[发明专利]通过部分可信的第三方进行的密钥交换有效
| 申请号: | 201680072238.2 | 申请日: | 2016-12-06 |
| 公开(公告)号: | CN108476133B | 公开(公告)日: | 2021-09-03 |
| 发明(设计)人: | M·J·坎帕尼亚 | 申请(专利权)人: | 亚马逊科技有限公司 |
| 主分类号: | H04L9/08 | 分类号: | H04L9/08;H04L9/32 |
| 代理公司: | 广州嘉权专利商标事务所有限公司 44205 | 代理人: | 林伟峰 |
| 地址: | 美国华*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 通过 部分 可信 第三 进行 密钥 交换 | ||
1.一种系统,所述系统包括:
一个或多个计算机处理器;以及
存储器,所述存储器存储可执行指令,所述可执行指令由于被所述一个或多个处理器执行而使所述系统,
由发送者向密码服务提供至少包含发送者身份和第一公钥的消息;
响应于所述消息已被验证,由所述发送者从密码服务获得在第一公钥与发送者身份之间的第一绑定是真实的指示;
作为握手协议的一部分,由所述发送者向客户端提供绑定到所述发送者身份的所述第一公钥以及所述第一绑定是真实的所述指示;
由所述发送者从所述客户端接收第二公钥;
至少使用所述第二公钥和与所述第一公钥相对应的私钥生成共享秘密,其中所述共享秘密对加密服务不可用;以及
使用所述共享秘密与所述客户端建立以密码方式保护的通信会话。
2.如权利要求1所述的系统,其中:
所述第二公钥经由第二绑定而绑定到第二发送者身份和可由所述密码服务以密码方式验证的第二指示;并且
所述指令还使所述系统:
使用所述密码服务验证所述第二绑定是真实的;以及
响应于成功验证所述第二绑定是真实的,生成所述共享秘密。
3.如权利要求2所述的系统,其中:
所述系统通过至少生成包括所述第一公钥和所述发送者身份的消息来将所述第一公钥绑定到所述发送者身份;
所述系统通过获得密钥标识符并请求所述密码服务使用与所述密钥标识符相关联的密码密钥在所述消息上生成消息认证码(MAC)标签来获得所述第一绑定是真实的所述指示;
所述第二指示包括第二MAC标签;并且
所述验证所述第二绑定是真实的包括向所述密码服务提供所述第二MAC标签和所述第二绑定。
4.如权利要求2所述的系统,其中:
所述系统将所述第一公钥绑定到所述发送者身份包括生成包括所述第一公钥和所述发送者身份的消息;
所述系统通过获得密钥标识符并请求所述密码服务使用与所述密钥标识符相关联的密码密钥对所述消息加密来获得所述第一绑定是真实的所述指示;
所述第二指示包括密文;并且
所述系统还包括用于验证所述第二绑定是真实的指令以:
向所述密码服务提供所述密文以进行解密;
从所述密码服务接收与密文相对应的明文和第二密钥标识符;以及
确定所述第二密钥标识符与所述客户端相关联。
5.如权利要求4所述的系统,其中:
所述消息还包括随机数;并且
所述系统还包括用于验证所述第二绑定是真实的指令,以确定与所述密文相对应的所述明文包括所述随机数。
6.如权利要求1所述的系统,其中所述第一公钥和所述私钥形成包括椭圆曲线公钥QA和对应的椭圆曲线私钥dA的椭圆曲线密钥对,并且所述第二公钥为椭圆曲线公钥QB,并且其中所述共享秘密是部分地基于计算dA和QB的椭圆曲线点乘算法而生成的。
7.如权利要求1所述的系统,其中所述指令还使所述系统在建立所述以密码方式保护的通信会话之后获得数据,使用所述私钥在所述数据上生成数字签名,并且经由所述以密码方式保护的通信会话向所述客户端传输所述数据和所述数字签名。
8.如权利要求1所述的系统,其中所述以密码方式保护的通信会话为传输层安全(TLS)会话。
9.如权利要求1所述的系统,其中,
所述密码服务还包括以下限定中的至少一项:
信任所述密码服务来生成数字签名并验证数字签名的真实性,但不信任所述密码服务访问可以用于访问两个计算机系统之间的以密码方式保护的通信的数字密钥;
利用所述密码服务来在两个计算机系统之间建立信任关系,但不信任所述密码服务作为以密码方式保护的通信的一方。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于亚马逊科技有限公司,未经亚马逊科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201680072238.2/1.html,转载请声明来源钻瓜专利网。
