對加密數(shù)據的解密支持制造技術

一個第一裝置(200)存儲用戶的一個密鑰并且一個第二裝置(300)為該用戶提供加密的數(shù)據。一個用戶設備(100)能夠以如下方式解密該加密的數(shù)據：該設備(100)產生一個一次性密碼，借助于該第一裝置(200)的一個公鑰加密該一次性密碼，并且驅使該第二裝置(300)借助于該加密的一次性密碼和在該第二裝置(300)中指配給該用戶的一個密鑰標識符從該第一裝置(200)調出用戶密鑰。該第一裝置(200)解密該一次性密碼，借助該密鑰標識符搜索該密鑰，用該一次性密碼加密該密鑰并通過該第二裝置(300)向該設備(100)傳輸該加密的密鑰。在那里該用戶密鑰借助于該一次性密碼解密并被用于解密加密的數(shù)據。

【技術實現(xiàn)步驟摘要】
【國外來華專利技術】對加密數(shù)據的解密支持
本專利技術尤其涉及用于支持對加密的數(shù)據進行解密的方法、設備、系統(tǒng)、程序和存儲介質。
技術介紹
現(xiàn)在，數(shù)據可以數(shù)字方式、例如作為電子郵件發(fā)送。在此，出于多種原因，常規(guī)的電子郵件發(fā)送不適用于保密信息。一方面，發(fā)送者和接收者都是不可毫無疑義地識別的。這意味著，電子郵件的接收者不能確定，該發(fā)送者實際上是否為作為發(fā)送者示出的人或者機構。另一方面，信息被公開地傳遞，這意味著，錯誤的投遞可以讓錯誤的接收者讀到。此外，電子郵件功能的供應商(電子郵件通過電子郵件功能的供應商的服務傳遞)能夠從該電子郵件中獲取信息。電子消息的內容能夠通過端到端的加密被保護，以便使消息在從發(fā)送者向接收者傳送期間能夠不被第三方讀到。在此，發(fā)送者必須以密碼學方式對消息或消息的一部分加密，并且接收者必須解密該信息。加密可以是對稱加密，在這種情況下，加密和解密是基于相同的密鑰的。替代性地，加密可以是不對稱加密，在這種情況下，加密是基于一個密鑰對的公鑰并且解密是基于該密鑰對的私鑰。在常規(guī)方式下，接收者必須獨立地管理和保護其一個或多個密鑰，以免后者丟失和在未經授權的情況下通過第三方被讀出。此外，接收者必須使該發(fā)送者能夠獲得用于解密所需的密鑰。此外，在接收方安裝軟件模塊和在適當時附加的裝置(如讀卡器)是必不可少的。信任中心可以支持密鑰生成和管理。信任中心尤其可以為接收者提供安全的密鑰保管，以防止密鑰丟失。然而為此，接收者不僅必須與電子郵件供應商或其他消息投遞者訂立契約關系，還必須與該信任中心訂立契約關系。在適當時，一個發(fā)送者必須為多個接收者從多個信任中心調出密鑰并且確保該接收者在解密消息時使用的是相應正確的密鑰。額外地，一個信任中心可以出具用于電子簽名的證書以證明通信伙伴的身份。在一個變體中，消息投遞者可以作為用于可靠的信息傳遞的全方位提供者(Komplettanbieter)出現(xiàn)。本申請人提供了一種此類的方法，例如與電子郵件相關。于是接收者和發(fā)送者只需要與該消息投遞者訂立一個契約，并且他們獲得用于安全通信所提供的所有所需的功能。在此，信任中心可以為用戶制成密鑰，然后該密鑰由該消息投遞者管理。發(fā)送者可以從該消息投遞者獲得所需的密鑰并且也可以在消息投遞者那里存放(einliefern)消息。為了不要求在接收者一方的技術上的或組織上的措施，在調出消息時消息投遞者一方的加密的消息就可以由該接收者在消息投遞者的服務器上解密并通過安全的連接傳遞給該接收者。由于對參與者的身份識別和提供地址資格認證服務(Adressqualifikations-Dienstes)的高要求，發(fā)送者的消息傳遞者也可以確認或檢驗接收者地址并確保正確的投遞。
技術實現(xiàn)思路
本專利技術的目的之一在于，以一種替代現(xiàn)存手段的方式來支持加密的數(shù)據的解密。本專利技術的另一個目的在于，使得能夠實現(xiàn)加密的數(shù)據的一種對用戶特別友好的并且同時特別安全的解密。該目的通過根據權利要求1所述的方法、根據權利要求3所述的設備、根據權利要求5所述的程序和根據權利要求6所述的存儲介質、根據權利要求7所述的方法、根據權利要求13所述的設備、根據權利要求15所述的程序和根據權利要求16所述的存儲介質以及根據權利要求17所述的系統(tǒng)實現(xiàn)。其他的實施方式可以從從屬權利要求中得出。對于第一個方面，針對由一個設備執(zhí)行的一種方法的示例性實施方式提出：一個第一裝置被適配為用于為該裝置的用戶提供一個密鑰，并且一個第二裝置被適配為用于為該用戶提供數(shù)據。該方法包括，在授權該用戶的情況下在該第二裝置處登錄。該方法還包括，從該第二裝置接收加密的數(shù)據。該方法還包括，產生一個一次性密碼。該方法還包括，借助于該第一裝置的一個公鑰加密該一次性密碼。該方法還包括，向該第二裝置傳輸該加密的一次性密碼并且驅使該第二裝置借助于該加密的一次性密碼和在該第二裝置中指配給該用戶的一個密鑰標識符來從該第一裝置調出該用戶的密鑰。該方法還包括，從該第二裝置接收由該第一裝置用該一次性密碼加密的該用戶的密鑰。該方法還包括，借助于該一次性密碼來解密該用戶的該密鑰。該方法還包括，借助于該用戶的該密鑰來解密該加密的數(shù)據。對于第二個方面，針對由一個設備執(zhí)行的一種方法的示例性實施方式提出：一個第二裝置被適配為用于為用戶提供數(shù)據。該方法包括，接收一個密鑰標識符和由用戶的一個設備生成并且用該第一裝置的一個公鑰加密的、一個第二裝置的一個一次性密碼，其中該第二裝置存儲用戶和密鑰標識符之間的指配關系(Zuordnung)。該方法還包括，基于密鑰標識符，從該第一裝置的一個存儲器中讀出該用戶的用該密鑰標識符加密的密鑰。該方法還包括，借助于該密鑰標識符來解密該用戶的加密的密鑰。該方法還包括，借助于該第一裝置的一個私鑰來解密該加密的一次性密碼。該方法還包括，用該一次性密碼來加密該用戶的密鑰。該方法還包括，向該第二裝置傳輸用該一次性密碼加密的該用戶的密鑰以轉發(fā)到該用戶的該設備，以便能夠實現(xiàn)將由該第二裝置獲得的、加密的數(shù)據解密。本專利技術針對某些示例性實施方式提出，數(shù)據的提供和用于解密數(shù)據的密鑰的提供是彼此分離的。該密鑰由一個第一裝置提供并且該數(shù)據由一個第二裝置提供。盡管如此，用戶的設備還是僅與該第二裝置直接地通訊。該第二裝置本身只具有該用戶與一個密鑰標識符的指配關系。針對這種指配關系，該用戶可以任意的方式被識別，例如通過登錄所給的用戶名或用于電子消息的一個用戶地址。用于用戶的加密的數(shù)據由該第二裝置以加密的形式傳輸給該用戶設備。該用戶設備生成一個一次性密碼，該一次性密碼用該第一裝置的一個公鑰加密并且向該第二裝置轉發(fā)。該第二裝置將該加密的一次性密碼和一個用于該用戶的、所存儲的密鑰標識符一起向該第一裝置轉發(fā)。該第一裝置解密該一次性密碼，借助于該密鑰標識符調出該用戶的一個所存儲的、加密的密鑰，用該密鑰標識符來解密該密鑰并且用該一次性密碼來加密該密鑰。該第一裝置將該用戶的這樣新加密的密鑰通過該第二裝置向該用戶設備轉發(fā)。在該密鑰用該一次性密碼解密之后，現(xiàn)在該用戶設備可以解密該加密的數(shù)據。本專利技術的一個可能的優(yōu)點在于，該用戶本身不必保持在其設備中存儲有密鑰。由此，用戶不需要注意可靠地保護該密鑰以免其他人訪問并且注意該密鑰不要丟失。此外，該用戶可以因此在適當時通過多個設備獲取該相同的、集中存儲的密鑰。本專利技術的另一個可能的優(yōu)點在于，該用戶仍然僅須與一個裝置通訊，在此該第二裝置的運營商作為全方位服務商(Komplettdienstleister)出現(xiàn)，因此在某些實施方式中，用戶也僅需要與該全方位服務商簽訂一個契約。本專利技術的另一個可能的優(yōu)點在于，在某些實施方式中，在使用一個一次性密碼來傳遞該用于生成密碼的密鑰時不需要用戶輸入。由此該手段可以設計為特別方便用戶并且獨立于該登錄方法，用戶可以用這種方法在該用于調出數(shù)據的第二裝置處注冊。對于特別保密的信息可以有特別高的安全要求，使得只有預期的接收者才能夠使用所提供的信息。這可以例如涉及到特定的、承擔特別的保密義務的職業(yè)團隊的職業(yè)機密，例如醫(yī)生或律師。現(xiàn)在，本專利技術的另一個可能的優(yōu)點在于，通過數(shù)據提供與密鑰提供之間的分離，在用戶訪問一個唯一的裝置的情況下可以實現(xiàn)在保密性方面的特別高的安全性。也就是說，任何裝置都不存儲加密的數(shù)據和用于解密所需要的密鑰(即便是以加密的形式)兩者。解本文檔來自技高網...

【技術保護點】
一種由設備(100)執(zhí)行的方法，其中第一裝置(200)被適配為用于為所述裝置的用戶提供一個密鑰，并且其中第二裝置(300)被適配為用于為所述用戶提供數(shù)據，所述方法包括：?在授權所述用戶的情況下在所述第二裝置(300)處登錄，?從所述第二裝置(300)接收加密的數(shù)據，?產生一個一次性密碼，?借助于所述第一裝置(200)的公鑰來加密所述一次性密碼，?向所述第二裝置(300)傳輸所述加密的一次性密碼并且驅使所述第二裝置(300)通過所述加密的一次性密碼和在所述第二裝置(300)中指配給所述用戶的密鑰標識符來從所述第一裝置(200)調出所述用戶的密鑰，?從所述第二裝置(300)接收由所述第一裝置(200)用所述一次性密碼加密的所述用戶的密鑰，?借助于所述一次性密碼解密所述用戶的密鑰，以及?借助于所述用戶的密鑰來解密所述加密的數(shù)據。

【技術特征摘要】
【國外來華專利技術】2013.08.12 DE 102013108714.01.一種由設備(100)執(zhí)行的用于對加密的數(shù)據進行解密的方法，其中第一裝置(200)被適配為用于為所述設備的用戶提供一個密鑰，并且其中第二裝置(300)被適配為用于為所述用戶提供數(shù)據，所述方法包括：-在授權所述用戶的情況下在所述第二裝置(300)處登錄，-從所述第二裝置(300)接收加密的數(shù)據，-產生一個一次性密碼，-借助于所述第一裝置(200)的公鑰來加密所述一次性密碼，-向所述第二裝置(300)傳輸所述加密的一次性密碼并且驅使所述第二裝置(300)通過所述加密的一次性密碼和在所述第二裝置(300)中指配給所述用戶的密鑰標識符來從所述第一裝置(200)調出所述用戶的密鑰，-從所述第二裝置(300)接收由所述第一裝置(200)用所述一次性密碼加密的所述用戶的密鑰，-借助于所述一次性密碼解密所述用戶的密鑰，以及-借助于所述用戶的密鑰來解密所述加密的數(shù)據。2.根據權利要求1所述的方法，其中當已經確定所述第二裝置(300)接收到了加密數(shù)據時，自動地產生所述一次性密碼。3.根據權利要求1或2所述的方法，其中所述設備(100)由-在所述設備(100)的本地存儲器(102)中存儲并且由所述設備的處理器(101)執(zhí)行的程序指令或者-通過瀏覽器獲得并且由所述設備(100)的處理器(101)執(zhí)行的程序指令所驅使，以執(zhí)行所述方法。4.一種用于對加密的數(shù)據進行解密的設備(100)，包括用于執(zhí)行根據權利要求1至3中任意一項所述的方法的部件(101，102，103)。5.根據權利要求4所述的設備，其中所述設備是一種儀器(100)或用于儀器(100)的模塊(107)。6.一種用于對加密的數(shù)據進行解密的方法，所述方法由第一裝置(200)的設備(210)執(zhí)行，其中一個第二裝置(300)被適配為用于為用戶提供數(shù)據，所述方法包括：-從所述第二裝置(300)接收密鑰標識符和由用戶的設備(100)生成并用所述第一裝置(200)的公鑰加密的一次性密碼，所述第二裝置存儲用戶和密鑰標識符之間的指配關系，-基于所接收的密鑰標識符，從所述第一裝置(200)的存儲器(220)中讀出通過所述密鑰標識符加密的所述用戶的密鑰，-借助于所述密鑰標識符解密所述用戶的加密的密鑰，-借助于所述第一裝置(200)的私鑰來解密所述加密的一次性密碼，-通過所述一次性密碼加密所述用戶的密鑰，以及-向所述第二裝置(300)傳輸用所述一次性密碼加密的所述用戶的密鑰用于轉發(fā)到所述用戶的設備(100)，以便能夠實現(xiàn)將從所述第二裝置(300)獲得的加密的數(shù)據解密...

【專利技術屬性】
技術研發(fā)人員：邁克·博賓斯基，于爾根·帕貝爾，
申請(專利權)人：德國郵政股份公司，
類型：發(fā)明
國別省市：德國;DE