MXPA96001259A - Un sistema de administracion y validacion de claves criptograficas - Google Patents

Abstract

La presente invención se refiere a un sistema de administración de claves para generar, distribuir y manejar claves criptográficas usadas por un sistema de transacción de información que emplea elementos criptográficos para producir la evidencia de la integridad de información. El sistema comprende una pluralidad de cajas de seguridad funcionalmente distintas acopladas operativamente unas con respecto a las otras. Cada una de las cajas de seguridad realiza funciones para la generación de claves, la instalación de claves, la verificación de claves o la validación de los símbolos. Las computadoras, acopladas operativamente a las cajas de seguridad, proporcionan el control al sistema y facilitan la comunicación entre las cajas de seguridad. Una pluralidad de dominios de seguridad lógicos separados proporcionan los procesos de dominio para la generación de claves, la instalación de claves, la verificación de claves y la validación de símbolos producidos por el dispositivo que evidencia la transacción de las claves. Una pluralidad de archivos de dominio, que corresponden respectivamente con cada uno de los dominios de seguridad, para registrar de manera segura y confiable los registros del estado de las claves y las claves maestras para cada dominio. El sistema de Administración de claves instala las claves maestras en el dispositivo que evidencia la transacción y efectúa la validación de los símbolos. Las cajas de seguridad incluyen una caja de generación para generar la encripción y la señalización de una clave maestra, una caja de instalación de claves para recibir, verificar y descifrar las claves maestras señalizadas y para instalar la clave maestra en el dispositivo que evidencia la transacción;una caja de verificación del símbolo para verificar los símbolos, y cuando menos una caja de fabricación para generar las claves de dominio y distribuir las claves de dominio entre las cajas de seguridad para cada dominio.

Description

UN SISTEMA DE ADMINISTRACIÓN Y VALIDACIÓN DE CLAVES CRIPTOGRÁFICAS La presente solicitud es una continución de la Solicitud de Patente de los E.U.A. N° de Serie 08/414,563, presentada el 31 de marzo de 1995. CAMPO DE LA INVENCIÓN La presente invención se relaciona generalmente con un sistema de administración de claves criptográficas y más particularmente, a un sistema para la administración de claves de claves criptográficas distribuidas en franquea-dores para porte de correos . SOLICITUDES RELACIONADAS La presente solicitud se relaciona con la Solicitudes de los E.U.A. Nos. de Serie 08/415,824 y 08/414,896, ambas presentadas el 31 de marzo de 1995 y el Expediente del Apoderado E-437, presentada concurrentemente con la presente, y cedida a la cesionaria de la presente invención. ANTECEDENTES DE LA INVENCIÓN La tecnología de impresión digital ha hecho posible dispositivos postales, para implementar la tecnología digital, es decir pequeñas correspondencias direccionables, que se imprimen en una manera conveniente. Se ha encontrado que es deseable el uso de tales técnicas para los propósitos de probar el pago del porte de correo. Los avances tecnológicos en la tecnología de impresión digital han hecho posible una marca postal de franqueo que es única para cada pieza postal. Una impresora accionada por una computadora puede imprimir, por ejemplo, una marca postal de franqueo en una ubicación deseada en la cara de una pieza postal. La marca postal de franqueo es única, debido a que incluye información relacionada directamente con la pieza postal, por ejemplo, el valor del porte postal, la fecha, contabiliza las piezas y/o el código postal de origen. Desde una perspectiva de la Oficina de Correos, se apreciará que la tecnología de impresión y exploración con escáner, hace que un valor postal que lleva una marca postal de franqueo sea verdaderamente fácil de falsificar, puesto que se puede usar cualquier computadora e impresora adecuada para generar múltiples copias de una imagen. Con el fin de efectuar la validación de una pieza postal, es decir asegurar que el cálculo de la cantidad postal impresa en la pieza postal se ha hecho adecuadamente, se conoce que se puede incluir como parte del franqueo un número criptografiado, por ejemplo, tal como el valor del franqueo puede determinarse por la encripción para enterarnos si el valor como se imprimió en la pieza postal es el correcto. Ver, por ejemplo, las Patentes de los E.U.A. Nos. 4,757,537 y 4,775,246 concedida a Edelmann y colaboradores, así como la Patente de los E.U.A. N° 4,649,266 concedida a Eckert. Es conocido también, que para legitimar una pieza postal, al incluir la dirección como una parte adicional de la encripción, se describió en *la Patente de los E.U.A. N° 4,725,718 concedida a Sansone y colaboradores y la Patente délos E.U.A. N° 4,743,747 concedida a Fougere y colaboradores. La Patente de los E.U.A. N° 5,170.044 concedida a Pastor describe un método y aparato para la representación de datos binarios en la forma de una marca postal de franqueo que comprende un arreglo binario de pixeles. Los arreglos actuales de pixeles son explorados con escáner con el fin de identificar al proveedor de la pieza de correos y para recuperar otra información de un texto comprensible criptografiado. La Patente de los E.U.A. N° 5,142 577 concedida a Pastor describe diversas alternativas relacionadas con la codificación DES para criptografiar un mensaje y para comparar la información postal descripto-grafiada en la información de un texto comprensible en la pieza de correo. La Patente de los E.U.A. N° 5,390,251 concedida a Pastor y colaboradores describe un sistema para controlar la validez de la impresión de una marca postal de franqueo en una pieza postal de un número potencialmente grande de usuarios de los franqueadores de porte de correo, que incluyen un aparato dispuesto en cada franqueador para generar un código y para imprimir el código en cada pieza de correo. El código es una código criptografiado representativo del aparato que imprime la marca postal de franqueo y otra información únicamente determinativa de la legitimidad del porte de correo en las piezas postales . Un frangueador digital proporciona la prueba del pago del porte de correo por la señalización de la información postal en el sobre con dos "símbolos designadores digitales" Un símbolo designador digital proporciona la prueba en el servicio postal, y el segundo símbolo designador proporciona la prueba al vendedor, tal como la cesionaria de la presente invención. Un símbolo designador digital es un truncamiento del resultado de criptografiar la información de la marca postal de franqueo que incluye, por ejemplo, el valor del porte de correo, la cuenta de las piezas, la fecha de presentación, y la oficina postal de origen. Una novedosa clase de franqueadores digitales que se esta desarrollando, es la que emplea elementos criptográficos para producir la prueba de pago del porte de correo. La encripción se efectúa empleando una clave criptográfica. En cada franqueador digital, se usan claves independientes para generar los símbolos designadores digitales. Por razones de seguridad, las claves en diferentes franqueadores, también son independientes. La información relacionada con el franqueador y la pieza de correo se combinan y son criptografiadas con un vendedor y las claves postales maestras o claves derivadas del mismo. Las porciones de la información resultante se imprime en la pieza de correo como símbolos designadores impresos. La información y los símbolos designadores pueden ser verificados por un dispositivo que procese la información en la misma manera y comparar los símbolos designadores digitales resultantes con aquellos impresos en la pieza de correo. Se necesita un sistema de administración de claves para distribuir las claves criptográficas a los franqueadores digitales en una manera segura y confiable. El sistema administrador de claves deberá incluir elementos para verificar la marca postal de franqueo y los símbolos designadores digitales para detectar el fraude generado de la marca postal de franqueo y de un duplicado de la marca postal de franqueo . SUMARIO DE LA INVENCIÓN La presente invención proporciona un Sistema de Administración de Claves para generar, distribuir y manejar claves criptográficas usadas por un sistema de transacción de información que emplea elementos criptográficos para producir una prueba de la integridad de la información. El sistema comprende una pluralidad de cajas de seguridad funcionalmente distintas acopladas operativamente una con otras. Cada una de las cajas de seguridad realiza funciones para la generación de claves, la instalación de claves, la verificación de claves o la validación de símbolos designadores. Una pluralidad de dominios de seguridad lógicos separados proporcionan los procesos de dominio para la generación de claves, la instalación de claves, la verificación de claves y la validación de símbolos designadores producidos por el dispositivo que prueba la transacción dentro del dominio que emplea las funciones de administración de claves. Una pluralidad de archivos, dominio, respectivamente correspondientes a cada uno de los dominios de seguridad, registrar de manera segura y confiable los registros del estado de las claves y de las claves maestras para cada dominio. El Sistema de Administración de Claves instala las claves maestras en el dispositivo de prueba de la transacción y efectúa la validación de los símbolos designadores. Las cajas de seguridad incluyen una caja de generación de claves para la generación, encripción y señalización de una clave maestra; una caja de instalación de claves para la recepción, verificación y desencripción de las claves maestras señalizadas y para la instalación de las claves maestras en el dispositivo de prueba de la transacción; una caja de verificación para verificar la instalación de las claves maestras en el dispositivo de prueba de la transacción, una caja de verificación de los símbolos designadores para verificar los símbolos designadores, y cuando menos una caja de fabricación para generar las claves de dominio y distribuir las claves de dominio entre las cajas de seguridad para cada uno de los dominios. De acuerdo con la modalidad preferida de la presente invención, un Sistema de Administración de Claves genera y distribuye claves criptográficas, tales como las claves del Vendedor, las claves del Servicio Postal de los E.U.A., y las claves postales de otros países; en franqueadores digitales para múltiples dominios. Un dominio es una separación lógica de datos y las funciones impuestas por claves de legitimación y confidencialidad de un solo dominio. El Sistema de Administración de Claves evita cualquier translación de claves entre los dominios, proporciona una seguridad en un domino de que las claves fueron generadas en el dominio, y que han sido instaladas en un solo franqueador por el sistema. El sistema de Administración de Claves distribuye y mantiene las claves criptográficas para múltiples dominios. Además, el Sistema de Administración de Claves esta estructurado de manera que la administración de claves para todos los dominios es idéntica.

El sistema de Administración de Claves soporta los siguientes requerimientos de seguridad: (i) las claves del franqueador son siempre confidenciales; (ii) la capacidad de verificar la información continua de la marca postal de franqueo durante la vida del sistema; (iii) el estado de las claves maestras del franqueador siempre deberá ser mantenido con exactitud; (iv) la separación de los dominios deberá ser mantenido con el fin de generar y verificar la marca postal de franqueo; (v) una clave es instalada o se intenta instalar una vez. Algunos franquedores son fabricados sin conocimiento del país de destino. Esto crea un problema que sugiere, ya sea la necesidad de instalar claves en el campo o la necesidad de trasladar claves entre los dominios. Cualquier alternativa, presenta una amenaza significante a la seguridad e integridad de las claves. Estos problemas se han evitado en el presente sistema por la creacción de un dominio separado denominado dominio Earth (Tierra) . Se ha encontrado que la presente invención proporciona un Sistema de Administración de Claves que distribuye claves criptográficas a los franqueadores digitales para múltiples dominios, incluyendo las claves del Vendedor y las claves Postales para una pluralidad de países. El sistema de administración de claves para esta configurado para evitar la translación de las claves entre los dominios, para proporcionar una seguridad en un domino de que las claves se generaron en el dominio, y que cada clave ha sido instalada solo en un franqueador por el sistema. La administración de claves para todos los dominios es idéntica. DESCRIPCIÓN DE LOS DIBUJOS Lo objetos anteriores y otros objetos y ventajas de la presente invención serán evidentes por la consideración de la siguiente descripción detallada, tomada en conjunción con los dibujos que se acompañan, en los que caracteres csn referencia similar se refieren a partes similares a través de toda la descripción, y en la que: La Figura 1, es un diagrama de bloque de un sistema de administración y validación de claves criptográ-ficas de acuerdo con la presente invención; La Figura 2 es un diagrama de bloque que muestra la relación de los dominios de seguridad en el sistema de administración y validación de claves de la Figura 1; La Figura 3 es un diagrama de bloque de un centro de datos del vendedor en el sistema de administración y validación de claves de la figura 1; La Figura 4 es un diagrama de bloque de las instalaciones de fabricación del vendedor en el sistema de administración y validación de claves de la Figura 1; La Figura 5 es un diagrama de bloque de un centro de datos postal en un sistema de administración y validación de claves de la Figura 1; La Figura 6 es un diagrama de bloque que muestra el dominio administrativo de una caja de fabricación en un sistema de administración y validación de claves de la Figura 1; La Figura 7 es un diagrama de flujo de un proceso de administración de claves; La figura 8 es un diagrama de flujo para la identificación de claves ; La Figura 9 es un diagrama de bloque del material de las claves para la caja de fabricación; La Figura 10 es un diagrama de bloque del material de las claves para la caja de madera; La Figura 11 es un diagrama de bloque del material de las claves para la caja de acero; La Figura 12 es un diagrama de bloque del material de las claves para la caja de cobre; La Figura 13 es un diagrama de flujo de un proceso del franqueador digital de dominio Earth; La Figura 14 es un diagrama de flujo de las transiciones válidas del estado de las claves maestras; La Figura 15 es un diagrama de bloque de las transiciones válidas del estado de las claves maestras; La Figura 16 es un mensaje desde la caja de madera a la caja de cobre; La Figura 17 es un mensaje desde la caja de madera a la caja de acero; La Figura 18 es un diagrama lógico para la detección de impertinencias; La Figura 19 es un mensaje desde la caja de acero a la caja de cobre; La Figura 20 es un mensaje desde el franqueador a la caja de cobre; La Figura 21 es un diagrama de bloque de un manejo de errores; La Figura 22 es un diagrama de bloque de una inicialización de una primera caja de fabricación; La Figura 23 es el diagrama de flujo de una inicialización de una caja genérica; La figura 24 es un diagrama de flujo del procesamiento de la solicitud de una clave; La figura 25 es un diagrama de flujo del procesamiento de la instalación de una clave; La Figura 26 es un diagrama de flujo del procesamiento del registro de una clave; La Figura 27 es un diagrama de flujo del procesamiento de una clave obsoleta; La Figura 28 es un diagrama de flujo del proceso de verificación; La Figura 29 es un diagrama de bloque que muestra el flujo de los mensajes de instalación de claves; La Figura 30 es una tabla de los mensajes de instalación de claves de la Figura 29; La Eigura 31 es una tabla de los mensajes de registro de las claves; y La Figura 32 es un diagrama de bloque que muestra la relación de dominios y subdominios; DESCRIPCIÓN DETALLADA DE LA PRESENTE INVENCIÓN En la descripción de la presente invención, se hace referencia a los dibujos, en donde se observan diversos aspectos de un Sistema de Administración y Validación de Claves, también se refieren en el presente como el Sistema de Administración de Claves. RESUMEN DEL SISTEMA Con referencia ahora a la Figura 1, un diagrama de bloque de un Sistema de Administración de Claves proporciona un resumen del flujo de información y ubicación de los componentes del Sistema de Administración de Claves. El Sistema de Administración de Claves, generalmente se designa en 10, que comprende las instalaciones del vendedor 12 y 14 y las instalaciones postales 16 y 18. El vendedor es la entidad que maneja el Sistema de Administración de Claves. El Sistema de Administración de Claves 10 incluye una pluralidad de cajas de seguridad funcionalmente dedicadas, computadoras y líneas de comunicación. De acuerdo con la presente invención, el Sistema de Administración de Claves 10 proporciona el soporte operacional y de fabricación para una nueva generación de productos del franqueador digital. En la presente se hace referencia a los franqueadores digitales y a los productos del franqueador digital. Se observa también que la presente invención es adecuada para manejar la generación y distribución de las claves criptográficas, y la verificación de los datos criptográficos para otras aplicaciones. De acuerdo con la presente invención, las claves maestras del vendedor y de la oficina postal se generan, archivan e instalan en franqueadores por los componentes del Sistema de Administración de Claves 10. Las claves de símbolos designadores postales se derivan, distribuyen y usan para la verificación remota por los Sistema de Administración de Claves 10. Los símbolos designadores del vendedor y de la oficina postal se verifican por los componentes del Sistema de Administración de Claves 10. El Sistema de Administración de Claves 10 soporta la instalación y el mantenimiento de las claves de encripción a largo plazo en los productos del franqueador digital. La generación de claves maestras se soporta por las Cajas de Generación de Claves Maestras 20 y 22, que también se refieren en la presente como las Cajas de Madera, se adjunta una computadora del Sistema de Administración de Claves 24, también referida en la presente como la KMC, y el servidor de archivos 25. La distribución de las claves maestras es soportada por la Computadora de Distribución de Claves 30, también referida en la presente como la KDC. La instalación de claves maestras es soportada por una Caja de Instalación de Claves Maestras 32, que también se refieren en la presente como la Caja de Acero, y se adjunta una Computadora de Transmisión de Parámetros, Siembra y Registro (PSR) 34. La verificación centralizada de los símbolos designadores impresos están soportados por las Cajas de Verificación de los Símbolos Designadores 21 y 40, que también son referidos en la presente como Cajas de Cobre, y se adjuntan las computadoras respectivas del Sistema de Administración de Claves 24 y 42. Los archivos de las claves 25 y 45 registran de manera segura y confiable los mensajes del estado de las claves y las claves. DOMINIOS DE SEGURIDAD Con referencia ahora a la Figura 2, el Sistema de Administración de Claves 10 incluye dominios de seguridad lógicos separados; un dominio del vendedor 50 y uno o más dominios 52 para las autoridades postales. Cada dominio proporciona un conjunto completo de servicio de generación de claves, distribución de claves, instalación de claves y verificación de . símbolos designadores. Cada dominio puede comprender varias instalaciones, tales como las instalaciones del vendedor y las instalaciones de las oficinas postales. Los múltiples dominios de seguridad lógicos pueden existir dentro de cada caja de seguridad. La separación de los múltiples dominios se logra por la encripción de los mensajes de dominio en la Base de Datos de las Claves Maestras. Las claves de encripción de la Base de Datos son diferentes de cada dominio, dentro de la caja de seguridad, la separación de los dominios es por los procesos limitados permitidos en la caja. Sin embargo, los dominios de seguridad se sobreponen únicamente en su lugar, dentro del frangueador digital. El franqueador digital calcula dos pruebas de los símbolos designadores del pago, uno que emplea las claves maestras del vendedor y el otro que emplea las claves maestras de las oficinas postales. La falla en la verificación de cualquier símbolo designador es suficiente prueba de fraude . Con referencia ahora a la Figura 3, el centro de datos del vendedor 12 proporciona el control de acceso físico e información para los componentes del Sistema de Administración de Claves. El centro de datos del vendedor 12 aloja cuando menos una Caja de Madera 20 que funciona como una Caja de Generación de Claves Maestras del Vendedor, por lo menos una Caja de Cobre 21 que funciona como la Caja e verificación de Símbolos Designadores del Vendedor y una Caja de Fabricación 23. Por seguridad, cada caja tiene un ID único. Para añadir seguridad, las funciones de generación, verificación y fabricación están separadas físicamente unas de las otras, es decir, la Caja de Madera, Caja de Cobre y la Caja de acero son cajas separadas. Se observa que mas de una caja funcional se puede alojar en una caja física, si se desea. La computadora KMS del vendedor 24 maneja la Cajas de Madera, Cobre y Fabricación y los mensajes entre ellas. Soporta las comunicaciones de la caja de seguridad, los servicios de archivo de claves del vendedor, los servicios de archivo de claves de la oficina postal y las comunicaciones con las instalaciones de fabricación del vendedor 14 y el Centro de Datos Postal 16. Con referencia ahora a la Figura 4, la instalación de fabricación del vendedor 14 proporciona el control de acceso físico e información para los componentes del Sistema de Administración de Claves. Una instalación de fabricación del vendedor 14 aloja una computadora de Distribución de Claves el vendedor 30 y cuando menos una Caja de Acero de Seguridad 32, que funciona como una Caja de Instalación de Claves Maestras, y una computadora PSR correspondiente 34. Las computadoras de Distribución de Claves del Vendedor y la PSR 30 y 34 soportan las comunicaciones con la computadora del Sistema de Administración de Claves 24, otras cajas de seguridad y franqueadores digitales conectados en línea a un procesador 36. Las computadoras PSR 30 manejan las Cajas de Acero 32 y la inicialización del franqueador digital 36, correspondientes. Con referencia ahora a la Figura 5, el Centro de Datos Postal 16 puede proporcionar el control de acceso físico e información para los componentes del Sistema de Administración de Claves 10. El Centro de Datos Postal 16 puede alojar una Caja de Madera de Postal 22 que funciona como una caja de generación de claves maestras postales y una Caja de Cobre Postal 40 que funciona como una caja de verificación de las símbolos designadores postales. Una Computadora del Sistema de Administración de Claves Postal 42 puede soportar las comunicaciones de la caja de seguridad, los servicios de archivo de las claves postales y las comunicaciones con las Instalaciones de Envío 18 y el Centro de Datos del Vendedor 12. Con referencia ahora a la Figura 6, se requiere un dominio de seguridad lógico adicional para soportar la instalación y mantenimiento de todos los otros dominios de seguridad en los Componentes del Sistema de Administración de Claves. Esto se denomina el Dominio de Administración del Sistema de Administración de Claves 60 que es responsable por la generación de los dominios de seguridad y la instalación de los dominios de seguridad en los Componentes del Sistema de Administración de Claves. La instalación de los subdominios específicos de un país en un Dominio de Seguridad Earth son la responsabilidad del Dominio de Seguridad Earth. La instalación de los parámetros de los Códigos del Producto dentro de los Dominios de Seguridad son la responsabilidad de los Dominios de Seguridad afectados. Esto se explicará con más detalle a continuación. - CARACTERÍSTICAS FUNCIONALES Los siguientes párrafos proporcionan un resúfflen de todas las operaciones y mensajes en el Sistema de Administración de Claves 10. El Sistema de Administración de Claves 10 proporciona varias funciones necesarias para so o tar la fabricación y operación de los productos del franqueador digital. Es responsable por la generación, distribución y almacenamiento a largo plazo para todas las claves de encripción usadas en los productos del franqueador digital. También es responsable por la verificación de los símbolos designadores digitales generados por los productos del franqueador digital que emplea tales claves de encripción. Dos o más dominios de seguridad se implementan por el Sistema de Administración de Claves 10. El Dominio de Seguridad del Vendedor 50 incluye servicios de generación, distribución, archivo y verificación de claves. Los dominios de seguridad postales 52 implementan servicios similares. Estos dominios se sobreponen en un punto, el franqueador digital gue contiene ambas claves maestras las postales y las del vendedor, como se muestra en la Figura 2, es decir, únicamente en el franqueador están disponibles simultáneamente las Claves Maestras Postales y las del Vendedor. CARACTERÍSTICAS DE LAS CLAVES GENERACIÓN DE CLAVES Con referencia ahora a la Figura 7, se muestra un diagrama de flujo del Proceso de Administración de claves. Un franqueador digital 36 recibe las claves maestras del vendedor y las claves maestra postal, mientras que se ubica físicamente en las instalaciones de fabricación del vendedor 14 antes de la distribución. El Sistema de Administración de Claves aseguran el proceso de fabricación de la caja de seguridad y el proceso de generación de las claves maestras de dominio proporciona las claves de encripción para el Sistema de Administración de Claves 10 y el franqueador digital 36. Las claves maestras de dominio para los franqueadores digitales 36 se generan por un Proceso de la Caja de Madera de Dominio 70. Las claves de dominio que se usan para la encripción de las claves maestras de dominio, como se generaron, archivaron e instalaron, son generadas por la Caja de Fabricación 23. Para proporcionar claves seguras y gue no sean deter inísticas, se emplean dos procesos generadores de números aleatorios. Cada Caja de Madera y de Fabricación incluye un generador de número aleatorio en el hardware. También se incluye un generador de número seudo-aleatorio en el software. Las salidas de estos dos procesos se prueban individualmente para verificar gue el hardware y el software estén operando dentro de los límites apropiados. Las salidas de los dos generadores se combinan a través de una operación exclusiva u operación. De manera, que si el generador del número seudo-aleatorio proporciona un material formado en claves aceptable hasta que pueda ser ajustado el generador del hardware. Otras cajas de seguridad KMS tienen requerimientos limitados para generar material formado en claves. Específicamente, las claves confidenciales de arranque se generan por las Cajas de Cobre y de Acero 21 y 32 durante los procesos de inicialización. Debido de los requerimientos limitados y la presencia de autoridades confiadas durante el proceso de inicialización únicamente se emplearon los generadores de número seudo-aleatorios. IDENTIFICACIÓN DE CLAVES MAESTRAS El Sistema de Administración de Claves 10 deberá imponer el requerimiento de seguridad que una clave maestra únicamente puede instalarse o intentarse una vez en cualquier franqueador digital 6. Por ejemplo, el Sistema de Administración de Claves 10 deberá asegurar que una clave maestra de dominio no esta instalada dos veces cuando se usan dos o más Cajas de Acero 32. Este requerimiento es satisfecho a través del uso de los números de identificación de claves maestras de dominio, que están compuestas de contadores de secuencia monotónicos específicos. Los Procesos de Madera de Dominio y los Procesos de Acero de Dominio rastrean el último número de identificación de la clave maestra de dominio recibido por un ID de dominio específico. Cuando se recibe una nueva Clave Generada o mensaje de Clave Instalada, los procesos de madera de dominio y los procesos de acero de dominio verifican que el número de identificación de la clave maestra de dominio es mayor que el número contenido en el mensaje previo. Cuando el Sistema de Administración de Claves 10 recibe un comando de Clave de Solicitud, se requiere un ID de Acero. Los ID de Acero se incluyen en el registro de Claves Maestras de Distribución y deberán verificarse por el Proceso de Acero de Dominio 76. Si la ID de Acero en el mensaje no es correspondiente con e ID de acero para la Caja de Acero, el mensaje es rechazado. El ID de acero no se puede modificar en el mensaje sin romper la firma del mensaje. La combinación de un Número de Identificación de Claves Maestras de Dominio, una ID de Acero y una firma de mensaje satisface un momento de un requerimiento de instalación. Con referencia ahora a la Figura 8, la Computadora de Distribución de Claves 30 solicita una clave en 80. En 82, la computadora del Sistema de Administración de Claves 24 genera un nueva ID de la clave que aumenta onotómicamente desde un archivo de dominio 74. En 84, el proceso de madera de dominio 70 determina si el ID de la clave de la Caja de Madera es nueva en comparación con el último valor observado. En el caso de que no sea nueva, entonces se inicia la condición de error de la Caja de Madera en 86. En caso de que la ID de la clave sea nueva, en el paso 88 la caja de Madera 20 genera y criptografía una clave, adjuntándose la ID de la clave, y entonces es firmado y se envía el mensaje a la Caja de Acero 32. En 90, el proceso de acero de dominio 76 determina si el ID de acero es correcto. En 92, el proceso de acero de dominio 76 determina si la ID de la clave es nueva en comparación con el último valor observado. Un error de la caja de acero ocurre si el falla la prueba de la firma del mensaje, la ID de acero no es correcta o la ID de la clave no es nueva. Si no ocurre ningún error, la Caja de Acero 32 instala la clave en un franqueador 36 a 98. FABRICACIÓN DE CAJAS Y CLAVES DE DOMINIO Con referencia ahora a las Figuras 9-12, las Cajas de seguridad dentro del Sistema de Administración de Claves 10, deberán ser inicializadas con la información de configuración de dominio y el material formado en claves . Esto se logra a través del uso de la Caja de Fabricación 23, gue es responsable por la creación de los dominios y de las claves de dominios 110. Cuando se crea un dominio, se requiere un único ID de dominio. Después de que el dominio ha sido establecido en la Caja de fabricación 23, otras cajas de seguridad pueden ser inicializadas con la información de dominio. Todas las claves de dominio 110 se generan por la Caja de Fabricación 23. Las claves de dominio 110 consisten de claves confidenciales de operación y legitimización que son criptografiadas por el Conjunto de Claves de Dominio 103. Las claves de dominio 110 son compartidas entre las diferentes cajas de seguridad. Cada caja de seguridad tiene requerimientos específicos para el material formado en claves. Cada Caja de Fabricación 23 requiere una Combinación de Operación 101 que se descompone en tres participaciones secretas Shamir 102. Las participaciones individuales son escritas sobre el medio removible y distribuidas al personal autorizado. Cada Caja de Fabricación 23 requiere un Conjunto de Claves de Dominio 103, que consiste de un par de claves de RSA para las claves de RSA y confidencialidad, y un par de claves de RSA para legitimación. Las claves de confidencialidad y legitimación se descomponen en tres participaciones secretas Shamir 104. Las participaciones individuales son escritas sobre el medio removible y se distribuyen al personal autorizado. Los pares de claves de RSA se describen en ?UN MÉTODO PARA LA OBTENCIÓN DE FIRMAS DIGITALES Y CRIPTOSISTEMAS DE CLAVES PÚBLICAS", por R. L. Rivest, A. Shamir y L. Adle an en Communications sf the ACM, Vol 21, N° 2, de febrero de 198, pp. 120-127. Las participaciones secretas Shamir se describen en "¿COMO COMPARTIR UNA CLAVE SECRETA? por A. Shamir, en Communications of the ACM, Vol 22, N° 11, de noviembre de 1979, pp. 612-613. En la modalidad preferida, cada Caja de Madera 20 requiere una Combinación de Operación 105 que se descompone en dos participaciones secretas Shamir 106 (Figura 10) . Las participaciones individuales 106 son escritas sobre los medios removibles y se distribuyen al personal autorizado. Todas las participaciones 106 deberán entrar a la Caja de Madera 20 antes de que puedan operar. La última fracción que entró 106 deberá permanecer en la Caja de Madera para mantenerse habilitado. Cuando la última fracción que entro 106 se retira de la Caja de Madera 20 se inhabilita. Cada proceso de Madera de Dominio 70 requiere un par de claves de RSA para la legitimación. La clave de legitimación privada (POA) , únicamente es conocida por el Proceso de Madera de Dominio 70 y la Caja de Fabricación 23. La clave de legitimación pública (POA) es conocida por el Proceso de Acero de Dominio 76 y el Proceso de Cobre de Dominio 72. El Proceso de Madera de Dominio 70 no requiere una clave de confidencialidad privada. En la modalidad preferida, cada Caja de Acero 32 en las Instancias de Fabricación del vendedor requiere una Combinación de Operación 119 que se descompone en dos participaciones secretas Shamir 120 (figura 11) . Las participaciones individuales 120 son escritas sobre los medios removibles y se distribuyen al personal autorizado, por ejemplo, a un supervisor y un operador. El conjunto de participaciones de un supervisor y un operador 120 deberán entrar en la Caja de Acero 32 antes de que puedan operar.

La última o participación que entró 106, por ejemplo, la participación del operador deberá permanecer en la Caja de Acero 32 para mantenerse activa. Cuando la participación del operador 120 es retirada, la Caja de Acero 32 es desactivada. Cada Proceso de Acero de Dominio 76 requiere un par de claves de RSA para la legitimación. La clave de legitimación privada únicamente es conocida por el Proceso de Acero de Dominio 76. La clave de legitimación pública únicamente es conocida por el Proceso de Cobre de dominio 72. Cada Proceso de Acero de Dominio 76 requiere un par de claves de RSA para la confidencialidad. La clave de confidencialidad privada (P'sc) únicamente es conocida por el Proceso de Dominio de Acero 76. La clave de confidencialidad pública (Psc) es conocida por el Proceso de Madera de Dominio 70. En la modalidad preferida de la presente invención, cada Caja de Cobre 21 requiere una Combinación de Operación 121 que se descompone en dos participaciones secretas Shamir 122 (Figura 12) . Las participaciones individuales 122 se escriben sobre los medios removibles y se distribuye al personal autorizado. Todas las participaciones 12 deberán entrar a la Caja de Cobre 21 antes de que puedan operar. La último participación que entro 122 deberá permanecer en la Caja de Cobre 21 para mantenerse activa. Cuando la última participación que entró es retirada, la Caja de Cobre 21 se inactiva. Cada Proceso de Cobre de Dominio 72 requiere un par de claves de RSA para la legitimación. Las claves de legitimación privadas y públicas (P'BA y PBA) únicamente son conocidas por el Proceso de Cobre de Dominio. Cada Proceso de Cobre de Dominio requiere un par de claves de RSA para la confidencialidad. La clave de confidencialidad privada (P'sc) únicamente es conocida por el Proceso de Cobre de Dominio 72. La clave de confidencialidad pública (PBC) es conocida por el proceso de Madera de Dominio 70. Cada Proceso de Cobre de Dominio 72 requiere un conjunto de claves de DES para la confidencialidad, que únicamente son conocidas por el Proceso de Cobre de Dominio 72. Cada Proceso de Cobre de Dominio 72 requiere un conjunto de claves de DES para la legitimación que solo es conocida por el Proceso de Cobre de Dominio. Se entenderá por aquellos con experiencia en la técnica que el número de participaciones seleccionadas, según sea necesario para operar las cajas de seguridad, se basa en la estrategia de seguridad implementada para el Sistema de Administración de Claves. REQUERIMIENTOS DEL FRANQUEADOR DIGITAL Un número en secuencia de fabricación, en conjunción con un número de código del producto, define únicamente al franqueador digital 36 dentro del proceso de fabricación del vendedor. Un suministro de etiquetas de identificación , cada una contiene un único número de código del producto y un par de números en secuencia de fabricación se apilan en la línea de fabricación. Una etiqueta de identificación se aplica a cada franqueador digital 36. Estos números se alimentan a la Computadora PSR 34 y son transferidos de un ordenador a otro en el franqueador digital 36 antes del proceso de Inicialización de Claves. El franqueador se configurada de manera segura, de manera que una vez que las claves sean instaladas durante la fabricación, nunca pueden ser removidas o determinadas en el exterior del medio de fabricación sin que deje una evidencia física del manejo indebido. El Proceso de Madera de Dominio 70 emplea un conjunto de información de prueba durante el proceso de Generación de Claves Maestras. Un Patrón de Prueba consiste de dos valores binarios de bites formateados previamente 64. Estos son criptografiadas con la Clave Maestra de Dominio objetivo y se generan un número de símbolos designadores de un texto en cifras resultante. Se incluye un Patrón de Prueba en los Procesos de Madera de Dominio y Cobre de Dominio que operan el software. Todos los franqueadores digitales emplean la misma información de prueba durante el procedimiento de verificación de la instalación. El patrón de prueba es un conjunto de información compartida o en participación entre el Sistema de Administración de Claves 10 y el franqueador digital objetivo. El patrón de prueba puede ser almacenado en la memoria ROM para un farnqueador digital específico. FRANQUEADORES DIGITALES DE DOMINIO EARTH Los franqueadores digitales de dominio Earth no tienen una información específica de los países, cuando se deja en las Instalaciones de Fabricación. Esto se hace para permitir que el franqueador digital sea apilado en una base regional y se hace el país específico en el último momento. El número de código del producto para el frangueador digital de dominio Earth es un prefijo del código del producto de la carta, seguido por un número predeterminado. Previo a la personalización del país, un Número de Serie de Serie de la marca postal de franqueo será un una condición nula. Tanto los valores del Número de Código del Producto como los Número en Serie de la Marca postal de franqueo deberán definirse en el momento de Registro de las claves para hacer activa la Clave Maestra de dominio. Con referencia ahora a la Figura 12, se proporciona un diagrama de flujo del proceso para un franqueador digital de dominio earth. Las claves maestras de Dominio Earth para los franqueadores digitales de Dominio Earth (Tierra) se generan por el Proceso de Madera de Dominio Earth 170. Se almacenan las copias de las claves maestras de Dominio Earth en el archivo de Dominio Earth 174. Las claves maestras de Dominio Earth se instalan en los franqueadores digitales de Dominio Earth 136 y se verifican por el Proceso de Acero de Dominio Earth 176. La instalación de las claves maestras de Dominio Earth se verifica por un Proceso de Cobre de Dominio Earth 172. El registro de la Clave Maestra de Dominio Earth se actualiza para instalar el estado por el Proceso de Cobre de Dominio Earth 172. El Proceso de Cobre de Dominio Earth 172 no participa en el Registro de la Clave. El personal autorizado asigna el franqueador digital de Dominio Earth 136 a un dominio de seguridad específico de un país al establecer el número de código del producto en el frangueador digital y el número en serie de la marca postal de franqueo, una vez que el franqueador digital 236 ha sido asignado un dominio de seguridad específico de un país, no puede .regresar al Dominio Earth. Se genera un registro del Registro de las Claves firmadas digitalmente por el franqueador digital que contiene el Número de Código del Producto. El Número de Serie de la marca postal de franqueo y el Número de la secuencia de fabricación. El registro del Registro de las Claves firmadas se regresa a la Computadora del Sistema de Administracion.de Claves 24. La Computadora del Sistema de Administración de Claves 24 recuperará el registro de las Claves Maestras de Dominio Earth del Archivo de Dominio Earth 176. El registro de la Claves Maestras de Dominio Earth y el registro del Registro de la Clave se envía a un Proceso de Cobre de Dominio de un país específico 272. Los registros se verifican. Si no existen problemas se encuentran, la Clave Maestra de Dominio es criptografiada con una clave secreta del país específico. El registro de la Clave Maestra de Dominio se firma para la integridad y legitimización por la clave privada de Dominio de Seguridad de un país específico. El registro de la Clave Maestra de Dominio se enviará al Archivo de Dominio de un país específico 274. REQUERIMIENTOS DEL SISTEMA ARCHIVO DE DOMINIO Los Archivos de Dominio 74 soortan el almacenamiento a largo plazo y la recuperación de las claves maestras de Dominio. Esto se logra con diversas transacciones entre la Caja de Madera 20, .el Archivo de Dominio 74 y la Caja de Bronce o Cobre 21. Cuando el franqueador digital pasa a través de sitios de fabricación, distribución y de los clientes, se actualiza el Estado de las Claves Maestras de Dominio. Cada cambio de estado es registrado en - los registros del Archivo de Dominio, proporcionando un antecedente completo de la actividad de la clave durante la vida de las Claves Maestra de Dominio. Con referencia ahora a las Figuras 14 y 15, se proporciona un-- diagrama de flujo que muestra las transiciones vá*lidas del estado de las claves maestras. Después que la Caja de Madera 20 termina el proceso de generación de claves, se proporciona una copia cripto-grafiada de la Clave Maestra de dominio al Archivo de Domino 74. El estado de la Clave Maestra de Dominio se establecerá en en una nueva en 180. El Archivo de Dominio 74, asigna el almacenamiento de la base de datos y escribe la información. Posteriormente, la Caja de Acero 32 y la Caja de Cobre terminan el proceso de instalación de claves, el registro de las Claves Maestras de Dominio es actualizado. El estado de la Clave Maestra de Dominio se puede establecer, como se instalaron, en 182, en caso de que el proceso sea exitoso. El estado de las Claves Maestras de Dominio pueden ser establecidas, como deficiente, en 184, si ocurre cualquier falla durante los procesos de instalación y distribución de claves. Tales fallas pueden incluir un mensaje perdido, un error en el mensaje, un error al escribir la Clave Maestra de Dominio en la memoria del franqueador digital, los errores en la verificación de los símbolos designadores de prueba u otros. Cuando al franqueador digital se le asigna un Número de Serie de la Marca Posta de Franqueo para un dominio postal específico, se actualizan los Registros de las Claves Maestras de Dominio Postal y los del Vendedor. El estado de la Clave Maestra se establece para activarse en 186, y los servicios de verificación se permiten para el franqueador digital . Cuando el franqueador digital esta fuera de servicio, se actualizan los registro de las Claves Maestras de Dominio Postal y del Vendedor. El estado de las Claves Maestras se establece en obsoleto en 188. DIRECCIONAMIENTO DEL SISTEMA DE ADMINISTRACIÓN DE CLAVES El sistema de Administración de Claves 10 esta compuesto de un juego de cajas de seguridad físicas y dominios de seguridad lógicos. Los mensajes que fluyen entre estos componentes deberán contener suficiente información para permitir el proceso y los auditores identifique los participantes del mensaje. Los dominios de seguridad lógicos se determinan por un objeto direccionable denominado ID de Dominio. Esta dirección únicamente define un instante de un dominio particular dentro del Sistema de Administración de Claves 10. Ejemplos de ID de dominio válidas pueden ser VE para un Dominio de Seguridad del vendedor, el USPS (Servicio Postal de los E.U.A.) para la instancia de un Dominio de Seguridad de un Servicio Postal de E.U.A. y UKRM para la instancia de un Dominio de Seguridad de Envío Real, del Reino Unido. Los dominios de seguridad. Los dominios* de seguridad se extienden en diversas cajas de seguridad y pueden extenderse a varios archivos. Pueden coexistir múltiples dominios de seguridad dentro de los límites físicos de una caja de seguridad. Un único dominio esta activo dentro de la caja de seguridad en cualquier tiempo dado. Los datos no son transferibles entre los dominios. Los objetos de la caja de seguro lógicos se determinan por un objeto de dirección denominado Tipo de Caja de Seguridad. Esta dirección únicamente define las funciones de la caja de seguridad que participan en una transacción del mensaje. La Caja de Madera 20 es el Generador de Claves Maestras. La Caja de Acero 32 es la Caja de Instalación de las Claves Maestras. La Caja de Cobre o Latón 21 es la Caja de Verificación de los símbolos designadores. La Caja de Estaño 44 es la Caja de Verificación de los Símbolos designadores a distancia. La identificación de las cajas de seguridad físicas se determina por un objeto de dirección denominado Caja de Seguro ID. Esta dirección únicamente define una instancia esta caja dentro del Sistema de Administración de Claves 10. Se compone de un tipo de Caja de Seguridad e identificador numérico. DATOS DE CONFIGURACIÓN KMS Cada componente del Sistema de Administración de Claves 10 mantiene diversas tablas de configuraciones que permiten la operación de software para determinar la validez y los requerimientos de procesamiento para los mensajes de servicio del Sistema de Administración de Claves. Las tablas de comando se usan para identificar que mensajes y comandos de servicio del Sistema de Administración de Claves son esperados por los componentes del sistema. Una tabla de comandos del sistema KMS define todos los comandos que son aceptados en un nivel del sistema. Subconjuntos de la tabla de nivel del sistema se almacenan por los componentes del sistema, que incluye las Cajas de Madera 20, las Cajas de Cobre 21, las Cajas de Acero 32, las Cajas de Fabricación 23, la Computadora KMS 24, la Computadora de Distribución de Claves 30 y las Computadoras PSR 34. Los mensajes recibidos que no se incluyen en la tabla de comandos local son rechazados . Las tablas de configuración se usan para identificar que ID de Dominio del Sistema de Administración de Claves son reconocidas por los componentes del sistema. Una tabla de configuración de sistema KMS define todos las ID de Dominio que son aceptados en un nivel del sistema. Los subconjuntos de la tabla de nivel del sistema son almacenados por los componentes del sistema, incluyendo las Cajas de Madera 20, las Cajas de Cobre 21, las Cajas de Acero 32, las Cajas de Fabricación 23, la Computadora KMS 24, la Computadora de Distribución de Claves 30 y las Computadoras PSR 34. Los mensajes recibidos que no se incluyen en la tabla de comandos local son rechazados. Las tablas de registros se usan para identificar que Registros del Sistema de Administración de Claves son reconocidos por los componentes del sistema. Una tabla de registro de sistema KMS define todos las ID de Dominio que son aceptados en un nivel del sistema. Los subconjuntos de la tabla de nivel del sistema son almacenados por los componentes del sistema, incluyendo las Cajas de Madera 20, las Cajas de Cobre 21, las Cajas de Acero 32, las Cajas de Fabricación 23, la Computadora KMS 24, la Computadora de Distribución de Claves 30 y las Computadoras PSR 34. Los mensajes recibidos que no se incluyen en la tabla de comandos local son rechazados. FLUJO DE INFORMACIÓN El Proceso de Madera de Dominio 70 suministra las Claves Maestras de Dominio al Archivo de Dominio 74. Con referencia ahora a la Figura 16, la Clave Maestra de Dominio (KDM) es criptografiada con una clave pública del proceso de Cobre de Dominio (PBC) antes de que se almacene en el Archivo de Dominio 74. De modo que, el Proceso de Madera de Dominio 70 no pueda quitar las criptografías de la Clave Maestra de Dominio (KDM) del Archivo de Dominio 74. El Proceso de Madera de Dominio 70 firma el registro de Claves Maestras de Dominio con la clave privada del Proceso de Madera de Dominio (P0A) antes de que se almacene en el Archivo de Dominio 74. De manera que el Proceso de Cobre de Dominio 72 pueda confiar que el registro de Claves Maestras de Dominio fue creado por el Proceso de Madera de Dominio 70. El proceso de Madera de Dominio 70 suministra la Clave Maestra de Dominio (KDM) al Proceso de Acero de Dominio 76. Con referencia ahora a la Figura 17, la Clave Maestra de Dominio (KDM) es criptografiada con una clave pública del proceso de Acero de Dominio (PSc) antes de que se envíe al Proceso de Acero de Dominio 76. De modo que, el Proceso de Madera de Dominio 70 no pueda quitar las criptografías de la Clave Maestra de Dominio (KDM) de un registro de las Claves Maestras Distribuidas. El Proceso de Madera de Dominio 70 hace la señalización en el registro de Claves Maestras Distribuidas con la clave privada del Proceso de Madera de Dominio (POA) antes de que se envíe al Proceso de Acero de Dominio 76. De modo que el Proceso de Acero de Dominio 76 pueda confiar que el registro de Claves Maestras Distribuidas fue creado por el Proceso de Madera de Dominio 70. Con referencia ahora a la Figura 18, se muestra el flujo del proceso para la detección de diferencias. Para soportar los requerimientos de seguridad mencionados previamente, una clave se instala o se hace el intento de instalar una sola vez para asegurar que no haya diferencias de las Claves Maestras de Dominio. El Archivo de Dominio asigna las ID de las Claves en secuencia monotónicamente (KID) a todas las claves maestras de Dominio. Los índices de ID de las Claves separadas se mantienen para cada ID de dominio. Los Procesos de Madera de Dominio 70 y los Procesos de Acero de Dominio 76 rastrean los valores ID de la clave y los compara con los valores de ID de las claves recibidos en el mensaje de Claves Generadas y en registro de Claves Maestras Distribuidas. De modo que, los Procesos de Madera de Dominio 70 y los Procesos de Acero de Dominio 76 pueden detectar cuando se vuelve a presentarse el mensaje de Claves Generadas o el registro de Claves Maestras Distribuidas . Con referencia ahora a la Figura 19, el Proceso de Acero de Dominio 76 hace la señalización en el registro de instalación de las Claves Maestras con la clave privada del Proceso de Acero de Dominio P(SA) antes de que se envíe a la Computadora KMS 24. Al hacerlo así, el Proceso de Cobre de Dominio 72 puede confiar gue el registro de Instalación de las Claves Maestras fue creado por el Proceso de Acero de Dominio 76. En el momento del registro de las claves, el franqueador digital hace la señalización al registro de Registro de las Claves con ambas claves, la Clave Maestra del Vendedor K(VM) Y la Clave Maestra Postal K(PM) . De manera los Procesos de Cobre de Dominio del Vendedor 72 puedan confiar en los valores registrados en el Registro de Claves originados en el franqueador digital 36. Cada Proceso de Cobre de Dominio 72 criptografía la Clave Maestra de Dominio en los registros del Archivo de Dominio con la clave DES secreta de los Procesos de Cobre de Dominio.- Como resultado, los procesos de Cobre de Dominio 72 pueden confiar que otros Procesos de Cobre de Dominio no puedan leer el material formado en claves. El Proceso de Cobre de Dominio 72 hace la señalización al registro de la Clave Maestra de Dominio con la clave DES secreta del Proceso de Cobre de Dominio antes de enviarla al Archivo de Dominio 74. De modo que el Proceso de Cobre de Dominio 72 puede confiar que el registro de las Claves Maestras de Dominio se modifico solo por el Proceso de Cobre de Dominio 72. Un ejemplo de un mensaje del Proceso de cobre se muestra en la Figura 20.

RASTREO DE VERIFICACIÓN El Sistema de Administración de Claves 10 mantiene un rastreo de verificación de eventos por tiempo en la vida de una Clave Maestra de Dominio. Estos eventos indican cuando el Sistema de Administración de Claves tomo las acciones. Los eventos por tiempo enumerados deberán aumentarse para un uso exitoso de la Clave Maestra de Dominio. Los mensajes del sistema con los eventos por tiempo que preceden a los eventos previos serán rechazados. Será rechazada la solicitud de verificación recibida con fechas que preceden el momento de Registro de las Claves en el Sistema de Administración de Claves. En la modalidad preferida de la presente invención, la Computadora KMS 24 registra el Tiempo de Solicitud de KMS, que es cuando se recibe el comando de Claves solicitadas desde la Computadora de Distribución de Claves 30. La Computadora PSR 34 registra el tiempo de instalación en PSR gue es cuando un comando de Claves instalado es proporcionado a la Caja de acero 32. L Computadora de KMS 24 registra el Tiempo de Instalación que es cuando un comando de Verificación de Claves Instaladas se recibe desde la Computadora de Distribución 30. El franqueador digital 36 registra la Fecha de Registro del frangueador que es cuando se recibe un comando de una Marca Postal Registrada del puerto de comunicaciones o interfase del usuario. La computadora KMS 24 registra el Tiempo de Registro de las Claves KMS que es cuando se recibe un comando de Verificación de la Marca Postal de Franqueo Registrada desde el franqueador digital. En una modalidad alterna, la Caja de Madera 20 registra un tiempo local cuando el comando de la Clave Generada se recibe dése la computadora KMS 24. La Caja de Acero 32 registra el tiempo local cuando se recibe un comando de Claves instaladas. La Caja de Cobre 21 registra un tiempo local cuando una solicitud de verificación de Claves se recibe desde la computadora del Sistema de Administración de Claves 24. MANEJO DE ERRORES El sistema de Administración de Claves proporciona un conjunto de mecanismos de reporte y de detección de errores para los mensajes de servicio del Sistema de Administración de Claves. Los problemas pueden ocurrir cuando los mensajes se preparan, se envía sobre las líneas de comunicación, recibidas o procesadas por la parte receptora. Cuando se detectan errores en el sistema, la fuente de comandos, será notificada y ser hará una entrada en el libro de errores del Sistema. Con referencia ahora a la Figura 21, se proporciona un diagrama de bloque que muestra un resumen del manejo de errores. Los errores en el sistema se detectan en tres diferentes niveles. El primer nivel de manejo de errores se implementa dentro del protocolo PB232. Este protocolo esta provisto para estructuras de mensajes a través del uso caracteres de control STX y ETX. La identificación del mensaje esta provista a través del uso de Códigos de Clase predefinida. La integridad del mensaje se provee a través del uso de códigos de detección de errores. En caso de gue los mensajes recibidos cumplan con estos mecanismos, el receptor enviara un carácter de control de Reconocimiento Positivo. En caso de que no, el receptor enviaría un carácter de control sin Reconocimiento. Los componentes de envío pueden intentar volver transmitir el mensaje o tomar otras acción correctiva. Los mecanismos de manejo de errores PB232 son de un tipo convencional. El segundo nivel de manejo de errores se implementa por procesos manej adores de comandos del Sistema de Administración de Claves 10. Estos comparan el comando recibido contra un juego de comando esperados como se definió, en una Tabla de Comandos. El campo de comando es verificado. El número de parámetros esperados se verifican. La sintaxis de parámetros individuales se verificaron. En caso de gue cualquier error se encuentre en el comando, un mensaje de Errores del Comando será regresado a la fuente de comandos . El tercer nivel de manejo de errores se implementa por los procesos manej adores de comandos del Sistema de Administración de Claves 10. Estos comparan los parámetros en el comando en contra un juego de parámetros esperados como se definió en la Tabla de Configuración. Los parámetros individuales se verifican contra con la Tabla de Configuración. La asociación de diferentes parámetros se verifica contra la Tabla de Configuracón. La disponibilidad de los recursos del hardware y los registros de la base de datos se verifican. Las firmas de los componentes del mensaje y la validez de los componentes del mensaje criptografiado se verifican. En caso de que se encuentre cualquier error en el comando o durante el procesamiento del comando, un mensaje de Respuesta del Comando se regresará con el Código de Respuesta. En caso de que se encuentre cualquier error en la Respuesta, se regresará un mensaje de errores de Respuesta del Comando con el Código de Respuesta. PROCESO DE INICIALIZACION Los siguientes párrafos proporcionan un resumen del Proceso de Inicialización de Caja de Seguridad del Sistema de administración de Claves 10, como se muestra en las Figuras 2 y 23. Como se describió previamente, en la modalidad preferida de la presente invención existen cuatro tipos de Cajas de Seguridad del Sistema de Administración de Claves. La Caja de Fabricación 23 es responsable por el Sistema de Administración de Claves 23 y la inicialización de la Caja de Seguridad. La Caja de Madera 20 es responsable por la Generación de Claves Maestras. La Caja de Acero 32 es responsable por la instalación de las Claves Maestras de Dominio. La Caja de Cobre 21 es responsable por el registro de las Claves Maestras de Dominio y la Verificación de los Símbolos designadores. En una modalidad alterna, la Caja de Estaño es una Caja de Verificación de símbolos designadores remotos. Con referencia ahora a la Figura 22, la Primera Caja de Fabricación 23, deberá ser inicializada. La caja de Fabricación que funciona con un software es cargada y probada. La ID de la Caja de Seguridad es inicializada a M00000000. Cuando la Caja de Fabricación 23 es encendida, la ID de la Caja de Seguridad es interrogada. En caso de que sea determine en M00000000, la Caja de Fabricación 23 espera para establecer un primer mensaje de ID de la primera Caja de Seguridad desde la Computadora KMS 24, entonces los comandos establecen en la Primera Caja de Fabricación 23 la ID de la Caja de Seguridad en M00000001. La Primera Caja de Administración 23 se recibe y verifica el mensaje. Si no se encontraron errores, la Primera Caja de Fabricación 23 genera una Combinación de Operación 101 y se establecen las Claves de Participación de Operación 102. Las claves de participación de operación 102 se escriben en el medio removible. Después, la Primera Caja de Fabricación 23 genera dos pares de claves de RSA, uno para la Confidencialidad del conjunto de Claves de Dominio y el otro para la Legitimación del Conjunto de Claves de Dominio. Estas claves se descomponen en las participaciones de Domino y se escribe sobre el medio removible. Las claves se usan para criptografiar y hacer la señalización de los conjuntos de claves de Dominio antes que se envíen a la Computadora KMS 24 y se escriben al Archivo o el medio removible. La primera Caja de Fabricación 23 genera un conjunto de claves de Legitimación de la Caja de Seguridad, un par de claves de RSA se genera por cada tipo de caja, es decir fabricación, Madera, Acero y Cobre. La clave pública para cada tipo de caja es escrita en el medio removible. Las claves deberán ser escritas en el Software de Operación de la Caja de Seguridad por una Ingeniería de Software. Después de gue se han escrito exitosamente todas las Participaciones de Operación y las claves de legitimización, la ID de la Caja de Seguridad se establece en M00000001. La computadora 24 solicita a la Caja de Fabricación 23 origine un Dominio. La Caja de Fabricación 23 se establece el ID de Dominio en la memoria interna y genera las claves de Dominio regueridas 110 que son criptografiadas con la clave de Confidencialiad del Conjunto de Claves de Dominio 103 y se firma con la Clave de Legitimación del Conjunto de Claves de Dominio 103. Las claves de dominio firmadas y criptografiadas se escriben en el Archivo y/o al medio removible. Las Cajas de Fabricación adicional 23 son inicializadas por la Caja de Fabricación de la Fuente, que es una caja de fabricación que ha sido inicializada. El software que hace funcionar a la Caja de Fabricación es cargado y probado en cada Caja de Fabricación adicional 23. La Id de la Caja de Seguridad se establece en M00000000. Cuando la Caja de Seguridad 23, primero se enciende, esta interroga al ID de la Caja de Seguridad. En caso de que sea M00000000, la Caja de Fabricación 23 espera para establecer un mensaje ID de la Caja de Seguridad desde la Caja de Fabricación Fuente, La computadora KMS 24, proporciona un comando a la Caja de Fabricación Fuente para inicializar cada Caja de fabricación adicional. La Caja de Fabricación adicional 23 asigna la próxima ID de la Caja de La Caja de fabricación 23 almacena la Id de la Caja de Seguridad y genera una Clave de Confidencialidad de Arranque de la Caja de Fabricación. La ID de la Caja de Seguridad y la Clave de Confidencialidad de Arranque se envía de regreso a la Caja de Fabricación Fuente y se firma con la Clave privada de Legitimación de Arranque. La Computadora KMS 24 envía un comando a la Caja de Fabricación de Fuente para hacer un Proceso de Fabricación de Dominio para la Caja de Fabricación. Los componentes de las Claves e Dominio regueridas se suministran a la Caja de Fabricación 23 empleando la Clave de confidencialidad de arranque. Este proceso se repite para todos los Dominios requeridos. Cualquier dominio de tiempo se añade a la Caja de Fabricación 2, otras Cajas de Fabricación inicializada deberán actualizarse para reflejar tales dominios adicionales. En la modalidad preferida, todas las Cajas de -fabricación inicializada se configuran con datos de claves idénticas. Para la inicialización de la Caja de Madera, el software que hace funcionar la Caja de Madera es cargado y probado. La ID de la Caja de Seguridad se establece en OOOOOOOOO. Cuando la Caja de Madera 20 , primero se enciende, esta interroga al ID de la Caja de Seguridad. En caso de que sea 000000000, la Caja de Madera 20 espera para establecer un mensaje ID de la Caja de Seguridad desde la Caja de Fabricación 23. La computadora KMS 24, proporciona un comando a la Caja de Fabricación 23 para inicializar cada Caja de Madera 20. La Caja de Fabricación 23 asigna la próxima ID de la Caja de Seguridad de Madera, firmando los mensajes con la Clave privada de Legitimación* de Arranque de la Caja de Madera y lo envía de regreso a la Caja de Madera 20, que almacena la ID de la Caja de Seguridad y genera la Clave de Confidencialidad de Arranque de la Caja de Madera. La ID la Caja de Seguridad y de la Clave pública de Confidencialidad de Arranque se envían de regreso a la Caja de Fabricación y se firma con la Clave pública de Legitimación de Arranque de la Caja de Madera. La Computadora KMS 24 envía un comando a la Caja de Fabricación 23 para hacer un Proceso de Madera de Dominio para la Caja de Madera 20. Los componentes de las Claves de Dominio regueridas se suministran a la Caja de Madera 20 empleando la Clave de confidencialidad de arranque. Este proceso permite que la Caja de Madera 20 implemente el Proceso de Madera de Dominio 70 para un dominio. Este proceso se repite para todos los Dominios requeridos para una Caja de Madera. Para la inicialización de la Caja de Acero, el software que hace funcionar la Caja de Acero es cargado y probado. La ID de la Caja de Seguridad se establece en SOOOOOOOO. Cuando la Caja de Acero 32, primero se enciende, esta interroga al ID de la Caja de Seguridad. En caso de que sea SOOOOOOOO, la Caja de Acero 32 espera para establecer un mensaje ID de la Caja de Seguridad desde la Caja de Fabricación 23. La computadora KMS 24, proporciona un comando a la Caja de Fabricación 23 para inicializar cada Caja de Acero 32. La Caja de Fabricación 23 asigna la próxima ID de la Caja de Seguridad de Acero, firmando los mensajes con la Clave privada de Legitimación de Arranque de la Caja de Acero y lo envía de regreso a la Caja de Acero 32. La Caja de Acero 32 almacena la ID de la Caja de Seguridad y genera una Clave de Confidencialidad de Arranque de la Caja de Acero. La ID la Caja de Seguridad y la Clave pública de Confidencialidad de Arranque se envían de regreso a la Caja de Fabricación y se firma con la Clave pública de Legitimación de Arranque de la Caja de Acero. La Computadora KMS 24 envía un comando a la Caja de Fabricación 23 para hacer un Proceso de Acero de Dominio para la Caja de Acero 32. Los componentes de las Claves de Dominio requeridas se suministran a la Caja de Acero 32 empleando la Clave de confidencialidad de arranque. Este proceso permite que la Caja de Acero 32 implemente el Proceso de Acero de Dominio 76 para un dominio. Este proceso se repite para todos los Dominios requeridos para una Caja de Acero Particular.

Para la inicialización e la Caja de Cobre, el software que hace funcionar la Caja de Cobre es cargado y probado. La ID de la Caja de Seguridad se establece en B00000000. Cuando la Caja de Cobre 21, primero se enciende, esta interroga al ID de la Caja de Seguridad. En caso de gue sea B00000000, la Caja de Cobre 21 espera para establecer un mensaje ID de la Caja de Seguridad desde la Caja de Fabricación 23. La computadora KMS 24, proporciona un comando a la Caja de Fabricación 23 para inicializar cada Caja de Cobre 32. La Caja de Fabricación 23 asigna la próxima ID de la Caja de Seguridad de Cobre, firmando los mensajes con la Clave privada de Legitimación de Arranque de la Caja de Cobre y lo envía de regreso a la Caja de Cobre 21, la Caja de Cobre 21 almacena la ID de la Caja de Seguridad y genera una Clave de Confidencialidad de Arranque de la Caja de Cobre. La ID la Caja de Seguridad y la Clave pública de Confidencialidad de Arranque se envían de regreso a la Caja de Fabricación y se firma con la Clave pública de Legitimación de Arranque de la Caja de Cobre. La Computadora KMS 24 envía un comando a la Caja de Fabricación 23 para hacer un Proceso de Cobre de Dominio para la Caja de Cobre 21. Los componentes de las Claves de Dominio requeridas se suministran a la Caja de Cobre 21 empleando la Clave de confidencialidad de arranque. Este proceso permite que la Caja de cobre 21 implemente el Proceso de Cobre de Dominio para un dominio. Este proceso se repite para todos los Dominios requeridos para una Caja de Cobre Particular. PROCESO DE GENERACIÓN, INSTALACIÓN Y REGISTRO Con referencia ahora a las Figuras 24-27, se muestra un resumen de un Proceso de Instalación de Claves Maestras Dominio del Sistema de Administración de Claves 10. No existen distinciones entre el vendedor y cualquier autoridad postal. Cada uno opera en una manera similar, pero independiente. Para instalar exitosamente un conjunto completo de Clave Maestras de Dominio al Franqueador digital 36, el conjunto de operaciones funcionan para el Dominio del Vendedor y el otro conjunto de operaciones funcionan para el Dominio de las autoridades postales seleccionadas . Con referencia ahora a las Figuras 24, 29 y 30, las Solicitudes de las Claves Maestras de Dominio vienen de la Computadora de Distribución de Cables 30 durante la fabricación del proceso de fabricación. En 300, la solicitudes se envían con un número de identificación de la Caja de Acero 32 desde la Computadora de Distribución de Claves 30 hacia la Computadora KMS 24 en el mensaje MIÓ. La Computadora KMS 24 solicita la ID de la Clave en 302 dése el Archivo de Dominio 74, gue luego genera una única ID de la clave para el Dominio. En 304, el Archivo de Dominio 74 envía una Respuesta ID de la clave a la Computadora KMS 24 en el mensaje MIÓ', la computadora KMS 24 registra un tiempo local para un rastreo de verificación y, en 306 envía la información en un mensaje de Clave generada Mil a la Caja de Madera 20. La Caja de Madera 20 verifica la solicitud, para determinar la validez del Dominio, la validez de la ID de la Caja de Acero para el Dominio en caso de que la ID de la clave sea mayor que la última procesada para este dominio. En caso de que cualquiera de las verificaciones se prueben falsas, la Caja de Madera 20 regresa a un mensaje de falla a la computadora KMS 24. En caso de que la verificación sea verdadera, la Caja de Madera 24 genera un Clave Maestra de Dominio y un conjunto de símbolos designadores de Prueba. En 308, la Caja de Madera 20 entrega un Registro de las Claves Maestras de Dominio a la Computadora 24 en el mensaje MI2. En 310, la computadora KMS 24 avanza al Registro de Claves Maestras de Dominio hacia el Archivo de Dominio 74 en el mensaje MI3. El Archivo de Dominio 74 almacena el Registro de las Claves Maestras de Dominio en la base de datos y envía una respuesta a la Computadora KMS 24 en 312. En 314, la Computadora KMS 24 avanza la respuesta hacia la Caja de Madera 20, que envía el mensaje de Respuesta Generado a la Computadora 24 en 316. En 318, la Computadora KMS envía el Registro de las Claves de Instalación a la Computadora de Distribución de Claves 30 en un mensaje de respuesta de la Solicitud MI4. Con referencia ahora a la Figura 25, cuando un franqueador digital 36 se presenta en la Línea de Producción, la computadora PSR 34 solicita un registro de claves de dominio de instalación desde la computadora de distribución de claves 30 en el paso 330. En el paso 330, La Computadora de Distribución de Claves 30 envía un registro de Claves de Dominio de Instalación a la Computadora PSR en el mensaje MI4 que además se envía a la Caja de Acero 32 en 334. La Caja de Acero 32 interroga a franqueador digital 36 para la información, entonces en 336, envía la Clave Maestra de Dominio en el mensaje MI5 hacia el frangueador digital 36. El franqueador digital 36 instala y verifica la clave y el estado de regreso a la Caja de Acero 32, que interroga al franqueador digital 36 para un conjunto de símbolos designadores de Prueba del frangueador. En 338, los símbolos designadores de Prueba del franqueador se regresan en el mensaje MI6 a la Caja de Acero 32, que verifica los símbolos designadores de Prueba del frangueador contra aguellos recibidos desde la Caja de Madera 20. De manera que, la Caja de Acero 32 verifica que la Clave Maestra de Dominio generada por la Caja de Madera 24 sea la misma que cuando se instalo la clave en el franqueador digital 36. En 340, la Caja de Acero 32 hace avanzar el estado de instalación y la información en el mensaje MI7 hacia la Computadora de Administración de Claves 24 a través de la computadora PSR y la Computadora de Distribución de Claves 30. La Computadora de Administración de Claves 24 recupera un registro de las claves maestras de dominio del archivo de dominio, tomando una estampilla con tiempo local y en 342 la información avanza hacia la Caja de Cobre 21 en el mensaje MI8. La Caja de Cobre 21 genera los símbolos designadores de prueba desde el registro de Claves Maestras de Dominio desde el Archivo de Dominio 74. Estas se comparan con los símbolos de Prueba del franqueador. Estos verifican la clave Maestra de Dominio en el Archivo de Dominio que sea la clave igual a como cuando se instalo en el franqueador digital. En el caso de que la verificación se interrumpa, el registro de Claves Maestras de Dominio se actualiza y avanza con el mensaje MI9 hacia la Computadora de Administración de Claves 24, en 344. La Computadora Administradora de Claves 24 avanza el registro de la Clave Maestra de Dominio en el mensaje MI9 hacia el Archivo de Dominio 74 y en el caso de que sea un regreso se dirige la respuesta a la Caja de Cobre 21 en 346. La Caja de Bronce 21 verifica la respuesta y regresa una verificación exitosa o de falla a la Computadora KMS 24 en 345 y la Computadora de Distribución de Claves 30 en el mensaje MI10. El Registro de Claves consiste de asociar el registro del país, y el número de la marca postal de franqueo con el número de código del producto y la clave. La clave luego es almacenada en el subdomino del dominio de instalación de dominio que emplea una clave secreta que es específica en el subdominio del país. La característica esencial es que este proceso de cobre es específico a los subdominios de países ayuda en el dominio de instalación para instalar las claves con exactitud y con integridad. Las claves nunca se transfieren de un dominio de instalación a otro. Con referencia ahora a las Figuras 26 y 31, cuando el franqueador digital se prepara para un Dominio de Seguridad específico, el Número de Serie de la Marca Postal de franqueo y/o el Número del Código del Producto se alimenta al fangueador digital en el Mensaje MR1. La computadora PSR 34 solicita los símbolos de registro del franqueador digital 36 en 360. El franqueador digital genera dos símbolos designadores y los regresa a la computadora PSR en 362. La computadora PSR combina los símbolos designadores con otra información en el franqueador y hace avanzar al registro de resultados a la Computadora de administración de Claves 24 a través de la Computadora del sistema de Administración de Claves 30 en 364- En 366, el Sistema de Administración de Claves 24 recupera un registro de claves maestras de dominio desde el archivo de dominio, tomando una estampilla de tiempo local y la información avanza a la Caja de Cobre 21 en el mensaje MR2. La Caja de Cobre 21 genera los símbolos de registro del registro de claves maestras de dominio desde el archivo de dominio 74. Estos se comparan con los símbolos de registro del frangueador. Este verifica que el N° de Serie de la Marca Postal de franqueo, el N° de Código del Producto y el N° de Secuencia de Fabricación se reportaron correctamente por el Franqueador digital. En caso de que la verificación se interrumpa, el registro de las claves maestras de dominio se actualiza y avanza a la computadora KMS 24, en 368. La Computadora del Sistema de Administración de Claves 24 avanza al registro de claves maestras de dominio al archivo de dominio 74 en el mensaje MR3, y si el regreso es exitoso se proporciona una respuesta a la Caja de Cobre 21 en 370. La Caja de Cobre 21 verifica gue la respuesta y regresa una verificación exitosa o de falla en el mensaje MR 4 a la Computadora del Sistema de Administración de Claves 24 en 372. Cada dominio tiene cuando menos un subdominio que es responsable para registrar las claves a los N° y efectúa la verificación de la marca postal de franqueo dentro de este subdominio. El dominio Earth en particular tiene varios subdominios de país. Es posible para un país tener franqueadores en un subdominio del domino de Earth y franqueadores en el único subdomino de su propio domino postal. En el ejemplo mostrado en la Figura 32, el país 3 tiene tanto un dominio postal como un subdominio postal del dominio Earth: Sin embargo, el país A tiene únicamente franqueadores que tienen claves que se instalaron dentro del único dominio postal del país. Con referencia ahora a la Figura 27, si un franqueador digital se pone en servicio, la información se registra y se envía a la Computadora KMS 24. La Computadora de administración de claves 24 recupera un registro de claves maestras de dominio desde le archivo de domino, tomando una estampilla de tiempo local avanzando la información a la caja de cobre 21 en 380. El registro de las claves maestras de dominio se actualizan y avanzan a la Computadora de Administración de claves 24 en 382. La computadora de administración de claves avanza el registro de la clave al archivo de dominio, y si regresa con éxito se envía una respuesta a la Caja de cobre 21 en 384. La caja de cobre 21 verifica la respuesta y regresa una verificación exitosa y de falla a la Computadora de administración de claves 24 en 386.

GENERACIÓN DE SÍMBOLOS DESIGNADORES Cada franqueador emplea la clave maestra de dominio para generar una clave temporal, también referida en la presente como la clave de símbolos designadores, para cada dominio, que se usa para generar un símbolo para los datos de piezas de correo. El sistema de Administración de claves puede distribuir claves temporales postales para autorizar los sitios de verificación postal que tienen una Caja de Verificación de Símbolos Designadores de un distribuidor 44 (Figura 1) , también se refiere en la presente como Caja de Estaño. Las claves temporales postales se usan por la Caja de estaño 44 para una verificación local de la marca postal de franqueo. Bajo este arreglo, el sistema de administración de claves proporciona un nivel superior de seguridad debido a que el porte postal puede obtener la verificación local de la marca de franqueo sin distribuir la base de datos de claves maestras a múltiples sitios. PROCESO DE VERIFICACIÓN Los siguientes párrafos proporcionan un resumen del Proceso de Verificación Sistema de Administración de Claves 10. No existen distinciones entre el vendedor y el dominio postal. Cada uno opera en una manera similar, pero independiente. Para verificar exitosamente ambos símbolos designadores, el conjunto de las operaciones se hacen funcionar por el dominio del vendedor y otro conjunto de operaciones se hacen funcionar por el domino postal seleccionado. Las solicitudes de verificación de los símbolos designadores viene de un sistema de captura de datos 19 localizado en una instalación de correo 18. La solicitud contiene una representación de texto ASCII de información impresa en una pieza de correo física. Con referencia ahora a la Figura 28, en 400 la solicitud se envía a la computadora del sistema de administración de claves 24 localizada en los centros de datos postales o los centros de datos del vendedor. La computadora del sistema de administración de claves 24 inspecciona los dígitos de verificación de datos de las piezas de correo y hace las correcciones si fuera necesario. La computadora de administración de claves 24 recupera un registro de claves maestras de dominio de un archivo de domino y avanza la información hacia la caja de cobre 21 en 402. La caja de cobre 21 verifica la solicitud y verifica gue la clave maestra de dominio este activa. La caja de cobre 21 vuelve a calcular los símbolos de dominio seleccionados gue emplean la clave maestra de dominio del archivo de dominio y la información de la pieza de correo. El símbolo calculado se compara con el símbolo de la pieza de correo y se observa si son correspondientes. Una comparación buena/mala resultante se envía a la computadora KMS 24 en 404. Un segundo ejemplo se muestra en la Figura 28 marcar los puntos sobresalientes que una verificación adicional requiere para verificar otro símbolo de dominio. La descripción anterior de la presente invención es la modalidad preferida en donde el franqueo postal se ha autorizado a un vendedor para generar claves maestras postales e instalarlas en franqueadores digitales. Las claves luego se envían al Centro de datos postales 16 para ser usados por la validación de los símbolos postales. El sistema de administración de claves incluye la capacidad para una distribución diferente de la funcionalidad, de las cajas de seguridad y de las bases de datos. Por ejemplo, en una modalidad alterna, un franqueo postal se autoriza al vendedor o otra parte para mantener y operar el Centro de Datos postales 16 que incluye las funciones de generación de claves, mantenimiento, validación de símbolos y comunicación de las claves con los vendedores. En esta modalidad, la Caja de cobre postal 40 y el archivo de claves postales 42 se localizan físicamente en el sitio del vendedor o de la otra parte. En otra modalidad, el correo maneja sus Centros de Datos y la Caja de Madera postal 22 se localiza físicamente en el Centro de datos Postal 16. En otra modalidad alterna (no mostrada) cualquier combinación de la funcionalidad del sistema de administración de claves, es decir el proceso de madera de dominio, el proceso de acero de dominio, el proceso de cobre o latón de dominio, se pueden integrar a cualquiera de las cajas de seguridad. De modo que se entenderá que el sistema de administración de claves tiene una flexibilidad inherente que permite dominios diferentes, es decir, correo permite implementaciones físicas diferentes del mismo sistema de administración claves lógicas. El sistema de administración de claves proporciona dicha flexibilidad, mientras que mantiene un elevado nivel de integridad del sistema y de seguridad. Se entenderá además que la presente invención permite que múltiples vendedores soporte los múltiples portes de correo. La presente invención se ha descrito para la modalidad preferida relacionada con el franqueador de porte de correo digital de prueba. Aquellos con experiencia en la técnica entenderá que la presente invención también es adecuada para usarse como un sistema de administración de claves para transacciones de prueba, en general, tal como, transacciones monetarias, transacciones de artículos, y transacciones de información. Como se uso en la presente el término "franqueador de porte de correo digital" se refiere a los tipos convencionales de franqueadores de porte de correo digitales que se acoplan a elementos de impresión asegurados y otros tipos de frangueadores de porte de correo digitales que se acoplan con elementos de impresión no asegurados o que tienen otras configuraciones diferentes de tales franqueadores de porte de correo digitales convencionales . Mientras que la presente invención se ha descrito y dado a conocer con referencia a un sola modalidad de la misma, será evidente, como se observo anteriormente, que se pueden hacer diversas variaciones y modificaciones. De modo que se pretende que las siguientes reivindicaciones cubran cada una de dichas variaciones y modificaciones que caen dentro del espíritu y alcance de la presente invención.

Claims (17)

1. NOVEDAD DE LA INVENCIÓN Habiéndose descrito la invención como antecede se considera de nuestra propiedad lo contenido en las siguientes : REIVINDICACIONES 1. Un sistema Administrador de Claves para generar, distribuir y manejar claves criptográficas usadas por un sistema de transacción de información que emplea ele-mentos criptográficos para producir una evidencia de la integridad de la información, el sistema comprende: una pluralidad de cajas de seguridad funcionalmente distintas acopladas operativamente unas con las otras cada uno de dichas cajas de seguridad incluyen elementos para realizar una de las funciones de administración de las claves para la generación de las claves, la instalación de las claves, la verificación de las claves y la validación de los símbolos designadores; elementos de computadora para proporcionar un control al sistema, dichos elementos de computadora que están acoplados operativamente con dichas cajas de seguridad y que incluyen elementos para facilitar la comunicación entre dichas cajas de seguridad; una pluralidad de dominios de seguridad lógicos separados cada uno de dichos dominios de seguridad que proporcionan los procesos de dominio para la generación de claves, la instalación de claves, la verificación de claves y la validación de los símbolos producidos por dichos dispositivo gue evidencia o prueba la transacción dentro de dicho dominio que emplea dichas funciones de administración de claves; una pluralidad de archivos de dominio acoplados operativamente a dichos elementos de computadora y respectivamente correspondientes con cada uno de los dominios de seguridad, dichos archivos de dominio que incluyen elementos para registrar de manera segura y confiable los registros del estado de las claves y las claves maestras para cada dominio; elementos para instalar dichas claves maestras en el dispositivo que evidencia la transacción; y elementos para legitimar dichos símbolos.
2. 2. El sistema de Administración de Claves de la reivindicación 1, en donde dichas cajas de seguridad comprenden: una caja de generación de claves que incluye elementos para generar la encripción y la señalización de una clave maestra cuando una solicitud para dicha clave maestra es recibida desde dichos elementos de computadora; y una caja de instalación de claves acoplada operativamente con dicha caja de generación de claves y dicho dispositivo que evidencia la transacción, dicha caja de instalación de claves que incluye elementos para recibir, verificar y descifrar dichas claves maestras señalizadas y elementos para instalar dichas claves maestras en dicho dispositivo que evidencia la transacción.
3. 3. El sistema de Administración de Claves de la reivindicación 2, en donde dichas cajas de seguridad además comprenden: una caja de verificación de claves acoplada operativamente con dicha caja de generación de claves y con dicha caja de instalación de claves, dicho caja de verificación de claves incluye elementos para verificar la instalación de dichas claves maestras en dicho dispositivo que evidencia la transacción.
4. 4. El sistema de Administración de Claves de la reivindicación 3, en donde dichas cajas de seguridad además comprenden: una caja de verificación de símbolos designadores acoplada operativamente con dicha caja de verificación, dicha caja de verificación de símbolos designadores incluye los elementos para verificar los símbolos designadores.
5. 5. El sistema de Administración de Claves de la reivindicación 1, en donde dichas cajas de seguridad además comprenden: cuando menos una caja de fabricación acoplada operativamente a dichas cajas de seguridad, dichas caja de fabricación incluye los elementos para generar claves de dominio y distribuir dichas claves de dominio entre dichas cajas de seguridad para cada uno de dichos dominios.
6. 6. El sistema de Administración de Claves de la reivindicación 4, en donde dichos elementos de computadora comprenden una primera computadora de administración de claves localizada en un primer centro de datos y acoplada operativamente con dichas cajas de seguridad, dicha primera computadora administradora de claves que controla las comunicaciones entre dichas cajas de seguridad y dichos archivos de dominio .
7. 7. El sistema de Administración de Claves de la reivindicación 6, en donde dichos elementos de computadora además comprenden una computadora de distribución de claves localizada en el sitio de fabricación y acoplada operativamente con dichas cajas de seguridad y dicha primera computadora administradora de claves, dicha computadora de distribución de claves que controla la distribución de dichas claves maestras para la instalación en dicho dispositivo que evidencia la transacción.
8. 8. El sistema de Administración de Claves de la reivindicación 7, en donde dichos elementos de computadora además comprenden una segunda de administración de claves localizada en el segundo centro de datos y acoplada operativamente con dichas cajas de seguridad, con dicha primera computadora de administración de datos y dicha computadora de distribución de claves, dicha segunda computadora de administración de claves supervisa al sistema de Administración * de claves y controla la verificación de las cajas de verificación de símbolos localizada en dicho segundo centro de datos.
9. 9. El sistema de Administración de Claves de la reivindicación 7, en donde dichos elementos de computadora además comprenden una computadora de administración de claves distribuidas acoplada operativamente con la primera computadora de administración de claves y localizada en un sitio de verificación, y en donde dichas cajas de seguridad además comprenden una caja de verificación de símbolos distribuidos, dicha verificación controlada por la computadora de administración de claves mediante dicha caja de verificación de símbolos distribuidos de los símbolos producidos por el dispositivo que evidencia la transacción.
10. 10. El sistema de Administración de claves de la reivinidicación 1, en donde (ilegible) de dichos dominios de seguridad lógica existen en cada una de las cajas de seguridad.
11. 11. El sistema de Administración de Claves de la reivindicación 9, en donde dicho dispositivo que evidencia la transacción produce claves temporales para generar símbolos, y uno de dichas cajas de seguridad genera claves temporales idénticas y uno de dichas computadoras de administración de claves distribuye dichas claves temporales a dicha computadora de administración de claves.
12. 12. El sistema de Administración de Claves de la reivindicación 2, en donde dicha caja de generación de claves asigna un único identificador de clave, y una caja de instalación de claves con dicha clave maestra, dicha caja de instalación de claves que verifica que dicho identificador de claves sea imperfecto y dicha clave maestra se asigna a dicha caja e instalación.
13. 13. El sistema de Administración de Claves de la reivindicación 1, en donde dicho dispositivo que evidencia la transacción incluye cuando menos dos claves maestras desde cuando menos dos de dichos dominios de seguridad, dicho dispositivo que evidencia la transacción que genera símbolos para cada uno de dichos dos dominios.
14. 14. El sistema de Administración de Claves de la reivindicación 2, en donde dicha caja generadora de claves incluye elementos para producir la prueba o evidencia de la integridad de la clave maestra y dicha caja de instalación de claves verifica dichas claves maestras instaladas en dicho dispositivo que evidencia la transacción que emplea dicha evidencia de la integridad de la clave maestra.
15. 15. El sistema de Administración de Claves de la reivindicación 3, en donde el dispositivo que evidencia la transacción incluye elementos para producir la evidencia o prueba de la integridad de las claves maestras y dicha caja de verificación de claves verifica que dichas claves maestras instaladas en dicho dispositivo que evidencia la transacción son idénticas a dichas claves maestras registradas en dicho archivo de dominio gue emplea dicha evidencia de la integridad de la clave maestra.
16. 16. El sistema de Administración de Claves de la reivindicación 1, en donde dicho dispositivo que evidencia la transacción es un franqueador de portes de correo.
17. 17. Un sistema de Administración de Claves para generar, distribuir y manejar claves criptográficas usadas por un franqueador de portes de correo digital que emplea elementos criptográficos usados por un franqueador de portes de correo que emplea elementos criptográficos para producir la evidencia del pago del porte de correos, el sistema comprende: una pluralidad de cajas de seguridad funcionalmente distintas, acopladas operativamente unas con respecto a las otras, cada una de dichas cajas de seguridad incluye elementos para efectuar una de las funciones de administración para la generación de claves, instalación de claves, verificación de claves y validación de símbolos; los elementos de computadora para proporcionar un control al sistema, dichos elementos de computadora están acoplados operativamente con dichas cajas de seguridad e incluyen los elementos para facilitar la comunicación entre dichas cajas de seguridad; una pluralidad de dominios de seguridad lógicos separados, cada uno de dichos dominios de seguridad proporcionan los procesos de dominio para la generación de las claves, la instalación de las claves, la verificación de las claves y la validación de los símbolos designadores producidos por el franqueador digital dentro de dicho dominio que emplea dichas funciones de administración de claves; una pluralidad de archivos de dominio acoplados operativamente con dichos elementos de computadora y que son correspondiente respectivamente con cada uno de dichos dominios de seguridad, dichos archivos de dominio incluyen los elementos para registrar de manera segura y confiable los registros del estado de las claves y las claves maestras para cada dominio; elementos para instalar dichas claves maestras en el franqueado de porte de correo digital; y elementos para efectuar la validación de dichos símbolos designadores. RESUMEN DE LA INVENCIÓN Un sistema de administración de claves para generar, distribuir y manejar claves criptográficas usadas por un sistema de transacción de información gue emplea elementos criptográficos para producir la evidencia de la integridad de información. El sistema comprende una pluralidad de cajas de seguridad funcionalmente distintas acopladas operativamente unas con respecto a las otras. Cada una de las cajas de seguridad realiza funciones para la generación de claves, la instalación de claves, la verificación de claves o la validación de los símbolos. Las computadoras, acopladas operativamente a las cajas de seguridad, proporcionan el control al sistema y facilitan la comunicación entre las cajas de seguridad. Una pluralidad de dominios de seguridad lógicos separados proporcionan los procesos de dominio para la generación de claves, la instalación de claves, la verificación de claves y la validación de símbolos producidos por el dispositivo que evidencia la transacción dentro del dominio que emplea las funciones de administración de las claves. Una pluralidad de archivos de dominio, que corresponden respectivamente con cada uno de los dominios de seguridad, para registrar de manera segura y confiable los registros del estado de las claves y las claves maestras para cada dominio. El sistema de Administración de claves instala las claves maestras en el dispositivo gue evidencia la transacción y efectúa la validación de los símbolos . Las cajas de seguridad incluyen una caja de generación para generar la encripción y la señalización de una clave maestra, una caja de instalación de claves par recibir, verificar y descifrar las claves maestras señalizadas y para instalar la clave maestra en el dispositivo que evidencia la transacción; una caja de verificación del símbolo para verificar los símbolos, y cuando menos una caja de fabricación para generar las claves de dominio y distribuir las claves de dominio entre las cajas de seguridad para cada dominio.