RU2425450C2 - Распределение ключа для защищенного обмена сообщениями - Google Patents

Распределение ключа для защищенного обмена сообщениями Download PDF

Info

Publication number
RU2425450C2
RU2425450C2 RU2008122778/09A RU2008122778A RU2425450C2 RU 2425450 C2 RU2425450 C2 RU 2425450C2 RU 2008122778/09 A RU2008122778/09 A RU 2008122778/09A RU 2008122778 A RU2008122778 A RU 2008122778A RU 2425450 C2 RU2425450 C2 RU 2425450C2
Authority
RU
Russia
Prior art keywords
domain
electronic message
key
communication gateway
agent
Prior art date
Application number
RU2008122778/09A
Other languages
English (en)
Other versions
RU2008122778A (ru
Inventor
Джеффри Б. КЕЙ (US)
Джеффри Б. КЕЙ
Эрик Д. ТРИББЛ (US)
Эрик Д. ТРИББЛ
Малком И. ПИРСОН (US)
Малком И. ПИРСОН
Тревор В. ПРИМЭН (US)
Тревор В. ПРИМЭН
Рой УИЛЛЬЯМС (US)
Рой УИЛЛЬЯМС
Original Assignee
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн
Publication of RU2008122778A publication Critical patent/RU2008122778A/ru
Application granted granted Critical
Publication of RU2425450C2 publication Critical patent/RU2425450C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к сетевой связи, а именно, к системам и способам распределения ключа для защищенного обмена сообщениями. Технический результат - повышение защищенности передаваемых сообщений. Технический результат достигается тем, что электронное сообщение шифруют с использованием симметричного ключа, ассоциированного с доменом посылающего агента, а симметричный ключ шифруют с использованием открытого ключа шифрования, ассоциированного с одним другим доменом принимающего агента, который является предполагаемым получателем сообщения, для получения зашифрованной версии симметричного ключа, которая является дешифрируемой другим шлюзом связи с использованием открытого ключа проверки, извлекаемого другим шлюзом связи, и секретного ключа, хранимого локально на другом домене, причем секретный ключ является секретным аналогом открытого ключа шифрования. Затем посредством шлюза связи от имени посылающего агента передают зашифрованную версию электронного сообщения принимающему агенту через другой шлюз связи. 3 н. и 10 з.п. ф-лы, 4 ил.

Description

Настоящее описание относится к распределению ключа для защищенного обмена сообщениями.
Раскрытие изобретения
В настоящей заявке описаны системы и способы, с помощью которых передающая конечная точка, предназначенная для осуществления сетевой связи, может использовать выбранный открытый ключ, который связан с предназначенным получателем, сетевым устройством получателя, шлюзом, с которым связан предназначенный получатель, или доменом, с которым связан предназначенный получатель, чтобы защитить внешнее сообщение. В принимающем узле выбранный открытый ключ, который связан с источником, сетевым устройством источника, шлюзом, с которым связан источник, или доменом, с которым связан источник, может быть использован, чтобы аутентифицировать и проверить достоверность защищенного сообщения.
Краткое описание чертежей
Настоящее описание ссылается на следующие чертежи.
Фиг.1 иллюстрирует узлы связи сети, причем узлы осуществляют примерные технологии, относящиеся к распределению ключа.
Фиг.2 иллюстрирует примерную конфигурацию агентов связи и соответствующих шлюзов связи, взаимодействующих через сеть, осуществляющую примерные технологии, относящиеся к распределению ключа.
Фиг.3 иллюстрирует примерную конфигурацию шлюза связи, дополнительно к примеру Фиг.2.
Фиг.4 иллюстрирует примерную блок схему последовательности этапов обработки, в соответствии, по меньшей мере, с одним вариантом осуществления распределения ключа.
Осуществление изобретения
Осуществление изобретения, относящееся к распределению ключа, может относиться к системам, методологиям, способам, процессам, инструкциям, программам и инструментальным средствам, которые могут быть использованы, чтобы защищать обмен сообщениями из одной конечной точки, предназначенной для осуществления сетевой связи, по меньшей мере, в одну другую такую конечную точку.
“Домен”, как упомянут в настоящей заявке, может относиться к одной или более организационным логическим совокупностям конечных точек сети, которые могут осуществлять сетевую связь, которые могут совместно использовать общий суффикс наименований, но не ограничен ими, причем такие устройства включают в себя серверы, клиентские устройства, или другое устройство или различные их комбинации, но не ограничены ими. (Организация может иметь множество доменов).
“Шлюз”, как упомянут в настоящей заявке, может относиться к одному или более устройств, которые облегчают взаимодействие между двумя или более доменами, сетями или подсетями, но не ограничен ими. Таким образом, шлюз может работать либо в качестве точки входа, либо в качестве точки выхода для соответственно домена или сети. Преобразование транспортного протокола может не требоваться, но обычно выполняют некоторый вид обработки.
Фиг.1 изображает примерную сетевую среду 100, в которой могут быть осуществлены примерные технологии, предназначенные для распределения 105 ключа через сеть 110. На Фиг. 1 устройства 115 и 120 сервера, клиентское устройство 125, карманное клиентское устройство 130 и “другое” устройство 135 могут быть конечными точками, предназначенными для осуществления сетевой связи, которые соединены друг с другом через сеть 110, и дополнительно, по меньшей мере, одно из устройств 115 и 120 сервера, клиентского устройства 125, карманного клиентского устройства 130 и “другого” устройства 135 могут быть конечными точками, предназначенными для осуществления сетевой связи, которые могут осуществлять вышеупомянутые технологии.
Устройства 115 и 120 сервера могут представлять устройства или конечные точки, предназначенные для осуществления сетевой связи, которые служат в качестве шлюзов домена, или иначе могут передавать и принимать сообщения (т.е. электронные пакеты) или любые другие из множества данных и/или функций в другие устройства в сетевой среде 100. Варианты осуществления распределения 105 ключа могут быть применимы к обмену электронными пакетами между устройствами 115 и 120 сервера в незашифрованном виде (т.е. без каких-либо мер защиты, реализованных в них), хотя альтернативные варианты осуществления могут быть применимы, даже если данные, которыми обмениваются, ограничены определенными пользователями, или только, если произведена оплата соответствующей подписки или лицензирования. Устройства 115 и 120 сервера могут быть, по меньшей мере, одним из следующих устройств: шлюз, агент передачи сообщений электронной почты (МТА), сервер домена, сервер сети, сервер приложений, модульным сервером, или любой их комбинацией. Обычно устройства 115 и 120 сервера могут представлять устройства, которые могут быть источниками информации, а клиентские устройства 125 и 130 могут представлять любое устройство, которое может принимать такую информацию либо через сеть 110, либо способом автономного режима. Однако в соответствии с примерными вариантами осуществления, описанными в настоящей заявке, устройства 115 и 120 сервера и клиентские устройства 125 и 130 могут быть взаимозаменяемо посылающими узлами или принимающими узлами в сетевой среде. Более конкретно, относительно друг друга устройства 115 и 120 сервера могут быть взаимозаменяемо посылающим узлом или принимающим узлом. “Другое” устройство 135 также может быть осуществлено с помощью любого из упомянутых выше примеров устройств 115 и 120 сервера.
Клиентское устройство 125 может представлять, по меньшей мере, одно из множества известных вычислительных устройств или конечных точек, предназначенных для осуществления сетевой связи, включая портативный переносной компьютер, настольный персональный компьютер (РС), рабочую станцию, большую ЭВМ, устройство Internet, медиа центр или телеприставку, которое может быть связано с сетью 110 с помощью либо проводной, либо беспроводной линии связи, и может осуществлять примерные технологии, связанные с распределением 105 ключа. Кроме того, клиентское устройство 125 может представлять клиентские устройства, описанные выше, в различных количествах и/или их комбинациях. “Другое” устройство 135 также может быть осуществлено с помощью любого из приведенных выше примеров клиентского устройства 125.
Карманное клиентское устройство 130 может представлять, по меньшей мере, одно устройство, которое может быть связано с сетью 110 с помощью беспроводной линии связи, включая мобильный (т.е. сотовый) телефон, персональный цифровой ассистент (PDA), музыкальный плеер, видеоплеер и т.д., и может осуществлять примерные технологии, связанные с распределением 105 ключа. Кроме того, карманное устройство 130 может представлять карманные устройства, описанные выше, в различных количествах и/или их комбинациях. “Другое” устройство 135 также может быть осуществлено с помощью любого из приведенных выше примеров карманного клиентского устройства 130.
“Другое” устройство 135 может представлять любое дополнительное устройство или конечную точку, предназначенную для осуществления сетевой связи, которое может осуществлять технологии, связанные с распределением 105 ключа в соответствии с одним или более примерными осуществлениями, описанными в настоящей заявке. То есть “другое” устройство 135 может представлять любое вычислительное устройство, которое может, по меньшей мере, запоминать и совместно использовать информацию защиты для любого другого из устройств, связанных с сетью 110, и посылать электронные пакеты (например, электронную почту) в любые другие устройства, связанные с сетью 110, и принимать электронные пакеты из них. Таким образом, “другое” устройство 135 может быть устройством аппаратного обеспечения или вычислительным устройством, имеющим, по меньшей мере, одно из следующего: операционную систему, интерпретатор, преобразователь, компилятор или среду динамического выполнения, осуществленную в нем. Эти примеры никоим образом не предназначены быть ограничивающими и, следовательно, не должны быть истолкованы таким образом.
Сеть 110 может представлять любую из множества традиционных топологий и типов сети, которые могут включать в себя проводные и/или беспроводные сети. Сеть 110 может дополнительно использовать любой из множества традиционных сетевых протоколов, включая открытые и/или патентованные протоколы. Сеть 110 может включать в себя, например, Internet, а также, по меньшей мере, части одной или более локальных сетей (также упомянутые отдельно как “LAN”), таких как система 802.11, или в большем масштабе, глобальную сеть (т.е. “WAN”), или персональную сеть (т.е. PAN), такую как Bluetooth.
Фиг.2 изображает примерную сетевую среду 200, в которой агенты связи и соответствующие шлюзы связи взаимодействуют через сеть 110, осуществляя примерные технологии, относящиеся к распределению 105 ключа (см. Фиг. 1).
Шлюз А 205 связи может представлять устройство шлюза, MTA (например, сервер SMTP) или их комбинацию в домене А 203. Шлюз А 205 связи дополнительно может быть осуществлен как сервер доменных имен, имеющий распределенную базу данных, в качестве части системы имен домена (DNS), хотя такой вариант осуществления описан только в качестве примера. Альтернативные варианты осуществления шлюза А 205 связи могут быть независимыми от DNS. Шлюз А 205 связи может передавать сообщения (т.е. электронные пакеты) в другие устройства и принимать сообщения из них от имени агента А 207 через сеть 110. Такая передача и прием сообщений могут быть осуществлены, например, с помощью простого протокола пересылки электронной почты (SMTP).
Агент А 207 может представлять, по меньшей мере, одно из множества функциональных средств, осуществленных в одной или более конечных точках, предназначенных для осуществления сетевой связи в домене А 203, которые могут передавать сообщение (т.е. электронный пакет) в один или более узлов в сети 110. Такие устройства могут включать в себя клиентское устройство или карманное устройство, но не ограничены ими. Более конкретно, агент А 207 может быть источником электронного сообщения, которое предназначено для пользователя, связанного с агентом-аналогом, связанным с сетью 110. Электронные сообщения, упомянутые в настоящем описании, могут включать в себя электронную почту, которая может иметь или не иметь один или более файлов, присоединенных к ней. Такой присоединенный файл может включать в себя в качестве не ограничивающих примеров текстовый файл, аудио файл, видео файл, унифицированный адрес ресурса (URL) и т.д. Альтернативные варианты осуществления распределения 105 ключа могут дополнительно предполагать сценарии, в которых электронное сообщение является мгновенным сообщением, потоком данных, потоком аудио пакетов, таких как пакеты, используемые с помощью протоколов передачи речи через IP, RSS, TLS, RFC, или прямую загрузку электронных пакетов (т.е. текста, аудио, видео и т.д.) из агента в одном домене в агента в другом домене. Дополнительные альтернативные варианты осуществления даже могут предполагать, что такие электронные сообщения передают из сервера одного домена в сервер другого домена, обычно как указано агентом.
Сеть 110, как описано выше, может представлять любую из множества традиционных топологий и типов сети, которые могут включать в себя проводные и/или беспроводные сети. Сеть 110 может включать в себя, например, Internet, а также, по меньшей мере, части одной или более LAN, WAN или PAN.
Шлюз В 210 связи может быть устройством шлюза или МТА в домене В 208. То есть шлюз В 210 связи может быть предназначенным принимающим шлюзом-аналогом передающего шлюза А 205 связи. Подобно шлюзу связи А 205 шлюз В 210 связи дополнительно может быть реализован как сервер доменных имен, имеющий распределенную базу данных в качестве части системы имен домена (DNS), или в качестве альтернативы, не зависит от DNS.
Таким образом, агент В 212 может быть принимающим аналогом посылающего агента А 207, из которого может происходить сообщение (т.е. электронный пакет). Агент В 212 может быть связан с пользователем в домене В 208, для которого предназначено сообщение.
Распределение 105 ключа в соответствии, по меньшей мере, с одним примером в сетевой среде 200 может включать в себя защиту сообщения, которое посылают из агента А 207 через передающий шлюз А 205 связи, с использованием ключа, который связан с доменом В 208 и выбран из базы данных DNS. База данных DNS может быть или может не быть физически расположена в домене В 208. Предназначенный получатель может быть агентом получателя (т.е. устройством) или пользователем, с которым связан агент. Кроме того, хотя варианты осуществления распределения 105 ключа, описанные в настоящей заявке, не обязаны какому-либо определенному протоколу передачи, и, следовательно, такие ограничения не должны подразумеваться, настоящее описание может предполагать сообщения, передаваемые между доменами с использованием SMTP. Пример распределения 105 ключа также может предполагать аутентификацию и проверку достоверности сообщения в принимающем шлюзе В 210 связи с использованием, по меньшей мере, одного ключа, выбранного из базы данных DNS (т.е. сервера), связанной с доменом А 203, который является доменом, соответствующим источнику сообщения. Таким образом, примерный вариант осуществления распределения ключа может быть описан следующим образом.
Агент А 207 может быть клиентским устройством, из которого происходит внешнее сообщение (т.е. электронный пакет), предназначенное для агента В 212 или пользователя, связанного с ним. Внешнее сообщение может быть принято в шлюзе А 205 связи, который подобно агенту А 207 может быть связан с доменом А 203.
Шлюз А 205 связи может выбирать открытый ключ шифрования, связанный с доменом В 208, из базы данных DNS. По меньшей мере, один альтернативный вариант осуществления может включать в себя вышеупомянутый открытый ключ шифрования, связанный с доменом 208, соответствующий более конкретно пользователю, связанному с доменом В 208, и такой вариант осуществления может рассматриваться с помощью настоящего описания. Хотя база данных DNS запоминает один или более ключей шифрования для домена В 208, база данных DNS может быть или может не быть связана со шлюзом В 210 связи. Агент В 212 или пользователь, связанный с ним, не обязательно должен быть единственным предназначенным получателем внешнего сообщения, и, следовательно, шлюз А 205 связи дополнительно может выбирать открытый ключ шифрования для других доменов, с которым связаны предназначенные получатели сообщения. Однако в настоящем описании агент В 212 или пользователь, связанный с ним, может быть единственным предназначенным получателем сообщения из агента А 207.
Выбрав открытый ключ шифрования, связанный с доменом В 208 или пользователем, связанным с доменом В 208, шлюз А 205 связи может использовать выбранный ключ, чтобы защитить внешнее сообщение. В соответствии, по меньшей мере, с одним вариантом осуществления распределения 105 ключа, шлюз А 205 связи может защитить внешнее сообщение с помощью генерирования симметричного ключа (в качестве альтернативы упоминаемого как “ключ шифрования информации” или “СЕК”) и защитить внешнее сообщение с использованием выбранного ключа и сгенерированного случайным способом ключа шифрования в комбинации вместе. В соответствии, по меньшей мере, с одним вариантом осуществления защищенное внешнее сообщение включает в себя защиту, по меньше мере, части идентификационного обозначения или адреса, по меньшей мере, одного из отправителя и одного или более предназначенных получателей защищенного сообщения в качестве части защищенной части самого сообщения или отдельно от нее.
Примеры вариантов осуществления распределения 105 ключа, описанные в настоящей заявке, предполагают использование пар секретных/открытых ключей RSA (Ривеста-Шамира-Адлемана). Однако распределение 105 ключа не ограничено таким способом, и такие ограничения не должны подразумеваться. Например, альтернативные варианты осуществления могут использовать пары секретных ключей Диффи-Хельмана, как описано дополнительно ниже, или другие криптографические способы, которые используют составление пар открытых и секретных ключей шифрования.
Независимо от криптографических способов после защиты внешнего сообщения шлюз А 205 связи затем может передать защищенное внешнее сообщение через сеть 110 в шлюз 210 домена, соответствующий предназначенному агенту В 212 получателя или пользователю, связанному с ним.
Шлюз В 210 связи после приема защищенного сообщение из шлюза А 205 связи через сеть 110 может определить, что домен А 203 является источником защищенного сообщения. Таким образом, шлюз В 210 связи может выбрать открытый ключ проверки, связанный с доменом А 203 из базы данных DNS или из запоминающего устройства, связанного с доменом А 203. Альтернативные варианты осуществления могут предполагать открытый ключ проверки, связанный с доменом А 203, соответствующий более конкретно пользователю агента А 207, из которого происходит сообщение. Такие варианты осуществления предполагаются во всем настоящем описании. Хотя база данных DNS запоминает один или более ключей шифрования для домена А 203, база данных DNS может быть или может не быть связана со шлюзом А 205 связи.
В соответствии, по меньшей мере, с одним альтернативном вариантом осуществления шлюз В 210 связи может использовать выбранный открытый ключ проверки, связанный с доменом А 203, в комбинации с секретным ключом шифрования, соответствующим домену В 208, чтобы дешифровать и проверять достоверность симметричного ключа, который может быть использован, чтобы дешифровать и проверять достоверность информации в сообщении. С помощью одного или более вариантов осуществления секретный ключ шифрования может быть секретным аналогом открытого ключа проверки, используемого шлюзом А 205 связи, чтобы защитить внешнее сообщение. Секретный ключ шифрования может быть локально запомнен в домене В 208 или может быть иначе связан с доменом В 208. Независимо от этого секретный ключ шифрования может быть использован, чтобы дешифровать ключ шифрования, с помощью которого было подписано защищенное сообщение. То есть шлюз В 210 связи может использовать секретный ключ шифрования, который является секретным аналогом открытого ключа, выбранного с помощью шлюза А связи, чтобы дешифровать симметричный ключ, а затем аутентифицировать и проверить достоверность защищенного сообщения. Кроме того, подпись, связанная с дешифрованным ключом шифрования, может быть проверена на достоверность с использованием выбранного открытого ключа шифрования, связанного с доменом А 203.
Затем дешифрованный ключ шифрования может быть использован, чтобы дешифровать сообщение, включая отправителя и/или одного или более предназначенных получателей сообщения, в зависимости от того, какие части информации адреса, связанной с сообщением, защищены. В результате адрес предназначенного агента В 212 получателя или пользователя, связанного с ним, может быть открыт, и затем шлюз В 210 связи может передать дешифрованное сообщение агенту В 212 получателя.
Фиг.3 изображает примерную конфигурацию 300 шлюза связи дополнительно к примеру Фиг.2.
В следующем описании различные операции могут быть описаны как выполняемые с помощью признаков или иначе связанные с признаками, описанными выше со ссылкой на Фиг.1 и Фиг.2. Физические и операционные признаки, описанные относительно конфигурации 300, могут быть осуществлены как аппаратное обеспечение, программно-аппаратное обеспечение или программное обеспечение, либо в единственном числе, либо в различных комбинациях вместе.
Агент 305 может соответствовать либо агенту А 207, либо агенту В 212, описанным выше со ссылкой на Фиг.2. Более конкретно, агент 305 может представлять клиентское устройство, связанное с пользователем, которое может инициировать сообщение (т.е. электронный пакет), передаваемое в один или более узлов в сети 110, и может принимать такое сообщение через соответствующий шлюз связи.
Шлюз 310 связи может соответствовать либо передающему шлюзу А 205 связи, либо принимающему шлюзу В 210 связи, описанным выше со ссылкой на Фиг.2, и, следовательно, шлюз 310 связи может быть упомянут как передающий шлюз 310 связи или принимающий шлюз 310 связи в зависимости от его роли. Кроме того, агент 310 связи может представлять устройство шлюза или МТА, которое может быть или может не быть дополнительно осуществлено как распределенная база данных в качестве части системы имен домена (DNS).
Шлюз 310 связи может передавать и принимать сообщения (т.е. электронные пакеты) в связи с другими устройствами, в частности другими шлюзами, через сеть 110. Такая передача и прием сообщений могут быть осуществлены, например, с помощью SMTP.
Кроме того, еще передающий шлюз 310 связи может осуществлять доступ к принимающему шлюзу 310 связи или, в качестве альтернативы, к базе данных DNS, чтобы выбирать соответствующий открытый компонент пары секретных/открытых ключей шифрования. Кроме того, передающий шлюз 310 связи может генерировать случайные ключи шифрования в соответствии с различными вариантами осуществления распределения 105 ключа.
Запоминающее устройство 315 может быть связано со шлюзом 310 связи либо логически, либо физически. То есть запоминающее устройство 315 может быть связано с доменом, которому соответствует шлюз 310 связи, при этом не будучи физически расположено в таком домене. Более конкретно, запоминающее устройство 315 может быть компонентом распределенной базы данных DNS, соответствующей домену шлюза 310 связи.
Запоминающее устройство 315 может запоминать в различных их комбинациях одну или более пар открытых и секретных ключей шифрования, а также идентификационные записи, связанные с доменом, которые могут быть связаны с самим доменом, агентом или устройством, связанным с доменом, или пользователем, связанным с доменом. Например, когда связано с принимающим шлюзом 310 связи, запоминающее устройство 315 может запоминать один или более выбранных открытых ключей шифрования для домена или устройства агента, соответствующего предназначенному получателю внешнего сообщения. Такие выбранные открытые ключи шифрования могут способствовать защите внешнего сообщения. В качестве альтернативы, когда связано с передающим шлюзом 310 связи, запоминающее устройство 315 может запоминать один или более выбранных открытых ключей шифрования для домена, устройства или пользователя, соответствующего источнику защищенного сообщения. Такие выбранные открытые ключи шифрования могут быть использованы, чтобы аутентифицировать, проверять достоверность и дешифровать защищенное сообщение.
Независимо от того, является ли шлюз 310 связи передающим шлюзом связи или принимающим шлюзом связи, запоминающее устройство 315 может также запоминать в нем секретные ключи шифрования, соответствующие домену, с которым связан шлюз 310 связи.
Пары секретных/открытых ключей, упомянутых выше, могут включать в себя ключ шифрования, связанный с доменом, и ключ подписания, связанный с доменом, которые могут быть упомянуты или не могут быть упомянуты как один и тот же ключ, в зависимости от осуществления распределения 105 ключа.
Запоминающее устройство 315 дополнительно может облегчать доверительное отношение между передающим шлюзом 310 связи и принимающим шлюзом 310 связи, что может уменьшить незащищенность ключей шифрования, в частности, в передающем шлюзе 310 связи.
Например, передающий шлюз 310 связи может запоминать в нем запись текста идентификационного обозначения, которая включает в себя сертификат, соответствующий открытому ключу шифрования, для передающего домена, конкатенированный с сертификатом, соответствующим открытому ключу подписания, связанному с передающим доменом, которые дополнительно конкатенируют с сертификатом доступа, с помощью которого подписаны другие сертификаты. Запись текста идентификационного обозначения может быть выбрана заранее, аутентифицирована либо вручную, либо с использованием инфраструктуры секретного ключа (PKI), и может быть использована для посылки и приема защищенных сообщений. Независимо от этого принимающий шлюз 310 связи может осуществлять доступ к открытому ключу шифрования и открытому ключу подписания для передающего домена с помощью дешифрования сертификата санкционирования для передающего домена. Такое дешифрование может быть выполнено с использованием открытого ключа санкционирования для передающего домена, который может быть выбран и/или запомнен с помощью принимающего шлюза 310 связи.
Фиг.4 изображает примерную блок-схему 400 последовательности этапов обработки в соответствии, по меньшей мере, с одним вариантом осуществления распределения 105 ключа (см. Фиг.1). Различные операции, описанные в качестве части блок-схемы последовательности этапов обработки, могут быть определены как выполняемые с помощью признаков или иначе в связи с признаками, описанными выше со ссылкой на Фиг.1-3. Такие определения, а также операции описаны только в качестве примеров, и операции могут быть осуществлены как аппаратное обеспечение, программно-аппаратное обеспечение или программное обеспечение, либо в единственном числе, либо в различных комбинациях вместе.
Блок-схема 400 последовательности этапов обработки описана ниже со ссылкой на примерные варианты А, В и С осуществления. Такие варианты осуществления не описаны в какой-либо предпочтительной последовательности, а также варианты осуществления не должны быть истолкованы как ограничивающие в рамках объема. Напротив, примерные варианты осуществления предоставлены для того, чтобы проиллюстрировать гибкость и изменчивость, предоставляемые с помощью распределения 105 ключа. Кроме того, последовательности, с помощью которых проиллюстрированы и описаны примерные варианты А, В и С, могут изменяться, и, следовательно, примерные варианты осуществления блок-схемы 400 последовательности этапов обработки должны быть рассмотрены как не ограничивающие примеры.
Примерный вариант А осуществления
Этап 405 может относиться к шлюзу А 205 связи, принимающему сообщение (т.е. электронный пакет) от агента А 207 (т.е. клиентского устройства) или пользователя, с которым связан агент А 207, для передачи вне домена А 203. В соответствии, по меньшей мере, с одним альтернативным вариантом осуществления этап 405 может относиться к шлюзу А 205 связи как источнику информации, независимому от агента А 207. Независимо от этого, этап 405 может относиться, по меньшей мере, к одному предназначенному получателю сообщения, принятого в шлюзе А 205 связи, являющимся связанным с доменом В 208.
Этап 410 может относиться к шлюзу А 205 связи, выбирающему открытый ключ шифрования, связанный с доменом В 208, хотя альтернативные варианты осуществления могут предполагать открытый ключ шифрования, связанный с доменом В 208, соответствующий, более конкретно, агенту или устройству, связанному с доменом В 208, или пользователю, связанному с доменом В 208. Таким образом, шлюз 205 А связи может осуществлять доступ к серверу DNS, который может быть или может не быть связан со шлюзом В 210 связи, чтобы выбирать открытый ключ шифрования, связанный с доменом В 208.
Этап 415 может относиться к шлюзу А 205 связи, защищающему внешнее сообщение с использованием, по меньшей мере, открытого ключа шифрования, связанного с доменом В 208, а также открытого ключа шифрования, связанного с доменом A 203, которые могут быть запомнены локально в домене А 203 или иначе связаны с ним. Альтернативные варианты осуществления могут предполагать открытый ключ шифрования, связанный с доменом А 203, соответствующий, более конкретно, агенту или устройству, связанному с доменом А 203, или пользователю, связанному с доменом А 203.
Более конкретно, этап 415 может относиться к шлюзу А 205 связи, шифрующему внешнее сообщение с использованием открытого ключа шифрования, связанного с доменом В 208, и присоединяющим подпись, которая может быть создана с использованием открытого ключа шифрования, связанного с доменом A 203. Зашифрованные части сообщения могут включать в себя информацию адреса, относящуюся, по меньшей мере, к одному из отправителя или предназначенного получателя сообщения. Подпись может быть создана с использованием открытого ключа шифрования, связанного с доменом A 203, как компонент в алгоритме зашифрованного хеширования, который применяют, по меньшей мере, к части содержания внешнего сообщения.
Этап 420 может относиться к защищенному сообщению, передаваемому из шлюза А 205 связи в шлюз В 210 связи через сеть 110. Обычно этап 420 может относиться к защищенному сообщению, транспортируемому в соответствии с SMTP. Однако распределение 105 ключа не обязано SMTP.
Этап 425 может относиться к защищенному сообщению, принимаемому в шлюзе В 210.
Этап 430 может относиться к шлюзу В 210 связи, проверяющему достоверность и аутентифицирующему защищенное сообщение. С помощью этого первого примера шлюз В 210 связи может обнаруживать, что защищенное сообщение, инициировано из домена А 203. Затем шлюз В 210 связи может выбрать открытый ключ подписания, связанный с доменом А 203, из сервера DNS, который может быть или может не быть связан со шлюзом А 205 связи. Выбранный открытый ключ подписания, связанный с доменом А 203, который может быть выбран в соответствии с указанием, связанным с защищенным сообщением, может быть использован, чтобы аутентифицировать подпись защищенного сообщения. То есть открытый ключ подписания используют, чтобы дешифровать, выполнить операцию обратную хешированию и, таким образом, аутентифицировать подпись защищенного сообщения.
В случае, когда доверие или партнерские взаимоотношения установлены между доменом А 203 и доменом А 208, доступ к открытому ключу подписания, связанному с доменом А 203, может быть осуществлен с помощью шлюза В 210 связи с помощью аутентификации записи идентификационного обозначения, запомненной в запоминающем устройстве 315, соответствующем шлюзу А 205 связи. То есть шлюз В 210 связи может осуществлять доступ к открытому ключу шифрования и открытому ключу подписания, связанным с доменом А 203, с помощью дешифрования сертификата санкционирования для домена А 203 с использованием открытого ключа санкционирования, связанного с доменом А 203, который может быть использован, чтобы подписывать текстовую запись идентификационного обозначения, которая включает в себя сертификат, соответствующий открытому ключу шифрования и открытому ключу подписания, связанным с доменом А 203. Сертификат санкционирования для домена А 203 может быть выбран с помощью шлюза В 210 связи из сервера DNS, связанного с доменом А 203, или сертификат санкционирования для домена А 203 может быть выбран с помощью шлюза В 210 связи из локальной памяти, связанной с доменом В 208.
Независимо от этого, этап 430 может дополнительно относиться к шлюзу В 210 связи, использующему секретный ключ шифрования, связанный с доменом В 208, чтобы дешифровать аутентифицированное сообщение, включающее в себя части информации адреса, которая может быть зашифрована, которое было зашифровано в шлюзе А 205 связи с использованием открытого ключа шифрования, связанного с доменом В 208.
Аутентифицировав и дешифровав защищенное сообщение на этапе 430, шлюз В 210 связи затем может передать не защищенное сообщение предназначенному агенту В 212 получателя.
Примерный вариант В осуществления
Этап 405 может относиться к шлюзу А 205 связи, принимающему сообщение (т.е. электронный пакет) от агента А 207 (т.е. клиентского устройства) или пользователя, с которым связан агент А 207, для передачи вне домена А 203. В соответствии, по меньшей мере, с одним альтернативным вариантом осуществления этап 405 может относиться к шлюзу А 205 связи как источнику информации, независимому от агента А 207. Независимо от этого, этап 405 может относиться, по меньшей мере, к одному предназначенному получателю сообщения, принятого в шлюзе А 205 связи, связанным с доменом В 208.
Этап 410 может относиться к шлюзу А 205 связи, выбирающему открытый ключ шифрования, связанный с доменом В 208, хотя альтернативные варианты осуществления могут предполагать открытый ключ шифрования, связанный с доменом В 208, соответствующий, более конкретно, агенту или устройству, связанному с доменом В 208, или пользователю, связанному с доменом В 208. Таким образом, шлюз 205 А связи может осуществлять доступ к серверу DNS, который может быть или может не быть связан со шлюзом В 210 связи, чтобы выбирать открытый ключ шифрования, связанный с доменом В 208.
Этап 415А может относиться к шлюзу А 205 связи, защищающему внешнее сообщение в соответствии с обработкой, описанной, по меньшей мере, для этапов 416-418.
Этап 416 может относиться к шлюзу А 205 связи, генерирующему симметричный ключ (т.е. СЕК).
Этап 417 может относиться к шлюзу А 205 связи использующему, по меньшей мере, открытый ключ шифрования, связанный с доменом В 208, чтобы зашифровать симметричный ключ, и дополнительно под подписывающему симметричный ключ с использованием, по меньшей мере, открытого ключа шифрования, связанного с доменом А 203, который может быть запомнен локально в домене А 203 или иначе связан с ним.
Этап 418 может относиться к шлюзу А 205 связи использующему симметричный ключ, чтобы зашифровать и хешировать, по меньшей мере, часть содержания внешнего сообщения, которое может включать в себя или может не включать в себя части информации адреса относительно отправителя и предназначенного получателя внешнего сообщения. Сообщение может быть хешировано криптографическим способом с использованием HMAC (ключевого хеширования для аутентификации сообщения) или другой известной функции хеширования на основе ключей.
Этап 420 может относиться к защищенному сообщению, передаваемому из шлюза А 205 связи в шлюз В 210 связи через сеть 110. Обычно этап 420 может относиться к защищенному сообщению, транспортируемому в соответствии с SMTP. Как упомянуто выше, распределение 105 ключа не обязано SMTP.
Этап 425 может относиться к защищенному сообщению, принимаемому в шлюзе В 210.
Этап 430A может относиться к шлюзу В 210 связи, проверяющему достоверность и аутентифицирующему защищенное сообщение в соответствии с обработкой, описанной, по меньшей мере, для этапов 431-434.
Этап 431 может относиться к шлюзу В 210 связи, использующему секретный ключ шифрования, связанный с доменом В 208, и открытый ключ шифрования, связанный с доменом А 203, чтобы дешифровать симметричный ключ, связанный с защищенным сообщением. Такое дешифрование является возможным, так как в шлюзе А 205 связи симметричный ключ может быть зашифрован с использованием открытого ключа шифрования, связанного с доменом В 208, и симметричный ключ был подписан с использованием секретного ключа шифрования, связанного с доменом А 203.
Этап 432 может относиться к шлюзу В 210 связи, проверяющему достоверность подписи в зашифрованном симметричном ключе с использованием открытого ключа подписания, связанного с доменом А 203. То есть шлюз В 210 связи может выбирать открытый ключ подписания, связанный с доменом А 203, из сервера DNS, который может быть или может не быть связан с шлюзом А 205 связи. Выбранный открытый ключ подписания, связанный с доменом А 203, может быть использован, чтобы проверить достоверность подписи, с помощью которой был подписан симметричный ключ, с помощью повторного вычисления хеширования защищенного сообщения, дешифрования подписи и сравнения величин хеширования, и, следовательно, аутентификации подписи.
Как в примерном варианте А осуществления доступ к открытому ключу подписания, связанному с доменом А 203, может быть осуществлен с помощью шлюза В 210 связи с помощью аутентификации записи идентификационного обозначения, запомненной в запоминающем устройстве 315, соответствующем шлюзу А 205 связи. Чтобы выполнить это, шлюз В 210 связи может осуществить доступ к открытому ключу шифрования и открытому ключу подписания, связанным с доменом А 203, с помощью дешифрования сертификата санкционирования для домена А 203 с использованием открытого ключа санкционирования, связанного с доменом А 203, который может быть использован, чтобы подписать текстовую запись идентификационного обозначения, которая включает в себя сертификаты, соответствующие открытому ключу шифрования и открытому ключу подписания, связанным с доменом А 203. Сертификат санкционирования для домена А 203 может быть выбран с помощью шлюза В 210 связи из сервера DNS, связанного с доменом А 203, или сертификат санкционирования для домена А 203 может быть выбран с помощью шлюза В 210 связи из локальной памяти, связанной с доменом В 208.
Этап 433 может относиться к шлюзу В 210 связи, использующему дешифрованный симметричный ключ, чтобы проверить достоверность функции хеширования, основанной на ключах (например, HMAC), используемой для того, чтобы защитить криптографическим способом дайджест сообщения.
Этап 434 может относиться к шлюзу В 210 связи, дешифрующему зашифрованные части защищенного сообщения, включающего в себя защищенную информацию адреса, с использованием симметричного ключа.
Аутентифицировав и дешифровав защищенное сообщение на этапе 430А, шлюз В 210 связи затем может передать не защищенное сообщение предназначенному агенту В 212 получателя.
Примерный вариант С осуществления
Этап 405 может относиться к шлюзу А 205 связи, принимающему сообщение (т.е. электронный пакет) от агента А 207 (т.е. клиентского устройства) или пользователя, с которым связан агент А 207, для передачи вне домена А 203. В соответствии, по меньшей мере, с одним альтернативным вариантом осуществления этап 405 может относиться к шлюзу А 205 связи как источнику информации, независимому от агента А 207. Независимо от этого, этап 405 может относиться, по меньшей мере, к одному предназначенному получателю сообщения, принятого в шлюзе А 205 связи, связанном с доменом В 208.
Этап 410 может относиться к шлюзу А 205 связи, выбирающему открытый ключ шифрования, связанный с доменом В 208, хотя альтернативные варианты осуществления могут предполагать открытый ключ шифрования, связанный с доменом В 208, соответствующий, более конкретно, агенту или устройству, связанному с доменом В 208, или пользователю, связанному с доменом В 208. Таким образом, шлюз 205 А связи может осуществлять доступ к серверу DNS, который может быть или может не быть связан со шлюзом В 210 связи, чтобы выбирать открытый ключ шифрования, связанный с доменом В 208.
Этап 415А может относиться к шлюзу А 205 связи, защищающему внешнее сообщение в соответствии с обработкой, описанной, по меньшей мере, для этапов 416-418.
Этап 416 может относиться к шлюзу А 205 связи, генерирующему симметричный ключ (т.е. СЕК).
Этап 416 может относиться к шлюзу А 205 связи, дополнительно генерирующему второй случайный ключ шифрования (т.е. “ключ шифрования ключа” КЕК).
Этап 417 может относиться к шлюзу А 205 связи использующему, по меньшей мере, открытый ключ шифрования, связанный с доменом В 208, чтобы зашифровать и подписать КЕК. Более конкретно, шлюз А 205 связи может зашифровать КЕК с использованием открытого ключа шифрования, связанного с доменом В 208, и добавить к нему хеширование КЕК, который подписан с помощью секретного ключа, связанного с доменом А 203.
Этап 418 может относиться к шлюзу А 205 связи использующему симметричный ключ и зашифрованный и подписанный КЕК, чтобы зашифровать и хешировать, по меньшей мере, часть содержания внешнего сообщения, которое может включать в себя или может не включать в себя части информации адреса относительно отправителя и предназначенного получателя внешнего сообщения. Пример зашифрованного сообщения может включать в себя, по меньшей мере, часть содержания сообщения, зашифрованного с помощью симметричного ключа, добавленный к нему симметричный ключ, зашифрованный с помощью КЕК и добавленный к нему зашифрованный КЕК, описанный выше как КЕК, зашифрованный с помощью открытого ключа шифрования, связанного с доменом В 208, добавленного к хешированию КЕК, который подписан с помощью секретного ключа, связанного с доменом А 203.
Этап 418 дополнительно может относиться к шлюзу А 205 связи использующему симметричный ключ и зашифрованный и подписанный КЕК, чтобы подписать зашифрованное сообщение. Пример подписанного и зашифрованного сообщения может включать в себя зашифрованное сообщение, хешированное криптографическим способом с использованием НМАС или другой функции хеширования, основанной на ключах, добавленный к нему симметричный ключ, зашифрованный с помощью КЕК и добавленный к нему вновь зашифрованный КЕК, который включает в себя КЕК, зашифрованный с помощью открытого ключа шифрования, связанного с доменом В 208, добавленный к хешированию КЕК, который подписан с помощью секретного ключа, связанного с доменом А 203.
Этап 420 может относиться к защищенному сообщению, передаваемому из шлюза А 205 связи в шлюз В 210 связи через сеть 110. Опять этап 420 может относиться к защищенному сообщению, транспортируемому в соответствии с SMTP, хотя распределение 105 ключа не ограничено таким образом.
Этап 425 может относиться к защищенному сообщению, принимаемому в шлюзе В 210 связи.
Этап 430А может относиться к шлюзу В 210 связи, проверяющему достоверность и аутентифицирующему защищенное сообщение в соответствии с обработкой, описанной, по меньшей мере, для этапов 431-434.
Этап 431 может относиться к шлюзу В 210 связи, использующему секретный ключ шифрования, связанный с доменом В 208, и открытый ключ шифрования, связанный с доменом А 203, чтобы дешифровать КЕК, связанный с защищенным сообщением. Такое дешифрование является возможным, так как в шлюзе А 205 связи КЕК был зашифрован с использованием открытого ключа шифрования, связанного с доменом В 208, и КЕК был подписан с использованием секретного ключа шифрования, связанного с доменом А 203. С использованием дешифрованного КЕК также может быть дешифрован симметричный ключ, используемый, чтобы зашифровать, по меньшей мере, часть содержания защищенного сообщения.
Этап 432 может относиться к шлюзу В 210 связи, проверяющему достоверность подписи в зашифрованном КЕК с использованием открытого ключа подписания, связанного с доменом А 203. То есть шлюз В 210 связи может выбирать открытый ключ подписания, связанный с доменом А 203, из сервера DNS, который может быть или может не быть связан с шлюзом А 205 связи. Выбранный открытый ключ подписания, связанный с доменом А 203, может быть использован, чтобы проверить достоверность подписи, с помощью которой был подписан КЕК, с помощью повторного вычисления хеширования защищенного сообщения, дешифрования подписи и сравнения величин хеширования. Следовательно, совпадение величин хеширования аутентифицирует подпись.
Как в примерных вариантах А и В осуществления доступ к открытому ключу подписания, связанному с доменом А 203, может быть осуществлен с помощью шлюза В 210 связи с помощью аутентификации записи идентификационного обозначения, запомненной в запоминающем устройстве 315, соответствующем шлюзу А 205 связи. Чтобы выполнить это, шлюз В 210 связи может осуществить доступ к открытому ключу шифрования и открытому ключу подписания, связанным с доменом А 203, с помощью дешифрования сертификата санкционирования для домена А 203 с использованием открытого ключа санкционирования, связанного с доменом А 203, который может быть использован, чтобы подписать текстовую запись идентификационного обозначения, которая включает в себя сертификаты, соответствующие открытому ключу шифрования и открытому ключу подписания, связанным с доменом А 203. Сертификат санкционирования для домена А 203 может быть выбран с помощью шлюза В 210 связи из сервера DNS, связанного с доменом А 203, или сертификат санкционирования для домена А 203 может быть выбран с помощью шлюза В 210 связи из локальной памяти, связанной с доменом В 208.
Этап 433 может относиться к шлюзу В 210 связи, использующему дешифрованный КЕК и симметричный ключ, чтобы проверить достоверность функции хеширования, основанной на ключах (например, HMAC), используемой для того, чтобы защитить криптографическим способом содержание защищенного сообщения.
Этап 434 может относиться к шлюзу В 210 связи, дешифрующему зашифрованные части защищенного сообщения, включающего в себя защищенную информацию адреса, с использованием КЕК и симметричного ключа.
Аутентифицировав и дешифровав защищенное сообщение на этапе 430А, шлюз В 210 связи затем может передать не защищенное сообщение предназначенному агенту В 212 получателя.
Следует заметить, что для любого из вариантов А, В и С осуществления КЕК может оставаться постоянным в течение длительных периодов времени (например, недель), в то время как симметричный ключ может быть сгенерирован на основе сообщения. Таким образом, КЕК может быть зашифрован, подписан и запомнен в соответствии с любым из способов, описанных выше, которые дают возможность повторного использования КЕК.
С помощью приведенного выше осуществления изобретения, относящегося к Фиг.1-Фиг.4, ключи могут быть отправлены и выбраны для защиты, аутентификации и проверки достоверности сообщений (т.е. электронных пакетов), посылаемых через сеть из одного домена в другой. Однако примерные варианты осуществления, описанные в настоящей заявке, не ограничены только сетевыми средами Фиг.1 и Фиг.2, компонентами Фиг.3 или блок-схемой последовательности этапов обработки Фиг.4. Технологии (например, инструментальные средства, методологии и системы), связанные с распределением 105 ключа (см. Фиг.1), могут быть осуществлены с помощью различных комбинаций компонентов, описанных со ссылкой на Фиг.3, а также различных последовательностей этапов, описанных со ссылкой на Фиг.4.
Кроме того, компьютерная среда, предназначенная для любого из примеров и вариантов осуществления, описанных выше, может включать в себя вычислительное устройство, имеющее, например, один или более процессоров или устройств обработки, системную память и системную шину, чтобы соединять различные компоненты системы.
Вычислительное устройство может включать в себя множество машиночитаемых носителей, включая как энергозависимые носители, так и энергонезависимые носители, сменные и не сменные носители. Системная память может включать в себя машиночитаемый носитель в виде энергозависимой памяти, такой как ОЗУ (RAM), и/или энергонезависимой памяти, такой как ПЗУ (ROM) или флэш-память RAM. Понятно, что другие виды машиночитаемых носителей которые могут запоминать данные, которые являются доступными с помощью компьютера, такие как магнитные кассеты или другие магнитные запоминающие устройства, карты флэш-памяти, CD-ROM, цифровой универсальный диск (DVD) или другая оптическая память, ОЗУ (RAM), ПЗУ (ROM), электрически стираемая программируемая память, предназначенная только для чтения (EEPROM) и тому подобные, также могут быть использованы, чтобы осуществить примерную вычислительную систему и среду.
Ссылки, сделанные по всему этому описанию на “пример”, “альтернативные примеры”, “по меньшей мере, один пример”, “вариант осуществления” и “примерный вариант осуществления”, означают, что конкретный описанный признак, структура или характеристика включена, по меньшей мере, в один вариант осуществления настоящего изобретения. Таким образом, использование таких фраз может относиться к более, чем только одному варианту осуществления. Кроме того, описанные признаки, структуры или характеристики могут быть скомбинированы любым подходящим способом в одном или более вариантах осуществления.
Однако специалист в соответственной области техники может понять, что инициализация программного модуля может быть осуществлена без одной или более специфичных деталей или с помощью других способов, ресурсов, материалов и т.д. В других случаях широко известные структуры, ресурсы или операции не изображены или не описаны подробно, чтобы исключить затенение аспектов изобретения.
Несмотря на то, что проиллюстрированы и описаны примерные варианты осуществления и приложения инициализации программного модуля, следует понимать, что изобретение не ограничено точной конфигурацией и ресурсами, описанными выше. Различные модификации, изменения и вариации, известные специалистам в данной области техники, могут быть сделаны в устройстве, работе и деталях способов и систем настоящего изобретения, раскрытого в настоящей заявке, не выходя за рамки объема изобретения, как описано выше, и в формуле изобретения, приведенной ниже.

Claims (13)

1. Машиночитаемый носитель, на котором хранятся исполняемые процессором инструкции, которые при исполнении одним или более процессорами побуждают один или более процессоров:
осуществлять посредством шлюза связи, реализованного как, по меньшей мере, один сервер доменных имен для домена, защиту электронного сообщения для посылающего агента, ассоциированного с этим доменом, причем посылающий агент является источником электронного сообщения, при этом осуществление защиты электронного сообщения содержит:
извлечение открытого ключа шифрования, ассоциированного, по меньшей мере, с одним другим доменом принимающего агента, который является предполагаемым получателем электронного сообщения;
генерирование симметричного ключа, ассоциированного с доменом, который ассоциирован с посылающим агентом;
шифрование электронного сообщения с использованием симметричного ключа для предоставления зашифрованной версии электронного сообщения; и
шифрование симметричного ключа с использованием открытого ключа шифрования для предоставления зашифрованного симметричного ключа;
передавать посредством шлюза связи от имени посылающего агента зашифрованную версию электронного сообщения, по меньшей мере, одному другому шлюзу связи, реализованному как, по меньшей мере, один другой сервер доменных имен, по меньшей мере, для одного другого домена;
принимать, по меньшей мере, на одном другом шлюзе связи от имени принимающего агента зашифрованную версию электронного сообщения;
и
предоставлять посредством, по меньшей мере, одного другого шлюза связи дешифрованную версию электронного сообщения принимающему агенту, при этом предоставление дешифрованной версии электронного сообщения содержит:
извлечение открытого ключа проверки, соответствующего домену, ассоциированному с посылающим агентом;
использование открытого ключа проверки в комбинации с секретным ключом, соответствующим, по меньшей мере, одному другому домену, для дешифрования зашифрованного симметричного ключа для предоставления дешифрованного симметричного ключа, причем секретный ключ, соответствующий, по меньшей мере, одному другому домену, хранится локально, по меньшей мере, на одном другом домене и является секретным аналогом открытого ключа шифрования, извлеченного шлюзом связи;
дешифрования зашифрованной версии электронного сообщения с использованием дешифрованного симметричного ключа для предоставления дешифрованной версии электронного сообщения; и пересылку дешифрованной версии электронного сообщения принимающему агенту.
2. Машиночитаемый носитель по п.1, причем передача зашифрованной версии электронного сообщения содержит передачу электронного сообщения, по меньшей мере, одному другому шлюзу связи в соответствии с упрощенным протоколом передачи электронной почты (SMTP).
3. Машиночитаемый носитель по п.1, причем электронное сообщение содержит сообщение электронной почты.
4. Машиночитаемый носитель по п.1, причем электронное сообщение содержит мгновенное сообщение.
5. Машиночитаемый носитель по п.1, причем электронное сообщение содержит поток данных или поток одного или более аудиопакетов.
6. Способ осуществления сетевой связи, содержащий этапы, на которых:
посредством шлюза связи, реализованного, по меньшей мере, как один сервер доменных имен для домена, осуществляют защиту электронного сообщения для посылающего агента, ассоциированного с этим доменом, который является источником электронного сообщения, при этом этап осуществления защиты электронного сообщения содержит этапы, на которых:
извлекают открытый ключ шифрования, ассоциированный, по меньшей мере, с одним другим доменом принимающего агента, который является предполагаемым получателем электронного сообщения;
генеририруют симметричный ключ, ассоциированный с доменом, который ассоциирован с посылающим агентом;
шифруют электронное сообщение с использованием симметричного ключа для предоставления зашифрованной версии электронного сообщения, которая является дешифрируемой другим шлюзом связи другого домена с использованием симметричного ключа; и
шифруют симметричный ключ с использованием открытого ключа шифрования для предоставления зашифрованной версии симметричного ключа, которая является дешифрируемой другим шлюзом связи с использованием открытого ключа проверки, извлекаемого другим шлюзом связи, и секретного ключа, хранимого локально на другом домене, причем секретный ключ является секретным аналогом открытого ключа шифрования; и
посредством шлюза связи от имени посылающего агента передают зашифрованную версию электронного сообщения принимающему агенту через другой шлюз связи.
7. Способ по п.6, в котором этап передачи зашифрованной версии электронного сообщения содержит этап, на котором передают электронное сообщение, по меньшей мере, одному другому шлюзу связи в соответствии с упрощенным протоколом передачи электронной почты (SMTP).
8. Способ по п.6, в котором электронное сообщение содержит сообщение электронной почты.
9. Способ по п.6, в котором электронное сообщение содержит мгновенное сообщение, поток данных или поток одного или более аудиопакетов.
10. Система осуществления сетевой связи, содержащая:
шлюз связи, реализованный, по меньшей мере, как один сервер доменных имен для домена и выполненный с возможностью:
осуществлять защиту электронного сообщения для посылающего агента, ассоциированного с упомянутым доменом, который является источником электронного сообщения, при этом осуществление защиты электронного сообщения содержит:
извлечение открытого ключа шифрования, ассоциированного, по меньшей мере, с одним другим доменом принимающего агента, который является предполагаемым получателем электронного сообщения;
генерирование симметричного ключа, ассоциированного с доменом, который ассоциирован с посылающим агентом;
шифрование электронного сообщения с использованием симметричного ключа для предоставления зашифрованной версии электронного сообщения; и
шифрование симметричного ключа с использованием открытого ключа шифрования для предоставления зашифрованного симметричного ключа;
передавать от имени посылающего агента зашифрованную версию электронного сообщения,
по меньшей мере, один другой шлюз связи, реализованный, по меньшей мере, как один другой сервер доменных имен, по меньшей мере, для одного другого домена и выполненный с возможностью:
принимать от имени принимающего агента зашифрованную версию электронного сообщения;
извлекать открытый ключ проверки, соответствующий домену, ассоциированному с посылающим агентом;
использовать открытый ключ проверки в комбинации с секретным ключом, соответствующим, по меньшей мере, одному другому домену, для дешифрования зашифрованного симметричного ключа для предоставления дешифрованного симметричного ключа, причем секретный ключ, соответствующий, по меньшей мере, одному другому домену, хранится локально, по меньшей мере, на одном другом домене и является секретным аналогом открытого ключа шифрования;
дешифровать зашифрованную версию электронного сообщения с использованием дешифрованного симметричного ключа для предоставления дешифрованной версии электронного сообщения; и пересылать дешифрованную версию электронного сообщения принимающему агенту.
11. Система по п.10, в которой передача зашифрованной версии электронного сообщения содержит передачу электронного сообщения, по меньшей мере, одному другому шлюзу связи в соответствии с упрощенным протоколом передачи электронной почты (SMTP).
12. Система по п.10, в которой электронное сообщение содержит сообщение электронной почты.
13. Система по п.10, в которой электронное сообщение содержит мгновенное сообщение, поток данных или поток одного или более аудиопакетов.
RU2008122778/09A 2005-12-06 2006-12-04 Распределение ключа для защищенного обмена сообщениями RU2425450C2 (ru)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US74263905P 2005-12-06 2005-12-06
US60/742,639 2005-12-06
US11/276,534 US8135645B2 (en) 2005-12-06 2006-03-03 Key distribution for secure messaging
US11/276,534 2006-03-03

Publications (2)

Publication Number Publication Date
RU2008122778A RU2008122778A (ru) 2009-12-20
RU2425450C2 true RU2425450C2 (ru) 2011-07-27

Family

ID=38119935

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008122778/09A RU2425450C2 (ru) 2005-12-06 2006-12-04 Распределение ключа для защищенного обмена сообщениями

Country Status (9)

Country Link
US (1) US8135645B2 (ru)
EP (1) EP1961147A4 (ru)
KR (1) KR20080078655A (ru)
AU (1) AU2006322124B2 (ru)
BR (1) BRPI0618128A2 (ru)
CA (1) CA2625168A1 (ru)
RU (1) RU2425450C2 (ru)
TW (1) TW200729855A (ru)
WO (1) WO2007067474A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2721759C1 (ru) * 2016-10-13 2020-05-22 Сименс Акциенгезелльшафт Способ, передатчик и приемник для аутентификации и защиты целостности содержимого сообщений

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7876902B2 (en) * 2006-08-31 2011-01-25 Microsoft Corporation Distribution of encrypted software update to reduce attack window
TWI322945B (en) * 2006-09-18 2010-04-01 Quanta Comp Inc Audio data transmission system and audio data transmission method
US8856289B2 (en) * 2006-12-29 2014-10-07 Prodea Systems, Inc. Subscription management of applications and services provided through user premises gateway devices
US8806207B2 (en) * 2007-12-21 2014-08-12 Cocoon Data Holdings Limited System and method for securing data
CN101309275B (zh) * 2008-06-27 2012-05-30 武汉烽火网络有限责任公司 一种流媒体服务中的文件名保护的方法
WO2010053885A1 (en) * 2008-11-05 2010-05-14 Mustang Microsystems, Inc. Method and apparatus for generating and updating security codes
CN102026092B (zh) * 2009-09-16 2014-03-12 中兴通讯股份有限公司 一种移动多媒体广播业务密钥同步的方法及网络
TWI422206B (zh) * 2010-05-31 2014-01-01 Intercity Business Corp 包容式金鑰認證方法
US9432342B1 (en) 2011-03-08 2016-08-30 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9292696B1 (en) 2011-03-08 2016-03-22 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9852311B1 (en) 2011-03-08 2017-12-26 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US11228566B1 (en) 2011-03-08 2022-01-18 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9338220B1 (en) 2011-03-08 2016-05-10 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US8726398B1 (en) 2011-12-13 2014-05-13 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9356993B1 (en) 2011-03-08 2016-05-31 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9667741B1 (en) 2011-03-08 2017-05-30 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9413526B1 (en) * 2011-03-08 2016-08-09 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US9300637B1 (en) * 2011-03-08 2016-03-29 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US8874990B2 (en) * 2011-04-01 2014-10-28 Cleversafe, Inc. Pre-fetching data segments stored in a dispersed storage network
US11418580B2 (en) 2011-04-01 2022-08-16 Pure Storage, Inc. Selective generation of secure signatures in a distributed storage network
US10298684B2 (en) 2011-04-01 2019-05-21 International Business Machines Corporation Adaptive replication of dispersed data to improve data access performance
WO2014124014A1 (en) 2013-02-05 2014-08-14 Vynca, L.L.C. Method and apparatus for collecting an electronic signature on a first device and incorporating the signature into a document on a second device
EP2963576B1 (en) * 2014-07-04 2022-03-23 Vodafone GmbH Secure installation of software in a device for accessing protected content
US9832208B1 (en) * 2014-12-23 2017-11-28 Erasable, LLC System and methods of providing secure messaging environment
US10826997B2 (en) 2015-11-06 2020-11-03 Vynca, Inc. Device linking method
US9973337B2 (en) 2015-11-18 2018-05-15 International Business Machines Corporation Domain-server public-key reference
CN105681031B (zh) * 2016-01-08 2018-12-21 成都卫士通信息产业股份有限公司 一种存储加密网关密钥管理系统及方法
GB2552966B (en) * 2016-08-15 2019-12-11 Arm Ip Ltd Methods and apparatus for protecting domains of a device from unauthorised accesses
CN106506144A (zh) * 2016-10-21 2017-03-15 深圳市视美泰技术股份有限公司 一种多媒体输出系统
US10270745B2 (en) * 2016-10-24 2019-04-23 Fisher-Rosemount Systems, Inc. Securely transporting data across a data diode for secured process control communications
US10530748B2 (en) 2016-10-24 2020-01-07 Fisher-Rosemount Systems, Inc. Publishing data across a data diode for secured process control communications
US11281887B2 (en) 2017-11-29 2022-03-22 Vynca, Inc. Multiple electronic signature method
US11423164B2 (en) 2018-05-21 2022-08-23 Vynca, Inc. Multiple electronic signature method
US11115395B2 (en) * 2019-07-23 2021-09-07 Harris Global Communications, Inc. Cross-domain information transfer system and associated methods
EP4052441A4 (en) * 2019-11-03 2023-11-22 Valimail Inc. CENTRALIZED SECURE DISTRIBUTION OF NEWS AND DEVICE UPDATES

Family Cites Families (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4747139A (en) * 1984-08-27 1988-05-24 Taaffe James L Software security method and systems
US4817140A (en) * 1986-11-05 1989-03-28 International Business Machines Corp. Software protection system using a single-key cryptosystem, a hardware-based authorization system and a secure coprocessor
EP0297242B1 (en) * 1987-06-30 1994-07-06 Kabushiki Kaisha Toshiba Recording/reproducing system and method with record restriction function
JPH0192833A (ja) * 1987-10-02 1989-04-12 Satoru Kubota 暗号翻訳の回路を内蔵することにより、ソフトウェアの違法なコピーを防止するマイクロプロセッサ
US5191573A (en) * 1988-06-13 1993-03-02 Hair Arthur R Method for transmitting a desired digital video or audio signal
US5199066A (en) * 1989-04-18 1993-03-30 Special Effects Software, Inc. Method and apparatus for protecting software
JP2560124B2 (ja) * 1990-03-16 1996-12-04 株式会社セガ・エンタープライゼス ビデオゲームシステム及び情報処理装置
US5033084A (en) * 1990-04-02 1991-07-16 Data I/O Corporation Method and apparatus for protection of software in an electronic system
US5623547A (en) * 1990-04-12 1997-04-22 Jonhig Limited Value transfer system
US5734823A (en) * 1991-11-04 1998-03-31 Microtome, Inc. Systems and apparatus for electronic communication and storage of information
WO1993009490A1 (en) * 1991-11-04 1993-05-13 Vpr Systems Ltd. Lap-top computer for retrieving and displaying text and graphic information encoded on personal library cd-rom
US5778421A (en) * 1992-11-26 1998-07-07 Nintendo Co., Ltd. Information processing system which can check disk-like storage medium having prescribed relation therewith and disk-like storage medium therefor
US5592651A (en) * 1993-06-11 1997-01-07 Rackman; Michael I. Method and system for limiting multi-user play of video game cartridges
US5418713A (en) * 1993-08-05 1995-05-23 Allen; Richard Apparatus and method for an on demand data delivery system for the preview, selection, retrieval and reproduction at a remote location of previously recorded or programmed materials
US5677953A (en) * 1993-09-14 1997-10-14 Spyrus, Inc. System and method for access control for portable data storage media
JP3367675B2 (ja) * 1993-12-16 2003-01-14 オープン マーケット インコーポレイテッド オープンネットワーク販売システム及び取引トランザクションのリアルタイムでの承認を行う方法
US5509074A (en) * 1994-01-27 1996-04-16 At&T Corp. Method of protecting electronically published materials using cryptographic protocols
US5661799A (en) * 1994-02-18 1997-08-26 Infosafe Systems, Inc. Apparatus and storage medium for decrypting information
US5481613A (en) * 1994-04-15 1996-01-02 Northern Telecom Limited Computer network cryptographic key distribution system
DE4413451A1 (de) * 1994-04-18 1995-12-14 Rolf Brugger Vorrichtung zum Vertrieb von Musikinformationen in digitaler Form
US5757907A (en) * 1994-04-25 1998-05-26 International Business Machines Corporation Method and apparatus for enabling trial period use of software products: method and apparatus for generating a machine-dependent identification
US5748735A (en) * 1994-07-18 1998-05-05 Bell Atlantic Network Services, Inc. Securing E-mail communications and encrypted file storage using yaksha split private key asymmetric cryptography
US5621796A (en) * 1994-09-30 1997-04-15 Electronic Payment Services, Inc. Transferring information between transaction networks
US5715314A (en) * 1994-10-24 1998-02-03 Open Market, Inc. Network sales system
CN1185217A (zh) * 1995-05-12 1998-06-17 麦克罗维西恩公司 视频介质安全与跟踪系统
US5742845A (en) * 1995-06-22 1998-04-21 Datascape, Inc. System for extending present open network communication protocols to communicate with non-standard I/O devices directly coupled to an open network
US5790677A (en) * 1995-06-29 1998-08-04 Microsoft Corporation System and method for secure electronic commerce transactions
JP3590143B2 (ja) * 1995-07-28 2004-11-17 株式会社東芝 電子メール転送装置
US5745568A (en) * 1995-09-15 1998-04-28 Dell Usa, L.P. Method of securing CD-ROM data for retrieval by one machine
US5673316A (en) * 1996-03-29 1997-09-30 International Business Machines Corporation Creation and distribution of cryptographic envelope
DE69836545T2 (de) * 1997-07-24 2007-05-16 Tumbleweed Communications Corp., Redwood City Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel
US6393568B1 (en) * 1997-10-23 2002-05-21 Entrust Technologies Limited Encryption and decryption system and method with content analysis provision
US6504089B1 (en) * 1997-12-24 2003-01-07 Canon Kabushiki Kaisha System for and method of searching music data, and recording medium for use therewith
US6385596B1 (en) * 1998-02-06 2002-05-07 Liquid Audio, Inc. Secure online music distribution system
JPH11234264A (ja) * 1998-02-17 1999-08-27 Canon Inc 電子透かし方式及びそれを用いた電子情報配布システム並びに記憶媒体
WO1999042996A1 (fr) * 1998-02-19 1999-08-26 Sony Corporation Appareil et procede d'enregistrement / reproduction, et processeur de donnees
US6073242A (en) * 1998-03-19 2000-06-06 Agorics, Inc. Electronic authority server
US6535919B1 (en) * 1998-06-29 2003-03-18 Canon Kabushiki Kaisha Verification of image data
US8006177B1 (en) * 1998-10-16 2011-08-23 Open Invention Network, Llc Documents for commerce in trading partner networks and interface definitions based on the documents
WO2000031931A1 (en) 1998-11-24 2000-06-02 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for securing data objects
JP3768705B2 (ja) * 1998-11-27 2006-04-19 キヤノン株式会社 電子透かし埋め込み装置、出力制御装置及びコンピュータ読み取り可能な記憶媒体
US6615264B1 (en) * 1999-04-09 2003-09-02 Sun Microsystems, Inc. Method and apparatus for remotely administered authentication and access control
US6263435B1 (en) * 1999-07-06 2001-07-17 Matsushita Electric Industrial Co., Ltd. Dual encryption protocol for scalable secure group communication
AU6097000A (en) * 1999-07-15 2001-02-05 Frank W Sudia Certificate revocation notification systems
US6647417B1 (en) * 2000-02-10 2003-11-11 World Theatre, Inc. Music distribution systems
US6792113B1 (en) * 1999-12-20 2004-09-14 Microsoft Corporation Adaptable security mechanism for preventing unauthorized access of digital data
DE10001216A1 (de) * 2000-01-14 2001-08-30 Am Huelse Regina Schulte Verfahren zum Aufbringen von reproduzierbaren Daten
SG97852A1 (en) * 2000-02-25 2003-08-20 Kent Ridge Digital Labs Method and apparatus for digital content copy protection
JP2001352321A (ja) 2000-04-06 2001-12-21 Sony Corp 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体
US6986037B1 (en) * 2000-04-07 2006-01-10 Sendmail, Inc. Electronic mail system with authentication/encryption methodology for allowing connections to/from a message transfer agent
US6865671B1 (en) * 2000-04-07 2005-03-08 Sendmail, Inc. Electronic mail system with authentication methodology for supporting relaying in a message transfer agent
US6584564B2 (en) * 2000-04-25 2003-06-24 Sigaba Corporation Secure e-mail system
US6728773B1 (en) * 2000-05-10 2004-04-27 Cisco Technology Inc. System for controlling and regulating distribution of intellectual properties using internet protocol framework
US6721793B1 (en) * 2000-05-10 2004-04-13 Cisco Technology, Inc. Intellectual property over non-internet protocol systems and networks
US6745231B1 (en) * 2000-08-08 2004-06-01 International Business Machines Corporation System for securing electronic mail
US7020779B1 (en) 2000-08-22 2006-03-28 Sun Microsystems, Inc. Secure, distributed e-mail system
GB2368756A (en) * 2000-11-02 2002-05-08 Roke Manor Research Email encryption system in which messages are sent via an encryption server which stores the public keys of intended recipients
US6636867B2 (en) * 2001-01-19 2003-10-21 Gavin Charles George Robertson Method of enabling and administering commercial transactions using a computerized administration system
US6728731B2 (en) * 2001-05-15 2004-04-27 Yahoo!, Inc. Method and apparatus for accessing targeted, personalized voice/audio web content through wireless devices
JP4545994B2 (ja) * 2001-07-02 2010-09-15 三洋電機株式会社 データ再生装置それに用いるデータ再生回路、およびデータ記録装置
GB2384402B (en) 2002-01-17 2004-12-22 Toshiba Res Europ Ltd Data transmission links
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
US7640427B2 (en) * 2003-01-07 2009-12-29 Pgp Corporation System and method for secure electronic communication in a partially keyless environment
FI118619B (fi) * 2003-05-16 2008-01-15 Jarmo Talvitie Menetelmä ja järjestelmä tiedon salaamiseksi ja tallentamiseksi
WO2004112004A2 (en) * 2003-06-17 2004-12-23 Nds Limited Multimedia storage and access protocol
US7313700B2 (en) * 2003-08-26 2007-12-25 Yahoo! Inc. Method and system for authenticating a message sender using domain keys
US9118628B2 (en) * 2003-11-06 2015-08-25 Scott C Harris Locked e-mail server with key server
US7698558B2 (en) * 2003-11-21 2010-04-13 Rpost International Limited System for, and method of, providing the transmission, receipt and content of an e-mail message
WO2005093989A1 (en) * 2004-03-29 2005-10-06 Smart Internet Technology Crc Pty Limited Digital license sharing system and method
US7437771B2 (en) 2004-04-19 2008-10-14 Woodcock Washburn Llp Rendering protected digital content within a network of computing devices or the like

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2721759C1 (ru) * 2016-10-13 2020-05-22 Сименс Акциенгезелльшафт Способ, передатчик и приемник для аутентификации и защиты целостности содержимого сообщений
US11288400B2 (en) 2016-10-13 2022-03-29 Siemens Aktiengesellschaft Method, transmitter, and receiver for authenticating and protecting the integrity of message contents

Also Published As

Publication number Publication date
KR20080078655A (ko) 2008-08-27
AU2006322124B2 (en) 2011-01-27
US8135645B2 (en) 2012-03-13
AU2006322124A1 (en) 2007-06-14
BRPI0618128A2 (pt) 2011-08-16
EP1961147A1 (en) 2008-08-27
US20070130084A1 (en) 2007-06-07
CA2625168A1 (en) 2007-06-14
WO2007067474A1 (en) 2007-06-14
TW200729855A (en) 2007-08-01
RU2008122778A (ru) 2009-12-20
EP1961147A4 (en) 2011-03-09

Similar Documents

Publication Publication Date Title
RU2425450C2 (ru) Распределение ключа для защищенного обмена сообщениями
Barker et al. Recommendation for key management part 3: Application-specific key management guidance
CN105917689B (zh) 以信息为中心的网络中的安全的点对点组
US7584505B2 (en) Inspected secure communication protocol
US8144874B2 (en) Method for obtaining key for use in secure communications over a network and apparatus for providing same
US6874089B2 (en) System, method and computer program product for guaranteeing electronic transactions
EP1635502B1 (en) Session control server and communication system
EP3149887B1 (en) Method and system for creating a certificate to authenticate a user identity
US8117438B1 (en) Method and apparatus for providing secure messaging service certificate registration
Zhou Further analysis of the Internet key exchange protocol
WO2010078755A1 (zh) 电子邮件的传送方法、系统及wapi终端
US20070130069A1 (en) Encapsulating Address Components
Kfoury et al. Secure End-to-End VoIP System Based on Ethereum Blockchain.
Barker et al. Sp 800-57. recommendation for key management, part 1: General (revised)
Jung et al. Securing RTP Packets Using Per‐Packet Key Exchange for Real‐Time Multimedia
US20220191042A1 (en) Secure Transport of Content Via Content Delivery Service
CN101496339A (zh) 用于安全消息通信的密钥分发
Rösler et al. Interoperability between messaging services secure–implementation of encryption
Mohamed et al. Using trusted computing in trusted mail transfer protocol
US20230239138A1 (en) Enhanced secure cryptographic communication system
US20050160041A1 (en) Smartcard-based root certificate methods and apparatuses
Pérez Working from Home and Data Protection
Gajcowski et al. RFC 9212: Commercial National Security Algorithm (CNSA) Suite Cryptography for Secure Shell (SSH)
Skurichinas Public-Key Distribution and Acquisition services over SMS
Balitanas et al. IPV6 Mobile Network Protocol Weaknesses and a Cryptosystem Approach

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20121205