安全分配公开/秘密密钥对的方法和装置

摘要

公开/秘密密钥对列表存储在服务器中,其中秘密密钥以加密的形式存储,加密是基于主密钥的。为了向新用户分配公开/秘密密钥对,已经访问主密钥的管理员在既方便管理员又方便新用户的客户处理器上从服务器检索下一个有效的公开/秘密密钥对。在客户处理器上,管理员利用主密钥对公开/秘密密钥对的秘密密钥进行解密,并向新用户提供公开和秘密密钥两者。新用户利用自己保密的生物统计或通行语对秘密密钥进行加密。一旦用用户生物统计和通行语密钥加密,就立即从客户处理器上消除秘密密钥。把加密的秘密密钥、相应的公开密钥和新用户的标识传送并存储在服务器中,用于由该新用户和潜地由其他人随后访问。通过使用这种技术,秘密密钥仅在客户处理器中并仅在短时间易于发现。

说明书

发明背景

发明领域

本发明涉及密码技术领域，具体地说，涉及经由网络来分配公开/秘密密钥对中的秘密密钥。

相关技术

随着信息通信的网络系统的使用增加以及对这样的网络系统的潜在访问增加，为在这样的网络系统上安全通信的要求也增加。目前许多系统都可用来对消息进行加密和解密，并可用来确认消息的发方。这样的系统通常采用的加密技术是基于公开/秘密密钥对技术的加密技术，诸如RSA(里韦斯特-沙米尔-阿德莱曼算法)公开密钥密码体制。

在公开/秘密密钥对密码系统中，利用数学方法从秘密密钥生成唯一公开密钥，所述的数学方法反过来应用是非常困难的、甚至是不可能的。也就是说，知道公开密钥不便于确定公开/秘密密钥对中的秘密密钥。在相应的加密系统中以如下一种方式使用公开/秘密密钥对：利用一个密钥加密的文件或消息只能用另外的密钥来解密。(对该文件来说，假设不用适当的密钥就不能解密所加密的消息，即使可能存在某人没有使用授权密钥也可能解密所述消息的某些有穷的数学可能性。)公开/秘密密钥系统被称为非对称加密系统，与对称系统相反，诸如美国国家标准与技术研究院公布的数据加密标准(DES)，其中用同一密钥对消息进行加密和解密。先有技术中常见的另一种非对称密钥系统是ElGamal系统，而其它对称密钥加密系统包括IDEA算法和Blowfish算法。

操作中，向密码系统的用户分配密钥对的公开密钥和秘密密钥。象其名称所隐含的那样，公开密钥是由用户用来自由地分配，而秘密密钥是由用户用来保密时。当他人想发送保密消息给用户时，他人利用用户的公开密钥对所述消息加密，然后把加密的消息发送给用户。用户利用自己的秘密密钥对所述加密的消息进行解密。因为没有秘密密钥无法对所述加密的消息进行解密，因而可以公开地传送所述加密的消息，用户不用担心除自己外的其他任何人能解读所述消息，假设用户保证了秘密密钥的安全。如果他人要向多个用户发送同一消息，则他人利用每一个用户的公开密钥产生多个加密消息。

公开和秘密密钥对的另一种使用是鉴定。鉴定是用于确认消息发送方的方法。通过利用发送方秘密密钥对消息加密来鉴定消息。当接收到消息时，接受方利用发送方的公开密钥对所述消息进行解密。因为所述发送方的公开密钥只能对利用该发送方秘密密钥编码的消息进行解密，所以成功的消息解密是对消息发送方的鉴定，假设发送方保证秘密密钥的安全。

一种可能的鉴定方法是利用用户的秘密密钥对消息的唯一特征进行解密。所述唯一特征是只要所述消息改变它就改变的特征。用户向他人发送消息和加密的特征。他人把发送方的公开密钥应于加密的特征。如果加密的特征与消息的唯一特征相匹配，则确认消息来自所述发送方，再次假设所述发送方保证秘密密钥的安全。

尽管公开/秘密密钥对加密系统的使用提供高级别的安全性，然而安全性高度地依赖于用来保证各个用户秘密密钥安全的安全方法。特别关心的是对秘密密钥产生、分配、存储和检索的处理。为了保证秘密密钥不会从公开密钥中辩别出来，传统上，公开和秘密密钥是非常大的数字；例如，RSA利用200位之多的位数。C..J.Holloway于1996年10月16日申请的、1998年4月22日公开的、序号为GB2318486A的英国专利申请“利用公开密钥密码技术的数据通信”公开了一种用于以加密的形式在服务器中存储用户秘密密钥的方法，用于用户随后的检索和解密，但详细说明了最好应该在用户计算机(客户一服务器网络中的客户处理器)上产生秘密密钥，以便限制秘密密钥的暴露。通常，产生真正安全的公开/秘密密钥对需要重要的计算资源和真正随机数源。为了避免可能因允许网络环境中每一个用户产生公开/秘密密钥对而造成的控制费用和损失，通常由网络的管理员利用例如物理上与所述网络和其它系统隔开的专用处理器来产生公开/秘密密钥对。利用这种方法，经由诸如手交文件或包含有公开/秘密密钥的软盘等的安全交付手段把公开/秘密密钥对分配给每一个新用户。尽管比提供所述资源使得各个用户直接产生公开/秘密密钥费用更低，然而手交分配系统使用困难，但至今需要，特别是在通信通道易受未授权或不适当监视的网络环境中。

发明简述

本发明的目的是提供一种用于在网络环境中安全地分配秘密密钥的方法。本发明的另一个目的是提供一种用于在网络环境中安全地存储秘密密钥的方法。本发明的又一个目的是提供一种用于在网络环境下安全地检索秘密密钥的方法。本发明的再一个目的是提供一种便于在客户-服务器环境中安全分配、存储和检索秘密密钥的服务器处理器。本发明的又一个目的是提供一种便于在客户-服务器环境中安全分配、存储和检索秘密密钥的客户处理器。本发明的又一个目的是提供一种便于在多个客户处理器中安全分配、存储和检索秘密密钥的客户-服务器系统。

通过在服务器存贮公开/秘密密钥对列表来达到这些及其它目的，其中秘密密钥是以加密的形式储存的，所述加密是基于主密钥的。为了给新用户分配公开/秘密密钥对，已经访问主密钥的管理员在方便于管理员和用户的客户处理器上检索服务器中的下一个有效公开/秘密密钥对。在该客户处理器上，管理员利用主密钥对公开/秘密密钥对的秘密密钥进行解密，并向该新用户提供公开密钥和秘密密钥。最好在该客户会话期间，该新用户利用自己保密的且不易忘记的密码、通行语或生物统计信息对所述秘密密钥进行加密。刚一用用户不易忘记的密钥加密完就立即把所述秘密密钥从客户处理器中消去。把所述加密后的秘密密钥、相应的公开密钥和该新用户的标识传送并存储到服务器，用于由该用户及可能其他人随后的访问。通过使用这种方法，只有在客户处理器中且只有短暂的时间才容易看出所述秘密密钥。

附图简述

参考附图，举例来对本发明作更详细的描述，附图中：

图1说明包括服务器处理器和多个客户处理器的典型网络通信系统；

图2说明按照本发明的用于分配和存储公开/秘密密钥对的典型服务器处理器和客户处理器；

图3说明按照本发明的用于检索秘密密钥的典型服务器处理器和客户处理器；

图4说明按照本发明的用于分配和存储公开/秘密密钥对的流程图。

详细描述

图1描述包括服务器处理器150和客户处理器111-114的网络系统100。各个客户处理器11l-114与服务器处理器150通信，并可以彼此通信，以及与其它网络170通信。网络系统100可以是局域网、家庭控制网、专用网、诸如因特网的公共网等。客户-服务器网尤其在资源利用方面具有显著的优点。为便于理解，下文将公司网作为网络系统的范例。象新成员加入公司时，考虑向公司网添加新用户。如上所述，管理员按常规在安全处理器上为新成员生成公开/秘密密钥对，并把包含所分配的公开/秘密密钥对的软盘交给新员工。

图2描述典型的服务器处理器和客户处理器，它说明网络环境下用于分配公开/秘密密钥对的安全处理。在本发明的最佳实施例中，服务器150包含括公开/秘密密钥对的列表260，其中秘密密钥是以加密的形式存储的。处理器270可以是服务器150的一部分，也可以独立服务器150，处理器270包括公开/秘密密钥对发生器280和对与各个公开密钥281相对应的秘密密钥282进行加密的加密器290，所述加密是基于主密钥M201的。为便于理解，在此把经过主密钥M201的加密作为对称加密，以致象下面所讨论的那样，可以用同一个主密钥M对秘密密钥282解密。本领域的技术人员会明白，也可以使用非对称编码，其中利用与秘密主密钥M′相对应的公开密钥来加密秘密密钥，并由此可以通过该秘密主密钥M′来解密。

当要求把公开/秘密密钥对分配给新用户时，具有主密钥M201的管理员通过既方便于管理员又方便于新用户的客户处理器111来访问服务器150。(为便于参考，选择图1中的客户处理器111的标号用于图2的解说目的，尽管客户处理器111-114中任何一个都包含图2中说明的部分。)。管理员通过客户处理器111访问服务器处理器150，并采用传统的服务器访问和下载方法，通过发射器264和接收器210接收有效密钥对列表260的下一个有效的公开密钥和加密的秘密密钥对。把加密的秘密密钥211提供给解密器220。管理员把主密钥M201提供给解密器220，以便解密器220能对加密的秘密密钥211进行解密来产生与公开密钥212相对应的秘密密钥221。随后利用专门给新用户的密钥U对该秘密密钥221再度加密。然后从客户处理器中消除秘密密钥221。在最佳实施例中，解密器220和加密器230被集成为单独的功能单元，以便最少地暴露秘密密钥221。用来再度加密秘密密钥221的密钥U可以是一个生物统计密钥，基于例如新用户的指纹或视网膜纹(retina print)。由Michael Epstein于1998年12月14日申请的、代理人档案号为PHA 23548、序号为09/211 155的同时待审的美国专利申请“保持生物统计信息完整的生物统计标识机制”中公开了一种用于安全传送生物统计信息的方法，并结合引用于此。密钥U可以基于用户产生的密码或通行语，它比例如二百位的RSA秘密密钥221易于记忆。在加密器230中使用对称加密，以便必要时可以用同样的生物统计数据、或记住的口令或通行语对秘密密钥221进行解密。

公开密钥212和相应的加密的密钥231与对应于该密钥对的新用户标识(ID)203一道通过发射器240和接收器268发送而存贮在服务器150处理器上的列表265中。这样，当网络的其他用户想要向该新用户发送安全通信时，其他用户能访问列表265来获得该新用户的公开密钥212，并因此对所述通信进行加密。同样，如果其他用户还通过用自己的秘密密钥对所述通信进行加密来鉴定所述通信，则该新用户可以通过从服务器150上分配的公开密钥列表265检索所述其他用户的公开密钥来确认所加密的通信的发送方。

应该指出，按照本发明的这一方面，用户秘密密钥221只在需要把该用户秘密密钥加密成加密的秘密密钥231时以未加密的形式出现，而其它所有时间以加密的形式存储和通信。还应该指出，尽管本发明提供经由网络系统来分配秘密密钥，然而只在客户处理器111内产生和使用所述未加密的形式，而永远不会出现在服务器上，也不会出现在任何网络通信路径中。由于认为客户处理器111本地是安全的，所以按照本发明的秘密密钥分配不会对秘密密钥的安全增加另外的危险。

在服务器150上存储加密的秘密密钥231方便于在任何客户处理器111-114上使用用户秘密密钥，而不用在各个客户处理器111-114上存储各个用户的秘密密钥221。图3说明按照本发明的用于检索秘密密钥221的典型服务器处理器150和客户处理器112。为便于参考，选择图1中客户处理器112的标号用于图3的解说目的，以便说明它可能是不同于图2中说明的产生加密的秘密密钥231的客户处理器111的客户处理器。在最佳实施例中，每一个客户处理器111-114都包含图3的那些部分。各图中具有相同标号的部分基本上执行同样的功能。

图3中，用户(未示出)通过发射器240和接收器268把用户ID203提供给服务器处理器150。响应中，服务器处理器150通过发射器264和接收器210把与用户ID203有关的加密的秘密密钥231传送给客户处理器112。用户把用来对用户秘密密钥221进行加密的用户密钥U202提供给用来提供解密的秘密密钥321的解密器320，仅在提供适当的用户密钥U202的情况下，解密的秘密密钥321与原来的用户秘密密钥221相匹配。

利用该解密的秘密密钥321，用户可以象下面那样对用用户公开密钥212编码的加密的消息360进行解密。客户处理器112通过接收器210′接收加密的消息360。该接收器210′可以是用于与服务器处理器150进行通信的接收器210，或者是用于与例如在发送方位置(未示出)的其它发射器进行通信的其它接收器。解密器350利用解密的秘密密钥321对加密的消息360进行解密。由于利用用户公开密钥212对加密的消息360进行了加密，因而只有在解密的秘密密钥321与原来的用户秘密密钥221相匹配的情况下，该加密的消息360将被适当地解密。因此，只有拥有适当的用户密钥U202者可以对通过与用户ID203标识的用户相对应的公开密钥212加密的消息360进行解码。

用户也可以象下面那样利用加密的秘密密钥321来“标记”’消息。加密器340利用解密的秘密密钥321来对消息390进行加密，以便形成加密的消息341，并通过发射器240′从客户处理器112发送。该发射器240′可以是用于与服务器处理器150进行通信的发射器240，或者是用于与例如在预期接收方位置(未示出)的其它接收器进行通信的其它发射器。此后，预期接收方将利用用户公开密钥212对加密的消息341进行解密。应该指出，只在用来对消息390的进行加密的秘密密钥321与用户秘密密钥221相一致的情况下，将通过用户公开密钥212对消息390进行解密。因此，只有拥有合适的用户密钥U202者可以用能证实与用户标识ID203一致的签名来标记消息390。

在实现了对消息的适当解密或标记后，从客户处理器112消除解密的秘密密钥321。在最佳实施例中，解密器320、350和加密器340集成在一起，以便最少暴露解密的秘密密钥321。

应该指出，按照本发明的这一方面，用户秘密密钥221只在需要对消息进行解密和标记时以解密的形式321出现，而其它所有时间以加密的形式存储和通信。

图4说明按照本发明的用于分配和存储公开/秘密密钥对的典型流程图，包括用于访问主密钥M的附加安全措施。一般来说，主密钥M应该是包括许多位数的增强密钥(robust key)，并且只能由授权的管理员访问。虽然基于诸如指纹或视网膜纹等人的生物统计的密钥，用来允许访问特定人通常是最佳的，但所述主密钥M不应与特定管理员的特征相结合，因为该管理员可能被替换或者可能增加其他管理员。为了实现基于特定人的密钥的安全，然而不是使该密钥基于该特定人，在本发明的最佳实施例中，主密钥M201是以加密的形式存储在服务器150上，该加密是基于具体针对各个管理员的密钥A。包括每一个管理员的标识的列表465和用于每一个管理员的主密钥M201的加密在图4中示出。

按照本发明的这一方面，在客户处理器111的管理员向服务器处理器150提交标识402，对此作出反应，服务器处理器从管理员列表465中返回一个与所述标识402相对应的编码的主密钥411。管理员通过提供合适的管理员密钥A401经由解密器420对编码的主密钥411进行解密。如同前面所提到的用户密钥U201一样，用于对主密钥M201进行加密和解密的密钥A401可以是例如基于管理员指纹或视网膜纹的生物统计密钥；或者，可以是由管理员创建的便于记忆的密码或通行语。

象上文讨论的以及这里为完整而介绍的那样，在管理员请求时，从服务器处理器250的列表260传送下一个有效公开密钥212和加密的秘密密钥211。解密的主密钥M201用在解密器220中对加密的秘密密钥211进行解密，以便产生与公开密钥212相对应的秘密密钥221。利用用户密钥U202，秘密密钥221在加密器230中再度被加密，并被传送到服务器处理器150而与公开密钥212和用户标识203一起存贮在列表265中。

象图4的流程图表明的那样，主密钥M201和秘密密钥221只出现在正由用户和管理员使用的客户处理器111上，以便向该用户分配公开密钥212和秘密密钥221。因此，主密钥M201和秘密密钥221的安全性高，甚至对服务器150和客户处理器111之间的通信数据的访问也可以公开给其它多个共用户。应该指出，在服务器150和客户处理器111之间传送的仅有数据是加密的数据411、211和231，公开可用的信息402、203和212。

以上所述仅仅是说明本发明的原理。因此会理解到，本领域的技术人员可以设计各种方案，虽然在此没有清楚地描述或示出这些方案，但这些方案体现本发明的原理，因此这些方案不超出后附权利要求书的精神和范围。