CN1128522C - 在一密钥管理系统中生产通用邮资计的一种方法 - Google Patents

在一密钥管理系统中生产通用邮资计的一种方法 Download PDF

Info

Publication number
CN1128522C
CN1128522C CN96110338.8A CN96110338A CN1128522C CN 1128522 C CN1128522 C CN 1128522C CN 96110338 A CN96110338 A CN 96110338A CN 1128522 C CN1128522 C CN 1128522C
Authority
CN
China
Prior art keywords
key
territory
case
master key
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CN96110338.8A
Other languages
English (en)
Other versions
CN1148765A (zh
Inventor
W·J·贝克
F·巴托尔
R·A·科德里
F·M·迪波利托
K·D·亨特
K·V·劳顿
D·K·李
L·J·洛利希
S·J·保利
L·A·平特索夫
I·A·西韦耶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PITHEY BOWES Inc
Pitney Bowes Inc
Original Assignee
PITHEY BOWES Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PITHEY BOWES Inc filed Critical PITHEY BOWES Inc
Publication of CN1148765A publication Critical patent/CN1148765A/zh
Application granted granted Critical
Publication of CN1128522C publication Critical patent/CN1128522C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/00024Physical or organizational aspects of franking systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00435Details specific to central, non-customer apparatus, e.g. servers at post office or vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00427Special accounting procedures, e.g. storing special information
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/0075Symmetric, secret-key algorithms, e.g. DES, RC2, RC4, IDEA, Skipjack, CAST, AES
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • G07B2017/00798Time-dependency using timestamps, i.e. recording time in message
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • G07B2017/00806Limited validity time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00822Cryptography or similar special procedures in a franking system including unique details
    • G07B2017/0083Postal data, e.g. postage, address, sender, machine ID, vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00854Key generation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • G07B2017/00887Key distribution using look-up tables, also called master tables with pointers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00895Key verification, e.g. by using trusted party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00919Random number generator
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00951Error handling, e.g. EDC (Error Detection Codes)
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Abstract

一种生产交易证实装置如数字邮资计的方法,包括步骤,在一密钥管理系统的一逻辑安全域中产生一主密钥;将该主密钥设置到一数字邮资计中;识别该主密钥的设置;以及将该主密钥注册到该密钥管理系统中的一逻辑安全支域中。产生主密钥的步骤还包括步骤,产生一域;产生至少一支域;将该域设置在该密钥管理系统的安全箱中;在该域中产生一主密钥和测试标记;以及将该主密钥记录在域档案存贮器中。设置主密钥的步骤还包括步骤,将该主密钥设置到一数字邮资计中;以及将该主密钥与一唯一的装置识别器相连。

Description

在一密钥管理系统中生产 通用邮资计的一种方法
本发明一般地涉及用于加密密钥管理的一个系统,特别地,涉及用于分配给邮资计的加密密钥的管理的一系统。
这里提交的本申请与美国申请相关(代理人签条E-335,E-370),并指定由本发明的代理人代理。
数字打印技术使得邮寄人员可以方便的形式实现数字,即,位映射可寻址(bit map addressable)的打印。人们期望采用这种技术以用于证实邮资的给付。数字打印技术的发展使得打印邮资签条成为可能,该邮资签条对每一邮件而言是唯一的。一个计算机驱动的打印机能够打印,例如在一邮件的表面的期望位置上打印一邮资签条。该签条是唯一的,因为它包括了直接涉及该邮件的信息,例如,邮资值,日期,件数和/或邮寄地邮编。
站在邮局的立场上来看,由于任何合适的计算机和打印机均可用于产生一图像的多个拷贝,因此数字打印和扫描技术使得伪造带有签条的邮资非常容易。
为了确认一邮件,即确保打印在一邮件上的邮资已经过了计算,已知的一种方法是作为邮资已付戳的一部分,包括有一密码,使得从该密码可确定已付邮资的值,从而知道打印在邮件上的值是否正确。例如,见Edelmann等人的美国专利4757537和4775246,以及Eckert的美国专利4649266。已知的确认一邮件的另一方法是将地址作为密码的一部分,如Sansone等人的美国专利4725718,及Fougere等人的美国专利4743747。
Pastor的美国专利5170044描述了一种方法和装置,用于以签条的形式表示二进制信息,该签条包括一二进制的象素矩阵。实际的象素矩阵被扫描以识别邮件的提供者,并还原其他密码简易测试信息。Pastor的美国专利5142577描述了DES编码的各种方案,以对一信息进行加密,并将解码的邮政信息与邮件上的简易测试信息进行比较。
Pastor等人的美国专利5390251描述了一个系统,用于控制来自邮资计的潜在的大量用户的邮件上的签条打印的有效性,该系统包括置于每一邮资计中的装置以用于产生一代码并将该代码打印在各邮件上。该代码是一密码,证实了打印该签条的装置,以及由该邮件上的邮资正当的唯一确定的其他信息。
一数字邮资计通过在信封上用两个″数字标记(digitaltoken)″加注邮政信息而提供邮资给付的数据。一个数字标记向邮政服务部门提供数据,而第二个数字标记向卖主如本发明的代理提供数据。一数字标记是是对加密签条信息的结果的截取,该加密签条信息包括,例如邮资值、件数、邮寄日、以及邮寄地的邮局。
正在开发一种新的数字邮资计,该邮资计采用加密装置以产生邮资给付的数据。该加密采用一加密密钥进行。在各数字邮资计中,采用独立的密钥以产生数字标记。为了安全的缘故,不同邮资计中的密钥也是独立的。有关邮资计和邮件的信息与卖主及邮局主密钥或从其导出的密钥结合并加密。所产生的信息段打印在邮件上作为数字标记。该信息与标记可通过一装置来检验,该装置以同样的方式处理该信息并将得到的数字标记与那些打印在邮件上的进行比较。
需要一密钥管理系统以安全而可靠的方式将加密密钥分配给数字邮资计。该密钥管理系统必须包括检验签条与数字标记以检测出伪造的签条和复制的签条的装置。
人们期望该密钥管理系统具有产生不用指定目的地的邮资计的能力,即产生可以编制的通用邮资计。然而,产生通用邮资计造成的问题是,或者需要在字段中设置密钥,或者需要在域之间进行密钥的变换。两种方式均带来对安全性和密钥的完整性的威胁。人们期望一密钥管理系统包括有避免这些问题的装置。
本发明提供一种产生业务往来显示装置如数字邮资计的方法。一些邮资计是在不知道目的地的情况下产生。这带来的问题是,或者需要在字段中设置密钥,或者需要在域之间进行密钥的变换。两种方式均对安全性和密钥的完整性构成威胁。在本发明中,通过设置一单独的域,称之为地球域(Earth domain),避免了这些问题的出现。通过设置这里称之为地球域的一单独的域,在本发明中避免了与通用邮资计有关的上述问题。本发明提供了在制造过程中当目的地不明时安全地管理数字邮资计密钥的能力。
根据本发明,邮资计密钥产生并设置在邮资计产生的邮政域之下的一数字邮资计中。当邮资计的一签条序号注册时,即运行时,邮局的地点即可知道。该地点的识别箱则识别该注册,然后一邮资计密钥被保留,最好通过一签条序号来进行索引。每一地点的识别箱保留该地点的邮资计密钥,以与该地点特定的保密密钥进行加密。
根据本发明,任何接收在制造过程中没有明确针对该地点进行初始化的邮资计的地点,则将接收地球域邮资计。该地点的安全识别箱被启动以作为该地点的数据库加密密钥的地球域识别过程。如果一地点具有明确为该地点的邮政域制造的邮资计和在地球邮政域下制造的邮资计,则该地点的识别箱必须能够在地球域的该地点的支域,以及在该地点的本域中进行操作。
本发明包括下述步骤,在一密钥管理系统的逻辑安全域中产生一主密钥;该将主密钥设置到一数字邮资计中;识别该设置的主密钥;并将该主密钥注册到该密钥管理系统中的一逻辑安全支域中。产生该主密钥的步骤还包括,产生一域的步骤;产生至少一个支域;将该域设置在密钥管理系统的安全箱中;在该域中产生一主密钥和测试标记;并将主密钥记录在域档案存贮器中。主密钥的设置步骤还包括,将主密钥设置到一数字邮资计中的步骤;并使主密钥与一唯一的设备识别器相联系。将主密钥注册到该密钥管理系统中的一逻辑安全支域中的步骤还包括,给数字邮资计指定一支域;在数字邮资计中设置一邮政识别器;使该邮政识别器与该唯一的设备识别器相联系;根据邮政识别器和该唯一的设备识别器在数字邮资计中产生一注册标记;利用记录在档案存贮器中的主密钥,产生注册标记;识别注册标记是同样的;并将主密钥记录在支域中。对于给数字邮资计指定的每一个域,重复上述步骤。
该密钥管理系统包括用于产生、分配和管理加密密钥的装置,该加密密钥由一信息交易系统采用,该交易系统采用加密装置以产生信息完整的数据。该系统包括多个功能不同而操作相互联系的安全箱。每一安全箱的功能分别对应密钥的产生,密钥的设置,密钥的识别或标记的确认。计算机与安全箱的结合运行,提供系统控制并在安全箱中提供方便的通讯。多个单独的逻辑安全域为密钥的产生、密钥的设置、密钥的识别以及通过该域中交易显示装置采用该密钥管理功能而产生的标记的确认提供域的处理。多个域档案存贮器,分别相应于各安全域,安全而可靠地为各域记录密钥的状态记录和主密钥。该密钥管理系统将主密钥设置在交易显示设备中,并确认该标记。该安全箱包括一密钥产生箱以产生、加密并标记一主密钥;一密钥设置箱用于接收、识别和解码该标记的主密钥,并将该主密钥设置到该交易显示设置中;一密钥识别箱用于识别该交易显示设备中设置的主密钥,一标记识别箱用于识别该标记,而至少有一个产生箱用于产生每一域的域密钥并在安全箱中分配该域密钥。
根据本发明的优选实施例,一密钥管理系统产生加密密钥,如卖主密钥、VSPS密钥和其他地点邮政密钥,并将其分配给多个域的数字邮资计。一个域是通过唯一域确认与加密密钥强制执行的数据与功能的逻辑分离。该密钥管理系统防止域之间密钥的任何调换,提供在一域中密钥在该域中产生,并且由该系统设置在仅一个邮资计中的保证。该密钥管理系统为多个域安全地分配并保持加密密钥。另外,该密钥管理系统这样构造,使得所有域的密钥管理是一样的。
该密钥管理系统支持下述的安全需要:(1)邮资计密钥总是加密的;(2)在系统的生命期内总是具有识别签条信息的能力;(3)邮资计主密钥的状态必须总是精确地保持;(4)域的划分必须保持,以产生和识别签条;以及(5)一个密钥只能设置或试图设置一次。
本发明的上述和其他目的及优点通过下面结合附图的详细描述将会更清楚,其中相同的参考符号表示相同的部件,其中:
图1是根据本发明的一加密密钥管理与确认系统的方框图;
图2是一方框图,显示了图1中的密钥管理与确认系统中安全域的关系;
图3是图1中的密钥管理与确认系统中一卖主数据中心的方框图;
图4是图1的密钥管理与确认系统中卖主生产设施的方框图;
图5是图1的密钥管理与确认系统中一邮政数据中心的方框图;
图6是图1的密钥管理与确认系统中一生产箱的管理域的方框图;
图7是一密钥管理过程的流程图;
图8是密钥的识别的流程图;
图9是生产箱的密钥的内容的方框图;
图10是橡木箱的密钥的内容的方框图;
图11是钢箱的密钥的内容的方框图;
图12是黄铜箱的密钥的内容的方框图;
图13是一地球域数字邮资计过程的流程图;
图14是有效主密钥状态转换的流程图;
图15是有效主密钥状态转换的方框图;
图16是从橡木箱传送到黄铜箱的一信息;
图17是从橡木箱传送到钢箱的一信息;
图18是检测新密钥的逻辑图;
图19是从钢箱传送到黄铜箱的一信息;
图20是从一邮资计传送到黄铜箱的一信息;
图21是误差处理的方框图;
图22是第一生产箱的初始化的流程图;
图23是通用箱的初始化的流程图;
图24是一密钥请求的处理的流程图;
图25是一密钥设置的处理的流程图;
图26是一密钥注册的处理的流程图;
图27是一失效密钥的处理的流程图;
图28是识别处理的流程图;
图29是一方框图,显示了密钥设置信息的流动;
图30是图29的密钥设置信息的一表;
图31是密钥注册信息的一表;和
图32是一方框图,显示了域与支域间的关系。
在本发明的描述中,对附图进行了标注,其中,可见到一密钥管理与确认系统的各方面,这里也称之为密钥管理系统。
现在参看图1,一密钥管理系统的方框图提供了该密钥管理系统的元件的位置及信息流动的全况。以10来表示的该密钥管理系统包括卖主设施12与14,以及邮政设施16与18。该卖主是管理该密钥管理系统的单位。密钥管理系统10包括多个功能专用的安全箱,计算机和通信线。根据本发明,密钥管理系统10为新一代的数字邮资计产品提供生产和运行支持。这里所称的数字邮资计和数字邮资计产品均指这样的新一代数字邮资计产品。要说明的是,本发明适于管理加密密钥的产生、分配和对其他应用的加密数据的识别。
根据本发明,卖主和邮政主密钥由密钥管理系统10的元件产生、进行档案存贮并设置到邮资计中。邮政标记密钥由密钥管理系统10的元件导出、分配并用于远程识别。卖主和邮政标记由密钥管理系统10的元件识别。
密钥管理系统10支持数字邮资计产品中加密密钥的设置及长期保持。主密钥的产生由主密钥产生箱20和22(这里也称之为橡木箱)、一配属的密钥管理系统计算机24(这里也称之为KMC)以及一档案存贮器盘25来支持。主密钥的分配由一密钥分配计算机30(这里也称之为KDC)来支持。主密钥的设置由一主密钥设置箱32(这里也称之为钢箱)、一配属的参数化、搜索及注册(PSR)计算机34来支持。打印的数字标记的集中识别由标记识别箱21和40(这里也称之为黄铜箱)、以及配属的相应密钥管理系统计算机24和42来支持。密钥档案存贮器25和45安全而可靠地记录了密钥的状态信息和密钥。
现在参看图2,密钥管理系统10包括独立的逻辑安全域;一卖主域50,以及一个或多个用于邮政当局的域52。每一域提供密钥的产生、密钥的分配、密钥的设置及标记的识别服务的全集。每一域可包括多个设施,如卖主与邮政设施。在每一安全箱中可存在多个逻辑安全域。这多个域的划分通过对主密钥数据库中的域信息进行加密而实现。该数据库加密密钥对每一域均不同。在一安全箱中,域的划分通过该箱中受限过程的启动而进行。然而,在一数字邮资计内,安全域仅在一个地方重叠。数字邮资计计算付费标记的二个检验,一个使用卖主主密钥,另一个使用邮政主密钥。对任一数字标记的识别的失败,足以证明是伪造。
现在参看图3,卖主数据中心12对密钥管理系统的元件提供物质和信息的存取控制。卖主数据中心12拥有至少一橡木箱20作为卖主主密钥产生箱,至少一黄铜箱21作为卖主标记识别箱,以及一生产箱23。为了安全,每一箱具有唯一的ID。为了增加安全性,产生、识别与生产功能相互从物质上分开,即,橡木箱、黄铜箱与钢箱为独立的箱。要说明的是,如果需要,在一物质箱中可以拥有多于一个的功能箱。
卖主KMS计算机24管理着安全橡木、黄铜及生产箱,以及其间的信息传送。它支持安全箱通信、卖主密钥档案存贮服务、邮政密钥档案存贮服务,以及与卖主生产设施14和邮政数据中心16的通信。
现在参看图4,卖主生产设施14对密钥管理系统的元件提供物质与信息存取的控制。一卖主生产设施14拥有一卖主密钥分配计算机30,至少一安全钢箱32,该钢箱32作为主密钥设置箱,以及一相应的PSR计算机34。卖主密钥分配和PSR计算机30和34支持与密钥管理系统计算机24、其他安全箱及在线数字邮资计36的通信。PSR计算机30管理着相应钢箱32和数字邮资计36的初始化。
现在参看图5,邮政数据中心16对密钥管理系统10的元件提供物质和信息存取的控制。邮政数据中心16可拥有,作为一邮政主密钥产生箱的一邮政橡木箱22,以及作为一邮政标记识别箱的一邮政黄铜箱40。一邮政密钥管理系统计算机42可支持安全箱通信,邮政密钥档案存贮服务以及与邮政设施18和卖主数据中心12的通信。
现在参看图6,需要另一逻辑安全域以支持密钥管理系统元件中的所有其他安全域的设置与保持。这称为密钥管理系统管理域60,该域60负责密钥管理系统元件中的安全域的产生及设置。
在一地球安全域中地点特定的支域的设置由该地球安全域负责。在安全域中产品代码参数的设置由起作用的安全域负责。这将在下面进行更详细的描述。
下面的段落对密钥管理系统10中的所有操作及信息提供概要说明。
密钥管理系统10提供多个需要的功能以支持数字邮资计产品的生产及操作。它负责数字邮资计产品中使用的所有加密密钥的产生、分配及长期存贮。它也负责对由采用此加密密钥的数字邮资计产品产生的数字标记进行识别。
密钥管理系统10提供两个或更多的安全域。卖主安全域50包括密钥的产生、分配、档案存贮以及识别服务。邮政安全域52实现类似的服务。这些域在同时含有卖主和邮政主密钥的数字邮资计的一点上重叠,如图2中所示,即仅在卖主和邮政主密钥可同时获得的邮资计中。
现在参看图7,显示了该密钥管理过程的一流程图。当分配之前实际位于卖主生产设施14中时,一数字邮资计36接收该卖主主密钥和邮政主密钥。
该密钥管理系统安全箱生产过程与域主密钥产生过程给密钥管理系统10和数字邮资计36提供加密密钥。数字邮资计36的域主密钥由一域橡木过程70产生。当域主密钥产生、档案存贮和设置时用于加密域主密钥的域密钥,由生产箱23产生。为了提供安全而不确定的密钥,采用了两个随机数发生器过程。每一橡木箱和生产箱包括一硬件的随机数发生器。也包括一软件的伪随机数发生器。这两个过程的输出单独进行测试以识别该硬件和软件是否在可接受的限度内运行。两个发生器的输出经一异或运算结合起来。从而,如果硬件随机数发生器出故障,则伪随机数发生器提供可接受的密钥材,直到硬件发生器能调整。
其他的KMS安全箱有限地用于产生密钥材。特别地,在初始化过程中,由黄铜和钢箱21和32来产生启动加密密钥。在初始化过程中,由于有限的需要以及托管机构的出现,只软件伪随机数发生器被采用。
密钥管理系统10必须保证安全性的需要,一主密钥只能试图或设置在任何数字邮资计36中一次。例如,密钥管理系统10必须保证在二个或更多个钢箱32用于系统中时,一域主密钥不设置二次。此需要通过采用域主密钥识别数而得以满足,该识别数由域特定的单调顺序计数器构成。域橡木过程和域钢过程追踪接收到的最后域主密钥识别数,以针对一特定的域ID。当一新的产生密钥或设置密钥信息被接收到时,该域椽木过程或域钢过程识别该域主密钥识别数大于先前信息中所含的。
当密钥管理系统10接收到一请求密钥命令时,需要一钢ID。该钢ID包括在分配主密钥记录中,并需由域钢过程76来检验。如果该信息中的钢ID与钢箱的钢ID不匹配,该信息被拒绝。不破坏该信息的签名,该信息中的钢ID不能修改。域主密钥识别数、钢ID以及信息签名的结合满足了一次设置的需要。
现在参看图8,密钥分配计算机30在80处请求一密钥。在82处,密钥管理系统计算机24从一域档案存贮器74中产生一新的单调增加的密钥ID。在84处,域橡木过程70确定该橡木箱密钥ID相对于上次所见的值是否是新的。如果不是新的,在86处启动一橡木箱误差条件。如果该密钥ID是新的,则在88处,橡木箱20产生并加密一密钥,配属到该密钥ID上,并将该信息标记及传送到钢箱32。在90处,域钢过程76确定该钢ID是否正确。在92处,域钢过程76确定该密钥ID相对于上次所见值是否是新的。如果该信息签名测试失败,钢ID不正确或密钥ID不是新的,则一钢箱误差出现。如果没有误差出现,则在98处,钢箱32设置该密钥到一邮资计36中。
现在参看图9~12,密钥管理系统10中的安全箱必须用域组合信息和密钥材来进行初始化。这通过使用生产箱23而实现,该生产箱23负责域和域密钥110的产生。当一域产生时,需要一唯一的域ID。在生产箱23中建立一域以后,其他的安全箱可用该域信息来初始化。
所有的域密钥110均由生产箱23来产生。域密钥110包括由域密钥集103加密的保密、确认及操作密钥。域密钥110在不同的安全箱中共享。每一安全箱对密钥材有特定的需要。
每一生产箱23需要一操作集合101,该操作集合101分为三个Shamir隐蔽份额102。单个的份额写到可移动的介质上并分配到授权的人。每一生产箱23需要一域密钥集103,该集103包括一RSA密钥对用于保密以及一RSA密钥对用于确认。保密与确认密钥分为三个Shamir隐蔽份额104。单个的份额写到可移动的介质上并分配给授权的人。RSA密钥对在1978年2月的Vol.21No.2″Communications of the ACM″第120~127页上,由R.L. Rivest,A.Shamir和L.Adleman所著的″获得数字签名和公众密钥(Public-Key)加密系统的一种方法″中有描述。Shamir隐蔽份额在1979年11月的Vol.22.No.11″Communicationof the ACM″第612~613页上,由A.Shamir所著的″How To ShareA Secret″中有描述。
在优选的实施例中,每一橡木箱20需要一操作集合105,该集合105划分为两个Shamir隐蔽份额106(图10)。单个份额106写到可移动的介质上并分配给授权的人。所有的份额106必须在其能操作之前进入橡木箱20中。最后进入的份额106必须保留在橡木箱中以保持其启动。当最后进入的份额106移走时,橡木箱20中止。
每一域橡木过程70需要-RSA密钥对以用于确认。个人确认密钥(P’oA)只有域橡木过程70和生产箱23知道。公众确认密钥(POA)由相应的域钢过程76和域黄铜过程72知道。域橡木过程70不需要一个人保密密钥。
在优选实施例中,卖主生产设施中每一钢箱32需要一操作集合119,该集合119划分为两个Shamir隐蔽份额120(图11)。单个份额120写到可移动介质上并分配给授权的个人,例如一监控者和操作者。监控者和操作者份额120的集在其可操作之前必须进入钢箱32。最后进入的份额106,例如操作者份额,必须保留在钢箱32中以保持其启动。当操作者份额120移出时,钢箱32中止。
每一域钢过程76需要一RSA密钥对用于确认。个人确认密钥仅由域钢过程76知道。公众确认密钥仅由域黄铜过程72知道。每一域钢过程76需要一RSA密钥对用于保密。个人保密(P’sc)密钥仅由域钢过程76知道。公众保密(Psc)密钥仅由域橡木过程70知道。
在本发明的优选实施例中,每一黄铜箱21需要一操作集合121,该集合121划分为两个Shamir隐蔽份额122(图12)。单个份额122写到可移动的介质上并分配给授权的个人。所有份额122在其可操作之前必须进入一黄铜箱21。最后进入的份额122必须保留在黄铜箱21中以保持其启动。当最后进入的份额122移出时,黄铜箱21中止。
每一域黄铜过程72需要一RSA密钥对应于确认。个人和公众确认密钥(P’BA和PBA)仅由域黄铜过程知道。每一域黄铜过程需要一RSA密钥对用于保密。个人保密密钥(P’BC)仅由域黄铜过程72知道。公众保密密钥(PBC)由域橡木过程70知道。每一域黄铜过程72需要一DES密钥集用于保密,该密钥集仅由域黄铜过程72知道。每一域黄铜过程72需要一DES密钥集用于确认,该密钥集仅由域黄铜过程72知道。
本领域的技术人员将理解,操作安全箱需要选择的份额的数量依赖于对密钥管理系统实施的安全性策略。
一生产序列数,结合一产品代码数,唯一地限定了卖主生产过程中的数字邮资计36。生产序列数的分配的优选方法如下。一识别标记源存在该生产线上,每一识别标记含有唯一的产品代码数和生产序列数对。一个识别标记用到一个数字邮资计36上。这些数在密钥设置过程之前进入PSR计算机34并加载给数字邮资计36。
邮资计安全地构成,使得一旦在生产中密钥被设置,则不留下物质的破坏痕迹在生产环境之外不可能对其进行移动或确定。
在主密钥产生过程中,域橡木过程70采用了一测试信息集。一测试样本用于产生一测试标记集,以检验生产中的主密钥设置过程。该测试样本由两个预先形成的64位二进制值构成。用目标或主密钥对其进行加密,从得到的密码文本中产生标记的特定位置和数目。
测试样本包括在域橡木和域黄铜过程的操作软件中。在密钥的设置检验过程中,所有数字邮资计采用同样的测试信息。测试样本是在密钥管理系统10与目标数字邮资计之间共享的一信息集。对一特定的数字邮资计,测试样本可存在ROM中。
地球域数字邮资计在离开生产设施时不具有地点特定的信息。这使得数字邮资计存贮在一地域基础上并在最后一刻确定其特定地点。  一地球域数字邮资计的产品代码数是一两字母的产品代码前辍其后紧跟一预定的数。在地点标出之前,一签条序号是一空的信息串。在密钥注册时,产品代码数与签条序号值必须限定,以使域主密钥启动。
现在参看图13,提供了一地球域数字邮资计的过程流程图。地球域数字邮资计的地球域主密钥由地球域橡木过程170产生。地球域主密钥的拷贝存在地球档案存贮器174中。地球域主密钥设置在地球域数字邮资计136中,并由地球域钢过程176检验。地球域主密钥的设置由地球域黄铜过程172识别。地球域主密钥记录由地球黄铜过程172刷新以设置状态。地球域黄铜过程172不参预密钥的注册。
授权的个人通过设定数字邮资计产品代码数和签条序号,指定该地球域数字邮资计136给一地点特定的安全域。一旦数字邮资计136指定给一地点特定的安全域,则它不能返回地球域中。一数字地标记的密钥注册记录由数字邮资计产生,含有产品代码数、签条序号和生产序号。该数字标记的密钥注册记录返回密钥管理系统计算机24。
密钥管理系统计算机24将从地球域档案存贮器176检索地球域主密钥记录。地球域主密钥记录和密钥注册记录送到地点特定的域黄铜过程272。该记录被识别。如果没有发现问题,域主密钥用地点特定的加密密钥加密。域主密钥记录由地点特定的安全域个人密钥加以标记,以使其完整和得以确认。域主密钥记录将送到地点特定的域档案存贮器274。
域档案存贮器74支持域主密钥的长期存贮及检索。这利用橡木箱20、域档案存贮器74和黄铜箱21之间进行的几个交易而完成。当数字邮资计经过生产、分配和用户现场时,域主密钥状态更新。每一状态的变化存入域档案存贮器记录,对域主密钥的生命周期提供完整的密钥活动历史。
现在参看图14和15,提供了有效主密钥状态传送的流程图。在橡木箱20完成密钥的产生过程以后,域主密钥和信息的加密拷贝进入域档案存贮器74。在180处,域主密钥的状态将设定到″新″。域档案存贮器74将分配数据库存贮并写入信息。
在钢箱32和黄铜箱21完成密钥的设置过程以后,域主密钥记录被更新。如果该过程成功,在182处域主密钥的状态可设定到″设置″。如果在密钥的分配或设置过程中出现任何故障,则在184处,域主密钥的状态将设定到″不好″。这些故障可包括信息丢失、信息错误、域主密钥写入数字邮资计存贮器错误、检验测试标记错误或其他。
当对一特定的邮政域,指定一签条序号给数字邮资计时,卖主和邮政域主密钥记录被更新。在186处,主密钥状态设定到启动,对该数字邮资计的识别服务被允许。当数字邮资计退出服务时,卖主和邮政域主密钥记录被更新。在188处,主密钥状态设定到″作废″。
密钥管理系统10包括实际的安全箱和逻辑的安全域集。这些元件间的信息流必须含有足够的信息,以使得过程和检验者能识别信息的共享者。
逻辑安全域由称为域ID的一地址目标来确定。此地址唯一地限定密钥管理系统10中一特定域的一实例。有效域ID的的例子可以是,用于卖主安全域的VE,美国邮政服务安全域的情形的VSPS,以及英国皇家邮政安全域的情形的VKRM。安全域覆盖了多个安全箱,并可覆盖多个档案存贮器。在一个安全箱的实际范围中可同时存在多个安全域。在任何给定的时间,一安全箱中只有一个域启动。在域之间不能有数据传送。
逻辑安全箱目标由称为安全箱型号的一地址目标来确定。此地址唯一地限定参予信息交易的安全箱的功能。橡木箱20是主密钥产生器。钢箱32是主密钥设置箱。黄铜箱21是标记识别箱。锡箱44是远程标记识别箱。
实际安全箱的识别由称为安全箱ID的一地址目标来确定。此地址唯一地限定密钥管理系统10中箱的一实例。它由一安全箱类型和数字标志符构成。
密钥管理系统10的每一元件保持多个构造表,以允许操作软件确定密钥管理系统服务信息的有效性和处理需要。命令表用于识别系统的元件想要什么密钥管理系统服务信息和命令。-KMS系统命令表限定了在系统水平上可接受的所有命令。系统水平上的表的子集由系统元件贮存,该系统元件包括橡木箱20、黄铜箱21、钢箱32、生产箱23、KMS计算机24、密钥分配计算机30和PSR计算机34。所接收到的不包括在本地命令表中的信息被拒绝。
构造表用于识别什么样的密钥管理系统域ID由系统的元件来识别。一KMS系统构造表限定在系统水平上可接受的所有域ID。系统水平上的表的子集由系统的元件贮存,该系统元件包括橡木箱20、黄铜箱21、钢箱32、生产箱23、KMS计算机24、密钥分配计算机30和PSR计算机34。所接收到的不包括在本地构造表中的域ID的信息被拒绝。
记录表用于识别什么样的密钥管理系统记录被系统的元件识别。-KMS系统记录表限定在系统水平上被识别的所有信息记录。该系统水平上的表的子集由系统的元件贮存,该系统元件包括橡木箱20、黄铜箱21、钢箱32、生产箱23、KMS计算机24。密钥分配计算机30和PSR计算机34。所接收到的含有不包括在本地记录表中的信息记录的信息被拒绝。
域橡木过程70将域主密钥传送给域档案存贮器74。现在参看图16,域主密钥(K’DM)在其存入域档案存贮器74之前用域黄铜过程公众密钥(P’BC)加密。从而,域橡木过程70不从域档案存贮器74解码域主密钥(K’DM)。域橡木过程70在域主密钥记录存入域档案存贮器74之前用域橡木过程个人密钥(P’0A)对其进行标记。从而,域黄铜过程72可确信域主密钥记录由域橡木过程70产生。
域橡木过程70将域主密钥(K’DM)发送给域钢过程76。现在参看图17,域主密钥(K’DM)在其传送到域钢过程76之前用域钢过程公众密钥(P’SC)加密。从而,域橡木过程70不会从一分配主密钥记录中解码域主密钥(K’DM)。域橡木过程70在分配主密钥记录传送到域钢过程76之前用域橡木过程个人密钥(P’0A)对其进行标记。从而,域钢过程76可确信分配主密钥记录由域橡木过程70产生。
现在参看图18,显示了对密钥的新旧的检测流程。为了支持上述的安全性需要,一密钥只能设置或试图设置一次,以保证域主密钥是新的。域档案存贮器给所有的域主密钥指定单调排列的密钥ID(KID)。对每一域ID保留独立的密钥ID索引。域橡木过程70和域钢过程76追踪密钥ID值并将其与产生密钥信息和分配主密钥记录中接收到的密钥ID值比较。从而,当一产生密钥信息或分配主密钥记录重播时,域橡木过程70和域钢过程76可检测。
现在参看图19,域钢过程76在主密钥设置记录送到KMS计算机24之前用域钢过程个人密钥(P’SA)对其进行标记。通过这样做,域黄铜过程72可确信主密钥设置记录由域钢过程76产生。
在密钥的注册期间,数字邮资计用卖主主密钥(K’VM)和出政主密钥(K’PM)来标记密钥注册记录。从而,邮政和卖主域黄铜过程72可确信密钥的注册记录值来源于数字邮资计36。然后每一域黄铜过程72用域黄铜过程隐蔽的DES密钥对域档案存贮器记录中的域主密钥进行加密。结果,域黄铜过程72可确信其他的域黄铜过程没有读该密钥材。域黄铜过程72在域主密钥记录送入域档案存贮器74之前,用域黄铜处理隐藏的DES密钥对其进行标记。从而,域黄铜过程72能确信该域主密钥记录仅由域黄铜过程72修改。对黄铜过程信息的一邮资计的一个例子如图20中所示。
密钥管理系统10在域主密钥的有效生命期间,保持时间过程的检查跟踪。这些过程表明密钥管理系统10何时采取行动。对于成功的域主密钥应用,列出的时间过程必须增加。时间过程超越在先过程的系统信息将被拒绝。所接收到的其时间超越密钥管理系统密钥注册时间的识别请求将被拒绝。
在本发明的优选实施例中,KMS计算机24记录KMS请求时间,该时间是当从密钥分配计算机30接收到一请求命令时。PSR计算机34记录PSR设置时间,该时间是当一设置密钥命令发送给一钢箱32时。KMS计算机24记录KMS设置时间,该时间是当从密钥分配计算机30接收到一设置密钥识别命令时。数字邮资计36记录邮资计注册日期,该日期是当从通信口或用户接口接收到一注册签条命令时。KMS计算机24记录KMS密钥注册时间,该时间是当从数字邮资计接收到一注册签条识别命令时。
在另一实施例中,当从KMS计算机24接收到产生密钥命令时,橡木箱20记录本地时间。当接收到设置密钥命令时,钢箱32记录本地时间。当从密钥管理系统计算机24接收到一密钥识别请求时,黄铜箱21记录本地时间。
密钥管理系统10对密钥管理系统服务信息提供误差检测和报告进程集。当信息在准备、通过通信线传送、接收或由接收单元处理时,可能出现问题。当在系统中检测到误差时,命令源将被告知,在系统误差记录表中将做一个记录。
现在参看图21,提供了误差处理的一概要的方框图。系统中的误差以三个不同的级别来检测。误差处理的第一级别在PB232协议中执行。此协议通过使用STX和ETX控制标志,给信息提供框架。通过使用预定的类代码(Class Code),提供信息的识别。通过使用误差检测代码,提供信息的完整性。如果接收到的信息符合这些进程,则接收者将发送一正的确认控制符号。如果不,则接收者将发送一非确认控制符号。发送元件将试图重新传送信息或采取其他校正行动。PB232误差处理进程是一常规的类型。
误差处理的第二级别通过密钥管理系统10命令处理过程来执行。它们将接收到的命令与限定在一命令表中的期望的命令集进行比较。命令域被识别。期望的参数的数目被检测。单个参数的句法被检测。如果在命令中发现任何误差,则一命令误差信息将返回给命令源。
误差处理的第三级别通过密钥管理系统10命令处理过程来执行。它们将命令中的参数与定义在一构造表中的期望的参数进行比较。单个参数对照构造表进行检验。不同参数的组合对照构造表进行检验。硬件源与数据库记录的有效性被检验。信息元件的标记和加密信息元件的有效性被检验。  如果在命令中或命令的处理中发现任何误差,则一命令响应信息将随一响应代码返回。如果在响应中发现任何误差,则一命令响应误差信息将随一响应代码返回。
下面的段落对密钥管理系统10的安全箱初始化过程提供一概述,如图22和23中所示。如上所述,在本发明的优选实施例中有四种类型的密钥管理系统安全箱。生产箱23负责密钥管理系统和安全箱的初始化。橡木箱20负责域主密钥的产生。钢箱32负责域主密钥的设置。黄铜箱21负责域主密钥注册和标记识别。在另一实施例中,锡箱是一远程标记识别箱。
现在参看图22,第一生产箱23必须初始化。生产箱操作软件被装入并测试。安全箱ID初始化到M00000000。当生产箱23启动时,安全箱ID被询问。如果它设定到M00000000,生产箱23等待来自KMS计算机24的设定第一安全箱ID信息。然后KMS计算机24命令第一生产箱23将安全箱ID设定到M00000001。然后第一生产箱23接收并检验该信息。如果没有发现误差,第一生产箱23产生一操作集合101和操作共享密钥102的集。操作共享密钥102写到可移动介质上。
接着,第一生产箱23产生两个RSA密钥对,一个用于域密钥集的保密,另一个用于域密钥集的确认。这些密钥划分为域共享(Domain Share)并写到可移动介质上。密钥用于在域密钥集送到KMS计算机24和写到档案存贮器或可移动介质上之前对其进行加密和标记。第一生产箱23产生安全箱确认密钥集。为每一类型的箱,即生产、橡木、钢和黄铜,产生一RSA密钥对。每一类型的箱的公众密钥写到可移动介质上。然后该密钥必须通过软件工程写入安全箱操作软件中。在所有操作共享和确认密钥成功写入之后,安全箱ID将设定到M00000001。
KMS计算机24请求生产箱23产生一域。生产箱23在内存中建立域ID,并产生需要的域密钥110,该域密钥110用域密钥集103保密密钥来加密,并用域密钥集103确认密钥来标记。该加密和标记过的域密钥写到档案存贮器和/或可移动介质上。
额外的生产箱23由一源生产箱来初始化,该源生产箱是已经初始化的任一生产箱。生产箱操作软件装入每一额外的生产箱23并在其中测试。安全箱ID设定到M00000000。当生产箱23第一次启动时,它对安全箱ID进行询问。如果是M00000000,生产箱23从源生产箱等待一设定安全箱ID信息。KMS计算机24命令生产箱初始化每一额外的生产箱23。源生产箱分配下一生产安全箱ID,用生产箱个人启动确认密钥对信息加以标记,并将其送入生产箱23。生产箱23存贮安全箱ID并产生一生产箱启动保密密钥。安全箱ID和公众启动保密密钥送回源生产箱,并用生产箱个人启动确认密钥加以标记。KMS计算机24命令源生产箱给生产箱产生一域产生过程。需要的域密钥元件用启动保密密钥发送到生产箱23。这个过程对所有需要的域进行重复。
任何时候当域增加到一生产箱23时,其他初始化的生产箱必须更新以反映这另外的域。在优选实施例中,所有初始化的生产箱用相同的密钥数据来成形。
对于橡木箱的初始化,橡木箱操作软件被装入并测试。安全箱ID设定到000000000。当橡木箱20第一次启动时,对安全箱ID进行询问。如果是000000000,橡木箱20从生产箱23等待一设定安全箱ID信息。KMS计算机24命令生产箱23初始化橡木箱20。生产箱23分配下一橡木安全箱ID,并用个人橡木箱启动确认密钥对信息加以标记,并将其送入橡木箱20,橡木箱20存贮安全箱ID并产生一橡木箱启动保密密钥。将安全箱ID和公众启动保密密钥送回生产箱,并用橡木箱公众启动确认密钥加以标记。KMS计算机24命令生产箱23给橡木箱20产生一域橡木过程。需要的域密钥元件用启动保密密钥传送到橡木箱20。此过程使得橡木箱20对一域执行域橡木过程70。此过程对一特定的橡木箱需要的所有域重复。
对于钢箱的初始化,钢箱操作软件被装入并测试。安全箱ID设定到S00000000。当钢箱32第一次启动时,对安全箱ID进行询问。如果是S00000000,钢箱32从生产箱23等待一设定安全箱ID信息。KMS计算机24命令生产箱23初始化钢箱32。生产箱23分配下一钢安全箱ID,并用钢箱个人启动确认密钥对信息加以标记,并将其送到钢箱32。钢箱32存贮安全箱ID,并产生一钢箱启动保密密钥。将安全箱ID和公众启动保密密钥送回生产箱23,并用钢箱公众启确认密钥加以标记。KMS计算机24命令生产箱23给钢箱32产生一域钢过程76。需要的域密钥元件用启动保密密钥发送给钢箱32。此过程使得钢箱32对一域执行域钢过程76。此过程对一特定钢箱需要的所有域重复。
对于黄铜箱的初始化,黄铜箱操作软件被装入并测试。安全箱ID设定到B00000000。当黄铜箱21第一次启动时,对安全箱ID进行询问。如果是B00000000,黄铜箱21从生产箱23等待一设定安全箱ID信息。KMS计算机24命令生产箱23初始化黄铜箱21。生产箱23分配下一黄铜安全箱ID,用黄铜箱个人启动确认密钥对信息加以标记,并将其送入黄铜箱21。黄铜箱21存贮安全箱ID并产生一黄铜箱启动保密密钥。将安全箱ID和公众启动保密密钥送回生产箱23,并用黄箱公众启动确认密钥加以标记。KMS计算机24命令生产箱23给黄铜箱21产生一域黄铜过程。需要的域密钥元件用启动保密密钥发送给黄铜箱21。此过程使得黄铜箱21对一域执行黄铜过程。此过程对一特定黄铜箱需要的所有域重复。
现在参看图24~27,显示了密钥管理系统10的域主密钥设置过程的概况。在卖主与任何邮政域之间不存在区别。每个均以类似的独立方式操作。为了将域主密钥的全集成功地设置到数据邮资计36,对卖主域运行操作集,而对选择的邮政域运行另一操作集。
现在参看图24、29和30,在生产过程的产生期间,域主密钥请求来自密钥分配计算机30。在300处,该请求在信息MIO中带着钢箱32的识别号从密钥分配计算机30送到KMS计算机24。在302处,KMS计算机24从域档案存贮器74中请求一密钥ID,然后为该域产生一唯一的密钥ID。在304处,域档案存贮器74在信息MIO’中将一密钥ID响应发送给KMS计算机24。KMS计算机24对一检查追踪记录本地时间,并在306处,在一产生密钥信息MI1中将信息发送给橡木箱20。橡木箱20检查该请求,以确定域的有效性,对于该域钢箱ID的有效性,以及对于此域密钥ID是否高于上次处理的。如果检查的任何一次出错,则橡木箱20返回一错误信息给KMS计算机24。如果检查无误差,则橡木箱24产生一域主密钥以及测试标记集。在308处,橡木箱20在信息MI2中发送一域主密钥记录给KMS计算机24。在310处,KMS计算机24在信息MI3中,将域主密钥记录提供给域档案存贮器74。域档案存贮器74将域主密钥记录存入数据库中,并在312处将一响应送给KMS计算机24。在314处,KMS计算机24发送该响应给橡木箱20,橡木箱20在316处发送一产生响应信息给KMS计算机24。在318处,KMS计算机24在一请求响应信息MI4中将设置密钥记录发送给密钥分配计算机30。
现在参看图25,当在生产线上出现一数字邮资计36时,在330处,PSR计算机34从密钥分配计算机30请求一设置域密钥记录。在330处,密钥分配计算机30在信息MI4’中发送一设置域密钥记录给PSR计算机,该信息在334处进一步发送给钢箱32。钢箱32询问数字邮资计36的信息,然后在336处,将信息MI5中的域主密钥发送给数字邮资计36。数字邮资计设置和检测该密钥,并将状态返回钢箱32,钢箱32向数字邮资计询问邮资计测试标记集。在338处,邮资计测试标记在信息MI6中返回钢箱32,钢箱32对比从橡木箱20接收到的测试标记对该邮资计测试标记进行检验。从而,钢箱32检验由橡木箱24产生的域主密钥是否与设置在数字邮资计36中的密钥相同。在340处,钢箱32经PSR计算机和密钥分配计算机30在信息MI7中发送设置状态和信息给密钥管理计算机24。密钥管理计算机24从域档案存贮器中检索一域主密钥记录,取用一本地时间标记,并在342处,在信息MI8中发送信息给黄铜箱21。黄铜箱21从域档案存贮器74的域主密钥记录中产生测试标记。这些标记与邮资计测试标记比较。这过程检验域档案存贮器中的域主密钥是否与数字邮资计中设置的密钥相同。如果检查完毕,则域主密钥记录更新,并于344处在信息MI9中发送给密钥管理计算机24。密钥管理计算机24在信息MI9中将域主密钥记录发送给域档案存贮器74,如果成功,则在346处返回一响应给黄铜箱21。黄铜箱21检查响应,并在信息MI10中返回一成功或失败识别给KMS计算机24(于348处)以及给密钥分配计算机30。
密钥的注册由注册地点、签条号与产品代码号和密钥的组合构成。该密钥然后采用一保密密钥存入设置域的地点支域中,该保密密钥对于该地点支域是特定的。基本的特征是,对于该地点支域为特定的黄铜过程依赖于设置域以安全而完整地设置密钥。密钥不会从一设置域转到另一设置域。
现在参看图26和31,当数字邮资计准备用于一特定的安全域时,信息MR1中的签条序号和/或产品代码号进入数字邮资计中。在360处,PSR计算机34从数字邮资计36中请求注册标记。数字邮资计产生两个数字标记并在362处将其返回PSR计算机。PSR计算机将标记与其他邮资计信息结合,并在364处将得到的记录经密钥分配计算机30发送给密钥管理计算机24。在366处,密钥管理系统计算机24从域档案存贮器检索一域主密钥记录,取用一本地时间标记,并在信息MR2中发送信息给黄铜箱21。黄铜箱21从域档案存贮器74的域主密钥记录产生注册标记。这些标记与邮资计注册标记比较。此过程检验签条序号、产品代码号和生产序号是否由数字邮资计正确地报告。如果检查完毕,则域主密钥记录更新,并在368处发送给KMS计算机24。密钥管理系统计算机24在信息MR3中发送域主密钥记录给域档案存贮器74,如果成功,则在370处返回一响应给黄铜箱21。黄铜箱21检查响应,并在372处在信息MR4中返回一成功或失败识别给密钥管理系统计算机24。
每一域具有至少一支域,该支域负责将密钥注册到签条号,并在该支域中进行签条识别。特定的地球域具有多个地点支域。  一地点可以在地球域的一支域中具有邮资计,以及在其本身的邮政域的唯一支域中具有邮资计。在图32所示的例子中,地点3具有唯一的邮政域和地球域的一邮政支域。然而,地点A仅有其密钥设置在该地点的唯一邮政域中的邮资计。
现在参看图27,如果一数字邮资计退出服务,则该信息被记录并发送给KMS计算机24。密钥管理计算机24从域档案存贮器检索一域主密钥记录,取用本地时间标记,并在380处发送信息给黄铜箱21。域主密钥记录更新,并在382处发送给密钥管理计算机24。密钥管理计算机发送域主密钥记录给域档案存贮器,如果成功,则在384处返回一响应给黄铜箱21。黄铜箱21检查响应,并在386处,返回一成功或失败识别给密钥管理计算机24。
每一邮资计采用域主密钥为每一域产生一暂存密钥,这里也称之为一标记密钥,该暂存密钥用于从邮件数据产生一标记。密钥管理系统将邮政暂时密钥分配给具有一分配器标记识别箱44(图1)的授权的邮政识别点,在这里箱44也称为锡箱。邮政暂存密钥被锡箱44用于签条的本地识别。在这样的结构下,密钥管理系统提供更高水平的安全性,因为邮件能得到签条的本地识别,不用将主密钥数据库分配到多个点。
下面的段落提供对密钥管理系统10的识别过程的概述。在卖主和任一邮政域之间不存在区别。每一过程以类似的方式独立地操作。为了成功地识别两个标记,对卖主域运行一操作集,而对选择的邮政域运行另一操作集。
标记识别请求来自邮政设施18上的一数据捕获系统19。该请求含有打印在实际邮件上的信息的一ASCII文本表示。现在参看图28,在400处,请求被送到位于卖主或邮政数据中心里的一密钥管理系统计算机24。密钥管理系统计算机24检查邮件数据校验位,如果需要予以校正。密钥管理计算机24从域档案存贮器检索一域主密钥记录,并在402处发送信息给黄铜箱21。黄铜箱21检查该请求,并识别域主密钥是否启动。黄铜箱21利用来自域档案存贮器的域主密钥和邮件信息,重新计算所选择的域的标记。计算得到的标记与邮件标记比较,看其是否匹配。一好/坏比较结果在404处送给KMS计算机24。第二个例子如图28中所示,以强调需要另一识别以识别其他的域标记。
本发明的上述描述是优选的实施例,其中,邮局授权一卖主产生邮政主密钥并将其设置到数字邮资计中。该密钥随后被送到邮政数据中心16以用于邮政标记的确认。密钥管理系统具有功能、安全箱和数据库的不同分配的能力。例如,在另一实施例中,一邮局授权卖主或另一单位维持和操作邮政数据中心16,包括邮政密钥的产生、保持、标记识别以及将密钥传送给卖主的功能。在此实施例中,邮政黄铜箱40和邮政密钥档案存贮器42实际位于卖主或其他单位的位置上。在另一实施例中,邮局管理其数据中心,而邮政橡木箱22实际位于邮政数据中心16内。
在另一实施例(未显示)中,密钥管理系统功能,即域橡木过程、域钢过程或域黄铜过程的任何组合可以集中到任一安全箱中。
从而,可以理解,密钥管理系统具有特有的灵活性,允许不同的域即邮局实现同样的逻辑密钥管理系统的不同的实际执行过程。该密钥管理系统在保持高水平的系统完整性和安全性的同时提供这样的灵活性。进一步可以理解,本发明允许多个卖主支持多个邮局。
利用涉及数字邮资计的表示的优选实施例,已对本发明进行了描述。本领域的技术人员可以理解,本发明也适用于作为通用的交易证实的一密钥管理系统,如货币交易、产品交易和信息交易。
在这里使用时,″数字邮资计″这个词表示与固定的打印装置连在一起的常规类型的数字邮资计,以及与非固定的打印装置连在一起的或具有与此常规数字邮资计不同的其他构造的别的类型的数字邮资计。
虽然本发明仅用一个实施例来进行了公开和描述,显然,如上所述,可以做出变化和修改。因此,在下面的权利要求中,期望覆盖落入本发明的实质和范围中的每一变化和修改。

Claims (7)

1.一种构成交易证实装置的方法,包括步骤:
a)在一密钥管理系统的一逻辑安全域中产生一主密钥;
b)将该主密钥设置到一交易证实装置中;
c)识别该主密钥的设置;以及
d)将该主密钥注册到该密钥管理系统中的一逻辑安全支域中。
2.如权利要求1所述的方法,其中所述的产生主密钥的步骤还包括步骤:
产生一域;
产生至少一支域;
将该域设置到该密钥管理系统的安全箱中;
在该域中产生一主密钥和测试标记;以及
将该主密钥记录到域档案存贮器中。
3.如权利要求1所述的方法,其中所述的设置主密钥的步骤还包括步骤:
将该主密钥设置到一交易证实装置中;以及
将该主密钥与一实际的装置识别器相连。
4.如权利要求1所述的方法,其中所述的识别主密钥的步骤还包括步骤:
在该交易证实装置中产生一标记;
识别该测试标记与交易证实装置产生的标记是相同的;
从该档案存贮器中的一主密钥产生一标记;以及
识别该交易证实装置产生的标记与该档案存贮器产生的标记是相同的。
5.如权利要求1所述的方法,其中所述的将主密钥注册到该密钥管理系统中的一逻辑安全支域中的步骤还包括步骤:
给该交易证实装置指定一支域;
在该交易证实装置中设置一逻辑装置识别器;
将该逻辑装置识别器与实际的装置识别器相连;
根据该逻辑装置识别器和该实际装置识别器,在该交易证实装置中产生一注册标记;
使用该档案存贮器中的该主密钥记录产生注册标记;
识别注册标记是相同的;以及
将该主密钥记录在支域中。
6.如权利要求1所述的方法,还包括步骤:
对指定给该交易证实装置的每一域重复步骤a~d。
7.如权利要求1所述方法,其中该交易证实装置是一数字邮资计。
CN96110338.8A 1995-03-31 1996-03-31 在一密钥管理系统中生产通用邮资计的一种方法 Expired - Lifetime CN1128522C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US415824 1989-10-02
US08/415,824 US5680456A (en) 1995-03-31 1995-03-31 Method of manufacturing generic meters in a key management system

Publications (2)

Publication Number Publication Date
CN1148765A CN1148765A (zh) 1997-04-30
CN1128522C true CN1128522C (zh) 2003-11-19

Family

ID=23647355

Family Applications (1)

Application Number Title Priority Date Filing Date
CN96110338.8A Expired - Lifetime CN1128522C (zh) 1995-03-31 1996-03-31 在一密钥管理系统中生产通用邮资计的一种方法

Country Status (7)

Country Link
US (1) US5680456A (zh)
EP (1) EP0735721B1 (zh)
JP (1) JPH09190555A (zh)
CN (1) CN1128522C (zh)
BR (1) BR9601233A (zh)
CA (1) CA2172861C (zh)
DE (1) DE69636631T2 (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US6064989A (en) * 1997-05-29 2000-05-16 Pitney Bowes Inc. Synchronization of cryptographic keys between two modules of a distributed system
US6029137A (en) * 1997-05-29 2000-02-22 Pitney Bowes Inc. Updating domains in a postage evidencing system
US6233565B1 (en) 1998-02-13 2001-05-15 Saranac Software, Inc. Methods and apparatus for internet based financial transactions with evidence of payment
US6144950A (en) * 1998-02-27 2000-11-07 Pitney Bowes Inc. Postage printing system including prevention of tampering with print data sent from a postage meter to a printer
US6343361B1 (en) 1998-11-13 2002-01-29 Tsunami Security, Inc. Dynamic challenge-response authentication and verification of identity of party sending or receiving electronic communication
US6738899B1 (en) 1999-03-30 2004-05-18 Pitney Bowes Inc. Method for publishing certification information certified by a plurality of authorities and apparatus and portable data storage media used to practice said method
US6847951B1 (en) 1999-03-30 2005-01-25 Pitney Bowes Inc. Method for certifying public keys used to sign postal indicia and indicia so signed
US6704867B1 (en) 1999-03-30 2004-03-09 Bitney Bowes, Inc. Method for publishing certification information representative of selectable subsets of rights and apparatus and portable data storage media used to practice said method
US6711680B1 (en) * 1999-12-09 2004-03-23 Pitney Bowes Inc. Method of limiting key usage in a postage metering system that produces cryptographically secured indicium
US6473743B1 (en) * 1999-12-28 2002-10-29 Pitney Bowes Inc. Postage meter having delayed generation of cryptographic security parameters
KR20040007417A (ko) * 2000-11-28 2004-01-24 나그라비젼 에스에이 거래 인증
US6867707B1 (en) * 2002-04-24 2005-03-15 Elster Electricity, Llc Automated on-site meter registration confirmation using a portable, wireless computing device
US20040086141A1 (en) * 2002-08-26 2004-05-06 Robinson Arthur E. Wearable buddy audio system
US7319989B2 (en) * 2003-03-04 2008-01-15 Pitney Bowes Inc. Method and system for protection against replay of an indicium message in a closed system meter
US20040177049A1 (en) * 2003-03-04 2004-09-09 Pitney Bowes Incorporated Method and system for protection against parallel printing of an indicium message in a closed system meter
US8670564B1 (en) 2006-08-14 2014-03-11 Key Holdings, LLC Data encryption system and method
DE102007052458A1 (de) 2007-11-02 2009-05-07 Francotyp-Postalia Gmbh Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
US11132685B1 (en) 2020-04-15 2021-09-28 Capital One Services, Llc Systems and methods for automated identity verification
CN115396396A (zh) * 2022-08-24 2022-11-25 珠海安士佳电子有限公司 一种安防设备唯一标识智能分配系统

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4281216A (en) * 1979-04-02 1981-07-28 Motorola Inc. Key management for encryption/decryption systems
US4578531A (en) * 1982-06-09 1986-03-25 At&T Bell Laboratories Encryption system key distribution method and apparatus
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
US4972472A (en) * 1985-03-15 1990-11-20 Tandem Computers Incorporated Method and apparatus for changing the master key in a cryptographic system
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
US4916738A (en) * 1986-11-05 1990-04-10 International Business Machines Corp. Remote access terminal security
GB8704920D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging system
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values
US4873645A (en) * 1987-12-18 1989-10-10 Pitney Bowes, Inc. Secure postage dispensing system
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US4888802A (en) * 1988-06-17 1989-12-19 Ncr Corporation System and method for providing for secure encryptor key management
US4935961A (en) * 1988-07-27 1990-06-19 Gargiulo Joseph L Method and apparatus for the generation and synchronization of cryptographic keys
US5016277A (en) * 1988-12-09 1991-05-14 The Exchange System Limited Partnership Encryption key entry method in a microcomputer-based encryption system
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5048087A (en) * 1989-02-03 1991-09-10 Racal Data Communications Inc. Key management for encrypted packet based networks
DE69014361T2 (de) * 1989-03-23 1995-04-27 Neopost Ind Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.
US4956863A (en) * 1989-04-17 1990-09-11 Trw Inc. Cryptographic method and apparatus for public key exchange with authentication
US5148481A (en) * 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5173938A (en) * 1990-09-27 1992-12-22 Motorola, Inc. Key management system
US5247576A (en) * 1991-02-27 1993-09-21 Motorola, Inc. Key variable identification method
US5214698A (en) * 1991-03-20 1993-05-25 International Business Machines Corporation Method and apparatus for validating entry of cryptographic keys
US5200999A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US5245658A (en) * 1992-01-06 1993-09-14 George Bush Domain-based encryption
JPH05281906A (ja) * 1992-04-02 1993-10-29 Fujitsu Ltd 暗号鍵共有方式
US5237611A (en) * 1992-07-23 1993-08-17 Crest Industries, Inc. Encryption/decryption apparatus with non-accessible table of keys
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5390251A (en) * 1993-10-08 1995-02-14 Pitney Bowes Inc. Mail processing system including data center verification for mailpieces

Also Published As

Publication number Publication date
DE69636631T2 (de) 2007-08-23
JPH09190555A (ja) 1997-07-22
BR9601233A (pt) 1998-01-06
CA2172861A1 (en) 1996-10-01
US5680456A (en) 1997-10-21
EP0735721B1 (en) 2006-10-18
EP0735721A3 (en) 1999-10-06
CA2172861C (en) 2000-05-16
DE69636631D1 (de) 2006-11-30
EP0735721A2 (en) 1996-10-02
MX9601258A (es) 1997-09-30
CN1148765A (zh) 1997-04-30

Similar Documents

Publication Publication Date Title
CN1128522C (zh) 在一密钥管理系统中生产通用邮资计的一种方法
CN1136512C (zh) 密钥管理系统中的记号验证方法
CN1193314C (zh) 密钥管理和确认系统
CN1326349C (zh) 内容分配系统
US6085322A (en) Method and apparatus for establishing the authenticity of an electronic document
CN101958795B (zh) 密钥存储设备及管理方法与生物认证设备、系统及方法
US5742682A (en) Method of manufacturing secure boxes in a key management system
JP4788212B2 (ja) デジタル署名プログラム及びデジタル署名システム
EP3621285B1 (en) Authenticity determination system, image forming apparatus, and printing method
CA2974409C (en) Method and system of electronic voting implemented in a portable device
CN110753016B (zh) 一种基于区块链的实名认证方法
CN110599270A (zh) 电子票据生成方法、装置和计算机设备
CN101046899A (zh) 基于公钥基础设施的电子门票系统及方法
CN112564921A (zh) 一种基于区块链的可信电子文档的实现和验证方法及系统
Ford A public key infrastructure for us government unclassified but sensitive applications
US20140170627A1 (en) System and method for electronic test delivery
ZA200407274B (en) Method and device for the generation of checkable forgery-proof documents.
MXPA96001258A (en) A manufacturing method of generic subscribers in a cla administration system
MXPA96001257A (en) A method of verification of symbols designators in an administration system
JP2006243892A (ja) データ入力・検証システム
MXPA96001259A (es) Un sistema de administracion y validacion de claves criptograficas
US20130219515A1 (en) System and Method for Providing Tools VIA Automated Process Allowing Secure Creation, Transmittal, Review of And Related Operations on, High Value Electronic Files
KR20040082768A (ko) 전자인증 서비스 장치 및 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CX01 Expiry of patent term

Granted publication date: 20031119

EXPY Termination of patent right or utility model