[发明专利]用于认证系统的安全存储增强

权利要求书

1.一种用于有效使用安全存储空间的系统，其包括：

安全装置，所述安全装置具有安全存储区域，所述安全装置被配置为与密钥服务器的认证管理器通信，所述安全装置被编程为：

从所述密钥服务器接收密钥的盐和密钥标识符；

将对应于所述密钥标识符的信息嵌入所述盐中以产生经组合的标识符-盐值；

将所述经组合的标识符-盐值存储在所述安全存储区域中；

将所述经组合的标识符-盐值连同口令一起用作散列函数的附加输入；并且

使用嵌入在所述盐中的对应于所述密钥标识符的所述信息来识别所述密钥。

2.如权利要求1所述的系统，其中所述安全装置还被编程为向所述密钥服务器发送所述安全存储区域的密钥槽的槽标识符，所述经组合的标识符-盐值放入所述密钥槽中。

3.如权利要求2所述的系统，其中所述安全装置还被编程为：

从所述密钥服务器接收废除所述密钥的消息，所述消息包括所述密钥标识符和所述槽标识符；

确认由所述槽标识符指示的所述密钥槽的所述密钥标识符与存储到所述密钥槽的嵌入所述盐中的对应于所述密钥标识符的所述信息匹配；

如果是，则废除所述密钥；并且

如果否，则指示出错状况。

4.如权利要求2所述的系统，其中所述安全装置还被编程为：

从所述密钥服务器接收更新所述密钥的消息，所述消息包括所述密钥标识符和所述槽标识符；

确认由所述槽标识符指示的所述密钥槽的所述密钥标识符与存储到所述密钥槽的嵌入所述盐中的对应于所述密钥标识符的所述信息匹配；

如果是，则更新所述密钥；并且

如果否，则指示出错状况。

5.如权利要求1所述的系统，其中所述安全装置还被编程为通过对所述密钥标识符的位的子集进行采样来将所述密钥标识符缩减为经缩减形式规格密钥标识符以产生短的密钥标识符，其中所述短的密钥标识符是对应于所述密钥标识符的所述信息。

6.如权利要求1所述的系统，其中对应于所述密钥标识符的所述信息是所述密钥标识符的整体。

7.如权利要求1所述的系统，其中对应于所述密钥标识符的所述信息是所述密钥标识符的无损压缩版本。

8.如权利要求1所述的系统，其中对应于所述密钥标识符的所述信息在所述盐中的预定义位置处嵌入所述盐中。

9.如权利要求1所述的系统，其中所述安全装置还被编程为：

响应于被重置，向所述密钥服务器发送重置标志；并且

响应于所述重置标志的所述发送而从所述密钥服务器接收密钥到所述安全装置的重新部署。

10.如权利要求1所述的系统，其中所述安全装置还被编程为：

接收对所请求的密钥标识符的口令条目的请求；

响应于所述请求，发送生成的随机数值和从所述安全存储区域中检索的对应于所述所请求的密钥标识符的所请求的盐；并且

生成第二随机数值来替换所述生成的随机数值以用于对口令条目的下一个请求。

11.一种用于有效使用安全存储空间的方法，其包括：

将来自密钥服务器的密钥的盐值和密钥标识符接收到具有安全存储区域的安全装置；

将对应于所述密钥标识符的信息嵌入所述盐中以产生经组合的标识符-盐值；

将所述经组合的标识符-盐值存储在所述安全存储区域中；

将所述经组合的标识符-盐值连同口令一起用作散列函数的附加输入；以及

使用嵌入在所述盐中的对应于所述密钥标识符的所述信息来识别所述密钥。