在包含一个源客户和多个目标客户的网络环境中,源客户能向多个目标客户发送电子报文,网络环境包括一个或多个证书服务器,证书服务器能为一个或多个目标客户中的至少一些向源客户确认和提供证书,每个证书包括加密至相应的目标客户所需的加密信息,并包括自验证信息以考虑证书确实与相应目标客户相符并且没有被撤消的决定,一个用于源客户加密将被发送至至少一个目标客户的电子报文的方法,它包括: 源客户访问将被发送至多个目标客户中的一个目标客户的电子报文的操作; 决定电子报文在发送至目标客户前被加密的操作; 生成一个仅仅访问与目标客户对应的证书的一部分的请求的操作,这部分包括加密电子报文以至于能被目标客户解密所需的加密信息; 向证书服务器发送请求的操作; 仅仅接收来自于证书服务器的证书的请求部分的操作;以及 用加密信息加密电子报文的操作。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及保密通信,尤其是用于通信加密的证书的使用。
技术介绍
计算和网络技术改变了我们工作和娱乐的方式。网络已变得如此丰富以至于一个简单的可连网的计算系统可和几百万其他计算系统中的任何一个通信,这些计算系统通过常称为“因特网”的网络聚集物在整个地球上分布。这些计算系统可包括台式计算机、膝上型计算机、或图形输入个人计算机、个人数字助理(PDAs)、电话、或任何其他能通过数字网络通信的计算机或设备。为了通过网络通信,一个计算系统(在此文中作为“源计算系统”或“源客户”提到)构造或用别的方法访问电子报文,并通过网络将电子报文发送至另一计算系统(在此文中作为“目标计算系统”或“目标客户”提到)。当电子报文是电子邮件或立即信息时可被用户阅读,或换作可被运行在接收计算系统上的应用读取。在可能的用户的辅助下,电子报文可由运行在发送计算系统上的应用构造。尽管这样的电子报文有利地使计算系统能够交换信息,并因此用前所未有的方式为他们的相关用户服务,但是电子本文容易遭到截听。根据电子报文内容的敏感性,截听会是非常有害的,在某些情况下甚至是灾难性的失败。为了预防截听,电子报文常被加密以至于只有那些具有某个二进制序列(称为“密钥”)的用户可解密电子报文由此访问电子报文中所表示的信息。通过努力以至于有希望地仅仅接收计算系统有访问解密电子报文所需的密钥的权利。因此,在缺少特别极大努力的情况下,任何发生于其间的截听者仅仅有访问电子报文的加密形式的权利。在对称的加密中,用于加密电子报文的同样密钥可用来解密电子报文。在非对称的加密中,一个“公钥”和一个“私钥”与特定的计算系统相关。公钥为种类繁多的计算系统所知,而私钥不是广为传播的。私钥可用于解密用公钥加密的任何报文。因为接收计算系统必须是唯一的能解密为其准备的电子报文的计算系统,所以私钥比公钥更机密。为了使加密容易,发送计算系统常访问与接收计算系统有关的电子证书。图8说明了依据先前领域的证书800的数据结构。证书800包括确认信息803。确认信息803使得发送计算系统能够证实证书确实与接收计算系统相符并且证书没有被撤消。X.509证书是现在普遍使用的一类证书。X.509证书的确认信息可包括,例如,可被访问以证实证书是否确实与目标计算系统相符的URL。X.509证书的确认信息还可包括表明证书是否被撤消的证书吊销清单。证书800还包括证书识别信息802,证书识别信息802使得发送计算系统能够识别证书。例如,X.509证书可包括,例如,一个密钥识别符或可能一个发行者识别符和一序列号的组合。证书800还包括加密信息801(如在X.509证书中的公钥)。加密信息使得发送计算系统能够用可被与证书对应的目标计算系统解密的方式来加密电子报文。例如,当发送计算系统用与目标计算系统对应的公钥加密电子报文时,目标计算系统将理想地成为唯一的具有解密电子报文所需的相应的私钥的计算系统。当证书在加密点上使用时存在有效的情况。例如,常规地,当加密用S/MIME(多功能因特网邮件扩展安全规范)的电子邮件时,为了在完成加密中辅助发送计算系统,用于接收计算系统的证书被用在发送计算系统本身。MIME(多功能因特网邮件扩展规范)是用于格式化非ASCII报文以至于它们能通过因特网被发送的规范。许多电子邮件客户现在支持MIME,这使得他们能够经由因特网邮件系统发送和接收图像、声频和视频文件。MIME在1992年由因特网工程任务组(IETF)定义。S/MIME是个定义加密和编码与MIME标准一致的电子邮件报文内容的方式的标准,S/MIME是基于上述公钥加密技术的。期待S/MIME将被广泛实施,这使人们可能将保密电子邮件报文发送给其他人,即使他们正用不同的电子邮件应用。存在一些潜在的障碍来普及诸如由S/MIME定义的基于证书加密技术的采用和利用,特别是在有限存储器的移动设备上。目前,为了在基于证书加密中加密报文,全证书被访问。X.509证书对于每个证书可常超过1千字节大小。一个证书常规地用于报文的每个潜在的接收者。一些报文有许多接收者,因此增加了存储证书所需的存储器的数量。当工作在一般具有相对有限的存储器和处理器能力的移动设备上时,这会显著地降低性能。因此,发送计算系统经常通过高时延和低带宽连接(如,拨号或无线连接)获取来自于另一个计算系统的证书。特别是,证书常被存储于在中央储存库或目录用于电子邮件使用者访问。证书的大小大大地影响通过慢网络连接和这些储存库相连的电子邮件使用者。因此,减少存储器、处理器和带宽要求的基于证书加密技术将是有利的。
技术实现思路
在本领域先前状况中的上述问题通过本专利技术的原理被克服了,本专利技术的原理是针对基于证书加密机理,其中全证书不用在加密点上从而在加密点上保留存储器和处理器资源。因此,当加密点还未曾访问证书时,和发送(和存储)全部证书相比,少于所有证书的证书被发送到加密点从而保留带宽(和存储器)。本专利技术的原理可在网络环境中实施,网络环境中源客户是用于电子报文的加密点,电子报文将被发送到一个或多个目标客户。证书可从证书服务器中被访问,证书服务器为潜在的电子报文的目标客户中的至少一些提供相应的证书。证书包括加密信息,加密信息使得有访问证书权利的源客户能够以可被与证书对应的实体解密的方式加密电子报文。证书还包括自验证信息,自验证信息使得有访问证书权利的源客户能够证实证书是有效的,证书确实属于相应的实体,并且证书没有被撤消。源客户访问将被发送至目标客户的电子报文,然后决定电子报文将被加密。源客户生成一个仅仅访问与目标客户对应的证书的一部分的请求。这部分包括加密信息,但是可能缺少自验证信息的一些甚至全部。源客户然后向证书服务器发送请求,证书服务器接收请求并响应地仅仅返回证书的请求部分。作为一个整体,返回的证书的一部分可能比证书小了许多。因此,仅仅返回那些请求部分显著地减少了证书服务器和源客户之间所需的带宽。当源客户接收到响应,加密信息被用于加密电子报文以至于报文能被目标客户解密。加密过程可包括用公钥直接加密电子报文的内容。另一可选用地,当多个目标客户将接收报文时,电子报文的内容可用其他密钥(如会话密钥)加密。对于每个目标客户,电子报文还可包括用其相应的公钥加密的会话密钥。因此,因为少于全证书的证书被发送和使用于加密,在源客户处的存储器和处理资源被保留。如果源客户是已具有有限处理器和存储器资源并且常用有限带宽与其他网络相连的的移动设备的话,这是非常关键。如果电子报文的时间以及保密是重要的话,本专利技术是特别有用的。注意,证书的一些自验证信息可能不被包括在证书的请求部分中。为了保持与能验证证书有效性有关的安全,证书验证可由证书服务器完成。证书服务器已较佳地被源客户信任到这样的程度,如果证书服务器完成这样的确认,那么源客户将决定证书是有效的而不需单独地确认证书。专利技术的另外的特点和优点将在下列描述中将被公布,并且阅读描述从某种程度上将清楚这些特点和优点,或从专利技术的实践中了解到这些特点和优点。借助于在后附权利要求书中特别指出的仪器和组合可实现和获得专利技术的特点和优点。阅读下列描述和后附权利要求书,本专利技术的这些和其他特点将会更清楚,或可通过如下文中公布的专利技术的实践来了解本专利技术的这些和其他特点。附图说明为了描述可以获得发本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:R·威廉姆斯,J·佩瑞拉,K·M·巴特希,P·J·哈林,Y·L·谢,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。