1.一种用于确保系统通信安全而由安全通信终端提供新的增强公钥的方法,该安全通信终端具有可操作地连接至存储器和通信接口的处理器,该方法包括以下步骤:
由所述处理器生成用于对客户账户进行验证的第一部分;
由所述处理器生成用于对公钥服务器进行认证的第二部分;
由所述处理器生成非对称公钥和相应的非对称私钥;
由所述处理器将所述第一部分、所述第二部分和所述非对称公钥组合以形成新的增强公钥;
由所述处理器基于所述非对称公钥的大小对所述增强公钥进行归一化。
2.根据权利要求1所述的方法,其中
生成所述第一部分的步骤进一步包括:
由所述处理器基于随机数发生器生成账户确认码;
由所述处理器基于由该处理器使用所述账户确认码对该账户确认码的加密而生成第一加密账户确认码;以及
由所述处理器基于由该处理器使用唯一客户密钥对所述账户确认码的加密而生成第二加密账户确认码;并且其中
将所述第一部分组合的步骤进一步包括:
由所述处理器将所述第一加密账户确认码和所述第二加密账户确认码组合。
3.根据权利要求1至2中任一项所述的方法,其中
生成所述第二部分的步骤进一步包括:
由所述处理器基于随机数发生器生成服务器认证码;
由所述处理器基于由该处理器使用所述账户确认码对所述服务器认证码的加密而生成第一加密服务器认证码;以及
由所述处理器基于由该处理器使用唯一客户密钥对所述服务器认证码的加密而生成第二加密服务器认证码;并且其中
将所述第二部分组合的步骤进一步包括:
由所述处理器将所述第一加密服务器认证码和所述第二服务器认证码组合。
4.根据权利要求1至3中任一项所述的方法,所述方法进一步包括:
由所述处理器将与客户账户相关联的账户凭证添加到所述新的增强公钥。
5.根据权利要求4所述的方法,所述方法进一步包括:
在所述存储器中维持与所述账户凭证相关联的唯一客户密钥;
由所述处理器通过使用所述唯一客户密钥对所述非对称私钥进行加密而生成加密非对称私钥;
由所述处理器将所述加密非对称私钥添加到所述新的增强公钥。
6.根据权利要求1至5中任一项所述的方法,其中,所述非对称公钥具有密钥大小的大小,并且其中,归一化的步骤进一步包括:
由所述处理器将所述新的增强公钥划分为具有等于所述密钥大小的长度的多个行,所述多个行中的一行包括所述非对称公钥;
由所述处理器基于所述多个行确定调整行,该调整行具有等于所述密钥大小的大小;并且
由所述处理器将所述调整行添加到所述新的增强公钥。
7.根据权利要求6所述的方法,所述方法进一步包括:
通过所述通信接口从公钥服务器接收当前增强公钥;
由所述处理器从所述当前增强公钥中提取所述当前增强公钥的用于对所述客户账户进行验证的第一部分并使用所述唯一客户密钥对所述第一部分进行解密;以及
通过所述通信接口将所述当前增强公钥的用于对所述客户账户进行验证的经解密的所述第一部分连同所述新的增强公钥一起发送到所述公钥服务器。
8.根据权利要求7所述的方法,所述方法进一步包括:
通过所述通信接口从所述公钥服务器接收用于对所述公钥服务器进行认证的码;
从所述当前增强公钥中提取所述当前增强公钥的用于对所述公钥服务器进行认证的第二部分并使用所述唯一客户密钥对所述第二部分进行解密;以及
当用于对公钥服务器进行认证的码与所述当前增强公钥的用于对公钥服务器进行认证的经解密的部分不匹配时,确定所述公钥服务器是不可信的。
9.一种用于确保系统通信安全而由公钥服务器提供接收增强公钥的方法,该公钥服务器具有可操作地连接至存储器和通信接口的处理器,该方法包括以下步骤:
在存储器中维持当前增强公钥;
通过所述通信接口将与客户账户相关联的该当前增强公钥发送到所述客户账户;
通过所述通信接口和与所述客户账户相关联的新的增强公钥一起接收所述当前增强公钥的用于对所述客户账户进行验证的经解密的第一部分;
由所述处理器从所述当前增强公钥中提取所述当前增强公钥的用于对所述客户账户进行验证的第二部分并使用所接收的所述当前增强公钥的用于对所述客户账户进行验证的经解密的第一部分对所述第二部分进行解密;以及
当所接收的所述当前增强公钥的用于对客户账户进行验证的经解密的第一部分与所述当前增强公钥的用于对客户账户进行验证的经解密的第二部分相匹配时,在所述存储器中缓存所述新的增强公钥。
10.根据权利要求9所述的方法,所述方法进一步包括:
由所述处理器从所述当前增强公钥中提取所述当前增强公钥的用于对所述公钥服务器进行认证的第三部分并使用所接收的所述当前增强公钥的用于对所述客户账户进行验证的经解密的第一部分对所述第三部分进行解密;以及
通过所述通信接口发送所述当前增强公钥的用于对所述公钥服务器进行认证的经解密的第三部分。
11.根据权利要求9至10中任一项所述的方法,所述方法进一步包括:
通过所述通信接口从第二客户账户接收针对与所述客户账户相关联的一个增强公钥的请求;以及
响应于所述请求通过所述通信接口提供所述新的增强公钥;以及
响应于来自任何公共账户的进一步请求而使得所述新的公钥不可用于发送。
12.一种在具有处理器和可操作地连接到该处理器的存储器的第一安全通信终端接收安全通信的方法,该方法包括以下步骤:
维持与第一客户账户的关联;
从第二安全通信终端从第二客户账户接收消息;
从所述消息中提取密钥标识符;
基于包含在所述消息中的所述密钥标识符获得共享对称密钥,所述共享对称密钥和所述密钥标识符先前由所述第一客户账户生成并被包含作为发送到所述第二客户账户的先前消息的一部分;
使用所述共享对称密钥对所述消息的第一部分进行解密以获得消息密钥;以及
使用所述消息密钥对所述消息的至少一部分进行解密。
13.根据权利要求13所述的方法,其中,对所述消息的所述第一部分进行解密的步骤进一步包括:
使用所述第一客户账户的私钥对所述消息的所述第一部分进行解密。
14.根据权利要求14所述的方法,所述方法进一步包括:
从所述消息中提取加密增强公钥;
使用共享对称密钥对所述增强公钥进行解密以获得增强公钥;以及
基于所述增强公钥获得所述私钥。
15.根据权利要求14所述的方法,其中,获得所述私钥的步骤进一步包括:
从所述增强公钥中提取所述私钥。
16.根据权利要求14至15中任一项所述的方法,其中,所述增强公钥对于所述消息是唯一的。
17.根据权利要求13至17中任一项所述的方法,所述方法进一步包括:
在所述存储器中维持针对所述第一客户账户的唯一客户密钥;以及
使用所述唯一客户密钥对所述密钥标识符进行解密。
18.根据权利要求13至18中任一项所述的方法,其中,所述消息密钥对于所述消息是唯一的。
19.根据权利要求13至19中任一项所述的方法,其中,所述消息进一步包括加密密钥对,该加密密钥对包括第二客户账户共享密钥和相应的第二客户账户密钥标识符,所述加密密钥对由所述第二客户账户生成以用于由所述第一客户账户来加密要发送到所述第二客户账户的后续消息。
20.一种在具有处理器和可操作地连接到该处理器的存储器的第一安全通信终端发送安全通信的方法,该方法包括以下步骤:
维持与第一客户账户的关联;
从第二客户账户接收先前消息;
从所述先前消息中提取先前由所述第二客户账户生成的先前共享密钥和先前共享密钥标识符;
生成消息密钥并使用所述消息密钥对消息内容进行加密;
使用所述先前共享密钥对所述消息密钥进行加密;
将经加密的消息密钥、经加密的消息内容和所述先前共享密钥标识符组合以形成新消息;以及
将所述新消息发送到与所述第二客户账户相关联的第二安全通信终端。
21.根据权利要求21所述的方法,其中,对所述消息的所述第一部分进行解密进一步包括:
使用所述第二客户账户的公钥对所述消息密钥进行加密。
22.根据权利要求22所述的方法,其中,所述公钥是增强公钥,所述方法进一步包括:
从公钥服务器接收所述增强公钥;
使用所述先前共享密钥加密所接收的增强公钥;以及
将经加密的增强公钥服务器添加到所述新消息。
23.根据权利要求23所述的方法,其中,所接收的增强公钥对于所述新消息是唯一的。
24.根据权利要求21至24中任一项所述的方法,其中,所述消息密钥对于所述新消息是唯一的。
25.根据权利要求21至25中任一项所述的方法,所述方法进一步包括:
生成包含下一共享密钥和相应的下一密钥标识符的加密密钥对,该加密密钥对用于对要由所述第二客户账户发送到所述第一客户账户的后续消息进行加密;以及
将所述加密密钥对添加到所述新消息。
26.根据权利要求26所述的方法,所述方法进一步包括:
在所述存储器中维持所述第一客户账户的唯一客户密钥;以及
使用所述唯一客户密钥对所述下一密钥标识符进行加密。
27.一种被构造成执行根据权利要求1至9和13至27中任一项所述的方法的安全通信设备。
28.一种被构造成执行权利要求10至12中任一项所述的方法的公钥服务器。