[发明专利]基于参数的密钥推导

权利要求书

1.一种用于提供服务的计算机实施方法，其包括：

在以可执行指令配置的一个或多个计算机系统的控制下，

从认证方接收电子信息，所述电子信息编码消息、所述消息的签名和对从与所述认证方共享的秘密证书导出的密钥的一个或多个限制的集合，所述签名可通过对所述消息、所述秘密证书和一个或多个限制的所述集合应用基于哈希的消息认证代码函数而确定，而且在只具有基于哈希的消息认证代码函数而没有一个或多个限制的所述集合时无法确定；

获得至少部分使用一个或多个限制的所述集合的至少子集而产生的密钥；

通过至少将以下项输入至所述基于哈希的消息认证代码函数中而由所述一个或多个计算机系统计算基于哈希的消息认证代码函数的值：

至少部分基于所获得的密钥的第一输入；和

至少部分基于一个或多个限制的所述集合的第二输入；

由所述一个或多个计算机系统且至少部分基于所计算的值确定所述签名是否有效；和

在确定所述签名有效时提供对一个或多个计算资源的访问。

2.根据权利要求1所述的计算机实施方法，其中：

所述消息包括访问所述一个或多个计算资源的请求；

所述方法还包括确定一个或多个限制的所述集合是否指示应满足所述请求；和

取决于确定限制指示应满足所述请求而提供对所述一个或多个计算资源的访问。

3.根据权利要求2所述的计算机实施方法，其中编码一个或多个限制的所述集合的所述信息由文档加以编码且其中确定限制的所述集合是否指示应满足所述请求包括针对接收所述请求的情境评估所述文档。

4.根据权利要求1所述的计算机实施方法，其中：

所述消息包括访问所述一个或多个计算资源的计算资源的请求；

编码一个或多个限制的所述集合的所述信息包括指定所述计算资源的信息；和

提供对所述一个或多个计算资源的访问包括在计算资源匹配所指定的计算资源时提供对所述计算资源的访问。

5.根据权利要求1所述的计算机实施方法，其中：

编码一个或多个限制的所述集合的所述信息对应于所述消息有效的时间段；且

确定所述签名是否有效的步骤至少部分基于在所述对应时间段期间所述消息是否被提交。

6.根据权利要求1所述的计算机实施方法，其中：

编码一个或多个限制的所述集合的所述信息对应于至少部分基于位置的限制；且

确定所述签名是否有效是至少部分基于所述一个或多个计算机中的至少一个的位置是否匹配所述对应的位置。

7.一种用于提供服务的计算机实施方法，其包括：

在以可执行指令配置的一个或多个计算机系统的控制下，

获得编码以下各项的电子信息：(i)消息；(ii)所述消息的第一签名；和(iii)一个或多个参数的集合，所述第一签名已经至少部分基于(i)所述消息、(ii)秘密证书和(iii)一个或多个参数的所述集合而产生，而且所述第一签名在只具有所述消息和所述秘密证书而不具有一个或多个参数的所述集合时无法确定；

至少部分基于所述秘密证书和一个或多个参数的所述集合的至少子集导出第二证书；

至少部分基于所导出的第二证书产生第二签名；

确定所述第一签名是否匹配所述第二签名；和

在所产生的第二签名匹配所述第一签名时提供对一个或多个计算资源的访问。

8.根据权利要求7所述的计算机实施方法，其中导出所述第二证书包括将所述秘密证书和一个或多个参数的所述集合的所述至少子集输入至函数中。

9.根据权利要求8所述的计算机实施方法，其中所述函数是对称消息认证函数。

10.根据权利要求9所述的计算机实施方法，其中所述对称消息认证函数是哈希函数。

11.根据权利要求9所述的计算机实施方法，其中，作为基于哈希的消息认证代码(HMAC)的部分，执行将所述秘密证书和所述一个或多个参数的所述至少子集输入至所述函数中。

12.根据权利要求8所述的计算机实施方法，其中产生所述第二签名包括将所述函数的输出和来自一个或多个参数的所述集合的参数两者输入至所述函数中。