verkäufer- und Post-Hauptschlüsseln oder davon abgeleiteten Schlüsseln. Teile der resultierenden Information werden auf das Poststück als digitale Token gedruckt. Die Information und die Token können durch ein Gerät verifiziert werden, das die Information in der selben Weise verarbeitet und die resultierenden digitalen Token mit den auf dem Poststück gedruckten vergleicht.
  • Ein Schlüssel-Verwaltungssystem wird zum Verteilen von kryptographischen Schlüsseln an digitale Frankiermaschinen auf eine sichere und zuverlässige Weise benötigt. Das Schlüssel-Verwaltungssystem muss Mittel zum Überprüfen von Freistempeln und digitalen Token beinhalten, um die betrügerisch erzeugten Freistempel und duplizierte Freistempel zu erfassen.
  • Es ist erwünscht, dass das Schlüssel-Verwaltungssystem die Fähigkeit zur Herstellen von Frankierern ohne Zuweisung der Frankierer zu Zielländern hat, d.h. das Herstellen von generischen Frankierern, die bevorratbar sind. Jedoch bildet das Herstellen von generischen Frankierern ein Problem, das entweder den Bedarf des Installierens eines Schlüssels im Feld unterbreitet oder den Bedarf, den Schlüssel zwischen Domänen zu übersetzen. Jede der Alternativen stellt eine signifikante Sicherheits- und Schlüsselintegritätsbedrohung dar. Es ist erwünscht, dass ein Schlüssel-Verwaltungssystem eine Einrichtung einbezieht, die derartige Probleme verhindert.
  • Resümee der Erfindung
  • In Übereinstimmung mit der vorliegenden Erfindung Stellt ein Verfahren zur Token- oder Merkmalsschlüssel-Verifizierung in einem Schlüsselmanagementsystem einen logischen Einrichtungsidentifizierer und einen in einer logischen Sicherheitsdomäne erzeugten Hauptschlüssel für eine Transaktionsnachweiseinrichtung wie einen digitalen Frankierer bereit. Das Verfahren erstellt eine Hauptschlüsselaufzeichnung in einem Schlüssel-Verifizierungsbehälter, speichert die Hauptschlüssel-Aufzeichnung in sicherer Weise in einem Archiv des Schlüsselmanagementsystems und erzeugt in der Transaktionsnachweiseinrichtung einen Transaktionsinformations-Integritätsnachweis in der logischen Sicherheitsdomäne. Das Verfahren gibt den Transaktionsinformations-Integritätsnachweis in den Token-Verifizierungsbehälter ein und gibt in den Token-Verifizierungsbehälter die Hauptschlüsselaufzeichnung von dem Archiv des Schlüsselmanagementsystems ein. Das Verfahren Bestimmt in dem Token-Verifizierungsbehälter, dass der Hauptschlüssel in der logischen Sicherheitsdomäne gültig ist, Verwendet den Hauptschlüssel in dem Token-Verifizierungsbehälter zum Verifizieren des Transaktionsinformations-Integritätsnachweises, und gibt eine Anzeige des Ergebnisses der Verifizierung des Transaktionsinformations-Integritätsnachweises aus dem Token-Verifizierungsbehälter aus.
  • Die Hauptschlüsselaufzeichnung schließt einen logischen Einrichtungsidentifizierer ein, den Hauptschlüssel und eine dem logischen Einrichtungsidentifizierer und dem Hauptschlüssel zugeordnete digitale Signatur. Das Verfahren überprüft die digitale Signatur zum Verifizieren der Zuordnung des Einrichtungsidentifizierers und des Hauptschlüssels innerhalb der logischen Sicherheitsdomäne.
  • In Übereinstimmung mit der vorliegenden Erfindung wird ein Verfahren zur Token-Verifizierung in einem Schlüsselmanagementsystem jeweils durch die Merkmale der Ansprüche 1 bw. 5 definiert.
  • Das Schlüssel-Verwaltungssystem schließt eine Einrichtng ein zum Erzeugen, Verteilen und Verwalten kryptographischer Schlüssel, die von einem Informationstransaktionssystem verwendet werden, das kryptographische Mittel zum Erzeugen eines Nachweises einer Informationsintegrität einsetzt. Das System umfasst eine Mehrzahl von funktional unterschiedlichen sicheren Behältnissen bzw. Boxen (die Begriffe Behälter, Behältnis und Box werden in diesem Text synonym verwendet), die wirksam miteinander verbunden sind. Jedes der sicheren Behältnisse führt Funktionen zur Schlüssel-Erzeugung, Schlüsselinstallation, Schlüsselüberprüfung oder Validierung von Token durch. Mit den sicheren Behältnissen wirksam verbundene Computer stellen eine Systemsteuerung bzw. Systemkontrolle bereit und ermöglichen eine Kommunikation zwischen den sicheren Behältnissen. Eine Mehrzahl von separaten logischen Sicherheitsdomänen stellt Domänenprozesse zur Schlüssel-Erzeugung, Schlüsselinstallation, Schlüsselverifizierung und Validierung von Token bereit, die durch das Transaktionsnachweisgerät innerhalb der die Schlüsselverwaltungsfunktionen verwendenden Domäne erzeugt worden sind. Eine Mehrzahl von Domänenarchiven, die jeweils zu den Sicherheitsdomänen korrespondieren, zeichnen sicher und zuverlässig Schlüsselstatusaufzeichnungen und Hauptschlüssel für jede Domäne auf. Das Schlüssel-Verwaltungssystem installiert die Hauptschlüssel in dem Transaktionsnachweisgerät und validiert die Token. Die sicheren Behältnisse beinhalten ein Schlüssel-Erzeugungsbehältnis zum Erzeugen, Verschlüsseln und Signieren eines Hauptschlüssels; ein Schlüsselinstallationsbehältnis zum Empfangen, Überprüfen und Entschlüsseln des signierten Hauptschlüssels und zum Installieren des Hauptschlüssels in das Transaktionsnachweisgerät; ein Schlüsselüberprüfungsbehältnis zum Überprüfen der Installation des Hauptschlüssels in das Transaktionsnachweisgerät, ein Token-Überprüfungsbehältnis zum Überprüfen des Tokens, und mindestens ein Herstellungsbehältnis zum Erzeugen von Domänenschlüsseln und Verteilen der Domänenschlüssel unter den sicheren Behältnissen für jede der Domänen.
  • Gemäß der Ausführungsform der vorliegenden Erfindung erzeugt und verteilt ein Schlüssel-Verwaltungssystem kryptographische Schlüssel, wie Verkäufer-Schlüssel, US-Postdienst-Schlüssel und Post-Schlüssel von anderen Ländern an digitale Frankiermaschinen für mehrere Domänen. Eine Domäne ist eine logische Trennung von Daten und Funktionen, erzwungen durch eindeutige Domänenauthentifizierung und Vertraulichkeitsschlüssel. Das Schlüssel-Verwaltungssystem verhindert eine Übertragung von Schlüsseln zwischen Domänen, stellt eine Sicherheit in einer Domäne bereit, das die Schlüssel in der Domäne erzeugt waren, und das sie nur in einer Frankiermaschine durch das System installiert worden sind. Das Schlüssel-Verwaltungssystem verteilt und unterhält sicher kryptographische Schlüssel für mehrere Domänen. Ferner ist das Schlüssel-Verwaltungssystem strukturiert, so dass die Schlüsselverwaltung für alle Domänen identisch ist.
  • Das Schlüssel-Verwaltungssystem unterstützt die folgenden Sicherheitserfordernisse: (i) Zähler-Schlüssel sind immer vertraulich; (ii) die Fähigkeit zum Verifizieren von Freistempel-Information besteht für die Lebensdauer des Systems; (iii) der Status der Frankiermaschinen-Hauptschlüssel muss immer sorgfältig bewahrt werden; (iv) die Trennung von Domänen muss bewahrt werden, um Freistempel zu erzeugen und zu überprüfen; und (v) ein Schlüssel wird nur einmal installiert oder es wird nur einmal versucht, den Schlüssel zu installieren.
  • Beschreibung der Zeichnungen
  • Die obigen und andere Ziele und Vorteile der vorliegenden Erfindung werden offensichtlich bei Berücksichtigung der folgenden detaillierten Beschreibung, in Verbindung genommen mit den begleitenden Zeichnungen, in denen ähnliche Referenzzeichen durchweg auf ähnliche Teile verweisen, und in denen zeigt:
  • 1 ein Blockdiagramm eines Systems zur kryptographischen Schlüsselverwaltung und Validierung gemäß einer Ausführungsform der vorliegenden Erfindung;
  • 2 ein Blockdiagramm, das die Beziehung der Sicherheitsdomänen in dem Schlüsselverwaltungs- und Validierungssystem von 1 zeigt;
  • 3 ein Blockdiagramm einer Verkäufer-Datenzentrale in dem Schlüsselverwaltungs- und Validierungssystem von 1;
  • 4 ein Blockdiagramm der Verkäufer-Herstellungseinrichtung in dem Schlüsselverwaltungs- und Validierungssystem von 1;
  • 5 ein Blockdiagramm einer postalischen Datenzentrale in dem Schlüsselverwaltungs- und Validierungssystem von 1;
  • 6 ein Blockdiagramm, das die Verwaltungsdomäne eines Herstellungsbehältnisses in dem Schlüsselverwaltungs- und Validierungssystem von 1 zeigt;
  • 7 ein Flussdiagramm eines Schlüsselverwaltungsprozesses;
  • 8 ein Flussdiagramm zur Schlüsselidentifizierung;
  • 9 ein Blockdiagramm des Schlüsselmaterials für das Herstellungsbehältnis;
  • 10 ein Blockdiagramm des Schlüsselmaterials für das Eiche-Behältnis ist;
  • 11 ein Blockdiagramm des Schlüsselmaterials für das Stahl-Behältnis;
  • 12 ein Blockdiagramm des Schlüsselmaterials für das Messing-Behältnis ist;
  • 13 ein Flussdiagramm eines digitalen Zählerprozesses der Welt-Domäne;
  • 14 ein Flussdiagramm von gültigen Hauptschlüssel-Status-Übergängen;
  • 15 ein Blockdiagramm von gültigen Hauptschlüssel-Status-Übergängen;
  • 16 eine Nachricht von einem Eiche-Behältnis zu einem Messing-Behältnis;
  • 17 eine Nachricht von einem Eiche-Behältnis zu einem Stahl-Behältnis;
  • 18 ein logisches Diagramm zur Schlüssel-Neuheit-Erfassung;
  • 19 eine Nachricht von einem Stahl-Behältnis zu einem Messing-Behältnis;
  • 20 eine Nachricht von einem Zähler zu einem Messing-Behältnis;
  • 21 ein Blockdiagramm einer Fehlerbehandlung;
  • 22 ein Flussdiagramm einer Initialisierung eines ersten Herstellungsbehältnisses;
  • 23 ein Flussdiagramm einer Initialisierung eines generischen Behältnisses;
  • 24 ein Flussdiagramm des Verarbeitens einer Schlüsselanforderung;
  • 25 ein Flussdiagramm des Verarbeitens einer Schlüsselinstallation;
  • 26 ein Flussdiagramm des Verarbeitens einer Schlüsselregistrierung;
  • 27 ein Flussdiagramm des Verarbeitens eines veralteten Schlüssels;
  • 28 ein Flussdiagramm eines Überprüfungsverarbeitens;
  • 29 ein Blockdiagramm, das den Ablauf von Schlüsselinstallations-Nachrichten zeigt;
  • 30 eine Tabelle der Schlüsselinstallations-Nachrichten von 29;
  • 31 eine Tabelle von Schlüsselregistrierungs-Nachrichten; und
  • 32 ein Blockdiagramm, das die Beziehung von Domänen und Unter-Domänen zeigt.
  • DETAILLIERTE BESCHREIBUNG DER VORLIEGENDEN ERFINDUNG
  • Beim Beschreiben der vorliegenden Erfindung wird auf die Zeichnungen verwiesen, in denen verschiedene Aspekte von einem Schlüsselverwaltungs- und Validierungssystem gesehen werden können, das hier im Folgenden auch als Schlüssel-Verwaltungssystem bezeichnet wird.
  • SYSTEMÜBERBLICK
  • Bezugnehmend auf 1, stellt ein Blockdiagramm eines Schlüssel-Verwaltungssystems einen Überblick des Orts- und Informationsablaufs der Schlüssel-Verwaltungssystem-Komponenten bereit. Das Schlüssel-Verwaltungssystem, allgemein mit 10 gekennzeichnet, umfasst Verkäufer-Einrichtungen 12 und 14 und Posteinrichtungen 16 und 18. Der Verkäufer ist die Einheit, die das Schlüssel-Verwaltungssystem verwaltet. Das Schlüssel-Verwaltungssystem 10 beinhaltet eine Mehrzahl von funktional zweckgebundenen sicheren Behältnissen, Computern und Kommunikationsleitungen. Gemäß der vorliegenden Erfindung stellt das Schlüssel-Verwaltungssystem 10 Herstellungs- und Betriebsunterstützung für eine neue Generation von digitalen Zähl- bzw. Frankiermaschinen-Produkten bereit. Der Bezug zu digitalen Zählern bzw. Frankiermaschinen und digitalen Zähl- bzw. Frankiermaschinen-Produkten wird hier auf solch eine neue Generation von digitalen Frankiermaschinen-Produkten erfolgen. Es wird angemerkt, dass die vorliegende Erfindung geeignet ist zum Verwalten der Erzeugung, Verteilung von kryptographischen Schlüsseln und auch der Verifikation von kryptographischen Daten für andere Anwendungen.
  • Gemäß der vorliegenden Erfindung, werden Verkäufer- und Post-Hauptschlüssel erzeugt, archiviert und installiert in Frankiermaschinen durch Komponenten des Schlüssel-Verwaltungssystems 10. Post-Token-Schlüssel werden abgeleitet, verteilt und verwendet für die Fernüberprüfung durch Komponenten des Schlüssel-Verwaltungssystems 10. Verkäufer- und Post-Token werden verifiziert durch Komponenten des Schlüssel-Verwaltungssystems 10.
  • Das Schlüssel-Verwaltungssystem 10 unterstützt die Installation und Langzeit-Instandhaltung von Verschlüsselungsschlüsseln in digitalen Frankiermaschinen-Produkten. Die Erzeugung von Hauptschlüsseln wird unterstützt durch Hauptschlüssel-Erzeugungsbehältnisse 20 und 22, die hier auch als Eiche-Behältnisse bezeichnet werden, einen beigefügten Schlüssel-Verwaltungssystem-Computer 24, der hier auch als KMC bezeichnet wird, und einen Archiv-Server 25. Die Verteilung von Hauptschlüsseln wird durch einen Schlüsselverteilungscomputer 30 unterstützt, der hier auch als KDC bezeichnet wird. Die Installation von Hauptschlüsseln wird durch ein Hautpschlüsselinstallationsbehältnis 32 unterstützt, das hier auch als Stahl-Behältnis bezeichnet wird, und einen beigefügten Parametrisierungs-Saat- und Registrierungs-Computer (PSR) 34. Die zentralisierte Verifikation von gedruckten digitalen Token wird unterstützt durch Token-Überprüfungsbehältnisse 21 und 40, die auch hier als Messing-Behältnisse bezeichnet werden, und beigefügte jeweilige Schlüssel-Verwaltungssystem-Computer 24 und 42. Schlüsselarchive 25 und 45 nehmen sicher und zuverlässig Schlüsselstatus-Nachrichten und Schlüssel auf.
  • Sicherheitsdomänen
  • Bezugnehmend auf 2 beinhaltet das Schlüssel-Verwaltungssystem 10 separate logische Sicherheitsdomänen: eine Verkäufer-Domäne 50 und eine oder mehr Domänen 52 für Post-Autoritäten. Jede Domäne stellt eine volle Menge von Schlüssel-Erzeugungs-, Schlüsselverteilungs-, Schlüsselinstallations- und Token-Überprüfungsdiensten bereit. Jede Domäne kann mehrere Einrichtungen umfassen, wie Verkäufer- und Post-Einrichtungen. Mehrere logische Sicherheitsdomänen können innerhalb jedes sicheren Behältnisses existieren. Die Trennung von solchen mehreren Domänen wird erreicht durch Verschlüsselung der Domänennachrichten in der Hauptschlüssel-Datenbank. Die Datenbank-Verschlüsselungsschlüssel sind unterschiedlich für jede Domäne. Innerhalb eines sicheren Behältnisses wird die Trennung von Domänen durch die begrenzten Prozesse in dem Behältnis ermöglicht. Jedoch überlappen die Sicherheitsdomänen an nur einer Stelle, innerhalb einer digitalen Frankiermaschine. Die digitale Frankiermaschine berechnet zwei Beweise von Bezahlungstoken, einen mit Verwenden des Verkäufer-Hauptschlüssels und den anderen mit Verwenden des Posthauptschlüssels. Ein Fehler bei der Überprüfung eines der digitalen Token ist ausreichender Beweis für Betrug.
  • Bezugnehmend auf 3 stellt die Verkäufer-Datenzentrale 12 eine physische und Informationszugangssteuerung für Schlüssel-Verwaltungssystem-Komponenten bereit. Die Verkäufer-Datenzentrale 12 beherbergt mindestens ein als Verkäufer-HauptSchlüssel-Erzeugungsbehältnis arbeitendes Eiche-Behältnis 20, mindestens ein als Verkäufer-Token-Überprüfungsbehältnis arbeitendes Messing-Behältnis 21 und ein Herstellungsbehältnis 23. Zur Sicherheit hat jedes Behältnis eine eindeutige ID. Zur erhöhten Sicherheit sind die Erzeugungs-, Überprüfungs- und Herstellungsfunktionen physikalisch voneinander getrennt, das heißt das Eiche-Behältnis, das Messing-Behältnis und das Stahl-Behältnis sind getrennte Behältnisse. Es wird angemerkt, dass mehr als ein funktionales Behältnis in einem physischen Behältnis beherbergt sein kann, wenn so erwünscht.
  • Verkäufer-KMS-Computer 24 verwaltet die sicheren Eiche-, Messing- und Herstellungsbehältnisse und die Nachrichten zwischen diesen. Er unterstützt sichere Behältniskommunikation, Verkäufer-Schlüsselarchivdienste, Post-Schlüsselarchivdienste und Kommunikation mit der Verkäufer-Herstellungseinrichtung 14 und Post-Datenzentrale Bezugnehmend auf 4 stellt die Verkäufer-Herstellungseinrichtung 14 eine physische und Informationszugangssteuerung für Schlüssel-Verwaltungssystem-Komponenten bereit. Eine Verkäufer-Herstellungseinrichtung 14 beherbergt einen Verkäufer-Schlüsselverteilungscomputer 30 und mindestens ein sicheres Stahl-Behältnis 32, das als ein Hauptschlüsselinstallationsbehältnis arbeitet, und einen entsprechenden PSR-Computer 34. Die Verkäufer-Schlüsselverteilungs- und PSR-Computer 30 und 34 unterstützen eine Kommunikation mit dem Schlüssel-Verwaltungssystem-Computer 24, anderen sicheren Behältnissen und Online digitalen Frankiermaschinen 36. Die PSR-Computer 30 verwalten entsprechende Stahl-Behältnisse 32 und die Initialisierung von digitalen Frankiermaschinen 36.
  • Bezugnehmend auf 5 kann eine Post-Datenzentrale 16 physische und Informationszugangssteuerung für die Schlüssel-Verwaltungssystem-Komponenten bereitstellen. Die Post-Datenzentrale 16 kann ein Post-Eiche-Behältnis 22, das als ein Post-HauptSchlüssel-Erzeugungsbehältnis arbeitet, und ein Post-Messing-Behältnis 40 aufnehmen, das als ein Post-Token-Überprüfungsbehältnis arbeitet. Ein Post-Schlüssel-Verwaltungssystem-Computer 42 kann Kommunikation zwischen sicheren Behältnissen, Post-Schlüsselarchivdienste und Kommunikation mit Post-Einrichtungen 18 und Verkäufer-Datenzentrale 12 unterstützen.
  • Bezugnehmend auf 6 ist eine zusätzliche logische Sicherheitsdomäne erforderlich zum Unterstützen der Installation und Instandhaltung von allen anderen Sicherheitsdomänen in Schlüssel-Verwaltungssystem-Komponenten. Diese wird Schlüssel-Verwaltungssystem-Administrierungsdomäne 60 genannt, die verantwortlich ist für die Erzeugung von Sicherheitsdomänen und die Installation von Sicherheitsdomänen in Schlüssel-Verwaltungssystem-Komponenten.
  • Die Installationen von landesspezifischen Unter-Domänen in einer Welt-Sicherheitsdomäne sind die Verantwortlichkeit der Welt-Sicherheitsdomäne. Installationen von Produkt-Code-Parametern innerhalb von Sicherheitsdomänen sind die Verantwortlichkeit von den betroffenen Sicherheitsdomänen. Dies wird detaillierter unten beschrieben.
  • FUNKTIONALE KENNZEICHEN
  • Die folgenden Abschnitte stellen einen Überblick von allen Operationen und Nachrichten im Schlüssel-Verwaltungssystem 10 bereit.
  • Das Schlüssel-Verwaltungssystem 10 stellt mehrere notwendige Funktionen bereit zum Unterstützen der Herstellung und des Betriebs von digitalen Frankiermaschinen-Produkten. Es ist verantwortlich für die Erzeugung, Verteilung und Langzeit-Speicherung für alle in digitalen Frankierungsprodukten verwendeten Verschlüsselungsschlüssel. Es ist auch verantwortlich für die Überprüfung von digitalen Token, die durch digitale Frankierungsprodukte erzeugt worden sind, die solche Verschlüsselungsschlüssel einsetzen.
  • Zwei oder mehr Sicherheitsdomänen sind durch das Schlüssel-Verwaltungssystem 10 implementiert. Die Verkäufer-Sicherheitsdomäne 50 beinhaltet Schlüssel-Erzeugungs-, Verteilungs-, Archivierungs- und Überprüfungsdienste. Post-Sicherheitsdomänen 52 implementieren ähnliche Dienste. Diese Domänen überlappen in einem Punkt, der digitalen Frankiermaschine, die den Verkäufer-Hauptschlüssel und den Post-Hauptschlüssel enthält, wie in 2 gezeigt, das heißt nur in der Frankiermaschine sind der Verkäufer-Hauptschlüssel und der Post-Hauptschlüssel gleichzeitig verfügbar.
  • SCHLÜSSELKENNZEICHEN
  • Schlüssel-Erzeugung
  • Bezugnehmend auf 7 ist ein Flussdiagramm des Schlüsselverwaltungsprozesses gezeigt. Eine digitale Frankiermaschine 36 empfängt den Verkäufer-Hauptschlüssel und den Post-Hauptschlüssel während des physischen Aufenthalts in der Verkäufer-Herstellungseinrichtung 14 vor der Verteilung.
  • Der Herstellungsprozess eines sicheren Behältnisses des Schlüssel-Verwaltungssystems und der Erzeugungsprozess eines Domänen-Hauptschlüssels stellen Verschlüsselungsschlüssel für das Schlüssel-Verwaltungssystem 10 und digitale Frankiermaschinen 36 bereit. Domänen-Hauptschlüssel für digitale Frankiermaschinen 36 werden durch einen Domänen-Eiche-Prozess 70 erzeugt. Domänenschlüssel, die verwendet werden zum Verschlüsseln der Domänen-Hauptschlüssel, wenn sie erzeugt, archiviert und installiert sind, werden durch das Herstellungsbehältnis 23 erzeugt. Zum Bereitstellen sicherer und nicht deterministischer Schlüssel werden zwei Zufallszahl-Generator-Prozesse eingesetzt. Jedes Eiche-Behältnis und Herstellungsbehältnis beinhalten einen Hardware-Zufallszahl-Generator. Ein Software-Pseudo-Zufallszahl-Generator ist auch enthalten. Die Ausgänge dieser zwei Prozesse werden individuell getestet zum Verifizieren, dass die Hardware und die Software innerhalb akzeptabler Grenzen arbeiten. Die Ausgänge der zwei Generatoren werden zusammengefasst durch eine exklusive-Oder-Operation. Wenn der Hardware-Zufallszahl-Generator ausfällt, stellt somit der Pseudo-Zufallszahl-Generator akzeptables Schlüssel-Material bereit bis der Hardware-Generator repariert werden kann.
  • Andere KMS sichere Behältnisse haben begrenzte Anforderungen zum Erzeugen von Schlüssel-Material. Im besonderen werden Anlauf-Vertraulichkeitsschlüssel erzeugt durch Messing- und Stahl-Behältnisse 21 und 32 während des Initialisierungsprozesses. Wegen der begrenzten Anforderungen und der Anwesenheit von verlässlichen Autoritäten während des Initialisierungsprozesses werden nur Software-Pseudo-Zufallszahl-Generatoren eingesetzt.
  • Hauptschlüssel-Identifizierung
  • Das Schlüssel-Verwaltungssystem 10 muss die Sicherheitsanforderungen erzwingen, dass ein Hauptschlüssel nur einmal probiert oder installiert werden kann in irgendeiner digitalen Frankiermaschine 36. Zum Beispiel muss das Schlüssel-Verwaltungssystem 10 sicherstellen, dass ein Domänen-Hauptschlüssel nicht zweimal installiert wird, wenn zwei oder mehr Stahl-Behältnisse 32 in dem System verwendet werden. Diese Anforderung wird erfüllt durch die Verwendung von Domänen-Hauptschlüssel-Identifizierungszahlen, die aus Domänen-spezifischen monotonen Folge-Zählern gebildet werden. Domänen-Eiche-Prozesse und Domänen-Stahl-Prozesse verfolgen die letzte für eine spezifische Domänen-ID empfangene Domänen-Hauptschlüssel-Identifizierungs-Zahl. Wenn eine neu Schlüssel-Erzeugungs- oder Schlüsselinstallationsnachricht empfangen wird, überprüfen die Domänen-Eiche-Prozesse oder Domänen-Stahl-Prozesse, dass die Domänen-Hauptschlüssel- Identifizierungs-Zahl größer als die in der vorherigen Nachricht enthaltene ist.
  • Wenn das Schlüssel-Verwaltungssystem 10 einen Schlüsselanforderungs-Befehl empfängt, ist eine Stahl-ID erforderlich. Die Stahl-IDs sind enthalten in dem Verteilungs-Hauptschlüssel-Datensatz und müssen durch den Domänen-Stahl-Prozess 76 überprüft werden. Wenn die Stahl-ID in der Nachricht nicht mit der Stahl-ID für das Stahl-Behältnis übereinstimmt, wird die Nachricht abgelehnt. Die Stahl-ID kann nicht modifiziert werden in der Nachricht ohne Zerbrechen der Nachricht-Signatur. Die Kombination von Domänen-Hauptschlüssel-Identifizierungs-Zahl, Stahl-ID und Nachricht-Signatur erfüllt die Anforderung einer Einmal-Installation.
  • Bezugnehmend auf 8 fordert Schlüsselverteilungs-Computer 30 einen Schlüssel bei 80 an. Bei 82 erzeugt Schlüssel-Verwaltungssystem-Computer 24 eine neue monoton anwachsende Schlüssel-ID von einem Domänen-Archiv 74. Bei 84 bestimmt Domänen-Eiche-Prozess 70, ob die Eiche-Behältnis-Schlüssel-ID neu gegenüber einem zuletzt gesehenen Wert ist. Wenn sie nicht neu ist, dann wird eine Eiche-Behältnis-Fehler-Bedingung bei 86 eingeleitet. Wenn die Schlüssel-ID neu ist, dann erzeugt und verschlüsselt Eiche-Behältnis 20 einen Schlüssel bei 88, fügt die Schlüssel-ID hinzu, und unterzeichnet und sendet die Nachricht dann zu dem Stahl-Behältnis 32. Bei 90 bestimmt Domänen-Stahl-Prozess 76, ob die Stahl-ID korrekt ist. Bei 92 bestimmt Domänen-Stahl-Prozess 76, ob die Schlüssel-ID neu ist gegenüber einem zuletzt gesehenen Wert. Ein Stahl-Behältnis-Fehler tritt auf, wenn der Nachricht-Signatur-Test nicht bestanden wird, die Stahl-ID nicht korrekt ist oder die Schlüssel-ID nicht neu ist. Wenn kein Fehler aufritt, installiert Stahl-Behältnis 33 den Schlüssel in einem Zähler 36 bei 98.
  • Herstellungsbehältnis und Domänenschlüssel
  • Bezugnehmend auf 9 bis 12 müssen sichere Behältnisse innerhalb des Schlüssel-Verwaltungssystems 10 initialisiert sein mit Domänen-Konfigurationsinformation und Schlüssel-Material. Dies wird erreicht durch die Verwendung von Herstellungsbehältnis 23, das verantwortlich ist für die Schaffung von Domänen und den Domänenschlüsseln 110. Wenn eine Domäne erschaffen wird, ist eine eindeutige Domänen-ID erforderlich. Nach dem Aufbau einer Domäne in Herstellungsbehältnis 23, können andere sichere Behältnisse initialisiert werden mit der Domäneninformation.
  • Alle Domänenschlüssel 110 werden erzeugt durch Herstellungsbehältnis 23. Domänenschlüssel 110 bestehen aus Vertraulichkeits-, Authentifizierungs- und Operationsschlüsseln, die durch Domänenschlüssel-Menge 103 verschlüsselt sind. Domänenschlüssel 110 werden zwischen den verschiedenen sicheren Behältnissen gemeinsam verwendet. Jedes sichere Behältnis hat spezifische Anforderungen an das Schlüssel-Material.
  • Jedes Herstellungsbehältnis 23 erfordert eine Operation-Kombination 101, die in drei Shamir-Geheime Teile 102 aufgebrochen ist. Individuelle Teile werden auf entfernbare Medien geschrieben und an autorisiertes Personal verteilt. Jedes Herstellungsbehältnis 23 erfordert eine Domänenschlüssel-Menge 103, die aus einem RSA-Schlüsselpaar zu Vertraulichkeit und einem RSA-Schlüsselpaar zur Authentifizierung besteht. Die Vertraulichkeits- und Authentifizierungsschlüssel werden in drei Shamir-Geheime Teile 104 aufgebrochen. Individuelle Teile werden auf entfernbare Medien geschrieben und an autorisiertes Personal verteilt. RSA-Schlüsselpaare werden in "A Method For Obtaining Digital Signatures And Public-Key Cryptosystems" von R. L. Rivest, A. Shamir und L. Adleman in Communications of the ACM, Vo. 21, No. 2, Februar 1978, Seiten 120–127 beschrieben. Shamir-Geheime Teile werden beschrieben in "How To Share A Secret" von A. Shamir in Communications of the ACM, Vol. 22, No. 11, November 1979, Seiten 612–613.
  • In der bevorzugten Ausführungsform erfordert jedes Eiche-Behältnis 20 eine Operation-Kombination 105, die in zwei Shamir-Geheime Teile 106 (10) aufgebrochen ist. Individuelle Teile 106 werden auf entfernbare Medien geschrieben und an autorisiertes Personal verteilt. Alle Teile 106 müssen in das Eiche-Behältnis 20 eingegeben sein, bevor es arbeiten kann. Das zuletzt eingegebene Teil 106 muss in dem Eiche-Behältnis verbleiben, um es freigegeben zu erhalten. Wenn das zuletzt eingegebene Teil 106 entfernt ist, ist das Eiche-Behältnis 20 gesperrt.
  • Jeder Domänen-Eiche-Prozess 70 erfordert ein RSA-Schlüsselpaar zu Authentifizierung. Der private Authentifizierungsschlüssel (P'OA) ist nur dem Domänen-Eiche-Prozess 70 und Herstellungsbehältnis 23 bekannt. Der öffentliche Authentifizierungsschlüssel (POA) ist dem entsprechenden Domänen-Stahl-Prozess 76 und Domänen-Messing-Prozess 72 bekannt. Der Domänen-Eiche-Prozess 70 erfordert nicht einen privaten Vertraulichkeitsschlüssel.
  • In der bevorzugten Ausführungsform erfordert jedes Stahl-Behältnis 32 in der Verkäufer-Herstellungseinrichtung eine Operation-Kombination 119, die in zwei Shamir-geheime Teile 120 (11) aufgebrochen ist. Individuelle Teile 120 werden auf entfernbare Medien geschrieben und an autorisiertes Personal verteilt zum Beispiel an einen Aufseher und einen Operator. Die Menge von Aufseher- und Operator-Teilen 120 muss in das Stahl-Behältnis 32 eingegeben werden, bevor es arbeiten kann. Das zuletzt eingegebene Teil 106, zum Beispiel das Operator-Teil, muss in dem Stahl-Behältnis 32 verbleiben, um es freigegeben zu erhalten. Wenn das Operator-Teil 120 entfernt ist, ist das Stahl-Behältnis 32 gesperrt.
  • Jeder Domänen-Stahl-Prozess 76 erfordert ein RSA-Schlüsselpaar zur Authentifizierung. Der private Authentifizierungsschlüssel ist nur dem Domänen-Stahl-Prozess 76 bekannt. Der öffentliche Authentifizierungsschlüssel ist nur dem Domänen-Messing-Prozess 72 bekannt. Jeder Domänen-Stahl-Prozess 76 erfordert ein RSA-Schlüsselpaar zur Vertrauchkeit. Der private Vertraulichkeitsschlüssel (P'sc) ist nur dem Domänen-Stahl-Prozess 76 bekannt. Der öffentliche Vertraulichkeitsschlüssel (Psc) ist dem Domänen-Eiche-Prozess 70 bekannt.
  • In der bevorzugten Ausführungsform der vorliegenden Erfindung erfordert jedes Messing-Behältnis 21 eine Operation-Kombination 121, die in zwei Shamir-Geheime Teile 122 aufgebrochen ist (12). Individuelle Teile 122 werden auf entfernbare Medien geschrieben und an autorisiertes Personal verteilt. Alle Teile 122 müssen in ein Messing-Behältnis 21 eingegegeben werden, bevor es arbeiten kann. Das zuletzt eingegebene Teil 122 muss in dem Messing-Behältnis 21 verbleiben, um es freigegeben zu erhalten. Wenn das zuletzt eingegebene Teil 122 entfernt ist, ist Messing-Behältnis 21 gesperrt.
  • Jeder Domänen-Messing-Prozess 72 erfordert ein RSA-Schlüsselpaar zur Authentifizierung. Der private und der öffentliche Authentifizierungsschlüssel (P'BA und PBA) sind nur dem Domänen-Messing-Prozess bekannt. Jeder Domänen-Messing-Prozess erfordert ein RSA-Schlüsselpaar zur Vertraulichkeit. Der private Vertraulichkeitsschlüssel (P'BC) ist nur dem Domänen-Messing-Prozess 72 bekannt. Der öffentliche Vertraulichkeitsschlüssel (PBC) ist dem Domänen-Eiche-Prozess 70 bekannt. Jeder Domänen-Messing-Prozess 72 erfordert eine DES-Schlüssel-Menge zu Vertraulichkeit, die nur dem Domänen-Messing-Prozess 72 bekannt ist. Jeder Domänen-Messing-Prozess 72 erfordert eine DES-Schlüssel-Menge zur Authentifizierung, die nur dem Domänen-Messing-Prozess 72 bekannt ist.
  • Von Fachleuten wird verstanden werden, dass die Anzahl von Teilen, die als notwendig für das Arbeiten der sicheren Behältnisse ausgewählt worden sind, auf der Sicherheitsstrategie basieren, die für das Schlüssel-Verwaltungssystem implementiert ist.
  • Anforderungen an eine digitale Frankiermaschine
  • Eine Herstellungsseriennummer, in Verbindung mit einer Produktcodenummer, definiert eine digitale Frankiermaschine 36 eindeutig innerhalb des Verkäufer-Herstellungsprozesses. Die bevorzugte Methode für die Zuweisung einer Herstellungsseriennummer ist wie folgt. Ein Bestand von Identifizierungszeichen, von denen jedes eine eindeutige Produktcodezahl und Herstellungsseriennummernpaar enthält, wird auf die Herstellungsbahn gelegt. Ein Identifizierungszeichen wird auf jede digitale Frankiermaschine 36 angebracht. Diese Zahlen werden in den PSR-Computer 34 eingegeben und in die digitale Frankiermaschine 36 heruntergeladen vor dem Schlüsselinstallationsprozess.
  • Die Frankiermaschine wird sicher konfiguriert, so dass, wenn einmal die Schlüssel während der Herstellung installiert sind, sie niemals entfernt oder außerhalb der Herstellungsumgebung bestimmt werden können, ohne einen physischen Nachweis des unbefugten Herbastelns zu hinterlassen.
  • Der Domänen-Eiche-Prozess 70 setzt eine Menge von Testinformation während des HauptSchlüssel-Erzeugungsprozesses ein. Ein Testmuster wird verwendet zum Erzeugen einer Menge von Test-Token zum Überprüfen des Hauptschlüsselinstallationsprozesses bei der Herstellung. Das Testmuster besteht aus zwei vorformatierten 64-Bit binären Werten. Diese sind mit dem Zieldomänen-Hauptschlüssel verschlüsselt, und die spezifizierte Position und Zahl von Token von dem resultierenden Schlüsseltext wird erzeugt.
  • Das Testmuster ist enthalten in der Domänen-Eiche- und Domänen-Messing-Prozesse-Betriebssoftware. Alle digitalen Frankiermaschinen setzen dieselbe Testinformation während der Schlüsselinstallations-Überprüfungsprozedur ein. Das Testmuster ist eine Informationsmenge, die zwischen dem Schlüssel-Verwaltungssystem 10 und der digitalen Zielfrankiermaschine geteilt wird. Das Testmuster kann in einem ROM für eine spezifische digitale Frankiermaschine gespeichert sein.
  • Digitale Frankiermaschinen der Welt-Domäne
  • Digitale Frankiermaschinen der Welt-Domäne haben keine landesspezifische Information beim Verlassen der Herstellungseinrichtung. Dies wird getan, um zu ermöglichen, dass digitale Frankiermaschinen auf einer regionalen Basis vorrätig sind und im letzten Moment landesspezifisch gemacht werden können. Die Produktcodezahl für eine Welt-Domäne digitale Frankiermaschine ist ein Zwei-Buchstabenproduktcode-Präfix gefolgt von einer vorgegebenen Zahl. Vor der Landespersonalisierung wird eine Freistempel-Seriennummer eine Null-Kette sein. Produktcodezahl- und Freistempel-Seriennummer-Werte müssen zur Schlüsselregistrierungszeit definiert sein, um den Domänen-Hauptschlüssel zu aktivieren.
  • Bezugnehmend auf 13 ist ein Prozessflussdiagramm für eine Welt-Domäne digitale Frankiermaschine bereitgestellt. Welt-Domänen-Hauptschlüssel für Welt-Domäne digitale Frankiermaschinen werden durch den Welt-Domänen-Eiche-Prozess 170 erzeugt. Kopien von Welt-Domänen-Hauptschlüsseln werden in dem Welt-Domänen-Archiv 174 gespeichert. Welt-Domänen-Hauptschlüssel werden in Welt-Domäne digitale Frankiermaschinen 136 installiert und überprüft durch den Welt-Domänen-Stahl-Prozess 176. Die Installation von Welt- Domänen-Hauptschlüsseln wird überprüft durch den Welt-Domänen-Messing-Prozess 172. Der Welt-Domänen-Hauptschlüssel-Datensatz wird aktualisiert zum Installieren des Status durch den Welt-Domänen-Messing-Prozess 172. Der Welt-Domänen-Messing-Prozess 172 nimmt nicht an der Schlüsselregistrierung teil.
  • Autorisiertes Personal weist die Welt-Domäne digitale Frankiermaschine 136 einer landesspezifischen Sicherheitsdomäne zu durch Einstellen der Produktcodezahl und der Freistempel-Seriennummer der digitalen Frankiermaschine. Wenn die digitale Frankiermaschine 236 einmal einer landesspezifischen Sicherheitsdomäne zugewiesen ist, kann sie nicht zur Welt-Domäne zurückkehren. Ein digital signierter Schlüsselregistrierungs-Datensatz wird erzeugt durch die digitale Frankiermaschine, der die Produktcodezahl, die Freistempel-Seriennummer und die Herstellungsseriennummer enthält. Der digital signierte Schlüsselregistrierungs-Datensatz wird zum Schlüssel-Verwaltungssystem-Computer 24 zurückgeliefert.
  • Schlüssel-Verwaltungssystem-Computer 24 wird den Welt-Domänen-Hauptschlüssel-Datensatz von dem Welt-Domänen-Archiv 176 wiedergewinnen. Der Welt-Domänen-Hauptschlüssel-Datensatz und der Schlüsselregistrierungs-Datensatz wird zu dem landesspezifischen Domänen-Messing-Prozess 272 gesendet. Die Datensätze werden überprüft. Wenn keine Probleme gefunden werden, wird der Domänen-Hauptschlüssel mit dem landesspezifischen Geheim-Schlüssel verschlüsselt. Der Domänen-Hauptschlüssel-Datensatz wird signiert zur Integrität und Authentifizierung mit dem landesspezifischen Sicherheitsdomänen-Privatschlüssel. Der Domänen-Hauptschlüssel-Datensatz wird zu dem landesspezifischen Domänenarchiv 274 gesendet werden.
  • Svstemanforderungen
  • Domänenarchiv
  • Domänenarchive 74 unterstützen die Langzeit-Speicherung und Wiedergewinnung von Domänen-Hauptschlüsseln. Dies wird erreicht durch mehrere Transaktionen zwischen dem Eiche-Behältnis 20, Domänenarchiv 74 und Messing-Behältnis 21. Wenn die digitale Frankiermaschine Herstellungs-, Verteilungs- und Kundenstätten durchläuft, wird der Domänen-Hauptschlüssel-Status aktualisiert. Jede Statusänderung wird den Domänenarchiv-Datensätzen gemeldet, so dass eine komplette Geschichte der Schlüsselaktivität für die Lebensdauer des Domänen-Hauptschlüssels bereitgestellt wird.
  • Bezugnehmend auf 14 und 15 wird ein Prozessflussdiagramm bereitgestellt, das gültige Hauptschlüssel-Statusübergänge zeigt. Nachdem das Eiche-Behältnis 20 den Schlüssel-Erzeugungsprozess erledigt, wird eine verschlüsselte Kopie des Domänen-Hauptschlüssels und Information zu dem Domänenarchiv 74 weitergeleitet. Der Status des Domänen-Hauptschlüssels wird auf Neu gesetzt bei 180. Das Domänenarchiv 74 wird Datenbankspeicher zuteilen und die Information schreiben.
  • Nachdem Stahl-Behältnis 32 und Messing-Behältnis 21 den Schlüsselinstallationsprozess vollenden, wird der Domänen-Hauptschlüssel-Datensatz aktualisiert. Der Status des Domänen-Hauptschlüssels kann auf Installiert gesetzt werden bei 182, wenn der Prozess erfolgreich war. Der Status des Domänen-Hauptschlüssels kann auf Schlecht gesetzt werden bei 184, wenn irgendwelche Fehler auftreten während der Schlüsselverteilung oder des Installationsprozesses. Solche Fehler können eine verlorene Nachricht, Nachrichtenfehler, Fehler beim Schreiben des Domänen-Hauptschlüssels zum Speicher der digitalen Frankiermaschine, Fehler beim Überprüfen der Test-Tokens oder andere beinhalten.
  • Beim Zuweisen einer Freistempel-Seriennummer für eine spezifische Postdomäne an die digitale Frankiermaschine werden die Verkäufer- und Post-Domänen-Hauptschlüssel-Datensätze aktualisiert. Der Hauptschlüssel-Status wird auf Aktiv gesetzt bei 186 und Überprüfungsdienste für diese digitale Frankiermaschine werden zugelassen. Wenn die digitale Frankiermaschine außer Dienst genommen wird, wird der Verkäufer- und Post-Domänen-Hauptschlüssel-Datensatz aktualisiert. Der Hauptschlüssel-Status wird auf Veraltet gesetzt bei 188.
  • Schlüssel-Verwaltungssystem-Adressen
  • Schlüssel-Verwaltungssystem 10 ist aus einer Menge von physischen sicheren Behältnissen und logischen Sicherheitsdomänen aufgebaut. Zwischen diesen Komponenten fließende Nachrichten müssen ausreichend Information enthalten, um Prozessen und Prüfern die Identifizierung der Nachrichtenteilnehmer zu erlauben.
  • Logische Sicherheitsdomänen werden durch ein Adressobjekt, Domänen-ID genannt, bestimmt. Diese Adresse definiert eindeutig eine Instanz einer bestimmten Domäne innerhalb des Schlüssel-Verwaltungssystems 10. Beispiele von gültigen Domänen-IDs können VE für eine Verkäufer-Sicherheitsdomäne, USPS für die Instanz einer Sicherheitsdomäne des "United States Postal Service", und UKRM für die Instanz einer Sicherheitsdomäne der "United Kingdom Royal Mail". Sicherheitsdomänen erstrecken sich über mehrere sichere Behältnisse und können mehrere Archive überspannen. Mehrere Sicherheitsdomänen können innerhalb der physikalischen Grenzen eines sicheren Behältnisses zusammen existieren. Nur eine Domäne ist aktiv innerhalb eines sicheren Behältnisses zu einer gegebenen Zeit. Keine Daten sind zwischen Domänen transferierbar.
  • Logische Objekte eines sicheren Behältnisses werden bestimmt durch ein Adressobjekt, Typ eines sicheren Behältnisses genannt. Diese Adresse definiert eindeutig die an einer Nachricht-Transaktion teilnehmende Funktion eines sicheren Behältnisses. Das Eiche-Behältnis 20 ist der Hauptschlüssel-Generator. Das Stahl-Behältnis 32 ist das Hauptschlüssel-Installationsbehältnis. Das Messing-Behältnis 21 ist das Token-Überprüfungsbehältnis. Das Blech-Behältnis 44 ist das Fern-Token-Überprüfungsbehältnis.
  • Die Identifizierung von physikalischensicheren Behältnissen ist bestimmt durch ein Adressobjekt, ID eines sicheren Behältnisses genannt. Diese Adresse definiert eindeutig eine Instanz von diesem Behältnis innerhalb des Schlüssel-Verwaltungssystems 10. Es ist aus einem Typ eines sicheren Behältnisses und einem numerischen Identifikator gebildet.
  • KMS-Konfigurationsdaten
  • Jede Komponente des Schlüssel-Verwaltungssystems 10 unterhält mehrere Konfigurationstabellen, die der Betriebssoftware erlauben, die Gültigkeits- und Verarbeitungsanforderungen für Dienstnachrichten des Schlüssel-Verwaltungssystems zu bestimmen. Befehlstabellen werden verwendet zum Identifizieren, welche Dienstnachrichten des Schlüssel-Verwaltungssystems und Befehle von den Komponenten des Systems erwartet werden. Eine KMS-System-Befehlstabelle definiert alle Befehle, die auf Systemebene akzeptiert werden. Untermengen der Systemebene-Tabelle werden durch Komponenten des Systems gespeichert, beinhaltend die Eiche-Behältnisse 20, Messing-Behältnisse 21, Stahl-Behältnisse 32, Herstellungsbehältnisse 23, KMS-Computer 24, Schlüsselverteilungs-Computer 30 und die PSR-Computer 34. Empfangene Nachrichten, die nicht in der lokalen Befehlstabelle enthalten sind, werden abgelehnt.
  • Konfigurationstabellen werden verwendet zum Identifizieren, welche Schlüssel-Verwaltungssystem-Domänen-IDs erkannt werden durch Komponenten des Systems. Eine KMS-System-Konfigurationstabelle definiert alle Domänen-IDs, die auf Systemebene akzeptiert werden. Untermengen der Systemebene-Tabelle werden durch Komponenten des Systems gespeichert, beinhaltend die Eiche-Behältnisse 20, Messing-Behältnisse 21, Stahl-Behältnisse 32, Herstellungsbehältnisse 23, KMS-Computer 24, Schlüsselverteilungs-Computer 30 und die PSR-Computer 34. Empfangene Nachrichten führ Domänen-IDs, die nicht enthalten sind in der lokalen Konfigurationstabelle, werden abgelehnt.
  • Datensatztabellen werden verwendet zum Identifizieren, welche Schlüssel-Verwaltungssystem-Datensätze erkannt werden durch Komponenten des Systems. Eine KMS-System-Datensatztabelle definiert alle Informationsdatensätze, die auf Systemebene erkannt werden. Untermengen der Systemebene-Tabelle werden durch Komponenten des Systems gespeichert, beinhaltend die Eiche-Behältnisse 20, Messing-Behältnisse 21, Stahl-Behältnisse 32, Herstellungsbehältnisse 23, KMS-Computer 24, Schlüsselverteilungs-Computer 30 und die PSR-Computer 34. Empfangene Nachrichten, die Informationsdatensätze enthalten, die nicht in der lokalen Datensatztabelle enthalten sind, werden abgelehnt.
  • Informationsfluss
  • Der Domänen-Eiche-Prozess 70 liefert den Domänen-Hauptschlüssel zu dem Domänenarchiv 74. Bezugnehmend auf 16 wird der Domänen-Hauptschlüssel (KDM) verschlüsselt mit dem Domänen-Messing-Prozess öffentlichen Schlüssel (PBC), bevor er in dem Domänenarchiv 74 gespeichert wird. Somit kann der Domänen-Eiche-Prozess 70 möglicherweise den Domänen-Hauptschlüssel (KDM) entschlüsseln aus dem Domänenarchiv 74. Der Domänen-Eiche-Prozess 70 signiert den Domänen-Hauptschlüssel-Datensatz mit dem Domänen-Eiche- Prozessprivatschlüssel (POA), bevor er in dem Domänenarchiv 74 gespeichert wird. Somit kann der Domänen-Messing-Prozess 72 glauben, dass der Domänen-Hauptschlüssel-Datensatz durch den Domänen-Eiche-Prozess 70 geschaffen wurde.
  • Der Domänen-Eiche-Prozess 70 liefert den Domänen-Hauptschlüssel (KDM) zu dem Domänen-Stahl-Prozess 76. Bezugnehmend auf 17 wird der Domänen-Hauptschlüssel (KDM) mit dem Domänen-Stahl-Prozess öffentlichen Schlüssel (PSC) verschlüsselt, bevor er zu dem Domänen-Stahl-Prozess 76 gesendet wird. Somit kann der Domänen-Eiche-Prozess 70 möglicherweise den Domänen-Hauptschlüssel (PpA) nicht entschlüsseln aus einem Verteilungs-Hauptschlüssel-Datensatz. Der Domänen-Eiche-Prozess 70 signiert den Verteilungs-Hauptschlüssel-Datensatz mit dem Domänen-Eiche-Prozess privaten Schlüssel (P'OA), bevor er zu dem Domänen-Stahl-Prozess 76 gesendet wird. Somit kann der Domänen-Stahl-Prozess 76 glauben, dass der Verteilungs-Hauptschlüssel-Datensatz von dem Domänen-Eiche-Prozess 70 erschaffen wurde.
  • Bezugnehmend auf 18 ist der Prozessfluss zur Schlüsselneuheiterfassung gezeigt. Zum Unterstützen der zuvor angemerkten Sicherheitsanforderungen wird ein Schlüssel nur einmal installiert oder es wird nur einmal probiert, den Schlüssel zu installieren, zum Sicherstellen der Domänen-Hauptschlüssel-Neuheit. Das Domänenarchiv weist monoton geordnete Schlüssel-IDs (KID) allen Domänen-Hauptschlüsseln zu. Separate Schlüssel-ID-Indizes werden für jede Domänen-ID aufrechterhalten. Die Domänen-Eiche-Prozesse 40 und Domänen-Stahl-Prozesse 76 verfolgen die Schlüssel-ID-Werte und vergleichen diese mit den in der Schlüssel-Erzeugen-Nachricht und Hauptschlüsselverteilungs-Datensatz empfangenen Schlüssel-ID-Werten. Somit können die Domänen-Eiche-Prozesse 70 und Domänen-Stahl-Prozesse 76 erfassen, wenn eine Schlüssel-Erzeugen-Nachricht oder Hauptschlüsselverteilungs-Datensatz wiedergegeben wird.
  • Bezugnehmend auf 19 signiert der Domänen-Stahl-Prozess 76 den Hauptschlüssel-Installations-Datensatz mit einem Domänen-Stahl-Prozessprivatschlüssel (PSA), bevor er zu dem KMS-Computer 74 gesendet wird. Auf diese Weise kann der Domänen-Messing-Prozess 72 glauben, dass der Hauptschlüssel-Installations-Datensatz durch den Domänen-Stahl-Prozess 76 erschaffen wurde.
  • Zum Zeitpunkt der Schlüsselregistrierung signiert die digitale Frankiermaschine den Schlüsselregistrierungs-Datensatz mit dem Verkäufer-Hauptschlüssel (KVM) und dem Post-Hauptschlüssel (KPM). Somit können die Post- und Verkäufer-Domänen-Messing-Prozesse 72 glauben, dass die Schlüsselregistrierungs-Datensatz-Werte von der digitalen Frankiermaschine 36 stammen. Jeder Domänen-Messing-Prozess 72 verschlüsselt dann den Domänen-Hauptschlüssel in dem Domänenarchiv-Datensatz mit einem Domänen-Messing-Prozess geheimen DES-Schlüssel. Als ein Ergebnis können die Domänen-Messing-Prozesse 72 glauben, dass andere Domänen-Messing-Prozesse das Schlüssel-Material nicht lesen können. Der Domänen-Messing-Prozess 72 signiert den Domänen-Hauptschlüssel-Datensatz mit dem Domänen-Messing-Prozess geheimen DES-Schlüssel, bevor er diesen zu dem Domänenarchiv 74 sendet. Somit kann der Domänen-Messing-Prozess 72 glauben, dass der Domänen-Hauptschlüssel-Datensatz nur durch den Domänen-Messing-Prozess 72 modifiziert wurde. Ein Beispiel einer Nachricht einer Frankiermaschine an einen Messing-Prozess ist in 20 gezeigt.
  • Prüfpfad
  • Schlüssel-Verwaltungssystem 10 pflegt einen Prüfpfad von Zeitereignissen in der Lebensdauer eines Domänen-Hauptschlüssels. Diese Ereignisse zeigen an, wenn Aktionen vom Schlüssel-Verwaltungssystem 10 durchgeführt werden. Die gelisteten Zeitereignisse müssen für die erfolgreiche Verwendung eines Domänen-Hauptschlüssels anwachsen.
  • Systemnachrichten mit Zeitereignissen, die vorherigen Ereignissen vorangehen, werden abgelehnt werden. Überprüfungsanforderungen, die mit Datumsangaben empfangen werden, die der Schlüssel-Verwaltungssystem-Schlüsselregistrierungszeit vorangehen, werden abgelehnt werden.
  • In der bevorzugten Ausführungsform der vorliegenden Erfindung nimmt der KMS-Computer 24 die KMS-Anforderungszeit auf, die die Zeit ist, wenn ein Schlüssel-Anfordern-Befehl von dem Schlüsselverteilungscomputer 30 empfangen wird. Der PSR-Computer 34 zeichnet die PSR-Installationszeit auf, die die Zeit ist, wenn ein Schlüssel-Installieren-Befehl zu einem Stahl-Behältnis 32 geliefert wird. Der KMS-Computer 24 zeichnet die KMS-Installationszeit auf, die die Zeit ist, wenn ein Schlüssel-Installieren-Überprüfungs-Befehl empfangen wird von dem Schlüsselverteilungs-Computer 30. Die digitale Frankiermaschine 36 zeichnet das Frankierungsregistrierungsdatum auf, das ist, wenn ein Freistempel-Registrieren-Befehl von dem Kommunikationsanschluss oder der Benutzerschnittstelle empfangen wird. Der KMS-Computer 24 zeichnet die KMS-Schlüsselregistrierungszeit auf, die die Zeit ist, wenn ein Freistempel-Registrieren-Überprüfungs-Befehl von der digitalen Frankiermaschine empfangen wird.
  • In einer anderen Ausführungsform zeichnet das Eiche-Behältnis 20 eine lokale Zeit auf, wen der Schlüssel-Erzeugen-Befehl empfangen wird von dem KMS-Computer 24. Das Stahl-Behältnis 32 zeichnet eine lokale Zeit auf, wenn der Schlüssel-Installieren-Befehl empfangen wird. Das Messing-Behältnis 21 zeichnet eine lokale Zeit auf, wenn eine Schlüsselüberprüfungsanforderung empfangen wird vom Schlüssel-Verwaltungssystem-Computer 24.
  • Fehlerhandhabung
  • Schlüssel-Verwaltungssystem 10 stellt eine Menge von Fehlererfassungsmechanismen und Fehlerberichtmechanismen für Schlüssel-Verwaltungssystem-Dienstnachrichten bereit. Probleme können auftreten, wenn Nachrichten vorbereitet sind, über Kommunikationsleitungen gesendet sind, empfangen oder verarbeitet sind von empfangenden Teilnehmern. Beim Erfassen von Fehlern im System wird die Befehlsquelle benachrichtigt werden und ein Eintrag in dem System-Fehlerprotokoll wird gemacht werden.
  • Bezugnehmend auf 21 wird ein, Blockdiagramm bereitgestellt, das einen Überblick der Fehlerhandhabung zeigt. Fehler in dem System werden auf drei verschiedenen Ebenen erfasst. Die erste Ebene der Fehlerhandhabung ist implementiert innerhalb des PB232-Protokolls. Dieses Protokoll sorgt für Nachrichten-Rahmung durch die Verwendung von STX und ETX Steuerungszeichen. Nachrichtenidentifizierung wird bereitgestellt durch die Verwendung von vordefinierten Klassencodes. Nachrichtenintegrität wird bereitgestellt durch die Verwendung von Fehlererfassungscodes. Wenn die empfangene Nachricht diesen Mechanismen entspricht, wird der Empfänger ein Steuerzeichen einer positiven Empfangsbestätigung senden. Wenn nicht, wird der Empfänger ein Steuerzeichen einer Nicht-Empfangsbestätigung senden. Die sendende Komponente kann probieren, die Übertragung der Nachricht wieder aufzunehmen, oder andere Korrekturhandlungen vornehmen. PB232-Fehlerhandhabungs-Mechanismen sind von einem konventionellen Typ.
  • Die zweite Ebene einer Fehlerhandhabung ist durch Befehlshandhabungsprozesse des Schlüssel-Verwaltungssystems 10 implementiert. Diese vergleichen den empfangenen Befehl mit einer Menge von erwarteten Befehlen, wie in einer Befehlstabelle definiert. Das Befehlsgebiet wird verifiziert. Die Zahl von erwarteten Parametern wird überprüft. Die Syntax von individuellen Parametern wird überprüft. Wenn irgendwelche Fehler in dem Befehl gefunden werden, wird eine Befehlsfehlernachricht zu der Befehlsquelle zurückgegeben werden.
  • Die dritte Ebene einer Fehlerhandhabung ist durch Befehlshandhabungsprozesse des Schlüssel-Verwaltungssystems 10 implementiert. Diese vergleichen die Parameter in dem Befehl gegenüber einer Menge von erwarteten Parametern, wie in einer Konfigurationstabelle definiert. Individuelle Parameter werden gegenüber der Konfigurationstabelle überprüft. Die Verknüpfung von unterschiedlichen Parametern wird gegenüber der Konfigurationstabelle überprüft. Die Verfügbarkeit von Hardware-Ressourcen und Datenbank-Datensätzen wird überprüft. Signaturen von Nachrichten-Komponenten und die Gültigkeit von verschlüsselten Nachrichtenkomponenten werden überprüft. Wenn irgendwelche Fehler gefunden werden in dem Befehl oder während des Befehlsverarbeitens, wird eine Befehl-Antwort-Nachricht mit einem Antwort-Code zurückgegeben werden. Wenn irgendwelche Fehler in der Antwort gefunden werden, wird eine Befehl-Antwort-Fehler-Nachricht mit einem Antwort-Code zurückgegeben werden.
  • Initialisierungsprozess
  • Die folgenden Abschnitte geben einen Überblick über einen Initialisierungsprozess eines sicheren Behältnisses des Schlüssel-Verwaltungssystems 10, wie in den 22 und 23 gezeigt. Wie zuvor beschrieben, gibt es in der bevorzugten Ausführungsform der vorliegenden Erfindung vier Typen eines sicheren Behältnisses des Schlüssel-Verwaltungssystems. Herstellungsbehältnis 23 ist verantwortlich für die Initialisierung des Schlüssel-Verwaltungssystems und eines sicheren Behältnisses. Eiche-Behältnis 20 ist verantwortlich für die Domänen-Hauptschlüssel-Erzeugung. Stahl-Behältnis 32 ist verantwortlich für die Domänen-Hauptschlüssel-Installation. Messing-Behältnis 21 ist verantwortlich für die Domänen-Hauptschlüssel-Registrierung und Token-Überprüfung.
  • In einer anderen Ausführungsform, ist ein Blech-Behältnis ein Fern-Token-Überprüfungsbehältnis.
  • Bezugnehmend auf 22 muss das erste Herstellungsbehältnis 23 initialisiert werden. Die Herstellungsbehältnis-Betriebssoftware wird geladen und getestet. Die Sicheres-Behältnis-ID wird auf M00000000 initialisiert. Beim Anschalten des Herstellungsbehältnisses 23 wird die Sicheres-Behältnis-ID abgefragt. Wenn sie auf M00000000 gesetzt ist, wartet Herstellungsbehältnis 23 auf eine Erste-Sicheres-Behältnis-ID-Setzen-Nachricht von dem KMS-Computer 24. KMS-Computer 24 befiehlt dann dem ersten Herstellungsbehältnis 23, die Sichere-Behältnis-ID auf M00000001 zu setzen. Das erste Herstellungsbehältnis 23. empfängt und überprüft dann die Nachricht. Wenn keine Fehler gefunden werden, erzeugt das erste Herstellungsbehältnis 23 eine Operation-Kombination 101 und eine Menge von Operationsteil-Schlüsseln 102. Die Operationsteil-Schlüssel 102 werden auf entfernbare Medien geschrieben.
  • Als nächstes erzeugt das erste Herstellungsbehältnis 23 zwei RSA-Schlüsselpaare, einen für die Domänen-Schlüsselmengen-Vertraulichkeit und den anderen für die Domänen-Schlüsselmengen-Authentifizierung. Diese Schlüssel werden in Domänenteile aufgebrochen und auf entfernbare Medien geschrieben. Diese Schlüssel werden zum Verschlüsseln und Signieren von Domänen-Schlüsselmengen verwendet, bevor sie zu dem KMS-Computer 24 gesendet werden und zu dem Archiv oder auf entfernbare Medien geschrieben werden. Das erste Herstellungsbehältnis 23 erzeugt eine Menge von Sicheres-Behältnis-Authentifizierungsschlüsseln. Ein RSA-Schlüsselpaar wird erzeugt für jeden Behältnis-Typ, das heißt, Herstellungs-, Eiche-, Stahl- und Messing-Behältnis. Der öffentliche Schlüssel für jeden Behältnis-Typ wird auf entfernbare Medien geschrieben. Der Schlüssel muss dann in die Sicheres-Behältnis-Betriebssoftware geschrieben werden durch Programmtechnik. Nachdem alle Operationsteil- und Authentifizierungsschlüssel erfolgreich geschrieben worden sind, wird die Sicheres-Behältnis-ID auf M00000001 gesetzt.
  • KMS-Computer 24 fordert Herstellungsbehältnis 23 zum Schaffen einer Domäne auf. Herstellungsbehältnis 23 baut die Domänen-ID in einem internen Speicher auf und erzeugt die erforderlichen Domänenschlüssel 110, welche mit dem Domänen-Schlüsselmengen-103-Vertraulichkeitsschlüssel verschlüsselt sind und mit dem Domänen-Schlüsselmengen-103-Authentifizierungsschlüssel signiert sind. Die verschlüsselten und signierten Domänenschlüssel werden zu dem Archiv und/oder auf entfernbare Medien geschrieben.
  • Zusätzliche Herstellungsbehältnisse 23 werden durch ein Quellen-Herstellungsbehältnis initialisiert, das irgendein Herstellungsbehältnis ist, das initialisiert worden ist. Die Herstellungsbehältnis-Betriebssoftware wird geladen und getestet in jedem zusätzlichen Herstellungsbehältnis 23 die Sicheres-Behältnis-ID wird auf M00000000 gesetzt. Beim ersten Anschalten eines Herstellungsbehältnisses 23 fragt es die Sicheres-Behältnis-ID ab. Wenn diese M00000000 ist, wartet Herstellungsbehältnis 23 auf eine Sicheres-Behältnis-ID-Setzen-Nachricht von dem Quellen-Herstellungsbehältnis. KMS-Computer 24 befielt dem Quellen-Herstellungsbehältnis, jedes zusätzliche Herstellungsbehältnis 23 zu initialisieren. Das Quellen-Herstellungsbehältnis teilt die nächste Herstellungs-Sicheres-Behältnis-ID zu, signiert die Nachricht mit dem Herstellungsbehältnis-Privat-Anfahr-Authentifizierungsschlüssel und sendet diese zu dem Herstellungsbehältnis 23. Herstellungsbehältnis 23 speichert die Sicheres-Behältnis-ID und erzeugt einen Herstellungsbehältnis-Anfahr-Vertraulichkeitsschlüssel. Die Sicheres-Behältnis-ID und der Öffentliche-Anfahr-Vertraulichkeitsschlüssel werden zurückgesendet zu dem Quellen-Herstellungsbehältnis und signiert mit dem Herstellungsbehältnis-Privat-Anfahr-Authentifizierungsschlüssel. KMS-Computer 24 befiehlt dem Quellen-Herstellungsbehältnis, einen Domänen-Herstellungsprozess für das Herstellungsbehältnis zu machen. Die erforderlichen Domänen-Schlüsselkomponenten werden zu dem Herstellungsbehältnis 23 geliefert mit Verwenden des Anfahr-Vertraulichkeitsschlüssels. Dieser Prozess wird für alle erforderlichen Domänen wiederholt.
  • Jederzeit werden Domänen zu einem Herstellungsbehältnis 23 hinzugefügt, andere initialisierte Herstellungsbehältnisse müssen aktualisiert werden, um solche zusätzlichen Domänen widerzuspiegeln. In der bevorzugten Ausführungsform sind alle initialisierten Herstellungsbehältnisse mit identischen Schlüssel-Daten konfiguriert.
  • Zur Eiche-Behältnis-Initialisierung wird die Eiche-Behältnis-Betriebssoftware geladen und getestet. Die Sicheres-Behältnis-ID wird auf ein O00000000 gesetzt. Beim ersten Anschalten des Eiche-Behältnisses 20 fragt es die Sicheres-Behältnis-ID ab. Wenn diese O00000000 ist, wartet Eiche-Behältnis 20 auf eine Sicheres-Behältnis-ID-Setzen-Nachricht vom Herstellungsbehältnis 23. KMS-Computer 24 befiehlt dem Herstellungsbehältnis 23, Eiche-Behältnis 20 zu initialisieren. Herstellungsbehältnis 23 teilt die nächste Eiche-Sicheres-Behältnis-ID zu, signiert die Nachricht mit dem Privat-Eiche-Behältnis-Anfahr-Authentifizierungsschlüssel und sendet diese zum Eiche-Behältnis 20, das die Sicheres-Behältnis-ID speichert und erzeugt einen Eiche-Behältnis-Anfahr-Vertraulichkeitsschlüssel. Die Sicheres-Behältnis-ID und der Öffentliche-Anfahr-Vertraulichkeitsschlüssel werden zurückgesendet zu dem Herstellungsbehältnis, signiert mit dem Eiche-Behältnis-Öffentlichen-Anfahr-Vertraulichkeitsschlüssel. KMS-Computer 24 befiehlt dem Herstellungsbehältnis 23, einen Domänen-Eiche-Prozess für Eiche-Behältnis 20 zu machen. Die erforderlichen Domänen-Schlüssel-Komponenten werden zum Eiche-Behältnis 20 geliefert mit Verwenden des Anfahr-Vertraulichkeitsschlüssels. Dieser Prozess ermöglicht Eiche-Behältnis 20, den Domänen-Eiche- Prozess 70 für eine Domäne zu implementieren. Dieser Prozess wird wiederholt für alle Domänen, die für ein bestimmtes Eiche-Behältnis erforderlich sind.
  • Zur Stahl-Behältnis-Initialisierung wird die Stahl-Behältnis-Betriebssoftware geladen und getestet. Die Sicheres-Behältnis-ID wird auf S00000000 gesetzt. Beim ersten Anschalten eines Stahl-Behältnisses 32 fragt dieses die Sicheres-Behältnis-ID ab. Wenn sie S00000000 ist, wartet Stahl-Behältnis 32 auf eine Sicheres-Behältnis-ID-Setzen-Nachricht vom Herstellungsbehältnis 23. KMS-Computer 24 befiehlt Herstellungsbehältnis 23, Stahlbehältnis 32 zu initialisieren. Herstellungsbehältnis 23 teilt die nächste Stahl-Sicheres-Behältnis-ID zu, signiert die Nachricht mit dem Stahl-Behältnis-Privat-Anfahr-Authentifizierungsschlüssel und sendet sie zum Stahl-Behältnis 32. Stahlbehältnis 32 speichert die Sicheres-Behältnis-ID und erzeugt einen Stahl-Behältnis-Anfahr-Vertraulichkeitsschlüssel. Die Sicheres-Behältnis-ID und der Öffentliche-Anfahr-Vertraulichkeitsschlüssel werden zurückgesendet zum Herstellungsbehältnis 23, signiert mit dem Stahl-Behältnis-Öffentlich-Anfahr-Authentifizierungsschlüssel. KMS-Computer 24 befiehlt Herstellungsbehältnis 23, einen Domänen-Stahl-Prozess 76 für Stahl-Behältnis 32 zu machen. Die erforderlichen Domänen-Schlüssel-Komponenten werden zum Stahl-Behältnis 32 geliefert mit Verwenden des Anfahr-Vertraulichkeitsschlüssels. Dieser Prozess ermöglicht Stahl-Behältnis 32, den Domänen-Stahl-Prozess 76 für eine Domäne zu implementieren. Dieser Prozess wird für alle Domänen wiederholt, die für ein bestimmtes Stahl-Behältnis erforderlich sind.
  • Zur Messing-Behältnis-Initialisierung wird die Messing-Behältnis-Betriebssoftware geladen und getestet. Die Sicheres-Behältnis-ID wird auf B00000000 gesetzt. Beim ersten Anschalten des Messing-Behältnisses 21 fragt dieses die Sicheres-Behältnis-ID ab. Wenn sie B00000000 ist, wartet Messing-Behältnis 21 auf eine Sicheres-Behältnis-ID-Setzen-Nachricht vom Herstellungsbehältnis 23. KMS-Computer 24 befiehlt Herstellungsbehältnis 23, Messing-Behältnis 21 zu initialisieren. Herstellungsbehältnis 23 teilt die nächste Messing-Sicheres-Behältnis-ID zu, signiert die Nachricht mit dem Messing-Behältnis-Privat-Anfahr-Authentifizierungsschlüssel und sendet sie zum Messing-Behältnis 21. Messing-Behältnis 21 speichert die Sicheres-Behältnis-ID und erzeugt einen Messing-Behältnis-Anfahr-Vertraulichkeitsschlüssel. Die Sicheres-Behältnis-ID und der Öffentliche-Anfahr-Vertraulichkeitsschlüssel werden zurückgesendet zum Herstellungsbehältnis 23, signiert mit dem Messing-Behältnis-Öffentlich-Anfahr-Authentifizierungsschlüssel. KMS-Computer 24 befiehlt Herstellungsbehältnis 23, einen Domänen-Messing-Prozess für Messing-Behältnis 21 zu machen. Die erforderlichen Domänen-Schlüssel-Komponenten werden geliefert zum Messing-Behältnis 21 mit Verwenden des Anfahr-Vertraulichkeitsschlüssels. Dieser Prozess ermöglicht Messing-Behältnis 21, den Domänen-Messing-Prozess für eine Domäne zu implementieren. Dieser Prozess wird für alle Domänen wiederholt, die für ein bestimmtes Messing-Behältnis erforderlich sind.
  • Erzeugungs-, Installations- und Registrierungsprozess Bezugnehmend auf die 2427 wird nun ein Überblick des Domänen-Hauptschlüssel-Installations-Prozess des Schlüssel-Verwaltungssystems 10 gezeigt. Es existieren keine Unterscheidungen zwischen der Verkäufer-Domäne und irgendeiner Post-Domäne. Jede arbeitet auf ähnliche unabhängige Weise. Zum erfolgreichen Installieren einer vollen Menge von Domänen-Hauptschlüsseln in einer digitalen Frankiermaschine 36 wird die Menge von Operationen ausgeführt für die Verkäufer-Domäne und eine andere Menge von Operationen wird ausgeführt für die ausgewählte Post-Domäne.
  • Bezugnehmend auf die 24, 29 und 30 kommen Domänen-Hauptschlüssel-Anforderungen von dem Schlüsselverteilungs-Computer 30 während des Herstellungsprozess-Herstellens. Bei 300 werden die Anforderungen mit einer Identifizierungsnummer von Stahl-Behältnis 32 gesendet vom Schlüsselverteilungs-Computer 30 zum KMS-Computer 24 in Nachricht MI0. KMS-Computer 24 fordert eine Schlüssel-ID bei 302 vom Domänenarchiv 74 an, welches dann eine eindeutige Schlüssel-ID für die Domäne erzeugt. Bei 304 sendet Domänenarchiv 74 eine Schlüssel-ID-Antwort zum KMS-Computer 24 in Nachricht MI0'. KMS-Computer 24 zeichnet eine lokale Zeit auf für einen Prüfpfad und, bei 306, sendet Information in einer Schlüssel-Erzeugen-Nachricht MI1 zum Eiche-Behältnis 20. Eiche-Behältnis 20 überprüft die Anforderung, um die Gültigkeit der Domäne, die Gültigkeit der Stahl-Behältnis-ID für die Domäne zu bestimmen und, ob die Schlüssel-ID höher ist als die zuletzt verarbeitete für diese Domäne. Wenn sich irgendeine dieser Überprüfungen als falsch herausstellt, gibt Eiche-Behältnis 20 eine Fehler-Nachricht zum KMS-Computer 24. Wenn die Überprüfungen wahr sind, erzeugt Eiche-Behältnis 24 einen Domänen-Hauptschlüssel und eine Menge von Testtokens. Bei 308 liefert Eiche-Behältnis 20 einen Domänen-Hauptschlüssel-Datensatz zum KMS-Computer 24 in Nachricht MI2. Bei 310 leitet KMS-Computer 24 den Domänen-Hauptschlüssel-Datensatz weiter zum Domänenarchiv 74 in Nachricht MI3. Domänenarchiv 74 speichert den Domänen-Hauptschlüssel-Datensatz in der Datenbank und eine Antwort wird zum KMS-Computer 24 gesendet bei 312. Bei 314 leitet KMS-Computer 24 die Antwort weiter zum Eiche-Behältnis 20, das eine Antwort-Erzeugen-Nachricht zum KMS-Computer 24 sendet bei 316. Bei 318 sendet KMS-Computer 24 den Schlüsselinstallations-Datensatz zum Schlüsselverteilungs-Computer 30 in einer Vordere-Antwort-An-Nachricht MI4.
  • Bezugnehmend auf 25 fordert PSR-Computer 34 einen Domänenschlüsselinstallations-Datensatz von dem Schlüsselverteilungs-Computer 30 bei 330 an, wenn eine digitale Frankiermaschine 36 auf dem Herstellungsband vorliegt. Bei 330 sendet Schlüsselverteilungs-Computer 30 einen Domänenschlüsselinstallations-Datensatz zum PSR-Computer in Nachricht MI4', die ferner zum Stahl-Behältnis 32 bei 334 gesendet wird. Stahl-Behältnis 32 fragt die digitalen Frankiermaschine 36 nach Information ab, und sendet dann bei 336 den Domänen-Hauptschlüssel in Nachricht MI5 zur digitalen Frankiermaschine 36. Die digitale Frankiermaschine installiert und Überprüft den Schlüssel und gibt den Status zurück zum Stahl-Behältnis 32, das die digitale Frankiermaschine abfragt nach einer Menge von Frankier-Testtokens. Bei 338 werden die Frankier-Testtoken zurückgegeben in Nachricht MI6 zum Stahl-Behältnis 32, das die Frankier-Testtoken überprüft gegenüber den vom Eiche-Behältnis 20 Empfangenen. Somit überprüft Stahl-Behältnis 32, dass der vom Eiche-Behältnis 24 erzeugte Domänen-Hauptschlüssel der gleiche ist wie der in der digitalen Frankiermaschine 36 installierte Schlüssel. Bei 340 leitet Stahl-Behältnis 32 den Installationsstatus und Information weiter in Nachricht MI7 zum Schlüsselverwaltungs-Computer 24 durch den PSR-Computer und Schlüsselverteilungs-Computer 30. Schlüsselverwaltungs-Computer 24 gewinnt einen Domänen-Hauptschlüssel-Datensatz wieder vom Domänenarchiv, nimmt einen lokalen Zeitstempel und leitet Information zum Messing-Behältnis 21 in Nachricht MI8 weiter bei 342. Messing-Behältnis 21 erzeugt Testtoken von dem Domänen-Hauptschlüssel-Datensatz vom Domänenarchiv 74. Diese werden verglichen mit den Frankier-Testtoken. Dies überprüft, dass der Domänen-Hauptschlüssel in dem Domänenarchiv derselbe ist wie der in der digitalen Frankiermaschine installierte Schlüssel. Wenn diese überprüft sind, wird der Domänen-Hauptschlüssel-Datensatz aktualisiert und weitergeleitet in Nachricht MI9 zu dem Schlüsselverwaltungs-Computer 24 bei 344. Der Schlüsselverwaltungs-Computer 24 leitet in Nachricht MI9 den Domänen-Hauptschlüssel-Datensatz weiter zum Domänenarchiv 74 und gibt im Erfolgsfall eine Antwort zurück zum Messing-Behältnis 21 bei 346. Messing-Behältnis 21 überprüft die Antwort und gibt eine Erfolgs- oder Fehlerüberprüfung zurück zum KMS-Computer 24 bei 348 und zum Schlüsselverteilungs-Computer 30 in Nachricht MI10.
  • Die Schlüsselregistrierung besteht aus Verknüpfen des Landes einer Registrierung und der Freistempel-Zahl mit der Produktcodezahl und dem Schlüssel. Der Schlüssel wird dann gespeichert in der Landes-Unter-Domäne der Installationsdomäne mit Verwenden eines geheimen Schlüssels, der spezifisch für die Landes-Unter-Domäne ist. Die wesentliche Eigenschaft ist, dass der für die Landes-Unter-Domäne spezifische Messing-Prozess sich auf die Installationsdomäne verlässt, zum Installieren von Schlüsseln auf sichere Weise und mit Integrität. Schlüssel werden niemals von einer Installationsdomäne zur anderen übertragen.
  • Bezugnehmend auf 26 und 31 werden die Freistempel-Seriennummer und/oder Produktcodezahl eingegeben in die digitale Frankiermaschine in Nachricht MR1 beim Vorbereiten einer digitalen Frankiermaschine für eine spezifische Sicherheitsdomäne. Der PSR-Computer 34 fordert Registrierungstoken von der digitalen Frankiermaschine 36 bei 360 an. Die digitale Frankiermaschine erzeugt zwei digitale Token und gibt diese zum PSR-Computer zurück bei 362. Der PSR-Computer kombiniert die Token mit anderer Frankier-Information und leitet den resultierenden Datensatz zum Schlüsselverwaltungs-Computer 24 weiter durch den Schlüsselverteilungs-Computer 30 bei 364. Bei 366 gewinnt Schlüssel-Verwaltungssystem-Computer 24 einen Domänen-Hauptschlüssel-Datensatz wieder von dem Domänenarchiv, nimmt einen lokalen Zeitstempel und leitet Information zum Messing-Behältnis 21 in Nachricht MR2 weiter. Messing-Behältnis 21 erzeugt Registrierungstoken von dem Domänen-Hauptschlüssel-Datensatz von dem Domänenarchiv 74. Diese werden verglichen mit den Frankier-Registrierungstoken. Dies überprüft, dass die Freistempel-Seriennummer, Produktcodezahl und Herstellungsseriennummer korrekt durch die digitale Frankiermaschine berichtet wurden. Wenn sie überprüft sind, wird der Domänen-Hauptschlüssel-Datensatz aktualisiert und weitergeleitet zum KMS-Computer 24 bei 368. Schlüssel-Verwaltungssystem-Computer 24 leitet den Domänen-Hauptschlüssel-Datensatz weiter zum Domänenarchiv 74 in Nachricht MR3 und gibt bei Erfolg eine Antwort zurück zum Messing-Behältnis 21 bei 370. Messing-Behältnis 21 überprüft die Antwort und gibt eine Erfolgs- oder Fehlerüberprüfung zurück in Nachricht MR4 zum Schlüssel-Verwaltungssystem-Computer 24 bei 372.
  • Jede Domäne hat mindestens eine Unter-Domäne, die verantwortlich ist für die Registrierung von Schlüsseln auf Freistempel-Zahlen und für das Durchführen von Freistempel-Überprüfungen innerhalb der Unter-Domäne. Die Welt-Domäne im Besonderen hat mehrere Landes-Unter-Domänen. Es ist für ein Land möglich, Frankiermaschinen einer Unter-Domäne der Welt-Domäne zu haben und Frankiermaschinen in der eindeutigen Unter-Domäne seiner eigenen Post-Domäne zu haben. In dem in 32 gezeigten Beispiel hat Land 3 eine eindeutige Post-Domäne und eine Post-Unter-Domäne der Welt-Domäne. Jedoch hat Land A nur Frankiermaschinen, die Schlüssel haben, die innerhalb ihrer landeseindeutigen Post-Domäne installiert worden sind.
  • Bezugnehmend auf 27 wird die Information aufgezeichnet und zum KMS-Computer 24 gesendet, wenn eine digitale Frankiermaschine außer Dienst genommen wird. Schlüsselverwaltungs-Computer 24 gewinnt einen Domänen-Hauptschlüssel-Datensatz wieder von dem Domänenarchiv, nimmt einen lokalen Zeitstempel und leitet Information weiter zum Messing-Behältnis 21 bei 380. Der Domänen-Hauptschlüssel-Datensatz wird aktualisiert und weitergeleitet zu dem Schlüsselverwaltungs-Computer 24 bei 382. Der Schlüsselverwaltungs-Computer leitet den Domänen-Hauptschlüssel-Datensatz weiter zum dem Domänenarchiv und gibt im Erfolgsfall eine Antwort zum Messing-Behältnis 21 zurück bei 384. Messing-Behältnis 21 überprüft die Antwort und gibt eine Erfolgs- oder Fehlerüberprüfung zum Schlüsselverwaltungs-Computer 24 zurück bei 386.
  • Erzeugung von Token
  • Jede Frankiermaschine verwendet den Domänen-Hauptschlüssel zum Erzeugen eines vorläufigen Schlüssels, im folgenden auch als Token-Schlüssel bezeichnet, für jede Domäne, der verwendet wird zum Erzeugen eines Tokens aus Poststück-Daten. Das Schlüssel-Verwaltungssystem kann postalische vorläufige Schlüssel verteilen an autorisierte postalische Überprüfungsstätten, die ein Verteiler-Token-Überprüfungs-Behältnis 44 (1) haben, hier auch als Blech-Behältnis bezeichnet. Postalische vorläufige Schlüssel werden durch Blech-Behältnis 44 verwendet für die lokale Überprüfung von Freistempeln. In dieser Anordnung stellt das Schlüssel-Verwaltungssystem eine höhere Sicherheitsebene bereit, weil die Post lokale Überprüfung von Freistempeln erhalten kann ohne Verteilen der Hauptschlüssel-Datenbank bei mehreren Stätten.
  • Überprüfungsprozess
  • Die folgenden Abschnitte stellen einen Überblick des Überprüfungsprozesses des Schlüssel-Verwaltungssystems 10 dar. Es gibt keine Unterschiede zwischen der Verkäufer- und irgendeiner Post-Domäne. Jede arbeitet auf ähnliche Weise, unabhängig. Zum erfolgreichen Überprüfen beider Token wird die Menge von Operationen für die Verkäufer-Domäne ausgeführt und eine andere Menge von Operationen wird ausgeführt für die ausgewählte Post-Domäne.
  • Token-Überprüfungs-Anforderungen kommen von einem bei Post-Einrichtung 18 angeordneten Datenaufnahmesystem 19. Die Anforderung enthält eine ASCII-Text-Darstellung von Information, die auf ein physisches Poststück gedruckt ist.
  • Bezugnehmend auf 28 wird die Anforderung bei 400 zu dem in dem Verkäufer- oder Post-Datenzentralen lokalisierten Schlüssel-Verwaltungssystem-Computer 24 gesendet. Der Schlüssel-Verwaltungssystem-Computer 24 untersucht die Poststück-Datenüberprüfungsziffern und führt Korrekturen durch, wenn notwendig. Schlüsselverwaltungs-Computer 24 gewinnt einen Domänen-Hauptschlüssel-Datensatz wieder von dem Domänenarchiv und leitet Information weiter zum Messing-Behältnis 21 bei 402. Messing-Behältnis 21 überprüft die Anforderung und überprüft, dass der Domänen-Hauptschlüssel aktiv ist. Messing-Behältnis 21 berechnet das ausgewählte Token der Domäne neu mit Verwenden des Domänen-Hauptschlüssels aus dem Domänenarchiv und der Poststück-Information. Das berechnete Token wird verglichen mit dem Poststück-Token, um zu sehen, ob sie übereinstimmen. Ein gutes/schlechtes Vergleichsergebnis wird zu dem KMS-Computer 24 bei 404 gesendet. Ein zweites Beispiel ist in 28 gezeigt, um zu betonen, dass eine zusätzliche Überprüfung erforderlich ist zum Überprüfen des anderen Domänen-Tokens.
  • Die vorhergehende Beschreibung der vorliegenden Erfindung ist die bevorzugte Ausführungsform, wobei die Post einen Verkäufer autorisiert hat zum Erzeugen von Post-Hauptschlüsseln und Installieren derer in digitalen Frankiermaschinen. Die Schlüssel werden dann zur Post-Datenzentrale 16 gesendet zur Verwendung zur Post-Token-Validierung. Das Schlüssel-Verwaltungssystem verfügt über die Möglichkeit einer unterschiedlichen Verteilung von Funktionalität, sicheren Behältnissen und Datenbanken. In einer anderen Ausführungsform autorisiert zum Beispiel eine Post den Verkäufer oder eine andere Partei zum Aufrechterhalten und Bedienen der Post-Datenzentrale 16, beinhaltend die Funktionen von Post-Schlüssel-Erzeugung, Aufrechterhaltung, Tokenvalidierung und Kommunizieren von Schlüsseln zu Verkäufern. In dieser Ausführungsform sind das Post-Messing-Behältnis 40 und das Post-Schlüssel-Archiv 42 physisch lokalisiert bei der Stätte des Verkäufers oder einer anderen Partei. In einer anderen Ausführungsform verwaltet die Post ihre Datenzentrale und das Post-Eiche-Behältnis 22 ist physisch lokalisiert bei der Post-Datenzentrale 16.
  • In einer anderen Ausführungsform (nicht gezeigt) könnte irgendeine Kombination der Schlüssel-Verwaltungssystem-Funktionalität, das heißt Domänen-Eiche-Prozess, Domänen-Stahl-Prozess oder Domänen-Messing-Prozess, in irgendeine der sicheren Behältnisse integriert sein.
  • Somit wird verstanden werden, dass das Schlüssel-Verwaltungssystem eine innewohnende Flexibilität hat, die unterschiedlichen Domänen, das heißt Postdiensten, erlaubt, unterschiedliche physische Implementierungen desselben logischen Schlüssel-Verwaltungssystems zu implementieren. Das Schlüssel-Verwaltungssystem stellt eine solche Flexibilität bereit, während es eine hohe Ebene von Systemintegrität und – Sicherheit aufrechterhält. Es wird ferner verstanden werden, dass die vorliegende Erfindung erlaubt, dass mehrere Verkäufer mehrere Postdienste unterstützen.
  • Die vorliegende Erfindung ist beschrieben worden für eine bevorzugte Ausführungsform, die sich auf Nachweisen innerhalb von digitalen Frankiermaschinen bezieht. Von Fachleuten wird verstanden werden, dass die vorliegende Erfindung auch geeignet ist zum Gebrauch als ein Schlüssel-Verwaltungssystem zum Transaktionsnachweisen im Allgemeinen, wie für finanzielle Transaktionen, Gegenstandstransaktionen und Informationstransaktionen.
  • Wie hier verwendet, bezieht sich der Begriff "digitale Frankiermaschine" auf konventionelle Typen von digitalen Frankiermaschinen, die an sichere Druckvorrichtungen gekoppelt sind und andere Typen von digitalen Frankiermaschinen, die an unsichere Druckvorrichtungen gekoppelt sind oder andere Konfigurationsunterschiede haben von solchen konventionellen digitalen Frankiermaschinen.

Claims (8)

  1. Verfahren zum Verifizieren eines Transaktionsinformations-Integritätsnachweises in einem eine Transaktionsnachweiseinrichtung mit einem Einrichtungsidentifizierer einschließenden Schlüsselmanagementsystem, wobei die Transaktionsnachweiseinrichtung den Transaktionsinformations-Integritätsnachweis in einer logischen Sicherheitsdomäne erzeugt, die Schritte umfassend: Empfangen des Transaktionsinformations-Integritätsnachweises und des Einrichtungsidentifizierers für die Transaktionsnachweiseinrichtung, die den Transaktionsinformations-Integritätsnachweis erzeugt; Eingeben des Transaktionsinformations-Integritätsnachweises und des Einrichtungsidentifizierers in einen Verifizierungsbehälter; basierend auf dem Einrichtungsidentifizierer für die Transaktionsnachweiseinrichtung, die den Transaktionsinformations-Integritätsnachweis erzeugt, Erhalten einer Hauptschlüsselaufzeichnung von einem Archiv des Schlüsselmanagementsystems, wobei die Hauptschlüsselaufzeichnung einen Hauptschlüssel einschließt, den die Transaktionsnachweiseinrichtung zum Erzeugen des Transaktionsinformations-Integritätsnachweises verwendet haben sollte; Verifizieren im Verifizierungsbehälter, dass der in der Hauptschlüsselaufzeichnung eingeschlossene Hauptschlüssel in der logischen Sicherheitsdomäne gültig ist, für die der Transaktionsinformations-Integritätsnachweis erzeugt wurde; Verwenden des Hauptschlüssels in dem Verifizierungsbehälter zum Verifizieren des Informations-Integritätsnachweises durch Berechnen des Transaktionsinformations-Integritätsnachweises unter Verwendung des Hauptschlüssels von der Hauptschlüsselaufzeichnung, und Vergleichen des berechneten Transaktionsinformations-Integritätsnachweises mit dem empfangenen Transaktionsinformations-Integritätsnachweis; und Ausgeben einer Anzeige des Ergebnisses der Verifizierung des Transaktionsinformations-Integritätsnachweises aus dem Verifizierungsbehälter.
  2. Verfahren nach Anspruch 1, wobei die Schlüsselaufzeichnung den Einrichtungsidentifizierer einschließt, den Hauptschlüssel und eine dem Einrichtungsidentifizierer und dem Hauptschlüssel zugeordnete digitale Signatur.
  3. Verfahren nach Anspruch 2, wobei der Schritt des Bestimmens in dem Verifizierungsbehälter, dass der in der Hauptschlüsselaufzeichnung eingeschlossene Hauptschlüssel in der logischen Sicherheitsdomäne gültig ist, für die der Transaktionsinformations-Integritätsnachweis erzeugt worden ist, den Schritt umfassend: Prüfen der digitalen Signatur zum Verifizieren der Zuordnung des Einrichtungsidentifizierers und des Hauptschlüssels innerhalb der logischen Sicherheitsdomäne.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Transaktionsnachweiseinrichtung ein Digitalfrankierer ist.
  5. Verfahren zum Verifizieren eines Transaktionsinformations-Integritätsnachweises in einem eine Transaktionsnachweiseinrichtung mit einem Einrichtungsidentifizierer einschließenden Schlüsselmanagementsystem, wobei die Transaktionsnachweiseinrichtung den Transaktionsinformations-Integritätsnachweis in einer logischen Sicherheitsdomäne erzeugt, die Schritte umfassend: Empfangen des Transaktionsinformations-Integritätsnachweises und des Einrichtungsidentifizierers für die Transaktionsnachweiseinrichtung, die den Transaktionsinformations-Integritätsnachweis erzeugt; Eingeben des Transaktionsinformations-Integritätsnachweises und des Einrichtungsidentifizierers in einen Verifizierungsbehälter; basierend auf dem Einrichtungsidentifizierer für die Transaktionsnachweiseinrichtung, die den Transaktionsinformations-Integritätsnachweis erzeugt, Erhalten einer Merkmalsschlüsselaufzeichnung von einem Archiv des Schlüsselmanagementsystems, wobei die Merkmalsschlüsselaufzeichnung einen Merkmalsschlüssel einschließt, den die Transaktionsnachweiseinrichtung zum Erzeugen des Transaktionsinformations-Integritätsnachweises verwendet habe sollte, wobei die Merkmalsschlüsselaufzeichnung unter Verwendung eines Hauptschlüssels gebildet wird; Verifizieren in dem Verifizierungsbehälter, dass der in der Merkmalsschlüsselaufzeichnung eingeschlossene Merkmalsschlüssel in der Sicherheitsdomäne gültig ist, für die der Transaktionsinformations-Integritätsnachweis erzeugt wurde; Verwenden des Merkmalsschlüssels in einem Verifizierungsbehälter zum Verifizieren des Transaktionsinformations-Integritätsnachweises durch Berechnen des Transaktionsinformations-Integritätsnachweises unter Verwendung des Merkmalsschlüssels von der Merkmalsschlüsselaufzeichnung, und Vergleichen des berechneten Transaktionsinformations-Integritätsnachweises mit dem empfangenen Transaktionsinformations-Integritätsnachweis; und Ausgeben einer Angabe des Ergebnisses der Verifizierung des Transaktionsinformations-Integritätsnachweises von dem Verifizierungsbehälter.
  6. Verfahren nach Anspruch 5, wobei die Merkmalsschlüsselaufzeichnung den Einrichtungsidentifizierer einschließt, den Merkmalsschlüssel und eine dem Einrichtungsidentifizierer und dem Merkmalsschlüssel zugeordnete digitale Signatur.
  7. Verfahren nach Anspruch 5 oder 6, wobei der Schritt des Verifizierens in dem Verifizierungsbehälter, dass der Merkmalsschlüssel in der Sicherheitsdomäne gültig ist, den Schritt umfasst: Prüfen der digitalen Signatur zum Verifizieren der Zuordnung des Einrichtungsidentifizierers und des Merkmalsschlüssels innerhalb der logischen Sicherheitsdomäne.
  8. Verfahren nach einem der Ansprüche 5 bis 7, wobei die Transaktionsnachweiseinrichtung ein digitaler Frankierer ist.
DE69636584T 1995-03-31 1996-04-01 Verfahren zur Schlüsselverteilung und Verifizierung in einem Schlüsselverwaltungssystem Expired - Lifetime DE69636584T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/414,896 US5661803A (en) 1995-03-31 1995-03-31 Method of token verification in a key management system
US414896 1999-10-08

Publications (2)

Publication Number Publication Date
DE69636584D1 DE69636584D1 (de) 2006-11-16
DE69636584T2 true DE69636584T2 (de) 2007-06-21

Family

ID=23643464

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69636584T Expired - Lifetime DE69636584T2 (de) 1995-03-31 1996-04-01 Verfahren zur Schlüsselverteilung und Verifizierung in einem Schlüsselverwaltungssystem

Country Status (7)

Country Link
US (1) US5661803A (de)
EP (1) EP0735720B1 (de)
JP (1) JP3881055B2 (de)
CN (1) CN1136512C (de)
BR (1) BR9601232A (de)
CA (1) CA2172860C (de)
DE (1) DE69636584T2 (de)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7567669B2 (en) 1996-05-17 2009-07-28 Certicom Corp. Strengthened public key protocol
US5825881A (en) * 1996-06-28 1998-10-20 Allsoft Distributing Inc. Public network merchandising system
US6041123A (en) * 1996-07-01 2000-03-21 Allsoft Distributing Incorporated Centralized secure communications system
US6041317A (en) * 1996-11-19 2000-03-21 Ascom Hasler Mailing Systems, Inc. Postal security device incorporating periodic and automatic self implementation of public/private key pair
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US6058188A (en) * 1997-07-24 2000-05-02 International Business Machines Corporation Method and apparatus for interoperable validation of key recovery information in a cryptographic system
FR2768534B1 (fr) * 1997-09-18 1999-12-10 Neopost Ind Procede et dispositif de securisation de donnees postales
AU9426598A (en) 1997-10-14 1999-05-03 Certicom Corp. Key validation scheme
US6233565B1 (en) 1998-02-13 2001-05-15 Saranac Software, Inc. Methods and apparatus for internet based financial transactions with evidence of payment
DE19816344C2 (de) * 1998-04-01 2000-08-10 Francotyp Postalia Gmbh Verfahren zur sicheren Schlüsselverteilung
US7215773B1 (en) * 1998-10-14 2007-05-08 Certicom.Corp. Key validation scheme
EP1129436A1 (de) * 1998-11-10 2001-09-05 Kent Ridge Digital Labs Verschlüsselungsverfahren und vorrichtung dafür
US6343361B1 (en) * 1998-11-13 2002-01-29 Tsunami Security, Inc. Dynamic challenge-response authentication and verification of identity of party sending or receiving electronic communication
US6847951B1 (en) * 1999-03-30 2005-01-25 Pitney Bowes Inc. Method for certifying public keys used to sign postal indicia and indicia so signed
US6704867B1 (en) 1999-03-30 2004-03-09 Bitney Bowes, Inc. Method for publishing certification information representative of selectable subsets of rights and apparatus and portable data storage media used to practice said method
US6738899B1 (en) 1999-03-30 2004-05-18 Pitney Bowes Inc. Method for publishing certification information certified by a plurality of authorities and apparatus and portable data storage media used to practice said method
JP3823599B2 (ja) * 1999-04-22 2006-09-20 富士ゼロックス株式会社 流通情報管理装置および方法
IL130963A (en) * 1999-07-15 2006-04-10 Nds Ltd Key management for content protection
GB2353682B (en) 1999-07-15 2004-03-31 Nds Ltd Key management for content protection
EP1237112A4 (de) * 1999-08-23 2006-05-17 Li Dongsheng Verfahren zum ausführen sicherer transaktionen in einem elektronischen sparbuch
US6968456B1 (en) * 2000-08-08 2005-11-22 Novell, Inc. Method and system for providing a tamper-proof storage of an audit trail in a database
US7707124B2 (en) * 2000-08-28 2010-04-27 Pitney Bowes Inc. Mail piece verification system having forensic accounting capability
US7756795B2 (en) 2000-12-27 2010-07-13 Pitney Bowes Inc. Mail piece verification system
DE10131254A1 (de) * 2001-07-01 2003-01-23 Deutsche Post Ag Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
JP2003101523A (ja) * 2001-09-21 2003-04-04 Fujitsu Ltd 秘匿機能を有する通信ネットワーク・システムおよび通信方法
US20080148350A1 (en) * 2006-12-14 2008-06-19 Jeffrey Hawkins System and method for implementing security features and policies between paired computing devices
US8132236B2 (en) * 2001-11-12 2012-03-06 Hewlett-Packard Development Company, L.P. System and method for providing secured access to mobile devices
US7561691B2 (en) * 2001-11-12 2009-07-14 Palm, Inc. System and method for providing secured access to mobile devices
US6996620B2 (en) * 2002-01-09 2006-02-07 International Business Machines Corporation System and method for concurrent security connections
AUPS112202A0 (en) * 2002-03-14 2002-04-18 Commonwealth Scientific And Industrial Research Organisation Semiconductor manufacture
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US8214291B2 (en) 2007-10-19 2012-07-03 Ebay Inc. Unified identity verification
US8175276B2 (en) * 2008-02-04 2012-05-08 Freescale Semiconductor, Inc. Encryption apparatus with diverse key retention schemes
CN101335754B (zh) * 2008-05-14 2011-09-21 北京深思洛克软件技术股份有限公司 一种利用远程服务器进行信息验证的方法
EP2128781A1 (de) * 2008-05-27 2009-12-02 Benny Kalbratt Authentifizierungsverfahren
US8838503B2 (en) * 2008-12-08 2014-09-16 Ebay Inc. Unified identity verification
US9264230B2 (en) 2011-03-14 2016-02-16 International Business Machines Corporation Secure key management
US8619990B2 (en) 2011-04-27 2013-12-31 International Business Machines Corporation Secure key creation
US8566913B2 (en) 2011-05-04 2013-10-22 International Business Machines Corporation Secure key management
US8789210B2 (en) 2011-05-04 2014-07-22 International Business Machines Corporation Key usage policies for cryptographic keys
US8755527B2 (en) 2011-05-04 2014-06-17 International Business Machines Corporation Key management policies for cryptographic keys
US8634561B2 (en) * 2011-05-04 2014-01-21 International Business Machines Corporation Secure key management
US9003560B1 (en) * 2012-06-05 2015-04-07 Rockwell Collins, Inc. Secure enclosure with internal security components
US11132685B1 (en) 2020-04-15 2021-09-28 Capital One Services, Llc Systems and methods for automated identity verification

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4281216A (en) * 1979-04-02 1981-07-28 Motorola Inc. Key management for encryption/decryption systems
US4578531A (en) * 1982-06-09 1986-03-25 At&T Bell Laboratories Encryption system key distribution method and apparatus
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
US4972472A (en) * 1985-03-15 1990-11-20 Tandem Computers Incorporated Method and apparatus for changing the master key in a cryptographic system
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
GB8704920D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging system
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US4888802A (en) * 1988-06-17 1989-12-19 Ncr Corporation System and method for providing for secure encryptor key management
US4935961A (en) * 1988-07-27 1990-06-19 Gargiulo Joseph L Method and apparatus for the generation and synchronization of cryptographic keys
US5016277A (en) * 1988-12-09 1991-05-14 The Exchange System Limited Partnership Encryption key entry method in a microcomputer-based encryption system
US5048087A (en) * 1989-02-03 1991-09-10 Racal Data Communications Inc. Key management for encrypted packet based networks
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US4956863A (en) * 1989-04-17 1990-09-11 Trw Inc. Cryptographic method and apparatus for public key exchange with authentication
US5138712A (en) * 1989-10-02 1992-08-11 Sun Microsystems, Inc. Apparatus and method for licensing software on a network of computers
US5148481A (en) * 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5173938A (en) * 1990-09-27 1992-12-22 Motorola, Inc. Key management system
US5247576A (en) * 1991-02-27 1993-09-21 Motorola, Inc. Key variable identification method
US5214698A (en) * 1991-03-20 1993-05-25 International Business Machines Corporation Method and apparatus for validating entry of cryptographic keys
US5200999A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US5245658A (en) * 1992-01-06 1993-09-14 George Bush Domain-based encryption
JPH05281906A (ja) * 1992-04-02 1993-10-29 Fujitsu Ltd 暗号鍵共有方式
US5237611A (en) * 1992-07-23 1993-08-17 Crest Industries, Inc. Encryption/decryption apparatus with non-accessible table of keys
JP2519390B2 (ja) * 1992-09-11 1996-07-31 インターナショナル・ビジネス・マシーンズ・コーポレイション デ―タ通信方法及び装置
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5491752A (en) * 1993-03-18 1996-02-13 Digital Equipment Corporation, Patent Law Group System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
US5390251A (en) * 1993-10-08 1995-02-14 Pitney Bowes Inc. Mail processing system including data center verification for mailpieces
US5454038A (en) * 1993-12-06 1995-09-26 Pitney Bowes Inc. Electronic data interchange postage evidencing system

Also Published As

Publication number Publication date
US5661803A (en) 1997-08-26
CA2172860A1 (en) 1996-10-01
CN1136512C (zh) 2004-01-28
EP0735720A3 (de) 2000-05-24
MX9601257A (es) 1997-09-30
BR9601232A (pt) 1998-01-06
DE69636584D1 (de) 2006-11-16
EP0735720A2 (de) 1996-10-02
JP3881055B2 (ja) 2007-02-14
CN1144942A (zh) 1997-03-12
CA2172860C (en) 2000-05-16
EP0735720B1 (de) 2006-10-04
JPH09167186A (ja) 1997-06-24

Similar Documents

Publication Publication Date Title
DE69636584T2 (de) Verfahren zur Schlüsselverteilung und Verifizierung in einem Schlüsselverwaltungssystem
DE69634220T2 (de) System zur kryptographischen Schlüsselverwaltung und Echtheitsprüfung
DE69636631T2 (de) Verfahren zur Erzeugung und Registrierung von Grundschlüsseln
DE69628780T3 (de) Verfahren zur Erzeugung von sicheren Kästen in einem Schlüsselverwaltungssystem
DE69836123T2 (de) Virtuelle frankiermaschine mit sicherer digitaler unterschriftenüberprüfungsvorrichtung
DE69432166T2 (de) Verschlüsselungsschlüssel-Kontrollsystem für ein Postverarbeitungssystem mit Echtheitsprüfung des Datenzentrums
CA2272222C (en) Method and apparatus for distributing keys to secure devices such as a postage meter
EP1405274B1 (de) Verfahren zum überprüfen der gültigkeit von digitalen freimachungsvermerken
DE19812903A1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
DE3841389A1 (de) Informationsuebermittlungssystem zur zuverlaessigen bestimmung der echtheit einer vielzahl von dokumenten
DE69738636T2 (de) Verbessertes Verschlüsselungskontrollsystem für ein Postverarbeitungssystem mit Überprüfung durch das Datenzentrum
EP1337974B1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
DE10305730A1 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken und Vorrichtung zur Durchführung des Verfahrens
EP1150256A1 (de) Verfahren zur sicheren Distribution von Sicherheitsmodulen
EP1279147B1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
MXPA96001258A (en) A manufacturing method of generic subscribers in a cla administration system
MXPA96001257A (en) A method of verification of symbols designators in an administration system
MXPA96001259A (es) Un sistema de administracion y validacion de claves criptograficas

Legal Events

Date Code Title Description
8364 No opposition during term of opposition