JP4703438B2 - サーバと通信相手が互換性のある安全な電子メールを有することを立証するためのシステムおよび方法 - Google Patents
サーバと通信相手が互換性のある安全な電子メールを有することを立証するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP4703438B2 JP4703438B2 JP2006061740A JP2006061740A JP4703438B2 JP 4703438 B2 JP4703438 B2 JP 4703438B2 JP 2006061740 A JP2006061740 A JP 2006061740A JP 2006061740 A JP2006061740 A JP 2006061740A JP 4703438 B2 JP4703438 B2 JP 4703438B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- correspondent
- message
- source
- source domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000004891 communication Methods 0.000 title claims description 58
- 238000005516 engineering process Methods 0.000 claims abstract description 19
- 230000008569 process Effects 0.000 claims abstract description 17
- 230000004044 response Effects 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 3
- 241000270666 Testudines Species 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 10
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- KAQKSOOCNAKEDV-UHFFFAOYSA-N 1,1,1-trinitro-2-(2,2,2-trinitroethoxymethoxy)ethane Chemical compound [O-][N+](=O)C([N+]([O-])=O)([N+]([O-])=O)COCOCC([N+]([O-])=O)([N+]([O-])=O)[N+]([O-])=O KAQKSOOCNAKEDV-UHFFFAOYSA-N 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- G06Q50/60—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明の実施形態は、2つのドメイン間で互換性のある相互接続を確立することの分野に関する。具体的には、本発明の実施形態は、高度な機能を備えたメールサーバを明らかにし、発見するためのシステムおよび方法に関する。
一部の従来システムは、直接通信することによって潜在的な通信相手を識別しようと試みる。しかし、これらのシステムは、通信時に攻撃に対して脆弱になり、具体的には、SPAMおよびサービス拒否攻撃を引き起こし、またはそれらに対して脆弱であることがある。
したがって、サーバと潜在的な通信相手の間の安全なリンクが確立できるように潜在的な通信相手を個々に識別することによって、これらのおよび他の欠点のうちの1つまたは複数に対処するシステムが望まれる。
本発明の実施形態は、追加のヘッダを、潜在的な通信相手のドメインに送達されるメッセージに、時々加える電子メールサーバを含む。ヘッダ内のデータは、特定の通信相手ドメインに送信されるメッセージに特有の秘密、およびその通信相手ドメインからのアドミニストレイティブ(administrative)メッセージが当該サーバへと送られることのできる電子メールアドレスを含む。もし通信相手ドメイン上のメールもこの実施形態を実施するサーバを介して送られるならば、そのサーバは、追加のヘッダを検出し、発信元ドメインに互換性のあるサーバが存在し得ると判断する。次いで、そのサーバは、含まれているアドミニストレイティブ電子メールアドレスへ、安全な接続を確立するよう求める要求などのアドミニストレイティブトラフィックを送ることができる。こうしたアドミニストレイティブメッセージは、その通信相手ドメインのために提供された秘密も含まなければならない。次いで、発信元ドメイン上のアドミニストレイティブメールのメール受入れ側は、通信相手ドメインからのものと称するが、通信相手ドメインに対応する秘密を含まないメールのいずれをも廃棄できる。
ある実施形態では、本発明は、ソースドメインと通信相手ドメインの間のリンクを確立するために、潜在的な通信相手ドメインが互換性のある安全な電子メール技術を有すると判断するための方法を含む。発見シークレットが、ソースドメインから通信相手ドメインに送信される。発見シークレットは、通信相手ドメインに固有のデータ要素、およびソースドメインと通信相手ドメインの間の互換性を確立するために通信相手ドメインがメッセージを送信することを許可されているソースドメインアドレスを含む。ソースドメインは、ソースドメインアドレスを介して通信相手ドメインから招待を受信する。この招待は、該データ要素、あるいは通信相手ドメインとの互換性を確立するためのプロセスを開始するために通信相手ドメインが使用できる該データ要素に対応する要素を含む。
本発明の一態様によれば、通信相手ドメインとソースドメインが互換性のある安全な電子メール技術、または他の電子メール技術もしくは通信技術を有することを立証するために、ソースドメインから通信相手ドメインに送信される発見シークレットのデータ構造が提供される。発見シークレットは、メッセージ、メッセージに関するヘッダ、およびメッセージに添付された追加のヘッダを含む。追加のヘッダは、(1)通信相手ドメインに固有のデータ要素、および通信相手ドメインとソースドメインが互換性のある安全な電子メール技術を有することを立証するために通信相手ドメインがソースドメインにメッセージを送信することを許可されるソースドメインアドレス(2)発見シークレット、および(3)有効期限を含む。
別の形では、本発明は、通信相手ドメインとソースドメインが互換性のある安全な電子メール技術、または他の電子メール技術もしくは通信技術を有することを立証するためのシステムを備える。ソースドメインサーバは、通信相手ドメインに発見シークレットを送信する。発見シークレットは、通信相手ドメインに特有のデータ要素、および通信相手ドメインとソースドメインが互換性のある安全な電子メール技術を有することを立証するために通信相手ドメインがメッセージを送信することを許可されているソースドメインアドレスを含む。通信相手ドメインのコンピュータは、該データ要素およびソースドメインアドレスを含む発見シークレットを受信する。通信相手ドメインコンピュータは、通信相手ドメインからの招待をソースドメインアドレスに送信する。この招待は、該データ要素、または該データ要素に対応する要素を含む。
あるいは、本発明は、様々な他の方法および装置を備えることができる。
他の特徴は、以下で一部明らかになり、また一部指摘される。
対応する参照記号は、諸図面を通して対応する部分を示す。
本発明は、サーバと通信相手の間でリンクを確立するプロセスを開始するために、潜在的通信相手が互換性のある安全な電子メール技術を有すると判断するためのシステムおよび方法に関する。具体的には、本発明は、安全な電子メールを活用するために、安全なリンクを確立するプロセスを開始するためのシステムおよび方法に関する。本発明は、サーバが、潜在的通信相手が互換性のある安全な電子メール技術を有するため、それをターゲットとして確立できると判断することを可能にする。結果として、潜在的な通信相手が識別されると、サーバは、安全なリンクを確立するため鍵素材(key material)情報を潜在的通信相手と交換することができる。
本発明によるドメイン署名および暗号化の目的は、機密の、サーバ認証されたメッセージをサーバ間で交換するための、トランスポートから独立した機構を提供することである。図1は、ゲートウェイサーバ1および2の例示的なブロック図である。ゲートウェイサーバ1および2は、その間の安全なメッセージリンクを有する。サーバは、任意選択のファイヤーウォールによって分離されることができ、このファイヤーウォールを介して、それらは、別個の安全なメッセージングシステムの一部である場合のある、ブリッジヘッド(bridgehead)サーバ(図示せず)に接続されることができる。ゲートウェイサーバ1および2は、ブリッジヘッドサーバをリンクする安全なメッセージングシステムなどの信頼できる内部ネットワークと、公衆インターネットなどの信頼できない外部ネットワークとの間に置くことのできるサブネットワークを形成する。ファイヤーウォールは、ゲートウェイサーバとインターネットの間にも置かれる。ゲートウェイサーバは、すべてのメールを平文として扱い、ゲートウェイ間のすべてのメールを暗号化する。もしゲートウェイとブリッジヘッドサーバが同じ暗号化鍵を共有しないならば、ゲートウェイサーバは、ブリッジヘッドサーバによって暗号化されたメールを復号することができない。
すべての内部および外部関係のための権威あるデータ(authoritative data)に対するアドミニストレーション(administration)の単一の点が求められている。より単純であり、また複製のコンフリクト(conflict)を解決する必要がないので、複数マスタモデルではなく単一マスタモデルが任意選択で実装される。安全なメッセージ管理(SMM:secure message management)操作は通常頻繁には行われず、SMM操作の遅延がメール送達を遅延させることは恐らくなく、新しい安全な関連付けの設定を遅らせるにすぎない。データベースサイズは通常小さく(たとえば、それぞれが数Kの数十万のレコードなどであり、それは数メガバイトには達し得るが、何百メガバイトにも達する可能性は低い)、サービスの損失が生じる前にハードウェアを修理しまたは置き換え、あるいはシステム復元を行うのに十分な時間がある。ある実施形態では、操作にとって極めて重要なデータは、ほかのゲートウェイサーバに複製される。単一の管理点がないので、すべてのデータが複製されるとは限らず、複製されたデータは読出し専用である。
サーバは、特定のプロジェクトのためのメールリンクを設定するために、多数のほかの通信相手ドメインに関与し得る。しかし、こうしたプロジェクトの管理調整は通常、メールリンクの規模に適応できない。安全なメッセージングが影響を与えるためには、安全なメールは、組織のビジネス上の通信相手の大部分と可能にされる。これは、安全なメールリンクを確立するための折衝が行われるべきかどうか判断するために、どの通信相手がゲートウェイサーバをインストールしているか、および単純な組織間のワークフロー(workflow)を有するかを発見する能力を必要とする。
本発明は、安全な接続を設定できるように、組織の通信相手にインストールされたゲートウェイサーバの発見を可能にする。発見を容易にするために、サーバは、本明細書では発見シークレットと称される何らかの表示(または公表)によって、アウトバウンド(outbound)メールでそれ自体の存在を示す(たとえば、公表する)。発見シークレットプロセスが攻撃に対して脆弱になることを最小限に抑えるために、本発明のシステムおよび方法は、その発見シークレット内にハードコードされた(hard coded)アドレスを使用しない。しかし、一実施形態では、単一のアドレスが、そのアドレスへのメールのいずれにも含められることとなる発見シークレットと共に使用されることが企図されている。結果として、該発見シークレットを見た当事者からの(該発見シークレットを含む)メッセージだけがアドミニストレイティブアドレスに送信されることができる。したがって、好ましい実施形態では、単一のアドレスが使用され、発見シークレットがあらゆるメッセージ内に与えられなければならない。代替案では、表示されるアドレスは、妥当な間隔、たとえば毎週、で回転することができるランダムメールボックス名である。このランダム手法は任意選択であるが、通常は、それほど好まれない実施形態である。脆弱性が確実に最小限に抑えられるように、発見シークレットは、送信側ドメイン(たとえば、ソースドメイン)と、それが送信される先のドメイン(たとえば、通信相手ドメイン)に結び付けられる。発見シークレットを第三者が使用できる場合には、影響を受ける唯一のドメインは、その招待アドレスが漏洩されたドメインである。
ある形では、発見シークレットを、折衝のための一時的な822アドレス、およびメッセージが送信されたときに呼応する822アドレスの有効期限を含む822ヘッダとすることができる。インバウンド(inbound)メールは、ゲートウェイサーバからの発見シークレットを求めて、受信側サーバ(たとえば、通信相手または通信相手サーバ)によってスキャンされ、既知のゲートウェイサーバのリストと比較される。そのリストへのいずれの追加も、ローカルアドミニストレイティブSMMに通信される。新しい通信相手を発見すると、SMMは、ドメイン署名および暗号化または他のサービスを行う機会を提供するために、他のSMM上のアドミニストレイティブアドレスにプローブ(probe)メッセージ(招待など)を送信することができる。もう1つのSMMアドミニストレータ(administrator)から招待を受信すると、もし既存の信頼ポリシーのもとでメッセージが検証可能であるならば、ローカルSMMは、ポリシーを呼び出して自動的に招待を受け入れことができる。あるいは、SMMアドミニストレータは、招待を受け入れる前に手動の承認を要求することができる。サーバによって招待受入れが受信されると、メッセージが本質的に検証可能である場合には、受信側SMMは、ドメイン署名および暗号化の使用を自動的に開始するためにポリシーを呼び出す。まず、それは、ノンス(nonce)付きの暗号化されたピング(ping)メッセージを送信し、安全なメールが相手側によって復号されることができることを確認するために、(ノンスを含む)受取通知を待つ。招待および受入れメッセージはSMMの権威ある鍵で署名されるが、ピングおよび受取通知は、(権威ある鍵の子である)署名鍵で署名されることに留意されたい。日常的なメール署名および暗号化を行うプロセスは、(セキュリティのため)署名鍵で署名する権限のみを有する。したがって、ピングおよび受取通知は、安全なメールが、権威ある鍵だけでなく署名鍵でも働くことを検証する。新しい安全なドメインの構成は、非同期的プロセスであり、いずれかのアドミニストレイティブプロンプティング(prompting)の前に、ピングメッセージを受信することによってリンクが操作上確認されるまでは、実際のデータ用に使用されない。
図2は、本発明による、ソースドメインサーバと潜在的な通信相手(たとえば、ターゲットドメインコンピュータ)の間のワークフローを示す例示的な図である。最初に、アドミニストレイティブアドレス、発見シークレットおよび有効期限を含む発見シークレットが、サーバから通信相手に送信される。発見シークレットは、(メーリングリストの結果としてそれが中継されてきたかもしれないので)それが自分のドメインのためのものかどうかを通信相手が迅速に判断できるように、送信側および受信側ドメインも含むべきである。通信相手は、発見シークレットを認知するときに、発見シークレットの一部であったアドミニストレイティブアドレスに宛てた招待をサーバに返信する。一実施形態では、通信相手は、通信相手もそのドメイン「に」メールを送信したことがある場合にのみ、発見に応答する。したがって、スパマー(spammer)は、(通信相手が最初にそれらにメールを送信したことがないので)通信相手に、それらを招待するように誘導することができない。通信相手からの招待は、通信相手のアドミニストレイティブアドレス、有効期限、証明書、ならびに発見シークレットおよびその他の情報(たとえば、ワークフローID、連絡先情報、送信側および受信側ドメイン)を含む。応答して、サーバは、サーバのアドミニストレイティブアドレスから通信相手先のアドミニストレイティブアドレスに受入れを送信し、その受入れの中に有効期限、証明書、発見シークレットおよび署名を含める。既定のポリシーは自動応答を含み得るが、これは管理上の任意選択である。一実施形態では、手動に、または招待側の証明書が何らかの信頼ポリシーを満たす場合にだけ応答するように制限することもできる。受入れを受信した後に、通信相手はサーバにピングし、そのピングはサーバによって受取りが通知され、関連付けを準備完了状態に置く接続を確立する。準備完了状態からアクティブ状態に進むためには、任意選択で自動化されたアドミニストレイティブ動作を伴い得る。(安全な関係を使用しているが、それを信じていない)アクティブ状態から、(相手側が主張する識別を信じる)認証された状態へ進むためには、さらなるステップを伴い得る。もし、招待メッセージが、図2に示すような信頼ポリシーを使用して検証可能でないならば、要求を、手動の承認を待ってキューに入れらることができる。
図3を参照すると、本発明による安全なメッセージマネージャを示す例示的なブロック図が示されている。通信相手による招待の受入れは、アドミニストレイティブSMMエージェント上の相互証明書を作成することができ、この相互証明書は、暗号化証明書と共にワーカーSMMエージェントに渡される(相互証明書は、認証された関連付けのために通常作成される(それらが何を認証するのを許されるかを定義するために)。アクティブな関連付けは、相互証明書を除いたすべてを有する)。相互証明書は、新しい信頼によって受け入れられた1組の名前、およびドメインゲートウェイサーバ通信に対する制限を制約する。この時点で、すべてのワーカーへのその新しい関連付けに関する証明書および情報が配布される。この場合、セッションキーは、すべてのワーカーが同じキーを使用してキャッシュサイズを小さくするように、アドミニストレーションSMMからすべてのワーカーSMMに配布されることもできる。規模拡大に対する適応(scaling out)を可能にするために、暗号化証明書のための対応する復号秘密鍵は、インターネットに面するすべてのゲートウェイサーバ上で使用可能であり、いずれもがインバウンドメールを復号できるようにすべきである。これは、単一の場所、すなわちアドミニストレーションエージェントで生成され、すべてのワーカーサーバに配布される。信頼関係は、確立されると維持されるべきである。たとえば、元の証明書は保持されることができ、証明書の期限が切れる前に、更新の要求が他のSMMに送信される。子の暗号化および署名証明書も、頻繁に更新されることができる。
サーバの観点からすると、本発明による方法は、ソースドメインと通信相手ドメインの間のリンクを確立するプロセスを開始する。最初に、ソースドメインサーバは、ランダムまたは疑似ランダムメッセージを介して潜在的通信相手ドメインに発見シークレットを送信する。発見シークレットは、通信相手ドメインのために特別に割り当てられるメンション(mention)、トークン(token)または他の秘密などのデータ要素を含む。発見シークレットは、通信相手ドメイン(および可能性としてはソースドメイン)に特有の共有された秘密を含む。好ましい実施形態では、それは、シード(seed)、通信相手ドメイン、およびソースドメインの(何らかの指定された順序の)ハッシュ(hash)である。さらに、発見シークレットは、ソースドメインサーバとターゲットコンピュータの間の互換性を確立するために、通信相手ドメインがメッセージを送信することを許可されているソースドメインのアドレスを含む。ソースドメインサーバは相手先ドメインからの招待を受信し、この招待は、前に提供されたソースドメインアドレスに宛てられている。この招待は、発見シークレット内のデータ要素、または発見シークレット内のデータ要素に対応する要素を含む。これは、ソースドメインサーバによって通信相手ドメインサーバからの招待が受信されると、ソースドメインサーバが、通信相手ドメインサーバとソースドメインサーバの間の互換性を確立するためのプロセスを開始することを可能にする。図2で言及したように、ソースドメインサーバは、その間の互換性を確立するために、通信相手ドメインサーバに受入れを送信する。
一実施形態では、ソースドメインは、メッセージの送信元であった通信相手ドメインに発見シークレットを選択的に送信する。あるいはまたはさらに、ソースドメインは、前もって特に識別されていた通信相手ドメインに発見シークレットを送信することができる。
一実施形態では、発見シークレットは、発見シークレットを運ぶために特に送信されたメッセージに添付され得る。本発明の一実施形態では、電子メールサーバは、別の電子メールドメインに送達されるメッセージに追加のヘッダ(「x−ヘッダ」)を時々追加する。ヘッダ内のデータは、有効期限、通信相手ドメイン、送信者ドメイン、任意選択のバージョンおよび任意選択の特徴に加えて、通信相手ドメインに特有の秘密、および通信相手ドメインからのアドミニストレイティブメッセージを電子メールサーバに送ることのできる電子メールアドレスを含む。通信相手ドメイン上のメールも本発明のこの実施形態を実施するサーバを介して送られる場合、それは、追加のヘッダを検出し、発信元ドメイン上に互換性のあるサーバが存在し得ると判断する。次いで、通信相手ドメインは、安全な接続を確立するよう求める要求などのアドミニストレイティブトラフィックを、当該含まれているアドミニストレイティブメールアドレスに送る。こうしたアドミニストレイティブメッセージは、通信相手ドメインのために提供された(上記で「発見シークレット」と称された)秘密も含まなければならない。次いで、発信元ドメインのアドミニストレイティブメールのメール受入れ側は、通信相手ドメインからのものだと称するが、通信相手ドメインに対応する秘密を含まないどのメールも廃棄することができる。このことは、受信されたアドミニストレイティブメールが発信元ドメインからのものであることの絶対的な保証はもたらさないが、アドミニストレイティブアドレス上のSPAMに対する脆弱性を最小限に抑え、また通信相手ドメインへの電子メールを見ることができる攻撃者でも、任意のドメインからのものではなく、通信相手ドメインからのアドミニストレイティブアドレスしかまねることができないことを確実にする。
ある実施形態では、本発明は、ソースドメインから既に送信されている電子メールに添付されている、発見シークレットと称される(時々、メンションと称される)ヘッダを使用することによって実施される。この発見シークレットは、追加の、おそらく望まれないメッセージを生成する必要性を回避しながら、アウトバウンド電子メールを発信するメールサーバ上の特定の機能の利用可能性を明らかにする。上述したように、アドミニストレイティブ電子メールアドレスはメンション内に含められ、アドミニストレイティブ電子メールアドレスへのSPAMのリスクを緩和するためにドメインごとの秘密が存在する。これは、アドミニストレイティブメールアドレス上のワークフローメッセージをサポートする。
発見シークレットは、通信相手ドメインおよび発信元サーバ上に保たれている秘密のシードのハッシュから生成されることができる。同じサーバが複数のソースドメインを表し得るので、発見シークレットは、ソースドメインのハッシュから生成されることもできる。1つの実施形態は、ソースサーバ上のすべてドメインにとって特別な「ソース(source)」を潜在的に有する。これは、1つのシードが複数のサーバに渡って共有されることを可能にし、したがって、それぞれのサーバが任意の通信相手ドメインに一意の同じ発見シークレットを生成する。(アドミニストレイティブメッセージはメンション内に含まれるアドミニストレイティブアドレスに送られるので)それが発信元サーバで受信されるときに、アドミニストレイティブメッセージ内に与えられた発見シークレットは、発信元サーバによってチェックされる。発見シークレットをチェックするために、電子メールサーバは、現在の内部シードを使用してアドミニストレイティブメッセージを送信したドメインについての発見シークレットを生成(または格納)することができる。もし生成された発見シークレットがアドミニストレイティブメッセージ内のものと同じであるならば、そのメッセージは正確な発見シークレットを有し、折衝メッセージの適切な宛先に渡される。折衝メッセージは、ドメイン間で渡される。もし発見シークレットが一致しないならば、同じプロセスが(有界な数まで)前の発見シークレットに適用される。もし着信メッセージ内の発見シークレットに一致する発見シークレットを生成するために使用できる現在有効なシードがないならば、メッセージは有効であると見なされず、廃棄または拒絶され、アドミニストレイティブメッセージの最終的な宛先に渡されない。これは、大量の電子メールに対処不可能であり得るアドミニストレイティブメッセージの受信側に対する認証されていないSPAM攻撃を防止する。さらに、有効な発見シークレットを受信したドメインからのサービス拒否攻撃を回避するために、検証プロセスは、サーバが、特定のドメインから、または特定の発見シークレットを使用して、いくつのメッセージがアドミニストレイティブ宛先へ最近通過したかを追跡することを可能にする。もしその数が許容された限界、または許容されたレートを超える場ならば、その発見シークレットを使用するさらなるアドミニストレイティブメッセージは廃棄され、または拒否される。
図4は、本発明によるSMMアドミニストレイティブルーティングの操作を示すフローチャートである。アンチSPAM(anti−SPAM)エージェントによって使用されるメッセージプロパティフラグ(message property flag)を設定するには検証からの出力が必要なので、署名検証および復号は、アンチSPAM処理の前に生じなければならない。署名検証は、ブロックリスト、およびその他のIPまたはプロトコルアドレスレベルの機能の後に生じるべきである。したがって、このプロセスは、402で、通信相手ドメインがメッセージを送信することを許可されるソースドメインアドレスにメッセージを受信することから開始する。404で、もし発見シークレットが送信側ドメインにとって有効でないと判断されるならば、406でメッセージは除去され、ルーティングプロセスは終了する。もし発見シークレットが有効であれば、プロセスは408に進んで、ドメインが最大量または最大レートを超過するかどうか判断する。もし最大数が超過されるならば、406でメッセージは除去され、そうでない場合、410で署名が有効であれば、メッセージはローカルアドミニストレイティブエージェントにルーティングされる。しかし、署名検証は、ワーカー内で生じる必要はなく、SMM内で通常生じる。
図5は、本発明によるSMMワーカールーティングの操作を示すフローチャートである。SMMはセキュアメッセージングマネージャ(Secure Massaging Manager)であり、ワーカーは、SMMがアドミニスタ(administer)し/制御し、およびメールトラフィックの処理を行うサーバである。SMM署名および暗号化は一般に、最後の機能である。安全なメッセージ関連付けを有するドメインに向かう各メッセージは署名され、暗号化される。このコンポーネントは、セキュリティ関係を有さないドメインに向かうすべてのメールに、現在のSMM一時アドレスを含むヘッダを挿入する。ワーカーは、発見シークレットを適宜挿入するが、安全なメールだけに対してそれを行うのではない。図5に示すように、ドメインは、有効な発見シークレットを見つけた後に、502で有効な署名を探し、504で外部アドレスを探す。発見シークレットは、通常のメール内ではなく、アドミニストレータのためのものであると主張するメッセージ内だけでチェックされる。署名が有効であり、外部アドレスがない場合、506で、メッセージはローカルワーカーエージェントにルーティングされる。外部アドレスがある場合、それはその外部アドレスにルーティングされる。もしメッセージがドメインによってセキュリティ保護されたものらしく見えるならば、無効な署名は、その署名が存在しないのと同様に取り扱われる。メッセージソースは認証されない。
一実施形態では、図6に示すような関係のライフサイクルを表す組織間ワークフローが、アドミニストレイティブ組織間で実施される。他のロールオーバー(rollover)が可能であり、鍵は、それらに関連する証明を有する。証明は、鍵より頻繁にロールオーバーすることができる。署名、暗号化、ならびに認証局証明および鍵があり、そのすべてが独立にロールオーバーする。また、後のピング/受取通知シーケンスが存在することができる。ワークフローは、SMMアドミニストレイティブエージェントによって実施され、ロールオーバー(ロールオーバーは、新しい鍵または証明書への更新を表す語である)を達成するために交換を行うことができる。図7は、新しいセキュリティ関連付けを示す状態図である。この図は、肯定的なケースおよび最終的なケースだけについて考慮している。それは、再送制限に先立つメッセージの再送などの他の態様を含まない。
本発明の他の任意選択の特徴は、別個にまたは組み合わせて実施することができる以下の内容を含む。アクティブな関連付けと認証された関連付けの間の区別は、アドミニストレイティブ遷移を自動的に行うために適用され得る様々なポリシーと同様に「任意選択」である。発見シークレットは有効期限を備えることができ、その場合、ソースドメインサーバは、共有される秘密が時間の経過に伴ってますます公開されるようにならないように、ソースドメインサーバによる招待の受信が有効期限の後である場合には、通信相手ドメインコンピュータ(サーバなど)との互換性を確立するプロセスを開始しない。データ要素は、以下のうちの少なくとも1つであり得る:各通信相手ドメインコンピュータ(サーバなど)についてのランダムまたは疑似ランダム数を含むドメインごとの秘密、通信相手ドメインコンピュータ(サーバなど)および2つ以上のドメインについてドメインごとの秘密を生成するために使用される秘密のシードのハッシングによって生成される秘密、ならびに通信相手ドメインコンピュータ(サーバなど)および秘密の有効期限を暗号化することによって生成されるドメインごとの秘密。データ要素は、秘密を備えることができ、その場合、ソースドメインサーバは、秘密を覚えることができ、または、通信相手ドメインコンピュータ(サーバなど)についての現在の秘密を再計算し、次いでそれを発見シークレット内に含まれる秘密と比較することによって、通信相手ドメインコンピュータ(サーバなど)から受信される秘密を検証することができる。データ要素は、各通信相手ドメインコンピュータ(サーバなど)について重複する期間において有効である複数の秘密から選択することができ、通信相手ドメインコンピュータ(サーバなど)から発信元ドメインのアドミニストレイティブアドレスに通信するために使用できる複数の有効な秘密が存在する。正確なデータ要素を使用したサービス拒否攻撃が緩和されるように、制限を、特定のデータ要素を有するソースドメインサーバアドレスに渡されるメッセージの数に対して課すことができる。ソースドメインサーバは、アウトオブバンド(out−of−band)認証を可能にし、特定のドメインから招待メッセージを送信するために、所与の通信相手ドメインコンピュータ(サーバなど)についてのデータ要素の要件を上書きする能力を含むことができる。データ要素は、メールヘッダの発見シークレットメッセージ内の、もしくはメッセージ本体内に埋め込まれたトークンとし、またはメールヘッダ内のトークンとすることができ、メッセージ本体は、メールサーバを通過するときに暗号化されたままである。ソースドメインサーバは、同一ドメインについて同時に複数の有効な発見シークレットをサポートし、通信相手ドメインコンピュータ(サーバなど)についての発見シークレットに対して、入ってくる発見シークレットを検証することによって通信相手ドメインコンピュータ(サーバなど)のサブドメインからの招待メッセージを検証することができる。データ要素は、発見シークレットであり、ソースドメインサーバについてのバージョン情報を含み、ソースドメインサーバによってサポートされる機能を含むことができる。
一実施形態では、本発明は、発見シークレットがソースドメインサーバから通信相手ドメインコンピュータ(サーバなど)に送信されるためのデータ構造を備える。上述したように、この発見シークレットは、ソースドメインサーバと通信相手ドメインコンピュータ(サーバなど)の間の互換性を確立するために使用される。あるいは、それは、2つのドメイン間のほかの目的のために使用されることができる。たとえば、それらが暗号化またはセキュリティと関係がないテキストまたはHTMLではなく、プロプライエタリな(proprietary)TNEF形式を送信することにそれらが同意するために使用されることができる。データ構造は、メッセージ、およびメッセージに関する通常のヘッダを含む。さらに、データ構造は、メッセージおよびメッセージヘッダに添付された追加のヘッダを含み、それは、通信相手ドメインコンピュータ(サーバなど)に特有のデータ要素を含む。追加ヘッダは、ソースドメインサーバと通信相手ドメインコンピュータ(サーバなど)の間の互換性を確立するために、通信相手ドメインコンピュータ(サーバなど)がソースドメインサーバにメッセージを送信することを許可されるソースドメインサーバアドレスも含む。上述したように、追加ヘッダは有効期限を含むべきであるが、これは任意選択である。
あるいはまたはさらに、発見シークレットは、単一の通信相手先ドメインを含むメッセージ、および/またはオペレータである通信相手ドメインへのメッセージとすることができる。通信相手ドメインへの単一のメッセージは、それぞれの鍵についてのものとすることができ、またそれは、(たとえば、時間毎に1メッセージなど)時間ベースの判断に基づいて送信されることができる。たとえば、ユーザ動作は、NDRまたは受領確認とすることができる。具体的には、別個のメッセージの送信、または既に送信されているメッセージへの添付の選択は、それをあらゆるメッセージに対して行うか、時々だけに行うかとは独立したものである。1つのクロスオーバーケース(crossover case)は、複数ドメイン上に受信側を有するメッセージに発見シークレットを添付するのではなく、単一のドメイン上の受信側(通信相手ドメイン)を有するメッセージを待つことである。ある実装では、メッセージは、通信相手ドメイン上の受信側に向かうコピーがそのドメインについての発見シークレットを有するように分割される。
図8に、コンピュータ130の形の汎用コンピューティングデバイスの一例を示す。本発明の一実施形態では、コンピュータ130などのコンピュータが、本明細書で示され、説明された他の図での使用に適する。コンピュータ130は、1つまたは複数のプロセッサまたは処理ユニット132およびシステムメモリ134を有する。図示の実施形態では、システムバス136が、システムメモリ134を含むさまざまなシステムコンポーネントをプロセッサ132に結合する。バス136は、メモリバスまたはメモリコントローラ、周辺バス、AGP(accelerated graphics port)、およびさまざまなバスアーキテクチャのいずれかを使用するプロセッサバスまたはローカルバスを含む複数のタイプのバス構造のいずれかのうちの1つまたは複数とすることができる。制限ではなく例として、そのようなアーキテクチャに、ISA(Industry Standard Architecture)バス、MCA(Micro Channel Architechture)バス、EISA(Enhanced ISA)バス、VESA(Video Electronics Standards Association)ローカルバス、およびメザニンバスとも称するPCI(Peripheral Component Interconnect)バスが含まれる。
コンピュータ130に、通常は、少なくとも1つの形のコンピュータ可読媒体が含まれる。揮発性媒体および不揮発性媒体、リムーバブル媒体および非リムーバブル媒体の両方を含むコンピュータ可読媒体は、コンピュータ130によってアクセスできる使用可能な媒体のいずれかとすることができる。制限ではなく例として、コンピュータ可読媒体は、コンピュータ記憶媒体および通信媒体を備える。コンピュータ記憶媒体に、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータなどの情報の保管のための方法またはテクノロジのいずれかで実装された、揮発性および不揮発性、リムーバブルおよび非リムーバブルの媒体が含まれる。たとえば、コンピュータ記憶媒体に、RAM、ROM、EEPROM、フラッシュメモリ、または他のメモリテクノロジ、CD−ROM、ディジタル多用途ディスク(DVD)、または他の光学ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ、または他の磁気ストレージデバイス、あるいは所望の情報の保管に使用でき、コンピュータ130によってアクセスできる他のすべての媒体が含まれる。通信媒体は、通常は、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを、搬送波または他のトランスポート機構などの変調されたデータ信号内に具体化し、通信媒体には、すべての情報配布媒体が含まれる。当業者は、変調されたデータ信号に精通しているが、この変調されたデータ信号は、信号内に情報をエンコードする形でその特性の1つまたは複数が設定または変更されている。有線ネットワークまたは直接配線接続などの有線媒体と、音響、RF、赤外線、および他の無線媒体などの無線媒体が、通信媒体の例である。上記のいずれかの組合せも、コンピュータ可読媒体の範囲に含まれる。
システムメモリ134に、リムーバブルおよび/または非リムーバブルで揮発性および/または不揮発性のメモリの形のコンピュータ記憶媒体が含まれる。図示の実施形態では、システムメモリ134に、読取専用メモリ(ROM)138およびランダムアクセスメモリ(RAM)140が含まれる。起動中などにコンピュータ130内の要素の間での情報の転送を助ける基本ルーチンを含む基本入出力システム142(BIOS)が、通常はROM 138に保管される。RAM 140には、通常は、処理ユニット132から即座にアクセス可能、かつ/または処理ユニット132によって現在操作中のデータおよび/またはプログラムモジュールが含まれる。制限ではなく例として、図8に、オペレーティングシステム144、アプリケーションプログラム146、他のプログラムモジュール148、およびプログラムデータ150を示す。
コンピュータ130に、他のリムーバブル/非リムーバブルで揮発性/不揮発性のコンピュータ記憶媒体も含めることができる。たとえば、図8に、非リムーバブル不揮発性磁気媒体から読み取るかこれに書き込むハードディスクドライブ154を示す。図8に、リムーバブル不揮発性磁気ディスク158から読み取るかこれに書き込む磁気ディスクドライブ156と、CD−ROMまたは他の光媒体などのリムーバブル不揮発性光ディスク162から読み取るかこれに書き込む光ディスクドライブ160も示す。例示的なオペレーティング環境で使用できる他のリムーバブル/非リムーバブルで揮発性/不揮発性のコンピュータ記憶媒体に、磁気テープカセット、フラッシュメモリカード、ディジタル多用途ディスク、ディジタルビデオテープ、ソリッドステートRAM、ソリッドステートROM、および類似物が含まれるが、これに制限はされない。ハードディスクドライブ154、磁気ディスクドライブ156、および光ディスクドライブ160は、通常は、インターフェース166などの不揮発性メモリインターフェースによってシステムバス136に接続される。
上で説明し、図8に示したドライブまたは他の大容量ストレージデバイスおよびそれに関連するコンピュータ記憶媒体は、コンピュータ130のコンピュータ可読命令、データ構造、プログラムモジュール、および他のデータのストレージを提供する。図8では、たとえば、ハードディスクドライブ154が、オペレーティングシステム170、アプリケーションプログラム172、他のプログラムモジュール174、およびプログラムデータ176を保管するものとして図示されている。これらのコンポーネントを、オペレーティングシステム144、アプリケーションプログラム146、他のプログラムモジュール148、およびプログラムデータ150と同一のまたは異なるもののいずれかとすることができることに留意されたい。オペレーティングシステム170、アプリケーションプログラム172、他のプログラムモジュール174、およびプログラムデータ176は、少なくとも異なるコピーであることを示すために、異なる符号を与えられている。
ユーザは、キーボード180およびポインティングデバイス182(たとえば、マウス、トラックボール、ペン、またはタッチパッド)などの入力デバイスまたはユーザインターフェース選択デバイスを介してコンピュータ130にコマンドおよび情報を入力することができる。他の入力デバイス(図示せず)に、マイクロホン、ジョイスティック、ゲームパッド、衛星パラボラアンテナ、スキャナ、または類似物を含めることができる。上記および他の入力デバイスは、システムバス136に結合されたユーザ入力インターフェース184を介して処理ユニット132に接続されるが、パラレルポート、ゲームポート、またはUniversal Serial Bus(USB)などの他のインターフェースおよびバス構造によって接続することができる。モニタ188または他のタイプのディスプレイデバイスも、ビデオインターフェース190などのインターフェースを介してシステムバス136に接続される。モニタ188のほかに、コンピュータに、しばしば、プリンタおよびスピーカなどの他の周辺出力デバイス(図示せず)が含まれ、これらの周辺出力デバイスは、出力周辺インターフェース(図示せず)を介して接続することができる。
コンピュータ130は、リモートコンピュータ194などの1つまたは複数のリモートコンピュータへの論理接続を使用してネットワーク化された環境で動作することができる。リモートコンピュータ194は、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、または他の一般的なネットワークノードとすることができ、通常は、上でコンピュータ130に関して説明した要素の多くまたはすべてを含む。図8に示された論理接続に、ローカルエリアネットワーク(LAN)196および広域ネットワーク(WAN)198が含まれるが、他のネットワークも含めることができる。LAN 136および/またはWAN 138は、有線ネットワーク、無線ネットワーク、またはこれらの組合せなどとすることができる。そのようなネットワーキング環境は、オフィス、会社全体のコンピュータネットワーク、イントラネット、およびグローバルコンピュータネットワーク(たとえば、インターネット)でありふれたものである。
ローカルエリアネットワーキング環境で使用されるときに、コンピュータ130は、ネットワークインターフェースまたはネットワークアダプタ186を介してLAN 196に接続される。広域ネットワーキング環境で使用されるときに、コンピュータ130に、通常は、インターネットなどのWAN 198を介する通信を確立する、モデム178または他の手段が含まれる。モデム178は、内蔵または外付けとすることができるが、ユーザ入力インターフェース184または他の適当な機構を介してシステムバス136に接続される。ネットワーク化された環境では、コンピュータ130に関して図示されたプログラムモジュールまたはその一部を、リモートメモリストレージデバイス(図示せず)に保管することができる。制限ではなく例として、図8に、メモリデバイスに常駐するものとしてリモートアプリケーションプログラム192を示す。図示のネットワーク接続は例示的であり、コンピュータの間の通信リンクを確立する他の手段を使用することができる。
一般に、コンピュータ130のデータプロセッサは、異なる時にコンピュータの様々なコンピュータ可読記憶媒体に保管される命令によってプログラムされる。プログラムおよびオペレーティングシステムは、通常、たとえばフロッピディスクまたはCD−ROMで配布される。そこから、これらが、コンピュータの副メモリにインストールまたはロードされる。実行時に、これらは、少なくとも部分的にコンピュータの主電子メモリにロードされる。本明細書に記載の発明には、これらおよび他のさまざまなタイプのコンピュータ可読記憶媒体にマイクロプロセッサまたは他のデータプロセッサに関連して以下で説明するステップを実装する命令またはプログラムが含まれるときに、そのような媒体が含まれる。本発明に、本明細書に記載の方法および技法に従ってプログラムされたときのコンピュータ自体も含まれる。
例示のために、オペレーティングシステムなどのプログラムおよび他の実行可能プログラムコンポーネントを、本明細書では別個のブロックとして図示した。しかし、そのようなプログラムおよびコンポーネントが、さまざまな時にコンピュータの異なるストレージコンポーネントに常駐し、コンピュータのデータプロセッサによって実行されることを理解されたい。
コンピュータ130を含む例示的なコンピューティングシステム環境に関して説明したが、本発明は、多数の他の汎用のまたは特殊目的のコンピューティングシステム環境またはコンピューティングシステム構成と共に動作する。このコンピューティングシステム環境は、本発明の使用または機能性の範囲に関する制限を提案することを意図したものではない。さらに、このコンピューティングシステム環境を、この例示的なオペレーティング環境に示されたコンポーネントのいずれかまたはその組合せに対する依存性または要件を有すると解釈してはならない。本発明と共に使用するのに適する可能性がある周知のコンピューティングシステム、コンピューティング環境、および/またはコンピューティング構成の例に、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドデバイス、ラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブルコンシューマエレクトロニクス、携帯電話機、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、上記のシステムまたはデバイスのいずれかを含む分散コンピューティング環境、および類似物が含まれるが、これらに制限はされない。
本発明を、プログラムモジュールなど、1つまたは複数のコンピュータまたは他のデバイスによって実行されるコンピュータ実行可能命令の全般的な文脈で説明することができる。一般に、プログラムモジュールには、特定のタスクを実行するかまたは特定の抽象データ型を実装する、ルーチン、プログラム、オブジェクト、コンポーネント、およびデータ構造が含まれるが、これに制限はされない。本発明は、通信ネットワークを介してリンクされたリモート処理デバイスによってタスクが実行される分散コンピューティング環境で実践することもできる。分散コンピューティング環境では、プログラムモジュールを、メモリストレージデバイスを含むローカルとリモートの両方のコンピュータ記憶媒体に配置することができる。
ソフトウェアアーキテクチャの文脈でのインターフェースは、ソフトウェアモジュール、コンポーネント、コード部分、またはコンピュータ実行可能命令の他のシーケンスを含む。インターフェースには、たとえば、第1モジュールの代わりにコンピューティングタスクを実行する第2モジュールにアクセスする第1モジュールが含まれる。第1および第2のモジュールに、一例で、オペレーティングシステムによって提供されるアプリケーションプログラミングインターフェース(API)、コンポーネントオブジェクトモデル(COM)インターフェース(たとえば、ピアツーピアアプリケーション通信用)、およびXMI(extensible markup language metadata interchange format)インターフェース(たとえば、ウェブサービス間の通信用)が含まれる。
インターフェースは、Java(登録商標) 2 Platform Enterprise Edition(J2EE)、COM、または分散COM(DCOM)の例など、密結合同期式実装とすることができる。その代わりにまたはそれに加えて、インターフェースを、ウェブサービス(たとえば、simple object access protocolを使用する)など、疎結合非同期式実装とすることができる。一般に、インターフェースに、密結合、疎結合、同期式、および非同期式という特性の任意の組合せが含まれる。さらに、インターフェースは、標準プロトコル、独自プロトコル、または標準プロトコルおよび独自プロトコルの任意の組合せに準拠することができる。
本明細書に記載のインターフェースは、そのすべてを、単一のインターフェースの一部とするか、または別々のインターフェースとして実装するか、あるいはその組合せとすることができる。インターフェースは、機能性を提供するためにローカルにまたはリモートで実行することができる。さらに、インターフェースに、本明細書で図示または説明されたものより多くのまたは少数の機能性を含めることができる。
操作においてコンピュータ130は、図2〜7に示すものなど、上述のコンピュータ実行可能命令を実行するために、ソースドメインサーバ、または(サーバであり得る)通信相手ドメインコンピュータとして動作する。
本明細書で図示され説明された方法の実行の順序または、そうでないと指定されていない限り、本質的でない。すなわち、この方法の要素を、そうでないと指定されていない限り任意の順序で実行することができ、この方法に、本明細書で開示されたものより多数または少数の要素を含めることができる。たとえば、別の要素の前、それと同時、またはその後に特定の要素を実行または実施することが、本発明の範囲内であることが企図されている。
本発明の要素、またはその諸実施形態について述べるときに、冠詞「ある」および「その」は、1つまたは複数の要素があることを意味するものである。用語「備える」、「含む」および「有する」は、包含的なものであり、リストされた要素より追加の要素があり得ることを意味している。
上記内容に鑑みて、本発明の複数の目的が実現され、他の有利な結果が達成されることが理解されるだろう。
本発明の範囲から逸脱せずに、上記構成、製品および方法に様々な変更を加えることができるので、上記説明に含まれ、また添付の図面に示されたすべての事柄は、限定的ではなく、例示的な意味で解釈すべきである。
132 処理装置
134 システムメモリ
136 システムバス
144 オペレーティングシステム
146 アプリケーションプログラム
148 他のプログラムモジュール
150 プログラムデータ
166 不揮発性メモリインターフェース
170 オペレーティングシステム
172 アプリケーションプログラム
174 他のプログラムモジュール
176 プログラムデータ
184 ユーザ入力インターフェース
186 ネットワークインターフェース
190 ビデオインターフェース
192 リモートアプリケーションプログラム
196 ローカルエリアネットワーク
198 広域ネットワーク
134 システムメモリ
136 システムバス
144 オペレーティングシステム
146 アプリケーションプログラム
148 他のプログラムモジュール
150 プログラムデータ
166 不揮発性メモリインターフェース
170 オペレーティングシステム
172 アプリケーションプログラム
174 他のプログラムモジュール
176 プログラムデータ
184 ユーザ入力インターフェース
186 ネットワークインターフェース
190 ビデオインターフェース
192 リモートアプリケーションプログラム
196 ローカルエリアネットワーク
198 広域ネットワーク
Claims (10)
- ソースドメインと通信相手ドメインとの間のリンクを確立するために潜在的通信相手ドメインが互換性のある安全な電子メール技術を有すると判断するための方法であって、
前記ソースドメインから前記通信相手ドメインに発見シークレットを送信するステップであって、前記発見シークレットは前記通信相手ドメインに特有のデータ要素を含み、前記発見シークレットは、前記ソースドメインと前記通信相手ドメインとの間の互換性を確立するために前記通信相手ドメインがメッセージを送信することを許可されるソースドメインアドレスを含むステップと、
前記ソースドメインアドレスを介して前記ソースドメインによって前記通信相手ドメインからの招待を受信するステップ(502)であって、前記招待は、前記通信相手ドメインとの互換性を確立するためのプロセスを開始するため前記通信相手ドメインによって使用され得る前記データ要素、または前記データ要素に対応する要素を含むステップと
を備え、
前記発見シークレットは有効期限を備え、
前記ソースドメインは、前記ソースドメインによる前記招待の受信が前記有効期限の後である場合には、前記通信相手ドメインと前記ソースドメインが互換性のある安全な電子メール技術を有することを立証しないことを特徴とする方法。 - 前記通信相手ドメインおよび前記ソースドメインが互換性のある安全な電子メール技術を有することを立証するために前記ソースドメインから前記通信相手ドメインに受入れを送信するステップ(504)をさらに備えることを特徴とする請求項1に記載の方法。
- 前記発見シークレットは、
前記ソースドメインがメッセージを受信した通信相手ドメイン、
前もって識別された通信相手ドメイン、および
ランダムに選択されたメッセージを介した通信相手ドメイン
のうちの少なくとも1つに選択的に送信されることを特徴とする請求項1に記載の方法。 - 前記発見シークレットは、
ユーザ動作に応答して生成される応答メッセージ、
単一の通信相手ドメインを含む単一ドメインメッセージ、
オペレータである通信相手ドメインへのオペレータメッセージ、
それぞれの鍵についての前記通信相手ドメインへの単一鍵メッセージ、または
時間ベースの判断に基づいて送信される時間ベースメッセージ
のうちの少なくとも1つまたは複数のメッセージであることを特徴とする請求項1に記載の方法。 - 前記発見シークレットは、前記データ要素および前記ソースドメインアドレスを含む追加のヘッダを備えることを特徴とする請求項1に記載の方法。
- 前記データ要素は、メールヘッダ内の、もしくはメッセージの本体に埋め込まれた発見シークレットメッセージ内のトークンであり、または前記データ要素はメールヘッダ内のトークンであり、前記メッセージの本体はメールサーバを通過するときに暗号化されたままであることを特徴とする請求項1に記載の方法。
- 同じドメインについて同時に有効な複数のトークンをサポートし、通信相手ドメインのトークンに対して入ってくるトークンを検証することによって前記通信相手ドメインのサブドメインからの招待メッセージを検証するステップをさらに備えることを特徴とする請求項1に記載の方法。
- 前記データ要素はメンションであり、前記メンション内に前記ソースドメインについてのバージョン情報を含め、前記メンション内に前記ソースドメインによってサポートされる機能を含めるステップをさらに備えることを特徴とする請求項1に記載の方法。
- 通信相手ドメインとソースドメインが互換性のある安全な電子メール技術を有することを立証するためのシステムであって、
前記通信相手ドメインに発見シークレットを送信するソースドメインサーバであって、前記発見シークレットは前記通信相手ドメインに特有のデータ要素を含み、前記発見シークレットは、前記通信相手ドメインと前記ソースドメインが互換性のある安全な電子メール技術を有することを立証するために前記通信相手ドメインがメッセージを送信することを許可されるソースドメインアドレスを含むソースドメインサーバと、
前記データ要素および前記ソースドメインアドレスを含む前記発見シークレットを受信し、前記通信相手ドメインから前記ソースドメインアドレスに招待を送信する通信相手ドメインコンピュータであって、前記招待は前記データ要素、または前記データ要素に対応する要素を含む通信相手ドメインコンピュータと
を備え、
前記発見シークレットは有効期限を備え、
前記ソースドメインは、前記ソースドメインによる前記招待の受信が前記有効期限の後である場合には、前記通信相手ドメインと前記ソースドメインが互換性のある安全な電子メール技術を有することを立証しないことを特徴とするシステム。 - 前記ソースドメインサービスによって送信される前記発見シークレットは、
前記ソースドメインがメッセージを受信した通信相手先ドメインに選択的に送信される発見シークレット、
前もって識別された通信相手ドメイン、またはランダムに選択された通信相手ドメインに選択的に送信される発見シークレット、
ユーザ動作に応答して生成されるメッセージ、
単一の通信相手ドメインを含むメッセージ、
サーバのオペレータアドレスである通信相手ドメインへのメッセージ、
それぞれの鍵についての前記通信相手ドメインへの単一のメッセージ、
時間ベースの判断に基づいて送信されるメッセージ、
前記データ要素および前記ソースドメインアドレスを含む追加のヘッダ、および
有効期限
のうちの少なくとも1つを備え、
前記ソースドメインによる前記招待の受信が前記有効期限の後である場合には前記ソースドメインは前記通信相手ドメインとのリンクを確立するためのプロセスを開始しないことを特徴とする請求項9に記載のシステム。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US65927905P | 2005-03-07 | 2005-03-07 | |
| US60/659,279 | 2005-03-07 | ||
| US11/107,011 | 2005-04-15 | ||
| US11/107,011 US7529937B2 (en) | 2005-03-07 | 2005-04-15 | System and method for establishing that a server and a correspondent have compatible secure email |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2006254444A JP2006254444A (ja) | 2006-09-21 |
| JP2006254444A5 JP2006254444A5 (ja) | 2009-04-23 |
| JP4703438B2 true JP4703438B2 (ja) | 2011-06-15 |
Family
ID=35985402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006061740A Expired - Fee Related JP4703438B2 (ja) | 2005-03-07 | 2006-03-07 | サーバと通信相手が互換性のある安全な電子メールを有することを立証するためのシステムおよび方法 |
Country Status (21)
| Country | Link |
|---|---|
| US (1) | US7529937B2 (ja) |
| EP (1) | EP1701494B1 (ja) |
| JP (1) | JP4703438B2 (ja) |
| KR (1) | KR101219862B1 (ja) |
| CN (1) | CN1832477B (ja) |
| AT (1) | ATE497298T1 (ja) |
| AU (1) | AU2006200313B2 (ja) |
| BR (1) | BRPI0600348A (ja) |
| CA (1) | CA2535285A1 (ja) |
| CO (1) | CO5790184A1 (ja) |
| DE (1) | DE602006019792D1 (ja) |
| EG (1) | EG25149A (ja) |
| IL (1) | IL173581A (ja) |
| MX (1) | MXPA06001521A (ja) |
| MY (1) | MY147713A (ja) |
| NO (1) | NO20060069L (ja) |
| NZ (1) | NZ545136A (ja) |
| RU (1) | RU2412480C2 (ja) |
| SG (1) | SG126023A1 (ja) |
| TW (1) | TWI373246B (ja) |
| ZA (1) | ZA200601007B (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070073800A1 (en) * | 2005-09-29 | 2007-03-29 | Intel Corporation | Provisioning, configuring, and managing a platform in a network |
| US8640201B2 (en) | 2006-12-11 | 2014-01-28 | Microsoft Corporation | Mail server coordination activities using message metadata |
| US20090282248A1 (en) * | 2008-05-09 | 2009-11-12 | International Business Machines Corporation. | Method and system for securing electronic mail |
| US8806590B2 (en) | 2008-06-22 | 2014-08-12 | Microsoft Corporation | Signed ephemeral email addresses |
| US8806190B1 (en) | 2010-04-19 | 2014-08-12 | Amaani Munshi | Method of transmission of encrypted documents from an email application |
| US8621005B2 (en) | 2010-04-28 | 2013-12-31 | Ttb Technologies, Llc | Computer-based methods and systems for arranging meetings between users and methods and systems for verifying background information of users |
| US10200325B2 (en) | 2010-04-30 | 2019-02-05 | Shazzle Llc | System and method of delivering confidential electronic files |
| US8819412B2 (en) | 2010-04-30 | 2014-08-26 | Shazzle Llc | System and method of delivering confidential electronic files |
| CN104954317B (zh) * | 2014-03-25 | 2018-11-13 | 国基电子(上海)有限公司 | 配置网络参数的方法、服务器及客户端 |
| TWI565277B (zh) * | 2014-03-25 | 2017-01-01 | 鴻海精密工業股份有限公司 | 配置網路參數的方法、伺服器及用戶端 |
| CN104468524B (zh) * | 2014-11-14 | 2018-12-25 | 小米科技有限责任公司 | 权限验证的方法及装置 |
| US11757914B1 (en) * | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
| KR102502096B1 (ko) | 2020-12-01 | 2023-02-20 | 주식회사 카카오 | 전자메일의 유해성을 판단하는 방법 및 시스템 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5958005A (en) * | 1997-07-17 | 1999-09-28 | Bell Atlantic Network Services, Inc. | Electronic mail security |
| JP2001292174A (ja) * | 2000-02-21 | 2001-10-19 | Dica Technologies Ag | インターネットのメールドメイン間の保安されたeメール交信を構成するための方法及び通信装置 |
| JP2002521970A (ja) * | 1998-07-26 | 2002-07-16 | バンガード・セキュリティ・テクノロジーズ・リミテッド | セキュリティを施したメッセージの管理システム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10190723A (ja) | 1996-12-27 | 1998-07-21 | Puratsuto Home Kk | 電子メール識別方法と情報通信ネットワークシステム |
| EP0946022B1 (en) * | 1998-03-26 | 2013-12-18 | Nippon Telegraph And Telephone Corporation | Email access control scheme for communication network using identification concealment mechanism |
| US6728378B2 (en) * | 2000-10-13 | 2004-04-27 | Eversystems Information Comircio Representagco, Importageo E Exportagco Ltda. | Secret key messaging |
| US7191252B2 (en) * | 2000-11-13 | 2007-03-13 | Digital Doors, Inc. | Data security system and method adjunct to e-mail, browser or telecom program |
| SE522647C2 (sv) * | 2001-07-04 | 2004-02-24 | Ericsson Telefon Ab L M | Säker brevhuvudinformation för e-brev av multi-innehållstyp |
| KR20030061558A (ko) * | 2002-01-14 | 2003-07-22 | (주) 씨네티아 정보통신 | 가상개인키를 이용한 사용자 인증방법 |
| CA2390817A1 (en) | 2002-06-28 | 2003-12-28 | Ron W. Warris | Method for the moderately secure transmission of electronic mail |
| CN1509098A (zh) * | 2002-12-20 | 2004-06-30 | Ӣҵ�O�ţ��Ϻ������Ӽ�������˾ | 电子邮件加密的实现方法 |
| US8132011B2 (en) * | 2003-05-09 | 2012-03-06 | Emc Corporation | System and method for authenticating at least a portion of an e-mail message |
| US20050010644A1 (en) | 2003-07-07 | 2005-01-13 | Brown Scott T. | High performance electronic message delivery engine |
-
2005
- 2005-04-15 US US11/107,011 patent/US7529937B2/en active Active
-
2006
- 2006-01-05 NO NO20060069A patent/NO20060069L/no unknown
- 2006-01-10 TW TW095100957A patent/TWI373246B/zh not_active IP Right Cessation
- 2006-01-12 SG SG200600389A patent/SG126023A1/en unknown
- 2006-01-13 KR KR1020060003759A patent/KR101219862B1/ko active IP Right Grant
- 2006-01-17 MY MYPI20060195A patent/MY147713A/en unknown
- 2006-01-24 AU AU2006200313A patent/AU2006200313B2/en not_active Ceased
- 2006-02-03 ZA ZA200601007A patent/ZA200601007B/en unknown
- 2006-02-06 CO CO06010919A patent/CO5790184A1/es not_active Application Discontinuation
- 2006-02-06 RU RU2006103355/08A patent/RU2412480C2/ru not_active IP Right Cessation
- 2006-02-06 CA CA002535285A patent/CA2535285A1/en not_active Withdrawn
- 2006-02-07 NZ NZ545136A patent/NZ545136A/en not_active IP Right Cessation
- 2006-02-07 IL IL173581A patent/IL173581A/en active IP Right Grant
- 2006-02-08 MX MXPA06001521A patent/MXPA06001521A/es active IP Right Grant
- 2006-02-08 BR BRPI0600348-6A patent/BRPI0600348A/pt not_active IP Right Cessation
- 2006-02-10 CN CN2006100037961A patent/CN1832477B/zh not_active Expired - Fee Related
- 2006-02-23 AT AT06110330T patent/ATE497298T1/de not_active IP Right Cessation
- 2006-02-23 EP EP06110330A patent/EP1701494B1/en not_active Not-in-force
- 2006-02-23 DE DE602006019792T patent/DE602006019792D1/de active Active
- 2006-03-06 EG EG2006030088A patent/EG25149A/xx active
- 2006-03-07 JP JP2006061740A patent/JP4703438B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5958005A (en) * | 1997-07-17 | 1999-09-28 | Bell Atlantic Network Services, Inc. | Electronic mail security |
| JP2002521970A (ja) * | 1998-07-26 | 2002-07-16 | バンガード・セキュリティ・テクノロジーズ・リミテッド | セキュリティを施したメッセージの管理システム |
| JP2001292174A (ja) * | 2000-02-21 | 2001-10-19 | Dica Technologies Ag | インターネットのメールドメイン間の保安されたeメール交信を構成するための方法及び通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| IL173581A0 (en) | 2006-07-05 |
| IL173581A (en) | 2010-11-30 |
| NZ545136A (en) | 2007-08-31 |
| RU2412480C2 (ru) | 2011-02-20 |
| ZA200601007B (en) | 2007-11-28 |
| ATE497298T1 (de) | 2011-02-15 |
| KR101219862B1 (ko) | 2013-01-18 |
| MY147713A (en) | 2013-01-15 |
| KR20060097567A (ko) | 2006-09-14 |
| DE602006019792D1 (de) | 2011-03-10 |
| CN1832477B (zh) | 2010-12-08 |
| JP2006254444A (ja) | 2006-09-21 |
| EG25149A (en) | 2011-09-26 |
| BRPI0600348A (pt) | 2006-10-31 |
| CO5790184A1 (es) | 2007-08-31 |
| TW200633469A (en) | 2006-09-16 |
| CA2535285A1 (en) | 2006-09-07 |
| RU2006103355A (ru) | 2007-08-20 |
| SG126023A1 (en) | 2006-10-30 |
| CN1832477A (zh) | 2006-09-13 |
| AU2006200313A1 (en) | 2006-09-21 |
| US20060200669A1 (en) | 2006-09-07 |
| TWI373246B (en) | 2012-09-21 |
| EP1701494A1 (en) | 2006-09-13 |
| AU2006200313B2 (en) | 2010-01-28 |
| NO20060069L (no) | 2006-09-08 |
| US7529937B2 (en) | 2009-05-05 |
| EP1701494B1 (en) | 2011-01-26 |
| MXPA06001521A (es) | 2007-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4703438B2 (ja) | サーバと通信相手が互換性のある安全な電子メールを有することを立証するためのシステムおよび方法 | |
| US10313135B2 (en) | Secure instant messaging system | |
| US9917828B2 (en) | Secure message delivery using a trust broker | |
| US8191105B2 (en) | System and method for handling electronic messages | |
| KR101149958B1 (ko) | 이메일을 사용하는 공개 정보의 인증된 교환 | |
| US7650383B2 (en) | Electronic message system with federation of trusted senders | |
| JP2006520112A (ja) | セキュリティ用キーサーバ、否認防止と監査を備えたプロセスの実現 | |
| US20090210708A1 (en) | Systems and Methods for Authenticating and Authorizing a Message Receiver | |
| US8856525B2 (en) | Authentication of email servers and personal computers | |
| US7971061B2 (en) | E-mail system and method having certified opt-in capabilities | |
| JP2007053569A (ja) | 電子メールセキュリティ化装置及び該システム | |
| US20200220729A1 (en) | System and method for authenticating a sender of an electronic mail (e-mail) over a network | |
| Holst-Christensen et al. | Security issues in SMTP-based email systems | |
| JP2009100345A (ja) | メール中継装置 | |
| JP2000267954A (ja) | 電子メール取消方法及び方式 | |
| Breuch | Web Key Directory and other key exchange methods for OpenPGP | |
| EP1788771A1 (en) | System and method for handling electronic messages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090309 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090309 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101008 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110111 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110304 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110308 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4703438 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |