具有密钥由第三方保存特性的密码系统和方法
2020-01-08

具有密钥由第三方保存特性的密码系统和方法

本发明提供一种具有密钥交第三方保存特性的系统和方法,它使用可检验地将用户私人密码密钥分离为部分并且发送这些部分到由特别用户选择的委托代理的一种方法,以及提供一种系统,该系统使用一种由也能自我证明的芯片设备实施的、现代公用密钥证明管理。在本发明的优选的实施例中,只在符合一定条件时芯片才加密或解密,即:(1)如果输入一个有效的“发送方证明”和一个有效“接收方证明”,这里“有效”意味着特别用户的私人密码密钥以规定数量的第三方保存代理机构可检验地保存,并且主第三方保存中心由芯片制造商登记并证明,和(2)如果由该发送方产生一个有效的消息控制标题并由接收方使其有效,因此给予许可的调查者用于请求和得到第三方保存的密钥的足够信息。本发明的另一个优选实施例提供在多个用户之间产生可检验的委托通信的方法,包括步骤:在委托的第三方保存中心由第三方保存由多个用户使用的多个不对称的密码密钥;在第三方保存中心检验所述多个密钥的每个密钥;根据检验证明所述多个密钥的每个密钥的许可证;和根据所述证明使用所述多个密钥的相应密钥开始来自所述多个用户的每个用户的通信。

(6)使用该发送方自己的公用密钥(来自该发送方自己的公用证明的中间号)加密的加密消息的会话密钥,因此实际上该发送方发送该消息会话密钥给它自己。一旦法律实施从该发送方的第三方保存代理机构得到该发送方的私人密钥分量,就可存取这个消息会话密钥。

为了该公用/私人密钥系统有效地操作,用户必须委托一个集中的密钥检验管理机构负责公开和更新公用密钥的索引簿。该密钥检验管理机构必须由发送方和接收方的所有用户委托,为所有的用户分配正确的公用密钥,使得没有消息发送到不是故意的接收方。为此目的,正如上面所讨论的和在下面详细叙述的,该检验管理机构将分配每个用户的名字和公用密钥信息,而且将它自己的数字签名加在该分配的信息上,以便检验该信息的正确性。但是,当在检验的过程中包含一个以上实体或一系列的实体时,存在着几个不同的方法或“委托模式”用于确定用户将如何处理该证明的。三个主要模式是(1)一个纯系列模式,(2)在多个系列之间使用交叉检验的模式,和(3)一个“本地委托”模式。这些模式在标准文件美国国家标准X9.30“Public Key Cryptography Using Irreversible Algorithms for the FinancialService Industry:Part3:Certificate Management for DSA”(American Bankers Assn.Washington,D.C.,1992年)中详细叙述,引用在这里供参考。虽然还没有对于上述委托模式哪一个是最好的一般的一致的意见,但是认为通过这个公开将建立一个合适的、一般地接受的检验委托模式并且涉及在任何时候都遵守由一个以上实体颁发的证明。

在本发明的另一个实施例中,到法律实施解码器组件的每个第三方保存代理机构的加密密钥片消息的格式可如下:用户的证明号私人密钥片段:X(i)开始监视日期和时间停止监视日期和时间法院允许的宽限期(天数/小时)(这个密钥片消息的)日期和时间第三方保存代理机构签名在这个格式中,除了证明号之外的所有信息可根据解码器组件的密码密钥加密。因为来自第三方保存代理机构密钥片消息对那个特定的解码器组件加密,没有其他的用户或解码器组件可读出它们。此外,“开始监视”和“停止监视”日期和时间指示该解码器组件何时开始监视和解码通信以及何时停止监视;宽限期允许该解码器组件一个附加的规定的时间期间解码任何积压的前面拦截的通信,在此时间期间之后解码器组件必须停止解码和必须清除该对象的私人密钥。因此,在许可证规定的日期之前解码器组件可被用于解密所监视的用户的通信,在该时间解码器组件及其内置时钟防止任何进一步的解密。解码器组件也可拒绝处理消息日期和时间过时12小时(或其它的规定的时间期间)或者具有已经过去的过期的日期和时间的密钥片消息。

在优选实施例中,制造商已经预先设定了委托的设备,因此,除非设备首先接收到物主对设备220的证明,否则就不会产生密钥以及起动第三方保存的程序,如图22所示的,物主证明中包括特定的设备固定序号221和制造商的签名225。在购买时由制造商向设备的团体购买者发出的物主证明还包括团体的名称222,该团体唯一的识别号码223(例如InternalRevenueServiceEmployerIdentificationNumber(EIN)或是Dun&BradstreetNumber(DUNS)),以及团体的公用签名核对密钥224,它对应着由团体保存的私人签名密钥,并且被用来识别由团体向设备发出的重建密钥或是其他指令。设备按顺序接收这一信息,仅在用团体物主的私人签名密钥签发的重建密钥或其他指令与设备的物主证明中所含的公用密钥相符时才作出响应。

分组控制标题(PCH)可由以下构成:原始的主叫方的MSN用户呼叫方码(CPC)(主叫方=0,等等)用户分组顺序号(PSN)偏移呼叫建立的时间(ms)(这个分组的)散列可能最好不发送具有通信的每个分组的PCH,因为在使用短分组的一些系统中导致很重的开销,而只周期地发送PCH。这类似于在网络通信中称为“滑动窗口”的技术,其中不对每个分组而只对大量的分组执行分组编顺序和重试。通常这种系统基于线路噪声动态地调节该“窗口”,或者在差错检查之间发送的分组的数量,即对每条清静的线路使该窗口变大,但对导致许多差错重试的多噪声线路使该窗口变小。如果差错经常出现,小的窗口将要求用户只重发小量的数据;如果差错很少,可不经常地进行检查,虽然在差错情况下重发丢失数据很高。分组控制标题可直接地综合入通信系统的滑动窗口方案中,因此提供希望的能力检查法律实施动作,直到分组级,同时还允许现代通信网络的最大系统通过量。

但是,美国政府已提出作为政府(和可能作为工业的)标准的另一个方法,使它能由第三方保存私人密钥并且监视通信。美国政府已研制一个微电路,称为“削波器芯片”(Clipperchip),它可装入政府和商业生产的电话与计算机设备中。该削波器芯片是一个低费用的芯片,可用于大量密码和密钥管理;顶点芯片(Capstonchip)是削波器芯片的更先进的版本,加上了数字签名和消息摘要能力。像其它的密码系统那样,削波器芯片使用对称密码算法,虽然称为跳跃插座(Skipjack)的一个分类的算法以类似于DES的方法扰频电话和数字计算机数据通信,但是使用一个80比特密钥。每个削波器芯片有一个唯一的顺序号,所有削波器芯片公用的削波器系列密钥及授权的政府代理需要的它自己的对称专用设备密钥,以便解密由包含该芯片的设备编码的消息。在制造包含该芯片的设备时,唯一的专用设备密钥将分为两个分量(称为“密钥片”)并且与在该政府内建立的两个密钥由第三方保存数据库或代理分开地放置。法律实施机构通过获得担保或其它法律管理机构和提供该担保给两个第三方保存代理机构可存取这些专用设备密钥监听或监视该通信。当削波器芯片设备希望通信时,它们首先同意对称会话密钥,以该密钥加密该通信。可以使用导出该对称会话密钥的任何方法如交互式的狄菲--荷尔曼密钥导出过程,和在用户之间传送DES会话密钥的任何方法如RSA。在每个通信的开始,每个用户给另一个用户发送一个法律实施存取字段(LEAF),该字段包含足够的信息允许法律实施机构监听或监视该通信。削波器LEAF的相信的格式示于图13(注意,因为LEAF格式、产生和检验的细节当前由美国政府分类“秘密”,本讨论和图13二者都是预测的)。为了形成LEAF,该会话密钥首先使用专用设备密钥加密;然后该设备密钥加密的会话密钥、发送方设备的顺序号和原始未加密会话密钥的检验和(检验值)一起以削波器系列密钥加密完成该LEAF。然后该消息使用选择的会话密钥进行加密。会话密钥加密的消息和系列密钥加密的LEAF一起发送到该接收器。当收到该通信时,接收用户首先加载接收LEAF的入它的削波器芯片,以便检验LEAF是否有效和在LEAF内加密的会话密钥是否与前面接收的会话密钥相符。如果该LEAF是有效的,削波器芯片将以前面接收到的选择会话密钥解密该消息。

(5)发送方中间号(不同于该发送方的前面的中间号),由该发送方用于给该发送方主第三方保存中心计算用于加密该发送方证明号的该短暂会话密钥。该发送方的主第三方保存中心必须具有这个号,以便计算用于加密该发送方的证明号的该短暂密钥。

D.工作存储器(可以是易失的):公用密钥(所有类型),证明(所有类型),无用数据值,签名数据块,其它的被处理的数据结构。

但是,在决定是否发送加密的消息到预定的接收方时,如果该发送方的设备是由与制造该接收方设备不同的制造商制造的,该发送方不能检验该接收方的公用密码密钥证明的特性或在其上数字签名的特性,接收方的设备由不同的制造商制造的情况会阻止发送方的设备轻易地检验出该制造商的签名或该制造商的证明(它证明签名该接收方密钥第三方保存证明的主第三方保存中心),声明该接收方的主第三方保存中心是有效的并且由那个制造商批准的。否则,接收方的芯片在解密之前将不能对该发送方的证明检验这些条件。需要对双方的第三方保存的实施进行限制,以便使法律实施机构能够合法地拦截和解密由给定的嫌疑用户正在发送和接收的消息,而不必得到另一方的、非监视方的私人密码密钥,以及因此存取非监视方的无关消息。