安全共享密钥共享系统技术方案

本发明专利技术涉及用于将共享密钥安全地传递到装置的系统及方法。一个实施例描述一种用以将共享密钥安全地传递到第一装置(32)及第二装置(34)的方法，所述方法包含：使用第一装置从密钥产生器(36)接收(52)与第一装置(32)相关联的共享密钥及唯一识别符配对；使用可信第三方(38)从密钥产生器(36)接收(54)共享密钥及唯一识别符配对；使用第一装置(32)，使用唯一识别符及共享密钥产生(80)签名；使用第一装置(32)将签名及唯一识别符发射(82)到可信第三方(38)；使用可信第三方(38)基于签名而验证(86)唯一识别符；当唯一识别符通过验证时使用可信第三方(38)确定共享密钥；及使用可信第三方(38)将共享密钥发射(88)到第二装置(34)以使得第一装置(32)及第二装置(34)能够通过使用共享密钥编码及解码所传递数据而安全地通信。

【技术实现步骤摘要】
安全共享密钥共享系统及方法分案申请的相关信息本案是分案申请。该分案的母案是申请日为2015年9月22日、申请号为201580054230.9、专利技术名称为“安全共享密钥共享系统及方法”的专利技术专利申请案。
本专利技术一般来说涉及共享密码密钥的安全传递，且特定来说涉及并未通过安全信道连接的装置之间的共享密码密钥的传递。
技术介绍
一般来说，装置可利用共享密码密钥来彼此安全地通信。举例来说，第一装置可利用共享密钥来签署(例如，编码)数据且将所述经签署数据发射到第二装置。所述第二装置可接着利用所述共享密钥来验证(例如，解码)所接收数据。以此方式，截获经编码数据的外部方在不具有共享密钥的情况下将不能解码数据。因此，借助共享密钥的使用使通信安全的前提是通信装置各自知晓共享密钥。换句话说，可在使用共享密钥来编码及解码数据之前将共享密钥安全地传递到装置中的每一者。通常，用于安全地传递共享密钥的方法可利用广泛数学计算。举例来说，利用迪菲-赫尔曼方法来在装置之间传递共享密钥可涉及装置执行模算术，此可需要非平凡计算处理。然而，例如存储器装置的一些装置可具有有限处理能力。因此，举例来说，通过甚至关于具有有限处理能力的装置达成共享密钥的传递来改进共享密钥的安全传递将为有益的。
技术实现思路
本申请的一个方面涉及一种经配置以经由网络以通信方式耦合至第三方服务器的计算装置。在一个实施例中，所述计算装置包括：引导装置，其经配置以：存储唯一识别符、共享密钥以及启动例程指令；至少部分基于所述唯一识别符和所述共享密钥产生签名；将所述签名和所述唯一识别符传递到所述第三方服务器以使得所述第三方服务器验证所述引导装置的身份并在所述引导装置的身份通过验证时检索所述共享密钥；以及通过至少部分基于所述共享密钥编码所述启动例程指令来产生经编码数据；以及中央处理单元，其经由数据总线以通信方式耦合至所述引导装置，其中所述中央处理单元经配置以：经由所述数据总线从所述引导装置接收所述经编码数据；当所述引导装置的身份通过所述第三方服务器的验证时，经由所述网络从所述第三方服务器接收所述共享密钥；通过至少部分基于所述共享密钥解码所述经编码数据来确定所述启动例程指令；以及执行所述启动例程指令以初始化所述计算装置。本申请的另一方面涉及一种经配置以促进多个电子装置中的两个或更多个装置之间的安全通信的计算系统。在一个实施例中，所述计算系统包括：第三方服务器，其经由网络以通信方式耦合至所述多个电子装置的一者或多者，其中所述第三方服务器经配置以：存储第一配对，所述第一配对经配置以将第一共享密钥与第一唯一识别符相关联，其中所述第一共享密钥经配置以由所述多个电子装置中的第一电子装置使用以编码第一传送数据且所述第一唯一识别符经配置以指示所述第一电子装置的身份；从所述多个电子装置中的一者接收第一签名和所述第一唯一识别符；至少部分基于所述第一唯一识别符及所述第一共享密钥确定第二签名；当所述第一签名与所述第二签名匹配时，确定所述第一签名是由所述第一电子装置产生的；以及当所述第一签名是由所述第一电子装置产生时，将所述第一共享密钥传递到所述多个电子装置中的第二电子装置以使得所述第二电子装置执行以下步骤：通过使用所述第一共享密钥解码从所述第一电子装置接收的所述第一传送数据来确定指令；以及执行所述指令以在所述第二电子装置中执行操作。本申请的再一方面涉及一种经配置以通信方式耦合多个电子装置的通信网络。在一个实施例中，所述通信网络包括：第一通信信道，其经配置以通信方式耦合第一电子装置和第二电子装置，所述第一电子装置存储数据且所述第二电子装置至少部分基于所述数据执行操作，其中所述第一通信信道经配置以在由所述第一电子装置使用共享密钥对所述数据编码后，促进将所述数据传送至所述第二电子装置；第二通信信道，其经配置以通信方式耦合所述第一电子装置和第三电子装置，所述第三电子装置存储所述共享密钥及与所述第一电子装置相关联的唯一识别符之间的配对，其中所述第二通信信道经配置以促进将签名传送至所述第三电子装置，所述签名由所述第一电子装置至少部分基于所述共享密钥和所述唯一识别符而产生；以及第三通信信道，其经配置以通信方式耦合所述第二电子装置和所述第三电子装置，其中所述第三通信信道经配置以在所述第三电子装置基于所述签名验证所述第一电子装置的身份以使得所述第二电子装置执行所述操作后促进将所述共享密钥从所述第三电子装置传送至所述第二电子装置，其中经由所述第一通信信道从所述第一电子装置接收的所述数据使用所述共享密钥编码后，所述第二电子装置至少部分基于所述数据而执行所述操作。本申请的又一方面涉及一种计算系统。在一个实施例中，所述计算系统包括：第一电子装置，其经配置以经由第一通信信道以通信方式耦合至第二电子装置且经由第二通信信道以通信方式耦合至第三电子装置，其中所述第一电子装置经配置以：经由所述第一通信信道将请求传送至所述第二电子装置，其中所述请求包括临时值以及所述第二电子装置将由所述第二电子装置至少部分基于所述临时值、共享密钥以及与所述第二电子装置关联的唯一识别符产生的签名传送至所述第三电子装置的请求；当所述第三电子装置至少部分基于所述签名验证了所述第二电子装置的身份时，经由所述第二通信信道从所述第三电子装置接收经加密密钥；解密所述经加密密钥以确定所述共享密钥；经由所述第一通信信道接收由所述第二电子装置使用所述共享密钥编码的数据；至少部分基于所述共享密钥解码所述数据；以及在所述数据经解码后，至少部分基于所述数据执行操作。附图说明图1图解说明根据实施例的计算系统的框图；图2图解说明根据实施例的用于传递共享密钥的装置的框图；图3图解说明根据实施例的用于使图2的装置准备传递共享密钥的流程；图4图解说明根据实施例的图2的装置之间的数据流程图；及图5图解说明根据实施例的用于在图2的装置之间安全地传递共享密钥的流程。具体实施方式如上文所描述，共享密码密钥通常由装置用于达成安全(例如，经编码及/或经签署)通信。更具体来说，装置可利用共享密钥来签署(例如，编码)所发射数据且验证(例如，解码)所接收数据。举例来说，第一装置可通过使用共享密钥对数据执行密码散列而签署数据且将经签署数据连同散列结果一起发射到第二装置。第二装置可接着通过使用共享密钥执行密码散列且将结果进行比较而验证所接收数据。如此，在通信的任一端上的装置可利用共享密钥。换句话说，共享密钥可安全地传递到通信装置中的每一者。如可了解，由于共享密钥为使所发射数据安全的基础，因此外部方不会获得共享密钥是重要的。如此，共享密钥应在外部方不确定共享密钥的情况下安全地传递到装置。可使用各种方法来促进共享密钥到装置的安全发射。此些方法可包含迪菲-赫尔曼密钥交换、罗纳德·李斯维特、阿迪·沙米尔与伦纳德·阿德曼(RSA)系统方法或另一公开密钥基础结构方法。然而，这些方法可为计算复杂的，其利用显著处理能力。举例来说，为利用迪菲-赫尔曼密钥交换，第一及第二装置可首先确定质数模数(例如17)及质数模数的原根(例如3)。接着，第一及第二装置可各自选择机密整数。举例来说，第一装置可选择15且第二装置可选择13。使用其机密整数，第一及第二装置可各自使原根自乘到其相应机密整数且使用质数模数执行模运算。举例来说，第一装置本文档来自技高网...

【技术保护点】
1.一种经配置以经由网络以通信方式耦合至第三方服务器的计算装置，所述计算装置包括：引导装置，其经配置以：存储唯一识别符、共享密钥以及启动例程指令；至少部分基于所述唯一识别符和所述共享密钥产生签名；将所述签名和所述唯一识别符传递到所述第三方服务器以使得所述第三方服务器验证所述引导装置的身份并在所述引导装置的身份通过验证时检索所述共享密钥；以及通过至少部分基于所述共享密钥编码所述启动例程指令来产生经编码数据；以及中央处理单元，其经由数据总线以通信方式耦合至所述引导装置，其中所述中央处理单元经配置以：经由所述数据总线从所述引导装置接收所述经编码数据；当所述引导装置的身份通过所述第三方服务器的验证时，经由所述网络从所述第三方服务器接收所述共享密钥；通过至少部分基于所述共享密钥解码所述经编码数据来确定所述启动例程指令；以及执行所述启动例程指令以初始化所述计算装置。

【技术特征摘要】
2014.10.06 US 14/507,5261.一种经配置以经由网络以通信方式耦合至第三方服务器的计算装置，所述计算装置包括：引导装置，其经配置以：存储唯一识别符、共享密钥以及启动例程指令；至少部分基于所述唯一识别符和所述共享密钥产生签名；将所述签名和所述唯一识别符传递到所述第三方服务器以使得所述第三方服务器验证所述引导装置的身份并在所述引导装置的身份通过验证时检索所述共享密钥；以及通过至少部分基于所述共享密钥编码所述启动例程指令来产生经编码数据；以及中央处理单元，其经由数据总线以通信方式耦合至所述引导装置，其中所述中央处理单元经配置以：经由所述数据总线从所述引导装置接收所述经编码数据；当所述引导装置的身份通过所述第三方服务器的验证时，经由所述网络从所述第三方服务器接收所述共享密钥；通过至少部分基于所述共享密钥解码所述经编码数据来确定所述启动例程指令；以及执行所述启动例程指令以初始化所述计算装置。2.根据权利要求1所述的计算装置，其中：所述引导装置经配置以至少部分基于所述共享密钥对所述唯一识别符执行第一密码散列来产生所述签名；且所述第三方服务器经配置以：至少部分基于从所述引导装置接收的所述唯一识别符来检索所述共享密钥；至少部分基于所述共享密钥对所述唯一识别符执行第二密码散列；以及当所述第一密码散列的第一结果与所述第二密码散列的第二结果匹配时，验证所述引导装置的身份。3.根据权利要求1所述的计算装置，其中：所述引导装置经配置以至少部分基于所述共享密钥对所述启动例程指令执行第一密码散列来产生所述经编码数据，其中所述经编码数据包括所述启动例程指令及所述第一密码散列的第一结果；且所述中央处理单元经配置以：至少部分基于所述共享密钥对所述经编码数据的至少一部分执行第二密码散列来确定所述启动例程指令；以及当所述第二密码散列的第二结果与所述第一密码散列的所述第一结果匹配时，执行所述启动例程指令以初始化所述计算装置。4.根据权利要求1所述的计算装置，其中：所述引导装置包括经配置以存储所述启动例程指令、所述唯一识别符及所述共享密钥的非易失性存储器；且所述非易失性存储器包括只读存储器(ROM)、快闪存储器、铁电RAM(F-RAM)、硬盘、软盘、磁带、光盘或其任一组合。5.根据权利要求1所述的计算装置，其包括经配置以通信方式将所述计算装置耦合至所述网络的通信接口；其中所述网络包括个人局域网、局域网、广域网或其任一组合。6.根据权利要求1所述的计算装置，其中：所述引导装置包括经配置以存储所述启动例程指令的引导块；且所述引导块不可由所述中央处理单元存取。7.根据权利要求1所述的计算装置，其中所述中央处理单元经配置以：在所述计算装置通电时确定所述启动例程指令；以及执行所述启动例程指令以对存储在所述计算装置的存储器元件中的数据执行错误检测。8.根据权利要求1所述的计算装置，其中：所述共享密钥包括密码密钥、对称密钥或私人密钥；且所述唯一识别符包括识别所述引导装置的媒体存取控制地址。9.根据权利要求1所述的计算装置，其中所述计算装置包括计算机、传呼机、蜂窝电话、个人备忘记事本或控制电路。10.一种经配置以促进多个电子装置中的两个或更多个装置之间的安全通信的计算系统，所述计算系统包括：第三方服务器，其经由网络以通信方式耦合至所述多个电子装置的一者或多者，其中所述第三方服务器经配置以：存储第一配对，所述第一配对经配置以将第一共享密钥与第一唯一识别符相关联，其中所述第一共享密钥经配置以由所述多个电子装置中的第一电子装置使用以编码第一传送数据且所述第一唯一识别符经配置以指示所述第一电子装置的身份；从所述多个电子装置中的一者接收第一签名和所述第一唯一识别符；至少部分基于所述第一唯一识别符及所述第一共享密钥确定第二签名；当所述第一签名与所述第二签名匹配时，确定所述第一签名是由所述第一电子装置产生的；以及当所述第一签名是由所述第一电子装置产生时，将所述第一共享密钥传递到所述多个电子装置中的第二电子装置以使得所述第二电子装置执行以下步骤：通过使用所述第一共享密钥解码从所述第一电子装置接收的所述第一传送数据来确定指令；以及执行所述指令以在所述第二电子装置中执行操作。11.根据权利要求10所述的计算系统，其中：所述第一电子装置经由数据总线以通信方式耦合至所述第二电子装置且所述第一电子装置经配置以：存储所述指令；以及至少部分基于所述第一共享密钥对所述指令执行第一密码散列来产生所述第一传送数据，其中所述第一传送数据包括所述指令及所述第一密码散列的第一结果；且所述第二电子装置经配置以：至少部分基于所述共享密钥对所述第一传送数据的至少一部分执行第二密码散列来确定所述指令；以及当所述第二密码散列的第二结果与所述第一密码散列的所述第一结果匹配时，执行所述指令以初始化所述第二电子装置的操作。12.根据权利要求10所述的计算系统，其中所述第三方服务器经配置以当所述第一签名与所述第二签名不匹配时：指示对所述计算系统的尝试入侵...

【专利技术属性】
技术研发人员：兰斯·多弗，
申请(专利权)人：美光科技公司，
类型：发明
国别省市：美国,US