用于安全电子数据传输的系统和方法技术方案

利用临时密钥加密和解密数据的用于安全电子数据传输的系统和方法。电子数据传输的系统和方法。电子数据传输的系统和方法。

【技术实现步骤摘要】
【国外来华专利技术】用于安全电子数据传输的系统和方法


[0001]本公开涉及安全电子数据传输。更具体地，本公开涉及使用临时密钥加密和解密数据的系统和方法。

技术介绍

[0002]网络安全，更具体地说，个人和计算设备信息的保护已经成为个人和国家关注的问题。数据和硬件泄露持续增多。身份盗窃、勒索软件、医疗设备入侵、网络劫车、能源网网络攻击、金融服务和银行黑客以及窃取医疗和健康信息引起了个人、私营部门员工和政府的极大关注。
[0003]提供编码数据的安全传输可以包括使用公钥和私钥、可信证书技术和/或令牌化。使用这些技术可有效加强数据安全性，但代价是底层数据的使用和灵活性不够理想。这个平衡问题的解决方案通常倾向于数据使用的更大灵活性，导致对个人和计算设备识别信息的保护更少。
[0004]加密技术经常用于机密信息的电子传输，由此信息、消息、数据包等都是以使得只有授权方才能访问的方式进行加密或编码的。加密方案通常使用伪随机密钥来加密/解密感兴趣的信息。加密本身并不能阻止未经授权的收件人截取消息或加密信息。但是，只有授权的查看者才能访问解密加密信息所需的密钥；如果没有密钥，未经授权的用户将无法轻松地解密信息。
[0005]电子数据传输的安全加密可以采用对称方案(私钥/私钥)或非对称方案(公钥/私钥)。有了这些(和其他)基于密钥的加密体系结构，虽然所讨论的密钥是随机生成的，但至少私钥通常存储相对较长的时间。存储的密钥反过来会受到攻击(网络攻击或其他)。一旦未经授权的用户获得了对私钥的访问权限，截获的加密信息就不再安全。为了防止对加密密钥的攻击，已经开发了加密密钥管理系统。例如，可对由特定组织维护的私钥电子储存库(或密钥管理服务器)进行加密，并且访问电子数据库所需的密钥或其他信息存储在其他地方。这一额外的安全层也容易受到攻击，实施起来可能很复杂，维护起来也很昂贵。此外或替代地，有组织可能要求周期性地去激活(或撤销)所有存储的密钥并用新的密钥替换。这种方法同样成本高且效率低。

技术实现思路

[0006]本公开的专利技术人已经认识到需要解决一个或多个上述问题。
[0007]本公开的一些方面涉及用于安全电子数据传输的系统。本公开的一些方面涉及用于安全电子数据传输的方法。
附图说明
[0008]图1是示出根据本公开原理的系统的框图；
[0009]图2A至图2C是根据本公开的一些方法执行的步骤的流程图，包括用于安全电子数
据传输的方法；
[0010]图3是根据本公开的一些方法执行的步骤的时序图，包括可选的安全流操作模式；
[0011]图4是示出根据本公开原理的另一系统的框图，包括多于一个信任环境；
[0012]图5是根据本公开的一些方法执行的步骤的流程图，包括拦截器设备检查加密数据的请求的可选操作；
[0013]图6是根据本公开的一些方法执行的步骤的流程图，包括拦截器设备检查解密数据的请求的可选操作；
[0014]图7是根据本公开的一些方法执行的步骤的流程图，包括在图1的系统内设置客户端设备；
[0015]图8是根据本公开的一些方法执行的步骤的流程图，包括由图1的系统的代理设备和客户端设备使用的密钥的可选轮换；
[0016]图9是根据本公开的一些方法执行的步骤的流程图，包括执行会话管理的可选方法；
[0017]图10是示出根据本公开原理的另一系统的框图，包括可选的束缚(leash)设备；以及
[0018]图11是示出根据本公开原理的另一系统的框图，包括可选的逻辑节点布置。
具体实施方式
[0019]本公开的一些方面涉及用于安全的数据电子传输的系统和方法。图1中示出了根据本公开原理的系统10的一个示例，利用该系统10可以执行本公开的方法。系统10包括代理设备20和两个或更多个客户端设备，例如第一客户端设备22和第二客户端设备24，以及可选的拦截器设备26。代理设备20可以是或类似于至少具有处理器和存储器的计算机或计算设备，并且在一些非限制性实施例中是本领域已知的计算机服务器(例如，运行典型服务器级操作系统(例如，Linux)的一个或多个专用商业可用硬件服务器(例如，具有多核处理器、RAM、一个或多个网络接口适配器和硬盘驱动器))。在其他实施例中，代理设备20可以跨包括多个这样的服务器、固态驱动器和/或其他适用的高性能硬件的可扩展基础设施来实现。客户端设备22、24和拦截器设备26(如果提供的话)可以是或类似于至少具有处理器和存储器的计算机或计算设备，例如本领域已知的台式计算机、笔记本计算机、智能手机、芯片组、片上系统、ASIC等。设备20、22、24、26配置成以各种方式彼此电子通信，例如如本领域已知通过无线通信系统、有线通信系统等。
[0020]作为参考点，本公开的系统和方法使用加密体系结构来促进例如信任环境内的安全数据传输，在该加密体系结构中，使用密钥对数据进行加密和解密。在一些实施例中，本公开的用于安全通信的密钥创建和分发的协调可以称为“设备访问安全代理”或“DASB”。如下文更详细描述的，适当的编制程序(即，计算机程序、软件、硬件、固件等)被安装在代理设备20、客户端设备22、24和拦截器26(如果提供的话)中的每一个上或与其一起提供，并且以协调的方式操作以执行本公开的方法。
[0021]例如，软件或模块30(“DASB代理软件”)安装在代理设备20上或由其操作。DASB代理软件30包括如下所描述的实现预密钥数据(或“密钥DNA”)生成的编程。密钥DNA是指允许(或可以作为“种子”)随后创建加密密钥(例如对称密钥)的完整或部分数据。DASB代理软件
30还可以包括实现如下所描述的完整或部分名字对象(moniker)的生成的编制程序。名字对象是指对应的密钥DNA的缩写标识符(如字符串)。在一些非限制性实施例中，DASB代理软件30操作规则引擎或模块32，该规则引擎或模块允许或拒绝在系统10中的两个设备之间(例如在第一和第二客户端设备22、24之间)请求的数据传输，如下所述描的那样。如贯穿本公开所使用的，加载有(或操作)DASB代理软件的代理设备称为“代理”。因此，例如，图1的代理设备20也可以称为系统10的代理。
[0022]软件或模块40(“DASB客户端软件”)安装在第一客户端设备22上。DASB客户端软件40编程为与DASB代理软件30接口对接，以基于接收到的密钥DNA生成加密密钥(例如，对称密钥)，并与第一客户端设备22运行的一个或多个应用程序接口对接。例如，为图1中的第一客户端设备22大体上标出了一个这样的应用程序42；虽然应用程序42通常被反映为存储在第一客户端设备22上，但是在其他实施例中，感兴趣的一个或多个应用程序不存储在第一客户端设备22上，而是例如可以在与第一客户端设备22通信的同一本地网络(LAN)中的另一计算设备上运行。一个或多个应用程序42可以是为终端用户设计或编写的任何程序，程序组或多个程序，例如数据库程序、数字文档程序(例如，PDF)、文字处理器、电子表格、消息接发程序本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于实现安全电子数据传输的方法，所述安全电子数据传输在发送方客户端设备和接收方客户端设备之间进行，其中所述发送方客户端设备和接收方客户端设备各自包括计算设备，所述方法包括：在所述发送方客户端设备处接收密钥DNA和名字对象；将所述密钥DNA和所述名字对象存储在代理设备中；基于所述密钥DNA在所述发送方客户端设备处生成密钥；使用所述密钥加密存储在所述发送方客户端设备上的数据，以生成加密数据；将所述加密数据和所述名字对象从所述发送方客户端设备通过电子方式传输到所述接收方客户端设备；由所述接收方客户端设备将所述名字对象传递到所述代理设备；由所述接收方客户端设备从所述代理设备接收所述密钥DNA；基于所述密钥DNA在所述接收方客户端设备处生成所述密钥；以及由所述接收方客户端设备使用所述密钥解密所述加密数据。2.根据权利要求1所述的方法，还包括：在加密数据的步骤之后，从所述发送方客户端设备移除所述密钥。3.根据权利要求2所述的方法，还包括：在解密所述加密数据的步骤之后，从所述接收方客户端设备移除所述密钥。4.根据权利要求1至3中任一项所述的方法，其中在所述发送方设备处从所述代理设备接收密钥DNA和名字对象的步骤之前，所述方法还包括：将针对密钥DNA的请求从所述发送方客户端设备传送到所述代理设备；以及操作所述代理设备以批准或拒绝针对密钥DNA的所述请求。5.根据权利要求4所述的方法，其中在操作所述代理设备以批准或拒绝所述请求的步骤之后，所述方法还包括：从所述代理设备向拦截器设备传递验证请求，所述验证请求用于请求对从所述发送方客户端设备到所述接收方客户端设备的预期数据传输进行验证；以及操作所述拦截器设备以批准或拒绝所述验证请求。6.根据权利要求1至5中任一项所述的方法，还包括：将所述加密数据和所述名字对象从所述发送方客户端设备通过电子方式传输到第二接收方客户端设备；由所述第二接收方客户端设备将所述名字对象传递给所述代理设备；由所述第二接收方客户端设备从所述代理设备接收所述密钥DNA；基于所述密钥DNA在所述第二接收方客户端设备处生成所述密钥；以及由所述第二接收方客户端设备使用所述密钥解密所述加密数据。7.根据权利要求6所述的方法，还包括：基于预定规则从所述代理设备中删除所述密钥DNA和所述名字对象。8.根据权利要求1至7中任一项所述的方法，还包括：在所述代理设备处记录信息，所述信息指示所述代理设备已经从所述发送方客户端设备或所述接收方客户端设备接收到针对所述密钥DNA的请求。9.根据权利要求1至8中任一项所述的方法，其中所述密钥DNA和所述名字对象由所述
代理设备创建。10.根据权利要求1至9中任一项所述的方法，其中所述名字对象由所述发送方客户端设备创建。11.根据权利要求1至10中任一项所述的方法，其中所述密钥DNA的至少一部分由所述发送方客户端设备创建。12.根据权利要求1至11中任一项所述的方法，其中所述密钥DNA的一部分由所述发送方设备创建，并且将所述加密数据和所述名字对象从所述发送方客户端设备通过电子方式传输到所述接收方客户端设备的步骤还包括，将所述密钥DNA的所述部分从所述发送方客户端设备通过电子方式传输到所述接收方客户端设备。13.根据权利要求1至12中任一项所述的方法，其中所述电子数据传输是从所述发送方客户端设备到所述接收方客户端设备的流通信的一部分，所述密钥DNA是第一密钥DNA，所述密钥是第一密钥，数据是所述流通信的第一数据包，并且所述加密数据是所述流通信的第一加密数据包，并且进一步其中，在将所述第一加密数据包和所述名字对象通过电子方式从所述发送方客户端设备传输到所述接收方客户端设备的步骤之后，所述方法还包括：在所述发送方客户端设备处接收第二密钥DNA，所述第二密钥DNA不同于所述第一密钥DNA；基于所述第二...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：康奈尔克有限公司，
类型：发明
国别省市：