【技术实现步骤摘要】
【国外来华专利技术】
本公开涉及用于电子邮件等消息服务的混合内容保护架构。
技术介绍
1、加密日益成为确保用户之间消息的机密性和真实性的使用中的最重要的工具之一。这些消息通常通过消息服务器(例如,电子邮件服务器)传递,而消息服务器不受发送消息的用户和/或接收消息的用户的控制。虽然用户可以依赖于电子邮件服务器进行加密和解密,但这允许电子邮件服务器访问未加密的消息。为了最大限度地保护隐私,一些用户采用客户端侧加密,客户端侧加密涉及用户在将加密消息发送到消息服务器进行传递之前对消息进行加密。
技术实现思路
1、本公开的一个方面提供了一种用于提供混合内容保护架构的方法。计算机实现的方法在由用户装置的数据处理硬件执行时使数据处理硬件执行操作。所述操作包括从消息服务器获得用一次性数据加密密钥(dek)加密的加密消息和包括用公钥(pk)加密的一次性dek的加密dek。一次性dek可以仅用于对加密消息进行加密。所述操作还包括向密钥访问控制列表服务器(kacls)传输解密请求,解密请求请求kacls使用与pk相关联的私钥(prk)对加密dek进行解密。解密请求可以包括加密dek。kacls独立于消息服务器和/或与消息服务器分离。所述操作还包括从kacls接收一次性dek以及使用一次性dek对加密消息进行解密。
2、本公开的实现方式可以包括以下可选特征中的一个或多个可选特征。在一些实现方式中,解密请求被配置为使kacls从消息服务器获得加密prk,加密prk包括用私有kacls密钥加密的prk;使用私有kacl
3、在一些示例中,解密请求被配置为使kacls使用消息服务器验证用户装置的用户,并且使用独立于消息服务器的第三方身份提供者验证用户装置的用户。可选地,所述操作进一步包括:获得第二消息;生成第二一次性dek;使用第二一次性dek对第二消息进行加密;向kacls传输加密请求,加密请求请求kacls用prk对第二一次性dek进行加密;从kacls接收第二加密dek,第二加密dek包括用prk加密的第二一次性dek;以及将加密的第二消息和第二加密dek传输到消息服务器。在一些实现方式中,使用安全/多用途互联网邮件扩展(s/mime)标准获得第二消息。
4、在一些示例中,消息服务器不接收对prk或对解密消息的访问。可选地,pk和prk包括非对称密钥对。消息服务器可以存储pk。在一些实现方式中,加密消息包括电子邮件,并且消息服务器包括电子邮件服务。
5、本公开的另一方面提供了一种用于提供混合内容保护架构的系统。所述系统包括数据处理硬件,以及与数据处理硬件通信的存储器硬件。存储器硬件存储指令,所述指令当在数据处理硬件上执行时使数据处理硬件执行操作。所述操作包括从消息服务器获得用一次性数据加密密钥(dek)加密的加密消息和包括用公钥(pk)加密的一次性dek的加密dek。一次性dek可以仅用于对加密消息进行加密。所述操作还包括向kacls传输解密请求,解密请求请求kacls使用与pk相关联的prk对加密dek进行解密。解密请求可以包括加密dek。kacls独立于消息服务器和/或与消息服务器分离。所述操作还包括从kacls接收一次性dek以及使用一次性dek对加密消息进行解密。
6、此方面可以包括以下可选特征中的一个或多个可选特征。在一些实现方式中,解密请求被配置为使kacls从消息服务器获得加密prk,加密prk包括用私有kacls密钥加密的prk;使用私有kacls密钥对加密prk进行解密;使用prk对加密dek进行解密;将一次性dek传输到用户装置;并且丢弃prk。在这些实现方式中的一些实现方式中,私有kacls密钥包括仅由kacls拥有的对称密钥。
7、在一些示例中,解密请求被配置为使kacls使用消息服务器验证用户装置的用户,并且使用独立于消息服务器的第三方身份提供者验证用户装置的用户。可选地,所述操作进一步包括:获得第二消息;生成第二一次性dek;使用第二一次性dek对第二消息进行加密;向kacls传输加密请求,加密请求请求kacls用prk对第二一次性dek进行加密;从kacls接收第二加密dek,第二加密dek包括用prk加密的第二一次性dek;以及将加密的第二消息和第二加密dek传输到消息服务器。在一些实现方式中,使用安全/多用途互联网邮件扩展(s/mime)标准获得第二消息。
8、在一些示例中,消息服务器不接收对prk或对解密消息的访问。可选地,pk和prk包括非对称密钥对。消息服务器可以存储pk。在一些实现方式中,加密消息包括电子邮件,并且消息服务器包括电子邮件服务。
9、本公开的一个或多个实现方式的细节在附图和以下说明中阐述。根据说明书和附图以及权利要求,其他方面、特征和优点将显而易见。
本文档来自技高网...【技术保护点】
1.一种计算机实现的方法(400),所述计算机实现的方法在由用户装置(10)的数据处理硬件(18)执行时使所述数据处理硬件(18)执行操作,所述操作包括:
2.如权利要求1所述的方法(400),其中所述解密请求(210)被配置为使所述KACLS(50):
3.如权利要求2所述的方法(400),其中所述KACLS加密密钥(230)包括仅由所述KACLS(50)拥有的对称密钥或非对称密钥。
4.如权利要求1至3中任一项所述的方法(400),其中所述解密请求(210)被配置为使所述KACLS(50):
5.如权利要求1至4中任一项所述的方法(400),其中所述操作进一步包括:
6.如权利要求5所述的方法(400),其中所述第二消息(152)是使用由安全/多用途互联网邮件扩展(S/MME)标准描述的操作获得的。
7.如权利要求1至6中任一项所述的方法(400),其中所述消息服务器(160)不接收对所述PRK(172PRK)或对所述解密消息(152)的访问。
8.如权利要求1至7中任一项所述的方法(400)
9.如权利要求8所述的方法(400),其中所述消息服务器(160)存储所述PK(172PK)。
10.如权利要求1至9中任一项所述的方法(400),其中:
11.一种系统(100),所述系统包括:
12.如权利要求11所述的系统(100),其中所述解密请求(210)被配置为使所述KACLS(50):
13.如权利要求12所述的系统(100),其中所述KACLS加密密钥(230)包括仅由所述KACLS(50)拥有的对称密钥或非对称密钥。
14.如权利要求11至13中任一项所述的系统(100),其中所述解密请求(210)被配置为使所述KACLS(50):
15.如权利要求11至14中任一项所述的系统(100),其中所述操作进一步包括:
16.如权利要求15所述的系统(100),其中所述第二消息(152)是使用由安全/多用途互联网邮件扩展(S/MME)标准描述的操作获得的。
17.如权利要求11至16中任一项所述的系统(100),其中所述消息服务器(160)不接收对所述PRK(172PRK)或对所述解密消息(152)的访问。
18.如权利要求11至17中任一项所述的系统(100),其中所述PK(172PK)和所述PRK(172PRK)包括非对称密钥对。
19.如权利要求18所述的系统(100),其中所述消息服务器(160)存储所述PK(172PK)。
20.如权利要求11至19中任一项所述的系统(100),其中:
...【技术特征摘要】
【国外来华专利技术】
1.一种计算机实现的方法(400),所述计算机实现的方法在由用户装置(10)的数据处理硬件(18)执行时使所述数据处理硬件(18)执行操作,所述操作包括:
2.如权利要求1所述的方法(400),其中所述解密请求(210)被配置为使所述kacls(50):
3.如权利要求2所述的方法(400),其中所述kacls加密密钥(230)包括仅由所述kacls(50)拥有的对称密钥或非对称密钥。
4.如权利要求1至3中任一项所述的方法(400),其中所述解密请求(210)被配置为使所述kacls(50):
5.如权利要求1至4中任一项所述的方法(400),其中所述操作进一步包括:
6.如权利要求5所述的方法(400),其中所述第二消息(152)是使用由安全/多用途互联网邮件扩展(s/mme)标准描述的操作获得的。
7.如权利要求1至6中任一项所述的方法(400),其中所述消息服务器(160)不接收对所述prk(172prk)或对所述解密消息(152)的访问。
8.如权利要求1至7中任一项所述的方法(400),其中所述pk(172pk)和所述prk(172prk)包括非对称密钥对。
9.如权利要求8所述的方法(400),其中所述消息服务器(160)存储所述pk(172pk)。
10.如权利要求1至9中任一项...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。