CN101322348A - 封装地址组成部分 - Google Patents
封装地址组成部分 Download PDFInfo
- Publication number
- CN101322348A CN101322348A CNA200680045647XA CN200680045647A CN101322348A CN 101322348 A CN101322348 A CN 101322348A CN A200680045647X A CNA200680045647X A CN A200680045647XA CN 200680045647 A CN200680045647 A CN 200680045647A CN 101322348 A CN101322348 A CN 101322348A
- Authority
- CN
- China
- Prior art keywords
- diffie
- territory
- key value
- computer
- readable medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
发送节点可利用共享秘密来保护至少出站消息的封装的地址组成部分,且接收网关可利用共享秘密来认证和确认接收到的消息的受保护地址组成部分。
Description
背景
本描述涉及对数据包的一个或多个封装的地址组成部分加密从而便于安全通信。
概述
此处描述了发送节点可利用与预期接收方相关的公钥值来保护至少出站通信封装的地址组成部分以及接收网关可利用与通信发送方相关的公钥值来认证和确认所接收通信的受保护地址组成部分的系统和技术。
附图描述
本描述参考以下附图。
图1示出了网络通信节点,这些节点实现与封装地址组成部分有关的示例技术。
图2示出了通信代理和在网络上通信的相应的通信网关的示例配置,它们实现与封装地址组成部分有关的示例技术。
图3示出了除图2的示例以外的通信网关的示例配置。
图4示出了根据与封装地址组成部分有关的至少一个实现的示例处理流程。
详细描述
涉及封装地址组成部分的本描述可涉及一般在网络环境中封装数据包的一个或多个地址组成部分以便于发送节点和接收节点之间的安全通信的系统、方法、技术、过程、指令、例程和工具。
如此处所引用,“域”可以指的是但不限于能够实现可共享通用命名后缀的网络通信的网络端点的一个或多个组织逻辑集合;这样的设备包括但不限于:服务器、客户机设备、其它设备或其各种组合。
如此处所引用,“网关”可以指的是但不限于便于两个或多个域、网络或子网络之间的交互的一个或多个设备。因此,网关可用作各个域或网络的入口点或出口点。可能不需要传输协议转换,但一般执行某种形式的处理。
图1示出了其中可在网络110上实现与封装地址组成部分105相关的示例技术的示例网络环境100。在图1中,服务器设备115和120、客户机设备125、手持客户机设备130和“其它”设备135可以经由网络110彼此通信耦合;且此外,服务器设备115和120、客户机设备125、手持客户机设备130和“其它”设备135的至少其中之一可以能够实现前述技术。
服务器设备115和120可表示诸如域相关接收器或网关的设备,它们能够发送和接收电子包(例如,电子邮件或音频/视频分组)或与网络环境100中的其它设备有关的任何其它各种数据和/或功能。与封装地址组成部分105相关的实现可畅通无阻(即,其上不实现任何安全措施)地应用于服务器设备115和120之间的电子包的交换;而即使要交换的数据限于某些用户或仅当支付了适当的订阅或许可费用时,可适用替换实现。服务器设备115和120可以是数据包接收器、网关、报文传输代理(MTA)、域服务器、网络服务器、应用程序服务器、刀片服务器、或其组合中的任何一个。一般服务器设备115和120可表示可以是内容源的设备,而客户机设备125和130可表示可经由网络110或以离线方式接收这样的内容的任何设备。然而,根据此处所述的示例实现,服务器设备115和120以及客户机设备125和130可互换地是网络环境100中的发送节点或接收节点。更具体地,相对于彼此,服务器设备115和120可互换作为发送节点和接收节点。“其它”设备135也可由服务器设备115和120的任何以上示例表现。
客户机设备125可表示各种已知的计算设备的至少其中之一,包括可经由有线或无线链接与网络110相关联的膝上型计算机、台式个人计算机(PC)、工作站、大型机、因特网设备、媒体中心、或机顶盒,且能够实现与封装地址组成部分105相关的示例技术。此外,客户机设备125可表示上述各种数量的客户机设备和/或其组合。“其它”设备135也可由客户机设备125的任何以上示例表现。
手持客户机设备130可表示能够由无线链接与网络110相关联的至少一个设备,包括移动(即,蜂窝)电话、个人数字助理(PDA)等,且能够实现与封装地址组成部分105相关的示例技术。此外,手持设备130可表示上述各种数量的手持设备和/或其组合。“其它”设备135也可由手持客户机设备130的任何以上示例表现。
“其它”设备135可表示根据此处所述的一个或多个示例能够实现与封装地址组成部分105相关的技术的任何其它设备。即,“其它”设备135可表示能够至少存储和共享与网络110相关联的任何其它设备的安全信息、且能对与网络110相关联的任何其它设备发送或接收电子包(例如,电子邮件或音频/视频分组)的任何计算或处理设备。因此,“其它”设备135可以是在其上实现操作系统、解释器、转换器、编译器、或运行时执行环境的至少其中之一的计算或处理设备。这些示例不旨在以任何方式进行限制,从而不应按此解释。
网络110可表示各种常规网络拓扑和类型中的任何一种,可包括有线和/或无线网络。网络110还可利用各种常规网络协议中的任何一种,包括公共和/或专有协议。网络110可例如包括因特网以及诸如802.11系统的一个或多个局域网(也被个别地称“LAN”)、或大规模的广域网(即,“WAN”);或诸如蓝牙的个域网(即,PAN)的至少一部分。
图2示出了其中通信代理和相应的通信网关在网络110上通信,实现与封装地址组成部分105(见图1)有关的示例技术的示例网络环境200。
通信网关A 205表示域A 203上的网关设备、MTA(例如,SMTP服务器)、接收器或其组合。通信网关A 205还可与具有作为域名系统(DNS)的一部分的分布式数据库的域名服务器相关联。通信网关A 205能够在网络110上代表代理A 207对其它设备发送和接收电子包(例如,电子邮件或音频/视频分组)。这样的消息发送和接收可例如通过简单邮件传输协议(SMTP)来实现。此外,作为DNS的一部分,通信网关A 205可将来自程序的请求转换成域A 203上的IP地址,并接收来自其它名服务器将域名转换成IP地址的请求。
代理A 207可表示在能够对网络110上的一个或多个节点发送电子包(即,电子邮件或音频/视频分组)的域A 203上各种已知计算设备的至少其中之一。这样的设备可包括,但不限于客户机设备或手持设备。更具体地,代理A 207可以是预期送往与关联于网络110的对方代理的电子包的源。此处所述的电子包可包括可附有或可以不附有一个或多个文件的电子邮件。这样的附件可包括,作为非限定性示例:文本文件、音频文件、视频文件、统一资源定位符(URL)等。与封装地址组成部分105相关的替换实现还可构想其中要发送的电子包是即时消息、诸如由IP上的语音(VoIP)协议利用的音频分组流、或从一个域中的代理到另一域中的代理甚至如由代理所指引的从一个网关到另一网关的电子分组(即,文本、音频、视频等)的直接下载的情形。
如上所述,网络110可表示各种常规网络拓扑和类型中的任一种,可包括有线和/或无线网络。网络110可例如包括因特网以及一个或多个LAN、WAN或PAN的至少一部分。
通信网关B 210可以是域B 208上的网关设备、MTA、接收器或其组合。即通信网关B 210可以是与发送通信网关A 205相对的预期接收网关和DNS数据库。
相应地,代理B 212可以是与从中电子包(即,电子邮件或音频/视频)可能发起的与发送代理A 207相对的预期接收方。
根据网络环境200中的至少一个示例,封装地址组成部分105可包括与例如在域A 205和域B 208之间的高层管理的通信或更具体是与在通信网关A205和通信网关B 210之间管理的替换通信相关联的分布式对称密钥。不考虑示例通信场景,与封装地址组成部分105相关的实现可包括每一节点生成对称密钥(即,私有和公共密钥值),通过网络110或经由带外机制从各个示例配对的相对节点接收公钥值,以及根据本地生成的私钥值和从相对节点接收的公钥值生成秘密值。
例如,与封装地址组成部分105相关的实现可包括使用与域B相关联的公钥值保护从代理A 207经由通信网关A 205发送的电子包,其中域B中揭示了电子包的预期接收方(即,代理B 212)。与域B 208相关联的公钥值可更具体地与通信网关B 210、代理B 212甚至代理B 212的用户相关联。然而,除非另有指示,否则本描述涉及使用与域B 208相关联的公钥值封装地址组成部分105的实现。与域B 208相关联的对称密钥此处被描述为在通信网关B 210生成和存储。然而,作为一个或多个替换实现,这样的私有/公共密钥对可在代理B 212生成和存储,甚至在与域B 208相关联但单独置于网络110上的存储设备或数据库生成和存储。关于与域B 208相关联的对称密钥的描述当然适用于域A 203。考虑本描述,其它替换实现应是显然的,从而此处所述的示例不应以任何方式被解释为限定性的。
因此,根据与封装地址组成部分105相关的至少一个示例实现,对域A 203和域B 208两者建立对称密钥。对应于域A 203和域B 208的公钥值可相应地存储在通信网关A 205和通信网关B 210。然而,或者这样的公钥可被存储在与相应的域相关联但单独置于网络110上的存储设备或数据库。甚至,可经由带外机制来使公钥可用。
此外,尽管与封装地址组成部分105相关的实现不限于特定的传输协议,且从而不应推断任何这样的限制,但本描述可构想使用SMTP(简单邮件传输协议)在域A 203和域B 208之间传输电子包。
代理A 207可以是发起预期送往代理B 212的出站电子包(即,电子邮件或音频/视频分组)的客户机设备。出站电子包可在通信网关A 205接收,通信网关A 205类似于代理A 207,可与域A 203相关联。
通信网关A 205可从通信网关B 208或从与域B 208相关联的存储设备检索域B 208的公钥值。替换实现还可构想通信网关A 205从与域A 203相关联的本地存储设备检索域B 208的公钥值。域B 208的公钥值或者可从DNS数据库检索,该DNS数据库可以或可以不与域B 208相关联或经由带外机制。此外,代理B 212不必是出站电子包的唯一预期接收方,从而通信网关A 205还可检索分别与出站电子包的其它预期接收方相关联的其它域的公钥值。然而,除非另有指示,否则本描述将代理B 212称为来自代理A 207的电子包的唯一预期接收方。
在检索了域B 208的公钥值之后,通信网关A 205可利用检索到的公钥值加密从而保护出站电子包的至少一个或多个封装的地址组成部分。根据与封装地址组成部分105相关的至少一个实现,通信网关A 205可通过使用根据检索到的公钥值和本地生成的密钥对的私有组成部分的组合生成的共享秘密来保护至少出站电子包的一个或多个封装地址组成部分。考虑用于生成共享秘密的密钥,共享秘密可在本描述中被替换地称为“编译密钥”。
涉及此处描述的封装地址组成部分105的示例实现构想使用Diffie-Hellman(此处或者被称为“DH”)私有/公共密钥对。从而,替换实现可包括椭圆曲线Diffie-Hellman(ECDH)的这样的私有/公共密钥对。无论如何,可根据域A 203的私钥值和检索到的域B 208的公钥值生成域A 203的DH共享秘密(此处或者被称为“DHSS”)。此外,可根据域B 208的私钥值和检索到的域A 203的公钥值生成域B 208的DHSS。通过这样的示例,前述域A 203的DHSS与域B 208的DHSS相同。即,通过交换公钥,在域A 203和域B 208上生成的DHSS是相同的,即使不要求任何一个域在网络110上导出私钥值或共享秘密值。相反,从一个域到另一个域仅共享公钥值,要求低信任级。
然而,与封装地址组成部分105相关的至少一个替换实现可使用Rivest-Shamir-Adleman(后文中称为“RSA”)密码协议来利用在域A 203和域B 208之间共享的秘密值。根据至少一个这样的示例,可关联于域A 203或域B 208中的任一个生成秘密值,且如果共享,则由对应于目的地域的公钥值保护。更具体地,为实现RSA协议,可关联于域A 203和域B 208两者生成公钥值,而仅需关联于要生成共享秘密的域生成私钥值。因此,例如,公钥值可关联于域A 203和域B 208生成;而私钥值可关联于域A 203生成;共享秘密可根据与域A相关联的私钥值和与域B 208相关联的公钥值而关联于域A203生成;且共享秘密可由与域B 208相关联的公钥值保护从而被检索以便在域B 208上利用。
无论如何,在接收出站电子包之后,通信网关A 205可使用共享秘密保护至少出站电子包的一个或多个封装地址组成部分,并经由网络110将受保护的出站电子包发送给对应于预期接收方代理B 212的通信网关210。根据至少一个示例实现,可将与域A 203相关联的公钥值附连于或以其它方式并入出站电子包。例如,可将与域A 203相关联的DH公钥值嵌入在经加密的封装地址组成部分(例如,MAIL FROM(寄自))中。
通信网关B 210在经由网络110接收受保护的电子包之后,可确定域A 203为电子包的源。因此,通信网关B 210可从受保护的电子包中提取域A的公钥值。或者,如果未附连电子包所源自的域的公钥值,则这样的公钥值可从通信网关A 205或从与域A 203相关联的存储或DNS数据库检索。
通信网关B 210可利用域A 203的公钥值来重构共享秘密(例如,DHSS),该秘密可根据域B 208的私钥值和域B 203的公钥值生成。即,在域B 208生成的共享秘密与在域A 203生成的共享秘密相同。
通信网关B 210可利用共享秘密来对接收到的电子包的一个或多个封装地址组成部分解密。经加密的封装地址部分可与电子包的发送方或电子包的接收方相关。
根据与封装地址组成部分105相关的至少一个实现,封装的地址组成部分可包括但不必限于:发送方地址信息的“MAIL FROM”部分以及接收方地址信息的“RCPT TO(送往)”部分。更具体地,经加密的MAIL FROM可遮掩与电子包发起的用户或设备相关联的身份,但可不受阻挡地留下与发起电子包的域相关联的身份。此外,经加密的RCPT TO可遮掩与电子包预期送往的用户或设备相关联的身份,但可不受阻挡地留下与电子包预期送往的域相关联的身份。因此,在电子包是从与示例域“XX.com”相关联的发起节点到与示例域“YY.com”相关联的接收节点的电子邮件的上下文中,MAIL FROM可从发送地址“MAIL FROM obscured_sender(被遮掩的发送方)@XX.com”中标识,RCPT TO可从接收地址“RCPT TO obscured_receiver(被遮掩的接收方)@YY.com”中标识。在这样的示例中,“obscured_sender”和“obscured_receiver”分别是真实发送方用户名和真实接收方用户名的加密版本。与封装地址组成部分105相关的实现当然不限于与电子邮件或分组传递有关的域,从而上述示例域不应推断为限制。与对应于发送或接收节点的被遮掩的身份相关联的域还可与基于因特网的电话或其它形式的数据交换有关。
在与电子包相关联的MAIL FROM被加密的情况中,通信网关B 210可利用共享秘密来对接收到的电子包的封装的地址组成部分解密,并实现在域B208处认证发送方的预定技术。此外,共享秘密可用于在共享秘密曾用于在域A 203处对同一内容加密的情况中对电子包的实质解密。
图3示出了除图2的示例以外的通信网关的示例配置300。
在以下描述中,各种操作可被描述为由以上参考图1和2描述的特征执行或以其它方式与之相关联。关于配置300描述的物理和操作特征可被实现为硬件、固件或软件,或者单个地或者按照各种组合。
代理305可表示以上参考图2描述的代理A 207或代理B 212中的任一个。更具体地,代理305可表示能够发起要发送给网络110上的一个或多个节点的电子包且能够经由相应的通信网关接收这样的电子包的客户机设备。
通信网关310可表示以上参考图2描述的发送通信网关A 205或接收通信网关B 210中的任一个,从而取决于其角色,图3的描述可将通信网关310称为发送通信网关310或接收通信网关310。此外,通信代理310可表示网关设备、MTA或接收器,它可以或可以不被进一步实现为作为域名系统(DNS)的一部分的分布式存储系统。
通信网关310能够通过网络110对其它设备——具体地是其它网关——发送和接收电子包。这样的消息发送和接收可例如由SMTP实现。
此外,发送通信网关310能够访问接收通信网关310或者DNS数据库来检索与电子包的预期接收方相关联的相应的公钥值。检索到的公钥值可与对应于预期接收方的域、对应于预期接收方的通信网关、对应于预期接收方的设备或甚至作为预期接收方的用户相关联。然而,除非另有指示,否则本描述涉及发送通信网关310访问并检索与对应于电子包的预期接收方的域相关联的公钥值。
此外,发送通信网关310能够根据封装地址组成部分105的各种实现来生成随机加密密钥。更具体地,根据与封装地址组成部分105相关的至少一个示例实现,通信网关310可包括对称密钥(即,私有/公共或“P/P”)生成器312、共享秘密(SS)生成器313和加密器/解密器(E/D)314中的一个或多个。
P/P生成器312可为与通信网关310相关联的域生成本地P/P密钥对。或者,所生成的P/P密钥对可与通信网关310、通信代理305甚至通信代理305的用户相关联。
S/S生成器313可通过利用检索到的公钥值、本地私钥值来生成共享秘密。更具体地,S/S生成器313可根据由P/P生成器312产生的私钥值和从电子包的预期接收方导入的公钥值生成DHSS。
E/D 314可使用由S/S生成器313生成的共享秘密对至少与电子包相关联的封装的地址组成部分加密和解密。E/D 314还可通过结合共享秘密利用对称算法对出站电子包的部分加密,包括封装的地址组成部分。
存储设备315可在逻辑或物理上与通信网关310相关联。即,存储设备315可与通信网关310所对应的域相关联,而不必物理上部署在这样的域上。更具体地,存储设备315可以是对应于通信网关310的域的分布式DNS数据库的组成部分。
存储设备315按其各种组合可存储由P/P生成器312生成或从另一源获取的一个或多个公共和私有加密密钥对。例如,当与接收通信网关310相关联时,存储设备315可对对应于电子包的预期接收方的域存储一个或多个检索到的公钥值。这样的检索到的公钥值可用于保护预期送往对应于电子包的预期接收方的域的电子包封装的地址组成部分。或者,当与发送通信网关310相关联时,存储设备315可为对应于电子包的源的域存储一个或多个公钥值。这样的检索到的公共加密密钥可用于对电子包封装的地址组成部分授权、确认和解密。
无论通信网关310是发送通信网关还是接收通信网关,存储设备315也可在其中存储对应于与通信网关310相关联的域的私钥值。即,关联于域A 203,存储设备315可存储对应于域A 203、与域A 203相关联的代理或设备、或与域A 203相关联的用户的私钥值;相反,关联于域B 208,存储设备315可存储对应于域B 208、与域208相关联的代理或设备、或与域B 208相关联的用户的私钥值。
图4示出了根据与封装地址组成部分105(见图1)相关的至少一个实现的示例处理流程400。作为处理流程400的一部分描述的各种操作可以是如由以上参考图1-3描述的特征执行,或以其它方式与之相关联的属性。这样的属性以及操作仅作为示例描述,且操作可被实现为硬件、固件或软件,或者单个或者按各种组合。
以下参考示例实现A和B描述处理流程400。不按任何偏好次序描述这样的实现,且实现也不被解释为对范围的限制。相反,提供示例实现以示出封装地址组成部分105允许的灵活性和变化。
示例实现A
框405可指示通信网关A 205从代理A 207(即,客户机设备)接收电子包(即,电子邮件或音频/视频分组)以便发送到域A 203以外。根据至少一个替换实现,框405可指示通信网关A 205作为独立于代理A 207的内容源。无论如何,框405可指示在通信网关A 205接收到的电子包的至少一个预期接收方与域B 208相关联。
框410可指示通信网关A 205检索与域B 208相关联的公钥值。因此,通信网关A 205可访问通信网关B 210、存储设备315或DNS服务器以检索域B210的公钥值,DNS服务器可以或可以不与通信网关B 210相关联。
框415可指示通信网关A 205使用至少域B 208的公钥值以及域A 203的私有签署密钥来对与出站电子包相关联的一个或多个封装的地址组成部分加密,该私有签署密钥可本地存储于或以其它方式关联于域A 203。
更具体地,框415可指示通信网关A 205使用在通信网关A 205生成或与其关联生成的DHSS对对应于出站电子包的至少MAIL FROM和可能的RCPTTO加密。
框420可指示具有经加密的封装地址组成部分的电子包通过网络110从通信网关A 205发送到通信网关B 210。此外,电子包可附有与域A 203相关联的公钥值,或者这样的公钥值可经由带外机制发送给电子值的预期接收方。一般,框420可指示电子包根据SMTP传输。然而,封装地址组成部分105不限于SMTP。
框425可指示电子包在通信网关B 210处接收。
框430可指示通信网关B 210确认并认证与接收到的电子包相关联的封装的地址组成部分。作为该第一示例,通信网关B 210可检测接收到的从域A 203发起的电子包。通信网关B 210然后可从电子包或者根据与域A 203相关联的公钥值可发送给通信网关B 210的带外机制中提取这样的公钥值。
无论如何,与域A 203相关联的公钥值和与域B 208相关联的私钥值可用于在通信网关B 210重新生成共享秘密。该共享秘密等于在通信网关A 205使用的共享秘密,可用来解密从而认证对应于电子包的发送方的经加密地址组成部分(例如,MAIL FROM)。
框430还可指示通信网关B 210使用共享秘密来解密对应于与域B 208相关联的电子包的预期接收方的经加密的地址组成部分(例如,RCPT TO)。
此外,使用通信网关A处共享秘密加密的电子包的任何其它部分可使用通信网关B 210处的共享秘密解密。
在框430认证并解密了与电子包相关联的封装的地址组成部分之后,通信网关B 210可将电子包发送给预期接收方代理B 212。
示例实现B
框405可指示通信网关A 205从代理A 207接收电子包以便发送到域A203以外。框405可指示通信网关A 205作为独立于代理A 207的内容源,且电子包的一个或多个预期接收方与域B 208相关联(例如,代理B 212)。
框410可指示通信网关A 205检索与域B 208相关联的公钥值。因此,通信网关A 205可访问通信网关B 210、存储设备315或DNS服务器以检索域B210的公钥值,DNS服务器可以或可以不与通信网关B 210相关联。
如上所述,代理B 212可能不是电子包的唯一预期接收方,从而框410还可指示通信网关A 205检索分别与出站电子包的其它预期接收相关联的其它域的公钥值。
框415可指示通信网关A 205根据至少在框416-418描述的处理保护出站消息。
框416可指示通信网关A 205或与之相关联的实体生成随机私有/公共密钥对(即,DH密钥对)。
框417可指示通信网关A 205或与之相关联的实体根据检索到的与域B208相关联的公钥值和与域A 203相关联的私钥值生成DHSS。
在代理B 212不是与域B 208相关联的电子包的唯一预期接收方的情况中,框417还可指示通信网关A 205基于与关联于域B 208的每一预期接收方相关联的公钥值为每一预期接收方生成DHSS。
框418可指示通信网关A 205使用至少DHSS来用将DHSS用作加密密钥的诸如AES(高级加密算法)的对称算法对MAIL FROM和RCPT TO加密。这样的对称算法仅作为示例而被引用,且不能作出与封装地址组成部分105相关的实现限于此的任何合理推断。
框418还可指示通信网关A 205通过对其附连或以其它方式使其关联与域A 203相关联的公钥值以及包括至少用于对封装的地址组成部分加密的对称算法和初始化向量的指示的标志串,来使用DHSS以进一步遮掩与电子包相关联的经加密的MAIL FROM地址组成部分。
在代理B 212不是与域B 208相关联的电子包的唯一预期接收方的情况中,框418还可指示通信网关A 205对每一预期接收方使用DHSS用本地生成的加密密钥来保护电子包。随机生成的加密密钥然后可用每一预期接收方的公钥值散列。因此,可对与域B 208相关联的多个接收方加密单个加密的电子包。
框420可指示具有经加密的封装地址组成部分的电子包通过网络110从通信网关A 205发送到通信网关B 210。一般,框420可指示电子包根据SMTP传输,尽管如上所述,涉及封装地址组成部分105的实现不限于SMTP。
框425可指示电子包在通信网关B 210接收。
框430A可指示通信网关B 210根据至少在框431-434描述的处理确认和认证电子包的地址组成部分。
框431可指示通信网关B 210提取与域A 203相关联的公钥值和附连于或以其它方式并入电子包的标志串。
框432可指示通信网关B 210根据从电子包中提取的、与域A 203相关联的公钥值和与域B 208相关联的私钥值重新生成DHSS。
框433可指示通信网关B 210使用等于在通信网关A 205使用的共享秘密的DHSS和附连于或关联于电子包的加密算法来解密对应于电子包的发送方的经加密的地址组成部分(例如,MAIL FROM)。
框434可指示通信网关B 210使用DHSS来解密对应于与域B 208相关联的电子包的预期接收方的经加密的地址组成部分(例如,RCPT TO)。
此外,可使用通信网关A 205处的DHSS加密的电子包的任何其它部分可使用通信网关B 210处的共享秘密解密。
在代理B 212不是与域B 208相关联的电子包的唯一预期接收方的情况中,框434还可指示通信网关B 210还解密在通信网关A 205随机生成的加密密钥,它被用于对每一预期接收方使用DHSS来对电子包加密。
在框430认证并解密了与电子包相关联的封装的地址组成部分之后,通信网关B 210可将电子包发送给预期接收方代理B 212。
通过以上关于图1-4的描述,可加密封装的地址组成部分以便保护、认证和确认在网络上从一个域发送到另一个域的电子包(例如,电子邮件或音频/视频分组)。然而,此处所述的示例实现不仅限于图1和2的网络环境、图3的组件或图4的处理流程。与封装的地址组成部分105(见图1)相关联的技术(例如,工具、方法和系统)可由参考图3所述的组件的各个组合来实现,以及按照参考图4描述的框的各种次序来实现。
此外,用于上述任何示例和实现的计算机环境可包括计算设备,它例如具有一个或多个处理器或处理单元、系统存储器和耦合各种系统组件的系统总线。
计算设备可包括各种计算机可读介质,包括易失性和非易失性介质、可移动和不可移动介质。系统存储器可包括易失性存储器形式的计算机可读介质,诸如随机存取存储器(RAM);和/或非易失性存储器,诸如只读存储器(ROM)或闪存RAM。可以理解,可存储可由计算机访问的数据的其它类型的计算机可读介质,诸如磁盒带或其它磁存储设备、闪存卡、CD-ROM、数字通用盘(DVD)或其它光存储、随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)等,也可用来实现示例计算系统和环境。
本说明书全文中对“一示例”、“替换示例”、“至少一个示例”、“一实现”或“一示例实现”进行了引用,意味着具体描述的特征、结构或特性被包括在本发明的至少一个实现中。因此,对这样的短语的使用可指示一个以上的实现。而且,所述特征、结构或特性可在一个或多个实现中按任何合适的方式组合。
然而,相关领域的技术人员可以认识到,代码模块初始化可在无需一个或多个特定细节来实现或可采用其它方法、资源、材料等实现。在其它情形中,公知结构、资源或操作未详细示出或描述,仅是为了避免模糊本发明的各方面。
尽管示出并描述了代码模块初始化的示例实现和应用,但可以理解,本发明不限于上述精确配置和资源。可对本此处公开的本发明的方法和系统的安排、操作和细节作出对本领域技术人员而言显而易见的各种修改、改变和变化,而不必背离上述并如权利要求书所述的本发明的范围。
Claims (20)
1.至少一种具有一个或多个可执行指令的计算机可读介质,所述指令当被读取时,使一个或多个处理器:
检索公钥值;
使用至少所述公钥值加密与出站数据包相关联的地址信息;
使用所述至少公钥值构造与所述出站数据包相关联的来源信息;以及
发送所述出站消息。
2.如权利要求1所述的至少一种计算机可读介质,其特征在于,所述检索到的公钥值是公共Diffie-Hellman密钥。
3.如权利要求1所述的至少一种计算机可读介质,其特征在于,所述检索到的公钥值是从与所述出站消息的预期接收方相关联的DNS服务器检索到的。
4.如权利要求1所述的至少一种计算机可读介质,其特征在于,所述加密所述地址信息的一个或多个指令当被读取时,使所述一个或多个处理器:
生成本地加密密钥对;
使用检索到的公钥值和所述本地加密密钥对的组成部分生成经编译的加密密钥;以及
使用所述经编译的加密密钥对关于所述出站数据包的来源和目的地的至少其中之一的地址信息加密。
5.如权利要求1所述的至少一种计算机可读介质,其特征在于,所述加密所述地址信息的一个或多个指令当被读取时,使所述一个或多个处理器:
生成本地Diffie-Hellman密钥对;
使用检索到的公钥值和所述本地Diffie-Hellman密钥对的私有组成部分生成Diffie-Hellman共享秘密;以及
用使用所述Diffie-Hellman共享秘密的加密算法对所述出站数据包的MAIL FROM和RCPT TO加密。
6.如权利要求1所述的至少一种计算机可读介质,其特征在于,所述构造与所述出站数据包相关联的所述来源信息的一个或多个指令当被读取时,使所述一个或多个处理器:
将所述经加密的地址信息的一部分附连于用于对所述地址信息加密的加密算法的指示。
7.如权利要求1所述的至少一种计算机可读介质,其特征在于,所述构造与所述出站数据包相关联的目的地的一个或多个指令当被读取时,使所述一个或多个处理器:
将从所述经加密的地址信息解析出的经加密的地址MAIL FROM附连于指示用于对所述地址信息加密的加密算法和初始化向量的标志串。
8.至少一种具有一个或多个可执行指令的计算机可读介质,所述指令当被读取时,使一个或多个处理器:
检测与接收到的数据包相关联的经加密来源信息;
从所述接收到的数据包中提取加密算法的组成部分;
使用所述加密算法所提取的组成部分中的至少一部分来对与所述接收到的数据包相关联的经加密来源信息解密。
9.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述经加密的来源信息包括与所述接收到的数据包相关联的MAIL FROM。
10.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述进行提取的一个或多个指令当被读取时,使所述一个或多个处理器提取与接收到的数据包的发送方相关联的公钥值。
11.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述进行提取的一个或多个指令当被读取时,使所述一个或多个处理器提取与所述接收到的数据包的发送方相关联的公钥值、指示用于对与所述接收到的数据包相关联的来源信息加密的加密算法的标志、以及指示初始化向量的标志。
12.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述进行提取的一个或多个指令当被读取时,使所述一个或多个处理器提取与所述接收到的数据包的发送方相关联的公共Diffie-Hellman密钥值。
13.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述进行解密的一个或多个指令当被读取时,使所述一个或多个处理器:
使用本地私有加密密钥重新生成用于对与所述接收到的数据包相关联的经加密的来源信息加密的经编译的加密密钥。
14.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述进行解密的一个或多个指令当被读取时,使所述一个或多个处理器:
使用本地私有Diffie-Hellman密钥和与所述接收到的包的发送方相关联的公共Diffie-Hellman密钥计算Diffie-Hellman共享秘密;以及
使用所述Diffie-Hellman共享秘密来对与所述接收到的数据包相关联的经加密的MAIL FROM解密。
15.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述进行解密的一个或多个指令当被读取时,使所述一个或多个处理器:
使用本地生成的Diffie-Hellman共享秘密对与所述接收到的数据包相关联的经加密的MAIL FROM解密;以及
使用所述本地生成的Diffie-Hellman共享秘密对经加密的RCPT TO解密。
16.如权利要求8所述的至少一种计算机可读介质,其特征在于,所述进行解密的一个或多个指令当被读取时,使所述一个或多个处理器使用本地生成的Diffie-Hellman共享秘密解密对应于所述数据包的接收方的经加密的RCPTTO。
17.一种系统,包括:
用于生成Diffie-Hellman共享秘密的装置;
用于使用所述Diffie-Hellman共享秘密对与数据包相关联的地址信息的一部分加密的装置;以及
用于将公共Diffie-Hellman密钥值附连于所述数据包的装置。
18.如权利要求17所述的系统,其特征在于,还包括用于使用所述Diffie-Hellman共享秘密对所述数据包的内容的一部分加密的装置。
19.如权利要求17所述的系统,其特征在于,所述用于加密的装置使用所述Diffie-Hellman共享秘密对与所述数据包相关联的MAIL FROM加密。
20.如权利要求17所述的系统,其特征在于,所述用于加密的装置使用所述Diffie-Hellman共享秘密对仅与第二节点相关联的RCPT TO加密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US74261705P | 2005-12-06 | 2005-12-06 | |
| US60/742,617 | 2005-12-06 | ||
| US11/276,535 | 2006-03-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101322348A true CN101322348A (zh) | 2008-12-10 |
Family
ID=40181296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200680045647XA Pending CN101322348A (zh) | 2005-12-06 | 2006-12-04 | 封装地址组成部分 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101322348A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457561A (zh) * | 2010-10-28 | 2012-05-16 | 无锡江南计算技术研究所 | 数据访问方法及使用该数据访问方法的设备 |
| CN103181124A (zh) * | 2010-05-21 | 2013-06-26 | 沃蒂夫有限公司 | 保证消息系统的安全使用的系统和方法 |
| CN104243150A (zh) * | 2014-09-05 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种IPSec公钥交互方法、节点和DNS服务器 |
-
2006
- 2006-12-04 CN CNA200680045647XA patent/CN101322348A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103181124A (zh) * | 2010-05-21 | 2013-06-26 | 沃蒂夫有限公司 | 保证消息系统的安全使用的系统和方法 |
| CN102457561A (zh) * | 2010-10-28 | 2012-05-16 | 无锡江南计算技术研究所 | 数据访问方法及使用该数据访问方法的设备 |
| CN104243150A (zh) * | 2014-09-05 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种IPSec公钥交互方法、节点和DNS服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8135645B2 (en) | Key distribution for secure messaging | |
| US8254581B2 (en) | Lightweight key distribution and management method for sensor networks | |
| CN101720071B (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| CN113508563A (zh) | 基于区块链的安全电子邮件系统 | |
| US20090257593A1 (en) | Method and apparatus for secure messaging | |
| CN101512537A (zh) | 在自组无线网络中安全处理认证密钥资料的方法和系统 | |
| US20070130069A1 (en) | Encapsulating Address Components | |
| CN112637230B (zh) | 一种即时通信方法及系统 | |
| KR102567737B1 (ko) | 보안 메시지 서비스 제공 방법 및 이를 위한 장치 | |
| KR20180015667A (ko) | 보안 sms 통신을 위한 방법 및 시스템 | |
| US20050209975A1 (en) | System, method and computer program product for conducting a secure transaction via a network | |
| CN101322348A (zh) | 封装地址组成部分 | |
| JP2007049455A (ja) | 暗号鍵管理サーバ、暗号鍵管理方法および暗号鍵管理プログラム | |
| KR101784240B1 (ko) | 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법 | |
| US20220109657A1 (en) | Email encryption system | |
| Jitha et al. | SMS security system using encryption techniques | |
| KR101599996B1 (ko) | 폐기가능한 id 기반 암호 서버 및 시스템 | |
| CN101496339A (zh) | 用于安全消息通信的密钥分发 | |
| JP2005167635A (ja) | 装置、及び、データ送受信方法 | |
| JPH11187008A (ja) | 暗号鍵の配送方法 | |
| CN105791301A (zh) | 一种面向多用户组群信密分离的密钥分发管理方法 | |
| JP6167598B2 (ja) | 情報処理装置、情報処理方法、および、コンピュータ・プログラム | |
| JP7534765B2 (ja) | 電子メールシステム | |
| JP2011254146A (ja) | 通信内容監査方法および通信内容監査システム | |
| Pérez | Working from Home and Data Protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081210 |