專利名稱:加密與解密方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及加密和解密�����;更準確地說,涉及在加密/解密方案中證書的有效附加����。
廣義來說,諸如尋呼這樣的無線應(yīng)用的有效尋呼和安全性具有相反的約束����。一方面,尋呼使用其非實時功能去組合消息以便有效地降低無線帶寬的無效使用��。另一方面��,諸如加密這樣的安全性措施一般添加到正在通過空中傳輸?shù)男畔⒅?�。增加的用戶?shù)和信息的平均大小的增加(包括文本���、傳真���、音頻甚至視頻信息)只是進一步對所提供的有限帶寬的使用施加了約束��。
在用于從發(fā)送器到接收器傳送帶有簽字的安全信息的常規(guī)過程中�,方法10中的步驟一般如以下參照
圖1所描繪的���。首先用戶在步驟12生成文本信息�����。然后����,用戶在步驟14使用單向函數(shù)(例如����,安全散列函數(shù))產(chǎn)生文本信息的摘要。然后通過在步驟20使用他的簽字或?qū)S妹荑€對摘要進行的第一加密�����,用戶在步驟18附加他的簽字���,并通過非對稱引擎16使之運行��,專用密鑰一般對應(yīng)于在可跟蹤的證書26中可找到的公共密鑰�����。然后在步驟22附加信息和數(shù)字簽字�。然后在步驟27把帶有簽字24的信息連接到可跟蹤的證書26,以便生成可鑒定的信息28�。然后使用對稱引擎30和對話密鑰32對可鑒定的信息28加密,以便提供加密的信息40����。使用接收器的非對稱公共密鑰34及非對稱引擎36對對話密鑰32(通常是隨機對稱密鑰)本身加密�����,以便生成數(shù)字信封38�。然后加密的信息40在步驟42被附加到數(shù)字信封38以生成帶有信封的加密的信息加簽字加證書44。
參見圖2�����,典型的解密過程以把帶有信封的加密的信息加簽字加證書44的各成分�,分開(46)為加密的信息56和數(shù)字信封48開始�����。數(shù)字信封48最好與圖1的數(shù)字信封38相同���。對話密鑰54(對話密鑰54與圖1的對話密鑰32最好相同)由接收器使用他們的專用密鑰52(對應(yīng)于接收器的專用密鑰34)恢復(fù),并通過非對稱引擎49使用專用密鑰52運行數(shù)字信封48����。使用對話密鑰54解密帶有簽字的加密信息56。換言之����,使用對話密鑰54通過對稱引擎58運行解密的信息56,以獲得可鑒定的信息60(這應(yīng)當(dāng)與圖1的可鑒定信息28相同)��。這樣�,如以下幾個步驟所見,接收器能夠確認(到合理的程度)信息發(fā)送器的身份�����。然后���,可鑒定的信息被分為(62)證書64和分開的簽署信息68��,分別對應(yīng)于圖1的證書26和簽署的信息24��。簽署的信息68本身還將被分開(70)為可讀的文本信息80和數(shù)字簽字72���,分別對應(yīng)于圖1的信息12和數(shù)字簽字18����。從證書64抽取發(fā)送器的公共密鑰66�,然后用它把簽字解密為摘要77。換言之�,使用發(fā)送器的公共密鑰使數(shù)字簽字72通過非對稱引擎74以提供摘要77,這應(yīng)當(dāng)是實際摘要的拷貝�����。通過相同的(散列)函數(shù)(如圖1的步驟14)使文本信息80運行�,以檢索實際的摘要79�����。在步驟76實際的摘要79和摘要77進行比較���,以檢驗真實的簽字����。注意,在以上的例子中���,證書嵌入到加密的信息中����,從而大大增加了加密信息的大小��。
圖1是已知的用于發(fā)送信息的加密方法的流程圖����。
圖2是已知的用于接收信息的解密方法的流程圖。
圖3是根據(jù)本發(fā)明實施例的加密方法的流程圖��。
圖4是根據(jù)本發(fā)明的另一實施例的加密方法的另一流程圖���。
圖5是根據(jù)本發(fā)明的證書服務(wù)器的框圖����。
參見圖3�����,其中示出一種有效的加密和解密方法,包括在發(fā)送單元使用信息密鑰112加密要發(fā)送到接收單元的信息102的步驟�����。然后�����,使用接收器的公共密鑰110在發(fā)送單元把信息密鑰附加到信息上����。這一步驟最好包含通過使用單向函數(shù)104產(chǎn)生信息的摘要,并使用發(fā)送器的專用密鑰106加密摘要而添加簽字�����,以便生成簽署的信息這樣一些步驟�����,專用密鑰對應(yīng)于嵌入在發(fā)送器證書(116)中的公共密鑰���。然后在第一服務(wù)器附加一個發(fā)送器證書。然后,在第二服務(wù)器抽取發(fā)送器證書(134)�,并然后在接收單元使用接收器專用密鑰140解密信息密鑰,以便提供解密的信息密鑰����。然后,使用解密的信息密鑰解密信息��。此外�,該方法還包括使用發(fā)送器-接收器對話密鑰108加密簽署信息而提供加密的簽署信息,并在接收器處使用另一發(fā)送器-接收器對話密鑰142對加密的簽署信息進行解密這樣一些步驟����。最好使用從第一服務(wù)器檢索的接收器的公共密鑰對發(fā)送器-接收器對話密鑰進行加密,并作為信封把它連接到簽署的信息����。
在本發(fā)明的另一實施例中,使用發(fā)送服務(wù)器和接收服務(wù)器���,從發(fā)送器向接收器有效傳送帶有信封的加密簽署信息的方法��,包括以下步驟使用服務(wù)器對服務(wù)器對話密鑰118加密證書以生成加密的證書����,并使加密的證書與包含服務(wù)器對服務(wù)器對話密鑰的信封連接,而服務(wù)器對服務(wù)器對話密鑰是以接收服務(wù)器非對稱公共密鑰120加密的���,以便生成加密的帶有信封證書�,并然后把帶有信封的加密的簽署信息與帶有信封的加密的證書連接��。該方法能夠進一步包含以下步驟使用接收服務(wù)器的專用密鑰130解密服務(wù)器對服務(wù)器對話密鑰��,以及把證書從帶有信封的加密的簽署信息分開����,并進一步使用服務(wù)器對服務(wù)器對話密鑰132解密證書。此外���,該方法能夠包含在接收服務(wù)器處從證書抽取發(fā)送器公共密鑰的步驟�。在接收單元處�,信封能夠從加密的簽署信息分開,其中信封被解密以提供發(fā)送器-接收器對話密鑰�����。而且���,能夠使用發(fā)送器-接收器對話密鑰去解密簽署信息和簽字���。如以下進一步詳細說明,能夠使用發(fā)送器的公共密鑰把在接收器處的簽字解密為摘要�,供與信息相關(guān)的簽字的鑒定之用。這樣�����,通過使信息通過單向函數(shù)分離信息并獲得實際的摘要����,該摘要與通過使用發(fā)送器公共密鑰解密簽字而找到的摘要進行比較,從而進行鑒定�。
又,參見圖3�,方法100示出在沒有向接收單元傳送證書的情形下,加密信息如何從發(fā)送單元發(fā)送到接收單元�����,這當(dāng)發(fā)送單元和接收單元之間的通路是無線時是特別有用的��。如前所述�����,在步驟102用戶生成文本信息,并然后在步驟104使用單向函數(shù)(例如安全散列)產(chǎn)生文本信息摘要�。用戶在步驟105使用他的簽字密鑰通過非對稱引擎106加密摘要,并把結(jié)果附加在信息上��,從而形成他的簽字���,其中簽字密鑰一般是對應(yīng)于在最好是可跟蹤證書這樣的證書中找到的公共密鑰的專用密鑰����。然后在步驟108使用發(fā)送器-接收器對話密鑰(通常是隨機對稱密鑰)對簽署的信息加密��。在步驟110使用接收器的公共密鑰對發(fā)送器-接收器對話密鑰本身加密�����,并在步驟109作為信封連接到簽署的信息上�。在步驟108和110最好使用隨機信源114產(chǎn)生密鑰。接收器公共密鑰能夠駐留在密鑰文件112中�,或如果需要最好從發(fā)送器證書數(shù)據(jù)庫116中抽取。在步驟118使用服務(wù)器-服務(wù)器對話密鑰(通常是隨機對稱密鑰)對可跟蹤證書或發(fā)送器證書(116)加密���,并然后在步驟119連接到帶有信封的加密的簽署的信息上��。這可選地是與發(fā)送器-接收器密鑰相同的對話密鑰����,但是需要對服務(wù)器進行確認。在步驟120使用接收服務(wù)器的非對稱公共密鑰對發(fā)送器-接收器對話密鑰(通常也是隨機對稱密鑰)自身加密����,并在步驟121連接到帶有信封加加密證書的加密簽署的信息上����。在步驟118和120最好使用隨機信源122產(chǎn)生密鑰。
在接收端(從服務(wù)器到服務(wù)器的觀點來看)���,在步驟130通過接收服務(wù)器使用其非對稱專用密鑰來恢復(fù)加密的服務(wù)器到服務(wù)器對話密鑰��。在步驟123和127從帶有信封的加密的簽署信息(124或125)分開加密的證書(126)���,并在步驟132使用對話密鑰解密。最好從證書數(shù)據(jù)庫134中的證書抽取發(fā)送器公共密鑰�����,如果必要��,通過向密鑰文件136發(fā)送所需的信息供后來比較以作出鑒定�。鑒定最好涉及允許跟蹤授權(quán)簽署源的可跟蹤證書��,以便驗證證書的持有者�。嵌入在證書中的信息能夠包含鏈接可跟蹤授權(quán)層的較高授權(quán)的簽字�。這樣,通過檢驗可證明證書真實性的授權(quán)的簽字而進行鑒定�,并然后把公共密鑰與某些已經(jīng)被鑒定的標識信息和證明歸入密鑰文件中。如果接收器已經(jīng)具有公共密鑰�,則服務(wù)器除了對接收器鑒別適當(dāng)?shù)墓裁荑€(發(fā)送器的)之外,不采取任何行動����。如果接收器沒有任何密鑰,則服務(wù)器可能發(fā)送整個的證書或只是一部分證書(例如公共密鑰)��,作為發(fā)送和接收雙方之間的相互認可��。然后��,在步驟137從加密的簽署信息(139)分開信封(138)�,并在步驟142由接收器使用發(fā)送器-接收器對話密鑰對其解密。對話密鑰(142)用來解密信息加簽字�。在步驟143信息從簽字分開之后,在步驟148使用發(fā)送器公共密鑰(該密鑰如果還沒有得到可從密鑰文件136獲得)解密簽字(146)���,以提供摘要(152)�。信息被分開(144和145)并通過單向函數(shù)154以便獲得信息的實際摘要156。把摘要152與實際摘要156進行比較以驗證真實的簽字����。注意,簽字的鑒定是可選的�����,但是對于金融應(yīng)用是特別需要的��。
如上所述�����,不是通過發(fā)送嵌入在入站信息中的證書�����,而是使證書或目錄服務(wù)器從文件附加證書�,可降低越空業(yè)務(wù)量����。一般來說,與整個信息和簽字只有幾百位相比,這些證書長度有上千位�����。通常證書通過加密覆蓋��,以便對交易者提供某種程度的私密性���。
實際上�����,服務(wù)器向發(fā)送器或接收器或兩者提供公共密鑰(非對稱密鑰)證書目錄服務(wù)��,與先有的方案比較這是新的結(jié)構(gòu)�。對稱加密表現(xiàn)在發(fā)送單元(傳信裝置)和接收單元之間����,并標以“端到端對話”。這是可選的��,但如果需要交易的私密性而不只是鑒定和簽字的私密性�����,則很可能要使用。這一加密因為其簡單和有效而很可能是對稱的��,但是非對稱的也可使用��。
在發(fā)送器和服務(wù)器或載波之間沒有示出尋址�����、控制和鑒定信息��,但是這些對于傳信的目的是必須的���。鑒定用在服務(wù)器和裝置之間以保證服務(wù)器的安全�����,裝置是真實的信源以便能夠附加真實的證書?��?刂茖?zhí)行這樣一些功能��,諸如處理和投送的優(yōu)先性����、安全性等級、及其它輔助功能��。如果出現(xiàn)����,可能在清除中或通過服務(wù)器-裝置加密進行尋址。由于私密性在日常事物中變得越來越多����,故甚至在使用廣播媒體時尋址可能也要需要防止窺視的眼睛。
參見圖5�,供無線通信使用的遠程證書服器300,包括用于接收帶有信封的加密無線信息的發(fā)送器服務(wù)器部分302�����,以及用于存儲加密無線信息的存儲器304����。發(fā)送器服務(wù)器部分還包括用于以服務(wù)器到服務(wù)器對話密鑰加密證書以便提供加密證書的處理器306。處理器306還把加密的證書結(jié)合到帶有信封的加密的無線信息中�,以便提供加密的證書和帶有信封的無線信息。處理器306還使用接收器服部分的非對稱公共密鑰來加密服務(wù)器到服務(wù)器對話密鑰����,以提供加密的服務(wù)器到服務(wù)器對話密鑰���,其中加密的服務(wù)器到服務(wù)器對話密鑰被附加到加密的證書和帶有信封的無線信息中。遠程證書服務(wù)器300還包括接收器服務(wù)器部分310���,用于接收附加到加密的證書和帶有信封的無線信息中的加密的服務(wù)器到服務(wù)器對話密鑰��。接收器服務(wù)器部分310最好包括存儲器308�����,用于存儲附加到加密的證書和帶有信封的無線信息中的加密的服務(wù)器到服務(wù)器對話密鑰�;以及處理器309���,用于使用對應(yīng)于接收器服務(wù)器部分的非對稱公共密鑰的非對稱專用密鑰來恢復(fù)服務(wù)器到服務(wù)器對話密鑰���,并用于從帶有信封的加密的無線信息中分開加密的證書,并用于對加密的證書解密����。應(yīng)當(dāng)注意��,遠程證書服務(wù)器300的發(fā)送器服務(wù)器部分302和接收器服務(wù)器部分310能夠通過所需有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)硬連接或耦合在一起�。
接收器公共密鑰或接收單元的證書必須從服務(wù)器轉(zhuǎn)移到發(fā)送器��。服務(wù)器能夠發(fā)送整個證書����,并允許發(fā)送器鑒定嵌入的信息�����,或者發(fā)送器和服務(wù)器能夠具有置信的相互關(guān)系��,允許發(fā)送器對于圖3中步驟112所示的密鑰文件中的位置剛好獲得證書的密鑰部分����。為了盡量減少后來的問題,服務(wù)器還應(yīng)當(dāng)通知密鑰的過期或有效性�����,并為了盡量減少后來的業(yè)務(wù)量�,發(fā)送器和服務(wù)器應(yīng)當(dāng)在表示證書持有者諸如標簽或名字的令牌上一致。
參見圖3���,如前面所指出的��,末端到末端對話密鑰可以是對稱的�。一般來說,對稱密鑰需要附加的同步化(例如開始向量)信息��,以便正確地工作�。這一點圖中沒有明顯示出。這也適用于服務(wù)器-服務(wù)器對話密鑰�。證書(加任何附加的路由和中繼信息)由這一對話密鑰覆蓋。這一密鑰的同步化信息可從末端-末端對話密鑰的同步化或已經(jīng)在信道上的其它信息推導(dǎo)����,以便降低開銷。密鑰本身可以是用于末端-末端對話的相同的密鑰�����,但這將生成潛在的安全問題����。這問題在于,服務(wù)器應(yīng)當(dāng)有充分的能力對信息進行解密���。如果兩個服務(wù)器對發(fā)送器和接收器兩者都是置信的����,則這不構(gòu)成問題�。避免這一問題的及一般的解決辦法應(yīng)當(dāng)要求服務(wù)器-服務(wù)器對話密鑰相對末端-末端對話密鑰是唯一的。
接收器和接收服務(wù)器能夠是一個并是同一實體����,使得壽命簡單。發(fā)送器證書能夠與入站信息分開并被鑒定(未示出)和歸檔���。當(dāng)傳信裝置是這種信息的接收器時�,能夠類似地降低越過空中的業(yè)務(wù)量���。但是這多少更困難一些����。發(fā)送器在其整體中的證書由接收器保有或就是發(fā)送器的密鑰���。除非必需����,發(fā)送服務(wù)器不會隨意(suthomatically)發(fā)送證書�����,在很多情形下這將只對證書的單一傳輸降低業(yè)務(wù)量。進而����,接收器和接收服務(wù)器可以與業(yè)務(wù)量的考慮限制較少的有線網(wǎng)絡(luò)連接。當(dāng)傳信裝置僅具有密鑰時��,信息可被解密��,但喪失了可跟蹤性����,除非整個的證書由傳信裝置保有直到被驗證為止。類似地���,服務(wù)器和發(fā)送服務(wù)器能夠是一個并且是同一實體����,特別是如果沒有來自發(fā)送器的無線通路����。
接收服務(wù)器可以是置信的或非置信的。如果是置信的�,則傳信裝置僅保有密鑰。如果是非置信的���,則傳信裝置保有整個證書���。對于非置信存儲器上的蘊含和裝置中的處理要求至少在證書鑒定時暫時有大得多的能力�。一旦被驗證�����,則只需保持密鑰及其期限�。通過空中的業(yè)務(wù)量也增加�����,以便允許證書向接收者的傳輸及他們來自最終權(quán)威結(jié)機構(gòu)的鑒定的傳輸��。服務(wù)器能夠剔除不必要的證書���,而只發(fā)送以前從未發(fā)送過的那些證書����。這象是發(fā)送服務(wù)器的處理或帶有標簽或名字的接收器證書����。即使證書已經(jīng)被發(fā)送過,如果接收器沒有識別出服務(wù)器使用的標簽和名字,則它也能夠刷新證書或密鑰�。參見圖4可以看到幾個這種實施例的例子。
圖4示出用于從發(fā)送單元向接收單元發(fā)送信息方法的另外的實施例�����。具體來說����,方法200表示加密的信息如何從發(fā)送單元向接收單元發(fā)送,而不必在每次發(fā)送信息時向接收單元傳輸證書���。如前所述��,用戶在步驟202生成文本信息��,并然后在步驟204使用單向函數(shù)(例如安全散列)產(chǎn)生文本信息的摘要��。用戶通過使用其簽字密鑰通過對稱引擎206對摘要加密來形成它的簽字��,并在步驟205把結(jié)果附加到信息中�����,其中簽字密鑰一般是對應(yīng)于在可跟蹤證書中找到的公共密鑰的專用密鑰���。然后在步驟208使用發(fā)送器-接收器對話密鑰(或末端-末端對話密鑰)(通常是隨機對稱密鑰)加密簽署的信息���。在步驟210使用接收器公共密鑰對發(fā)送器-接收器對話密鑰本身加密,并在步驟209作為信封連接到簽署的信息中����。在步驟208和210最好使用隨機信源214產(chǎn)生密鑰����。接收器公共密鑰能夠駐留在密鑰文件212中,或必要時最好從發(fā)送器證書數(shù)據(jù)庫216中抽取���。
在步驟211�����,發(fā)送單元能夠直接向接收單元發(fā)送帶有信封的簽署的信息�,而不需要來自服務(wù)器的任何其它東西���。例如����,如果以前在發(fā)送單元和接收單元之間發(fā)送過信息,則接收單元可能已經(jīng)有可用來鑒定信息的證書(在接收單元)���。另外�����,接收單元為鑒定信息可能只需要來自密鑰文件(231)的密鑰�。換言之����,接收單元可能只需要來自證書的部分信息(而不是整個證書),這將有助于降低在諸如兩個經(jīng)常通信者��,諸如銷售商和經(jīng)常的購買者之間看到的空中業(yè)務(wù)量�。
這樣在本發(fā)明的一個實施例中,信息從發(fā)送單元到接收單元的發(fā)送(211)可能需要另一通路213���,其中在步驟223信息與加密的可跟蹤證書或帶有信封的發(fā)送器的證書(216)連接����。最好在步驟218使用服務(wù)器-服務(wù)器對話密鑰(通常是隨機對稱密鑰)加密證書216����,并然后在步驟221與接收服務(wù)器的公共密鑰220連接��,以便提供帶有信封的加密的證書����。在步驟218和220最好使用隨機信源222產(chǎn)生密鑰���。帶有信封加密的信息和帶有信封加密的證書能夠或者如前對圖3所述那樣通過類似的解密算法運行����,或者加密的信息能夠通過步驟225取另一路由227到接收單元���,其中不需要來自接收服務(wù)器的任何信息或只需最小信息去解密和/或鑒定加密的信息。
在需要整個證書或證書的一部分的情形下����,在步驟229信封與加密的證書被分開。使用接收服務(wù)器的專用密鑰224鑒定服務(wù)器發(fā)送信息�,并使用服務(wù)器-服務(wù)器對話密鑰226解密存儲在證書數(shù)據(jù)庫228中的證書。證書或證書適當(dāng)?shù)牟糠?諸如密鑰)能夠轉(zhuǎn)發(fā)給密鑰文件231����,用于后來由接收單元進行的鑒定。帶有信封的簽署的加密信息或是由通路211或是277發(fā)送�����,在步驟233信封從簽署加密的信息分開。在步驟232接收器公共密鑰用來剔除信封�,并在步驟234末端-末端對話密鑰解密簽署的加密信息。在步驟235簽署的加密信息本身再次被分開為信息和簽字����。信息通過散列函數(shù)240獲得信息的實際的摘要242。在步驟236使用發(fā)送器的公共密鑰解密簽字以獲得摘要244����。然后摘要244與實際的摘要242進行比較以驗證真實的簽字。還要注意���,簽字的鑒定是可選的��,但是特別對于金融方面的應(yīng)用是需要的�。
圖4示出根據(jù)本發(fā)明的另外兩個實施例�����。在第一種情形下���,信息不帶證書地被加密�。并被發(fā)送到接收單元(211),同時各服務(wù)器分開地(由發(fā)送單元觸發(fā))通信和決定證書的拷貝是否需要發(fā)送到接收單元(如所示最好以加密的形式)����。然后接收服務(wù)器解密、存儲�����、并發(fā)送接收單元所需的證書或證書的密鑰�。在第二種情形下,對信息加密并然后附加到證書中����。證書本身最好由服務(wù)器加密。然后加密的信息以及加密的證書被發(fā)送到接收服務(wù)器�����,其中接收服務(wù)器分拆證書���、對其加密、存儲并把證書或密鑰發(fā)送到接收單元����。
在本發(fā)明的廣義方面���,使用發(fā)送服務(wù)器和接收服務(wù)器從發(fā)送器向接收器有效地傳輸簽署的信息的方法包括步驟從發(fā)送單元發(fā)送簽署的信息供接收單元接收,并然后把在第一服務(wù)器處的發(fā)送器的證書附加到簽署的信息上����。發(fā)送器的證書及甚至簽署的信息可選地被加密。在第二服務(wù)器����,抽取發(fā)送器的證書,并使用從發(fā)送器證書抽取的一組信息在接收單元接收和讀取這樣簽署的信息����。這組信息最好從名字、公共密鑰���、簽字機構(gòu)��、期限日期���、有效期、發(fā)放日期��、控制號碼、或其它適當(dāng)?shù)男畔⒔M抽取�����。
能夠接收或連接到智能卡的個人管理單元(PMU)或用戶單元在本發(fā)明權(quán)利要求書的意圖之內(nèi)���。實際的實現(xiàn)能夠包括帶有供插入智能卡接頭的PMU�����,或者帶有供由電纜連接到PMU的智能卡用的分開的接口單元的PMU����,或者帶有固定的或可拆卸的嵌入的智能卡的PMU����。證書服務(wù)器可作為自包含單元(甚至包含在PMU內(nèi)部),或者作為傳信開關(guān)內(nèi)運行的軟件程序(尋呼或傳信終端)����,或者整個作為傳信系統(tǒng)域之外的外部開關(guān)來實現(xiàn)。假設(shè)證書服務(wù)器將為充分的可兼容協(xié)議支持而提供對應(yīng)的實體����,包括適當(dāng)?shù)募用芊桨负蛯ψ罱K權(quán)威機構(gòu)的訪問的使用以便鑒定。
應(yīng)當(dāng)理解�,透露的實施例僅是示例性的,并且本發(fā)明不限于此�����。業(yè)內(nèi)專業(yè)人員將能夠理解�,在如所附權(quán)利要求書定義的本發(fā)明的范圍和精神之內(nèi)能夠作出各種變形和修改。
權(quán)利要求
1.一種用于有效加密和解密的方法�����,包括以下步驟在發(fā)送單元使用信息密鑰加密要發(fā)送到接收單元的信息�����;在發(fā)送單元把使用接收器的公共密鑰加密的信息密鑰附加到信息上���;然后在第一服務(wù)器附加發(fā)送器的證書���;在第二服務(wù)器抽取發(fā)送器證書;在接收單元使用接收器的專用密鑰解密信息密鑰以便提供解密的信息密鑰��;然后使用解密的信息密鑰解密信息�。
2.根據(jù)權(quán)利要求1的有效加密和解密方法,其中加密信息的步驟還包括添加簽字的步驟,通過使用單向函數(shù)產(chǎn)生信息的摘要并使用專用密鑰加密摘要以生成加密的簽署信息�����,專用密鑰對應(yīng)于嵌入發(fā)送器證書的公共密鑰�����。
3.根據(jù)權(quán)利要求1的方法�,其中的方法還包括使用服務(wù)器對話密鑰加密帶有服務(wù)器證書信息以提供帶有證書的加密的信息的步驟,并在第二服務(wù)器使用服務(wù)器對話密鑰解密帶有證書的加密信息的步驟��。
4.一種使用發(fā)送服務(wù)器和接收服務(wù)器從發(fā)送器向接收器有效傳送帶有信封的加密簽署信息的方法��,接收服務(wù)器使用非對稱公用-專用密鑰對��,該方法包括以下步驟使用服務(wù)器到服務(wù)器對話密鑰加密證書以生成加密的證書����,并把加密的證書與包含以接收服務(wù)器非對稱公共密鑰加密的服務(wù)器到服務(wù)器對話密鑰的信封連接,以便生成帶有信封的加密的證書���;以及把加密的帶有信封的簽署信息連接到帶有信封的加密的證書中����。
5.根據(jù)權(quán)利要求4的方法�����,其中該方法還包括使用接收服務(wù)器專用密鑰解密服務(wù)器到服務(wù)器對話密鑰的步驟���。
6.根據(jù)權(quán)利要求5的方法����,其中該方法還包括從加密的帶有信封的簽署信息分開證書�����,并進而使用服務(wù)器到服務(wù)器對話密鑰解密證書的步驟���。
7.根據(jù)權(quán)利要求6的方法����,其中該方法還包括在接收服務(wù)器從證書抽取發(fā)送器的公共密鑰的步驟����。
8.根據(jù)權(quán)利要求8的方法,其中該方法還包括在接收器從加密的簽署信息分開信封并解密信封以提供發(fā)送器-接收器對話密鑰的步驟����。
9.一種供無線通信中使用的遠程證書服務(wù)器���,包括一個用于接收加密的帶有信封的無線信息的發(fā)送器服務(wù)器部分,包括一個用于存儲加密的無線信息的存儲器���;以及一個用于以服務(wù)器到服務(wù)器對話密鑰加密證書以便提供加密的證書并用于把加密的證書附加到加密的帶有信封無線信息中以便提供帶有信封的加密的證書和無線信息的處理器�����,該處理器還通過使用接收器服務(wù)器部分的非對稱公共密鑰來加密服務(wù)器到服務(wù)器對話密鑰�����,以提供加密的服務(wù)器到服務(wù)器對話密鑰��,其中加密的服務(wù)器到服務(wù)器對話密鑰被附加在帶有信封的加密的證書和無線信息中����。
10.根據(jù)權(quán)利要求9的遠程證書服務(wù)器����,其中遠程證書服務(wù)器還包括接收器服務(wù)器部分,用于接收附加在加密的證書和帶有信封的無線信息中的加密的服務(wù)器到服務(wù)器對話密鑰��,其中接收器服務(wù)器部分包括一個存儲器,用于存儲附加在加密的證書和帶有信封的無線信息中的加密的服務(wù)器到服務(wù)器對話密鑰��;以及一個處理器����,用于使用對應(yīng)于接收器服務(wù)器部分非對稱公共密鑰的非對稱的專用密鑰����,來恢復(fù)服務(wù)器到服務(wù)器對話密鑰,用于把加密的證書從加密的帶有信封的無線信息分開���,并用于對加密的證書解密����。
11.一種使用發(fā)送服務(wù)器和接收服務(wù)器從發(fā)送器向接收器有效傳送帶有信封的加密簽署信息的方法��,接收服務(wù)器使用非對稱公用-專用密鑰對�,該方法包括以下步驟從發(fā)送器向接收器發(fā)送加密的簽署信息,發(fā)送器在發(fā)送服務(wù)器和接收服務(wù)器之間觸發(fā)詢問��,看證書是否需要向接收器傳送���;如果沒有先前的證書接收或如果證書過期或發(fā)生其它方式的無效�����,則向接收器發(fā)送證書�,否則按發(fā)送服務(wù)器和接收服務(wù)器之間的詢問確定,發(fā)送所需證書的部分���;以及按接收器的需要解密證書或證書的一些部分�����。
12.根據(jù)權(quán)利要求11的方法��,其中如果發(fā)送服務(wù)器和接收服務(wù)器之間詢問確定��,證書需要被發(fā)送到接收器�,則該方法還包括以下步驟使用服務(wù)器到服務(wù)器對話密鑰加密證書以生成加密的證書���,并把加密的證書與包含以接收服務(wù)器非對稱公共密鑰加密的服務(wù)器對服務(wù)器對話密鑰的信封連接��,以便生成帶有信封的加密的證書�;以及把加密的帶有信封的簽署信息連接到帶有信封的加密的證書中��。
13.一種使用發(fā)送服務(wù)器和接收服務(wù)器從發(fā)送服器到接收器有效傳送簽署的信息的方法,該方法包括步驟從發(fā)送單元發(fā)送簽署的信息以便在接收單元接收��;然后在第一服務(wù)器把發(fā)送器證書附加到簽署信息上�����;在第二服務(wù)器抽取發(fā)送器的證書�����;以及在接收單元接收簽署的信息����,并在接收單元使用一組來自發(fā)送器證書的信息讀取該信息��。
全文摘要
一種有效加密和解密的方法(100)包括以下步驟:使用信息密鑰(106)在發(fā)送單元對要被發(fā)送到接收單元的信息(104)進行加密,并在發(fā)送單元使用接收器的公共密鑰(110)把加密的信息密鑰附加到該信息上(108和109)�。然后,發(fā)送器的證書(116)在第一服務(wù)器(302)被附加并在第二服務(wù)器(310)被抽取。然后在接收單元使用接收器專用密鑰(140)對信息密鑰解密以便提供解密的信息密鑰���。然后使用解密的信息密鑰(142和143)對信息解密,并通過比較一對摘要(152和156)進行鑒定��。
文檔編號H04L29/06GK1249096SQ98802839
公開日2000年3月29日 申請日期1998年1月9日 優(yōu)先權(quán)日1997年1月31日
發(fā)明者特林斯·艾德華·薩穆納 申請人:摩托羅拉公司