CN101052029B - 用于传输包括可扩展标记语言信息的消息的方法 - Google Patents
用于传输包括可扩展标记语言信息的消息的方法 Download PDFInfo
- Publication number
- CN101052029B CN101052029B CN200710091369.8A CN200710091369A CN101052029B CN 101052029 B CN101052029 B CN 101052029B CN 200710091369 A CN200710091369 A CN 200710091369A CN 101052029 B CN101052029 B CN 101052029B
- Authority
- CN
- China
- Prior art keywords
- message
- node
- encrypted
- encryption
- medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/53—Network services using third party service providers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
为用于将包括可扩展标记语言信息的消息(30)从源(104)经由媒介(105)传输到目的地(106)的方法提供了逐跳加密/解密过程而不是端到端加密/解密过程,以降低复杂度并且使未加密消息(30)在媒介(105)内可用。加密/解密过程对于每一跳是不同的。消息(30)的加密/解密包括消息(30)中一个或多个字段的加密/解密,并且可以包括签名的添加/检测。消息(30)可以包括开始信封字段(32)、报头字段(33-35)、主体字段(36-38)和结束信封字段(39)。消息(30)可以包括简单对象访问协议消息或SOAP消息。
Description
技术领域
本发明涉及一种用于将包括可扩展标记语言信息的消息从源经由媒介传输到目的地的方法。
背景技术
可扩展标记语言信息(XML信息)是基于可扩展标记语言的信息,和/或是包括可扩展标记语言代码的信息。这种源的一般例子是例如个人计算机、服务器和移动电话的源设备。这种媒介的一般例子是例如服务器、多路复用器、交换机、路由器、转发器和网桥的媒介设备。这种媒介的其他一般例子是包括这种服务器、多路复用器、交换机、转发器和网桥的媒介系统,以及包括这种服务器、多路复用器、交换机、转发器和网桥的媒介网络。这种目的地的一般例子是例如个人计算机、服务器和移动电话的目的设备。
一种现有技术方法是公知的常识。根据该现有技术方法,包括可扩展标记语言信息的消息从源经由媒介被传输到目的地。如果所述消息需要被加密,则它在源内被加密。它然后经由媒介被传递到目的地,并且它在目的地中被解密。因此,在媒介内不进行任何加密/解密。换句话说,在已知方法中,加密/解密是端到端的。
该已知方法是不利的,尤其由于这一事实:通常每对源和目的地具有其自己的加密/解密过程。于是,源必须取回针对每个可能目的地的加密/解密信息,和/或必须存储针对每个可能目的地的加密/解密信息。这使得该现有技术方法相对复杂。
发明内容
本发明的目的尤其是提供一种相对简单的如上面定义的方法。
根据本发明的方法的特征在于,所述方法包括:
-第一步骤,即,在所述源,根据第一加密/解密过程来加密消息以获得第一次被加密的消息,并且将该第一次被加密的消息发送到媒介;
-第二步骤,即,在所述媒介,接收所述第一次被加密的消息并根据所述第一加密/解密过程解密该第一次被加密的消息,以恢复所述消息;
-第三步骤,即,在所述媒介,根据第二加密/解密过程来加密所述消息以获得第二次被加密的消息,并且将该第二次被加密的消息发送到目的地;以及
-第四步骤,即,在所述目的地,接收所述第二次被加密的消息并且根据所述第二加密/解密过程解密该第二次被加密的消息,以恢复所述消息。
通过引入逐跳加密/解密而不是已知的端到端加密/解密,在源和媒介之间使用第一加密/解密过程,并且在媒介和目的地之间使用第二加密/解密过程。于是,不再需要取回针对许多可能目的地的加密/解密信息,和/或存储针对许多可能目的地的加密/解密信息。仅针对少数媒介的加密/解密信息要被取回,和/或仅针对少数媒介的加密/解密信息要被存储。根据本发明的方法是因而相对简单。
根据本发明的方法的有利之处还在于,在所述媒介内,未加密消息可用于选路和监控以及其他目的,并且在于,逐跳加密/解密使得消息可以被组播和/或广播,这对于端到端加密/解密是困难的。
逐跳加密/解密的其他优势在于,在传输期间也加密源信息、媒介信息和目的地信息(例如标识和地址等)是相对简单的,这对于端到端加密/解密是困难的,并且在于,发送方仅需要解析(单个)媒介而不是每个目的地。这将使得例如域名服务器解析简单得多。
所述源和目的地的具体例子是优化XML文档传输协议实现的平台(OXTP实现的平台),其可以通过传输协议发送和接收优化XML文档。OXTP实现的平台可以是“专用”平台,例如像交通灯、冰箱、散热器、门/大门、灯开关等的智能设备,并且可以是“通用”平台,例如像个人计算机、服务器、个人数字助理等的智能设备,并且可以是上述的任意组合,如移动电话、机顶盒等。换句话说,OXTP实现的平台可以是这样的设备或系统:其运行其他程序可与之通信的一个或多个OXTP实现的程序(服务、应用)。所述媒介的具体例子是可以传输优化XML文档的OXTP实现的平台。所述方法因而可能包括和/或构成联合安全优化XML文档传输协议的一部分。优化XML文档除通常的ASCII字符外还可以包括二进制块等。
US 2005/0266826公开了一种用于在无线接入点和无线节点之间建立安全关联的方法。US 2005/0157660公开了一种用于实施端到端协商协议的不同阶段的模型。US 2005/0144457公开了一种用于web服务的消息安全处理系统。US 2004/0168064公开了一种用于对XML进行数字签名和加密的系统。US 2004/0078577公开了一种用于提供XML文档加密的方法和装置。US 2003/0200349公开了SOAP命令的XML脚本。US 2002/0054170公开了端到端事务处理和进展系统和方法。这些文献中没有一个公开根据本发明的用于包括可扩展标记语言信息的消息的逐跳加密/解密。
根据本发明的方法的实施例的特征在于,所述第一和第二加密/解密过程是不同的加密/解密过程。
对于不同跳的不同加密/解密过程的使用将以不同的方式保护不同的跳。例如,假如使用公共密钥和私人密钥,对于每一跳,发送方需要知道或找出接收方的公共密钥。因此,对于每一跳,接收方定义了要使用的公共密钥。
根据本发明的方法的实施例的特征在于,所述加密包括签名的添加,其特征还在于,所述解密包括所述签名的检测。
所述添加的签名标识了发送方并提高了总体安全性,并且是很大的附加优势。所述签名的检测例如包括签名的验证。对于不同跳的不同签名/验证过程的额外使用,将另外以不同的方式保护不同的跳。如对于逐跳加密/解密那样,逐跳签名/验证提供了这样的好处:就像源不必存储和/或使用所有目的地的密钥一样,目的地也不必存储和/或使用所有源的所有密钥。于是,可信链被创建,其中例如电信运营商可以更简单地在所有方之间提供媒介(在中间)信任(加密和签名)。
根据本发明的方法的实施例的特征在于,所述消息包括开始信封字段、报头字段、主体字段和结束信封字段,所述消息的加密包括该消息中一个或多个字段的加密,而所述消息的解密包括该消息中一个或多个字段的解密。
所述源可以定义哪个字段要被加密和/或哪些字段要被加密。在最低限度的情况下,仅一个字段可以被加密。在最高限度的情况下,除开始信封字段前的消息指示符之外的所有字段都可以被加密。在现有技术中,加密所述报头字段相当棘手,这是因为所述媒介必须能够路由消息。根据本发明,非加密消息可用于媒介中,于是,在源和媒介之间,所述报头字段现在也可以被加密,这进一步提高了总体安全性并且是很大的附加优势。
不排除其他类型的字段。因此,所述消息通常包括一个和多个字段,并且所述消息的加密包括该消息中一个或多个字段中至少一个字段的加密,而所述消息的解密包括该消息中一个或多个字段中至少一个字段的解密。
根据本发明的方法的实施例的特征在于,所述消息包括简单对象访问协议消息。
特别(但不只)对于简单对象访问协议消息,期望所述逐跳加密/解密能够在技术上和商业上成功。
本发明还涉及一种用于执行根据本发明方法的第二步骤和第三步骤的媒介。
根据本发明的媒介的特征在于,所述媒介包括:
-接收器,用于接收第一次被加密的消息;
-解密单元,用于根据第一加密/解密过程解密所述第一次被加密的消息以恢复该消息;
-加密单元,用于根据第二加密/解密过程加密该消息,以获得第二次被加密的消息;以及
-发送器,用于发送所述第二次被加密的消息到目的地。
根据本发明的媒介的实施例的特征在于,所述第一和第二加密/解密过程是不同的加密/解密过程。
根据本发明的媒介的实施例的特征在于,所述加密包括签名的添加,其特征还在于,所述解密包括对所述签名的检测。
根据本发明的媒介的实施例的特征在于,所述消息包括开始信封字段、报头字段、主体字段和结束信封字段,所述消息的加密包括该消息中一个和多个字段的加密,而所述消息的解密包括该消息中一个或多个字段的解密。
根据本发明的媒介的实施例的特征在于,所述消息包括简单对象访问协议消息。
根据本发明的媒介的实施例的特征在于,所述解密单元被安排用于对源自至少一个相邻媒介、源和/或目的地的加密消息进行解密,并且没有被安排用于对源自至少一个非相邻媒介、源和/或目的地的加密消息进行解密,其特征还在于,所述加密单元被安排用于对去往至少一个相邻媒介、源和/或目的地的消息进行加密,并且没有被安排用于对去往至少一个非相邻媒介、源和/或目的地的消息进行加密。
在一般情况下,例如非紧急情况或非特许情况,所述解密单元不对源自(至少一些)非相邻媒介、源和目的地的加密消息进行解密,并且所述加密单元不对去往(至少一些)非相邻媒介、源和目的地的消息进行加密。在特定情况下,例如紧急情况或特许情况,不排除使用端到端加密/解密,但其仅用于有限数量的目的地。
本发明还涉及一种用于执行根据本发明方法的第一步骤的源。
根据本发明的源的特征在于,所述源包括:
-加密单元,用于根据第一加密/解密过程加密消息以获得第一次被加密的消息;以及
-发送器,用于发送所述第一次被加密的消息给所述媒介。
根据本发明的源的实施例的特征在于,所述加密单元被安排用于对去往至少一个相邻媒介的消息进行加密,并且没有被安排用于对去往至少一个非相邻媒介的消息进行加密。
本发明还涉及一种用于执行根据本发明方法的第四步骤的目的地。
根据本发明的目的地的特征在于,所述目的地包括:
-接收器,用于接收所述第二次被加密的消息;以及
-解密单元,用于根据所述第二加密/解密过程解密所述第二次被加密的消息以恢复所述消息。
根据本发明的目的地的实施例的特征在于,所述解密单元被安排用于对去往至少一个相邻媒介的消息进行解密,并且没有被安排用于对去往至少一个非相邻媒介的消息进行解密。
根据本发明的源的实施例和根据本发明的目的地的实施例,对应于根据本发明的媒介的实施例。可以与所述媒介分离地生产和/或出售所述源和目的地。
本发明特别基于这样的见识:即对于大量的可能目的地,端到端加密从发送方的角度看相对复杂;并且特别基于这样的基本思想:对于与少量的可能媒介相结合的大量的可能目的地,逐跳加密从所述发送方的角度看相对简单。
本发明特别提供一种相对简单的方法。根据本发明的方法的其他有利之处尤其在于,在所述媒介内,非加密消息可用于选路和监控以及其他目的;并且在于,所述逐跳加密/解密使得消息可以被组播和/或广播,这对于端到端加密/解密是困难的。
参考下面描述的实施例,本发明的所述和其他方面将变得显而易见。
附图说明
-图1示出了包括节点的网络,所述节点是根据本发明的源、媒介和/或目的地;
-图2示出了根据本发明的方法的步骤;
-图3示出了消息及其字段的例子;
-图4概略示出了代表根据本发明的源的节点;
-图5概略示出了代表根据本发明的媒介的节点;以及
-图6概略示出了代表根据本发明的目的地的节点。
具体实施方式
图1所示的网络包括节点1-9,所述节点是根据本发明的源、媒介和/或目的地。节点1耦合到节点2和4,节点2还耦合到节点3和5,节点3还耦合到节点6,节点4还耦合到节点5和7,节点5还耦合到节点6和8,节点6还耦合到节点9,节点7还耦合到节点8,节点8还耦合到节点9。
例如,节点4是源104,节点5是媒介105,并且节点6是目的地106,并且图3所示的消息30从节点4经由节点5被发送到节点6。源104和目的地106的例子是个人计算机、服务器和移动电话。媒介105的例子是服务器、多路复用器、路由器、交换机、转发器和网桥;包括这种服务器、多路复用器、路由器、交换机、转发器和网桥的系统;以及包括这种服务器、多路复用器、路由器、交换机、转发器和网桥的网络。因此,每个节点1-9可能是设备、系统或网络。
更特别地,每个节点可以是优化XML文档传输协议实现的平台(OXTP实现的平台),其可以通过传输协议发送和/或传输和/或接收优化XML文档。OXTP实现的平台可以是“专用”平台,例如像交通灯、冰箱、散热器、门/大门、灯开关等的智能设备,并且可以是“通用”平台,例如像个人计算机、服务器、个人数字助理等的智能设备,并且可以是上述的任意组合,例如移动电话、机顶盒等。换句话说,OXTP实现的平台可以是这样的设备或系统:其运行其他程序可与之通信的一个或多个OXTP实现的程序(服务、应用)。
在不脱离本发明范围的情况下,两个节点之间的每个耦合都可以是有线耦合、无线耦合,或部分有线和部分无线的耦合。
在现有技术情况下,包括可扩展标记语言信息的消息30在源104内被加密。它然后经由媒介105被传递到目的地106,并且它在目的地106内被解密。因此,在媒介105内不进行任何加密/解密。换句话说,在已知方法中,加密/解密是端到端的。通常,每对源104和目的地106具有其自己的加密/解密过程。于是,源104必须取回针对每个可能目的地106的加密/解密信息,和/或必须存储这个针对每个可能目的地106的加密/解密信息。这使得该现有技术情形相对复杂。
根据本发明,使用逐跳加密/解密,而不是已知的端到端加密/解密。在源104和媒介105之间使用第一加密/解密过程,而在媒介105和目的地106之间使用第二加密/解密过程。于是,不再需要取回针对许多可能目的地的加密/解密信息,和/或存储这个针对许多可能目的地的加密/解密信息。仅取回针对少数媒介的加密/解密信息,和/或仅存储针对少数媒介的加密/解密信息。这由于以下事实而是更简单且更有利的:在所述媒介内,未加密消息可用于选路和监控以及其他目的,并且逐跳加密/解密使得消息可以被组播和/或广播,这对于端到端加密/解密是困难的。
在图2中,示出了根据本发明的方法的步骤10-21。所述方法可能例如包括和/或构成联合安全优化XML文档传输协议的一部分。步骤10-21具有以下功能:
-步骤10:如果(可选地)消息30从源104的外部到达(例如以不同的格式),则消息30在源104被接收和/或被检测和/或被转换为例如简单对象访问协议消息或SOAP消息,转到步骤11。
-步骤11:消息30在源104根据第一加密/解密过程被加密,以获得第一次被加密的消息30,转到步骤12。
-步骤12:所述第一次被加密的消息30从源104被发送到媒介105,转到步骤13。
-步骤13:所述第一次被加密的消息30在媒介105从源104被接收,转到步骤14。
-步骤14:所述第一次被加密的消息30在媒介105根据所述第一加密/解密过程被解密,以恢复消息30,转到步骤15。
-步骤15:如果(可选地)媒介105包括网络或系统,则为了在网络内部或网络外部或者在系统内部或系统外部这一目的,在媒介105的一部分处理消息30,并且将该消息例如发送到媒介105的另一部分,转到步骤16。
-步骤16:如果(可选地)媒介105包括网络或系统,则例如从媒介105的一部分接收消息30,并且为了在网络内部或网络外部或者在系统内部或系统外部这一目的,例如在媒介105的另一部分处理该消息,转到步骤17。
-步骤17:消息30在媒介105根据第二加密/解密过程被加密,以获得第二次被加密的消息30,转到步骤18。
-步骤18:所述第二次被加密的消息30被发送到目的地106,转到步骤19。
-步骤19:所述第二次被加密从消息30在目的地106从媒介105被接收,转到步骤20。
-步骤20:所述第二次被加密的消息30根据所述第二加密/解密过程被解密,以恢复消息30,转到步骤21。
-步骤21:如果(可选地)消息30被指定离开目的地106(例如以不同的格式),则消息30在目的地106被检测和/或被转换为例如非SOAP消息,和/或被传送。
所述第一和第二加密/解密过程优选地是不同的加密/解密过程,从而以不同的方式保护不同的跳。例如,在使用公共密钥和私人密钥的情况下,对于每一跳,发送方需要知道或找出接收方的公共密钥。因此,对于每一跳,接收方定义了要使用的公共密钥。
在图3中,消息30的例子被示为包括以可扩展标记语言信封形式的可扩展标记语言信息。可扩展标记语言信封是基于可扩展标记语言的信封,和/或是包括可扩展标记语言代码的信封。消息30例如包括消息指示符31、开始信封字段32、开始报头字段33、报头字段34、结束报头字段35、开始主体字段36、主体字段37、结束主体字段38和结束信封字段39。消息30的加密包括消息30中一个或多个字段的加密,而消息30的解密包括消息30中一个或多个字段的解密。通常,消息指示符31不被加密,以便接收方能够知道到达了什么类型的消息。源104可以定义哪个字段要被加密和/或哪些字段要被加密。在最低限度的情况下,仅一个字段可以被加密。在最高限度的情况下,除在开始信封字段32前的消息指示符31之外的所有字段可以被加密。在现有技术中,不能加密报头字段,这是因为媒介105必须能够路由消息。根据本发明,非加密消息可用于媒介105中,于是,在源104和媒介105之间,所述报头字段现在也可以被加密,这进一步提高了总体安全性并且是很大的附加优势。在不脱离本发明范围的情况下,消息30可能包括其他和/或更多的字段。其信封字段32和39是基于可扩展标记语言的。所述消息可选地可以是联合安全优化XML文档传输协议(FS-OXTP)消息。
不应当狭义地看待所述加密,该加密还可以包括签名的添加,并且不应当狭义地看待所述解密,该解密还可以包括对签名的检测。所添加的签名标识了发送方并提高了总体安全性,并且是很大的附加优势。对签名的检测例如包括对签名的验证。
在不排除包括可扩展标记语言信息的其他类型的消息的情况下,消息30例如包括简单对象访问协议消息或SOAP消息。期望所述逐跳加密/解密针对SOAP消息在技术上和商业上成功。
如果消息对于每一跳获得签名、被加密、被解密以及针对其签名被检测,则以该特定顺序,可以执行以下步骤来实现解析过程,其更类似于域名服务器查找但现在专用于FS-OXTP:
-所述源解析第一媒介;
-所述源签名并且然后加密,XML文档然后被施加以选择的传输协议,例如MIME、HTTP、TCP、UDP,以由此利用例如DNS的现有解析协议,并且将到达所述第一媒介;
-所述第一媒介解密并且然后验证所述源的签名;
-所述第一媒介解析下一媒介(或目的地);
-所述第一媒介签名并且然后加密,所述XML文档然后被施加以选择的传输协议,例如MIME、HTTP、TCP、UDP,以由此利用例如DNS的现有解析协议,并且将到达下一媒介(或目的地),这些媒介步骤针对每个下一媒介而被重复,直到该XML文档到达目的地;以及
-目的地解密并且然后验证最后一个媒介的签名。
所述源可以选择要不要部分地或完全地指定FS-OXTP中的媒介(如也可以在OXTP或SOAP中借助于WS寻址来完成)。在第一种情况下,目的地将被解析为第一(或下一)媒介。在后一种情况下,第一(或下一)媒介将被解析为其本身或者被解析为另一个第一(或下一)媒介。
在不排除算法、规则、(国际)命名公约和这些可能性的混合的情况下,所述解析过程可以是从“平面静态”表到“混合/分层动态”表中的任一种。
在图4中,示出了代表根据本发明的源104的节点4,在图5中,示出了代表根据本发明的媒介105的节点5,以及在图6中,示出了代表根据本发明的目的地106的节点6。
代表媒介105的节点5包括具有外侧和内侧的接口53。所述外侧耦合到这样一个耦合:该耦合还耦合到节点4。所述内侧包括经由接收器54a和解密单元54b耦合到交换机50的接收侧,用于从节点4接收消息并且用于将该消息提供给交换机50。所述内侧还包括经由发送器52a和加密单元52b耦合到交换机50的发送侧,用于从交换机50接收消息并且用于将该消息发送到节点4。交换机50、加密单元52b、发送器52a、接口53、接收器54a和解密单元54b还耦合到控制器51。
节点5还包括具有外侧和内侧的接口57。所述外侧耦合到这样一个耦合:该耦合还耦合到节点6。所述内侧包括经由接收器58a和解密单元58b耦合到交换机50的接收侧,用于从节点6接收消息并且用于将该消息提供给交换机50。所述内侧还包括经由发送器56a和加密单元56b耦合到交换机50的发送侧,用于从交换机50接收消息并且用于将该消息发送到节点6。交换机50、加密单元56b、发送器56a、接口57、接收器58a和解密单元58b还耦合到控制器55。
代表源104的节点4包括具有外侧和内侧的接口47。所述外侧耦合到这样一个耦合:该耦合还耦合到节点5。所述内侧包括经由接收器48a和解密单元48b耦合到交换机40的接收侧,用于从节点5接收消息并且用于将该消息提供给交换机40。所述内侧还包括经由发送器46a和加密单元46b耦合到交换机40的发送侧,用于从交换机40接收消息并且用于将该消息发送到节点5。交换机40、加密单元46b、发送器46a、接口47、接收器48a和解密单元48b还耦合到控制器45。
代表目的地106的节点6包括具有外侧和内侧的接口63。所述外侧耦合到这样一个耦合:该耦合还耦合到节点5。所述内侧包括经由接收器64a和解密单元64b耦合到交换机60的接收侧,用于从节点5接收消息并且用于将该消息提供给交换机60。所述内侧还包括经由发送器62a和加密单元62b耦合到交换机60的发送侧,用于从交换机60接收消息并且用于将该消息发送到节点5。交换机60、加密单元62b、发送器62a、接口63、接收器64a和解密单元64b还耦合到控制器61。
优选地,在一般情况下,例如非紧急情况或非特许情况,所述解密单元不对源自(至少一些)非相邻媒介、源和目的地的加密消息进行解密,并且所述加密单元不对去往(至少一些)非相邻媒介、源和目的地的消息进行加密。在特定情况下,例如紧急情况或特许情况,不排除使用端到端加密/解密,但仅针对有限数量的目的地。因此,每个节点可以包括存储器,用于存储相邻节点的公共密钥和用于存储有限数量目的地的有限数量公共密钥。通过检测指定目的地的指定地址和/或通过检测所述消息指示符为紧急消息指示符或特许消息指示符,节点可以针对特定类型的消息而判定停用所述逐跳加密/解密并激活所述端到端加密。
图4-6中显示的节点4-6可以具有许多不同的实施例。作为交换机40、50、60的代替,可以提供一个或多个服务器、多路复用器、转发器和/或网桥。甚至是另一方或电信运营商的子网也可以出现在节点4-6中。另外,在不脱离本发明范围的情况下,图4-6每个图中示出的任一方框可以被划分为两个或更多的子方框,并且图4-6每个图中示出的任意两个或更多方框可以被合并为一个更大的方框。每个节点4-6还可以还耦合到未示出的其他耦合,在这种情况下,既可以提供其他接口和其他接收器/发送器和其他加密/解密单元,也可以使用现有接口和现有接收器/发送器和现有加密/解密单元。在后一情况下,如果针对都耦合到同一接口的不同跳而使用不同的加密/解密过程,则所述加密/解密单元必须是可适配的。可选地,所述加密/解密单元可以被集成到所述控制器或所述交换机中,以便在无须引入用于不同过程的不同单元的情况下能够使用不同的加密/解密过程。
特别对于节点4和6,必须进行以下说明。节点4和6可以例如是个人计算机或服务器或移动电话,在这种情况下,交换机40和60是包括某种交换功能的接口。然而,不排除节点4和6可以可选地是系统或网络,换句话说,各个节点4和6可以代表用于一种消息的各个源和目的地,还可以代表例如用于另一种消息的媒介。在这种情况下,节点4和6(的内容)可能看起来类似于节点5等(的内容)。
上面提到的实施例说明了本发明,但不限制本发明。在不脱离权利要求范围的情况下,本领域的技术人员能够设计可选实施例。在权利要求中,括号中的一个或多个参考标记不被认为是限制该权利要求。“包括”及其变形的使用不排除存在除权利要求中声明的单元或步骤之外的单元或步骤。单元或步骤之前的冠词“一个”不排除存在多个这种单元或步骤。
Claims (13)
1.一种用于将包括可扩展标记语言信息的消息(30)从源节点(104)经由媒介节点(105)传输到目的地节点(106)的方法,所述消息包括多个字段,其特征在于,所述方法包括:
-第一步骤(11、12),即,在所述源节点(104),根据第一加密/解密过程加密所述消息(30)中的一个或多个字段以获得第一次被加密的消息(30),并且将该第一次被加密的消息(30)发送到所述媒介节点(105);
-第二步骤(13、14),即,在所述媒介节点(105),接收所述第一次被加密的消息(30),并且根据所述第一加密/解密过程解密该第一次被加密的消息(30)中的所述一个或多个字段以恢复所述消息(30);
-第三步骤(17、18),即,在所述媒介节点(105),根据第二加密/解密过程加密所述消息(30)中的一个或多个字段以获得第二次被加密的消息(30),并且将该第二次被加密的消息(30)发送到所述目的地节点(106);以及
-第四步骤(19、20),即,在所述目的地节点,接收所述第二次被加密的消息(30),并且根据所述第二加密/解密过程解密该第二次被加密的消息(30)中的所述一个或多个字段以恢复所述消息(30),
其中,在所述媒介节点(105)中,未加密的消息用于选路和监控。
2.根据权利要求1的方法,其特征在于,所述第一和第二加密/解密过程是不同的加密/解密过程。
3.根据权利要求1的方法,其特征在于,所述消息(30)包括开始信封字段(32)、报头字段(33-35)、主体字段(36-38)和结束信封字段(39)。
4.根据权利要求1、2或3的方法,其特征在于,所述消息(30)包括简单对象访问协议消息。
5.一种用于执行根据权利要求1的方法的第二步骤(13、14)和第三步骤(17、18)的媒介节点(105),其特征在于,所述媒介节点包括:
-接收器(54a),用于接收包括一个或多个被加密字段的所述第一次被加密的消息(30);
-解密单元(54b),用于根据所述第一加密/解密过程解密包括一个或多个被加密字段的所述第一次被加密的消息(30)以恢复包括一个或多个字段的所述消息(30);
-加密单元(56b),用于根据所述第二加密/解密过程加密所述消息(30)中的一个或多个字段,以获得所述第二次被加密的消息(30);以及
-发送器(56a),用于将所述第二次被加密的消息(30)发送到所述目的地节点(106),
其中,在所述媒介节点(105)中,未加密的消息用于选路和监控。
6.根据权利要求5的媒介节点(105),其特征在于,所述第一和第二加密/解密过程是不同的加密/解密过程。
7.根据权利要求5的媒介节点(105),其特征在于,所述消息(30)包括开始信封字段(32)、报头字段(33-35)、主体字段(36-38)和结束信封字段(39)。
8.根据权利要求5、6或7的媒介节点(105),其特征在于,所述消息(30)包括简单对象访问协议消息。
9.根据权利要求5、6或7的媒介节点(105),其特征在于,所述解密单元(54b)被安排用于对源自至少一个相邻媒介节点、源节点和/或目的地节点的加密消息(30)进行解密,并且没有被安排用于对源自至少一个非相邻媒介节点、源节点和/或目的地节点的加密消息(30)进行解密,其特征还在于,所述加密单元(56b)被安排用于对去往至少一个相邻媒介节点、源节点和/或目的地节点的消息(30)进行加密,并且没有被安排用于对去往至少一个非相邻媒介节点、源节点和/或目的地节点的消息(30)进行加密。
10.一种用于执行根据权利要求1的方法的第一步骤(11、12)的源节点(104),其特征在于,所述源节点(104)包括:
-加密单元(46b),用于根据第一加密/解密过程加密所述消息(30)中的一个或多个字段以获得第一次被加密的消息(30);以及
-发送器(46a),用于将包括被加密的一个或多个字段的所述第一次被加密的消息(30)发送到所述媒介节点(105),其中,在所述媒介节点(105)中,未加密的消息用于选路和监控。
11.根据权利要求10的源节点(104),其特征在于,所述加密单元(46b)被安排用于对去往至少一个相邻媒介节点的消息(30)进行加密,并且没有被安排用于对去往至少一个非相邻媒介节点的消息(30)进行加密。
12.一种用于执行根据权利要求1的方法的第四步骤(19、20)的目的地节点(106),其特征在于,所述目的地节点(106)包括:
-接收器(64a),用于接收包括被加密一个或多个字段的所述第二次被加密的消息(30);以及
-解密单元(64b),用于根据所述第二加密/解密过程解密所述第二次被加密的消息(30)中的一个或多个字段以恢复包括多个字段的所述消息(30),
其中,在所述媒介节点(105)中,未加密的消息用于选路和监控。
13.根据权利要求12的目的地节点(106),其特征在于,所述解密单元(64b)被安排用于对源自至少一个相邻媒介节点的消息(30)进行解密,并且没有被安排用于对去往至少一个非相邻媒介节点的消息(30)进行解密。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06290573A EP1843542A1 (en) | 2006-04-04 | 2006-04-04 | Method for transferring messages comprising extensible markup language information |
| EP06290573.2 | 2006-04-04 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101052029A CN101052029A (zh) | 2007-10-10 |
| CN101052029B true CN101052029B (zh) | 2015-09-16 |
Family
ID=36794905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710091369.8A Active CN101052029B (zh) | 2006-04-04 | 2007-03-30 | 用于传输包括可扩展标记语言信息的消息的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8559632B2 (zh) |
| EP (1) | EP1843542A1 (zh) |
| JP (2) | JP2009532961A (zh) |
| KR (1) | KR101373032B1 (zh) |
| CN (1) | CN101052029B (zh) |
| WO (1) | WO2007112824A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741547B (zh) * | 2009-12-18 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 节点间保密通信方法及系统 |
| CN103595796A (zh) * | 2013-11-18 | 2014-02-19 | 北京锐安科技有限公司 | 一种基于网络的动态监控方法及系统 |
| CN106604268A (zh) * | 2015-10-15 | 2017-04-26 | 中兴通讯股份有限公司 | 一种语音加密方法、系统和终端 |
| CN106534167A (zh) * | 2016-12-06 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种基于xml的网络加密传输方法和系统 |
| US10636030B1 (en) * | 2018-11-06 | 2020-04-28 | Capital One Services, Llc | System and method for creating a secure mesh network utilizing the blockchain |
| CN112600802B (zh) * | 2020-12-04 | 2022-04-15 | 苏州盛科通信股份有限公司 | 一种SRv6加密报文、SRv6报文的加解密方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6516065B1 (en) * | 1998-11-30 | 2003-02-04 | Hughes Electronics Corporation | Method for implementing ciphered communication for single-hop terminal-to-terminal calls in a mobile satellite system |
| CN1564508A (zh) * | 2004-03-22 | 2005-01-12 | 西安电子科技大学 | 宽带无线ip网络匿名连接方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07245605A (ja) * | 1994-03-03 | 1995-09-19 | Fujitsu Ltd | 暗号化情報中継装置とそれに接続される加入者端末装置ならびに暗号通信方法 |
| US6084969A (en) * | 1997-12-31 | 2000-07-04 | V-One Corporation | Key encryption system and method, pager unit, and pager proxy for a two-way alphanumeric pager network |
| JP2002135239A (ja) * | 2000-10-20 | 2002-05-10 | Nec Corp | 暗号化データ配信サービスシステム |
| US7200674B2 (en) * | 2002-07-19 | 2007-04-03 | Open Invention Network, Llc | Electronic commerce community networks and intra/inter community secure routing implementation |
| US7515717B2 (en) * | 2003-07-31 | 2009-04-07 | International Business Machines Corporation | Security containers for document components |
| JP2005196564A (ja) * | 2004-01-08 | 2005-07-21 | Victor Co Of Japan Ltd | コンテンツ仲介サーバ |
| US20050286723A1 (en) * | 2004-06-28 | 2005-12-29 | Magiq Technologies, Inc. | QKD system network |
| US7496750B2 (en) | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
-
2006
- 2006-04-04 EP EP06290573A patent/EP1843542A1/en not_active Ceased
-
2007
- 2007-03-07 JP JP2009503446A patent/JP2009532961A/ja active Pending
- 2007-03-07 KR KR1020087024159A patent/KR101373032B1/ko active IP Right Grant
- 2007-03-07 WO PCT/EP2007/002116 patent/WO2007112824A1/en active Application Filing
- 2007-03-23 US US11/690,574 patent/US8559632B2/en active Active
- 2007-03-30 CN CN200710091369.8A patent/CN101052029B/zh active Active
-
2015
- 2015-04-22 JP JP2015087435A patent/JP2015181236A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6516065B1 (en) * | 1998-11-30 | 2003-02-04 | Hughes Electronics Corporation | Method for implementing ciphered communication for single-hop terminal-to-terminal calls in a mobile satellite system |
| CN1564508A (zh) * | 2004-03-22 | 2005-01-12 | 西安电子科技大学 | 宽带无线ip网络匿名连接方法 |
Non-Patent Citations (1)
| Title |
|---|
| 谢希仁.计算机网络 第4版.电子工业出版社,2003,367-368. * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070230689A1 (en) | 2007-10-04 |
| CN101052029A (zh) | 2007-10-10 |
| WO2007112824A1 (en) | 2007-10-11 |
| EP1843542A1 (en) | 2007-10-10 |
| KR20080108512A (ko) | 2008-12-15 |
| JP2015181236A (ja) | 2015-10-15 |
| JP2009532961A (ja) | 2009-09-10 |
| US8559632B2 (en) | 2013-10-15 |
| KR101373032B1 (ko) | 2014-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101322108B (zh) | 代理终端、服务器装置、代理终端的通信路径设定方法以及服务器装置的通信路径设定方法 | |
| CN111527762B (zh) | 用于设备到设备通信网络中端到端安全通信的系统和方法 | |
| CN101512537B (zh) | 在自组无线网络中安全处理认证密钥资料的方法和系统 | |
| CN102420821B (zh) | 一种提高文件传输安全性的方法和系统 | |
| US9031535B2 (en) | Un-ciphered network operation solution | |
| CN104994112A (zh) | 一种无人机与地面站通信数据链加密的方法 | |
| CN101052029B (zh) | 用于传输包括可扩展标记语言信息的消息的方法 | |
| JP2010505284A (ja) | 入れ子状のインターネットプロトコルセキュリティトンネルを処理するための方法およびネットワーク装置 | |
| CN101247356B (zh) | Dhcp消息传送的方法及系统 | |
| CN105164968A (zh) | 由至少一个服务器执行的用于处理从第一计算装置到第二计算装置的数据分组以允许端到端加密通信的方法 | |
| CN101742508A (zh) | 一种wapi终端与应用服务器传输文件的系统及方法 | |
| JP2008060809A (ja) | 車車間通信方法、車車間通信システムおよび車載通信装置 | |
| CN101170413B (zh) | 一种数字证书及其私钥的获得、分发方法及设备 | |
| CN103597866B (zh) | 移动网络 | |
| JP6950605B2 (ja) | 車両用通信システム | |
| CN112291196B (zh) | 适用于即时通信的端到端加密方法及系统 | |
| IL254758B2 (en) | Method, equipment and computer software product for code encryption | |
| CN101483867B (zh) | 无线应用协议业务中用户身份验证方法、相关设备及系统 | |
| JP2009159220A (ja) | 通信装置及び暗号変換方法 | |
| CN101115055A (zh) | 通信网络中报告隧道数据包中各级错误的装置及方法 | |
| CN101990203A (zh) | 基于通用自引导架构的密钥协商方法、装置及系统 | |
| CN106254425A (zh) | 用于移动设备向云端传送数据的方法及系统、移动终端 | |
| JP4872130B2 (ja) | 通信システム、情報隠蔽アドレス利用方法、及びプログラム | |
| Kim et al. | PUF-based privacy protection method in VANET environment | |
| Tsai et al. | LoRaWAN network server session keys establish method with the assistance of join server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |