CN1977559A - 保护在用户之间进行通信期间交换的信息的方法和*** - Google Patents

保护在用户之间进行通信期间交换的信息的方法和*** Download PDF

Info

Publication number
CN1977559A
CN1977559A CNA2004800434414A CN200480043441A CN1977559A CN 1977559 A CN1977559 A CN 1977559A CN A2004800434414 A CNA2004800434414 A CN A2004800434414A CN 200480043441 A CN200480043441 A CN 200480043441A CN 1977559 A CN1977559 A CN 1977559A
Authority
CN
China
Prior art keywords
rand
encrypt
sess
user
ert
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004800434414A
Other languages
English (en)
Other versions
CN1977559B (zh
Inventor
玛纽·里昂
埃托雷·E·卡普雷拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telecom Italia SpA
Original Assignee
Telecom Italia SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecom Italia SpA filed Critical Telecom Italia SpA
Publication of CN1977559A publication Critical patent/CN1977559A/zh
Application granted granted Critical
Publication of CN1977559B publication Critical patent/CN1977559B/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Radio Relay Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明指的是一种包括发送终端(ST)和至少一个接收终端(RT1、RT2、…、RTn)的***,所述终端适于连接到用于将信息项目从所述发送终端(ST)发送到所述至少一个接收终端(RT1、RT2、…、RTn)的通信网络。经由安全信道将发送终端(ST)链接到适合于使用第一加密/解密机制加密敏感数据(Ksess,Cert)的单元(IWF),所述敏感数据(Ksess,Cert)用于保护所述信息项目,所述至少一个接收终端(RT1、RT2、…、RTn)适于与存储用于解密所述敏感数据(Ksess,Cert)的第二加密/解密机制的SIM模块相互作用,所述第二加密/解密机制在功能上与所述第一加密/解密机制相同。

Description

保护在用户之间进行通信期间交换的信息的方法和***
技术领域
本发明总的来说涉及在通信***中实现安全性的技术。更具体地说,本发明涉及一种用于保护在用户之间进行通信期间交换的信息的方法和***。
背景技术
密码术被认为是当今用于在通信***中实现安全性的基本工具之一。通常,为了保护用户之间的通信,使用对称类型的密码算法。
此外,为了保护用户之间的通信,存在使用对称类型的密码算法和非对称类型的密码算法两者的通信协议(例如,SSL/TLS,Ipsec,SSH)。具体说来,非对称的加密算法用于保护随后用于通过对称算法加密通信内容的私钥或密钥。
在美国2002/007453号专利中描述了一种安全邮件传输***,所述***除提供对于电子邮件消息的安全加密手段和时间日期检验之外,还提供病毒保护、文档跟踪、窜改防止、通过数字签名的认证。所述***在用户站加密发送消息,并且提供在通过通信网络将安全邮件消息传送到安全邮件***之前进行的数字认证和机密加密方案。安全邮件***在再次加密并重发原始消息之前取出安全传输内容,检验内容,并提供时间日期戳和病毒检查。可记录并存储传输内容以便过后进行检验。
此外,WO 02/093967号专利公开一种向通信***认证客户机的方法,其中,可通过将电信网络用户的认证通过无线链路从装置发送或播送到客户机来认证所述客户机。例如,GSM电路可针对在互联网内提供服务的内容认证电子书。服务使用用户的GSM网络运营者的认证中心来检验所述认证以产生认证符,并且客户机相应地通过无线本地链路使用GSM SIM来产生认证符的本地副本。随后,通过检查这些认证符的匹配来确定认证,其后,可将认证符用作会话密钥,以在服务中加密数据。所述服务可以是任何个人形式或其它形式的受限访问服务。这种服务包括:语音通信(例如,IP语音)、电子邮件消息、即时传讯、电子商务。
发明内容
因此,本发明的目的在于提供一种实现用于分发敏感数据的安全且低成本的方法的配置,所述敏感数据用于保护在用户(总之,使用连接到网络的终端的用户)之间的通信期间交换的任何信息,所述终端诸如笔记本、便携式计算机、个人计算机、手持计算机、PDA、智能电话等。交换的信息可包括数据,所述数据包括作为示例的电子邮件消息、SMS-短消息服务、MMS-多媒体消息服务、IM-即时传讯等。
更具体地说,本发明的目的在于提供一种用于以安全方式加密/解密敏感数据的方法,所述敏感数据用于保护在用户之间交换的任何信息,而不必使用计算在所述加密/解密进程中使用的密钥的高成本机制。具体说来,本发明使用安全网络(例如,GSM/UMTS网络)和这种网络的***件(例如,SIM模块)来产生在所述加密/解密进程中使用的所述密钥。
根据本发明的一方面,所述目的通过以下方法来实现,所述方法用于使得至少一个接收用户能够访问由发送用户通过通信网络发送的受保护信息项目,访问所述受保护信息项目的可能性取决于敏感数据对所述至少一个接收用户的可用性,所述敏感数据由所述发送用户以加密形式发送,所述加密形式来源于第一加密/解密机制,所述方法包括以下步骤:
-向所述至少一个接收用户提供用于存储在功能上与所述第一加密/解密机制相同的第二加密/解密机制的SIM模块;以及
-在采取所述第二加密/解密机制的所述至少一个接收用户处解密所述敏感数据。
根据本发明的另一方面,所述目的通过以下方法来实现,所述方法用于通过通信网络将受保护信息项目从发送用户(SU)发送到至少一个接收用户(RU1、RU2、...、RUn),访问所述受保护信息项目的可能性取决于敏感数据(Ksess,Cert)对所述至少一个接收用户(RU1、RU2、...、RUn)的可用性,所述敏感数据(Ksess,Cert)由所述发送用户(SU)以加密形式发送,所述加密形式适于由所述至少一个接收用户(RU1、RU2、...、RUn)通过存储在与所述至少一个接收用户(RU1、RU2、...、RUn)关联的SIM模块中的SIM加密/解密机制来进行解密,所述方法包括以下步骤:
-通过功能上与所述SIM加密/解密机制相同的加密/解密机制以所述加密形式来加密所述敏感数据(Ksess,Cert)。
根据本发明的另一方面,所述目的通过以下***来实现,所述***包括发送终端和至少一个接收终端,所述终端适于连接到用于将信息项目从所述发送终端发送到所述至少一个接收终端的通信网络,经由安全信道将所述发送终端链接到适合于使用第一加密/解密机制加密敏感数据的单元,所述敏感数据用于保护所述信息项目,所述至少一个接收终端适于与存储用于解密所述敏感数据的第二加密/解密机制的SIM模块相互作用,所述第二加密/解密机制功能上与所述第一加密/解密机制相同。
根据本发明的另一方面,所述目的通过相关的通信网络和计算机程序产品来实现,所述计算机程序产品可加载到至少一个计算机的存储器中,并包括当所述产品在计算机上运行时执行本发明的方法的步骤的软件代码部分。按照这里所使用的情况,对这种计算机程序产品的引用是想要等同于对包含指令的计算机可读介质的引用,所述指令用于控制计算机***来协调本发明的方法的性能。对“至少一个计算机”的引用明显想要强调以分布/模块方式实现本发明的***的可能性。
在从属权利要求以及下面的说明书中对本发明的其它优选方面进行描述。
在本说明书和权利要求的其余部分,我们将以下卡定义为SIM模块,所述卡包括:典型地涉及GSM网络的SIM卡、或者典型地涉及UMTS网络的USIM卡、或者典型地用于不同的无线网络并被提供有基于加密的认证或识别特点(例如基于询问和响应机制)的类似的卡。
具体说来,在这里所述的配置中,能够连接GSM/UMTS网络的服务器经由安全信道向先前认证的发送用户提供敏感数据(在此后所述的配置中,敏感数据具有包括会话密钥和相关数字证书的密码参数的形式),用可通过每个接收用户的SIM产生的加密密钥对所述敏感数据进行加密。
敏感数据用于有效保护在各方之间交换的任何信息。结果,只有使用他们自己的SIM的接收用户能够获得加密密钥,由此对加密敏感数据进行解密并访问受保护信息。在本发明的优选实施例中,使用发送用户他/她自己的SIM来执行发送用户认证。这需要与发送用户关联的SIM和与接收用户关联的SIM的有效性。
附图说明
仅作为示例,现在将通过参照附图对本发明进行描述,所述附图中:
图1和图2是如这里所述的***的体系结构的框图示例;
图3、图4和图5是根据这里所述的配置的***的可能操作的流程图示例;以及
图6是表示在这里所述的配置中进行的信息处理的功能框图。
具体实施方式
仅作为示例,本发明指的是这里所述的基于GSM网络和相关SIM基础结构的配置的可能实施例。本领域的技术人员将很快认识到,通过采取相关的USIM基础结构,可以使这里所述的配置适用于在以UMTS网络为例的构架内操作。所述配置可应用于由基于加密的用户身份基础结构或其它形式的基本上类似于SIM基础结构的用户身份基础结构支持的任何其它网络构架,所述基于加密的用户身份基础结构基于询问-响应方案并基于向其提供基于加密的认证或标识特点的卡或令牌。通常,这种网络构架基于在与网络用户关联的诸如卡或令牌的模块上存储和/或运行的加密/解密机制,并基于在网络基础结构中存储和/或运行的功能上相同的加密/解密机制,所述与用户关联的模块和网络基础结构可包括一个或多个共用的私钥,诸如加密密钥。
按照这里所使用的情况,因此,术语“SIM”想要包括基于相同操作原则的所有这些可选择的基础结构。具体说来,SIM卡或USIM卡分别典型地用于诸如GSM或UMTS网络的移动网络中,以控制和保护对网络资源的用户访问。为了访问移动网络,用户必须被认证。在GSM/UMTS网络中,将这一认证实现为正规的询问-响应机制。网络将称为RAND的随机值发送到用户移动电话,其反过来将所述值转发到SIM。包含称为Ki的唯一私钥的SIM用称为A3的取决于移动运营者的算法来加密所述RAND,以便产生认证响应SRES。将这一认证响应SRES返回到网络,所述网络知道SIM密钥Ki,执行相同的计算并再次检查由用户提供给它的SRES。如果两个值匹配,则将访问授予用户,否则拒绝访问请求。在前一情况中,SIM和网络还将使用称为A8的另一取决于移动运营者的算法和密钥Ki来加密RAND值,以产生称为Kc的会话密钥。通过SIM卡将所述密钥传递到移动电话,以便保护移动电话和移动网络收发站之间的无线电链路。
此外,仅作为示例,该说明书指的是可能实施例,在所述实施例中,用户之间交换的信息包括由发送用户发送到一个或多个接收用户的电子邮件消息。本领域的技术人员将很容易认识到,这里所述的配置可扩展到任何交换的信息,所述信息包括诸如SMS-短消息服务、MMS-多媒体消息服务、IM-即时传讯等的数据。
如图1所示,这里所述的配置包括以下要素:
发送用户(SU):如以上所指出的,发送用户是需要发送受保护电子邮件消息的用户。由网络运营者向他/她分配SIM,并且他/她可经由他/她的终端(“发送终端ST”)发送所述受保护电子邮件消息,所述终端诸如作为示例的笔记本、便携式计算机、个人计算机、手持计算机、PDA、智能电话等。
接收用户(RU1、RU2、...、RUn):如以上所指出的,接收用户是接收受保护电子邮件消息的用户。每个接收用户(RU1、RU2、...、RUn)是SIM的主人,并且他/她可通过各个接收终端RT1、RT2、...、RTn接收所述受保护电子邮件消息,所述接收终端诸如作为示例的笔记本、便携式计算机、个人计算机、手持计算机、PDA、智能电话等。
如图2所示,发送终端ST和接收终端RT1、RT2、...、RTn(用标示为TU的单个方框来在图2中表示所有这些终端)可通过诸如以下作为非限制示例的各种技术连接到各个SIM:
-标准PCSC阅读器10
-通过蓝牙信道的移动电话20(用作无线SIM阅读器);
-通过IrDA信道的移动电话30;或者
-通过与串行/并行/USB/火线端口连接的电缆的移动电话40(用作有线SIM阅读器)。
可以预料技术发展将提供用于将SIM连接到计算机***的新的装置和协议。本发明包括所述新的装置和协议的可能用法。
互通功能(IWF):按照这里所使用的情况,互通功能是典型地在网络运营者(例如,移动网络运营者)的控制下的服务器,所述网络运营者经由安全信道向先前认证的发送用户SU提供用于保护将发送的电子邮件消息的敏感数据。此外,互通功能IWF向发送用户SU提供用于激活存储在接收用户RU1、RU2、...、RUn的SIM上的加密机制的激活数据。
具体说来,这种服务器能够与各个网络连接(例如,GSM或UMTS网络),特别与所谓的AuC(认证中心)连接,以向与每个SIM标识符连接的所述认证中心AuC请求认证三元组<RAND,SRES和Kc>,其中,所述每个SIM标识符与各个接收用户关联。互通功能IWF使用所述认证三元组<RAND、SRES和Kc>来计算用于加密所述敏感数据或获得所述激活数据的加密密钥。
通过网络技术和协议来连接发送终端ST和互通功能IWF。为了这一目的,可使用标准解决方案或专用解决方案。仅作为示例,以下描述将指的是如IETF(互联网工程任务组)定义的标准技术和协议、互联网工程任务组是对在IP网络使用的协议进行标准化的主要国际实体。
通过标准邮件***/设备来连接发送用户SU和接收用户RU1、RU2、...、RUn。这表示本发明不需要对现在使用的电子邮件***进行任何修改。
或者,可通过包括不同于与发送用户和/或接收用户的SIM关联的网络的网络(有线、无线或其它)的任何其它方式来连接发送用户和接收用户。
可通过安装在涉及这里所述的配置的用户终端上的处理模块来实现由所述终端执行的步骤。不必要将这些处理模块预先安装在终端上。可容易地从用户SU、RU1、RU2、...、RUn可连接的网站在线下载所述处理模块。为了这一目的,可使用诸如Java和Activex的各种技术。这些技术允许通过TAG在网页内直接包括可执行目标代码。诸如互联网浏览器、Netscape Navigator或Opera的适用于支持所述技术的浏览器能够在检测到Java或ActiveX小程序的存在之后,在本地下载相应的代码并提供它们的执行。这两种技术允许定义当现在可执行代码时的安全性策略。具体说来,存在以下面的方式配置浏览器的可能性:仅下载负有数字签名的Java和ActiveX小程序。这主要是为了减少下载所谓的“恶意程序”的风险,恶意程序即为编写的唯一目的就是透露用户的数据或者以未授权的方式访问用户的终端ST、RT1、RT2、...、RTn的软件。其它解决方案可适用于相同的目的,所述其它解决方案诸如通过诸如FTP、TFTP、HTTP的网络协议下载可执行代码。或者,可通过诸如CD、软盘、USB令牌等其它方式来预先安装需要的代码。当然,就保证更宽的装置覆盖范围而言,在线下载可以是优选的方式。
此外,可通过使用集成在用户的电子邮件软件客户机中的适合插件(例如,用于Outlook的内插附件、用于Netscape即时传讯的插件等)来代替每个处理模块。
以下,将考虑三个基本进程,即:
-密码密钥的请求和供应;
-电子邮件消息的加密和发送;
-加密电子邮件消息的解密。
密码密钥的请求和供应
当发送用户SU想要将受保护电子邮件消息发送到一个或多个接收用户RU1、RU2、...、RUn时,由他/她启动密码密钥的请求和供应进程。
具体说来,这一进程涉及互通功能IWF,所述IWF用于(例如,以随机方式)产生用于加密电子邮件消息的会话密钥。随后,使用基于与每个接收用户RU1、RU2、...、RUn的SIM关联的密码密钥的加密密钥对所述会话密钥连同相关数字证书进行加密。结果,仅由使用它们自己的SIM的有效接收用户RU1、RU2、...、RUn能够重新计算所述加密密钥,从而获得会话密钥和它的相关数字证书。在这一点上,数字证书用于检验会话密钥的完整性,而会话密钥用于对加密电子邮件消息进行解密。
如图3所示,密码密钥的请求和供应进程涉及由安装在发送终端ST上的处理模块执行的以下步骤:
-建立发送终端ST和互通功能(IWF)之间的安全通信信道(步骤100)。为此,可使用诸如以下非限制的各种不同的技术解决方案:
-安全套接层/传输层安全性(SSL/TLS),例如,参见Netscape公司,“SSLv3 Protocol Specificationhttp://www.netscape.com/eng/ssl3”和互联网工程任务组(IETF)RFC2246,“TLS Version 1.0”,1999年1月,(在本说明书的提交日,可从互联网站http://www.ietf.org/rfc/rfc2246.txt?number=2246下载文本);
-Ipsec,例如,参见互联网工程任务组(IETF),“IP SecurityProtocol(ipsec)”(在此说明书的提交日,可从互联网站http://www.ietf.org/html.charters/ipsec-charter.html下载文本);
-安全外壳(SSH)转发,例如,参见互联网工程任务组(IETF),“Secure Shell(secsh)”(在本说明书的提交日,可从互联网站 http://www.ietf.org/html.charters/secsh-charter.html下载文本)。
-执行互通功能IWF对于发送终端ST的认证(在步骤110)。为此,已使用数字证书X.509。但是,还可使用诸如以下非限制的其它技术解决方案:
-预先共用的密钥;
-一次性密码;
-执行发送终端ST对于互通功能IWF的认证(往往在步骤110)。在这里所述的配置的优选实施例中,可通过发送用户SU的SIM来执行所述认证,从而采取GSM认证机制。然而,可使用任何其它认证方法,诸如作为示例的:
-数字证书;
-预先共用的密钥;
-一次性密码;
-用户名-密码
-向互通功能IWF发送标识符列表,所述标识符均与需要密码密钥的接收用户RU1、RU2、...、RUn关联(步骤120)。标示为IDRU1、IDRU2、...、IDRUn并适用于在这里所述的配置中使用的接收用户标识符的非限制列表可包括:
-MSISDN(移动用户ISDN号);
-电子邮件地址;
-IMSI(国际移动站标识-现在的国际移动用户标识)。
在这一点上,对于每个接收用户标识符IDRU1、IDRU2、...、IDRUn,互通功能IWF执行以下操作:
-执行每个接收用户标识符IDRU1、IDRU2、...、IDRUn和与各个接收用户RU1、RU2、...、RUn关联的SIM的标识符之间的相关。如果接收用户标识符相应于SIM标识符,则所述操作不必要。可采取各种部件,以便充当SIM标识符。所述部件的示例为IMSI、MSISDN(移动用户ISDN号)、SIM序列号等。以下将假设使用IMSI标识符;
-建立与GSM网络的连接,对于与接收用户标识符IDRU1、IDRU2、...、IDRUn关联的每个SIM,所述GSM网络向认证中心AuC请求至少两个GSM认证三元组<RAND1,SRES1,Kc1>和<RAND2,SRES2,Kc2>(步骤130);
-从认证中心AuC接收所述至少两个GSM认证三元组<RAND1,SRES1,Kc1>和<RAND2,SRES2,Kc2>(步骤140);
-产生对发送终端ST的响应消息(步骤150),对于第j个接收用户RUj,可将所述响应表示为(见图6):
Rj=RAND1,j‖RAND2,j‖EKj(Ksess,Cert)‖IDRUj
其中:
-RAND1,j和RAND2,j是两个随机值,例如,两个128比特的随机值,每个随机值表示当请求GSM认证三元组时,由认证中心AuC提供的GSM认证询问;
-Kj是由互通功能IWF计算的加密密钥,例如,包括128比特。具体说来,互通功能IWF通过向两个GSM会话密钥Kc1,j和Kc2,j的级联应用散列函数h来计算加密密钥Kj,所述会话密钥Kc1,j和Kc2,j与第j个接收用户RUj的私钥Ki关联。简而言之,Kj=hash(Kc1,j‖Kc2,j)。可在A.J.Menezes,P.C.van Oorschot.S.A.Vanstone,“Handbook of Applied Cryptograph”,CRC Press,ISBN:0-8493-8523-7,1996年10月中找到关于散列函数的应用的总说明。
为了所述目的,可使用不同的函数,诸如(参考非限制列表)SHA-1函数或MD5函数。
更具体地说,可使用n个GSM认证三元组来计算加密密钥Kj。因此,在这种情况下,Kj=f{Kc1,j,Kc2,j,...,Kcn,j,SRES1,j,SRES2,j,...,SRESn,j};
-Ksess:这一项表示用于加密将发送到第j个接收用户RUj的电子邮件消息的会话密钥。在步骤160,由互通功能IWF随机地产生所述会话密钥;
-Cert:这一项表示一种会话密钥Ksess的对称数字证书(类似于类型X.509或OpenPGP的非对称数字证书)。数字证书Cert可对与会话密钥Ksess的使用关联的任何信息进行编码。为此目的,非限制列表可包括以下信息:
-会话密钥Ksess的时间有效性(例如,从初始时间t1到终止时间t2)。
-可通过会话密钥Ksess访问的服务(例如,在这里所述的配置中,指的是电子邮件服务);
-需要会话密钥Ksess的实体。在这里所述的配置中,所述实体相应于发送用户标识符IDSU
-IDRDj:这一项表示第j个接收用户标识符;
-Ekj:这一项表示使用用于加密会话密钥Ksess连同它的数字证书Cert的加密密钥Kj的已知类型的对称算法E。在特定示例中,AES加密算法用于CBC(密码字组链接)模式中,所述模式使用Kj密钥和128比特的初始化矢量IV。然而,可使用任何其它加密算法。所述算法的非限制列表可包括作为示例的:
-Twofish,B.Schneier,J.Kelsey,D.Whiting,D.Wagner,C.Hall,N.Ferguson,“Twofish:A 128-bit Block Cipher”,AES submission,1998年6月。
-RC6,R.Rivest,M.Robshaw,R.Sidney,Y.L.Yin,“The RC6Block Cipher,algorithm specification”,1998年8月;以及
-Serpent,Anderson,E.Biham,L. Knudsen,“Serpent”,AESsubmission,1998。
往往在步骤160,互通功能IWF还将与每个接收用户RU1、RU2、...、RUn关联的响应消息R1、...、Rn和会话密钥Ksess发送到发送终端ST。处理模块将使用所述会话密钥Ksess来加密将发送到每个接收用户RU1、RU2、...、RUn的电子邮件消息。
电子邮件消息加密进程
在这一点上,处理模块在由互通功能IWF接收到响应消息R1、...、Rn和会话密钥Ksess之后,可启动电子邮件消息加密进程。
参照图4,在步骤200,处理模块产生随机矢量,所述随机矢量是定义的包括例如128比特的初始化矢量IV。当使用诸如CBC(密码字组链接)、CFB(密码反馈)、OFB(输出反馈)的请求初始化矢量的加密模式时,在加密处理(加密/解密)中采取所述随机矢量。取决于加密实体的操作的模式,也可省略初始化矢量IV;例如,在ECB(电子代码书)的情况下,不需要初始化矢量IV。例如,在上述已经提到的参考Menezes et al中,提供关于上述所指的各种加密处理方法的细节。
在步骤210,处理模块作为示例通过在CBC模式中使用AES密码,通过会话密钥Ksess和随机矢量IV,加密电子邮件消息及其所有附件。然而,可使用任何其它对称加密方法,诸如示例性的作为非限制列表的RC6、Twofish、Serpent、3DES。产生的加密电子邮件消息与图6中的参考EM相同。
然后,在步骤220,处理模块产生用于允许解密的密码头CH。
如图6所示,这种密码头CH包括以下字段:
-N:这一项表示将向其发送加密电子邮件消息EM的接收用户RU1、RU2、...、RUn的数量;
-R1、...、Rn:这一项表示由互通功能IWF为每个接收用户RU1、RU2、...、RUn提供的响应的级联;
-IV,即,可用于加密(CBC或需要这种参数的其它加密模式)并由处理模块产生的随机矢量;以及
-MACKsess(N,R1,...,Rn,IV,EM),关于加密电子邮件消息和所述前三个字段(N,R1,...,Rn,IV)的密码控制校验和,可通过MAC(消息认证代码)函数产生这种密码控制校验和。这种MAC  函数的示例例如HMAC-SHA-1、HMAC-MD5、AES-XCBC-MAC等。以下,将假设使用函数HMAC-SHA-1。无论如何,所述密码控制校验和检测对加密电子邮件消息的任何可能的未授权修改。
回到图4的流程图,在步骤230,处理模块以使用可读字符的文本形式对加密电子邮件消息EM和密码头CH(以下称为“编码邮件”)进行编码。适用于在这里所述的配置中使用的编码进程的非限制列表包括:
-64基数;以及
-十六进制。
接着,处理模块通过标准电子邮件传输***将编码邮件发送到每个接收用户RU1、RU2、...、RUn
此外,处理模块还能够以使得发送用户SU能够解密电子邮件消息的本地副本的方式来加密所述电子邮件消息。在本发明的优选实施例中,可通过发送用户SU的SIM来加密所述本地副本。然而,可使用其它加密机制,诸如作为示例的PGPTM
具体说来,参照图4,在步骤240,发送用户SU将他或她的发送终端ST与他/她的SIM连接。为此,可使用如图2所示的各种不同的解决方案。
处理模块通过图2所示的信道10到40之一检查SIM是否连接到发送终端ST。
一旦检测到SIM,则处理模块检查保护访问的PIN的可能存在。在这种情况下,作为示例,通过图形用户界面(GUI)产生请求发送用户SU输入相应的PIN。
接着,在步骤250,处理模块访问SIM(可通过发送用户SU提供的PIN),并且在步骤260产生具体为两个128比特的随机值的两个随机值RANDa和RANDb。将所述随机值RANDa和RANDb转发到SIM。
在步骤270,SIM基于SIM的私钥Ki和A8GSM安全性算法来计算均包括64比特的两个GSM会话密钥Kca和Kcb。A8GSM安全性算法表示存储在SIM中的基本安全性算法。在这一方面的具体细节可从以下获得:GSM技术规范GSM 03.20(ETSI TS 100 929 v8.1.0):“Digital cellular telecommunication system(Phase 2+);SecurityRelated network functions”,欧洲电信标准协会,2001年7月;或者GSM技术规范GSM 11.11(ETSI TS 100 977 v8.3.0):“Digital cellulartelecommunication system (Phase 2+);Specification of theSubscriber Identity Module-Module Equipment(SIM-ME)interface”,欧洲电信标准协会,2000年8月。简而言之,Kca=A8(RANDa),Kcb=A8(RANDb)。
所述计算基于由处理模块提供的两个随机值RANDa和RANDb。将所述两个GSM会话密钥Kca和Kcb发送回处理模块,所述处理模块通过将散列函数h应用于两个会话密钥Kca和Kcb的级联来计算包括128比特的加密密钥KSU。简而言之:KSU=h(Kca‖Kcb)。可在上述已经提到的参考A.J.Menezes,P.C.van Oorschot.S.A.Vanstone,“Handbook of Applied Cryptograph”,CRC Press,ISBN:0-8493-8523-7,1996年10月中找到关于散列函数的应用的总说明。
不同函数可用于所述目的,所述函数诸如(参照非限制列表)SHA-1函数或MD5函数。
同样在这种情况下,还可使用不同的方式,例如,还可使用通过认证询问(随机值)RAND获得的认证响应SRES来计算加密密钥KSU。通常,可将加密密钥KSU计算为两个会话密钥Kca和Kcb以及通过认证询问RANDa和RANDb获得的认证响应SRESa、SRESb的函数:KSU=f(Kca,Kcb,SRESa,SRESb)。通过这种方式,可通过影响处理的输入的数量来改变加密密钥长度。例如,可通过发送认证询问序列RANDa、RANDb、...、RANDn并处理SIM的相应输出Kca、Kcb、...、Kcn、SRESa、SRESb、...、SRESn来增加将处理的输入的数量。因此,在这种情况下,KSU=f(Kca,Kcb,...,Kcn,SRESa,SRESb,...,SRESn)。
接着,在步骤280,处理模块还可产生可用于加密(CBC或需要随机矢量这种参数的其它加密模式)的随机矢量IV。
在步骤290,处理模块还产生密码头CH1,其类似于在步骤220产生的密码头CH,并包括以下字段:
-N:在这种情况下,这一项等于1,这是因为仅对于发送用户SU进行电子邮件消息的加密;
-RSU=RANDa,su‖RANDb,SU‖EKSU(Ksess,Cert)‖IDSU
其中:
-RANDa,su、RANDb,SU是两个随机值;
-Ksess是由互通功能IWF产生并用于加密电子邮件消息的会话密钥;
-Cert:一种会话密钥Ksess的对称数字证书;
-IDSU:是发送用户标识符;
-EKSU:这一项表示使用加密密钥KSU对会话密钥Ksess连同它的数字证书Cert进行加密的对称算法E。同样在这种情况下,AES加密算法用于CBC(密码字组链接)模式中,所述模式使用KSU密钥和128比特的初始化矢量IV。然而,可使用诸如作为示例的Twofish、RC6、Serpent的其它任何加密算法。
-IV:随机矢量;
接着,处理模块作为示例通过在CBC模式中使用AES密码,通过会话密钥Ksess和随机矢量IV来加密电子邮件消息。
然后,处理模块以使用可读字符的文本形式对加密电子邮件消息和密码头CH1(“编码邮件”)进行编码。
在这一点上,可将编码邮件存储在用于本地使用的发送终端ST。
可注意到,不同的加密机制可用于在本地加密电子邮件消息。例如,处理模块可在本地产生与发送用户SU关联的响应Rn+1,而不必向互通功能IWF请求所述响应。
电子邮件消息解密进程
在这一点上,每个接收用户RU1、RU2、...、RUn在接收到由发送用户SU编码的邮件之后,能够解密所包括的加密电子邮件消息EM,而不需要将他/她的接收终端RT连接到任何外部实体(诸如作为示例的互通功能IWF或其它服务器)。具体说来,每个接收用户RU1、RU2、...、RUn可仅通过使用各个SIM来对加密电子邮件消息EM进行解密。
可注意到,以下所述的进程还可用于对存储在发送用户SU的发送终端ST中的加密电子邮件消息进行解密。
参照图5的流程图,步骤300和310表示与图4中标示为240和250的步骤本质相同的访问步骤。
在步骤320,位于作为示例的第j个接收用户Ruj的第j个接收终端RTJ上的处理模块读取与接收用户标识符IDRUJ相关并包括在密码头CH中的字段Rj的内容。
然后,处理模块从字段Rj提取两个随机值RAND1,j和RAND2,j,并将它们传递到SIM。
在步骤330,SIM执行两个GSM会话密钥的计算:Kc1,j=A8(RAND1,j)和Kc2,j=A8(RAND2,j)。然后,将所述两个GSM会话密钥Kc1,j和Kc2,j返回处理模块。
在步骤处340,处理模块通过计算应用于两个GSM会话密钥Kc1,j和Kc2,j的级联的散列函数h来重新构建加密密钥Kj。简而言之:Kj=hash(Kc1,j‖Kc2,j)。还可使用以上考虑的用于加密密钥Kj的替换构建技术,由此可一般将加密密钥Kj表示为Kj=f{Kc1,j,Kc2,j,...,Kcn,j,SRES1,j,SRES2,j,...,SRESn,j}。
在步骤350,处理模块通过加密密钥Kj对会话密钥Ksess和相关数字证书Cert进行访问和解密。简而言之:(Ksess,Cert)=Dkj(Ekj(Ksess,Cert))。
在这一点上,处理模块通过检查数字证书Cert的属性(例如,会话密钥Ksess的时间有效性)来检验数字证书Cert,然后,处理模块通过密码控制校验和MACKsess来检验加密电子邮件消息EM的完整性。
在正向输出的情况下,处理模块从密码头CH读取字段IV(步骤360),处理模块作为示例使用选择的随机矢量IV和会话密钥Ksess,通过在CBC模式中的AES算法,对加密电子邮件消息EM进行解密。
电子邮件消息现在是明文文本形式并且可从接收用户Ruj读取所述电子邮件消息。
因此,只要不违背本发明基本原则,可在不脱离如权利要求限定的本发明的范围的情况下,将细节和实施例相对于作为示例所描述的内容进行显著的变化。
例如,如已经所指出的,这里所述的配置还适用于结合其它类型的SIM型卡操作,所述其它类型的SIM型卡诸如当前称为USIM的UMTS SIM。USIM包含类似于GSM***的安全性功能的安全性功能:基于一个或多个认证询问RAND,其能够实现将如上述使用的密码密钥的产生。
以下示出可用所示的配置实现的优点。
具体说来,这里所述的配置基本采取两种原则:一方面,由SIM卡提供的安全***,例如,以上所述并存在于卡上的蜂窝技术的安全性机制;另一方面,向大量用户提供服务,而不会在访问凭证的分发或昂贵注册方面产生任何操作问题的能力。
此外,这里所述的配置使用作为广泛运用和接收的装置的全标准SIM,以安全地产生强健的可变长度密码密钥。
具体说来,SIM不需要任何定制或修改以在这里所述的配置的构架内正确地操作。SIM不需要由SIM应用工具包(SAT)或任何其它类似的技术对其进行修改,以用作智能卡或处理数字证书。
此外,作为硬件装置的SIM卡是窜改防止安全性装置。由于通常不能从SIM卡提取密钥Ki,所以这是较高的安全性级别,因为对受保护信息的访问需要对所述卡的物理占有和知晓个人身份号码(PIN)。典型地,在尝试三次输入PIN之后,将所述卡锁定,从而预先清空尝试的基于偷窃的攻击,所述攻击在用户意识到它并通知他/她的移动运营者之前执行。
在这方面,应注意到:用于SIM卡的现有安全性进程是经过整理和很好定义的,并且由移动运营者在过去几年间对其进行改善。因此,最初在GSM环境内设计的这种技术还可用于管理对于IP公共网络的认证凭证。所述进程独立于由用户采用的网络技术,例如,GSM或IP。

Claims (25)

1、一种用于使得至少一个接收用户(RU1、RU2、...、RUn)能够访问由发送用户(SU)通过通信网络发送的受保护信息项目的方法,访问所述受保护信息项目的可能性取决于敏感数据(Ksess,Cert)对所述至少一个接收用户(RU1、RU2、...、RUn)的可用性,所述敏感数据(Ksess,Cert)由所述发送用户(SU)以加密形式发送,所述加密形式来源于第一加密/解密机制,所述方法包括以下步骤:
-向所述至少一个接收用户(RU1、RU2、...、RUn)提供用于存储在功能上与所述第一加密/解密机制相同的第二加密/解密机制的SIM模块;以及
-在采取所述第二加密/解密机制的所述至少一个接收用户(RU1、RU2、...、RUn)处解密所述敏感数据(Ksess,Cert)。
2、如权利要求1所述的方法,其特征在于,其包括以下步骤:通过由与所述发送用户(SU)共同工作的至少一个附加通信网络(GSM/UMTS)产生的激活数据(RAND1,RAND2)来激活所述第二加密/解密机制。
3、如权利要求2所述的方法,其特征在于,其包括以下步骤:提供与所述至少一个附加通信网络(GSM/UMTS)共同工作的互通功能(IWF),用于获得所述激活数据(RAND1,RAND2)。
4、如权利要求3所述的方法,其特征在于:所述获得所述激活数据(RAND1,RAND2)的步骤包括以下步骤:向所述至少一个附加通信网络(GSM/UMTS)请求与所述SIM模块关联的认证数据(<RAND,SRES,Kc>),所述认证数据(<RAND,SRES,Kc>)包括所述激活数据。
5、如权利要求4所述的方法,其特征在于,其包括以下步骤:使用所述第一加密/解密机制计算所述认证数据(<RAND,SRES,Kc>)。
6、如权利要求4或5中的任何一个所述的方法,其特征在于,其包括以下步骤:使用所述认证数据(<RAND,SRES,Kc>)来产生加密密钥(Kj),所述加密密钥(Kj)用于加密所述敏感数据(Ksess,Cert)。
7、如权利要求3到6中的任何一个所述的方法,其特征在于,其包括以下步骤:向所述发送用户(SU)提供发送终端(ST),所述发送终端(ST)能够以安全方式与所述互通功能(IWF)通信。
8、如权利要求1到7中的任何一个所述的方法,其特征在于:所述敏感数据(Ksess,Cert)包括密码参数。
9、如权利要求8所述的方法,其特征在于,其包括以下步骤:将所述互通功能(IWF)配置为用于:
-由所述发送终端(ST)接收对所述敏感数据(Ksess,Cert)的请求;以及
-产生由所述发送终端(ST)用来加密所述信息项目的会话密钥(Ksess),所述会话密钥(Ksess)连同相关数字证书(Cert)表示所述密码参数。
10、如权利要求7到9中的任何一个所述的方法,其特征在于:向所述至少一个附加网络(GSM/UMTS)请求所述认证数据(<RAND,SRES,Kc>)的所述步骤包括以下步骤:
-使所述发送终端(ST)和所述互通功能(IWF)互相认证;
-从所述发送终端(ST)接收与所述至少一个接收用户(RU1、RU2、...、RUn)关联的至少一个标识符;以及
-将所述标识符(IDRU1、IDRU2、...、IDRUn IDRU1、IDRU2、...、IDRUn)与所述SIM模块的标识符关联。
11、如权利要求10所述的方法,其特征在于:所述接收用户标识符(IDRU1、IDRU2、...、IDRUn IDRU1、IDRU2、...、IDRUn)包括从包括MSISDN、电子邮件地址、IMSI的组中选出的至少一个标识符。
12、如权利要求10到11或8中的任何一个所述的方法,其特征在于:所述SIM模块标识符包括从包括IMSI、MSISDN、SIM序列号的组中选出的至少一个SIM模块标识符。
13、如权利要求7到12中的任何一个所述的方法,其特征在于,其包括以下步骤:将所述互通功能(IWF)配置为用于:
-产生与所述至少一个接收用户(RU1、RU2、...、RUn)相关的至少一个响应消息(R1、...、Rn),所述至少一个响应消息(R1、...、Rn)包括所述加密敏感数据(Ksess,Cert)和所述激活数据(RAND1,RAND2);以及
-将所述至少一个响应消息(R1、...、Rn)和所述会话密钥(Ksess)发送到所述发送终端(ST)。
14、如权利要求2到13中的任何一个所述的方法,其特征在于:所述激活数据包括随机值(RAND1,RAND2)。
15、如权利要求13或14中的任何一个所述的方法,其特征在于:所述发送终端(ST)被配置为用于:
-通过所述会话密钥(Ksess)加密所述信息项目;
-产生包括所述至少一个响应消息(R1、...、Rn)的密码头(CH);以及
-将所述加密信息和所述密码头(CH)发送到所述至少一个接收用户(RU1、RU2、...、RUn)。
16、如权利要求15所述的方法,其特征在于,其包括以下步骤:向所述至少一个接收用户(RU1、RU2、...、RUn)提供相应接收终端(RT1、RT2、...、RTn),所述接收终端(RU1、RU2、...、RUn)能够连接到所述SIM模块并被配置为用于:
-从所述密码头(CH)提取包括在所述至少一个响应消息中的所述激活数据(RAND1,RAND2)和所述加密敏感数据(Ksess,Cert);
-将所述激活数据(RAND1,RAND2)发送到所述SIM模块,以激活所述第二加密/解密机制;
-通过所述第二加密/解密机制计算所述加密密钥(Kj);
-解密所述敏感数据(Ksess,Cert);以及
-使用所述敏感数据(Ksess,Cert)以访问所述加密信息项目。
17、如权利要求15或16中的任何一个所述的方法,其特征在于:所述密码头(CH)包括多个响应消息(R1、...、Rn),所述多个响应消息各自包括与加密信息项目的接收用户(RU1、RU2、...、RUn)关联的至少一个标识符(IDRU1、IDRU2、...、IDRUn IDRU1、IDRU2、...、IDRUn)。
18、如权利要求1所述的方法,其特征在于,其包括以下步骤:
-向所述发送用户(SU)提供存储所述第二加密/解密机制的相应SIM模块;以及
-在采取存储在所述相应SIM模块上的所述第二加密/解密机制的所述至少一个发送用户(SU)处解密所述敏感数据(Ksess,Cert)。
19、一种通过通信网络将受保护信息项目从发送用户(SU)发送到至少一个接收用户(RU1、RU2、...、RUn)的方法,访问所述受保护信息项目的可能性取决于敏感数据(Ksess,Cert)对所述至少一个接收用户(RU1、RU2、...、RUn)的可用性,所述敏感数据(Ksess,Cert)由所述发送用户(SU)以加密形式发送,所述加密形式适于由所述至少一个接收用户(RU1、RU2、...、RUn)通过存储在与所述至少一个接收用户(RU1、RU2、...、RUn)关联的SIM模块中的SIM加密/解密机制来进行解密,所述方法包括以下步骤:
-通过功能上与所述SIM加密/解密机制相同的加密/解密机制以所述加密形式来加密所述敏感数据(Ksess,Cert)。
20、如权利要求19所述的用于发送受保护信息项目的方法,包括以下步骤:通过由与所述发送用户(SU)共同工作的至少一个附加通信网络(GSM/UMTS)产生的激活数据(RAND1,RAND2)激活所述SIM加密/解密机制。
21、一种包括发送终端(ST)和至少一个接收终端(RT1、RT2、...、RTn)的***,所述终端适于连接到用于将信息项目从所述发送终端(ST)发送到所述至少一个接收终端(RT1、RT2、...、RTn)的通信网络,经由安全信道将所述发送终端(ST)链接到适合于使用第一加密/解密机制加密敏感数据(Ksess,Cert)的单元(IWF),所述敏感数据(Ksess,Cert)用于保护所述信息项目,以及所述至少一个接收终端(RT1、RT2、...、RTn)适于与存储用于解密所述敏感数据(Ksess,Cert)的第二加密/解密机制的SIM模块相互作用,所述第二加密/解密机制在功能上与所述第一加密/解密机制相同。
22、如权利要求21所述的***,其特征在于:所述单元(IWF)能够与至少一个附加通信网络(GSM/UMTS)共同工作,以激活所述第一加密/解密机制。
23、一种包括如权利要求21到22中的任何一个所述的***的通信网络。
24、一种计算机程序产品,其可加载到至少一个计算机的存储器中,并包括用于执行权利要求1到19中的任何一个的方法的软件代码部分。
25、一种计算机程序产品,其可加载到至少一个计算机的存储器中,并包括用于执行权利要求20的方法的软件代码部分。
CN2004800434414A 2004-06-25 2004-06-25 保护在用户之间进行通信期间交换的信息的方法和*** Expired - Lifetime CN1977559B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2004/006936 WO2006002649A1 (en) 2004-06-25 2004-06-25 Method and system for protecting information exchanged during communication between users

Publications (2)

Publication Number Publication Date
CN1977559A true CN1977559A (zh) 2007-06-06
CN1977559B CN1977559B (zh) 2011-05-04

Family

ID=34957940

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2004800434414A Expired - Lifetime CN1977559B (zh) 2004-06-25 2004-06-25 保护在用户之间进行通信期间交换的信息的方法和***

Country Status (7)

Country Link
US (1) US8458468B2 (zh)
EP (1) EP1759550B1 (zh)
CN (1) CN1977559B (zh)
AT (1) ATE413077T1 (zh)
DE (1) DE602004017519D1 (zh)
ES (1) ES2316993T3 (zh)
WO (1) WO2006002649A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102185846A (zh) * 2011-04-26 2011-09-14 深信服网络科技(深圳)有限公司 基于vpn的移动通讯终端安全访问数据的方法及***
CN113544999A (zh) * 2019-01-08 2021-10-22 卫士网络技术公司 一次性密码本加密集线器

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8577684B2 (en) * 2005-07-13 2013-11-05 Intellisist, Inc. Selective security masking within recorded speech utilizing speech recognition techniques
US20070088770A1 (en) * 2005-10-14 2007-04-19 Ming-Tsung Chiang Structure for re-arranging file allocation index by memory block
US8301771B2 (en) * 2005-10-26 2012-10-30 Armstrong, Quinton Co. LLC Methods, systems, and computer program products for transmission control of sensitive application-layer data
US20090259851A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
US20090307140A1 (en) * 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
US9369281B2 (en) * 2008-09-15 2016-06-14 Vaultive Ltd. Method and system for secure use of services by untrusted storage providers
US9002976B2 (en) 2008-09-15 2015-04-07 Vaultive Ltd System, apparatus and method for encryption and decryption of data transmitted over a network
US10313371B2 (en) 2010-05-21 2019-06-04 Cyberark Software Ltd. System and method for controlling and monitoring access to data processing applications
US8862767B2 (en) 2011-09-02 2014-10-14 Ebay Inc. Secure elements broker (SEB) for application communication channel selector optimization
KR101293260B1 (ko) 2011-12-14 2013-08-09 한국전자통신연구원 이동 통신 단말 및 방법
TWI592051B (zh) * 2012-02-07 2017-07-11 蘋果公司 網路輔助之詐欺偵測裝置及方法
US9215591B2 (en) 2012-12-06 2015-12-15 At&T Intellectual Property I, L.P. Security for network load broadcasts over cellular networks
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US11876889B2 (en) * 2015-09-03 2024-01-16 Fiske Software, Llc NADO cryptography with key generators
KR101637863B1 (ko) * 2016-01-05 2016-07-08 주식회사 코인플러그 본인인증용 정보 보안 전송시스템 및 방법
CN107800539B (zh) * 2016-09-05 2020-07-24 华为技术有限公司 认证方法、认证装置和认证***
RU2646310C1 (ru) * 2017-05-25 2018-03-02 Федеральное государственное бюджетное учреждение "16 Центральный научно-исследовательский испытательный ордена Красной Звезды институт имени маршала войск связи А.И. Белова" Министерства обороны Российской Федерации Подвижная аппаратная службы обмена документированной информацией
RU2671808C1 (ru) * 2017-10-16 2018-11-07 Федеральное государственное бюджетное учреждение "16 Центральный научно-исследовательский испытательный ордена Красной Звезды институт имени маршала войск связи А.И. Белова" Министерства обороны Российской Федерации Мобильная аппаратная управления связью
CN110049386B (zh) 2018-01-17 2022-02-25 华为技术有限公司 通信网络及相关设备
RU2676081C1 (ru) * 2018-03-02 2018-12-26 Федеральное государственное бюджетное учреждение "16 Центральный научно-исследовательский испытательный ордена Красной Звезды институт имени маршала войск связи А.И. Белова" Министерства обороны Российской Федерации Подвижная аппаратная оперативной телефонной и документальной связи

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI107097B (fi) * 1997-09-24 2001-05-31 Nokia Networks Oy Kohdistettu yleislähetys radioverkossa
DE19750366C2 (de) * 1997-11-14 2000-01-13 Bosch Gmbh Robert Verfahren zur Nutzung von einer Zentrale angebotener Dienste durch ein Endgerät und Endgerät
DE19756587C2 (de) * 1997-12-18 2003-10-30 Siemens Ag Verfahren und Kommunikationssystem zur Verschlüsselung von Informationen für eine Funkübertragung und zur Authentifikation von Teilnehmern
FI108827B (fi) * 1998-01-08 2002-03-28 Nokia Corp Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa
FI980085A0 (fi) * 1998-01-16 1998-01-16 Finland Telecom Oy Kryptering av kortmeddelanden och annullering av krypteringen
US6510515B1 (en) * 1998-06-15 2003-01-21 Telefonaktlebolaget Lm Ericsson Broadcast service access control
US20020007453A1 (en) * 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method
FR2809555B1 (fr) * 2000-05-26 2002-07-12 Gemplus Card Int Securisation d'echanges de donnees entre des controleurs
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
US7444513B2 (en) 2001-05-14 2008-10-28 Nokia Corporiation Authentication in data communication
US7257844B2 (en) * 2001-07-31 2007-08-14 Marvell International Ltd. System and method for enhanced piracy protection in a wireless personal communication device
CA2524303A1 (en) * 2003-04-29 2004-11-11 Azaire Networks Inc. Method and system for providing sim-based roaming over existing wlan public access infrastructure

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102185846A (zh) * 2011-04-26 2011-09-14 深信服网络科技(深圳)有限公司 基于vpn的移动通讯终端安全访问数据的方法及***
CN113544999A (zh) * 2019-01-08 2021-10-22 卫士网络技术公司 一次性密码本加密集线器

Also Published As

Publication number Publication date
ES2316993T3 (es) 2009-04-16
US8458468B2 (en) 2013-06-04
ATE413077T1 (de) 2008-11-15
DE602004017519D1 (de) 2008-12-11
EP1759550A1 (en) 2007-03-07
US20070234034A1 (en) 2007-10-04
WO2006002649A1 (en) 2006-01-12
CN1977559B (zh) 2011-05-04
EP1759550B1 (en) 2008-10-29

Similar Documents

Publication Publication Date Title
CN1977559A (zh) 保护在用户之间进行通信期间交换的信息的方法和***
CN1961557A (zh) 通信网络中的安全连接方法和***
CN101406021B (zh) 基于sim的认证
US7844834B2 (en) Method and system for protecting data, related communication network and computer program product
US20110035591A1 (en) Enterprise instant message aggregator
US20100135491A1 (en) Authentication method
US20060005033A1 (en) System and method for secure communications between at least one user device and a network entity
CN1700699A (zh) 提供用于对数据数字签名、认证或加密的签名密钥的方法和移动终端
EP2195963B1 (en) Security measures for countering unauthorized decryption
CN1753359A (zh) 实现传输SyncML同步数据的方法
WO2010078755A1 (zh) 电子邮件的传送方法、***及wapi终端
CN1280727A (zh) 数据连接的安全性
CN1574738A (zh) 在移动特设网络中分配加密密钥的方法及其网络设备
CN1523914A (zh) 在芯片卡与无线终端之间建立并管理一种信任模式的方法
CN1719795A (zh) 无线局域网关联设备和方法以及相应产品
CN1929371A (zh) 用户和***设备协商共享密钥的方法
TW200833059A (en) System and method for secure record protocol using shared knowledge of mobile user credentials
US7913096B2 (en) Method and system for the cipher key controlled exploitation of data resources, related network and computer program products
TW201639328A (zh) 金鑰生成系統、資料簽章與加密系統和方法
CN101047505A (zh) 一种网络应用push业务中建立安全连接的方法及***
CN1504057A (zh) 提供无线通信装置的安全处理和数据存储的方法和设备
CN1841998A (zh) 一种终端用户安全接入软交换网络的方法
CN1859772A (zh) 一种基于通用鉴权框架的安全业务通信方法
CN1728636A (zh) 一种客户端认证的方法
CN1695362A (zh) 对预订模块的保密访问

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant