CN101310473B - 无线网络的空中接口应用层安全 - Google Patents
无线网络的空中接口应用层安全 Download PDFInfo
- Publication number
- CN101310473B CN101310473B CN2006800403311A CN200680040331A CN101310473B CN 101310473 B CN101310473 B CN 101310473B CN 2006800403311 A CN2006800403311 A CN 2006800403311A CN 200680040331 A CN200680040331 A CN 200680040331A CN 101310473 B CN101310473 B CN 101310473B
- Authority
- CN
- China
- Prior art keywords
- data
- receiver
- data block
- cryptosynch
- piece
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
- H04L9/0662—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
Abstract
本发明提供一种用于加密在无线链路上传输的数据的方法。该方法包括:在空中接口应用层,使用接收密码同步信号作为输入的加密算法,加密至少一个数据块。所述密码同步信号的值基于至少一个数据块相对于其他数据块的顺序。所述密码同步信号的值可通过接收机基于数据块的排序进行恢复。所述至少一个加密的数据块被发送到接收机,该接收机可操作来保存至少一个数据块相对于其他数据块的顺序。
Description
发明背景
1.技术领域
本发明通常涉及通信系统,并且更特别地涉及无线通信系统。
2.背景技术
无线通信系统通常被利用来提供语音和/或数据通信。参考图1,例如,无线通信系统100通常包括可操作来与一个或多个无线设备108进行通信的无线网络104。在本实例中,无线网络104和无线设备108在无线链路110上通信。尽管未示出,无线链路110仍可以包括任何数目的中间设备,这些中间设备促进无线网络104和无线设备108之间的无线通信。例如,无线链路110可以包括中继器、天线、路由器、卫星等等。
现有的和新兴的无线通信系统通常由空中接口技术、网络体系架构和无线协议的异构集合构成。例如,无线通信系统可以使用提供对局域网和“热点”网络的接入的IEEE-802.11(WiFi)无线网络、提供固定无线和移动宽带接入的IEEE-802.16(WiMax)网络、给第三代(3G)移动数据用户提供接入的演进数据优化网络(1xEVDO)等等进行操作。不同无线技术中存在的多样性通常可归因于它们服务的环境和市场。
在图1中,例如,无线网络104可以是给移动数据用户提供宽带数据接入的1xEVDO网络。在本实例中,无线网络104的基础设施可以包括基站收发信机(BTS)、无线电网络控制器(RNC)、分组数据服务节点(PDSN)等等。在同一实例中,无线设备108可以是诸如蜂窝式电话、个人数据助理、文本消息接发设备、膝上型电脑等等的移动单元。在另一实例中,无线网络104可以是IEEE 802.11网络,该IEEE802.11网络包括与局域网进行数据通信的至少一个无线接入点。通常,无线通信系统100可以使用任何已知的、新兴的、或还将被开发的无线技术进行配置,并且这些无线通信系统100可以是利用任何数目的固定或移动无线设备108可操作的。
开放系统互连(OSI)是通常被接受的参考模型,该参考模型提供如何在通信系统中的两个点之间发送数据(例如,消息、分组、数据报、帧等等)的描述。为了简单起见,术语“分组”、“数据分组”和“帧”在这里将被可互换地用来通常指的是已经以已知方式(诸如IP帧、点对点协议(PPP)帧、无线电链路协议(RLP)帧、信令链路协议(SLP)帧)或任何其他已知的或将要开发的数据格式来安排的数据。在图1中,例如,在任一方向中,可以在无线网络104和无线设备108之间发送数据分组。在本实例中,这些分组可以包括表示语音、视频、信令消息或任何其他类型信息的有效载荷数据。用于发送数据分组的协议通常规定特定的帧格式(例如,RLP、IP、SLP等等)。
本领域的普通技术人员将会理解,OSI参考模型定义了在通信会话的每端通常发生的功能层。为了方便起见,通信过程和/或应用常常被分类到OSI功能层之一。例如,OSI模型中的第4层(即传输层)包括负责尤其确定在给定的通信会话中所有分组是否已经到达的过程和/或应用。但是,应该理解,在适当定义的层中一起保持相关功能方面并不总是严格遵守OSI模型。而且,给定的通信会话可以不包括来自OSI参考模块的每层的功能组分。
无线通信系统中的接入网通常大多数与OSI模型的物理层和媒体访问控制(MAC)层紧密相关联。但是,无线网络常常具有与差错恢复和带宽管理相关的特殊要求。同样,物理层和MAC层常常被补充有涉及无线通信会话中的附加功能的其他层。另外,无线网络信令机制常常不是基于IP的并且通常特别适合特定的接入技术。结果,无线接入网络常常在网络层之下利用一组接入技术特定的功能层。
图2示出可应用于1xEVDO网络的说明性空中接口分层体系架构200。为了简洁起见,这里仅仅图解说明了用于1xEVDO网络的这种空中接口分层。但是,应该理解,其他接入网使用类似的原理,但是由于技术差异、实现考虑等等具有可能的变型。简而言之,空中接口分层能够被认为是数据分组在无线通信系统中的无线链路上传输之前遍历的逻辑步骤序列。
块204表示通常包括独立于特定空中接口的帧格式的空中接口应用层。该空中接口应用层帧格式通常是IP或PPP。其他帧格式也可以被使用。在1xEVDO网络的环境中,空中接口帧包括RLP帧和SLP帧。RLP使用面向字节的序列号,该面向字节的序列号反映从较高的层接收八位字节(通常为IP或PPP)的顺序。通过所述标准支持多个RLP分组大小。
空中接口应用层通常被认为是与无线网络的入口和出口点相关联的功能层。在无线网络上发送数据分组的环境(即入口)中,空中接口应用层通常从上述功能层接收IP或PPP帧。例如,空中接口应用层可以从VoIP应用接收IP分组。在这种情况下,空中接口应用层执行其处理并将数据传到下面的下一层。对于出口,空中接口应用层通常从较低的功能层接收数据。在这种情况下,数据通常已经在无线链路上被发送并且在通过较低的功能层已经处理过之后被切换到空中接口应用层。该空中接口应用层处理所述数据和将该数据提供到诸如VoIP应用的较高层(未示出)。
通过框208示出数据流层。该数据流层提供用于通过将2-比特流标识符报头添加到给定通信会话中的数据分组来区别不同空中接口应用的机制。通过框212表示的会话层提供地址管理、空中接口协议协商和配置以及状态维护服务。框216(即连接层)提供空中链路连接建立和维护服务。
通过框220所示的安全层提供链路层安全支持。一种用于1xEVDO网络中的链路层安全的传统方法利用作为报头被添加到连接层分组的2字节密码同步信号(cryptosynch)。在传输之前,密码同步信号可以可能与诸如密钥的其他参数一起作为输入被提供给加密算法(例如,DES或AES),以加密所述数据分组。利用这种方法,通常将密码同步信号附加到数据分组和发送到接收机。接收机然后可以可能与其他参数(诸如之前已同意的密钥)一起使用密码同步信号来解密所述分组。此后,术语“密码同步信号”和“密码同步参数”可以被互换地用来通常指的是可以与分组加密和/或认证一起使用的任何安全参数。
如果分组要被认证,则可以计算消息认证标签并朝向连接层分组的末端添加该消息认证标签。消息认证标签的添加通常被称为显式消息认证。这是因为,认证标签被附加到分组并被发送到接收机。接收机结合消息认证算法(例如,迭代的加密散列函数)使用该标签来认证消息。正如以下将会描述的那样,将密码同步信号和/或认证标签添加到数据分组不希望地减小了带宽容量和增加了通信会话中要求的端处理的量。这尤其是对于诸如IP语音(VoIP)的时间敏感应用成立。
移动到框224,MAC层(通过该网络)支持空中接口调度功能。另外,支持多个MAC层有效载荷大小。通过框226所示的物理层提供信道和差错控制编码功能。上述空中接口分层体系架构中的每个层支持多个协议,并且除了会话层和连接层(框212和216)之外,每个层通常将报头添加到在功能上遍历空中接口层的分组。
在大多数(不然的话为所有)通信系统中,安全通常是重要的特征。在银行业环境中,例如,参加金融事业的参与者期望他们的电子交易按照意图被完成,而不会被对手(即,试图获得未授权地接入通信的人)改动。对手可能试图改变银行交易的目的地和/或值,以致以参与者不想要的方式处理交易。完整性保护机制被用来防止对手改动通信中不为通信提供商和/或通信参与者所知的信息。
无线通信在传统的以地面为基础的系统上引入新的安全风险程度。在无线环境中,因为信息在无线链路上被发送,这被认为比传统的以地面为基础的信道更易接近,所以对手能够更容易地进行窃听。如在图2中所述,无线通信系统通常利用某种形式的链路层安全来保护不受来自对手的攻击。尽管大多数无线网络使用网际协议(IP)作为网络层协议,但是无线通信系统(例如,802.11、CDMA、WiMax、UMTS等等)缺少链路层安全的公共框架,因此使得各种系统相互不能兼容。也就是,每个无线通信系统通常具有其自己的链路层安全标准。
链路层安全机制的作用常常是运用(complimentary)于诸如IPsec的网络层安全协议以及诸如传输层安全和安全套接层(TLS/SSL)的传输层协议。通常,网络和传输层协议趋向于提供“端到端”安全,目的在于使用户数据免于窃听和修改。诸如IPsec的网络层安全是相对资源繁重的实现机制。
链路层安全协议常常被设计来,除了提供保密性以及保护网络之外,在接入层使网络提供商和用户免于被欺骗。例如,在缺少链路层加密和/或分组认证时,甚至在存在端到端的IPsec时,对手能够通过冒充为合法的用户来窃取服务。这主要是由于数据网络是“分组交换的”以及由许多用户共享。由于数据业务以突发脉冲来服务并且不是连续的,所以实体认证和授权对于准予合法用户进入是有用的,但是并没有防止冒名顶替者窃取服务。
如之前所提及的那样,链路层安全机制通常是接入技术特定的。例如,用于1xEVDO网络的链路层安全机制与802.11网络不兼容,因此对于用户更加具有挑战性(不然的话不可能)的是无缝地从一种接入技术转换到另一种技术。这种不兼容性导致提供商在软件、硬件和维护/管理支出上进行附加的投资。
随着诸如VoIP和视频的时间敏感应用,在安全和效率之间要求一种平衡。这些应用要求要在预定的定时准则之内被输送和被处理的数据正确地运行。传统的安全机制常常对于时间敏感应用来说具有不想要的有助于时间延迟的后果。安全引起的时间延迟通常是实现安全机制所要求的附加处理和消耗资源的结果。而且,传统的链路层安全机制需要分组扩展,以适应在传输之前将密码同步信号添加到数据分组。如所述的那样,密码同步信号可以被用于加密和/或消息认证。
因为如在以下将会示出的那样,加密的链路层VoIP分组可以不适应于物理层帧,所以分组扩展对于全速率语音分组特别成为问题。图3图解说明可以在1xEVDO网络中使用传统链路层安全机制所遭遇的上述分组扩展问题。在本实例中,VoIP分组被示为遍历各个空中接口层,这些空中接口层包括在图2中描述的1xEVDO安全层。为了描述简单,在该图中已经添加参考编号1-5,以更容易地标识某些步骤。但是,应该理解,图3是简化的表示,其仅仅意图图解说明分组扩展的问题。同样地,图3并不意图穷举表示分组为准备在无线链路上传输可以采取的所有步骤。
在步骤1,通过空中接口应用层接收VoIP分组。应用稳健报头压缩(RoHC),以及在步骤2,示出分组被减小到208个比特。在步骤3示出,1xEVDO标准提出对于RLP使用14比特报头。在一个实施例中,RLP报头由用于链路流ID的5个比特、用于方向的1个比特、指示最后和第一帧的2个比特以及指示分组序列号的6个比特构成。
如上所述,在步骤4,1xEVDO中的链路层安全需要分组扩展,以容纳显式2字节密码同步信号300作为开销。该密码同步信号被附加到所述数据分组,以及随其被发送到接收机(例如,无线设备)。接收机使用密码同步信号并且可能使用秘密密钥来解密该数据分组。
在步骤5,一旦循环冗余码(CRC)和2比特MAC报头被添加到分组,分组就假设具有272个比特的长度。同样,全速率语音帧将不会适应于256比特物理层帧,而是如果相同的分组未加密地(即,没有2字节密码同步信号地)被发送,那么该分组将精确地适应于256比特帧。在1xEVDO系统的情况下,分组扩展迫使使用下一更高的物理层分组大小,该更高的物理层分组大小在一个应用中是512个比特,因此在这个说明性实例中使物理层分组大小加倍。
在致力于满足时间敏感应用的延迟要求中,链路层安全机制通常接近于物理层来实现。这例如在图2的1xEVDO空中接口分层体系架构中被示出。不幸的是,以这种方式实现的链路层安全机制通常不能够有效地分离信令应用和其他用户数据应用。结果,提供商具有对不同的数据流定制加密和认证的有限能力。例如,无线接入提供商能够选择认证每个信令消息,但是针对用户数据分组提供没有显示认证的加密。而且,用户可能坚持,在无线链路上加密和认证尽力服务分组,但是可以选择不认证每个VoIP分组。利用如此接近物理层地来应用的当前链路层安全机制,在没有招致层破坏的情况下,这种分离是困难的,不然的话是不可能的。
因此,如与传统的安全机制相比,需要一种相对独立于下层的接入技术操作的安全机制。该安全机制应该可应用于大多数(不然的话是所有)无线接入技术。而且,该安全机制应该提供某种程度的灵活性,同时减小传统安全和/或认证机制要求的开销。
发明内容
以下提出本发明的简化概述,以便提供本发明一些方面的基本理解。该概述并不是本发明的穷举综述。并不意图标识本发明的关键或关键要素或叙述本发明的范围。其唯一目的是以简化的形式提出某些构思作为以下讨论的更详细描述的序言。
在本发明的一个实施例中,提供一种用于加密在无线链路上传输的数据的方法。该方法包括:在空中接口应用层,使用接收密码同步信号作为输入的加密算法,加密至少一个数据块。所述密码同步信号的值基于至少一个数据块相对于其他数据块的顺序。所述密码同步信号的值可通过接收机基于该至少一个数据块的排序进行恢复。该至少一个加密的数据块被发送到接收机,该接收机可操作来保存至少一个数据块相对于其他数据块的顺序。
在本发明的另一实施例中,提供一种用于解密在无线链路上接收的数据的方法。该方法包括接收用于在无线链路上发送至少一个加密的数据块的至少一个分组。使用接收密码同步信号作为输入的加密算法来加密这些数据块。密码同步信号的值基于至少一个数据块相对于其他数据块的顺序。在空中接口应用层,从至少一个数据块相对于其他数据块的排序恢复用于至少一个加密的数据块的密码同步信号。
附图说明
通过参考结合附图的以下描述可以理解本发明,其中相同的参考编号标识相同的元件,并且其中:
图1图解说明示例性无线通信系统的简化框图;
图2在概念上图解说明可应用于1xEVDO网络的示例性空中接口分层体系架构;
图3是分组扩展的简化表示;
图4在概念上图解说明根据本发明的一个实施例的、加密在无线链路上传输的数据的方法的一个示例性实施例;以及
图5是根据本发明的一个实施例的、遍历1xEVDO安全层的视频分组的简化表示。
尽管本发明容许各种修改和替换形式,但是已经通过附图中的实例示出并且在这里详细地描述了本发明的特定实施例。但是,应该理解,这里的特定实施例的描述并不意图将本发明限制为所公开的特定形式,而是相反,意图覆盖落入如通过随附的权利要求书所定义的本发明的精神和范围之内的所有修改、等效物和替换方案。
具体实施方式
以下描述本发明的说明性实施例。为了清楚起见,在本说明书中并不描述实际实现方案的全部特征。当然将会理解,在任何这种实际实施例的开发中,应该作出大量实现方案特定的判定,以实现开发者的特定目的,诸如遵循将会因实现方案的不同而变化的系统相关的和商业相关的约束。而且,将会理解,这种开发努力可能是复杂和耗时的,但是仍然对于受益于本公开内容的本领域普通技术人员来说将会是例行任务。
呈现本发明在计算机存储器内的软件、或算法和关于数据比特操作的符号表示方面的部分和对应的详细描述。这些描述和表示是本领域普通技术人员将他们工作的实质有效地传达给本领域的其他普通技术人员的描述和表示。算法(如这里使用的术语)以及如它通常被使用的那样被设想成导致期望结果的步骤的自给序列。这些步骤是要求物理量的物理操纵的那些步骤。通常,尽管不是必需的,但是这些量采取能够被存储、被传输、被组合、被比较以及以其他方式被操纵的光信号、电信号或磁信号的形式。已经多次(主要由于公共使用的原因)证实将这些信号表示为比特、值、元素、符号、字符、项、数字等等是便利的。
但是,应该记住,所有这些和类似的术语将与适当的物理量相关联并且仅仅是应用到这些量的便利标记。除非另外特别声明,或如根据讨论明显的那样,诸如“处理”或“用计算机计算”或“计算”或“确定”或“显示”等等的术语指的是将被表示为计算机系统的寄存器和存储器之内的物理量、电子量的数据操纵和变换成其他数据的计算机系统(或类似电子计算设备)的动作和过程,这些其他数据类似被表示为计算机系统存储器或寄存器或其他这些信息存储、传输或显示设备之内的物理量。
还注意到,通常在某种形式的程序存储介质上编码或在某种类型的传输介质上实现本发明的软件实现方面。所述程序存储介质可以是磁的(例如,软盘或硬盘驱动器)或光学的(例如,致密光盘只读存储器,或“CD ROM”),以及可以是只读或随机存取。类似地,传输介质可以是绞合线对、同轴电缆、光纤或本领域已知的某些其他适当的传输介质。本发明并不限于任何给定实现方案的这些方面。
现在将参考附图描述本发明。仅仅为了解释的目的,并且为了不会利用对于本领域普通技术人员熟知的细节来模糊本发明,在附图中示意性描述各种结构、系统和设备。但是,包括附图来描述和解释本发明的说明性实例。这里使用的词和短语应该被理解和被解释成具有与相关领域的普通技术人员对这些词和短语的理解相一致的含义。术语或短语的非特殊定义(即不同于如本领域普通技术人员理解的普通和通常含义的定义)意图通过这里的术语或短语的一致性使用来隐含。就术语或短语意图具有特殊含义(即除本领域技术人员理解之外的含义)来说,在说明书中将以直接和明确地给术语或短语提供特殊定义的明确方式清楚地阐述这种特殊定义。
空中接口应用层安全(A2LS)支持对于大多数(不然的话是所有)包括信令的空中接口应用的加密和显式消息认证。而且,该空中接口应用层安全(A2LS)还支持隐式消息认证,如以下将会更全面地描述的那样,该隐式消息认证可以被认为是加密的特殊模式。如名称所隐含的那样,与传统的链路层安全机制相比,A2LS在进一步从物理层被去除的功能层操作。同样,A2LS相对更灵活并且可以在大多数(不然的话是所有)无线接入技术上被应用。
通常,显式消息认证机制包括计算消息的密码散列并且将该密码散列作为标签附加在分组的末端。通常,标签被附加到分组,以确保消息的完整性。如对于诸如VoIP的时间敏感应用所述的那样,添加标签可以导致不利的延迟增加和减小整体网络容量。隐式消息认证通过不添加额外标签来避免这个问题。而且,在A2LS的环境中,隐式消息认证并不要求将密码同步信号附加到分组,使得所述消息可以通过接收机进行解密。但是,即使当密码同步信号被附加到分组和被发送到接收机时,隐式消息认证也提供消除传输显式消息认证标签的优点。
如以下将会描述的那样,在接收机,对于给定的数据块,根据该数据块相对于其他数据块的排序可以推导出密码同步信号。例如,1xEVDO网络中的协议依赖于链路层序列号,以保证数据在接收机处的排序与发送数据的顺序同步。在这个说明性实例中,由于安全和/或认证考虑,链路层序列号不添加附加的开销。其他无线协议可以使用诸如控制信道、报头信息或其他排序参数的类似机制,以保证数据在接收机处的排序与发送数据的顺序同步。A2LS利用在大多数(不然的话是所有)无线协议中存在的这种排序特征,以推导接收机处的可应用的密码同步信号,使得该密码同步信号并不必被明确地发送。
图4在概念上图解说明A2LS的一个示例性实施例。在所图解说明的实施例中,发射机400和接收机404在无线通信系统中进行数据通信。如之前描述的那样,无线通信系统可以使用任何数目的不同无线技术(诸如CDMA、IEEE-802.11、IEEE-802.16、1xEVDO等等)来实现。同样地,所述接收机可以由任何数目的无线设备(诸如蜂窝式电话、个人数据助理、文本消息接发设备、膝上型电脑等等)构成。为了容易图解说明,在整个本公开内容中可以对1xEVDO网络中的某些组件作出特定参考。这些参考意味着容易提供来遵循实例,并且并不意图限制本发明。
在前向链路中,发射机400可以是无线网络,而接收机404可以是无线设备。在反向链路中,发射机400可以是无线设备,而接收机404可以是无线网络。简而言之,“接收机”和/或“发射机”的设计是可以根据无线通信系统中的数据通信方向而改变的便利之一。
在大多数(不然的话是所有)无线通信系统中,发射机400和接收机404共享通常在频带外同意的密码。例如,无线用户可以与无线载波签订预订协定,并且在新激活时,所述密码可以被存储在用户的无线设备中。通常,对于每个通信会话,发射机400和接收机404产生密钥。一般而言,用于密钥交换的参数以及所涉及的精确的消息格式和网络元件可以随设计选择而变化。
在图4中,在块408图解说明密钥协商。在密钥协商408之后,可以例如使用该密钥来对无线网络认证无线设备。在一个说明性实施例中,发射机400和接收机404执行密码认证密钥(PAK)交换的版本。PAK是基于Diffie-Hellman密钥交换的、密码认证的密钥协商协议。如果期望,则PAK可以依赖现有的授权机制。
在密钥协商408之后,如通过框412所指示的那样,发射机400和接收机404协商与安全和/或认证相关的多种初始化参数。这些初始化参数可以例如包括安全等级、安全算法、虚拟计数器的值和任何其他参数。利用安全等级,所述协商可以包括确定有关哪些等级要被应用到一定的数据流。如所述的那样,A2LS提供分离空中接口应用和有差别地保护它们的灵活性。在一个说明性实施例中,安全的等级可以包括空值(无加密或消息认证)、简单加密(无消息认证的加密)、隐式消息认证(无认证标签以及具有或不具有显式加密报头的加密和认证)以及加密和认证(简单加密和显式消息认证)。
某些初始化参数可以被设置为默认值,使得即使没有成功的协商412,发射机400和接收机404也可以使用这些默认值进行通信。在一个说明性实施例中,语音、视频和其他时间敏感的多媒体服务可以被设置来使用隐式消息认证。正如以下将会更充分地描述的那样,隐式消息认证并不要求与数据分组一起发送显式密码同步信号和/或认证标签,因此增加了网络容量并减小了发射机400和接收机404所负担的处理。在这个同一实例中,所有其他类型的数据服务可以被设置来使用加密和显式认证。
还可以将加密算法设置成某个默认值。尽管可以使用任何加密算法,但是在一个说明性实施例中,高级加密标准(AES)和安全散列算法(SHA-1)可以被设置为默认值,以分别支持加密和认证。正如以下将会描述的那样,可以使用虚拟计数器来推导密码同步信号的可变部分。作为默认的设置,在每个通信会话开始时,所述虚拟计数器可以被设置成零。
在发射机400,接收用于传输到接收机404的数据流。通常,该数据流由来自信令和承载数据应用的分组(例如,IP、PPP等等)构成。在1xEVDO网络的环境中,所述数据流可以是通过空中接口应用层204接收的VoIP数据流,在图2中示出。为了方便,所述数据流可以被称为明文流,以表示该数据流包括从上层接收到的但是还仍未通过加密和/或认证算法处理过的数据。
在块416,计算密码同步信号,加密算法和/或认证算法可以使用该密码同步信号来准备传输到接收机404的数据流。应该理解,可以使用任何数目的算法来计算所述密码同步信号,并且诸如比特长度、随机性等等的该密码同步信号的特定特征可以随设计选择而变化。在一个说明性实施例中,针对要被发送到接收机404的每个数据流计算密码同步信号。
尽管不要求特定的格式,但是可以使用固定分量和可变分量来计算密码同步信号。使用可变分量,随机因素可以被引入到密码同步信号,这使得对手更加困难模仿并且还使所发送的数据变得对字典攻击较不敏感。构成密码同步信号的固定分量和可变分量的特定数据可以随设计选择而变化。但是,正如以下将会描述的那样,可以推导所述密码同步信号,使得该密码同步信号承载与控制信息的预定关系,该控制信息通常伴随在无线链路上被发送的数据分组。例如,可以推导与诸如分组报头信息的控制参数具有预定关系的密码同步信号,所述控制参数伴随按照诸如CDMA、1xEVDO等等的无线标准的分组。这样做时,所述密码同步信号可以通过接收机404被恢复并且被用于解密和/或认证,而不必被明确地发送到该接收机404。
密码同步信号的固定分量可以根据伴随按照特定无线标准的分组的控制信息进行推断。在一个说明性实施例中,所述密码同步信号的固定分量是应用流标识符以及对于给定的数据流是固定的。应用流标识符可以由任何数目的比特构成。但是,在1xEVDO网络中,应用流标识符可以是长度为7个比特的RLP流标识符。第八比特可以被添加到所述固定分量作为方向比特。该方向比特可以被用来表示所述传输是在前向链路(也称为下行链路)中还是在反向链路(也称为上行链路)中。在一个说明性实例中,对于前向链路使用0,而对于反向链路使用1。通常,所述密码同步信号的固定分量将包括为8的某个倍数的比特长度。
所述密码同步信号的可变分量可以根据虚拟计数器进行推导,该虚拟计数器被配置来在已经接收到来自数据流的预定的比特块之后递增块数目。例如,在1xEVDO网络中,空中接口应用层以一定的顺序接收数据,并且在该数据被输送到链路层用于传输到接收机404之前对于加密和认证通常维持相同的顺序。因此,所述数据流可以被分解成预定比特长度(即“b”)的“块”。在一个实例中,将虚拟计数器每b个比特递增一。
所述块的比特长度(即变量b的值)可以被赋予任何值,并且可以随设计选择而变化。在一个实施例中,b的默认选择是128,这与示例性的默认加密算法AES的块长度相一致。在这种情况下,对于数据流中的128个比特的每个块可以递增所述虚拟计数器。因为按照字节界有效地进行操作,所以b的默认最小大小可以被规定在8个比特。
所述密码同步信号的可变分量可以被设置成任何比特长度。但是,应该理解,该可变分量的比特长度影响,对于给定的数据流,虚拟计数器将每隔多久再循环。例如,在一个说明性实施例中,可变分量可以被设置为7个字节的比特长度。因此,对于任何给定的数据流,在已经接收256个比特块之后,该虚拟计数器将再循环。如果期望大于7个字节的虚拟计数器,则这能够进行协商(例如在块412),或者能够被预先规定为默认值。同样,应该理解,用于密码同步信号的64个比特(8个比特用于固定分量,而56个比特用于可变分量)仅仅是可以和本发明一起使用的一个示例性实施例。
使用所述虚拟计数器,可以使用所述块之内的块数目和字节数目来标识数据流中的每个字节。继续上述实例,其中b(块比特长度)等于128个比特,给定数据流的字节173可以被标识为10.12,其中从零开始计数,所述表示指示数据流的字节173是块10的字节12。同样,数据流的字节174是块10的字节13,等等。
应该理解,如果b被设置为128个比特,则所得到的块由16个字节(即字节0-15)构成。将这种情况应用到上述1xEVDO实例,给定数据流中的字节173、174、175和176可以使用根据方向比特、RLP流标识符和等于10的块数目推导出的密码同步信号值进行加密。同样地,字节177到192可以使用根据方向比特、RLP流标识符和等于11的块数目推导出的密码同步信号值进行加密。
不能确保被输送到接收机的链路层的数据以在无线链路上发送该数据的相同顺序来输送。在无线标准中,通常经由无线协议中的排序机制解决该问题。在1xEVDO网络中,例如,使用与链路层分组相关联的显式序列号对数据进行排序。继续1xEVDO实例,RLP分组包含RLP流的字节号作为序列号。例如,如果接收序列号为173的RLP分组,则按照上述的示例性约定,接收机404会将输入数据流的第一字节标识为10.12。换言之,使用已经与按照无线标准的分组相关联的序列号,所述接收机能够使其块计数和发射机同步以及恢复输入数据块的密码同步信号。计数器的初始值、块的比特长度(以上被表示为变量b)和任何其他安全参数可以被协商(如在块412图解说明),或被设置为之前同意的默认值。
在接收机404,链路层协议使用所述序列号来保证以发送数据的相同顺序安排该数据(即接收机404与发射机400同步)。然后,可以由空中接口协议中的更高层(诸如1xEVDO网络中的空中接口应用层)使用该序列号,以推导用于解密的虚拟计数器值。再次,因为在接收机404基本上以发送数据的相同顺序安排该数据,所以接收机404和发射机400被同步,并且通过接收机404恢复的虚拟计数器值将是被用来在发射机400加密所述块的相同值。在上述1xEVDO实例中,提供用于恢复针对字节173-176的块计数(计数值10)和针对字节177-192的块计数(计数值11)的图解说明。因此,如果使用AES作为加密算法,则使用AES计数器输出的第12到第15字节,可以使用密码同步信号值来解密字节173-176,该密码同步信号值根据方向比特、RLP流标识符和等于10的块数目被推导出。同样地,使用AES计数器输出的第0到第15字节,可以使用密码同步信号值来解密字节177至192,该密码同步信号值根据方向比特、RLP流标识符和等于11的块数目被推导出。
再参考图4,在块420,在无线链路上发送数据流之前,所计算的密码同步信号可以被用于加密该数据流。任何协定的加密算法可以用于加密明文流。正如以下将会描述的那样,可以使用既实现加密又实现消息认证的隐式消息认证算法,尽管后者不是明确的。但是,也可以利用大量的其他加密算法。
在一个说明性实施例中,诸如AES的加密算法使用所推导的密码同步信号作为输入产生伪随机比特流。加密算法还可以使用任何数目的附加参数作为输入,这些参数诸如发射机400和接收机404在密钥协商408期间所选择的密钥。在一个实例中,所述密钥可以是仅仅由发射机400和接收机404已知的128个比特的伪随机序列。
通过执行明文流和伪随机流的对应字节的逻辑“异或”可以获得密文流(即加密的数据流)。然后可以将该密文流转到链路层,用于传输到接收机404。到接收机的传输在图4中通过箭头424指示。
如上所述,接收机404可以无顺序地接收字节,但是在将接收到的数据发送到上层之前对该接收到的数据进行排序是链路层协议的作用。而且,诸如1xEVDO中的RLP的无线链路层协议并不确保输送分组,并且这些协议通常将该输送留给诸如TCP的传输层协议,以从差错进行恢复。例如,如果链路层分组丢失,则期望该链路层输送其长度等于丢失分组的比特序列。例如,所述协议可以被配置来输送比特长度等于丢失分组长度的零比特序列。这些过程保证,诸如空中接口应用层的上层将维持发射机400和接收机404之间的同步。如在上面针对1xEVDO网络的实例中所描述的那样,接收机可以使用接收到的分组的序列号来恢复密码同步信号。因为接收机404和发射机400处于同步,所以该接收机能够使用相同的密码同步信号值、密钥和/或任何其他加密参数来产生伪随机流。在这个加密实例中,所述伪随机流与密文流进行“异或”,以获得明文流。
应该理解,计数器模式加密的选择仅仅是许多可能性之一,并且所选择的加密算法可以随设计选择而变化。例如,诸如输出反馈模式的其他加密模式可等同应用。而且,某些加密算法要求输入为一定的比特长度。例如,AES要求其输入长128个比特。在上述实例中,描述了64比特密码同步信号。在这种情况下,密码同步信号可以被填补有64个比特的后缀(trailing)或前导(leading)集,以便产生128比特输入值。该填补能够是诸如后缀零比特或任何其他值的任何已知量。
如上所述,显式消息认证机制通常包括将所计算的认证标签附加到分组的末端。通常,标签被附加到每个分组,以便确保消息的完整性。可以与在接收机处根据数据的排序恢复密码同步信号的上述方法一起使用显式消息认证。在这个说明性实例中,计算显式认证标签,并将显式认证标签附加到被发送到接收机的数据。该接收机根据接收到的数据块的排序恢复密码同步信号,并使用所述显式消息认证标签来认证该数据。
(在A2LS的环境中的)隐式消息认证是一种加密模式,该加密模式还包括并不要求分组被附加有标签的隐式认证分量。利用隐式消息认证,接收传输到接收机的明文流。加密算法被用于产生第一伪随机流和第二伪随机流。为了容易参阅,第一伪随机流可以使用变量‘A’来参阅,而第二伪随机流可以使用变量‘B’来参阅。
为了产生第一和第二伪随机流,可以通过接收机404已知的或能够通过接收机404确定的修改参数来修改密码同步信号。例如,该修改参数可以被协商(在块412)或被设置成默认值。在一个说明性实施例中,以上述方式推导密码同步信号,并且为了产生第一和第二伪随机流,密码同步信号可以分别跟随0或1。换言之,修改参数是可以被设置成0(第一伪随机流)或1(第二伪随机流)的一个比特值。
如上所述,可以根据虚拟计数器推导密码同步信号,该虚拟计数器被配置来在已经接收到来自明文流的预定比特块之后递增块数目。在这种情况下,通过采取可以使用变量‘X’来参阅的明文块并且通过执行运算Y=AX+B,产生密文流(即加密的数据流),其中在pn阶的有限域(即伽罗华(Galois)域)中执行该运算,其中p是质数以及n是整数。运算符‘+’是布尔运算“异或”,本领域的普通技术人员将会理解这与有限域2n中的加法相同。
在以上针对1xEVDO网络所描述的实例中,其中加密算法是AES以及块比特长度是128个比特,通过在GF(2128)中执行上述运算可以产生密文流。在本实例中,明文流被分割成128个比特块,并且如上所述,虚拟计数器标识每个数据流的块计数。通过将密码同步信号应用到AES加密算法,该密码同步信号附加有针对第一伪随机流的0和针对第二伪随机流的1,可以产生第一和第二伪随机流。
对于所有的块,无隐式消息认证的加密等效于A=1。在这种情况下,通过运算Y=A+B产生密文,其中+是布尔运算“异或”。这种加密模式不受欢迎地允许对手通过将某值添加到密文来改动明文的所选比特。例如,对手可以将值Δ添加到密文。结果,该密文可以被解密为X+Δ,这有意图地和明文有关。
在隐式消息认证中使用上述运算,由于Y+Δ将被解密为X+ΔA-1,所以对手不再能改动密文的所选比特,其中A对于对手是未知的。换言之,在改动密文之后,由于A是伪随机的,所以被解密的值不再意图和明文有关。例如,对于VoIP,所述语音数据具有冗余,以致随机改变会导致语音数据变得没有意义,并且因此提供隐式认证。这种特性通常被称为不可延展的(non-malleable)加密。
通常,在空中接口应用层接收到的数据流是诸如IP分组、PPP分组、信令分组等等的分组。在某些情况下,可以是空中接口应用层分组将不适应于单个链路层分组。例如,在隐式消息认证中所规定的块比特长度(通过变量b表示)可以是128个比特,但是接收来传输的数据流可以不是128的倍数。在这样的情况下,用于产生密文的伪随机流A和B的长度可以被调节来解释这种偶然性。
为了图解说明,可以在空中接口应用层接收比特长度等于K*b+L的数据分组,其中L是正数并小于b。在这种情况下,可以使用伪随机流A和B的b比特值来加密数据的前K个块。使用来自相应的伪随机流的伪随机流A和B的L比特值来加密后L个比特。但是,必须使用某种机制向接收机用信号通知分组不是长度b的偶数倍。在一个说明性实施例中,一旦为该分组准备密文,分组长度指示符就可以被添加来用信号通知分组的长度。例如,该长度指示符可以是被添加到分组的2字节前同步码(即报头)。可替换地,长度指示符可以作为后同步码(即脚注)被添加到所述分组。然后,包括该长度指示符的密文分组被转到链路层,用于传输。
长度指示符招致某个开销。在上述实例中,对于每个应用层分组招致2字节开销(例如,对于每个PPP分组或视频帧招致2字节开销)。但是,如果使用传统的安全机制来加密,则这种开销显著小于对于每个MAC分组招致的2字节开销。
接收机404从链路层以发送密文数据的相同顺序接收该密文数据。再次,链路层协议的作用是保证在将数据发送到上层之前的正确排序。如上所述,可以恢复密码同步信号的可变分量。利用所恢复的值,接收机使用相同的密钥和密码同步信号值可以产生伪随机流,然后所述密钥和密码同步信号值被用于解密密文分组。对于隐式消息认证,使用运算(Y+B)A-1可以获得明文流,其中Y是密文块,并且A和B分别是来自A和B伪随机流的伪随机块。
作为将显式长度指示符添加到密文流的替换方案,开始标志和结束标志可以被添加到帧。开始和结束标志可以是由具有预先定义的值的任何比特长度构成的比特序列。在一个说明性实施例中,所述开始标志和结束标志共享相同的固定值并且长8个比特(即开始标志是开始字节,而结束标志是结束字节)。继续该实例,如果在帧的有效载荷中找到开始/结束字节的值,那么通过利用不同于开始和结束标志的某个预定比特序列替换帧的有效载荷中的比特来解决“冲突”。在接收机,有效载荷数据被恢复到其原始状态。这个过程通常被称为字节填充。这种方法的一个优点是,接收机404可以通过寻找随后分组中的开始和结束标志而从丢失的分组进行恢复。一旦分组被接收,接收机就可以通过对开始和结束标志之间的比特数目进行计数来推导分组的长度。取决于该特定应用,分组长度的推导可以包括调节计算,以考虑报头数据、控制数据或任何其他各种各样的比特。
在图5中,示出了被应用到视频帧分组的隐式消息认证实例。在这个实例中,无线通信系统是1xEVDO网络,并且在步骤3指示的空中应用帧将不适应于一个物理层帧。如上所述,不是使用显式长度指示符,而是分别将开始标志500和结束标志504添加到所述分组。在步骤4,由于空中接口应用层分组的大小,在无线链路上传输之前,RLP对分组进行分段。
上述加密机制可同等地与诸如SHA-1的显式消息认证机制一起来应用。对于通常并不负担延迟要求的尽力服务数据,这有可能是显式消息认证的期望的替换方案。在这种方法的情况下,计算显式认证标签并将该显式认证标签附加到被发送到接收机的分组。但是,如上所述,所述加密机制可以使用上述密码同步信号过程,因此提供不必给分组附加有显式密码同步信号的益处。
上述公开的特定实施例仅仅是说明性的,因为可以用对于受益于在此的教导的本领域的普通技术人员来说明显的、不同但是等效的方式修改和实践本发明。而且,除了如在以下权利要求书中所描述的那样以外,不意图限制于在此示出的结构或设计的细节。因此,明显的是,可以改动或修改上述公开的特定实施例,并且所有这些变型都被认为是在本发明的范围和精神之内。因此,在此寻求的保护如在以下权利要求书中被阐述的那样。
Claims (10)
1.一种加密在无线链路(110)上传输的数据的方法,该方法包括:
在空中接口应用层,使用接收安全参数作为输入的加密算法来加密至少一个数据块,并且将至少一个加密的数据块发送到接收机(104,108),该接收机(104,108)可操作来保存所述至少一个数据块相对于其他数据块的顺序,其中,
用于加密至少一个数据块的安全参数的值由根据虚拟计数器的块计数推导出的可变分量构成,其中根据可选择的预定比特长度递增所述块计数,并且,所述安全参数的可变分量是能通过接收机基于所述数据块的排序进行恢复。
2.根据权利要求1所述的方法,其中,所述至少一个数据块由来自数据流的比特构成,并且预定的比特长度与至少一个数据块中的块之一的比特长度一致。
3.根据权利要求2所述的方法,其中,预定数目的比特是128个比特。
4.根据权利要求1所述的方法,其中,所述虚拟计数器被配置来:在已经接收到预定数目的比特之后,对于至少一个块中的每个块,递增所述块计数。
5.根据权利要求1所述的方法,还包括:
将所述虚拟计数器复位成预定的初始值,用于与所述接收机的通信会话。
6.根据权利要求1所述的方法,其中,所述安全参数由基于控制信息的固定分量构成,该控制信息伴随所述至少一个数据块。
7.根据权利要求1所述的方法,其中,加密所述至少一个数据块还包括:
根据加密算法产生伪随机流,其中伪随机流能够由接收机(104,108)使用对应的加密算法和安全参数的恢复值来再现;和
在伪随机流和所述至少一个数据块的对应字节之间执行逻辑“异或”。
8.根据权利要求1所述的方法,其中,加密所述至少一个数据块还包括:
根据加密算法,使用所述安全参数的第一值,产生第一伪随机流;
根据加密算法,使用所述安全参数的第二值,产生第二伪随机流;和
通过在有限域中执行运算Y=AX+B来加密所述至少一个数据块,其中A是第一伪随机流,B是第二伪随机流,X是所述至少一个数据块,以及Y是根据所述运算产生的、加密的数据块。
9.根据权利要求8所述的方法,还包括:
给所述至少一个加密数据的块附加有开始标志和结束标志,其中所述开始和结束标志可操作来向接收机(104,108)用信号通知所述至少一个加密数据的块的开始和结束。
10.根据权利要求1所述的方法,其中,在开放系统互连(OSI)参考模型的空中接口应用层加密至少一个数据块。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/261,399 US8447968B2 (en) | 2005-10-28 | 2005-10-28 | Air-interface application layer security for wireless networks |
US11/261,399 | 2005-10-28 | ||
PCT/US2006/040693 WO2007053302A2 (en) | 2005-10-28 | 2006-10-16 | Air-interface application layer security for wireless networks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101310473A CN101310473A (zh) | 2008-11-19 |
CN101310473B true CN101310473B (zh) | 2012-12-12 |
Family
ID=37882259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006800403311A Active CN101310473B (zh) | 2005-10-28 | 2006-10-16 | 无线网络的空中接口应用层安全 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8447968B2 (zh) |
EP (1) | EP1941650B1 (zh) |
JP (1) | JP5089599B2 (zh) |
KR (1) | KR101357026B1 (zh) |
CN (1) | CN101310473B (zh) |
WO (1) | WO2007053302A2 (zh) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7328350B2 (en) * | 2001-03-29 | 2008-02-05 | Arcot Systems, Inc. | Method and apparatus for secure cryptographic key generation, certification and use |
US7660996B2 (en) * | 2005-11-29 | 2010-02-09 | Canon Kabushiki Kaisha | Electronic apparatus and unit utilized in electronic system |
JP2009540694A (ja) * | 2006-06-07 | 2009-11-19 | クゥアルコム・インコーポレイテッド | 制御値を使用して通信処理を制御する方法および装置 |
US8565216B2 (en) * | 2006-06-07 | 2013-10-22 | Qualcomm Incorporated | Methods and apparatus for supporting tunneling related to wireless uplink signaling flows |
US8565217B2 (en) * | 2006-06-07 | 2013-10-22 | Qualcomm Incorporated | Methods and apparatus for supporting tunneling related to wireless downlink signaling flows |
US20070297369A1 (en) * | 2006-06-21 | 2007-12-27 | Innovative Sonic Limited | Method and apparatus for data framing in a wireless communications system |
US7715439B2 (en) * | 2007-02-05 | 2010-05-11 | Sharp Laboratories Of America, Inc. | Systems and methods for shifting the position of a symbol to reduce transmission overhead |
GB0713787D0 (en) * | 2007-07-16 | 2007-08-22 | Cellfire Security Technologies | Security protocol, secure communication system and method |
US8411862B2 (en) * | 2008-04-25 | 2013-04-02 | Alcatel Lucent | Timing adjustment for session security protocol |
EP2347611A4 (en) * | 2008-11-11 | 2014-12-17 | Aeronix Inc | METHOD AND DEVICE FOR IMPROVED SAFE TRANSMISSION BETWEEN RADIO COMMUNICATION COMPONENTS |
KR20110119785A (ko) * | 2009-02-16 | 2011-11-02 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 비-암호화 망 동작 해결책 |
US8824681B2 (en) * | 2011-12-06 | 2014-09-02 | Motorola Solutions, Inc. | Method and device for link layer decrypting and/or encrypting a voice message stream already supporting end to end encryption |
US10057250B2 (en) * | 2013-05-14 | 2018-08-21 | Kara Partners Llc | Technologies for enhancing computer security |
US11575524B2 (en) | 2015-10-12 | 2023-02-07 | Servicenow, Inc. | Selective encryption delineation |
US10601781B2 (en) * | 2015-10-12 | 2020-03-24 | Servicenow, Inc. | Selective encryption delineation |
US10728743B2 (en) * | 2016-01-19 | 2020-07-28 | Huawei Technologies Co., Ltd. | System and method of air interface capability exchange |
WO2017185312A1 (zh) * | 2016-04-28 | 2017-11-02 | 华为技术有限公司 | 加密、解密方法及装置 |
DE102016009279B4 (de) * | 2016-07-29 | 2019-10-17 | Bundesrepublik Deutschland, vertreten durch das Bundesministerium der Verteidigung, dieses vertreten durch das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr | Sendeverfahren und Empfangsverfahren zur verschleierten Unterwasser-Telefonie, und entsprechende Sender, Empfänger und Computerprogrammprodukte |
US11423401B2 (en) * | 2018-02-28 | 2022-08-23 | Visa International Service Association | Message delay estimation system and method |
JP7106964B2 (ja) * | 2018-04-24 | 2022-07-27 | 京セラドキュメントソリューションズ株式会社 | パスワード認証装置、パスワード認証プログラム及びパスワード認証方法 |
CN111368316B (zh) * | 2020-03-02 | 2022-08-09 | 中国邮政储蓄银行股份有限公司 | 文件加解密的方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5689563A (en) * | 1993-06-29 | 1997-11-18 | Motorola, Inc. | Method and apparatus for efficient real-time authentication and encryption in a communication system |
CN1372192A (zh) * | 2002-04-02 | 2002-10-02 | 成都三零盛安信息系统有限公司 | 一种通用安全加密接口 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0671270B2 (ja) * | 1982-01-26 | 1994-09-07 | 株式会社日立製作所 | データ伝送ネットワーク |
US4754482A (en) * | 1985-11-26 | 1988-06-28 | Samco Investment Company | Method and apparatus for synchronizing encrypting and decrypting systems |
US4654480A (en) | 1985-11-26 | 1987-03-31 | Weiss Jeffrey A | Method and apparatus for synchronizing encrypting and decrypting systems |
FR2595522A1 (fr) * | 1986-03-06 | 1987-09-11 | Cimsa Sintra | Procede et dispositif de transmission de donnees numeriques par messages organises en trames |
US5412730A (en) | 1989-10-06 | 1995-05-02 | Telequip Corporation | Encrypted data transmission system employing means for randomly altering the encryption keys |
US5164941A (en) * | 1990-01-24 | 1992-11-17 | Canai Computer And Network Architecture Inc. | System for implementing improved attempt-and-defer access contention protocol |
US5237610A (en) * | 1990-02-01 | 1993-08-17 | Scientific-Atlanta, Inc. | Independent external security module for a digitally upgradeable television signal decoder |
JPH05122196A (ja) | 1991-10-24 | 1993-05-18 | Mitsubishi Electric Corp | スクランブル/デスクランブル・システム |
JPH0738559A (ja) | 1993-07-22 | 1995-02-07 | Matsushita Electric Ind Co Ltd | 音声スクランブル・デスクランブル方法およびその装置 |
US5638448A (en) * | 1995-10-24 | 1997-06-10 | Nguyen; Minhtam C. | Network with secure communications sessions |
US5931961A (en) * | 1996-05-08 | 1999-08-03 | Apple Computer, Inc. | Discovery of acceptable packet size using ICMP echo |
US5719862A (en) * | 1996-05-14 | 1998-02-17 | Pericom Semiconductor Corp. | Packet-based dynamic de-skewing for network switch with local or central clock |
US6980658B1 (en) | 1999-09-30 | 2005-12-27 | Qualcomm Incorporated | Method and apparatus for encrypting transmissions in a communication system |
AU2005201982B2 (en) | 1999-09-30 | 2007-10-25 | Qualcomm Incorporated | Method and apparatus for encrypting transmissions in a communication system |
US6999429B1 (en) * | 2000-03-03 | 2006-02-14 | Telefonaktiebolaget Lm Ericsson | Access technology integrated header compression |
US7143289B2 (en) * | 2000-10-30 | 2006-11-28 | Geocodex Llc | System and method for delivering encrypted information in a communication network using location identity and key tables |
US7185362B2 (en) | 2001-08-20 | 2007-02-27 | Qualcomm, Incorporated | Method and apparatus for security in a data processing system |
US7006628B2 (en) | 2002-01-04 | 2006-02-28 | Avaya Technology Corp. | Efficient packet encryption method |
JP2003330366A (ja) | 2002-05-09 | 2003-11-19 | Fdk Corp | 暗号生成装置および復号装置および暗号/復号装置 |
US20030200459A1 (en) * | 2002-04-18 | 2003-10-23 | Seeman El-Azar | Method and system for protecting documents while maintaining their editability |
WO2003107706A1 (en) | 2002-06-12 | 2003-12-24 | Nokia Corporation | Synchronization of a counter value employed as a parameter for ciphering and deciphering in a mobile communication system |
JP4385900B2 (ja) * | 2004-09-10 | 2009-12-16 | セイコーエプソン株式会社 | 通信設定プログラム、起動プログラム、通信設定方法およびアプリケーションの起動方法 |
US7675895B2 (en) * | 2004-09-14 | 2010-03-09 | Alcatel-Lucent Usa Inc. | Method and apparatus for wireless communication using voice over internet protocol |
US8086519B2 (en) * | 2004-10-14 | 2011-12-27 | Cfph, Llc | System and method for facilitating a wireless financial transaction |
-
2005
- 2005-10-28 US US11/261,399 patent/US8447968B2/en active Active
-
2006
- 2006-10-16 WO PCT/US2006/040693 patent/WO2007053302A2/en active Application Filing
- 2006-10-16 JP JP2008537778A patent/JP5089599B2/ja active Active
- 2006-10-16 EP EP06826174.2A patent/EP1941650B1/en active Active
- 2006-10-16 CN CN2006800403311A patent/CN101310473B/zh active Active
- 2006-10-16 KR KR1020087010041A patent/KR101357026B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5689563A (en) * | 1993-06-29 | 1997-11-18 | Motorola, Inc. | Method and apparatus for efficient real-time authentication and encryption in a communication system |
CN1372192A (zh) * | 2002-04-02 | 2002-10-02 | 成都三零盛安信息系统有限公司 | 一种通用安全加密接口 |
Also Published As
Publication number | Publication date |
---|---|
JP2009514356A (ja) | 2009-04-02 |
US8447968B2 (en) | 2013-05-21 |
EP1941650B1 (en) | 2017-12-27 |
US20070101120A1 (en) | 2007-05-03 |
KR101357026B1 (ko) | 2014-02-03 |
WO2007053302A2 (en) | 2007-05-10 |
JP5089599B2 (ja) | 2012-12-05 |
WO2007053302A3 (en) | 2007-06-14 |
KR20080059601A (ko) | 2008-06-30 |
CN101310473A (zh) | 2008-11-19 |
EP1941650A2 (en) | 2008-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101310473B (zh) | 无线网络的空中接口应用层安全 | |
CA2644015C (en) | Method and apparatus for providing an adaptable security level in an electronic communication | |
JP4447463B2 (ja) | ブリッジ暗号vlan | |
US11095624B2 (en) | End-to-end encryption for personal communication nodes | |
US7979693B2 (en) | Relay apparatus for encrypting and relaying a frame | |
CN100473192C (zh) | 对通信系统中发送加密的方法和装置 | |
CN101542961B (zh) | 在通信网络中加密数据 | |
RU2384000C2 (ru) | Устройство и способ для шифрования/дешифрования сигнала в системе связи | |
CN107104977B (zh) | 一种基于sctp协议的区块链数据安全传输方法 | |
CN1323507C (zh) | 分组加密算法中对短分组的处理方法 | |
EA010611B1 (ru) | Способ (варианты) и устройство для криптографической обработки данных (варианты) | |
JP5527906B2 (ja) | セキュリティアソシエーションに関連した多数の接続パケットを連結し、暗号化オーバーヘッドを減少させるシステム及び方法 | |
JP2006262531A (ja) | 情報の暗号化方法およびデータ通信システム | |
CN102804729A (zh) | 用于加密错误检测和恢复的系统、方法和装置 | |
US8953788B1 (en) | Encrypting a data transmission using multiple channels | |
CN101379755A (zh) | 数字对象标题鉴权 | |
WO2007059558A1 (en) | Wireless protocol for privacy and authentication | |
EP2919498B1 (en) | Method, device and system for packet processing through a relay | |
US7627747B2 (en) | Hardware/software partitioning for encrypted WLAN communications | |
CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
WO2022161369A1 (zh) | 一种光传送网的安全管理信息处理方法及装置 | |
CN101326755A (zh) | 数字对象标题以及传输信息 | |
CN102904792A (zh) | 业务承载的方法及路由器 | |
CN114826748B (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
CN107040921A (zh) | 一种基于点对点的短信加密系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |