專(zhuān)利名稱(chēng):用于對(duì)密碼保護(hù)的有效數(shù)據(jù)單元加速解密的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及ー種方法和一種系統(tǒng)��,它們用于對(duì)密碼保護(hù)的有效數(shù)據(jù)単元加速解密��,尤其是用于對(duì)混合加密的數(shù)據(jù)加速解密���。
背景技術(shù):
在經(jīng)過(guò)傳輸通道將數(shù)據(jù)從發(fā)送裝置傳輸?shù)浇邮昭b置吋,這些數(shù)據(jù)在很多情況下都會(huì)被加密傳輸��,以便防止未授權(quán)的第三方讀取這些數(shù)據(jù)��。公知了各種加密法�,尤其是非對(duì)稱(chēng)及對(duì)稱(chēng)加密法。在傳統(tǒng)的混合加密法中����,將非對(duì)稱(chēng)加密與對(duì)稱(chēng)加密進(jìn)行組合����。因此,首先借助非対稱(chēng)加密法對(duì)生成的對(duì)話(huà)密碼非對(duì)稱(chēng)地加密并緩存。利用這個(gè)生成的未加密的對(duì)話(huà)密碼���,在使用對(duì)稱(chēng)加密法的情況下將實(shí)際要進(jìn)行傳輸?shù)挠行?shù)據(jù)加密�����,并且在緩存后經(jīng)過(guò)傳輸通道傳輸給接收裝置�����。在接收裝置方面以相應(yīng)的方式實(shí)現(xiàn)解密����。使用混合加密法��,使得這些有效數(shù)據(jù)一方面利用非対稱(chēng)加密法被加密�,其中該過(guò)程允許非對(duì)稱(chēng)的密鑰管理�����,并且另一方面由于使用了對(duì)稱(chēng)加密法���,因此用于對(duì)有效數(shù)據(jù)進(jìn)行加密和解密的計(jì)算能力的高特性或者低要求可以被充分利用�����。非対稱(chēng)密鑰管理法使用了密鑰對(duì)��,其由用于加密的公共密鑰和用于解密的私人密鑰組成�����。由于使用了非対稱(chēng)密鑰管理法����,所以無(wú)需對(duì)在非対稱(chēng)加密法中使用的公共密鑰保密。在使用的密鑰長(zhǎng)度的安全等級(jí)差不多吋���,與非対稱(chēng)加密法相比���, 針對(duì)有效數(shù)據(jù)使用對(duì)稱(chēng)加密法和對(duì)稱(chēng)解密法會(huì)提高數(shù)據(jù)傳輸率。在傳統(tǒng)的混合加密法中��,在許多實(shí)際應(yīng)用情況中����,混合加密法中的公共密鑰 (Public-Key)部分是ー個(gè)性能瓶頸。這尤其表現(xiàn)在帶密碼的方法的軟件執(zhí)行吋�����,例如在嵌入式系統(tǒng)�、微控制器和智能卡中。因此���,在使用混合加密法的傳統(tǒng)系統(tǒng)中���,在許多情況下會(huì)使用特殊的硬件,例如長(zhǎng)整數(shù)運(yùn)算器�����、密碼處理器或者硬件乘法器���,用于使公共密鑰計(jì)算或者非対稱(chēng)地加密和解密加速進(jìn)行����。在非対稱(chēng)地加密和解密過(guò)程中執(zhí)行的公共密鑰操作或者說(shuō)計(jì)算步驟都很復(fù)雜�,并且需要很大的計(jì)算能力或者說(shuō)十分耗時(shí)。
發(fā)明內(nèi)容
因此��,本發(fā)明的目的在于實(shí)現(xiàn)ー種方法�����,該方法能夠加速混合加密法,而不會(huì)明顯提高對(duì)其中使用的線(xiàn)路的計(jì)算量或者說(shuō)復(fù)雜度的要求��。根據(jù)本發(fā)明��,該目的通過(guò)具有權(quán)利要求1所述特征的方法來(lái)實(shí)現(xiàn)��。本發(fā)明實(shí)現(xiàn)了ー種用于對(duì)密碼保護(hù)的有效數(shù)據(jù)単元加速解密的方法�����,其具有以下步驟(a)如果對(duì)接收到的���、帶密碼的密鑰(K.)的附屬的密鑰標(biāo)識(shí)(K^ID)檢查得出���, 接收裝置中存在的帶密碼的密鑰(Kot)仍未解密,那么由接收裝置借助私人密鑰(Kpkiv)對(duì)接收到的非対稱(chēng)加密的密鑰(ENC-Kcjem)進(jìn)行解密���;并且(b)利用該接收裝置中存在的帶密碼的密鑰(Kot)���,或者如果在接收裝置中不存在所述帶密碼的密鑰(Kra)時(shí),則利用借助私人密鑰(Kpkiv)解密的帶密碼的密鑰(Kot)對(duì)接收到的用密碼加密的有效數(shù)據(jù)単元(ENC-NDE )進(jìn)行解密。
在根據(jù)本發(fā)明的方法的一個(gè)實(shí)施方式中�����,如果對(duì)接收到的密鑰標(biāo)識(shí)檢查得出����,在該接收裝置中仍不存在附屬的帶密碼的密鑰���,那么借助私人密鑰解密的帶密碼的密鑰連同其附屬的密鑰標(biāo)識(shí)一起被存儲(chǔ)起來(lái)��。在根據(jù)本發(fā)明的方法的一個(gè)實(shí)施方式中�����,有效數(shù)據(jù)単元由軟件組件制造商O(píng)EM的軟件組件構(gòu)成����。在根據(jù)本發(fā)明的方法的ー個(gè)可能的實(shí)施方式中���,帶密碼的密鑰Kra由軟件組件制造商的對(duì)話(huà)密鑰構(gòu)成����。在根據(jù)本發(fā)明的方法的ー個(gè)可能的實(shí)施方式中��,密鑰標(biāo)識(shí)由相應(yīng)的帶密碼的密鑰的散列值或者測(cè)驗(yàn)值構(gòu)成。在根據(jù)本發(fā)明的方法的ー個(gè)可能的實(shí)施方式中���,該密鑰標(biāo)識(shí)由發(fā)送裝置的隨機(jī)數(shù)發(fā)生器生成的隨機(jī)值構(gòu)成�����。在根據(jù)本發(fā)明的方法的一個(gè)可替代的實(shí)施方式中�����,密鑰標(biāo)識(shí)由發(fā)送裝置的計(jì)數(shù)器生成的計(jì)數(shù)值構(gòu)成�����。在根據(jù)本發(fā)明的方法的一種實(shí)施方式中��,加密的有效數(shù)據(jù)単元�、附屬的非対稱(chēng)加密的帶密碼的密鑰和其密鑰標(biāo)識(shí)通過(guò)網(wǎng)絡(luò)或者以存儲(chǔ)在數(shù)據(jù)載體上的形式由發(fā)送裝置傳輸給接收裝置��。在根據(jù)本發(fā)明的方法的一種實(shí)施方式中����,發(fā)送裝置由軟件組件制造商的、用于開(kāi)發(fā)軟件組件的開(kāi)發(fā)裝置構(gòu)成。在根據(jù)本發(fā)明的方法的ー種可能的實(shí)施方式中���,接收裝置由應(yīng)用者的�����、用于執(zhí)行軟件組件的目標(biāo)系統(tǒng)裝置構(gòu)成����。在根據(jù)本發(fā)明的方法的ー種可能的實(shí)施方式中���,接收裝置由可編程存儲(chǔ)控制裝置構(gòu)成。本發(fā)明還實(shí)現(xiàn)了一種用于對(duì)密碼保護(hù)的有效數(shù)據(jù)単元加速解密的系統(tǒng)��,具有(a)發(fā)送裝置(2)��,其具有-用于借助公共密鑰(KpuB)非対稱(chēng)地對(duì)帶密碼的密鑰Kra)加密的第一加密單元��;-用于借助帶密碼的密鑰(Kot)對(duì)至少一個(gè)有效數(shù)據(jù)單元(NDE)加密的第二加密單元����;和-端ロ,用于提供加密的有效數(shù)據(jù)単元(ENC-NDE)���、所述非對(duì)稱(chēng)加密的密鑰 (ENC-Koem)和帶密碼的密鑰(Kcjem)的附屬的密鑰標(biāo)識(shí)(K^ID)�;(b)傳輸裝置,其用于傳輸加密的有效數(shù)據(jù)単元(ENC-NDE)���、非対稱(chēng)加密的密鑰 (ENC-Koem)和帶密碼的密鑰(Κ_)的所述附屬的密鑰標(biāo)識(shí)(K.ID)�����;和(c)接收裝置���,其具有-檢驗(yàn)單元,其用于根據(jù)接收到的密鑰標(biāo)識(shí)(K^ID)檢查傳輸?shù)姆菍澐Q(chēng)加密的密鑰(ENC-Kot)是否已經(jīng)以解密的形式存在于接收裝置中�;-第一解密單元,如果對(duì)帶密碼的密鑰(Kot)的附屬的密鑰標(biāo)識(shí)(KcmfID)檢查得出�����,加密接收到的帶密碼的密鑰(Kot)仍未以解密的形式存在于接收裝置中���,那么第一解密単元借助私人密鑰(Kpkiv)對(duì)接收到的非対稱(chēng)加密的密鑰(ENC-Kcjem)進(jìn)行解密���;-第二解密單元,其利用接收裝置中已經(jīng)以解密的形式存在的帶密碼的密鑰(Kqem) 或者利用由第一解密單元解密的帶密碼的密鑰(Kot)對(duì)接收到的密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密�。本發(fā)明還實(shí)現(xiàn)了一種發(fā)送裝置���,其具有-用于借助公共密鑰(KpJ非対稱(chēng)地對(duì)帶密碼的密鑰(Kra)加密的第一加密單元;-用于借助該帶密碼的密鑰(Kra)對(duì)至少一個(gè)有效數(shù)據(jù)單元(NDE)加密的第二加密單元���;和-端ロ�,用于提供該加密的有效數(shù)據(jù)単元(ENC-NDE)�����、非対稱(chēng)加密的密鑰 (ENC-Koem)和該帶密碼的密鑰(Kcjem)的附屬的密鑰標(biāo)識(shí)(K^ID)����。本發(fā)明還實(shí)現(xiàn)了一種接收裝置��,其具有-檢驗(yàn)單元�����,用于根據(jù)接收到的密鑰標(biāo)識(shí)(Kra_ID)檢查傳輸?shù)姆菍澐Q(chēng)加密的密鑰 (ENC-Kra)是否已經(jīng)以解密的形式存在于接收裝置中����;-第一解密單元,如果對(duì)帶密碼的密鑰(Kra)的附屬的密鑰標(biāo)識(shí)(Kra_ID)檢查后得出�,加密接收到的帶密碼的密鑰(Kot)仍未以解密的形式存在�,那么該第一解密單元借助私人密鑰(Kpkiv)對(duì)接收到的非対稱(chēng)加密的密鑰(ENC-Kot)進(jìn)行解密�����;和-第二解密單元�,其利用接收裝置中已經(jīng)以解密的形式存在的帶密碼的密鑰(Kqem) 或者利用由第一解密單元解密的帶密碼的密鑰(Kot)對(duì)接收到的用密碼加密的有效數(shù)據(jù)單元(ENC-NDE)進(jìn)行解密。
下面����,參照附圖對(duì)根據(jù)本發(fā)明的系統(tǒng)的根據(jù)本發(fā)明的方法的可能的實(shí)施方式進(jìn)行說(shuō)明。圖1示出了用于描述根據(jù)本發(fā)明的方法的ー種可能的實(shí)施方式的流程圖����;圖2示出了用于描述根據(jù)本發(fā)明的系統(tǒng)的ー種可能的實(shí)施方式的框圖。
具體實(shí)施例方式如可以從圖1中識(shí)別出的�����,加密的數(shù)據(jù)傳輸包括一種根據(jù)本發(fā)明對(duì)密碼保護(hù)的有效數(shù)據(jù)NDE加速解密的方法��,其中���,在六個(gè)步驟Sl至S6中實(shí)現(xiàn)的數(shù)據(jù)傳輸在步驟S5����,S6中包含了根據(jù)本發(fā)明的解密方法。在第一步驟Sl中����,首選生成帶密碼的密鑰。這個(gè)帶密碼的密鑰尤其可以是軟件組件制造商O(píng)EM(原始設(shè)備制造商)的帶密碼的密鑰�。這個(gè)生成的帶密碼的密鑰在步驟Sl 中配有附屬的密鑰標(biāo)識(shí)Kra-ID。在進(jìn)行傳輸?shù)末`種可能的實(shí)施方式中���,密鑰標(biāo)識(shí)Kra-ID由相應(yīng)的帶密碼的密鑰Kot的散列值或測(cè)驗(yàn)值構(gòu)成或者說(shuō)計(jì)算出�����。在一個(gè)可替換的實(shí)施方式中����,密鑰標(biāo)識(shí)Kot-ID由生成的隨機(jī)數(shù)構(gòu)成�����,該隨機(jī)數(shù)例如由發(fā)送裝置的隨機(jī)生產(chǎn)器生成�����。在另ー個(gè)可能的實(shí)施方式中�,密鑰標(biāo)識(shí)Kcjem-ID由發(fā)送裝置內(nèi)部的計(jì)數(shù)器生成的計(jì)數(shù)值構(gòu)成。在步驟Sl中生成該帶密碼的密鑰Kqem以及附屬的密鑰標(biāo)識(shí)之后��,在步驟S2中通過(guò)發(fā)送裝置借助帶密碼的公共密鑰Kpub對(duì)生成的帶密碼的密鑰Kot進(jìn)行非対稱(chēng)加密�。在另ー個(gè)步驟S3中,至少ー個(gè)有效數(shù)據(jù)単元NDE由發(fā)送裝置借助生成的帶密碼的密鑰Kot加密��。在ー個(gè)可能的實(shí)施方式中,有效數(shù)據(jù)単元NDE是軟件組件制造商O(píng)EM的軟件組件SWK或者說(shuō)軟件模塊,其中���,發(fā)送裝置是該軟件組件制造商的開(kāi)發(fā)裝置的一部分或者說(shuō)ー個(gè)開(kāi)發(fā)環(huán)境。
在另ー個(gè)步驟S4中,加密的有效數(shù)據(jù)単元ENC-NDE或者說(shuō)加密的軟件組件和非對(duì)稱(chēng)加密的帶密碼的密鑰ENC-Kot以及該帶密碼的密鑰Kot的附屬的密鑰標(biāo)識(shí)(Kcjem-ID)由發(fā)送裝置傳輸給接收裝置����。在此在ー個(gè)可能的實(shí)施方式中����,這種傳輸可以通過(guò)線(xiàn)路或者網(wǎng)絡(luò)實(shí)現(xiàn)。在一個(gè)可替換的實(shí)施方式中�����,這種傳輸借助存儲(chǔ)器裝置或者說(shuō)數(shù)據(jù)載體實(shí)現(xiàn)��。在接收方面實(shí)現(xiàn)所述根據(jù)本發(fā)明的加密方法���,其中在步驟S5中�,如果對(duì)帶密碼的密鑰的接收到的附屬的密鑰標(biāo)識(shí)Kot-ID檢查得出,該帶密碼的密鑰Kot仍未以解密的形式存在于接收裝置中吋�����,則借助私人密鑰Kpkiv對(duì)接收到的非対稱(chēng)加密的密鑰ENC-Kot進(jìn)行解密��。在另ー個(gè)步驟S6中���,如果接收裝置中仍不存在帶密碼的密鑰(Kra)����,那么利用該接收裝置中已存在的帶密碼的密鑰Kot或者利用借助私人密鑰Kpkiv解密的帶密碼的密鑰 Koem對(duì)接收到的密碼加密的有效數(shù)據(jù)単元ENC-NDE進(jìn)行解密���。如果在步驟S5中對(duì)接收到的密鑰標(biāo)識(shí)Kra-ID檢查得出��,附屬的帶密碼的密鑰Kra 仍不存于該接收裝置中���,那么借助私人密鑰Kpkiv解密的帶密碼的密鑰Kot連同其附屬的密鑰標(biāo)識(shí)Kot-ID —起被存儲(chǔ)在接收裝置中以備后用����。圖2示出了根據(jù)本發(fā)明的系統(tǒng)1的ー種可能的實(shí)施方式的框圖����,該系統(tǒng)用于對(duì)密碼保護(hù)的有效數(shù)據(jù)単元加速解密����。系統(tǒng)1具有發(fā)送裝置2和接收裝置3,它們通過(guò)傳輸裝置4相互連接���。在圖2中所示的實(shí)施方式中����,所述傳輸裝置4是數(shù)據(jù)線(xiàn)���。在ー個(gè)可替換的實(shí)施方式中��,傳輸裝置是ー個(gè)網(wǎng)絡(luò)或者多個(gè)多網(wǎng)絡(luò)���。該網(wǎng)絡(luò)也可以是無(wú)線(xiàn)網(wǎng)絡(luò)。在一個(gè)可替換的實(shí)施方式中��,傳輸裝置是存儲(chǔ)器或者數(shù)據(jù)載體�����,它以存儲(chǔ)的方式傳輸數(shù)據(jù)。發(fā)送裝置2具有第一解密單元2A����,用于借助公共密鑰Κ_對(duì)生成的帶密碼的密鑰進(jìn)行非対稱(chēng)加密。帶密碼的密鑰Kot例如可以在發(fā)送裝置2的密鑰生成器2B中生成����。
在ー個(gè)可能的實(shí)施方式中,公開(kāi)密鑰Kpub可以存放在寄存器中或者發(fā)送裝置2的存儲(chǔ)器2C 中�����。發(fā)送裝置2還包含第二加密單元2D����,用于借助生成的帶密碼的密鑰Kot對(duì)至少一個(gè)有效數(shù)據(jù)單元NDE進(jìn)行加密。在圖2中所示的實(shí)施方式中��,有效數(shù)據(jù)単元NDE來(lái)自發(fā)送裝置2以外的有效數(shù)據(jù)來(lái)源�����。該有效數(shù)據(jù)單元NDE尤其可以是軟件組件SWK�����,它由軟件組件制造商O(píng)EM借助開(kāi)發(fā)工具編程或者說(shuō)生產(chǎn)�����。有效數(shù)據(jù)単元NDE或者說(shuō)編程的軟件組件SWK 例如可以是能夠迅速執(zhí)行完的程序或者子程序����。在此,該軟件組件具有相應(yīng)的程序或者說(shuō)子程序的源代碼或者目標(biāo)代碼�。這個(gè)源代碼或者目標(biāo)代碼或者該有效數(shù)據(jù)單元借助生成的帶密碼的密鑰Kot通過(guò)發(fā)送裝置2的第二加密單元2D加密,并且由發(fā)送裝置2的端ロ 2E提供��。發(fā)送裝置2可以集成到該軟件組件制造商O(píng)EM的開(kāi)發(fā)環(huán)境中��。端ロ 2E提供加密的有效數(shù)據(jù)単元ENC-NDE或者加密的軟件組件��、非対稱(chēng)加密的密鑰ENC-Kot以及該帶密碼的密鑰Kot的附屬的密鑰標(biāo)識(shí)Kot-ID���。在ー個(gè)可能的實(shí)施方式中����,所述發(fā)送裝置2具有単元2F����,它用于提供附屬的密鑰標(biāo)識(shí)Kot-ID,該密鑰標(biāo)識(shí)例如在提供帶密碼的密鑰Kra的情況下由密鑰生成器W觸發(fā)���。在ー個(gè)可能的實(shí)施方式中,単元2F可以是隨機(jī)數(shù)生成器�����,其生成隨機(jī)數(shù)作為密鑰標(biāo)識(shí)Kra-ID���。在一個(gè)可替換的實(shí)施方式中�����,単元2F是計(jì)數(shù)器���,其提供計(jì)數(shù)值作為密鑰標(biāo)識(shí)
KOEM—ID。
傳輸裝置4將加密的有效數(shù)據(jù)単元ENC-NDE�、非対稱(chēng)加密的密鑰ENC-Kra和該帶密碼的密鑰Kot附屬的密鑰標(biāo)識(shí)Kot-ID由發(fā)送裝置2傳輸給接收裝置3。這種傳輸裝置4可以是數(shù)據(jù)線(xiàn)��、一個(gè)或者多個(gè)網(wǎng)絡(luò)或者數(shù)據(jù)載體��。正如圖2中所示的那樣�,根據(jù)本發(fā)明的系統(tǒng)1的接收裝置3具有檢驗(yàn)單元3A��,其借助接收到的密鑰標(biāo)識(shí)Kcjem-ID檢查被傳輸?shù)姆菍澐Q(chēng)加密的密鑰ENC-Kra是否已經(jīng)以解密的形式存在于接收裝置3中�。在ー個(gè)可能的實(shí)施方式中���,檢驗(yàn)單元3A可以為此訪(fǎng)問(wèn)接收裝置 3的內(nèi)存儲(chǔ)器3B,多個(gè)密鑰標(biāo)識(shí)Kcjem-ID以及附屬的帶密碼的密鑰Kcjem存放在該存儲(chǔ)器中����。接收裝置3還具有第一解密單元3C,它設(shè)置用于如果通過(guò)檢驗(yàn)單元3A對(duì)帶密碼的密鑰Kra的附屬的密鑰標(biāo)識(shí)Kot-ID檢查得出��,該加密地接收到的帶密碼的密鑰Kra仍未以解密的形式存在于接收裝置3的存儲(chǔ)器加中����,則借助私人密鑰Kphv對(duì)接收到的非対稱(chēng)加密的密鑰ENC-Kcjem進(jìn)行解密。在ー個(gè)可能的實(shí)施方式中����,第一解密單元3C通過(guò)控制信號(hào)線(xiàn)從檢驗(yàn)単元3A獲得相應(yīng)的控制信號(hào)(使能Enable)。帶密碼的私人密鑰KpHv可以存放在存儲(chǔ)器裝置3的被保護(hù)的存儲(chǔ)器單元3D中���。接收裝置3還具有第二解密單元3E���,其利用接收裝置3中已經(jīng)以解密的形式存在的帶密碼的密鑰或者作為代替地利用由第一解密單元3C解密的帶密碼的密鑰Kra對(duì)接收到的密碼加密的有效數(shù)據(jù)単元ENC-NDE進(jìn)行解密���。在圖2中所示的實(shí)施方式中,接收裝置3的多路復(fù)用器3F根據(jù)來(lái)自檢驗(yàn)單元3Α的控制信號(hào)進(jìn)行連接��。如果檢驗(yàn)単元3Α得出結(jié)論����,加密接收到的帶密碼的密鑰仍未以加密的形式例如存在于接收裝置3的存儲(chǔ)器:3Β中,那么它激活第一解密單元3C用于借助私人密鑰Kphv對(duì)接收到的非対稱(chēng)加密的密鑰進(jìn)行解密���,并且借助多路復(fù)用器3F將第一解密單元3C的���、提供解密的帶密碼的密鑰Kqem 的輸出端轉(zhuǎn)接至第二解密單元3Ε。相反地�,如果檢驗(yàn)単元3Α確定,帶密碼的密鑰Kqem已經(jīng)以存儲(chǔ)的方式存在于接收裝置3中�,那么就不必再通過(guò)第一解密單元3C進(jìn)行解密,并且借助多路復(fù)用器3F將已經(jīng)以存儲(chǔ)方式存在的帶密碼的密鑰Kra提供給第二解密單元3Ε����。在這種情況下就可以省去由第一解密單元3C進(jìn)行的相對(duì)耗費(fèi)成本的解密,從而加速對(duì)密碼保護(hù)的有效數(shù)據(jù)単元NDE的解密����。在ー個(gè)可能的實(shí)施方式中�,帶密碼的密鑰Kot由軟件組件制造商O(píng)EM的對(duì)話(huà)密鑰構(gòu)成����。在ー個(gè)可能的實(shí)施方式中,傳輸?shù)挠行?shù)據(jù)単元NDE或者說(shuō)傳輸?shù)能浖M件SWK在接收方面被執(zhí)行單元或者說(shuō)微處理器執(zhí)行����。接收裝置3可以是應(yīng)用者的目標(biāo)系統(tǒng)裝置的一部分,其用于執(zhí)行軟件組件SWK或者有效數(shù)據(jù)単元NDE����。在ー個(gè)可能的實(shí)施方式中���,接收裝置3具有可編程存儲(chǔ)控制裝置SPS�����。在根據(jù)本發(fā)明應(yīng)用混合加密法時(shí)����,用于非対稱(chēng)地對(duì)有效數(shù)據(jù)加密的對(duì)話(huà)密鑰配有在明文中可讀的密鑰標(biāo)識(shí)���。在根據(jù)本發(fā)明的方法中���,優(yōu)選地附帶并更新ー個(gè)所有迄今在公共密鑰法的幫助下解密的對(duì)話(huà)密鑰的目錄��。這個(gè)目錄例如可以位于接收裝置3的存儲(chǔ)器;3B中���。如果接收到用于進(jìn)行解密的新的混合加密的數(shù)據(jù)記錄或者說(shuō)有效數(shù)據(jù)單元,那么首先檢查迄今已經(jīng)解密的對(duì)話(huà)密鑰的目錄是否已經(jīng)包含相應(yīng)的對(duì)話(huà)密鑰的密鑰標(biāo)識(shí)���,并且檢查該密鑰是否已經(jīng)用于數(shù)據(jù)記錄的實(shí)際有效數(shù)據(jù)加密��。如果該目錄已經(jīng)包含該對(duì)話(huà)密鑰的密鑰標(biāo)識(shí)���,那么從這個(gè)目錄中讀取出附屬的對(duì)話(huà)密鑰,并且直接繼續(xù)對(duì)有效數(shù)據(jù)進(jìn)行對(duì)稱(chēng)解密���。但是如果該目錄不包含這個(gè)密鑰標(biāo)識(shí)��,或者在利用來(lái)自該目錄中的對(duì)話(huà)密鑰對(duì)有效數(shù)據(jù)解密時(shí)確定不可能對(duì)加密的有效數(shù)據(jù)進(jìn)行鑒定����,那么僅在這種情況下才進(jìn)行完全的混合解密�。因此首先在公共密鑰法的幫助下對(duì)用于將有效數(shù)據(jù)對(duì)稱(chēng)加密的對(duì)話(huà)密鑰進(jìn)行重組,并且緊接著借助于計(jì)算出的對(duì)話(huà)密鑰對(duì)有效數(shù)據(jù)對(duì)稱(chēng)解密�。緊接著����,以這種方式計(jì)算出的對(duì)話(huà)密鑰優(yōu)選地連同其附屬的密鑰標(biāo)識(shí)一起被存儲(chǔ)在目錄中或者存儲(chǔ)器中��。相應(yīng)地�����,可以在對(duì)有效數(shù)據(jù)単元NDE重新混合加密時(shí)事先進(jìn)行的是�����,應(yīng)使用已經(jīng)公知的對(duì)話(huà)密鑰對(duì)有效數(shù)據(jù)單元進(jìn)行加密��。在這種情況下����,不必重新計(jì)算該對(duì)話(huà)密鑰的公共密鑰解密����。僅執(zhí)行對(duì)有效數(shù)據(jù)單元的對(duì)稱(chēng)加密。由于在根據(jù)本發(fā)明的方法中會(huì)借助加密及解密單元對(duì)混合加密的對(duì)話(huà)密鑰進(jìn)行標(biāo)記或者說(shuō)標(biāo)識(shí)����,所以使得可以識(shí)別出過(guò)去是否已經(jīng)在公共密鑰計(jì)算操作的幫助下計(jì)算出特定的對(duì)話(huà)密鑰��。如果在該密鑰中已經(jīng)存在被計(jì)算的密鑰的目錄�,那么在根據(jù)本發(fā)明的方法中可以不用重新執(zhí)行會(huì)使性能下降的公共密鑰操作����。在這種情況下,將加密及解密過(guò)程減少����,以便利用純有效數(shù)據(jù)進(jìn)行対稱(chēng)的計(jì)算操作。如果在根據(jù)本發(fā)明的系統(tǒng)中��,特定的混合加密的數(shù)據(jù)記錄或者說(shuō)有效數(shù)據(jù)單元總是重復(fù)地被加密或解密�����,或者如果對(duì)于多個(gè)數(shù)據(jù)記錄或者說(shuō)有效數(shù)據(jù)單元使用相同的對(duì)話(huà)密鑰���,那么通過(guò)根據(jù)本發(fā)明的方法可以讓系統(tǒng)或者計(jì)算機(jī)系統(tǒng)的性能或者效率顯著提高�。在本發(fā)明的方法中使用了用于標(biāo)記對(duì)話(huà)密鑰的密鑰標(biāo)識(shí)����,根據(jù)本發(fā)明的方法在可能的實(shí)施方式中可以通過(guò)在明文中可讀的密鑰標(biāo)識(shí)與其他用于保護(hù)預(yù)計(jì)算的表格不受攻擊或者用于減少機(jī)密的密鑰材料(Schlilsselmaterials)的熵?fù)p失的方法組合起來(lái)。根據(jù)本發(fā)明的方法和系統(tǒng)尤其可以用于安全可靠地或機(jī)密地將軟件組件或者有效數(shù)據(jù)單元從開(kāi)發(fā)環(huán)境2傳輸給目標(biāo)系統(tǒng)裝置3,例如可編程存儲(chǔ)控制裝置SPS���。密鑰ID 在ー個(gè)可能的實(shí)施方式中也可以是實(shí)際密鑰數(shù)據(jù)的散列值或測(cè)驗(yàn)值���。此外可能的是,隨機(jī)地并且不依賴(lài)于密鑰數(shù)據(jù)地生成密鑰標(biāo)識(shí)或者說(shuō)密鑰ID��。
權(quán)利要求
1.一種用于對(duì)密碼保護(hù)的有效數(shù)據(jù)単元(NDE)加速解密的方法�,具有以下步驟(a)如果對(duì)接收到的、帶密碼的密鑰(Kra)的附屬的密鑰標(biāo)識(shí)(K^ID)檢查得出���,接收裝置(3)中存在的帶密碼的密鑰(Kra)仍未解密�,那么由所述接收裝置(3)借助私人密鑰 (Kpeiv)對(duì)接收到的非対稱(chēng)加密的密鑰(ENC-Kot)進(jìn)行解密(S5)���;并且(b)利用所述該接收裝置(3)中存在的所述帶密碼的密鑰(Kra)����,或者如果在所述接收裝置(3)中不存在所述帶密碼的密鑰(Kra)吋�����,則利用借助所述私人密鑰(Kpkiv)解密的帶密碼的密鑰(Kot)對(duì)接收到的用密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密(S6)���。
2.根據(jù)權(quán)利要求1所述的方法��,其中如果對(duì)所述接收到的密鑰標(biāo)識(shí)OWm-ID)檢查得出��,在所述接收裝置(3)中仍不存在附屬的所述帶密碼的密鑰(Kot)�,那么借助所述私人密鑰(Kpkiv)解密的所述帶密碼的密鑰(Kra)連同所述密鑰附屬的密鑰標(biāo)識(shí)(Kot-ID) —起存儲(chǔ)在所述接收裝置(3)中�����。
3.根據(jù)權(quán)利要求1或2所述的方法����,其中,所述有效數(shù)據(jù)單元(NDE)由軟件組件制造商 (OEM)的軟件組件(SWK)構(gòu)成��。
4.根據(jù)權(quán)利要求3所述的方法�����,其中��,所述帶密碼的密鑰(Κ_)由所述軟件組件制造商 (OEM)的對(duì)話(huà)密鑰構(gòu)成�。
5.根據(jù)權(quán)利要求1至4所述的方法,其中所述密鑰標(biāo)識(shí)(Kcjem-ID)由相應(yīng)的帶密碼的密鑰(Kot)的散列值或測(cè)驗(yàn)值構(gòu)成�����。
6.根據(jù)權(quán)利要求1至4所述的方法,其中所述密鑰標(biāo)識(shí)(Kot-ID)由發(fā)送裝置(2)的隨機(jī)生成器(2F)生成的隨機(jī)數(shù)構(gòu)成���。
7.根據(jù)權(quán)利要求1至4所述的方法�,其中所述密鑰標(biāo)識(shí)(Kot-ID)由所述發(fā)送裝置(2) 的計(jì)數(shù)器(2F)生成的計(jì)數(shù)值構(gòu)成����。
8.根據(jù)權(quán)利要求6至7所述的方法,其中所述加密的有效數(shù)據(jù)単元(ENC-NDE)�����、所述附屬的非対稱(chēng)加密的帶密碼的密鑰(ENC-Kot)和所述密鑰的密鑰標(biāo)識(shí)(Kcjem-ID)通過(guò)網(wǎng)絡(luò)或者以存儲(chǔ)在數(shù)據(jù)載體中的形式由所述發(fā)送裝置(2 )傳輸給所述接收裝置(3 )����。
9.根據(jù)權(quán)利要求6至8所述的方法,其中所述發(fā)送裝置(2)由軟件組件制造商(OEM) 的���、用于開(kāi)發(fā)開(kāi)發(fā)軟件組件(SWK)的開(kāi)發(fā)裝置構(gòu)成��。
10.根據(jù)權(quán)利要求1至9所述的方法����,其中所述接收裝置(3)由應(yīng)用者的���、用于執(zhí)行軟件組件的目標(biāo)系統(tǒng)裝置構(gòu)成��。
11.根據(jù)權(quán)利要求10所述的方法���,其中,所述接收裝置(3)具有可編程存儲(chǔ)控制裝置 (SPS)0
12.用于對(duì)密碼保護(hù)的有效數(shù)據(jù)単元(NDE)加速解密的系統(tǒng)(1)����,具有(a)發(fā)送裝置(2),所述發(fā)送裝置具有-用于借助公共密鑰(KpJ非対稱(chēng)地對(duì)帶密碼的密鑰(Kra)加密的第一加密單元(2A);-用于借助所述帶密碼的密鑰(Kot)對(duì)至少一個(gè)有效數(shù)據(jù)單元(NDE)加密的第二加密単元(2D)��;和-端ロ(2E)����,用于提供所述加密的有效數(shù)據(jù)単元(ENC-NDE)、所述非對(duì)稱(chēng)加密的密鑰 (ENC-Koem)和所述帶密碼的密鑰(Κ_)的附屬的密鑰標(biāo)識(shí)(KOEM-ID)���;(b)傳輸裝置(4)�����,所述傳輸裝置用于傳輸所述加密的有效數(shù)據(jù)単元(ENC-NDE)���、所述非対稱(chēng)加密的密鑰(ENC-Kot)和所述帶密碼的密鑰(Kra)的所述附屬的密鑰標(biāo)識(shí)(K^ID)���;和(c )接收裝置(3 ),所述接收裝置具有-檢驗(yàn)單元(3A)��,所述檢驗(yàn)単元用于根據(jù)所述接收到的密鑰標(biāo)識(shí)(Kra_ID)檢查所述傳輸?shù)姆菍澐Q(chēng)加密的密鑰(ENC-Kot)是否已經(jīng)以解密的形式存在于所述接收裝置(3)中���;-第一解密單元(3C)�����,如果對(duì)所述帶密碼的密鑰(Kra)的所述附屬的密鑰標(biāo)識(shí)(K^ID) 檢查得出��,所述加密接收到的帶密碼的密鑰(Kra)仍未以解密的形式存在于所述接收裝置(3)中����,那么所述第一解密單元借助私人密鑰(Kpkiv)對(duì)所述接收到的非対稱(chēng)加密的密鑰 (ENC-Koem)進(jìn)行解密�;-第二解密單元(3E),所述第二解密單元利用接收裝置中已經(jīng)以解密的形式存在的帶密碼的密鑰(Kot)或者利用由所述第一解密單元(3C)解密的所述帶密碼的密鑰(Kot)對(duì)所述接收到的密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密���。
13.—種發(fā)送裝置(2)�����,尤其是用于根據(jù)權(quán)利要求12用于對(duì)密碼保護(hù)的有效數(shù)據(jù)単元 (NDE)的系統(tǒng)(1)加速解密的發(fā)送裝置�,具有-用于借助公共密鑰(Kpub)非対稱(chēng)地對(duì)帶密碼的密鑰(Kra)加密的第一加密單元(2A);-用于借助所述帶密碼的密鑰(Kra)對(duì)至少一個(gè)有效數(shù)據(jù)單元(ND^加密的第二加密単元(2D)���;和-端ロ(2E)�,用于提供所述加密的有效數(shù)據(jù)単元(ENC-NDE)�����、所述非對(duì)稱(chēng)加密的密鑰 (ENC-Koem)和所述帶密碼的密鑰(Kra)的附屬的密鑰標(biāo)識(shí)(Kqem_ID)����。
14.一種接收裝置(3),尤其是用于根據(jù)權(quán)利要求12對(duì)密碼保護(hù)的有效數(shù)據(jù)単元(ND^ 的系統(tǒng)(1)加速解密的接收裝置����,具有-檢驗(yàn)單元(3A),用于根據(jù)接收到的密鑰標(biāo)識(shí)(K^ID)檢查傳輸?shù)姆菍澐Q(chēng)加密的密鑰 (ENC-Koem)是否已經(jīng)以解密的形式存在于所述接收裝置(3)中�����;-第一解密單元(3C)�����,如果對(duì)帶密碼的密鑰(Kot)的所述附屬的密鑰標(biāo)識(shí)(K^ID)檢查得出,接收到的所述帶密碼的密鑰(Kot)仍未以解密的形式存在��,那么所述第一解密單元借助私人密鑰(Kpkiv)對(duì)所述接收到的非対稱(chēng)加密的密鑰(ENC-Kra)進(jìn)行解密����;和-第二解密單元(3E),所述第二解密單元利用在所述接收裝置(3)中已經(jīng)以解密的形式存在的所述帶密碼的密鑰(Kot)或者利用由所述第一解密單元(3C)解密的所述帶密碼的密鑰(Kot)對(duì)所述接收到的密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密���。
15.一種用于執(zhí)行根據(jù)權(quán)利要求1-11所述的方法的計(jì)算機(jī)程序�����。
全文摘要
本發(fā)明涉及一種系統(tǒng)和一種方法����,用于對(duì)密碼保護(hù)的有效數(shù)據(jù)單元(NDE)加速解密����,其具有多個(gè)步驟。首先由發(fā)送裝置生成配有所屬的密鑰標(biāo)識(shí)(KOEM_ID)的帶密碼的密鑰(KOEM)��。接著由發(fā)送裝置借助公開(kāi)的帶密碼的密鑰(KPUB)對(duì)生成的帶密碼的密鑰(KOEM)進(jìn)行非對(duì)稱(chēng)加密��,并且由該發(fā)送裝置借助生成的帶密碼的密鑰(KOEM)對(duì)至少一個(gè)有效數(shù)據(jù)單元(NDE)進(jìn)行加密。加密的有效數(shù)據(jù)單元(ENC-NDE)和非對(duì)稱(chēng)加密的帶密碼的密鑰(ENC-KOEM)以及該帶密碼的密鑰(KOEM)附屬的密鑰標(biāo)識(shí)(KOEM-ID)被傳輸給接收裝置��,其中如果對(duì)該帶密碼的密鑰(KOEM)的接收到的附屬的密鑰標(biāo)識(shí)(KOEM-ID)檢查得出�����,接收裝置中存在的帶密碼的密鑰(KOEM)仍未解密�,那么由接收裝置借助私人密鑰(KPRIV)對(duì)接收到的非對(duì)稱(chēng)加密的密鑰(ENC-KOEM)進(jìn)行解密��。最后接收裝置利用存在于該接收裝置中的帶密碼的密鑰(KOEM)或者利用借助私人密鑰(KPRIV)解密的帶密碼的密鑰(KOEM)對(duì)接收到的帶密碼的加密的有效數(shù)據(jù)單元(ENC-NDE)進(jìn)行解密�����。根據(jù)本發(fā)明的方法和系統(tǒng)在混合加密中實(shí)現(xiàn)了加速并且提高了數(shù)據(jù)傳輸率���,而不會(huì)增加其中使用的線(xiàn)路復(fù)雜度�����。
文檔編號(hào)H04L9/08GK102598575SQ201080050755
公開(kāi)日2012年7月18日 申請(qǐng)日期2010年10月12日 優(yōu)先權(quán)日2009年11月9日
發(fā)明者貝恩德·邁爾, 邁克爾·布勞恩, 馬庫(kù)斯·迪希特 申請(qǐng)人:西門(mén)子公司