CN101167302A - 无线设备和应用网关之间的安全消息传送的系统及方法 - Google Patents
无线设备和应用网关之间的安全消息传送的系统及方法 Download PDFInfo
- Publication number
- CN101167302A CN101167302A CNA200580049515XA CN200580049515A CN101167302A CN 101167302 A CN101167302 A CN 101167302A CN A200580049515X A CNA200580049515X A CN A200580049515XA CN 200580049515 A CN200580049515 A CN 200580049515A CN 101167302 A CN101167302 A CN 101167302A
- Authority
- CN
- China
- Prior art keywords
- message
- equipment
- key set
- application
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000013507 mapping Methods 0.000 claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 230000008569 process Effects 0.000 claims description 3
- 230000008859 change Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 15
- 238000013499 data model Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000012856 packing Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000002834 transmittance Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/12—Application layer protocols, e.g. WAP [Wireless Application Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Small-Scale Networks (AREA)
Abstract
一种用于无线设备和应用网关之间的安全消息传送的方法和系统,提供了通过安全插座将设备连接到应用映射层,以及交换密钥以实现在设备和应用网关之间的不对称加密。加密具有用于对发送至设备的消息进行加密的第一密钥集,以及解密具有用于对来自设备的消息进行解密的第二密钥集。因此,本发明提供了端到端的整体解决方案。以特定方式对多种安全模式和技术进行组合,以便提供对网络上的两个端点之间的以消息传送类型格式的数据的高度安全形式的保护。本发明提供了一种从应用映射层到无线设备的路径上的加密的优化强度,反之亦然。此外本发明能够进行实质上的变化,以适应移动市场中的载荷大小和传输速率的动态特性。
Description
技术领域
本发明总体上涉及一种用于提供与多个设备的通信的通信系统,更具体地涉及一种用于无线设备和应用网关之间的安全消息传送的系统及方法。
背景技术
由于无线网络的迅速发展,当今所使用的无线设备的数量不断增长。这些设备包括移动电话、具有无线通信能力的个人数字助理(PDA)、双向寻呼机等。在可用无线设备增加的同时,在这种的设备上运行的软件应用也增加了这些设备的效用。例如,无线设备可以包括检索一栏期望城市的天气预报的应用,或者允许用户在杂货店里购物的应用。这些软件应用利用无线网络的传输数据能力,以便向用户提供及时且有用的服务(通常除了语音通信以外)。然而,由于不同类型设备的过剩、一些设备的资源受限、以及将大量数据传送给设备的复杂度,开发软件应用仍然是一件困难且耗时的工作。
当前,将设备配置用于通过基于互联网的浏览器和/或原生应用来与网络服务器进行通信。浏览器具有针对多种不同设备可适用于在交叉平台上进行操作的优点,但具有从网络服务器请求网页(以HTML的屏幕定义)的缺点,这妨碍了屏幕中所包含的数据的持续性。浏览器的另一个缺点是在运行时间内渲染屏幕,这是资源密集的。浏览器的应用是用于独立于应用来设计平台的有效工具。因此,不同的运行时间环境(RE)不考虑平台地执行相同的应用。然而,由于不同无线设备具有不同的性能和波形因数,因此可能不会按照预期地执行或显示该应用。此外,基于浏览器的应用经常需要有效的传输带宽来有效地进行操作,这对于一些无线设备而言可能需要较高成本或者甚至不可用。
另一方面,原生应用是针对特定无线设备平台所开发的,由此为在该平台上所运行的运行时间环境提供了相对优化的应用程序。然而,依靠应用的平台引入了一些缺点,包括不得不开发多个版本的相同应用,以及在大小方面相对大,由此使得无线设备的存储资源遭受重负。此外,应用开发者需要具有诸如Java和C++之类的编程语言的经验,以构造这种原生应用。
这里所公开的系统和方法提供了一种用于在设备上供应基于组件的应用的通信系统,以避免或缓和前述缺点中的至少一些。
发明内容
根据本发明的方面,提供了一种用于在无线设备和应用网关之间的安全消息传送的系统,该系统包括应用网关,应用网关包括用于在系统和设备之间进行通信的消息代理,将该应用网关服务器配置用于与供应服务器和发现服务器的通信,并且该应用网关服务器包括用于在设备和应用网关之间实现不对称加密的应用映射层,以及包括具有用于对发送给设备的消息进行加密的第一密钥集的加密以及具有用于对来自设备的消息进行解密的第二密钥集的解密。
根据本发明的又一个方面,提供了一种用于在无线设备和应用网关之间的安全消息传送的方法,该方法包括以下步骤:通过安全插座将设备与应用映射层相连;以及交换密钥,以便在设备和应用网关之间实现不对称加密;以及包括具有用于对发送给设备的消息进行加密的第一密钥集的加密以及具有用于对来自设备的消息进行解密的第二密钥集的解密。
因此,本发明提供了端到端的整体解决方案;以特定方式将多个安全模式和计数进行组合,以提供用于保护网络中的两个端点之间的消息传送类型格式的数据的高度安全的形式。
本发明提供了一种在从应用映射层到无线设备的路径上的优化加密深度,反之亦然。本发明还能够在本质上进行改变,以适应移动市场中的载荷大小和传输速率的动态特性。
在整个本专利申请中,我们使用RSA(Rivest,Shamir和Adlemean)和ECC(椭圆曲线加密)作为有效的双向不对称算法的示例,以及AES(先进加密标准)作为不对称算法的示例。
附图说明
参考以下附图,仅作为示例对本发明的实施例进行描述,在附图中:
图1是网络推动无线组件应用的方框图;
图2是图1中所示的应用网关的详细方框图;
图3是安全子系统的方框图;
图4是无线组件架构(WiCA)通信模型的方框图;
图5是针对图4中的WiCA通信模型的通信顺序的流程图;
图6是根据本发明的实施例的安全握手的方框图;
图7是根据本发明的实施例发送安全消息的方框图;
图8是针对根据本发明的实施例的签名模式消息传送的数据模型的方框图;
图9是针对根据本发明的实施例的签名和加密模式消息传送的数据模型的方框图;
图10是根据本发明的实施例的安全消息容器的方框图。
具体实施方式
为了方便起见,描述中相似的附图标记表示附图中的相似结构。参照图1,通信架构统称为附图标记100。通信架构100包括多个无线设备102、通信网络104、应用网关106、以及多个后端服务器108。
无线设备102是典型的个人数字助理(PDA),例如Research in Motion的BlackBerryTM,但也可以包括其他设备。每个无线设备102都包括能够为多个组件应用程序提供主机服务。
组件应用程序包括以诸如可扩展标记语言(XML)代码之类的结构定义语言写入的一个或更多数据组件、表示层组件、和/或消息组件。组件应用还可以包括工作流组件,工作流组件包含诸如以ECMAScript的子集写入的一连串指令,此外在一些实现中可以将组件应用嵌入XML。因此,由于对应用进行了划分,针对多个设备,可以通过提供相应的表示层组件来对公共应用进行写操作,而不需要重写其他组件。此外,将典型应用的大部分职责转移到针对组件应用的运行环境。将在此描述的结尾对组件应用的细节进行描述。
无线设备102通过通信网络104与应用网关106进行通信。因此,通信网络104可以包括诸如无线网络110、中继112、企业服务器114和/或用于在无线设备102和应用网关106之间中继数据的移动数据服务器116。
应用网关106包括网关服务器118、供应服务器120和发现服务器122。网关服务器118作为无线设备102的运行时间环境与后端服务器108之间的消息代理。网关服务器118与供应服务器120和发现服务器122进行通信。网关服务器118还通过适当的链接与诸如网络服务器108a、数据库服务器108b、以及其他企业服务器108c之类的多个后端服务器108进行通信。例如,分别通过简单对象访问协议(SOAP)和Java数据库连接(JDBC)将网关服务器118与网络服务器108a以及数据库服务器108b相连。其他类型的后端服务器108及其相应链接对于本领域的普通计数人员将是显而易见的。
起初,为每个无线设备102提供制订了各种协议和设置的服务手册,该服务手册包括针对企业服务器114和/或移动数据服务器116的连接信息。这些参数可以包括针对应用网关服务器118的统一资源定位器(URL)。可选地,如果起初没有给无线设备102提供URL和密钥,则可以通过移动数据服务器116将其推送至无线设备102中。然后,无线设备102可以通过应用网关服务器118的URL来与应用网关106相连。
参照图2,示出了应用网关106的更详细示图。应用网关服务器118包括三层服务:基本服务层202、应用网关服务层204、以及应用服务层206。应用网关服务器118还包括管理服务208。
供应服务210和发现服务212分别由供应服务器120和发现服务器122所提供。
在最底层,基本服务层202为其他较高层组件提供基本的、独立领域系统服务。因此,例如应用网关服务层204和应用服务层206中的所有子系统都可以利用并与基本服务层202中的子系统进行合作。在本实施例中,基本服务层202包括公用子系统210、安全子系统212、配置子系统214以及记录子系统216。
应用网关服务层204提供无线组件应用领域的特性服务。这些服务提供了到后端子系统108的有效的消息转化和传送,并为无线设备102和组件应用提供了生命周期管理。在本发明中,应用网关服务层204包括生命周期子系统220、连接器子系统222、消息传送子系统224、以及转化子系统226。
应用服务层206位于结构的顶部,并使用由较低层所提供的子系统来提供外部程序接口和用户接口。例如,诸如服务提供者生命周期应用、打包应用、消息监听应用之类的各种应用提供了外部程序接口,因为它们主要与外部系统上的应用进行通信。类似地,管理应用通过向用户提供访问和潜在地修改应用网关数据和/或参数的能力来提供用户接口。
管理服务208负责管理系统消息、无线设备102的管理、应用网关子系统的运行时间管理、支持并显示系统诊断、以及对供应和发现服务的缺省实现的管理。
消息传送监听应用提供了用于从无线设备102以及外部源接收消息并将其转发给消息传送子系统的接口。此外,消息监听应用典型地鉴别有效的消息源。
安全子系统212提供其他子系统用以保证与无线设备102的通信的服务。为了有利于安全通信,安全子系统212对消息进行加密和解密,验证签名以及对消息签名。
参照图3,更详细地示出了安全子系统212。安全子系统212包括加密接口302、密钥库接口304、以及用于与应用网关106的子系统进行相互作用的签名接口306。加密接口302提供了允许对接收自/发送到设备的消息进行加密和解密的功能。实现加密/解密算法,使得可以将缺省算法与新算法交换,以改变针对整个应用网关106的加密标准。
密钥库接口304有利于产生密钥以及存储并检索所需要的密钥。
签名接口306有利于验证所接收到的消息签名以及对待发射的消息签名。与加密算法类似,如果需要的话,可以使用不同的算法来代替验证和签名算法。
打包应用
提供打包应用作为有利于无线设备102上的组件应用的供应的应用230的一部分。在针对组件应用程序包的第一请求期间,打包应用对未处理的组件应用进行处理,也称为组件应用捆绑,并准备将其用于无线传输。打包应用从指定位置(典型地为预定URL)加载组件应用捆绑,确定需要执行什么样的安全行为和处理,并将打包后的组件应用返回供应服务器,用以存储。
例如,可能需要发生的安全行为包括对组件应用捆绑发行者的鉴权。可以通过检验发行者证书的有效性以及将应用网关签名用于对打包后的组件应用签名来实现鉴权。此外,证书可以由应用开发工具在标签内产生,并存储于应用捆绑内;还可以检验开发工具的证书。
组件应用捆绑典型地包括诸如XML定义、映射、应用资源以及针对定位支持的资源捆绑之类的模块。XML定义包括对应用数据、消息、屏幕组件以及工作流的XML编码。使用XML作为对可应用于组件应用的编码的任何结构定义语言的示例。
映射定义了组件应用和一个或更多后端服务器108之间的关系。在本实施例中,使用网络服务描述语言(WSDL)来定义映射。在标准里,将WSDL定义为用于将网络服务描述成操作于包含面向文件或面向过程信息的消息上的端点集合的XML格式。对操作和消息进行准确描述,然后将其捆绑到具体的网络协议何消息格式上,以定义端点。将相关的具体端点组成抽象端点(服务)。WSDL可扩展为允许对端点及其消息的描述,而不管使用什么样的消息格式以及网络协议来进行通信,然而,此文献中所描述的捆绑仅描述了如何结合SOAP、HTTP以及多目的互联网邮件扩展(MIME)来使用WSDL。
因此,当从无线设备102接收到消息时,该消息包括示出了该消息所源自的组件应用的标识符。将此信息用于识别确定了如何解释消息以及将其发送到何处的相应映射。在本实施例中,每个无线设备102都是唯一可寻址的。因此,通过移动数据服务器116将返回消息推送至该设备。在备选实施例中,本领域的技术人员将理解的是,可以通过其他已知载体/设备的特定的推送协议来实现该推送;例如,在短消息系统(SMS)上执行的无线应用协议(WAP)推送。
应用资源包括诸如图像、语音、视频等的一个或更多资源,使用应用程序将其打包为静态依赖。资源绑定典型地包括针对组件应用的定位信息。定位信息的示例包括语言支持、文本指示、滚动指示、字典以及辞典服务等。
因此,对组件应用捆绑的处理包括:使用所提供的资源捆绑的定位、二进制编码、给组件应用标以安全标记、以及将打包后的组件应用上载到所提供的目的仓库(典型地由URL所指定)。在本实施例中,执行二进制编码,以减少需要用以将组件应用传输到无线设备102的带宽。二进制编码是使用无线应用协议二进制XML(WBXML)标准实现的,尽管可以使用其他编码方案。此外,可以完全不需要执行二进制编码。此外,将映射传输给消息代理602,从而有利于执行该组件应用的运行时间环境和关联后端服务器或服务器108之间的通信。
打包应用可用于诸如网络服务器之类的外部子系统。在本实施例中,打包应用可由供应服务器120来访问,但是也可以由第三方自定义的供应服务器访问。
参照图4,示出了无线组件架构(WiCA)通信模型中的方框图。从高层角度,整个WiCA基础设施400包括在设备102上运行的WiCA运行时间环境(设备RE)以及在服务器118上运行的WiCA应用网关(AG)106。
应用网关(AG)106作为由RE102所执行的WiCA应用(Wiclet)以及与Wiclet进行通信的一个或更多后端系统108之间的中介。在大多数情况下,后端系统108应用是使用优于HTTP或HTTPS的SOAP作为传输协议的网络服务器。
由于网络服务器是最常见的后端子系统,在整个文献中所使用的术语网络服务器可与后端互换。WiCA通信模型400基于不对称消息传送范例。在这个模型中,应用网关(AG)106建立并协调设备102和后端系统108之间的连接,以便:
1.更加灵活地实现资源管理。
2.在设备102和后端系统108之间提供可靠的通信连接,以便处理无线覆盖不稳定的情况。
3.在设备RE102和AG106之间有效地分配工作量。
参照图5,示出了针对图4中的WiCA通信模型的通信顺序的流程图。该图描述了设备102和后端系统108之间的通信顺序:
·在通过504MDS116从设备102接收到请求502时,AG106对请求506进行排队,并释放与设备的连接。
·接下来,从队列508重新得到请求,然后对该请求进行预处理并通过同步通信信道将其转发510给网络服务器108。
·由AG106对来自先前请求的任何响应进行处理,并且将响应消息异步发送回设备512和514。
参照图6,示出了根据本发明的实施例的安全握手的方框图。应用服务器206包括应用映射层600。应用映射层600具有到用于存储服务器公钥604(例如ECC密钥)的设备密钥数据库602的入口。类似地,移动设备102具有用于存储设备公钥608(例如RSA密钥)的数据库606。
参照图7,示出了根据本发明的实施例的发送安全消息的方框图。示出了应用映射层通过防火墙700与网络服务器108相连。
在操作中,一旦如图6所示地建立了安全握手,则可以将安全消息从设备发送到服务器702或者从服务器发送到设备704。
在移动设备(MD)102到应用映射层(AML)600之间的每个方向上,安全消息模型都支持独立的PKI基础设施方案。这保证了在仍然提供安全整体解决方案的同时以最有效的方式来发送所有消息。通过使用不对称算法,可以在处理成本以及时间方面将加密与根据算法规范的解密区别开。
RSA是最通用的公钥加密系统。RSA是由RonRivest、Adi Shamir和Leonard Adleman在1977年开发的。这个算法依靠包括对较大整数n的因数分解的单向函数。其中,n是两个较大素数p和q的乘积。如果p和q已知,则RSA的单向函数将相对容易地计算出n。然而,对足够大的已知n进行因式分解以发现n的两个素因子p和q的反向任务是不可行的。
ECC(椭圆曲线加密)是另一种公钥加密系统。RSA和ECC都能够提供安全通信,然后ECC具有优于RSA以及其他通用公钥加密系统的优点。RSA是基于整数因式分解问题,而ECC是基于离散对数问题(DLP)。
ECC具有优于RSA的以下优点:
·ECC具有比任何其他具有相似安全深度的已知公钥加密系统都短的密钥长度。安全深度被认为是在时间方面破坏加密系统。
·对于解密,ECC比具有相似安全深度的RSA快得多。
·ECC很可能比RSA更加安全,所解决的最大RSA和ECC分别是512比特和108比特。认为对108比特ECC挑战的解决方案是在公钥加密挑战中所消耗的最大努力。这花费了4个月并且包括大约9500台机器。需要用以解决问题的工作量大约是512比特RSA挑战的50倍。
RSA具有以下优于ECC的优点:
·RSA加密时间比具有相似安全深度的ECC快。
在握手过程中,每一方拿起托管的其他公钥,并将其用于检验所接收到的数据。这些密钥都是公钥,但是许多都在稍后转变成不同的规范。这种方法在保证足够强度的安全的同时,允许针对每个传输方向上的算法的使用最小化处理以及对于移动设备的空中要求。
在安全握手中,移动设备(MD)102通过安全插座层(SSL)与应用映射层(AML)600相连,以交换密钥。SSL在密钥传递过程中保证两个端点之间的信任。这些密钥在MD和AML两方坚持编码格式,以便用于所有安全消息传输。
一旦交换,这些公钥使用以下安全原则在保护数据安全中起重要作用:
非否认/完整性这里需要关于所发送的消息是来自你相信它是来自于其的人的证据。这通常使用数字签名来实现,从而使得发送者以可以使用公钥所验证的私钥来对数据中的一些部分签名。完整性存在于验证出消息与其发送时保持相同而没有修改时。这也是使用数字签名来完成的。
保密性是大多数人都很容易理解的概念。保密性是保持秘密的行为。保密性是阻止将信息透露给并不旨在接收该信息的实体的过程。加密是一种保护信息的保密性的普通且有效的方式(如果正确使用的话)
安全消息传送具有支持两种不同的安全模式的数据模型。每种模型支持不同的安全原则。根据所使用的安全模式,来影响数据载荷大小和性能。这两种安全模式都支持数据签名,并由此使用通过图6中所示的握手所交换的公钥604和608。
参照图8,示出了针对根据本发明的实施例的签名模式消息传送的数据模型的方框图。数据模型1200用于签名模式安全,并包括数字签名802和纯文本数据804。签名模式支持非否认-/完整性安全原则。在你需要确认该内容是否是从已知源中推导而得,并且该内容在从发送消息的时间到接收到消息之前不发生变化时,使用这种模式。
参照图9,图9是根据本发明的实施例的针对签名和加密模式消息传送的数据模型的方框图。数据模型900用于签名和加密模式安全,并包括不对称加密的对称密钥902以及对称加密数据(签名数据)904。
签名和加密模式支持非否认/完整性,并增加了保密性。在你需要签名模式所提供的相同安全性而你又不希望签名和纯文本数据能够清晰可见时,应使用这种模式。使用对称密钥计数来实现保密性。在这种模型中,使用通过握手所交换的公钥来对AES对称密钥进行加密。这种AES算法可用于两个方向。一旦解密,则将其用作批量密钥来对使用AES算法进行加密的签名数据内容进行解密。
安全消息传送解决方案不指示应该用于在MD和AML之间发送任意类型数据的特定传输。该解决方案在本质上允许应用发送如基于任何远端协议的数据模型中所定义的任何这种数据。然而,不需消息容器的一些类型定义容器中所发送的消息是否安全,如果这样的话则定义它们所使用的版本以及安全模式。以下是包含安全消息的消息的确定格式。
参照图10,示出了根据本发明的实施例的安全消息容器的方框图。安全消息容器1000包括安全状态1002、安全版本1004、安全模式1006、以及安全数据消息1008。
在不背离权利要求中所定义的发明范围的前提下,可以对上述的特定实施例进行多种修改、变化和改写。
Claims (19)
1.一种用于在无线设备和应用网关之间的安全消息传送的系统,所述系统包括:
应用网关服务器,包括用于在系统和设备之间进行通信的消息代理,将所述应用网关服务器配置用于与供应服务器和发现服务器进行通信,并且所述应用网关服务器包括用于在设备和应用网关之间实现不对称加密的应用映射层,并且包括具有用于对发送至设备的消息进行加密的第一密钥集的加密以及具有用于对来自设备的消息进行解密的第二密钥集的解密。
2.如权利要求1所述的系统,其中,所述应用映射层包括安全握手过程。
3.如权利要求1所述的系统,其中,所述应用映射层包括安全消息过程。
4.如权利要求1所述的系统,其中,所述应用映射层包括安全消息容器。
5.如权利要求1所述的系统,其中,所述第一密钥集独立于第二密钥集。
6.如权利要求5所述的系统,其中,根据设备的解密能力来选择第一密钥集。
7.如权利要求6所述的系统,其中,所述第一密钥集包括椭圆曲线加密密钥。
8.如权利要求5所述的系统,其中,根据设备的加密能力来选择第二密钥集。
9.如权利要求8所述的系统,其中,所述第二密钥集包括RSA密钥。
10.一种用于在无线设备和应用网关之间的安全消息传送的方法,所述方法包括以下步骤:
通过安全插座将设备连接到应用映射层;以及交换加密密钥,以实现在设备和应用网关之间的不对称加密;并且包括具有用于对发送至设备的消息进行加密的第一密钥集的加密,以及具有用于对来自设备的消息进行解密的第二密钥集的解密。
11.如权利要求10所述的方法,还包括使用第一密钥集来对发送至设备的消息进行加密以及将所述消息发送至设备的步骤。
12.如权利要求11所述的方法,其中,所述发送包括使用安全消息容器。
13.如权利要求10所述的方法,还包括使用第二密钥集来对设备处的消息进行加密以及将所述消息发送给应用映射层的步骤。
14.如权利要求13所述的方法,其中,所述发送包括使用安全消息容器。
15.如权利要求10所述的方法,其中,所述第一密钥集独立于所述第二密钥集。
16.如权利要求15所述的方法,其中,根据设备的解密能力来选择第一密钥集。
17.如权利要求16所述的方法,所述第一密钥集包括椭圆曲线加密密钥。
18.如权利要求15所述的方法,其中,根据设备的加密能力来选择第二密钥集。
19.如权利要求18所述的方法,其中,所述第二密钥集包括RSA密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US67204005P | 2005-04-18 | 2005-04-18 | |
| US60/672,040 | 2005-04-18 | ||
| PCT/CA2005/001963 WO2006110984A1 (en) | 2005-04-18 | 2005-12-22 | System and method for secure messaging between wireless device and application gateway |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101167302A true CN101167302A (zh) | 2008-04-23 |
| CN101167302B CN101167302B (zh) | 2013-03-06 |
Family
ID=37114654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580049515XA Active CN101167302B (zh) | 2005-04-18 | 2005-12-22 | 无线设备和应用网关之间的安全消息传送的系统及方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8775791B2 (zh) |
| EP (1) | EP1872516B1 (zh) |
| CN (1) | CN101167302B (zh) |
| AT (1) | ATE462242T1 (zh) |
| CA (1) | CA2603230C (zh) |
| DE (1) | DE602005020192D1 (zh) |
| WO (1) | WO2006110984A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105940693A (zh) * | 2014-02-06 | 2016-09-14 | 亚普知识产权控股有限公司 | 通信系统 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080268882A1 (en) * | 2007-04-30 | 2008-10-30 | Palm, Inc. | Short message service enhancement techniques for added communication options |
| US8571218B2 (en) | 2010-06-01 | 2013-10-29 | GreatCall, Inc. | Short message service cipher |
| US10824756B2 (en) | 2013-09-20 | 2020-11-03 | Open Text Sa Ulc | Hosted application gateway architecture with multi-level security policy and rule promulgations |
| US10171501B2 (en) * | 2013-09-20 | 2019-01-01 | Open Text Sa Ulc | System and method for remote wipe |
| EP2851833B1 (en) | 2013-09-20 | 2017-07-12 | Open Text S.A. | Application Gateway Architecture with Multi-Level Security Policy and Rule Promulgations |
| WO2015167381A1 (en) * | 2014-04-30 | 2015-11-05 | Telefonaktiebolaget L M Ericsson (Publ) | Residential local break out in a communication system |
| US9635055B2 (en) * | 2015-01-28 | 2017-04-25 | defend7, Inc. | Encryption levels for secure application containers |
| US11593075B2 (en) | 2015-11-03 | 2023-02-28 | Open Text Sa Ulc | Streamlined fast and efficient application building and customization systems and methods |
| US11388037B2 (en) | 2016-02-25 | 2022-07-12 | Open Text Sa Ulc | Systems and methods for providing managed services |
| US11736451B2 (en) * | 2020-12-17 | 2023-08-22 | Itron, Inc. | Message broadcasting based on trust levels and resource limitations in a mesh network |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188003B2 (en) * | 1994-12-30 | 2007-03-06 | Power Measurement Ltd. | System and method for securing energy management systems |
| US5909491A (en) * | 1996-11-06 | 1999-06-01 | Nokia Mobile Phones Limited | Method for sending a secure message in a telecommunications system |
| US20020049818A1 (en) | 1998-05-29 | 2002-04-25 | Gilhuly Barry J. | System and method for pushing encrypted information between a host system and a mobile data communication device |
| WO2000077974A1 (en) * | 1999-06-11 | 2000-12-21 | Liberate Technologies | Hierarchical open security information delegation and acquisition |
| EP1117220A1 (en) * | 2000-01-14 | 2001-07-18 | Sun Microsystems, Inc. | Method and system for protocol conversion |
| JP4581246B2 (ja) * | 2000-12-26 | 2010-11-17 | ソニー株式会社 | 情報処理システム、および情報処理方法、並びにプログラム記録媒体 |
| US6937731B2 (en) * | 2001-03-13 | 2005-08-30 | Mitake Information Corporation | End to end real-time encrypting process of a mobile commerce WAP data transmission section and the module of the same |
| US20030051029A1 (en) * | 2001-09-07 | 2003-03-13 | Reedy Dennis G. | Dynamic provisioning of sevice components in a distributed system |
| US7146009B2 (en) * | 2002-02-05 | 2006-12-05 | Surety, Llc | Secure electronic messaging system requiring key retrieval for deriving decryption keys |
| US7257709B2 (en) * | 2002-09-03 | 2007-08-14 | Certicom Corp. | Method and apparatus for performing validation of elliptic curve public keys |
| EP1609285B1 (en) * | 2003-02-14 | 2007-11-07 | Research In Motion Limited | System and method of compact messaging in network communications |
| JP2004272632A (ja) | 2003-03-10 | 2004-09-30 | Sony Corp | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム |
| US7640594B2 (en) * | 2004-01-21 | 2009-12-29 | Sap Ag | Secure storage in a file system |
| US7304572B2 (en) * | 2004-06-29 | 2007-12-04 | Motorola, Inc. | Cellular communications based intercom system and methods |
| US7404085B2 (en) * | 2004-09-03 | 2008-07-22 | Sap Ag | Authentication of handheld devices for access to applications |
| US20060126838A1 (en) * | 2004-12-09 | 2006-06-15 | Avner Taieb | Method and system for facilitating communication |
-
2005
- 2005-12-22 CA CA2603230A patent/CA2603230C/en active Active
- 2005-12-22 WO PCT/CA2005/001963 patent/WO2006110984A1/en not_active Application Discontinuation
- 2005-12-22 US US11/313,942 patent/US8775791B2/en active Active
- 2005-12-22 DE DE602005020192T patent/DE602005020192D1/de active Active
- 2005-12-22 CN CN200580049515XA patent/CN101167302B/zh active Active
- 2005-12-22 AT AT05826493T patent/ATE462242T1/de not_active IP Right Cessation
- 2005-12-22 EP EP05826493A patent/EP1872516B1/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105940693A (zh) * | 2014-02-06 | 2016-09-14 | 亚普知识产权控股有限公司 | 通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101167302B (zh) | 2013-03-06 |
| ATE462242T1 (de) | 2010-04-15 |
| US20060234731A1 (en) | 2006-10-19 |
| DE602005020192D1 (de) | 2010-05-06 |
| EP1872516B1 (en) | 2010-03-24 |
| WO2006110984A1 (en) | 2006-10-26 |
| CA2603230A1 (en) | 2006-10-26 |
| CA2603230C (en) | 2013-03-26 |
| US8775791B2 (en) | 2014-07-08 |
| EP1872516A1 (en) | 2008-01-02 |
| EP1872516A4 (en) | 2008-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101167302B (zh) | 无线设备和应用网关之间的安全消息传送的系统及方法 | |
| De Santis et al. | An extensible framework for efficient secure SMS | |
| CN102546607B (zh) | 在云上提供安全服务 | |
| US8386780B2 (en) | Cryptographic communication system, terminal device, server, and decryption method | |
| US20100223463A1 (en) | Communication system, key managing/distributing server, terminal apparatus, and data communication method used therefor, and program | |
| CN103209202B (zh) | 用于传输数据的方法和设备 | |
| US20040019780A1 (en) | System, method and computer product for delivery and receipt of S/MIME encrypted data | |
| JPH1127252A (ja) | 鍵管理システム、鍵管理装置、情報暗号化装置、情報復号化装置、およびプログラムを記憶した記憶媒体 | |
| CN101610291B (zh) | 基于第三方平台的数据上传方法、下载方法及系统 | |
| CN102238002A (zh) | 用于网络通信的动态加密和解密的方法和设备 | |
| JP2005515701A (ja) | データ伝送リンク | |
| JP2005515701A6 (ja) | データ伝送リンク | |
| CN104145444A (zh) | 操作计算设备的方法、计算设备及计算机程序 | |
| CN103532702A (zh) | 通信装置、密钥生成装置、通信方法和通信系统 | |
| CN110061996A (zh) | 一种数据传输方法、装置、设备及可读存储介质 | |
| WO2007067475A1 (en) | Encapsulating address components | |
| Hassinen | Java based public key infrastructure for sms messaging | |
| GB2406246A (en) | Secure Provision of Image Data | |
| Cencioni et al. | A mechanism to enforce privacy in vehicle-to-infrastructure communication | |
| CN103856938A (zh) | 一种加密解密的方法、系统及设备 | |
| Ok et al. | SIMSec: A key exchange protocol between SIM card and service provider | |
| CN115001744A (zh) | 一种云平台数据完整性验证方法及系统 | |
| JP2004186939A (ja) | 暗号処理装置及び方法 | |
| Ranjan et al. | A review of secure SMS based M-commerce | |
| Yeun et al. | Secure software download for programmable mobile user equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240522 Address after: Ai Erlandubailin Patentee after: Maliki Innovation Co.,Ltd. Country or region after: Ireland Address before: Ontario, Canada Patentee before: RESEARCH IN MOTION Ltd. Country or region before: Canada |