專利名稱:密碼加密模塊選擇設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于選擇為電子數(shù)據(jù)的加密和簽名處理選擇密碼加密 方案的加密模塊選擇設(shè)備���。
背景技術(shù):
在當(dāng)前的高度信息化的社會(huì)中�����,密碼加密技術(shù)被用作了用于確保信息安全 的基礎(chǔ)技術(shù)���。
密碼加密技術(shù)大致分成以下類別,即通用密鑰密碼加密系統(tǒng)���、公開(kāi)密鑰密 碼加密系統(tǒng)�、哈希函數(shù)�、隨機(jī)數(shù)等等。在每一個(gè)類別中都開(kāi)發(fā)了不同的密碼加 密方法�。每一種密碼加密方法都具有特定特征�。由此,較為理想的是通過(guò)考慮 密碼加密方法的特征并且依照環(huán)境來(lái)選擇恰當(dāng)?shù)拿艽a加密方法��。
例如����,在日本專利申請(qǐng)公開(kāi)2002-281018中7>開(kāi)了一種用于在改變加密方 法時(shí)在系統(tǒng)中反映所改變的密碼加密方法的技術(shù)。
例如���,在CRYPTREC電子政務(wù)建議的密碼加密列表中(URL: http:〃www.soumu.go.jp/joho—tsusin/security/pdf/cryptrec—01 .pdf)顯示了 一種用 于選擇密碼加密方法的準(zhǔn)則��。舉個(gè)例子��,在選擇通用密鑰密碼加密系統(tǒng)時(shí)�����,這時(shí) 建議了解由通信和廣播組織撰寫的關(guān)于選擇/設(shè)計(jì)/評(píng)估通用密鑰分組密碼加密的 文獻(xiàn)的內(nèi)容(URL: http:〃www2.nict.go.jp/tao/kenkyu/yokohama/guidebook.pdf )��。
但是��,電子政務(wù)推薦的密碼加密列表顯示了通常使用的密碼加密方法集 合����,但是并沒(méi)有始終顯示依照環(huán)境的最優(yōu)密碼加密方法。
舉例來(lái)說(shuō)���,由于通用密鑰密碼加密方法是通過(guò)理解涉及選擇/設(shè)計(jì)/評(píng)估的 文獻(xiàn)來(lái)選擇的�����,因此���,為了選擇通用密鑰密碼加密方法,有必要具有專業(yè)的知 識(shí)����。
此外���,通過(guò)發(fā)現(xiàn)關(guān)于現(xiàn)有密碼加密方法的新穎的攻擊方法,有可能需要修 改現(xiàn)有密碼加密方法��,以便提供新的密碼加密方法�。
此外,在一種密碼加密方法中有可能存在實(shí)施方式互不相同的多個(gè)密碼加密模塊�����。因此����,依照實(shí)施方式,密碼加密模塊的速度或是資源的消耗量有可能 是不同的���。相應(yīng)地,根據(jù)環(huán)境���,有可能需要將當(dāng)前的密碼加密模塊改變成相同 密碼加密方法的不同密碼加密模塊����。
在任何情況下,當(dāng)改變密碼加密模塊時(shí)都會(huì)推薦將用于執(zhí)行新的密碼加密 方法的密碼加密模塊分發(fā)到相應(yīng)的設(shè)備�����,以便更新密碼加密模塊(相關(guān)實(shí)例參
見(jiàn)日本專利申請(qǐng)公開(kāi)2002-281018)��。但是�,在曰本專利申請(qǐng)公開(kāi)2002-281018 中并未提出關(guān)于密碼加密模塊的最優(yōu)選擇。
由此����,密碼加密模塊通常是作為固定模塊來(lái)使用的,當(dāng)改變密碼加密模塊 時(shí)�����,這時(shí)需要專業(yè)知識(shí)來(lái)選擇適合環(huán)境的最優(yōu)密碼加密模塊����。
發(fā)明內(nèi)容
因此,本發(fā)明的一個(gè)目的是給出一種在沒(méi)有專業(yè)知識(shí)的情況下根據(jù)環(huán)境來(lái) 選擇最優(yōu)密碼加密方法或密碼加密模塊的密碼加密模塊選擇設(shè)備�。
本發(fā)明主要具有如下配置。即�����,"密碼加密模塊選擇過(guò)程,����,將被構(gòu)建,其中 該過(guò)程是一個(gè)將密碼加密模塊與描述密碼加密模塊功能和屬性的密碼加密評(píng) 估信息相關(guān)聯(lián)��,以及通過(guò)依照指定條件查閱這些數(shù)據(jù)來(lái)產(chǎn)生后續(xù)輸出的算法��。
1) 編譯與指定條件相適合的密碼加密模塊的列表 在這里�,在密碼加密評(píng)估信息中描述并且在編譯列表的時(shí)候使用密碼加密 模塊依存關(guān)系以及限制條件。
2) 根據(jù)指定條件的優(yōu)先級(jí)程度而從關(guān)于1)的符合列表中選擇最優(yōu)的密 碼加密模塊�。
在這里,密碼加密模塊的分?jǐn)?shù)是相對(duì)于在條件中指定的屬性來(lái)評(píng)估的����,并 且評(píng)估結(jié)果是在密碼加密評(píng)估信息中描述以及在選擇密碼加密模塊的時(shí)候使 用的。
這個(gè)操作不但會(huì)在選擇在自身機(jī)器中使用的密碼加密模塊的時(shí)候使用����,而 且還會(huì)在服務(wù)器為終端設(shè)備硬件選擇最優(yōu)密碼加密模塊的時(shí)候使用。
在本發(fā)明的一個(gè)方面中提供了 一種密碼加密模塊選擇設(shè)備���,用于選擇多個(gè) 密碼加密模塊中的任何一個(gè)密碼加密模塊,包括密碼加密評(píng)估信息存儲(chǔ)設(shè)備�, 配置用于存儲(chǔ)用于執(zhí)行密碼加密方法的密碼加密模塊的標(biāo)識(shí)信息�����,以及用于描 述用于與相互關(guān)聯(lián)的加密模塊相對(duì)應(yīng)的功能和性能之一或是這二者的密碼加密評(píng)估信息���;條件信息獲取設(shè)備,配置用于獲取用于指定所要選擇的密碼加密 模塊的條件的條件信息�����;提取設(shè)備�����,配置用于從密碼加密評(píng)估信息存儲(chǔ)設(shè)備存 儲(chǔ)的密碼加密評(píng)估信息中提取與條件信息獲取設(shè)備獲取的條件信息相符合的 密碼加密評(píng)估信息����;以及輸出設(shè)備,配置用于讀出與提取設(shè)備從密碼加密評(píng)估 信息存儲(chǔ)設(shè)備中選擇的密碼加密評(píng)估信息相對(duì)應(yīng)的密碼加密模塊的標(biāo)識(shí)信息����, 并且輸出所讀取的標(biāo)識(shí)信息。
圖1是顯示本發(fā)明第一實(shí)施例中的密碼加密模塊分發(fā)系統(tǒng)配置的框圖2是顯示同一實(shí)施例中的密碼加密客戶機(jī)設(shè)備配置的框圖3是顯示同 一實(shí)施例中的密碼加密管理服務(wù)器設(shè)備配置的框圖4是顯示本發(fā)明第二實(shí)施例中的密碼加密模塊分發(fā)系統(tǒng)配置的框圖5是顯示同 一實(shí)施例中的密碼加密客戶機(jī)設(shè)備配置的框圖6是顯示同一實(shí)施例中的選擇DB的數(shù)據(jù)組成實(shí)例的圖示����;
圖7是顯示同一實(shí)施例中的密碼加密模塊鏈接DB的數(shù)據(jù)組成實(shí)例的圖
示��;
圖8是顯示同一實(shí)施例中的密碼加密模塊DB的數(shù)據(jù)組成實(shí)例的圖示��;
圖9是顯示同一實(shí)施例中的密鑰信息DB的數(shù)據(jù)組成實(shí)例的圖示����;
圖10是顯示同 一 實(shí)施例中的密碼加密處理DB的數(shù)據(jù)組成實(shí)例的圖示�;
圖ll是顯示同一實(shí)施例中的數(shù)據(jù)庫(kù)的邏輯組成的圖示;
圖12是顯示同 一 實(shí)施例中的密碼加密管理服務(wù)器設(shè)備的配置的框圖13是同一實(shí)施例中的密碼加密選擇設(shè)備的功能框圖14是同一實(shí)施例中的關(guān)于密碼加密評(píng)估信息的描述項(xiàng)目的實(shí)例�;
圖15是同一實(shí)施例中的密碼加密選#^殳備的操作的流程圖16是同 一 實(shí)施例中的加密模塊選擇過(guò)程的數(shù)據(jù)輸入和輸出的實(shí)例;
圖17是本發(fā)明第四實(shí)施例中的密碼加密選擇設(shè)備的功能框圖18是同一實(shí)施例中的密碼加密選擇設(shè)備的操作的流程圖19是同一實(shí)施例中的密碼加密模塊選擇過(guò)程的數(shù)據(jù)輸入和輸出的實(shí)
例�;
圖20是本發(fā)明第五實(shí)施例中的密碼加密模選#^殳備的功能框圖;圖21是顯示同一實(shí)施例中的選擇密碼加密模塊的整體4喿作的圖示�����; 圖22是在同一實(shí)施例中當(dāng)響應(yīng)于終端側(cè)請(qǐng)求而選擇從服務(wù)器端分發(fā)的密 碼加密模塊時(shí)密碼加密模塊選擇過(guò)程的數(shù)據(jù)輸入和輸出的實(shí)例�;
圖23是在同一實(shí)施例中當(dāng)通過(guò)服務(wù)器端發(fā)起來(lái)選擇和分發(fā)保持在終端側(cè) 的密碼加密模塊時(shí)密碼加密模塊選擇過(guò)程的數(shù)據(jù)輸入和輸出的實(shí)例。
具體實(shí)施例方式
在下文中將會(huì)參考附圖來(lái)描述本發(fā)明實(shí)施例中的密碼加密模塊分發(fā)系統(tǒng)�。 接下來(lái)將會(huì)給出關(guān)于本系統(tǒng)的概述。在本系統(tǒng)中��,服務(wù)器與客戶機(jī)設(shè)備相
加密方法相符合的密碼加密模塊加密的信息����。此外,在本系統(tǒng)中還可以周期性 改變密碼加密模塊�。作為能夠改變密碼加密模塊的此類密碼加密系統(tǒng),目前存 在某些框架����,在這些框架中,接口是依照密碼加密技術(shù)并且在獨(dú)立于密碼加密 方法以及可以實(shí)施每一個(gè)密碼廠商的情況下定義的�����。例如����,此類框架包括 MicrosoftTM的CryptAPI、 SuiiTm的JCA ( JavaTM密碼加密架構(gòu))/JCE (Java頂密 碼加密擴(kuò)展)�����、以及Open GroupTM的CDSA (通用數(shù)據(jù)安全架構(gòu))����。
在這些框架中,用于訪問(wèn)每一個(gè)密碼加密模塊的接口是根據(jù)密碼加密技術(shù) 來(lái)定義的��,其中舉例來(lái)說(shuō),該密碼加密技術(shù)可以是加密/解密����、簽名生成/驗(yàn)證 以及認(rèn)證方生成/驗(yàn)證,此外��,諸如DES (數(shù)據(jù)加密標(biāo)準(zhǔn))和AES (高級(jí)加密 標(biāo)準(zhǔn))之類的密碼加密方法是可以根據(jù)所述接口來(lái)實(shí)施的�����。當(dāng)加密或安全性的 專業(yè)人員構(gòu)造系統(tǒng)時(shí)����,這時(shí)將會(huì)提前從所實(shí)施的密碼加密方法中選擇恰當(dāng)?shù)拿?碼加密方法,并且會(huì)將用于指示所用密碼加密方法的密碼加密方法參數(shù)輸入到 該框架中��,由此可以改變密碼加密方法�����。
通常��,在使用此類框架中����,如果改變了用于管理應(yīng)用系統(tǒng)的安全策略��,那 么密碼加密或安全方面的專業(yè)人員必須重新選擇適合該系統(tǒng)的密碼加密方法�, 這其中包含了獲得恰當(dāng)專業(yè)密碼加密或安全性人員和成本的問(wèn)題��。如果在現(xiàn)有 密碼加密方法中發(fā)現(xiàn)缺陷����,或者在宣布新的密碼加密方法時(shí)����,這時(shí)是很難將密 碼加密方法中的變化平滑應(yīng)用于當(dāng)前工作的系統(tǒng)應(yīng)用的。此外�����,依照用于確保 安全性的環(huán)境�,如果所需要的安全等級(jí)和處理速度不同,那么是很難在常規(guī)系 統(tǒng)中實(shí)現(xiàn)最優(yōu)安全性的����。根據(jù)本實(shí)施例的系統(tǒng),這些問(wèn)題可以在能夠改變密碼加密方法的密碼加密 系統(tǒng)中解決����。
<第一實(shí)施例>
圖1是顯示本發(fā)明第一實(shí)施例中的密碼加密模塊分發(fā)系統(tǒng)配置的示意性 框圖���。
該密碼加密系統(tǒng)包括密碼加密管理服務(wù)器設(shè)備350,用于傳送包含了密 碼加密才莫塊308和密碼加密評(píng)估描述文件309的密碼加密包307����,以及密碼加 密客戶機(jī)設(shè)備150,用于使用接收到的密碼加密包307來(lái)執(zhí)行密碼加密處理����。 對(duì)密碼加密評(píng)估描述文件309中描述的密碼加密模塊來(lái)說(shuō),其評(píng)估涉及的是關(guān) 于相應(yīng)密碼加密模塊308的密碼加密方法的可靠性����、強(qiáng)度等等的眾多信息,并 且其實(shí)例包括所實(shí)施的密碼加密方法的安全性�����、密碼加密模塊的處理速度以及 可以在密碼加密才莫塊中使用的密鑰長(zhǎng)度�。密碼加密評(píng)估描述文件309是密碼加 密評(píng)估信息的一個(gè)實(shí)例,并且用XML格式表述的密碼加密評(píng)估信息同樣可以 應(yīng)用作為密碼加密評(píng)估描述文件309�。
密碼加密管理服務(wù)器350包括用于累積密碼加密模塊308的密碼加密模塊 DB 353,用于累積密碼加密評(píng)估描述文件309的密碼加密評(píng)估DB 354,用于 管理密碼加密模塊DB 353和密碼加密模塊評(píng)估DB 354的密碼加密管理單元 351�,用于在密碼加密模塊DB 353和密碼加密模塊評(píng)估DB 354中注冊(cè)新信息 的密碼加密模塊注冊(cè)單元355,以及響應(yīng)于來(lái)自密碼加密客戶機(jī)設(shè)備150的請(qǐng) 求而從密碼加密模塊DB 353和密碼加密模塊評(píng)估DB 354中讀出最優(yōu)密碼加 密包307以便進(jìn)行傳輸?shù)拿艽a加密模塊分發(fā)單元352����。
密碼加密客戶機(jī)設(shè)備150包括作為應(yīng)用或中間件的主機(jī)系統(tǒng)單元151, 其經(jīng)由密碼加密控制管理器單元152來(lái)存取和使用所實(shí)施的密碼加密模塊單 元153所給出的密碼加密函數(shù)�����,接收密碼加密管理服務(wù)器設(shè)備350傳送的密碼 加密包307并且改變所實(shí)施的密碼加密模塊單元153所給出的密碼加密函數(shù)的 密碼加密控制管理器單元152,作為硬件來(lái)使用基本密碼加密方法實(shí)現(xiàn)密碼加 密處理的防篡改密碼加密硬件單元450��,以及給出了密碼加密函數(shù)的所實(shí)施的 密碼加密模塊單元153���,其中在該函數(shù)中可以執(zhí)行和使用用于實(shí)施密碼加密方 法的密碼加密模塊308��。密碼加密管理服務(wù)器設(shè)備350根據(jù)來(lái)自密碼加密客戶機(jī)設(shè)備150的請(qǐng)求來(lái)執(zhí)行密碼加密模塊初始注冊(cè)�����、分發(fā)和更新這三個(gè)過(guò)程�,以 便將恰當(dāng)?shù)拿艽a加密包307傳送到密碼加密客戶機(jī)設(shè)備150。
在這里�,當(dāng)密碼加密客戶機(jī)設(shè)備150不具有密碼加密模塊308并且不存在 所實(shí)施的密碼加密模塊單元153時(shí),密碼加密模塊初始注冊(cè)被設(shè)計(jì)成使用密碼 加密客戶機(jī)設(shè)備150的密碼加密硬件單元450來(lái)將不可缺少的密碼加密模塊 308從密碼加密管理服務(wù)器設(shè)備350安全地傳送到所實(shí)施的密碼加密模塊單元 153����。
密碼加密模塊分發(fā)被設(shè)計(jì)成選擇恰當(dāng)?shù)拿艽a加密模塊308或是密碼加密 包307�,并且響應(yīng)于從密碼加密客戶機(jī)設(shè)備150接收的密碼加密處理請(qǐng)求來(lái)由 密碼加密管理服務(wù)器設(shè)備350向密碼加密客戶機(jī)設(shè)備150傳送一個(gè)響應(yīng)�����。該密 碼加密處理請(qǐng)求包括關(guān)于密碼加密模塊的條件信息��,并且該條件信息包括密碼 加密方法的分類(密碼加密方法類別)�,例如加密或簽名生成,密碼加密模塊 308的制造商�,用于操作密碼加密模塊308的硬件的信息��,以及密碼加密模塊 評(píng)估信息���。該密碼加密模塊評(píng)估信息可以在獨(dú)立于密碼加密模塊308的情況下 作為 一個(gè)文件而被處理���,在本實(shí)施例的例示中�,_它作為密碼加密評(píng)估描述文件 309。
密碼加密模塊更新被設(shè)計(jì)成傳送新的密碼加密模塊308,以及通知密碼加 密管理服務(wù)器設(shè)備的所實(shí)施的現(xiàn)有密碼加密模塊單元153不可用�,這其中包含 了各種功能,例如注冊(cè)新的密碼加密模塊308,刪除使用了被盜用的密碼加密 方法的相應(yīng)密碼加密模塊308,在密碼加密模塊308中發(fā)現(xiàn)故障���,以及更新現(xiàn) 有密碼加密模塊308和執(zhí)行該密碼加密模塊308的所實(shí)施的密碼加密模塊單元 153,在密碼加密方法評(píng)估因?yàn)橛?jì)算機(jī)處理速度提升等因素而發(fā)生變化時(shí)���,在 密碼加密管理服務(wù)器設(shè)備350上更新保存在密碼加密模塊DB 353或密碼加密 模塊評(píng)估DB 354中的信息�����,并且周期性或者根據(jù)來(lái)自密碼加密客戶機(jī)設(shè)備150 的請(qǐng)求來(lái)將已更新的密碼加密包307的信息傳送到密碼加密客戶機(jī)設(shè)備150����。
圖2是密碼加密客戶機(jī)設(shè)備150的詳細(xì)配置圖。該密碼加密控制管理器單 元152包括具有密碼加密處理信息DB 157的密碼加密信息處理單元156��, 密碼加密模塊DB164����,密碼加密模塊評(píng)估DB 163,具有密碼加密模塊選擇策 略158和硬件簡(jiǎn)檔(profile) 160的密碼加密^t塊選擇單元159,密鑰信息DB165�,具有用于描述向密鑰信息DB 165的訪問(wèn)控制策略的訪問(wèn)控制策略161 的密鑰信息管理單元162����,具有密碼加密控制管理器策略167的密碼加密管理 單元166,與密碼加密硬件單元450進(jìn)行通信的密碼加密硬件管理控制單元 170�,與外界進(jìn)行通信的通信功能155,與通信功能155相關(guān)聯(lián)的算法協(xié)商單 元168,以及與通信功能155相關(guān)聯(lián)的安全通信管理單元169�����。
密碼加密處理控制單元156根據(jù)來(lái)自主機(jī)系統(tǒng)單元151的密碼加密處理調(diào) 用來(lái)執(zhí)行密鑰生成處理,密鑰注冊(cè)處理以及密碼加密處理�����。
密碼加密模塊DB 164是一個(gè)用于存儲(chǔ)從密碼加密管理服務(wù)器設(shè)備350接 收的密碼加密模塊308的存儲(chǔ)單元�。
密碼加密模塊評(píng)估DB 354是一個(gè)用于存儲(chǔ)從密碼加密管理服務(wù)器設(shè)備 350接收的密碼加密評(píng)估描述文件309的存儲(chǔ)單元。
密碼加密模塊選擇單元159根據(jù)主機(jī)系統(tǒng)單元151輸入的密碼加密模塊 308的條件信息來(lái)從密碼加密模塊DB 164存儲(chǔ)的密碼加密模塊308中選擇最 合適的密碼加密模塊308,其中該條件信息包括加密類別(例如加密或簽名生 成)�����,密碼加密模塊308的制造商,用于操作密碼加密模塊308的硬件的信息, 關(guān)于密碼加密方法的評(píng)估信息等等����。在選擇密碼加密模塊308的過(guò)程中�����,該選 擇是根據(jù)密碼加密模塊選擇策略158而從符合硬件簡(jiǎn)檔160的密碼加密模塊 308中進(jìn)行的���,其中該硬件簡(jiǎn)檔160描述的是密碼加密客戶及設(shè)備150的硬件 信息���,并且該密碼加密模塊選擇策略158描述的是使用密碼加密客戶及設(shè)備 150的用戶的策略。
硬件筒檔160是例如密碼加密客戶及設(shè)備150的CPU架構(gòu)���、CPU時(shí)鐘�、 已安裝內(nèi)存大小等信息�����。如果依照輸入條件選擇了多個(gè)密碼,那么密碼加密模 塊選擇策略158可以是如下信息�����,希望用戶優(yōu)先使用的條件�����,希望用戶優(yōu)先使 用的密碼加密模塊的制造商����,希望用戶禁止使用的密碼加密方法等等。
由此����,密碼加密模塊選擇單元159通過(guò)參考來(lái)自主機(jī)系統(tǒng)單元151的輸入 信息��、硬件簡(jiǎn)檔160以及密碼加密模塊選擇策略158來(lái)選擇適合輸入信息的密 碼加密模塊308。當(dāng)密碼加密模塊選擇單元159選擇了唯一的密碼加密模塊308 時(shí)����,所選擇的密碼加密模塊308將被從密碼加密模塊DB 164中取出。當(dāng)密碼 加密模塊選擇單元159無(wú)法選擇唯一的密碼加密模塊308時(shí)����,這時(shí)將會(huì)輸出一個(gè)錯(cuò)誤。
密鑰信息管理單元162在/從密鑰信息DB 165中存4渚/讀出數(shù)據(jù)�����,例如在 調(diào)用所實(shí)施的密碼加密模塊單元153時(shí)指定的密鑰信息或是密碼加密方法參 數(shù)的信息����。當(dāng)存在一項(xiàng)以上的指定密鑰信息或密碼加密方法參數(shù)的時(shí)候,密鑰 信息管理單元162將會(huì)關(guān)聯(lián)多個(gè)信息項(xiàng)���,以便作為一個(gè)單元來(lái)對(duì)其進(jìn)行提取���, 從而將其注冊(cè)在密鑰信息DB 165中。此外�����,當(dāng)從密鑰信息DB 165中提取密 鑰信息或密碼加密方法參數(shù)時(shí),密鑰信息管理單元162將會(huì)根據(jù)密碼加密模塊 選擇策略158來(lái)控制從多個(gè)主機(jī)單元151中訪問(wèn)密鑰信息的處理��。
密碼加密管理單元166借助通信功能155來(lái)與密碼加密管理服務(wù)器設(shè)備 350進(jìn)行通信����,并且根據(jù)密碼加密模塊初始注冊(cè)、分發(fā)和更新處理來(lái)接收密碼 加密包307等等����。當(dāng)密碼加密管理單元166從密碼加密管理服務(wù)器設(shè)備350 接收密碼加密包307等等的時(shí)候,它會(huì)根據(jù)密碼加密控制管理器策略167的內(nèi) 容來(lái)執(zhí)行處理����。舉例來(lái)說(shuō),密碼加密控制管理器策略167的內(nèi)容包括如下五項(xiàng)�����。 第一項(xiàng)是是否通過(guò)與密碼加密管理服務(wù)器設(shè)備350進(jìn)行通信來(lái)執(zhí)行服務(wù)器認(rèn) 證��。第二項(xiàng)是是否在從密碼加密管理服務(wù)器設(shè)備350接收到密碼加密包307 或類似等的時(shí)候執(zhí)行加密���。第三項(xiàng)是是否在從密碼加密管理服務(wù)器設(shè)備350 接收到密碼加密包307或類似等的時(shí)候添加篡改檢測(cè)器(MAC:消息認(rèn)證碼)���。 第四項(xiàng)是是否對(duì)接收到的密碼加密包307或類似等執(zhí)行認(rèn)證器檢驗(yàn)���。第五項(xiàng)是 關(guān)于周期性更新的指定信息��,其中該信息顯示的是是否周期性更新保存在密碼 加密模塊評(píng)估DB 163和密碼加密模塊DB 164中的密碼加密包307,以及更新 頻率�����。
密碼加密^/f牛管理控制單元170與密碼加密^5更件單元450進(jìn)行通信�,并且 根據(jù)密碼加密初始注冊(cè)過(guò)程來(lái)從密碼加密管理服務(wù)器設(shè)備350接收密碼加密 包307。當(dāng)接收到密碼加密包307時(shí)����,如果密碼加密包307自身是經(jīng)過(guò)加密的, 則由密碼加密硬件單元450來(lái)解碼密碼加密包307���。當(dāng)檢測(cè)到在密碼加密模塊 308中添加了消息驗(yàn)證碼時(shí)���,密碼加密硬件單元450將會(huì)檢測(cè)針對(duì)密碼加密模 塊308的篡改。
算法協(xié)商單元168與通信功能155進(jìn)行協(xié)作���,并且會(huì)在兩個(gè)密碼加密客戶 機(jī)設(shè)備之間建立安全通信會(huì)話之前對(duì)在建立通信會(huì)話的過(guò)程中使用的密碼加密方法以及在通信會(huì)話中使用的密碼加密方法進(jìn)行協(xié)商��。
安全通信管理單元169與通信功能155進(jìn)行協(xié)作�,并且與另一個(gè)密碼加密 客戶及設(shè)備150建立安全通信會(huì)話。在建立安全會(huì)話時(shí)��,在算法協(xié)商單元168 確定了在建立通信會(huì)話的過(guò)程中使用的密碼加密方法以及在通信會(huì)話中使用 的密碼加密方法之后��,安全通信管理單元169將會(huì)執(zhí)行會(huì)話密鑰共享����。在建立 了安全通信會(huì)話之后,安全通信管理單元169根據(jù)所確定的密碼加密方法并且 通過(guò)使用會(huì)話密鑰來(lái)允許添加認(rèn)證器���,以便加密通信數(shù)據(jù)�,以及防止非法變更 通信數(shù)據(jù)�����。 一旦建立通信會(huì)話��,那么安全通信管理單元169允許保持通信會(huì)話�, 以便在指定時(shí)間以內(nèi)再次使用。
圖3是密碼加密管理服務(wù)器設(shè)備350的詳細(xì)配置圖��。該密碼加密管理服務(wù) 器設(shè)備350包括密碼加密模塊DB 353,密碼加密模塊評(píng)估DB 354����,用于讀取 和更新保存在密碼加密模塊DB 353以及密碼加密模塊評(píng)估DB 354中的信息 的密碼加密管理單元351�����,用于將信息注冊(cè)在密碼加密模塊DB 353以及密碼 加密才莫塊評(píng)估DB 354中的密碼加密^^塊注冊(cè)單元355����,以及用于將密碼加密 模塊傳送到密碼加密客戶機(jī)設(shè)備150的密碼加密模塊分發(fā)單元352�����。
密碼加密模塊DB 353是一個(gè)保存了預(yù)先由用戶存儲(chǔ)或輸入的密碼加密模 塊308的數(shù)據(jù)庫(kù)�����。
密碼加密才莫塊評(píng)估DB 354是一個(gè)保存在預(yù)先由用戶存^f諸和輸入的密碼加 密評(píng)估描述文件309的數(shù)據(jù)庫(kù)�����。
密碼加密管理單元351具有一個(gè)與密碼加密管理服務(wù)器設(shè)備350的接口 ��, 用于搜索保存在密碼加密模塊DB 353以及密碼加密模塊評(píng)估DB 354中的密 碼加密模塊308以及密碼加密包307,顯示密碼加密模塊評(píng)估單元的內(nèi)容��,顯 示被管理的密碼的列表����,更新現(xiàn)有密碼,刪除現(xiàn)有密碼����,注冊(cè)新密碼,以及啟 動(dòng)/停止密碼加密模塊分發(fā)單元�����。當(dāng)注冊(cè)新密碼時(shí)�,密碼加密模塊管理單元351 將會(huì)請(qǐng)求密碼加密模塊注冊(cè)單元355進(jìn)行注冊(cè)。
密碼加密模塊注冊(cè)單元355具有密碼加密包注冊(cè)單元357以及復(fù)合類型描 述生成單元358���。
密碼加密模塊分發(fā)單元352具有密碼加密包分發(fā)控制單元359,具有分發(fā) 策略371的密碼加密包分發(fā)合成單元370,以及具有分發(fā)策略371的分發(fā)密碼加密模塊選擇單元360����。密碼加密模塊分發(fā)單元352解譯來(lái)自密碼加密客戶機(jī) 設(shè)備150的請(qǐng)求�����,并且執(zhí)行等待服務(wù)�,以便執(zhí)行密碼加密模塊初始注冊(cè)、分發(fā) 和更新這三個(gè)過(guò)程���。在等待服務(wù)中����,處理日志將被記錄。
在分發(fā)密碼加密模塊選擇單元360中�����,其中將會(huì)根據(jù)密碼加密模塊初始注 冊(cè)���、分布和更新這三個(gè)過(guò)程以及來(lái)自密碼加密客戶機(jī)設(shè)備150的請(qǐng)求來(lái)選擇適 合分發(fā)的密碼加密模塊308��。在密碼加密模塊初始注冊(cè)的情況下,所要分發(fā)的 密碼加密模塊308是在分發(fā)策略371中描述的密碼加密方法�����,其中該算法被定 義成是對(duì)用戶而言不可缺少的����。
在密碼加密包分發(fā)合成單元370中,基于分發(fā)密碼加密模塊選擇單元360 選擇的密碼加密模塊308,將會(huì)根據(jù)分發(fā)策略371將密碼加密模塊308以及與 密碼加密模塊308相對(duì)應(yīng)的密碼加密評(píng)估描述文件309合成����,以作為密碼加密 包307來(lái)進(jìn)行分發(fā)。舉例來(lái)說(shuō),該分發(fā)策略371描述了以下四項(xiàng)���。
第一項(xiàng)是在分發(fā)密碼加密包307的時(shí)候是否加密密碼加密包307����。第二項(xiàng) 是用于加密密碼加密包307的密碼加密方法�����。第三項(xiàng)是是否在分發(fā)密碼加密包 307的時(shí)候添加篡改;險(xiǎn)測(cè)器�。第四項(xiàng)是密碼加密包307的篡改檢測(cè)器的密碼加 密方法。
在密碼加密包分發(fā)合成單元370的合成處理中�����,保存在密碼加密模塊評(píng)估 DB 354中的內(nèi)容是作為密碼加密評(píng)估描述文件309而以指定格式產(chǎn)生的���,并 且認(rèn)證器將被添加給密碼加密包307,以便由密碼加密管理服務(wù)器設(shè)備350來(lái) 批準(zhǔn)分發(fā)�����,并且密碼加密^^塊308和密碼加密評(píng)估描述文件309將會(huì)作為一個(gè) 配對(duì)合成到密碼加密包307中����。
密碼加密包分發(fā)合成單元370還可以將多個(gè)密碼加密模塊308以及與多個(gè) 密碼加密模塊308相對(duì)應(yīng)的密碼加密評(píng)估描述文件309組合成一個(gè)密碼加密 包。在由密碼加密包分發(fā)合成單元370執(zhí)行的合成處理中�,密碼加密包307 將被加密,篡改檢測(cè)器將被添加�����,并且由此將會(huì)根據(jù)密碼加密客戶及設(shè)備150 的密碼加密控制管理器策略或是密碼加密管理服務(wù)器設(shè)備350的分發(fā)策略371 來(lái)執(zhí)行密鑰生成和密鑰管理��。
<第二實(shí)施例>
在第 一實(shí)施例中��,最優(yōu)的密碼加密方法是由密碼加密客戶機(jī)設(shè)備選擇的�,但在第二實(shí)施例中,最優(yōu)的密碼加密方法是由密碼加密管理服務(wù)器設(shè)備主動(dòng)選 擇的��。換言之�,在圖4所示的密碼加密模塊分發(fā)系統(tǒng)中采用了一種服務(wù)器加固
協(xié)作機(jī)制���,在該機(jī)制中�,在模塊選擇策略存儲(chǔ)單元110中將會(huì)管理和使用密碼 加密管理服務(wù)器設(shè)備1350選擇的密碼加密方法的選擇結(jié)果信息���,特別地����,當(dāng) 模塊選擇策略存儲(chǔ)單元110的計(jì)算能力很弱時(shí),密碼加密管理服務(wù)器設(shè)備1350 將會(huì)支持該操作����,并且可以增強(qiáng)密碼加密客戶及設(shè)備1100中的響應(yīng)性能。
更具體地說(shuō)����,選擇最適合來(lái)自主機(jī)系統(tǒng)單元1151的請(qǐng)求的密碼加密模塊 308的處理是由密碼加密管理服務(wù)器設(shè)備1350執(zhí)行的,并且其結(jié)果是在密碼 加密客戶機(jī)設(shè)備1100的密碼加密控制管理器單元1152中接收的����,而所需要的 條件與最優(yōu)密碼加密模塊308之間的關(guān)系則是在密碼加密信息存儲(chǔ)單元1600 中被管理的。密碼加密控制管理器單元1152根據(jù)來(lái)自主機(jī)系統(tǒng)單元1151的密 碼加密控制管理器請(qǐng)求并且基于來(lái)自主機(jī)系統(tǒng)單元1151的請(qǐng)求與最適合該請(qǐng) 求的密碼加密模塊308之間的關(guān)系來(lái)執(zhí)行處理����。由此,與第一實(shí)施例不同����,對(duì) 于密碼加密模塊308的所有選擇功能或是選擇密碼加密模塊308,密碼加密客 戶機(jī)設(shè)備1100并不總是需要管理密碼加密包307以及從密碼加密管理服務(wù)器 設(shè)備1350接收密碼加密包307����。
圖4是本發(fā)明第二實(shí)施例中的密碼加密模塊分發(fā)系統(tǒng)的概要配置的框圖。 該系統(tǒng)包括一個(gè)或多個(gè)密碼加密客戶機(jī)設(shè)備1100, —個(gè)或多個(gè)密碼加密硬件 單元1450,以及密碼加密管理服務(wù)器設(shè)備1350����。密碼加密硬件單元1450與第 一實(shí)施例中是相同的����。在這里��,每一個(gè)密碼加密客戶機(jī)設(shè)備1100都可以連接 多個(gè)密碼加密硬件單元1450�。該密碼加密硬件單元1450還可以安裝在密碼加 密客戶機(jī)設(shè)備1100中。
圖5是顯示密碼加密客戶機(jī)設(shè)備1100的配置的框圖���。密碼加密客戶機(jī)設(shè) 備1100包括主機(jī)系統(tǒng)單元1151,密碼加密控制管理器單元1152����,所實(shí)施的密 碼加密模塊單元1153,以及通信功能1155���。選擇策略1158是涉及安全性����、處 理速度和資源的文件設(shè)置優(yōu)先級(jí)信息����。主機(jī)系統(tǒng)單元1151和所實(shí)施的密碼加 密模塊單元1153與在第一實(shí)施例中具有相同的配置和功能�����。
密碼加密控制管理器單元1152具有密碼加密處理控制單元1156,密鑰管 理單元1162,密碼加密信息存儲(chǔ)單元1600,密碼加密包管理單元1166,以及密碼加密硬件管理控制單元1170���。
密碼加密處理控制單元1156具有用于從主才幾系統(tǒng)單元1151接收包含了 密碼加密處理?xiàng)l件的密碼加密控制管理器請(qǐng)求的功能�,用于查閱密碼加密信息 存儲(chǔ)單元1600以及指定涉及密碼加密處理?xiàng)l件的功能�����,用于根據(jù)密碼加密處 理執(zhí)行定時(shí)來(lái)向所實(shí)施的密碼加密模塊單元1153請(qǐng)求密碼加密處理的功能�����, 用于為密碼加密處理發(fā)布密碼加密處理ID以及將密碼加密處理ID結(jié)合密碼加 密信息存儲(chǔ)單元1600中的加密處理信息來(lái)進(jìn)行存儲(chǔ)的功能��,以及用于將來(lái)自 所實(shí)施的密碼加密模塊單元1153的密碼加密處理結(jié)果和涉及密碼加密處理的 密碼加密處理ID輸出到主機(jī)系統(tǒng)單元1151中的功能�。
密鑰管理單元1162具有根據(jù)來(lái)自主機(jī)系統(tǒng)單元1151的請(qǐng)求而在密碼加密 信息存儲(chǔ)單1600的密鑰信息DB 1165中注冊(cè)、刪除�����、獲取��、搜索或更新密鑰 信息的功能�,在正常執(zhí)行密碼加密密鑰注冊(cè)時(shí)發(fā)布密鑰ID的功能�,結(jié)合注冊(cè) 處理信息而將密鑰ID保存在密碼加密信息存儲(chǔ)單1600中的功能����,以及根據(jù)環(huán) 境來(lái)向包含密碼加密處理ID或密鑰ID的主機(jī)系統(tǒng)單元1151發(fā)出包含了相應(yīng) 處理結(jié)果的功能。
密碼加密信息存儲(chǔ)單元1600具有存儲(chǔ)選擇DB 1601�����、密碼加密模塊鏈接 DB 1602����、密碼加密模塊DB 1603、密鑰信息DB 1165以及密碼加密處理DB 1604的功能����。密碼加密信息存儲(chǔ)單元1600還可以具有根據(jù)來(lái)自密鑰管理單元 1162、密碼加密處理控制單元1156以及密碼加密包管理單元1166的請(qǐng)求來(lái)控 制和管理密碼加密信息存儲(chǔ)單元1600的每一個(gè)DB的功能�。
在圖6中顯示了選擇DB 1601的數(shù)據(jù)結(jié)構(gòu)。在圖7中顯示了密碼加密模 塊鏈接DB 1602的數(shù)據(jù)結(jié)構(gòu)��。在圖8中顯示了密碼加密模塊DB 1603的數(shù)據(jù) 結(jié)構(gòu)��。在圖9中顯示了密鑰信息DB 1165的數(shù)據(jù)結(jié)構(gòu)����。在圖IO中顯示了密碼 加密處理DB 1604的數(shù)據(jù)結(jié)構(gòu)。圖11顯示了密碼加密信息存儲(chǔ)單元1600的每 一個(gè)數(shù)據(jù)庫(kù)的邏輯關(guān)系����。
密碼加密包管理單元1166具有如下功能。
首先�����,密碼加密包管理單元1166具有在密碼加密存儲(chǔ)單元1600中注冊(cè)算 法ID����、密碼加密模塊評(píng)估描述ID、密碼加密模塊ID以及所選擇的密碼加密 包307的推薦密鑰長(zhǎng)度信息的功能����,其中這些信息是通過(guò)通信功能1155向密碼加密管理服務(wù)器設(shè)備1350傳送該主機(jī)系統(tǒng)單元1151輸入的包括選擇條件、
選擇策略和硬件簡(jiǎn)檔在內(nèi)的信息來(lái)獲取的�����。
此外��,密碼加密包管理單元1166具有如下功能根據(jù)主才幾系統(tǒng)單元1151 輸入的請(qǐng)求并且借助通信功能1155以及使用最終的初始注冊(cè)日期和最終的初 始注冊(cè)域作為密碼加密管理服務(wù)器設(shè)備1350的輸入來(lái)執(zhí)行密碼加密包初始注 冊(cè)協(xié)議��,從密碼加密管理服務(wù)器設(shè)備1350下載最小必要密碼加密包307,以 及在密碼加密信息存儲(chǔ)單元1600中注冊(cè)密碼加密包307。
此外��,密碼加密包管理單元1166具有如下功能借助通信功能1155來(lái)向 密碼加密管理服務(wù)器設(shè)備1350傳送保持在終端中并由主機(jī)系統(tǒng)單元1151輸入 的包括選擇條件�����、選擇策略����、硬件簡(jiǎn)檔和密碼加密包307的列表在內(nèi)的信息, 獲取密碼加密管理服務(wù)器設(shè)備1350選擇的密碼加密包307的實(shí)體和附件信息 (算法ID��,密碼加密模塊評(píng)估描述ID���、密碼加密模塊ID)����,以及將所選擇的 密碼加密包307注冊(cè)在密碼加密信息存儲(chǔ)單元1600中�。
密碼加密硬件管理控制單元1170具有響應(yīng)于來(lái)自密碼加密控制管理器單 元1152的各個(gè)部分的請(qǐng)求并且借助通信功能1155來(lái)執(zhí)行針對(duì)密碼加密硬件的 通信控制的功能。
通信功能1155具有在密碼加密包管理單元1166或密碼加密硬件管理控制 單元1170與合作通信設(shè)備或密碼加密硬件之間相互通信的功能��。
圖12是顯示密碼加密管理服務(wù)器設(shè)備1350的配置的功能框圖��。密碼加密 管理服務(wù)器設(shè)備1350包括服務(wù)器主機(jī)系統(tǒng)單元1380����,通信功能1356,密碼加 密管理服務(wù)器控制單元1352,密碼加密包存儲(chǔ)單元1355���,以及服務(wù)密碼加密 控制管理器單元1390���。
服務(wù)器主機(jī)系統(tǒng)單元1380與密碼加密客戶機(jī)設(shè)備1100的主機(jī)系統(tǒng)單元 1151具有相同的功能����,并且還具有從系統(tǒng)管理器向密碼加密管理服務(wù)器控制 單元1352傳送關(guān)于密碼加密管理的控制請(qǐng)求的功能���。
通信功能1356具有在密碼加密管理服務(wù)器控制單元1352或服務(wù)器密碼加 密控制管理器單元1390與合作通信設(shè)備以及密碼加密硬件或是用于模擬密碼 加密硬件的仿真器之間相互通信的功能�。
密碼加密管理服務(wù)器控制單元1352包括密碼加密包管理控制單元1359,密碼加密包管理單元1351,密碼加密包分發(fā)合成單元1370以及分發(fā)密碼加密 包選擇單元1373�。
密碼加密包管理控制單元1359具有通過(guò)來(lái)自服務(wù)器主機(jī)系統(tǒng)單元1380 的請(qǐng)求來(lái)注冊(cè)密碼加密包307的功能,通過(guò)來(lái)自服務(wù)器主機(jī)系統(tǒng)單元1380的 請(qǐng)求來(lái)更新已注冊(cè)的密碼加密包的功能����,在呈現(xiàn)來(lái)自廠商的密碼加密包的時(shí)候 檢驗(yàn)用于檢查密碼加密包來(lái)源的廠商許可認(rèn)證器的功能,通過(guò)組合多個(gè)單類型 的密碼加密模塊評(píng)估描述部分或是多個(gè)復(fù)合類型的密碼加密模塊評(píng)估描述部 分來(lái)產(chǎn)生復(fù)合類型的密碼加密模塊評(píng)估描述單元的功能��,搜索和獲取在密碼加 密模塊DB 1353中注冊(cè)的密碼加密包307的列表的功能�,根據(jù)來(lái)自服務(wù)器主 機(jī)系統(tǒng)單元1380的請(qǐng)求而從密碼加密模塊DB 1353中刪除密碼加密模塊308 以及相關(guān)的密碼加密包307的功能,以及輸出與在密碼加密包存儲(chǔ)單元1355 上執(zhí)行的注冊(cè)�����、更細(xì)和刪除處理相對(duì)應(yīng)的日志的功能。
密碼加密包管理單元1351具有并行處理來(lái)自多個(gè)密碼加密客戶機(jī)設(shè)備 1100的管理請(qǐng)求的功能�����,執(zhí)行初始注冊(cè)處理��、分發(fā)處理�、更新處理、選擇處 理��、更新通知處理和密碼加密包307的密碼加密管理域轉(zhuǎn)換處理的功能���,用于 在密碼加密客戶機(jī)設(shè)備1100與密碼加密管理服務(wù)器設(shè)備1350之間建立安全性 受到保護(hù)的通信路徑的功能����,用于管理在受密碼加密管理服務(wù)器設(shè)備1350管 理的域中存在的密碼加密客戶機(jī)管理設(shè)備的狀態(tài)的功能�����,以及用于產(chǎn)生與初始 注冊(cè)處理���、分發(fā)處理���、更新處理�、選擇處理���、更新通知處理和密碼加密包307 的密碼加密管理域轉(zhuǎn)換處理相關(guān)的日志的功能����。
密碼加密包分發(fā)合成單元1370具有從密碼加密模塊DB 1353獲取在分發(fā) 密碼加密包選4奪單元1373中選擇的密碼加密包307的功能�����,合成和輸出以 XML之類的密碼加密模塊評(píng)估描述格式保存在密碼加密模塊DB 1353中的每 一個(gè)描述項(xiàng)的數(shù)據(jù)的功能�����,根據(jù)與在密碼加密包管理控制單元1359的安全通 信中使用的密鑰相關(guān)的指定安全系統(tǒng)并且通過(guò)向服務(wù)器密碼加密控制管理器 單元1390請(qǐng)求處理來(lái)產(chǎn)生密鑰的功能���,根據(jù)包含了密碼加密客戶機(jī)設(shè)備1100 的ID以及密鑰安全系統(tǒng)的信息來(lái)管理密鑰信息的功能,以及根據(jù)在密碼加密 管理服務(wù)器設(shè)備1350的分發(fā)策略中定義的安全等級(jí)和安全系統(tǒng)來(lái)對(duì)將要從密 碼加密管理服務(wù)器1350傳送到密碼加密客戶機(jī)設(shè)備1100的信息執(zhí)行關(guān)于數(shù)據(jù)保護(hù)和數(shù)據(jù)認(rèn)證的安全處理的功能�。
分發(fā)加密密鑰包選一奪單元1373具有確定在密碼加密包初始注冊(cè)處理中的 初始注冊(cè)以及選擇密碼加密方法并選擇密碼加密包的功能,在密碼加密包分發(fā) 處理中確定所述分發(fā)并且選擇密碼加密包的功能��,在密碼加密包更新處理中確 定所述分發(fā)的功能����,在密碼加密包更新處理中獲取所更新的密碼加密模塊列表 以及選擇密碼加密包的功能���,在密碼加密包選擇處理中確定所述選擇并且選擇 密碼加密包的功能,在密碼加密管理域變換處理中確定所述移動(dòng)并且產(chǎn)生域移 動(dòng)處理信息的功能��,以及在密碼加密包存儲(chǔ)單元中搜索滿足選擇條件����、選擇策 略和硬件策略的密碼加密包的功能。
密碼加密包存儲(chǔ)單元1355包括用于記錄和管理已注冊(cè)的密碼加密模塊 308的密碼加密模塊DB 1353,以及用于記錄和管理密碼加密評(píng)估描述文件309 的密碼加密模塊評(píng)估DB 1354���。
服務(wù)器密碼加密控制管理器單元1390與密碼加密客戶機(jī)設(shè)備1100的密碼 加密控制管理器1152具有相同的功能���,并且還具有通過(guò)與密碼加密管理服務(wù) 器設(shè)備1352協(xié)作而在密碼加密管理服務(wù)器設(shè)備1350中實(shí)施密碼加密資源管理 控制以及與其他通信設(shè)備實(shí)施密碼認(rèn)證通信的功能。
<第三實(shí)施例>
接下來(lái)將要描述的是由具有多個(gè)密碼加密模塊的終端設(shè)備預(yù)先選擇符合 自身設(shè)備的密碼加密模塊的情況�。
圖13是第三實(shí)施例中的終端設(shè)備100的示意性框圖。第三實(shí)施例的終端 設(shè)備100是一個(gè)包含了圖2所示的密碼加密客戶機(jī)設(shè)備整體或是其一部分的設(shè) 備��,并且在第三實(shí)施例和第四實(shí)施例中�����,選擇密碼加密模塊的功能是包含在這 個(gè)終端100中的�����。在圖13的終端設(shè)備100中,舉例來(lái)說(shuō)�,適合終端設(shè)備100 的密碼加密模塊是由終端設(shè)備100自己選擇的。在這個(gè)終端設(shè)備100中����,密碼
加密模塊評(píng)估信息是通過(guò)描述密碼加密模塊的功能和屬性而被編譯的,并且密 碼加密模塊評(píng)估信息與密碼加密模塊相關(guān)聯(lián)����。作為指定條件的環(huán)境將會(huì)從外界
被輸入,并且通過(guò)使用這個(gè)數(shù)據(jù)�,可以確定和輸出恰當(dāng)?shù)拿艽a加密模塊�����。在這 里��,"外界����,,指的是直接與密碼加密模塊自身相關(guān)聯(lián)的功能部分��,例如圖2所示 的所實(shí)施的密碼加密模塊單元153或是密碼加密模塊DB 164,但是在選擇密碼加密模塊的時(shí)候,所述"外界"并不是必要的����,其實(shí)例可以是圖2所示的主機(jī) 系統(tǒng)單元151。除了每一次輸入的條件之外���,該條件還包括硬件簡(jiǎn)檔��,密碼加
密模塊選擇策略以及其他條件�����。終端設(shè)備100至少包括圖2所示的密碼加密模 塊選擇單元159,密碼加密模塊選擇策略158,硬件簡(jiǎn)檔160��,以及密碼加密 模塊評(píng)估DB163����。更具體地說(shuō)�����,密碼加密模塊選擇單元159包括圖13所示的 條件輸入單元201,密碼加密模塊提取單元202,密碼加密模塊減少單元203 以及選擇結(jié)果輸出單元204��。
在圖13中���,條件輸入單元201獲取用于指定所要選擇的密碼加密模塊的 條件的條件信息�。在這個(gè)獲取過(guò)程中,主機(jī)系統(tǒng)單元指定的條件信息將被獲取�����。 作為替換��,從外部設(shè)備輸入的信息可以被接收和獲取�,或者從鍵盤或其他輸入 設(shè)備輸入的信息也可以被獲取。在這里����,舉例來(lái)說(shuō),條件信息包括指定的條件�����, 并且所述指定的條件包括執(zhí)行密碼加密模塊所需要的用于指定密碼加密模塊 類別的類別信息����,密碼加密模塊的處理速度���,以及存儲(chǔ)器容量�����。
條件輸入單元201還可以獲取將要作為用于執(zhí)行保存在設(shè)備中的密碼加 密模塊的設(shè)備的工作條件的信息���,以此作為條件信息�。
硬件簡(jiǎn)檔160存儲(chǔ)的是使用了密碼加密模塊的終端設(shè)備100的硬件功能和 性能的信息�,并且舉例來(lái)說(shuō),該信息包括硬件中的存儲(chǔ)器使用上限����,CPU的 處理速度,以及密碼加密模塊的處理速度�。這個(gè)硬件筒檔只保存在設(shè)備中,并 且舉例來(lái)說(shuō)��,它可以在為存儲(chǔ)硬件簡(jiǎn)檔所保留的預(yù)定存儲(chǔ)器區(qū)域中提供和存 儲(chǔ)�����,或者也可以為每一個(gè)硬件分發(fā)和存儲(chǔ)關(guān)于硬件功能和性能的硬件簡(jiǎn)檔��。
密碼加密模塊評(píng)估DB 163存儲(chǔ)了密碼加密模塊的標(biāo)識(shí)信息以及用于描述 與密碼加密模塊相關(guān)的密碼加密模塊功能或性能之一或是這二者的密碼加密 模塊評(píng)估信息��。
在圖14中顯示了保存在密碼加密模塊評(píng)估DB 163中的密碼加密模塊評(píng) 估信息的一個(gè)實(shí)例。如圖14所示�����,在密碼加密模塊評(píng)估信息中存儲(chǔ)了其描述 項(xiàng)和概要��,并且所述描述項(xiàng)和概要是彼此關(guān)聯(lián)的���,此外��,還存儲(chǔ)了密碼加密模 塊評(píng)估信息以及相應(yīng)的密碼加密模塊評(píng)估信息之一�,并且這二者是彼此關(guān)聯(lián) 的�����。
密碼加密模塊提取單元202具有通過(guò)提取與條件輸入單元201輸入的指定條件相適合的密碼加密模塊來(lái)編譯列表的功能�。指定條件輸入不但包括每一種 選擇的條件的輸入,而且還包括作為終端硬件導(dǎo)致的限制條件而被保存在終端 中的條件(舉例來(lái)說(shuō)�,在這里是保存在硬件簡(jiǎn)檔160中)或是這二者的組合。 相應(yīng)地�,密碼加密模塊依存關(guān)系以及限制條件是在密碼加密模塊評(píng)估信息中描 述的,并且是在編譯列表的時(shí)候使用的���。
密碼加密模塊提取單元202還從評(píng)估信息存儲(chǔ)單元163存儲(chǔ)的密碼加密模 塊的密碼加密模塊評(píng)估信息中提取與包含在條件輸入單元201獲取的條件信 息中且將要選擇的密碼加密模塊相符合的密碼加密模塊評(píng)估信息。
此外,在提取密碼加密模塊評(píng)估信息時(shí)��,密碼加密模塊提取單元202確定 密碼加密模塊評(píng)估信息是否滿足條件信息����,并且提取滿足該條件的密碼加密模 塊評(píng)估信息。
密碼加密模塊選擇策略158存儲(chǔ)的的信息包括在依據(jù)輸入條件選擇了多 個(gè)密碼加密模塊時(shí)由用戶給出的優(yōu)先級(jí)的條件����,由用戶給出了優(yōu)先級(jí)的密碼加 密模塊的開(kāi)發(fā)制造商,以及用戶希望禁止的密碼加密方法和密碼加密模塊�。
密碼加密模塊減少單元203具有在指定條件是選擇最適合的密碼加密模 塊的情況下,通過(guò)根據(jù)優(yōu)先級(jí)的程度來(lái)執(zhí)行減少而選擇最適合指定條件的密碼 加密模塊的功能��。換言之�����,密碼加密模塊減少單元203比較密碼加密模塊評(píng)估 信息集合中的密碼加密模塊評(píng)估信息的各個(gè)項(xiàng)目���,并且確定與條件輸入單元 201輸入的條件信息最為適合的信息����,由此將密碼加密模塊減少成與該條件最 為適合的密碼加密模塊����。指定條件的輸入不但包括在每一個(gè)選擇時(shí)的條件的輸 入�,而且還包括保存在終端中的常規(guī)終端條件(例如保存了密碼加密模塊選擇 策略158 )或是其組合��。選擇目標(biāo)可以是從終端設(shè)備100的所有密碼加密模塊 中被選擇����,或者從密碼加密模塊提取單元202輸出的密碼加密模塊(群組)中 選擇。為此目的��,在密碼加密模塊評(píng)估信息中描述了密碼加密模塊的分?jǐn)?shù)評(píng)估����, 并且會(huì)在執(zhí)行選擇的時(shí)候被查閱。
選擇結(jié)果輸出單元204從密碼加密模塊評(píng)估信息存儲(chǔ)單元163中讀出與密 碼加密模塊提取單元202或密碼加密模塊減少單元203選擇的密碼加密模塊評(píng) 估信息相對(duì)應(yīng)的密碼加密模塊的標(biāo)識(shí)信息�,并且輸出所讀取的標(biāo)識(shí)信息。
在由密碼加密模塊提取單元202或密碼加密模塊減少單元203提取與密碼加密模塊相符合的密碼加密模塊評(píng)估信息時(shí)����,如果沒(méi)有發(fā)現(xiàn)與密碼加密模塊條 件相匹配的密碼加密模塊評(píng)估信息,那么選擇結(jié)果輸出單元204可以執(zhí)行如下
的兩種處理之一
(1) 通過(guò)輸出缺少相應(yīng)的密碼加密模塊來(lái)終止處理�;
(2) 具有如下功能通過(guò)向外部設(shè)備輸出密碼加密模塊條件來(lái)輸出搜索 指令,并且從外部設(shè)備接收根據(jù)搜索請(qǐng)求搜索的密碼加密模塊的標(biāo)識(shí)信息���。
在第三實(shí)施例中執(zhí)行的是處理(1)�,并且在第五實(shí)施例中將對(duì)處理(2) 進(jìn)行說(shuō)明。
圖13的終端設(shè)備100的操作是參考圖15來(lái)進(jìn)行說(shuō)明的��。 在確定將要在某個(gè)終端設(shè)備中使用的密碼加密模塊的過(guò)程中��,當(dāng)從條件輸 入單元201輸入預(yù)期作為指定條件使用的密碼加密模塊的條件(步驟S201 ) 時(shí)�����,終端100的密碼加密模塊提取單元202讀出保存在硬件筒檔160中的終端 設(shè)備的硬件簡(jiǎn)檔����,通過(guò)使用指定條件與硬件簡(jiǎn)檔的組合作為指定條件來(lái)搜索密 碼加密模塊評(píng)估信息DB 163���,以及選擇滿足指定條件的最優(yōu)密碼加密模塊(步 驟S202 )�����。
圖16顯示了本實(shí)施例中的輸入和輸出數(shù)據(jù)的一個(gè)實(shí)例�。如圖16所示�����,當(dāng) 從主機(jī)應(yīng)用輸入指定條件時(shí)�,密碼加密模塊評(píng)估DB 163將被查閱�,并且滿足 指定條件的最優(yōu)密碼加密模塊將被提取�����。此外���,關(guān)于指定條件的實(shí)例包括(l) 作為類別的"公鑰加密系統(tǒng)"��,(2)作為速度的評(píng)估分?jǐn)?shù)"70點(diǎn)或更高",(3)作 為存儲(chǔ)器使用上限的"20MB",以及(4)作為其他條件的"滿足條件(1 )到(3) 的條件的安全等級(jí)中的最高安全等級(jí)"����。作為終端硬件簡(jiǎn)檔的一個(gè)實(shí)例�����,在這 里將會(huì)讀出信息(5)作為本硬件中的存儲(chǔ)器使用限度的"10MB"����。
這時(shí),密碼加密模塊提取單元202會(huì)在以下過(guò)程中選擇密碼加密模塊
過(guò)程(A )
條件(1 )����、 ( 2 )和(3 )是由密碼加密模塊提取單元202借助條件輸入單 元201獲取的。該密碼加密模塊提取單元202查閱密碼加密模塊評(píng)估DB 163 和硬件簡(jiǎn)檔160 (上文中的硬件簡(jiǎn)檔(5)),在這些模塊中編譯一個(gè)滿足該條 件的密碼加密模塊列表����,并且輸出該列表�����。
更具體地說(shuō),首先����,硬件的條件(3 )和條件(5 )將被比較。由于條件(5 )是一個(gè)強(qiáng)于條件(3)的條件(更嚴(yán)格的條件)���,因此將會(huì)通過(guò)用條件(5)替
換條件(3)來(lái)執(zhí)行校正�����。如果條件(3)不存在�����,那么仍舊將條件(5)添加 至條件(1)和(2),并且確定指定條件����。密碼加密模塊提取單元202在密碼 加密模塊評(píng)估DB 163中搜索滿足條件(1)�����、 (2)和(5)的密碼加密模塊, 并且編譯和輸出滿足這些條件的密碼加密模塊的列表����。在這里將會(huì)確定是否存 在滿足這些條件的密碼加密模塊(步驟S203 )。如果沒(méi)有滿足指定條件的密碼 加密模塊����,則輸出確定結(jié)果(步驟S204),如果存在符合條件的密碼加密模塊����, 那么該處理轉(zhuǎn)到如下過(guò)程(B)。 過(guò)程(B)
當(dāng)從密碼加密模塊提取單元202向密碼加密模塊減少單元203輸入過(guò)程 (A)的輸出以及條件(4)時(shí)�,密碼加密模塊減少單元203將會(huì)查閱密碼加 密模塊評(píng)估DB 163和密碼加密模塊選擇策略203,并且從過(guò)程(A)的輸出 列表中選擇最適合條件(4)(在本范例中是安全性最高)的密碼加密模塊(步 驟S205 ),以及輸出這個(gè)密碼加密模塊的標(biāo)識(shí)信息(步驟206 )���。在這個(gè)過(guò)程(B ) 中選擇和輸出的密碼加密模塊的標(biāo)識(shí)信息是標(biāo)識(shí)預(yù)期密碼加密模塊的信息�����。
在過(guò)程(B)中可以指定多個(gè)條件���。例如���,所預(yù)期的有可能是最高速度以 及使用存儲(chǔ)器最少的密碼加密模塊。舉例來(lái)說(shuō)���,在這種情況下可以確定條件"為 速度給出高于存儲(chǔ)器使用率的優(yōu)先級(jí)"�����,由此首先選擇的是最高速度,并且如 果選擇了多個(gè)密碼加密模塊���,則在其中選擇使用存儲(chǔ)器最少的密碼加密模塊�����。 由此����,選項(xiàng)可以減少��,但這僅僅是一個(gè)實(shí)例��,并且減少方法并不局限于此�。
在本實(shí)施例中��,在圖3的分發(fā)密碼加密模塊選擇單元360中可以提供這種 將條件輸入單元201���、密碼加密模塊提取單元202、密碼加密模塊減少單元203 以及選擇結(jié)果輸出單元204組合在一起的配置�。
<第四實(shí)施例>
接下來(lái)將要說(shuō)明的是第四實(shí)施例。雖然在第三實(shí)施例中是由終端設(shè)備100 自身來(lái)提取將要在終端設(shè)備100中使用的密碼加密模塊�,但是在配置與第三實(shí) 施例相同的第四實(shí)施例中,所提取的是用于在多個(gè)終端設(shè)備之間執(zhí)行經(jīng)過(guò)力口密 的通信的最優(yōu)密碼加密模塊���。這是一個(gè)用于協(xié)商將要由算法協(xié)商單元168執(zhí)行 的密碼加密方法的特定過(guò)程�����。圖17是顯示第四實(shí)施例中的終端配置的功能框圖����。
圖17的終端A����、 B的密碼加密模塊選擇單元的內(nèi)部配置與圖13中是相同的。
如圖17所示����,在用于終端A與B之間的加密通信的系統(tǒng)中����,這兩個(gè)通信 終端的硬件簡(jiǎn)檔都被用作了密碼加密模塊選擇單元159的輸入信息����,以便確定 除密碼加密模塊評(píng)估信息之外的常用密碼加密方法,并且用于終端A�����、 B且相 對(duì)于這種算法的最優(yōu)密碼加密模塊將被選擇���。
圖17中的終端設(shè)備A和B的操作是參考圖18來(lái)進(jìn)行說(shuō)明的。
終端設(shè)備A將指定條件輸入密碼加密模塊選擇單元159的密碼加密模塊 提取單元202 (步驟S220)�����,并且密碼加密模塊是以與第三實(shí)施例中相同的方 式選擇的�����。但是����,在密碼加密模塊選擇單元159中�,所使用的將會(huì)上至密碼加 密模塊提取單元202�。由此,如果在終端設(shè)備的密碼加密模塊DB中存在滿足 指定條件的密碼加密模塊(步驟S221 )�����,則從終端設(shè)備A向終端設(shè)備B傳送 密碼加密模塊的密碼加密方法(密碼加密算法)的列表(步驟S222)�����。
在終端設(shè)備B中��,除了普通的指定條件之外�,從終端設(shè)備A接收的密碼 加密方法也被用作附加條件,并且密碼加密模塊是以與第三實(shí)施例中相同的方 式而被選擇的(步驟S223 )����。由此,如果在終端設(shè)備B的密碼加密模塊DB中 存在滿足指定條件的密碼加密模塊(步驟S224 )���,則獲取密碼加密模塊的標(biāo)識(shí) 信息(步驟S225 ),并且在終端設(shè)備B中使用密碼加密模塊�����,以及將其密碼加 密方法(因?yàn)樵撨x擇是通過(guò)密碼加密模塊減少單元203執(zhí)行的���,因此只存在一 個(gè)密碼加密模塊�,并且由此只存在一種密碼加密方法)從終端設(shè)備B反向發(fā) 送到終端設(shè)備A (步驟S226 )��。在終端設(shè)備A中�����,從終端設(shè)備B接收的密碼 加密方法將被用作附加條件��,并且密碼加密模塊是以與第三實(shí)施例中相同的方 式選擇的(步驟S227 )���。由此��,作為結(jié)果的密碼加密模塊的標(biāo)識(shí)信息將被獲取 (步驟S228 )�����,并且在終端設(shè)備A中將會(huì)使用這個(gè)密碼加密模塊。
在這里����,在圖19中說(shuō)明了在本實(shí)施例中使用的輸入和輸出數(shù)據(jù)的實(shí)例�。 如圖19所示���,在輸入來(lái)自主機(jī)應(yīng)用的指定條件以及用于在終端設(shè)備之間通信 的終端設(shè)備的硬件簡(jiǎn)檔作為條件的時(shí)候�����,這時(shí)將會(huì)通過(guò)在終端設(shè)備中查閱相應(yīng) 的密碼加密模塊評(píng)估DB 163來(lái)選擇與進(jìn)行通信的兩個(gè)終端設(shè)備的環(huán)境最為適合的最優(yōu)密碼加密模塊����。
下文應(yīng)該被注釋成是本實(shí)施例的補(bǔ)充說(shuō)明
(1)終端A上的指定條件可以是其密碼加密方法��。
(2 )所選擇的密碼加密模塊在終端A或終端B中未必存在����。在這種情況 下,必要的密碼加密模塊將會(huì)通過(guò)如下說(shuō)明的第五實(shí)施例中顯示的方法而從服 務(wù)器接收����。如果在服務(wù)器中不存在必要的密碼加密模塊,則將其處理成是選擇 錯(cuò)誤���。
<第五實(shí)施例>
在下文中將會(huì)說(shuō)明第五實(shí)施例���。雖然在第三實(shí)施例中是由終端設(shè)備100 來(lái)提取在自身終端設(shè)備100中使用的密碼加密模塊的�,但是在第五實(shí)施例中�, 終端設(shè)備100將會(huì)選擇滿足終端設(shè)備中的指定條件的密碼加密模塊,并且當(dāng)在 終端設(shè)備100中沒(méi)有發(fā)現(xiàn)滿足指定條件的密碼加密模塊時(shí)�,從終端設(shè)備100 接收選擇請(qǐng)求(委托)的服務(wù)器將會(huì)選擇最優(yōu)的密碼加密模塊,并且將密碼加 密模塊分發(fā)給終端設(shè)備100�。
在這里,"服務(wù)器"是一個(gè)存儲(chǔ)了眾多密碼加密模塊��,能夠選擇用于終端設(shè) 備100的密碼加密模塊以及根據(jù)需要來(lái)分發(fā)密碼加密模塊的設(shè)備���。
"終端設(shè)備��,����,是任何與第三實(shí)施例和第四實(shí)施例具有相同的功能的設(shè)備����。 圖20是顯示第五實(shí)施例中的終端的服務(wù)器配置的功能框圖。 在用于更新服務(wù)器與終端設(shè)備之間的密碼加密方法的系統(tǒng)中���,密碼加密模 塊評(píng)估信息����、終端硬件簡(jiǎn)檔以及終端密碼加密方法將被用作"密碼加密模塊選 擇單元159"的輸入信息���,并且在服務(wù)器端�����,在從服務(wù)器向終端設(shè)備分發(fā)密碼 加密模塊的處理過(guò)程中將會(huì)選擇最優(yōu)的密碼加密模塊�����。
在下文中將會(huì)參考圖21來(lái)進(jìn)一步描述第五實(shí)施例�����。
首先���,與第 一實(shí)施例中相同,終端設(shè)備100執(zhí)行密碼加密模塊選擇過(guò)程(A ) 和(B)��。當(dāng)輸入指定條件時(shí)(步驟S240),這時(shí)將會(huì)確定是否存在符合該指定 條件的密碼加密模塊(步驟S241)����。在獲取了符合條件的密碼加密模塊時(shí),密 碼加密模塊的標(biāo)識(shí)信息將被輸出(步驟S242)�。當(dāng)沒(méi)有符合條件的密碼加密模 塊時(shí)�,管理密碼加密模塊的服務(wù)器(從密碼加密方法選擇設(shè)備接收選擇委托的 外部設(shè)備)將被請(qǐng)求分發(fā)滿足條件的密碼加密模塊���。這是一個(gè)選擇結(jié)果輸出單元的處理��,在下文中將會(huì)對(duì)此進(jìn)行詳細(xì)說(shuō)明�。
在這種情況下���,在接收到作為輸入的指定條件的情況下�����,終端設(shè)備中的密
碼加密模塊選擇單元將會(huì)執(zhí)行密碼加密模塊選擇過(guò)程(A)和(B)����。在圖22 中顯示了這里給出的數(shù)據(jù)輸入和輸出的一個(gè)實(shí)例�����。如圖22所示�,當(dāng)從主機(jī)系 統(tǒng)單元輸入指定條件、終端設(shè)備的密碼加密模塊選擇策略以及終端設(shè)備的硬件 簡(jiǎn)檔時(shí)�,這時(shí)將會(huì)查閱密碼加密模塊評(píng)估DB 163,并且提取滿足這些條件的 最優(yōu)密碼加密模塊。如果檢測(cè)出執(zhí)行該過(guò)程的結(jié)果是并未提取出符合這些條件 的密碼加密模塊����,那么圖20所示的終端設(shè)備中的選擇結(jié)果輸出單元204會(huì)將 密碼加密模塊減少單元203輸出的指定條件�����、選擇策略以及終端硬件簡(jiǎn)檔作為 條件(5)傳送到外部服務(wù)器的分發(fā)密碼加密模塊選擇單元360 (步驟S243)�。
外部服務(wù)器中的分發(fā)密碼加密模塊選擇單元360接收作為輸入的條件(5 ) (步驟S244),并且執(zhí)行密碼加密模塊選擇過(guò)程。在圖22中顯示了這里的數(shù) 據(jù)輸入和輸出的一個(gè)實(shí)例�。如圖22所示,當(dāng)從主機(jī)系統(tǒng)單元輸入指定條件���、 終端設(shè)備的密碼加密模塊選擇策略以及終端設(shè)備的硬件簡(jiǎn)檔時(shí)�����,這時(shí)將會(huì)查閱 服務(wù)器中的密碼加密模塊評(píng)估DB 354,并且將會(huì)提取滿足這些條件的最優(yōu)密 碼加密模塊的標(biāo)識(shí)信息(步驟S245 )���。所提取的密碼加密模塊的標(biāo)識(shí)信息將被 輸出(步驟S246)。
當(dāng)提取滿足條件的最優(yōu)密碼加密模塊的標(biāo)識(shí)信息時(shí)����,密碼加密模塊分發(fā)單 元352將會(huì)從服務(wù)器的密碼加密模塊DB 353中提取與這個(gè)標(biāo)識(shí)信息相對(duì)應(yīng)的 密碼加密模塊,以及從服務(wù)器的密碼加密模塊評(píng)估DB 354中提取與標(biāo)識(shí)信息 相對(duì)應(yīng)的密碼加密模塊的密碼加密模塊評(píng)估描述,并且將所提取的密碼加密模 塊與所提取的密碼加密模塊評(píng)估描述相結(jié)合以便形成密碼加密包���,以及將密碼 加密包分發(fā)給終端設(shè)備(步驟S247 )���。
終端設(shè)備接收從服務(wù)器的密碼加密模塊分發(fā)單元352分發(fā)的密碼加密包, 并且將信息注冊(cè)成是自己的密碼加密模塊����。該注冊(cè)處理包括將密碼加密模塊附 加注冊(cè)到終端設(shè)備的密碼加密模塊DB 164,并且將密碼加密模塊評(píng)估描述附 加注冊(cè)到密碼加密;f莫塊評(píng)估DB 163中(步驟S248 )�����。
在這里�����,假設(shè)在下一次以相同的指定條件來(lái)執(zhí)行選擇過(guò)程的的情況�。由于 在密碼加密模塊評(píng)估DB 163中已經(jīng)注冊(cè)了來(lái)自服務(wù)器的新的密碼加密模塊,因此���,當(dāng)輸入指定條件時(shí)�,新注冊(cè)的密碼加密模塊將被選擇����。換言之���,第三實(shí) 施例的操作可以結(jié)合相同的指定條件來(lái)執(zhí)行。
在前述實(shí)施例中�����,符合環(huán)境的最優(yōu)密碼加密模塊可以只通過(guò)指定條件而在 不需要任何專業(yè)知識(shí)的情況下自動(dòng)選擇�。
上述實(shí)施例不但適用于選擇供自身終端設(shè)備使用的密碼加密模塊�����,而且還 適用于供服務(wù)器選擇與終端設(shè)備的硬件最為適合的密碼加密模塊�。此外,在這 里還可以考慮以下兩種情況����。
(1) 在沒(méi)有接受來(lái)自終端設(shè)備的選擇請(qǐng)求的情況下,服務(wù)器選擇將要從 服務(wù)器的密碼加密模塊DB中選出的密碼加密模塊����,并且將選定的密碼加密模
塊從服務(wù)器分發(fā)到終端設(shè)備的情況
如果選定的密碼加密模塊已經(jīng)存在于終端設(shè)備的密碼加密模塊DB中,那 么沒(méi)有必要實(shí)施從服務(wù)器到終端設(shè)備的分發(fā)����,由此不會(huì)執(zhí)行該分發(fā)�。為了確定 這個(gè)條件��,除了選擇策略和硬件簡(jiǎn)檔之外����,終端設(shè)備還會(huì)向服務(wù)器發(fā)送該終端 設(shè)備的密碼加密模塊列表。服務(wù)器通過(guò)查閱密碼加密模塊評(píng)估DB 354來(lái)選擇 密碼加密模塊�,并且檢查在終端設(shè)備的密碼加密模塊列表中是否存在所選擇的 密碼加密模塊。只有當(dāng)不存在所選擇的密碼加密模塊的時(shí)候�,該密碼加密模塊 才會(huì)被從服務(wù)器發(fā)送到終端設(shè)備。指定條件并不是從終端設(shè)備接收的��,而是從 服務(wù)器端應(yīng)用輸入的���。在圖23中顯示了此時(shí)的數(shù)據(jù)輸入和輸出的一個(gè)實(shí)例�����。
(2) 服務(wù)器接收來(lái)自終端設(shè)備的選擇請(qǐng)求����,并且從終端設(shè)備內(nèi)部的密碼 加密模塊DB中選擇密碼加密模塊的情況��,也就是終端設(shè)備僅僅向服務(wù)器請(qǐng)求 選擇處理的情況這個(gè)處理是由第二實(shí)施例中的密碼加密管理服務(wù)器設(shè)備 1350執(zhí)行的處理。
由于服務(wù)器在第三實(shí)施例的終端設(shè)備中執(zhí)行選擇處理�,因此,除了選擇策 略��、硬件簡(jiǎn)檔和指定條件之外�,該終端設(shè)備還必須向服務(wù)器發(fā)送終端設(shè)備中的 密碼加密模塊列表,以及與密碼加密模塊列表中的密碼加密模塊相關(guān)的密碼加 密模塊評(píng)估描述�����。服務(wù)器中的分發(fā)密碼加密模塊選擇單元360則會(huì)根據(jù)該數(shù)據(jù) 而以與第三實(shí)施例中的終端設(shè)備的密碼加密模塊選擇單元完全相同的方式來(lái) 執(zhí)行操作��,并且將選擇結(jié)果告知終端設(shè)備的選擇單元�����。
在上述實(shí)施例中同時(shí)提供了密碼加密模塊提取單元202和密碼加密模塊減少單元203,但是也可以僅僅提供其中任何一個(gè)單元��。如果只提供密碼加密 模塊減少單元203而沒(méi)有包含密碼加密模塊提取單元202�����,那么密碼加密模塊 減少單元203將會(huì)通過(guò)查閱保持在機(jī)器中的所有密碼加密模塊來(lái)減少密碼加 密模塊���。
雖然在這里通過(guò)參考附圖而對(duì)本發(fā)明的實(shí)施例進(jìn)行了描述��,但是本發(fā)明并 不局限于所例證的實(shí)施例��,并且本發(fā)明包含了落入本發(fā)明主題以內(nèi)的設(shè)計(jì)或類 似等�。
權(quán)利要求
1. 一種密碼加密模塊選擇設(shè)備(100)�����,用于選擇多個(gè)密碼加密模塊中的任一密碼加密模塊�,其特征在于包括密碼加密評(píng)估信息存儲(chǔ)設(shè)備(163),用于存儲(chǔ)用于執(zhí)行密碼加密方法的密碼加密模塊的標(biāo)識(shí)信息�����,以及用于描述用于與相互關(guān)聯(lián)的加密模塊相對(duì)應(yīng)的功能和性能之一或是這二者的密碼加密評(píng)估信息���;條件信息獲取設(shè)備(201)��,用于獲取用于指定所要選擇的密碼加密模塊的條件的條件信息��;提取設(shè)備(202)���,用于從密碼加密評(píng)估信息存儲(chǔ)設(shè)備存儲(chǔ)的密碼加密評(píng)估信息中提取與條件信息獲取設(shè)備獲取的條件信息相符合的密碼加密評(píng)估信息;以及輸出設(shè)備(204)���,用于讀出與提取設(shè)備從密碼加密評(píng)估信息存儲(chǔ)設(shè)備中選擇的密碼加密評(píng)估信息相對(duì)應(yīng)的密碼加密模塊的標(biāo)識(shí)信息���,并且輸出所讀取的標(biāo)識(shí)信息�����。
2. 根據(jù)權(quán)利要求1所述的密碼加密模塊選擇設(shè)備���,其特征在于還包括密 碼加密模塊管理設(shè)備(152),用于執(zhí)行和操作與輸出設(shè)備輸出的密碼加密模塊 的標(biāo)識(shí)信息相對(duì)應(yīng)的密碼加密模塊����。
3. 根據(jù)權(quán)利要求2所述的密碼加密模塊選擇設(shè)備,其特征在于條件信息 獲取設(shè)備獲取作為條件信息的將要成為用于執(zhí)行保存在設(shè)備中的密碼加密模 塊的設(shè)備的操作條件的信息�。
4. 根據(jù)權(quán)利要求3所述的密碼加密模塊選擇設(shè)備�,其特征在于提取設(shè)備 為密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備中的每一個(gè)密碼加密每模塊評(píng)估信息確定 密碼加密模塊評(píng)估信息是否符合條件信息獲取設(shè)備獲取的條件信息,以及提取 符合條件的密碼加密模塊評(píng)估信息��。
5. 根椐權(quán)利要求4所述的密碼加密模塊選擇設(shè)備��,其特征在于提取設(shè)備 對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不同 密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較�����,確定與條件信息獲取設(shè)備獲取的條件信息 最為適合的數(shù)據(jù),并且將密碼加密模塊減少至與該條件最為適合的密碼加密模塊����。
6. 根據(jù)權(quán)利要求1所述的密碼加密模塊選擇設(shè)備,其特征在于條件信息 獲取設(shè)備獲取作為條件信息的將要作為用于執(zhí)行保存在設(shè)備中的密碼加密模 塊的設(shè)備的操作條件的信息���。
7. 根據(jù)權(quán)利要求6所述的密碼加密模塊選擇設(shè)備�,其特征在于提取設(shè)備 為密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備中的每一個(gè)密碼加密每模塊評(píng)估信息確定 密碼加密模塊評(píng)估信息是否符合條件信息獲取設(shè)備獲取的條件信息�,以及提取 符合條件的密碼加密模塊評(píng)估信息。
8. 根據(jù)權(quán)利要求7所述的密碼加密模塊選擇設(shè)備�,其特征在于提取設(shè)備 對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不同 密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較,確定與條件信息獲取設(shè)備獲取的條件信息 最為適合的數(shù)據(jù)���,并且將密碼加密模塊減少至與該條件最為適合的密碼加密模 塊��。
9. 根據(jù)權(quán)利要求1所述的密碼加密模塊選擇設(shè)備���,其特征在于提取設(shè)備 為密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備中的每一個(gè)密碼加密每模塊評(píng)估信息確定 密碼加密模塊評(píng)估信息是否符合條件信息獲取設(shè)備獲取的條件信息,以及提取 符合條件的密碼加密模塊評(píng)估信息����。
10. 根據(jù)權(quán)利要求9所述的密碼加密模塊選擇設(shè)備,其特征在于提取設(shè)備 對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不同 密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較���,確定與條件信息獲取設(shè)備獲取的條件信息 最為適合的數(shù)據(jù)�,并且將密碼加密模塊減少至與該條件最為適合的密碼加密模 塊。
11. 根據(jù)權(quán)利要求1所述的密碼加密模塊選擇設(shè)備��,其特征在于提取設(shè)備 對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不同 密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較�����,確定與條件信息獲取設(shè)備獲取的條件信息 最為適合的數(shù)據(jù)�����,并且將密碼加密模塊減少至與該條件最為適合的密碼加密模 塊��。
12. 根據(jù)權(quán)利要求2所述的密碼加密模塊選擇設(shè)備�����,其特征在于提取設(shè)備 為密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備中的每一個(gè)密碼加密每模塊評(píng)估信息確定密碼加密模塊評(píng)估信息是否符合條件信息獲取設(shè)備獲取的條件信息���,以及提取 符合條件的密碼加密^^莫塊評(píng)估信息。
13. 根據(jù)權(quán)利要求12所述的密碼加密模塊選擇設(shè)備�,其特征在于提取設(shè)備對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不 同密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較,確定與條件信息獲取設(shè)備獲取的條件信 息最為適合的數(shù)據(jù)����,并且將密碼加密模塊減少至與該條件最為適合的密碼加密模塊����。
14. 根據(jù)權(quán)利要求2所述的密碼加密模塊選擇設(shè)備�,其特征在于提取設(shè)備 對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不同 密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較,確定與條件信息獲取設(shè)備獲取的條件信息最為適合的數(shù)據(jù)��,并且將密碼加密模塊減少至與該條件最為適合的密碼加密模 塊���。
15. 根據(jù)權(quán)利要求3所述的密碼加密模塊選擇設(shè)備�����,其特征在于提取設(shè)備 對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不同 密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較�,確定與條件信息獲取設(shè)備獲取的條件信息最為適合的數(shù)據(jù)���,并且將密碼加密模塊減少至與該條件最為適合的密碼加密模 塊�����。
16. 根據(jù)權(quán)利要求6所述的密碼加密模塊選擇設(shè)備�����,其特征在于提取設(shè)備 對(duì)來(lái)自密碼加密模塊評(píng)估信息存儲(chǔ)設(shè)備的密碼加密模塊評(píng)估信息集合的不同 密碼加密模塊評(píng)估信息項(xiàng)進(jìn)行比較���,確定與條件信息獲取設(shè)備獲取的條件信息最為適合的數(shù)據(jù)����,并且將密碼加密模塊減少至與該條件最為適合的密碼加密才莫 塊�。
17. 根據(jù)權(quán)利要求1~16中任一權(quán)利要求所述的密碼加密模塊選擇設(shè)備, 其特征在于還包括搜索請(qǐng)求設(shè)備(204 )���,用于在提取設(shè)備選擇與密碼加密模塊條件相符合的 密碼加密模塊評(píng)估信息的過(guò)程中不存在與密碼加密模塊條件相符合的密碼加 密模塊評(píng)估信息的時(shí)候���,將密碼加密模塊的條件傳送到與密碼加密模塊選#^殳 備相連的外部設(shè)備,以便指示密碼加密模塊的搜索請(qǐng)求��;以及接收設(shè)備(204),用于接收根據(jù)來(lái)自搜索請(qǐng)求設(shè)備的搜索請(qǐng)求而被搜索的密碼加密模塊的標(biāo)識(shí)信息��。
18.根據(jù)權(quán)利要求1 16中任一權(quán)利要求所述的密碼加密模塊選擇設(shè)備�, 其特征在于當(dāng)提取與所獲取的條件信息相符合的密碼加密^f莫塊評(píng)估信息的時(shí) 候,提取設(shè)備向與密碼加密模塊選擇設(shè)備相連的第二密碼加密模塊選擇設(shè)備傳 送包含在密碼加密模塊評(píng)估信息中的密碼加密方法信息�,并且第二密碼加密模 塊選擇設(shè)備選擇與該密碼加密方法相對(duì)應(yīng)的密碼加密模塊。
全文摘要
一種密碼加密模塊選擇設(shè)備(100)�,包括密碼加密評(píng)估信息存儲(chǔ)設(shè)備(163)����,用于存儲(chǔ)用于執(zhí)行密碼加密方法的密碼加密模塊的標(biāo)識(shí)信息���,以及用于描述用于與相互關(guān)聯(lián)的加密模塊相對(duì)應(yīng)的功能和/或性能的密碼加密評(píng)估信息;條件信息獲取設(shè)備(201)�����,用于獲取用于指定所要選擇的密碼加密模塊的條件的條件信息����;提取設(shè)備(202),用于從密碼加密評(píng)估信息存儲(chǔ)設(shè)備存儲(chǔ)的密碼加密評(píng)估信息中提取與條件信息獲取設(shè)備獲取的條件信息相符合的密碼加密評(píng)估信息�;以及輸出設(shè)備(204),用于讀出與提取設(shè)備從密碼加密評(píng)估信息存儲(chǔ)設(shè)備中選擇的密碼加密評(píng)估信息相對(duì)應(yīng)的密碼加密模塊的標(biāo)識(shí)信息��,并且輸出所讀取的標(biāo)識(shí)信息����。
文檔編號(hào)H04L9/00GK101420427SQ200810177870
公開(kāi)日2009年4月29日 申請(qǐng)日期2008年9月25日 優(yōu)先權(quán)日2007年9月28日
發(fā)明者中溝孝則, 丹羽朗人, 岡田光司, 坂村健, 宮崎真悟, 栃洼孝也, 石川千秋, 福島茂之, 越塚登 申請(qǐng)人:東芝解決方案株式會(huì)社;株式會(huì)社橫須賀電信研究園區(qū)