本发明专利技术涉及密码密钥的管理。一种用于密码密钥的管理的电子器件以及实施在包括物理处理器的计算器件中的一种相应的方法,其向密钥生成模块传送所述器件的特征数据,其中所述特征数包括对应于所述器件的标识符或属性的信息,并且由所述器件从密钥生成模块接收所传送的特征数据的数字签名。所述器件安装所接收到的数字签名以作为用于通信的密码私有密钥,并且利用所安装的数字签名作为密码私有密钥来实施密码操作。
【技术实现步骤摘要】
【专利说明】密码密钥的管理
技术介绍
本公开内容设及密码密钥的管理方面所设及的方法、电子器件和系统。 如今,密码技术在例如数据处理和电信之类的活动领域内普遍存在。密码技术被 用于多种目的,其中例如包括:认证、确保数据的保密性和完整性等等。 密码技术设及使用密码密钥,并且因此有必要提供各种密钥管理功能,例如:密钥 保护W及在密钥生命周期的保持方面所设及的功能(例如密钥生成、密钥登记、密钥分发、 密钥撤销等等)。 已经提出了不同的密钥管理机制,其中例如包括在IS0/IEC 11770标准中所规定 的那些密钥管理机制(信息技术一一安全性技术一一密钥管理)。【附图说明】 图1是表示根据本公开内容的系统的一个实例的图示,该系统包括通过彼此传送 数字数据来进行交互的器件。 图2是示出了根据本公开内容的为电子器件提供密码私有密钥的方法的流程图。 图3是表示根据本公开内容的系统的一个实例的图示,该系统包括具有不同角色 并且通过彼此传送数字数据来进行交互的器件。 图4A是示出了根据本公开内容的示例性电子器件的图示。 图4B是示出了根据本公开内容的另一个示例性电子器件的图示。 图5是示出了根据本公开内容的实施密钥安装处理的电子器件的一部分的图示。 图6是示出了根据本公开内容的实施安全性策略的电子器件的一部分的图示。【具体实施方式】 后面的详细描述将参照附图。在可能的情况下,相同的附图标记在附图和后面的 描述中被用来指代相同或类似的部分。虽然在本文中描述了几个实例,但是修改、适配和其 他实现方式也是可能的。因此,后面的详细描述并不限制所公开的实例。相反,所公开的实 例的适当范围可W由所附权利要求限定。 因此,在本文中可W应用W下定义: 实体:实体可W包括人、硬件组件或器件、处理、组织或者此类项目的群组,其具有可辨 识的独特存在,并且可W通过标识符来标示。 域:域可W包括在单一安全性策略下操作的实体集合。举例来说,借助于单一密钥 权威机构化ey authority)或者对于数据完整性使用相同安全性策略的权威机构集合彼此 安全地通信的若干组件可W构成一个域。一般来说,密钥管理服务由特定域内的实体运行。 在跨越多个域使用某项服务的情况下,在不同域之间应当额外注意。 标识符:标识符可W包括在特定域内唯一地表征一个实例的一个或更多个属性。 标识符的实例包括组件特有的号码或IP地址、U化、电子邮件地址、用户名、账号等等。 密钥:密钥可W包括控制密码变换的操作的符号序列。密码变换的实例包括加密、 解密、消息认证代码(MAC)计算、签名计算、签名验证、密钥建立等等。 密钥用户:密钥用户可W包括使用密钥来操作密码变换的实体。密钥用户可W是 或者可W不是密钥所有者。 密钥所有者:密钥所有者可W包括使用对称密钥或者非对称密钥对的秘密密钥来 操作密码变换的实体。密钥所有者也是密钥用户。 密钥权威机构:密钥权威机构可W包括提供单一密钥管理服务或者一个服务集合 的实体。密钥权威机构还可W具有密钥用户或密钥所有者的角色。 加密:加密可W包括通过密码算法对数据进行的(可逆)变换,W便产生密文,也就 是说隐藏数据的信息内容。 解密:解密可W包括通过密码算法对密文进行变换,W便恢复相应的加密前信息 内容。 数字签名:数字签名可W包括附加到数据单位的数据或者数据单位的密码变换, 该数字签名允许数据单位的接收者证明数据单位的完整性的来源并且针对伪造提供保护。 签名验证:签名验证可W包括运样的处理,其可W取得已签名消息、验证密钥和域 参数作为输入,并且作为输出给出签名验证的结果:有效或无效。 本公开内容描述了密钥管理技术的实例,其可W被有利地应用在其中可能具有不 同的安全性要求和能力的各个实体进行交互的环境的情境中。举例来说,运些密钥管理技 术可W被使用在运样的环境中,其中各个实体通过连接组构进行交互,所述连接组构可W 通过不受信任的连接将其互连,并且其中不同的信任关系可W在所述实体之间适用。在此 类环境中,可能希望采用密码技术W便确保安全性,运可能意味着使用密码密钥和密钥管 理技术。但是已知的密钥管理技术无法满足此类环境中所固有的挑战。根据本公开内容的示例性方法、器件和系统提供了能够应对具有任意安全性策略 的实体之间的交互并且/或者可W高效地应对大量实体的密钥管理技术。 图1示出了其中可W应用根据本公开内容的一个实例的密钥管理技术的环境的 一个实例。在图1的实例中,所述环境是包括互连形成计算平台的计算器件和存储器件的 系统。在该计算平台中,进行交互的实体可W是各种类型的电子器件,其包括而不限于:组 件、中央处理单元核屯、(CPU核屯、)、忍片上系统(SoC)、存储器件、加速器、协处理器等等。 虽然在图1中仅仅示出了少数几个电子器件,但是该实例的目标是可W在各种不 同尺度下实施的计算平台,其范围包括从由10个交互器件的量级构成的小系统到其中交 互器件的数目可W超出10000的极大系统。 在图1所示的实例中,各种电子器件通过连接组构互连,所述连接组构可W包括 实体之间的直接连接、经由开关的连接、连接总线等等。所述连接组构可W包括有线和/或 无线链接。该实例设及开放的分布式系统,其中各个电子器件可W通过自组织方式彼此交 互。[002引图1的计算平台包括电子器件DEVa到DEVf,其分别具有其自身的标识符庙图1 中标记为ID)及其自身的属性(在图1中标记为att)。在密码密钥的生成、保持和使用方 面,交互器件可W分别具有其自身的特殊要求和能力。举例来说,一些器件可能不具有在它 们被断电时安全地存储密钥的能力,各个器件在其生成随机数的能力或者其从零生成密钥 的能力等方面可能有所不同。 给定的一个电子器件所拥有的标识符和/或属性的数目不受特别限制。可W利用 标识符数据来表示标识符。可W利用属性数据来表示属性。可W利用表达法"特征"来指 代(而不作区分)标识符和属性,并且取决于上下文,表达法"特征数据"可W指代标识符数 据、属性数据或全部二者。特征数据可W通过任何其他便利的方式来表示特征,其中包括: 直接表示(例如可W利用完全相同的特征数据01101101来表示标识符01101101 )、符号形 式的表示等等。所述器件可W存储表示其自身的标识符和属性的特征数据。所述器件可W 存储表示其自身的标识符和属性的一个子集的特征数据。器件的特征数据可W表明其能力 为何:举例来说,特征数据可W表明器件在密码密钥的生成、保持和使用方面的能力为何。 器件的特征数据可W与该器件在访问存储器件的存储器资源方面的合法性相关联。 各个器件可W具有彼此不同的安全性策略,其中一个单独的安全性策略可W定义 必须被满足W使其参与和协作器件的特定类型的交互的条件集合。各个器件的对应的安全 性策略在图1中被标记成SecPol。 应当理解的是,按照在所讨论的应用中所希望或要求的那样,根据本公开内容的 器件可W拥有任意数目的标识符、属性和/或安全性策略。 在图1的示例性系统中,各个电子器件通过彼此传送数字数据来进行交互。为了 在运些交互中维持安全性,各个电子器件向彼此证明其拥有与其正在与之协作(或者提议 协作)的器件的安全性策略相关的特定标识符和属性。电子器件可W通过利用密码私有密 钥实施密码操作本文档来自技高网...
【技术保护点】
一种用于密码密钥的管理的方法,所述方法被实施在包括物理处理器的计算器件中,所述方法包括:由计算器件向密钥生成模块传送该计算器件的特征数据,其中所述特征数据包括对应于该计算器件的标识符或属性的信息;由计算器件从密钥生成模块接收所传送的特征数据的数字签名;由计算器件安装所接收到的数字签名以作为用于通信的密码私有密钥;以及由计算器件利用所安装的数字签名作为密码私有密钥来实施密码操作。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:L陈,FJ迪金,M萨勒,CI达尔顿,N爱德华兹,SKY邵,B巴拉彻夫,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。