CN100499641C - 实现增强型传输层安全协议的系统和方法 - Google Patents
实现增强型传输层安全协议的系统和方法 Download PDFInfo
- Publication number
- CN100499641C CN100499641C CNB018146414A CN01814641A CN100499641C CN 100499641 C CN100499641 C CN 100499641C CN B018146414 A CNB018146414 A CN B018146414A CN 01814641 A CN01814641 A CN 01814641A CN 100499641 C CN100499641 C CN 100499641C
- Authority
- CN
- China
- Prior art keywords
- small routine
- server
- service
- transmission
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00459—Details relating to mailpieces in a franking system
- G07B17/00467—Transporting mailpieces
- G07B2017/00491—Mail/envelope/insert handling system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Abstract
提供一种系统和方法,其用于实现增强型传输层安全(ETLS)协议。该系统包括主服务器,ETLS服务小程序和ETLS软件模块。主服务器在计算机网络上操作,并被配置为使用非专有安全协议来通过计算机网络进行通信。ETLS服务小程序也在计算机网络上操作,并被安全地耦连至主服务器。ETLS服务小程序被配置,以便使用ETLS安全协议来通过计算机网络进行通信。在移动式装置上操作ETLS软件模块,并将它配置为使用非专有安全协议或者ETLS安全协议来通过计算机网络进行通信。在操作上,ETLS软件模块最初是使用非专有安全协议,通过计算机网络联系服务器,然后使用ETLS安全协议,经过ETLS服务小程序联系服务器。
Description
技术领域
本发明一般涉及计算机网络安全协议领域。更具体地说,本发明提供一种增强型传输层安全(“ETLS”)协议,它特别适用于移动式通信装置,例如个人数字助理(掌上型电脑),蜂窝式电话,和无线双向电子邮件通信装置(以后统称为“移动式装置”)。
背景技术
为建立至计算机网络例如因特网的安全连接所用的安全协议,是已知的。至因特网主机的安全连接常用的安全协议,是传输层安全(“TLS”)协议,它以前也被称为安全套接字层(“SSL”)协议。
图1是信号流程图10,表示客户机12和因特网服务器14之间,利用TLS协议建立安全连接的常用基本步骤。在步骤16中,原始数据报被从客户机12发送至服务器14,以建立联系,并识别客户机12能支持的算法或语言。一旦原始数据报被接收,服务器14通常接受连接,并回应以数据报,它标识服务器将支持的算法或语言(步骤18)。除此之外,从服务器14发出的回应数据报通常在验证服务器14身份的数字证书证书中包含公钥。数字证书一般是从受委托的第三者如VeriSignTM或某个别的证书授权者取得,它检验公钥属于服务器14。另外,公钥一般有仅由服务器14保留的连带的私钥,因而,以公钥加密的数据仅能用私钥解密。
在步骤20和22中,客户机12与服务器14商订一个会话密钥。会话密钥通常是由客户机12产生的随机数,该随机数仅用于客户机12和服务器14之间的一次提取应答操作。随机的会话密钥通常首先用来加密某个随机数据,作为“密钥验证”。然后,使用公钥将会话密钥和该数据加密,并在步骤20中发送至服务器。会话密钥和“密钥验证”数据由服务器用它的私钥解密。再用会话密钥进一步将“密钥验证”数据解密。然后在步骤22中,服务器一般向客户机12返送“密钥验证”,以证实它已正确地收到并解密会话密钥。
一旦TLS公钥已被交换,和会话密钥已被商订,便建立安全TLS套接字,以及可安全地在客户机12和服务器14之间用会话密钥发送应用数据(步骤24)。利用客户和服务器之间的这种四遍沟通(),开始每次通信,TLS协议保证服务器的可靠性和传输的原始性。为说明原始性的重要,举例如,如果一个用户已通过客户机与银行服务器联系,从帐户电子转帐货币,那么,四遍TLS沟通能在通信被拦截的情况下,防止同一客户机或别的客户机通过“重放”同一加密消息,重复转帐操作。
虽然TLS协议提供与服务器的安全连接,但这个协议不很适合于移动式应用,因为在TLS四遍沟通中传送的数据报,一般包含相当大量的、不能通过无线网络快速传送的数据。因此,为了减少通过无线网络传送的数据报的数量,移动式应用普遍利用无线应用协议(“WAP”),建立与因特网服务器的安全连接。
图2是利用无线应用协议(WAP)的典型移动式通信系统30的方框图。在这个系统30中,用无线传输层安全(WTLS)协议编码来自定址到服务器34的移动式装置32的服务请求,,并经过无线网关36发送至WAP网关38,其一般起因特网的代理的作用。无线网关和WAP网关可以在一起或者不在一起。一般地,WAP网关38有它自己的数字证书,由被委托的第三者签以标记,移动式装置32利用第三者证实证书的可靠性。一旦接收到WTLS加密的服务请求,WAP网关38一般通过因特网,建立与服务器34的TLS连接。然后,服务请求由WAP网关38解密,用TLS协议重新加密,并通过因特网发送至服务器34。为回应该服务请求,服务器34一般向WAP网关38发送TLS加密的数据,然后数据被解密并用WTLS协议重新加密,并发送至移动式装置32。虽然系统30比用于移动式应用的TLS协议快,但它在安全链路上留有空隙,因此当数据以明文格式出现在WAP网关38上时,有被拦截的风险。
发明内容
提供一种系统和方法,其用于实现增强型传输层安全(ETLS)协议。该系统包括主服务器,ETLS服务小程序(servlet)和ETLS软件模块。主服务器在计算机网络上操作,并被配置为使用非专有安全协议在计算机网络上进行通信。ETLS服务小程序也在计算机网络上操作,并安全地耦连至主服务器。将ETLS服务小程序配置为使用ETLS安全协议在计算机网络上进行通信。ETLS软件模块在移动式装置上操作,并被配置为使用非专有安全协议或者ETLS安全协议,在计算机网络上进行通信。在操作上,ETLS软件模块最初是使用非专有安全协议,通过计算机网络联系(contact)服务器,然后使用ETLS安全协议,经过ETLS服务小程序联系服务器。
附图说明
图1是信号流程图,表示客户机和因特网服务器之间使用TLS协议建立安全连接所常用的基本步骤;
图2是描述使用无线应用协议(WAP)的典型移动通信系统的方框图;
图3是信号流程图,表示客户机和服务器之间使用增强型传输层安全(“ETLS”)协议的无线通信;
图4是ETLS系统示例方框图,表示移动式装置和HTTP服务器之间使用ETLS协议的安全连接;和
图5是移动式装置和网络服务器之间使用ETLS协议进行安全通信的方法的示例流程图。
具体实施方式
现在参考余下的附图,图3是信号流程图40,表示客户机42和服务器44之间使用增强型传输层安全(“ETLS”)协议的无线通信。客户机42可以是在能够进行无线访问计算机网络的移动装置上操作的任何系统。服务器44最好包括主服务器,例如HTTP服务器46,和ETLS服务小程序48,两者都是在计算机网络,例如因特网上操作。下面参考图4详细讨论的ETLS服务小程序48,最好是在HTTP服务器46上操作的JAVATM服务小程序,但也可以是某个别的服务器方的结构,例如CGI脚本。ETLS服务小程序48最好安装在有自己的统一资源地址(URL)的HTTP服务器46上,该ETLS服务小程序48与ETLS公钥一起,被加至常规HTTP应答报头。
在步骤50中,客户机42试着开通与服务器44的安全连接。此时,客户机42还未检测ETLS服务小程序48,因此使用非专有安全协议例如TLS协议。TLS四遍沟通,即参考图1讨论过的,是在步骤50—56中执行的。在步骤50和52中,客户机42和服务器44确定哪种操作或语言是它们共有的,并且,数字证书中的TLS公钥被传送至客户机42。在步骤54和56中,商订一个随机的TLS会话密钥。然后,在步骤58中,使用TLS会话密钥加密来自客户机42的初始的服务请求,,并发送至HTTP服务器46。HTTP服务器46对服务请求进行解密,并在步骤60中发送它的初始的加密响应。除已加密的数据以外,来自HTTP服务器46的初始的响应60还包括带有ETLS服务小程序48的URL的常规HTTP应答报头和ETLS公钥。ETLS公钥最好由ETLS服务小程序48产生,并有仅由ETLS服务小程序48保留的连带的ETLS私钥。客户机42最好将ETLS公钥和相关的URL存入移动式装置的存储单元中。此后,每当客户机42与服务器44建立安全连接时,使用ETLS公钥和相关的URL经ETLS服务小程序48通信。
步骤62—68说明在ETLS公钥和相关的URL被客户机42收并存储之后,在客户机42与服务器44之间的双向安全ETLS传输。为使用ETLS协议建立安全连接,客户机42首先建立随机的会话密钥,并用从常规HTTP应答报头接收到的ETLS公钥将它加密。客户机42然后使用ETLS会话密钥,加密构成了向服务器44的服务请求的大量数据,也加密数字时间戳。在步骤62中,客户机42最好以包括加密的会话密钥、服务请求和时间戳的HTTP POST请求的形式,向ETLS服务小程序发送数据。一旦ETLS服务小程序48收到HTTP POST请求之后,该请求被解密,并与连接日志比较,以证实传输是原始的。这时,通信安全已经确立,ETLS服务小程序48可以和HTTP服务器46执行提取应答操作。然后,一旦来自HTTP服务器46的应答已被返回,ETLS服务小程序48用ETLS会话密钥加密应答,并在步骤64中将它发送至客户机42。时间戳在下面参考图4对包括数字时间戳和连接日志操作的ETLS协议作详细讨论。
步骤66和68说明客户机42与服务器44之间的每次相继的通信可用上面参考步骤62和64所述的相同两步ETLS沟通来进行。如此,ETLS协议使得移动装置的英特网服务器之间能够进行安全通信,而不需要通常有关非专有安全协议例如TLS协议的冗长、多次的传输。
图4是ETLS系统70的示例方块图,表示移动式装置72和主服务器74之间使用ETLS协议的安全连接。交叉参考图3和4,图4所示的ETLS系统70说明图3步骤62—68中所构成的ETLS连接和图3步骤50—60中所示的初始连接之后。ETLS系统70包括移动式装置72,主服务器74,无线网关76,ETLS服务小程序78和连接日志80。主服务器74,ETLS服务小程序78和连接日志80配置在计算机网络例如英特网上,最好被保护在共同的防火墙82后面。最好使用任何已知的为移动式装置设计的万维网浏览器型软件通过无线网关76进行移动式装置72与计算机网络之间的通信。移动式装置72最好也包括ETLS软件模块71,它被配置为使用ETLS协议,或者使用非专有安全协议例如TLS协议与计算机网络建立安全连接。
为使用ETLS协议向主服务器74发送服务请求,移动式装置72最好建立用来加密服务请求的随机的ETLS会话密钥,并且利用为ETLS服务小程序78存储的ETLS公钥来加密会话密钥。此外,为防备“重放”通信,电子时间戳也最好由移动式装置产生,并使用ETLS会话密钥加密。然后,将已加密的服务请求、会话密钥和时间戳全部包装在HTTP
POST请求,或者某种别的适当传送手法机制中,并通过无线网关76向ETLS服务小程序78发送。
当ETLS服务小程序78收到HTTP POST请求时,ETLS会话密钥最好用由ETLS服务小程序78保留的ETLS私钥来解密。然后,ETLS会话密钥被ETLS服务小程序78用来解密服务请求和时间戳。更好的是,当移动式装置72首次使用非专用安全协议联系主服务器74时,证书由移动式装置72接收并存储来自主服务器74的数字证书。因此,主服务器74的身份就已被检验了。但是,链路还不是安全的,因为还不曾用多遍沟通例如TLS沟通来商订ETLS会话密钥,并证实传输是原始的。因此,ETLS服务小程序78最好通过已解密的服务请求和时间戳与连接日志80中所存的先前传输比较,防备“重放”传输。由此,如果ETLS服务小程序78接收到一个已加密的HTTP POST请求,该请求包含服务请求和与存储在通信日志中的一个先前传输的时间戳相同的时间戳,那么,ETLS服务小程序78将识别出这个服务请求不是原始通信,并最好忽略这个服务请求。在一个优选实施例中,通信日志存储一个预定时间周期内由ETLS服务小程序78接收的所有服务请求和时间戳。可选地,ETLS服务小程序78可以仅保存时间戳或指示传输的原始性的一些其它的数据例如序号。
一旦HTTP POST请求已由ETLS服务小程序78解密,并与连接日志80中存储的先前传输相比较,移动式装置和ETLS服务小程序78之间的安全链路便已确立。然后,可以从ETLS服务小程序78向主服务器74发送已解密的服务请求,主服务器74执行所希望的操作,并向ETLS服务小程序78返回应答。因为ETLS服务小程序78和主服务器74在共同防火墙82后面操作,所以,可利用标准传输协议如HTTP安全地传输非加密的数据。一旦由ETLS服务小程序78接收来自主服务器74应答,就用ETLS会话密钥加密该应答,并通过无线网关76向移动式装置72发送。在移动式装置72上,使用会话密钥解密该应答。然后,如果需要一个新的服务请求,就可由移动式装置72产生新的会话密钥,并重复上述过程。
图5是移动式装置和网络服务器之间使用ETLS协议进行安全通信的方法示例的流程图。该方法从移动式装置和在例如因特网的计算机网络上操作的网络服务器之间建立通信的步骤92开始。一旦已经建立与计算机网络的通信,移动式装置最好在步骤100访问内存储器单元,以确定是否已事先为特定的网络保存了ETLS公钥和ETLS服务小程序URL。如果是,那么移动式装置识别出可以使用与服务器有关的ETLS服务小程序操作而建立安全链路,并且,在步骤108开始进行ETLS沟通。但是,如果移动式装置没有为服务器存储ETLS URL和公钥,那么,最好利用非专有安全协议例如TLS协议,与服务器开通安全套接字(步骤102)。在与服务器商订好安全套接字之后,移动式装置就可以向可以回应以加密TLS应答的服务器发送已加密的服务请求(步骤104)。如果服务器配备有ETLS服务小程序(步骤106),那么,由服务器在步骤104中发送的TLS应答最好包括常规HTTP应答报头,其标识步骤107中存储在装置中的ETLS服务小程序的ETLS公钥和相关的URL。然后,装置在步骤109等待下一次连接的请求。但是,如果没有配备ETLS服务小程序(步骤106),装置最好等待直至在步骤109装置请求下一次连接。
在步骤108,移动式装置最好通过产生会话密钥和使用先前从服务器接收的在常规HTTP应答报头中的ETLS公钥对它加密,开始进行ETLS沟通。在步骤110,使用会话密钥加密来自移动式装置的服务请求以及数字时间戳两者(步骤110)。数字时间戳最好包括传输发生的时间和日期。然后,在步骤112,最好以HTTP POST请求或一些其它的合适的传送方法向ETLS发送已加密的服务请求、时间戳和会话密钥。当ETLS服务小程序接收到HTTP POST请求时,由使用ETLS服务小程序唯一保留的私钥来解密ETLS会话密钥服务小程序,然后,使用已解密的会话密钥来解密服务请求和数字时间戳(步骤114)。在步骤116,将数字时间戳与存储在服务小程序由ETLS服务小程序保留的连接日志中的先前传输的时间戳相比较。如果该时间戳与存储在连接日志中的先前传输的时间戳匹配,传输就不是原始的(步骤118),最好ETLS服务小程序忽略该服务请求(步骤120)。但是,如果传输是原始的(步骤118),则数字时间戳就被保存到连接日志中(步骤122),以防止在随后的通信中传输被“重放”。在另一实施例中,可将时间戳和服务请求两者存储在连接日志中,并与HTTP POST请求比较,或者,可以使用一些其它的方法来代替时间戳,以便判断请求是原始的,例如使用序号。
在步骤124,已经建立安全链路,在ETLS服务小程序和服务器之间进行提取应答的操作,以执行来自移动式装置的服务请求中表示的功能。然后,在步骤126,使用会话密钥由ETLS服务小程序加密来自服务器的应答服务小程序,并向移动式装置发送该应答。在步骤128,移动式装置解密该应答,然后,在步骤109,新的服务请求可由移动式装置发出。
这里所述的实施例,是含有与权利要求中陈述的本发明的元件相应的元件的结构、系统或方法的例子。所述内容使得本领域的普通技术人员能够制成和使用实施例,它们含有与权利要求中陈述的本发明的元件类似的代换元件。因此,本发明所希望的范围包括与权利要求的文字语言相同的其他结构、系统或方法,并进一步包括与权利要求的文字语言无实质性差异的其他结构、系统或方法。
Claims (37)
1.一种与在计算机网络上操作的服务器安全通信以防止重放通信的方法,其特征在于所述方法包括步骤:
提供与服务器安全通信的服务小程序;
提供由服务小程序保留的连接日志,其存储一个或多个由服务小程序接收的传输;
由服务小程序接收已加密的传输,所述已加密的传输是从移动装置经过与计算机网络耦连的无线网关发送到服务小程序的;
由服务小程序解密已加密的传输,产生已解密的传输;
在服务小程序比较已解密的传输与存储在连接日志中的一个或多个传输,确定已解密的传输是原始的还是重放的来防止重放通信被传输到服务器;和
如果已解密的传输是原始的,则从服务小程序向服务器传送已解密的传输。
2.根据权利要求1所述的方法,其特征在于服务小程序安装在服务器上。
3.根据权利要求1所述的方法,其特征在于计算机网络是因特网。
4.根据权利要求1所述的方法,其特征在于使用防火墙保护在计算机网络内的服务器和服务小程序。
5.根据权利要求1所述的方法,其特征在于服务小程序是JAVA服务小程序。
6.根据权利要求1所述的方法,其特征在于服务小程序是CGI脚本。
7.根据权利要求1所述的方法,其特征在于服务器是HTTP服务器。
8.根据权利要求1所述的方法,其特征在于所述方法包括附加步骤:
在连接日志中存储已解密的传输。
9.根据权利要求1所述的方法,其特征在于:
存储在连接日志中的一个或多个传输分别包括存储的时间戳;
已解密的传输包括当前的时间戳;和
将当前的时间戳与每一存储的时间戳比较,以判断已解密的传输是否是原始的。
10.根据权利要求1所述的方法,其特征在于存储在连接日志中的一个或多个传输分别包括存储的时间戳和存储的服务请求;
已解密的传输包括当前的时间戳和当前的服务请求;和
将当前时间戳和当前服务请求与每一个存储的时间戳和存储的服务请求比较,以判断已解密的传输是否是原始的。
11.根据权利要求1所述的方法,其特征在于服务小程序在计算机网络上有唯一位置,以及所述的方法包括附加步骤:
从服务器接收服务小程序的唯一位置;
其中,使用服务小程序的唯一位置,以通过计算机网络向服务小程序发送已加密的传输。
12.根据权利要求11所述的方法,其特征在于唯一位置是统一资源地址(URL)。
13.根据权利要求11所述的方法,其特征在于以常规HTTP应答报头的形式从服务器接收唯一位置。
14.根据权利要求1所述的方法,其特征在于服务小程序保留私钥,以及所述方法包括附加步骤:
接收公钥;和
用公钥加密已加密的传输;
其中,服务小程序用私钥解密已加密的传输。
15.根据权利要求14所述的方法,其特征在于:
以常规HTTP应答报头的形式从服务器接收公钥。
16.根据权利要求1所述的方法,其特征在于服务小程序保留私钥,以及所述方法包括附加步骤:
接收公钥;
产生会话密钥;
用会话密钥加密服务请求;
用公钥加密会话密钥;和
封装已加密的传输中的已加密的会话密钥和已加密的服务请求;
其中,服务小程序用私钥解密会话密钥,用已解密的会话密钥解密服务请求。
17.根据权利要求16所述的方法,其特征在于存储在连接日志中的一个或多个传输分别包括存储的时间戳,以及所述方法包括附加步骤:
产生当前时间戳;和
用会话密钥加密当前时间戳;
其中,已加密的当前时间戳与已加密的会话密钥和已加密的服务请求一起被封装在已加密的传输中,其中,当前的时间戳由服务小程序解密,并被与每一个存储的时间戳比较,以判断已解密的传输是否是原始的。
18.根据权利要求16所述的方法,其特征在于会话密钥是一个随机数字。
19.根据权利要求16所述的方法,其特征在于以常规HTTP应答报头的形式从服务器接收公钥。
20.根据权利要求16所述的方法,其特征在于以HTTP POST请求的形式将已加密的传输发送至服务小程序。
21.根据权利要求1所述的方法,其特征在于包括附加步骤:
由服务器产生对已解密的传输的应答;
从服务器向服务小程序传送应答;
由服务小程序加密应答;
通过计算机网络,从服务小程序接收已加密的应答。
22.根据权利要求1所述的方法,其特征在于包括附加步骤:
使用非专有安全协议,从服务器检索数字证书。
23.根据权利要求22所述的方法,其特征在于非专有安全协议是传输层安全(TLS)协议。
24.根据权利要求1所述的方法,其特征在于在服务器和移动式装置之间进行安全通信。
25.一种安全服务器,其特征在于包括:
在计算机网络上操作的主服务器;
安全服务小程序,其在计算机网络上操作并安全地与主服务器耦连,并被配置,以便对经过与计算机网络耦连的无线网关从移动装置接收的已加密的服务请求进行解密,以产生已解密的服务请求;和
与安全服务小程序耦连的连接日志,其存储由安全服务小程序接收到的一个或多个先前的服务请求;
其中,安全服务小程序通过将已解密的服务请求与存储在连接日志中的一个或多个先前的服务请求比较,防止在服务小程序接收到的重放通信被传输到主服务器,然后向主服务器传送已解密的服务请求。
26.根据权利要求25所述的安全服务器,其特征在于安全服务小程序安装在主服务器上。
27.根据权利要求25所述的安全服务器,其特征在于安全服务小程序被配置,以对使用专有安全协议加密的第一服务请求类型解密,主服务器被配置,以对使用非专有安全协议加密的第二服务请求类型解密。
28.根据权利要求27所述的安全服务器,其特征在于非专有安全协议是TLS协议。
29.根据权利要求27所述的安全服务器,其特征在于安全服务小程序保留专用于专有安全协议的公钥—私钥对,以及主服务器保留专用于非专有安全协议的公钥—私钥对。
30.根据权利要求25所述的安全服务器,其特征在于计算机网络是因特网。
31.根据权利要求25所述的安全服务器,其特征在于计算机网络是内部网。
32.根据权利要求25所述的安全服务器,其特征在于主服务器和安全服务小程序在计算机网络内受到防火墙的保护。
33.根据权利要求32所述的安全服务器,其特征在于安全服务小程序使用HTTP连接,耦连至主服务器。
34.根据权利要求25所述的安全服务器,其特征在于安全服务小程序是JAVA服务小程序。
35.根据权利要求25所述的安全服务器,其特征在于主服务器是HTTP服务器。
36.根据权利要求25所述的安全服务器,其特征在于已解密的服务请求包括当前的时间戳;
一个或多个先前的服务请求分别包括存储的时间戳;和
安全服务小程序通过将当前的时间戳与各个存储的时间戳比较,验证已加密的服务请求是原始的。
37.根据权利要求25所述的安全服务器,其特征在于给已解密的服务请求分配当前序号;
一个或多个先前的服务请求各包括一个先前序号;和
安全服务小程序通过将当前序号与各先前序号比较,验证已加密的服务请求是原始的。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US22794600P | 2000-08-25 | 2000-08-25 | |
| US60/227,946 | 2000-08-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1449617A CN1449617A (zh) | 2003-10-15 |
| CN100499641C true CN100499641C (zh) | 2009-06-10 |
Family
ID=22855100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB018146414A Expired - Fee Related CN100499641C (zh) | 2000-08-25 | 2001-08-24 | 实现增强型传输层安全协议的系统和方法 |
Country Status (10)
| Country | Link |
|---|---|
| US (3) | US7631180B2 (zh) |
| EP (2) | EP1314294B1 (zh) |
| CN (1) | CN100499641C (zh) |
| AT (2) | ATE307452T1 (zh) |
| AU (1) | AU2001287427A1 (zh) |
| BR (1) | BR0113510A (zh) |
| CA (1) | CA2420252C (zh) |
| DE (2) | DE60140014D1 (zh) |
| HK (2) | HK1057434A1 (zh) |
| WO (1) | WO2002017587A2 (zh) |
Families Citing this family (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6181694B1 (en) | 1998-04-03 | 2001-01-30 | Vertical Networks, Inc. | Systems and methods for multiple mode voice and data communciations using intelligently bridged TDM and packet buses |
| US6389009B1 (en) | 2000-12-28 | 2002-05-14 | Vertical Networks, Inc. | Systems and methods for multiple mode voice and data communications using intelligently bridged TDM and packet buses |
| AUPQ439299A0 (en) | 1999-12-01 | 1999-12-23 | Silverbrook Research Pty Ltd | Interface system |
| US7792298B2 (en) * | 1999-06-30 | 2010-09-07 | Silverbrook Research Pty Ltd | Method of using a mobile device to authenticate a printed token and output an image associated with the token |
| WO2002017587A2 (en) | 2000-08-25 | 2002-02-28 | Research In Motion Limited | System and method for implementing an enhanced transport layer security protocol |
| EP1626324B1 (en) | 2000-09-21 | 2012-04-11 | Research In Motion Limited | Software code signing system and method |
| US8121296B2 (en) | 2001-03-28 | 2012-02-21 | Qualcomm Incorporated | Method and apparatus for security in a data processing system |
| US8077679B2 (en) | 2001-03-28 | 2011-12-13 | Qualcomm Incorporated | Method and apparatus for providing protocol options in a wireless communication system |
| US7352868B2 (en) | 2001-10-09 | 2008-04-01 | Philip Hawkes | Method and apparatus for security in a data processing system |
| US7649829B2 (en) * | 2001-10-12 | 2010-01-19 | Qualcomm Incorporated | Method and system for reduction of decoding complexity in a communication system |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US7822816B2 (en) * | 2002-08-19 | 2010-10-26 | Macrosolve, Inc. | System and method for data management |
| US7739365B2 (en) | 2002-12-19 | 2010-06-15 | Converged Data Solutions, Inc. | Methods for providing a report database for a plurality of localized devices using an abstraction layer and atomic error handling |
| US7908352B2 (en) | 2002-12-19 | 2011-03-15 | Converged Data Solutions, Inc. | Methods for managing a plurality of localized devices in geographically diverse locations |
| US7599655B2 (en) | 2003-01-02 | 2009-10-06 | Qualcomm Incorporated | Method and apparatus for broadcast services in a communication system |
| US8098818B2 (en) | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
| US8718279B2 (en) | 2003-07-08 | 2014-05-06 | Qualcomm Incorporated | Apparatus and method for a secure broadcast system |
| US8724803B2 (en) | 2003-09-02 | 2014-05-13 | Qualcomm Incorporated | Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system |
| US7346168B2 (en) | 2003-09-29 | 2008-03-18 | Avaya Technology Corp. | Method and apparatus for secure wireless delivery of converged services |
| PL1743449T3 (pl) * | 2004-05-03 | 2013-12-31 | Nokia Technologies Oy | Obsługa tożsamości w zaufanej domenie sieci IP |
| US7634572B2 (en) * | 2004-12-22 | 2009-12-15 | Slipstream Data Inc. | Browser-plugin based method for advanced HTTPS data processing |
| US20060200566A1 (en) * | 2005-03-07 | 2006-09-07 | Ziebarth Wayne W | Software proxy for securing web application business logic |
| US7284921B2 (en) | 2005-05-09 | 2007-10-23 | Silverbrook Research Pty Ltd | Mobile device with first and second optical pathways |
| JP5092288B2 (ja) * | 2005-09-02 | 2012-12-05 | 三菱化学株式会社 | 接着性樹脂組成物及び積層体 |
| US7797545B2 (en) * | 2005-09-29 | 2010-09-14 | Research In Motion Limited | System and method for registering entities for code signing services |
| US8340289B2 (en) * | 2005-09-29 | 2012-12-25 | Research In Motion Limited | System and method for providing an indication of randomness quality of random number data generated by a random data service |
| CN101052034A (zh) * | 2006-04-19 | 2007-10-10 | 华为技术有限公司 | 传输网络事件日志协议报文的方法和系统 |
| US8086873B2 (en) * | 2006-06-05 | 2011-12-27 | Lenovo (Singapore) Pte. Ltd. | Method for controlling file access on computer systems |
| EP2035948B1 (en) * | 2006-06-27 | 2016-04-13 | Waterfall Security Solutions Ltd. | Unidirectional secure links from and to a security engine |
| IL177756A (en) * | 2006-08-29 | 2014-11-30 | Lior Frenkel | Encryption-based protection against attacks |
| US8225093B2 (en) * | 2006-12-05 | 2012-07-17 | Qualcomm Incorporated | Providing secure inter-application communication for a mobile operating environment |
| IL180020A (en) * | 2006-12-12 | 2013-03-24 | Waterfall Security Solutions Ltd | Encryption -and decryption-enabled interfaces |
| IL180748A (en) * | 2007-01-16 | 2013-03-24 | Waterfall Security Solutions Ltd | Secure archive |
| US8223205B2 (en) | 2007-10-24 | 2012-07-17 | Waterfall Solutions Ltd. | Secure implementation of network-based sensors |
| US8244879B2 (en) * | 2007-11-20 | 2012-08-14 | International Business Machines Corporation | Surreptitious web server bias towards desired browsers |
| US8275984B2 (en) * | 2008-12-15 | 2012-09-25 | Microsoft Corporation | TLS key and CGI session ID pairing |
| US9565558B2 (en) * | 2011-10-21 | 2017-02-07 | At&T Intellectual Property I, L.P. | Securing communications of a wireless access point and a mobile device |
| US9537899B2 (en) * | 2012-02-29 | 2017-01-03 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
| US9635037B2 (en) | 2012-09-06 | 2017-04-25 | Waterfall Security Solutions Ltd. | Remote control of secure installations |
| US9419975B2 (en) | 2013-04-22 | 2016-08-16 | Waterfall Security Solutions Ltd. | Bi-directional communication over a one-way link |
| WO2015026336A1 (en) * | 2013-08-21 | 2015-02-26 | Intel Corporation | Processing data privately in the cloud |
| US8745394B1 (en) * | 2013-08-22 | 2014-06-03 | Citibank, N.A. | Methods and systems for secure electronic communication |
| WO2016040186A1 (en) * | 2014-09-08 | 2016-03-17 | Good Technology Corporation | Shared lock state |
| IL235175A (en) | 2014-10-19 | 2017-08-31 | Frenkel Lior | Secure desktop remote control |
| CN105592329B (zh) * | 2014-11-25 | 2019-05-10 | 中国银联股份有限公司 | 基于智能操作系统机顶盒的安全支付方法以及装置 |
| US9628455B2 (en) * | 2014-12-09 | 2017-04-18 | Akamai Technologies, Inc. | Filtering TLS connection requests using TLS extension and federated TLS tickets |
| US9923719B2 (en) * | 2014-12-09 | 2018-03-20 | Cryptography Research, Inc. | Location aware cryptography |
| IL250010B (en) | 2016-02-14 | 2020-04-30 | Waterfall Security Solutions Ltd | Secure connection with protected facilities |
| US10243955B2 (en) * | 2016-07-14 | 2019-03-26 | GM Global Technology Operations LLC | Securely establishing time values at connected devices |
| EP3277011B1 (de) * | 2016-07-26 | 2021-09-08 | Volkswagen Aktiengesellschaft | Verfahren zum bereitstellen einer authentifizierten verbindung zwischen mindestens zwei kommunikationspartnern |
| US10320842B1 (en) * | 2017-03-24 | 2019-06-11 | Symantec Corporation | Securely sharing a transport layer security session with one or more trusted devices |
| US10581948B2 (en) | 2017-12-07 | 2020-03-03 | Akamai Technologies, Inc. | Client side cache visibility with TLS session tickets |
| CN108737377A (zh) * | 2018-04-17 | 2018-11-02 | 深圳市网心科技有限公司 | 数据保护方法、服务器及计算机可读存储介质 |
| US11019034B2 (en) | 2018-11-16 | 2021-05-25 | Akamai Technologies, Inc. | Systems and methods for proxying encrypted traffic to protect origin servers from internet threats |
| US11019100B2 (en) * | 2018-12-03 | 2021-05-25 | Citrix Systems, Inc. | Detecting attacks using handshake requests systems and methods |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5928323A (en) * | 1996-05-30 | 1999-07-27 | Sun Microsystems, Inc. | Apparatus and method for dynamically generating information with server-side software objects |
| US7287271B1 (en) * | 1997-04-08 | 2007-10-23 | Visto Corporation | System and method for enabling secure access to services in a computer network |
| US7366900B2 (en) * | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
| TW338865B (en) * | 1997-06-03 | 1998-08-21 | Philips Eloctronics N V | Authentication system |
| US6128738A (en) * | 1998-04-22 | 2000-10-03 | International Business Machines Corporation | Certificate based security in SNA data flows |
| EP1095492B1 (en) * | 1998-07-03 | 2004-04-07 | Nokia Corporation | Secure session connection set up based on the Wireless Application Protocol |
| US6665530B1 (en) * | 1998-07-31 | 2003-12-16 | Qualcomm Incorporated | System and method for preventing replay attacks in wireless communication |
| CA2341213C (en) | 1998-08-21 | 2009-05-26 | Visto Corporation | System and method for enabling secure access to services in a computer network |
| GB2341523B (en) * | 1998-09-12 | 2003-10-29 | Ibm | Apparatus and method for establishing communication in a computer network |
| US6868406B1 (en) * | 1999-10-18 | 2005-03-15 | Stamps.Com | Auditing method and system for an on-line value-bearing item printing system |
| US6678518B2 (en) * | 1999-12-09 | 2004-01-13 | Nokia Corporation | Dynamic content filter in a gateway |
| WO2001042966A2 (en) * | 1999-12-13 | 2001-06-14 | Novient, Inc. | Attribute and application synchronization in distributed network environment |
| IL135150A0 (en) * | 2000-03-17 | 2001-05-20 | Avner Geller | A method and a system for secured identification of user's identity |
| US6665721B1 (en) * | 2000-04-06 | 2003-12-16 | International Business Machines Corporation | Enabling a home network reverse web server proxy |
| US7275262B1 (en) * | 2000-05-25 | 2007-09-25 | Bull S.A. | Method and system architecture for secure communication between two entities connected to an internet network comprising a wireless transmission segment |
| US7043456B2 (en) * | 2000-06-05 | 2006-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Mobile electronic transaction personal proxy |
| WO2002017587A2 (en) | 2000-08-25 | 2002-02-28 | Research In Motion Limited | System and method for implementing an enhanced transport layer security protocol |
| US20020069273A1 (en) * | 2000-12-04 | 2002-06-06 | Stacy Bryant | System and process for administration of databases |
| US6865681B2 (en) * | 2000-12-29 | 2005-03-08 | Nokia Mobile Phones Ltd. | VoIP terminal security module, SIP stack with security manager, system and security methods |
-
2001
- 2001-08-24 WO PCT/CA2001/001216 patent/WO2002017587A2/en active IP Right Grant
- 2001-08-24 US US10/362,178 patent/US7631180B2/en not_active Expired - Fee Related
- 2001-08-24 AT AT01966883T patent/ATE307452T1/de not_active IP Right Cessation
- 2001-08-24 EP EP01966883A patent/EP1314294B1/en not_active Expired - Lifetime
- 2001-08-24 EP EP04028615A patent/EP1524815B1/en not_active Expired - Lifetime
- 2001-08-24 DE DE60140014T patent/DE60140014D1/de not_active Expired - Lifetime
- 2001-08-24 CN CNB018146414A patent/CN100499641C/zh not_active Expired - Fee Related
- 2001-08-24 AT AT04028615T patent/ATE443964T1/de not_active IP Right Cessation
- 2001-08-24 CA CA002420252A patent/CA2420252C/en not_active Expired - Fee Related
- 2001-08-24 BR BR0113510-4A patent/BR0113510A/pt not_active Application Discontinuation
- 2001-08-24 AU AU2001287427A patent/AU2001287427A1/en not_active Abandoned
- 2001-08-24 DE DE60114220T patent/DE60114220T2/de not_active Expired - Lifetime
-
2003
- 2003-11-28 HK HK03108732A patent/HK1057434A1/xx not_active IP Right Cessation
-
2005
- 2005-10-20 HK HK05109363A patent/HK1080310A1/xx not_active IP Right Cessation
-
2009
- 2009-12-07 US US12/632,432 patent/US8145896B2/en not_active Expired - Fee Related
-
2012
- 2012-02-22 US US13/402,039 patent/US8516242B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7631180B2 (en) | 2009-12-08 |
| ATE443964T1 (de) | 2009-10-15 |
| DE60114220D1 (de) | 2005-11-24 |
| WO2002017587A2 (en) | 2002-02-28 |
| DE60114220T2 (de) | 2006-07-27 |
| EP1524815B1 (en) | 2009-09-23 |
| BR0113510A (pt) | 2003-07-01 |
| HK1057434A1 (en) | 2004-04-02 |
| CA2420252A1 (en) | 2002-02-28 |
| WO2002017587A3 (en) | 2002-04-18 |
| US8145896B2 (en) | 2012-03-27 |
| ATE307452T1 (de) | 2005-11-15 |
| CN1449617A (zh) | 2003-10-15 |
| CA2420252C (en) | 2008-03-11 |
| EP1524815A1 (en) | 2005-04-20 |
| HK1080310A1 (en) | 2006-04-21 |
| US20100088504A1 (en) | 2010-04-08 |
| EP1314294B1 (en) | 2005-10-19 |
| US8516242B2 (en) | 2013-08-20 |
| EP1314294A2 (en) | 2003-05-28 |
| AU2001287427A1 (en) | 2002-03-04 |
| US20030159029A1 (en) | 2003-08-21 |
| US20120159150A1 (en) | 2012-06-21 |
| DE60140014D1 (de) | 2009-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100499641C (zh) | 实现增强型传输层安全协议的系统和方法 | |
| US5604807A (en) | System and scheme of cipher communication | |
| EP0998799B1 (en) | Security method and system for transmissions in telecommunication networks | |
| CN100452700C (zh) | 用于建立保密连接的存储卡和无线通信设备 | |
| JP4689815B2 (ja) | データ認証方法、メッセージ伝送方法及び分散型システム | |
| CN101247407B (zh) | 网络认证服务系统和方法 | |
| US6169805B1 (en) | System and method of operation for providing user's security on-demand over insecure networks | |
| TW380346B (en) | Secure handshake protocol | |
| CN1910882B (zh) | 保护数据的方法和系统、相关通信网络以及计算机程序产品 | |
| JPH07202882A (ja) | 通信方法 | |
| RU2008118495A (ru) | Способ и устройство для установления безопасной ассоциации | |
| CA2564909A1 (en) | Systems and methods to securely generate shared keys | |
| CA2561796A1 (en) | Key agreement and re-keying over a bidirectional communication path | |
| CN101742508A (zh) | 一种wapi终端与应用服务器传输文件的系统及方法 | |
| CN102315937A (zh) | 无线通信装置和服务器之间数据的安全交易系统和方法 | |
| JP2003503901A (ja) | インターネット環境の移動通信システムにおける使用者情報セキュリティ装置及びその方法 | |
| US20110320359A1 (en) | secure communication method and device based on application layer for mobile financial service | |
| CN101483863B (zh) | 即时消息的传送方法、系统及wapi终端 | |
| JPH05347617A (ja) | 無線通信システムの通信方法 | |
| FI964926A0 (fi) | Tiedonsiirron osapuolien oikeellisuuden tarkistaminen tietoliikenneverkossa | |
| US20040255121A1 (en) | Method and communication terminal device for secure establishment of a communication connection | |
| Trask et al. | Adapting public key infrastructures to the mobile environment | |
| Khamsaeng et al. | Providing an end-to-end privacy preservation over LoRa WanPlatforms | |
| Samanta et al. | Secure short message peer-to-peer protocol | |
| CN103595722A (zh) | 网络安全中的数据回传的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090610 Termination date: 20170824 |