用于安全地创建和发送电子消息的方法和发送装置以及用于安全地接收和处理电子消息的方法和接收装置转让专利
申请号 : CN200780038964.3
文献号 : CN101529434B
文献日 : 2011-04-06
发明人 : S·弗里斯 , E·希尔
申请人 : 西门子公司
摘要 :
本发明涉及一种用于安全地创建和发送电子消息的方法,其中借助于在安全操作系统中运行的第一应用创建消息,将所创建的消息存放在只能通过安全操作系统和虚拟单元进行访问的存储装置上,借助于通过虚拟单元执行的第二应用,在内部存储装置上检查消息的存在,并且,如果存在消息,则将该消息转发给接收方。此外,本发明包括一种用于安全地接收和处理电子消息的方法,其中借助于第二应用在外部存储装置上检查消息的存在,在存在消息的情况下将该消息传输到内部存储装置上,通过第一应用查询消息的存在,如果存在消息,则将该消息从内部存储装置传输到第一应用以进行处理。此外,本发明涉及一种用于实施所述用于安全地创建和发送电子消息的方法的发送装置,以及一种用于实施所述用于安全地接收和处理电子消息的方法的接收装置。
权利要求 :
1.一种用于安全地创建和发送电子消息(N)的方法,其特征在于,运行下列步骤:—在安全操作系统(OS1)中执行第一应用(A1)以创建所述电子消息,其中在虚拟单元(VS)的容器中执行所述安全操作系统;
—将所述电子消息(N)存储在只能通过所述安全操作系统(OS1)和所述虚拟单元(VS)进行访问的内部存储装置(SP1)上;
—通过第二应用(A2)向所述内部存储装置(SP1)查询所述电子消息(N)的存在,其中通过所述虚拟单元(VS)执行所述第二应用(A2);
—如果存在所述电子消息(N),则将所述电子消息(N)传输到所述第二应用(A2);
—通过所述第二应用(A2)将所述电子消息(N)发送给所述电子消息(N)的接收方(E)。
2.根据权利要求1所述的方法,其特征在于,所述电子消息(N)在发送之前用属于所述接收方(E)的密匙(SE)进行加密。
3.根据权利要求2所述的方法,其特征在于,
—将所述电子消息(N)的控制字段(H)和文本字段(T)彼此分开地存放在所述内部存储装置(SP1)上,—通过所述第二应用(A2)只查询所述电子消息(N)的控制字段(H)的存在,—通过所述第二应用(A2)借助于所述控制字段(H)来确定属于所述电子消息(N)的接收方(E)的密匙(SE)。
4.一种用于安全地接收和处理电子消息(N)的方法,其特征在于,运行下列步骤:—在安全操作系统(OS1)中执行第一应用(A2)以处理消息,其中所述安全操作系统在虚拟单元(VS)的容器中运行;
—通过第二应用(A2)向外部存储装置(SP2)查询所述电子消息(N)的存在,其中通过所述虚拟单元(VS)执行所述第二应用(A2);
—通过所述第二应用(A2)在存在所述电子消息(N)的情况下将所述电子消息(N)从所述外部存储装置(SP2)传输到只能通过所述安全操作系统(OS1)和所述虚拟单元(VS)进行访问的内部存储装置(SP1);
—通过所述第一应用(A1)向所述内部存储装置(SP1)查询所述电子消息(N)的存在;
—如果在所述内部存储装置(SP1)上存在所述电子消息(N),则通过所述第一应用(A1)将所述电子消息(N)从所述内部存储装置(SP1)传输到所述第一应用(A1)以处理所述电子消息(N)。
5.根据权利要求4所述的方法,其特征在于,
—通过所述第二应用(A2)向所述外部存储装置(SP2)查询加密的电子消息(N*)的存在,—通过所述第二应用(A2)将所述加密的电子消息(N*)解密成所述电子消息(N),—将所述电子消息(N)传输到所述内部存储装置(SP1)。
6.根据权利要求5所述的方法,其特征在于,所述电子消息(N)在不在所述外部存储装置(SP2)上进行缓存的情况下组织存放在所述内部存储装置(SP1)上。
7.一种用于安全地创建和发送电子消息(N)的装置,其特征在于,该装置包括:—用于在安全操作系统(OS1)中执行第一应用(A1)以创建所述电子消息的装置,其中在虚拟单元(VS)的容器中执行所述安全操作系统;
—用于将所述电子消息(N)存储在只能通过所述安全操作系统(OS1)和所述虚拟单元(VS)进行访问的内部存储装置(SP1)上的装置;
—用于通过第二应用(A2)向所述内部存储装置(SP1)查询所述电子消息(N)的存在的装置,其中通过所述虚拟单元(VS)执行所述第二应用(A2);
—用于如果存在所述电子消息(N)则将所述电子消息(N)传输到所述第二应用(A2)的装置;以及—用于通过所述第二应用(A2)将所述电子消息(N)发送给所述电子消息(N)的接收方(E)的装置。
8.一种用于安全地接收和处理电子消息(N)的装置,其特征在于,该装置包括:—用于在安全操作系统(OS1)中执行第一应用(A2)以处理消息的装置,其中所述安全操作系统在虚拟单元(VS)的容器中运行;
—用于通过第二应用(A2)向外部存储装置(SP2)查询所述电子消息(N)的存在的装置,其中通过所述虚拟单元(VS)执行所述第二应用(A2);
—用于通过所述第二应用(A2)在存在所述电子消息(N)的情况下将所述电子消息(N)从所述外部存储装置(SP2)传输到只能通过所述安全操作系统(OS1)和所述虚拟单元(VS)进行访问的内部存储装置(SP1)的装置;
—用于通过所述第一应用(A1)向所述内部存储装置(SP1)查询所述电子消息(N)的存在的装置;以及—用于如果在所述内部存储装置(SP1)上存在所述电子消息(N)则通过所述第一应用(A1)将所述电子消息(N)从所述内部存储装置(SP1)传输到所述第一应用(A1)以处理所述电子消息(N)的装置。
说明书 :
用于安全地创建和发送电子消息的方法和发送装置以及用
于安全地接收和处理电子消息的方法和接收装置
技术领域
[0001] 本发明涉及一种用于安全地创建和发送电子消息的方法和发送装置以及一种用于安全地接收和处理电子消息的方法和接收装置。
背景技术
[0002] 由于现代通信,即使对于公司具有基础价值的机密数据也基于计算机来处理。这些机密数据经常被存储在例如膝上型电脑或者PDA(Personal Digital Assistant,个人数字助理)的便携式计算机中。
[0003] 为了防止第三者对机密数据的访问,这些机密数据例如用PGP公司的软件程序CryptoEX安全软件来进行加密存储。在此,可以借助合适的加密以E-mail形式发送机密数据。
[0004] 然而,这些软件程序不满足将数据例如为了军事应用而安全地保存在终端设备上的要求。比如说在军事应用的环境中,在不受欢迎的软件程序中或在操作系统自身中觉察到潜在危险,所述不受欢迎的软件程序例如是病毒或者特洛伊木马。在操作系统的情况下,用户不能认为不存在由操作系统的制造商对该操作系统的数据的秘密接入,利用这些接入,能够例如在使用者读取时截取机密数据。
[0005] 用于解决这个要求的途径能够通过使用完全分离的系统实现。为此使用物理上分离的系统,在这些系统中,数据交换手动进行。这在实践中不是特别实用,因为不但用于管理(Verwaltung)的管理(administrativ)费用是巨大的,而且基于分离系统的基础设施成本也是巨大的。另一种途径是封装操作系统,以便更好地能够控制来自操作系统或通往操作系统的通信。这能够通过虚拟层实现。
[0006] 虚拟层能够实现虚拟容器,在所述虚拟容器中能够独立自主地执行操作系统。对此,虚拟层定义硬件相对于相应的虚拟容器的抽象。在这里,下述方法/产品是已知的:
[0007] —VM机服务器(www.vmware.com):这种产品尤其使得能够使用虚拟容器,在这些虚拟容器中运行自身的操作系统。然而,该产品不控制对例如图形存储器的硬件的资源的访问。
[0008] —XEN(www.xensource.org):在这个开放资源项目中定义虚拟层,所述虚拟层提供硬件相对于真正的操作系统的抽象,用户利用所述操作系统来工作。
[0009] —Twinsafe(CE Infosys,www.ce-infosys.com):这种产品提供使虚拟容器的数据严格相互分离的可能性。然而,为了从一个容器转换到另一个容器,必须终止在到目前为止的容器中运行的操作系统,并且必须引导在另一个容器中待启动的操作系统。在此,不能在容器之间(也就是在操作系统之间)进行快速转换。
[0010] —虚拟工作站(Secunet,www.secunet.com):这种产品提供虚拟容器,其中为每个虚拟容器分配用于管理与容器有关的数据的密匙。
[0011] 所述产品使得能够在操作一个或多个具有机密数据的操作系统时改善安全性。然而,所述方法/产品呈现出缺点,攻击者能够利用这些缺点来截取机密数据。特别在电子消息的情况下,不但在创建或读取这些电子消息时创建潜在的危险,而且在发送或接收这些电子消息时也创建潜在的危险,即攻击者能够通过通信路径和通信协议、例如LAN(Local Area Network,局域网)或者E-mail协议SMTP(Simple Mail Transfer Protocal,简单邮件传送协议)来馈入例如蠕虫或者特洛伊这样的有害软件和/或向外部传输机密数据。
发明内容
[0012] 因此,本发明所基于的任务在于给出用于安全地创建、发送、接收和处理电子消息的方法和装置,与现有技术相比,所述方法和装置实现对抗有害软件的安全性的提高,所述有害软件例如是蠕虫、特洛伊或病毒。
[0013] 该任务通过根据本发明的方法和装置来解决。
[0014] 本发明涉及用于安全地创建和发送电子消息的方法,其中运行下列步骤:
[0015] —在安全操作系统中执行第一应用以创建电子消息,其中在虚拟单元的容器中执行该安全操作系统;
[0016] —将该电子消息存储在只能通过安全操作系统和虚拟单元进行访问的内部存储装置上;
[0017] —通过第二应用向内部存储装置查询电子消息的存在,其中所述第二应用通过虚拟单元来执行;
[0018] —如果存在电子消息,则将该电子消息传输到第二应用;
[0019] —通过第二应用将该电子消息发送给该电子消息的接收方。
[0020] 借助于该方法来实现,用户在例如膝上型电脑的系统中,除了能够使用于执行任意应用的操作系统运行之外,还能使安全操作系统运行,在该安全操作系统中能够对信息生成进行严格分离,也就是不但能够将电子消息的创建和该电子消息的发送分离,而且能够对因此使用的通信路径进行监控。因此,一方面使得能够在创建电子消息时阻止对该电子消息的内容进行窥探(Ausspionieren),并且在将该电子消息传输到第二应用时几乎排除攻击者对该电子消息的截取。此外,通过分离地创建和发送电子消息,透明地显示对所使用的传输路径的跟踪,所述传输路径在例如Windows XP的开放式操作系统中可能会被操纵。另外,所述方法显示出不使用标准化传输路径来发送电子消息的优点,由此几乎排除通过例如蠕虫或者特洛伊的有害软件的操纵。因为当今的有害软件模块识别标准化传输路径并能够操纵这些传输路径,所述传输路径例如是用于发送和/或接收电子消息的标准化接口,例如POP3(Post Office Box3,邮政信箱3)。
[0021] 优选地将电子消息在发送之前用属于接收方的密匙进行加密,由此使对该电子消息的攻击变得额外困难。此外,可以将该电子消息的控制字段和文本字段彼此分开离地存放在内部存储器上,通过第二应用只查询该电子消息的控制字段的存在,并且通过第二应用借助于控制字段确定属于该电子消息的接收方的密匙。通过该扩展方案实现本方法的简化,因为为了确定属于特定接收方的密匙,只须分析控制字段。这附加地具有以下优点,即不但减少待传输的数据量,而且还减少对包含重要信息的文本字段的袭击。
[0022] 此外,本发明涉及一种用于安全地接收和处理电子消息的方法,该方法实施下列步骤:
[0023] —在安全操作系统中执行第一应用以处理消息,其中所述安全操作系统在虚拟单元的容器中运行;
[0024] —通过第二应用向外部存储装置查询电子消息的存在,其中通过虚拟单元执行该第二应用;
[0025] —通过第二应用,在存在电子消息的情况下将该电子消息从外部存储装置传输到只能通过安全操作系统和虚拟单元进行访问的内部存储装置;
[0026] —通过第一应用向内部存储装置查询电子消息的存在;
[0027] —如果在内部存储装置上存在电子消息,则通过第一应用将电子消息从内部存储装置传输到第一应用以处理该电子消息。
[0028] 借助于该用于安全地接收和处理电子消息的方法实现,电子消息也可以以安全的方式来接收和处理。尤其通过对电子消息的接收和处理进行严格分离,使得对电子消息的内容进行操纵和/或探出 变得明显困难。所述访问也由此变得困难,因为从在终端设备中接收电子消息直到将该电子消息传送到第一应用的通信路径被清楚地定义,并且因此这些通信路径是可追踪的。正是在目前的操作系统中,不但在接收和处理之间的这种严格分离是难以控制的,而且电子消息的通信路径的可追踪性也是难以控制的。这个缺点正是通过用于安全地接收和处理电子消息的本方法来消除。
[0029] 在扩展方案中,通过第二应用向外部存储装置查询加密的电子消息的存在,通过该第二应用,将所述加密的电子消息解密成所述电子消息,并将该电子消息传输到内部存储装置。通过使用加密的电子消息来提高安全性,由此使袭击变得明显困难。如果将电子消息在不存储在外部存储器上的情况下直接组织存放在内部存储器上,则进一步提高安全性。因为只有虚拟单元和安全操作系统能够访问内部存储器。
[0030] 此外,本发明包括用于安全地创建和发送电子消息的发送装置,该发送装置适于实施用于安全地创建和发送的方法,其中该发送装置:
[0031] —包括适于执行第一应用和第二应用的装置,所述第一应用用于创建消息和用于将电子消息存储在内部存储装置上,所述第二应用用于向内部存储装置查询电子消息的存在,并且用于如果存在电子消息则将该电子消息传输到第二应用,以及用于将该电子消息发送给该电子消息的接收方;
[0032] —具有虚拟单元,其中在安全操作系统中执行第一应用,并且在虚拟单元的容器中执行该安全操作系统,以及通过虚拟单元执行第二应用;
[0033] —包括只能通过安全操作系统和虚拟单元进行访问的内部存储装置。
[0034] 借助于所述发送装置,可执行用于安全地创建和发送电子消息的方法。
[0035] 最后,用于安全地接收和处理电子消息的接收装置是本发明的组成部分,其中该接收装置适于实施用于安全地接收和处理电子消息的方法,其中该接收装置:
[0036] —包括适于执行第一应用和第二应用的装置,所述第一应用用于处理消息、用于向内部存储装置查询电子消息的存在,以及用于如果在内部存储装置上存在电子消息则将该电子消息从内部存储装置传输到第一应用以处理该电子消息,所述第二应用用于向外部存储装置查询电子消息的存在,以及用于通过第二应用在存在电子消息的情况下将该电子消息从外部存储装置传输到内部存储装置;
[0037] —具有虚拟单元,其中在安全操作系统中执行第一应用,并且在虚拟单元的容器中执行该安全操作系统,以及通过虚拟单元执行第二应用;
[0038] —包括只能通过安全操作系统和虚拟单元进行访问的内部存储装置;
[0039] —具有容纳至少一个待传送给第一应用的消息的外部存储装置。
[0040] 借助于所述接收装置,可以实施用于安全地接收和处理电子消息的方法。
[0041] 在本发明的范围内,概念“用于安全地接收和处理”和“用于安全地创建和发送电子消息”被理解为本方法使得在创建和发送或接收和处理电子消息时通过例如特洛伊或蠕虫这样的有害软件进行操纵变得明显困难。此外,在本发明的范围内,应将外部存储装置理解为能够通过虚拟单元和其他单元、例如通信服务器或发送器以电子消息来写或者读取的存储器。此外,该外部存储器也可以被设计,使得其他单元只能写入而虚拟单元只能从外部存储器读取。所述电子消息可以被理解为任何类型的消息、例如能够分别以电子方式传输的文本信息、图像信息、音乐信息或控制信息。此外,所述虚拟单元可以被理解为这样的单元,该单元使操作系统彼此分开地、例如在容器中执行,并且管理(reglementieren)对硬件和/或软件部件的访问权限,例如对硬盘的确定的分区或者对外部接口的访问。安全操作系统在虚拟单元的容器中执行的、并具有对硬件接口和/或软件接口的受限访问权限的操作系统可以被理解为安全操作系统。这样的安全操作系统可以包括Linux、MAC-OS或者微软公司的操作系统。此外,所述方法以及所述发送和接收装置可以在例如膝上型电脑或固定计算机的计算机上实现并执行。另外,所述方法能够以计算机程序产品的形式实现,其中所述计算机程序产品可以在计算机上执行。
附图说明
[0042] 下面借助附图进一步阐释本发明和本发明的改进方案。
[0043] 图1示出用于安全地创建和发送电子消息的发送装置;
[0044] 图2示出用于安全地接收和处理电子消息的接收装置。
[0045] 具有相同功能和作用方式的元件在图1和图2中配备有相同的附图标记。
具体实施方式
[0046] 为了执行用于安全地创建和发送电子消息N的方法,首先用虚拟单元VS装备商业上通用的膝上型电脑R。如已经在说明书引言部分中详细阐述的那样,虚拟单元允许封装多个在相应的容器中被执行的操作系统OS1、OS2并分配对例如硬盘的公共硬件HW或对膝上型电脑的接口的访问权限,所述接口例如是USB(Universal Serial Bus,通用串行总线)端口或LAN(Local Area Network,局域网)接口,例如以太网。
[0047] 为了执行所述方法,在虚拟单元的容器之一中执行安全操作系统OS1。所述安全操作系统的特征在于封锁了对例如USB接口或LAN接口的外部接口的访问。此外,所述安全操作系统只能对硬盘的直接分配给它的分区或单独分配的硬盘进行访问。此外在替代的改进方案中,数据可以被加密地存放在分配给安全操作系统的分区上,其中虚拟单元的驱动器将这些数据以未加密的形式提供给安全操作系统,或者在存储数据时进行加密。所述安全操作系统可以例如是微软公司的Windows XP 。
[0048] 借助于通过安全操作系统OS1执行的第一应用A1,用户可以创建电子消息。在此,所述电子消息包括控制字段H和文本字段,在所述控制字段H中概括有例如接收方地址或发送方地址的管理数据,在所述文本字段中录入有消息文本。此外,所述电子消息还可以具有其他字段,例如一个或多个附录。
[0049] 在撰写(Verfassen)了电子消息之后,将该电子消息以一个或多个单独文件的形式存放在内部存储装置SP1中,其中例如第一文件包含控制字段H而第二文件包含文本字段T。所述内部存储装置SP1是作为分区设立在膝上型电脑R的硬盘内的,其中通过虚拟单元VS,仅使安全操作系统OS1和该虚拟单元VS能够访问(即读取或写入)。
[0050] 通过由虚拟单元VS执行的第二应用A2,向内部存储装置查询(pollen)电子消息的存在,尤其是包括控制字段H的第一文件的存在。所述查询或者以规律的时间间隔或者以不规律的时间间隔进行,例如每10秒钟一次。所述查询在图1中象征性地通过具有附图标记P的双箭头来象征。
[0051] 在第二应用A2识别出在内部存储装置上新的电子消息可供使用之后,通过第二应用A2读取所述电子消息N并转发给被构造用于将电子消息传输给接收方E的通信服务器KS。该通信服务器例如作为E-Mail服务器被布置。
[0052] 在用于安全地创建和发送电子消息的方法的替代的改进方案中,将电子消息N在发送前进行加密。用于该替代的改进方案的附加方法步骤在图1中用虚线示出。为了执行所述改进方案,第二应用在识别出在内部存储装置上存在电子消息后首先需要控制字段H。在控制字段H中提取接收方E的标识。然后,借助于通信服务器KS的请求消息AN请求(anfragen)提供属于接收方E的密匙。所述通信服务器在该扩展方案中作为E-Mail服务器工作并且管理接收方的密匙。在接收方E的被请求的密匙SE由通信服务器KS传送给第二应用A2之后,由内部存储装置通过第二应用读取电子消息,借助于密匙SE将该电子消息加密为加密的电子消息N*,并且将加密的电子消息N*通过通信服务器KS传送给接收方。
[0053] 根据图2对用于安全地接收和处理电子消息的方法进行进一步阐释。用于该替代的改进方案的附加方法步骤在图2中用虚线示出。与根据图1的实施方案类似,膝上型电脑R包括公共硬件HW、虚拟单元VS和至少安全操作系统OS1。将发送器S的消息通过通信服务器KS存放到外部存储装置SP2中。在本发明的范围内,所述外部存储装置SP2应被理解为这样的存储器,该存储器可以通过虚拟单元和具有电子消息N的另一个单元来写,所述另一个单元例如是通信服务器KS或发送器S。在本实施例中,用图形示出作为膝上型电脑R的部分的外部存储器。通常,外部存储装置SP2也可以作为直接连接到膝上型电脑上的存储器或通过网络连接的存储器来实现。
[0054] 通过虚拟单元执行的第二应用向外部存储装置查询新到达的电子消息的存在。这在图2中借助具有附图标记P1的双箭头来象征。在此,第二应用可以以规律的或不规律的时间间隔进行查询。在随后的步骤中,第二应用A2将电子消息N从外部存储装置传输到内部存储装置中。此外,通过安全操作系统执行的第一应用A1以规律的或不规律的时间间隔向内部存储器查询至少一个新到达的电子消息的存在。在识别出该新到达的消息N之后,用于处理电子消息的第一应用将该电子消息从内部存储装置SP1传输到第一应用A1。第一应用处理例如所接收到的电子消息N,使得所述电子消息在膝上型电脑R的屏幕上以格式化的方式被再现(wiedergeben)给用户。
[0055] 在图2中所阐述的实施例的替代的改进方案中,代替消息N,将加密的电子消息N*通过发送器S经由通信服务器KS存放到外部存储装置SP2中。接着,根据查询,参见附图标记P1,第二应用识别出新传输的加密的电子消息N*存在于外部存储装置SP2中。通过第二应用读取加密的电子消息N*并进行解密。然后,将解密的电子消息N在不在外部存储装置SP2上进行缓存的情况下直接写入内部存储装置SP1中。与关于图2的前面的实施方案类似,第一应用A1向存储装置SP1查询电子消息N的存在,其中在识别出电子消息N之后,将该电子消息N通过用于处理的第一应用装载到第一应用中。
[0056] 如在引言部分中详细阐述的,各种不同产品/方法、例如VM机服务器、XEN、Twinsafe或者虚拟工作站对于本领域的专业人员来说是已知的,利用这些产品/方法可以实现根据图1和图2的虚拟单元。
[0057] 用于安全地创建和发送电子消息的方法可以通过发送装置SV来实施并实现。在此,所述发送装置包括下列装置:
[0058] —第一应用,用于创建消息,其中在安全操作系统中执行该第一应用并在虚拟单元的容器中执行该安全操作系统,以及用于在只能通过安全操作系统和虚拟单元进行访问的内部存储装置上存储电子消息;
[0059] —第二应用,用于向内部存储装置查询电子消息的存在,其中通过虚拟单元执行该第二应用;用于如果存在电子消息则将该电子消息传输给第二应用;以及用于将电子消息发送给电子消息的接收方。
[0060] 此外,用于安全地接收和处理电子消息的方法可以借助于接收装置EV来实施并实现。在此,所述接收装置具有下列装置:
[0061] —第一应用,用于处理消息,其中在安全操作系统中执行该第一应用并在虚拟单元的容器中执行该安全操作系统;用于向只能通过安全操作系统和虚拟单元进行访问的内部存储装置查询电子消息的存在;以及用于如果在内部存储装置上存在电子消息则从内部存储装置将电子消息传输到用于处理该电子消息的第一应用;
[0062] —第二应用,用于向外部存储装置查询电子消息的存在,其中所述第二应用通过虚拟单元来执行;以及用于在存在时将该电子消息从外部存储装置通过第二应用传输到内部存储装置。
[0063] 发送装置和/或接收装置能够通过硬件、软件或者硬件和软件的组合来实施和操作。在此,接收装置和/或发送装置能够在便携式终端设备(例如膝上型电脑、PDA(Personal Digital Assistant,个人数字助理))或按照GSM(Global System for Mobile Communications,全球移动通信系统)标准的移动电话或例如办公室计算机的非便携式终端设备中实现。