[发明专利]通过部分可信的第三方进行的密钥交换

说明书

计算环境内的客户端可以建立安全的通信会话。有时候，客户端可以信任密码服务来执行一些密码操作并访问一些密码资源，而同时不信任所述密码服务来执行其他操作并访问其他资源。两个或更多客户端可以利用密码服务来执行某些认证和验证操作以建立安全的通信会话，而同时拒绝所述密码服务访问所述安全的通信会话。

相关申请的交叉引用

本申请要求2015年于12月11日提交的标题为“KEY EXCHANGE THROUGH PARTIALLYTRUSTED THIRD PARTY”的美国专利申请No.14/967,214(代理人档案号0097749-629US0)的优先权并出于所有目的将其全部公开内容以引用的方式并入，并且出于所有目的将2015年12月11日提交的标题为“SIGNED ENVELOPE ENCRYPTION”的美国专利申请No.14/967,142(代理人档案号0097749-628US0)的全部公开内容以引用的方式并入。

背景技术

在许多环境中，计算资源和相关数据的安全性非常重要。作为实例，可以利用计算装置的网络来向它们的用户提供一组稳健的服务。在网络中，第一计算机、系统或用户可以信任第二计算机、系统或用户—也就是说，计算机、系统或用户可以享有特定的访问权限，诸如创建、读取、更新和/或删除第一计算机、系统或用户的数据的能力。也可以信任第二计算机、系统或用户以存储与第一计算机、系统或用户相关联的数据。作为实例，第一计算机、系统或用户可以信任证书颁发机构存储公钥并签署证明公钥所有权的数字证书。相反，可能有其他计算机、系统或用户不受信任，并且不具有可信计算机、系统或用户的访问权限或特权。此外，可能存在具有与可信计算机、系统或用户相关联的某些访问权限或特权的部分可信的计算机、系统或用户。在具有此类计算资源配置的情况下，确保对资源和数据的访问得到正确管理可能具有挑战性，尤其是当此类配置的大小和复杂性增长时。

现代密码算法提供了高级别的数据安全性。例如，当前的加密方法可以保护数据，使得对数据的未经授权的访问需要不切实际的时间和/或资源量。但是，这种高级别的保护需要付出代价。一般来说，较高级别的保护需要较高的小心程度以及较大的计算资源支出。此外，在一个或多个子组件中—例如在密码服务或证书颁发机构中，较高级别的保护还可能需要较高级别的信任。确保两方或多方之间的以密码方式保护的通信可能是困难的，尤其是在减少计算资源的使用或限制授予网络的各种子组件的信任量可能有利的系统中。

附图简述

将参照附图描述各种技术，在附图中：

图1示出了其中使用部分可信的密码服务建立以密码方式保护的通信会话的环境；

图2示出了其中使用部分可信的密码服务来交换椭圆曲线Diffie-Hellman密钥对的环境；

图3示出了其中使用部分可信的密码服务来交换椭圆曲线Diffie-Hellman密钥对的环境；

图4示出了其中两个客户端建立以密码方式保护的通信会话的环境；

图5示出了根据实施方案的示出第一客户端、第二客户端和密码服务之间的通信的图；

图6示出了根据实施方案的示出第一客户端、第二客户端和密码服务之间的通信的图；

图7示出了根据实施方案的用于建立以密码方式保护的通信会话的说明性过程；

图8示出了其中使用部分可信的客户端来促进以密码方式保护的通信的环境；

图9示出了其中可以传输以密码方式保护的通信的环境；

图10示出了其中可以接收并验证以密码方式保护的通信的环境；

图11示出了示出以密码方式保护的通信的传输的图；

图12示出了示出以密码方式保护的通信的接收和验证的图；