Код документа: RU2412480C2
Область техники, к которой относится изобретение
Варианты осуществления настоящего изобретения относятся к области установления согласованной взаимосвязи между двумя доменами. В частности, варианты осуществления изобретения относятся к системе и способу, чтобы выявлять и обнаруживать почтовые сервера с расширенными возможностями.
Предшествующий уровень техники
Некоторые системы предшествующего уровня техники пытаются идентифицировать потенциальных корреспондентов посредством непосредственного осуществления связи. Тем не менее, эти системы становятся уязвимыми для злоумышленников при осуществлении связи и, в частности, могут вызывать или быть уязвимыми для несанкционированной рассылки ("спама") и атак "отказ от обслуживания".
Следовательно, требуется система, чтобы устранять один или более из этих и других недостатков посредством дискретной идентификации потенциального корреспондента, так чтобы между сервером и потенциальным корреспондентом мог быть установлен защищенный канал связи.
Сущность изобретения
Варианты осуществления изобретения включают в себя сервер электронной почты, который время от времени добавляет дополнительный заголовок в сообщение, которое доставляется в потенциальные домены-корреспонденты. Данные в заголовке включают в себя секрет (код, который известен действительным участникам системы защиты, но не известен кому-либо еще), который является специфическим для конкретного сообщения, отправляемого в конкретный домен-корреспондент, и адрес электронной почты на сервере, на который могут быть направлены административные сообщения из этого домена-корреспондента. Если почта в домене-корреспонденте также направляется через сервер, который реализует этот вариант осуществления, то он распознает дополнительный заголовок и определяет, что может быть согласованный сервер в исходящем домене. Затем он направляет административный трафик, такой как запросы, чтобы установить защищенное соединение по вложенному административному адресу электронной почты. Эти административные сообщения также должны содержать секрет, который был предоставлен для этого соответствующего домена. Средство принятия административной почты в исходящем домене затем может отбрасывать любую почту, которая считается пришедшей из домена-корреспондента, но не содержит секрет, соответствующий домену-корреспонденту.
В варианте осуществления изобретение включает в себя способ определения того, что потенциальный домен-корреспондент имеет согласованную технологию защищенной электронной почты, чтобы устанавливать канал связи между исходным доменом и доменом-корреспондентом. Секрет обнаружения передается из исходного домена в домен-корреспондент. Секрет обнаружения включает в себя элемент данных, специфический для конкретного домена-корреспондента, и адрес исходного домена, на который домену-корреспонденту разрешено отправлять сообщение, чтобы установить согласованность между исходным доменом и доменом-корреспондентом. Исходный домен принимает посредством адреса исходного домена приглашение из домена-корреспондента. Приглашение включает в себя элемент данных или элемент, соответствующий элементу данных, который может быть использован доменом-корреспондентом для инициирования процесса, чтобы установить согласованность с доменом-корреспондентом.
В соответствии с одним аспектом изобретения предусмотрена структура данных для секрета обнаружения, который должен быть передан из исходного домена в домен-корреспондент для установления того, что домен-корреспондент и исходный домен имеют согласованную технологию защищенной электронной почты или другую технологию электронной почты или обмена данными. Секрет обнаружения включает в себя сообщение, заголовок, связанный с общением, и дополнительный заголовок, присоединенный к сообщению. Дополнительный заголовок включает в себя (1) элемент данных, специфический для конкретного домена-корреспондента и включающий в себя адрес исходного домена, на который домену-корреспонденту разрешено отправлять сообщение в исходном домене, чтобы устанавливать, что домен-корреспондент и исходный домен имеют согласованную технологию защищенной электронной почты, (2) секрет обнаружения и (3) дату истечения действия.
В другой форме изобретение содержит систему для установления того, что домен-корреспондент и исходный домен имеют согласованную технологию защищенной электронной почты или другую технологию электронной почты или обмена данными. Сервер исходного домена передает секрет обнаружения домену-корреспонденту. Секрет обнаружения включает в себя элемент данных, специфический для конкретного домена-корреспондента, и адрес исходного домена, на который домену-корреспонденту разрешено отправлять сообщение, чтобы установить, что домен-корреспондент и исходный домен имеют согласованную технологию защищенной электронной почты. Вычислительная машина домена-корреспондента принимает секрет обнаружения, включающий в себя элемент данных и адрес исходного домена. Вычислительная машина домена-корреспондента передает приглашение из соответствующего домена-корреспондента на адрес исходного домена. Приглашение включает в себя элемент данных или элемент, соответствующий элементу данных.
Альтернативно, изобретение может содержать различные другие способы и устройства.
Другие признаки станут очевидными и частично раскрытыми далее.
Перечень чертежей
Фиг.1 - примерная блок-схема серверов шлюзов 1 и 2, имеющих защищенный обмен сообщениями между собой.
Фиг.2 - примерная схема, иллюстрирующая последовательность операций между сервером исходного домена и потенциальным корреспондентом (к примеру, сервером домена-корреспондента) согласно изобретению.
Фиг.3 - примерная блок-схема, иллюстрирующая менеджер (средство управления) защищенных сообщений согласно изобретению.
Фиг.4 - блок-схема последовательности операций, иллюстрирующая функционирование маршрутизации административной системы управления защищенными сообщениями (SMM) согласно изобретению.
Фиг.5 - блок-схема последовательности операций, иллюстрирующая функционирование маршрутизации рабочей системы SMM согласно изобретению.
Фиг.6 - примерная блок-схема, иллюстрирующая сводку по последовательности операций между сервером (администраторская организация A) и корреспондентом (администраторская организация B) согласно изобретению.
Фиг.7 - блок-схема последовательности операций, иллюстрирующая диаграмму состояний после того, как реализована новая ассоциация безопасности между сервером и корреспондентом согласно изобретению.
Фиг.8 - блок-схема, иллюстрирующая один пример подходящего окружения вычислительной системы, в котором может быть реализовано изобретение.
На чертежах соответствующие ссылочные символы указывают соответствующие части.
Подробное описание изобретения
Изобретение относится к системе и способу определения того, что потенциальный корреспондент имеет согласованную технологию защищенной электронной почты, чтобы начать процесс установления канала связи между сервером и корреспондентом. В частности, изобретение относится к системе и способу инициирования процесса установления защищенного канала связи для развертывания защищенной электронной почты. Изобретение дает возможность серверу определить, что потенциальный корреспондент может быть установлен как цель благодаря согласованной технологии защищенной электронной почты. В результате, после того, как потенциальный корреспондент идентифицирован, сервер может обмениваться информацией с ключевым материалом с потенциальным корреспондентом, чтобы установить защищенный канал связи.
Цель подписывания и шифрования в домене согласно изобретению - предоставить независимый от транспортировки механизм для обмена конфиденциальными и аутентифицированными сервером сообщениями между серверами. Фиг. 1 - это примерная блок-схема серверов-шлюзов 1 и 2. Серверы-шлюзы 1 и 2 имеют защищенный обмен сообщениями между собой. Серверы могут быть отделены необязательным брандмауэром, посредством которого они могут быть подсоединены к мостовым серверам (не показаны), которые могут быть частью отдельной системы защищенного обмена сообщениями. Серверы-шлюзы 1 и 2 формируют подсеть, которая может быть размещена между доверенной внутренней сетью, такой как, связывающие мостовые серверы систем защищенного обмена сообщениями, и недоверенной внешней сетью, например общедоступным Интернетом. Брандмауэры также размещены между серверами-шлюзами и Интернетом. Серверы-шлюзы интерпретируют всю почту как простой текст и шифруют всю почту от шлюза к шлюзу. Если шлюз и мостовые серверы не используют совместно одинаковые ключи шифрования, шлюзы не могут расшифровывать электронную почту, зашифрованную мостовыми серверами.
Существует необходимость в единой точке администрирования данных авторизации для внутренних и внешних отношений. В необязательном порядке, реализована модель с одним мастером (ведущим устройством) вместо модели с несколькими мастерами, поскольку она проще и поскольку она не должна разрешать конфликты репликации. Операции управления защищенными сообщениями (SMM) обычно выполняются редко, и задержки в операциях SMM не должны задерживать доставку почты, а только задерживать настройку новых ассоциаций безопасности. Размер базы данных обычно небольшой (к примеру, сотни тысяч записей по несколько КБ каждая, т.е. может достигать нескольких мегабайт, но обычно не более 100 мегабайт), так что вполне достаточно времени, чтобы отремонтировать или заменить аппаратные средства или выполнить восстановление системы до какой-либо потери обслуживания. В одном варианте осуществления важнейшие данные для работы реплицируются на другие шлюзы. Поскольку отсутствует единая точка управления, не все данные реплицируются и реплицированные данные имеют формат только для чтения.
Сервер может устанавливать связь с рядом других доменов-корреспондентов, чтобы настроить почтовые каналы связи для конкретного проекта. Тем не менее, координирование управления этими проектами обычно не масштабируемо. Чтобы активизировать защищенный обмен сообщениями, активируется защищенная почта с большинством бизнес-корреспондентов организации. Это требует возможности обнаруживать, какие корреспонденты имеют установленные сервер-шлюзы и имеют простую последовательность операций между организациями, чтобы определить, должно ли быть согласование, чтобы установить защищенный почтовый канал связи.
Изобретение обеспечивает возможность обнаружения серверов-шлюзов, установленных в корреспондентах организации, так чтобы могло быть установлено защищенное соединение. Чтобы облегчить обнаружение, сервер указывает (к примеру, оповещает) свое присутствие с помощью исходящей почты посредством какой-либо индикации (или оповещения), в дальнейшем упоминаемой как секрет обнаружения. Чтобы минимизировать уязвимость процесса секрета обнаружения для атак, система и способ согласно изобретению не используют жестко закодированный адрес в секрете обнаружения. Тем не менее, предполагается, что в одном варианте осуществления один адрес может быть использован с секретом обнаружения, который должен быть включен в любую электронную почту по этому адресу. В результате, только сообщения от сторон, которые видели секрет обнаружения (который включает в себя секрет обнаружения), могут отправляться на административный адрес. Поэтому в предпочтительном варианте осуществления используется один адрес, и секреты обнаружения должны быть предоставлены в каждом сообщении. Альтернативно, указанным адресом является произвольное имя почтового ящика, которое может меняться с обоснованным интервалом, к примеру еженедельно. Хотя этот случайный подход является вариантом, он обычно является менее предпочтительным вариантом осуществления. Чтобы гарантировать, что уязвимости минимизированы, секрет обнаружения привязывается к отправляющему домену, к примеру, исходному домену, и к домену, в который он отправляется, к примеру домену-корреспонденту. В случае когда секрет обнаружения доступен третьей стороне, единственным доменом, который будет затронут, является домен, чей адрес приглашения скомпрометирован.
В одной форме секретом обнаружения может быть заголовок 822, содержащий краткосрочный адрес 822 для согласования и время истечения срока действия адреса 822 относительно того, когда отправлено сообщение. Входящая почта сканируется принимающим сервером (к примеру, корреспондентом или сервером-корреспондентом) на предмет секретов обнаружения из серверов-шлюзов и сравнивается со списком известных шлюзов. Любые добавления в этот список передаются локальной административной системе SMM. При обнаружении нового корреспондента система SMM может отправить тестовое сообщение (к примеру, приглашение) на административный адрес в другой системе SMM, чтобы предложить включить подписывание и шифрование в домене или другие услуги. После приема приглашения от другого администратора системы SMM, если сообщение проверяемо по условиям используемой политики доверия, локальная система SMM может активировать политику, чтобы автоматически принимать приглашение. Альтернативно, администратор системы SMM может потребовать утверждения вручную перед принятием приглашения. После приема принятия приглашения сервером, если сообщение по существу проверяемо, то принимающая система SMM может активировать политику, чтобы автоматически начать использование подписывания и шифрования в домене. Сначала она отправляет зашифрованное сообщение ping со случайным номером и ждет подтверждения приема (которое включает в себя случайный номер), чтобы обеспечить, что защищенная почта может быть дешифрована другой стороной. Обратите внимание, что сообщения приглашения и принятия подписываются с помощью ключа авторизации SMM, тогда как сообщение ping и подтверждение приема подписываются с помощью ключа подписывания (который является потомком ключа авторизации). Только процесс, который выполняет регламентное подписывание и шифрование почты, имеет полномочия подписывания с помощью ключа подписывания (для защиты). Таким образом, сообщение ping и подтверждение приема также проверяют, что защищенная почта работает с ключом подписывания, а не только ключом авторизации. Конфигурирование нового защищенного домена является асинхронным процессом и не используется для реальных данных до тех пор, пока канал связи не будет подтвержден операционно посредством приема подтверждений приема сообщения ping перед каким-либо административным экстренным сообщением.
Фиг.2 - это примерная схема, иллюстрирующая последовательность операций между сервером исходного домена и потенциальным корреспондентом (к примеру, вычислительной машиной целевого домена) согласно изобретению. Первоначально секрет обнаружения, включающий в себя административный адрес, секрет обнаружения и дату истечения срока действия, отправляется с сервера корреспонденту. Секрет обнаружения также должен содержать отправляющий и принимающий домены, так чтобы можно было быстро определить, предназначен ли он для вашего домена (поскольку он может быть передан как результат почтовой рассылки). Когда корреспондент распознает секрет обнаружения, корреспондент отсылает приглашение обратно адресуемому серверу на административный адрес, который является частью секрета обнаружения. В одном варианте осуществления он отвечает на обнаружение только в том случае, если он также отправил почту "в" домен. Таким образом, распространитель несанкционированной рассылки не может заставить исходный домен пригласить его (поскольку вы никогда не отправляли почту ему первым). Приглашение от корреспондента включает в себя административный адрес корреспондента, дату истечения срока действия, сертификат и секрет обнаружения, а также другую информацию (к примеру, идентификатор (ID) последовательности операций, контактную информацию, отправляющий и принимающий домены и т.д.). В ответ сервер отправляет принятие на административный адрес корреспондента с административного адреса сервера и включает в принятие дату истечения срока действия, сертификат, секрет обнаружения и подпись. Это административно необязательно, хотя политика по умолчанию может включать в себя автоматический ответ. В одном варианте осуществления это также может быть ограничено ручным действием или реагированием только в том случае, если сертификат приглашающей стороны соответствует определенной политике доверия. После приема принятия корреспондент отправляет сообщение ping серверу, и прием сообщения ping подтверждается сервером, чтобы установить соединение, которое переводит ассоциацию в состояние готовности. Это также может влечь за собой, в необязательном порядке, автоматическое административное действие, чтобы перейти из состояния готовности в активное состояние. Это может влечь за собой дополнительный этап, чтобы переходить из активного состояния (использовать защищенные отношения, но не доверять им) в аутентифицированное состояние (доверять учетным данным, заявленным другой стороной). Если сообщение приглашения не проверяемо с помощью политики доверия, как проиллюстрировано на фиг.2, то запрос может быть приостановлен, ожидая подтверждения вручную.
На фиг.3 показана примерная блок-схема, иллюстрирующая менеджер защищенных сообщений согласно изобретению. Принятие приглашения корреспондентом может создать перекрестный сертификат в агенте административной системы SMM, который затем проталкивается в агенты рабочей системы SMM вместе с сертификатом шифрования. (Перекрестный сертификат обычно создается для аутентифицированных ассоциаций, чтобы задать, что их разрешено аутентифицировать. Активные ассоциации имеют шифрование, за исключением перекрестного сертификата.) Перекрестный сертификат ограничивает набор имен, допускаемых новым доверием, и ограничение обменом данными с сервером-шлюзом домена. В этой точке распространяются сертификаты и информация относительно этой новой ассоциации со всеми рабочими системами. Сеансовый ключ также может быть распространен в этом случае от административной системы SMM всем рабочим системам SMM, чтобы все рабочие системы использовали одинаковый ключ, чтобы уменьшить размер кэша. Чтобы разрешить это рассогласование, соответствующий личный ключ дешифрования для сертификата дешифрования должен быть доступен во всех имеющих выход в Интернет серверах-шлюзах, чтобы дать возможность любому дешифровать входящую почту. Он генерируется в одном месте, т.е. агенте администрирования и распространяется всем серверам рабочих систем. После того как доверительные отношения установлены, они должны поддерживаться. Например, исходный сертификат может быть сохранен и запрос на продление может быть отправлен другим системам SMM перед тем, как истекает срок действия сертификата. Дочерний сертификат шифрования и подписывания также может быть часто обновляем.
С точки зрения сервера способ согласно изобретению начинает процесс, чтобы установить канал связи между исходным доменом и доменом-корреспондентом. Сначала сервер исходного домена передает секрет обнаружения потенциальным доменам-корреспондентам посредством случайных или псевдослучайных сообщений. Секрет обнаружения включает в себя элемент данных, например ссылку или маркер, или другой секрет, который специальным образом назначен домену-корреспонденту. Секрет обнаружения включает в себя общий секрет, который является специфическим для конкретного домена-корреспондента (и, возможно, исходного домена). В предпочтительном варианте осуществления он представляет собой результат хеширования начального числа, домен-корреспондент и исходный домен (в определенном заданном порядке). Помимо этого секрет обнаружения включает в себя адрес в исходном домене, на который домену-корреспонденту разрешено отправлять сообщение, чтобы установить согласованность между сервером исходного домена и целевой вычислительной машиной. Сервер исходного домена принимает приглашение от домена-корреспондента, и это приглашение адресовано на ранее предоставленный адрес исходного домена. Приглашение включает в себя элемент данных в секрете обнаружения или элемент, который соответствует элементу данных в секрете обнаружения. Это дает возможность серверу исходного домена инициировать процесс, чтобы установить согласованность между сервером домена-корреспондента и сервером исходного домена после приема сервером исходного домена приглашения от сервера домена-корреспондента. Как указано на фиг.2, сервер исходного домена передает принятия серверу домена-корреспондента, чтобы установить согласованность между ними.
В одном варианте осуществления исходный домен выборочно передает секрет обнаружения доменам-корреспондентам, из которых исходный домен отправил сообщение. Альтернативно или помимо этого, исходный домен может отправить секреты обнаружения доменам-корреспондентам, которые были заранее идентифицированы специальным образом.
В одном варианте осуществления секрет обнаружения может быть вложен в сообщение, которое было отправлено специально для того, чтобы перенести секрет обнаружения. В одном варианте осуществления изобретения сервер электронной почты периодически добавляет дополнительный заголовок ("x-заголовок") в сообщение, которое доставляется в другой домен электронной почты. Данные в заголовке включают в себя секрет, который является специфическим для конкретного домена-корреспондента, и адрес электронной почты, на который административные сообщения из домена-корреспондента могут быть направлены обратно на сервер электронной почты, а также включая дату истечения срока действия, домен-корреспондент, домен отправителя, необязательно версию и необязательные признаки. Если почта в домене-корреспонденте также направляется через сервер, который реализует этот вариант осуществления изобретения, то он распознает дополнительный заголовок и определяет, что может быть согласованный сервер в исходящем домене. Затем домен-корреспондент направляет административный трафик, такой как запросы, чтобы установить защищенное соединение по вложенному административному адресу электронной почты. Эти административные сообщения должны также содержать секрет (выше упомянутый как "секрет обнаружения"), который предоставлен для домена-корреспондента. Средство принятия административной почты в исходящем домене затем может отбрасывать любую почту, которая считается пришедшей из домена-корреспондента, но не содержит секрет, соответствующий домену-корреспонденту. Хотя это не предоставляет абсолютной гарантии, что принимаемая административная почта направляется из исходящего домена, это минимизирует уязвимость для несанкционированной рассылки по административному адресу и обеспечивает, что злоумышленник, который может видеть электронную почту в домене-корреспонденте, может попытаться ввести в заблуждение только административный адрес из домена-корреспондента, а не из любого домена.
В одном варианте осуществления изобретение реализовано с помощью заголовка, называемого секретом обнаружения (иногда называемого ссылкой), который вложен в уже ушедшую электронную почту из исходного домена. Этот секрет обнаружения раскрывает доступность конкретных функций на почтовом сервере, служащем источником исходящей почты, при этом устраняя необходимость в генерировании дополнительных, возможно нежелательных, сообщений. Как упоминалось выше, административный адрес электронной почты должен быть включен в ссылку и должен быть секрет для каждого домена, чтобы уменьшить риски несанкционированной рассылки на административный адрес электронной почты. Это должно поддерживать сообщения последовательности операций по административному адресу электронной почты.
Секрет обнаружения может быть сгенерирован из результата хеширования домена-корреспондента и начального числа секрета, которые хранятся на исходящем сервере. Секрет обнаружения также может быть сгенерирован из результата хеширования исходного домена, поскольку один и тот же сервер может представлять несколько исходных доменов. Один вариант осуществления может потенциально иметь специальный "источник" для всех доменов на исходном сервере. Это дает возможность совместного использования одного начального числа в нескольких серверах, так чтобы каждый сервер генерировал один и тот же секрет обнаружения, уникальный для любого домена-корреспондента. Когда административное сообщение принимается на исходящем сервере (поскольку оно направляется на административный адрес, включенный в ссылку), секрет обнаружения, предоставленный в административных сообщениях, проверяется исходящим сервером. Чтобы проверить секрет обнаружения, сервер электронной почты может сгенерировать (или сохранять) секрет обнаружения для домена, который отправил административное сообщение, используя текущее внутреннее начальное число. Если сгенерированный секрет обнаружения - такой же, как секрет в административных сообщениях, значит, это сообщение имеет корректный секрет обнаружения и передается по соответствующему адресу назначения для сообщений согласования. Сообщения согласования передаются между доменами. Если секрет обнаружения не совпадает, тот же процесс применяется к предыдущим секретам обнаружения (до ограниченного предела). Если ни одно из допустимых в данный момент начальных чисел не может быть использовано, чтобы сгенерировать секрет обнаружения, который совпадает с секретом обнаружения во входящем сообщении, то сообщение не считается действительным и отбрасывается или отклоняется и не передается в конечное место для административных сообщений. Это исключает атаки несанкционированной рассылки на получателя административных сообщений, который может не справляться с большими объемами электронной почты. Помимо этого, чтобы не допустить атаки отказа в обслуживании из домена, который принял допустимый секрет обнаружения, процесс проверки разрешает серверу отслеживать то, сколько сообщений было за последнее время передано через административный адрес назначения от конкретного домена или с использованием конкретного секрета обнаружения. Когда это число превышает допустимый предел или допустимую скорость, дополнительные административные сообщения, использующие этот секрет обнаружения, отбрасываются или отклоняются.
Фиг.4 - это последовательности операций, блок-схема, иллюстрирующая функционирование маршрутизации административной системы SMM согласно изобретению. Проверка подписи и дешифрование должно осуществляться до обработки, направленной на борьбу с несанкционированной рассылкой, поскольку выходные данные проверки необходимы, чтобы задать флаги свойств сообщений, используемые агентом борьбы с несанкционированной рассылкой. Проверка подписи должна проводиться после списка блокировки и других функций уровня IP-адреса или адреса протокола. Таким образом, процесс начинается на этапе 402 с приема сообщений по адресу исходного домена, на который домену-корреспонденту разрешено отправлять сообщение. Если на этапе 404 определено, что секрет обнаружения не является действительным для отправляющего домена, на этапе 406 сообщение удаляется и процесс маршрутизации завершается. Если секрет обнаружения является действительным, процесс переходит к этапу 408, чтобы определить, имеет ли домен максимальное количество или частоту, которые были превышены. Если максимум превышен, на этапе 406 сообщение удаляется; в противном случае, если подпись является действительной, на этапе 410 сообщение направляется в локальный административный агент. Тем не менее, проверка подписи не должна проводиться в рабочей системе, она обычно осуществляется в системе SMM.
Фиг.5 - это блок-схема, иллюстрирующая функционирование маршрутизации рабочей системы SMM согласно изобретению. Система SMM - это менеджер защищенного обмена сообщениями; рабочие системы - это серверы, которые администрирует/контролирует система SMM и которые выполняют обработку почтового трафика. В общем, подписывание и шифрование в системе SMM является, в общем, по средней функцией. Каждое сообщение, приходящее в домен с ассоциацией защищенного сообщения, подписывается и шифруется. Этот компонент также вставляет заголовок, содержащий текущий краткосрочный адрес системы SMM, во всю почту, идущую в домены без отношений безопасности. Рабочая система добавляет секреты обнаружения, как требуется, но для защищенной почты она делает не только это. Как показано на фиг. 5, домен ищет действительную подпись на этапе 502 и внешний адрес на этапе 504 после нахождения действительного секрета обнаружения. Секрет обнаружения проверяется только в сообщениях, которые, как утверждается, предназначены для администратора, но не в обычной почте. Если подпись является действительной и нет внешнего адреса, сообщение направляется в локальный агент рабочей системы на этапе 506. Если внешний адрес есть, оно направляется на него. Если оказывается, что сообщение является защищаемым на доменном уровне, недействительная подпись интерпретируется так же, как если бы подпись отсутствовала. Источник сообщения не аутентифицируется.
В одном варианте осуществления последовательности операций между организациями, проиллюстрированные на фиг. 6, реализованы между административными организациями, которые представляют жизненный цикл отношений. Возможны другие замещения: ключи имеют сертификаты, ассоциированные с ними. Сертификаты могут замещаться чаще, чем ключи. Предусмотрены ключи и сертификаты подписывания, шифрования и авторизации, все из которых замещаются независимо. Кроме того, могут быть последующие последовательности сообщений ping/подтверждений приема. Последовательность операций выполняется агентами административной системы SMM и может подвергаться обмену, чтобы выполнить замещение (замещение - это термин обновления на новый ключ или сертификат). Фиг.7 - это диаграмма состояний, иллюстрирующая новую ассоциацию безопасности. Эта схема рассматривает только положительные случаи и конечные случаи. Она не включает в себя другие аспекты, например повторную передачу сообщений до ограничения по повторной передаче.
Другие необязательные признаки изобретения, которые могут быть реализованы отдельно или в сочетании, включают в себя следующее. Различие между активными и аутентифицированными ассоциациями "необязательно", как и все различные политики, которые могут быть применены, чтобы автоматически выполнять административное переключение. Секрет обнаружения может содержать дату истечения срока действия, при этом сервер исходного домена не должен инициировать процесс, чтобы установить согласованность с вычислительной машиной домена-корреспондента (к примеру, сервером), когда прием приглашения сервером исходного домена осуществляется после даты истечения срока действия, так чтобы общий секрет не становился все более незащищенным со временем. Элементом данных может быть, по меньшей мере, одно из следующего: секрет для каждого домена, в том числе случайное или псевдослучайное число для каждой вычислительной машины домена-корреспондента (к примеру, сервера), секрет, сгенерированный посредством хеширования вычислительной машины домена-корреспондента (к примеру, сервера) и начального числа секрета, которое используется, чтобы генерировать секреты для каждого домена для более чем одного домена; и секрет для каждого домена, сгенерированный посредством шифрования вычислительной машины домена-корреспондента (к примеру, сервера) и даты истечения действия секрета. Элемент данных может содержать секрет, при этом сервер исходного домена может запомнить секрет или может проверить секрет, принятый от вычислительной машины домена-корреспондента (к примеру, сервера), посредством повторного вычисления и последующего сравнения текущего секрета для вычислительной машины домена-корреспондента (к примеру, сервера) с секретом, включенным в секрет обнаружения. Элемент данных может быть выбран из совокупности нескольких секретов, которые являются действительными в течение перекрывающихся интервалов времени для каждой вычислительной машины домена-корреспондента (к примеру, сервера), так чтобы было множество действительных секретов, которые могут быть использованы для передачи данных из вычислительной машины домена-корреспондента (к примеру, сервера) на административный адрес исходящего домена. Ограничение может быть наложено на число сообщений, которые передаются на адрес сервера исходного домена с помощью конкретного элемента данных, так чтобы риск атак отказа в обслуживании, использующих правильный элемент данных, уменьшался. Сервер исходного домена может включать в себя возможность переопределять требование для элемента данных для заданной вычислительной машины домена-корреспондента (к примеру, сервера), чтобы обеспечить возможность внешней авторизации, чтобы обеспечить сообщения приглашения из конкретного домена. Элементом данных может быть маркер в сообщении секрета обнаружения в почтовом заголовке или вложенным в тело сообщения, или элементом данных может быть маркер в почтовом заголовке, и тело сообщения остается зашифрованным при передаче через почтовый сервер. Сервер исходного домена может поддерживать несколько одновременно действительных секретов обнаружения для одного домена и проверять сообщения приглашения для субдоменов вычислительной машины домена-корреспондента (к примеру, сервера) посредством сверки входящего секрета обнаружения с секретами обнаружения для вычислительной машины домена-корреспондента (к примеру, сервера). Элементом данных может быть секрет обнаружения и может включать в себя информацию о версии для сервера исходного домена и включать в себя функции, поддерживаемые сервером исходного домена.
В одном варианте осуществления изобретение содержит структуру данных для секрета обнаружения, который должен быть передан из сервера исходного домена в вычислительную машину домена-корреспондента (к примеру, сервер). Как указано выше, этот секрет обнаружения используется, чтобы установить согласование между сервером исходного домена и вычислительной машиной домена-корреспондента (к примеру, сервера). Альтернативно, он может быть использован для других функций между двумя доменами. Например, он может быть использован для них, чтобы согласовать, что они будут отправлять собственные форматы TNEF вместо текста или HTML, что не имеет ничего общего с шифрованием или безопасностью. Структура данных включает в себя сообщение и его обычный заголовок, связанный с сообщением. Помимо этого структура данных включает в себя дополнительный заголовок, присоединенный к сообщению и заголовку сообщения и включающий в себя элемент данных, специфический для конкретной вычислительной машины домена-корреспондента (к примеру, сервера). Заголовок также включает в себя адрес сервера исходного домена, на который вычислительной машине домена-корреспондента (к примеру, серверу) разрешено отправлять сообщение в сервере исходного домена, чтобы установить согласованность между сервером исходного домена и вычислительной машиной домена-корреспондента (к примеру, сервера). Как указано выше, дополнительный заголовок должен включать в себя дату истечения срока действия, хотя это необязательно.
Альтернативно или помимо этого, секретом обнаружения может быть сообщение с одним доменом-корреспондентом и/или сообщение в домен-корреспондент, который является оператором. Одно сообщение в домен-корреспондент может быть для каждого ключа, и оно может быть отправлено на основе временного критерия (к примеру, одно сообщение в час). Например, пользовательским действием может быть NDR или подтверждение приема. В частности, выбор отправки отдельного сообщения или вложения в уже отправляемое сообщение не зависит от того, делаете вы это для каждого сообщения или только время от времени. Один переходный вариант заключается в том, чтобы дождаться сообщения, которое имеет получателей в одном домене (домене-корреспонденте) вместо вложения секрета обнаружения в сообщение, которое имеет получателей в нескольких доменах. В одной реализации сообщение разделяется таким образом, что копия, приходящая к получателям в домене-корреспонденте, имеет секрет обнаружения для этого домена.
Фиг.8 показывает один пример вычислительного устройства общего назначения в форме вычислительной машины 130. В одном варианте осуществления изобретения вычислительная машина, такая как вычислительная машина 130, подходит для использования на других чертежах, проиллюстрированных и описанных в данном документе. Вычислительная машина 130 имеет один или более процессоров или процессорных устройств 132 и системную память 134. В проиллюстрированном варианте осуществления системная шина 136 подключает различные системные компоненты, в том числе системную память 134, к процессорам 132. Шина 136 представляет один или более из нескольких типов структур шин, включая шину памяти или контроллер памяти, периферийную шины, ускоренный графический порт и процессорную или локальной шину, используя любую из множества архитектур шин. В качестве примера, но не ограничения, такой архитектуры можно привести шину архитектуры ISA, архитектуры MCA, архитектуры EISA, локальную шину VESA и шину PCI, также называемую шиной расширения.
Вычислительная машина 130 в типичном случае имеет, по меньшей мере, некоторую форму машиночитаемых носителей. К машиночитаемым носителям, которые включают в себя энергозависимые и энергонезависимые носители, сменные и стационарные носители, может относиться любой доступный носитель, к которому можно обращаться с помощью вычислительной машины 130. В качестве примеров, но не ограничения машиночитаемых носителей можно привести компьютерные носители данных вычислительной машины и среды передачи данных. Носители данных вычислительной машины включают в себя как энергозависимые и энергонезависимые, так и съемные и несъемные носители, реализованные любым способом или технологией для хранения информации, такой как машиночитаемые инструкции, структуры данных, программные модули или другие данные. Например, носитель данных вычислительной машины включает в себя, но не в качестве ограничения, ОЗУ (оперативно запоминающее устройство), ПЗУ (постоянное запоминающее устройство), ЭСППЗУ (электрически стираемое программируемое ПЗУ), флэш-память или память другой технологии, диски CD-ROM (ПЗУ на компакт-диске), универсальные цифровые диски (DVD) или другое запоминающее устройство на оптическом диске, магнитные дискеты, магнитную ленту, запоминающее устройство на магнитном диске или другие магнитные устройства хранения, или любые другие носители, которые могут быть использованы для хранения желаемой информации и которые могут быть доступны посредством вычислительной системы 130. Среды передачи данных в типичном случае воплощают машиночитаемые инструкции, структуры данных, программные модули или другие данные в модулированном информационном сигнале, таком как волновая несущая или другой механизм распространения, и включают в себя любые среды доставки информации. Специалисты в данной области техники знакомы с модулированным информационным сигналом, одна или более характеристик которого установлены или изменены таким образом, чтобы кодировать информацию в этом сигнале. Проводные среды, такие как проводная сеть или непосредственное проводное соединение, и беспроводные среды, такие как акустические, радиочастотные, инфракрасные и другие беспроводные среды, являются примерами сред передачи данных. Сочетания любых из вышеперечисленных сред и носителей также охватываются понятием “машиночитаемый носитель”.
Системная память 134 включает в себя носитель данных вычислительной машины в виде энергозависимого и/или энергонезависимого запоминающего устройства. В проиллюстрированном варианте осуществления системная память 134 включает в себя постоянное запоминающее устройство (ПЗУ) 138 и оперативное запоминающее устройство (ОЗУ) 140. Базовая система 142 ввода-вывода (BIOS), содержащая основные процедуры, которые помогают передавать информацию между элементами в вычислительной машине 130, например, при загрузке, в типичном случае храниться в ПЗУ 138. ОЗУ 140 в типичном случае содержит данные и/или программные модули, которые непосредственно доступны и/или обрабатываются в данный момент процессором 132. В качестве примера, но не ограничения, фиг. 8 иллюстрирует операционную систему 144, прикладные программы 146, другие программные модули 148 и программные данные 150.
Вычислительная машина 130 может также включать в себя другие съемные/стационарные, энергозависимые/энергонезависимые носители данных вычислительной машины. Например, фиг. 8 иллюстрирует накопитель 154 на жестком диске, который считывает или записывает на стационарный энергонезависимый магнитный носитель. Фиг. 8 также показывает магнитный дисковод 156, который считывает или записывает на съемный энергонезависимый магнитный диск 158, и оптический дисковод 160, который считывает или записывает на съемный энергонезависимый оптический диск 162, такой как CD-ROM или другой оптический носитель. В качестве других сменных/стационарных, энергозависимых/энергонезависимых носителей данных вычислительной машины, которые могут использоваться в примерном операционном окружении, могут выступать (но не только) кассеты на магнитных лентах, карты флэш-памяти, универсальные цифровые диски, цифровые видеоленты, полупроводниковое ОЗУ, полупроводниковое ПЗУ и т.п. Накопитель 154 на жестких дисках, магнитный дисковод 156 и оптический дисковод 160 в типичном случае подключены к системной шине 136 посредством интерфейса энергонезависимой памяти, такого как интерфейс 166.
Накопители и дисководы или другие запоминающие устройства большой емкости и ассоциированные с ними носители данных вычислительной машины, описанные выше и проиллюстрированные на фиг. 8, обеспечивают хранение машиночитаемых инструкций, структур данных, программных модулей и других данных для вычислительной машины 130. На фиг. 8, например, накопитель 154 на жестких дисках проиллюстрирован в качестве хранящего операционную систему 170, прикладные программы 172, другие программные модули 174 и программные данные 176. Заметим, что эти компоненты могут либо быть аналогичными или отличаться от операционной системы 144, прикладных программ 146, других программных модулей 148 и программных данных 150. Операционная система 170, прикладные программы 172, другие программные модули 174 и программные данные 176 обозначены здесь отличающимися номерами, чтобы проиллюстрировать, что, как минимум, они являются другими копиями.
Пользователь может вводить команды или информацию в вычислительную машину 130 посредством устройств ввода или устройств выбора пользовательского интерфейса, например, клавиатуры 180 и указательного устройства 182 (к примеру, мыши, шарового манипулятора, пера или сенсорной панели). В качестве других устройств ввода (не показаны) могут выступать микрофон, джойстик, игровая панель, спутниковая антенна, сканер и т.п. Эти и другие устройства ввода подключены к процессору 132 посредством интерфейса 184 пользовательского ввода, который подключен к системной шине 136, но могут быть подключены посредством других структур интерфейсов и шин, таких как параллельный порт, игровой порт или универсальная последовательная шина (USB). Монитор 188 или другой тип дисплейного устройства также подключен к системной шине 136 посредством такого интерфейса, как видеоинтерфейс 190. Помимо монитора вычислительные машины могут также включать в себя другие периферийные устройства вывода (не показаны), например принтер и динамики, которые могут быть подключены средствами интерфейса периферийного вывода (не показан).
Вычислительная машина 130 может работать в сетевом окружении, использующем логические соединения с одной или более удаленными вычислительными машинами, такими как удаленная вычислительная машина 194. Удаленной вычислительной машиной 194 может быть персональная вычислительная машина (ПЭВМ), сервер, маршрутизатор, сетевая персональная ЭВМ, одноранговое устройство или другой общий узел сети, и она в типичном случае включает в себя многие или все из элементов, описанных выше относительно вычислительной машины 130. Логические соединения, показанные на фиг. 8, включают в себя локальную сеть (ЛС) 196 и глобальную сеть (ГС) 198, но могут также включать в себя другие сети. ЛС 136 и/или ГС 138 может быть любая проводная сеть, беспроводная сеть или их сочетание и т.п. Такие сетевые окружения широко распространены в офисах, корпоративных вычислительных сетях, сетях интранет и глобальных вычислительных сетях (к примеру, в Интернете).
При использовании в окружении локальной сети, вычислительная машина 130 подключена к ЛС 196 посредством сетевого интерфейса или адаптера 186. При использовании в окружении глобальной сети ГС, вычислительная машина 130 в типичном случае включает в себя модем 178 или другое средство установления обмена данными по ГС 198, такой как Интернет. Модем 178, который может быть внутренним или внешним, подключается к системной шине 136 через интерфейс 184 пользовательского ввода или с использованием другого подходящего механизма. В сетевом окружении программные модули, изображенные по отношению к вычислительной машине 130, или их части, могут храниться на удаленном устройстве хранения данных (не показано). В качестве примера, а не ограничения, фиг. 8 иллюстрирует удаленные прикладные программы 192 как находящиеся на запоминающем устройстве. Показанные сетевые соединения являются примерными, и другие средства установления канала связи между вычислительными машинами могут быть использованы.
В общем, процессоры данных вычислительной машины 130 запрограммированы посредством инструкций, хранящихся в различное время на различных машиночитаемых носителях данных вычислительной машины. Программы и операционные системы в типичном случае распространяются, например, на гибких дисках или дисках CD-ROM. С них они устанавливаются и загружаются в память второго уровня вычислительной машины. При исполнении они загружаются, по меньшей мере, частично в основную электронную память вычислительной машины. Описанное в данном документе изобретение включает в себя эти и другие различные типы машиночитаемых носителей данных, когда такие носители содержат инструкции или программы для реализации этапов, описанных в связи с микропроцессором или процессором данных. Изобретение также включает в себя саму вычислительную машину, запрограммированную согласно описанным в данном документе способам и методикам.
В целях иллюстрации программы и другие исполняемые программные компоненты, такие как операционная система, проиллюстрированы в данном документе как отдельные блоки. Тем не менее, следует понимать, что эти программы и компоненты размещаются в различные моменты времени в различных компонентах хранения данных вычислительной машины и приводятся в исполнение процессорами данных на вычислительной машине.
Хотя описано в связи с примерным окружением вычислительной системы, включающим в себя вычислительную машину 130, изобретение работоспособно с многочисленными другими окружениями или конфигурациями вычислительных систем общего назначения или специального назначения. Окружение вычислительной системы не предназначено, чтобы означать какое-либо ограничение на область использования или функциональные возможности изобретения. Более того, окружение вычислительной системы не должно быть интерпретировано в качестве имеющего какую бы то ни было зависимость или требование, относящееся к любому одному или сочетанию из компонентов, проиллюстрированных в примерном операционном окружении. Примеры широко распространенных вычислительных систем, окружений и/или конфигураций, которые могут быть подходящими для использования с изобретением, включают в себя (но не только) персональные вычислительные машины, серверные вычислительные машины, "карманные" вычислительные машины или дорожные вычислительные машины, многопроцессорные системы, системы на базе микропроцессоров, декодеры телевизионных каналов, программируемую бытовую электронную аппаратуру, мобильные телефоны, сетевые ПЭВМ, миниЭВМ, мейнфреймы, распределенные вычислительные окружения, которые содержат любые из вышеуказанных систем и устройств, и т.п.
Изобретение может быть описано в общем контексте машиноисполняемых инструкций, таких как программные модули, исполняемые одной или более вычислительными машинами или другими устройствами. Программные модули, в общем, включают в себя (но не только) процедуры, программы, объекты, компоненты и структуры данных, которые выполняют отдельные задачи или реализуют отдельные абстрактные типы данных. Изобретение может быть реализовано на практике в распределенных вычислительных окружениях, в которых задачи выполняются удаленными обрабатывающими устройствами, которые связаны через сеть связи. В распределенном вычислительном окружении программные модули могут быть расположены в носителях данных и локальной, и удаленной вычислительной машины, включая запоминающие устройства.
Интерфейс в контексте архитектуры программного обеспечения включает в себя программный модуль, компонент, кодовую часть или другую последовательность машиноисполняемых инструкций. Интерфейс включает в себя, например, первый модуль, осуществляющий доступ ко второму модулю, чтобы выполнять вычислительные задачи от имени первого модуля. Первый и второй модули включают в себя, в одном примере, интерфейсы прикладного программирования (API), такие как предоставленные операционными системами, интерфейсы модели компонентных объектов (COM) (к примеру, для обмена данными одноранговых приложений) и интерфейсы формата обмена метаданными расширяемого языка разметки (XMI) (к примеру, для обмена данными между WEB-службами).
Интерфейс может быть явно связанной синхронной реализацией, такой как Java 2 Platform Enterprise Edition (J2EE), COM или распределенной COM (DCOM). Альтернативно или помимо этого, интерфейс может быть неявно связанной асинхронной реализацией, такой как WEB-служба (к примеру, используя простой протокол доступа к объектам). В общем, интерфейс включает в себя любое сочетание следующих характеристик: явно связанный, неявно связанный, синхронный или асинхронный. Дополнительно, интерфейс может соответствовать стандартному протоколу, собственному протоколу или сочетанию стандартного и собственного протоколов.
Интерфейсы, описанные в данном документе, могут все являться частью одного интерфейса или могут быть реализованы как отдельные интерфейсы или любое сочетание вышеуказанного. Интерфейсы могут исполняться локально или удаленно, чтобы предоставлять функциональные возможности. Дополнительно, интерфейсы могут включать в себя дополнительные или меньшие функциональные возможности по сравнению с проиллюстрированными или описанными в данном документе.
При работе вычислительная машина 130 выступает либо в качестве сервера исходного домена, либо в качестве вычислительной машины домена-корреспондента (которая может быть сервером), чтобы исполнять машиноисполняемые инструкции, как указано выше, проиллюстрированные на фиг. 2-7.
Порядок исполнения или выполнения способов, проиллюстрированных и описанных в данном документе, не является существенным, если не указано иное. То есть элементы способов могут быть выполняться в любом порядке, если не указано иное, и способы могут включать в себя большее или меньшее число элементов, чем раскрыто в данном документе. Например, предполагается, что исполнение или выполнение конкретного элемента до, одновременно или после другого элемента не выходит за рамки области применения изобретения.
При представлении элементов настоящего изобретения или вариантов его осуществления, использование элемента в единственном числе или с вводным словом "упомянутый" не исключает возможности наличия одного или более таких элементов. Термины "содержащий", "включающий в себя" и "имеющий", следует интерпретировать как включающие, и они означают, что могут быть дополнительные элементы, отличные от перечисленных.
Принимая во внимание вышесказанное, можно видеть, что несколько целей изобретения выполнено и другие выгодные результаты достигнуты.
Поскольку различные изменения могут быть внесены в вышеуказанные конструкции, продукты и способы, не выходя за рамки объема изобретения, считается, что весь материал, содержащийся в вышеприведенном описании и показанный на прилагаемых чертежах, должен интерпретироваться как иллюстративный, но не в ограничивающем смысле.
Изобретение относится к установлению согласованной взаимосвязи между двумя доменами. Техническим результатом является увеличение отказоустойчивости и противодействия несанкционированной рассылке компьютерной системы связи. Способ включает: передачу секрета обнаружения из исходного домена в домен-корреспондент, причем секрет обнаружения включает в себя адрес исходного домена, на который домен-корреспондент отправляет сообщение, чтобы установить согласованность между исходным доменом и доменом-корреспондентом, и прием исходным доменом посредством адреса исходного домена приглашение от домена-корреспондента, при этом в исходном домене проверяют элемент данных, принятый от домена-корреспондента, посредством повторного вычисления и последующего сравнения элемента данных для домена-корреспондента с элементом данных, включенным в секрет обнаружения, переданный домену-корреспонденту, причем исходный домен соответствует домену-корреспонденту, только когда элемент данных, предоставленный доменом-корреспондентом, совпадает с элементом данных, включенным в секрет обнаружения, так что риск атак отказа в обслуживании из домена-корреспондента уменьшается. 2 н. и 15 з.п. ф-лы, 8 ил.