CN101485166A - 安全传输系统和方法 - Google Patents
安全传输系统和方法 Download PDFInfo
- Publication number
- CN101485166A CN101485166A CN200780024386.8A CN200780024386A CN101485166A CN 101485166 A CN101485166 A CN 101485166A CN 200780024386 A CN200780024386 A CN 200780024386A CN 101485166 A CN101485166 A CN 101485166A
- Authority
- CN
- China
- Prior art keywords
- message
- network entity
- network
- client
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000005540 biological transmission Effects 0.000 title claims description 42
- 238000004891 communication Methods 0.000 claims abstract description 107
- 230000004044 response Effects 0.000 claims description 18
- 238000012546 transfer Methods 0.000 claims description 9
- 238000013519 translation Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 7
- 230000008676 import Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012011 method of payment Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 240000004859 Gamochaeta purpurea Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/75—Media network packet handling
- H04L65/762—Media network packet handling at the source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Multimedia (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种用于通过通信网络将信息从用户传输到第一网络实体的方法。用户将信息输入到在用户终端执行的浏览器中。浏览器利用用于经由网络端口通过网络分发的第一通信协议来产生包含所述信息的第一消息,第一消息包括第一网络实体的标识符。在第一消息到达网络端口之前,在用户终端上执行的客户端接收第一消息。第一消息被打包成第二通信协议的第二消息,第二通信协议用于在所述客户端和第二网络实体之间传输消息。第二消息通过所述通信网络被传输给第二网络实体。第一消息在第二网络实体被从第二消息中解包,第一网络实体的标识符被翻译为第一网络实体的网络地址并且通过所述通信网络将第一消息传输给第一网络实体。
Description
技术领域
本发明涉及安全传输系统和方法,特别用于但并非专用于对等(peer-to-peer)远程通信系统。
背景技术
对等远程通信系统使诸如个人电脑的设备的用户可以通过诸如因特网的电脑网络来打电话。由于这些系统通常比诸如固定电话线或移动网络的传统电话网络的费用低很多,它们对于用户是有益的。这可能尤其有益于长途电话。这些系统可以利用在现有网络(例如因特网)上的网络电话(“VoIP”)来提供这些服务,也可使用替代协议。为使用对等电话服务,用户必须在他们的设备上安装和执行客户端软件。客户端软件提供VoIP连接以及诸如注册和认证的其它功能。
对等电话网络中的一些通话对于用户是免费的,诸如当与同一对等系统的其他用户通话时。然而,诸如打给固定线电话或移动电话的其它通话,可能要求用户为服务付费。这因此要求用户向系统提供敏感信息,从而要求对这种数据的传输提供高级别的安全性。许多对等电话系统运行预付费账户系统。在这些系统中,用户必须将敏感信息安全地传输给支付服务提供商以便将存款记入他们的账户,然后这些存款在打电话的过程中使用。一旦存款用完,为了继续使用服务,用户必须再次将敏感信息安全地传输给支付服务提供商以便将更多资金记入他们的账户。在替代系统中,可以对用户在一段时间内打电话的量寄出清单,或者可以要求用户支付固定的费用而不考虑打电话的量。
在现有的对等电话系统中,用户可以通过打开网络浏览器程序并进入电话系统运营商的站点来将敏感信息安全地传输给支付服务提供商。从该网页上,用户可以选择链接以便向他们账户付款。然后用户可以将信用卡或其它支付信息输入网页中。网络浏览器可以使用已知的安全协议来将敏感信息发送到支付服务提供商。这种方法的缺点在于它需要用户在他们的终端上打开单独的程序(例如网络浏览器)以便进行支付。而且它可能需要用户在到达正确的网页之前多次点击网页。此外,用户必须有权访问万维网(World Wide Web)以便进行这种支付。然而,在一些情况下,用户对于网络的访问可能由于安全原因而受阻,但却仍然能够使用对等电话服务。
从可用性的角度,电话系统的用户期望能够从运行于用户终端上的客户端软件直接对服务进行安全支付。这是因为用户直接将客户端程序与电话服务关联。此外,通过在客户端程序内部进行安全支付,这使用户不必打开其它程序以便安全地传输用于服务的敏感信息。例如,如在上文中所述,如果用户需要在因特网上传输敏感信息,可能需要用户打开他或她的终端上的浏览器,然后输入网站的正确地址,而他们应当在可以输入任何支付细节之前进行支付而进入网站。该过程容易产生用户错误,从而使用户方有挫折感。另外,一些用户还可能对在网站页面上输入敏感信息心存疑虑,并可能对由电话服务的运营商提供的客户端软件具有更高级别的信任。然而,客户端已知用户的身份,因而此信息可以传输给支付提供商而不必提示用户另外输入用户名和密码,因此使支付过程对于用户更为简单。
然而,在网络上传输的任何涉及敏感信息的信息都必须是安全的。尤其是,敏感信息不应未加密而发送。发送敏感信息的传统方式是使用诸如HTTP安全协议(HTTPS)的超文本传输协议(“HTTP”)消息格式,HTTPS使用安全套接层(“SSL”)协议或安全传输层(“TLS”)协议来加密数据。然而,从客户端软件发送的任何HTTP消息都容易被检测和阻止而导致HTTP消息以及加密数据的传输失败。对于HTTP消息的检测和阻止可能是由第三方或防火墙进行的。例如,一些公司将能够访问任意网页视为安全风险,因此阻止HTTP。然而,电话服务提供商不提出安全风险,因为它的内容从可信的来源获得。此外,一些公司或第三方可能希望阻止对等电话服务自身。同时可能难以检测实际的电话通信量,客户端可能发出特定的HTTP请求以执行它的任务。因而这些请求可以被检测到并允许终端运行待确认的客户端以及被阻止的请求。
因此需要在诸如因特网的网络中的安全传输系统和方法,其能够使敏感信息从本地客户端传输到基于网络的服务提供商。
发明内容
根据本发明的一个方案,提供了一种通过通信网络将信息从用户传输到第一网络实体的方法,包括步骤:所述用户将信息输入到在用户终端上执行的浏览器中;所述浏览器利用用于经由网络端口通过网络分发的第一通信协议来产生包含所述信息的第一消息,所述第一消息包括所述第一网络实体的标识符;在所述第一消息到达所述网络端口之前,在所述用户终端上执行的客户端接收所述第一消息;将所述第一消息打包成第二通信协议的第二消息,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;通过所述通信网络将所述第二消息传输给第二网络实体;以及在所述第二网络实体处将所述第一消息从所述第二消息中解包,将所述第一网络实体的标识符翻译为所述第一网络实体的网络地址,并且通过所述通信网络将所述第一消息传输给所述第一网络实体。
在一个具体实施方式中,所述方法还包括在所述客户端处收到所述第一消息之后对所述第一消息中的信息进行加密的步骤。在另一个具体实施方式中,所述方法还包括在所述第一网络实体处接收由所述第二网络实体传输的所述第一消息的步骤。在另一个具体实施方式中,所述方法还包括在所述第一网络实体处收到所述第一消息之后对所述第一消息中的信息进行解密的步骤。在另一个具体实施方式中,利用由所述第一网络实体提供的密钥来执行所述加密步骤。在另一个具体实施方式中,所述方法还包括所述第一网络实体周期性地将所述密钥传输给所述第二网络实体的步骤。
在另一个具体实施方式中,所述方法还包括步骤:响应于接收到所述第一消息,将第三消息从所述第一网络实体传输到所述第二网络实体;在所述第二网络实体处接收所述第三消息,并且作为对其的响应,从服务器取得网页;将所述网页打包成所述第二通信协议的第四消息;通过所述通信网络将所述第四消息传输给所述客户端;在所述客户端处将所述网页从所述第四消息解包并且将所述网页传递给所述浏览器;以及在所述浏览器中向所述用户显示所述页面。优选地,所述第三消息是重定向消息。
在另一个具体实施方式中,所述将所述第一消息打包成第二通信协议的第二消息的步骤包括对所述第一消息添加头和脚注的步骤。
优选地,所述第一通信协议为超文本传输协议。优选地,所述第一网络实体为支付服务提供商。优选地,所述通信网络为因特网。优选地,所述第二网络实体为Skype后端服务器。优选地,所述信息为支付信息。
根据本发明的另一个方案,提供了一种通过通信网络将信息从用户传输到第一网络实体的系统,包括:在用户终端上执行的浏览器,所述浏览器包括:用于接收由所述用户输入的信息的装置,以及利用用于经由网络端口通过网络分发的第一通信协议来产生包含所述信息的第一消息的装置,所述第一消息包括所述第一网络实体的标识符;在所述用户终端上执行的客户端,所述客户端包括:用于在所述第一消息到达所述网络端口之前在所述客户端处接收所述第一消息的装置;用于将所述第一消息打包成第二通信协议的第二消息的装置,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;以及用于通过所述通信网络将所述第二消息传输给第二网络实体的装置;以及包括:用于在所述第二网络实体处将所述第一消息从所述第二消息解包的装置,用于将所述第一网络实体的标识符翻译为所述第一网络实体的网络地址的装置,以及用于通过所述通信网络将所述第一消息传输给所述第一网络实体的装置的所述第二网络实体。
在一个具体实施方式中,所述客户端还包括用于在所述客户端处在收到所述第一消息之后对所述第一消息中的信息进行加密的装置。在另一个具体实施方式中,所述第一网络实体还包括用于接收由所述第二网络实体传输的所述第一消息的装置。在另一个具体实施方式中,所述第一网络实体还包括用于在所述第一网络实体处收到所述第一消息之后对所述第一消息中的信息进行解密的装置。在另一个具体实施方式中,利用由所述第一网络实体提供的密钥来执行所述加密。在另一个具体实施方式中,所述第一网络实体还包括用于周期性地将所述密钥传输给所述第二网络实体的装置。
在另一个具体实施方式中,所述第一网络实体还包括用于响应于接收到所述第一消息,将第三消息传输到所述第二网络实体的装置。在另一个具体实施方式中,所述第二网络实体还包括:用于接收所述第三消息,并且作为对此的响应,从服务器取得网页的装置;用于将所述网页打包成所述第二通信协议的第四消息的装置;以及用于通过所述通信网络将所述第四消息传输给所述客户端的装置。在另一个具体实施方式中,所述客户端还包括:用于将所述网页从所述第四消息解包并且将所述网页传递给所述浏览器的装置。在另一个具体实施方式中,所述浏览器还包括用于将所述网页显示给所述用户的装置。优选地,所述第三消息是重定向消息。
在另一个具体实施方式中,所述用于将所述第一消息打包成第二通信协议的第二消息的装置包括用于对所述第一消息添加头和脚注的装置。
优选地,所述第一通信协议为超文本传输协议。优选地,所述第一网络实体为支付服务提供商。优选地,所述通信网络为因特网。优选地,所述第二网络实体为Skype后端服务器。优选地,所述信息为支付信息。
根据本发明的另一个方案,提供了一种用户终端,包括:在所述用户终端上执行的浏览器,所述浏览器包括:用于接收由用户输入的信息的装置,以及利用用于经由网络端口通过通信网络分发的第一通信协议来产生包含所述信息的第一消息的装置,所述第一消息包括第一网络实体的标识符;在所述用户终端上执行的客户端,所述客户端包括:用于在所述第一消息到达所述网络端口之前在所述客户端处接收所述第一消息的装置;用于将所述第一消息打包成第二通信协议的第二消息的装置,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;以及用于通过所述通信网络将所述第二消息传输给第二网络实体的装置。
根据本发明的另一个方案,提供了一种网络实体,包括:用于将第一通信协议的第一消息从第二通信协议的第二消息解包的装置,所述第二消息由在用户终端上执行的客户端通过通信网络传输到所述网络实体,所述第一消息包括另外的网络实体的标识符;用于将所述另外的网络实体的标识符翻译为所述另外的网络实体的网络地址的装置;以及通过所述通信网络将所述第一消息传输给所述另外的网络实体的装置。
根据本发明的另一个方案,提供了一种计算机程序产品,包括当装载到计算机中时控制所述计算机来执行上述方法的程序代码装置。
附图说明
为了更好地理解本发明并说明如何实现本发明,作为实例,将对下列附图进行说明,其中:
图1显示了将信息安全传送到支付服务提供商的对等电话系统;
图2A显示了为了密钥信息的维护而在图1的系统中交换的消息;
图2B显示了为了开始支付而在图1的系统中交换的消息;
图2C显示了为了支付信息的安全传送而在图1的系统中交换的消息;
图2D显示了为了完成的支付结果的传送而在图1的系统中交换的消息;
图2E显示了为了未完成的支付结果的传输而在图1的系统中交换的消息;
图3显示了在支付信息的安全传送中发送的消息的结构;
图4显示了概述了在用户终端执行的操作的流程图,以及
图5显示了图2B-2D中执行的操作的页面流(page flow)。
具体实施方式
首先参照图1,其中显示了将信息安全传输到支付服务提供商的对等电话系统100。
用户终端102显示为连接到网络104。用户终端可以是例如个人电脑、个人数字助理、适当启动的移动电话或者能够连接到网络104的其它设备。用户终端102经由网络端口105连接到网络104,并且可以经由电缆(有线)连接或无线连接来连接到网络104。网络104可以是诸如因特网的网络。
用户终端102的用户106可以经过网络104向第二用户终端110的用户108打电话。用户终端运行着客户端112,该客户端由对等电话系统的运营商提供。客户端112是在用户终端102中的本地处理器中执行的软件程序。为开始通话,用户106可以点击显示在客户端112中所列出的联系人第二用户108,或者可以可选地键入第二用户108的电话号码或用户名。然后客户端112建立到第二用户108的通话。可以根据诸如WO 2005/009019中公开的现有方法利用VoIP来进行电话通话。电话通话可以包括音频、视频、即时消息(“IM”)或它们的组合。
第二用户终端110可以直接连接到网络104(如图1中所示),或者可以连接到诸如公共交换电话网络(“PSTN”)或移动网络(图1中未显示)的别的网络。如果第二用户终端连接到网络104,那么与在第一用户终端102上运行的客户端112类似,第二用户终端可以运行由电话系统的运营商提供的客户端程序114。如果连接到PSTN,第二用户终端可以为固定电话,而如果连接到移动网络,第二用户终端可以为移动电话。
为了能够进行电话通话,用户106必须适当地经过注册和认证。此外,用户106还必须能够为电话服务付费。因此需要将敏感的支付信息经过网络104从用户106传送到支付服务提供商(“PSP”)。由于支付信息具有敏感性,需要支付系统非常地安全。如果有敏感信息流过电话系统服务器,那么系统必须满足信用卡公司强制要求的支付卡产业(“PCI”)标准。满足这些标准昂贵并且费时。另外,如果电话系统服务器存储有敏感支付信息,那么它们可能变成黑客的攻击目标。因此减少涉及敏感信息且需要满足PCI的系统实体的数量是极为有益的。此外,从用户的角度考虑,敏感信息的安全传输需要尽可能的简单和便于使用。
如前所述,对于电话系统的用户来说,直接使用在用户终端102上运行的客户端112使安全地为服务付费更为简单。另外,这使得客户端仅成为电话系统需要满足PCI的唯一的一部分。如后文将说明的,系统的其它部分仅看到加密信息,而且不能得知信息内容。因此,系统的其它部分不直接处理敏感信息而且不需要满足PCI。使客户端满足PCI的花费比保持安全的服务器环境呈数量级的便宜。图1显示了系统100中的实体,所述实体使得用户106能够通过客户端112安全地为电话服务付费。用户106向支付服务提供商116付费。PSP 116是连接到网络104的专有网络,而且可以包括PSP代理服务器118和PSP网络应用程序120。PSP代理服务器118是运行于服务器中的处理器上的软件程序,其连接在PSP网络应用程序120和网络104之间,并且负责在将信息呈现给PSP网络应用程序之前对信息进行解密。PSP网络应用程序120是在服务器中的处理器上执行的软件应用程序。PSP代理服务器118和PSP网络应用程序120可以位于分离的服务器上,或者也可以运行于同一服务器上。PSP 116可以由电话服务之外的不同运营商来运营。
连接到网络104的还有Skype后端服务器122和Skype网络应用程序124。Skype后端服务器122和Skype网络应用程序124可以位于电话系统运营商的专有网络128中。Skype后端服务器122和Skype网络应用程序124可以在同一地理位置上,或在不同地理位置上。Skype后端服务器122位于Skype网络应用程序124和网络104之间,并且负责在Skype网络应用程序124和客户端112之间交换消息。Skype后端服务器122和客户端112利用私有(proprietary)Skype协议来通信,但不使用HTTP。这是为了防止如上所述的第三方和防火墙检测到和阻止HTTP消息。此外,Skype后端服务器122也阻止HTTP。
除了客户端112之外,用户终端102还具有安装在其中的网络浏览软件130。网络浏览器130能够用作客户端112的用户界面的一部分,而且可以被客户端112控制以便向用户106显示超文本标记语言(“HTML”)网页。
下面参照图2A-2E来说明图1中所示的系统100的操作。首先参照图2A,该图显示了在客户端112处对密钥信息的维护。在步骤S1中,Skype网络应用程序124将周期性地查询PSP网络应用程序120以便得到其新的公钥。步骤S1中的消息是HTTP Get请求的形式,其详细说明了位于PSP网络应用程序上的密钥的统一资源定位符(“URL”)。响应于该要求,PSP网络应用程序120将在步骤S2中将公钥返回给Skype网络应用程序124。上述两个步骤相对于其它任何操作周期性地并且独立地进行,以确保Skype网络应用程序124总是具有最新版本的公钥。
在步骤S3中,客户端112使用Skype协议周期性地查询Skype后端服务器122以得到新版的公钥。在步骤S4中,Skype后端服务器122以详细说明了存储于Skype网络应用程序中的密钥的URL的HTTP Get请求的形式将该请求转发给Skype网络应用程序124。在步骤S5中,Skype网络应用程序124将密钥返回给Skype后端服务器122,并且在步骤S6中利用Skype协议将密钥传送给客户端112。用户不需要知道其操作,上述四个步骤周期性地执行,以便确保客户端112中的密钥信息总是最新的。
因此,作为图2A中执行的步骤的结果,客户端112具有在支付过程中使用的PSP网络应用程序120的最近版本的公钥,如下文中更详细的说明。
图2B显示了用户106启动支付过程。在步骤S7中,用户106点击显示于客户端112中的标注为“购买Skype信用”(尽管其它标注也可以)的按钮,这向客户端112表示将启动支付过程。在步骤S8中,客户端112启动网络浏览器130控制,其中客户端在客户端用户界面中开启网络浏览器,在步骤S9中,当完成时返回信号给客户端112。
与按钮“购买Skype信用”关联的是一个URL,其可以是例如“nonsecure://skype/buycredit.html”的形式。这是从服务器“skype”取回页面“buycredit.html”的请求,以便页面“buycredit.html”可以在网络浏览器130中显示给用户106。这个请求不是以标准的“http://”开始,而是使用了标记字符串“nonsecure”。诸如“nonsecure://skype/buycredit.html”的请求具有与标准HTTP请求相同的功能,但是字符串“nonsecure”使得客户端112能够拦截该请求并确定要采取什么行动。换句话说,“nonsecure”用作当拦截请求时供客户端112使用的标记。当客户端112看到使用“nonsecure”来作出请求的企图时,客户端112知道该请求不包括敏感信息,而且该请求可以被发送给Skype后端服务器122(如下文中所述,还使用另一标记,“secure”)。
在步骤S10,客户端112将“nonsecure”请求消息打包成Skype私有通信协议消息并将其发送给Skype后端服务器122。接收到该消息后,Skype后端服务器122从Skype私有通信协议解包得到nonsecure”请求。为了安全和可维护性原因,该请求仅包含到任意服务的参考符(refernece),而不包含实际的服务器地址和端口。例如,请求“nonsecure://skype/buycredit.html”仅包含到服务器“skype”的参考符,而不包含实际的服务器地址。因此Skype后端服务器122需要将指向服务器名称的任意参考符解析为网络服务器地址。这是通过维护服务和服务器地址之间的对应表而实现的。只有Skype后端服务器122维护参考符和服务器地址之间的映射表。Skype后端服务器122对来自客户端112的消息进行解析以获得网络服务器地址。例如,“nonsecure://skype/buycredit.html”中的到“skype”的参考符可以被解析为“http://webstore.skype.com”。然后Skype后端服务器122利用解析后的地址和“nonsecure”请求的其余部分构建新的HTTP请求,例如,“http://webstore.skype.com/buycredit.html”。
在步骤S11中,该HTTP请求以上述HTTP Get请求的形式被转发到Skype网络应用程序124的解析后的位置,而且在步骤S12中,被请求的页面以HTML的形式被Skype网络应用程序124返回。在步骤S13中,Skype后端服务器122将来自Skype网络应用程序的HTML响应打包到Skype协议中并且将页面转发给客户端112,然后在步骤S14中,页面从Skype协议被解包并发送给网页浏览器130,随后在步骤S15中显示给用户106。
在步骤S16中,用户106在网络浏览器130窗口中观看网页并点击可能标记为“开始”的链接。该链接可能是例如到URL“nonsecure://skype/getstarted.html”的链接。在步骤S17中,客户端112拦截网络浏览器做出的“nonsecure”请求(一种HTTP Get请求)的企图以便导航所链接的网页。在步骤S18中,客户端112将“nonsecure”请求消息打包为Skype私有通信协议消息并将其发送给Skype后端服务器122。Skype后端服务器122以与参照步骤S10的上述说明相类似的方式解包并解析来自客户端112的消息以获得网络服务器地址。然后Skype后端服务器122根据解析后的网络服务器地址和解包后的“nonsecure”请求来产生HTTP请求,例如,“http://webstore.skype.com/getstarted.html”。在步骤S19中,该HTTP请求被转发到Skype网络应用程序124的解析后的地址。在步骤S20中,Skype网络应用程序124将网页“getstarted.html”返回给Skype后端服务器122,在步骤S21中,Skype后端服务器122将响应打包到Skype协议中并且转发给客户端112,并且在步骤S22中其被解包和传递给网络浏览器130并且在步骤S23中显示给用户106。
显示给用户106的页面包括表格以便输入初始支付信息。在步骤S24中,用户106观看页面并且填入初始支付信息,诸如帐单地址、电子邮箱地址和支付方法并点击“下一步”。该“下一步”按钮与一个URL关联,该URL可以是例如“nonsecure://skype/initialform.html”。在步骤S25中,网络浏览器产生一种包括输入所述表格的信息的HTTPPost请求,诸如“nonsecure://skype/initialform.html?address=x&method=y”(这里“address=x”和“method=y”表示由用户在表格输入的示例性信息),并将该消息经由网络端口105传输到网络104。来自网络浏览器130的HTTP Post请求在可以到达网络端口105之前由客户端112(其检测“nonsecure”标记的使用)接收。在步骤S26中,客户端将HTTP Post请求打包为Skype协议消息而且将该消息转发给Skype后端服务器122。要注意的是客户端112在将消息打包进Skype协议时可以在该消息中包括其它信息,如下文中参照图3详细说明的。
Skype后端服务器122对HTTP Post请求消息进行解包和解析。例如,“nonsecure://skype/initialform.html?address=x&method=y”可以被解析为“http://webstore.skype.com/initialform.html?address=x&method=y”形式的HTTP消息。然后在步骤S27中,Skype后端服务器122将解析后的请求发送给Skype网络应用程序124以启动支付。在步骤S28中,Skype网络应用程序124将包括初始支付信息的消息发送给PSP网络应用程序120以便在PSP处启动支付。在步骤S29中,PSP网络应用程序120处理该信息并返回包括诸如信用卡信息表的用于支付方法的适当表格的网页的URL。在步骤S30中,Skype网络应用程序124接收该URL并且产生重定向头(redirect header)。该重定向头被发送到Skype后端服务器122。
在步骤S31中,Skype后端服务器122解析来自重定向头的地址,并向PSP网络应用程序120发送请求以获得所需的网页。然后在步骤S32中,PSP网络应用程序120返回包括用于支付细节(诸如信用卡信息)的表格的网页。在步骤S33中,该网页随后利用Skype协议被转发到客户端112,在步骤S34中,该网页被解包并传递到网络浏览器130,在步骤S35中,该网页被显示给用户106。
作为在图2B中概述的过程的结果,已经在网络浏览器130中为用户106呈现了表格,用户可以向其中输入信用卡支付信息。这种支付信息是敏感的,因此必须以安全方式来处理。执行这种处理的方法可以参见图2C。
在步骤S36中,用户106将支付信息(例如信用卡号码、有效期限或其它信息)输入到呈现于网络浏览器窗口中的HTML表格中并点击“提交”按钮。该“提交”按钮与一个URL关联,其可以是例如“secure://somepsp/creditcardform.html”。然后在步骤37中,网络浏览器130产生一种包括支付信息(以postData的形式)和上述URL的利用了标记“secure”的HTTP Post请求。该HTTP Post请求可以是,例如
“secure://somepsp/creditcardform.html?cardno=1234&expirydate=01012010”(这里的“cardno=1234”和“expirydate=01012010”代表输入表格中的示例性的信用卡信息。还要注意的是这是个为了易于阅读而以GET符号表示的POST请求)。来自网络浏览器130的HTTP Post请求由客户端112进行拦截,并且防止被发送到网络104内。特别地,客户端检测标记“secure”。这不仅指示客户端它应当拦截该消息(如“nonsecure”一样),而且该消息内的信息应当被加密。
在步骤S38中,使用PSP的公钥(如上面关于图2A的概述中所述提供给客户端)对来自HTTP Post请求的以postData为形式的支付信息进行加密。加密是利用现有技术中的标准加密算法来完成的。例如,如果postData要包括诸如“cardno=1234”和“expirydate=01012010”的信息,其被加密以形成例如“payload=34214123ddasdas”的新的HTTPPost请求。然后客户端产生一个具有该加密的payload的新的HTTPPost请求,例如,“secure://somepsp/creditcardform.html?payload=34214123ddasdas”。
然后客户端112将包括所述加密的支付信息的HTTP Post请求打包为Skype协议格式。另外,客户端112在该Skype协议消息中包括其它信息。所述其它信息可以包括诸如用户的Skype名称和所运行的客户端112的版本的用户信息,以及诸如终端和用户的身份的包含与请求上下文(context)有关的欺诈信息的上下文信息。在步骤S39中,该Skype协议消息从客户端112被转发到Skype后端服务器122。
在Skype协议消息中提供用户信息和上下文信息有利于增强安全性。这是因为,在普通网络访问的情况下,很容易隐藏最初发生请求的实际终端的身份,而且这经常在用户一方无意地发生(由于使用代理服务器)。然而,Skype协议消息中的信息将请求绑定到特定的终端,这可以允许使用更大的欺诈检测机制。此外,客户端112已经知道用户的身份,因此该信息可以被传递到PSP网络应用程序而不必提示用户输入额外的用户名和密码。
Skype后端服务器122接收包含加密的支付信息的Skype协议消息。Skype后端服务器122将Skype协议消息解包以留下包括加密的支付信息的HTTP Post请求。Skype后端服务器122解析包含在请求中的对PSP代理服务器118的服务器地址的参考符,例如将对“somepsp”的参考符解析为“http://www.psp.com”。然后Skype后端服务器122通过将解析后的PSP代理服务器118的服务器地址和来自“secure”消息的加密的payload相结合而产生新的HTTP Post请求消息。例如,这可以产生诸如http://www.psp.com/creditcardform.html?payload=34214123ddasdas的HTTP Post请求消息。在步骤S40中,该HTTP Post请求从Skype后端服务器122被发送到PSP代理服务器118。应当注意到Skype后端服务器122完全不知道请求消息的实际内容。它不对信息解码,而只是将其“再包装”成为一个新的消息。因此Skype后端服务器122不需要满足PCI。此外,Skype后端服务器122不存储支付信息,因此不是黑客攻击的目标。
在步骤S37、S39和S40中执行的操作在图3中作了进一步说明,图3显示了在这些步骤中接收和发送的消息的结构的实例。这显示了使用来自网络浏览器130的“secure”标记的HTTP Post请求302,其包括对PSP参考符304和未加密的postData306,如在客户端112处接收到的。postData(支付信息)被加密以产生加密的支付信息308。加密的支付信息308、对PSP参考符304、用户信息310和上下文312被打包在Skype协议头314和Skype协议脚注316之间以形成Skype协议消息318。Skype协议消息318被发送到Skype后端服务器122,在那里其被解包并且PSP参考符304被解析以形成包括PSP322的服务器地址和加密的支付信息308的HTTP Post请求320。
再次参照图2C,在步骤S41中,HTTP Post请求中的加密的支付信息被PSP代理服务器118解密以获得由用户106输入的原始的支付信息。然后在步骤S42中,解密的支付信息以HTTP Post请求的形式被发送到PSP网络应用程序,HTTP Post请求中包括作为postData的解密的支付信息和PSP网络应用程序的URL。
PSP网络应用程序120处理来自用户106的支付信息。随着支付信息的处理,如果完成了支付,那么执行图2D中所示的操作。另一方面,如果支付未完成,那么执行图2E中所示的操作。
首先参照图2D,如上所述,图2D显示了支付已完成的情况。在步骤S43中,PSP网络应用程序120响应于支付的完成而发出重定向头。在步骤S44中,该重定向头在PSP代理服务器118处被接收并且被无任何改变地转发给Skype后端服务器122。Skype后端服务器122处理该重定向头,并且在步骤S45中,发送HTTP Get请求来请求该重定向头中提及的Skype网络应用程序124的URL。在步骤S46中,作为响应,Skype网络应用程序124向Skype后端服务器122返回HTML网页。然后在步骤S46中,该HTML网页被转发给客户端112,并且在步骤S48中转发到网络浏览器130上。最后,在步骤S49中,在网络浏览器窗口中向用户106显示交易结果。
现在参照图2E,如上所述,其显示了支付尚未完成的情况。这可能在用户没有正确地输入他们的信用卡详细资料的情况下,或者在PSP请求用于欺诈控制目的的附加信息的情况下发生。在这种情况下,PSP网络应用程序120产生待显示给用户106的HTML网页。在步骤S50中,该HTML网页被发送给PSP代理服务器118,并且在步骤S51中被未加改变地转发给Skype后端服务器122。在步骤S52中Skype后端服务器122将该HTML网页未加改变地转发给客户端112,并且在步骤S53中转发到网络浏览器130上。最终,在步骤S54中,在网络浏览器窗口中向用户106显示来自PSP网络应用程序120的HTML网页。
图4显示了概述了在用户终端102上执行的操作的流程图。在步骤S402中,用户106选择从客户端程序112内部进行支付。响应于此,在步骤S404中,客户端112在客户端用户界面中打开网络浏览器130。在步骤S406中,从PSP116取得支付详细资料表格并且在网络浏览器130中显示给用户。在步骤S408中,用户106将支付信息输入网络浏览器130的表格中。在步骤S410中,网络浏览器130产生具有“secure”标记的包括支付信息(如图3中所示的302)的HTTP Post请求,并且试图经由网络端口105将其发送到网络104中。在步骤S412中,客户端112检测到“secure”标记并且拦截来自网络浏览器130的HTTP Post请求,因而防止其被发送到网络104内。在步骤S414中,客户端112对来自HTTP Post请求的支付信息加密。然后,在步骤S416中,客户端将具有加密的payload的HTTP Post请求打包为Skype私有协议消息(图3中的318)。最后,在步骤S418中,客户端将包含加密的支付信息的Skype协议消息传输给Skype后端服务器122。
图5显示了用于图2B-2D中所示的操作的页面流。图5中所示的步骤序号对应于图2B-2D中所示的序号。在图5中,“IE”指“InternetExplorer”,其是一种网络浏览器130的示例。
尽管已经参照优选具体实施方式对本发明进行了详细的显示和说明,但是本领域技术人员应当理解可以在形式上和细节上作出显而易见的各种改变而不偏离由附加的权利要求书限定的本发明的保护范围。
权利要求书(按照条约第19条的修改)
1、一种通过通信网络将信息从用户传输到第一网络实体的方法,包括步骤:
所述用户将信息输入到在用户终端上执行的浏览器中;
所述浏览器利用用于经由网络端口通过网络分发的第一通信协议来产生包含所述信息的第一消息,所述第一消息包括所述第一网络实体的标识符;
在所述第一消息到达所述网络端口之前,在所述用户终端上执行的客户端上接收所述第一消息;
所述客户端将所述第一消息打包成第二通信协议的第二消息,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;
通过所述通信网络将所述第二消息从所述客户端传输给第二网络实体;以及
在所述第二网络实体处将所述第二消息解包以留下所述第一通信协议的所述第一消息,将所述第一网络实体的标识符翻译为所述第一网络实体的网络地址,并且利用所述第一通信协议通过所述通信网络将所述第一消息传输给所述第一网络实体。
2、根据权利要求1所述的方法,还包括在所述客户端处收到所述第一消息之后对所述第一消息中的信息进行加密的步骤。
3、根据权利要求2所述的方法,还包括在所述第一网络实体处接收由所述第二网络实体传输的所述第一消息的步骤。
4、根据权利要求3所述的方法,还包括在所述第一网络实体处收到所述第一消息之后对所述第一消息中的信息进行解密的步骤。
5、根据权利要求2至4中任意一项所述的方法,,其中利用由所述第一网络实体提供的密钥来执行所述加密步骤。
6、根据权利要求5所述的方法,还包括所述第一网络实体周期性地将所述密钥传输给所述第二网络实体的步骤。
7、根据前面任意一项权利要求所述的方法,还包括步骤:
响应于接收到所述第一消息,将第三消息从所述第一网络实体传输到所述第二网络实体;
在所述第二网络实体处接收所述第三消息,并且,作为对其的响应,从服务器取得网页;
将所述网页打包成所述第二通信协议的第四消息;
通过所述通信网络将所述第四消息传输给所述客户端;
在所述客户端处将所述网页从所述第四消息解包并且将所述网页传递给所述浏览器;以及
在所述浏览器中向所述用户显示所述网页。
8、根据权利要求7所述的方法,其中所述第三消息是重定向消息。
9、根据前面任意一项权利要求所述的方法,其中所述将所述第一消息打包成第二通信协议的第二消息的步骤包括对所述第一消息添加头和脚注的步骤。
10、根据前面任意一项权利要求所述的方法,其中所述第一通信协议为超文本传输协议。
11、根据前面任意一项权利要求所述的方法,其中所述第一网络实体为支付服务提供商。
12、根据前面任意一项权利要求所述的方法,其中所述通信网络为因特网。
13、根据前面任意一项权利要求所述的方法,其中所述第二网络实体为Skype后端服务器。
14、根据前面任意一项权利要求所述的方法,其中所述信息为支付信息。
15、一种通过通信网络将信息从用户传输到第一网络实体的系统,包括:
在用户终端上执行的浏览器,所述浏览器包括:用于接收由所述用户输入的信息的装置,以及利用用于经由网络端口通过网络分发的第一通信协议来产生包含所述信息的第一消息的装置,所述第一消息包括所述第一网络实体的标识符;
在所述用户终端上执行的客户端,所述客户端包括:用于在所述第一消息到达所述网络端口之前在所述客户端处接收所述第一消息的装置;用于将所述第一消息打包成第二通信协议的第二消息的装置,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;以及用于通过所述通信网络将所述第二消息传输给第二网络实体的装置;以及
包括用于在所述第二网络实体处将所述第二消息解包以留下所述第一通信协议的所述第一消息的装置、用于将所述第一网络实体的标识符翻译为所述第一网络实体的网络地址的装置以及用于利用所述第一通信协议通过所述通信网络将所述第一消息传输给所述第一网络实体的装置的所述第二网络实体。
16、根据权利要求15所述的系统,其中所述客户端还包括用于在所述客户端处在收到所述第一消息之后对所述第一消息中的信息进行加密的装置。
17、根据权利要求16所述的系统,其中所述第一网络实体还包括用于接收由所述第二网络实体传输的所述第一消息的装置。
18、根据权利要求17所述的系统,其中所述第一网络实体还包括用于在所述第一网络实体处收到所述第一消息之后对所述第一消息中的信息进行解密的装置。
19、根据权利要求16至18中任意一项所述的系统,其中利用由所述第一网络实体提供的密钥来执行所述加密。
20、根据权利要求19所述的系统,其中所述第一网络实体还包括用于周期性地将所述密钥传输给所述第二网络实体的装置。
21、根据权利要求15至20中任意一项所述的系统,其中所述第一网络实体还包括用于响应于接收到所述第一消息,将第三消息传输到所述第二网络实体的装置。
22、根据权利要求21所述的系统,其中所述第二网络实体还包括:用于接收所述第三消息,并且作为对此的响应,从服务器取得网页的装置;用于将所述网页打包成所述第二通信协议的第四消息的装置;以及用于通过所述通信网络将所述第四消息传输给所述客户端的装置。
23、根据权利要求22所述的系统,其中所述客户端还包括用于将所述网页从所述第四消息解包并且将所述网页传递给所述浏览器的装置。
24、根据权利要求23所述的系统,其中所述浏览器还包括用于将所述网页显示给所述用户的装置。
25、根据权利要求21至24中任意一项所述的系统,其中所述第三消息是重定向消息。
26、根据权利要求15至25中任意一项所述的系统,其中所述用于将所述第一消息打包成第二通信协议的第二消息的装置包括用于对所述第一消息添加头和脚注的装置。
27、根据权利要求15至26中任意一项所述的系统,其中所述第一通信协议为超文本传输协议。
28、根据权利要求15至27中任意一项所述的系统,其中所述第一网络实体为支付服务提供商。
29、根据权利要求15至28中任意一项所述的系统,其中所述通信网络为因特网。
30、根据权利要求15至29中任意一项所述的系统,其中所述第二网络实体为Skype后端服务器。
31、根据权利要求15至30中任意一项所述的系统,其中所述信息为支付信息。
32、一种用户终端,包括:
在所述用户终端上执行的浏览器,所述浏览器包括:用于接收由用户输入的信息的装置,以及利用用于经由网络端口通过通信网络分发的第一通信协议来产生包含所述信息的第一消息的装置,所述第一消息包括第一网络实体的标识符;
在所述用户终端上执行的客户端,所述客户端包括:用于在所述第一消息到达所述网络端口之前在所述客户端处接收所述第一消息的装置;用于将所述第一消息打包成第二通信协议的第二消息的装置,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;以及用于通过所述通信网络将所述第二消息传输给第二网络实体的装置。
33、一种网络实体,包括:
用于接收第二通信协议的第二消息的装置,所述第二消息由在用户终端上执行的客户端通过通信网络传输到所述网络实体,
用于将所述第二消息解包以留下第一通信协议的第一消息的装置,所述第一消息包括另外的网络实体的标识符;
用于将所述另外的网络实体的标识符翻译为所述另外的网络实体的网络地址的装置;以及
利用所述第一通信协议通过所述通信网络将所述第一消息传输给所述另外的网络实体的装置。
34、一种计算机程序产品,包括当装载到计算机中时控制所述计算机来执行权利要求1至14中任意一项所述方法的程序代码装置。
Claims (34)
1、一种通过通信网络将信息从用户传输到第一网络实体的方法,包括步骤:
所述用户将信息输入到在用户终端上执行的浏览器中;
所述浏览器利用用于经由网络端口通过网络分发的第一通信协议来产生包含所述信息的第一消息,所述第一消息包括所述第一网络实体的标识符;
在所述第一消息到达所述网络端口之前,在所述用户终端上执行的客户端上接收所述第一消息;
将所述第一消息打包成第二通信协议的第二消息,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;
通过所述通信网络将所述第二消息传输给第二网络实体;以及
在所述第二网络实体处将所述第一消息从所述第二消息解包,将所述第一网络实体的标识符翻译为所述第一网络实体的网络地址,并且通过所述通信网络将所述第一消息传输给所述第一网络实体。
2、根据权利要求1所述的方法,还包括在所述客户端处收到所述第一消息之后对所述第一消息中的信息进行加密的步骤。
3、根据权利要求2所述的方法,还包括在所述第一网络实体处接收由所述第二网络实体传输的所述第一消息的步骤。
4、根据权利要求3所述的方法,还包括在所述第一网络实体处收到所述第一消息之后对所述第一消息中的信息进行解密的步骤。
5、根据权利要求2至4中任意一项所述的方法,其中利用由所述第一网络实体提供的密钥来执行所述加密步骤。
6、根据权利要求5所述的方法,还包括所述第一网络实体周期性地将所述密钥传输给所述第二网络实体的步骤。
7、根据前面任意一项权利要求所述的方法,还包括步骤:
响应于接收到所述第一消息,将第三消息从所述第一网络实体传输到所述第二网络实体;
在所述第二网络实体处接收所述第三消息,并且作为对其的响应,从服务器取得网页;
将所述网页打包成所述第二通信协议的第四消息;
通过所述通信网络将所述第四消息传输给所述客户端;
在所述客户端处将所述网页从所述第四消息解包并且将所述网页传递给所述浏览器;以及
在所述浏览器中向所述用户显示所述网页。
8、根据权利要求7所述的方法,其中所述第三消息是重定向消息。
9、根据前面任意一项权利要求所述的方法,其中所述将所述第一消息打包成第二通信协议的第二消息的步骤包括对所述第一消息添加头和脚注的步骤。
10、根据前面任意一项权利要求所述的方法,其中所述第一通信协议为超文本传输协议。
11、根据前面任意一项权利要求所述的方法,其中所述第一网络实体为支付服务提供商。
12、根据前面任意一项权利要求所述的方法,其中所述通信网络为因特网。
13、根据前面任意一项权利要求所述的方法,其中所述第二网络实体为Skype后端服务器。
14、根据前面任意一项权利要求所述的方法,其中所述信息为支付信息。
15、一种通过通信网络将信息从用户传输到第一网络实体的系统,包括:
在用户终端上执行的浏览器,所述浏览器包括:用于接收由所述用户输入的信息的装置,以及利用用于经由网络端口通过网络分发的第一通信协议来产生包含所述信息的第一消息的装置,所述第一消息包括所述第一网络实体的标识符;
在所述用户终端上执行的客户端,所述客户端包括:用于在所述第一消息到达所述网络端口之前在所述客户端处接收所述第一消息的装置;用于将所述第一消息打包成第二通信协议的第二消息的装置,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;以及用于通过所述通信网络将所述第二消息传输给第二网络实体的装置;以及
包括用于在所述第二网络实体处将所述第一消息从所述第二消息解包的装置、用于将所述第一网络实体的标识符翻译为所述第一网络实体的网络地址的装置以及用于通过所述通信网络将所述第一消息传输给所述第一网络实体的装置的所述第二网络实体。
16、根据权利要求15所述的系统,其中所述客户端还包括用于在所述客户端处在收到所述第一消息之后对所述第一消息中的信息进行加密的装置。
17、根据权利要求16所述的系统,其中所述第一网络实体还包括用于接收由所述第二网络实体传输的所述第一消息的装置。
18、根据权利要求17所述的系统,其中所述第一网络实体还包括用于在所述第一网络实体处收到所述第一消息之后对所述第一消息中的信息进行解密的装置。
19、根据权利要求16至18中任意一项所述的系统,其中利用由所述第一网络实体提供的密钥来执行所述加密。
20、根据权利要求19所述的系统,其中所述第一网络实体还包括用于周期性地将所述密钥传输给所述第二网络实体的装置。
21、根据权利要求15至20中任意一项所述的系统,其中所述第一网络实体还包括用于响应于接收到所述第一消息,将第三消息传输到所述第二网络实体的装置。
22、根据权利要求21所述的系统,其中所述第二网络实体还包括:用于接收所述第三消息,并且作为对此的响应,从服务器取得网页的装置;用于将所述网页打包成所述第二通信协议的第四消息的装置;以及用于通过所述通信网络将所述第四消息传输给所述客户端的装置。
23、根据权利要求22所述的系统,其中所述客户端还包括用于将所述网页从所述第四消息解包并且将所述网页传递给所述浏览器的装置。
24、根据权利要求23所述的系统,其中所述浏览器还包括用于将所述网页显示给所述用户的装置。
25、根据权利要求21至24中任意一项所述的系统,其中所述第三消息是重定向消息。
26、根据权利要求15至25中任意一项所述的系统,其中所述用于将所述第一消息打包成第二通信协议的第二消息的装置包括用于对所述第一消息添加头和脚注的装置。
27、根据权利要求15至26中任意一项所述的系统,其中所述第一通信协议为超文本传输协议。
28、根据权利要求15至27中任意一项所述的系统,其中所述第一网络实体为支付服务提供商。
29、根据权利要求15至28中任意一项所述的系统,其中所述通信网络为因特网。
30、根据权利要求15至29中任意一项所述的系统,其中所述第二网络实体为Skype后端服务器。
31、根据权利要求15至30中任意一项所述的系统,其中所述信息为支付信息。
32、一种用户终端,包括:
在所述用户终端上执行的浏览器,所述浏览器包括:用于接收由用户输入的信息的装置,以及利用用于经由网络端口通过通信网络分发的第一通信协议来产生包含所述信息的第一消息的装置,所述第一消息包括第一网络实体的标识符;
在所述用户终端上执行的客户端,所述客户端包括:用于在所述第一消息到达所述网络端口之前在所述客户端处接收所述第一消息的装置;用于将所述第一消息打包成第二通信协议的第二消息的装置,所述第二通信协议用于在所述客户端和第二网络实体之间传输消息;以及用于通过所述通信网络将所述第二消息传输给第二网络实体的装置。
33、一种网络实体,包括:
用于将第一通信协议的第一消息从第二通信协议的第二消息解包的装置,所述第二消息由在用户终端上执行的客户端通过通信网络传输到所述网络实体,所述第一消息包括另外的网络实体的标识符;
用于将所述另外的网络实体的标识符翻译为所述另外的网络实体的网络地址的装置;以及
通过所述通信网络将所述第一消息传输给所述另外的网络实体的装置。
34、一种计算机程序产品,包括当装载到计算机中时控制所述计算机来执行权利要求1至14中任意一项所述方法的程序代码装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0608752.2 | 2006-05-03 | ||
| GB0608752A GB2437791A (en) | 2006-05-03 | 2006-05-03 | Secure communication using protocol encapsulation |
| PCT/IB2007/001181 WO2007125412A2 (en) | 2006-05-03 | 2007-04-30 | Secure transmission system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101485166A true CN101485166A (zh) | 2009-07-15 |
| CN101485166B CN101485166B (zh) | 2012-08-29 |
Family
ID=36603854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780024386.8A Active CN101485166B (zh) | 2006-05-03 | 2007-04-30 | 安全传输系统和方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US20070291789A1 (zh) |
| EP (1) | EP2022235B1 (zh) |
| JP (1) | JP5208920B2 (zh) |
| CN (1) | CN101485166B (zh) |
| AU (1) | AU2007245389B2 (zh) |
| BR (1) | BRPI0711279A2 (zh) |
| GB (1) | GB2437791A (zh) |
| WO (1) | WO2007125412A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8705565B2 (en) | 2006-05-03 | 2014-04-22 | Skype | Secure transmission system and method |
| CN109565498A (zh) * | 2016-06-02 | 2019-04-02 | 北京易掌云峰科技有限公司 | 利用标头的性能的动态传送 |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2009231676B2 (en) | 2008-04-02 | 2013-10-03 | Twilio Inc. | System and method for processing telephony sessions |
| GB2464553B (en) | 2008-10-22 | 2012-11-21 | Skype | Controlling a connection between a user terminal and an access node connected to a communication network |
| US8380872B2 (en) * | 2009-12-31 | 2013-02-19 | Nice Systems Ltd. | Peer-to-peer telephony recording |
| US8560843B1 (en) * | 2010-09-24 | 2013-10-15 | Symantec Corporation | Encrypted universal resource identifier (URI) based messaging |
| US9684887B2 (en) * | 2011-03-31 | 2017-06-20 | Loment, Inc. | Priority of outbound messages communicated among end user communication devices |
| US9331972B2 (en) * | 2011-03-31 | 2016-05-03 | Loment, Inc. | Automatic expiration of messages communicated to an end user communication device |
| US10009305B2 (en) * | 2011-03-31 | 2018-06-26 | Loment, Inc. | Ubiquitous user control for information communicated among end user communication devices |
| GB201121585D0 (en) * | 2011-12-15 | 2012-01-25 | Skype Ltd | Communication system and method |
| US10127540B2 (en) | 2011-12-19 | 2018-11-13 | Paypal, Inc. | System and method for facilitating electronic financial transactions during a phone call |
| US10038735B2 (en) * | 2012-06-19 | 2018-07-31 | Loment, Inc. | Delivery control for HTTP communications among multiple end user communication devices |
| US9285981B1 (en) | 2012-07-16 | 2016-03-15 | Wickr Inc. | Discouraging screen capture |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) * | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US10405173B1 (en) * | 2013-06-05 | 2019-09-03 | Sprint Communications Company L.P. | Method and systems of collecting and segmenting device sensor data while in transit via a network |
| US9830089B1 (en) | 2013-06-25 | 2017-11-28 | Wickr Inc. | Digital data sanitization |
| US10129260B1 (en) | 2013-06-25 | 2018-11-13 | Wickr Inc. | Mutual privacy management |
| US9866591B1 (en) | 2013-06-25 | 2018-01-09 | Wickr Inc. | Enterprise messaging platform |
| US9112790B2 (en) * | 2013-06-25 | 2015-08-18 | Google Inc. | Fabric network |
| US10567349B2 (en) | 2013-06-25 | 2020-02-18 | Wickr Inc. | Secure time-to-live |
| US10013707B1 (en) | 2014-01-21 | 2018-07-03 | Sprint Communications Company L.P. | Address modification for advertisement mediation |
| US9984395B1 (en) | 2014-01-21 | 2018-05-29 | Sprint Communications Company L.P. | Advertisement mediation of supply-demand communications |
| US10055757B1 (en) | 2014-01-21 | 2018-08-21 | Sprint Communications Company L.P. | IP address hashing in advertisement gateway |
| US9836771B1 (en) | 2014-01-21 | 2017-12-05 | Sprint Communications Company L.P. | Client mediation and integration to advertisement gateway |
| US9698976B1 (en) | 2014-02-24 | 2017-07-04 | Wickr Inc. | Key management and dynamic perfect forward secrecy |
| US20150269568A1 (en) * | 2014-03-19 | 2015-09-24 | Capital Payments, LLC | Systems and methods for facilitating decryption of payloads received from encryption devices |
| US9584530B1 (en) | 2014-06-27 | 2017-02-28 | Wickr Inc. | In-band identity verification and man-in-the-middle defense |
| WO2015199737A1 (en) * | 2014-06-27 | 2015-12-30 | Hewlett-Packard Development Company, L.P. | Message receipt through firewall |
| US9818133B1 (en) | 2014-10-20 | 2017-11-14 | Sprint Communications Company L.P. | Method for consumer profile consolidation using mobile network identification |
| US9654288B1 (en) | 2014-12-11 | 2017-05-16 | Wickr Inc. | Securing group communications |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9584493B1 (en) | 2015-12-18 | 2017-02-28 | Wickr Inc. | Decentralized authoritative messaging |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US10291607B1 (en) | 2016-02-02 | 2019-05-14 | Wickr Inc. | Providing real-time events to applications |
| US9602477B1 (en) | 2016-04-14 | 2017-03-21 | Wickr Inc. | Secure file transfer |
| US9596079B1 (en) | 2016-04-14 | 2017-03-14 | Wickr Inc. | Secure telecommunications |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US11122014B2 (en) * | 2019-01-25 | 2021-09-14 | V440 Spółka Akcyjna | User device and method of providing notification in messaging application on user device |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US20230110546A1 (en) * | 2021-09-24 | 2023-04-13 | The Toronto-Dominion Bank | Digital identity network gateway |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI102860B (fi) * | 1995-11-07 | 1999-02-26 | Nokia Telecommunications Oy | Menetelmä ja järjestelmä elektronisen maksutapahtuman suorittamiseksi |
| US5931917A (en) * | 1996-09-26 | 1999-08-03 | Verifone, Inc. | System, method and article of manufacture for a gateway system architecture with system administration information accessible from a browser |
| US6611533B1 (en) * | 1999-01-13 | 2003-08-26 | Nortel Networks Limited | Public telephone network, intelligent network, and internet protocol network services interworking |
| US20020010801A1 (en) * | 2000-04-21 | 2002-01-24 | Meagher Patrick S. | Server to third party serial gateway in a power control management system |
| US20020042882A1 (en) * | 2000-10-10 | 2002-04-11 | Dervan R. Donald | Computer security system |
| FR2824407B1 (fr) * | 2001-05-07 | 2003-07-25 | Cegetel | Procede de securisation d'un paiement d'un client a un commercant, centre de localisation et systeme correspondant |
| US20030145062A1 (en) * | 2002-01-14 | 2003-07-31 | Dipanshu Sharma | Data conversion server for voice browsing system |
| US7386878B2 (en) * | 2002-08-14 | 2008-06-10 | Microsoft Corporation | Authenticating peer-to-peer connections |
| US20040236962A1 (en) * | 2003-05-19 | 2004-11-25 | Wong Ping Wah | Method and apparatus for secure browser-based information service |
| RU2315438C2 (ru) | 2003-07-16 | 2008-01-20 | Скайп Лимитед | Одноранговая телефонная система |
| US7308101B2 (en) * | 2004-01-22 | 2007-12-11 | Cisco Technology, Inc. | Method and apparatus for transporting encrypted media streams over a wide area network |
| US7656895B2 (en) * | 2004-03-04 | 2010-02-02 | Wiline Networks, Inc. | Method and device for coupling a POTS terminal to a non-PSTN communications network |
| JP4707992B2 (ja) * | 2004-10-22 | 2011-06-22 | 富士通株式会社 | 暗号化通信システム |
| US7810148B2 (en) * | 2005-02-25 | 2010-10-05 | Microsoft Corporation | Enabling terminal services through a firewall |
| US20060271497A1 (en) * | 2005-05-24 | 2006-11-30 | Cullen Andrew J | Payment authorisation process |
| US7958019B2 (en) * | 2006-03-13 | 2011-06-07 | Ebay Inc. | Peer-to-peer trading platform with roles-based transactions |
| GB2437791A (en) | 2006-05-03 | 2007-11-07 | Skype Ltd | Secure communication using protocol encapsulation |
| US8332567B2 (en) * | 2006-09-19 | 2012-12-11 | Fisher-Rosemount Systems, Inc. | Apparatus and methods to communicatively couple field devices to controllers in a process control system |
-
2006
- 2006-05-03 GB GB0608752A patent/GB2437791A/en not_active Withdrawn
-
2007
- 2007-04-30 AU AU2007245389A patent/AU2007245389B2/en active Active
- 2007-04-30 WO PCT/IB2007/001181 patent/WO2007125412A2/en active Application Filing
- 2007-04-30 BR BRPI0711279-3A patent/BRPI0711279A2/pt not_active Application Discontinuation
- 2007-04-30 CN CN200780024386.8A patent/CN101485166B/zh active Active
- 2007-04-30 JP JP2009508536A patent/JP5208920B2/ja active Active
- 2007-04-30 EP EP07734496.8A patent/EP2022235B1/en active Active
- 2007-05-01 US US11/799,452 patent/US20070291789A1/en not_active Abandoned
-
2010
- 2010-07-08 US US12/832,672 patent/US8705565B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8705565B2 (en) | 2006-05-03 | 2014-04-22 | Skype | Secure transmission system and method |
| CN109565498A (zh) * | 2016-06-02 | 2019-04-02 | 北京易掌云峰科技有限公司 | 利用标头的性能的动态传送 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2022235B1 (en) | 2019-03-20 |
| EP2022235A2 (en) | 2009-02-11 |
| GB0608752D0 (en) | 2006-06-14 |
| JP2009535955A (ja) | 2009-10-01 |
| US20100275007A1 (en) | 2010-10-28 |
| US8705565B2 (en) | 2014-04-22 |
| WO2007125412A2 (en) | 2007-11-08 |
| GB2437791A (en) | 2007-11-07 |
| AU2007245389A1 (en) | 2007-11-08 |
| CN101485166B (zh) | 2012-08-29 |
| US20070291789A1 (en) | 2007-12-20 |
| BRPI0711279A2 (pt) | 2011-10-04 |
| WO2007125412B1 (en) | 2008-05-29 |
| JP5208920B2 (ja) | 2013-06-12 |
| AU2007245389B2 (en) | 2011-09-01 |
| WO2007125412A3 (en) | 2008-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101485166B (zh) | 安全传输系统和方法 | |
| CN101350717B (zh) | 一种通过即时通信软件登录第三方服务器的方法及系统 | |
| CN101075875B (zh) | 在门户/系统之间实现单点登录的方法及其系统 | |
| CN101069402B (zh) | 透明地验证访问web服务的移动用户的方法和系统 | |
| US7373335B2 (en) | System and method for processing database queries | |
| US8194651B2 (en) | Method and apparatus for user authentication | |
| US20090228966A1 (en) | Authentication Method for Wireless Transactions | |
| WO2005089147A2 (en) | Method and system for routing calls over a packet switched computer network | |
| CN1599910A (zh) | 用于向移动设备提供订购内容服务的系统和方法 | |
| US20030182556A1 (en) | Method and system to secure a connection application for distribution to multiple end-users | |
| US5910986A (en) | Methods and apparatus for sending electronic data signals | |
| JP4551367B2 (ja) | サービスシステムおよびサービスシステム制御方法 | |
| CN101075992B (zh) | Ip多业务交换方法及ip多业务交换系统 | |
| US20040249751A1 (en) | Method for the authorization of payments in a communication network | |
| JP4520463B2 (ja) | ネットワークの単位間でトランザクションを実行する方法およびシステム | |
| KR100830705B1 (ko) | 개방형서비스 기술을 이용한 자동전화걸기 포털시스템 및이를 이용한 자동전화걸기서비스방법 | |
| JP2005258711A (ja) | 情報入力方法とそのための装置及びプログラム | |
| KR100889277B1 (ko) | 무선단말 간 금융거래 방법 및 시스템과 이를 위한기록매체 | |
| KR100845235B1 (ko) | Enum 시스템 및 이에 적용되는 사용자 인증 방법 | |
| KR100668711B1 (ko) | Ssl/tls 확장 프로토콜을 이용하여 콘텐츠의페이지에 따라 정보 이용료를 적용하는 시스템 및 방법 | |
| Kehr et al. | Mobile security for Internet applications | |
| KR20110131623A (ko) | 태그를 이용하여 통화 서비스를 제공하는 방법 및 시스템 | |
| KR20020005244A (ko) | 인증서비스 지원 시스템 및 그 서비스 지원방법과 이를적용한 인증 서비스 통신 시스템 | |
| TW201419821A (zh) | 具安全性保護的自動轉址及網路身份驗證方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SKYPE LTD. Free format text: FORMER NAME: SKYPER LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Dublin, Ireland Patentee after: Scape Co., Ltd. Address before: Dublin, Ireland Patentee before: Skyper Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200511 Address after: Washington State Patentee after: MICROSOFT TECHNOLOGY LICENSING, LLC Address before: Ai Erlandubailin Patentee before: Skype |