JP2019533384A - データ伝送方法、装置およびシステム - Google Patents

データ伝送方法、装置およびシステム Download PDF

Info

Publication number
JP2019533384A
JP2019533384A JP2019522492A JP2019522492A JP2019533384A JP 2019533384 A JP2019533384 A JP 2019533384A JP 2019522492 A JP2019522492 A JP 2019522492A JP 2019522492 A JP2019522492 A JP 2019522492A JP 2019533384 A JP2019533384 A JP 2019533384A
Authority
JP
Japan
Prior art keywords
key
data
public key
public
shared
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2019522492A
Other languages
English (en)
Inventor
フェイ モン
フェイ モン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2019533384A publication Critical patent/JP2019533384A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/085Payment architectures involving remote charge determination or related payment systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/204Point-of-sale [POS] network systems comprising interface for record bearing medium or carrier for electronic funds transfer or payment credit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】データ送信方法、装置、およびシステムの提供。【解決手段】本願方法は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、第1の公開鍵を搬送するデータ要求をサーバに送信するステップであって、サーバによって送信された暗号文および第2の公開鍵を受信するステップであって、第2の公開鍵は、サーバによって取得された非対称鍵ペアの中の公開鍵であり、サーバによって取得された非対称鍵ペアは、第2の秘密鍵をさらに含み、暗号文は、共有鍵を使用してオフライン支払コードを生成するためのシードパラメータを暗号化することによって取得された情報であり、共有鍵は、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である、ステップと、鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵とに基づいて共有鍵を生成し、共有鍵を使用して暗号文を復号してシードパラメータを取得するステップとを含むものである。本願は、送信プロセス全体を通してデータセキュリティを保証するだけでなく、暗号化および復号化の効率も向上させる。【選択図】図2

Description

本出願は、ネットワーク通信の技術分野に関し、特に、データ送信方法、装置、およびシステムに関する。
今日、人々はデータセキュリティ、特に伝送中のデータセキュリティにますます注意を払っている。一例としてオフライン支払いをとると、サーバ機器は、支払いコードの生成のための戦略をクライアント機器に送信することができ、クライアント機器は、その戦略を記憶する。ユーザが支払いコードを使用する必要があるとき、クライアント機器は支払いコードを生成するために戦略を使用することができる。販売業者はスキャン機器によって支払いコードをスキャンする。スキャン機器は、スキャンの結果得られた情報を検証のためにサーバ機器に送信する。その情報が検証を通過した後、お金が差し引かれる。サーバ機器がクライアント機器に戦略を送信するプロセスにおいて、クライアント機器とサーバ機器との間のチャネルのセキュリティが確保される必要がある。サーバ機器によって発行された戦略が第三者ハッカーによって傍受されると、クライアント機器のユーザによって重大な損失が発生することになる。
関連技術では、全てのクライアント機器とサーバ機器に同一の鍵が予め設定されている。サーバ機器は、送信される情報を暗号化し、暗号文をクライアント機器に送信するために鍵を使用することができる。クライアント機器は暗号文を解読するためにその鍵を使用する。しかし、クライアント機器やサーバ機器の鍵が漏れると、すべてのクライアント機器とサーバ機器が同じ鍵を共有することになり、すべてのクライアント機器とサーバ機器がセキュリティ上の危険にさらされる。
別の関連技術では、クライアント機器は、一対の非対称鍵を生成し、秘密鍵を保存し、そして公開鍵をサーバ機器にアップロードすることができる。サーバ機器は、公開鍵を使用して送信する必要がある情報を暗号化し、暗号文をクライアント機器に送信する。クライアント機器は秘密鍵を使用して暗号文を復号化する。非対称鍵アルゴリズムは各計算中に異なる乱数を使用するので、各計算中に異なる非対称鍵ペアが生成される。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器やサーバ機器の鍵の漏洩による、すべてのクライアント機器とサーバ機器のセキュリティリスクの問題を回避する。一方、暗号文は公開鍵ペアが対応する秘密鍵でしか復号できないため、公開鍵の送信中に公開鍵が傍受されたとしても、暗号文はまだ公開鍵では復号化できない。これによって情報セキュリティを確保する。しかし、非対称鍵は、暗号化には複雑な暗号化アルゴリズムを使用し、復号化には複雑な復号化アルゴリズムを使用する必要があり、そのため、暗号化と復号化には長い時間がかかる。
本願は、現在の技術における情報セキュリティと長時間の暗号化と復号化の問題を解決するためのデータ送信方法、装置、およびシステムを提供する。
本願の実施形態の第1の態様によれば、データ送信方法が提供される。この方法はクライアントに適用可能であり、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、そして第1の公開鍵を搬送するデータ要求をサーバに送信するステップと、サーバから送信された暗号文と第2の公開鍵を受信するステップであって、ここで、第2の公開鍵は、サーバによって取得された非対称鍵ペアの中の公開鍵であり、サーバによって取得された非対称鍵ペアはさらに第2の秘密鍵を含み、暗号文は、共有鍵(shared key)を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報であり、共有鍵は、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成される鍵である、ステップと、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成するステップと、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するステップと、を含む。ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して生成された第1の秘密鍵と第2の公開鍵に基づく共有鍵と同じである。
本願の実施形態の第2の態様によれば、データ伝送方法が提供され、この方法はサーバに適用可能であり、クライアントによって送信された、第1の公開鍵を搬送するデータ要求を受信するステップであって、ここでデータ要求は、オフライン支払コードを生成するためのシードパラメータを返すようにサーバに要求するためのものであり、第1の公開鍵は、クライアントによって生成される非対称鍵ペアの中の公開鍵であり、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む、ステップと、第2の公開鍵と第2の秘密鍵を含む非対称鍵ペアを取得するステップと、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて共有鍵を生成するステップと、共有鍵を使用して、データ要求が対応するシードパラメータを暗号化し、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成して、そして、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するように、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信するステップと、を含む。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第3の態様によれば、データ送信方法が提供され、データ要求者端末が、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、そして、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信するステップと、データ提供者端末が、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵を生成するステップと、データ提供者端末が、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文と第2の公開鍵とをデータ要求者端末に送信するステップと、データ要求者端末が、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、そして、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得するステップとを含む。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第4の態様によれば、データ送信装置が提供され、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成する鍵生成モジュールと、第1の公開鍵を搬送するデータ要求をサーバに送信する要求送信モジュールと、サーバによって送信された暗号文および第2の公開鍵を受信するための情報受信モジュールであって、第2の公開鍵は、サーバによって取得された非対称鍵ペアの中の公開鍵であり、サーバによって取得された非対称鍵ペアはさらに第2の秘密鍵を含み、暗号文は、共有鍵を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報であり、共有鍵は、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である、情報受信モジュールと、その鍵合意アルゴリズムを使用して第1の秘密鍵および第2の公開鍵に基づいて共有鍵を生成する共有鍵生成モジュールと、共有鍵を使用して暗号文を復号化してシードパラメータを取得するための情報復号化モジュールとを備える。
ここで、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第5の態様によれば、データ送信装置が提供され、クライアントによって送信された、第1の公開鍵を搬送するデータ要求を受信するための要求受信モジュールであって、データ要求は、オフライン支払コードを生成するためのシードパラメータを返すようにサーバに要求するためのものであり、第1の公開鍵は、クライアントによって生成された非対称鍵ペアの中の公開鍵であり、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む、要求受信モジュールと、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得するための鍵取得モジュールと、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成する共有鍵生成モジュールと、共有鍵を使用してデータ要求が対応するシードパラメータを暗号化するための情報暗号化モジュールと、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信するための情報送信モジュールであって、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、共有パラメータを使用して暗号文を復号化し、シードパラメータを取得するようにする、情報送信モジュールと、を備える。
ここで、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第6の態様によれば、データ送信システムが提供され、それは、データ要求者機器とデータ提供者機器とを備える。データ要求者機器は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、そして、第1の公開鍵を搬送するデータ要求をデータ提供者機器に送信する。データ提供者機器は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵を生成する。データ提供者機器は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文と第2の公開鍵とを対応させてデータ要求者機器に送信する。データ要求者機器は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、そして、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本出願の一実施形態の第7の態様によれば、データ要求者端末が、第1の対称鍵(symmetric key)を生成し、第1の対称鍵を搬送するデータ要求をデータ提供者端末に送信するステップと、データ提供者端末が、第2の対称鍵を取得し、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵に基づいて共有鍵を生成するステップであって、第2の対称鍵は第1の対称鍵とは異なるものである、ステップと、データ提供者端末が、共有鍵を使用してデータ要求先が対応するターゲットデータを暗号化し、暗号化から得られた暗号文と第2の対称鍵とを対応させてデータ要求者端末に送信するステップと、データ要求者端末が、その鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成し、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得するステップと、を含むデータ送信方法が提供される。
本願の実施形態の第8の態様によれば、データ要求者機器とデータ提供者機器とを備えるデータ送信システムが提供される。データ要求者機器は第1の対称鍵を生成し、第1の対称鍵を搬送するデータ要求をデータ提供者機器に送信し、データ提供者機器は第2の対称鍵を取得し、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵に基づいて共有鍵を生成する。ここで、第2の対称鍵は第1の対称鍵とは異なる。データ提供者機器は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文および第2の対称鍵をデータ要求者機器に送信する。データ要求者機器は、鍵合意アルゴリズムを使用して第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成し、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
本願の実施形態で提供されるデータ伝送方法、装置、およびシステムの適用において、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアは、データ要求者端末を介して生成されることができ、第1の公開鍵を搬送するデータ要求がデータ提供者端末に送信され、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアが、データ提供者端末を介して取得され、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵が生成され、次に、共有鍵を使用してデータ要求が対応するターゲットデータを暗号化し、最後に、暗号化から得られた暗号文と第2の公開鍵とがデータ要求者端末に送信される。データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵とに基づいて共有鍵を生成する。予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵とに基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵および第2の公開鍵に基づいて生成された共有鍵と同じであるので、提供者端末は暗号化のために共有鍵を使用することができ、データ要求者端末は復号化のために共有鍵を使用することができる。対象データを暗号化するための鍵と対象データを復号化するための鍵は同一であるため、対称暗号化および復号化アルゴリズムを使用して、データを暗号化および復号化することができる。対称暗号化アルゴリズムは、通常、シフト暗号などの方法で暗号化を行い、一方、非対称暗号化アルゴリズムは、大きな素数を見つけるなどの方法で暗号化を行う。対称暗号化アルゴリズムの暗号化プロセスは、非対称暗号化アルゴリズムの暗号化プロセスよりも単純であることがわかる。したがって、この実施形態は、複雑な非対称暗号化から生じる長い暗号化および復号化時間の欠点を回避することができ、復号化アルゴリズムと暗号化と復号化の効率を向上させる。さらに、完全な鍵が送信プロセス全体を通して公開されていないため、公開鍵がハッカーに乗っ取られても意味がなく、これにより、送信プロセス全体を通してデータセキュリティが確保される。
本願の実施形態で提供されるデータ伝送方法、装置、およびシステムの適用において、第1の対称鍵はデータ要求者端末を通して取得されることができ、第1の対称鍵を搬送するデータ要求はデータ提供者端末に送信され、第2の対称鍵はデータ提供者端末を通して得られ、事前共有鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵が生成され、共有鍵は、データ要求が対応するターゲットデータを暗号化するために使用され、最後に、暗号化から得られた暗号文と第2の対称鍵がデータ要求者端末に送信される。データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成する。データ提供者端末とデータ要求者端末は同一の鍵合意アルゴリズムを使用するので、データ提供者端末によって生成された共有鍵とデータ要求者端末によって生成された共有鍵は同一であり、そして、データ要求者端末は、生成された共有鍵を介して暗号文を復号して、ターゲットデータを取得する。共有鍵は第1の対称鍵および第2の対称鍵とは異なるため、ハッカーが対称鍵をハイジャックしたとしても、ハッカーは、本願がどの鍵合意アルゴリズムを使用したかを知らないであろう、そのため、ハッカーは暗号文を復号化することができず、それによって送信プロセス全体を通してデータセキュリティが確保されることが分かる。また、対象データを暗号化するための鍵と対象データを復号するための鍵とが同一であるため、対称鍵暗号化および復号化アルゴリズムは、複雑な非対称暗号化および復号化アルゴリズムから生じる長い暗号化、復号化時間を避けるためにデータの暗号化および復号化に使用され、それによって暗号化および復号化効率を改善する。
前述の一般的な説明およびその後の詳細な説明は例示的かつ説明的なものにすぎず、本出願を限定することはできないことが理解されるべきである。
本明細書の添付の図面は、本明細書に含まれ、その一部を構成し、本出願に準拠する実施形態を示し、本出願の原理を説明するために明細書と共に使用される。
図1Aは、本願の例示的な実施形態によって提供されるデータ伝送の適用シナリオの概略図である。 図1Bは、本願によって提供されるデータ送信方法の一実施形態のフローチャートである。 図2は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。 図3は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。 図4は、本願によって提供されるデータ伝送システムの一実施形態のブロック図である。 図5は、本願によって提供されるデータ送信装置の一実施形態のブロック図である。 図6は、本願によって提供されるデータ伝送装置の別の実施形態のブロック図である。 図7は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。 図8は、本出願によって提供されるデータ伝送システムの別の実施形態のブロック図である。
ここで、添付の図面に例を示して、例示的な実施形態を詳細に説明する。以下の説明が添付の図面を含むとき、特に断らない限り、異なる添付図面中の同じ数字は同じまたは類似の要素を表す。以下の実施形態に記載されている実施方法は、本願と一致する全ての実施方法を表すものではない。逆に、それらは添付の特許請求の範囲に詳細に記載され、本出願のいくつかの態様と一致する装置および方法の単なる例である。
本出願において使用される用語は、例示的な実施形態を説明する目的のためだけであり、そして本出願を限定することを意図しない。本出願および添付の特許請求の範囲で使用される単数形「1つの(one)」、「その(the)」、および「これ(this)」は、それらの意味が文脈において明確に示されていない限り、複数形も網羅することを意図している。また、本文中で使用されている「および/または(and/or)」という用語は、1つまたは複数の関連する列挙された項目を含む、任意のまたはすべての可能な組み合わせを指すことも理解されるべきである。
本出願は、様々な種類の情報を説明するために、第1、第2、および第3などの用語を使用することがあるが、情報はこれらの用語に限定されるべきではないことが理解されるべきである。これらの用語は、同じ種類の情報を区別することのみを目的としている。例えば、本出願の範囲から逸脱することなく、第1の情報は第2の情報とも呼ぶことができ、同様に、第2の情報は第1の情報とも呼ぶことができる。文脈に応じて、本明細書で使用される「if」という用語は、「...の時点で」、「...のとき」、または「...の決定に応じて」と解釈され得る。
人々はデータセキュリティ、特に伝送中のデータセキュリティにますます注意を払っている。図1Aに示すように、本願の例示的な実施形態によって提供されるデータ伝送の適用シナリオの概略図であるが、この概略図において、データ伝送は異なるクライアント機器とサーバ機器との間で行われることも可能である。例えば、クライアント機器がデータ要求をサーバ機器に送信し、サーバ機器がデータ要求に従って対応するターゲットデータを返す。送信プロセスでは、ハッカーが送信中のターゲットデータを傍受し、それによってユーザーに損失をもたらす可能性がある。
送信中のデータセキュリティを確実にするために、すべてのクライアント機器およびサーバ機器に同一の鍵を予め設定することができる。サーバ機器は、送信される情報を暗号化し、暗号文をクライアント機器に送信するために鍵を使用することができる。クライアント機器は暗号文を解読するためにその鍵を使用する。ただし、すべてのクライアント機器とサーバ機器が同じ鍵を共有するため、クライアント機器またはサーバ機器の鍵が漏洩した場合、すべてのクライアント機器とサーバ機器がセキュリティ上の危険にさらされる。このような事態を回避するために、他の関連技術では、クライアント機器は、一対の非対称鍵を生成し、秘密鍵を保存し、公開鍵をサーバ機器にアップロードする。サーバ機器は、公開鍵を使用して送信する必要がある情報を暗号化し、暗号文をクライアント機器に送信する。クライアント機器は秘密鍵を使用して暗号文を復号化する。非対称鍵アルゴリズムは各計算中に異なる乱数を使用するので、各計算中に異なる非対称鍵ペアが生成される。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器またはサーバ機器の鍵の漏洩に起因するすべてのクライアント機器およびサーバ機器に対するセキュリティリスクの問題を回避する。一方、暗号文は公開鍵ペアが対応する秘密鍵でしか復号できないため、公開鍵の送信中に公開鍵が傍受されたとしても、暗号文を公開鍵で復号化することはできない。それによって情報セキュリティを確保する。しかし、非対称鍵は、暗号化には複雑な暗号化アルゴリズムを使用し、復号化には複雑な復号化アルゴリズムを使用する必要があり、そのため、暗号化と復号化には長い時間がかかる。
現在の技術における情報セキュリティの問題と、暗号化と復号化に時間がかかる問題を回避するために、本願は、図1Bに示すように、データ伝送方法を提供する。図1Bは、本願によって提供されるデータ送信方法の一実施形態のフローチャートである。この方法は、以下のステップ101−ステップ108を含むことができる。
ステップ101において、データ要求者端末は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成する。
ステップ102において、データ要求者端末は、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信する。
ステップ103において、データ提供者端末は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得する。
ステップ104において、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて共有鍵を生成する。
ステップ105において、データ提供者端末は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化する。
ステップ106において、データ提供者端末は、暗号化から得られた暗号文と第2の公開鍵とをデータ要求者端末に送信する。
ステップ107において、データ要求者端末は、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成する。
ステップ108において、データ要求者端末は、共有鍵を使用して暗号文を解読してターゲットデータを取得する。
ここで、データ要求者端末はデータを要求する端末であり、データ提供者端末はデータを提供する端末である。一例では、データ要求者端末はクライアントとすることができ、データ提供者端末はサーバとすることができ、クライアントはターゲットデータを返すようにサーバに要求する。例として、オフライン支払いコードを生成するためのシードパラメータであるターゲットデータを取り上げると、データ要求は、これは、オフライン支払いをアクティブ化するための要求であり得、データ要求者端末はクライアントであり、そしてデータ提供者端末はサーバである。クライアントは、オフライン支払いをアクティブにするための要求をサーバに送信し、サーバはその要求に従ってシードパラメータをクライアントに返す。別の例では、サーバはクライアントからデータを要求することもでき、このようにして、データ要求者端末はサーバであり、データ提供者端末はクライアントであり得る。これに対して制限はない。
前述の実施形態から、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアが、データ要求者端末を介して生成され得、第1の公開鍵を搬送するデータ要求がデータ提供者端末に送信され、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアがデータ提供者端末を介して取得され、共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成され、次に、共有鍵を使用してデータ要求が対応するターゲットデータを暗号化し、最後に、暗号化から得られた暗号文と第2の公開鍵とがデータ要求者端末に送信され、そして、データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵とに基づいて共有鍵を生成することが分かる。事前共有鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じであるので、データ提供者端末は暗号化のために共有鍵を使用することができ、データ要求者端末は復号化のために共有鍵を使用することができる。対象データを暗号化するための鍵と対象データを復号するための鍵は同一であるため、対称暗号化および復号化アルゴリズムを使用して、データを暗号化および復号化することができる。対称暗号化アルゴリズムは、通常、シフト暗号などの方法で暗号化を行い、一方、非対称暗号化アルゴリズムは大きな素数を見つけるなどの方法で暗号化を行うので、対称暗号化アルゴリズムの暗号化プロセスは、非対称暗号化アルゴリズムの暗号化プロセスよりも単純であることがわかる。したがって、複雑な非対称暗号化および復号化アルゴリズムの結果として、この実施形態は、長い暗号化および復号化時間の欠点を回避することができる。暗号化と復号化の効率を向上させる。毎回異なる乱数が使用されるため、毎回異なる非対称鍵ペアが生成される。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器やサーバ機器の鍵の漏洩の結果としてのすべてのクライアント機器とサーバ機器に対するセキュリティリスクの問題を回避できる。さらに、完全な鍵は送信プロセス全体を通して公開されないため、公開鍵がハッカーに乗っ取られても意味がない。これにより、送信プロセス全体を通してデータセキュリティが確保される。
第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアの生成タイミングに特別な制限はない。例えば、非対称鍵ペアは各データ要求送信の前に生成されてもよい。別の例として、他の条件が満たされている場合など、データ要求が送信されるときに以前に生成された非対称鍵ペアが取得されることができるように、非対称鍵ペアは、データ要求が送信される直前以外のタイミングに生成されてもよい。例えば、非対称鍵ペアは設定された間隔で生成されることができ、そして、新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、第1の公開鍵と第1の秘密鍵は、鍵生成アルゴリズムを使用して生成された非対称鍵ペアであり得る。データ要求が送信される前に、データ要求者端末は毎回鍵生成アルゴリズムを使用し、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、固定された方法で格納された鍵ペアの漏洩の問題が回避され、その結果、安全でない鍵ペアを使用して、その後のすべての情報が暗号化される。
データ要求者端末が第1の公開鍵と第1の秘密鍵を取得した後、データ要求者端末は、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信することができる。ここで、データ要求は、対象データに対する要求である。
一例では、データ要求者端末は、データ要求に第1の公開鍵を直接含めることができる。これにより、データ要求を送信する速度が上がる。
別の例では、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信することは、データ要求者端末は、要求者証明書内の秘密鍵を使用して第1の公開鍵に署名し、第1の署名情報を取得することを含む。要求者証明書は、指定機関からデータ要求者端末に対して発行された証明書である。
データ要求者端末は、第1の公開鍵および第1の署名情報を搬送するデータ要求をデータ提供者端末に送信する。
この方法はさらに、データ提供者端末は、要求者証明書内の公開鍵および第1の公開鍵に基づいて第1の署名情報を検証し、検証が成功すると、データ提供者端末は暗号文と第2の公開鍵をデータ要求者端末に送信するステップを含む。
ここで、指定機関とは通常、権威があり証明書を発行できる機関を指す。指定機関によってデータ要求者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、要求者証明書は、秘密鍵と公開鍵とを含む。
1つの署名方法として、データ要求者端末はハッシュアルゴリズムを使用して第1の公開鍵に対してハッシュ演算を実行することができる。第1の情報要約を入手するには、要求者証明書の秘密鍵を使用して第1の情報要約を暗号化し、第1の署名情報を取得する。次に、第1の署名情報に基づいて、第1の公開鍵と第1の署名情報を含むデータ要求を生成する。そして、データ提供者端末にデータ要求を送信する。データ提供者端末がデータ要求を受信した後、データ提供者端末は、要求者証明書の公開鍵と第1の公開鍵に基づき、第1の署名情報を検証することができる。検証が成功すると、暗号文と第2の公開鍵がデータ提供者端末に送信される。
ここで、データ提供者端末は、以下の方法で要求者証明書の公開鍵を取得してもよい。データ要求者端末は、事前に、データ要求を送信している間、それをデータ提供者端末に同報通信する、または、データ要求者端末がそれをデータ提供者端末に送信する。
検証方法の一つとして、データ提供者端末は、ハッシュアルゴリズムを使用して、受信した第1の公開鍵に対してハッシュ演算を実行することができ、第2の情報要約を取得して、要求者証明書の公開鍵を使用して第1の署名情報を復号化し、第1の情報の要約を入手することができ、そして、第1の情報の要約が第2の情報の要約と一致しているかどうかを検証する。一貫していれば、それは検証が成功したことを意味する。データ提供者端末は、検証が成功した後にのみ、暗号文と第2の公開鍵とをデータ要求者端末に送信する動作を実行することができる。
前述の実施形態から、次のことが分かる。第1の公開鍵に署名し、第1の署名情報を首尾よく検証することは、第1の公開鍵が改ざんされていないことを保証し得る。一方、要求者証明書はデータ要求者端末が信頼できる機関によって認証された安全な端末であることを保証される。それにより、共有鍵の交渉プロセスのセキュリティが確保される。
データ提供者端末がデータ要求を受信した後、データ提供者端末は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得することができる。ここで、第2公開鍵と第2秘密鍵は、鍵生成アルゴリズムを用いて生成された鍵ペアでもよい。第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペア、および、第2の公開鍵と第2の秘密鍵を含む非対称鍵ペアは、同じ鍵生成アルゴリズムによって生成されることが分かる。鍵生成アルゴリズムは各計算中に異なる乱数を使用するため、異なるタイミングの計算中に生成された非対称鍵ペアは、ほとんど常に異なる。したがって、データ要求者端末によって生成された非対称鍵ペアは、通常の状況下で、データ提供者端末によって生成された非対称鍵ペアとは異なる。
第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアの生成タイミングに特別な制限はない。例えば、非対称鍵ペアはデータ要求が受信されるたびに生成されてもよい。別の例として、データ要求が受信されたときではないが、しかし他の条件が満たされるとき非対称鍵ペアが生成されてもよく、そのため、データ要求を受信したときに、以前に生成された非対称鍵ペアを取得することができる。例えば、非対称鍵ペアは設定された間隔で生成されてもよい。新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、データ要求を受信したとき、データ提供者端末は、毎回鍵生成アルゴリズムを使用して、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを生成する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、固定的に格納された鍵ペアの漏洩の問題を回避することができ、鍵ペアを使用して暗号化された後続のすべての情報が安全でないことになる。
データ提供者端末が第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得した後、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成することができる。その後、データ要求者端末は、鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成する。
鍵交換アルゴリズムとしても知られる鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(Elliptic Curve Cryptosystems)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を入手するために交渉することができる。
この実施形態では、予め設定された共有鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。実装方法の1つとして、データ提供者端末とデータ要求者端末によって使用される鍵合意アルゴリズムは同一である。データ提供者端末によって使用される鍵生成アルゴリズムまた、データ要求者端末も同じである。そして、鍵合意アルゴリズムおよび鍵生成アルゴリズムは以下の条件を満たす。鍵生成アルゴリズムを使用して生成された任意の2つの非対称鍵ペアに対して、2つの非対称鍵ペアのいずれかの公開鍵と他の非対称鍵ペアの秘密鍵が選択されたとき、鍵合意アルゴリズムを使用して得られた交渉結果は同一である。
第1の公開鍵は典型的には第2の公開鍵と等しくなく、第1の秘密鍵は典型的には第2の秘密鍵と等しくないことが分かる。第1の公開鍵から第1の秘密鍵を推定すること、または第2の公開鍵から第2の秘密鍵を推定することは不可能である。そして、第1の秘密鍵と第2の公開鍵とから交渉された共有鍵は、第2の秘密鍵と第1の公開鍵とから交渉された共有鍵と同一である。完全な鍵は、送信プロセス全体を通じて常に公開されることはなく、データセキュリティは送信プロセス全体を通じて保証される。さらに、対象データを暗号化するための鍵と対象データを復号するための鍵とが同一であるため、対称鍵暗号化および復号化アルゴリズムは、複雑で非対称な暗号化および復号化アルゴリズムに起因する長い暗号化および復号化時間を避けるためにデータの暗号化および復号化に使用される。それにより、暗号化および復号化の効率が向上する。
データ提供者端末が共有鍵を生成した後、データ提供者端末は、共有鍵を使用してデータ要求先が対応するターゲットデータを暗号化することができ、暗号化から得られた暗号文と第2の公開鍵とをデータ要求者端末に送信することができる。
一例では、データ提供者端末は、送信効率を改善するために第2の公開鍵をデータ要求者端末に直接送信することができる。
別の例では、この方法はさらに、データ提供者端末は、提供者証明書内の秘密鍵を使用して第2の公開鍵に署名し、第2の署名情報を取得することを含む。提供者証明書は、指定機関によってデータ提供者端末に発行された証明書である。
データ提供者端末が暗号化から得られた暗号文と第2の公開鍵をデータ要求者端末に送信すると、データ提供者端末はさらに第2の署名情報をデータ要求者端末に送信する。
データ要求者端末は、提供者証明書の公開鍵と第2の公開鍵とに基づいて第2の署名情報を検証する。検証が成功した場合、データ要求者端末は暗号文を解読する。
ここで、指定機関は、証明書の発行が可能な機関であることができる。指定機関によってデータ提供者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、提供者証明書は、秘密鍵と公開鍵を含む。
署名方法の1つとして、データ提供者端末は、ハッシュアルゴリズムを使用して、第3の情報要約を取得するために、第2の公開鍵に対してハッシュ操作を実行することができる。提供者証明書内の秘密鍵を使用して第3の情報要約を暗号化し、第2の署名情報を取得し、そして、暗号文、第2の公開鍵、および第2の署名情報をデータ要求者端末に送信する。
データ要求者端末は、提供者証明書の公開鍵と第2の公開鍵とに基づいて第2の署名情報を検証する。検証が成功した場合、データ要求者端末は暗号文を解読する。
ここで、データ要求者端末は、暗号文と第2の公開鍵を送信している間、データ提供者端末がそれをデータ要求者端末に事前にブロードキャストするか、またはデータ提供者端末がそれをデータ要求者端末に送信するという方法で提供者証明書の公開鍵を取得することがきる。
検証方法の一つとして、データ要求者端末は、ハッシュアルゴリズムを使用して、第4の情報要約を入手するために、受信した第2の公開鍵に対してハッシュ演算を実行することができる。提供者証明書内の公開鍵を使用して第2の署名情報を解読して第3の情報要約を入手し、そして第3の情報要約が第4の情報要約と一致しているかどうかを検証する。一貫していれば、それは検証が成功したことを意味する。データ要求者端末は、検証が成功した後にのみ暗号文を復号する操作を実行することができる。
前述の実施形態から、第2の公開鍵に署名し、第2の署名情報を首尾よく検証することは、第2の公開鍵が改ざんされていないことを保証し得ること、一方、提供者証明書はデータ提供者端末が信頼できる機関によって認証された安全な端末であることを保証すること、それにより、共有鍵の交渉プロセスのセキュリティが確保されることが分かる。
図2に示すように、図2は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。本実施形態は、データ伝送方法をシードパラメータの伝送に適用する。この方法はクライアントに適用可能であり、以下のステップ201−ステップ203を含み得る。
ステップ201において、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、第1の公開鍵を搬送するデータ要求をサーバに送信する。
ここで、第1の公開鍵と第1の秘密鍵とからなる非対称鍵ペアの生成タイミングに特別な制限を設ける必要はない。例えば、非対称鍵ペアは各データ要求送信の前に生成されてもよい。別の例として、非対称鍵ペアは、データ要求が送信される直前以外のタイミングに、しかし、データ要求が送信されたとき以前に生成された非対称鍵ペアを取得できるように、他の条件が満たされるときに生成されてもよい。例えば、非対称鍵ペアは設定された間隔で生成されてもよく、新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、第1の公開鍵と第1の秘密鍵は、鍵生成アルゴリズムを使用して生成された非対称鍵ペアであり得る。データ要求が送信される前に、クライアントは、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成するために、毎回鍵生成アルゴリズムを使用する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、固定的に格納された鍵ペアの漏洩の問題を回避することができ、その結果、鍵ペアを使用して暗号化された後続のすべての情報が安全でなくなる。
第1の公開鍵と第1の秘密鍵が取得された後、第1の公開鍵を搬送するデータ要求がサーバに送信され得る。ここで、データ要求は、オフライン支払いコードを生成するためのシードパラメータを返すようにサーバに要求するためのものである。
一例では、第1の公開鍵はデータ要求内で直接運ばれ、それによってデータ要求を送信する速度を上げることができる。
別の例では、第1の公開鍵を搬送するデータ要求をサーバに送信することは、以下を含む。
クライアント証明書の秘密鍵を使用して第1の公開鍵に署名し、第1の署名情報を取得する。ここで、クライアント証明書は、指定機関によってクライアントに発行された証明書である。
サーバがクライアント証明書内の公開鍵と第1の公開鍵を使用するように、第1の公開鍵と第1の署名情報を含むデータ要求をサーバに送信し、第1の署名情報を検証し、検証が成功した場合、暗号文と第2の公開鍵をクライアントに送信する。
ここで、指定機関は、証明書の発行が可能な機関であればよい。指定機関によってクライアントに発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。つまり、クライアント証明書は秘密鍵と公開鍵から構成されている。サーバは、クライアントは事前にそれをサーバにブロードキャストするか、またはデータ要求を送信しながらクライアントがサーバに送信するという方法でクライアント証明書の公開鍵を取得することができる。
本実施形態は、クライアント証明書内の秘密鍵を使用して第1の公開鍵に署名することができる。例えば、クライアントは、ハッシュアルゴリズムを使用して、第1の公開鍵に対してハッシュ演算を実行して第1の情報要約を取得することができる。クライアント証明書内の秘密鍵を使用して第1の情報要約を暗号化し、第1の署名情報を取得する。そして、第1の公開鍵および第1の署名情報を搬送するデータ要求をデータ提供者端末に送信する。
前述の実施形態から、第1の公開鍵に署名することは、サーバが第1の署名情報を検証することを容易にすることが分かる。検証が成功すると、第1の公開鍵が改ざんされないことが保証される。一方、クライアント証明書は、クライアントが信頼できる機関によって認証された安全な端末であることを保証する。それにより、共有鍵の交渉プロセスのセキュリティが確保される。
ステップ202において、サーバによって送信された暗号文および第2の公開鍵を受信する。ここで、第2の公開鍵は、サーバによって取得された非対称鍵ペアの中の公開鍵である。サーバによって取得された非対称鍵ペアはさらに第2の秘密鍵を含む。暗号文は、共有鍵を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報である。共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である。ステップ203において、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成する。そして、共有鍵を使用して暗号文を復号化し、シードパラメータを取得する。
ここで、鍵交換アルゴリズムとしても知られる鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(楕円曲線暗号システム)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を交渉することができる。
この実施形態では、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同一である。一実施形態として、データ提供者端末およびデータ要求者端末によって使用される鍵合意アルゴリズムは同一である。データ提供者端末およびデータ要求者端末によって使用される鍵生成アルゴリズムも同一である。そして、鍵合意アルゴリズムおよび鍵生成アルゴリズムは以下の条件を満たす。鍵生成アルゴリズムを使用して生成された任意の2つの非対称鍵ペアに対して。2つの非対称鍵ペアのいずれかの公開鍵と他の非対称鍵ペアの秘密鍵が選択された場合、鍵合意アルゴリズムを使用して取得された交渉結果は同じである。
第1の公開鍵は典型的には第2の公開鍵と等しくなく、第1の秘密鍵は典型的には第2の秘密鍵と等しくないので、第1の公開鍵から第1の秘密鍵を推定すること、または第2の公開鍵から第2の秘密鍵を推定することは不可能であり、第1の秘密鍵と第2の公開鍵との間で交渉された共有鍵は、第2の秘密鍵と第1の公開鍵との間で交渉された共有鍵と同一であり、完全な鍵は、送信プロセス全体を通じて常に公開されることはなく、データセキュリティは送信プロセス全体を通じて保証されることが分かる。さらに、シードパラメータを暗号化するための鍵とシードパラメータを復号するための鍵とが同一であるため、対称鍵暗号化および復号化アルゴリズムは、長い暗号化を避けるためにシードパラメータを暗号化および復号化するために使用され、複雑な非対称暗号化および復号化アルゴリズムから生じる復号化時間、それによって暗号化および復号化効率を改善する。
任意選択の実施方法では、クライアントは電子装置、特にウェアラブル機器内にあることができる。ウェアラブル機器は、比較的低いパフォーマンスに対応する構成を持つことが多いため、このソリューションがウェアラブル機器で使用される場合、対称暗号化および復号化アルゴリズムはリソースに対してそれほど要求が厳しくない。送信のセキュリティを確保しながら、このソリューションはパフォーマンスを大幅に向上させ、送信プロセス全体の効率を向上さる。さらに、着用可能な機器はスマートブレスレットを含み得る。スマートブレスレットを介して実施形態を実施することは、シードパラメータの送信セキュリティを保証するだけでなく、送信プロセス全体の効率を保証することもできる。
一例では、実施形態における方法は、セキュアエレメント(SE)を介して実行することができる。これにより、SEにおいて非対称鍵の生成、共有鍵の生成、および暗号文の復号化を実行することができる。さらに、シードパラメータもSEに格納することができる。SEはクラッキング防止機能を有するので、SEは非常に高いセキュリティレベルを有するシードパラメータを提供することができる。
また、シードパラメータをSEに格納することができ、一方、SEのアクセス権限も、指紋認識、パルス認識、顔認識、または他の検証方法を通して制御された支払いコードの生成により、設定することができ、それによって非常に高いセキュリティレベルで全体の支払いコードを提供する。
図3に示すように、図3は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。本実施形態では、そのデータ送信方法を用いてシードパラメータを送信する。この方法がサーバで使用されるとき、それは以下のステップ301−ステップ303を含み得る。
ステップ301において、第1の公開鍵を搬送し、クライアントによって送信されたデータ要求を受信する。ここで、データ要求は、オフライン支払コードを生成するためのシードパラメータを返すようにサーバに要求するためのものである。第1の公開鍵は、クライアントによって生成された非対称鍵ペアの中の公開鍵であり、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む。
ここで、データ要求が受信されたときに、そのデータ要求が第1の公開鍵のみを搬送する場合、ステップ302は直接実行されることができる。データ要求が第1の公開鍵および第1の署名情報を搬送する場合、第1の署名情報は、クライアント証明書内の公開鍵と第1の公開鍵とに基づいて検証される。ステップ302は、検証が成功した後にのみ実行される。
ここで、サーバは、クライアントは事前にそれをサーバにブロードキャストするか、またはデータ要求を送信しながらクライアントがサーバに送信するという方法でクライアント証明書の公開鍵を取得することができる。
検証方法の1つとして、サーバはハッシュアルゴリズムを使用して、受信した第1の公開鍵に対してハッシュ演算を実行して、第2の要約情報を入手することができ、クライアント証明書に公開鍵を使用して、第1の情報要約を得るために第1の署名情報を解読することができ、そして、第1の情報の要約が第2の情報の要約と一致しているかどうかを検証することができる。一貫していれば、それは検証が成功したことを意味する。その後、サーバは暗号文と第2の鍵をクライアントに返す。
ステップ302において、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵を生成する。
ステップ303において共有鍵を使用してデータ要求が対応するシードパラメータを暗号化し、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信する。それにより、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、共有鍵を使用して暗号文を復号化し、シードパラメータを取得する。
ここで、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアの生成タイミングに特別な制限を設定する必要はない。例えば、非対称鍵ペアはデータ要求が受信されるたびに生成されてもよい。別の例として、非対称鍵ペアは、データ要求を受信したときに、以前に生成された非対称鍵ペアを取得できるように、データ要求が受信されたとき以外のタイミングに他の条件が満たされたときに生成されてもよい。例えば、非対称鍵ペアは設定された間隔で生成されてもよく、新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、第2の公開鍵および第2の秘密鍵は、鍵生成アルゴリズムを使用して生成された鍵ペアであり得る。例えば、データ要求が受信されると、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを生成するために、サーバは毎回鍵生成アルゴリズムを使用する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、固定的に格納された鍵ペアの漏洩の問題を回避することができ、その結果、鍵ペアを使用して暗号化された後続のすべての情報が安全でなくなる。
ここで、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペア、および第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアは、同じ鍵生成アルゴリズムによって生成される。鍵生成アルゴリズムは各計算中に異なる乱数を使用するため、異なるタイミングに計算中に生成された非対称鍵ペアは異なるように見える。したがって、クライアントによって生成された非対称鍵ペアは、通常の状況下でサーバによって生成された非対称鍵ペアとは異なる。
サーバが第2の公開鍵と第2の秘密鍵を取得した後、サーバは、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて共有鍵を生成することができる。
鍵交換アルゴリズムとしても知られている鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(楕円曲線暗号システム)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を交渉することができる。
この実施形態では、事前共有鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。一実施形態として、データ提供者端末およびデータ要求者端末によって使用される鍵合意アルゴリズムは同一であり、データ提供者端末およびデータ要求者端末によって使用される鍵生成アルゴリズムは、また、同一である。鍵合意アルゴリズムと鍵生成アルゴリズムは、鍵生成アルゴリズムを使用して生成された任意の2つの非対称鍵ペアに対して、2つの非対称鍵ペアのいずれかの公開鍵と他の非対称鍵ペアの秘密鍵が選択された場合、交渉の結果、鍵合意アルゴリズムを使用して取得されたものは同一であるという条件を満たす。
サーバが共有鍵を取得した後、サーバはその共有鍵を使用して、データ要求が対応するシードパラメータを暗号化し、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信することができる。シードパラメータは、オフライン決済コードを生成するためのシードパラメータである。サーバがデータ要求を受信した後、サーバはデータ要求に従ってシードパラメータを取得することができる。クライアントが対応するシードパラメータは、実際の要件に応じて、同じでも異なってもよい。
第2の公開鍵の送信に関しては、一例では、送信速度を上げるために第2の公開鍵をクライアントに直接送信することができる。
別の例では、本願方法は、さらに、サーバ証明書内の秘密鍵を使用して第2の公開鍵に署名し、第2の署名情報を取得することを含む。ここで、サーバ証明書は、指定機関からサーバに対して発行された証明書である。
暗号化から得られた暗号文と第2の公開鍵をクライアントに送信しながら、クライアントがサーバ証明書内の公開鍵と第2の公開鍵に基づいて第2の署名情報を検証するように、第2の署名情報もクライアントに送信する。検証が成功した場合、クライアントは暗号文を復号化する。
ここで、指定機関は、証明書の発行が可能な機関であることができる。指定機関によってサーバに発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、サーバ証明書は、秘密鍵と公開鍵とを含む。クライアントは、サーバは事前にそれをクライアントにブロードキャストするか、またはサーバは暗号文と第2の公開鍵を送信しながらそれをクライアントに送信するという方法でサーバ証明書の公開鍵を入手することができる。
1つの署名方法として、サーバは、ハッシュアルゴリズムを使用して第2の公開鍵に対してハッシュ操作を実行して、第3の情報の要約を入手することができる。サーバ証明書内の秘密鍵を使用して第3の情報を暗号化し、第2の署名情報を取得することができ、次に、暗号文、第2の公開鍵、および第2の署名情報をクライアントに送信することができる。
クライアントは、サーバ証明書内の公開鍵と第2の公開鍵に基づいて第2の署名情報を検証することができる。成功した場合、クライアントは暗号文を復号化する。
検証方法の一つとして、クライアントは、ハッシュアルゴリズムを使用して、第4の情報要約を取得するために第2の公開鍵に対してハッシュ操作を実行することができ、サーバ証明書の公開鍵を使って第2の署名情報を復号化し、第3の情報要約を入手し、そして、第3の情報要約が第4の情報要約と一致しているかどうかを検証することができる。一貫していれば、それは検証が成功したことを意味する。クライアントは、検証が成功した後にのみ暗号文の復号化操作を実行できる。
前述の実施形態から、第2の公開鍵に署名し、第2の署名情報を首尾よく検証することは、第2の公開鍵が改ざんされないことを保証することができることが分かる。一方、サーバ証明書は、サーバが権限のある機関によって認証された安全なエンドであることを保証し、それによって共有鍵の交渉プロセスのセキュリティを保証する。
本願によって提供されるデータ伝送方法の一実施形態に対応して、本出願は、データ伝送装置およびデータ伝送システムの実施形態をさらに提供する。
図4を参照すると、本願によって提供されるデータ伝送システムの一実施形態のブロック図である。
システム40は、データ要求者機器41とデータ提供者機器42とを備える。
データ要求者機器41は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、第1の公開鍵を搬送するデータ要求をデータ提供者機器42に送信する。
データ提供者機器42は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成する。
データ提供者機器42は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化により得られた暗号文と第2の公開鍵とをデータ要求者機器41に送信する。
データ要求者機器41は、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、そして、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
任意選択の実施方法では、データ要求者機器41は、要求者証明書内の秘密鍵を使用して第1の公開鍵に署名して第1の署名情報を取得し、第1の公開鍵および第1の署名情報を搬送するデータ要求をデータ提供者機器42に送信する。ここで、要求者証明書は、指定機関によってデータ要求者機器に発行された証明書である。
データ提供者機器42が暗号文と第2の公開鍵をデータ要求者機器41に返す前に、データ提供者機器42は、要求者証明書の公開鍵と第1の公開鍵に基づいて第1の署名情報を検証し、検証が成功したと判断する。
オプションの実施方法では、データ提供者機器42は、提供者証明書内の秘密鍵を使用して第2の公開鍵に署名し、第2の署名情報を取得する。暗号化により得られた暗号文と第2の公開鍵とがデータ要求者機器41に送信されると、データ提供者機器42は、第2の署名情報をデータ要求者機器41にも送信する。ここで、提供者証明書は、指定機関によってデータ提供者機器42に発行された証明書である。
データ要求者機器41が暗号文を復号化する前に、データ要求者機器41は、提供者証明書内の公開鍵と第2の公開鍵とに基づいて第2の署名情報を検証し、検証が成功したと判断する。
図5を参照すると、本願によって提供されるデータ伝送装置の実施形態のブロック図である。
この装置は、鍵生成モジュール51、要求送信モジュール52、情報受信モジュール53、共有鍵生成モジュール54、および、情報復号モジュール55を備える。
鍵生成モジュール51は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成するためのものである。
要求送信モジュール52は、第1の公開鍵を搬送するデータ要求をサーバに送信するためのものである。
情報受信モジュール53は、サーバによって送信された暗号文および第2の公開鍵を受信するためのものである。第2の公開鍵は、サーバによって取得された非対称鍵ペア内の公開鍵であり、サーバによって取得された非対称鍵ペアは、第2の秘密鍵をさらに含む。暗号文は、共有鍵を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報であり、共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である。
共有鍵生成モジュール54は、鍵合意アルゴリズムを用いて第1の秘密鍵と第2の公開鍵とに基づいて共有鍵を生成するためのものである。
情報復号化モジュール55は、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するためのものである。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
任意選択の実施方法では、要求送信モジュール52は、指定された機関によってクライアントに発行された証明書であるクライアント証明書の秘密鍵を使用して第1の公開鍵に署名し、第1の署名情報を取得し、サーバがクライアント証明書内の公開鍵および第1の公開鍵を使用するように、第1の公開鍵および第1の署名情報を搬送するデータ要求をサーバに送信し、第1の署名情報を検証し、検証に成功した場合は暗号文と第2の公開鍵をクライアントに送信するためのものである。
図6を参照すると、本願によって提供されるデータ伝送装置の別の実施形態のブロック図である。
この装置は、要求受信モジュール61、鍵取得モジュール62、共有鍵生成モジュール63、情報暗号化モジュール64、および、情報送信モジュール65を備える。
ここで、要求受信モジュール61は、クライアントによって送信された第1の公開鍵を搬送するデータ要求を受信するためのものであり、データ要求は、オフライン支払いコードを生成するためのシードパラメータを返すようにサーバに要求するためのものであり、第1の公開鍵は、クライアントによって生成された非対称鍵ペアの中の公開鍵である。そして、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む。
鍵取得モジュール62は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得するためのものである。
共有鍵生成モジュール63は、予め設定された鍵共有アルゴリズムを用いて、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成するためのものである。
情報暗号化モジュール64は、共有鍵を使用してデータ要求が対応するシードパラメータを暗号化するためのものである。
情報送信モジュール65は、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成するように、暗号化から得られた暗号文と第2の公開鍵とをクライアントに送信し、そして、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するためのものである。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
任意選択の実施方法では、装置60はさらに、サーバ証明書内の秘密鍵を使用して第2の公開鍵に署名して第2の署名情報を取得するための署名モジュールを備える(図6には示されていない)。ここで、サーバ証明書は指定機関によってサーバに発行された証明書である。
情報送信モジュール65はさらに、クライアントがサーバ証明書内の公開鍵と第2の公開鍵に基づいて第2の署名情報を検証するように、暗号化から得られた暗号文および第2の公開鍵をクライアントに送信するときに、第2の署名情報をクライアントに送信するために使用される。検証が成功した後、クライアントは暗号文を復号化する。
これに基づいて、本出願はさらにウェアラブル機器を提供する。ウェアラブル機器は、第1の公開鍵および第1の秘密鍵を含む非対称鍵ペアを生成し、第1の公開鍵を搬送するデータ要求をサーバに送信するため、サーバによって送信された暗号文および第2の公開鍵を受信するために、SEチップで構成されている。ここで、第2の公開鍵は、サーバによって取得された非対称鍵ペアの公開鍵であり、サーバによってさらに取得された非対称鍵ペアは、第2の秘密鍵を含み、その暗号文は、共有鍵を用いてオフライン支払コードを生成するためのシードパラメータを暗号化して得られる情報であり、その共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である。このウェアラブル機器は、さらに、鍵合意アルゴリズムを使用して第1の秘密鍵および第2の公開鍵に基づいて共有鍵を生成し、その共有鍵を使用して暗号文を復号してシードパラメータを取得するために、SEチップで構成されている。ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
前述の実施形態から、ウェアラブル機器内のSEの構成を通して、非対称鍵ペアの生成、共有鍵の生成、ターゲットデータの格納、および暗号文の復号化は、SEで行われることが分かる。さらに、SEはクラッキング防止機能を有するので、SEは非常に高いセキュリティレベルを有するターゲットデータを提供することができる。
現在の技術における情報セキュリティおよび長期の暗号化および復号化の問題を回避するために、本出願はさらに、図7に示すように、代替のデータ伝送方法を提供する。図7は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。この方法は、以下のステップ701−ステップ708を含むことができる。ステップ701において、データ要求者端末は第1の対称鍵を生成する。ステップ702において、データ要求者端末は、第1の対称鍵を搬送するデータ要求をデータ提供者端末に送信する。ステップ703において、データ提供者端末は、第1の対称鍵とは異なる第2の対称鍵を取得する。ステップ704で、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成する。ステップ705で、データ提供者端末は共有鍵を使用してデータ要求が対応するターゲットデータを暗号化する。ステップ706において、データ提供者端末は、暗号化から得られた暗号文と第2の対称鍵とをデータ要求者端末に送信する。ステップ707で、データ要求者端末は、鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成する。ステップ708で、データ要求者端末は共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
前述の実施形態から、第1の対称鍵がデータ要求者端末を介して取得されてもよく、第1の対称鍵を搬送するデータ要求がデータ提供者端末に送信され、データ提供者端末を介して第2の対称鍵が取得され、予め設定された鍵合意アルゴリズムを使用して第1の対称鍵と第2の対称鍵とに基づいて共有鍵が生成され、次に、共有鍵を使用してデータ要求が対応するターゲットデータを暗号化し、最後に暗号化から得られた暗号文と第2の対称鍵をデータ要求者端末に送信し、する。データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成することが分かる。データ提供者端末とデータ要求者端末は同一の鍵合意アルゴリズムを使用するので、データ提供者端末によって生成された共有鍵とデータ要求者端末によって生成された共有鍵は同一であり、データ要求者端末は生成された共有鍵を介して暗号文を復号することができる。それによってターゲットデータを得る。非対称鍵アルゴリズムは各計算中に異なる乱数を使用するので、各計算中に異なる非対称鍵ペアが生成されることが分かる。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器またはサーバ機器の鍵の漏洩から生じるすべてのクライアント機器およびサーバ機器に対するセキュリティリスクの問題が回避される。一方、共有鍵は第1の対称鍵および第2の対称鍵とは異なるため、ハッカーが対称鍵をハイジャックしたとしても、ハッカーは本出願がどの鍵合意アルゴリズムを使用したのかを知らない。そのため、ハッカーは暗号文を復号化することができず、それによって送信プロセス全体を通してデータセキュリティが確保される。さらに、対象データを暗号化するための鍵と対象データを復号するための鍵は同一であるため、対称鍵暗号化および復号化アルゴリズムを使用してデータを暗号化および復号化し、複雑で非対称な暗号化および復号化アルゴリズムから生じる長い暗号化および復号化時間を回避し、それによって暗号化および復号化の効率を改善する。
ここで、第1の対称鍵を生成する鍵生成アルゴリズムと第2の対称鍵を生成する鍵生成アルゴリズムは同じでも異なっていてもよく、特に制限はない。鍵生成アルゴリズムによって生成された対称鍵は毎回異なるので、第2の対称鍵は第1の対称鍵とは異なる。
データ要求者端末は、第1の対称鍵を取得した後、第1の対称鍵に基づいて第1の対称鍵を搬送するデータ要求を生成することができる。ここで、データ要求は、対象データを要求するために用いられる。データ要求が生成された後、それはデータ提供者端末に送信されることができる。
一例では、データ要求者端末は、データ要求を使用して第1の対称鍵を直接搬送することによってデータ要求を送信する速度を上げることができる。
別の例では、第1の対称鍵を搬送するデータ要求をデータ提供者端末に送信することは、データ要求者端末が、要求者証明書内の秘密鍵を使用して第1の対称鍵に署名し、第1の署名情報を取得することを含む。ここで、要求者証明書は、指定機関からデータ要求者端末に対して発行された証明書である。
データ要求者端末は、第1の対称鍵および第1の署名情報を搬送するデータ要求をデータ提供者端末に送信する。
ここで、指定機関は、証明書の発行が可能な機関であればよい。指定機関によってデータ要求者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。
データ提供者端末がデータ要求を受信した後、データ提供者端末は、要求者証明書の公開鍵と第1の対称鍵に基づいて、第1の署名情報を検証することができる。検証が成功した後、データ提供者端末は暗号文と第2の対称鍵をデータ要求者端末に返す動作を実行する。
前述の実施形態から、第1の対称鍵に署名し、第1の署名情報を正常に検証することで、保証される場合があり、第1の対称鍵は改ざんされておらず、一方、要求者証明書はデータ要求者端末が信頼できる機関によって認証された安全な端末であることを保証し、それにより、共有鍵の交渉プロセスのセキュリティが確保されることが分かる。
データ提供者端末がデータ要求を受信した後、データ提供者端末は第2の対称鍵を取得することができる。データ提供者端末が第2の対称鍵を取得した後、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成することができる。
ここで、鍵交換アルゴリズムとしても知られる鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(楕円曲線暗号システム)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を交渉することができる。
データ提供者端末は、共有鍵を使用して、データ要求が対応し、暗号化から得られた暗号文および第2の対称鍵をデータ要求者端末に送信するターゲットデータを暗号化することができる。
一例では、データ提供者端末は第2の対称鍵をデータ要求者端末に直接送信して、送信効率を向上させる。
別の例では、データ提供者端末は、提供者証明書内の秘密鍵を使用して第2の対称鍵に署名して、第2の署名情報を取得する。ここで、提供者証明書は、指定機関によってデータ提供者端末に発行された証明書である。
データ提供者端末が暗号化から得られた暗号文と第2の対称鍵をデータ要求者端末に送信すると、データ提供者端末はさらに第2の署名情報をデータ要求者端末に送信する。
ここで、指定機関は、証明書の発行が可能な機関であることができる。指定機関によってデータ提供者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、提供者証明書は、秘密鍵と公開鍵を含む。
データ要求者端末は、提供者証明書内の公開鍵と第2の対称鍵とに基づいて第2の署名情報を検証する。検証が成功した後、データ要求者端末は暗号文を解読するステップを実行する。
前述の実施形態から、第2の対称鍵に署名し、第2の署名情報を首尾よく検証することは、第2の対称鍵が改ざんされていないことを保証し得、一方、提供者証明書はデータ提供者端末が信頼できる機関によって認証された安全な端末であることを保証し、それにより、共有鍵の交渉プロセスのセキュリティが確保されることが分かる。
本願によって提供されるデータ伝送方法の実施形態に対応して、本願はさらに、データ伝送システムの実施形態を提供する。
図8を参照すると、本願によって提供されるデータ伝送システムの別の実施形態のブロック図である。
システム80は、データ要求者機器81とデータ提供者機器82とを備える。
データ要求者機器81は、第1の対称鍵を生成し、第1の対称鍵を搬送するデータ要求をデータ提供者機器82に送信する。
データ提供者機器82は、第2の対称鍵を取得し、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵に基づいて共有鍵を生成する。ここで、第2の対称鍵は第1の対称鍵とは異なる。
データ提供者機器82は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、そして、暗号化から得られた暗号文と第2の共通鍵とをデータ要求者機器81に送信する。
データ要求者機器81は、鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵とに基づいて共有鍵を生成する。共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
上記の装置における各モジュールの作用効果を達成するための処理が、前述の方法における対応するステップの達成プロセスにおいて詳述されており、不必要な詳細は繰り返されない。
装置の実施形態は基本的に方法の実施形態に対応するので、装置の関連部分については、本願方法の実施形態の対応する部分を参照されたい。上述の装置の実施形態は単なる例示である。別々の構成要素として記載されたその単位は、物理的に別々であってもなくてもよく、そして、ユニットとして表示されているコンポーネントは、物理的なユニットでもそうでなくてもよい、すなわち、それらは同じ場所に配置されるか、または複数のネットワークユニットに分散されることがある。本出願の解決策の目的を達成するための実際の必要性に従って、モジュールのうちのいくつかまたはすべてを選択することができる。当業者は、創造的な努力なしにそれを理解し実行することができる。
明細書を検討し、ここに適用される発明を実施した後、当業者は、本願の他の実施形態を容易に思いつくであろう。本出願は、本出願のあらゆる修正、使用、または適応的変更を網羅することを意図している。これらの修正、使用、または適応的変更は、本願の一般原則に従う。そして、本出願によって出願されない技術分野における一般的な一般的知識または従来の技術的手段を含む。説明および実施形態は例示にすぎない。本出願の真の範囲および趣旨は、添付の特許請求の範囲によって述べられる。
本出願は、上で説明し添付の図面に示した正確な構造に限定されず、その範囲から逸脱することなく、様々な修正および変更を加えることができることを理解すべきである。本出願の範囲は添付の特許請求の範囲によって限定される。
本出願は、ネットワーク通信の技術分野に関し、特に、データ送信方法、装置、およびシステムに関する。
今日、人々はデータセキュリティ、特に伝送中のデータセキュリティにますます注意を払っている。一例としてオフライン支払いをとると、サーバ機器は、支払いコードの生成のための戦略をクライアント機器に送信することができ、クライアント機器は、その戦略を記憶する。ユーザが支払いコードを使用する必要があるとき、クライアント機器は支払いコードを生成するために戦略を使用することができる。販売業者はスキャン機器によって支払いコードをスキャンする。スキャン機器は、スキャンの結果得られた情報を検証のためにサーバ機器に送信する。その情報が検証を通過した後、お金が差し引かれる。サーバ機器がクライアント機器に戦略を送信するプロセスにおいて、クライアント機器とサーバ機器との間のチャネルのセキュリティが確保される必要がある。サーバ機器によって発行された戦略が第三者ハッカーによって傍受されると、クライアント機器のユーザによって重大な損失が発生することになる。
関連技術では、全てのクライアント機器とサーバ機器に同一の鍵が予め設定されている。サーバ機器は、送信される情報を暗号化し、暗号文をクライアント機器に送信するために鍵を使用することができる。クライアント機器は暗号文を解読するためにその鍵を使用する。しかし、クライアント機器やサーバ機器の鍵が漏れると、すべてのクライアント機器とサーバ機器が同じ鍵を共有することになり、すべてのクライアント機器とサーバ機器がセキュリティ上の危険にさらされる。
別の関連技術では、クライアント機器は、一対の非対称鍵を生成し、秘密鍵を保存し、そして公開鍵をサーバ機器にアップロードすることができる。サーバ機器は、公開鍵を使用して送信する必要がある情報を暗号化し、暗号文をクライアント機器に送信する。クライアント機器は秘密鍵を使用して暗号文を復号化する。非対称鍵アルゴリズムは各計算中に異なる乱数を使用するので、各計算中に異なる非対称鍵ペアが生成される。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器やサーバ機器の鍵の漏洩による、すべてのクライアント機器とサーバ機器のセキュリティリスクの問題を回避する。一方、暗号文は公開鍵ペアが対応する秘密鍵でしか復号できないため、公開鍵の送信中に公開鍵が傍受されたとしても、暗号文はまだ公開鍵では復号化できない。これによって情報セキュリティを確保する。しかし、非対称鍵は、暗号化には複雑な暗号化アルゴリズムを使用し、復号化には複雑な復号化アルゴリズムを使用する必要があり、そのため、暗号化と復号化には長い時間がかかる。
本願は、現在の技術における情報セキュリティと長時間の暗号化と復号化の問題を解決するためのデータ送信方法、装置、およびシステムを提供する。
本願の実施形態の第1の態様によれば、データ送信方法が提供される。この方法はクライアントに適用可能であり、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、そして第1の公開鍵を搬送するデータ要求をサーバに送信するステップと、サーバから送信された暗号文と第2の公開鍵を受信するステップであって、ここで、第2の公開鍵は、サーバによって取得された非対称鍵ペアの中の公開鍵であり、サーバによって取得された非対称鍵ペアはさらに第2の秘密鍵を含み、暗号文は、共有鍵(shared key)を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報であり、共有鍵は、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成される鍵である、ステップと、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成するステップと、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するステップと、を含む。ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して生成された第1の秘密鍵と第2の公開鍵に基づく共有鍵と同じである。
本願の実施形態の第2の態様によれば、データ伝送方法が提供され、この方法はサーバに適用可能であり、クライアントによって送信された、第1の公開鍵を搬送するデータ要求を受信するステップであって、ここでデータ要求は、オフライン支払コードを生成するためのシードパラメータを返すようにサーバに要求するためのものであり、第1の公開鍵は、クライアントによって生成される非対称鍵ペアの中の公開鍵であり、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む、ステップと、第2の公開鍵と第2の秘密鍵を含む非対称鍵ペアを取得するステップと、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて共有鍵を生成するステップと、共有鍵を使用して、データ要求が対応するシードパラメータを暗号化し、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成して、そして、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するように、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信するステップと、を含む。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第3の態様によれば、データ送信方法が提供され、データ要求者端末が、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、そして、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信するステップと、データ提供者端末が、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵を生成するステップと、データ提供者端末が、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文と第2の公開鍵とをデータ要求者端末に送信するステップと、データ要求者端末が、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、そして、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得するステップとを含む。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第4の態様によれば、データ送信装置が提供され、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成する鍵生成モジュールと、第1の公開鍵を搬送するデータ要求をサーバに送信する要求送信モジュールと、サーバによって送信された暗号文および第2の公開鍵を受信するための情報受信モジュールであって、第2の公開鍵は、サーバによって取得された非対称鍵ペアの中の公開鍵であり、サーバによって取得された非対称鍵ペアはさらに第2の秘密鍵を含み、暗号文は、共有鍵を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報であり、共有鍵は、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である、情報受信モジュールと、その鍵合意アルゴリズムを使用して第1の秘密鍵および第2の公開鍵に基づいて共有鍵を生成する共有鍵生成モジュールと、共有鍵を使用して暗号文を復号化してシードパラメータを取得するための情報復号化モジュールとを備える。
ここで、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第5の態様によれば、データ送信装置が提供され、クライアントによって送信された、第1の公開鍵を搬送するデータ要求を受信するための要求受信モジュールであって、データ要求は、オフライン支払コードを生成するためのシードパラメータを返すようにサーバに要求するためのものであり、第1の公開鍵は、クライアントによって生成された非対称鍵ペアの中の公開鍵であり、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む、要求受信モジュールと、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得するための鍵取得モジュールと、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成する共有鍵生成モジュールと、共有鍵を使用してデータ要求が対応するシードパラメータを暗号化するための情報暗号化モジュールと、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信するための情報送信モジュールであって、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、共有パラメータを使用して暗号文を復号化し、シードパラメータを取得するようにする、情報送信モジュールと、を備える。
ここで、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本願の実施形態の第6の態様によれば、データ送信システムが提供され、それは、データ要求者機器とデータ提供者機器とを備える。データ要求者機器は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、そして、第1の公開鍵を搬送するデータ要求をデータ提供者機器に送信する。データ提供者機器は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵を生成する。データ提供者機器は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文と第2の公開鍵とを対応させてデータ要求者機器に送信する。データ要求者機器は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、そして、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
本出願の一実施形態の第7の態様によれば、データ要求者端末が、第1の対称鍵(symmetric key)を生成し、第1の対称鍵を搬送するデータ要求をデータ提供者端末に送信するステップと、データ提供者端末が、第2の対称鍵を取得し、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵に基づいて共有鍵を生成するステップであって、第2の対称鍵は第1の対称鍵とは異なるものである、ステップと、データ提供者端末が、共有鍵を使用してデータ要求先が対応するターゲットデータを暗号化し、暗号化から得られた暗号文と第2の対称鍵とを対応させてデータ要求者端末に送信するステップと、データ要求者端末が、その鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成し、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得するステップと、を含むデータ送信方法が提供される。
本願の実施形態の第8の態様によれば、データ要求者機器とデータ提供者機器とを備えるデータ送信システムが提供される。データ要求者機器は第1の対称鍵を生成し、第1の対称鍵を搬送するデータ要求をデータ提供者機器に送信し、データ提供者機器は第2の対称鍵を取得し、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵に基づいて共有鍵を生成する。ここで、第2の対称鍵は第1の対称鍵とは異なる。データ提供者機器は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文および第2の対称鍵をデータ要求者機器に送信する。データ要求者機器は、鍵合意アルゴリズムを使用して第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成し、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
本願の実施形態で提供されるデータ伝送方法、装置、およびシステムの適用において、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアは、データ要求者端末を介して生成されることができ、第1の公開鍵を搬送するデータ要求がデータ提供者端末に送信され、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアが、データ提供者端末を介して取得され、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵が生成され、次に、共有鍵を使用してデータ要求が対応するターゲットデータを暗号化し、最後に、暗号化から得られた暗号文と第2の公開鍵とがデータ要求者端末に送信される。データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵とに基づいて共有鍵を生成する。予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵とに基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵および第2の公開鍵に基づいて生成された共有鍵と同じであるので、提供者端末は暗号化のために共有鍵を使用することができ、データ要求者端末は復号化のために共有鍵を使用することができる。対象データを暗号化するための鍵と対象データを復号化するための鍵は同一であるため、対称暗号化および復号化アルゴリズムを使用して、データを暗号化および復号化することができる。対称暗号化アルゴリズムは、通常、シフト暗号などの方法で暗号化を行い、一方、非対称暗号化アルゴリズムは、大きな素数を見つけるなどの方法で暗号化を行う。対称暗号化アルゴリズムの暗号化プロセスは、非対称暗号化アルゴリズムの暗号化プロセスよりも単純であることがわかる。したがって、この実施形態は、複雑な非対称暗号化から生じる長い暗号化および復号化時間の欠点を回避することができ、復号化アルゴリズムと暗号化と復号化の効率を向上させる。さらに、完全な鍵が送信プロセス全体を通して公開されていないため、公開鍵がハッカーに乗っ取られても意味がなく、これにより、送信プロセス全体を通してデータセキュリティが確保される。
本願の実施形態で提供されるデータ伝送方法、装置、およびシステムの適用において、第1の対称鍵はデータ要求者端末を通して取得されることができ、第1の対称鍵を搬送するデータ要求はデータ提供者端末に送信され、第2の対称鍵はデータ提供者端末を通して得られ、事前共有鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵が生成され、共有鍵は、データ要求が対応するターゲットデータを暗号化するために使用され、最後に、暗号化から得られた暗号文と第2の対称鍵がデータ要求者端末に送信される。データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成する。データ提供者端末とデータ要求者端末は同一の鍵合意アルゴリズムを使用するので、データ提供者端末によって生成された共有鍵とデータ要求者端末によって生成された共有鍵は同一であり、そして、データ要求者端末は、生成された共有鍵を介して暗号文を復号して、ターゲットデータを取得する。共有鍵は第1の対称鍵および第2の対称鍵とは異なるため、ハッカーが対称鍵をハイジャックしたとしても、ハッカーは、本願がどの鍵合意アルゴリズムを使用したかを知らないであろう、そのため、ハッカーは暗号文を復号化することができず、それによって送信プロセス全体を通してデータセキュリティが確保されることが分かる。また、対象データを暗号化するための鍵と対象データを復号するための鍵とが同一であるため、対称鍵暗号化および復号化アルゴリズムは、複雑な非対称暗号化および復号化アルゴリズムから生じる長い暗号化、復号化時間を避けるためにデータの暗号化および復号化に使用され、それによって暗号化および復号化効率を改善する。
前述の一般的な説明およびその後の詳細な説明は例示的かつ説明的なものにすぎず、本出願を限定することはできないことが理解されるべきである。
本明細書の添付の図面は、本明細書に含まれ、その一部を構成し、本出願に準拠する実施形態を示し、本出願の原理を説明するために明細書と共に使用される。
図1Aは、本願の例示的な実施形態によって提供されるデータ伝送の適用シナリオの概略図である。 図1Bは、本願によって提供されるデータ送信方法の一実施形態のフローチャートである。 図2は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。 図3は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。 図4は、本願によって提供されるデータ伝送システムの一実施形態のブロック図である。 図5は、本願によって提供されるデータ送信装置の一実施形態のブロック図である。 図6は、本願によって提供されるデータ伝送装置の別の実施形態のブロック図である。 図7は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。 図8は、本出願によって提供されるデータ伝送システムの別の実施形態のブロック図である。
ここで、添付の図面に例を示して、例示的な実施形態を詳細に説明する。以下の説明が添付の図面を含むとき、特に断らない限り、異なる添付図面中の同じ数字は同じまたは類似の要素を表す。以下の実施形態に記載されている実施方法は、本願と一致する全ての実施方法を表すものではない。逆に、それらは添付の特許請求の範囲に詳細に記載され、本出願のいくつかの態様と一致する装置および方法の単なる例である。
本出願において使用される用語は、例示的な実施形態を説明する目的のためだけであり、そして本出願を限定することを意図しない。本出願および添付の特許請求の範囲で使用される単数形「1つの(one)」、「その(the)」、および「これ(this)」は、それらの意味が文脈において明確に示されていない限り、複数形も網羅することを意図している。また、本文中で使用されている「および/または(and/or)」という用語は、1つまたは複数の関連する列挙された項目を含む、任意のまたはすべての可能な組み合わせを指すことも理解されるべきである。
本出願は、様々な種類の情報を説明するために、第1、第2、および第3などの用語を使用することがあるが、情報はこれらの用語に限定されるべきではないことが理解されるべきである。これらの用語は、同じ種類の情報を区別することのみを目的としている。例えば、本出願の範囲から逸脱することなく、第1の情報は第2の情報とも呼ぶことができ、同様に、第2の情報は第1の情報とも呼ぶことができる。文脈に応じて、本明細書で使用される「if」という用語は、「...の時点で」、「...のとき」、または「...の決定に応じて」と解釈され得る。
人々はデータセキュリティ、特に伝送中のデータセキュリティにますます注意を払っている。図1Aに示すように、本願の例示的な実施形態によって提供されるデータ伝送の適用シナリオの概略図であるが、この概略図において、データ伝送は異なるクライアント機器とサーバ機器との間で行われることも可能である。例えば、クライアント機器がデータ要求をサーバ機器に送信し、サーバ機器がデータ要求に従って対応するターゲットデータを返す。送信プロセスでは、ハッカーが送信中のターゲットデータを傍受し、それによってユーザーに損失をもたらす可能性がある。
送信中のデータセキュリティを確実にするために、すべてのクライアント機器およびサーバ機器に同一の鍵を予め設定することができる。サーバ機器は、送信される情報を暗号化し、暗号文をクライアント機器に送信するために鍵を使用することができる。クライアント機器は暗号文を解読するためにその鍵を使用する。ただし、すべてのクライアント機器とサーバ機器が同じ鍵を共有するため、クライアント機器またはサーバ機器の鍵が漏洩した場合、すべてのクライアント機器とサーバ機器がセキュリティ上の危険にさらされる。このような事態を回避するために、他の関連技術では、クライアント機器は、一対の非対称鍵を生成し、秘密鍵を保存し、公開鍵をサーバ機器にアップロードする。サーバ機器は、公開鍵を使用して送信する必要がある情報を暗号化し、暗号文をクライアント機器に送信する。クライアント機器は秘密鍵を使用して暗号文を復号化する。非対称鍵アルゴリズムは各計算中に異なる乱数を使用するので、各計算中に異なる非対称鍵ペアが生成される。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器またはサーバ機器の鍵の漏洩に起因するすべてのクライアント機器およびサーバ機器に対するセキュリティリスクの問題を回避する。一方、暗号文は公開鍵ペアが対応する秘密鍵でしか復号できないため、公開鍵の送信中に公開鍵が傍受されたとしても、暗号文を公開鍵で復号化することはできない。それによって情報セキュリティを確保する。しかし、非対称鍵は、暗号化には複雑な暗号化アルゴリズムを使用し、復号化には複雑な復号化アルゴリズムを使用する必要があり、そのため、暗号化と復号化には長い時間がかかる。
現在の技術における情報セキュリティの問題と、暗号化と復号化に時間がかかる問題を回避するために、本願は、図1Bに示すように、データ伝送方法を提供する。図1Bは、本願によって提供されるデータ送信方法の一実施形態のフローチャートである。この方法は、以下のステップ101−ステップ108を含むことができる。
ステップ101において、データ要求者端末は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成する。
ステップ102において、データ要求者端末は、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信する。
ステップ103において、データ提供者端末は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得する。
ステップ104において、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて共有鍵を生成する。
ステップ105において、データ提供者端末は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化する。
ステップ106において、データ提供者端末は、暗号化から得られた暗号文と第2の公開鍵とをデータ要求者端末に送信する。
ステップ107において、データ要求者端末は、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成する。
ステップ108において、データ要求者端末は、共有鍵を使用して暗号文を解読してターゲットデータを取得する。
ここで、データ要求者端末はデータを要求する端末であり、データ提供者端末はデータを提供する端末である。一例では、データ要求者端末はクライアントとすることができ、データ提供者端末はサーバとすることができ、クライアントはターゲットデータを返すようにサーバに要求する。例として、オフライン支払いコードを生成するためのシードパラメータであるターゲットデータを取り上げると、データ要求は、これは、オフライン支払いをアクティブ化するための要求であり得、データ要求者端末はクライアントであり、そしてデータ提供者端末はサーバである。クライアントは、オフライン支払いをアクティブにするための要求をサーバに送信し、サーバはその要求に従ってシードパラメータをクライアントに返す。別の例では、サーバはクライアントからデータを要求することもでき、このようにして、データ要求者端末はサーバであり、データ提供者端末はクライアントであり得る。これに対して制限はない。
前述の実施形態から、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアが、データ要求者端末を介して生成され得、第1の公開鍵を搬送するデータ要求がデータ提供者端末に送信され、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアがデータ提供者端末を介して取得され、共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成され、次に、共有鍵を使用してデータ要求が対応するターゲットデータを暗号化し、最後に、暗号化から得られた暗号文と第2の公開鍵とがデータ要求者端末に送信され、そして、データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵とに基づいて共有鍵を生成することが分かる。事前共有鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じであるので、データ提供者端末は暗号化のために共有鍵を使用することができ、データ要求者端末は復号化のために共有鍵を使用することができる。対象データを暗号化するための鍵と対象データを復号するための鍵は同一であるため、対称暗号化および復号化アルゴリズムを使用して、データを暗号化および復号化することができる。対称暗号化アルゴリズムは、通常、シフト暗号などの方法で暗号化を行い、一方、非対称暗号化アルゴリズムは大きな素数を見つけるなどの方法で暗号化を行うので、対称暗号化アルゴリズムの暗号化プロセスは、非対称暗号化アルゴリズムの暗号化プロセスよりも単純であることがわかる。したがって、複雑な非対称暗号化および復号化アルゴリズムの結果として、この実施形態は、長い暗号化および復号化時間の欠点を回避することができる。暗号化と復号化の効率を向上させる。毎回異なる乱数が使用されるため、毎回異なる非対称鍵ペアが生成される。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器やサーバ機器の鍵の漏洩の結果としてのすべてのクライアント機器とサーバ機器に対するセキュリティリスクの問題を回避できる。さらに、完全な鍵は送信プロセス全体を通して公開されないため、公開鍵がハッカーに乗っ取られても意味がない。これにより、送信プロセス全体を通してデータセキュリティが確保される。
第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアの生成タイミングに特別な制限はない。例えば、非対称鍵ペアは各データ要求送信の前に生成されてもよい。別の例として、他の条件が満たされている場合など、データ要求が送信されるときに以前に生成された非対称鍵ペアが取得されることができるように、非対称鍵ペアは、データ要求が送信される直前以外のタイミングに生成されてもよい。例えば、非対称鍵ペアは設定された間隔で生成されることができ、そして、新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、第1の公開鍵と第1の秘密鍵は、鍵生成アルゴリズムを使用して生成された非対称鍵ペアであり得る。データ要求が送信される前に、データ要求者端末は毎回鍵生成アルゴリズムを使用し、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、固定された方法で格納された鍵ペアが漏洩し、その結果、安全でない鍵ペアを使用して、その後のすべての情報が暗号化されるという問題を回避することができる。
データ要求者端末が第1の公開鍵と第1の秘密鍵を取得した後、データ要求者端末は、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信することができる。ここで、データ要求は、対象データに対する要求である。
一例では、データ要求者端末は、データ要求に第1の公開鍵を直接含めることができる。これにより、データ要求を送信する速度が上がる。
別の例では、第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信することは、データ要求者端末は、要求者証明書内の秘密鍵を使用して第1の公開鍵に署名し、第1の署名情報を取得することを含む。要求者証明書は、指定機関からデータ要求者端末に対して発行された証明書である。
データ要求者端末は、第1の公開鍵および第1の署名情報を搬送するデータ要求をデータ提供者端末に送信する。
この方法はさらに、データ提供者端末は、要求者証明書内の公開鍵および第1の公開鍵に基づいて第1の署名情報を検証し、検証が成功すると、データ提供者端末は暗号文と第2の公開鍵をデータ要求者端末に送信するステップを含む。
ここで、指定機関とは通常、権威があり証明書を発行できる機関を指す。指定機関によってデータ要求者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、要求者証明書は、秘密鍵と公開鍵とを含む。
1つの署名方法として、データ要求者端末はハッシュアルゴリズムを使用して第1の公開鍵に対してハッシュ演算を実行することができる。第1の情報要約を入手するには、要求者証明書の秘密鍵を使用して第1の情報要約を暗号化し、第1の署名情報を取得する。次に、第1の署名情報に基づいて、第1の公開鍵と第1の署名情報を含むデータ要求を生成する。そして、データ提供者端末にデータ要求を送信する。データ提供者端末がデータ要求を受信した後、データ提供者端末は、要求者証明書の公開鍵と第1の公開鍵に基づき、第1の署名情報を検証することができる。検証が成功すると、暗号文と第2の公開鍵がデータ提供者端末に送信される。
ここで、データ提供者端末は、以下の方法で要求者証明書の公開鍵を取得してもよい。データ要求者端末は、事前に、データ要求を送信している間、それをデータ提供者端末に同報通信する、または、データ要求者端末がそれをデータ提供者端末に送信する。
検証方法の一つとして、データ提供者端末は、ハッシュアルゴリズムを使用して、受信した第1の公開鍵に対してハッシュ演算を実行することができ、第2の情報要約を取得して、要求者証明書の公開鍵を使用して第1の署名情報を復号化し、第1の情報の要約を入手することができ、そして、第1の情報の要約が第2の情報の要約と一致しているかどうかを検証する。一貫していれば、それは検証が成功したことを意味する。データ提供者端末は、検証が成功した後にのみ、暗号文と第2の公開鍵とをデータ要求者端末に送信する動作を実行することができる。
前述の実施形態から、次のことが分かる。第1の公開鍵に署名し、第1の署名情報を首尾よく検証することは、第1の公開鍵が改ざんされていないことを保証し得る。一方、要求者証明書はデータ要求者端末が信頼できる機関によって認証された安全な端末であることを保証される。それにより、共有鍵の交渉プロセスのセキュリティが確保される。
データ提供者端末がデータ要求を受信した後、データ提供者端末は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得することができる。ここで、第2公開鍵と第2秘密鍵は、鍵生成アルゴリズムを用いて生成された鍵ペアでもよい。第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペア、および、第2の公開鍵と第2の秘密鍵を含む非対称鍵ペアは、同じ鍵生成アルゴリズムによって生成されることが分かる。鍵生成アルゴリズムは各計算中に異なる乱数を使用するため、異なるタイミングの計算中に生成された非対称鍵ペアは、ほとんど常に異なる。したがって、データ要求者端末によって生成された非対称鍵ペアは、通常の状況下で、データ提供者端末によって生成された非対称鍵ペアとは異なる。
第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアの生成タイミングに特別な制限はない。例えば、非対称鍵ペアはデータ要求が受信されるたびに生成されてもよい。別の例として、データ要求が受信されたときではないが、しかし他の条件が満たされるとき非対称鍵ペアが生成されてもよく、そのため、データ要求を受信したときに、以前に生成された非対称鍵ペアを取得することができる。例えば、非対称鍵ペアは設定された間隔で生成されてもよい。新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、データ要求を受信したとき、データ提供者端末は、毎回鍵生成アルゴリズムを使用して、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを生成する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、固定された方法で格納された鍵ペアが漏洩し、その結果、安全でない鍵ペアを使用して、その後のすべての情報が暗号化されるという問題を回避することができる。
データ提供者端末が第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得した後、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成することができる。その後、データ要求者端末は、鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成する。
鍵交換アルゴリズムとしても知られる鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(Elliptic Curve Cryptosystems)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を入手するために交渉することができる。
この実施形態では、予め設定された共有鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。実装方法の1つとして、データ提供者端末とデータ要求者端末によって使用される鍵合意アルゴリズムは同一である。データ提供者端末によって使用される鍵生成アルゴリズムまた、データ要求者端末も同じである。そして、鍵合意アルゴリズムおよび鍵生成アルゴリズムは以下の条件を満たす。鍵生成アルゴリズムを使用して生成された任意の2つの非対称鍵ペアに対して、2つの非対称鍵ペアのいずれかの公開鍵と他の非対称鍵ペアの秘密鍵が選択されたとき、鍵合意アルゴリズムを使用して得られた交渉結果は同一である。
第1の公開鍵は典型的には第2の公開鍵と等しくなく、第1の秘密鍵は典型的には第2の秘密鍵と等しくないことが分かる。第1の公開鍵から第1の秘密鍵を推定すること、または第2の公開鍵から第2の秘密鍵を推定することは不可能である。そして、第1の秘密鍵と第2の公開鍵とから交渉された共有鍵は、第2の秘密鍵と第1の公開鍵とから交渉された共有鍵と同一である。完全な鍵は、送信プロセス全体を通じて常に公開されることはなく、データセキュリティは送信プロセス全体を通じて保証される。さらに、対象データを暗号化するための鍵と対象データを復号するための鍵とが同一であるため、対称鍵暗号化および復号化アルゴリズムは、複雑で非対称な暗号化および復号化アルゴリズムに起因する長い暗号化および復号化時間を避けるためにデータの暗号化および復号化に使用される。それにより、暗号化および復号化の効率が向上する。
データ提供者端末が共有鍵を生成した後、データ提供者端末は、共有鍵を使用してデータ要求先が対応するターゲットデータを暗号化することができ、暗号化から得られた暗号文と第2の公開鍵とをデータ要求者端末に送信することができる。
一例では、データ提供者端末は、送信効率を改善するために第2の公開鍵をデータ要求者端末に直接送信することができる。
別の例では、この方法はさらに、データ提供者端末は、提供者証明書内の秘密鍵を使用して第2の公開鍵に署名し、第2の署名情報を取得することを含む。提供者証明書は、指定機関によってデータ提供者端末に発行された証明書である。
データ提供者端末が暗号化から得られた暗号文と第2の公開鍵をデータ要求者端末に送信すると、データ提供者端末はさらに第2の署名情報をデータ要求者端末に送信する。
データ要求者端末は、提供者証明書の公開鍵と第2の公開鍵とに基づいて第2の署名情報を検証する。検証が成功した場合、データ要求者端末は暗号文を解読する。
ここで、指定機関は、証明書の発行が可能な機関であることができる。指定機関によってデータ提供者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、提供者証明書は、秘密鍵と公開鍵を含む。
署名方法の1つとして、データ提供者端末は、ハッシュアルゴリズムを使用して、第3の情報要約を取得するために、第2の公開鍵に対してハッシュ操作を実行することができる。提供者証明書内の秘密鍵を使用して第3の情報要約を暗号化し、第2の署名情報を取得し、そして、暗号文、第2の公開鍵、および第2の署名情報をデータ要求者端末に送信する。
データ要求者端末は、提供者証明書の公開鍵と第2の公開鍵とに基づいて第2の署名情報を検証する。検証が成功した場合、データ要求者端末は暗号文を解読する。
ここで、データ要求者端末は、暗号文と第2の公開鍵を送信している間、データ提供者端末がそれをデータ要求者端末に事前にブロードキャストするか、またはデータ提供者端末がそれをデータ要求者端末に送信するという方法で提供者証明書の公開鍵を取得することがきる。
検証方法の一つとして、データ要求者端末は、ハッシュアルゴリズムを使用して、第4の情報要約を入手するために、受信した第2の公開鍵に対してハッシュ演算を実行することができる。提供者証明書内の公開鍵を使用して第2の署名情報を解読して第3の情報要約を入手し、そして第3の情報要約が第4の情報要約と一致しているかどうかを検証する。一貫していれば、それは検証が成功したことを意味する。データ要求者端末は、検証が成功した後にのみ暗号文を復号する操作を実行することができる。
前述の実施形態から、第2の公開鍵に署名し、第2の署名情報を首尾よく検証することは、第2の公開鍵が改ざんされていないことを保証し得ること、一方、提供者証明書はデータ提供者端末が信頼できる機関によって認証された安全な端末であることを保証すること、それにより、共有鍵の交渉プロセスのセキュリティが確保されることが分かる。
図2に示すように、図2は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。本実施形態は、データ伝送方法をシードパラメータの伝送に適用する。この方法はクライアントに適用可能であり、以下のステップ201−ステップ203を含み得る。
ステップ201において、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、第1の公開鍵を搬送するデータ要求をサーバに送信する。
ここで、第1の公開鍵と第1の秘密鍵とからなる非対称鍵ペアの生成タイミングに特別な制限を設ける必要はない。例えば、非対称鍵ペアは各データ要求送信の前に生成されてもよい。別の例として、非対称鍵ペアは、データ要求が送信される直前以外のタイミングに、しかし、データ要求が送信されたとき以前に生成された非対称鍵ペアを取得できるように、他の条件が満たされるときに生成されてもよい。例えば、非対称鍵ペアは設定された間隔で生成されてもよく、新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、第1の公開鍵と第1の秘密鍵は、鍵生成アルゴリズムを使用して生成された非対称鍵ペアであり得る。データ要求が送信される前に、クライアントは、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成するために、毎回鍵生成アルゴリズムを使用する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、固定された方法で格納された鍵ペアが漏洩し、その結果、安全でない鍵ペアを使用して、その後のすべての情報が暗号化されるという問題を回避することができる。
第1の公開鍵と第1の秘密鍵が取得された後、第1の公開鍵を搬送するデータ要求がサーバに送信され得る。ここで、データ要求は、オフライン支払いコードを生成するためのシードパラメータを返すようにサーバに要求するためのものである。
一例では、第1の公開鍵はデータ要求内で直接運ばれ、それによってデータ要求を送信する速度を上げることができる。
別の例では、第1の公開鍵を搬送するデータ要求をサーバに送信することは、以下を含む。
クライアント証明書の秘密鍵を使用して第1の公開鍵に署名し、第1の署名情報を取得する。ここで、クライアント証明書は、指定機関によってクライアントに発行された証明書である。
サーバがクライアント証明書内の公開鍵と第1の公開鍵を使用するように、第1の公開鍵と第1の署名情報を含むデータ要求をサーバに送信し、第1の署名情報を検証し、検証が成功した場合、暗号文と第2の公開鍵をクライアントに送信する。
ここで、指定機関は、証明書の発行が可能な機関であればよい。指定機関によってクライアントに発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。つまり、クライアント証明書は秘密鍵と公開鍵から構成されている。サーバは、クライアントは事前にそれをサーバにブロードキャストするか、またはデータ要求を送信しながらクライアントがサーバに送信するという方法でクライアント証明書の公開鍵を取得することができる。
本実施形態は、クライアント証明書内の秘密鍵を使用して第1の公開鍵に署名することができる。例えば、クライアントは、ハッシュアルゴリズムを使用して、第1の公開鍵に対してハッシュ演算を実行して第1の情報要約を取得することができる。クライアント証明書内の秘密鍵を使用して第1の情報要約を暗号化し、第1の署名情報を取得する。そして、第1の公開鍵および第1の署名情報を搬送するデータ要求をデータ提供者端末に送信する。
前述の実施形態から、第1の公開鍵に署名することは、サーバが第1の署名情報を検証することを容易にすることが分かる。検証が成功すると、第1の公開鍵が改ざんされないことが保証される。一方、クライアント証明書は、クライアントが信頼できる機関によって認証された安全な端末であることを保証する。それにより、共有鍵の交渉プロセスのセキュリティが確保される。
ステップ202において、サーバによって送信された暗号文および第2の公開鍵を受信する。ここで、第2の公開鍵は、サーバによって取得された非対称鍵ペアの中の公開鍵である。サーバによって取得された非対称鍵ペアはさらに第2の秘密鍵を含む。暗号文は、共有鍵を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報である。共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である。ステップ203において、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成する。そして、共有鍵を使用して暗号文を復号化し、シードパラメータを取得する。
ここで、鍵交換アルゴリズムとしても知られる鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(楕円曲線暗号システム)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を交渉することができる。
この実施形態では、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同一である。一実施形態として、データ提供者端末およびデータ要求者端末によって使用される鍵合意アルゴリズムは同一である。データ提供者端末およびデータ要求者端末によって使用される鍵生成アルゴリズムも同一である。そして、鍵合意アルゴリズムおよび鍵生成アルゴリズムは以下の条件を満たす。鍵生成アルゴリズムを使用して生成された任意の2つの非対称鍵ペアに対して。2つの非対称鍵ペアのいずれかの公開鍵と他の非対称鍵ペアの秘密鍵が選択された場合、鍵合意アルゴリズムを使用して取得された交渉結果は同じである。
第1の公開鍵は典型的には第2の公開鍵と等しくなく、第1の秘密鍵は典型的には第2の秘密鍵と等しくないので、第1の公開鍵から第1の秘密鍵を推定すること、または第2の公開鍵から第2の秘密鍵を推定することは不可能であり、第1の秘密鍵と第2の公開鍵との間で交渉された共有鍵は、第2の秘密鍵と第1の公開鍵との間で交渉された共有鍵と同一であり、完全な鍵は、送信プロセス全体を通じて常に公開されることはなく、データセキュリティは送信プロセス全体を通じて保証されることが分かる。さらに、シードパラメータを暗号化するための鍵とシードパラメータを復号するための鍵とが同一であるため、対称鍵暗号化および復号化アルゴリズムは、長い暗号化を避けるためにシードパラメータを暗号化および復号化するために使用され、複雑な非対称暗号化および復号化アルゴリズムから生じる復号化時間、それによって暗号化および復号化効率を改善する。
任意選択の実施方法では、クライアントは電子装置、特にウェアラブル機器内にあることができる。ウェアラブル機器は、比較的低いパフォーマンスに対応する構成を持つことが多いため、このソリューションがウェアラブル機器で使用される場合、対称暗号化および復号化アルゴリズムはリソースに対してそれほど要求が厳しくない。送信のセキュリティを確保しながら、このソリューションはパフォーマンスを大幅に向上させ、送信プロセス全体の効率を向上さる。さらに、着用可能な機器はスマートブレスレットを含み得る。スマートブレスレットを介して実施形態を実施することは、シードパラメータの送信セキュリティを保証するだけでなく、送信プロセス全体の効率を保証することもできる。
一例では、実施形態における方法は、セキュアエレメント(SE)を介して実行することができる。これにより、SEにおいて非対称鍵の生成、共有鍵の生成、および暗号文の復号化を実行することができる。さらに、シードパラメータもSEに格納することができる。SEはクラッキング防止機能を有するので、SEは非常に高いセキュリティレベルを有するシードパラメータを提供することができる。
また、シードパラメータをSEに格納することができ、一方、SEのアクセス権限も、指紋認識、パルス認識、顔認識、または他の検証方法を通して制御された支払いコードの生成により、設定することができ、それによって非常に高いセキュリティレベルで全体の支払いコードを提供する。
図3に示すように、図3は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。本実施形態では、そのデータ送信方法を用いてシードパラメータを送信する。この方法がサーバで使用されるとき、それは以下のステップ301−ステップ303を含み得る。
ステップ301において、第1の公開鍵を搬送し、クライアントによって送信されたデータ要求を受信する。ここで、データ要求は、オフライン支払コードを生成するためのシードパラメータを返すようにサーバに要求するためのものである。第1の公開鍵は、クライアントによって生成された非対称鍵ペアの中の公開鍵であり、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む。
ここで、データ要求が受信されたときに、そのデータ要求が第1の公開鍵のみを搬送する場合、ステップ302は直接実行されることができる。データ要求が第1の公開鍵および第1の署名情報を搬送する場合、第1の署名情報は、クライアント証明書内の公開鍵と第1の公開鍵とに基づいて検証される。ステップ302は、検証が成功した後にのみ実行される。
ここで、サーバは、クライアントは事前にそれをサーバにブロードキャストするか、またはデータ要求を送信しながらクライアントがサーバに送信するという方法でクライアント証明書の公開鍵を取得することができる。
検証方法の1つとして、サーバはハッシュアルゴリズムを使用して、受信した第1の公開鍵に対してハッシュ演算を実行して、第2の要約情報を入手することができ、クライアント証明書に公開鍵を使用して、第1の情報要約を得るために第1の署名情報を解読することができ、そして、第1の情報の要約が第2の情報の要約と一致しているかどうかを検証することができる。一貫していれば、それは検証が成功したことを意味する。その後、サーバは暗号文と第2の鍵をクライアントに返す。
ステップ302において、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵および第1の公開鍵に基づいて共有鍵を生成する。
ステップ303において共有鍵を使用してデータ要求が対応するシードパラメータを暗号化し、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信する。それにより、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、共有鍵を使用して暗号文を復号化し、シードパラメータを取得する。
ここで、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアの生成タイミングに特別な制限を設定する必要はない。例えば、非対称鍵ペアはデータ要求が受信されるたびに生成されてもよい。別の例として、非対称鍵ペアは、データ要求を受信したときに、以前に生成された非対称鍵ペアを取得できるように、データ要求が受信されたとき以外のタイミングに他の条件が満たされたときに生成されてもよい。例えば、非対称鍵ペアは設定された間隔で生成されてもよく、新しく生成された非対称鍵ペアはそれぞれ、以前に生成された非対称鍵ペアを置き換える。
一例では、第2の公開鍵および第2の秘密鍵は、鍵生成アルゴリズムを使用して生成された鍵ペアであり得る。例えば、データ要求が受信されると、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを生成するために、サーバは毎回鍵生成アルゴリズムを使用する。非対称鍵アルゴリズムによって生成された非対称鍵ペアは、通常の条件下では毎回異なるため、これにより、これにより、固定された方法で格納された鍵ペアが漏洩し、その結果、安全でない鍵ペアを使用して、その後のすべての情報が暗号化されるという問題を回避することができる。
ここで、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペア、および第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアは、同じ鍵生成アルゴリズムによって生成される。鍵生成アルゴリズムは各計算中に異なる乱数を使用するため、異なるタイミングに計算中に生成された非対称鍵ペアは異なるように見える。したがって、クライアントによって生成された非対称鍵ペアは、通常の状況下でサーバによって生成された非対称鍵ペアとは異なる。
サーバが第2の公開鍵と第2の秘密鍵を取得した後、サーバは、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて共有鍵を生成することができる。
鍵交換アルゴリズムとしても知られている鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(楕円曲線暗号システム)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を交渉することができる。
この実施形態では、事前共有鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。一実施形態として、データ提供者端末およびデータ要求者端末によって使用される鍵合意アルゴリズムは同一であり、データ提供者端末およびデータ要求者端末によって使用される鍵生成アルゴリズムは、また、同一である。鍵合意アルゴリズムと鍵生成アルゴリズムは、鍵生成アルゴリズムを使用して生成された任意の2つの非対称鍵ペアに対して、2つの非対称鍵ペアのいずれかの公開鍵と他の非対称鍵ペアの秘密鍵が選択された場合、交渉の結果、鍵合意アルゴリズムを使用して取得されたものは同一であるという条件を満たす。
サーバが共有鍵を取得した後、サーバはその共有鍵を使用して、データ要求が対応するシードパラメータを暗号化し、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信することができる。シードパラメータは、オフライン決済コードを生成するためのシードパラメータである。サーバがデータ要求を受信した後、サーバはデータ要求に従ってシードパラメータを取得することができる。クライアントが対応するシードパラメータは、実際の要件に応じて、同じでも異なってもよい。
第2の公開鍵の送信に関しては、一例では、送信速度を上げるために第2の公開鍵をクライアントに直接送信することができる。
別の例では、本願方法は、さらに、サーバ証明書内の秘密鍵を使用して第2の公開鍵に署名し、第2の署名情報を取得することを含む。ここで、サーバ証明書は、指定機関からサーバに対して発行された証明書である。
暗号化から得られた暗号文と第2の公開鍵をクライアントに送信しながら、クライアントがサーバ証明書内の公開鍵と第2の公開鍵に基づいて第2の署名情報を検証するように、第2の署名情報もクライアントに送信する。検証が成功した場合、クライアントは暗号文を復号化する。
ここで、指定機関は、証明書の発行が可能な機関であることができる。指定機関によってサーバに発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、サーバ証明書は、秘密鍵と公開鍵とを含む。クライアントは、サーバは事前にそれをクライアントにブロードキャストするか、またはサーバは暗号文と第2の公開鍵を送信しながらそれをクライアントに送信するという方法でサーバ証明書の公開鍵を入手することができる。
1つの署名方法として、サーバは、ハッシュアルゴリズムを使用して第2の公開鍵に対してハッシュ操作を実行して、第3の情報の要約を入手することができる。サーバ証明書内の秘密鍵を使用して第3の情報を暗号化し、第2の署名情報を取得することができ、次に、暗号文、第2の公開鍵、および第2の署名情報をクライアントに送信することができる。
クライアントは、サーバ証明書内の公開鍵と第2の公開鍵に基づいて第2の署名情報を検証することができる。成功した場合、クライアントは暗号文を復号化する。
検証方法の一つとして、クライアントは、ハッシュアルゴリズムを使用して、第4の情報要約を取得するために第2の公開鍵に対してハッシュ操作を実行することができ、サーバ証明書の公開鍵を使って第2の署名情報を復号化し、第3の情報要約を入手し、そして、第3の情報要約が第4の情報要約と一致しているかどうかを検証することができる。一貫していれば、それは検証が成功したことを意味する。クライアントは、検証が成功した後にのみ暗号文の復号化操作を実行できる。
前述の実施形態から、第2の公開鍵に署名し、第2の署名情報を首尾よく検証することは、第2の公開鍵が改ざんされないことを保証することができることが分かる。一方、サーバ証明書は、サーバが権限のある機関によって認証された安全なエンドであることを保証し、それによって共有鍵の交渉プロセスのセキュリティを保証する。
本願によって提供されるデータ伝送方法の一実施形態に対応して、本出願は、データ伝送装置およびデータ伝送システムの実施形態をさらに提供する。
図4を参照すると、本願によって提供されるデータ伝送システムの一実施形態のブロック図である。
システム40は、データ要求者機器41とデータ提供者機器42とを備える。
データ要求者機器41は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、第1の公開鍵を搬送するデータ要求をデータ提供者機器42に送信する。
データ提供者機器42は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成する。
データ提供者機器42は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、暗号化により得られた暗号文と第2の公開鍵とをデータ要求者機器41に送信する。
データ要求者機器41は、鍵合意アルゴリズムを使用して、第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成し、そして、共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
任意選択の実施方法では、データ要求者機器41は、要求者証明書内の秘密鍵を使用して第1の公開鍵に署名して第1の署名情報を取得し、第1の公開鍵および第1の署名情報を搬送するデータ要求をデータ提供者機器42に送信する。ここで、要求者証明書は、指定機関によってデータ要求者機器に発行された証明書である。
データ提供者機器42が暗号文と第2の公開鍵をデータ要求者機器41に返す前に、データ提供者機器42は、要求者証明書の公開鍵と第1の公開鍵に基づいて第1の署名情報を検証し、検証が成功したと判断する。
オプションの実施方法では、データ提供者機器42は、提供者証明書内の秘密鍵を使用して第2の公開鍵に署名し、第2の署名情報を取得する。暗号化により得られた暗号文と第2の公開鍵とがデータ要求者機器41に送信されると、データ提供者機器42は、第2の署名情報をデータ要求者機器41にも送信する。ここで、提供者証明書は、指定機関によってデータ提供者機器42に発行された証明書である。
データ要求者機器41が暗号文を復号化する前に、データ要求者機器41は、提供者証明書内の公開鍵と第2の公開鍵とに基づいて第2の署名情報を検証し、検証が成功したと判断する。
図5を参照すると、本願によって提供されるデータ伝送装置の実施形態のブロック図である。
この装置は、鍵生成モジュール51、要求送信モジュール52、情報受信モジュール53、共有鍵生成モジュール54、および、情報復号モジュール55を備える。
鍵生成モジュール51は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成するためのものである。
要求送信モジュール52は、第1の公開鍵を搬送するデータ要求をサーバに送信するためのものである。
情報受信モジュール53は、サーバによって送信された暗号文および第2の公開鍵を受信するためのものである。第2の公開鍵は、サーバによって取得された非対称鍵ペア内の公開鍵であり、サーバによって取得された非対称鍵ペアは、第2の秘密鍵をさらに含む。暗号文は、共有鍵を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報であり、共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である。
共有鍵生成モジュール54は、鍵合意アルゴリズムを用いて第1の秘密鍵と第2の公開鍵とに基づいて共有鍵を生成するためのものである。
情報復号化モジュール55は、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するためのものである。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
任意選択の実施方法では、要求送信モジュール52は、指定された機関によってクライアントに発行された証明書であるクライアント証明書の秘密鍵を使用して第1の公開鍵に署名し、第1の署名情報を取得し、サーバがクライアント証明書内の公開鍵および第1の公開鍵を使用するように、第1の公開鍵および第1の署名情報を搬送するデータ要求をサーバに送信し、第1の署名情報を検証し、検証に成功した場合は暗号文と第2の公開鍵をクライアントに送信するためのものである。
図6を参照すると、本願によって提供されるデータ伝送装置の別の実施形態のブロック図である。
この装置は、要求受信モジュール61、鍵取得モジュール62、共有鍵生成モジュール63、情報暗号化モジュール64、および、情報送信モジュール65を備える。
ここで、要求受信モジュール61は、クライアントによって送信された第1の公開鍵を搬送するデータ要求を受信するためのものであり、データ要求は、オフライン支払いコードを生成するためのシードパラメータを返すようにサーバに要求するためのものであり、第1の公開鍵は、クライアントによって生成された非対称鍵ペアの中の公開鍵である。そして、クライアントによって生成された非対称鍵ペアはさらに第1の秘密鍵を含む。
鍵取得モジュール62は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得するためのものである。
共有鍵生成モジュール63は、予め設定された鍵共有アルゴリズムを用いて、第2の秘密鍵と第1の公開鍵とに基づいて共有鍵を生成するためのものである。
情報暗号化モジュール64は、共有鍵を使用してデータ要求が対応するシードパラメータを暗号化するためのものである。
情報送信モジュール65は、鍵合意アルゴリズムを使用して、クライアントが第1の秘密鍵と第2の公開鍵に基づいて共有鍵を生成するように、暗号化から得られた暗号文と第2の公開鍵とをクライアントに送信し、そして、共有鍵を使用して暗号文を復号化し、シードパラメータを取得するためのものである。
ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
任意選択の実施方法では、装置60はさらに、サーバ証明書内の秘密鍵を使用して第2の公開鍵に署名して第2の署名情報を取得するための署名モジュールを備える(図6には示されていない)。ここで、サーバ証明書は指定機関によってサーバに発行された証明書である。
情報送信モジュール65はさらに、クライアントがサーバ証明書内の公開鍵と第2の公開鍵に基づいて第2の署名情報を検証するように、暗号化から得られた暗号文および第2の公開鍵をクライアントに送信するときに、第2の署名情報をクライアントに送信するために使用される。検証が成功した後、クライアントは暗号文を復号化する。
これに基づいて、本出願はさらにウェアラブル機器を提供する。ウェアラブル機器は、第1の公開鍵および第1の秘密鍵を含む非対称鍵ペアを生成し、第1の公開鍵を搬送するデータ要求をサーバに送信するため、サーバによって送信された暗号文および第2の公開鍵を受信するために、SEチップで構成されている。ここで、第2の公開鍵は、サーバによって取得された非対称鍵ペアの公開鍵であり、サーバによってさらに取得された非対称鍵ペアは、第2の秘密鍵を含み、その暗号文は、共有鍵を用いてオフライン支払コードを生成するためのシードパラメータを暗号化して得られる情報であり、その共有鍵は、予め設定された鍵合意アルゴリズムを使用して、第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である。このウェアラブル機器は、さらに、鍵合意アルゴリズムを使用して第1の秘密鍵および第2の公開鍵に基づいて共有鍵を生成し、その共有鍵を使用して暗号文を復号してシードパラメータを取得するために、SEチップで構成されている。ここで、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵および第1の公開鍵に基づいて生成された共有鍵は、その鍵合意アルゴリズムを使用して第1の秘密鍵と第2の公開鍵に基づいて生成された共有鍵と同じである。
前述の実施形態から、ウェアラブル機器内のSEの構成を通して、非対称鍵ペアの生成、共有鍵の生成、ターゲットデータの格納、および暗号文の復号化は、SEで行われることが分かる。さらに、SEはクラッキング防止機能を有するので、SEは非常に高いセキュリティレベルを有するターゲットデータを提供することができる。
現在の技術における情報セキュリティおよび長期の暗号化および復号化の問題を回避するために、本出願はさらに、図7に示すように、代替のデータ伝送方法を提供する。図7は、本願によって提供されるデータ送信方法の別の実施形態のフローチャートである。この方法は、以下のステップ701−ステップ708を含むことができる。ステップ701において、データ要求者端末は第1の対称鍵を生成する。ステップ702において、データ要求者端末は、第1の対称鍵を搬送するデータ要求をデータ提供者端末に送信する。ステップ703において、データ提供者端末は、第1の対称鍵とは異なる第2の対称鍵を取得する。ステップ704で、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成する。ステップ705で、データ提供者端末は共有鍵を使用してデータ要求が対応するターゲットデータを暗号化する。ステップ706において、データ提供者端末は、暗号化から得られた暗号文と第2の対称鍵とをデータ要求者端末に送信する。ステップ707で、データ要求者端末は、鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成する。ステップ708で、データ要求者端末は共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
前述の実施形態から、第1の対称鍵がデータ要求者端末を介して取得されてもよく、第1の対称鍵を搬送するデータ要求がデータ提供者端末に送信され、データ提供者端末を介して第2の対称鍵が取得され、予め設定された鍵合意アルゴリズムを使用して第1の対称鍵と第2の対称鍵とに基づいて共有鍵が生成され、次に、共有鍵を使用してデータ要求が対応するターゲットデータを暗号化し、最後に暗号化から得られた暗号文と第2の対称鍵をデータ要求者端末に送信し、する。データ要求者端末は、同じ鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成することが分かる。データ提供者端末とデータ要求者端末は同一の鍵合意アルゴリズムを使用するので、データ提供者端末によって生成された共有鍵とデータ要求者端末によって生成された共有鍵は同一であり、データ要求者端末は生成された共有鍵を介して暗号文を復号することができる。それによってターゲットデータを得る。非対称鍵アルゴリズムは各計算中に異なる乱数を使用するので、各計算中に異なる非対称鍵ペアが生成されることが分かる。したがって、異なるクライアントによって生成された非対称鍵ペアも異なり、クライアント機器またはサーバ機器の鍵の漏洩から生じるすべてのクライアント機器およびサーバ機器に対するセキュリティリスクの問題が回避される。一方、共有鍵は第1の対称鍵および第2の対称鍵とは異なるため、ハッカーが対称鍵をハイジャックしたとしても、ハッカーは本出願がどの鍵合意アルゴリズムを使用したのかを知らない。そのため、ハッカーは暗号文を復号化することができず、それによって送信プロセス全体を通してデータセキュリティが確保される。さらに、対象データを暗号化するための鍵と対象データを復号するための鍵は同一であるため、対称鍵暗号化および復号化アルゴリズムを使用してデータを暗号化および復号化し、複雑で非対称な暗号化および復号化アルゴリズムから生じる長い暗号化および復号化時間を回避し、それによって暗号化および復号化の効率を改善する。
ここで、第1の対称鍵を生成する鍵生成アルゴリズムと第2の対称鍵を生成する鍵生成アルゴリズムは同じでも異なっていてもよく、特に制限はない。鍵生成アルゴリズムによって生成された対称鍵は毎回異なるので、第2の対称鍵は第1の対称鍵とは異なる。
データ要求者端末は、第1の対称鍵を取得した後、第1の対称鍵に基づいて第1の対称鍵を搬送するデータ要求を生成することができる。ここで、データ要求は、対象データを要求するために用いられる。データ要求が生成された後、それはデータ提供者端末に送信されることができる。
一例では、データ要求者端末は、データ要求を使用して第1の対称鍵を直接搬送することによってデータ要求を送信する速度を上げることができる。
別の例では、第1の対称鍵を搬送するデータ要求をデータ提供者端末に送信することは、データ要求者端末が、要求者証明書内の秘密鍵を使用して第1の対称鍵に署名し、第1の署名情報を取得することを含む。ここで、要求者証明書は、指定機関からデータ要求者端末に対して発行された証明書である。
データ要求者端末は、第1の対称鍵および第1の署名情報を搬送するデータ要求をデータ提供者端末に送信する。
ここで、指定機関は、証明書の発行が可能な機関であればよい。指定機関によってデータ要求者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。
データ提供者端末がデータ要求を受信した後、データ提供者端末は、要求者証明書の公開鍵と第1の対称鍵に基づいて、第1の署名情報を検証することができる。検証が成功した後、データ提供者端末は暗号文と第2の対称鍵をデータ要求者端末に返す動作を実行する。
前述の実施形態から、第1の対称鍵に署名し、第1の署名情報を正常に検証することで、保証される場合があり、第1の対称鍵は改ざんされておらず、一方、要求者証明書はデータ要求者端末が信頼できる機関によって認証された安全な端末であることを保証し、それにより、共有鍵の交渉プロセスのセキュリティが確保されることが分かる。
データ提供者端末がデータ要求を受信した後、データ提供者端末は第2の対称鍵を取得することができる。データ提供者端末が第2の対称鍵を取得した後、データ提供者端末は、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵および第2の対称鍵に基づいて共有鍵を生成することができる。
ここで、鍵交換アルゴリズムとしても知られる鍵合意アルゴリズムは、例えば、ECDHアルゴリズムであり得る。ここで、ECDHは、ECC(楕円曲線暗号システム)に基づくDH(Diffie−Hellman)鍵交換アルゴリズムである。したがって、両者は秘密情報を共有することなく共通鍵を交渉することができる。
データ提供者端末は、共有鍵を使用して、データ要求が対応し、暗号化から得られた暗号文および第2の対称鍵をデータ要求者端末に送信するターゲットデータを暗号化することができる。
一例では、データ提供者端末は第2の対称鍵をデータ要求者端末に直接送信して、送信効率を向上させる。
別の例では、データ提供者端末は、提供者証明書内の秘密鍵を使用して第2の対称鍵に署名して、第2の署名情報を取得する。ここで、提供者証明書は、指定機関によってデータ提供者端末に発行された証明書である。
データ提供者端末が暗号化から得られた暗号文と第2の対称鍵をデータ要求者端末に送信すると、データ提供者端末はさらに第2の署名情報をデータ要求者端末に送信する。
ここで、指定機関は、証明書の発行が可能な機関であることができる。指定機関によってデータ提供者端末に発行された証明書は、少なくとも秘密鍵と公開鍵とを含む。言い換えれば、提供者証明書は、秘密鍵と公開鍵を含む。
データ要求者端末は、提供者証明書内の公開鍵と第2の対称鍵とに基づいて第2の署名情報を検証する。検証が成功した後、データ要求者端末は暗号文を解読するステップを実行する。
前述の実施形態から、第2の対称鍵に署名し、第2の署名情報を首尾よく検証することは、第2の対称鍵が改ざんされていないことを保証し得、一方、提供者証明書はデータ提供者端末が信頼できる機関によって認証された安全な端末であることを保証し、それにより、共有鍵の交渉プロセスのセキュリティが確保されることが分かる。
本願によって提供されるデータ伝送方法の実施形態に対応して、本願はさらに、データ伝送システムの実施形態を提供する。
図8を参照すると、本願によって提供されるデータ伝送システムの別の実施形態のブロック図である。
システム80は、データ要求者機器81とデータ提供者機器82とを備える。
データ要求者機器81は、第1の対称鍵を生成し、第1の対称鍵を搬送するデータ要求をデータ提供者機器82に送信する。
データ提供者機器82は、第2の対称鍵を取得し、予め設定された鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵に基づいて共有鍵を生成する。ここで、第2の対称鍵は第1の対称鍵とは異なる。
データ提供者機器82は、共有鍵を使用して、データ要求が対応するターゲットデータを暗号化し、そして、暗号化から得られた暗号文と第2の共通鍵とをデータ要求者機器81に送信する。
データ要求者機器81は、鍵合意アルゴリズムを使用して、第1の対称鍵と第2の対称鍵とに基づいて共有鍵を生成する。共有鍵を使用して暗号文を復号化し、ターゲットデータを取得する。
上記の装置における各モジュールの作用効果を達成するための処理が、前述の方法における対応するステップの達成プロセスにおいて詳述されており、不必要な詳細は繰り返されない。
装置の実施形態は基本的に方法の実施形態に対応するので、装置の関連部分については、本願方法の実施形態の対応する部分を参照されたい。上述の装置の実施形態は単なる例示である。別々の構成要素として記載されたその単位は、物理的に別々であってもなくてもよく、そして、ユニットとして表示されているコンポーネントは、物理的なユニットでもそうでなくてもよい、すなわち、それらは同じ場所に配置されるか、または複数のネットワークユニットに分散されることがある。本出願の解決策の目的を達成するための実際の必要性に従って、モジュールのうちのいくつかまたはすべてを選択することができる。当業者は、創造的な努力なしにそれを理解し実行することができる。
明細書を検討し、ここに適用される発明を実施した後、当業者は、本願の他の実施形態を容易に思いつくであろう。本出願は、本出願のあらゆる修正、使用、または適応的変更を網羅することを意図している。これらの修正、使用、または適応的変更は、本願の一般原則に従う。そして、本出願によって出願されない技術分野における一般的な一般的知識または従来の技術的手段を含む。説明および実施形態は例示にすぎない。本出願の真の範囲および趣旨は、添付の特許請求の範囲によって述べられる。
本出願は、上で説明し添付の図面に示した正確な構造に限定されず、その範囲から逸脱することなく、様々な修正および変更を加えることができることを理解すべきである。本出願の範囲は添付の特許請求の範囲によって限定される。

Claims (14)

  1. クライアントにおいて適用されるデータ伝送方法であって、
    第1の公開鍵および第1の秘密鍵備える非対称鍵ペアを生成するステップと、
    サーバに、該第1の公開鍵を搬送するデータ要求を送信するステップと、
    前記サーバによって送信された、暗号文および第2の公開鍵を受信するステップであって、該第2の公開鍵は、前記サーバにより取得された非対称鍵ペアにおける公開鍵であり、前記サーバにより取得された該非対称鍵ペアは、さらに、第2の秘密鍵を含み、前記暗号文は、共有鍵を用いてオフライン決済コードを生成するためのシードパラメータを暗号化した情報であり、該共有鍵は、予め設定された鍵合意アルゴリズムを使用して第2の秘密鍵と第1の公開鍵に基づいて生成された鍵である、ステップと、
    鍵合意アルゴリズムを使用して前記第1の秘密鍵と前記第2の公開鍵に基づいて共有鍵を生成し、前記シードパラメータを取得するために該共有鍵を使用して前記暗号文を復号するステップと、
    を含み、
    前記予め設定された鍵合意アルゴリズムを使用して前記第2の秘密鍵と前記第1の公開鍵とに基づいて生成された前記共有鍵は、前記鍵合意アルゴリズムを使用する前記第1の秘密鍵と前記第2の公開鍵とに基づいて生成された前記共有鍵と同一である、方法。
  2. 前記第1の公開鍵を搬送するデータ要求をサーバに送信する前記ステップは、第1の署名情報を取得するために、前記第1の公開鍵に署名するのに、クライアント証明書で秘密鍵を使用するステップであって、前記クライアント証明書は、指定機関によって前記クライアントに発行された証明書である、ステップと、
    前記サーバが、前記第1の署名情報を検証するために、前記クライアント証明書内の公開鍵と、前記第1の公開鍵とを使用し、検証が成功した場合、前記暗号文と前記第2の公開鍵を前記クライアントに送信するように、前記第1の公開鍵と前記第1の署名情報とを搬送するデータ要求をサーバに送信するステップと、
    を含む、請求項1に記載の方法。
  3. 前記クライアントは、ウェアラブル機器のなかに配置される、請求項1または2に記載の方法。
  4. 前記ウェアラブル機器は、スマート・ブレスレットを含む、請求項3に記載の方法。
  5. サーバに適用されるデータ伝送方法であって、
    クライアントによって送信された、第1の公開鍵を搬送するデータ要求を受信するステップであって、該データ要求は、オフライン支払コードを生成するためのシードパラメータを返すように該サーバに要求するためのものであり、該第1の公開鍵は該クライアントによって生成された非対称鍵ペアの中の公開鍵であり、該クライアントによって生成された該非対称鍵ペアはさらに第1の秘密鍵を含むものである、ステップと、
    第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して該第2の秘密鍵と該第1の公開鍵に基づいて共有鍵を生成するステップと、
    前記データ要求に対応するシードパラメータを暗号化するために前記共有鍵を使用して、前記クライアントが、鍵合意アルゴリズムを使用して前記第1の秘密鍵と前記第2の公開鍵に基づいて共有鍵を生成し、該共有鍵を使用して暗号文を復号して前記シードパラメータを取得するように、暗号化から取得した前記暗号文と前記第2の公開鍵をクライアントに送信するステップと、
    を含み、
    前記予め設定された鍵合意アルゴリズムを使用して前記第2の秘密鍵および前記第1の公開鍵に基づいて生成された前記共有鍵は、前記鍵合意アルゴリズムを使用して前記第1の秘密鍵および前記第2の公開鍵に基づいて生成された前記共有鍵と同一である、方法。
  6. 前記方法は、さらに、
    前記第2の公開鍵に署名し、第2の署名情報を取得するために、サーバ証明書内の秘密鍵を使用するステップであって、該サーバ証明書は、指定された機関によってサーバに発行された証明書である、ステップと、
    暗号化から得られた前記暗号文と前記第2の公開鍵を前記クライアントに送信している間に、前記サーバ証明書内の公開鍵と前記第2の公開鍵に基づいて、前記クライアントが前記第2の署名情報を検証し、検証が成功した場合は前記暗号文を復号化するように、また、前記クライアントに前記第2の署名情報を送信するステップと、
    を含む、請求項5に記載の方法。
  7. データ要求者端末が、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成するステップと、
    前記第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信するステップと、
    該データ提供者端末が、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得するステップと、
    予め設定された鍵合意アルゴリズムを使用して、前記第2の秘密鍵と前記第1の公開鍵とに基づいて共有鍵を生成するステップと、
    データ提供者端末が、前記データ要求が対応するターゲットデータを暗号化するために前記共有鍵を使用し、暗号化から得られた暗号文と前記第2の公開鍵とを前記データ要求者端末に送信するステップと、
    前記データ要求者端末が、前記鍵合意アルゴリズムを使用して、前記第1の秘密鍵および前記第2の公開鍵に基づいて共有鍵を生成するステップと、
    前記暗号文を復号化し、前記ターゲットデータを取得するために前記共有鍵を使用するステップと、
    を含むデータ伝送方法であって、
    前記予め設定された鍵合意アルゴリズムを使用して、前記第2の秘密鍵と前記第1の公開鍵に基づいて生成された前記共有鍵は、前記鍵合意アルゴリズムを使用して前記第1の秘密鍵と前記第2の公開鍵に基づいて生成された前記共有鍵と同一である、データ伝送方法。
  8. 前記第1の公開鍵を搬送するデータ要求をデータ提供者端末に送信する前記ステップは、
    前記データ要求者端末が、前記第1の公開鍵に署名して第1の署名情報を取得するために、要求者証明書内の秘密鍵を使用するステップであって、前記要求者証明書は、指定機関によって前記データ要求者端末に発行された証明書である、ステップと、
    前記データ要求者端末が、前記第1の公開鍵および前記第1の署名情報を搬送するデータ要求を前記データ提供者端末に送信するステップと、
    を含み、
    前記方法は、さらに、前記データ提供者端末が、前記要求者証明書内の公開鍵および前記第1の公開鍵に基づいて、前記第1の署名情報を検証し、検証に成功した場合、前記データ提供者端末は、前記暗号文および前記第2の公開鍵を前記データ要求者端末に送信するステップを含む、請求項7に記載の方法。
  9. 前記方法は、さらに、
    前記データ提供者端末が、前記第2の公開鍵に署名して第2の署名情報を取得するために、提供者証明書内の秘密鍵を使用するステップであって、該提供者証明書は、指定機関によってデータ提供者端末に発行された証明書である、ステップと、
    前記データ提供者端末が暗号化から得られた前記暗号文と前記第2の公開鍵とを前記データ要求者端末に送信するときに、前記データ提供者端末が、さらに前記第2の署名情報を前記データ要求者端末に送信するステップと、
    前記データ要求者端末が、前記提供者証明書内の公開鍵および前記第2の公開鍵に基づいて前記第2の署名情報を検証し、検証が成功した場合、前記データ要求者端末は前記暗号文を復号化するステップと
    を含む、請求項7に記載の方法。
  10. 第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成する鍵生成モジュールと、
    前記第1の公開鍵を搬送するデータ要求をサーバに送信する要求送信モジュールと、
    前記サーバによって送信された暗号文および第2の公開鍵を受信するための情報受信モジュールであって、前記第2の公開鍵は前記サーバによって取得された非対称鍵ペア内の公開鍵であり、前記サーバによって取得された前記非対称鍵ペアは、第2の秘密鍵をさらに含み、前記暗号文は、共有鍵を使用してオフライン支払コードを生成するためのシードパラメータを暗号化することによって取得された情報であり、前記共有鍵は、予め設定された鍵合意アルゴリズムを使用して前記第2の秘密鍵と前記第1の公開鍵に基づいて生成された鍵である、情報受信モジュールと、
    前記鍵合意アルゴリズムを使用して前記第1の秘密鍵および前記第2の公開鍵に基づいて共有鍵を生成する共有鍵生成モジュールと、
    前記共有鍵を使用して前記暗号文を復号化して前記シードパラメータを取得するための情報復号化モジュールと、
    を備えるデータ伝送装置であって、
    前記予め設定された鍵合意アルゴリズムを使用して前記第2の秘密鍵および前記第1の公開鍵に基づいて生成された前記共有鍵は、前記鍵合意アルゴリズムを使用して前記第1の秘密鍵および前記第2の公開鍵に基づいて生成された共有鍵と同一である、データ伝送装置。
  11. クライアントによって送信された、第1の公開鍵を搬送するデータ要求を受信するための要求受信モジュールであって、該データ要求はオフライン支払コードを生成するためのシードパラメータを返すようにサーバに要求するためのものであり、前記第1の公開鍵は前記クライアントによって生成された非対称鍵ペアの中の公開鍵であり、前記クライアントによって生成された前記非対称鍵ペアはさらに第1の秘密鍵を含むものである、要求受信モジュールと、
    第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得するための鍵取得モジュールと、予め設定された鍵合意アルゴリズムを使用して、前記第2の秘密鍵と前記第1の公開鍵とに基づいて共有鍵を生成する共有鍵生成モジュールと、
    前記データ要求が対応するシードパラメータを暗号化するために前記共有鍵を使用する情報暗号化モジュールと、前記鍵合意アルゴリズムを使用して前記第1の秘密鍵と前記第2の公開鍵に基づいて共有鍵を生成し、該共有鍵を使用して前記暗号文を復号して前記シードパラメータを取得するように、暗号化から得られた暗号文と第2の公開鍵をクライアントに送信するための情報送信モジュールであって、前記予め設定された鍵合意アルゴリズムを使用して前記第2の秘密鍵および前記第1の公開鍵に基づいて生成された前記共有鍵は、前記鍵合意アルゴリズムを使用して前記第1の秘密鍵および前記第2の公開鍵に基づいて生成された前記共有鍵と同一である、情報送信モジュールと、
    を備えるデータ伝送装置。
  12. データ要求者機器およびデータ提供者機器と、を備えるデータ送信システムであって、
    前記データ要求者機器は、第1の公開鍵と第1の秘密鍵とを含む非対称鍵ペアを生成し、
    前記第1の公開鍵を搬送するデータ要求をデータ提供者機器に送信し、
    前記データ提供者機器は、第2の公開鍵と第2の秘密鍵とを含む非対称鍵ペアを取得し、予め設定された鍵合意アルゴリズムを使用して前記第2の秘密鍵と前記第1の公開鍵に基づいて共有鍵を生成し、
    前記データ提供者機器は、共有鍵を使用して前記データ要求に対応するターゲットデータを暗号化し、暗号化から得られた暗号文と前記第2の公開鍵とをデータ要求者機器に送信し、
    前記データ要求者機器は、前記鍵合意アルゴリズムを使用して、前記第1の秘密鍵および前記第2の公開鍵に基づいて共有鍵を生成し、前記共有鍵を使用して前記暗号文を復号化して前記シードパラメータを取得する、
    データ送信システムであり、
    前記予め設定された鍵合意アルゴリズムを使用して前記第2の秘密鍵および前記第1の公開鍵に基づいて生成された共有鍵は、前記鍵合意アルゴリズムを使用して前記第1の秘密鍵および前記第2の公開鍵に基づいて生成された前記共有鍵と同一である、データ送信システム。
  13. データ要求者端末が、第1の対称鍵を生成し、該第1の対称鍵を搬送するデータ要求をデータ提供者端末に送信するステップと、
    前記データ提供者端末が、第2の対称鍵を取得し、前記第1の対称鍵と該第2の対称鍵とに基づいて予め設定された鍵合意アルゴリズムを使用して共有鍵を生成するステップであって、該第2の対称鍵は前記第1の対称鍵とは異なるものである、ステップと、
    前記データ提供者端末が、前記共有鍵を使用して前記データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文および前記第2の対称鍵を前記データ要求者端末に送信するステップと、
    前記データ要求者端末が、前記第1の対称鍵および前記第2の対称鍵に基づいて、鍵合意アルゴリズムを使用して共有鍵を生成し、該共有鍵を使用して前記暗号文を復号化して前記ターゲットデータを取得するステップと、
    を含むデータ伝送方法。
  14. データ要求者機器とデータ提供者機器とを備えるデータ送信システムであって、
    前記データ要求者機器は、第1の対称鍵を生成し、該第1の対称鍵を搬送するデータ要求を前記データ提供者機器に送信し、前記データ提供者機器は、第2の対称鍵を取得し、予め設定された鍵合意アルゴリズムを使用して前記第1の対称鍵および該第2の対称鍵に基づいて共有鍵を生成し、ここで、該第2の対称鍵は前記第1の対称鍵とは異なるものであり、
    前記データ提供者機器は、前記共有鍵を使用して前記データ要求が対応するターゲットデータを暗号化し、暗号化から得られた暗号文および前記第2の対称鍵を前記データ要求者機器に送信し、前記データ要求者機器は、鍵合意アルゴリズムを使用して、前記第1の対称鍵および前記第2の対称鍵に基づいて共有鍵を生成し、該共有鍵を使用して暗号文を復号化して、前記ターゲットデータを取得する、
    データ送信システム。
JP2019522492A 2016-10-26 2017-10-18 データ伝送方法、装置およびシステム Withdrawn JP2019533384A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610950976.4A CN107040369B (zh) 2016-10-26 2016-10-26 数据传输方法、装置及***
CN201610950976.4 2016-10-26
PCT/CN2017/106662 WO2018077086A1 (zh) 2016-10-26 2017-10-18 数据传输方法、装置及***

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020158919A Division JP7119040B2 (ja) 2016-10-26 2020-09-23 データ伝送方法、装置およびシステム

Publications (1)

Publication Number Publication Date
JP2019533384A true JP2019533384A (ja) 2019-11-14

Family

ID=59533121

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019522492A Withdrawn JP2019533384A (ja) 2016-10-26 2017-10-18 データ伝送方法、装置およびシステム
JP2020158919A Active JP7119040B2 (ja) 2016-10-26 2020-09-23 データ伝送方法、装置およびシステム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2020158919A Active JP7119040B2 (ja) 2016-10-26 2020-09-23 データ伝送方法、装置およびシステム

Country Status (16)

Country Link
US (1) US20190253249A1 (ja)
EP (1) EP3534565B1 (ja)
JP (2) JP2019533384A (ja)
KR (2) KR20200127264A (ja)
CN (2) CN107040369B (ja)
AU (2) AU2017352361B2 (ja)
BR (1) BR112019008371A2 (ja)
CA (1) CA3041664C (ja)
ES (1) ES2837039T3 (ja)
MX (1) MX2019004948A (ja)
PH (1) PH12019500938A1 (ja)
RU (1) RU2715163C1 (ja)
SG (1) SG11201903671WA (ja)
TW (1) TWI641258B (ja)
WO (1) WO2018077086A1 (ja)
ZA (1) ZA201902947B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022020059A (ja) * 2020-11-30 2022-01-31 アポロ インテリジェント コネクティビティ (ベイジン) テクノロジー カンパニー リミテッド 鍵保護処理方法、装置、機器及び記憶媒体

Families Citing this family (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107040369B (zh) * 2016-10-26 2020-02-11 阿里巴巴集团控股有限公司 数据传输方法、装置及***
CN107707357A (zh) * 2017-10-10 2018-02-16 武汉斗鱼网络科技有限公司 应用二次打包检测方法、存储介质、电子设备及***
CN109729041B (zh) * 2017-10-27 2022-03-18 上海策赢网络科技有限公司 一种加密内容的发布以及获取方法及装置
CN107846685A (zh) * 2017-11-16 2018-03-27 北京小米移动软件有限公司 配置信息的传输方法、装置及***、存储介质
CN107948212A (zh) * 2018-01-10 2018-04-20 武汉斗鱼网络科技有限公司 一种日志的处理方法及装置
CN110661748B (zh) * 2018-06-28 2022-01-04 武汉斗鱼网络科技有限公司 一种日志的加密方法、解密方法及装置
BR112021000563A2 (pt) * 2018-07-17 2021-04-06 Koninklijke Philips N.V. Segundo dispositivo criptográfico, primeiro dispositivo criptográfico, método criptográfico para compartilhar uma palavra de código e mídia legível por computador
FR3084554B1 (fr) * 2018-07-30 2022-02-18 Ingenico Group Procede de transmission securisee de donnees entre un terminal de paiement et une imprimante sans fil
CN110830413B (zh) * 2018-08-07 2023-09-26 京东科技控股股份有限公司 通信方法、客户端、服务器、通信装置和***
US11399284B1 (en) * 2018-09-28 2022-07-26 Helium Systems, Inc. Systems and methods for providing and using proof of coverage in a decentralized wireless network
CN109245886A (zh) * 2018-11-02 2019-01-18 美的集团股份有限公司 密钥协商方法、设备、存储介质以及***
CN111224921A (zh) * 2018-11-26 2020-06-02 北京京东尚科信息技术有限公司 安全传输方法和安全传输***
US11616651B2 (en) * 2019-01-04 2023-03-28 Baidu Usa Llc Method for establishing a secure information exchange channel between a host system and a data processing accelerator
EP3811557A4 (en) * 2019-01-04 2022-04-13 Baidu.com Times Technology (Beijing) Co., Ltd. METHOD AND SYSTEM FOR DERIVING A SESSION KEY TO SECURE AN INFORMATION EXCHANGE CHANNEL BETWEEN A HOST SYSTEM AND A DATA PROCESSING ACCELERATOR
CN109617916A (zh) * 2019-01-16 2019-04-12 北京云中融信网络科技有限公司 秘钥处理方法及即时通讯***
CN111464486B (zh) * 2019-01-22 2023-04-07 阿里巴巴集团控股有限公司 信息交互方法、装置以及计算设备
CN110417722B (zh) * 2019-03-21 2021-08-31 腾讯科技(深圳)有限公司 一种业务数据通信方法、通信设备及存储介质
CN111988268A (zh) * 2019-05-24 2020-11-24 魏文科 利用非对称式加密算法建立、验证输入值的方法及其应用
US11212264B1 (en) * 2019-05-30 2021-12-28 Wells Fargo Bank, N.A. Systems and methods for third party data protection
WO2021011343A1 (en) * 2019-07-12 2021-01-21 Ethopass, Llc Data protection and recovery systems and methods
CN110365482B (zh) * 2019-08-01 2023-05-16 恒宝股份有限公司 一种数据通信方法和装置
CN111181909B (zh) * 2019-08-07 2022-02-15 腾讯科技(深圳)有限公司 一种身份信息的获取方法及相关装置
CN112637109B (zh) * 2019-09-24 2023-09-05 北京京东尚科信息技术有限公司 数据传输方法、***、电子设备及计算机可读介质
CN110912920A (zh) * 2019-12-03 2020-03-24 望海康信(北京)科技股份公司 数据处理方法、设备及介质
CN111064736A (zh) * 2019-12-25 2020-04-24 中国联合网络通信集团有限公司 数据传输方法及设备
CN111193797B (zh) * 2019-12-30 2022-10-11 海尔优家智能科技(北京)有限公司 具有可信计算架构的物联网操作***的信息处理方法
CN113127814B (zh) * 2019-12-31 2023-03-14 杭州海康威视数字技术股份有限公司 软件防抄方法、装置、电子设备及可读存储介质
CN111192050B (zh) * 2019-12-31 2023-08-11 成都库珀创新科技有限公司 一种数字资产私钥存储提取方法及装置
CN111415252A (zh) * 2020-01-23 2020-07-14 众安信息技术服务有限公司 一种基于区块链的隐私交易处理方法和装置
CN111327605B (zh) * 2020-01-23 2022-09-13 北京无限光场科技有限公司 传输私密信息的方法、终端、服务器和***
CN111416718A (zh) * 2020-03-13 2020-07-14 浙江华消科技有限公司 通讯密钥的接收方法及装置、发送方法及装置
CN111556025B (zh) * 2020-04-02 2023-06-02 深圳壹账通智能科技有限公司 基于加密、解密操作的数据传输方法、***和计算机设备
CN111510288B (zh) * 2020-04-09 2022-09-09 北京奇艺世纪科技有限公司 密钥管理方法、电子设备及存储介质
CN111586070A (zh) * 2020-05-15 2020-08-25 北京中油瑞飞信息技术有限责任公司 三相计量设备通信方法、装置、三相计量设备及存储介质
US20210367767A1 (en) * 2020-05-21 2021-11-25 Marvell Asia Pte. Ltd. Methods and systems for secure network communication
CN114301613B (zh) * 2020-09-22 2023-08-22 华为技术有限公司 安全通信的方法和装置
CN112261112B (zh) * 2020-10-16 2023-04-18 华人运通(上海)云计算科技有限公司 一种信息共享方法、装置及***、电子设备及存储介质
CN112351023A (zh) * 2020-10-30 2021-02-09 杭州安恒信息技术股份有限公司 一种数据共享和传输的方法及***
CN114531225A (zh) * 2020-11-02 2022-05-24 深圳Tcl新技术有限公司 端到端通信加密方法、装置、存储介质及终端设备
CN112187832A (zh) * 2020-11-03 2021-01-05 北京指掌易科技有限公司 数据传输方法和电子设备
CN112069530A (zh) * 2020-11-12 2020-12-11 南京信易达计算技术有限公司 一种基于Linux内核的存储专用操作***
CN112468477A (zh) * 2020-11-20 2021-03-09 中国建设银行股份有限公司 基于服务台网关的数据对接方法、装置及存储介质
CN112491549A (zh) * 2020-12-08 2021-03-12 平安国际智慧城市科技股份有限公司 数据信息加密校验方法、***及计算机可读存储介质
CN112636906A (zh) * 2020-12-11 2021-04-09 海光信息技术股份有限公司 密钥协商方法及装置
CN112383395B (zh) * 2020-12-11 2024-01-23 海光信息技术股份有限公司 密钥协商方法及装置
CN113822664B (zh) * 2020-12-23 2023-11-03 京东科技控股股份有限公司 用于开通离线支付的方法、装置、***、终端、服务器和介质
CN112990910A (zh) * 2020-12-25 2021-06-18 深圳酷派技术有限公司 二维码生成方法、相关装置及计算机存储介质
CN113807854B (zh) * 2020-12-29 2024-02-09 京东科技控股股份有限公司 用于电子支付的方法、装置、***、电子设备和介质
CN114697017B (zh) * 2020-12-31 2024-01-16 华为技术有限公司 一种密钥协商的方法及其相关设备
CN112954388B (zh) * 2021-02-02 2024-04-09 视联动力信息技术股份有限公司 一种数据文件的获取方法、装置、终端设备和存储介质
CN112953725B (zh) * 2021-02-23 2022-12-06 浙江大华技术股份有限公司 设备私钥的确定方法及装置、存储介质、电子装置
CN113114627B (zh) * 2021-03-19 2023-01-31 京东科技信息技术有限公司 一种基于密钥交换的安全数据交互方法以及交互***
CN113079022B (zh) * 2021-03-31 2022-02-18 郑州信大捷安信息技术股份有限公司 一种基于sm2密钥协商机制的安全传输方法和***
CN113411347B (zh) * 2021-06-30 2023-02-28 中国农业银行股份有限公司 交易报文的处理方法及处理装置
CN115567195A (zh) * 2021-07-01 2023-01-03 中移物联网有限公司 安全通信方法、客户端、服务器、终端和网络侧设备
CN113691495B (zh) * 2021-07-09 2023-09-01 沈谷丰 一种基于非对称加密的网络账户共享和分发***及方法
CN113572604B (zh) * 2021-07-22 2023-05-23 航天信息股份有限公司 一种发送密钥的方法、装置、***及电子设备
CN113556738B (zh) * 2021-07-23 2024-06-14 广州鲁邦通物联网科技股份有限公司 一种dtu设备与节点设备的密钥协商方法、dtu设备、节点设备以及密钥协商***
CN114050897B (zh) * 2021-08-20 2023-10-03 北卡科技有限公司 一种基于sm9的异步密钥协商方法及装置
CN113806749B (zh) * 2021-09-23 2024-04-05 航天信息股份有限公司 一种升级方法、装置及存储介质
CN114040221B (zh) * 2021-11-25 2023-09-22 国芯科技(广州)有限公司 基于机顶盒服务器端双签名的安全认证的防拷贝方法
CN114155632B (zh) * 2021-11-30 2023-10-31 深圳市同创新佳科技有限公司 一种联网型酒店电子门锁加密通信密钥分发方法
CN114255530B (zh) * 2021-12-06 2024-01-16 深圳供电局有限公司 一种用于供电设备的智能锁具的通信安全保障方法及***
CN114239065A (zh) * 2021-12-20 2022-03-25 北京深思数盾科技股份有限公司 基于密钥的数据处理方法、电子设备及存储介质
CN114726597B (zh) * 2022-03-25 2024-04-26 华润数字科技(深圳)有限公司 数据传输方法、装置、***及存储介质
CN114726644B (zh) * 2022-04-24 2023-07-25 平安科技(深圳)有限公司 基于密钥加密的数据传输方法、装置、设备及存储介质
WO2023230975A1 (zh) * 2022-06-02 2023-12-07 Oppo广东移动通信有限公司 建立互操作通道的方法、装置、芯片和存储介质
CN115001864B (zh) * 2022-07-27 2023-03-10 深圳市西昊智能家具有限公司 智能家具的通信认证方法、装置、计算机设备和存储介质
CN115544583B (zh) * 2022-10-08 2023-05-05 江南信安(北京)科技有限公司 一种服务器密码机的数据处理方法及装置
CN115798086A (zh) * 2022-11-02 2023-03-14 德施曼机电(中国)有限公司 智能门锁的抗干扰方法及装置、设备、存储介质
CN115768054A (zh) * 2022-11-18 2023-03-07 青岛海尔空调器有限总公司 液冷机组及其控制方法
CN115567324B (zh) * 2022-11-24 2023-09-15 湖南天河国云科技有限公司 数据加密传输方法、***、计算机设备和存储介质
CN115842679B (zh) * 2022-12-30 2023-05-05 江西曼荼罗软件有限公司 一种基于数字信封技术的数据传输方法及***
CN116305194B (zh) * 2023-02-15 2023-11-17 中国科学院空天信息创新研究院 一种可持续信息披露数据非对称加解密方法和***
CN115828290A (zh) * 2023-02-24 2023-03-21 卓望数码技术(深圳)有限公司 一种基于分布式对象存储的加解密方法及装置
CN115941185A (zh) * 2023-03-13 2023-04-07 北京紫光青藤微***有限公司 用于离线下载的方法及装置、电子设备
CN117118988A (zh) * 2023-03-14 2023-11-24 荣耀终端有限公司 一种数据同步方法及相关装置
CN117041982B (zh) * 2023-06-26 2024-01-23 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 一种空口传输数据的正确性检测***及方法
CN116915403B (zh) * 2023-09-11 2023-11-17 湖南省不动产登记中心 不动产数据检查方法及***
CN117614751B (zh) * 2024-01-24 2024-04-02 上海银基信息安全技术股份有限公司 内网访问方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04117826A (ja) * 1990-09-07 1992-04-17 Matsushita Electric Ind Co Ltd 認証機能付き鍵配送方式
JPH04129441A (ja) * 1990-09-20 1992-04-30 Matsushita Electric Ind Co Ltd 認証機能付き鍵配送システムにおける端末
JPH11231776A (ja) * 1998-02-13 1999-08-27 Nippon Telegr & Teleph Corp <Ntt> 証明書発行方法およびその装置

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6941457B1 (en) * 2000-06-30 2005-09-06 Cisco Technology, Inc. Establishing a new shared secret key over a broadcast channel for a multicast group based on an old shared secret key
WO2002086830A1 (en) * 2001-04-24 2002-10-31 Tomas Hruz Method for secure payment with micropayment capabilities
DE10137152A1 (de) * 2001-07-30 2003-02-27 Scm Microsystems Gmbh Verfahren zur Übertragung vertraulicher Daten
RU2230438C2 (ru) * 2001-12-27 2004-06-10 Воронежский государственный технический университет Способ формирования ключа шифрования-дешифрования
US7600123B2 (en) * 2005-12-22 2009-10-06 Microsoft Corporation Certificate registration after issuance for secure communication
CN101420300B (zh) * 2008-05-28 2013-05-29 北京易恒信认证科技有限公司 双因子组合公钥生成和认证方法
TW201032160A (en) * 2009-02-19 2010-09-01 Simpleact Inc System and method for mobile trade
CN102081821B (zh) * 2009-11-27 2013-08-14 ***股份有限公司 Ic卡支付***和方法以及多应用ic卡、支付终端
CN103220270A (zh) * 2013-03-15 2013-07-24 福建联迪商用设备有限公司 密钥下载方法、管理方法、下载管理方法及装置和***
CN103400267B (zh) * 2013-07-12 2020-11-24 珠海市金邦达保密卡有限公司 生成货币文件的***和方法、安全设备、交易***和方法
US10121144B2 (en) * 2013-11-04 2018-11-06 Apple Inc. Using biometric authentication for NFC-based payments
CN104980928B (zh) * 2014-04-03 2018-12-07 华为终端(东莞)有限公司 一种用于建立安全连接的方法、设备及***
CN105141568B (zh) * 2014-05-28 2019-02-12 腾讯科技(深圳)有限公司 安全通信通道建立方法及***、客户端和服务器
US9887839B2 (en) * 2014-06-06 2018-02-06 Rainberry, Inc. Securely sharing information via a public key-value data store
CN105337737B (zh) * 2014-07-03 2018-11-20 华为技术有限公司 公钥加密通信方法和装置
CN104821944A (zh) * 2015-04-28 2015-08-05 广东小天才科技有限公司 一种混合加密的网络数据安全方法及***
US9811680B2 (en) * 2015-06-04 2017-11-07 Microsoft Technology Licensing, Llc Secure storage and sharing of data by hybrid encryption using predefined schema
US9774579B2 (en) * 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
CN105307165B (zh) * 2015-10-10 2019-02-01 中国民生银行股份有限公司 基于移动应用的通信方法、服务端和客户端
CN105553951B (zh) * 2015-12-08 2019-11-08 腾讯科技(深圳)有限公司 数据传输方法和装置
EP3282664B1 (en) * 2016-08-08 2018-10-10 Virtual Solution AG Email verification
CN107040369B (zh) * 2016-10-26 2020-02-11 阿里巴巴集团控股有限公司 数据传输方法、装置及***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04117826A (ja) * 1990-09-07 1992-04-17 Matsushita Electric Ind Co Ltd 認証機能付き鍵配送方式
JPH04129441A (ja) * 1990-09-20 1992-04-30 Matsushita Electric Ind Co Ltd 認証機能付き鍵配送システムにおける端末
JPH11231776A (ja) * 1998-02-13 1999-08-27 Nippon Telegr & Teleph Corp <Ntt> 証明書発行方法およびその装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
柴田 陽一 ほか: "メカニズムベースPKI", コンピュータセキュリティシンポジウム2003, vol. 第2003巻,第15号, JPN6010019249, 29 October 2003 (2003-10-29), JP, pages 181 - 186, ISSN: 0004174229 *
近藤 誠一 ほか: "レセプト情報収集・蓄積のためのセキュアネットワークシステム", データベースとWEB情報システムに関するシンポジウム論文集, vol. 2002, no. 19, JPN6019048880, 3 December 2004 (2004-12-03), JP, pages 191 - 198, ISSN: 0004174228 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022020059A (ja) * 2020-11-30 2022-01-31 アポロ インテリジェント コネクティビティ (ベイジン) テクノロジー カンパニー リミテッド 鍵保護処理方法、装置、機器及び記憶媒体
JP7420779B2 (ja) 2020-11-30 2024-01-23 阿波▲羅▼智▲聯▼(北京)科技有限公司 鍵保護処理方法、装置、機器及び記憶媒体

Also Published As

Publication number Publication date
KR20200127264A (ko) 2020-11-10
SG11201903671WA (en) 2019-05-30
TWI641258B (zh) 2018-11-11
CA3041664A1 (en) 2018-05-03
JP2021083076A (ja) 2021-05-27
WO2018077086A1 (zh) 2018-05-03
CN111585749A (zh) 2020-08-25
CA3041664C (en) 2021-03-16
CN111585749B (zh) 2023-04-07
JP7119040B2 (ja) 2022-08-16
ES2837039T3 (es) 2021-06-29
EP3534565A4 (en) 2019-10-30
CN107040369B (zh) 2020-02-11
AU2019101594A4 (en) 2020-01-23
US20190253249A1 (en) 2019-08-15
TW201817193A (zh) 2018-05-01
BR112019008371A2 (pt) 2019-07-09
CN107040369A (zh) 2017-08-11
MX2019004948A (es) 2019-08-14
EP3534565B1 (en) 2020-09-09
RU2715163C1 (ru) 2020-02-25
AU2017352361B2 (en) 2020-11-26
PH12019500938A1 (en) 2019-12-11
ZA201902947B (en) 2020-08-26
EP3534565A1 (en) 2019-09-04
KR20190073472A (ko) 2019-06-26
AU2017352361A1 (en) 2019-05-23

Similar Documents

Publication Publication Date Title
JP7119040B2 (ja) データ伝送方法、装置およびシステム
US11323276B2 (en) Mutual authentication of confidential communication
US11108565B2 (en) Secure communications providing forward secrecy
US12010216B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
US11528127B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190619

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190910

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20191025

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20191203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200312

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200923

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20200923

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200923

C12 Written invitation by the commissioner to file intermediate amendments

Free format text: JAPANESE INTERMEDIATE CODE: C12

Effective date: 20201020

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20210406

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20210413

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20210423