CN1193314C - 密钥管理和确认系统 - Google Patents
密钥管理和确认系统 Download PDFInfo
- Publication number
- CN1193314C CN1193314C CNB961080639A CN96108063A CN1193314C CN 1193314 C CN1193314 C CN 1193314C CN B961080639 A CNB961080639 A CN B961080639A CN 96108063 A CN96108063 A CN 96108063A CN 1193314 C CN1193314 C CN 1193314C
- Authority
- CN
- China
- Prior art keywords
- key
- key management
- management system
- territory
- proof
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00846—Key management
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00846—Key management
- G07B2017/00854—Key generation
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00846—Key management
- G07B2017/00862—Key storage, e.g. escrowing by trusted third party
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00846—Key management
- G07B2017/0087—Key distribution
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00846—Key management
- G07B2017/00895—Key verification, e.g. by using trusted party
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
- G07B2017/00967—PSD [Postal Security Device] as defined by the USPS [US Postal Service]
Abstract
用于产生、分配和管理被采用加密装置来产生信息完整性的证明的信息处理系统使用的密钥和密钥管理系统。该系统包括多个彼此可操作地连接的功能不同的安全部分。每一个安全部分执行密钥产生、密钥安装、密钥验证或记号验证的功能。可操作地与安全部分连接的计算机提供系统控制并在安全部分之间进行通信。多个分离的逻辑安全域利用密钥管理功能在域内为由交易证明设备产生的密钥产生、密钥安装、密钥验证和记号确认提供域处理。
Description
技术领域
这是1995年3月31日申请的、申请号为08/414,563的美国专利申请的后续申请。
背景技术
本发明总的来说涉及密钥管理系统,尤其涉及对分配给邮资计算器(Postage meters)的密钥进行密钥管理的系统。
本发明与在此同时申请的、转让给本发明的受让人的美国专利申请08/451,824号和08/414,896号有关,它们的申请日均为1995年3月31日,代理人案卷号为E-437。
数字打印技术已经使邮政打戳机(mailers)能够按照便利的方式进行数字的、即位映象可寻址的打印。已经发现需要利用这种技术来证明邮资支付。数字打印技术方面的技术发展已能够打印对每邮件都不同的邮戳。计算机驱动的打印机例如能够在邮件表面的所需位置处打印邮戳。因为该邮戳包含了与该邮件直接有关的信息,例如邮费、日期、件数和/或原始邮政编码,所以它是独有的。
从邮局的观点来看,由于任何合适的计算机和打印机都可用来产生图象的多个复制品,所以应注意到数字打印和扫描技术使伪造含费用的邮戳相当容易。
为了证实邮件,即保证已正确地收取了打印在邮件上的邮资总数的费用,已知作为邮资支付的标记的一部分,邮件可以包括密码数字,以便例如可根据该密码确定邮资支付的数值,从而得知打印在邮件上的数值是正确的。例如参看Edelmann等人的美国专利第4757537号和第4775246号以及Eckert的美国专利第4649266号。还已知如在Sansone等人的美国专利第4725718号和Fougere等人的美国专利第4743747号中所述的通过将地址作为密码的另一部分来确认邮件。
Pastor的美国专利第5170044号描述了以由二进制象素阵列组成的邮戳的形式表示二进制数据的方法和设备。对实际的象素阵列进行扫描以便识别邮件的寄件人和恢复其它被加密的明文信息。Pastor的美国专利第5142577号描述了加密信息和将被解密的邮政信息与邮件上的明文信息进行比较的DES编码的各种替代编码。
Pastor等人的美国专利第5390251号描述了对来自潜在的大量用户的邮资计算器的邮件上的邮戳的打印的有效性进行控制的系统,这些邮资计算器包括设置在每一计算器内的、用于产生代码和在每一邮件上打印该代码的设备。该代码是编成密码的代码,表示了打印邮戳的设备以及其它唯一地确定了邮件上邮资的合法性的信息。
数字邮资计算器通过在信封上用两个″数字记号″的标志表示邮政信息来证明邮资的支付。一个数字记号为邮证业务提供证明,第二个数字记号为卖主、例如本发明的受让人提供证明。数字记号是编码包括例如邮费、件数、交寄日期和寄出邮局的邮戳信息的结果的截断。
正在开发新一类的采用密码装置来提供邮资支付证据的数字邮资计算器。利用密钥来加密。在每一数字邮资计算器中利用独立的密钥来产生数字记号。为保密起见,不同的邮资计算器中的密钥也是独立的。关于邮资计算器和邮件的信息被组合起来并利用卖主和邮政主密钥或从中产生的密钥来进行加密。所获信息的一部分打印在邮件上作为数字记号。该信息和记号可由按照相同的方式对信息进行处理并将所获得的数字记号与打印在邮件上的数字记号进行比较的设备来验证。
需要密钥管理系统以安全和可靠的方式将密钥分配给数字邮资计算器。密钥管理系统必须包括对邮戳和数字记号进行验证以便检测伪造的邮戳和复制的邮戳的数据。
发明内容
本发明提供了一种用于产生、分配和管理加密密钥的密钥管理系统,利用加密装置的一交易证明设备使用加密密钥来产生信息完整性的证明,加密密钥包括用来产生暂时密钥的主密钥,暂时密钥用于标记的产生和验证,密钥管理系统包括:在通信上相互耦合的功能不同的多个安全装置,多个安全装置执行密钥管理功能;提供系统控制的计算机装置,计算机装置在通信上与安全部分耦合且包括用于安全装置之间的通信的装置;在通信上耦合到计算机装置且分别相应于多个分离的逻辑安全域的多个域存储装置,安全域中的每一个利用密钥管理功能在安全域内提供用于密钥产生、密钥安装、密钥验证以及验证交易证明设备所产生的信息完整性的证明的域处理,域存储装置包括记录每个安全域的密钥状态记录和主密钥的装置;在交易证明设备中安装主密钥的装置;以及验证信息完整性的证明的装置。
本发明还提供了一种用于产生、分配和管理加密密钥的密钥管理系统,利用加密装置的一交易证明设备使用加密密钥来产生信息完整性的证明,加密密钥包括用来产生暂时密钥的主密钥,暂时密钥用于标记的产生和验证,密钥管理系统包括:在通信上相互耦合的功能不同的多个程序,多个程序用于执行密钥管理功能;提供系统控制的计算机装置,计算机装置在通信上与多个程序耦合且包括用于多个程序之间的通信的装置;在通信上耦合到计算机装置且分别相应于多个分离的逻辑安全域的多个域存储装置,安全域中的每一个利用密钥管理功能在安全域内提供用于密钥产生、密钥安装、密钥验证和验证交易证明设备所产生的信息完整性的证明的域处理,域存储装置包括记录每个安全域的密钥状态记录和主密钥的装置;在交易证明设备中安装主密钥的装置;以及验证信息完整性的证明的装置。
根据本发明的最佳实施例,密钥管理系统产生例如卖主(Vendor)密钥、USPS密钥和其它国家的邮政密钥这样的密钥并将它们分给配多个域的数字邮资计算器。域是数据和独特的域鉴别和保密密钥执行的功能的逻辑分离。密钥管理系统防止在域之间密钥的变换、在一域中保证在该域中产生密钥并保证密钥被系统安装在仅一个计算器中。密钥管理系统安全地分配和维护多个域的密钥。此外,密钥管理系统的结构使得所有域的密钥管理都相同。
密钥管理系统支持以下安全需要:(i)计算器密钥总是保密的;(ii)验证邮戳信息的能力在系统寿命期间有效;(iii)总是能够正确地保持计算器主密钥的状态;(iv)为了产生和验证邮戳,必须保持域的分离;以及(v)密钥只被安装或只被试图安装一次。
制造某些邮资计算器时不知道指定国家。这就产生了需要在现场安装密钥或需要在域之间变换密钥的问题。这两种需要都对安全性和密钥完整性造成了严重威胁。在当前的系统中通过产生称为地域(Earth domain)的分离的域避免了这些问题。
已知本发明提供了将密钥分配给多个域的数字邮资计算器的密钥管理系统,这些密钥包括多个国家的卖主密钥(Vendor Keys)和邮政密钥。该密钥管理系统防止了域之间密钥的变换,在一个域中保证了在该域中产生密钥并保证每一密钥被系统安装在仅一个邮资计算器中。全部域的密钥管理都是相同的。
附图概述
参看附图阅读以下的详细描述将清楚本发明的上述和其它目的优点,图中相同的标号表示相同的部分。
图1是本发明的密钥管理和确认系统的方框图;
图2是表示在图1的密钥管理和证明系统中各安全域的关系的方框图;
图3是图1的密钥管理和证明系统中的卖主数据中心的方框图;
图4是图1的密钥管理和证明系统中的卖主制造设施的方框图;
图5是图1的密钥管理和证明系统中的邮政数据中心的方框图;
图6是表示图1的密钥管理和证实系统中的制造部分的管理域的方框图;
图7是密钥管理过程的流程图;
图8是密钥识别的流程图;
图9中制造部分的关键部件的方框图;
图10是橡树部分的关键部件的方框图;
图11是钢铁部分的关键部件的方框图;
图12黄铜部分的关键部件的方框图;
图13是地域数字计算器处理的流程图;
图14是有效主密铜状态转换的流程图;
图15是有效主密钥状态转换的方框图;
图16是从橡树部分至黄铜部分的信息;
图17是从橡树部分至钢铁部分的信息;
图18是密钥刷新检测的逻辑图;
图19是从钢铁部分至黄铜部分的信息;
图20是从计算器至黄铜部分的信息;
图21是误差处理的方框图;
图22是第一制造部分初始化的流程图;
图23是通用部分初始化的流程图;
图24是密铜请求处理的流程图;
图25是密钥安装处理的流程图;
图26是密钥登记处理的流程图;
图27是作废密钥的处理的流程图;
图28是验证处理的流程图;
图29是表示密钥安装信息的流动的方框图;
图30是图29密钥安装信息的表;
图31是密钥登记信息的表;
图32是表示域和子域的关系的方框图。
参看附图描述本发明,附图表示了密钥管理和证明系统的各个方面,该系统在此称为密钥管理系统。
系统概要
现在参看图1,密钥管理系统的方框图提供了密钥管理系统各部分的位置和信息流动的概观。概括地标为10的密钥管理系统包括卖主设施12和14以及邮政设施16和18。卖主是管理该密钥管理系统的实体。密钥管理系统10包括多个专用的安全部分、计算机和通信线路。根据本发明,密钥管理系统10为新一代的数字邮资计算器产品提供制造和操作支持。在此所说的数字邮资计算器和数字邮资计算器产品将指这种新一代的数字邮资计算器产品。应当指出,本发明适合于管理密钥的产生和分配以及其它应用的加密数据的验证。
根据本发明,卖主和邮政主密钥被密钥管理系统10的组成部分产生、存档和安装在邮资计算器中。邮政记号密钥的获取、分配和用于远程验证都由密钥管理系统10的组成部分来实现。卖主和邮政记号由密钥管理系统10的组成部分来验证。
密钥管理系统10支持在数字邮资计算器产品中的密钥的安装和长期的维护。主密钥的产生由在此也称为″橡树部分(Oak Box)的″主密钥产生部分″20和22、在此也称为KMC的附带的密钥管理系统计算机24以及档案服务器25来支持。主密钥的分配由在此也称为KDC的″密钥分配计算机″30来支持。主密钥的安装由在此也称为″钢铁部分(Steel Box)″的″主密钥安装部分″32和附带的参数化、播种(Seeding)和登记(PSR)计算机34来支持。打印的数字记号的集中验证由在此也称为″黄铜部分″(Brass Box)的″记号验证部分21和40以及附带的相应密钥管理系统计算机24和42来支持。密钥档案25和45安全和可靠地记录密钥状态信息和密钥。
安全域
现在参看图2,密钥管理系统10包括分离的逻辑安全域:一个卖主域50和一个或多个邮政当局域52。每一域提供全套的密钥产生、密钥分配、密钥安装和记号验证服务。每一域可以包括几种设施,例如卖主和邮政设施。多个逻辑安全域可位于每一安全部分内。如此多个域的分离通过在主密钥数据库内的域信息的加密来实现。数据库密钥对于各个域是不相同的。在安全部分内,利用在该域内启动的有限处理来使域分离。但是,安全域只在数字邮资计算器内的一个地方重叠。数字邮资计算器计算付费记号的两个证明,一个证明利用卖主主密钥而另一个证明利用邮政主密钥。任一数字记号的验证失败就足以证明其为伪造的。
现在参看图3,卖主数据中心12为密钥管理系统的组成部分提供物理和信息存取控制。卖主的数据中心12包括至少一个起″卖主主密钥产生部分″作用的″橡树部分″20、至少一个起″卖主记号验证部分″作用的″黄铜部分″21和″制造部分″23。为安全起见,每一部分具有唯一的ID。为增加安全性,产生、验证和制造功能在实际上彼此分离,即″橡部分″、″黄铜部分″和″钢铁部分″是分离的部分。应当指出,如果需要的话,一个以上的功能部分可被包括在一实际部分中。
卖主KMS计算机24管理安全″橡树″、″黄铜″和″制造″部分以及它们之间的信息。它支持安全部分的通信,卖主密钥档案服务,邮政密钥档案服务以及与卖主制造设施14和邮政数据中心16的通信。
现在参看图4,卖主制造设施14为密钥管理系统的组成部分提供实际和信息存取控制。卖主制造设施14包括卖主密钥分配计算机30、至少一个起主密钥安装部分作用的安全钢铁部分32以及相应的PSR计算机34。卖主密钥分配和PSR计算机30和34支持与密钥管理系统计算机24、其它安全部分和在线数字邮资计算器36的通信。PSR计算机30管理相应的″钢铁部分″32和数字邮资计算器36的初始化。
现在参看图5,邮政数据中心16可为密钥管理系统10的组成部分提供实际和信息存取控制。邮政数据中心16可以包括起邮政主密钥产生部分的作用的″邮政橡树部分″22和起邮政记号验证部分的作用的″邮政黄铜部分″40。邮政密钥管理系统计算机42可支持安全部分通信、邮政密钥档案服务以及与邮政设施18和卖主数据中心12的通信。
现在参看图6,需要附加的逻辑安全域来支持在密钥管理系统组成部分中的所有其它安装域的安装和维护。这被称为密钥管理系统管理域60,它负责在密钥管理系统组成部分中的安全域的产生和安全域的安装。
在地面安全域(Earth Security Domain)中特定图象的子域的安装是该地面安全域的责任。安全域内产品代三数字系统的参考的认定是受影响安全域的责任。这将在以下详细说明。
功能特性
以下段落给出密钥管理系统10中全部操作和信息的概要。
密钥管理系统10提供几种必要的功能来支持数字邮资计算器产品的制造和操作。它负责数字邮资计算器产品中所使用的全部密钥的产生、分配以及长期的存储。它还负责验证由采用这些密钥的数字邮资计算器产品产生的数字记号。
两个或两个以上的安全域由密钥管理系统10来实现。卖主安全域50包括密钥的产生、分配、存储和验证服务。邮政安全域52实现类似的服务。这些域在一个位置的重叠,即在如图2所示既包括卖主和邮政主密钥的数字邮资计算器中,即只有在邮资计算器中才能够同时获得卖主和邮政主密钥。
密钥特性
密钥产生
现在参看图7,该图表示了密钥管理过程的流程图。数字邮资计算器36在被分配之前实际上位于卖主制造设施内,此时它接收卖主主密钥和邮政主密钥。密钥管理系统安全部分制造处理和域主密钥产生处理为密钥管理系统10和数字邮资计算器36提供密钥。数字邮资计算器36的域主密钥由″域橡树处理″70产生。用来在域主密钥被产生、存档和安装时对它们进行加密的域密钥由″制造部分″23产生。为了提供安全和不确定性的密钥,采用两种随机数发生器处理。每一橡树部分和制造部分包括硬件随机数发生器。还包括了软件伪随机数发生器。这两种处理的输出被单独测试,以便确认硬件和软件都在可接受的范围内操作。两台发生器的输出利用″异或″操作来组合。因此,如果硬件随机数发生器失效,伪随机数发生器就提供可接受的密钥材料直到该硬件发生器被修复为止。
其它KMS安全部分具有有限的产生密钥材料的要求。具体来说,启动保密密钥在初始化过程内由″黄铜″和″钢铁″部分21和32产生。因为在初始化过程内该有限的要求和被信任的当局的存在,所以只采用软件伪随机数发生器。
主密钥识别
密钥管理系统10必须坚持这样的安全要求,即主密钥只能够被试图安装或安装在任何数字邮资计算器36内一次。例如,密钥管理系统10必须保证当在系统中使用了两个或多个″钢铁部分″32时域主密钥不被安装两次。这一要求通过由特定域的单调序列计数器构成的域主密钥识别数的使用来得到满足。″域橡树处理″和″域钢铁处理″跟踪对于特定的域ID接收的最后的域主密钥识别数。当接收到新的″产生密钥″或″安全密钥″信息时,域橡树处理或域钢铁处理就确认了该域主密钥识别数大于先前信息中包含的域主密钥识别数。
当密钥管理系统10接收″请求密钥″命令时,需要″钢铁″ID。该″钢铁″ID包括在″分配主密钥″记录中,必须被″域钢铁处理″76检查。如果信息中的该″钢铁″ID与″钢铁部分″的″钢铁″ID不匹配,信息就被拒绝。不破坏信息签名就不可以在信息中修改″钢铁″ID。″域主密钥识别数″、″钢铁″ID和信息签名的组合满足了一次安装要求。
现在参看图8,密钥分配计算机30在80处请求密钥。在82处,密钥管理系统计算机24根据域档案74产生新的单调递增密钥ID。在84处,域橡树处理70根据最后看到的值确定″橡树部分″密钥ID是否是新的。如果它不是新的,就在86处启动″橡树部分″误差状态。如果该密钥ID是新的,则″橡树部分″20在88处产生并加密密钥、附上密钥ID、然后给该信息加符号并将其传送给″钢铁部分″32。域钢铁处理76在90处确定″钢铁″ID是否正确。域钢铁处理76在92处根据最后看到的值确定密钥ID是否是新的。如果信息签名测试失败、钢铁ID不正确或密钥ID不是新的,就出现了钢铁部分误差。如果设有误差出现,钢铁部分32就在98处将密钥安装到邮资计算器36。
制造部分和域密钥
现在参看图9-12,密钥管理系统10内的安全部分必须利用域配置信息和密钥材料进行初始化。这是通过负责域和域密钥110的产生的制造部分23的使用来实现的。当域被产生时,需要唯一的域ID。在已在制造部分23中建立了域之后,其它安全部分就可利用域信息进行初始化。
全部域密钥110都由制造部分23产生。域密钥110由被域密钥集103加密的保密、证明和操作密钥组成。域密钥110被不同的安全部分所共享。每一安全部分对于密钥材料有特殊的要求。
每一制造部分23需要被分成三个沙米尔(Shamir)秘密份额102的″操作组合″101。每一份额被写入到可擦除的介质中并被分配给指定的人员。每一制造部分23需要由用于保密的RSA密钥对和用于证实的RSA密钥对组成的″域密钥集″103。保密和证实密钥被分成三个沙米尔秘密份额104。每一份额被可写入到可擦除的介质中并被分配给指定的人员。RSA密钥对在R.L.Rivest、A.Shamir和L.Adleman发表于″ACM通信(Communications of ACM)1978年2月第21卷第2期第120~127页上的论文″获取数字签名的方法和公共密钥密码系统″(Method For Obtaining Digital SignatureAndPublic-Key Cryptosystems)中有说明。沙米尔秘密份额在A.Shain发表于″ACM通信″1979年11月第22卷第11期第612~613页上的论文″如何共享秘密″(How To Share A Secret)中有说明。
在最佳实施例中,每一橡胶部分20需要被分成两个沙米尔秘密份额106的操作组合105(图10)。每一份额106被写入到可擦除的介质中并被分配给指定的人员。全部份额106必须进入″橡树部分″20之后才能够操作。最后进入的份额106必须保留在″橡树部分″中,以便对其进行启动。一旦最后进入的份额106被消除,″橡树部分″20就被禁止。
每一″域橡树处理″70需要用于证实的RSA密钥对。专用证实密钥(P’OA)只被″域橡树处理″70和″制造部分″23所了解。公用证实密钥(POA)被相应的″域钢铁处理″76和″域黄铜处理″72所了解。″域橡树处理″70不需要专用保密密钥。
在最佳实施例中,卖主″制造设施″中的每一″钢铁部分″32需要被分成两个沙米尔秘密份额120的操作组合119(图11)。每一份额120被写入到可擦除的介质中被分配给指定的人员,例如管理员或操作员。全部″管理员″和″操作员″份额120必须进入″钢铁部分″32之后才能够操作。最后进入的份额120、例如操作员份额必须保留在″钢铁部分″32中,以便对其进行启动。一旦该操作员份额120被消除,″钢铁部分″32就被禁止。
每一″域钢铁处理″76需要用于证实的RSA密钥对。专用证实密钥只被″域钢铁处理″76所了解。公用证实密钥只被″域黄铜处理″72所了解。每一″域钢铁处理″76需要用于保密的RSA密钥对。专用保密(P’SC)密钥只被″域钢铁处理″76所了解。公用保密(Psc)密钥被″域橡树处理″70所了解。
在本发明的最佳实施例中,每一″黄铜部分″21需要被分成两个沙米尔秘密份额122的操作组合121(图12)。每一份额122被写入到可擦除的介质中并被分配给指定的人员。全部份额122必须进入″黄铜部分″21之后才能够操作。最后进入的份额122必须保留在″黄铜部分″21中,以便对其进行启动。一旦该最后进入的份额122被消除,″黄铜部分″21就被禁止。
每一″域黄铜部分″72需要用于证实的RSA密钥对。专用和公用证实密钥(P’BA和PBA)只被″域黄铜处理″所了解。每一″域黄铜处理″需要用于保密的RSA密钥对。专用保密密钥(P’BC)只被″域黄铜处理″72所了解。公用保密(PBC)密钥被″域橡树处理″70所了解。每一″域黄钥处理″72需要只被该″域黄铜处理″72所了解的用于保密的DES密钥集。每一″域黄铜处理″72需要只被该″域黄铜处理″72所了解的用于证实的DES密钥集。
本领域的技术人员懂得为了操作安全部分所必须选择的份额的数目以密钥管理系统所实施的安全策略为基础。
数字邮资计算器的要求
制造序号与产品代码数字系统唯一地确定了在卖主制造处理内的数字邮资计算器36。制造序号分配的最佳方法如下。各包含唯一的产品代码数字系统和制造序号对的识别标签沿制造线存放。将一个识别标签提供给每一数字邮资计算器36。这些号码被输入给PSR计算机34并在密钥安装处理之前被下装给数字邮资计算器36。
计算器被安全地配置,因此一旦在制造期间安装了密钥,它们就绝不能够被消除或在制造环境外部被确定而不留下窜改的痕迹。
″域橡树处理″70在主密钥产生处理期间采用一组测试信息。用″测试模式″产生一组测试记号来检查在制造期间的主密钥安装处理。该″测试模式″是两个预格式化的64位二进制数值。这些数值利用目标″域主密钥″来加密,并从所获的密码文本中产生记号的规定位置和数目。
″测试模式″被包括在″域橡树″和″域黄铜处理″的操作软件中。全部数字邮资计算器在密钥安装检查过程期间采用相同的测试信息。测试模式是一组在密钥管理系统10和目标数字邮资计算器之间共享的信息。测试模式可存储在特定数字邮资计算器的ROM中。
地域数字邮资计算器
地域数字邮资计算器在它们离开制造设施时不具有特定国家的信息。这样做的目的是为了使数字邮资计算器能够按地区存放并在最后时刻被制成与国家有关。地域数字邮资计算器的产品代码数字系统是后面跟有预定数字的两字母的产品代码前缀。在国家专用化之前,″邮戳序号将是一空串。产品代码数字系统和邮戳序号的值必须在密钥登记时刻被确定,以便使″域主密钥″有效。
现在参看图3,该图表示了地域数字邮资计算器的处理流程图。地域数字邮资计算器的地域主密钥由地域橡树处理170产生。地域主密钥的拷贝存储在地域档案174中。地域主密钥被安装到地域数字邮资计算器136并被地域钢铁处理176检查。地域密钥的安装由地域黄铜处理172进行验证。地域主密钥记录被地域黄铜处理172更新为安装状态。地域黄铜处理172不参与密钥登记。指定的人员通过设定数字邮资计算器的产品代码数字系统和邮戳序号来将地域数字邮资计算器136指派给国家特有的安全域。一旦数字邮资计算器236已被指派给国家特有的安全域,它就不能返回地面域。被以数字方式加符号的密钥登记记录由包含产品代码数字系统、邮戳序号和制造序号的数字邮资计算器产生。被以数字方式加符号的密钥登记记录被返回给密钥管理系统计算机24。
密钥管理系统计算机24将从地域档案176中检索地域主密钥记录。地域主密钥记录和密钥登记记录被传送给国家特有的域黄铜处理272。记录被验证。如果没有发现问题,就利用国家特有的密钥加密域主密钥。为了完整性和进行证实,利用国家特有的安全域专用密钥加符号于域主密钥记录。地主密钥记录将被传送给国家特有的域档案274。
系统要求
域档案
域档案74支持域主密钥的长期存储和检索。这是利用在橡树部分20、域档案74和黄铜部分21之间的若干交易处理来实现的。随着数字邮资计算器通过制造、分配和买主现场,域主密钥状态被更新。每一状态变化都被登记在域档案记录中,为域主密钥的寿命提供了密钥活动的完整历史。
现在参看图14和15,它们给出了表示有效主密钥状态变换的处理流程图。在橡树部分20完成密钥产生处理之后,域主密钥和信息的加密拷贝被传送给域档案74。域主密钥的状态将在180处被设定为″新的″。域档案74将分配数据库存储并写入信息。
在钢铁部分32和黄铜部分21完成密钥安装处理之后,域主密钥记录被更新。如果该处理成功,就可在182处将域主密钥的状态设定为″安装″。如果在密钥分配或安装处理期间出现任何失败,就可在184处将域主密钥的状态设定为″坏″。这种失败可以包括丢失信息、信息错误、将域主密钥写入到数字邮资计算器存储器的错误、校验测试记号的错误或其它错误。
在数字邮资计算器被指派时,特定邮政域的邮戳序号、卖主和邮政域主密钥记录被更新。主密钥状态在186处被设定为″有效″并且验证服务可供该数字邮资计算器之用。当数字邮瓷计算器不进行服务时,卖主和邮政域主密钥记录被更新。主密钥状态在188处被设定为″作废″。
密钥管理系统地址
密钥管理系统10由一组物理安全部分和逻辑安全域组成。在这些组成部分之间流动的消息必须包含足以使处理和审查程序能够区分消息的参与者的信息。
逻辑安全域由称为″域ID″的地址客体来确定。这一地址唯一地确定了在密钥管理系统10内的某域的示例。有效的″域ID″的例子可以是卖主安全域的VE、美国邮政业务安全域的示例的USPS和英国皇家邮政安全域的示例的UKRM。安全域跨越若干安全部分并可跨越若干档案。多个安全域可共存在一个安全部分的物理边界内。在任何给定时刻,安全部分内的仅一个域是有效的。没有数据在域之间传送。
逻辑安全部分客体由称为″安全部分类型″的地址客体来确定。这一地址唯一地确定了参与消息事项处理的安全部分功能。″橡树部分″20是主密钥产生器。″钢铁部分″32是主密钥安装部分。″黄铜部分″21是记号验证部分。″锡部分″44是远程记号验证部分。
实际安全部分的识别由称为″安全部分ID″的地址客体来确定。这一地址唯一地确定了在密钥管理系统10内该部分的示例。它由″安全部分类型″和数值标识符组成。
KMS配置数据
密钥管理系统10的每一组成部分含有使操作软件能够确定密钥管理系统业务消息的有效性和处理要求的若干个配置表。命令表被用来区分系统的组成部分期望什么样的密钥管理系统业务消息和命令。KMS系统命令表定义在系统级上被接受的全部命令。系统级的表的子集被系统的组成部分所存储,这些组成部分包括″橡树部分″20、″黄铜部分″21、″钢铁部分″32、″制造部分″23、KMS计算机24、密钥分配计算机30和PSR计算机34。没有被包括在本地命令表中的接收消息将被拒绝。
配置表被用来区分什么样的密钥管理系统域ID将被系统的组成部分所识别。KMS系统配置表定义在系统级上被接受的全部″域ID″。系统级的表的子集被系统的组成部分所存储,这些组成部分包括″橡树部分″20、″黄铜部分″21、″钢铁部分″32、″制造部分″23、KMS计算机24、密钥分配计算机30和PSR计算机34。没有被包括在本地配置表中的″域ID″的接收消息将被拒绝。
记录表被用来区分什么样的密钥管理系统记录将被系统的组成部分所识别。KMS系统记录表定义在系统级上被识别的全部信息记录。系统级的表的子集被系统的组成部分所存储,这些组成部分包括″橡树部分″20、″黄铜部分″21、″钢铁部分″32、″制造部分″23、KMS计算机24、密钥分配计算机30和PSR计算机34。包含了没有被包括在本地记录表中的信息记录的接收消息将被拒绝。
信息流动
域橡树处理70将域主密钥传送给域档案74。现在参看图16,域主密钥(KDM)在其被存储在域档案74之前被利用域黄铜处理的公用密钥(PBC)进行加密。因此,域橡树处理70不可以根据域档案74解密域主密钥(KDM)。域橡树处理70在域主密钥记录被存储在域档案74之前利用域橡树处理的专用密钥(POA)给域主密钥记录加上符号。因此,域黄铜处理72能够相信该域主密钥记录是由域橡树处理70来产生的。
域橡树处理70将域主密钥传送给域钢铁处理76。现在参看图17,域主密钥(KDM)在被传送给域钢铁处理76之前被利用域钥铁处理的公用密钥PISC)进行加密。因此,域橡树处理70不可以根据分配主密钥记录解密域主密钥(KDM)。域橡树处理70在分配主密钥记录被传送给域钢铁处理76之前利用域橡树处理的专用密钥(POA)给分配主密钥记录加上符号。因此,域钢铁处理76能够相信该分配主密钥记录是由域橡树处理70来产生的。
现在参看图18,该图表示密钥刷新检测的处理流程。为了支持前面指出的安全要求,密钥只被安装或只被试图安装一次以保证域主密钥为新的。域档案将单调地排序的密钥ID(KID)分配给全部域主密钥。对每一域ID有单独的密钥ID索引。域橡树处理70和域钢铁处理76跟踪密钥ID的值并将它们与在产生密钥消息和分配主密钥记录中接收的密钥ID的值进行比较。因此,域橡树处理70和域钢铁处理76能够检测何时重放产生密钥消息和分配主密钥记录。
现在参看图19,域钢铁处理76在主密钥安装记录被传送给KMS计算机24之前利用域钢铁处理的专用密钥P(SA)给主密钥安装记录加上符号。这样一来,域黄铜处理72就能够相信该主密钥安装记录是由域钢铁处理76来产生的。
在密钥登记时刻,数字邮资计算器利用卖主主密钥K(VM)和邮政主密钥K(PM)给密钥登记记录加上符号。因此,邮政和卖主域黄铜处理72就能够相信来自数字邮资计算器36的密钥登记记录的值。每一域黄铜处理72然后利用域黄铜处理的保密DES密钥加密在域档案记录中的域主密钥。因此,域黄铜处理72就能够相信其它域黄铜处理不能读出密钥材料。域黄铜处理72在将域主密钥记录传送给域档案74之前利用域黄铜处理保密DES铜给其加上符号。因此,域黄铜处理72就能够相信域主密钥记录仅被域黄铜处理72进行修改。适合于黄铜处理信息的邮资计算器的一个例子如图20所示。
审查跟踪
密钥管理系统10保持对在域主密钥的寿命期间的时间事件的审查跟踪。这些事件指出密钥管理系统10何时采取了行动。列出的时间事件对于成功的域主密钥的使用必须是增加的。带有在以前事件之前的时间事件的系统信息将被拒绝。在密钥管理系统密钥登记时刻之前的日期接收的验证请求将被拒绝。
在本发明的最佳实施例中,″KMS计算机″24记录从″密钥分配计算机″30接收″请求密钥″命令时的″KMS请求时刻″。″PSR计算机″34记录″安装密钥″命令被传送给″钢铁部分″32时的″PSR安装时刻″。″KMS计算机″24记录从″密钥分配计算机″30接收″安装密钥验证″命令时的″KMS安装时刻″。数字邮资计算器36记录从通信端口或用户接口接收″寄存器邮戳″命令时的″邮资计算器登记日期″。″KMS计算机″24记录从数字邮资计算器接收″寄存器邮戳验证″命令时的″KMS密钥登记时刻″。
在另一实施例中,″橡树部分″20记录从KMS计算机24接收″产生密钥″命令时的本地时间。″钢铁部分″32记录″安装密钥″命令被接收时的本地时间。″黄铜部分″21记录从密钥管理系统计算机24接收″密钥验证″请求时的本地时间。
错误处理
密钥管理系统10为密钥管理系统的服务信息提供了一组错误检测和报告机制。在信息被准备、通过通信导线被传送、接收或被接收方进行处理时都可能出现问题。当在系统中检测到错误时,命令将被告知并将在系统的″错误记录″中增加一个条目。
现在参看图21,提供了表示错误处理的概要的方框图。系统中的错误在三个不同的层次上被检测。第一层次的错误处理在PB232协议内完成。这一协议规定了通过利用STX和ETX控制字符的信息成帧。利用预先定义的″类别代码″来实现信息识别。利用检错码来提供信息完整性。如果接收的信息符合这些机制,接收机就将发送肯定的″确认″控制字符。如果不符合,接收机能将发送″非确认″控制字符。发送部件可尝试再传送信息或采取其它校正动作。PB232错误处理机制是常规类型的。
第二层次的错误处理由密钥管理系统10的命令处理程序的处理来完成。这些处理将接收的命令与在″命令表″中定义的一组预期的命令作比较。验证命令字段。检查预期参数的数目。检查各个参数的语法。如果在命令中发现任何错误,″命令错误″信息将被返回给命令源。
第三层次的错误处理由密钥管理系统10的命令处理程序的处理来完成。这些处理将命令中的参数与在″配置表″中定义的一组预期的参数作比较。根据″配置表″检查各个参数。根据″配置表″检查不同参数的相关性。检查硬件资源的可用性和数据库记录。检查信息组成部分的签名和被加密信息组成部分的有效性。如果在命令中或在命令处理期间发现任何错误,就返回具有″响应代码″的″命令响应″信息。如果在该″响应″中发现任何错误,就返回具有″响应代码″的命令响应错误″信息。
初始化处理
以下的段落提供如图22和23所示的密钥管理系统10安全部分的初始化处理的概要。如上所述,在本发明的最佳实施例中有四种类型的″密钥管理系统安全部分″。″制造部分″23负责密钥管理系统和″安全部分″的初始化。″橡树部分″20负责域主密钥的产生。″钢铁部分″32负责域主密钥的安装。″黄铜部分″21负责域主密钥的登记和记号验证。在另一实施例中,″锡部分″是远程记号验证部分。
现在参看图22,″第一制造部分″23必须被初始化。装入并测试制造部分操作软件。″安全部分ID″被初始化为M00000000。当制造部分23被接通时,间询安全部分ID。如果它被设定为M00000000,制造部分23就等待来自RMS计算机24的″设定第一安全部分ID″的信息。KMS计算机24然后命令″第一制造部分″23将″安全部分″ID″设定为M000000001。″第一制造部分″23然后接收并检查该信息。如果没有发现错误,″第一制造部分″23就产生″操作组合″101和一组″操作份额″密钥102。这些″操作份额″密钥102被写入到可擦除的介质中。
然后″第一制造部分″23产生两个RSA密钥对,一个用于″域密钥集保密″,另一个用于″域密钥集证实″。这些密钥被分成″域份额″并被写入到可擦除介质中。密钥用来在″域密钥″集被传送到KMS计算机24和被写入到″档案″或可擦除介质中之前对它们进行加密和加上符号。″第一制造部分″23产生一组″安全部分证实″密钥。为每一部分类型、即″制造″、″橡树″、″钢铁″和″黄铜″产生RSA密钥对。每一部分类型的公用密钥被写入到可擦除介质中。密钥然后必须利用软件工程写入安全部分的操作软件中。在已成功地写入全部的操作的额和证实密钥之后,安全部分ID将被设定为M00000001。
KMS计算机24请求制造部分23产生域。制造部分23在内部存储器中建立域ID并产生所需的域密钥110,这些域密钥110被利用域密钥集103的保密密钥进行加密并被利用域密钥集103的证实密钥加上符号。被加密和被加上符号的域密钥被写入到档案和/或可擦除介质中。
附加制造部分23被源制造部分初始化,源制造部分是任何已被初始化的制造部分。在每一附加制造部分23中装入并测试制造部分操作软件。安全部分ID被设定为M000000。当制造部分23被首次通电时,它询问安全部分ID。如果它是M00000000,制造部分23就等待来自源制造部分的″设定安全部分ID″的信息。KMS计算机24命令源制造部分初始化每一附加制造部分23。源制造部分指定下一个制造安全部分ID、利用制造部分专用启动证实密钥加符号于信息并将其传送给制造部分23。制造部分23存储安装部分ID并产生制造部分启动保密密钥。安全部分ID和公用启动保密密钥被传回给源制造部分并被利用制造部分专用启动证实密钥加上符号。KMS计算机24命令源制造部分进行用于制造部分的域制造处理。利用启动保密密钥将所需的域密钥组成部分传送给制造部分23。对全部所需的域重复这一过程。
每当给制造部分23增加域时,就必须更新其它被初始化的制造部分来反映这样的附加域。在最佳实施例中,所有被初始化的制造部分被利用相同的密钥数据进行配置。
为了橡树部分的初始化,装入并测试橡树部分操作软件。安全部分ID被设定为00000000。当橡树部分20被首次通电时,它询问安全部分ID。如果它是00000000,橡树部分20就等待来自制造部分23的″设定安全部分ID″的信息。KMS计算机24命令制造部分23初始化橡树部分20。制造部分23指定下一个橡树安全部分ID、利用专用橡树部分启动证实密钥加符号于信息并将其传送给橡树部分20,像树部分20存储安全部分ID并产生橡树部分启动保密密钥。安全部分ID和公用启动保密密钥被传回给制造部分并被利用橡树部分公用启动证实密钥加上符号。KMS计算机24命令制造部分23进行用于橡树部分20的域橡树处理。利用启动保密密钥将所需的域密钥组成部分传送给橡树部分20。这一过程使橡树部分20能够对一个域实现域橡树处理70。对为某一橡树部分所需的全部域重复这一过程。
为了钢铁部分的初始化,装入并测试钢铁部分操作软件。安全部分ID被设定为00000000。当钢铁部分32被首次通电时,它询问安全部分ID。如果它是00000000,钢铁部分32就等待来自制造部分23的″设定安全部分ID″的信息。KMS计算机24命令制造部分23初始化钢铁部分32。制造部分23指定下一个钢铁安全部分ID、利用钢铁部分专用启动证实密钥加符号于信息并将其传送给钢铁部分32。钢铁部分32存储安全部分ID并产生钢铁部分启动保密密钥。安全部分ID和公用启动保密密钥被传回给制造部分23并被利用钢铁部分公用启动证实密钥加上符号。KMS计算机24命令制造部分23进行用于钢铁部分32的域钢铁处理76。利用启动保密密钥将所需的域密钥组成部分与传送给钢铁部分32。这一过程使钢铁部分32能够对一个域实现域钢铁处理76。对为某一钢铁部分所需的全部域重复这一过程。
为了黄铜部分的初始化,装入并测试黄铜部分操作软件。安全部分ID被设定为B00000000。当黄铜部分21被首次通电时,它询问安全部分ID。如果它是B00000000,黄铜部分21就等待来自制造部分23的″设定安全部分ID″的信息。KMS计算机24命令制造部分23初始化黄铜部分21。制造部分23指定下一个黄铜安全部分ID、利用黄铜部分专用启动证实密钥加符号于信息并将其传送给黄铜部分21。黄铜部分21存储安全部分ID并产生黄铜部分启动保密密钥。安全部分ID和公用启动保密密钥被传回给制造部分23并被利用黄铜部分公用启动证实黄铜加上符号。KMS计算机24命令制造部分23进行用于黄铜部分21的域黄铜处理。利用启动保密密钥将所需的域密钥组成部分传送给黄铜部分21。这一过程使黄铜部分21能够对一个域实现域黄铜处理。对为某一黄铜处理所需的全部域重复这一过程。
产生、安装和登记处理
现在参看图24-27,表示了密钥管理系统10的域主密钥安装处理的概要。在卖主和任何邮政域之间没有区别。各以独立的相同方式进行操作。为了成功地将全部域主密钥安装到数字邮资计算器36中,对于卖主域运行一组操作而对于选定的邮政域运行另一组操作。
现在参看图24、29和30,域主密钥请求在制造处理的制造期间来自密钥分配计算机30。在300处,在信息MIO中将含有钢铁部分32的识别号的请求从密钥分配计算机30传送到KMS计算机24。KMS计算机24在302处向域档案74请求密钥ID,域档案74然后力域产生唯一的密钥ID。在304处,域档案74在信息MIO’中将密钥ID响应传送给KMS计算机24。KMS计算机24记录审查跟踪的本地时间并在306处将在″产生密钥″的消息MI1中的信息传送给橡树部分30。橡树部分20检查请求以便确定域的有效性和该域的钢铁部分ID的有效性,以及密钥ID是否大于对于该域所处理的最后的密钥ID。如果这些检查的任一个被证明为失败,橡树部分20就将失败信息返回给KMS计算机24。如果这些检查都正确,橡树部分20就产生域主密钥和一组测试记号。在308处,橡树部分20在信息MI3中将域密钥记录传送给KMS计算机24。在310处,KMS计算机24在信息MI3中将域密钥记录传送给域档案74。域档案74将域主密钥记录存储在数据库中并在312处将响应传送给KMS计算机24。在314处,KMS计算机24将该响应传送给橡树部分20,橡树部分20在316处将″产生响应″的信息传送给KMS计算机24。在318处,KMS计算机24在请求响应信息MI4中将安装密钥记录传送给密钥分配计算机30。
现在参看图25,当数字邮资计算器36被放置在制造线上时,PSR计算机34在330处向密钥分配计算机30请求安装域密钥记录。在330处,密钥分配计算机30在信息MI4’中将在334处再被传送给钢铁部分32的安装域密钥记录传送给PSR计算机。钢铁部分32向数字邮资计算器36询问信息,然后在336处在信息MI5中将域主密钥传送给数字邮资计算器36。数字邮资计算器安装并检查密钥。然后将状态返回给向数字邮资计算器询问一组计算器测试记号的钢铁部分32。在338处,这些计算器测试记号在信息MI6中被返回给钢铁部分32,钢铁部分32根据从橡树部分20接收的计算器测试记号对这些计算器测试记号进行检查。因此,钢铁部分32验证了由橡树部分24产生的域主密钥与安装在数字邮资计算器36中的密钥相同。在340处,钢铁部分32通过PSR计算机和密钥分配计算机30在信息MI7中将安装状态和信息传送给密钥管理计算机24。密钥管理计算机24从域档案中检索域主密钥记录、取出本地时间标记并在342处在信息MI8中将信息传送给黄铜部分21。黄铜部分21根据域档案74的域主密钥记录产生测试记号。这些测试记号与计算器测试记号作比较。这就验证了在域档案中的域主密钥与安装在数字邮资计算器中的密钥相同。如果验证结束,就在344处更新域主密钥记录并在信息MI9中将其传送给密钥管理计算机24。密钥管理计算机24在信息MI9中将域主密钥记录传送给域档案74,如果成功,就在346处将响应返回给黄铜部分21。黄铜部分21在348处检查响应并在信息MI10中将成功或失败验证返回给KMS计算机24和密钥分配计算机30。
密钥登记是使登记的国家和邮戳号与产品代码数字系统和密钥相关。密钥然后利用国家子域特有的秘密密钥存储在安装域的国家主域中。主要特征在于该国家子域特有效的黄铜处理依赖于安全地和完整地安装密钥的安装域。密钥绝不会从一个安装域传送到另一个安装域。
现在参看图26和31,当为特定的安全域准备数字邮资计算器时,邮戳序号和/或产品代码数字系统在信息MR1中被输入到该数字邮资计算器。PSR计算机34在360处向数字邮资计算器36请求登记记号。数字邮资计算器在362处产生两个数字记号并将它们返回给PSR计算机。PSR计算机在364处将这两个记号与其它计算器信息合并并通过密钥分配计算机30将合并的结果传送给密钥管理计算机24。在366处,密钥管理计算机24从域档案中检索域主密钥记录、取出本地时间标记并在信息MRZ中将信息传送给黄铜部分21。黄铜部分21根据域档案74的域主密钥记录产生登记记号。这些登记记号与计算器登记记号作比较。这就验证了数字邮资计算器正确地报告了邮戳序号、产品代码数字系统和制造序号。如果验证结束,就在368处更新域主钥记录并将它们传送给KMS计算机24。密钥管理系统计算机24在信息MR3中将域主密钥记录传送给域档案74,如果成功,就在370处将响应返回给黄铜部分21。黄铜部分21在372处检查响应并在信息MR4中将成功或失败验证返回给密钥管理系统计算机24。
每一域具有至少一个子域,该子域负责将密钥登记到邮戳号和在该子域内执行邮戳验证。地面域特别具有若干个国家子域。一个国家能够具有在该地面域的子域内的计算器和在其自己的邮政域的唯一的子域内的计算器。在图32所示的例子中,国家3具有唯一的邮政域和地面域的邮政子域。国家A只具有具有安装在该国家唯一的邮政域内的密钥的计算器。
现在参看图27,如果数字邮资计算器不在进行工作,信息就被记录并被传送给KMS计算机24。密钥管理计算机24就在380处从域档案中检索域主密钥记录、取出本地时间标记和将信息传送给黄铜部分21。在382处更新域主密钥记录并将其传送给密钥管理计算机24。密钥管理计算机在384处将域主密钥记录传送给域档案,如果成功,就将响应返回级黄铜部分21。黄铜部分21在386处检查响应并将成功或失败验证返回给密钥管理计算机24。
记号的产生
每一邮资计算器利用域主密钥为每一域产生在此也称为记号密钥的暂时密钥,暂时密钥被用来根据邮件数据产生记号。密钥管理系统可以将邮政暂时密钥分配给指定的具有在此也称为″锡部分″的″分布式记号验证部分″44(图1)的邮政验证地点。″锡部分″44将邮政暂时密钥用于邮戳的本地验证。在这样的结构中,因为邮局能够获得邮戳的本地验证,不必在多个地点分配主密钥数据库,所以密钥管理系统提供了较高的安全性。
验证处理
以下的段落提供密钥管理系统10的验证处理的概要。在卖主和任何邮政域之间没有区别。各以独立的相同方式进行操作。为了成功地验证记号,对于卖主域运行一组操作而对于选定的邮政域运行另一组操作。
记号验证请求来自位于邮政设施18处的数据采集系统19。该请求包含打印在物理邮件上的信息的ASCII文本表示。现在参看图28,在400处,请求被传送给位于卖主或邮政数据中心内的密钥管理系统计算机24。密钥管理系统计算机24检查邮件数据校验数位并在需要时作出校正。密钥管理计算机24在402处从域档案中检索域主密钥记录并将信息传送给黄铜部分21。黄铜部分检查请求并确认域主密钥为有效。黄铜部分21利用域档案的的域主密钥和邮件信息重新计算选定域的记号。计算的记号与邮件记号作比较,看它们是否一致。好/坏比较结果在404处传送给KMS计算机24。图28所示的第二个例子表示需要附加验证来验证其它域记号。
本发明的以上描述是最佳实施例,在该最佳实施例中,邮局已授权卖主产生邮政主密钥并将它们安装到数字邮资计算器中。密钥然后被传送给将用于邮政记号确认的邮政数据中心16。密钥管理系统具有用于功能度、安全部分和数据库的不同分配的能力。例如,在另一实施例中,邮局授权卖主或另一方维护和运营邮政数据中心16,包括邮政密钥产生、维护、令牌确认以及将密钥传送给卖主的功能。在这一实施例中,邮政黄铜部分40和邮政密钥档案42实际上位于卖主或另一方的位置处。在另一实施例中,邮局管理其数据中心,邮政橡树部分22实际上位于邮政数据中心16内。
在另一实施例中(未示出),密钥管理系统功能度的任何组合,即域橡树处理、域钢铁处理或域黄铜处理能够集成在任何的安全部分中。
因此,应当认识到密钥管理系统具有允许不同的域、即各邮局实现相同的逻辑密钥管理系统的不同的实际实现的固有灵活性。密钥管理系统提供了这样的灵活性,同时保持了高度的系统完整性和安全性。还应当认识到本发明允许多个卖主支持多个邮局。
已相对于与数字邮资计算器的证明有关的最佳实施例描述了本发明。本领域的技术人员懂得本发明也适合于用作通常用于交易证明的密钥管理系统,例如用于货币交易、物品交易和信息事项处理的密钥管理系统。
正如在此所使用的,术语″数字邮资计算器″指与保密的打印装置连接的普通类型的数字邮资计算器和与不保密的打印装置连接的或具有与普通数字邮资计算器不相同的其它配置的其它类型的数字邮资计算器。
虽然已参看本发明的一个实施例对本发明进行了描述,但如上所述,可以对本发明进行修改和改进是显而易见的。因此,所附权利要求的目的是覆盖在本发明的精髓和范围内的各种修改和改进。
Claims (33)
1.一种用于产生、分配和管理加密密钥的密钥管理系统,利用加密装置的一交易证明设备使用所述加密密钥来产生信息完整性的证明,所述加密密钥包括用来产生暂时密钥的主密钥,所述暂时密钥用于标记的产生和验证,所述密钥管理系统包括:
在通信上相互耦合的功能不同的多个安全装置,所述多个安全装置执行密钥管理功能;
提供系统控制的计算机装置,所述计算机装置在通信上与所述安全装置耦合且包括用于所述安全装置之间的通信的装置;
在通信上耦合到所述计算机装置且分别相应于多个分离的逻辑安全域的多个域存储装置,所述安全域中的每一个利用所述密钥管理功能在所述安全域内提供用于密钥产生、密钥安装、密钥验证以及验证所述交易证明设备所产生的信息完整性的证明的域处理,所述域存储装置包括记录每个安全域的密钥状态记录和主密钥的装置;
在交易证明设备中安装所述主密钥的装置;以及
验证所述信息完整性的证明的装置。
2.如权利要求1的密钥管理系统,其特征在于用于执行密钥管理功能的所述多个安全装置包括:
密钥产生装置,包括在接收到来自所述计算机装置的对于所述主密钥的请求时产生、加密和加符号于主密钥的装置;以及
在交易证明设备中安装所述主密钥的所述装置还包括对来自所述密钥产生装置的所述带符号的主密钥进行接收、验证和解密的装置。
3.如权利要求2的密钥管理系统,其特征在于用于执行密钥管理功能的所述多个安全装置还包括:
在通信上耦合到所述密钥产生装置和用于安装所述主密钥的所述装置的密钥验证装置,所述密钥验证装置包括验证所述交易证明设备中的所述主密钥的安装的装置。
4.如权利要求3的密钥管理系统,其特征在于用于验证所述信息完整性的证明的所述装置还包括:
在通信上耦合到所述密钥验证装置的记号验证装置,所述记号验证装置包括验证代表所述信息完整性的证明的记号的装置。
5.如权利要求4的密钥管理系统,其特征在于所述计算机装置包括在通信上耦合到所述多个安全装置的第一密钥管理计算机,所述第一密钥管理计算机控制用于执行密钥管理功能的所述多个安全装置和所述域存储装置之间的通信。
6.如权利要求5的密钥管理系统,其特征在于所述计算机装置还包括在通信上耦合到用于执行密钥管理功能的所述多个安全装置和所述第一密钥管理计算机的密钥分配计算机,所述密钥分配计算机控制所述主密钥的分配以便于安装到所述交易证明设备中。
7.如权利要求6的密钥管理系统,其特征在于所述计算机装置还包括在通信上耦合到用于执行密钥管理功能的所述多个安全装置、所述第一密钥管理计算机和所述密钥分配计算机的第二密钥管理计算机,所述第二密钥管理计算机监测所述密钥管理系统。
8.如权利要求6的密钥管理系统,其特征在于所述计算机装置还包括在通信上耦合到所述第一密钥管理计算机并位于验证地点的分布式密钥管理计算机,其中用于执行密钥管理功能的所述多个安全装置还包括分布式验证装置,所述分布式密钥管理计算机控制所述分布式验证装置对所述交易证明设备所产生的所述信息完整性的证明的验证。
9.如权利要求8的密钥管理系统,其特征在于所述交易证明设备产生暂时密钥以用于产生信息完整性的证明,所述密钥产生装置包括用于产生相同的暂时密钥以用于分配给所述分布式密钥管理计算机的装置。
10.如权利要求3的密钥管理系统,其特征在于所述交易证明设备包括产生主密钥完整性的证明的装置,所述密钥验证装置利用所述主密钥完整性的证明来验证安装在所述交易证明设备中的所述主密钥与记录在所述域存储装置中的所述主密钥是否相同。
11.如权利要求2的密钥管理系统,其特征在于所述密钥产生装置给所述主密钥指派唯一的密钥标识符和密钥安装装置,所述密钥安装装置验证所述密钥标识符是否是新的。
12.如权利要求2的密钥管理系统,其特征在于所述密钥产生装置包括产生主密钥完整性的证明的装置,所述密钥安装装置利用所述主密钥完整性的证明来验证被安装在所述交易证明设备中的所述主密钥。
13.如权利要求1的密钥管理系统,其特征在于用于执行密钥管理功能的所述多个安全装置还包括:
域密钥产生装置,对于每个所述安全域产生域密钥并在所述多个安全装置中分配所述域密钥。
14.如权利要求1的密钥管理系统,其特征在于所述交易证明设备存储来自至少两个所述安全域的至少两个所述主密钥,所述交易证明设备对于所述至少两个安全域中的每一个产生信息完整性的证明。
15.如权利要求1的密钥管理系统,其特征在于所述交易证明设备是邮资计算器。
16.如权利要求1的密钥管理系统,其特征在于所述信息完整性的证明包括数字记号。
17.如权利要求1所述的密钥管理系统,其特征在于交易证明设备是数字邮资计算器,信息完整性的证明包括邮资支付的证明。
18.如权利要求17所述的密钥管理系统,其特征在于所述邮资支付的证明包括数字记号。
19.一种用于产生、分配和管理加密密钥的密钥管理系统,利用加密装置的一交易证明设备使用所述加密密钥来产生信息完整性的证明,所述加密密钥包括用来产生暂时密钥的主密钥,所述暂时密钥用于标记的产生和验证,所述密钥管理系统包括:
在通信上相互耦合的功能不同的多个程序,所述多个程序用于执行密钥管理功能;
提供系统控制的计算机装置,所述计算机装置在通信上与所述多个程序耦合且包括用于所述多个程序之间的通信的装置;
在通信上耦合到所述计算机装置且分别相应于多个分离的逻辑安全域的多个域存储装置,所述安全域中的每一个利用所述密钥管理功能在所述安全域内提供用于密钥产生、密钥安装、密钥验证和验证所述交易证明设备所产生的信息完整性的证明的域处理,所述域存储装置包括记录每个安全域的密钥状态记录和主密钥的装置;
在交易证明设备中安装所述主密钥的装置;以及
验证所述信息完整性的证明的装置。
20.如权利要求19的密钥管理系统,其特征在于所述多个程序包括:
密钥产生程序,包括在接收到来自所述计算机装置的对于所述主密钥的请求时产生、加密和加符号于主密钥的装置;以及
在交易证明设备中安装所述主密钥的所述装置还包括接收、验证和解密所述带符号的主密钥的装置。
21.如权利要求20的密钥管理系统,其特征在于所述多个程序还包括:
在通信上耦合到所述密钥产生程序和用于安装所述主密钥的所述装置的密钥验证程序,所述密钥验证程序包括验证所述交易证明设备中的所述主密钥的安装的程序。
22.如权利要求21的密钥管理系统,其特征在于用于验证所述信息完整性的证明的所述装置还包括:
在通信上耦合到所述密钥验证程序的记号验证程序,所述记号验证程序包括验证代表所述信息完整性的证明的记号的程序。
23.如权利要求22的密钥管理系统,其特征在于所述计算机装置包括在通信上耦合到所述多个程序的第一密钥管理计算机,所述第一密钥管理计算机控制所述多个程序和所述域存储装置之间的通信。
24.如权利要求23的密钥管理系统,其特征在于所述计算机装置还包括在通信上耦合到所述多个程序和所述第一密钥管理计算机的密钥分配计算机,所述密钥分配计算机控制所述主密钥的分配以便于安装到所述交易证明设备中。
25.如权利要求24的密钥管理系统,其特征在于所述计算机装置还包括在通信上耦合到所述多个程序、所述第一密钥管理计算机和所述密钥分配计算机的第二密钥管理计算机,所述第二密钥管理计算机监测密钥管理系统。
26.如权利要求24的密钥管理系统,其特征在于所述计算机装置还包括在通信上耦合到所述第一密钥管理计算机并位于验证地点的分布式密钥管理计算机,其中所述多个程序还包括分布式验证程序,所述分布式密钥管理计算机控制所述分布式验证程序对所述交易证明设备所产生的所述信息完整性的证明的验证。
27.如权利要求26的密钥管理系统,其特征在于所述交易证明设备产生暂时密钥以用于产生信息完整性的证明,所述密钥产生程序包括用于产生相同的暂时密钥以用于分配给所述分布式密钥管理计算机的程序。
28.如权利要求21的密钥管理系统,其特征在于所述交易证明设备包括产生主密钥完整性的证明的装置,所述密钥验证程序利用所述主密钥完整性的证明来验证安装在所述交易证明设备中的所述主密钥与记录在所述域存储装置中的所述主密钥是否相同。
29.如权利要求21的密钥管理系统,其特征在于所述交易证明设备是邮资计算器。
30.如权利要求20的密钥管理系统,其特征在于所述密钥产生程序给所述主密钥指派唯一的密钥标识符和密钥安装程序,所述密钥安装程序验证所述密钥标识符是否是新的。
31.如权利要求20的密钥管理系统,其特征在于所述密钥产生程序包括产生主密钥完整性的证明的装置,所述密钥安装程序利用所述主密钥完整性的证明来验证被安装在所述交易证明设备中的所述主密钥。
32.如权利要求19的密钥管理系统,其特征在于所述多个程序还包括:
域密钥产生程序,对于每个所述安全域产生域密钥并在所述多个程序中分配所述域密钥。
33.如权利要求19的密钥管理系统,其特征在于所述交易证明设备存储来自至少两个所述安全域的至少两个所述主密钥,所述交易证明设备对于所述至少两个安全域中的每一个产生信息完整性的证明。
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US41456395A | 1995-03-31 | 1995-03-31 | |
US414,563 | 1995-03-31 | ||
US414563 | 1995-03-31 | ||
US08/553,812 US5812666A (en) | 1995-03-31 | 1995-10-23 | Cryptographic key management and validation system |
US553,812 | 1995-10-23 | ||
US553812 | 1995-10-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1147656A CN1147656A (zh) | 1997-04-16 |
CN1193314C true CN1193314C (zh) | 2005-03-16 |
Family
ID=27022605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB961080639A Expired - Lifetime CN1193314C (zh) | 1995-03-31 | 1996-04-01 | 密钥管理和确认系统 |
Country Status (7)
Country | Link |
---|---|
US (1) | US5812666A (zh) |
EP (1) | EP0735722B1 (zh) |
JP (1) | JPH09149021A (zh) |
CN (1) | CN1193314C (zh) |
BR (1) | BR9601231A (zh) |
CA (1) | CA2173008C (zh) |
DE (1) | DE69634220T2 (zh) |
Families Citing this family (84)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3769804B2 (ja) * | 1996-02-02 | 2006-04-26 | ソニー株式会社 | 解読化方法および電子機器 |
JP3486043B2 (ja) * | 1996-03-11 | 2004-01-13 | 株式会社東芝 | ソフトウエア流通システムの動作方法及びソフトウエアシステム |
US5805701A (en) * | 1996-11-01 | 1998-09-08 | Pitney Bowes Inc. | Enhanced encryption control system for a mail processing system having data center verification |
US5982896A (en) * | 1996-12-23 | 1999-11-09 | Pitney Bowes Inc. | System and method of verifying cryptographic postage evidencing using a fixed key set |
US5812990A (en) | 1996-12-23 | 1998-09-22 | Pitney Bowes Inc. | System and method for providing an additional cryptography layer for postage meter refills |
GB9702099D0 (en) * | 1997-01-31 | 1997-03-19 | Neopost Ltd | Secure communication system |
JP4268690B2 (ja) * | 1997-03-26 | 2009-05-27 | ソニー株式会社 | 認証システムおよび方法、並びに認証方法 |
US6122631A (en) * | 1997-03-28 | 2000-09-19 | International Business Machines Corporation | Dynamic server-managed access control for a distributed file system |
DE69836375T2 (de) | 1997-06-13 | 2007-08-23 | Pitney Bowes, Inc., Stamford | System und verfahren zum steuern einer zum drucken erforderlichen daten verwendeten frankierung |
US6546377B1 (en) * | 1997-06-13 | 2003-04-08 | Pitney Bowes Inc. | Virtual postage meter with multiple origins of deposit |
US7203666B1 (en) | 1997-06-13 | 2007-04-10 | Pitney Bowes Inc. | Virtual postage metering system |
US6567794B1 (en) | 1997-06-13 | 2003-05-20 | Pitney Bowes Inc. | Method for access control in a virtual postage metering system |
US6466921B1 (en) * | 1997-06-13 | 2002-10-15 | Pitney Bowes Inc. | Virtual postage meter with secure digital signature device |
AU757557B2 (en) | 1997-11-13 | 2003-02-27 | Intellectual Ventures I Llc | File transfer system |
US6253219B1 (en) * | 1997-12-23 | 2001-06-26 | Pitney Bowes Inc. | Method for utilizing the postal service address as an object in an object oriented environment |
US6393135B1 (en) | 1997-12-23 | 2002-05-21 | Pitney Bowes Inc. | OLE automation server for manipulation of mail piece data |
US6069616A (en) * | 1997-12-30 | 2000-05-30 | Rozum, Jr.; Andrew L. | Postal security device with computer keyboard interface |
US6233565B1 (en) | 1998-02-13 | 2001-05-15 | Saranac Software, Inc. | Methods and apparatus for internet based financial transactions with evidence of payment |
FR2783337B1 (fr) * | 1998-09-11 | 2000-12-15 | Neopost Ind | Procede de controle des consommations de machines a affranchir |
AU1448800A (en) | 1998-10-23 | 2000-05-15 | L-3 Communications Corporation | Apparatus and methods for managing key material in heterogeneous cryptographic assets |
US6820202B1 (en) * | 1998-11-09 | 2004-11-16 | First Data Corporation | Account authority digital signature (AADS) system |
US7047416B2 (en) * | 1998-11-09 | 2006-05-16 | First Data Corporation | Account-based digital signature (ABDS) system |
GB9906293D0 (en) * | 1999-03-18 | 1999-05-12 | Post Office | Improvements relating to postal services |
US6834273B1 (en) * | 1999-04-23 | 2004-12-21 | Pitney Bowes Inc. | System for capturing information from a postal indicia producing device so as to correct improperly paid mail pieces |
GB2353682B (en) * | 1999-07-15 | 2004-03-31 | Nds Ltd | Key management for content protection |
IL130963A (en) * | 1999-07-15 | 2006-04-10 | Nds Ltd | Key management for content protection |
WO2001020464A1 (en) * | 1999-09-17 | 2001-03-22 | Ascom Hasler Mailing Systems, Inc. | Payment system and method |
US6724894B1 (en) * | 1999-11-05 | 2004-04-20 | Pitney Bowes Inc. | Cryptographic device having reduced vulnerability to side-channel attack and method of operating same |
US6473743B1 (en) * | 1999-12-28 | 2002-10-29 | Pitney Bowes Inc. | Postage meter having delayed generation of cryptographic security parameters |
DE10020904B4 (de) | 2000-04-28 | 2004-12-09 | Francotyp-Postalia Ag & Co. Kg | Verfahren zur sicheren Distribution von Sicherheitsmodulen |
US6619544B2 (en) * | 2000-05-05 | 2003-09-16 | Pitney Bowes Inc. | System and method for instant online postage metering |
US6934839B1 (en) | 2000-06-30 | 2005-08-23 | Stamps.Com Inc. | Evidencing and verifying indicia of value using secret key cryptography |
US7222236B1 (en) * | 2000-06-30 | 2007-05-22 | Stamps.Com | Evidencing indicia of value using secret key cryptography |
US7010691B2 (en) * | 2000-08-04 | 2006-03-07 | First Data Corporation | ABDS system utilizing security information in authenticating entity access |
US7558965B2 (en) * | 2000-08-04 | 2009-07-07 | First Data Corporation | Entity authentication in electronic communications by providing verification status of device |
US6789189B2 (en) * | 2000-08-04 | 2004-09-07 | First Data Corporation | Managing account database in ABDS system |
US7082533B2 (en) * | 2000-08-04 | 2006-07-25 | First Data Corporation | Gauging risk in electronic communications regarding accounts in ABDS system |
US6978369B2 (en) * | 2000-08-04 | 2005-12-20 | First Data Corporation | Person-centric account-based digital signature system |
US7552333B2 (en) * | 2000-08-04 | 2009-06-23 | First Data Corporation | Trusted authentication digital signature (tads) system |
US7096354B2 (en) * | 2000-08-04 | 2006-08-22 | First Data Corporation | Central key authority database in an ABDS system |
US6983368B2 (en) * | 2000-08-04 | 2006-01-03 | First Data Corporation | Linking public key of device to information during manufacture |
EP1316168A4 (en) * | 2000-08-04 | 2006-05-10 | First Data Corp | METHOD AND DEVICE FOR USE OF ELECTRONIC COMMUNICATION IN AN ELECTRONIC CONTRACT |
DE10051818A1 (de) * | 2000-10-18 | 2002-06-20 | Deutsche Post Ag | Verfahren zur Überprüfung von auf Postsendungen aufgebrachten Frankiervermerken |
US7536553B2 (en) * | 2001-05-10 | 2009-05-19 | Pitney Bowes Inc. | Method and system for validating a security marking |
EP1276062A1 (en) * | 2001-07-12 | 2003-01-15 | Hewlett-Packard Company, A Delaware Corporation | A method of providing user-specific data to an information source, a data carrier and a method of personalising a user's internet experience |
US20040128508A1 (en) * | 2001-08-06 | 2004-07-01 | Wheeler Lynn Henry | Method and apparatus for access authentication entity |
US7487363B2 (en) * | 2001-10-18 | 2009-02-03 | Nokia Corporation | System and method for controlled copying and moving of content between devices and domains based on conditional encryption of content key depending on usage |
DE10211265A1 (de) * | 2002-03-13 | 2003-10-09 | Deutsche Post Ag | Verfahren und Vorrichtung zur Erstellung prüfbar fälschungssicherer Dokumente |
AUPS112202A0 (en) * | 2002-03-14 | 2002-04-18 | Commonwealth Scientific And Industrial Research Organisation | Semiconductor manufacture |
US6988204B2 (en) * | 2002-04-16 | 2006-01-17 | Nokia Corporation | System and method for key distribution and network connectivity |
US7092527B2 (en) * | 2002-04-18 | 2006-08-15 | International Business Machines Corporation | Method, system and program product for managing a size of a key management block during content distribution |
US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
DE10305730B4 (de) | 2003-02-12 | 2005-04-07 | Deutsche Post Ag | Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken |
CN100454807C (zh) * | 2003-08-29 | 2009-01-21 | 华为技术有限公司 | 一种信息完整性的保护方法 |
US20050102513A1 (en) * | 2003-11-10 | 2005-05-12 | Nokia Corporation | Enforcing authorized domains with domain membership vouchers |
US20060153367A1 (en) * | 2005-01-07 | 2006-07-13 | Beeson Curtis L | Digital signature system based on shared knowledge |
US20060153364A1 (en) * | 2005-01-07 | 2006-07-13 | Beeson Curtis L | Asymmetric key cryptosystem based on shared knowledge |
US20060153370A1 (en) * | 2005-01-07 | 2006-07-13 | Beeson Curtis L | Generating public-private key pair based on user input data |
US7936869B2 (en) * | 2005-01-07 | 2011-05-03 | First Data Corporation | Verifying digital signature based on shared knowledge |
US20060153369A1 (en) * | 2005-01-07 | 2006-07-13 | Beeson Curtis L | Providing cryptographic key based on user input data |
US7869593B2 (en) * | 2005-01-07 | 2011-01-11 | First Data Corporation | Software for providing based on shared knowledge public keys having same private key |
US7490239B2 (en) * | 2005-01-07 | 2009-02-10 | First Data Corporation | Facilitating digital signature based on ephemeral private key |
US20060156013A1 (en) * | 2005-01-07 | 2006-07-13 | Beeson Curtis L | Digital signature software using ephemeral private key and system |
US7593527B2 (en) * | 2005-01-07 | 2009-09-22 | First Data Corporation | Providing digital signature and public key based on shared knowledge |
US7693277B2 (en) * | 2005-01-07 | 2010-04-06 | First Data Corporation | Generating digital signatures using ephemeral cryptographic key |
FR2890218B1 (fr) * | 2005-08-31 | 2007-11-09 | Neopost Ind Sa | Systeme d'affranchissement a comptabilisation distribuee |
US7822206B2 (en) * | 2006-10-26 | 2010-10-26 | International Business Machines Corporation | Systems and methods for management and auto-generation of encryption keys |
US8050410B2 (en) * | 2006-12-08 | 2011-11-01 | Uti Limited Partnership | Distributed encryption methods and systems |
US20080144836A1 (en) * | 2006-12-13 | 2008-06-19 | Barry Sanders | Distributed encryption authentication methods and systems |
WO2008122906A1 (en) * | 2007-04-05 | 2008-10-16 | Koninklijke Philips Electronics N.V. | Wireless sensor network key distribution |
US8006295B2 (en) * | 2007-06-28 | 2011-08-23 | Microsoft Corporation | Domain ID service |
CN101400059B (zh) | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
US8214291B2 (en) | 2007-10-19 | 2012-07-03 | Ebay Inc. | Unified identity verification |
US8838503B2 (en) * | 2008-12-08 | 2014-09-16 | Ebay Inc. | Unified identity verification |
US8190906B1 (en) * | 2008-12-16 | 2012-05-29 | Emc Corporation | Method and apparatus for testing authentication tokens |
US8971535B2 (en) * | 2010-05-27 | 2015-03-03 | Bladelogic, Inc. | Multi-level key management |
US9026805B2 (en) | 2010-12-30 | 2015-05-05 | Microsoft Technology Licensing, Llc | Key management using trusted platform modules |
US9008316B2 (en) * | 2012-03-29 | 2015-04-14 | Microsoft Technology Licensing, Llc | Role-based distributed key management |
US9003560B1 (en) * | 2012-06-05 | 2015-04-07 | Rockwell Collins, Inc. | Secure enclosure with internal security components |
CN105827397B (zh) | 2015-01-08 | 2019-10-18 | 阿里巴巴集团控股有限公司 | 基于可信中继的量子密钥分发系统、方法及装置 |
JP7228977B2 (ja) * | 2018-08-30 | 2023-02-27 | キヤノン株式会社 | 情報処理装置及び認可システムと検証方法 |
US11132685B1 (en) | 2020-04-15 | 2021-09-28 | Capital One Services, Llc | Systems and methods for automated identity verification |
DE102020003072B3 (de) | 2020-05-22 | 2021-07-15 | Daimler Ag | Verfahren zur sicheren Nutzung von kryptografischem Material |
CN114070640B (zh) * | 2021-11-25 | 2024-02-06 | 航天新通科技有限公司 | 一种安全通信方法及系统 |
Family Cites Families (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4227253A (en) * | 1977-12-05 | 1980-10-07 | International Business Machines Corporation | Cryptographic communication security for multiple domain networks |
US4238853A (en) * | 1977-12-05 | 1980-12-09 | International Business Machines Corporation | Cryptographic communication security for single domain networks |
US4281216A (en) * | 1979-04-02 | 1981-07-28 | Motorola Inc. | Key management for encryption/decryption systems |
US4447890A (en) * | 1980-07-14 | 1984-05-08 | Pitney Bowes Inc. | Remote postage meter systems having variable user authorization code |
US4578531A (en) * | 1982-06-09 | 1986-03-25 | At&T Bell Laboratories | Encryption system key distribution method and apparatus |
US4590470A (en) * | 1983-07-11 | 1986-05-20 | At&T Bell Laboratories | User authentication system employing encryption functions |
US4972472A (en) * | 1985-03-15 | 1990-11-20 | Tandem Computers Incorporated | Method and apparatus for changing the master key in a cryptographic system |
US4757537A (en) * | 1985-04-17 | 1988-07-12 | Pitney Bowes Inc. | System for detecting unaccounted for printing in a value printing system |
US4725718A (en) * | 1985-08-06 | 1988-02-16 | Pitney Bowes Inc. | Postage and mailing information applying system |
US4775246A (en) * | 1985-04-17 | 1988-10-04 | Pitney Bowes Inc. | System for detecting unaccounted for printing in a value printing system |
US4743747A (en) * | 1985-08-06 | 1988-05-10 | Pitney Bowes Inc. | Postage and mailing information applying system |
US4831555A (en) * | 1985-08-06 | 1989-05-16 | Pitney Bowes Inc. | Unsecured postage applying system |
US4731840A (en) * | 1985-05-06 | 1988-03-15 | The United States Of America As Represented By The United States Department Of Energy | Method for encryption and transmission of digital keying data |
GB8704920D0 (en) * | 1987-03-03 | 1987-04-08 | Hewlett Packard Co | Secure messaging system |
US4850017A (en) * | 1987-05-29 | 1989-07-18 | International Business Machines Corp. | Controlled use of cryptographic keys via generating station established control values |
US4853961A (en) * | 1987-12-18 | 1989-08-01 | Pitney Bowes Inc. | Reliable document authentication system |
US4873645A (en) * | 1987-12-18 | 1989-10-10 | Pitney Bowes, Inc. | Secure postage dispensing system |
US4888801A (en) * | 1988-05-02 | 1989-12-19 | Motorola, Inc. | Hierarchical key management system |
US4888802A (en) * | 1988-06-17 | 1989-12-19 | Ncr Corporation | System and method for providing for secure encryptor key management |
US4935961A (en) * | 1988-07-27 | 1990-06-19 | Gargiulo Joseph L | Method and apparatus for the generation and synchronization of cryptographic keys |
US5016277A (en) * | 1988-12-09 | 1991-05-14 | The Exchange System Limited Partnership | Encryption key entry method in a microcomputer-based encryption system |
US4965804A (en) * | 1989-02-03 | 1990-10-23 | Racal Data Communications Inc. | Key management for encrypted packet based networks |
US5048087A (en) * | 1989-02-03 | 1991-09-10 | Racal Data Communications Inc. | Key management for encrypted packet based networks |
DE69014361T2 (de) * | 1989-03-23 | 1995-04-27 | Neopost Ind | Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung. |
US4956863A (en) * | 1989-04-17 | 1990-09-11 | Trw Inc. | Cryptographic method and apparatus for public key exchange with authentication |
US5148481A (en) * | 1989-10-06 | 1992-09-15 | International Business Machines Corporation | Transaction system security method and apparatus |
US5029206A (en) * | 1989-12-27 | 1991-07-02 | Motorola, Inc. | Uniform interface for cryptographic services |
US5404403A (en) * | 1990-09-17 | 1995-04-04 | Motorola, Inc. | Key management in encryption systems |
US5173938A (en) * | 1990-09-27 | 1992-12-22 | Motorola, Inc. | Key management system |
US5247576A (en) * | 1991-02-27 | 1993-09-21 | Motorola, Inc. | Key variable identification method |
US5208859A (en) * | 1991-03-15 | 1993-05-04 | Motorola, Inc. | Method for rekeying secure communication units by group |
US5243654A (en) * | 1991-03-18 | 1993-09-07 | Pitney Bowes Inc. | Metering system with remotely resettable time lockout |
US5214698A (en) * | 1991-03-20 | 1993-05-25 | International Business Machines Corporation | Method and apparatus for validating entry of cryptographic keys |
US5200999A (en) * | 1991-09-27 | 1993-04-06 | International Business Machines Corporation | Public key cryptosystem key management based on control vectors |
US5241599A (en) * | 1991-10-02 | 1993-08-31 | At&T Bell Laboratories | Cryptographic protocol for secure communications |
US5179591A (en) * | 1991-10-16 | 1993-01-12 | Motorola, Inc. | Method for algorithm independent cryptographic key management |
US5265164A (en) * | 1991-10-31 | 1993-11-23 | International Business Machines Corporation | Cryptographic facility environment backup/restore and replication in a public key cryptosystem |
US5245658A (en) * | 1992-01-06 | 1993-09-14 | George Bush | Domain-based encryption |
JPH05281906A (ja) * | 1992-04-02 | 1993-10-29 | Fujitsu Ltd | 暗号鍵共有方式 |
US5237611A (en) * | 1992-07-23 | 1993-08-17 | Crest Industries, Inc. | Encryption/decryption apparatus with non-accessible table of keys |
US5341426A (en) * | 1992-12-15 | 1994-08-23 | Motorola, Inc. | Cryptographic key management apparatus and method |
US5390251A (en) * | 1993-10-08 | 1995-02-14 | Pitney Bowes Inc. | Mail processing system including data center verification for mailpieces |
US5621795A (en) * | 1994-12-27 | 1997-04-15 | Pitney Bowes Inc. | System and method for fault tolerant key management |
-
1995
- 1995-10-23 US US08/553,812 patent/US5812666A/en not_active Expired - Lifetime
-
1996
- 1996-03-29 CA CA002173008A patent/CA2173008C/en not_active Expired - Fee Related
- 1996-04-01 EP EP96105237A patent/EP0735722B1/en not_active Expired - Lifetime
- 1996-04-01 JP JP8114070A patent/JPH09149021A/ja active Pending
- 1996-04-01 BR BR9601231A patent/BR9601231A/pt not_active Application Discontinuation
- 1996-04-01 CN CNB961080639A patent/CN1193314C/zh not_active Expired - Lifetime
- 1996-04-01 DE DE69634220T patent/DE69634220T2/de not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
EP0735722B1 (en) | 2005-01-26 |
US5812666A (en) | 1998-09-22 |
DE69634220D1 (de) | 2005-03-03 |
JPH09149021A (ja) | 1997-06-06 |
CA2173008A1 (en) | 1996-10-01 |
DE69634220T2 (de) | 2005-12-29 |
CN1147656A (zh) | 1997-04-16 |
EP0735722A2 (en) | 1996-10-02 |
CA2173008C (en) | 2000-05-16 |
EP0735722A3 (en) | 1999-10-06 |
BR9601231A (pt) | 1998-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1193314C (zh) | 密钥管理和确认系统 | |
CN1136512C (zh) | 密钥管理系统中的记号验证方法 | |
CN1128522C (zh) | 在一密钥管理系统中生产通用邮资计的一种方法 | |
CA2173018C (en) | Method of manufacturing secure boxes in a key management system | |
CN1326349C (zh) | 内容分配系统 | |
EP0663652B1 (en) | Electronic data interchange postage evidencing system | |
US5982896A (en) | System and method of verifying cryptographic postage evidencing using a fixed key set | |
US7778924B1 (en) | System and method for transferring items having value | |
CA2452750A1 (en) | Method for verifying the validity of digital franking notes | |
US8090950B2 (en) | System and method for authenticating documents | |
CN1239362A (zh) | 机器认证和加密通信系统 | |
US20230016828A1 (en) | Method and system for managing data exchange in the context of a medical examination | |
MXPA96001258A (en) | A manufacturing method of generic subscribers in a cla administration system | |
MXPA96001257A (en) | A method of verification of symbols designators in an administration system | |
MXPA96001259A (es) | Un sistema de administracion y validacion de claves criptograficas | |
ZA200407274B (en) | Method and device for the generation of checkable forgery-proof documents. | |
Bishop et al. | Digital tachograph system european root policy version 2.1 | |
CN117692259A (zh) | 一种基于验证网络的注册方法和验证方法 | |
CN115941231A (zh) | 一种可监管的加密货币隐私保护方法及系统 | |
Tauber et al. | Enhancing security and privacy in certified mail systems using trust domain separation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20050316 |
|
EXPY | Termination of patent right or utility model |