CN105284072B - 对加密数据的解密支持 - Google Patents
对加密数据的解密支持 Download PDFInfo
- Publication number
- CN105284072B CN105284072B CN201480029931.2A CN201480029931A CN105284072B CN 105284072 B CN105284072 B CN 105284072B CN 201480029931 A CN201480029931 A CN 201480029931A CN 105284072 B CN105284072 B CN 105284072B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- equipment
- encryption
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
一个第一装置(200)存储用户的一个密钥并且一个第二装置(300)为该用户提供加密的数据。一个用户设备(100)能够以如下方式解密该加密的数据:该设备(100)产生一个一次性密码,借助于该第一装置(200)的一个公钥加密该一次性密码,并且驱使该第二装置(300)借助于该加密的一次性密码和在该第二装置(300)中指配给该用户的一个密钥标识符从该第一装置(200)调出用户密钥。该第一装置(200)解密该一次性密码,借助该密钥标识符搜索该密钥,用该一次性密码加密该密钥并通过该第二装置(300)向该设备(100)传输该加密的密钥。在那里该用户密钥借助于该一次性密码解密并被用于解密加密的数据。
Description
技术领域
本发明尤其涉及用于支持对加密的数据进行解密的方法、设备、系统、程序和存储介质。
背景技术
现在,数据可以数字方式、例如作为电子邮件发送。在此,出于多种原因,常规的电子邮件发送不适用于保密信息。一方面,发送者和接收者都是不可毫无疑义地识别的。这意味着,电子邮件的接收者不能确定,该发送者实际上是否为作为发送者示出的人或者机构。另一方面,信息被公开地传递,这意味着,错误的投递可以让错误的接收者读到。此外,电子邮件功能的供应商(电子邮件通过电子邮件功能的供应商的服务传递)能够从该电子邮件中获取信息。
电子消息的内容能够通过端到端的加密被保护,以便使消息在从发送者向接收者传送期间能够不被第三方读到。在此,发送者必须以密码学方式对消息或消息的一部分加密,并且接收者必须解密该信息。加密可以是对称加密,在这种情况下,加密和解密是基于相同的密钥的。替代性地,加密可以是不对称加密,在这种情况下,加密是基于一个密钥对的公钥并且解密是基于该密钥对的私钥。在常规方式下,接收者必须独立地管理和保护其一个或多个密钥,以免后者丢失和在未经授权的情况下通过第三方被读出。此外,接收者必须使该发送者能够获得用于解密所需的密钥。此外,在接收方安装软件模块和在适当时附加的装置(如读卡器)是必不可少的。
信任中心可以支持密钥生成和管理。信任中心尤其可以为接收者提供安全的密钥保管,以防止密钥丢失。然而为此,接收者不仅必须与电子邮件供应商或其他消息投递者订立契约关系,还必须与该信任中心订立契约关系。在适当时,一个发送者必须为多个接收者从多个信任中心调出密钥并且确保该接收者在解密消息时使用的是相应正确的密钥。额外地,一个信任中心可以出具用于电子签名的证书以证明通信伙伴的身份。
在一个变体中,消息投递者可以作为用于可靠的信息传递的全方位提供者(Komplettanbieter)出现。本申请人提供了一种此类的方法,例如与电子邮件相关。于是接收者和发送者只需要与该消息投递者订立一个契约,并且他们获得用于安全通信所提供的所有所需的功能。在此,信任中心可以为用户制成密钥,然后该密钥由该消息投递者管理。发送者可以从该消息投递者获得所需的密钥并且也可以在消息投递者那里存放(einliefern)消息。为了不要求在接收者一方的技术上的或组织上的措施,在调出消息时消息投递者一方的加密的消息就可以由该接收者在消息投递者的服务器上解密并通过安全的连接传递给该接收者。由于对参与者的身份识别和提供地址资格认证服务(Adressqualifikations-Dienstes)的高要求,发送者的消息传递者也可以确认或检验接收者地址并确保正确的投递。
发明内容
本发明的目的之一在于,以一种替代现存手段的方式来支持加密的数据的解密。本发明的另一个目的在于,使得能够实现加密的数据的一种对用户特别友好的并且同时特别安全的解密。
该目的通过根据权利要求1所述的方法、根据权利要求3所述的设备、根据权利要求5所述的程序和根据权利要求6所述的存储介质、根据权利要求7所述的方法、根据权利要求13所述的设备、根据权利要求15所述的程序和根据权利要求16所述的存储介质以及根据权利要求17所述的系统实现。其他的实施方式可以从从属权利要求中得出。
对于第一个方面,针对由一个设备执行的一种方法的示例性实施方式提出:一个第一装置被适配为用于为该装置的用户提供一个密钥,并且一个第二装置被适配为用于为该用户提供数据。该方法包括,在授权该用户的情况下在该第二装置处登录。该方法还包括,从该第二装置接收加密的数据。该方法还包括,产生一个一次性密码。该方法还包括,借助于该第一装置的一个公钥加密该一次性密码。该方法还包括,向该第二装置传输该加密的一次性密码并且驱使该第二装置借助于该加密的一次性密码和在该第二装置中指配给该用户的一个密钥标识符来从该第一装置调出该用户的密钥。该方法还包括,从该第二装置接收由该第一装置用该一次性密码加密的该用户的密钥。该方法还包括,借助于该一次性密码来解密该用户的该密钥。该方法还包括,借助于该用户的该密钥来解密该加密的数据。
对于第二个方面,针对由一个设备执行的一种方法的示例性实施方式提出:一个第二装置被适配为用于为用户提供数据。该方法包括,接收一个密钥标识符和由用户的一个设备生成并且用该第一装置的一个公钥加密的、一个第二装置的一个一次性密码,其中该第二装置存储用户和密钥标识符之间的指配关系(Zuordnung)。该方法还包括,基于密钥标识符,从该第一装置的一个存储器中读出该用户的用该密钥标识符加密的密钥。该方法还包括,借助于该密钥标识符来解密该用户的加密的密钥。该方法还包括,借助于该第一装置的一个私钥来解密该加密的一次性密码。该方法还包括,用该一次性密码来加密该用户的密钥。该方法还包括,向该第二装置传输用该一次性密码加密的该用户的密钥以转发到该用户的该设备,以便能够实现将由该第二装置获得的、加密的数据解密。
本发明针对某些示例性实施方式提出,数据的提供和用于解密数据的密钥的提供是彼此分离的。该密钥由一个第一装置提供并且该数据由一个第二装置提供。尽管如此,用户的设备还是仅与该第二装置直接地通讯。该第二装置本身只具有该用户与一个密钥标识符的指配关系。针对这种指配关系,该用户可以任意的方式被识别,例如通过登录所给的用户名或用于电子消息的一个用户地址。用于用户的加密的数据由该第二装置以加密的形式传输给该用户设备。该用户设备生成一个一次性密码,该一次性密码用该第一装置的一个公钥加密并且向该第二装置转发。该第二装置将该加密的一次性密码和一个用于该用户的、所存储的密钥标识符一起向该第一装置转发。该第一装置解密该一次性密码,借助于该密钥标识符调出该用户的一个所存储的、加密的密钥,用该密钥标识符来解密该密钥并且用该一次性密码来加密该密钥。该第一装置将该用户的这样新加密的密钥通过该第二装置向该用户设备转发。在该密钥用该一次性密码解密之后,现在该用户设备可以解密该加密的数据。
本发明的一个可能的优点在于,该用户本身不必保持在其设备中存储有密钥。由此,用户不需要注意可靠地保护该密钥以免其他人访问并且注意该密钥不要丢失。此外,该用户可以因此在适当时通过多个设备获取该相同的、集中存储的密钥。本发明的另一个可能的优点在于,该用户仍然仅须与一个装置通讯,在此该第二装置的运营商作为全方位服务商(Komplettdienstleister)出现,因此在某些实施方式中,用户也仅需要与该全方位服务商签订一个契约。本发明的另一个可能的优点在于,在某些实施方式中,在使用一个一次性密码来传递该用于生成密码的密钥时不需要用户输入。由此该手段可以设计为特别方便用户并且独立于该登录方法,用户可以用这种方法在该用于调出数据的第二装置处注册。
对于特别保密的信息可以有特别高的安全要求,使得只有预期的接收者才能够使用所提供的信息。这可以例如涉及到特定的、承担特别的保密义务的职业团队的职业机密,例如医生或律师。现在,本发明的另一个可能的优点在于,通过数据提供与密钥提供之间的分离,在用户访问一个唯一的装置的情况下可以实现在保密性方面的特别高的安全性。也就是说,任何装置都不存储加密的数据和用于解密所需要的密钥(即便是以加密的形式)两者。解密仅在接收者的权力范围内进行,即在该用户设备上。该一次性密码可以确保,该用户的密钥在通过该第二装置向用户传递期间也得到保障。由于该一次性密码本身在通过该第二装置向该第一装置传递时是加密的,该第二装置也不在任何时间点得到对该一次性密码的访问。
根据该第一方面的根据本发明的示例性设备包括用于执行根据该第一方面的、根据本发明的方法的部件。该设备可以例如是一个用户终端设备或用于用户终端设备的一个模块。
根据该第二方面的根据本发明的示例性设备包括用于执行根据该第二方面的、根据本发明的方法的部件。该设备可以例如是一个服务器或用于服务器的一个模块。该服务器可以进而例如属于一个装置,例如一个信任中心。
根据该第一或第二方面的设备的这些部件可以分别包括硬件组件和/或软件组件。在一个示例性的实施方式中,这些部件可以包括仅一个开关电路,在该开关电路中从硬件上实现了相应的功能。在另一个示例性的实施方式中,这些部件可以包括至少一个处理器和带有一个适合的程序的至少一个存储器。
因此对于该第一或该第二方面,一个根据本发明的设备的示例性实施方式包括至少一个处理器和至少一个存储器,其中在该存储器中存储有包括多个程序指令的一个程序,并且其中该该存储器与该程序适配,以便当该程序在该处理器上执行时,借助该处理器至少驱使该设备来执行根据该第一方面或根据该第二方面的、根据本发明的方法。该设备例如在软件上是适配的,以便能够执行该方法。在软件上适配在此尤其应被理解为该设备的必要准备,以便能够例如以在该处理器上的程序的形式执行一种方法。
处理器尤其应被理解为一个或多个控制单元、微处理器、微控制单元(如微控制器)、数字信号处理器(DSP)、专用集成电路(ASIC)或现场可编程门阵列(FieldProgrammable Gate Arrays,FPGA)。
存储器例如是程序存储器和/或该处理器的主存储器。除其他外,程序存储器应被理解为非易失性存储器,并且主存储器应被理解为易失性或非易失性存储器,尤其带有随机存取(Random Access Memory RAM)的存储器和/或快闪存储器。非易失性存储器例如是带有随机存取(RAM)的存储器、例如NOR快闪存储器,或带有顺序存取的存储器、例如NAND快闪存储器,和/或带有只读存取(ROM)的存储器、例如EPROM存储器、EEPROM存储器或ROM存储器。该存储器可以例如设计为实体的
对于该第一或该第二方面,一个根据本发明的程序的示例性实施方式包括多个程序指令,其中当该程序由该处理器执行时,这些程序指令驱使一个设备,以便执行根据该第一方面或根据该第二方面的、根据本发明的方法。一个程序可以例如通过网络,例如局域网络、广域网络、虚拟网络、无线网络(如无线移动网络)、其他的电话网络和/或互联网分布。一个程序可以至少部分地是一个处理器的软件和/或固件。例如,根据本发明的程序被存储在根据该第一或该第二方面的、根据本发明的设备的一个存储器中。应理解,术语程序对应地也可以理解为多个程序的总和。
对于该第一或该第二方面,一个根据本发明的存储介质的示例性实施方式存储根据该第一或第二方面的、根据本发明的程序。该存储介质例如是一种计算机可读的存储介质,该存储介质包含根据本发明的程序,并且例如设计为磁的、电的、电磁的、光学的和/或其他类型的存储介质。该存储介质可以尤其是一种物理的和/或实体的存储介质。该存储介质例如是可携带的或者牢固地安装在一个设备中。“计算机可读的”应尤其这样理解:该存储介质能够由计算机或数据处理设备读(出)和/或写,例如由处理器。该存储介质例如可以是一个处理器的一个程序存储器。
在一个示例性的实施方式中,一个根据本发明的系统包括带有根据该第二方面的一个设备的一个第一装置和用于存储用密钥标识符加密的多个用户密钥的一个存储器。此外,该系统包括任意的其他组件,例如该第二装置和/或根据该第一方面的一个设备。
在一个示例性的实施方式中,根据该第一方面的设备由在该设备的一个本地存储器中永久存储的和由该设备的一个处理器执行的程序指令驱使,以执行该方法。在一个示例性的实施方式中,根据该第一方面的设备由通过一个浏览器获得的并由该设备的一个处理器执行的程序指令驱使,以执行该方法。这些程序指令可以例如由该第二装置以Java小程序或其他应用的形式提供,并且在该设备中仅临时地在被缓存在一个工作存储器中。这可以提供的优点在于,不需要安装带有程序指令的程序及对已安装程序的更新。
对于该第二方面,在一个示例性的实施方式中,用该密钥标识符加密的该用户的密钥可以存储在该第一装置的该存储器中,该用户的密钥指配给从该密钥标识符中以密码学方式导出的一个值。于是在该第一装置中对于一个接收到的密钥标识符可以首先以密码学方式导出一个值。然后可以借助于接收到的密钥标识符的、以密码学方式导出的值来读出用该密钥标识符加密的该用户的密钥。指配给一个以密码学方式导出的该密钥标识符值的、该加密的密钥的存储可以提供的优点在于,在仅知晓该密钥标识符的情况下还不能简单地从该第一装置的存储器中调出该密钥。一个以密码学方式导出的值的例子是借助一个散列函数(Hashfunktion)得出的一个散列值。
对于该第二方面,在一个示例性的实施方式中,当从该第二装置中接收一个用于为用户产生密钥的请求时,用户的一个所存储的、加密的密钥由该第一装置的该设备预先地产生。然后该第一装置的该设备可以为用户产生一个尤其独立于用户输入的密钥。该第一装置的该设备还可以为该用户产生一个用于该密钥的密钥标识符。该第一装置的该设备可以用该密钥标识符为该用户来加密该密钥,并且将该加密的密钥存储在该第一装置中用于通过该用户的一个设备经由该第二装置调出。为用户产生一个独立于用户输入的密钥可以提供的优点在于,不需要为产生该密钥与该用户通讯。
应理解,通过一个第一装置的一个设备为用户专门产生一个密钥也可以被视为独立的发明。
对于该第二方面,在一个示例性的实施方式中,该密钥标识符被传输到该第二装置处,以存储指配给一个用户的该密钥标识符。这可以提供的优点在于,用于为用户请求一个密钥的该第一装置不需要经由该对应的用户得到任何直接的信息。
对于该第二方面,在一个示例性的实施方式中,该第一装置的该设备可以在产生一个密钥的框架下从所产生的密钥标识符中以密码学方式导出一个值,并将该以密码学方式导出的值(该值指配给用该密钥标识符加密的密钥)存储在该第一装置的该存储器中,并且删除在该第一装置中的该密钥标识符。作为以密码学方式导出的值,可以例如再次使用一个散列值。
该用户的该密钥可以例如是用于对称加密的一个密钥或者是例如用于不对称加密的一个密钥对中的一个私钥。
对于该第二方面,在后一种情况下,该第一装置的该设备还为该用户产生一个公钥。然后该公钥可以仅存储在该第一装置中。替代性地,该公钥可以向该第二装置传输以便仅在该第二装置中存储。在该第二装置中存储可以具有的优点在于,例如当另一个用户想向该用户发送用该公钥加密的数据时,可以更容易地访问该公钥。因此在该第二装置中也可以存储由不同的第一装置产生的公钥。由于该公钥不是秘密的,该公钥能够毫无困难地存储在该第二装置中并且准备用于调出。该公钥可以再次仅间接地通过该第二装置从该第一装置中并且由此以更繁琐的方式被调出,因为优选地在该第一装置中不存在该用户与这些存储的密钥的指配关系。进一步替代的是,该用户的该公钥可以被存储在该第一装置中并且额外地被传输到该第二装置以便存储在该第二装置中。这可以提供的优点在于,该公钥可以简单的方式直接从该第二装置中调出,然而同时在该第一装置中存在一个安全副本。
这些加密的数据可以是任意类型的并且该第二装置已经预先由任意一方提供。在一个示例性的实施方式中,这些加密的数据由第三方的一个设备加密并且被提供给该第二装置使用。在此,这例如可以是电子消息的加密的部分或附件。在另一个示例性的实施方式中,这些加密的数据由该用户的一个设备加密并且被提供给该第二装置使用。在此,这可以例如是数据,这些数据被存储在外部(ausgelagert)以用于节省本地的存储器容量和/或用于使数据的集中访问成为可能。
本发明的另外的有利的示例性构型可以从本发明的一些示例性实施方式的以下详细说明中尤其联系附图得出。然而附图只用于说明的目的,但不用于确定本发明的保护范围。这些附图不是真实比例的并且只应示例性地反映本发明的整体理念。尤其,在附图中包含的特征无论如何不应被看作本发明的强制必需的组成部分。
附图说明
在附图中示出:
图1根据本发明的系统的一个实施方式的方框图;
图2带有图1中的系统中的第一示例性方法步骤的流程图;以及
图3带有图1中的系统中的其他的示例性方法步骤的流程图。
具体实施方式
在下文中将借助于示例性的实施方式对本发明进行说明,这些示例性的实施方式支持加密数据的解密。
图1是根据本发明的系统的一个示例性的实施方式的方框图。该系统包括一个设备100,一个第一装置200和一个第二装置300。
该设备100是一个用户设备,例如个人计电脑(PC)、笔记本电脑、平板电脑、手机或一个任意的其他的设备。
该设备100包括一个处理器101和与该处理器101连接的一个程序存储器102、一个设计为RAM的工作存储器103、一个主存储器104、一个通信接口(Interface I/F)105和一个用户接口(User Interface UI)106。
该处理器101可以是一个微处理器。该处理器也可以例如和一个存储器一起嵌入到一个集成开关电路(IC)中。示例性指出的是一个芯片107,该芯片可以包含带有该处理器101、该程序存储器102和该工作存储器103的一个开关电路。
该程序存储器102永久地存储带有程序指令的程序,即通常直到用户发起删除。这些程序包括例如至少一个浏览器程序。该工作存储器103可以例如被用于暂时性地存储各种信息,例如中间结果、程序或单独的程序指令或待处理的数据。该主存储器104可以被用于永久地存储用户数据和其他数据,例如从一个信箱中下载的电子消息和其未加密的或解密的附件。
该处理器101被适配为用于执行程序并且由此驱使该设备100执行某些动作。为此,该处理器101例如可以访问在该程序存储器102中存储的程序指令或者也访问在该工作存储器103中存储的程序指令。此外,可以由处理器101在该工作存储器103中缓存任意的信息。
该通信接口105可以是一个任意的接口,该接口使得该设备100和该第二装置300之间的数据的交换成为可能,尤其是、但并非必须通过互联网。该接口可以是一个无线接口,该接口使得向互联网的接入例如通过一个无线局域网络(Wireless Local AreaNetwork WLAN)或通过一个无线移动网络而成为可能。该无线接口同样可以是一个连接缆线的接口,该接口使得向互联网的接入通过一条缆线成为可能,例如通过一个DSL端口或一个局域网络(Local Area Network LAN)。
该用户接口106可以包括任意的组件用于由用户进行数据输入和用于数据的呈现,例如键盘、鼠标、麦克风、显示屏、触摸屏和/或扬声器等。应理解,此类的组件在某些实施方式中可以全部或部分地集成到该设备100中,但同样可以通过线缆或无线连接到该设备100处。
该第一装置200可以例如是一个国家级认证的信任中心。
该装置200包括一个服务器210和一个外部的存储器220。
该服务器210包括一个处理器211和与该处理器211连接的一个程序存储器212、一个设计为RAM的工作存储器213、一个主存储器214、和一个通信接口(I/F)215。
该处理器211可以是一个微处理器。该处理器也可以例如和一个存储器一起嵌入到一个集成开关电路中。示例性指出的是一个插卡217,该插卡包含带有该处理器211、该程序存储器212和该工作存储器213的一个开关电路。
该程序存储设备212永久地存储带有程序指令的程序,这些程序指令被设置为用于服务器210的运行。该工作存储器213被适配为用于暂时性地存储信息。该主存储器214被适配为用于存储该信任中心的一个密钥对中的一个私钥。
该处理器211被适配为用于从该程序存储器212中执行程序并且由此驱使该第一装置200执行某些步骤。在此,可以由处理器211在该工作存储器213中缓存任意的信息。
该通信接口215可以是一个任意的接口,该接口使得该第一装置200和该第二装置300之间的数据交换成为可能,例如、但是并非必须通过互联网。该通信接口还可以是一个无线接口或一个连接缆线的接口。
该外部的存储器220可以被适配为用于存储一个数据库的数据。该数据库可以如下地设立,使得能够通过一个密钥标识符的一个散列值访问一个数据组。指配给一个散列值的这些数据包括一个公钥和用该密钥标识符加密的一个私钥,其中公钥和私钥形成用于某个用户的一个密钥对。在此该私钥是一个用户的示例性的密钥。该用户在该装置200中是不可识别的。
应理解,该装置200也可以任意的其他的方式方法组合成。因此,该存储器220也可以集成到该服务器210中,或者该主存储器214和该外部的存储器220也可以被组合(或者在该服务器210内部,或者在该服务器210外部)。该外部的存储器220也可以由另一个服务器提供。
该第二装置300可以例如是一个消息投递者的一个装置。
该装置300同样包括一个服务器310和一个外部的存储器320。
该服务器310包括一个处理器311和与该处理器311连接的一个程序存储器312、一个设计为RAM的工作存储器313、一个主存储器314、和一个通信接口(I/F)315。
该程序存储器312是一个存储介质,该存储介质存储程序,这些程序设置为用于该服务器310的运行。一个程序尤其还可以包括用于由该消息投递者提供的一个网站的数据。该工作存储器313被适配为用于暂时性地存储信息。该主存储器314被适配为用于存储用户主数据。此外,如果没有设置为使得该信任中心200的一个公钥由用户设备100存储在该主存储器104中,则该主存储器314可以存储该公钥。
该处理器311被适配为用于从该程序存储器312中执行程序并且由此驱使该第二装置300执行某些动作。在此,可以由处理器311在该工作存储器313中缓存任意的信息。
该通信接口315可以是一个任意的接口,该接口使得一方面该第二装置300和一个用户设备100与另一方面该第二装置300和该第一装置200之间的数据交换成为可能。该通信接口还可以是一个无线接口或一个连接缆线的接口。应理解,也可以设置两个不同的接口用于与这些用户设备和该第一装置通讯。
该外部的存储器320可以被适配为用于存储一个数据库的数据。该数据库例如可以为不同的用户提供用于电子消息的信箱。附件可以任选地分开存储。这些附件可以加密或不加密。如果加密这些附件,则用该信箱用户的一个密钥对中的公钥来加密这些附件。
应理解,该装置300也可以任意的其他的方式方法组合成。
该系统包括带有多个程序指令的一个程序,以支持在用户方对加密数据的解密。该程序可以是根据本发明的第一方面的程序的一个实施例。
该程序可以被安装在程序存储器102中。在这种情况下,该程序存储器102是根据本发明的第一方面的计算机可读存储介质的一个实施例,并且该设备100或该芯片107可以是根据该第一方面的、根据本发明的设备的一个实施例。
替代性地,该程序例如可以是一个应用,该应用永久地被存储在该程序存储器312中或该服务器310的该主存储器314中,并且该应用可以由该处理器101通过一个在程序存储器102中存储的浏览器从该服务器310中在需要时对应地下载并被存储在该工作存储器103中。一个此类的应用可以例如实施为Java小程序。在该替代方案中,该程序存储器312或该主存储器314是根据本发明的第一方面的计算机可读存储介质的一个实施例,并且该工作存储器103也一样,只要该应用被存储在该工作存储器103中。相应地,该设备100或该芯片107是根据第一方面的、根据本发明的设备的一个实施例,只要该应用被存储在该工作存储器103中。
该系统还包括带有多个程序指令的一个程序,以支持在服务器方对加密数据的解密。该程序可以是根据本发明的第二方面的程序的一个实施例。该程序例如可以被存储在程序存储器212中。在这种情况下,该程序存储器212是根据本发明的第二方面的计算机可读存储介质的一个实施例,并且该服务器210或该插卡217可以是根据第二方面的、根据本发明的设备的一个实施例。
图1中的该设备100和这些装置200和300可以多种方式被改变,既通过省去组件也通过添加组件。由此可以得出其他的替代性的优点。
该消息投递者的装置300的这些功能例如可以在本申请人的电子邮件系统(E-POSTBRIEF System)中实现;该信任中心的这些功能例如可以在本申请人的与此分离的系统Signtrust中实现;以及所提供的这些数据可以是电子邮件,这些电子邮件由一个发送者存储在该电子邮件系统的一个门户网站中并且可以在那里由一个接收者调出。
图2和3是流程图,这些流程图示出了根据第一和第二方面的、根据本发明的方法的示例性实施方式。
当该处理器101执行通过一个浏览器被下载并在工作存储器103中存储的一个程序时,该用户设备100的所示的动作示例性地被执行。当该处理器311从程序存储器312中调出并执行一个相应的程序时,该消息投递者的装置300的所示的动作被执行。当该处理器211从程序存储器212中调出并执行一个相应的程序时,该信任中心200的所示的动作被执行。在该用户设备100、该消息投递者的装置300与该信任中心200之间的所示出的通讯在使用互联网的情况下通过对应的通讯接口105、315、215进行。
图2首先涉及的是根据第二方面的一个私人的用户密钥的产生。
在此没有直接涉及到该用户设备100。当用户想使用由该消息投递者提供的一项服务来传输电子消息时,该用户设备仅在准备阶段(Vorfeld)中申请解锁门户网站的使用。当满足所有设置的条件时,该消息投递者解锁该门户网站的使用,并为该用户建立一组用户主数据。这些用户主数据被存储在该主存储器314中。这些数据例如可以包含用于对该用户授权的数据,例如用户名、消息投递地址和密码。
如果在该消息投递者处已经为用户解锁了所申请的门户网站的使用,则由此该消息投递者的该装置300自动地请求生成一个密钥对以用于在该信任中心处的不对称加密。(动作401)
接着,在没有通过该用户或该消息投递者进行外部的预设的情况下,该信任中心200为该用户生成一个密钥对。(动作402)该密钥对由一个私钥和一个公钥组成,其中用该公钥加密的数据只能用该私钥来再次解密。
该信任中心200进一步为所生成的密钥对生成一个唯一的密钥标识符(密钥ID)。(动作403)
该信任中心200向该消息投递者的该装置300传输该密钥标识符和该公钥,该消息投递者将这两个值存储到该主存储器314中的用于该用户的用户主数据中。(动作404)由此对于消息投递者而言,为该新用户完成了该密钥对的初始化。
此外,该信任中心200用该密钥标识符来加密该用户的私钥。(动作405)
该信任中心200从该密钥标识符中导出一个散列值(或散列)。(动作406)为此例如使用一个完美散列函数,以便为每个可能的密钥标识符得出一个不同的散列值。
现在,该信任中心200在该外部的存储器220中存储一个新的数据组。该数据组包括该密钥标识符的散列值,以及指配给该散列值的该公钥和该加密的私钥。(动作407)
最后,该信任中心200删除所产生的私钥的明码文本和所产生的密钥标识符的明码文本。(动作408)
由此,也在该信任中心200处完成了该密钥对的初始化。
如果现在一个发送者想向该用户传输一个带有加密的附件的电子信息,那么该发送者可以从该装置300请求该用户的公钥。该装置300可以例如借助给出的用户名或给出的该用户的投递地址从该主存储器314中读出该用户的公钥并将其提供给该发送者使用。然后该发送者可以将数据用用户的公钥加密、附加到该消息并用对该用户定址的方式向该消息投递者传输该消息。
所有的电子消息,独立于递送的类型和其内容,在该消息投递者的该装置300中被指配给该接收者邮箱并且以访问受保护的方式保存在该存储器320中。
图3涉及的是带有通过用户加密的附件的消息的调出和用于解密的、已经产生和存储的私钥的调出。
当用户想调出收件箱时,用户可以通过该用户设备100的一个浏览器在该消息投递者的装置300处登录。(动作501)登录可以例如包括输入和传输用户名或用户投递地址和密码。
接着,该装置300执行授权并在成功授权之后解锁对用户的邮箱的访问。(动作502)授权可以基于在主存储器314中存储的用户主数据进行。该装置300例如可以检测,在这些用户数据中是否存在关于所传输的用户名的数据组,以及对此是否存储有与输入的密码相应的密码。
接着,该用户设备100可以在该装置300处调出该收件箱。(动作503)
该装置300读出在存储器320中的该用户的所有新消息并将这些新消息传输给给用户设备100。(动作504)在那里可以显示出这些信息。
附件可以从该装置300中直接地同时读出和传输。可以替代性地提出的是,该用户驱使该用户设备100根据需要分开地调出所示出的这些消息的附件。(动作505)在这种情况下,该装置300才从该外部的存储器320中读出所选出的附件并将这些附件传输给该用户设备100。(动作506)该用户设备100的浏览器可以保持呈现在该工作存储器103中的数据。
现在该用户设备100检测,收到的这些附件之一是否被加密。(动作507)如果不是这种情况,当该附件为文本和/或图片数据时,该附件的内容可以直接地例如通过一个显示屏输出。
如果该附件被加密,则为了解密,首先需要该用户设备100提供该用户的私钥。该私钥没有存储在该用户设备100中。
为此,该用户设备100生成一个用于对称加密的随机的密钥,该密钥作为一次性密码或传输PIN(个人识别码)使用。(动作508)该一次性密码可以自动地并在不涉及用户的情况下生成并被保持在该工作存储器103中。
该用户设备100用该信任中心200的一个公钥加密该一次性密码并将该公钥传输给该消息投递者的装置300。(动作509)该公钥可以例如永久地存储在该用户设备100的主存储器104中。但是该公钥也可以例如存储在该消息投递者的主存储器314中并且通过该浏览器被提供给该用户设备100使用。这例如在一个第一附件在一次登录之后被调出时可以自动地进行。然后只要该用户在该消息投递者处登录,则该用户设备100可以将该信任中心的公钥对应地暂时地保持存储在该工作存储器103中。
该一次性密码向该消息投递者的传输可以和从该信任中心调出该用户的私钥的一个请求一起进行,其中该请求是呈预定的参数值的形式。但是替代性地,该一次性密码的传输和该请求也可以隐含地获得,这大概是因为在某一条消息中或相对于某一相对时间点在该用户设备100和该消息投递者的装置300之间的通讯中进行该传输。
在该装置300中,在这些用户主数据中指配给该用户的该密钥标识符从该主存储器314中被读出并和该加密的一次性密码一起被转发给该信任中心200,以便请求该用户的私钥。(动作510)
该信任中心200导出该密钥标识符的一个散列值。(动作511)为此,使用和图2中的动作406相同的散列函数。
该信任中心200在存储器220中搜索被指配给该散列值的、该用户的一个加密的私钥。(动作512)
该信任中心200用该密钥标识符来解密该用户的私钥。(动作513)
此外,该信任中心200从该主存储器214中读出该信任中心的私钥并用该信任中心200的私钥来解密所获得的该一次性密码。(动作514)
现在,该信任中心200可以用该解密的一次性密码来加密该用户的解密的私钥。(动作515)现在可以在该信任中心200中再次删除所获得的该密钥标识符和该用户的该解密的私人密码。
该解密的私钥从该信任中心200中被传递到该消息投递者的装置300。(动作516)
该消息投递者的装置300向该用户设备100的浏览器传输该解密的私钥。(动作517)
在该用户设备100的浏览器中,现在可以借助在该工作存储器103中存储的该一次性密码来解密该用户的加密的私钥。(动作518)
该用户的私钥现在以明码文本的形式存在于该浏览器中,并且现在可以用该私钥来解密在该工作存储器103中存储的该加密的附件。(动作519)
然后该解密的附件的内容根据用户预设而存储在该主存储器104中和/或通过该用户接口106被输出,例如通过在显示屏上显示。
当所有存在的加密的附件已经被解密和/或该用户通过该浏览器从该消息投递者注销时,在该工作存储器103中的该一次性密码、这些加密的附件和该用户的私钥可以被删除。
除了该用户在该消息投递者处的注册外,图3中的方法可以在完全没有用户输入的情况下进行。该方法可以完全非透明地和自动地进行。也就是说,对于该用户可能不可辨别的是,一个电子信息是具有未加密的附件或是加密的附件。但是为了向该用户展示该接收到的消息的特点并有助于用户信任该方法,可以提出的是,良好可见地向该接收者展示该解密的过程及其结果。
在图3中的该用户设备100的这些动作展示了根据本发明的第一方面的方法的一个示例性实施方式。在图2和3中的该信任中心200的这些动作展示了根据本发明的第二方面的方法的一个示例性实施方式。
由此在本发明的示例性实施方式中,在该信任中心200中的密钥生成是匿名的。在此,一个密钥和一个用户的指配关系是未知的,并且在使用一个散列函数或另外的密码学方式的导出时,一个密钥标识符和一个加密的私钥的指配关系本身仅临时性地存在。在该信任中心200中的该密钥标识符的本地重建和由此用户的私钥的解密是不可能的。此外,该私钥(以加密后的形式)排他地存储在该信任中心200中。这实现了密钥管理与数据存储之间的分离,以便确保,没有一方独立地获得密钥和数据的访问权。这对于一个潜在的攻击者意味着,该潜在的攻击者必须能够成功地至少侵入这三方中的两个并访问这些数据,才能够解密一条加密的消息。
额外地,所有的数据都可以连续地用额外的系统密钥加密地存储在该消息投递者的装置300和该信任中心200中,从而使该攻击者也必须控制这些数据。在某些实施方式中,数据的持久化没有在该用户设备100的浏览器中发生。这意味着,一个潜在的攻击者在此也只能相在运行时间来尝试访问该浏览器中的数据。为了在该系统中的实际的数据传输还可以提出任意的其他的安全措施,例如借助于在一个安全超文本传输协议(HTTPS)应用范围内的传输层安全协议(TLS)进行的安全的数据传输。
在此不需要该接收者的计划上的和组织上的措施,因为所有需要的部件都可以通过一个浏览器来提供。
由于该私钥的调出借助于作为传输PIN码的一个一次性密码(该一次性密码独立于用户密码生成)进行,该手段也是独立于所使用的登录方法的。也就是说,不需要提出措施来首先更改该用户密码(该用户密码最终在登录时传输给该消息投递者)以使得该消息投递者无法回溯到传输PIN码。
应理解,在本发明的范围内所示和所说明的方法可以多种方式被改变,既通过单独的动作的添加、省略、改变又通过其交换。因此,动作513和514也可以相反的顺序或彼此并列地执行。此外,例如可以省略在动作406和511中对密钥标识符使用一个散列函数。然后该密钥标识符也可以在动作407中以明码文本存储在该信任中心中,并且在动作512中以明码文本被用于搜索该私钥。此外,该方法不仅用于电子消息的附件。当该消息本身应被加密时,也可以使用该方法。
该示例性地提出的手段也作为信息投递服务被用于其他服务中。一个第二装置(与该装置300类似)例如可以属于一个数据库供应商,该数据库供应商将用于用户的数据存储在网络中。在这种情况下,任选地代替一个用于用户的不对称密钥对,一个第一装置(例如再次为一个信任中心)可以产生一个对称密钥并将其作为密钥保存。这可以用与在图2中所示的基本上相同的方式进行。于是在此代替该密钥对的私钥仅产生、加密和存储一个用于对称加密的密钥,并且完全免除该公钥的产生、传输和存储。然后每当所存储的加密的数据被读出时,该用户设备可以调出在该第一装置中存储的用于该对称加密的密钥,以便在该用户设备中解密数据。这可以用与在图3中所示的基本上相同的方式进行。在此代替消息和附件,由该用户设备仅从在该第二装置中的一个存储器中调出数据,并且用该用户的用于对称加密的一个密钥来代替该用户的私钥。然后每当用于存储在该第二装置中的数据应被加密时,该用户设备可以首先以类似的方式调出在该第一装置中存储的用于该对称加密的密钥。
在组件之间的所示出或所说明的连接可以理解为功能上的连接。这些连接可以直接地或通过多个其他的组件间接地实现。所描述的这些动作可以不同的方式方法实现;因此,不仅以软件(通过程序指令)实现,还有以硬件或以二者结合的方式实现都是可以设想的。所示出的这些组件中的每一个也可以通过多个组件形成。这样,每一个处理器也可以用多个处理器代替,并且每一个处理器组件也可以用多个处理器组件代替。多个处理器和/或多个存储器组件可以被分配到一个对应的设备的多个服务器上。
应理解,所说明的这些实施方式只是示例,这些示例能够在权利要求书的范围内以多种方式进行改变和/或补充。尤其,用来说明某个实施例的每一个特征能够独立地或者和在任意一个其他的实施例中的其他特征组合地使用。用来说明某个类别的实施例的每个特征也能够以相应的方式被应用在另一个类别的实施例中。
Claims (16)
1.一种由设备(100)执行的用于对加密的数据进行解密的方法,其中第一装置(200)被适配为用于为所述设备的用户提供一个密钥,并且其中第二装置(300)被适配为用于为所述用户提供数据,所述方法包括:
-在授权所述用户的情况下在所述第二装置(300)处登录,
-从所述第二装置(300)接收加密的数据,
-产生一个一次性密码,
-借助于所述第一装置(200)的公钥来加密所述一次性密码,
-向所述第二装置(300)传输所述加密的一次性密码并且驱使所述第二装置(300)通过所述加密的一次性密码和在所述第二装置(300)中指配给所述用户的密钥标识符来从所述第一装置(200)调出所述用户的密钥,
-从所述第二装置(300)接收由所述第一装置(200)用所述一次性密码加密的所述用户的密钥,
-借助于所述一次性密码解密所述用户的密钥,以及
-借助于所述用户的密钥来解密所述加密的数据。
2.根据权利要求1所述的方法,其中当已经确定所述第二装置(300)接收到了加密数据时,自动地产生所述一次性密码。
3.根据权利要求1或2所述的方法,其中所述设备(100)由
-在所述设备(100)的本地存储器(102)中存储并且由所述设备的处理器(101)执行的程序指令或者
-通过浏览器获得并且由所述设备(100)的处理器(101)执行的程序指令所驱使,以执行所述方法。
4.一种用于对加密的数据进行解密的设备(100),包括用于执行根据权利要求1至3中任意一项所述的方法的部件(101,102,103)。
5.根据权利要求4所述的设备,其中所述设备是一种仪器(100)或用于仪器(100)的模块(107)。
6.一种用于对加密的数据进行解密的方法,所述方法由第一装置(200)的设备(210)执行,其中一个第二装置(300)被适配为用于为用户提供数据,所述方法包括:
-从所述第二装置(300)接收密钥标识符和由用户的设备(100)生成并用所述第一装置(200)的公钥加密的一次性密码,所述第二装置存储用户和密钥标识符之间的指配关系,
-基于所接收的密钥标识符,从所述第一装置(200)的存储器(220)中读出通过所述密钥标识符加密的所述用户的密钥,
-借助于所述密钥标识符解密所述用户的加密的密钥,
-借助于所述第一装置(200)的私钥来解密所述加密的一次性密码,
-通过所述一次性密码加密所述用户的密钥,以及
-向所述第二装置(300)传输用所述一次性密码加密的所述用户的密钥用于转发到所述用户的设备(100),以便能够实现将从所述第二装置(300)获得的加密的数据解密。
7.根据权利要求6所述的方法,所述方法还包括从所接收的密钥标识符中以密码学方式导出一个值,其中用所述密码标识符加密的所述用户的密钥存储在所述第一装置(200)的存储器(220)中并且指配给从所述密钥标识符中以密码学方式导出的一个值;并且其中借助于所接收的密钥标识符的、以密码学方式导出的值来读出用所述密钥标识符加密的所述用户的密钥。
8.根据权利要求6所述的方法,其中已存储的、加密的用户密钥由所述第一装置(200)的设备(210)预先地如下产生:
-从所述第二装置(300)接收一个为用户产生密钥的请求,
-为用户产生一个独立于用户输入的密钥,
-为所述用户产生一个用于所述密钥的密钥标识符,
-用所述密钥标识符为所述用户加密所述密钥,以及
-将所述加密的密钥存储在所述第一装置(200)的存储器(220)中,用于通过所述用户的设备(100)经由所述第二装置(300)调出。
9.根据权利要求8所述的方法,所述方法还包括:
-向所述第二装置(300)发送所述密钥标识符,用于存储指配给用户的所述密钥标识符。
10.根据权利要求8所述的方法,所述方法还包括:
-从所产生的密钥标识符中以密码学方式导出一个值,
-将以密码学方式导出的、指配给用所述密钥标识符加密的密钥的所述值存储在所述第一装置(200)的存储器(220)中,以及
-删除在所述第一装置(200)中的所述密钥标识符。
11.根据权利要求8所述的方法,其中所述密钥是
-用于不对称加密的密钥对中的私钥,或者
-用于对称加密的密钥。
12.根据权利要求8所述的方法,其中所述密钥是用于不对称加密的密钥对中的私钥,所述方法还包括为所述用户产生一个公钥,以及
-仅在所述第一装置(200)中存储所述公钥,或者
-向所述第二装置(300)传输所述公钥以便仅存储在所述第二装置(300)中,或者
-在该第一装置(200)中存储该公钥并向该第二装置(300)传输该公钥以便存储在该第二装置(300)中。
13.根据权利要求8至12中任意一项所述的方法,其中该加密的数据
-由第三方的设备加密并且提供给所述第二装置(300)使用,或者
-已经由所述用户的设备加密并且提供给所述第二装置使用。
14.一种用于对加密的数据进行解密的设备(210),包括用于执行根据权利要求6至13中任意一项所述的方法的部件(211,212)。
15.根据权利要求14所述的设备,其中所述设备是服务器(210)或用于服务器(210)的模块(217)。
16.一种用于对加密的数据进行解密的系统,包括:具有根据权利要求14或15所述的设备(210)的第一装置(200)和用于存储多个用密钥标识符加密的用户密钥的存储器(220),以及第二装置(300)。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013108714.0 | 2013-08-12 | ||
DE102013108714.0A DE102013108714B3 (de) | 2013-08-12 | 2013-08-12 | Unterstützung einer Entschlüsselung von verschlüsselten Daten |
PCT/EP2014/065613 WO2015022150A1 (de) | 2013-08-12 | 2014-07-21 | Unterstützung einer entschlüsselung von verschlüsselten daten |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105284072A CN105284072A (zh) | 2016-01-27 |
CN105284072B true CN105284072B (zh) | 2017-03-22 |
Family
ID=51212843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480029931.2A Active CN105284072B (zh) | 2013-08-12 | 2014-07-21 | 对加密数据的解密支持 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20160149705A1 (zh) |
EP (1) | EP3033855B1 (zh) |
CN (1) | CN105284072B (zh) |
DE (1) | DE102013108714B3 (zh) |
WO (1) | WO2015022150A1 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2015308608B2 (en) | 2014-08-29 | 2019-07-04 | Visa International Service Association | Methods for secure cryptogram generation |
WO2016107622A1 (de) * | 2014-12-31 | 2016-07-07 | 1&1 Internet Ag | Verfahren zur erstellung und konfiguration von schlüsseln für ein zweites endgerät |
US10461933B2 (en) * | 2015-01-27 | 2019-10-29 | Visa International Service Association | Methods for secure credential provisioning |
US11257085B1 (en) | 2015-12-11 | 2022-02-22 | Wells Fargo Bank, N.A | Systems and methods for authentication device-assisted transactions |
CN106022056B (zh) * | 2016-05-27 | 2019-03-15 | Oppo广东移动通信有限公司 | 一种指纹信息的处理方法及用户终端 |
CN106022060B (zh) * | 2016-05-27 | 2019-04-26 | Oppo广东移动通信有限公司 | 一种指纹解锁控制方法、及设备 |
US10158628B2 (en) | 2016-06-08 | 2018-12-18 | Bank Of America Corporation | Preventing unauthorized access to secured information systems based on contextual login information |
US10158629B2 (en) | 2016-06-20 | 2018-12-18 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US10642987B2 (en) * | 2017-01-19 | 2020-05-05 | Ebay Inc. | Cryptography based fraud tracking |
EP3439229A1 (de) * | 2017-08-02 | 2019-02-06 | Siemens Aktiengesellschaft | Verfahren und vorrichtungen zum erreichen einer sicherheitsfunktion, insbesondere im umfeld einer geräte- und/oder anlagensteuerung |
US11368442B2 (en) * | 2017-08-29 | 2022-06-21 | Amazon Technologies, Inc. | Receiving an encrypted communication from a user in a second secure communication network |
US11349659B2 (en) | 2017-08-29 | 2022-05-31 | Amazon Technologies, Inc. | Transmitting an encrypted communication to a user in a second secure communication network |
US11095662B2 (en) | 2017-08-29 | 2021-08-17 | Amazon Technologies, Inc. | Federated messaging |
CN109064596B (zh) * | 2018-07-25 | 2021-07-13 | 云丁智能科技(北京)有限公司 | 密码管理方法、装置及电子设备 |
WO2020118071A1 (en) * | 2018-12-06 | 2020-06-11 | Schneider Electric Systems Usa, Inc. | One-time pad encryption for industrial wireless instruments |
US11750391B2 (en) | 2020-12-20 | 2023-09-05 | Secret Double Octopus Ltd. | System and method for performing a secure online and offline login process |
US11663318B2 (en) * | 2021-01-26 | 2023-05-30 | Secret Double Octopus Ltd. | Decentralized password vault |
CN114629643A (zh) * | 2022-03-25 | 2022-06-14 | 山东云海国创云计算装备产业创新中心有限公司 | 一种密钥处理方法、装置、介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103428001A (zh) * | 2013-09-05 | 2013-12-04 | 中国科学院信息工程研究所 | 一种隐式增强便捷web身份认证方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7543325B2 (en) * | 1999-03-30 | 2009-06-02 | Tivo Inc. | System for remotely controlling client recording and storage behavior |
US7711122B2 (en) * | 2001-03-09 | 2010-05-04 | Arcot Systems, Inc. | Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys |
US20100037050A1 (en) * | 2008-08-06 | 2010-02-11 | Cuneyt Karul | Method and apparatus for an encrypted message exchange |
US8327157B2 (en) * | 2010-02-15 | 2012-12-04 | Vistech LLC | Secure encrypted email server |
US9137017B2 (en) * | 2010-05-28 | 2015-09-15 | Red Hat, Inc. | Key recovery mechanism |
US8458494B1 (en) * | 2012-03-26 | 2013-06-04 | Symantec Corporation | Systems and methods for secure third-party data storage |
US9705674B2 (en) * | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
-
2013
- 2013-08-12 DE DE102013108714.0A patent/DE102013108714B3/de not_active Expired - Fee Related
-
2014
- 2014-07-21 WO PCT/EP2014/065613 patent/WO2015022150A1/de active Application Filing
- 2014-07-21 CN CN201480029931.2A patent/CN105284072B/zh active Active
- 2014-07-21 EP EP14741870.1A patent/EP3033855B1/de active Active
-
2015
- 2015-10-30 US US14/927,582 patent/US20160149705A1/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103428001A (zh) * | 2013-09-05 | 2013-12-04 | 中国科学院信息工程研究所 | 一种隐式增强便捷web身份认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105284072A (zh) | 2016-01-27 |
EP3033855A1 (de) | 2016-06-22 |
EP3033855B1 (de) | 2016-11-02 |
WO2015022150A1 (de) | 2015-02-19 |
US20160149705A1 (en) | 2016-05-26 |
DE102013108714B3 (de) | 2014-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105284072B (zh) | 对加密数据的解密支持 | |
CN104662941B (zh) | 用于支持密钥使用的方法、设备和系统 | |
CN1939028B (zh) | 从多个设备存取网络存储器上的保护数据 | |
US20060053280A1 (en) | Secure e-mail messaging system | |
US20170142082A1 (en) | System and method for secure deposit and recovery of secret data | |
JP3896886B2 (ja) | メール配信サーバおよびそのメール配信方法 | |
US20070174636A1 (en) | Methods, systems, and apparatus for encrypting e-mail | |
CN108604983A (zh) | 通过域名服务对私钥的安全的委托分发 | |
US20170279807A1 (en) | Safe method to share data and control the access to these in the cloud | |
US10044684B2 (en) | Server for authenticating smart chip and method thereof | |
CN103812651B (zh) | 密码验证方法、装置及系统 | |
JPH07245605A (ja) | 暗号化情報中継装置とそれに接続される加入者端末装置ならびに暗号通信方法 | |
US7412059B1 (en) | Public-key encryption system | |
CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
CN103973714B (zh) | 电子邮件账户生成方法及系统 | |
CN112766962A (zh) | 证书的接收、发送方法及交易系统、存储介质、电子装置 | |
CN106161444A (zh) | 数据安全存储方法及用户设备 | |
CN108011885A (zh) | 一种基于群组密码体制的电子邮件加密方法与系统 | |
CN111865988B (zh) | 一种基于区块链的无证书密钥管理方法、系统及终端 | |
CN106605419A (zh) | 用于安全的sms通信的方法和系统 | |
CN110417547A (zh) | 基于无证书密码学的抗量子计算保密通信的密钥更新方法和系统 | |
CN104869000A (zh) | 一种基于标识密码跨域安全通信方法及系统 | |
CN201717885U (zh) | 密码提供设备和密码认证系统 | |
JP3690237B2 (ja) | 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置 | |
US8843746B2 (en) | Method and arrangement for sending and receiving confidential electronic messages in a legally binding manner |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |