JP2006518949A - セキュアで透過的な電子的通信のためのシステムおよび方法 - Google Patents

セキュアで透過的な電子的通信のためのシステムおよび方法 Download PDF

Info

Publication number
JP2006518949A
JP2006518949A JP2006500802A JP2006500802A JP2006518949A JP 2006518949 A JP2006518949 A JP 2006518949A JP 2006500802 A JP2006500802 A JP 2006500802A JP 2006500802 A JP2006500802 A JP 2006500802A JP 2006518949 A JP2006518949 A JP 2006518949A
Authority
JP
Japan
Prior art keywords
message
secure
server
unsecure
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006500802A
Other languages
English (en)
Inventor
コーラス,ジョナサン,ディー.
サード プリス,ウイリアム,エフ.,ザ
アレン,デイヴィッド,イー.
Original Assignee
ピージーピー コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ピージーピー コーポレイション filed Critical ピージーピー コーポレイション
Publication of JP2006518949A publication Critical patent/JP2006518949A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Abstract

本発明により、ユーザは、セキュアで透過的な電子的通信が提供され、暗号化または署名したメッセージの送受信をユーザの関与なしに行えるようになる。またユーザへの電子メールセキュリティの提供が、セキュアなメッセージの透過的な送受信のための自動化された階層的技法によって行われ、管理者に対する負荷が低減される。本発明は、ユーザと開放型通信ネットワークの間のプロキシとして働くローカルネットワーク内のサーバを含み、これにより、ユーザのためにセキュアなメッセージの透過的な送受信を提供することができる。これは、セキュアなメール送受信のために、またはインスタントメッセージング(IM)をセキュア化するために使用できる。本発明によるサーバは、アンセキュアなメッセージをユーザから傍受し、かかるメッセージを自動的に変換してセキュアなメッセージにし、そのセキュアなメッセージを意図する受信者へと送信することができる。

Description

発明の分野
この発明は、一般には、コンピュータネットワーク内の電子的メッセージをセキュア化(安全確保処理)することに関する。より詳細には、この発明は、コンピュータネットワーク内でユーザ間のセキュアで(安全で或いは保証された)透過的な電子的通信を提供する技法に関する。
発明の背景
暗号化は、暗号化鍵を使用して、電子的メッセージの内容(すなわち、平文)をスクランブルし、これを対応する鍵の保持者(すなわち、意図する受信者)以外の誰にも判読不能にするプロセスであり、その結果は理解不能なメッセージ(すなわち、暗号文)となる。復号は、暗号文を変換して平文に戻すことによって暗号化プロセスを反転させ、それにより、元のメッセージを復元する。暗号化および復号を使用すると、メッセージのセキュリティを提供することができる。メッセージのセキュリティ、特に電子メール(electronic mail(e−mail))の暗号化および復号は、インターネットのユーザの間で比較的低い率でしか採用されてきていない。インターネットなどの開放型の(open)ネットワークを介して伝送されるメッセージがあからさまに(plainly)判読可能であるであることを、多くのユーザは承知しているが、それでも、一般に、この問題を解決するために暗号化を使用してはいない。さらに、組織だった研究からエピソードめいた証言に至るまで、多くの人々が暗号化ソフトウェアを効果的に使用することに困難を経験しているようである。
図1に示すように、従来のセキュアな電子メールシステムは、ユーザコンピュータ102およびインターネット1000などの開放型通信ネットワークと接続した電子メールサーバ106を含んでいる。メッセージの送信を、インターネット1000を介して安全に行うために、ユーザは、普通、暗号化ソフトウェア104をユーザコンピュータ102上にインストールする。次いで、ユーザは、通常、暗号化ソフトウェア104での様々な設定を、鍵長(key length)、アルゴリズム、パスワード、および他のセキュリティ関連パラメータなどの事柄を含めて、構成することが必要になる。
セキュアな電子的通信のアーキテクチャ上の中心となる目的は、暗号化をやさしく使えてユビキタスなものとすることである。しかし、セキュリティ専門家は、しばしば、セキュリティを「すべてかゼロか」(all−or−nothing)という視点で見てしまう。このことが、例えば、複雑なソフトウェア、使いにくいインターフェース、および低いパフォーマンスを招くことになっている。したがって、エンドユーザが暗号化ソフトウェアと対話する必要性の問題を多少とも解決する、セキュアで、透過的な電子的通信システムが必要とされている。
発明の概要
本発明により、セキュアで透過的な電子的通信が提供される。これにより、ユーザは、暗号化したおよび/または署名のあるメッセージの送受信を、ほとんどまたはまったくユーザの関与なしに行うことができるようになる。一実施形態では、セキュアで透過的な電子的通信により、エンドユーザ透過性(end−user transparency)が提供される。ユーザは、セキュリティの詳細を、つまり、例えば、あるセッションが暗号化されているということを、知る必要はない。その代わりに、セキュアで透過的な電子的通信の提供を、例えば、別個のサーバが行う。このため、セキュアで透過的な電子的通信により、一実施形態では、ユーザへの電子メールセキュリティの提供が、セキュアなメッセージの透過的な送受信のための自動化された階層的技法によって行われる。セキュアで透過的な電子的通信の第2の特徴は、これにより管理者に対する負荷が軽くなることである。その焦点は、多くのクライアント上よりも、比較的少数のサーバ上のソフトウェアセットアップに置かれている。また、管理者の視点からは、セキュアで透過的な電子的通信により、PKI(public key infrastructure、公開鍵基盤)を動的に構築し操作できるようになる。第3の特徴は、これにより、セキュリティの使用の容易さとのトレードオフの尺度が提供されることである。その最も洗練された形では、セキュアで透過的な電子的通信は、その全体がサーバ上で行われる暗号化である。セキュアで透過的な電子的通信は、クライアントベースの暗号化とフルに相互動作を行い、より強いセキュリティさえ、そのようなより高度なセキュリティを要求するユーザに対して提供する。さらに、これは、高度なデジタル証明書検索の提供を、暗号化の鍵および証明書をもたない可能性のあるユーザに対して行う。
本発明の一実施形態は、ユーザと開放型通信ネットワークの間のプロキシとして働く、ローカルネットワーク内のサーバを含み、そのサーバは、ローカルネットワーク内のユーザとの間のメッセージを傍受し、そうしたメッセージの変換をメッセージの内部に含まれるまたは関連する徴表を用いて行い、これにより、ユーザに対するセキュアなメッセージの透過的な送受信を提供する。例示的な一実施形態では、本発明によるシステムを使用すると、セキュアな電子メールの送受信を行えるはずである。別の実施形態では、そのようなシステムを使用すると、インスタントメッセージング(instant messaging、IM)をセキュア化することができるはずである。また別の実施形態では、そのようなシステムでは、ユーザに対する暗号鍵および証明書の管理、および、必要なときには、ユーザに対するそのような鍵および証明書の作成を行う。
本発明の別の態様によれば、ユーザからのアンセキュアなメッセージを、サーバで傍受し、セキュアなメッセージへと自動的に変換し、受信者へと送信する。別の実施形態では、メッセージのサーバによる自動的な変換を、受信者が、セキュアなメッセージを変換して判読可能なメッセージに(すなわち、暗号文から平文へと)戻すのに必要なソフトウェアをダウンロードし、デジタル識別をサーバに送った後で行う。
同様に、本発明の別の態様は、ユーザに対するセキュアなメッセージを傍受し、そのユーザに対するそのメッセージを自動的にアンセキュア化し、そのアンセキュアなメッセージをそのユーザへと送信するものである。
本発明のまた別の態様では、サーバは、ユーザが正しく認証されているという標示を受け取り、そのユーザが暗号鍵をもっているかどうかを検査し、もっていない場合は鍵を自動的に作成し、これにより、あらかじめ定義したコミュニティ内部のユーザを自動的に登録し、そのユーザはセキュアな電子的メッセージを透過的に送受信できるようになる。
本発明のさらなる態様は、サーバで、ユーザからのアンセキュアなメッセージを傍受し、意図する受信者のデジタル識別を検索し、そのようなデジタル識別を見つけると前記デジタルメッセージをセキュア化し、そのセキュアなメッセージを意図する受信者に透過的に送信するものである。
発明の詳細説明
セキュアで透過的な電子的通信は、従来技術にまさる多大の改善をエンドユーザおよびITスタッフに対して提供する1組の方策(strategies)である。また、セキュアで透過的な電子的通信により、改善された開発プラットフォームが提供され、これにより、その試験および品質の保証の実施がより容易になり、したがって顧客には低コストが提供される。ある実施形態では、クライアントプログラムは、ユーザのコンピュータ上にはインストールされない。その代わりに、サーバにより、そのクライアントに対するセキュアなメッセージングのすべてが管理される。
図2に、内部ネットワーク202の内部で動作し、インターネット1000との接続がファイアウォール212(これにより、内部ネットワーク202が保護される)を通して行われる、本発明によるセキュアサーバ(secure server)208を含むシステム200を示している。内部ネットワーク202は、例えば、LAN(local area network、構内通信網)またはWAN(wide area network、広域通信網)を含むことができる。また、内部ネットワーク202には、(クライアントコンピュータまたはクライアントマシンとしても知られている)ユーザコンピュータ204および206が接続されている。セキュアサーバ208は、例えば、カリフォルニア州パロアルト(Palo Alto、California)のPGPコーポレーション(PGP Corporation)が設計し流通を行っているOvidサーバとすることができる。一実施形態では、セキュアサーバ208から、電子メールセキュリティを、クライアントコンピュータ204および206のユーザに提供することができる。
セキュアサーバ208は透過的(transparent)であり、これはユーザにとっては、セキュアサーバ208を内部ネットワーク202に付け加えても、機能における知覚可能な変化が、そのユーザのコンピュータは依然として電子メールの送受信を普段と変わらずに行うため、引き起こされないことを意味する。図2に示す実施形態では、セキュアサーバ208は、ネットワークプロトコルのプロキシを行い、クライアント、すなわちクライアントコンピュータ204および206に対する暗号化の操作すべてを管理している。セキュアサーバ208がセキュリティの提供を行う、標準的でよく知られているプロトコルとしては、電子メールの送信のためのSMTP(Simple Mail Transfer Protocol)、ならびに、電子メールの取り出しのためのPOP3(Post Office Protocolのバージョン3)および/またはIMAP4(Internet Message Access Protocolのバージョン4)があるが、これに制限されるものではない。さらに、保護の可能な他のプロトコルおよび機能としては、
・ America On−Line,Incの提供する、AOLインスタントメッセージング(AIM、AOL Instant Messaging)
・ ICQ(他のユーザをインターネット上で探し出すプロトコル)
・ Jabber、すなわち、インターネット上の任意の2点間でリアルタイムにメッセージの交換を行うためのXMLベースのプロトコル
・ MAPI(Messaging Application Program Interface)メッセージ(MAPIは、電子メールをWindowsアプリケーションの内部から送り、文書をその電子メールに添付できるようにするMicrosoft Windowsプログラミングインターフェースである)
・ SOAP(Simple Object Access Protocol)、すなわち、アプリケーションまたはアプリケーション内部のオブジェクトのアクティベーションを、(インターネットを含めて)ネットワークおよびコンピュータプラットフォームを越えて行えるようにするXMLベースのプロトコル
があるが、これに限定されるものではない。セキュアサーバ208により、可能であり適当なときには、こうしたプロトコルは、SSL(Secure Sockets Layer)プロトコルによって、さらに安全なものとされるが、これは下で論じる。
下でさらに詳細に述べることになるが、セキュアサーバ208は、ユーザコンピュータ204および206と実際の電子メールサーバ210との間の標準ネットワークプロトコルのプロキシを行う。その結果、ユーザコンピュータ204および206と電子メールサーバ210は、ほとんどどのような電子メールクライアントまたは電子メールサーバも使用することができる。ユーザコンピュータ204および206が標準プロトコルを利用する限り、セキュアサーバ208の提供するセキュアで透過的な電子的通信の機能により、セキュアで透過的な電子メールを可能にすることができる。また、セキュアサーバ208は、ウイルスまたは敵対的(hostile)内容に関してスキャンを行う他のプロキシと併せて使用することもできる。
ある実施形態では、セキュアサーバ208は、それ自体のオペレーティングシステムを動作させており、セキュアサーバ208がソフトウェア更新をPGPコーポレーションから受け取ることができるようにするソフトウェアを含んでいる。セキュアサーバ208は、ターンキーシステムの装置(turnkey box)(例えば、1Uラックマウントシステム、または可能な場合にはSOHO(small office/home office)コンピュータ)として、または、主要なメーカ(例えば、Dell、HPなど)製のパーソナルコンピュータなどの適切に構成したハードウェア上にインストールしたソフトウェアとして、出荷することができる。
[動作モード]
「プロキシモード」
図2に、本発明に従ってプロキシモードで動作するセキュアサーバの一例を示している。このモードでは、セキュアサーバ208は、論理上、クライアントマシン204および206のローカルユーザと電子メールサーバ210の間に配置される。典型的な電子メールサーバは、ネットワーク内のユーザと直接に通信を行うが、セキュアサーバ208は、クライアントマシン204および206のローカルユーザとの通信をすべて取り扱う。プロキシモードでは、クライアントマシン204および206は、電子メールサーバ210とやり取りを行わない。特に、セキュアサーバ208では、インターネット1000をあて先とするアウトバウンドのSMTP電子メールの暗号化と、ローカルのPOPおよびIMAP電子メールの復号を行う。
セキュアサーバ208は、この暗号化および復号のプロセスを、そのメッセージの内部に含まれる、または付随する、徴表(indicia)に基づいて行い、これには、username(ユーザ名)、distinguished name(識別名)、common name(一般名)、domain name(ドメイン名)、または証明書があるが、これに限定されるものではない。プロキシモードでは、電子メールサーバ210上の電子メールは、すべて、暗号化して保存してあり、復号は、セキュアサーバ208が、クライアントマシン204または206のユーザがそれをダウンロードするときに行うだけである。さらに、セキュアサーバ208は、電子メールの復号を、ローカルネットワーク202のリモートユーザ(すなわち、リモートユーザ220などのローカルネットワーク202の外側に物理的に位置するユーザ)がダウンロードするときに行う。さらに、アウトバウンドの電子メールは、自由選択で、別個のSMTPリレー(図2には図示せず)を通して中継される。セキュアサーバ208が動作するのは、プロキシモードでは、管理者によるセキュアサーバ208の構成が、ユーザがメッセージを電子メールサーバ210からダウンロードすると、電子メールの復号が行われるようになっているときである。また、プロキシモードにより、セキュアサーバ208は、電子メールエリアスの検出を正しく行えるようになる。
より具体的に、例示的な一実施形態では、セキュアサーバ208は、既存の電子メールサーバ210と、クライアントマシン204または206上で動作する既存の電子メールクライアントプログラムとの間の電子メールのプロキシを行う。電子メールサーバ210は、MTA(Mail Transport Agent、メール転送エージェント)としても知られ、これは、電子メールを送付するのにネットワーク内で利用されるツールである。電子メールクライアントプログラムは、MUA(Mail User Agent)としても知られ、これは、ユーザとMTAの間のインターフェースである。セキュアサーバ208は、SMTP、POP3、およびIMAP4などの標準のネットワークプロトコルを使用するどのような電子メールのサーバまたはクライアントとも、共に動作する。さらに、セキュアサーバ208は、Microsoft ExchangeサーバおよびLotus Notes用のMAPIインターフェースをサポートしている。また、これは、これらのプロトコルを、よく知られているSSL(Secure Sockets Layer)プロトコル、または、TLS(Transport Layer Security)プロトコル(両方でSSL/TLS)上でサポートしている。通常、サーバ208は、ライブプロキシ(live proxy)として働き、これは、MUAおよびMTAの間の実際の接続を仲介することを意味する。時おり、このサーバは、接続を直ちに処理できない場合に、SMTPリレーとして働くこともできる。
透過的な暗号化および復号を提供するために、セキュアサーバ208は、ユーザに対する暗号化鍵、証明書、およびプロセスをすべて管理する。セキュアサーバ208を使用するシステムでは、ソフトウェアを何もエンドユーザシステム上に置く必要はない。暗号化または復号を提供するためのソフトウェアが、何もエンドユーザのマシン上に存在しないとき、通信が保護されているという、エンドユーザにとって識別可能な標示は、何もないはずである。一代替実施形態では、セキュリティソフトウェアを、クライアントマシン204および206上にインストールして、セキュアサーバ208の行う処理の一部を低減させることができる。
セキュアサーバ208は、鍵および証明書をopportunistic(便宜的)に作成するが、これは、セキュアサーバ208が、電子メールサーバ210に接続している有効なユーザを見つけると、そのユーザに対する鍵および証明書を自動的で透過的に作成することを意味する。セキュアサーバ208は、その鍵および証明書の更新を、認証済みのSMTP接続上での有効なFROMアドレスを用いて行うことができる。鍵および証明書を含んでいる鍵データベースは、定期的に、別のシステムへのバックアップおよび保存が、FTPまたは電子メールによって行われる。一実施形態では、バックアップデータベースは、管理者の鍵を用いて、PGP暗号化される。
プロキシモードでは、電子メールメッセージを電子メールサーバ210上に保存し、暗号化および復号をセキュアサーバ208が取り出し時に行う。セキュアサーバ208は、ポリシに従って、暗号化および復号の操作を完全に透過的に実行すること、その電子メールが暗号化または署名されたことを示すテキストヘッダを追加すること、または、通知を伴うリッチテキストを入れることが可能である。セキュアサーバ208は、なりすまし(spoofing)を失敗させるために、普通のメッセージの解析(parse)も行わなければならないことに注意されたい。
通常、セキュアサーバ208では、クライアントマシン204および206のユーザのアカウント名およびパスワードを保存しない。逆に、セキュアサーバ208は、そのユーザのための別のサーバ(すなわち、電子メールサーバ210)に対する接続のプロキシを行っているので、電子メールサーバ210がその接続を認証済みと見なす場合には、セキュアサーバ208はその接続を認証済みと見なす。
例示的な一実施形態では、クライアントマシン204および206上で動作するセキュリティソフトウェアにより、ファイルの暗号化および復号、ディスクの暗号化および復号、およびセキュアなファイル削除など、従来型のPGP暗号化機能がエンドユーザに提供される。さらに、セキュリティソフトウェアにより、クライアントマシン204または206とセキュアサーバ208の間のデジタル証明書(単に証明書とも呼ぶ)の共用が可能になるが、これは、ユーザに証明書ベースのシステムの利益をもたらす一方で、データ喪失の可能性を低減させる。セキュアサーバ208の提供するセキュリティは、モバイルユーザ220に対しても有効である。ある実施形態では、モバイルユーザ220と内部ネットワーク202の間の接続が、SSLで保護される。
「Microsoft Exchange」
ワシントン州レッドモンド(Redmond、Washington)のMicrosoftコーポレーション(Microsoft Corp.)製のExchangeという製品では、クライアント−サーバ通信のために、特許(proprietary)プロトコルを使用している。このため、本発明のある実施形態では、特定の変更が、セキュアサーバ208がExchangeベースの電子メールサーバ(これを、電子メールサーバ210の1タイプとすることもできる)と相互動作できるようにするためには必要である。Exchangeサーバプラグイン(すなわち、小さなプログラムモジュール)により、Exchangeベースの電子メールサーバ210上のメッセージと、セキュアサーバ208上のメッセージは、互いに容易に送受信することができるようになる。
動作時に、電子メールサーバ210上で動作するExchangeプラグインは、電子メールメッセージを傍受し、これをセキュアサーバ208に転送する。次いで、セキュアサーバ208は、何らかの鍵ルックアップおよびメッセージ変換を実行する。次いで、アウトバウンドのSMTPメッセージの受信者(これは、リモートの電子メールサーバ230に接続しているユーザを含むこともできる)への送信が、自由選択でSMTP電子メールリレーを通して行われる。ローカルのExchangeのユーザに向けられたメッセージは、Exchangeサーバに送り返される。
セキュアなサーバ208とExchangeベースの電子メールサーバ210の間の通信では、SHTTP(Secure Hypertext Transmission Protocol)を利用している。認証は、両側でのクライアント側TLS(Transport Layer Security)を含む。すなわち、セキュアサーバ208では、Exchangeベースの電子メールサーバ210の証明書を認証し、Exchangeベースの電子メールサーバ210では、セキュアサーバ208の証明書を認証する。管理者は、セキュアサーバ208の構成を、Exchangeベースの電子メールサーバ210のTLS証明書によって行い、この逆の場合も同様である。ポート443は、どちらのサーバ上でも衝突を引き起こすので、ある実施形態では、ポート444をデフォルトとして使用する。
通信の開始を、ユーザ構成コンソールなどを通して、ユーザが行う場合には、セキュアサーバ208は、Exchangeベースの電子メールサーバ210内のプラグインに接続して、そのユーザのユーザ名およびパスワードを検証する。ユーザ認証は処理パワーの点で非常に高くつくものであり、非常に頻繁に行われる必要があるため、通信が、Exchangeベースの電子メールサーバ210上で動作するExchangeプラグインから直接来ているときには、認証は必要とされない。これは、セキュアサーバ208が、Exchangeベースの電子メールサーバ210を信頼して、どのような操作を実行する必要があり、どのようなユーザがその操作を実行する必要があるかを指示するためである。この信頼が存在するのは、Exchangeベースの電子メールサーバ210のTLS証明書がすでに認証されているからである。
Exchangeベースの電子メールサーバ210がセキュアサーバ208に送るメッセージには、標準の電子メールヘッダがなく、このため、通信は、送信者および受信者などの情報も含んでいる。さらに、Exchangeベースの電子メールサーバ210上で動作するExchangeプラグインでは、いつ、あるメッセージがExchange配布リスト(distribution list)に送られたかが認識され、セキュアサーバ208に、そのメッセージを暗号化すべきでないという信号を出す。
「ゲートウェイモード」
図3に、ゲートウェイモードにある、本発明による典型的なセキュアサーバを示している。そのようなインストールにより、クライアントマシン304および306は、セキュアサーバ308への接続を、SSLで強化した接続を介して行えるようになる。クライアントマシン304および306を、図3に、ファイアウォール装置312の提供する、企業ファイアウォールの内側にある内部ネットワーク302の部分として示している。クライアントマシン304および306が、電子メールメッセージを送ると、そのメッセージは、電子メールサーバ310の中を通るが、インターネット1000への送出および受信者(例えば、リモートユーザ320またはサーバ330に接続しているユーザを含む)に宛てた送信の前に、そのメールをセキュアサーバ308が傍受し暗号化する。ネットワーク内部への電子メールを電子メールサーバ310が受け取ると、セキュアサーバ308は、その電子メールの傍受および復号を、クライアントマシンに宛てた送信の前に行う。この実施形態では、セキュアサーバ308は、証明書の取り扱いすべてを、ならびに、バルク暗号化を実行する。
ゲートウェイモードでは、セキュアサーバ308は、論理上、電子メールサーバ310とインターネット1000の間に配置される。電子メールサーバ310は、クライアントマシン304および306のローカルユーザとの通信すべてを取り扱う。セキュアサーバ308の取り扱う唯一のタスクは、アウトバウンドのSMTP電子メールの暗号化および着信するSMTP電子メールの復号である。この構成では、電子メールは、すべて電子メールサーバ310上に、暗号化せずに保存される。さらに、アウトバウンドの電子メールは、自由選択で、別個のSMTPリレーを通して中継される。セキュアサーバ308が動作するのは、このモードでは、管理者によるセキュアサーバ308の構成が、電子メールの復号が、その電子メールを受け取ると行われるようになっているときである。
「補足サーバのあるプロキシモード」
図7に、追加的な機能を、プロキシモードに展開したセキュアサーバに提供するための補足サーバ(supplemental server)の使用を含む、本発明の一代替実施形態を示している。図7に示しているシステム700は、内部ネットワーク702および「DMZ」(demilitaized zone、非武装地帯)703を含んでいる。内部ネットワーク702は、電子メールサーバ710およびプロキシモードにあるセキュアサーバ708を含み、後者は、以前に述べたように、クライアントマシン704および706との間のメッセージ傍受し、これにより、内部ネットワーク702内部のユーザに対するセキュアな電子的通信を提供する。DMZ708は、補足サーバ711およびファイアウォール712を含む。補足サーバ711の構成は、追加的または補足的な機能をセキュアサーバ708に提供するようになっている。一実施形態では、補足サーバ711は、セキュアサーバ708へのロードバランシングの提供を、着信する鍵に対する要求を取り扱うことによって行うことができる。さらに、補足サーバ711は、セキュアなURLメール要求を取り扱うように構成することができる(これは、下で図5に関して論じる)。
[セキュアサーバおよびクライアントのうちでの通信]
図4に、セキュアサーバ408、クライアントマシン470、電子メールサーバ420、およびファイアウォール480がすべて、ローカルネットワーク490を介して通信しているネットワーク構成図を示している。典型的な実施形態では、単一のクライアントマシン470だけよりもずっと多くのクライアントマシンがあるはずであることに注意されたい。上に述べたように、セキュアサーバ408は、プロキシモードで(論理上、クライアントマシン470と電子メールサーバ420の間に位置することによって)、またはゲートウェイモードで(論理上、電子メールサーバ420とインターネット1000の間に位置することによって)、動作することができる。図4に示すように、セキュアサーバ408は、ネットワーク接続装置454、CPU(central processing unit、中央処理装置)452、およびメモリユニット455を含めて、標準的なサーバコンピュータの構成要素を含む。メモリユニット455は、様々なタスクを実行するためのモジュールへと編成された1組のコンピュータ命令を含むことができる。例示的な一実施形態では、メモリユニット455は、標準的なネットワーク接続を実現する通信モジュール456、および様々な標準的なメッセージハンドリングプロトコルを実装するためのメッセージ処理モジュール468を含む。さらに、メモリユニット455は、本発明の一態様に従って様々な証明書検索方策(strategies)を実装するための証明書検索モジュール462、メッセージ受信モジュール458、メッセージ送信モジュール460、および、本発明の一態様に従って様々な暗号および鍵関連の機能を実行するための鍵処理および暗号モジュール464を含む。
「クライアントソフトウェア」
クライアントマシン470は、ネットワーク接続装置474、CPU472、および、標準的なネットワーク通信を実現する通信モジュール476を含むメモリユニット475を含めて、標準的なクライアントコンピュータの構成要素を含む。クライアントマシン470上で動作するクライアントソフトウェア(例えば、メッセージクライアントモジュール478)は、セキュアサーバ408との通信を、セキュアサーバ408上で動作する通信モジュール456の提供するSHTTPインターフェースを通して行う。クライアントマシン470上のメッセージクライアントモジュール478とセキュアサーバ408の間の通信は、
1.ユーザの秘密鍵(private key)のアップロード/ダウンロードすること、および
2.特定の管理者ポリシをセキュアサーバ408からクライアントマシン470へとダウンロードすること
を含む。
セキュアサーバ408では、いつ、ユーザがメッセージをダウンロードまたは送信するか、およびクライアントマシン470がメッセージクライアントモジュール478を動作させているかどうかが認識される。クライアントマシン470がメッセージクライアントモジュール478を動作させているときには、セキュアサーバ408は、ダウンロードしたメッセージの復号または送信すべきメッセージの暗号化を行わないが、これは、これらのタスクの実行をメッセージクライアントモジュール478が行うためである。POPおよびIMAPの通信では、クライアントマシン470上のメッセージクライアントモジュール478で、いつ、それがセキュアサーバ408と通信しているかの検出が、例えば、サーバグリーティング(greeting)中の特別な文字列を識別することにより、またはIMAPの中のCAPABILITYコマンドにより、行われる。
セキュアサーバ408に接続するために、メッセージクライアントモジュール478では、ユーザ名およびパスワードが提供される。クライアントマシン470がそのユーザのパスワードをまったく見ることのない特定の場合がある(例えば、そのユーザの電子メールクライアントがMD5 challenge password方式を使用している場合)ため、クライアントマシン470からセキュアサーバ408への認証が成功しているときには、セキュアサーバ408からは小さな、一意のデータファイルがクライアントに提供し(例えば、クッキー(cookie))、次いで、これを後でクライアントマシン470が使用して、セキュアサーバ408への認証をそのユーザのパスワードを必要とせずに行う。
クライアントマシン470に、それがセキュアサーバ408と通信していることがわかると、クライアントマシン470は、次いで、「DONTDECRYPT」や「DONTENCRYPT」などの新しいコマンドを送ることができ、これは、セキュアサーバ408だけが解釈することができる。
「SSL(Secure Sockets Layer)」
管理上の選択肢で、クライアントマシン470とセキュアサーバ408の間のローカル通信チャネル(例えば、ローカルネットワーク490)を介した通信が、SSL/TLSを使用すべきかどうかを指定する。管理上のオプションは、(1)SSL/TLSが必須(require)、または(2)SSL/TLSを許容(allow)を含む。この通信がユーザにとって透過的に働くように、セキュアサーバ408のための証明書が、クライアントマシン470上の適当な電子メールクライアント内にインストールされる。
PGP keyring(すなわち、PGPアルゴリズムを動作させているどのマシン上にも存在する、PGP公開鍵および証明書のためのリポジトリ)は、セキュアサーバ408上のメモリユニット455内に、鍵処理および暗号モジュール464で使用するためにあり、これにより、顧客の既存の電子メールサーバ上の証明書を検証できるようになる。例示的な一実施形態では、セキュアサーバ408上のPGPソフトウェアにより、PGPコーポレーション製のTLSパッケージ(PGPtlsとして知られている)をSSL/TLS機能のために使用できるようになる。さらに、PGP keyringを使用すると、顧客が、追加のCA証明書をX.509CA keyringに付け加えることが、その顧客がすでにそれ自体の内部認証局(internal CA)を動作させている場合、できるようになる。
SMTP(これは、メッセージ処理モジュール468内に実装しセキュアサーバ408が電子メールメッセージを転送するのに使用するプロトコルである)では、異なる2つの機構を、SSL/TLSの実装のために利用している。第1に、(よく知られているRFC3207による)STARTTLS拡張が使用されており、これにより、ポート25上のTLSネゴシエーションが実行される(RFC3207に従っているので、「公式」の方法である)。第2に、ポート465上のSSLラップしたSMTPサービスが使用されている(RFC3207に従っていないので、「非公式」な方法である)。ポート25上STARTTLS拡張をサポートしない一部のクライアントソフトウェアパッケージがあり(例えば、Ximian Evolution)、非公式なポート465のSSLラップしたSMTPをサポートしない他のクライアントもある(例えば、Microsoft Outlook)ため、セキュアサーバ408では、どちらの方法もサポートしている。
SSL証明書の要求/取り出しプロセスは、セキュアサーバ408の管理コンソールの統合された一部となっている。セキュアサーバ408は、証明書を生成する前に、顧客のライセンス番号、ライセンス認可、およびDNS名の認可を行う。セキュアサーバ408の管理コンソールでは、証明書の要求は、指定した当局(authority)とSHTTPを介して通信し、直ちにその証明書のダウンロードを試みることによって行われる。そのような実施形態では、手動で介入することは、証明書要求の承認に必要ではない。
例示的な一実施形態では、SSL証明書は、発行日から1年間有効である。下でさらに詳細に論じるが、証明書の有効期限が近づくと、セキュアサーバ408内部の鍵処理および暗号モジュール464が自動的に証明書を更新する。ユーザの便宜のために、新しいSSL証明書の提供は、顧客ライセンス番号により、そのユーザがその製品の使用をライセンス許諾されていることが示されている限り、継続される。
[電子メールの送信]
セキュアサーバ408が、メッセージを(プロキシモードにある)クライアントマシン470または(ゲートウェイモードにある)電子メールサーバ420からSMTPを介して受け取ると、これが、メッセージを送ることに対応する。これをメッセージを送ることと呼ぶのは、この接続が、あるユーザ(ローカルユーザまたはリモートユーザ)がセキュアなものとする必要のあるメッセージを送ることに対応しているためである。セキュアサーバ408は、認証済みの接続(例えば、SMTP−AUTH。これは、サーバの使用すべき認証方法を示すSMTP命名体系(nomenclature)中のSMTPサービス拡張である。)または未認証の接続とともに動作することができる。認証済みの接続は、電子メールを送信するユーザ(例えば、メッセージを送るクライアントマシン470のユーザ)に相当する接続であるのに対し、未認証の接続は、例えば、インターネット1000側のユーザに対して受信中の電子メールに相当する。
典型的な実施形態では、セキュアサーバ(例えば、図4のセキュアサーバ408)は、SMTP−AUTHを使用して、それ自体のユーザからの電子メールを送信する。SMTP−AUTHを使用することは、あるサーバがオープンリレー(open relay)として使用されるのを回避するための一般的なテクニック(mechanism)である。これにより、セキュアサーバ408は、いつ、セキュアサーバ408がそれ自体のユーザのうちの1人のプロキシを行っているかを認識し、適切に動作できるようになる。メッセージ送信モジュール460は、例えば、そのユーザの証明書の、ユーザの好ましい名前を使った編集を、それを認可済みの電子メールFROM行で読み取ることによって行うことができる。同様に、そのサーバでは、ユーザ特有の選択設定(preference)の設定が、SMTP−AUTH(またはPOP/IMAP接続)を、そのユーザを認証する一手法として使用することによって可能である。
図5に、電子メールメッセージをあるユーザから別のユーザへとセキュアに送信するための、本発明によるセキュアサーバの一実施形態で使用するプロセスを示している。そのようなプロセスは、例えば、図4のセキュアサーバ408のメモリユニット455内に示したいくつものモジュールのうちで実行できるはずである。プロセス500のステップ505で、受信プログラム(receiver)へと送信すべき、あるユーザからのメッセージを傍受する。そのようなメッセージは、例えば、電子メールメッセージまたはインスタントメッセージとすることができる。傍受後、受信者の証明書を探し出すことができるかどうかの決定を行う。ステップ510で、意図する受信者の証明書の検索をローカルキャッシュ内で実行する。証明書が見つかった場合、ステップ515で制御はステップ555へと移り、ここで、外向きの電子メールメッセージの処理を、ローカルキャッシュからのその受信者の証明書を用いて行う。
ローカルキャッシュ内に証明書が見つからなかった場合、ローカルネットワークの検索をステップ520で行う。ここでも、証明書がローカルネットワーク内部のどこかで見つかった場合、ステップ525で制御はステップ555へと移る。証明書がローカルネットワーク内に見つからなかった場合、ネットワーク全体の検索をステップ530で行う。証明書がローカルネットワーク内部で見つかった場合、ステップ535で制御はステップ555へと移る。ネットワーク全体でも見つからなかった場合は、セキュアなメッセージURL(例えば、Boomerangメッセージ)の受信者への送信を、ステップ540で行う。これにより、受信者は、セキュアなメッセージを交換する機能を提供するあるソフトウェアを(例えば、PGPコーポレーション製の暗号化クライアントまたは何らかの他のタイプのクライアント側の保護ソフトウェアによって)受け取ることができるようになる。受信者が、そのようなクライアントソフトウェアパッケージの受け取りを希望する場合は(この決定はステップ545で行う)、そのクライアントソフトウェアの受信者への送信を、ステップ550で行う。
[証明書検索]
セキュアな電子メールの送信で重要なのが、意図する受信者の証明書を取り出すということである。証明書(certificate)とは、1つまたは複数の公開鍵と並んで、(a)それらの鍵の保持者についてのデータと、(b)鍵の保持者についてのデータのある部分集合を公開鍵そのものの部分集合とバインドする1つまたは複数の署名との、どのような組合せも含むデータオブジェクトである。鍵の保持者についてのデータは、例えば、鍵の保持者の名前、鍵の保持者の電子メールアドレス、鍵の保持者の写真、および、その鍵の保持者の認可の何らかの標示を含むことができる。
戻って図4を参照すると、セキュアサーバ408内部の証明書検索モジュール462には、使用するのに適当な証明書を見つけるための特定の機構がある。そのような検索における第1の考慮は、証明書に置かれる信頼のレベルである。この決定は、部分的には、信頼ポリシによって行われるが、これは下でさらに詳細に論じる。
セキュアサーバが、適当な証明書を探すうちに、それを、次の場所を含めて、いくつもの場所で見つけることがあるはずである。
1)証明書のローカルキャッシュ
2)ローカルの証明書データベース(例えば、ローカルのパブリックLDAP(Lightweight Directory Access Protocol)サーバ)
3)他のセキュアなサーバ、特に、受信者の、インターネットドメイン内のサーバ。セキュアサーバ408は、例えば、DNSメール交換レコード(DNS mail exchange records)(すなわち、特定のドメインに対するメールサーバレコード)を使用し、または、ふさわしいサーバになるように適切に名前を付けたホスト(例えば、keys.domainという名前を付けたホスト)を探すことができる。
4)指定したPGP鍵サーバ
5)公開PGP鍵サーバ
6)証明書を保持できる他のディレクトリ
セキュアサーバ408の管理者は、セキュアサーバ408が使用する可能性のある実際のオプションを、証明書検索ならびに整列(ordering)に合わせることができる。上の検索方策(strategies)は、本発明のある実施形態において、セキュアサーバ408が従うように構成するポリシのうちにあるものである。
上で説明した第1の想定状況(scenario)の例示的な一実施形態では、図4に示したセキュアサーバ408が、証明書キャッシュ411を含んでいる。証明書キャッシュ411は、セキュアサーバ408が利用したことのある証明書のすべての部分集合を含んでいる。一例として、証明書キャッシュ411は、最近使用した(most recently used)証明書の所定の番号を含んでいる。したがって、ある証明書が必要であり、それが最近使用されたという場合、セキュアサーバ408により、その証明書が証明書キャッシュ411から迅速に取り出される。一代替実施形態では、証明書キャッシュ411は、使用頻度が上位の証明書を含んでいる。したがって、ある証明書が必要であり、それが使用頻度が上位の証明書のうちの1つである(これは、例えば、使用頻度(frequency−of−use)アルゴリズムで決定する)場合、それが証明書キャッシュ411から迅速に取り出される。
また、図4に、上の第2の想定状況の例を示している。具体的には、電子メールサーバ420が、LDAPデータベース425を含んでいる。LDAPデータベース425は、例えば、ローカルネットワーク490のユーザすべてに対する証明書を含むことができる。一代替実施形態では、別個のLDAPサーバが、ある特定の部門または企業の従業員すべてに対する証明書を、または、ある特定の組織のメンバーすべてに対する証明書を、(こうした従業員またはメンバーのすべてが必ずしもローカルネットワーク490のユーザでなくても)含むこともできる。したがって、受信者がしばしば共通のグループに属すると思われる検索では、LDAPデータベースを含むLDAPまたは他のサーバにより、(例えば、インターネット全体にわたって検索するのに比べると)証明書に対する検索時間を改善することができる。別の代替実施形態では、セキュアサーバ408は、LDAPデータベース425を実装するように構成することもできる。
上の第3の実施形態の例では、セキュアサーバは、別のサーバに対する問い合わせを、LDAPルックアップ、HTTP要求、または、別のセキュアサーバへのSMTP要求に「piggyback」(便乗)した要求を使用することにより、行うことができる。セキュアサーバは、証明書要求に関するSMTP拡張を提供している。これが、セキュアサーバによって直接信頼(direct trust)を実装する方法になっている。すなわち、電子メールを別のドメイン内のユーザへと送信すると、送信ドメイン内のセキュアサーバが、単に、受信ドメイン内の電子メールサーバに対して、正当な証明書の問い合わせを行うのである。受信ドメイン内の電子メールサーバに、その電子メールアドレスに関する証明書があるときは、その証明書を取り出して使用する。
直接信頼の方策は、下でさらに詳細に論じるが、これにより、従来の機構にまさる強化点が2つ提供される。すなわち、パートナー組織との協調の容易さ、および証明書問題での近道(shortcut)である。例えば、2つのワークグループでセキュアサーバをインストールすると、自動的に、暗号化された電子メールがこの2つの組織全体に広まることになる。信頼関係は、2つの電子メールサーバ間の簡単な協力に基づいている。さらにこれを強化することが、DNSsecやIPsecなど、他のネットワークセキュリティプロトコルによって可能である。
例示的な一実施形態における、受信者の証明書を検索する第4の可能性は、1つまたは複数の指定したPGP鍵サーバを検索することを含んでいる。PGP鍵サーバは、PGPユーザ、その公開鍵、および証明書のデータベースを含むサーバである。セキュアサーバ408は、ある実施形態では、受信者の証明書を見つけるための、その検索パス内の次のエントリとして、指定する1組のPGP鍵サーバを含むことができる。指定するPGP鍵サーバは、例えば、セキュアサーバ408およびローカルネットワーク490を配置している場所に地理的に近い地域に配置することもでき、または(特定の大学など)かなりの数の受信者が存在する可能性のある施設に収容することもできる。
1つまたは複数の指定するPGP鍵サーバを検索するほかに、第5の想定状況では、セキュアサーバ408を、ポリシによって構成して、パブリックPGPサーバすべての検索を、指定する受信者の証明書に関して行うようにもできる。パブリックPGP鍵サーバは、誰もがインターネットを介してアクセスできるPGP鍵サーバである(すなわち、そのパブリックPGP鍵サーバのデータベース内部の証明書にアクセスし取り出すことは、インターネットへのアクセスを有する誰もが行える)。この優先度を下げる1つの理由は、パブリックPGP鍵サーバすべての検索に要する時間が、ローカルキャッシュ、ローカルデータベース、他のセキュアサーバ、または1組の指定するPGP鍵サーバを検索するよりもかなり長い可能性があることである。
最後に、セキュアサーバ408を構成して、1つまたは複数の他のディレクトリの検索を、あるユーザからのメッセージの意図する受信者の証明書に関して行うようにすることもできる。そのような他のディレクトリは、例えば、証明書の特定の部分集合または非公開の(nonpublic)証明書を含むカスタムの企業用ディレクトリ(custom enterprise directory)を含むこともできる。
証明書が見つかった後は、その証明書をローカルのパブリック証明書キャッシュに追加して、同じ証明書の多重ルックアップを速める。ローカルのパブリック証明書キャッシュに追加した証明書は、有効期限が管理者の構成した時間後に切れ、そうして削除される。
あるメッセージの意図する受信者に関する証明書を探し出せなかった場合、セキュアサーバ408では、いくつかの代替案を提供するが、その振る舞いは管理用の選択設定(preference)で決まる。ある実施形態では、可能な動作は、次のものを含むことができる。
1.そのメッセージを発信元の(original)送信者に返す
2.そのメッセージを暗号化せずに送る
3.そのメッセージの暗号化していないテキストの後に「smart trailer」を付ける。これには、受信者をセキュアサーバに導くURLがあり、これにより、受信者は、暗号化クライアント(例えば、PGPクライアント)をダウンロードするリンクが渡され、またはセキュアURL電子メールを使用するための選択設定(preference)を設定できるようになる。
4.セキュアなURL電子メールメッセージ(例えば、PGPコーポレーションの提供するBoomerang電子メール)を送る
[セキュアURL電子メールメッセージ]
セキュアURL電子メールの表している概念は、暗号化すべきであるアウトバウンドの電子メールが、実際にはセキュアサーバ408上にとどまり、受信者はその電子メールの閲覧をセキュアサーバ408上のSHTTP Webページを通して行うよう要求される、というものである。ある例示的な実施形態では、暗号化されていないメッセージを受け取る代わりに、受信者が受け取るのは、セキュアサーバ408自体を指す(pointing back)URL、ならびに、例えば、暗号化クライアントソフトウェアをダウンロードするための他のURLを含むメッセージである。例示的な一実施形態では、そのURLは、受信者をセキュアサーバ408上のSHTTP Webページへと導き戻す。SHTTPで安全になっているこのWebページにより、受信者は、安全にメッセージを読めるようになる。例えば、このWebページは、次の質問、およびその下に続くオリジナルの平文のメッセージを含むことができるはずである(ただし、それでもSHTTP接続によってセキュアになっている)。
「John Smith john@ovidbuyer.comからのメッセージを今後安全にお読みになれます。次のオプションを1つ選択してください。
1.暗号化を使って電子メールをデスクトップ上で安全に読む(選択すると、暗号化クライアントがインストールされます)
2.パスフレーズを入力してovidbuyer.comからの電子メールをこのサイト上で安全に読む
3.自分への電子メールの暗号化を希望しない」
本発明のある実施形態では、セキュアサーバ408が電子メールを送信しようとする電子メールアドレスごとに、セキュアサーバ408により、新しいセキュアURL電子メールアカウントが作成される。これにより、セキュアで透過的な電子的通信をデフォルトで可能にしておくための一手法が提供される。(以前説明したような)特定の受信者に関する証明書が見つからない場合でも、セキュアURL電子メールアカウントが提供されていれば、ユーザと受信者の間の通信はセキュアであることになる。
受信者が上のオプション2を選択すると、セキュアサーバ408は、セキュアURL電子メールデータベース内のそのアカウントに関するエントリにパスフレーズを作成する。その受信者へのそれ以降のメッセージを読むには、このパスフレーズを使用する。そのパスフレーズをもつ受信者だけがセキュアサーバ408の送るメッセージを閲覧することができるので、パスフレーズを提供することにより、セキュリティのレベルがさらに追加される。これにより、原始的なレベルの認証が提供される。
受信者が上のオプション3を選択した場合、セキュアサーバ408は、その受信者のメッセージを平文で(すなわち、暗号化せずに)、それでもSHTTP接続でセキュア化して送るように、セキュアURL電子メールデータベース内のエントリにフラグを追加する。
したがって、本発明の一実施形態では、セキュアURL電子メールにより、セキュアで透過的な電子的通信の1つの形式の提供が、受信者にはセキュアな通信機能がその受信者のコンピュータまたは他の電子的装置上にないときでも行われる。セキュアで透過的な電子的通信は、ユーザと受信者の間の通信が、ユーザと受信者のどちらの意図にもかかわらず、セキュアなものとなるようにする。
[電子メールの受信]
ユーザが電子メールをセキュアサーバ408から取り出すと、このサーバは、接続のプロキシをメッセージ受信モジュール458内で、メッセージの復号を鍵処理および暗号モジュール464内で、その電子メールをSSLを介してユーザのシステムへと送る前に行う。このプロセスは、適用可能なポリシの指示する通りに、完全に透過的であることもでき、またはテキストまたはHTMLで強化して、ユーザにその電子メールが暗号化または署名されて送られたことを知らせることもできる。
受信した電子メールメッセージ上のデジタル署名を検証するには、電子メールを送るのに必要な証明書検索に類似の証明書検索が必要である。また、デジタル署名の検証では、OpenPGP Preferred Key Server署名サブパケット(RFC2440、セクション5.2.3.17)を利用するが、これにより、(失効(revocation)などの)署名する証明書のステータスを更新するために正当な証明書がどこにあるはずかがわかる。
図6に、電子メールメッセージをユーザからセキュアに受け取るための、本発明によるセキュアサーバの一実施形態で使用するプロセスを示している。そのようなプロセスは、例えば、図4のセキュアサーバ408のメモリユニット455内に示すいくつものモジュールのうちで実行することができるはずである。プロセス600のステップ605で、あるユーザから、別のユーザから送られたセキュアなメッセージを傍受する。メッセージの受け取り後、セキュアサーバ408は、ユーザの証明書の取り出しを、ステップ610で行う。ステップ615で、受け取ったセキュアなメッセージの処理(一実施形態では、暗号化されたメッセージの復号を含む)を行う。処理して判読可能なテキストにすると、次いで、そのメッセージをそのユーザ宛てに、ステップ620で送ることができる。
[自動化PKI]
従来のPKIとは異なり、セキュアサーバ408をインストールすると、PKIが、使用される状態で作成される。セキュアサーバ408では、認可されたユーザの、メインの電子メールサーバとのやり取りを利用して、そのユーザが誰であるかを判断しているので、そのようなPKIでは、セキュアサーバ408にはプロビジョニングがほとんど必要ない。これは、ユーザを発見すると証明書を作成し、また、メッセージの他の組織との交換が、PGP鍵サーバ、LDAP(Lightweight Directory Access Protocol)証明書サーバ、または他のセキュアなサーバを用いて行われると、その動的な基盤(infrastructure)を拡張する。これにより、さらに、セキュアサーバ408をプロビジョンするITスタッフに対する必要は、最小限なものになる。さらに、この動的PKIは、X.509証明書ならびにPGP証明書とともに動作し、PGPとS/MIMEベースのシステムの間の相互運用性を提供することができる。
「鍵の生成」
あるユーザのセキュアサーバ408への認証が(SMTP、POP、またはIMAPを介した電子メールサーバ420での認証によって)成功すると、検査を行って、そのユーザに証明書を発行したことがあるかどうかを判断する。そのユーザが鍵を持っていない場合、セキュアサーバ408は、新しい公開鍵ペアおよび証明書の生成を、鍵処理および暗号モジュール464を用いて行い、新しい証明書の自動的な署名を、セキュアサーバ408からのPGP証明鍵(PGP certification key)を用いて行う。
鍵ペアを生成するには、ユーザ特有の情報が2つ必要である。すなわち、そのユーザの名前および電子メールアドレスである。ユーザがSMTP電子メールを送る場合には、ユーザ名と電子メールアドレスのどちらも、送信中の電子メールの「From:」行から読み出すことができる。ユーザが電子メールをPOPまたはIMAPを介して受け取る場合には、ユーザ名は、システムへの認証のために使用している名前から得られ、ドメインは、おそらくすでに知られている(ただし、複数の電子メールドメインを管理しているときは、そうでない可能性がある)。さらに、POPおよびIMAPの場合は、電子メールアドレスを決定する。しかし、そのユーザの本当の名前を決定する手法はない。この問題を回避するには、証明書を電子メールアドレスだけで生成する。そのユーザが後でSMTPによって認証を行うときには、その証明書のself signatureを、アウトバウンドのメッセージの「From:」行から取った名前で更新する。
セキュアサーバ408内の鍵処理および暗号モジュール464の生成するローカルユーザの公開鍵は、(RFC2440、セクション5.2.3.20に定める)対応する証明書内で「group key」フラグが設定され、そのユーザの秘密鍵は意図する受信者が独占所有するわけではないことが、他のユーザに通知される。さらに、(RFC2440、セクション5.2.3.17に定める)「preferred key server」オプションは、セキュアサーバ408上で動作するOpen LDAPに設定される。一実施形態では、そのURLは、
ldap://host:port/pgpcerid=1234567890ABCDEF,ou=PGP Keyspace,o=OrgName
などの標準的なLDAP URLである。
「証明書の更新」
メッセージ処理モジュール468内部では、追加のユーザIDのセキュアサーバ408内のユーザ証明書への関連付けが、特にユーザがmsmith@company.comやmike.smith@company.comなど、1つまたは複数のエリアスアドレスをもつことを検出したときには可能である。ユーザが、そのユーザの証明書上にないアドレスを含む「From:」ヘッダのあるメッセージを送ると、セキュアサーバ408により、そのアドレスが追加される。
より複雑な場合が生じるのは、ユーザが複数のエリアスをもっているが、電子メールの1つのアドレスだけから行うとき、例えば、マイクスミス(Mike Smith)が電子メールの送信はmsmith@company.comから行うが、受信はmike@company.com、mike.smith@company.com、などからも行うようなときである。この場合、新しいヘッダ(Ovidサーバが関係する本発明の一実施形態では「X−Ovid−Recipient」など)の追加を、メッセージ処理モジュール468が、セキュアサーバ408の受け取るメーリングリストでない着信の電子メール(すなわち、アドレスが個別になっている電子メール)すべてに対して行う。この新しいヘッダは、実際のSMTP受信者アドレス(すなわち、SMTPセッション中のRCPTコマンド中に指定してあるアドレス)を含んでいる。そのユーザが電子メールをダウンロードすると、セキュアサーバ408では、X−Ovid−Recipientヘッダに追加してある受信者アドレスを、認証済みのユーザ名と比較する。受信者アドレスがユーザ名と異なる場合は、セキュアサーバ408で、受信者アドレスを、そのユーザの証明書に新しいユーザIDとして関連付ける。
電子メールサーバ420内部の内部メーリングリストはすべて、除外リスト(exclusion list)に追加される。一実施形態では、メーリングリストへと送信されたメッセージは、X−Ovid−Recipientヘッダが追加されず、ダウンロード時にこのヘッダが検査されることもない。あるメーリングリストが除外リストに追加され損なっている場合に、非ローカルユーザから内部にホストのあるメーリングリスト(例えば、list@company.com)に送られた電子メールがあると、「X−Ovid−Recipient:list@company.com」というヘッダのSMTPメッセージへの追加が、最初の受信時に引き起こされる。受信者がそのメッセージをダウンロードすると、セキュアサーバ408で、X−Ovid−Recipientヘッダの処理、およびlist@company.comのそのユーザの証明書への追加が行われる。セキュアサーバ408内のメッセージ受信モジュール458内部のメーリングリスト検出機構では、ユーザがメッセージをダウンロードするときにこの状況が検出し防止する。
ゲートウェイモードでは、ユーザが電子メールをダウンロードするとき、セキュアサーバ408は、これを処理せず、そのため、ユーザがメッセージを異なるアドレスから送るときには、エリアスの追加だけを行うことに注意されたい。
「証明書の有効期限切れおよび更新」
セキュアサーバ408内の鍵処理および暗号モジュール464の生成する証明書には、管理者によって構成可能な有効期間があり、その範囲は、一実施形態では、1日から有効期限なしにわたる。デフォルトの有効期間が設定してあり、これは、例示的な一実施形態では、2週間である。セキュアサーバ408の鍵処理および暗号モジュール464内部の証明書維持機能により、ある証明書の有効期限切れが近づいていると判断されると、その証明書に対する新しいself signatureおよび新しい有効期限をもつ新しい証明書の生成が(既存の証明書の有効期限が切れるままにし、そのユーザに対する新しい証明書を生成する代わりに)行われる。これにより、ユーザは同じ暗号鍵を持ち続けるが、その証明書内には新しい有効期限および新しい署名があるということが可能になる。
「dead certificate」問題(すなわち、有効期限切れの証明書を無期限に持ち続けること)を解決するために、構成可能な3つのタイムアウト期間が、本発明の一実施形態では存在する。すなわち、
1.証明書有効期限切れタイムアウト(Certificate expiration timeout)
2.アカウント無活動タイムアウト(Account inactivity timeout)
3.最終アカウント無活動タイムアウト(Final Account inactivity timeout)
第1のタイムアウト、すなわち証明書有効期限切れタイムアウトは、デフォルトの証明書有効期間である。上で説明した証明書維持機能により、有効期限切れになっている、または所定の期間内に有効期限切れになる証明書がどれか見つかると、セキュアサーバ408で、そのユーザが電子メールサーバ420に最後にログインしたときの検査を行う。ユーザが、アカウント無活動タイムアウト(第2のタイムアウト期間)の定める期間内にログインしていた場合は、新しいself signatureを、新しい有効期限をもつ証明書に対して生成する。ユーザが、アカウント無活動タイムアウト内にログインしていなかった場合は、証明書の有効期限を切れるままにする。最終アカウント無活動タイムアウトが経過してしまった後、ユーザがまだログインしていない場合は、その証明書を削除する。延長した期間の間いない可能性のあるユーザに関する証明書を削除してしまうことを回避するために、最終アカウント無活動タイムアウトは、非常に長く設定すべきである。
[信頼ポリシ]
証明書の有効性を指定する3つの基本的な信頼ポリシがある。階層的信頼(hierarchical trust)、累積的信頼(cumulative trust)、および直接信頼(direct trust)である。セキュアで透過的な電子的通信を提供するサーバでは、3つのポリシをすべて使用している。階層的信頼で、証明書を有効と見なすのは、何らかの信頼されたルート証明機関(trusted root authority)またはその指定する証明機関のうちの1つによって証明される場合である。信頼されたルート証明機関は、例えば、CA(Certification Authority、認証局)を含むことができる。従来のX.509証明書またはPGP Meta−Introducersは、階層的信頼システムに見られる例である。累積的信頼で、証明書を有効と見なす際には、その証明(certifications)を加算し、そうした証明を重み付けし、検査してそれがあるしきい値よりも大きいかどうかを確かめる。PGP Web of Trustは、累積的信頼システムである。直接信頼で、証明書を有効と見なすのは、その証明書を、その所有者またはその証明書の所有者の使用するセキュアサーバから直接に受け取った場合である。通常、個人では直接信頼を使用する。そのようなシステムで、ある人が、証明書を有効と見なす理由が、証明書の保持者の名刺上に指紋が印刷してあるからという場合は、受信者は直接信頼を使用している。
セキュアサーバ408により、その管理者は、階層的信頼ではルート証明機関の証明書を、累積的信頼では重み付け証明書を指定できるようになる。例えば、ある実施形態では、管理者は、適切な鍵、証明書、署名、およびその組織に関する信頼レベルのすべてを伴う通常のPGP public keyringファイル(.pkrという拡張子をもつ)をアップロードすることができる。セキュアサーバ408は、直接信頼を使用することもできる。これは、証明書を受信者のドメインから検索し、そのユーザが平文を送ろうとしていたドメインが、証明書のなりすましを行っていた場合、平文を送る寄りも実質的に悪くはないと仮定することによって行われる。したがって、セキュアサーバ408は、証明書を受信者と直接の関係がある発信元から受け取っているときはいつでも、直接信頼を使用することになる。一実施形態では、証明書は、次の発信元のうちの1つから来るとき、直接に信頼される。
1.keys.domain.comで動作するLDAPサーバ。ただし、domain.comは受信者のドメインである。
2.受信者のSMTPサーバ上で動作するLDAPサーバ。
[ポリシ]
ポリシは、セキュアサーバが様々な状況でどのように動作するかを律する1組のルールを定義する。一実施形態では、セキュアで透過的な電子的通信を提供するサーバは、次のようなものなどの構成可能なポリシ要素を含む。
・ ドメイン内部で暗号化および/または署名を行うことに対する要件
・ 検索方策(strategies)
・ 信頼された証明書およびサーバ
・ 無証明書方策
・ 証明書管理ポリシ
・ 電子メール表示ポリシ
・ バックアップ頻度、送付、その他
・ 管理者のユーザ名
・ 管理者のパスワード
・ グローバルのイネーブル/ディゼーブル暗号化(学習モード)
・ 鍵生成オプション
○ 鍵サイズ
○ 鍵アルゴリズム
○ 有効期間−1日から有効期限なしまでの範囲、デフォルトは2週間
・ アカウント無活動タイムアウト−デフォルトは1週間
・ 最終アカウント無活動タイムアウト−デフォルトは4か月
・ ローカルユーザとの通信にSSL/TLSが必要かどうか
・ 受信者の証明書を見つけられない場合メッセージをどうするか
− これはドメインごとに構成可能であるべきである
○ 平文で送る
○ メッセージを送らない
○ smart trailerを付ける
○ セキュアURL電子メールメッセージを送る
・ いつメッセージに署名するか
○ 必ずする
○ まったくしない
○ 暗号化も行うとき
・ どのような鍵/証明書をセキュアサーバは信頼すべきか
・ 公開鍵を検索するためにドメインごとおよびパブリックな鍵サーバを追加/削除する
・ どのくらい長くルックアップした公開鍵をキャッシュするか−デフォルトは24時間
・ グローバル除外リスト−暗号化を行わないアドレス
・ ユーザがメーリングリストに対してユーザごとの除外を追加できるようにするかどうか
・ グローバル除外リストにアドレスを追加する必要のあるユーザの数
・ いつメッセージを復号するか−セキュアサーバが受け取るときか、ユーザがダウンロードするときか
・ セキュアサーバクライアントに対するポリシ
○ セキュアサーバクライアントはその秘密鍵をセキュアサーバに渡すべきか
○ パスフレーズの長さ
○ パスフレーズの品質(passphrase quality)
○ 鍵生成オプション(上を参照)
○ 公開鍵および証明書を検索するためのドメインごとおよびパブリックの鍵サーバ
○ 受信者の証明書が見つけられないときに暗号化が必要か平文メッセージを許容するか
・ ExchangeサーバのTLS証明書
・ アプライアンスネットワークの構成−IPアドレス、サブネット、DNS名
・ 自分たちが管理する電子メールドメインのリスト
・ 実体の電子メールサーバのアドレス
○ 電子メールを受け取る着信SMTPサーバ
○ アウトバウンドの電子メールのためのSMTPリレー
○ POPサーバ
○ IMAPサーバ
○ Exchangeサーバのアドレスおよび通信用のポート
・ Boomerang電子メールのアカウント有効期限
・ Boomerang電子メールのストレージクォータ
・ Boomerang受信者が自分宛電子メールを暗号化しないオプションを選択できるようにする
・ データベースバックアップを暗号化するための管理者PGP鍵
・ バックアップのアップロード先のFTPサーバ
○ サーバアドレス
○ ログイン情報
○ バックアップファイル用のディレクトリ
・ いくつバックアップを保管するか
・ 何回バックアップするか
○ 何曜日か
○ 何時にバックアップを始めるか
・ バックアップの成功後、管理者に電子メールアラート(e−mail alert)をおくるかどうか、およびどこにアラートを送るか
・ ソフトウェア更新を自動的にインストールするか、またはセーブして管理者が手動でインストールするか
・ アプライアンスへのシェルアクセス用SSH公開鍵を提供するための管理者用フィールド
・ syslogメッセージを送るための他のマシンのリスト
・ 日毎のログ(daily log)を電子メールで送るための電子メールアドレス
本発明の一実施形態では、管理コンソールにより、管理者は次のタスクも行えるようになっている。
・ ローカルの証明書データベースを検索し、個人の鍵および証明書を取り消しまたは削除する
・ ダウンロードしたソフトウェア更新のリストを閲覧し、それを手動でインストールする
・ 自分たちのCAからSSL/TLS証明書を要求する
・ Boomerang電子メールアカウントを管理する
・ セキュアサーバ上に保存してあるデータベースバックアップのリストを閲覧し、選択したバックアップをダウンロードする
・ データベースバックアップを手動で開始する
・ ローカルのパブリック証明書キャッシュを手動でクリアする
・ ローカルのアウトバウンド電子メールキューを管理する
・ 現在のセキュアサーバのログを閲覧する
・ どのようにダウンロードした電子メールをフォーマットするか−いつもプレーンテキスト、いつもhtml、または元のメッセージのタイプに基づく
・ 除外リスト−暗号化を行わないアドレス
・ セキュアサーバのTLS証明書
・ セキュアサーバのアドレスおよび通信用のポート
[インストール]
例示的な一実施形態では、セキュアサーバ408は、ノースカロライナ州レイリー(Raleigh、NC)のRed Hat,Inc.の製作するRedHat 7.3 Linuxディストリビューションなどの修正したLinuxオペレーティングシステムを利用している。RedHatは、すでに、openldapやapacheなど、セキュアサーバ408に必要な多くの付属(extra)のライブラリおよびアプリケーションを提供している。異なる一実施形態では、Immunixなど、別のRedHatベースディストリビューションを使用することもできる。セキュアサーバソフトウェアの多用途でモジュラーな設計により、他のUnixベースのオペレーティングシステムへの、また必要な場合には、Windowsベースのアーキテクチャへの、容易な移植が可能になっている。
セキュアサーバ408用のプログラム/ライブラリは、標準の署名済みRPMとしてパッケージ化されている。RPMは、RedHat Package Managerに適合するように書かれたパッケージである。これにより、RedHatインストーラに容易に含めることが可能になり、自動更新機構が単純化される。セキュアサーバ408のある配布は、RedHat RPMパッケージの一部を、適切に修正して、どのようなものであれ必要なデフォルトの構成とともに含むことになる。必要のないパッケージを含めないことにより、配布全体が単一のインストレーションCD上に収まる。
[初期セットアップ]
セキュアで透過的な電子的通信を提供するセキュアサーバの使用への移行を容易にするために、「学習モード」(Learn Mode)がセキュアサーバ408の一実施形態には存在する。このモードでは、セキュアサーバ408は、どのような暗号化/復号も実行しないが、POP、IMAP、およびSMTPのメッセージは依然として電子メールサーバ420へとプロキシが行われ、PKI(public key infrastructure、公開鍵基盤)を構築し除外リストを作成することができるようになるはずである。
一実施形態では、セキュアサーバ408へのソフトウェア更新の提供は、ネットワークを介して自動的に行われる。こうした更新は署名されており、その結果、正当な更新だけがセキュアサーバ408上にインストールされる。自動更新は署名済みRPMとして配布され、これは、RPMによってすでに埋め込みPGP署名が可能になっているという事実によって容易になっている。
例示的な一実施形態では、セキュアサーバ408には、更新されたRPMの定期的なダウンロード、PGP署名の検証、および、(1)管理者に代わってそれを自動的にインストールすること、または(2)電子メールで管理者に通知し、インストールを管理Webコンソールから手動で開始できるようにすることのための(Unixの「cron」ジョブなどの)スケジュールされたタスクがある。更新されたパッケージへのアクセスは、検証された顧客に限られている。顧客に有効なライセンス番号およびライセンス認可の提供を要求するSHTTPサーバが維持されている。標準のRPMを使用することにより、外部的に提供されるセキュリティ更新を、セキュアサーバ408内で使用する他のどのようなパッケージにも行うことができるようになる。
上で説明した実施形態は、電子メールに焦点を置いているが、例えば、インスタントメッセージングを含めて、ユーザの必要に密接に関連するいくつもの他のプロトコルがある。インスタントメッセージングプロトコルは、広く使用されており、最も速く成長しているタイプのインターネット通信である。また、これは完全にセキュアではない。セキュアサーバプロキシは、こうしたプロトコルにセキュリティを提供することができる。
上で詳細に述べたのは、本発明の少なくとも1つの実施形態の諸態様である。上で述べた特徴のそれぞれは、本発明の一実施形態に従って、1つのシステム、方法、および/またはコンピュータ実行可能なコードで実装することができる。あるいは、上で述べた特徴のそれぞれを、本発明の諸実施形態に従って、異なるシステム、方法、および/またはコンピュータ実行可能なコードで実装することもできる。
さらに、本発明の諸原理、好ましい実施形態、および利用モードを、以上の説明の中で説明してきた。しかし、保護すべきものである発明を、ここに開示した特定の実施形態に限定されるものとして解釈すべきではない。さらに、本明細書で説明した諸実施形態は、制限的ではなく例示的と見なすべきである。他の者が変形および変更を行うこと、および均等物の使用は、本発明の趣旨から逸脱することなく行うことができる。したがって、以上の特許請求の範囲で定義する本発明の趣旨および範囲の範囲内に入るそのような変形、変更、および均等物はすべて、それにより、明確に包摂されるものとする。
従来技術による、ネットワーク環境で動作する暗号化ソフトウェアパッケージを示す図である。 本発明の一実装形態による、プロキシモードで動作するサーバを伴うネットワークを示す図である。 本発明の一代替実装形態による、ゲートウェイモードで動作するサーバを伴うネットワークを示す図である。 本発明の一実装形態による、セキュアで透過的な電子的通信を提供するサーバの論理接続を示すネットワーク図(network diagram)である。 本発明の一実装形態による、セキュアな電子メールを送るプロセスを示す流れ図である。 本発明の一実装形態による、セキュアな電子メールを受け取るプロセスを示す流れ図である。 本発明の一代替実装形態の図である。

Claims (19)

  1. ローカルネットワーク内の第1のサーバを、開放型通信ネットワークとユーザの間のプロキシとして提供するステップと、
    前記開放型通信ネットワークまたは前記ユーザに振り向けられたメッセージを、前記第1のサーバで傍受するステップと、
    前記メッセージを、前記メッセージ内部に含まれる徴表に従って処理して、前記開放型通信ネットワークを介するセキュアなメッセージの透過的な送受信を提供するステップと
    を含む方法。
  2. 1つまたは複数のメッセージを前記ローカルネットワーク内の第2のサーバ上に保存するステップをさらに含む、請求項1に記載の方法。
  3. 前記メッセージが、電子メールメッセージをさらに含む、請求項1に記載の方法。
  4. 前記メッセージが、インスタントメッセージをさらに含む、請求項1に記載の方法。
  5. 前記処理が、
    前記ユーザに対する前記第1のサーバ内部の複数の暗号鍵を管理するステップと、
    必要な場合には、前記ユーザに対する1つまたは複数の暗号鍵を作成するステップと、
    前記ユーザからのアンセキュアなメッセージを受け取ると、前記アンセキュアなメッセージをセキュア化するステップと、
    前記ユーザに対するセキュアなメッセージを受け取ると、前記メッセージをアンセキュア化するステップと
    をさらに含む、請求項1に記載の方法。
  6. 前記セキュア化するステップが、前記アンセキュアなメッセージを暗号化するステップをさらに含む、請求項5に記載の方法。
  7. 前記アンセキュア化するステップが、前記セキュアなメッセージを復号するステップをさらに含む、請求項5に記載の方法。
  8. 送信者からのアンセキュアなメッセージを傍受するステップと、
    前記アンセキュアなメッセージを自動的に変換して受信者に対するセキュアなメッセージにするステップと、
    前記セキュアなメッセージを前記受信者に送信するステップと
    を含む方法。
  9. 前記アンセキュアなメッセージが、電子メールメッセージをさらに含む、請求項8に記載のシステム。
  10. 前記送信するステップが、前記セキュアなメッセージを第2のサーバを介して送るステップを含む、請求項8に記載のシステム。
  11. セキュアなメッセージを透過的に受け取る方法であって、
    送信者からのセキュアなメッセージを傍受するステップと、
    前記メッセージを自動的にアンセキュア化して、アンセキュアなメッセージを作成するステップと、
    前記アンセキュアなメッセージが、それに関連付けられている電子署名を有するとき、前記セキュアなメッセージの前記送信者に対応するデジタル識別を検索するステップと、
    前記アンセキュアなメッセージに関連付けられているどの電子署名も前記デジタル識別を用いて検証するステップと、
    前記アンセキュアなメッセージを受信者へと送信するステップと
    を含む方法。
  12. 開放型通信ネットワークとユーザの間のプロキシとして働く、ローカルネットワーク内の第1のサーバと、
    1つまたは複数のメッセージを保存する、前記ローカルネットワーク内の第2のサーバと、
    前記メッセージの暗号化および復号を自動的に行って、前記開放型通信ネットワークを介するセキュアなメッセージの透過的な送受信を提供するための暗号モジュールと
    を備えるシステム。
  13. セキュアなメッセージを透過的に送信するためのシステムであって、
    送信者からのアンセキュアなメッセージを傍受するためのメッセージ受信モジュールと、
    前記アンセキュアなメッセージを自動的に変換して受信者に対するセキュアなメッセージにするための暗号モジュールと、
    前記セキュアなメッセージを前記受信者に送信するためのメッセージ送信モジュールと
    を備えるシステム。
  14. セキュアなメッセージを透過的に受信するためのシステムであって、
    送信者からのセキュアなメッセージを傍受するためのメッセージ受信モジュールと、
    前記アンセキュアなメッセージがそれに関連付けられている電子署名を有するとき、前記セキュアなメッセージの前記送信者に対応するデジタル識別を検索する証明書検索モジュールと、
    前記メッセージをアンセキュア化してアンセキュアなメッセージを作成し、前記アンセキュアなメッセージに関連付けられているどの電子署名も前記デジタル識別を用いて検証する暗号モジュールと、
    前記アンセキュアなメッセージを受信者に送信するためのメッセージ送信モジュールと
    を備えるシステム。
  15. セキュアなメッセージの透過的な送受信を開放型通信ネットワークを介して行うためのコンピュータプログラム命令を含むコンピュータ可読媒体であって、
    前記開放型通信ネットワークと前記ユーザの間のプロキシとして働くこと、
    前記開放型通信ネットワークまたは前記ユーザに向けられたメッセージを傍受すること、および
    前記メッセージを、前記メッセージ内部に含まれる徴表に従って処理して、前記開放型通信ネットワークを介するセキュアなメッセージの透過的な送受信を提供すること
    のための命令を含む、コンピュータ可読媒体。
  16. 受信者へのセキュアなメッセージの透過的な送信を開放型通信ネットワークを介して行うためのコンピュータプログラム命令を含むコンピュータ可読媒体であって、
    送信者からのアンセキュアなメッセージを傍受すること、
    前記アンセキュアなメッセージを自動的に変換して受信者に対するセキュアなメッセージにすること、および
    前記セキュアなメッセージを前記受信者に送信すること
    のための命令を含む、コンピュータ可読媒体。
  17. 受信者に対するセキュアなメッセージの透過的な受信を開放型通信ネットワークを介して行うためのコンピュータプログラム命令を含むコンピュータ可読媒体であって、
    送信者からのセキュアなメッセージを傍受すること、
    前記メッセージを自動的にアンセキュア化して、アンセキュアなメッセージを作成すること、
    前記アンセキュアなメッセージが、それに関連付けられている電子署名を有するとき、前記セキュアなメッセージの前記送信者に対応するデジタル識別を検索すること、
    前記アンセキュアなメッセージに関連付けられているどの電子署名も前記デジタル識別を用いて検証すること、および
    前記アンセキュアなメッセージを受信者へと送信すること
    のための命令を含む、コンピュータ可読媒体。
  18. セキュアなメッセージを透過的に送信するための方法であって、
    送信者からのアンセキュアなメッセージを傍受するステップと、
    前記アンセキュアなメッセージを第1のサーバ上に保存するステップと、
    前記アンセキュアなメッセージを前記第1のサーバから第2のサーバへとローカルネットワーク内で送信するステップと、
    前記アンセキュアなメッセージを自動的に変換して受信者に対するセキュアなメッセージにするステップと、
    前記セキュアなメッセージを前記受信者に送信するステップと
    を含む方法。
  19. セキュアなメッセージを透過的に受信するための方法であって、
    送信者からのセキュアなメッセージを傍受すること、
    前記メッセージを自動的にアンセキュア化して、アンセキュアなメッセージを作成すること、
    前記アンセキュアなメッセージをローカルネットワーク内に保存すること、
    前記アンセキュアなメッセージが、それに関連付けられている電子署名を有するとき、前記セキュアなメッセージの前記送信者に対応するデジタル識別を検索すること、
    前記アンセキュアなメッセージに関連付けられているどの電子署名も前記デジタル識別を用いて検証すること、および
    前記アンセキュアなメッセージを受信者へと送信すること
    のための命令を含む、方法。
JP2006500802A 2003-01-07 2004-01-07 セキュアで透過的な電子的通信のためのシステムおよび方法 Pending JP2006518949A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US43830003P 2003-01-07 2003-01-07
US10/462,775 US20040133520A1 (en) 2003-01-07 2003-06-17 System and method for secure and transparent electronic communication
PCT/US2004/000225 WO2004063869A2 (en) 2003-01-07 2004-01-07 System and method for secure and transparent electronic communication

Publications (1)

Publication Number Publication Date
JP2006518949A true JP2006518949A (ja) 2006-08-17

Family

ID=32685515

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006500802A Pending JP2006518949A (ja) 2003-01-07 2004-01-07 セキュアで透過的な電子的通信のためのシステムおよび方法

Country Status (5)

Country Link
US (1) US20040133520A1 (ja)
EP (1) EP1584054A4 (ja)
JP (1) JP2006518949A (ja)
CA (1) CA2511335A1 (ja)
WO (1) WO2004063869A2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008124759A (ja) * 2006-11-10 2008-05-29 Ktk Kk メール管理装置
WO2010103754A1 (ja) * 2009-03-12 2010-09-16 パナソニック株式会社 帳票リーダ装置、帳票認証方法およびプログラム
JP2010211683A (ja) * 2009-03-12 2010-09-24 Panasonic Corp 帳票リーダ装置および帳票認証方法
KR20160146671A (ko) * 2014-02-25 2016-12-21 아마존 테크놀로지스, 인크. 네트워크 환경에서 디지털 인증서들을 프로비저닝하는 것
WO2021200309A1 (ja) * 2020-04-01 2021-10-07 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム

Families Citing this family (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US7254712B2 (en) 2001-06-12 2007-08-07 Research In Motion Limited System and method for compressing secure e-mail for exchange with a mobile data communication device
JP2004532590A (ja) * 2001-06-12 2004-10-21 リサーチ イン モーション リミテッド 証明書の管理および送信のシステムおよび方法
WO2002102009A2 (en) * 2001-06-12 2002-12-19 Research In Motion Limited Method for processing encoded messages for exchange with a mobile data communication device
CN1554176B (zh) * 2001-07-10 2012-12-05 捷讯研究有限公司 在无线移动通信设备上处理加密消息的方法和处理对加密内容的多次访问的装置
ES2315379T3 (es) * 2001-08-06 2009-04-01 Research In Motion Limited Sistema y metodo para el tratamiento de mensajes codificados.
CN1653764B (zh) 2002-03-20 2011-05-11 捷讯研究有限公司 用于传送和利用附件的系统和方法
US20040078601A1 (en) * 2002-08-02 2004-04-22 Chris Tengwall System and method for operating a wireless device network
US20040133774A1 (en) * 2003-01-07 2004-07-08 Callas Jonathan D. System and method for dynamic data security operations
US7640427B2 (en) * 2003-01-07 2009-12-29 Pgp Corporation System and method for secure electronic communication in a partially keyless environment
US7716736B2 (en) * 2003-04-17 2010-05-11 Cybersoft, Inc. Apparatus, methods and articles of manufacture for computer virus testing
JP4264903B2 (ja) * 2003-06-30 2009-05-20 ネットエージェント株式会社 電子メール送受信システム
ATE441155T1 (de) * 2003-07-11 2009-09-15 Computer Ass Think Inc Verfahren und system zum schutz vor computerviren
US7523314B2 (en) * 2003-12-22 2009-04-21 Voltage Security, Inc. Identity-based-encryption message management system
US8392612B2 (en) * 2003-12-24 2013-03-05 Apple Inc. Replication server selection method
US7676846B2 (en) * 2004-02-13 2010-03-09 Microsoft Corporation Binding content to an entity
US20050267939A1 (en) * 2004-05-17 2005-12-01 International Business Machines Corporation Transparent security for electronic mail messages
US20060036849A1 (en) * 2004-08-09 2006-02-16 Research In Motion Limited System and method for certificate searching and retrieval
US9094429B2 (en) 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
US8667590B1 (en) 2004-08-20 2014-03-04 Trend Micro Incorporated Method and apparatus for protecting high availability devices from computer viruses and other malicious content
US7673004B1 (en) * 2004-08-31 2010-03-02 Face Time Communications, Inc. Method and apparatus for secure IM communications using an IM module
US7549043B2 (en) 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US7631183B2 (en) 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US7640428B2 (en) * 2004-09-02 2009-12-29 Research In Motion Limited System and method for searching and retrieving certificates
JP2006101469A (ja) * 2004-09-29 2006-04-13 Microsoft Corp 電子名刺を交換する端末
US7886144B2 (en) * 2004-10-29 2011-02-08 Research In Motion Limited System and method for retrieving certificates associated with senders of digitally signed messages
US8032553B2 (en) * 2004-12-29 2011-10-04 Sap Ag Email integrated task processor
US8352742B2 (en) * 2005-07-19 2013-01-08 Go Daddy Operating Company, LLC Receiving encrypted emails via a web-based email system
US7912906B2 (en) * 2005-07-19 2011-03-22 The Go Daddy Group, Inc. Generating PKI email accounts on a web-based email system
US8145707B2 (en) * 2005-07-19 2012-03-27 Go Daddy Operating Company, LLC Sending digitally signed emails via a web-based email system
CN101061662B (zh) * 2005-10-14 2011-08-17 捷讯研究有限公司 用于保护主加密密钥的系统和方法
US8316230B2 (en) * 2005-11-14 2012-11-20 Microsoft Corporation Service for determining whether digital certificate has been revoked
US7716467B1 (en) * 2005-12-02 2010-05-11 Sprint Communications Company L.P. Encryption gateway service
US7568106B2 (en) * 2005-12-16 2009-07-28 International Business Machines Corporation Cooperative non-repudiated message exchange in a network environment
JP4449899B2 (ja) * 2005-12-28 2010-04-14 ブラザー工業株式会社 管理装置及びプログラム
JP4835177B2 (ja) * 2006-01-31 2011-12-14 ブラザー工業株式会社 証明書発行装置及びプログラム
US7949641B1 (en) * 2006-02-15 2011-05-24 Crimson Corporation Systems and methods for validating a portion of a file that is downloaded from another computer system
US7814161B2 (en) * 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
US20080118070A1 (en) * 2006-11-20 2008-05-22 6580874 Canada Inc. Open and distributed systems to provide secure email service
FI20075577A0 (fi) * 2007-08-17 2007-08-17 Exove Oy Turvallinen tiedonsiirto
US20090216678A1 (en) * 2008-02-25 2009-08-27 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US8806590B2 (en) * 2008-06-22 2014-08-12 Microsoft Corporation Signed ephemeral email addresses
US9240978B2 (en) * 2008-12-31 2016-01-19 Verizon Patent And Licensing Inc. Communication system having message encryption
US8682985B2 (en) * 2009-01-15 2014-03-25 Microsoft Corporation Message tracking between organizations
US20100241668A1 (en) * 2009-03-17 2010-09-23 Microsoft Corporation Local Computer Account Management at Domain Level
US20120151377A1 (en) * 2010-12-08 2012-06-14 Microsoft Corporation Organic projects
DE102010054059A1 (de) * 2010-12-10 2012-06-14 Giesecke & Devrient Gmbh Verfahren zum Verschlüsseln einer elektronischen Textnachricht
US8597111B2 (en) 2011-06-09 2013-12-03 Igt Anonymous player tracking with mobile devices
US9285981B1 (en) 2012-07-16 2016-03-15 Wickr Inc. Discouraging screen capture
US8826432B2 (en) 2012-12-06 2014-09-02 Airwatch, Llc Systems and methods for controlling email access
US9021037B2 (en) 2012-12-06 2015-04-28 Airwatch Llc Systems and methods for controlling email access
US8978110B2 (en) 2012-12-06 2015-03-10 Airwatch Llc Systems and methods for controlling email access
US8832785B2 (en) 2012-12-06 2014-09-09 Airwatch, Llc Systems and methods for controlling email access
US8862868B2 (en) 2012-12-06 2014-10-14 Airwatch, Llc Systems and methods for controlling email access
US9787686B2 (en) * 2013-04-12 2017-10-10 Airwatch Llc On-demand security policy activation
US10567349B2 (en) 2013-06-25 2020-02-18 Wickr Inc. Secure time-to-live
US9830089B1 (en) 2013-06-25 2017-11-28 Wickr Inc. Digital data sanitization
US10129260B1 (en) 2013-06-25 2018-11-13 Wickr Inc. Mutual privacy management
US9866591B1 (en) 2013-06-25 2018-01-09 Wickr Inc. Enterprise messaging platform
US20150215291A1 (en) 2013-12-05 2015-07-30 Tarek A.M. Abdunabi Secure decentralized content management platform and transparent gateway
US9698976B1 (en) 2014-02-24 2017-07-04 Wickr Inc. Key management and dynamic perfect forward secrecy
US9584530B1 (en) 2014-06-27 2017-02-28 Wickr Inc. In-band identity verification and man-in-the-middle defense
US9565147B2 (en) 2014-06-30 2017-02-07 Go Daddy Operating Company, LLC System and methods for multiple email services having a common domain
KR102457809B1 (ko) 2014-09-24 2022-10-24 삼성전자주식회사 데이터 통신 보안을 위한 방법, 장치 및 시스템
US9654288B1 (en) 2014-12-11 2017-05-16 Wickr Inc. Securing group communications
US10050927B2 (en) 2015-01-27 2018-08-14 Mastercard International Incorporated Systems and methods for centralized domain name system administration
US9590956B1 (en) 2015-12-18 2017-03-07 Wickr Inc. Decentralized authoritative messaging
US10291607B1 (en) 2016-02-02 2019-05-14 Wickr Inc. Providing real-time events to applications
US9602477B1 (en) 2016-04-14 2017-03-21 Wickr Inc. Secure file transfer
US9596079B1 (en) 2016-04-14 2017-03-14 Wickr Inc. Secure telecommunications
US10484397B2 (en) * 2017-06-30 2019-11-19 Fortinet, Inc. Automatic electronic mail (email) encryption by email servers
US10439825B1 (en) * 2018-11-13 2019-10-08 INTEGRITY Security Services, Inc. Providing quality of service for certificate management systems

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000209256A (ja) * 1999-01-13 2000-07-28 Sharp Corp メ―ル転送装置および方法、ならびにメ―ル転送制御プログラムを記憶した媒体
JP2002024147A (ja) * 2000-07-05 2002-01-25 Nec Corp セキュアメールプロキシシステム及び方法並びに記録媒体
US6442686B1 (en) * 1998-07-02 2002-08-27 Networks Associates Technology, Inc. System and methodology for messaging server-based management and enforcement of crypto policies

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US154371A (en) * 1874-08-25 Improvement in soda-water-bottle stoppers
US144109A (en) * 1873-10-28 Improvement in bending-machines
US7453A (en) * 1850-06-25 Brick-peess
US133775A (en) * 1872-12-10 Improvement in feed-rolls for lumber
US34833A (en) * 1862-04-01 Improved ball furniture-caster
US133774A (en) * 1872-12-10 Improvement in the manufacture of artificial stone
US131232A (en) * 1872-09-10 Improvement in baling-presses
US5261002A (en) * 1992-03-13 1993-11-09 Digital Equipment Corporation Method of issuance and revocation of certificates of authenticity used in public key networks and other systems
US5671279A (en) * 1995-11-13 1997-09-23 Netscape Communications Corporation Electronic commerce using a secure courier system
US5745574A (en) * 1995-12-15 1998-04-28 Entegrity Solutions Corporation Security infrastructure for electronic transactions
US6067620A (en) * 1996-07-30 2000-05-23 Holden; James M. Stand alone security device for computer networks
US6499108B1 (en) * 1996-11-19 2002-12-24 R. Brent Johnson Secure electronic mail system
US5982898A (en) * 1997-03-07 1999-11-09 At&T Corp. Certification process
US6249585B1 (en) * 1998-04-08 2001-06-19 Network Associates, Inc Publicly verifiable key recovery
US6134658A (en) * 1997-06-09 2000-10-17 Microsoft Corporation Multi-server location-independent authentication certificate management system
US6105131A (en) * 1997-06-13 2000-08-15 International Business Machines Corporation Secure server and method of operation for a distributed information system
US6023700A (en) * 1997-06-17 2000-02-08 Cranberry Properties, Llc Electronic mail distribution system for integrated electronic communication
JP3932319B2 (ja) * 1997-07-24 2007-06-20 タンブルウィード コミュニケーションズ コーポレイション 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール
US6651166B1 (en) * 1998-04-09 2003-11-18 Tumbleweed Software Corp. Sender driven certification enrollment system
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6715073B1 (en) * 1998-06-04 2004-03-30 International Business Machines Corporation Secure server using public key registration and methods of operation
US6301658B1 (en) * 1998-09-09 2001-10-09 Secure Computing Corporation Method and system for authenticating digital certificates issued by an authentication hierarchy
US6684248B1 (en) * 1999-05-03 2004-01-27 Certifiedmail.Com, Inc. Method of transferring data from a sender to a recipient during which a unique account for the recipient is automatically created if the account does not previously exist
US6356937B1 (en) * 1999-07-06 2002-03-12 David Montville Interoperable full-featured web-based and client-side e-mail system
US6636975B1 (en) * 1999-12-15 2003-10-21 Identix Incorporated Accessing a secure resource using certificates bound with authentication information
US20020059144A1 (en) * 2000-04-28 2002-05-16 Meffert Gregory J. Secured content delivery system and method
US6732101B1 (en) * 2000-06-15 2004-05-04 Zix Corporation Secure message forwarding system detecting user's preferences including security preferences
US6745231B1 (en) * 2000-08-08 2004-06-01 International Business Machines Corporation System for securing electronic mail
US7020779B1 (en) * 2000-08-22 2006-03-28 Sun Microsystems, Inc. Secure, distributed e-mail system
JP2002082907A (ja) * 2000-09-11 2002-03-22 Nec Corp データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体
US7925878B2 (en) * 2001-10-03 2011-04-12 Gemalto Sa System and method for creating a trusted network capable of facilitating secure open network transactions using batch credentials
WO2003039094A2 (en) * 2001-10-29 2003-05-08 Omtool, Ltd Methods and apparatus for securely communicating a message
GB2382177B (en) * 2001-11-20 2005-09-14 Hewlett Packard Co Digital certificate verification
US20030140223A1 (en) * 2002-01-23 2003-07-24 Robert Desideri Automatic configuration of devices for secure network communication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6442686B1 (en) * 1998-07-02 2002-08-27 Networks Associates Technology, Inc. System and methodology for messaging server-based management and enforcement of crypto policies
JP2000209256A (ja) * 1999-01-13 2000-07-28 Sharp Corp メ―ル転送装置および方法、ならびにメ―ル転送制御プログラムを記憶した媒体
JP2002024147A (ja) * 2000-07-05 2002-01-25 Nec Corp セキュアメールプロキシシステム及び方法並びに記録媒体

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008124759A (ja) * 2006-11-10 2008-05-29 Ktk Kk メール管理装置
WO2010103754A1 (ja) * 2009-03-12 2010-09-16 パナソニック株式会社 帳票リーダ装置、帳票認証方法およびプログラム
JP2010211683A (ja) * 2009-03-12 2010-09-24 Panasonic Corp 帳票リーダ装置および帳票認証方法
KR20160146671A (ko) * 2014-02-25 2016-12-21 아마존 테크놀로지스, 인크. 네트워크 환경에서 디지털 인증서들을 프로비저닝하는 것
JP2017506473A (ja) * 2014-02-25 2017-03-02 アマゾン テクノロジーズ インコーポレイテッド ネットワーク環境でのデジタル証明書の提供
KR101928038B1 (ko) * 2014-02-25 2019-02-26 아마존 테크놀로지스, 인크. 네트워크 환경에서 디지털 인증서들을 프로비저닝하는 것
WO2021200309A1 (ja) * 2020-04-01 2021-10-07 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム

Also Published As

Publication number Publication date
WO2004063869A3 (en) 2005-04-07
US20040133520A1 (en) 2004-07-08
EP1584054A2 (en) 2005-10-12
WO2004063869A9 (en) 2005-10-27
WO2004063869A2 (en) 2004-07-29
EP1584054A4 (en) 2006-08-23
CA2511335A1 (en) 2004-07-29

Similar Documents

Publication Publication Date Title
US7640427B2 (en) System and method for secure electronic communication in a partially keyless environment
JP2006518949A (ja) セキュアで透過的な電子的通信のためのシステムおよび方法
US20040133774A1 (en) System and method for dynamic data security operations
US9917828B2 (en) Secure message delivery using a trust broker
US8032750B2 (en) Method for establishing a secure e-mail communication channel between a sender and a recipient
US7673004B1 (en) Method and apparatus for secure IM communications using an IM module
US8037298B2 (en) System and method for providing security via a top level domain
JP3932319B2 (ja) 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール
US8327157B2 (en) Secure encrypted email server
US7277549B2 (en) System for implementing business processes using key server events
EP1417814B1 (en) System and method for processing encoded messages
US20090210708A1 (en) Systems and Methods for Authenticating and Authorizing a Message Receiver
US20060020799A1 (en) Secure messaging
JP2006520112A (ja) セキュリティ用キーサーバ、否認防止と監査を備えたプロセスの実現
IES20020227A2 (en) A security services system and method
JP2010531072A (ja) 制御されたアクセス・キー管理のためのシステム及び方法
US20070288746A1 (en) Method of providing key containers
Brown et al. A proxy approach to e‐mail security
JP2005107935A (ja) 電子メール処理装置用プログラム及び電子メール処理装置
Shitole et al. Secure email software using e-smtp
JP2009503963A (ja) メッセージの伝送方法およびシステム、ならびにそれに適した暗号鍵発生器
JP2006053610A (ja) Webメール暗号化システム、webメール暗号化方法およびコンピュータプログラム
Matotek et al. Mail Services: By James Turnbull and Dennis Matotek
IE990984A1 (en) A Secure electronic mail gateway
AU2005220240B1 (en) Method of providing key containers

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100406

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100706

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100713

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100805

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100812

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101102