验证电子设备授权的方法和设备技术

为了验证由第二电子设备(2)使用对称密钥加密与第一电子设备(1)相关联的授权，第二电子设备(2)从第一电子设备(1)中接收具有密钥空间标识符和位置信息的加密数据(41)和元数据(42)。密钥空间标识符定义一个加密密钥分层结构(6)，位置信息定义在所述加密密钥分层结构(6)中用于生成加密数据(41)的加密密钥(11)。第二电子装置(2)利用从第一电子设备(1)接收的密钥空间标识符和位置信息，通过单向函数从存储在第二电子设备(2)中的加密密钥(21)导出加密密钥。第二电子设备(2)使用导出的加密密钥，解密加密数据(41)，以验证与第一电子设备(1)相关联的授权。

Methods and equipment for verifying authorization of electronic equipment

【技术实现步骤摘要】
【国外来华专利技术】验证电子设备授权的方法和设备
本专利技术涉及用于验证电子设备的授权的方法和设备。具体地，本专利技术涉及使用对称密钥加密来验证与电子设备相关联的授权的方法和设备。
技术介绍
在对称密钥加密中，相同的加密密钥用于通信设备之间的数据交换的加密和解密。因此，加密密钥是通信设备之间共享的机密。通信设备必须全部都可以访问机密密钥这一事实被认为是对称密钥加密的缺点—只要有一台设备受到威胁，则所有相应设备之间的通信不再安全。EP2424154描述了实现分级谓词加密(hierarchicalpredicateencryption)方案的加密处理系统。根据EP2424154，密钥生成设备(根)通过使用主机密密钥来为较低级别用户的设备生成机密密钥。机密密钥从密钥生成设备传输到较低级别用户的各个设备。由较高级别的设备从较高级别密钥中生成的较低级别的密钥，比较高级别的密钥具有更多的受限制的功能。EP2667538描述了分层的基于身份的加密(hierarchicalidentity-basedencryption)系统，该系统包括设置设备和形成树型分层结构的多个第二设备。设置设备形成分层结构的根，第二设备形成分层的不同级别。设置设备200生成由每个第二设备共同使用的公共密钥以及针对根以下的第一或第二级别的每个第二设备的基于身份的机密密钥。第二设备使用公共密钥和它自己的机密密钥解密经加密数据。第二设备还使用其自己的密钥和与子第二设备相关联的用户标识，在其较低的(子)层次级别上为其他第二设备生成机密密钥。分层非对称加密系统可以在分层组织中相应地实现，其中组织中的上级分层级别有权为其在组织中各个较低分层级别的成员的设备生成和分发机密密钥。必须从设置设备或较高级别的第二电子设备传输任何第二电子设备的机密密钥。如果这样的传输被破坏，则相应的机密密钥和从所述相应的机密密钥中生成的任何机密密钥都会被破坏。US8892865描述了用于认证的系统和方法，该系统和方法根据在认证方和认证者之间共享的机密证书来生成密钥。密钥的生成可以涉及以用于使密钥专用的参数的形式使用专用信息。从多个授权机构持有的密钥导出的密钥和/或信息可用于生成其他密钥，从而无需访问密钥即可验证需要此类密钥和/或信息的签名。还可以导出密钥以形成密钥分层结构，该密钥分层结构的分布使得密钥持有者解密数据的能力取决于密钥在相对于用于加密数据的密钥的位置的分层结构中的位置。密钥分层结构还可用于将密钥集分发给内容处理设备，以使这些设备能够解密内容，从而可以从解密的内容中识别未经授权内容的来源或潜在来源。
技术实现思路
本专利技术的目的是提供一种使用对称密钥加密来验证电子设备或与电子设备相关联的授权的方法和设备。特别地，本专利技术的目的是提供一种用于验证电子设备的授权的方法和设备，该方法和设备使用对称密钥加密，并且减少了传送密钥的必要性。根据本专利技术，这些目的通过独立权利要求的特征来实现。此外，根据从属权利要求和说明书，还提供了更有利的实施例。根据本专利技术，上述目的特别实现于，使用对称密钥加密，由第二电子设备来验证与第一电子设备相关联的授权，在第二电子设备处从第一电子设备接收第一数据消息。第一数据消息包括第一加密数据和第一元数据。第一元数据包括第一密钥空间标识符。所述第一密钥空间标识符定义包括用于生成第一加密数据的第一加密密钥的第一加密密钥分层结构或第一加密密钥分层结构的子集，以及加密密钥分层结构的第一加密密钥的位置信息。在所述加密密钥分层结构中，通过单向函数从较高级别加密密钥和定义较低级别加密密钥在所述加密密钥分层结构中的位置的位置信息导出所述较低级别加密密钥，所述较低级别加密密钥在所述加密密钥分层结构中位于比所述较高级别加密密钥更低的级别。第二电子设备的电路使用从第一电子设备中接收的第一密钥空间标识符，从存储在第二电子设备中的多个机密加密密钥中选择第二加密密钥。第二电子设备的电路通过单向函数从第一电子设备接收的第二加密密钥和位置信息中导出第一加密密钥。第二电子设备的电路使用第一加密密钥解密第一加密数据，以验证与第一电子设备相关联的授权。使用所存储的机密加密密钥和所接收的位置信息，使得第二电子设备能够导出并确定加密密钥，所述加密密钥是第一电子设备请求使用对称密钥加密用于安全通信的。在每个电子设备中只存储一个机密加密密钥的情况下，可以对多个电子设备进行分层密钥管理，其中分层高的电子设备(具有在加密密钥分层结构中最高的“祖先”加密密钥)可以动态并灵活地导出由它们的分层低的电子设备(具有在加密密钥分层结构中较低的分别的“子”加密密钥)所使用的用于对称密钥加密的加密密钥。如果第一加密密钥在加密密钥分层结构中比第二加密密钥低一层以上，则第二电子设备的电路从第二加密密钥中导出在加密密钥分层结构中的直接路径上的任意中间加密密钥给第一加密密钥。换句话说，在加密密钥分层结构中从第二加密密钥到第一加密密钥的直接路径上，第二电子设备的电路通过将单向函数应用于存储在第二电子设备中的第二加密密钥和任何中间加密密钥来导出第一加密密钥。在一个实施例中，第二电子设备从第一电子设备接收第二数据消息。第二数据消息包括第二加密数据和第二元数据。第二元数据包括第二密钥空间标识符。第二密钥空间标识符定义包括用于生成第二加密数据的第三加密密钥的第二加密密钥分层结构或第二加密密钥分层结构的子集，以及第二加密密钥分层结构的第三加密密钥的位置信息。第二电子设备的电路使用从第一电子设备中接收的第二密钥空间标识符，从存储在第二电子设备中的多个机密加密密钥中选择第四加密密钥。第二电子设备的电路通过单向函数从第四加密密钥和从第二数据消息中的第一电子设备中接收的位置信息导出第三加密密钥。第二电子设备的电路使用从第二数据消息中的第一电子设备接收的位置信息，通过单向函数从第二加密密钥导出第一加密密钥。第二电子设备的电路通过使用第一加密密钥解密第一加密数据来产生第一授权数据。第二电子设备的电路通过使用第三加密密钥解密第二加密数据来产生第二授权数据。第二电子设备的电路使用第一授权数据和第二授权数据来验证与第一电子设备相关联的授权。将分别在数据消息中加密的第一和第二授权数据发送给电子设备，并确保用于解密两个数据消息中的加密数据的加密密钥，是使用在第二数据消息中接收到的相同的位置信息，从更高层的加密密钥导出的，使用不同加密密钥分层结构的加密密钥，可以将电子设备的授权与两组不同的授权数据绑定，这两组授权数据可以在不同的时间点分发给电子设备，也可能由不同的授权实体分发。访问权限可以随着第一认证数据被传输一次(静态)，但是授予这些访问权限可能是有条件的，并且取决于随后在稍后时间点(例如定期或根据需要，例如在遭到破坏之后)传输的有效确认。在一个实施例中，解密第一加密数据产生在第一加密数据中加密的访问权限；解密第二加密数据产生在第二加密数据中加密的基于时间数据；第二电子设备的电路使用访问权限和基于时间数据来验证与第一电子设备相关联的授权。在第二加密数据中使用基于时间数据作为第二授权数据，使得能够使第一加密数据中的访问权限具有条件性并本文档来自技高网...

【技术保护点】
1.一种使用对称密钥加密通过第二电子设备(2)来验证与第一电子设备(1)相关联的授权的方法，所述方法包括：/n从所述第一电子设备(1)接收(S4，S4*)位于所述第二电子设备(2)上的第一数据消息(4)，第一数据消息(4)包括第一加密数据(41)和第一元数据(42)，第一元数据(42)包括第一密钥空间标识符，所述第一密钥空间标识符定义包括用于生成第一加密数据(41)的第一加密密钥(11)的第一加密密钥分层结构(6)或第一加密密钥分层结构(6)的子集(61)，以及加密密钥分层结构(6)的第一加密密钥(11)的位置信息，从而在所述加密密钥分层结构(6)中通过单向函数(F)从较高级别加密密钥和定义较低级别加密密钥在所述加密密钥分层结构(6)中的位置的位置信息导出所述较低级别加密密钥，所述较低级别加密密钥在所述加密密钥分层结构(6)中位于比所述较高级别加密密钥更低的级别；/n第二电子设备(2)的电路(20)使用从第一电子设备(1)中接收的第一密钥空间标识符，从存储在第二电子设备(2)中的多个机密加密密钥(21)中选择第二加密密钥(21)；第二电子设备(2)的电路(20)通过单向函数从所述第二加密密钥(21)和从第一电子设备(1)中接收的位置信息中导出(S5)所述第一加密密钥；和/n第二电子设备(2)的电路(20)使用所述第一加密密钥，解密(S6)所述第一加密数据(41)，用于验证与所述第一电子设备(1)相关联的授权。/n...

【技术特征摘要】
【国外来华专利技术】20170718 CH 00936/171.一种使用对称密钥加密通过第二电子设备(2)来验证与第一电子设备(1)相关联的授权的方法，所述方法包括：
从所述第一电子设备(1)接收(S4，S4*)位于所述第二电子设备(2)上的第一数据消息(4)，第一数据消息(4)包括第一加密数据(41)和第一元数据(42)，第一元数据(42)包括第一密钥空间标识符，所述第一密钥空间标识符定义包括用于生成第一加密数据(41)的第一加密密钥(11)的第一加密密钥分层结构(6)或第一加密密钥分层结构(6)的子集(61)，以及加密密钥分层结构(6)的第一加密密钥(11)的位置信息，从而在所述加密密钥分层结构(6)中通过单向函数(F)从较高级别加密密钥和定义较低级别加密密钥在所述加密密钥分层结构(6)中的位置的位置信息导出所述较低级别加密密钥，所述较低级别加密密钥在所述加密密钥分层结构(6)中位于比所述较高级别加密密钥更低的级别；
第二电子设备(2)的电路(20)使用从第一电子设备(1)中接收的第一密钥空间标识符，从存储在第二电子设备(2)中的多个机密加密密钥(21)中选择第二加密密钥(21)；第二电子设备(2)的电路(20)通过单向函数从所述第二加密密钥(21)和从第一电子设备(1)中接收的位置信息中导出(S5)所述第一加密密钥；和
第二电子设备(2)的电路(20)使用所述第一加密密钥，解密(S6)所述第一加密数据(41)，用于验证与所述第一电子设备(1)相关联的授权。


2.根据权利要求1所述的方法，其中该方法进一步包括：第二电子设备(2)从第一电子设备(1)中接收第二数据消息，第二数据消息包括第二加密数据和第二元数据，第二元数据包括第二密钥空间标识符，第二密钥空间标识符定义包括用于生成第二加密数据的第三加密密钥的第二加密密钥分层结构(6)或第二加密密钥分层结构(6)的子集(61)，以及第二加密密钥分层结构(6)的第三加密密钥的位置信息；第二电子设备(2)的电路(20)使用从所述第一电子设备(1)接收到的第二密钥空间标识符，从存储在所述第二电子设备(2)中的多个机密加密密钥中选择第四加密密钥；通过单向函数(F)从第四加密密钥和在第二数据消息中从所述第一电子设备(1)接收的位置信息中，导出第三加密密钥；使用所述第二数据消息中的从所述第一电子设备(1)中接收的位置信息，通过单向函数(F)从第二加密密钥(21)中，导出第一加密密钥；使用所述第一加密密钥，通过解密所述第一加密数据(41)来生成第一授权数据；使用所述第三加密密钥，通过解密第二加密数据来生成第二授权数据；以及使用第一授权数据和第二授权数据，来验证与所述第一电子设备(1)相关联的授权。


3.根据权利要求2所述的方法，其中，解密(S6)所述第一加密数据(41)产生在所述第一加密数据(41)中加密的访问权限，解密所述第二加密数据产生在所述第二加密数据中加密的基于时间数据；以及所述第二电子设备(2)的电路(20)使用所述访问权限和所述基于时间数据来验证与所述第一电子设备(1)相关联的授权。


4.根据权利要求2或3所述的方法，其中，如果在所述第二数据消息中接收的位置信息不同于在所述第一数据消息中接收的位置信息，则第二电子设备(2)不能使用与第二数据消息中接收的位置信息一起导出的第一加密密钥成功地解密第一加密数据(41)，并且所述第二电子设备(2)不能肯定地验证与所述第一电子设备(1)相关联的授权。


5.根据权利要求1-4之一所述的方法，其中还包括，在所述第二电子设备(2)中存储第二加密密钥(21)的位置信息，以及通过第二电子设备(2)的电路(20)确定(S5)第一加密密钥，所述第二电子设备(2)的电路(20)通过单向函数(F)，从存储在第二电子设备(2)中的第二加密密钥(21)、所述第二加密密钥(21)的位置信息以及从第一电子设备(1)接收的位置信息中导出所述第一加密密钥。


6.根据权利要求1-5之一所述的方法，其中，加密密钥分层结构(6)被配置为树结构(60)，并且位置信息定义树结构(60)中的节点(N0-N11)，其中，树结构(60)中的每个节点(N0-N11)代表一个加密密钥，树结构(60)中的根节点(N0)代表主密钥，树结构(60)中，根节点(N0)下一级的节点(N1，N2，N3)代表通过单向函数(F)从主加密密钥导出的加密密钥，树结构(60)中低层的子节点(N1-N11)代表通过单向函数(F)，从由树结构(60)中的子节点(N1-N11)的相应父节点(N0-N7)表示的加密密钥中导出的加密密钥。


7.一种使用对称加密与另一电子设备(2)安全地通信的电子设备(1)，所述电子设备(1)包括电路(10)，所述电路(10)被配置成执行以下步骤：
将包括第一加密数据(41)和第一元数据(42)的第一数据消息(4)传输(S4，S4*)到所述另一电子设备(2)，所述第一元数据(4)包括第一密钥空间标识符，第一密钥空间标识符定义包括用于生成第一加密数据(41)的第一加密密钥(11)的第一加密密钥分层结构(6)或第一加密密钥分层结构(6)的子集(61)，以及第一加密密钥分层结构(6)的第一加密密钥(11)的位置信息，从而在所述加密密钥分层结构(6)中通过单向函数(F)从较高级别加密密钥和定义较低级别加密密钥在所述加密密钥分层结构(6)中的位置的位置信息导出所述较低级别加密密钥，所述较低级别加密密钥在所述加密密钥分层结构(6)中位于比所述较高级别加密密钥更低的级别，第一元数据(42)使另一电子设备(2)能够使用从所述电子设备(1)中接收的第一密钥空间标识符，从存储在另一电子设备(2)中的多个机密加密密钥(21)中选择第二加密密钥(21)，从而通过单向函数(F)从所述第二加密密钥(21)和元数据(42)中包括的位置信息导出所述第一加密密钥(11)，并使用所述第一加密密钥，解密(S6)所述第一加密数据(41)，用于验证与所述电子设备(1)相关联的授权。


8.根据权利要求7所述的电子设备(1)，其中，所述电路(10)进一步被配置为，向另一电子设备(2)传送第二数据消息，第二数据消息包括第二加密数据和第二元数据，第二元数据包括第二密钥空间标识符，第二密钥空间标识符定义包括用于生成第二加密数据的第三加密密钥的第二加密密钥分层结构(6)或第二加密密钥分层结构(6)的子集(61)，以及第二加密密钥分层结构(6)的第三加密密钥的位置信息，使另一电子设备(2)使用从所述电子设备(1)中接收的第二密钥空间标识符，从存储在另一电子设备(2)中的多个机密加密密钥中选择第四加密密钥，另一电子设备(2)通过单向函数(F)从第四加密密钥和从第二数据消息中的所述电子设备(1)中接收的位置信息导出第三加密密钥，另一电子设备(2)使用从第二数据消息中的所述电子设备(1)接收的位置信息，通过单向函数(F)从所述第二加密密钥(21)导出第一加密密钥，另一电子设备(2)通过使用第一加密密钥解密第一加密数据(41)来产生第一授权数据，通过使用第三加密密钥解密第二加密数据来产生第二授权数据，使用第一授权数据和第二授权数据来验证与所述电子设备(1)相关联的授权。


9.根据权利要求8所述的电子设备(1)，其中，解密(S6)所述第一加密数据(41)产生在第一加密数据(41)中加密的访问权限；解密第二加密数据产生在第二加密数据中加密的基于时间数据；和所述另一电子设备(2)能够使用所述访问权限和基于时间数据来验证与所述电子设备(1)相关联的授权。


10.根据权利要求8或9所述的电子设备(1)，其中，如果在第二数据消息中传送的位置信息不同于在第一数据消息中传送的位置信息，所述另一电子设备(2)无法使用与第二数据消息中传送的位置信息一同导出的第一加密密钥成功地解密所述第一加密数据(41)，并且所述另一电子设备(2)不能肯定地验证与所述电子设备(1)相关联的授权。


11.一种计算机程序产品，其包括非瞬态计算机可读介质，所述非瞬态计算机可读介质上存储有计算机程序代码，所述计算机程序代码被配置为控制第一电子设备(1)的电路(10)，用于使用对称密钥加密与第二电子设备(2)安全地通信，使第一电子设备(1)执行以下步骤：
将包括第一加密数据(41)和第一元数据(42)的第一数据消息(4)传输(S4，S4*)到所述另一电子设备(2)，所述第一元数据(4)包括第一密钥空间标识...

【专利技术属性】
技术研发人员：马丁·巴克，
申请(专利权)人：励智识别技术有限公司，
类型：发明
国别省市：瑞士;CH