[发明专利]安全的数据传输的装置与方法

说明书

技术领域

本发明涉及保护数据通信的领域，在该数据通信中采用秘密钥来加密/解密数据，并且可以对数据进行数字签名，这些数据沿着通信路径传输并且需要受安全保护。

背景技术

麻省理工学院已经开发出了一种叫做“Kerberos”的网络认证协议。Kerberos可以作为开源软件获得，另外其也作为商业软件产品获得。Kerberos使用秘密钥密码技术。在通信单元向Kerberos服务器认证了自身后，Kerberos服务器向这些通信单元分发“权证(ticket)”。

另外一种已知的加密通信方式是通过使用虚拟智能卡服务(VSS)。VSS是全面的PKI解决方案中物理智能卡的替代方式(PKI＝公钥构架)。

发明内容

市场需要在通信中提供高级别的安全性，而不是等待全面PKI的实现，其要由中央政府机构实现全面PKI，可能需要再花10到15年的时间。

为了这一目的，本发明提供了如所附权利要求中的一些方式和装置。

本发明允许以一种安全的方式，通过比如因特网，来交换数据。本发明使用数字证书来实现，而不必有通常的发布和管理数字证书的负担，这种负担使得使用公钥和私钥的其它实现方式变得代价高昂。

本发明提出一种可靠的认证方式，并随后使用集中管理的策略执行设备，来确保两个客户端之间或者客户端与服务器之间的连接的安全。

附图说明

现在将根据一些附图来解释本发明，这些附图仅用来描述本发明，而并非用来以任何方式限制本发明。本发明的范围由所附权利要求及其技术上的等同方案所定义。

图1所示本发明中使用的网络装置的原理性介绍；

图2所示为计算机装置的原理性介绍；

图3所示为适用于安全发送和接收邮件的网络装置的原理性介绍。

具体实施方式

1、引言

绝大多数通过因特网提供的服务都是基于网络的应用。这些应用依赖于安全和可靠的通信。因特网使用传输控制协议-互联网协议(TCP-IP)作为它的通用语。IP的优势在于其可简单和灵活路由的包。这些包也是主要的弱点。IP路由这些包的方式使得IP网络在安全风险方面是脆弱的。本文公开了一种减少这些弱点的解决方案。

安全需求的增长

近数十年来，许多传统服务都已演化为数字和电子商务服务。如今，上百万的人在线订购产品和服务，而无需亲自与产品和服务的提供者联系。网络商店、电子票、支付、物流追踪、产品配置以及许多其它服务都已经完全数字化了。

随着与在线商务有关的金钱数额的增长，犯罪组织利用因特网牟利的兴趣也随之提高。这一现象就带来了安全通信和/或强认证的需求。换句话说：我们在和谁谈话，我们怎样才能确保没有其他人听到或操纵我们的对话。

解决方案

这个问题的解决方案是存在的。为了达到这一目的的两种技术是签名和加密。我们知道数字证书的基础是包含公钥和私钥的密钥对，数字认证既为签名也为加密而设计。数字证书当且仅当以正确的方式使用时才能很好地达到其目的。这隐含着需要正确管理、用户纪律以及没有灾难。如果并非如此，人们可以将这些重新实现。这也涉及到基础设施和教育上的高投资。更不用说为维护所谓的公钥架构(PKI)的时间、精力以及花费了。

PKI是未来的方向，但其仅在大规模集中实现后才是可行的。就像我们都拥有护照或者其它身份识别方式一样，其可被信赖，是因为它们是由国家颁发的。但是这些PKI解决方案在未来的5到10年内不能大规模集中实现。因此，就有了在其实现前的替代方式的需求。正如以下要描述的，本发明提供了这样一种替代方式，该替代方式是以在网络环境中使用安全服务器的形式实现的，其中提供了具有有限生命期的数字证书。

安全服务器

在本发明中，使用例如图1中所示的安全服务器4。本文描述了安全服务器4如何采用少量的花费并留有迁移到未来全面PKI构架的选择余地，来利用数字证书的优点而没有困扰。第一章节给出了安全服务器4基本原理的主要概括介绍。后续章节是关于单个部件的更为技术的方面，以及这些部件处理涉及利用数字证书进行安全通信的问题的方式。