【技术实现步骤摘要】
【国外来华专利技术】多方计算的密钥管理
技术介绍
密码术用于维护信息安全,信息安全继而用于通过互联网等网络进行的许多通信。在大多数密码系统中,密码密钥或密码密钥对用于加密和解密消息。如果密码密钥没有被盗,则即使存在窃听者,各方也可安全地彼此通信。在计算机系统中,密码术在密码认证、私人消息接发和电子商务等方面起着重要作用。密码密钥可存储在硬件安全模块中,以防止密码密钥被盗。这些硬件安全模块可以是设计成保护密码密钥的物理计算装置,包括安全密码处理芯片。然而,为了执行密码操作,通常需要从硬件安全模块检取密码密钥。通常,每当密码密钥被检取时,密码密钥会被导入到不如硬件安全模块安全的计算环境中,从而增大密码密钥被盗或泄漏给窃听者的风险。具体地说,最近的软件开发趋势引起对第三方云计算系统的广泛采用。组织不在其自身集中式网络上托管或服务,而是越来越多地将其服务托管在第三方云上。这会产生安全问题,对于密码操作或服务来说尤为如此。通常,为了在云平台上执行传统的密码操作,组织必须将其密码密钥交给不受所述组织控制的第三方(即云提供商)。密码密钥驻存在云基础设施中的存储器中,而所述组织无法保证密码密钥不能被窃听者或另一恶意第三方检取。或者,密码密钥可保持在硬件安全模块中,并且可在每一次进行密码操作时由基于云的密码应用程序访问。以此方式,密码密钥不会被传送到云中。然而,每一次从硬件安全模块检取密码密钥都会使密码密钥暴露(无论怎么短暂)。另外,时延和通信开销可极大地增加执行密码操作所需的时间量,从而极大地降低密码服务的效率并增加其实施成本。本专利 ...
【技术保护点】
1.一种方法,包括:/n由第一计算机节点从密钥管理计算机接收第一密钥份额;/n由所述第一计算机节点从客户端计算机接收初始消息;/n由所述第一计算机节点将所述初始消息传送给第二计算机节点;/n由所述第一计算机节点生成混淆电路、基于所述第一密钥份额和所述混淆电路的第一混淆密钥份额以及基于所述初始消息和所述混淆电路的混淆消息;/n由所述第一计算机节点将所述混淆电路、所述第一混淆密钥份额和所述混淆消息传送给第三计算机节点,其中所述第三计算机节点还从所述第二计算机节点接收基于存储于所述第二计算机节点处的第二密钥份额和所述混淆电路的第二混淆密钥份额,/n这使所述第三计算机节点通过将所述第一混淆密钥份额、所述第二混淆密钥份额和所述混淆消息输入到所述混淆电路而生成后续消息并将所述后续消息传送给所述第一计算机节点;以及/n由所述第一计算机节点将所述后续消息或其衍生内容传送给所述客户端计算机。/n
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:
由第一计算机节点从密钥管理计算机接收第一密钥份额;
由所述第一计算机节点从客户端计算机接收初始消息;
由所述第一计算机节点将所述初始消息传送给第二计算机节点;
由所述第一计算机节点生成混淆电路、基于所述第一密钥份额和所述混淆电路的第一混淆密钥份额以及基于所述初始消息和所述混淆电路的混淆消息;
由所述第一计算机节点将所述混淆电路、所述第一混淆密钥份额和所述混淆消息传送给第三计算机节点,其中所述第三计算机节点还从所述第二计算机节点接收基于存储于所述第二计算机节点处的第二密钥份额和所述混淆电路的第二混淆密钥份额,
这使所述第三计算机节点通过将所述第一混淆密钥份额、所述第二混淆密钥份额和所述混淆消息输入到所述混淆电路而生成后续消息并将所述后续消息传送给所述第一计算机节点;以及
由所述第一计算机节点将所述后续消息或其衍生内容传送给所述客户端计算机。
2.根据权利要求1所述的方法,其中所述混淆电路是第一混淆电路,其中所述混淆消息是第一混淆消息,并且其中所述第三计算机节点还从所述第二计算机节点接收第二混淆电路以及基于所述初始消息和所述第二混淆电路的第二混淆消息。
3.根据权利要求2所述的方法,其中所述第三计算机节点确定所述第一混淆电路与所述第二混淆电路匹配以及所述第一混淆消息与第二混淆消息匹配。
4.根据权利要求1所述的方法,还包括:
由所述第一计算机节点基于所述后续消息和所述混淆电路生成解除混淆的后续消息。
5.根据权利要求1所述的方法,其中所述初始消息是明文,并且所述后续消息或其衍生内容是密文。
6.根据权利要求1所述的方法,其中所述密钥管理计算机从存储在硬件安全模块中的密钥生成所述第一密钥份额。
7.根据权利要求1所述的方法,其中所述密钥管理计算机形成所述第一密钥份额和所述第二密钥份额。
8.根据权利要求1所述的方法,其中所述第一计算机节点、所述第二计算机节点和所述第三计算机节点全都处于同一内部部署处。
9.根据权利要求1所述的方法,其中所述第一计算机节点、第二计算机节点和第三计算机节点是分布式计算网络的部分。
10.一种第一计算机节点,包括:
处理器;以及
耦合到所述处理器的非瞬态计算机可读介质,所述非瞬态计算机可读介质包括能由所述处理器执行以实施方法的代码,所述方法包括:
从密钥管理计算机接收第一密钥份额;
从客户端计算机接收初始消息;
将所述初始消息传送给第二计算机节点;
生成混淆电路、基于所述第一密钥份额和所述混淆电路的第一混淆密...
【专利技术属性】
技术研发人员:O·格里博,S·纳加桑达拉姆,
申请(专利权)人:维萨国际服务协会,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。