A method and apparatus for generating a secret encryption key for a user computer (3) connected to a server (2) via a network (4) is provided. Providing a secret user value at a user computer (3). A secret server value is provided at the server (2), and a user password is encoded by a checksum value. In response to the user computer (3) at the input key, the user computer user and password secret encoding value, to generate a first value corresponding to the test value, and through the network (4) will be the first value of the communication to the server (2). In response, the server (2) compares the first value and the check value to verify that the input password is equal to the user password. If so, the server (2) encodes the first value and the secret server value to generate a value of second, and the value of the is communicated to the user computer (3) via a network (a). In response, a user computer generates a secret encryption key by encoding a second value, an input password, and a secret user value.
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及基于密码的秘密加密密钥的生成。提供了一种用于基于用户密码的输入在用户计算机处生成秘密加密密钥的方法,以及采用这种方法的相应装置和计算机程序以及密钥管理应用。
技术介绍
加密密钥用于诸如个人计算机、智能电话、平板电脑和其他计算机设备的个人用户设备上的各种目的。这样得密钥例如可以用于签名消息、用于向其他设备认证用户计算机或用于存储在计算机上的敏感数据的加密/解密。通常,加密密钥必须对用户计算机是秘密的,使得密钥不与与用户计算机通信的任何其他计算机共享。这样的秘密密钥的安全管理是有问题的。该密钥应当容易地用于所需的使用,但同时防止未经授权的访问,例如,用户计算机的丢失或被盗。由于不能期望用户记住加密密钥,因此使用存储在用户计算机上的秘密密钥可以受制于用户输入有效的用户密码。然而,典型的用户密码在加密上较弱,并且容易由窃贼使用有效的离线强力攻击猜到。此外,用户通常对其他目的(例如企业电子邮件)使用相同或相似的密码,因此在其他环境中对其密码的妥协可能损害秘密密钥的安全性。已经提出使用可信硬件设备(诸如智能卡或TPM(可信平台模块)芯片)用于秘密密钥的安全管理。然而,这样的设备并不总是可用的,并且它们的使用增加了费用和系统复杂性。其它方法涉及通过经由网络与一个或多个服务器的通信在用户计算机处动态生成密钥。在一个或多个服务器的帮助下从(弱)密码导出(强)加密密钥的问题是密码学中的一个深入研究的问题,例如在密钥交换方案的环境中。在Katz等人在EUROCRYPT2001中的“EfficientPassword-AuthenticatedKeyExcha ...
【技术保护点】
一种用于在可经由网络连接到服务器的用户计算机处生成所述用户计算机的秘密加密密钥的方法,所述方法包括:在所述用户计算机处提供秘密用户值;在所述服务器处提供秘密服务器值和对所述秘密用户值和用户密码进行编码的校验值;在所述用户计算机处,响应于输入密码的输入,对所述秘密用户值和所述输入密码进行编码以产生对应于所述校验值的第一值,以及经由所述网络将所述第一值通信到所述服务器;在所述服务器处,响应于第一值的通信,比较所述第一值和所述校验值以校验所述输入密码是否等于所述用户密码,并且如果是,则对所述第一值和所述秘密服务器值进行编码以产生第二值,以及经由所述网络将所述第二值通信到所述用户计算机;以及在所述用户计算机处,响应于所述第二值的通信,通过对所述第二值、所述输入密码和所述秘密用户值进行编码来生成所述秘密加密密钥。
【技术特征摘要】
【国外来华专利技术】2014.08.26 GB 1415070.01.一种用于在可经由网络连接到服务器的用户计算机处生成所述用户计算机的秘密加密密钥的方法,所述方法包括:在所述用户计算机处提供秘密用户值;在所述服务器处提供秘密服务器值和对所述秘密用户值和用户密码进行编码的校验值;在所述用户计算机处,响应于输入密码的输入,对所述秘密用户值和所述输入密码进行编码以产生对应于所述校验值的第一值,以及经由所述网络将所述第一值通信到所述服务器;在所述服务器处,响应于第一值的通信,比较所述第一值和所述校验值以校验所述输入密码是否等于所述用户密码,并且如果是,则对所述第一值和所述秘密服务器值进行编码以产生第二值,以及经由所述网络将所述第二值通信到所述用户计算机;以及在所述用户计算机处,响应于所述第二值的通信,通过对所述第二值、所述输入密码和所述秘密用户值进行编码来生成所述秘密加密密钥。2.如权利要求1所述的方法,包括在设置过程中,在生成所述密钥之前:在所述用户计算机处,响应于所述用户密码的输入,对所述秘密用户值和所述用户密码进行编码以产生所述校验值,以及经由所述网络将所述校验值通信到所述服务器;以及在所述服务器处存储所接收的校验值。3.如权利要求2所述的方法,包括在所述设置过程中:在所述用户计算机处,生成和存储所述秘密用户值;以及在所述服务器处,生成和存储所述秘密服务器值。4.如权利要求2或3所述的方法,其中所述设置过程包括:在所述服务器处,对所述接收的校验值和所述秘密服务器值进行编码以产生所述第二值,并且经由所述网络将所述第二值通信到所述用户计算机;以及在所述用户计算机处,响应于所述第二值的通信,通过在加密操作中使用所述密钥对所述第二值、所述用户密码和所述秘密用户值进行编码来第一次生成所述秘密加密密钥,以及载使用后删除所述用户密码、校验值、所述第二值和所述密钥。5.如前述权利要求的任一项所述的方法,包括:在所述用户计算机处向所述服务器提供用于唯一地标识所述用户计算机的用户标识符在所述服务器处,向所述用户计算机提供具有所述校验值的所述用户标识符;以及在所述用户计算机处,用所述第一值将所述用户标识符通信到所述服务器。6.如权利要求5所述的方法,包括在所述用户计算机处,以在所述第一值中编码所述用户标识符。7.如权利要求5或6所述的方法,包括在所述用户计算机处,在所述加密密钥中编码所述用户标识符。8.如权利要求5至7的任一项所述的方法,包括在所述服务器处在所述第二值中编码所述用户标识符。9.如权利要求6至8的任一项所述的方法,包括:在所述服务器处向所述用户计算机提供用于唯一地标识所述服务器的服务器标识符在所述用户计算机处,检索所述服务器标识符并且在所述第一值中编码所述服务器标识符;在所述服务器处,在所述第二值中编码所述服务器标识符;以及在所述用户计算机处,在所述加密密钥中编码所述服务器标识符。10.如前述权利要求的任一项所述的方法,包括经由所述用户计算机和所述服务器的交互来在所述网络上建立安全信道,其中由所述用户计算机和所述服务器进行的所述通信是在所述安全信道上进行的。11.如前述权利要求的任一项所述的方法,包括在所述服务器处根据所述输入密码是否等于所述用户密码来实施节流机制。12.如前述权利要求...
【专利技术属性】
技术研发人员:JL卡梅尼施,RR恩德莱因,S克伦,A莱曼,G内文,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。