CN1148765A - 在一键管理系统中生产通用检测仪的一种方法 - Google Patents

在一键管理系统中生产通用检测仪的一种方法 Download PDF

Info

Publication number
CN1148765A
CN1148765A CN96110338.8A CN96110338A CN1148765A CN 1148765 A CN1148765 A CN 1148765A CN 96110338 A CN96110338 A CN 96110338A CN 1148765 A CN1148765 A CN 1148765A
Authority
CN
China
Prior art keywords
territory
key
major key
case
produce
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN96110338.8A
Other languages
English (en)
Other versions
CN1128522C (zh
Inventor
W·J·贝克
F·巴托尔
R·A·科德里
F·M·迪波利托
K·D·亨特
K·V·劳顿
D·K·李
L·J·洛利希
S·J·保利
L·A·平特索夫
I·A·西韦耶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PITHEY BOWES Inc
Original Assignee
PITHEY BOWES Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PITHEY BOWES Inc filed Critical PITHEY BOWES Inc
Publication of CN1148765A publication Critical patent/CN1148765A/zh
Application granted granted Critical
Publication of CN1128522C publication Critical patent/CN1128522C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/00024Physical or organizational aspects of franking systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00435Details specific to central, non-customer apparatus, e.g. servers at post office or vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00362Calculation or computing within apparatus, e.g. calculation of postage value
    • G07B2017/00427Special accounting procedures, e.g. storing special information
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/0075Symmetric, secret-key algorithms, e.g. DES, RC2, RC4, IDEA, Skipjack, CAST, AES
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • G07B2017/00798Time-dependency using timestamps, i.e. recording time in message
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency
    • G07B2017/00806Limited validity time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00822Cryptography or similar special procedures in a franking system including unique details
    • G07B2017/0083Postal data, e.g. postage, address, sender, machine ID, vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00854Key generation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • G07B2017/00887Key distribution using look-up tables, also called master tables with pointers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/00895Key verification, e.g. by using trusted party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00919Random number generator
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00951Error handling, e.g. EDC (Error Detection Codes)
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Abstract

一种生产交易表示装置如数字邮资检测仪的方法,包括步骤,在一键管理系统的一逻辑安全域中产生一主键;将该主键设置到一数字邮资检测仪中;识别该主键的设置;以及将该主键注册到该键管理系统中的一逻辑安全支域中,产生主键的步骤还包括步骤,产生一域;产生至少一支域;将该域设置在该键管理系统的安全箱中;在该域中产生一主键和测试标记;以及将该主键记录在域档案存贮器中,设置主键的步骤还包括步骤,将该主键设置到一数字检测仪中;以及将该主键与一唯一的装置识别器相连。

Description

在一键管理系统中生产 通用检测仪的一种方法
本发明一般地涉及用于加密键管理的一个系统,特别地,涉及用于分配给邮资检测仪的加密键的管理的一系统。
这里提交的本申请与美国申请相关(代理人签条E-335,E-370),并指定由本发明的代理人代理。
数字打印技术使得邮寄人员可以方便的形式实现数字,即,位映射可寻址(bit map addressable)的打印。人们期望采用这种技术以用于表示邮资的给付。数字打印技术的发展使得打印邮资签条成为可能,该邮资签条对每一邮件而言是唯一的。一个计算机驱动的打印机能够打印,例如在一邮件的表面的期望位置上打印一邮资签条。该签条是唯一的,因为它包括了直接涉及该邮件的信息,例如,邮资值,日期,件数和/或邮寄地邮编。
站在邮局的立场上来看,由于任何合适的计算机和打印机均可用于产生一图像的多个拷贝,因此数字打印和扫描技术使得伪造带有签条的邮资非常容易。
为了确认一邮件,即确保打印在一邮件上的邮资已经过了计算,已知的一种方法是作为邮资已付戳的一部分,包括有一密码,使得从该密码可确定已付邮资的值,从而知道打印在邮件上的值是否正确。例如,见Edelmann等人的美国专利4757537和4775246,以及Eckert的美国专利4649266。已知的确认一邮件的另一方法是将地址作为密码的一部分,如Sansone等人的美国专利4725718,及Fougere等人的美国专利4743747。
Pastor的美国专利5170044描述了一种方法和装置,用于以签条的形式表示二进制信息,该签条包括一二进制的象素矩阵。实际的象素矩阵被扫描以识别邮件的提供者,并还原其他密码简易测试信息。Pastor的美国专利5142577描述了DES编码的各种方案,以对一信息进行加密,并将解码的邮政信息与邮件上的简易测试信息进行比较。
Pastor等人的美国专利5390251描述了一个系统,用于控制来自邮资检测仪的潜在的大量用户的邮件上的签条打印的有效性,该系统包括置于每一检测仪中的装置以用于产生一代码并将该代码打印在各邮件上。该代码是一密码,表示了打印该签条的装置,以及由该邮件上的邮资正当的唯一确定的其他信息。
一数字检测仪通过在信封上用两个″数字标记(digital token)″加注邮政信息而提供邮资给付的数据。一个数字标记向邮政服务部门提供数据,而第二个数字标记向卖主如本发明的代理提供数据。一数字标记是是对加密签条信息的结果的截取,该加密签条信息包括,例如邮资值、件数、邮寄日、以及邮寄地的邮局。
正在开发一种新的数字检测仪,该检测仪采用加密装置以产生邮资给付的数据。该加密采用一加密键进行。在各数字检测仪中,采用独立的键以产生数字标记。为了安全的缘故,不同检测仪中的键也是独立的。有关检测仪和邮件的信息与卖主及邮局主键或从其导出的键结合并加密。所产生的信息段打印在邮件上作为数字标记。该信息与标记可通过一装置来检验,该装置以同样的方式处理该信息并将得到的数字标记与那些打印在邮件上的进行比较。
需要一键管理系统以安全而可靠的方式将加密键分配给数字检测仪。该键管理系统必须包括检验签条与数字标记以检测出伪造的签条和复制的签条的装置。
人们期望该键管理系统具有产生不用指定目的地的检测仪的能力,即产生可以编制的通用检测仪。然而,产生通用检测仪造成的问题是,或者需要在字段中设置键,或者需要在域之间进行键的变换。两种方式均带来对安全性和键的完整性的威胁。人们期望一键管理系统包括有避免这些问题的装置。
本发明提供一种产生业务往来显示装置如数字邮资检测仪的方法。一些检测仪是在不知道目的地的情况下产生。这带来的问题是,或者需要在字段中设置键,或者需要在域之间进行键的变换。两种方式均对安全性和键的完整性构成威胁。在本发明中,通过设置一单独的域,称之为地球域(Earth domain),避免了这些问题的出现。通过设置这里称之为地球域的一单独的域,在本发明中避免了与通用检测仪有关的上述问题。本发明提供了在制造过程中当目的地不明时安全地管理数字检测仪键的能力。
根据本发明,检测仪键产生并设置在检测仪产生的邮政域之下的一数字检测仪中。当检测仪的一签条序号注册时,即运行时,邮局的地点即可知道。该地点的识别箱则识别该注册,然后一检测仪键被保留,最好通过一签条序号来进行索引。每一地点的识别箱保留该地点的检测仪键,以与该地点特定的保密键进行加密。
根据本发明,任何接收在制造过程中没有明确针对该地点进行初始化的检测仪的地点,则将接收地球域检测仪。该地点的安全识别箱被启动以作为该地点的数据库加密键的地球域识别过程。如果一地点具有明确为该地点的邮政域制造的检测仪和在地球邮政域下制造的检测仪,则该地点的识别箱必须能够在地球域的该地点的支域,以及在该地点的本域中进行操作。
本发明包括下述步骤,在一键管理系统的逻辑安全域中产生一主键;该将主键设置到一数字邮资检测仪中;识别该设置的主键;并将该主键注册到该键管理系统中的一逻辑安全支域中。产生该主键的步骤还包括,产生一域的步骤;产生至少一个支域;将该域设置在键管理系统的安全箱中;在该域中产生一主键和测试标记;并将主键记录在域档案存贮器中。主键的设置步骤还包括,将主键设置到一数字检测仪中的步骤;并使主键与一唯一的设备识别器相联系。将主键注册到该键管理系统中的一逻辑安全支域中的步骤还包括,给数字检测仪指定一支域;在数字检测仪中设置一邮政识别器;使该邮政识别器与该唯一的设备识别器相联系;根据邮政识别器和该唯一的设备识别器在数字检测仪中产生一注册标记;利用记录在档案存贮器中的主键,产生注册标记;识别注册标记是同样的;并将主键记录在支域中。对于给数字邮资检测仪指定的每一个域,重复上述步骤。
该键管理系统包括用于产生、分配和管理加密键的装置,该加密键由一信息交易系统采用,该交易系统采用加密装置以产生信息完整的数据。该系统包括多个功能不同而操作相互联系的安全箱。每一安全箱的功能分别对应键的产生,键的设置,键的识别或标记的确认。计算机与安全箱的结合运行,提供系统控制并在安全箱中提供方便的通讯。多个单独的逻辑安全域为键的产生、键的设置、键的识别以及通过该域中交易显示装置采用该键管理功能而产生的标记的确认提供域的处理。多个域档案存贮器,分别相应于各安全域,安全而可靠地为各域记录键的状态记录和主键。该键管理系统将主键设置在交易显示设备中,并确认该标记。该安全箱包括一键产生箱以产生、加密并标记一主键;一键设置箱用于接收、识别和解码该标记的主键,并将该主键设置到该交易显示设置中;一键识别箱用于识别该交易显示设备中设置的主键,一标记识别箱用于识别该标记,而至少有一个产生箱用于产生每一域的域键并在安全箱中分配该域键。
根据本发明的优选实施例,一键管理系统产生加密键,如卖主键、VSPS键和其他地点邮政键,并将其分配给多个域的数字检测仪。一个域是通过唯一域确认与加密键强制执行的数据与功能的逻辑分离。该键管理系统防止域之间键的任何调换,提供在一域中键在该域中产生,并且由该系统设置在仅一个检测仪中的保证。该键管理系统为多个域安全地分配并保持加密键。另外,该键管理系统这样构造,使得所有域的键管理是一样的。
该键管理系统支持下述的安全需要:(1)检测仪键总是加密的;(2)在系统的生命期内总是具有识别签条信息的能力;(3)检测仪主键的状态必须总是精确地保持;(4)域的划分必须保持,以产生和识别签条;以及(5)一个键只能设置或试图设置一次。
本发明的上述和其他目的及优点通过下面结合附图的详细描述将会更清楚,其中相同的参考符号表示相同的部件,其中:
图1是根据本发明的一加密键管理与确认系统的方框图;
图2是一方框图,显示了图1中的键管理与确认系统中安全域的关系;
图3是图1中的键管理与确认系统中一卖主数据中心的方框图;
图4是图1的键管理与确认系统中卖主生产设施的方框图;
图5是图1的键管理与确认系统中一邮政数据中心的方框图;
图6是图1的键管理与确认系统中一生产箱的管理域的方框图;
图7是一键管理过程的流程图;
图8是键的识别的流程图;
图9是生产箱的键的内容的方框图;
图10是橡木箱的键的内容的方框图;
图11是钢箱的键的内容的方框图;
图12是黄铜箱的键的内容的方框图;
图13是一地球域数字检测仪过程的流程图;
图14是有效主键状态转换的流程图;
图15是有效主键状态转换的方框图;
图16是从橡木箱传送到黄铜箱的一信息;
图17是从橡木箱传送到钢箱的一信息;
图18是检测新键的逻辑图;
图19是从钢箱传送到黄铜箱的一信息;
图20是从一检测仪传送到黄铜箱的一信息;
图21是误差处理的方框图;
图22是第一生产箱的初始化的流程图;
图23是通用箱的初始化的流程图;
图24是一键请求的处理的流程图;
图25是一键设置的处理的流程图;
图26是一键注册的处理的流程图;
图27是一失效键的处理的流程图;
图28是识别处理的流程图;
图29是一方框图,显示了键设置信息的流动;
图30是图29的键设置信息的一表;
图31是键注册信息的一表;和
图32是一方框图,显示了域与支域间的关系。
在本发明的描述中,对附图进行了标注,其中,可见到一键管理与确认系统的各方面,这里也称之为键管理系统。
现在参看图1,一键管理系统的方框图提供了该键管理系统的元件的位置及信息流动的全况。以10来表示的该键管理系统包括卖主设施12与14,以及邮政设施16与18。该卖主是管理该键管理系统的单位。键管理系统10包括多个功能专用的安全箱,计算机和通信线。根据本发明,键管理系统10为新一代的数字检测仪产品提供生产和运行支持。这里所称的数字检测仪和数字检测仪产品均指这样的新一代数字检测仪产品。要说明的是,本发明适于管理加密键的产生、分配和对其他应用的加密数据的识别。
根据本发明,卖主和邮政主键由键管理系统10的元件产生、进行档案存贮并设置到检测仪中。邮政标记键由键管理系统10的元件导出、分配并用于远程识别。卖主和邮政标记由键管理系统10的元件识别。
键管理系统10支持数字检测仪产品中加密键的设置及长期保持。主键的产生由主键产生箱20和22(这里也称之为橡木箱)、一配属的键管理系统计算机24(这里也称之为KMC)以及一档案存贮器盘25来支持。主键的分配由一键分配计算机30(这里也称之为KDC)来支持。主键的设置由一主键设置箱32(这里也称之为钢箱)、一配属的参数化、搜索及注册(PSR)计算机34来支持。打印的数字标记的集中识别由标记识别箱21和40(这里也称之为黄铜箱)、以及配属的相应键管理系统计算机24和42来支持。键档案存贮器25和45安全而可靠地记录了键的状态信息和键。
现在参看图2,键管理系统10包括独立的逻辑安全域;一卖主域50,以及一个或多个用于邮政当局的域52。每一域提供键的产生、键的分配、键的设置及标记的识别服务的全集。每一域可包括多个设施,如卖主与邮政设施。在每一安全箱中可存在多个逻辑安全域。这多个域的划分通过对主键数据库中的域信息进行加密而实现。该数据库加密键对每一域均不同。在一安全箱中,域的划分通过该箱中受限过程的启动而进行。然而,在一数字检测仪内,安全域仅在一个地方重叠。数字检测仪计算付费标记的二个检验,一个使用卖主主键,另一个使用邮政主键。对任一数字标记的识别的失败,足以证明是伪造。
现在参看图3,卖主数据中心12对键管理系统的元件提供物质和信息的存取控制。卖主数据中心12拥有至少一橡木箱20作为卖主主键产生箱,至少一黄铜箱21作为卖主标记识别箱,以及一生产箱23。为了安全,每一箱具有唯一的ID。为了增加安全性,产生、识别与生产功能相互从物质上分开,即,橡木箱、黄铜箱与钢箱为独立的箱。要说明的是,如果需要,在一物质箱中可以拥有多于一个的功能箱。
卖主KMS计算机24管理着安全橡木、黄铜及生产箱,以及其间的信息传送。它支持安全箱通信、卖主键档案存贮服务、邮政键档案存贮服务,以及与卖主生产设施14和邮政数据中心16的通信。
现在参看图4,卖主生产设施14对键管理系统的元件提供物质与信息存取的控制。一卖主生产设施14拥有一卖主键分配计算机30,至少一安全钢箱32,该钢箱32作为主键设置箱,以及一相应的PSR计算机34。卖主键分配和PSR计算机30和34支持与键管理系统计算机24、其他安全箱及在线数字检测仪36的通信。PSR计算机30管理着相应钢箱32和数字检测仪36的初始化。
现在参看图5,邮政数据中心16对键管理系统10的元件提供物质和信息存取的控制。邮政数据中心16可拥有,作为一邮政主键产生箱的一邮政橡木箱22,以及作为一邮政标记识别箱的一邮政黄铜箱40。一邮政键管理系统计算机42可支持安全箱通信,邮政键档案存贮服务以及与邮政设施18和卖主数据中心12的通信。
现在参看图6,需要另一逻辑安全域以支持键管理系统元件中的所有其他安全域的设置与保持。这称为键管理系统管理域60,该域60负责键管理系统元件中的安全域的产生及设置。
在一地球安全域中地点特定的支域的设置由该地球安全域负责。在安全域中产品代码参数的设置由起作用的安全域负责。这将在下面进行更详细的描述。
下面的段落对键管理系统10中的所有操作及信息提供概要说明。
键管理系统10提供多个需要的功能以支持数字检测仪产品的生产及操作。它负责数字检测仪产品中使用的所有加密键的产生、分配及长期存贮。它也负责对由采用此加密键的数字检测仪产品产生的数字标记进行识别。
键管理系统10提供两个或更多的安全域。卖主安全域50包括键的产生、分配、档案存贮以及识别服务。邮政安全域52实现类似的服务。这些域在同时含有卖主和邮政主键的数字检测仪的一点上重叠,如图2中所示,即仅在卖主和邮政主键可同时获得的检测仪中。
现在参看图7,显示了该键管理过程的一流程图。当分配之前实际位于卖主生产设施14中时,一数字检测仪36接收该卖主主键和邮政主键。
该键管理系统安全箱生产过程与域主键产生过程给键管理系统10和数字检测仪36提供加密键。数字检测仪36的域主键由一域橡木过程70产生。当域主键产生、档案存贮和设置时用于加密域主键的域键,由生产箱23产生。为了提供安全而不确定的键,采用了两个随机数发生器过程。每一橡木箱和生产箱包括一硬件的随机数发生器。也包括一软件的伪随机数发生器。这两个过程的输出单独进行测试以识别该硬件和软件是否在可接受的限度内运行。两个发生器的输出经一异或运算结合起来。从而,如果硬件随机数发生器出故障,则伪随机数发生器提供可接受的键材,直到硬件发生器能调整。
其他的KMS安全箱有限地用于产生键材。特别地,在初始化过程中,由黄铜和钢箱21和32来产生启动加密键。在初始化过程中,由于有限的需要以及托管机构的出现,只软件伪随机数发生器被采用。
键管理系统10必须保证安全性的需要,一主键只能试图或设置在任何数字检测仪36中一次。例如,键管理系统10必须保证在二个或更多个钢箱32用于系统中时,一域主键不设置二次。此需要通过采用域主键识别数而得以满足,该识别数由域特定的单调顺序计数器构成。域橡木过程和域钢过程追踪接收到的最后域主键识别数,以针对一特定的域ID。当一新的产生键或设置键信息被接收到时,该域橡木过程或域钢过程识别该域主键识别数大于先前信息中所含的。
当键管理系统10接收到一请求键命令时,需要一钢ID。该钢ID包括在分配主键记录中,并需由域钢过程76来检验。如果该信息中的钢ID与钢箱的钢ID不匹配,该信息被拒绝。不破坏该信息的签名,该信息中的钢ID不能修改。域主键识别数、钢ID以及信息签名的结合满足了一次设置的需要。
现在参看图8,键分配计算机30在80处请求一键。在82处,键管理系统计算机24从一域档案存贮器74中产生一新的单调增加的键ID。在84处,域橡木过程70确定该橡木箱键ID相对于上次所见的值是否是新的。如果不是新的,在86处启动一橡木箱误差条件。如果该键ID是新的,则在88处,橡木箱20产生并加密一键,配属到该键ID上,并将该信息标记及传送到钢箱32。在90处,域钢过程76确定该钢ID是否正确。在92处,域钢过程76确定该键ID相对于上次所见值是否是新的。如果该信息签名测试失败,钢ID不正确或键ID不是新的,则一钢箱误差出现。如果没有误差出现,则在98处,钢箱32设置该键到一检测仪36中。
现在参看图9~12,键管理系统10中的安全箱必须用域组合信息和键材来进行初始化。这通过使用生产箱23而实现,该生产箱23负责域和域键110的产生。当一域产生时,需要一唯一的域ID。在生产箱23中建立一域以后,其他的安全箱可用该域信息来初始化。
所有的域键110均由生产箱23来产生。域键110包括由域ZL03加密的保密、确认及操作键。域键110在不同的安全箱中共享。每一安全箱对键材有特定的需要。
每一生产箱23需要一操作集合101,该操作集合101分为三个Shamir隐蔽份额102。单个的份额写到可移动的介质上并分配到授权的人。每一生产箱23需要一域键集103,该集103包括-RSA键对用于保密以及-RSA键对用于确认。保密与确认键分为三个Shamir隐蔽份额104。单个的份额写到可移动的介质上并分配给授权的人。RSA键对在1978年2月的Vol.21 No.2″Communications of theACM″第120~127页上,由R.L.Rivest,A.Shamir和L.Adleman所著的″获得数字签名和公众键(Public-Key)加密系统的一种方法″中有描述。Shamir隐蔽份额在1979年11月的Vol.22.No.11″Communicationof the ACM″第612~613页上,由A.Shamir所著的″How To ShareA Secret″中有描述。
在优选的实施例中,每一橡木箱20需要一操作集合105,该集合105划分为两个Shamir隐蔽份额106(图10)。单个份额106写到可移动的介质上并分配给授权的人。所有的份额106必须在其能操作之前进入橡木箱20中。最后进入的份额106必须保留在橡木箱中以保持其启动。当最后进入的份额106移走时,橡木箱20中止。
每一域橡木过程70需要-RSA键对以用于确认。个人确认键(P′oA)只有域橡木过程70和生产箱23知道。公众确认键(POA)由相应的域钢过程76和域黄铜过程72知道。域橡木过程70不需要一个人保密键。
在优选实施例中,卖主生产设施中每一钢箱32需要一操作集合119,该集合119划分为两个Shamir隐蔽份额120(图11)。单个份额120写到可移动介质上并分配给授权的个人,例如一监控者和操作者。监控者和操作者份额120的集在其可操作之前必须进入钢箱32。最后进入的份额106,例如操作者份额,必须保留在钢箱32中以保持其启动。当操作者份额120移出时,钢箱32中止。
每一域钢过程76需要一RSA键对用于确认。个人确认键仅由域钢过程76知道。公众确认键仅由域黄铜过程72知道。每一域钢过程76需要一RSA键对用于保密。个人保密(P′sc)键仅由域钢过程76知道。公众保密(Psc)键仅由域橡木过程70知道。
在本发明的优选实施例中,每一黄铜箱21需要一操作集合121,该集合121划分为两个Shamir隐蔽份额122(图12)。单个份额122写到可移动的介质上并分配给授权的个人。所有份额122在其可操作之前必须进入一黄铜箱21。最后进入的份额122必须保留在黄铜箱21中以保持其启动。当最后进入的份额122移出时,黄铜箱21中止。
每一域黄铜过程72需要一RSA键对应于确认。个人和公众确认键(P′BA和PBA)仅由域黄铜过程知道。每一域黄铜过程需要一RSA键对用于保密。个人保密键(P′Bc)仅由域黄铜过程72知道。公众保密键(PBC)由域橡木过程70知道。每一域黄铜过程72需要一DES键集用于保密,该键集仅由域黄铜过程72知道。每一域黄铜过程72需要一DES键集用于确认,该键集仅由域黄铜过程72知道。
本领域的技术人员将理解,操作安全箱需要选择的份额的数量依赖于对键管理系统实施的安全性策略。
一生产序列数,结合一产品代码数,唯一地限定了卖主生产过程中的数字检测仪36。生产序列数的分配的优选方法如下。一识别标记源存在该生产线上,每一识别标记含有唯一的产品代码数和生产序列数对。一个识别标记用到一个数字检测仪36上。这些数在键设置过程之前进入PSR计算机34并加载给数字检测仪36。
检测仪安全地构成,使得一旦在生产中键被设置,则不留下物质的破坏痕迹在生产环境之外不可能对其进行移动或确定。
在主键产生过程中,域橡木过程70采用了一测试信息集。一测试样本用于产生一测试标记集,以检验生产中的主键设置过程。该测试样本由两个预先形成的64位二进制值构成。用目标或主键对其进行加密,从得到的密码文本中产生标记的特定位置和数目。
测试样本包括在域橡木和域黄铜过程的操作软件中。在键的设置检验过程中,所有数字检测仪采用同样的测试信息。测试样本是在键管理系统10与目标数字检测仪之间共享的一信息集。对一特定的数字检测仪,测试样本可存在ROM中。
地球域数字检测仪在离开生产没施时不具有地点特定的信息。这使得数字检测仪存贮在一地域基础上并在最后一刻确定其特定地点。一地球域数字检测仪的产品代码数是一两字母的产品代码前辍其后紧跟一预定的数。在地点标出之前,一签条序号是一空的信息串。在键注册时,产品代码数与签条序号值必须限定,以使域主键启动。
现在参看图13,提供了一地球域数字检测仪的过程流程图。地球域数字检测仪的地球域主键由地球域橡木过程170产生。地球域主键的拷贝存在地球档案存贮器174中。地球域主键设置在地球域数字检测仪136中,并由地球域钢过程176检验。地球域主键的设置由地球域黄铜过程172识别。地球域主键记录由地球黄铜过程172刷新以设置状态。地球域黄铜过程172不参预键的注册。
授权的个人通过设定数字检测仪产品代码数和签条序号,指定该地球域数字检测仪136给一地点特定的安全域。一旦数字检测仪136指定给一地点特定的安全域,则它不能返回地球域中。一数字地标记的键注册记录由数字检测仪产生,含有产品代码数、签条序号和生产序号。该数字标记的键注册记录返回键管理系统计算机24。
键管理系统计算机24将从地球域档案存贮器176检索地球域主键记录。地球域主键记录和键注册记录送到地点特定的域黄铜过程272。该记录被识别。如果没有发现问题,域主键用地点特定的加密键加密。域主键记录由地点特定的安全域个人键加以标记,以使其完整和得以确认。域主键记录将送到地点特定的域档案存贮器274。
域档案存贮器74支持域主键的长期存贮及检索。这利用橡木箱20、域档案存贮器74和黄铜箱21之间进行的几个交易而完成。当数字检测仪经过生产、分配和用户现场时,域主键状态更新。每一状态的变化存入域档案存贮器记录,对域主键的生命周期提供完整的键活动历史。
现在参看图14和15,提供了有效主键状态传送的流程图。在橡木箱20完成键的产生过程以后,域主键和信息的加密拷贝进入域档案存贮器74。在180处,域主键的状态将设定到″新″。域档案存贮器74将分配数据库存贮并写入信息。
在钢箱32和黄铜箱21完成键的设置过程以后,域主键记录被更新。如果该过程成功,在182处域主键的状态可设定到″设置″。如果在键的分配或设置过程中出现任何故障,则在184处,域主键的状态将设定到″不好″。这些故障可包括信息丢失、信息错误、域主键写入数字检测仪存贮器错误、检验测试标记错误或其他。
当对一特定的邮政域,指定一签条序号给数字检测仪时,卖主和邮政域主键记录被更新。在186处,主键状态设定到启动,对该数字检测仪的识别服务被允许。当数字检测仪退出服务时,卖主和邮政域主键记录被更新。在188处,主键状态设定到″作废″。
键管理系统10包括实际的安全箱和逻辑的安全域集。这些元件间的信息流必须含有足够的信息,以使得过程和检验者能识别信息的共享者。
逻辑安全域由称为域ID的一地址目标来确定。此地址唯一地限定键管理系统10中一特定域的一实例。有效域ID的的例子可以是,用于卖主安全域的VE,美国邮政服务安全域的情形的VSPS,以及英国皇家邮政安全域的情形的VKRM。安全域覆盖了多个安全箱,并可覆盖多个档案存贮器。在一个安全箱的实际范围中可同时存在多个安全域。在任何给定的时间,一安全箱中只有一个域启动。在域之间不能有数据传送。
逻辑安全箱目标由称为安全箱型号的一地址目标来确定。此地址唯一地限定参予信息交易的安全箱的功能。橡木箱20是主键产生器。钢箱32是主键设置箱。黄铜箱21是标记识别箱。锡箱44是远程标记识别箱。
实际安全箱的识别由称为安全箱ID的一地址目标来确定。此地址唯一地限定键管理系统10中箱的一实例。它由一安全箱类型和数字标志符构成。
键管理系统10的每一元件保持多个构造表,以允许操作软件确定键管理系统服务信息的有效性和处理需要。命令表用于识别系统的元件想要什么键管理系统服务信息和命令。-KMS系统命令表限定了在系统水平上可接受的所有命令。系统水平上的表的子集由系统元件贮存,该系统元件包括橡木箱20、黄铜箱21、钢箱32、生产箱23、KMS计算机24、键分配计算机30和PSR计算机34。所接收到的不包括在本地命令表中的信息被拒绝。
构造表用于识别什么样的键管理系统域ID由系统的元件来识别。-KMS系统构造表限定在系统水平上可接受的所有域ID。系统水平上的表的子集由系统的元件贮存,该系统元件包括橡木箱20、黄铜箱21、钢箱32、生产箱23、KMS计算机24、键分配计算机30和PSR计算机34。所接收到的不包括在本地构造表中的域ID的信息被拒绝。
记录表用于识别什么样的键管理系统记录被系统的元件识别。-KMS系统记录表限定在系统水平上被识别的所有信息记录。该系统水平上的表的子集由系统的元件贮存,该系统元件包括橡木箱20、黄铜箱21、钢箱32、生产箱23、KMS计算机24。键分配计算机30和PSR计算机34。所接收到的含有不包括在本地记录表中的信息记录的信息被拒绝。
域橡木过程70将域主键传送给域档案存贮器74。现在参看图16,域主键(KDM)在其存入域档案存贮器74之前用域黄铜过程公众键(PBC)加密。从而,域橡木过程70不从域档案存贮器74解码域主键(KDM)。域橡木过程70在域主键记录存入域档案存贮器74之前用域橡木过程个人键(POA)对其进行标记。从而,域黄铜过程72可确信域主键记录由域橡木过程70产生。
域橡木过程70将域主键(KDM)发送给域钢过程76。现在参看图17,域主键(KDM)在其传送到域钢过程76之前用域钢过程公众键P(SC)加密。从而,域橡木过程70不会从一分配主键记录中解码域主键(KDM)。域橡木过程70在分配主键记录传送到域钢过程76之前用域橡木过程个人键P′(OA)对其进行标记。从而,域钢过程76可确信分配主键记录由域橡木过程70产生。
现在参看图18,显示了对键的新旧的检测流程。为了支持上述的安全性需要,一键只能设置或试图设置一次,以保证域主键是新的。域档案存贮器给所有的域主键指定单调排列的键ID(KID)。对每一域ID保留独立的键ID索引。域橡木过程70和域钢过程76追踪键ID值并将其与产生键信息和分配主键记录中接收到的键ID值比较。从而,当一产生键信息或分配主键记录重播时,域橡木过程70和域钢过程76可检测。
现在参看图19,域钢过程76在主键设置记录送到KMS计算机24之前用域钢过程个人键P(SA)对其进行标记。通过这样做,域黄铜过程72可确信主键设置记录由域钢过程76产生。
在键的注册期间,数字检测仪用卖主主键K(VM)和出政主键K(PM)来标记键注册记录。从而,邮政和卖主域黄铜过程72可确信键的注册记录值来源于数字检测仪36。然后每一域黄铜过程72用域黄铜过程隐蔽的DES键对域档案存贮器记录中的域主键进行加密。结果,域黄铜过程72可确信其他的域黄铜过程没有读该键材。域黄铜过程72在域主键记录送入域档案存贮器74之前,用域黄铜处理隐藏的DES键对其进行标记。从而,域黄铜过程72能确信该域主键记录仅由域黄铜过程72修改。对黄铜过程信息的一检测仪的一个例子如图20中所示。
键管理系统10在域主键的有效生命期间,保持时间过程的检查跟踪。这些过程表明键管理系统10何时采取行动。对于成功的域主键应用,列出的时间过程必须增加。时间过程超越在先过程的系统信息将被拒绝。所接收到的其时间超越键管理系统键注册时间的识别请求将被拒绝。
在本发明的优选实施例中,KMS计算机24记录KMS请求时间,该时间是当从键分配计算机30接收到一请求命令时。PSR计算机34记录PSR设置时间,该时间是当一设置键命令发送给一钢箱32时。KMS计算机24记录KMS设置时间,该时间是当从键分配计算机30接收到一设置键识别命令时。数字检测仪36记录检测仪注册日期,该日期是当从通信口或用户接口接收到一注册签条命令时。KMS计算机24记录KMS键注册时间,该时间是当从数字检测仪接收到一注册签条识别命令时。
在另一实施例中,当从KMS计算机24接收到产生键命令时,橡木箱20记录本地时间。当接收到设置键命令时,钢箱32记录本地时间。当从键管理系统计算机24接收到一键识别请求时,黄铜箱21记录本地时间。
键管理系统10对键管理系统服务信息提供误差检测和报告进程集。当信息在准备、通过通信线传送、接收或由接收单元处理时,可能出现问题。当在系统中检测到误差时,命令源将被告知,在系统误差记录表中将做一个记录。
现在参看图21,提供了误差处理的一概要的方框图。系统中的误差以三个不同的级别来检测。误差处理的第一级别在PB232协议中执行。此协议通过使用STX和ETX控制标志,给信息提供框架。通过使用预定的类代码(Class Code),提供信息的识别。通过使用误差检测代码,提供信息的完整性。如果接收到的信息符合这些进程,则接收者将发送一正的确认控制符号。如果不,则接收者将发送一非确认控制符号。发送元件将试图重新传送信息或采取其他校正行动。PB232误差处理进程是一常规的类型。
误差处理的第二级别通过键管理系统10命令处理过程来执行。它们将接收到的命令与限定在一命令表中的期望的命令集进行比较。命令域被识别。期望的参数的数目被检测。单个参数的句法被检测。如果在命令中发现任何误差,则一命令误差信息将返回给命令源。
误差处理的第三级别通过键管理系统10命令处理过程来执行。它们将命令中的参数与定义在一构造表中的期望的参数进行比较。单个参数对照构造表进行检验。不同参数的组合对照构造表进行检验。硬件源与数据库记录的有效性被检验。信息元件的标记和加密信息元件的有效性被检验。如果在命令中或命令的处理中发现任何误差,则一命令响应信息将随一响应代码返回。如果在响应中发现任何误差,则一命令响应误差信息将随一响应代码返回。
下面的段落对键管理系统10的安全箱初始化过程提供一概述,如图22和23中所示。如上所述,在本发明的优选实施例中有四种类型的键管理系统安全箱。生产箱23负责键管理系统和安全箱的初始化。橡木箱20负责域主键的产生。钢箱32负责域主键的设置。黄铜箱21负责域主键注册和标记识别。在另一实施例中,锡箱是一远程标记识别箱。
现在参看图22,第一生产箱23必须初始化。生产箱操作软件被装入并测试。安全箱ID初始化到M00000000。当生产箱23启动时,安全箱ID被询问。如果它设定到M00000000,生产箱23等待来自KMS计算机24的设定第一安全箱ID信息。然后KMS计算机24命令第一生产箱23将安全箱ID设定到M00000001。然后第一生产箱23接收并检验该信息。如果没有发现误差,第一生产箱23产生一操作集合101和操作共享键102的集。操作共享键102写到可移动介质上。
接着,第一生产箱23产生两个RSA键对,一个用于域键集的保密,另一个用于域键集的确认。这些键划分为域共享(Domain Share)并写到可移动介质上。键用于在域键集送到KMS计算机24和写到档案存贮器或可移动介质上之前对其进行加密和标记。第一生产箱23产生安全箱确认键集。为每一类型的箱,即生产、橡木、钢和黄铜,产生-RSA键对。每一类型的箱的公众键写到可移动介质上。然后该键必须通过软件工程写入安全箱操作软件中。在所有操作共享和确认键成功写入之后,安全箱ID将设定到M00000001。
KMS计算机24请求生产箱23产生一域。生产箱23在内存中建立域ID,并产生需要的域键110,该域键110用域键集103保密键来加密,并用域键集103确认键来标记。该加密和标记过的域键写到档案存贮器和/或可移动介质上。
额外的生产箱23由一源生产箱来初始化,该源生产箱是已经初始化的任一生产箱。生产箱操作软件装入每一额外的生产箱23并在其中测试。安全箱ID设定到M00000000。当生产箱23第一次启动时,它对安全箱ID进行询问。如果是M0000000,生产箱23从源生产箱等待一设定安全箱ID信息。KMS计算机24命令生产箱初始化每一额外的生产箱23。源生产箱分配下一生产安全箱ID,用生产箱个人启动确认键对信息加以标记,并将其送入生产箱23。生产箱23存贮安全箱ID并产生一生产箱启动保密键。安全箱ID和公众启动保密键送回源生产箱,并用生产箱个人启动确认键加以标记。KMS计算机24命令源生产箱给生产箱产生一域产生过程。需要的域键元件用启动保密键发送到生产箱23。这个过程对所有需要的域进行重复。
任何时候当域增加到一生产箱23时,其他初始化的生产箱必须更新以反映这另外的域。在优选实施例中,所有初始化的生产箱用相同的键数据来成形。
对于橡木箱的初始化,橡木箱操作软件被装入并测试。安全箱ID设定到000000000。当橡木箱20第一次启动时,对安全箱ID进行询问。如果是000000000,橡木箱20从生产箱23等待一设定安全箱ID信息。KMS计算机24命令生产箱23初始化橡木箱20。生产箱23分配下一橡木安全箱ID,并用个人橡木箱启动确认键对信息加以标记,并将其送入橡木箱20,橡木箱20存贮安全箱ID并产生一橡木箱启动保密键。将安全箱ID和公众启动保密键送回生产箱,并用橡木箱公众启动确认键加以标记。KMS计算机24命令生产箱23给橡木箱20产生一域橡木过程。需要的域键元件用启动保密键传送到橡木箱20。此过程使得橡木箱20对一域执行域橡木过程70。此过程对一特定的橡木箱需要的所有域重复。
对于钢箱的初始化,钢箱操作软件被装入并测试。安全箱ID没定到S00000000。当钢箱32第一次启动时,对安全箱ID进行询问。如果是S00000000,钢箱32从生产箱23等待一设定安全箱ID信息。KMS计算机24命令生产箱23初始化钢箱32。生产箱23分配下一钢安全箱ID,并用钢箱个人启动确认键对信息加以标记,并将其送到钢箱32。钢箱32存贮安全箱ID,并产生一钢箱启动保密键。将安全箱ID和公众启动保密键送回生产箱23,并用钢箱公众启确认键加以标记。KMS计算机24命令生产箱23给钢箱32产生一域钢过程76。需要的域键元件用启动保密键发送给钢箱32。此过程使得钢箱32对一域执行域钢过程76。此过程对一特定钢箱需要的所有域重复。
对于黄铜箱的初始化,黄铜箱操作软件被装入并测试。安全箱ID设定到B00000000。当黄铜箱21第一次启动时,对安全箱ID进行询问。如果是B00000000,黄铜箱21从生产箱23等待一设定安全箱ID信息。KMS计算机24命令生产箱23初始化黄铜箱21。生产箱23分配下一黄铜安全箱ID,用黄铜箱个人启动确认键对信息加以标记,并将其送入黄铜箱21。黄铜箱21存贮安全箱ID并产生一黄铜箱启动保密键。将安全箱ID和公众启动保密键送回生产箱23,并用黄箱公众启动确认键加以标记。KMS计算机24命令生产箱23给黄铜箱21产生一域黄铜过程。需要的域键元件用启动保密键发送给黄铜箱21。此过程使得黄铜箱21对一域执行黄铜过程。此过程对一特定黄铜箱需要的所有域重复。
现在参看图24~27,显示了键管理系统10的域主键设置过程的概况。在卖主与任何邮政域之间不存在区别。每个均以类似的独立方式操作。为了将域主键的全集成功地设置到数据检测仪36,对卖主域运行操作集,而对选择的邮政域运行另一操作集。
现在参看图24、29和30,在生产过程的产生期间,域主键请求来自键分配计算机30。在300处,该请求在信息MIO中带着钢箱32的识别号从键分配计算机30送到KMS计算机24。在302处,KMS计算机24从域档案存贮器74中请求一键ID,然后为该域产生一唯一的键ID。在304处,域档案存贮器74在信息MIO′中将一键ID响应发送给KMS计算机24。KMS计算机24对一检查追踪记录本地时间,并在306处,在一产生键信息MI1中将信息发送给橡木箱20。橡木箱20检查该请求,以确定域的有效性,对于该域钢箱ID的有效性,以及对于此域键ID是否高于上次处理的。如果检查的任何一次出错,则橡木箱20返回一错误信息给KMS计算机24。如果检查无误差,则橡木箱24产生一域主键以及测试标记集。在308处,橡木箱20在信息MI2中发送一域主键记录给KMS计算机24。在310处,KMS计算机24在信息MI3中,将域主键记录提供给域档案存贮器74。域档案存贮器74将域主键记录存入数据库中,并在312处将一响应送给KMS计算机24。在314处,KMS计算机24发送该响应给橡木箱20,橡木箱20在316处发送一产生响应信息给KMS计算机24。在318处,KMS计算机24在一请求响应信息MI4中将设置键记录发送给键分配计算机30。
现在参看图25,当在生产线上出现一数字检测仪36时,在330处,PSR计算机34从键分配计算机30请求一设置域键记录。在330处,键分配计算机30在信息MI4′中发送一设置域键记录给PSR计算机,该信息在334处进一步发送给钢箱32。钢箱32询问数字检测仪36的信息,然后在336处,将信息MI5中的域主键发送给数字检测仪36。数字检测仪设置和检测该键,并将状态返回钢箱32,钢箱32向数字检测仪询问检测仪测试标记集。在338处,检测仪测试标记在信息MI6中返回钢箱32,钢箱32对比从橡木箱20接收到的测试标记对该检测仪测试标记进行检验。从而,钢箱32检验由橡木箱24产生的域主键是否与设置在数字检测仪36中的键相同。在340处,钢箱32经PSR计算机和键分配计算机30在信息MI7中发送设置状态和信息给键管理计算机24。键管理计算机24从域档案存贮器中检索一域主键记录,取用一本地时间标记,并在342处,在信息MI8中发送信息给黄铜箱21。黄铜箱21从域档案存贮器74的域主键记录中产生测试标记。这些标记与检测仪测试标记比较。这过程检验域档案存贮器中的域主键是否与数字检测仪中设置的键相同。如果检查完毕,则域主键记录更新,并于344处在信息MI9中发送给键管理计算机24。键管理计算机24在信息MI9中将域主键记录发送给域档案存贮器74,如果成功,则在346处返回一响应给黄铜箱21。黄铜箱21检查响应,并在信息MI10中返回一成功或失败识别给KMS计算机24(于348处)以及给键分配计算机30。
键的注册由注册地点、签条号与产品代码号和键的组合构成。该键然后采用一保密键存入设置域的地点支域中,该保密键对于该地点支域是特定的。基本的特征是,对于该地点支域为特定的黄铜过程依赖于设置域以安全而完整地设置键。键不会从一设置域转到另一设置域。
现在参看图26和31,当数字检测仪准备用于一特定的安全域时,信息MR1中的签条序号和/或产品代码号进入数字检测仪中。在360处,PSR计算机34从数字检测仪36中请求注册标记。数字检测仪产生两个数字标记并在362处将其返回PSR计算机。PSR计算机将标记与其他检测仪信息结合,并在364处将得到的记录经键分配计算机30发送给键管理计算机24。在366处,键管理系统计算机24从域档案存贮器检索一域主键记录,取用一本地时间标记,并在信息MP2中发送信息给黄铜箱21。黄铜箱21从域档案存贮器74的域主键记录产生注册标记。这些标记与检测仪注册标记比较。此过程检验签条序号、产品代码号和生产序号是否由数字检测仪正确地报告。如果检查完毕,则域主键记录更新,并在368处发送给KMS计算机24。键管理系统计算机24在信息MR3中发送域主键记录给域档案存贮器74,如果成功,则在370处返回一响应给黄铜箱21。黄铜箱21检查响应,并在372处在信息MR4中返回一成功或失败识别给键管理系统计算机24。
每一域具有至少一支域,该支域负责将键注册到签条号,并在该支域中进行签条识别。特定的地球域具有多个地点支域。一地点可以在地球域的一支域中具有检测仪,以及在其本身的邮政域的唯一支域中具有检测仪。在图32所示的例子中,地点3具有唯一的邮政域和地球域的一邮政支域。然而,地点A仅有其键设置在该地点的唯一邮政域中的检测仪。
现在参看图27,如果一数字检测仪退出服务,则该信息被记录并发送给KMS计算机24。键管理计算机24从域档案存贮器检索一域主键记录,取用本地时间标记,并在380处发送信息给黄铜箱21。域主键记录更新,并在382处发送给键管理计算机24。键管理计算机发送域主键记录给域档案存贮器,如果成功,则在384处返回一响应给黄铜箱21。黄铜箱21检查响应,并在386处,返回一成功或失败识别给键管理计算机24。
每一检测仪采用域主键为每一域产生一暂存键,这里也称之为一标记键,该暂存键用于从邮件数据产生一标记。键管理系统将邮政暂时键分配给具有一分配器标记识别箱44(图1)的授权的邮政识别点,在这里箱44也称为锡箱。邮政暂存键被锡箱44用于签条的本地识别。在这样的结构下,键管理系统提供更高水平的安全性,因为邮件能得到签条的本地识别,不用将主键数据库分配到多个点。
下面的段落提供对键管理系统10的识别过程的概述。在卖主和任一邮政域之间不存在区别。每一过程以类似的方式独立地操作。为了成功地识别两个标记,对卖主域运行一操作集,而对选择的邮政域运行另一操作集。
标记识别请求来自邮政设施18上的一数据捕获系统19。该请求含有打印在实际邮件上的信息的一ASCII文本表示。现在参看图28,在400处,请求被送到位于卖主或邮政数据中心里的一键管理系统计算机24。键管理系统计算机24检查邮件数据校验位,如果需要予以校正。键管理计算机24从域档案存贮器检索一域主键记录,并在402处发送信息给黄铜箱21。黄铜箱21检查该请求,并识别域主键是否启动。黄铜箱21利用来自域档案存贮器的域主键和邮件信息,重新计算所选择的域的标记。计算得到的标记与邮件标记比较,看其是否匹配。一好/坏比较结果在404处送给KMS计算机24。第二个例子如图28中所示,以强调需要另一识别以识别其他的域标记。
本发明的上述描述是优选的实施例,其中,邮局授权一卖主产生邮政主键并将其设置到数字检测仪中。该键随后被送到邮政数据中心16以用于邮政标记的确认。键管理系统具有功能、安全箱和数据库的不同分配的能力。例如,在另一实施例中,一邮局授权卖主或另一单位维持和操作邮政数据中心16,包括邮政键的产生、保持、标记识别以及将键传送给卖主的功能。在此实施例中,邮政黄铜箱40和邮政键档案存贮器42实际位于卖主或其他单位的位置上。在另一实施例中,邮局管理其数据中心,而邮政橡木箱22实际位于邮政数据中心16内。
在另一实施例(未显示)中,键管理系统功能,即域橡木过程、域钢过程或域黄铜过程的任何组合可以集中到任一安全箱中。
从而,可以理解,键管理系统具有特有的灵活性,允许不同的域即邮局实现同样的逻辑键管理系统的不同的实际执行过程。该键管理系统在保持高水平的系统完整性和安全性的同时提供这样的灵活性。进一步可以理解,本发明允许多个卖主支持多个邮局。
利用涉及数字邮费检测仪的表示的优选实施例,已对本发明进行了描述。本领域的技术人员可以理解,本发明也适用于作为通用的交易表示的一键管理系统,如货币交易、产品交易和信息交易。
在这里使用时,″数字邮费检测仪″这个词表示与固定的打印装置连在一起的常规类型的数字邮费检测仪,以及与非固定的打印装置连在一起的或具有与此常规数字邮资检测仪不同的其他构造的别的类型的数字邮资检测仪。
虽然本发明仅用一个实施例来进行了公开和描述,显然,如上所述,可以做出变化和修改。因此,在下面的权利要求中,期望覆盖落入本发明的实质和范围中的每一变化和修改。

Claims (15)

1.一种生产交易表示装置的方法,包括步骤:
a)在一键管理系统的一逻辑安全域中产生一主键;
b)将该主键设置到一交易表示装置中;
c)识别该主键的设置;以及
d)将该主键注册到该键管理系统中的一逻辑安全支域中。
2.如权利要求1所述的方法,其中所述的产生主键的步骤还包括步骤:
产生一域;
产生至少一支域;
将该域设置到该键管理系统的安全箱中;
在该域中产生一主键和测试标记;以及
将该主键记录到域档案存贮器中。
3.如权利要求1所述的方法,其中所述的设置主键的步骤还包括步骤:
将该主键设置到一交易表示装置中;以及
将该主键与一实际的装置识别器相连。
4.如权利要求1所述的方法,其中所述的识别主键的步骤还包括步骤:
在该交易表示装置中产生一标记;
识别该测试标记与交易表示装置产生的标记是相同的;
从该档案存贮器中的一主键产生一标记;以及
识别该交易表示装置产生的标记与该档案存贮器产生的标记是相同的。
5.如权利要求1所述的方法,其中所述的将主键注册到该键管理系统中的一逻辑安全支域中的步骤还包括步骤:
给该交易表示装置指定一支域;
在该交易表示装置中设置一逻辑装置识别器;
将该逻辑装置识别器与实际的装置识别器相连;
根据该逻辑装置识别器和该实际装置识别器,在该交易表示装置中产生一注册标记;
使用该档案存贮器中的该主键记录产生注册标记;
识别注册标记是相同的;以及
将该主键记录在支域中。
6.如权利要求1所述的方法,还包括步骤:
对指定给该交易表示装置的每一域重复步骤a~d。
7.一种在一键管理系统中生产交易表示装置的方法,包括步骤:
产生一域;
产生至少一支域;
将该域设置到该键管理系统的安全箱中;
在该域中产生一主键和测试标记;
将该主键记录在该域档案存贮器中;
将该主键设置到一交易表示装置中,并将该主键与一实际装置识别器相连;
在该交易表示装置中产生一标记;
识别该测试标记与该交易表示装置产生的标记是相同的;
从该档案存贮器中的一主键产生一标记;
识别该交易表示装置产生的标记与该档案存贮器产生的标记是相同的;
给该交易表示装置指定一支域;
在该交易表示装置中设置一逻辑装置识别器;
将该逻辑装置识别器与该实际装置识别器相连;
根据该逻辑装置识别器和该实际装置识别器在该交易表示装置中产生一注册标记;
使用该档案存贮器中的该主键记录产生注册标记;以及
识别标记是相同的;
将该主键注册到该支域中。
8.如权利要求1所述方法,其中该交易表示装置是一数字邮资检测仪。
9.如权利要求7所述的方法,其中该交易表示装置是一数字邮资检测仪。
10.一种生产数字邮资检测仪的方法,包括步骤:
a)在一键管理系统的一逻辑安全域中产生一主键;
b)将该主键设置到一数字邮资检测仪中;
c)识别该主键的设置;以及
d)将该主键注册到该键管理系统中的一逻辑安全支域中。
11.如权利要求10所述的方法,其中所述的产生主键的步骤还包括步骤:
产生一域;
产生至少一支域;
将该域设置到该键管理系统的安全箱中;
在该域中产生一主键和测试标记;以及
将该主键记录在该域档案存贮器中。
12.如权利要求10所述的方法,其中所述的设置主键的步骤还包括步骤:
将该主键设置到一数字检测仪中;以及
将该主键与一唯一的装置识别器相连。
13.如权利要求10所述的方法,其中所述的识别该主键的步骤还包括步骤:
在该数字检测仪中产生一标记;
识别该测试标记与该检测仪产生的标记是相同的;
从该档案存贮器中的一主键产生一标记;以及
识别该检测仪产生的标记与该档案存贮器产生的标记是相同的。
14.如权利要求10所述的方法,其中所述的将该主键注册到该键管理系统中的一逻辑安全支域的步骤还包括步骤:
给该数字检测仪指定一支域;
将一邮政识别器设置到该数字检测仪中;
将该邮政识别器与该唯一的装置识别器相连;
根据该邮政识别器和该唯一的装置识别器在该数字检测中产生一注册标记;
使用该档案存贮器中的该主键记录产生注册标记;
识别注册标记是相同的;以及
将该主键记录在该支域中。
15.如权利要求10所述的方法,还包括步骤:
对指定给该数字邮资检测仪的每一域重复步骤a~d。
CN96110338.8A 1995-03-31 1996-03-31 在一密钥管理系统中生产通用邮资计的一种方法 Expired - Lifetime CN1128522C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US415824 1995-03-31
US08/415,824 US5680456A (en) 1995-03-31 1995-03-31 Method of manufacturing generic meters in a key management system

Publications (2)

Publication Number Publication Date
CN1148765A true CN1148765A (zh) 1997-04-30
CN1128522C CN1128522C (zh) 2003-11-19

Family

ID=23647355

Family Applications (1)

Application Number Title Priority Date Filing Date
CN96110338.8A Expired - Lifetime CN1128522C (zh) 1995-03-31 1996-03-31 在一密钥管理系统中生产通用邮资计的一种方法

Country Status (7)

Country Link
US (1) US5680456A (zh)
EP (1) EP0735721B1 (zh)
JP (1) JPH09190555A (zh)
CN (1) CN1128522C (zh)
BR (1) BR9601233A (zh)
CA (1) CA2172861C (zh)
DE (1) DE69636631T2 (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US6029137A (en) * 1997-05-29 2000-02-22 Pitney Bowes Inc. Updating domains in a postage evidencing system
US6064989A (en) * 1997-05-29 2000-05-16 Pitney Bowes Inc. Synchronization of cryptographic keys between two modules of a distributed system
US6233565B1 (en) 1998-02-13 2001-05-15 Saranac Software, Inc. Methods and apparatus for internet based financial transactions with evidence of payment
US6144950A (en) * 1998-02-27 2000-11-07 Pitney Bowes Inc. Postage printing system including prevention of tampering with print data sent from a postage meter to a printer
US6343361B1 (en) 1998-11-13 2002-01-29 Tsunami Security, Inc. Dynamic challenge-response authentication and verification of identity of party sending or receiving electronic communication
US6738899B1 (en) 1999-03-30 2004-05-18 Pitney Bowes Inc. Method for publishing certification information certified by a plurality of authorities and apparatus and portable data storage media used to practice said method
US6704867B1 (en) 1999-03-30 2004-03-09 Bitney Bowes, Inc. Method for publishing certification information representative of selectable subsets of rights and apparatus and portable data storage media used to practice said method
US6847951B1 (en) * 1999-03-30 2005-01-25 Pitney Bowes Inc. Method for certifying public keys used to sign postal indicia and indicia so signed
US6711680B1 (en) * 1999-12-09 2004-03-23 Pitney Bowes Inc. Method of limiting key usage in a postage metering system that produces cryptographically secured indicium
US6473743B1 (en) * 1999-12-28 2002-10-29 Pitney Bowes Inc. Postage meter having delayed generation of cryptographic security parameters
WO2002045336A1 (fr) * 2000-11-28 2002-06-06 Nagravision Sa Certification des transactions
US6867707B1 (en) * 2002-04-24 2005-03-15 Elster Electricity, Llc Automated on-site meter registration confirmation using a portable, wireless computing device
US20040086141A1 (en) * 2002-08-26 2004-05-06 Robinson Arthur E. Wearable buddy audio system
US7319989B2 (en) * 2003-03-04 2008-01-15 Pitney Bowes Inc. Method and system for protection against replay of an indicium message in a closed system meter
US20040177049A1 (en) * 2003-03-04 2004-09-09 Pitney Bowes Incorporated Method and system for protection against parallel printing of an indicium message in a closed system meter
US8670564B1 (en) 2006-08-14 2014-03-11 Key Holdings, LLC Data encryption system and method
DE102007052458A1 (de) 2007-11-02 2009-05-07 Francotyp-Postalia Gmbh Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
US11132685B1 (en) 2020-04-15 2021-09-28 Capital One Services, Llc Systems and methods for automated identity verification
CN115396396A (zh) * 2022-08-24 2022-11-25 珠海安士佳电子有限公司 一种安防设备唯一标识智能分配系统

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4238853A (en) * 1977-12-05 1980-12-09 International Business Machines Corporation Cryptographic communication security for single domain networks
US4281216A (en) * 1979-04-02 1981-07-28 Motorola Inc. Key management for encryption/decryption systems
US4578531A (en) * 1982-06-09 1986-03-25 At&T Bell Laboratories Encryption system key distribution method and apparatus
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
US4972472A (en) * 1985-03-15 1990-11-20 Tandem Computers Incorporated Method and apparatus for changing the master key in a cryptographic system
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
US4916738A (en) * 1986-11-05 1990-04-10 International Business Machines Corp. Remote access terminal security
GB8704920D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging system
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values
US4873645A (en) * 1987-12-18 1989-10-10 Pitney Bowes, Inc. Secure postage dispensing system
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US4888802A (en) * 1988-06-17 1989-12-19 Ncr Corporation System and method for providing for secure encryptor key management
US4935961A (en) * 1988-07-27 1990-06-19 Gargiulo Joseph L Method and apparatus for the generation and synchronization of cryptographic keys
US5016277A (en) * 1988-12-09 1991-05-14 The Exchange System Limited Partnership Encryption key entry method in a microcomputer-based encryption system
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5048087A (en) * 1989-02-03 1991-09-10 Racal Data Communications Inc. Key management for encrypted packet based networks
DE69014361T2 (de) * 1989-03-23 1995-04-27 Neopost Ind Verfahren zur Erhöhung der Sicherheit einer elektronischen Frankiermaschine mit Fernaufwertung.
US4956863A (en) * 1989-04-17 1990-09-11 Trw Inc. Cryptographic method and apparatus for public key exchange with authentication
US5148481A (en) * 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5173938A (en) * 1990-09-27 1992-12-22 Motorola, Inc. Key management system
US5247576A (en) * 1991-02-27 1993-09-21 Motorola, Inc. Key variable identification method
US5214698A (en) * 1991-03-20 1993-05-25 International Business Machines Corporation Method and apparatus for validating entry of cryptographic keys
US5200999A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US5245658A (en) * 1992-01-06 1993-09-14 George Bush Domain-based encryption
JPH05281906A (ja) * 1992-04-02 1993-10-29 Fujitsu Ltd 暗号鍵共有方式
US5237611A (en) * 1992-07-23 1993-08-17 Crest Industries, Inc. Encryption/decryption apparatus with non-accessible table of keys
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5390251A (en) * 1993-10-08 1995-02-14 Pitney Bowes Inc. Mail processing system including data center verification for mailpieces

Also Published As

Publication number Publication date
EP0735721B1 (en) 2006-10-18
EP0735721A2 (en) 1996-10-02
US5680456A (en) 1997-10-21
EP0735721A3 (en) 1999-10-06
CN1128522C (zh) 2003-11-19
CA2172861A1 (en) 1996-10-01
JPH09190555A (ja) 1997-07-22
MX9601258A (es) 1997-09-30
DE69636631D1 (de) 2006-11-30
BR9601233A (pt) 1998-01-06
DE69636631T2 (de) 2007-08-23
CA2172861C (en) 2000-05-16

Similar Documents

Publication Publication Date Title
CN1128522C (zh) 在一密钥管理系统中生产通用邮资计的一种方法
CN1136512C (zh) 密钥管理系统中的记号验证方法
CN1193314C (zh) 密钥管理和确认系统
CN1326349C (zh) 内容分配系统
US5742682A (en) Method of manufacturing secure boxes in a key management system
US7349115B2 (en) Method and system for tracing corporate mail
US7653811B2 (en) Selecting a repository satisfying a security level of data
CN101958795B (zh) 密钥存储设备及管理方法与生物认证设备、系统及方法
JP4788212B2 (ja) デジタル署名プログラム及びデジタル署名システム
EP3621285B1 (en) Authenticity determination system, image forming apparatus, and printing method
ZA200400093B (en) Method for verifying the validity of digital franking notes.
CN110753016B (zh) 一种基于区块链的实名认证方法
US20160077776A1 (en) Printing composite documents
CN110599270A (zh) 电子票据生成方法、装置和计算机设备
CN101046899A (zh) 基于公钥基础设施的电子门票系统及方法
CN112564921A (zh) 一种基于区块链的可信电子文档的实现和验证方法及系统
MXPA96001257A (en) A method of verification of symbols designators in an administration system
MXPA96001258A (en) A manufacturing method of generic subscribers in a cla administration system
MXPA96001259A (es) Un sistema de administracion y validacion de claves criptograficas
US20130219515A1 (en) System and Method for Providing Tools VIA Automated Process Allowing Secure Creation, Transmittal, Review of And Related Operations on, High Value Electronic Files

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CX01 Expiry of patent term

Granted publication date: 20031119

EXPY Termination of patent right or utility model