[發(fā)明專利]保護加密系統(tǒng)中的控制向量有效
| 申請?zhí)枺?/td> | 201280025794.6 | 申請日: | 2012-05-15 |
| 公開(公告)號: | CN103563289A | 公開(公告)日: | 2014-02-05 |
| 發(fā)明(設計)人: | R·V·基斯利;T·W·阿諾德;C·D·弗雷爾 | 申請(專利權)人: | 國際商業(yè)機器公司 |
| 主分類號: | H04L9/08 | 分類號: | H04L9/08;H04L9/14 |
| 代理公司: | 北京市中咨律師事務所 11247 | 代理人: | 于靜;張亞非 |
| 地址: | 美國*** | 國省代碼: | 美國;US |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 保護 加密 系統(tǒng) 中的 控制 向量 | ||
背景技術
本發(fā)明涉及數(shù)據(jù)處理,更具體地說,涉及加密方法和結構。
安全軟件供應商具有專用的密鑰管理數(shù)據(jù)結構和控制機制,以便幫助實施客戶密鑰管理策略。這些數(shù)據(jù)結構稱為密鑰令牌或密鑰塊。最近,隨著對增加安全性的需要的增長,不同實體開始使用來自不同供應商的多種密鑰管理數(shù)據(jù)結構。這導致需要不同供應商的此類多種密鑰管理數(shù)據(jù)結構系統(tǒng)之間的接口。
因此,通過美國國家標準協(xié)會(ANSI)X9工作組開發(fā)一種技術報告(TR),以便創(chuàng)建一種用于在相關方之間進行密鑰交換的格式。該格式稱為TR-31,并且指定標準化密鑰塊的布局包括用于密鑰類型、算法和控制的數(shù)個數(shù)據(jù)字段以及包裝機制,這些包裝機制使用另一個密鑰將密鑰包裝為放置在密鑰塊之后的有效負載中的不透明數(shù)據(jù)塊。包裝機制指定一種方法,該方法以加密方式將密鑰控制信息綁定到密鑰塊中作為包裝機制的一部分。具體地說,TR-31密鑰塊定義用于密鑰使用、密鑰管理和包裝信息的屬性字段以及數(shù)個用于其它用途的其它字段。但是,TR-31密鑰塊未指定用于將專用密鑰數(shù)據(jù)結構映射到TR-31密鑰塊的方法。
例如,給定啟用加密的計算系統(tǒng)可以包括實現(xiàn)公共加密體系結構(CCA)的硬件安全模塊(HSM),CCA指定密鑰控制信息的字節(jié)數(shù)組(即,控制向量(CV)),CV在密鑰令牌中以加密方式綁定到加密密鑰。在這種情況下,CV控制HSM安全邊界內(nèi)部的密鑰控制信息,并且涉及密鑰使用和密鑰管理,其中數(shù)據(jù)表示密鑰類型、密鑰子類型、密鑰管理策略和密鑰使用策略。密鑰類型是可以使用密鑰實現(xiàn)的廣泛能力,例如對數(shù)據(jù)進行加密和/或解密,對密鑰進行包裝或解包,計算或檢驗消息驗證代碼,用于各種金融活動,例如對PIN信息進行加密或解密,以及生成或檢驗PIN信息。密鑰子類型是在密鑰類型支持的操作中針對密鑰能力的限制,例如將密鑰限于僅用于對數(shù)據(jù)進行加密或者對數(shù)據(jù)進行解密,但不用于這兩者。密鑰管理策略控制可如何分發(fā)(或者不分發(fā))密鑰,例如是否可以將密鑰導出到另一個系統(tǒng),并且如果可以,其是否可以在被包裝在TR-31密鑰塊中時導出。密鑰使用策略控制可如何在類型和子類型施加的這些限制之外使用密鑰,這些限制例如包括針對可以處理的數(shù)據(jù)類型的限制(對于將成為加密/解密密鑰的密鑰),或者針對可以與密鑰一起包裝的密鑰類型的限制(對于將用于對其它密鑰進行包裝/解包的密鑰)。如上所述,未指定用于將此類CCA?CV數(shù)據(jù)轉換為適用于TR-31密鑰塊的表示的方法。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個方面,提供一種計算機程序產(chǎn)品,并且所述計算機程序產(chǎn)品包括有形存儲介質(zhì),所述有形存儲介質(zhì)可由處理電路讀取并且其上存儲指令以便由所述處理電路執(zhí)行以執(zhí)行一種方法。所述方法包括:驗證傳遞到參數(shù)數(shù)據(jù)庫的參數(shù);計算控制向量(CV)數(shù)據(jù)所需的長度;根據(jù)所述計算的結果準備可選塊;將所述CV轉換為用于標準化密鑰塊的格式,同時將所轉換的CV復制到所述可選塊中;以及更新所述標準化密鑰塊中的可選塊數(shù)據(jù)。
根據(jù)本發(fā)明的另一個方面,提供一種方法。所述方法包括:驗證傳遞到參數(shù)數(shù)據(jù)庫的參數(shù);計算控制向量(CV)數(shù)據(jù)所需的長度;根據(jù)所述計算的結果準備可選塊;將所述CV轉換為用于標準化密鑰塊的格式,同時將所轉換的CV復制到所述可選塊中;以及更新所述標準化密鑰塊中的可選塊數(shù)據(jù)。
根據(jù)本發(fā)明的另一個方面,提供一種系統(tǒng)。所述系統(tǒng)包括被配置為執(zhí)行一種方法的處理電路。所述方法包括:驗證傳遞到參數(shù)數(shù)據(jù)庫的參數(shù);計算控制向量(CV)數(shù)據(jù)所需的長度;根據(jù)所述計算的結果準備可選塊;將所述CV轉換為用于標準化密鑰塊的格式,同時將所轉換的CV復制到所述可選塊中;以及更新所述標準化密鑰塊中的可選塊數(shù)據(jù)。
通過本發(fā)明的技術實現(xiàn)其它特性和優(yōu)點。在此詳細描述了本發(fā)明的其它實施例和方面,并且這些實施例和方面被視為要求保護的本發(fā)明的一部分。為了更好地理解本發(fā)明以及優(yōu)點和特性,將參考說明書和附圖。
附圖說明
現(xiàn)在僅通過實例的方式參考附圖描述本發(fā)明的一個或多個實施例,這些附圖是:
圖1是計算系統(tǒng)的示意圖;
圖2是密鑰塊字段的圖;
圖3是示出在導出操作中映射密鑰信息的方法的流程圖;
圖4是示出構建可選塊的方法的流程圖;
圖5是示出保護可選塊中的控制向量的方法的流程圖;
圖6是示出在導入操作中映射密鑰信息的方法的流程圖;以及
圖7是示出解析可選塊數(shù)據(jù)的方法的流程圖。
具體實施方式
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國際商業(yè)機器公司,未經(jīng)國際商業(yè)機器公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201280025794.6/2.html,轉載請聲明來源鉆瓜專利網(wǎng)。
