CN102143160B - 用于支持有线和无线客户端和服务器端认证的方法的机制 - Google Patents

用于支持有线和无线客户端和服务器端认证的方法的机制 Download PDF

Info

Publication number
CN102143160B
CN102143160B CN201110009932.9A CN201110009932A CN102143160B CN 102143160 B CN102143160 B CN 102143160B CN 201110009932 A CN201110009932 A CN 201110009932A CN 102143160 B CN102143160 B CN 102143160B
Authority
CN
China
Prior art keywords
data
client
server
authentication
wireless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201110009932.9A
Other languages
English (en)
Other versions
CN102143160A (zh
Inventor
科塞施韦奥·阿杜苏米利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN102143160A publication Critical patent/CN102143160A/zh
Application granted granted Critical
Publication of CN102143160B publication Critical patent/CN102143160B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明将认证功能集中在安全性系统中,以使服务器不再负担这一功能,并提供用于安全的互联网交易的端到端解决方案。安全性系统通过向证书机构请求服务器证书,并将服务器证书发送到请求认证的客户端,从而支持用于认证服务器的认证功能。安全性系统还通过检查数字签名、验证客户端证书的有效性来认证客户端,这包括检查CA签名、检查签名的有效期、维护证书吊销列表(CRL)、以及将客户端证书与CRL进行对比检查。

Description

用于支持有线和无线客户端和服务器端认证的方法的机制
本申请是申请日为2003/01/10、申请号为03802164.1、名称为“用于支持有线和无线客户端和服务器端认证的方法的机制”的中国专利申请的分案申请。
技术领域
本发明一般地涉及扩展网络安全性的能力,更具体地说,本发明涉及一种机制,用于支持客户端证书和服务器端证书的有线及无线体系结构。
背景技术
在无线世界中,对安全、可扩展且灵活的互联网应用和服务的需求正在迅速增长。随着互联网应用变得普及起来,对于可处理认证和加密机制以及加速安全性相关的功能的应用设备来说存在着大量的机会。
在无线互联网世界中,无线传输层安全性(WTLS)使用加密和认证功能而提供了通信私密性和完整性。WAP(无线接入协议)论坛的WTLS握手协议允许服务器通过发送其证书来向客户端认证它自身,从而在客户端和服务器之间建立安全的连接。类似地,如果服务器请求了客户端认证,则客户端可以通过发送其证书(或到它的一个链接)来认证它自身。
在有线互联网世界中,可以SSL(安全套接口层)的形式来提供安全性。SSL是一种支持客户端和/或服务器认证以及通信会话期间的加密的协议。
随着每一代的网络变得越来越复杂,对于有线和无线互联网来说应用都必须是安全的。在当前无线互联网的技术状态下,安全性相关的功能可以发生在WAP网关处。然而,这没有提供端到端的解决方案——由于用户请求在WAP网关处被截获,因此用户可以对网关进行授权,而非服务器。
对这一问题的一种解决方案(也是对有线互联网的解决方案)是将安全性相关的功能转移到这些网络中的服务器上,以处理包括加密和认证在内的安全性事务。然而,这使得服务器用于处理数据以及例如将内容提供给客户端的处理能力变得更少了。
尽管一些供应商在服务器之外提供了安全性相关的功能,但是这些解决方案只是提供了部分安全性解决方案。例如,尽管马萨诸塞州Woburn市的nCipher公司提供了服务器之外的加密服务,但它不提供认证服务。
附图说明
在附图中以例示而非限制性的方式示出了本发明,其中相同的标号指示相似的元件,并且其中:
图1示出了根据一个实施例的数据中心内的安全性系统;
图2示出了根据一个实施例的WAP栈;
图3示出了根据一个实施例的系统体系结构;
图4示出了根据一个实施例来运行安全性系统的方法;
图5示出了根据一个实施例的WTLS安全性协议体系结构;
图6示出了根据一个实施例的WTLS握手;
图7示出了根据一个实施例的客户端问候(hello)消息;
图8示出了根据一个实施例的安全性系统;
图9示出了根据一个实施例的数据中心的体系结构;
图10示出了根据一个实施例的安全性系统;
图11示出了一种方法的流程图,该方法用于根据本发明的通用实施例来在客户端和服务器之间建立握手;
图12是用于根据本发明的通用实施例来在客户端和服务器之间建立握手的伪代码;
图13是根据本发明的通用实施例,用于有线和无线认证的系统体系结构;
图14示出了根据本发明的通用实施例,用于有线和无线认证的另一种系统体系结构;
图15示出了对于有线和无线客户端,服务器端证书的工作流程;
图16示出了根据本发明的通用实施例,用于服务器端证书的方法的流程图;
图17示出了用于无线客户端的服务器端证书的方法的流程图;
图18示出了用于有线客户端的服务器端证书的方法的流程图;
图19示出了对于有线和无线客户端,客户端证书的工作流程;
图20示出了根据本发明的通用实施例,用于客户端证书的方法的流程图;
图21示出了用于无线客户端的客户端证书的方法的流程图;
图22示出了用于有线客户端的客户端证书的方法的流程图;
图23示出了根据本发明的通用实施例的安全性系统;并且
图24示出了安全性系统的示例性配置。
具体实施方式
本发明的一个方面是这样一种方法,其对于有线和无线互联网都将包括加密和认证在内的安全性功能包含到单个网络设备中,以使得服务器不再承担这一功能,也不需要关心不同的安全性标准和认证机制。
所述方法包括从客户端向服务器发送一个消息,以建立安全的连接。该消息被与服务器相关联的安全性系统所截获。所述安全性系统执行包括认证客户端在内的认证功能,并执行用于认证服务器的支持性功能。如果所述认证功能适当地进行了,则建立一个安全的连接。
如在此所使用的,术语“互联网”(internet)可包括:互连网络(internetwork),其定义为一组彼此可能不相似的计算机网络,这些计算机网络通过网关而连接在一起,所述网关处理数据传输以及从发送网络协议到接收网络协议的消息转换;内联网(intranet),这是基于因特网协议例如TCP/IP,但被设计来用于公司或组织内部的信息管理的私有网络;或因特网(Internet),其定义为使用TCP/IP协议组来彼此通信的全球范围的网络和网关的集合。
在下面的描述中,为了进行说明,给出了大量的具体细节以提供对本发明的透彻理解。然而,对本领域内的技术人员来说很清楚没有这些具体细节中的一些也可以实施本发明。在其他情形下,一些公知的结构和设备示出为框图的形式。
本发明包括下面将描述的多种操作。本发明的操作可由硬件组件执行,或者可以包含在机器可执行指令中,所述指令可用来使得用所述指令编程的通用或专用处理器或逻辑电路来执行所述操作。或者,所述操作可以由硬件和软件的组合来执行。
本发明可作为计算机程序产品而提供,所述产品包括其上存储有指令的机器可读介质,所述指令可用来对计算机(或其他电子设备)编程,以执行根据本发明的处理。机器可读介质可包括但不局限于软盘、光盘、CD-ROM(只读压缩光盘存储器)和磁光盘、ROM(只读存储器)、RAM(随机访问存储器)、EPROM(可擦除可编程只读存储器)、EEPROM(电磁可擦除可编程只读存储器)、磁或光卡、闪存、或其他类型适于存储电子指令的媒质/机器可读介质。
而且,本发明可以作为计算机程序产品而下载,其中所述程序可通过包含在载波或其他传播介质中的数据信号而经由通信链路(例如调制解调器或网络连接),从远程计算机(例如服务器)传输到发出请求的计算机(例如客户端)。因此,在此“载波”应被理解为包含机器可读介质。
引言
图1示出了安全的通信系统100的简化框图。如在此所讨论的,“系统”(例如用于选择安全性格式转换的系统)可以是包含硬件、软件或硬件及软件的某种组合以处理数据的装置。系统100包括网络接入设备110,网络接入设备110可通信地经由公共网络120与数据中心150相耦合,以向数据中心150提供安全性格式指示130和安全数据140。数据中心150包括安全性系统160,安全性系统160具有选择系统170和转换系统180,选择系统170用于基于指示130来选择安全性转换,转换系统180用于对安全数据140执行所选择的安全性转换。
网络接入设备110可以是任何可以操作来与网络120相连接并在该网络上传输数据的电子设备。例如,接入设备110可包括有线设备(例如个人计算机、工作站)或无线设备(例如膝上型电脑、个人数字助理(PDA)、移动电话、寻呼机、智能电话或通信器)。一般地,有线设备使用与无线设备不同的安全性格式或协议,以利用较大的存储器、处理器和带宽资源。
公共网络120可以是任何至少包括网络接入设备110和数据中心150之外的实体所共享的非私有部分的网络。与可能在数据中心150内部使用的私有网络(例如内联网)相比,公共网络120相对而言不太可信、不太安全或者容易遭受传输期间的安全性破坏(例如第三者插足(man-in-the-middle)攻击)。根据一个实施例,公共网络120包括无线网络、WAP网关和因特网,并且在网络接入设备110和数据中心150之间提供端到端安全性。
数据中心150可以是与公共网络120相连接以通过公共网络120接收或提供安全数据的任意的一个或多个计算机系统。例如,数据中心150可包括多个内部联网的计算机系统,这些计算机系统可提供诸如防火墙、服务器和数据源之类的功能。
网络接入设备110通过网络120将安全性协议指示130发送给数据中心150。指示130可具有不同的实施例。根据第一实施例,指示130包括用于请求并定义网络接入设备110和数据中心150之间的连接的信息。
根据第二实施例,指示130包括一个端口的指示,例如与在被配置来接收特定安全性格式的端口上所接收的该特定安全性格式相关联的消息。术语“端口”用来表示接受自网络120的数据和数据中心150的一个组件(例如应用程序、模块或更高级的协议)之间的逻辑链接关系或接口。所述端口可具有一个相应的分配到所述组件的端口号,并且该端口号可用来将接收自网络120的数据与所述组件或服务链接起来,或将所述数据定向到所述组件或服务。根据一个实施例,所述端口可包括具有公知端口号的公知端口。例如,所述端口可以是用于HTTP数据的公知端口80,或者所述端口可以是用于SSL数据的公知端口443。接受自网络120的消息可包括标识所述组件的端口标识符。根据一个实施例,端口可以由一个操作系统指示的软件过程所实现,该软件过程对于标识所述端口和组件的端口标识符而在物理接口上监听接收自网络120的数据,所述物理接口例如是利用千兆因特网或RJ45连接而链接到所述网络的网络接口卡(NIC)。端口标识符和IP地址一起构成了指定连接端点的套接口。设备110和数据中心150之间的端到端通信可由一个四元组指定,该四元组包括设备110的端口和IP地址,以及数据中心150的端口和IP地址。
根据第三实施例,指示130包括网络接入设备110所支持、所优选或者既支持又优选的安全性格式的指示。例如,指示130可包括接入设备110所支持或优选的一种安全性特征,所述特征在前数据阶段(pre-data phase)安全性协商消息(例如安全性握手期间发送的客户端问候消息)中被公告。术语“安全性特征”用于广泛地表示描述或定义一种安全性格式的特征、参数或选项,包括但不局限于从包括下述特征在内的组中所选择的安全性特征:版本信息、选项信息(例如认证或无认证)、加密算法信息、安全性参数信息、密码参数信息、受信证书信息以及其他安全性特征信息。、
根据第四实施例,指示130同时包括下述两种指示,与安全性格式相关联的端口的指示,以及设备110所支持的安全性特征的指示。例如,示例性指示130B包括提供给数据中心150的端口190(可包括公知端口443)的安全性特征131。
根据第五实施例,指示130包括对应于以前的安全性格式或转换的会话标识。根据第六实施例,指示130包括资料(profile)标识(例如用户标识和密码),所述资料标识使得可根据数据中心150中的资料而访问安全性格式或安全性转换。根据第七实施例,指示130包括安全性格式的专用非歧义指示,所述安全性格式例如是SSL版本3.0。根据第八实施例,指示130包括安全性转换的专用非歧义指示,所述安全性转换例如是进行从SSL版本3.0到普通数据(plain data)的转换的逻辑或模块。还可以实现指示130的许多其他实施例,本领域内可从本发明的公开内容受益的普通技术人员将会认识到指示130应被宽泛地解释。
如上所述,可考虑不同的指示130,选择系统170可相应地进行不同的选择。根据第一实施例,所述选择基于接收自网络120的信息来进行。根据第二实施例,所述选择基于与在网络接入设备110和数据中心150之间建立连接相关联的连接信息来进行。根据第三实施例,所述选择基于端口信息来进行。例如,如果连接信息是在第一预定义的配置端口处接收的,则选择系统170可选择第一转换,如果连接信息是在第二端口处接收的,则选择第二转换。根据第四实施例,所述选择基于表示设备110所支持、所优选或既支持又优选的安全性特征的安全性特征信息来进行。例如,选择系统170可基于在客户问候消息中公告的所支持和优选的安全性格式来选择一种转换。
根据第五实施例,所述选择可基于端口信息和安全性特征信息来进行。例如,选择系统170可基于在其上接收到客户端问候消息的端口,并基于所述客户端问候消息中所表明的、客户端设备110所支持和优选的安全性特征,从而选择一种安全性格式转换。
根据第六实施例,选择可基于对应于以前的安全性格式或转换的会话标识来进行。根据第七实施例,选择可基于资料标识(例如用户标识和密码)来进行,所述资料标识使得选择系统170可根据资料来访问安全性格式或安全性格式转换。根据第八实施例,选择可基于所声明的安全性格式或安全性格式转换(例如“SSL V3.0到普通数据”)来进行。可实现许多其他的选择和选择系统170,本领域内可从本发明的公开内容受益的普通技术人员将会认识到选择以及选择系统170应被宽泛地解释。
所述转换是从所接收的安全性格式到另一种格式的转换。另一种格式可以是未加密的普通数据格式。当数据中心150的内部就足够安全并且对数据进行不应有或未授权的访问的风险足够小时,这一格式可能是有优势的。这可以避免在150内以后再进行解密,这是一个优点。根据另一个实施例,另一种格式可以是不同的安全性格式。即,安全性系统160可选择并实现从一种安全性格式到另一种安全性格式的转换。例如,所述转换可以是到IP安全性(IPSec)的转换,这对数据中心150的内联网内的安全性来说可能是所期望的。
网络接入设备110将安全数据140通过网络120发送到数据中心150。数据中心150从网络120接收安全数据140。转换系统180对安全数据140进行所选择的安全性转换。非限制性地说,根据特定实现所需,安全数据140可以是交易和/或金融数据,而数据中心150可利用所述数据和/或对其进行响应。
根据一个实施例,网络接入设备110是使用图2所示的WAP栈200,以与数据中心150通信的无线网络接入设备。WAP栈200是一种安全的规范,其使得所述无线设备可通过网络120安全地访问信息。WAP栈200包括应用层210、会话层220、事务层230、安全性层240、传输层250和网络层260。WAP栈200对于本领域内的普通技术人员来说是公知的,并且在WAP规范的1.2和2.0版中进行了更详细的描述,该规范可在http://www.wapforum.org处获得。
安全性层240包括WTLS协议,并可为具有WAP功能的无线设备提供私密性、数据完整性和客户端/服务器认证。WTLS协议工作在传输层250之上,并向更上层的WAP层210-230提供安全的传输服务接口,所述接口保留了下层的传输接口,并且还提供用于管理安全连接的方法。WTLS与非无线协议例如安全套接口层(SSL)相关,但涉及相对较低的设备端处理能力和存储器需求、较低的带宽以及数据报连接。
传输层250可包括不同的基于数据报的传输层协议例如UDP/IP和WDP。UDP与IP承载服务一起工作,而WDP与非IP承载服务一起工作。例如,WDP可与短消息服务(SMS)以及类似的无线承载服务一起使用,而UDP可与电路交换数据(CSD)和类似的承载服务一起使用。
图3示出了本发明一个实施例的系统体系结构300的简化框图。系统体系结构300包括无线接入设备305和有线接入设备320,以通过公共网络325将异构加密的消息发送到数据中心340,数据中心340包括安全性系统345,用以对所接收的异构加密的消息选择并实现不同的安全性转换处理。
无线接入设备305(在一个实施例中是具有WAP微型浏览器的移动电话)通过无线网络310和WAP网关315耦合到公共网络325(在一个实施例中是因特网)。无线接入设备305使用UDP或WDP传输协议来生成并发送WTLS客户端问候消息到无线网络310,所述消息包括对应于设备305的安全性能力和优选项的安全性特征信息。无线网络310接收所述消息并将之传递到WAP网关。WAP网关将传输协议媒介从UDP或WDP转换成TCP,然后使用TCP将该消息传递给公共网络325。
有线接入设备320(根据一个实施例是具有浏览器功能的个人计算机)生成并发送含有安全性特征信息的消息到公共网络325。该消息可包含用于在SSL握手中启动安全性格式协商的SSL客户端问候消息。
公共网络325在功能上与无线接入设备305、有线接入设备320和数据中心340相连接,以从设备305、320接收消息并将所述消息提供给数据中心340。根据一个实施例,网络325包括因特网,并可使用TCP或UDP作为用于传输媒介的协议。网络325将所述消息作为指示330和335而发送或传送给数据中心340。
数据中心340与公共网络325相耦合,以接收与设备305和320相关联的消息。数据中心340包括安全性系统345,根据一个实施例,安全性系统345在功能上位于公共网络325和服务器390之间,因而安全性系统345可代表服务器390执行安全性转换的选择和执行。
根据一个实施例,安全性系统345包括用于接收指示和安全数据的网络接口350、用于基于所述指示而选择转换的选择系统360、用于接收所选择的转换并对通过网络接口350而接收的安全数据实施所选择的转换的转换系统370、以及用于接收转换后的数据并将转换后的数据提供给其他数据中心340组件(在一个实施例中例如是服务器390)的第二网络接口380。
网络接口350可包括一个或多个NIC,用于代表数据中心340接收消息和安全数据。根据一个实施例,网络接口350至少包括用于接收来自无线接入设备305的信息的一个端口354,并至少包括用于接收来自有线接入设备320的信息的一个端口352。例如,网络接口350可包括第一和第二端口354,以分别从无线接入设备305接收安全的和非安全的数据,并包括第二和第三端口352,以分别从有线接入设备320接收安全的和非安全的数据。
选择系统360与网络接口350相耦合,以从网络接口350接收安全性转换选择信息,并基于该信息选择一种安全性转换。所述安全性转换可以是从与所述消息相关联的一种安全性到另一种格式(例如另一种安全格式或普通数据格式)的转换。根据第一实施例,选择系统360基于所接收的端口指示来选择安全性转换。例如,选择系统360可接收已知用于SSL加密数据的预定端口的指示,并选择至少一种从SSL加密格式到另一种格式的安全性转换。根据第二实施例,选择系统360基于所接收的安全性特征信息来选择至少一种安全性转换。例如,选择系统360可接收表示有线接入设备320所支持的一个安全性特征或一组安全性特征的安全性特征信息,并选择从所述安全性到另一种格式的转换。根据第三实施例,选择系统360同时基于端口信息和安全性特征信息来选择转换。例如,选择系统360可基于端口信息而选择至少具有从WTLS格式到另一种格式的一种特定转换的WTLS转换系统372,或选择至少具有从SSL格式到另一种格式的一种特定转换的SSL转换系统374,然后选择系统360可基于安全性特征信息而选择所述特定的WTLS或SSL转换。
选择系统360可向其他系统300组件提供所选择的安全性转换。根据一个实施例,选择系统360将设备305或320与数据中心340之间的会话的会话标识与所选择的安全性转换关联起来。这可使得随后以安全格式而接收的数据与所选择的安全性转换关联起来。在一个实施例中,选择系统360可通过设置(assert)一个安全性转换选择信号而将所选择的转换通知给转换系统370。例如,选择系统360可向转换系统370、WTLS转换系统372或SSL转换系统374作出一个方法调用,传送所选择的转换。
已在设备305、320和安全性系统345之间协商好安全性格式之后,设备305、320可将安全数据发送到安全性系统345。具体地说,无线设备305可以WTLS的预定版本发送数据。无线网络310可接收安全数据并将它提供给WAP网关315。一般地,WAP网关315将执行从UDP或WDP到TCP的转换,并将具有TCP格式的数据提供给公共网络325。
根据一个实施例,WAP网关315被配置成允许所接收的WTLS安全数据不进行安全性格式转换地通过。这一方法可有利地在无线接入设备305和数据中心340之间提供端到端安全性,并可消除当通过一种易受攻击的普通数据状态而将WTLS数据转换成SSL数据时存在的WAP缺口,所述普通数据状态容易受到第三者插足攻击。可考虑其他的实现,包括这样一种实现,其中WAP网关315被配置成允许所有到数据中心340的无线连接不进行安全性格式转换地通过。与图1-3所示的现有技术方法相比,这一方法还提供了较小的延迟,因为可以避免去往和来自系统330的不必要的安全性格式转换处理和传输。
有线接入设备320可以用已与安全性系统345协商好的预定SSL版本来传输数据。所述数据可以SSL格式而使用TCP在因特网325上传输。
转换系统370与选择系统360相耦合以接收所选择的安全性转换,并与网络接口350相耦合,以从无线设备305和有线设备320接收安全数据。转换系统370对所接收的安全数据实施所选择的转换。转换系统370可包含包括硬件、软件或软件及硬件的某种组合在内的逻辑,以将所接收的安全数据(例如WTLS或SSL加密数据)解密成普通的未加密数据格式,并且如果需要的话还将其重新加密成另一种安全性协议格式。根据一个实施例,所述逻辑可包括对本领域可从本发明的公开内容受益的普通技术人员来说是公知的传统转换逻辑。
如上所述,安全性系统345可包括不同的转换模块来执行从所接收的安全性格式到另一种格式的转换。根据一个实施例,转换系统370包括WTLS转换系统372和SSL转换系统374,以分别将WTLS或SSL安全数据转换成另一种安全性格式。WTLS转换系统372可包括多个转换模块,例如从具有第一安全性特征的第一WTLS版本到普通数据的第一转换模块,从具有第二安全性特征的第二WTLS版本到普通数据的第二转换模块,以及从第一WTLS版本到另一种安全格式例如SSL、IPSec或其他格式的第三转换模块。类似地,转换系统374可具有多个转换模块。
转换系统370将转换后的数据提供给与服务器390相耦合的网络接口380。网络接口380可包括NIC。一般地,网络接口380通过普通数据端口例如端口80来向服务器390提供普通数据,尽管也可以实施其他实施例。
服务器390接收转换后的数据。如果转换后的数据是安全格式,则服务器390可执行解密。没有限制性地说,服务器390可以执行特定实现所期望的任何处理。一般地,所述处理包括通过安全性系统345向设备305、320提供响应数据。根据一个实施例,服务器390向安全性系统345提供普通数据。
安全性系统345可接收响应数据,并对该数据执行安全性处理。根据一个实施例,安全性系统345根据一个与初始转换基本相反的过程来处理响应数据。例如,对于到无线设备305的响应数据,安全性系统345可将来自服务器390的普通数据转换成WTLS格式,并将安全数据提供给无线设备305。类似地,对于到有线设备320的响应数据,安全性系统345可将来自服务器390的普通数据转换成SSL格式,并将安全数据提供给有线设备320。
系统300可提供多个优点。第一个优点是能够将安全性处理功能从服务器390转移到安全性系统345。安全性处理可能是相当程度的处理器和存储器密集型的处理,并且没有这种转移的话可能会消耗服务器390的资源的很大一部分。转移还使得服务器390可处理更多的连接。例如,利用执行安全性转换的安全性系统345,服务器390能够处理的连接数量大约是没有该系统时可处理的连接数量的5-10倍。
第二个优点是接入设备305、320和服务器390之间端到端的安全性。第三个优点是接入设备305、320和服务器390之间的单次安全性转换。由于较少的计算和较小的延迟,这可以提供更快的数据交换。第四个优点是安全性系统345对于有线和无线安全性协议来说都可以提供单点安全性解决方案。第五个优点在于比起更新服务器390来说,可以更容易地用最新的安全性标准和转换来频繁地更新安全性系统345。
已经用简化的格式示出了安全性系统345以免模糊本发明。然而,本领域内可从本发明的公开内容受益的普通技术人员将会认识到安全性系统345也可以包含其他组件385。一般地,其他组件385包括操作系统或平台。其他组件385还可包括特定实现所需的组件,例如用于执行XML转换、XML解析、基于内容的路由以及其他普通数据功能的组件。其他组件385可包括传统的专用安全性加速器中所使用的组件,所述加速器例如是
Figure BSA00000423968300121
NetStructureTM 7110 e-Commerce加速器、7115 e-Commerce加速器、7140Traffic Director、7175 Traffice Director、7180 e-Commerce加速器、7280 XMLDirector或7210 XML加速器,它们都可从加州圣克拉拉的英特尔公司获得。
图4以框图的形式示出了根据一个实施例来运行安全性系统例如安全性系统160或345的方法400。方法400可实现在包括软件、硬件或软件及硬件的某种组合在内的逻辑中。
方法400开始于方框401,然后前进到方框405,在此配置安全性系统。根据一个实施例,这可包括读取包含系统配置信息的配置文件。例如,没有限制性地说,安全性系统可访问例如包含在下表中的配置信息:
表1
Figure BSA00000423968300122
在上表中,“映射ID”为一个连接提供了一个任意的标识符,“连接类型”提供了或者是安全或者是非安全的连接类型,“键值ID”提供了用于安全连接的键值标识,“服务器IP”提供了用于和数据中心内的服务器通信的因特网协议地址,“网络端口”提供了用于从公共网络接收安全或非安全数据的预定义已知端口号,“服务器端口”提供了用于将普通数据传送到数据中心中的服务器的公知预定义端口,“密码套件”包含了用于安全和非安全连接的安全性强度的指示,而“重定向”提供了一个选项,用于当接入设备不支持所使用的安全性特征时,将该设备重定向到安全性升级资源处。
不受限地考虑重定向特征的下述示例性实现。安全性系统确定客户端是否达到了所述配置中指定的安全性级别。如果客户端不满足所指定的安全性级别,则安全性系统可确定是否应发送一个作为统一资源定位符(URL)的重定向页面,以向客户端提供一次升级到所指定的安全性级别的机会。如果不发送所述重定向页面,则可替代性地发送缺省错误消息。
或者,与使用不同的服务器不同,可以使用相同的服务器来在不同的网络端口上同时提供HTML和无线置标语言(WML)内容访问,以使得服务器IP网络端口组合是唯一的。例如,安全性系统可使用例如包含在下表中的配置信息:
表2
Figure BSA00000423968300131
方法400从方框405前进到方框410,多个过程在所配置的端口上监听活动或消息。根据一个实施例,所述过程在由IP地址和端口的唯一组合构成的唯一套接口上进行监听。根据一个实施例,安全性系统派生(spawn)出不同进程或线程来在所述配置文件中标识的端口上进行监听。例如,一个进程可在端口9208上监听WTLS相关的消息,一个进程可在端口443上监听SSL相关的消息,而一个进程可在端口80上监听非安全数据。
如果在端口9208上接收到安全性特征信息,则方法400可从方框410前进到方框415。根据一个实施例,安全性特征信息可包括来自无线接入设备的客户端问候消息。例如,安全性特征信息可包括WTLS的现有或将来的版本的客户端问候消息。
方法400从方框415前进到方框420,协商一种WTLS安全性格式。所述协商可以基于表示无线接入设备优选或可以使用的安全性特征的安全性特征信息来进行。所述协商可包括接入设备和数据中心之间的安全性特征能力和/或优选项的来回交换,以就共同支持的安全性格式达成一致。根据一个实施例,方框420的协商包括WTLS握手协议。可以实现所协商的安全性格式的不同实施例。根据第一实施例,所述安全性格式包括WTLS现有或将来的版本。根据第二实施例,所述安全性格式包括经协商的安全性特征,例如加密参数、加密算法(例如数据加密标准(DES))或以上二者。
方法400从方框420前进到方框425,选择从经协商的安全性格式到未加密的普通数据的转换。到普通数据格式的转换在所述安全性系统是通过足够可信的连接或网络而与数据目的地(例如数据中心服务器)相耦合的体系结构中是有优势的,因为服务器然后可接收普通数据而不执行解密。
根据第一实施例,所述转换是基于在端口9208上接收的信息而选择的。例如,所述转换是基于和方框415相关联的信息而选择的。根据第二实施例,所述转换是基于安全性协商的。例如,所述转换是基于与方框420相关联的信息而选择的。所选择的安全性转换可被传达到其他组件例如转换系统或转换模块。
方法400从方框425前进到方框430,接收安全的加密数据。安全数据可以是通过端口9208接收的,并且具有方框420的经协商的安全性格式。方法400从方框430前进到方框435,将所接收的加密数据转换成普通数据。这可以通过使用传统或公知的方法来完成。方框430和435可以使用批处理或连续模式来实现。
如果是在端口443上接收到安全性特征信息,则方法400可从方框410前进到方框440。例如,安全性特征信息可以与连接https://www.intel.com相关联,所述连接向数据中心表明客户端设备将试图连接到端口443。根据一个实施例,安全性特征信息可包括来自有线接入设备的客户端问候消息。例如,安全性特征信息可包括SSL的现有或将来的版本的客户端问候消息。
方法400从方框440前进到方框445,协商一种SSL安全性格式。所述协商可以与为方框420而描述的方式进行,以确定一种基于SSL并可包括SSL加密参数和SSL算法的安全性格式。
方法400从方框445前进到方框450,选择一种从经协商的安全性格式到未加密的普通数据的转换。根据第一实施例,所述转换是基于在端口443上接收到的信息而选择的。例如,所述转换可以基于与方框440相关联的信息而选择。根据第二实施例,所述转换基于安全性协商而进行。例如,所述转换可以基于与方框445相关联的信息而选择。
方法400从方框450前进到方框455,在端口443处接收具有所协商的安全性格式的数据。方法400从方框455前进到方框460,将所接收的数据从所述安全格式转换成普通数据格式。
如果在端口80上接收到普通未加密数据,则方法400可从方框410前进到方框465。
方法400可从方框435、460或465前进到方框470,将普通数据提供给所期望的目的地。根据一个实施例,所述数据被提供给数据中心的服务器或其他计算机系统。所述服务器可以由配置信息中的网络地址来标识。根据一个实施例,所述数据通过公知端口80而被提供给服务器。方法400可在方框475处终止。
可以实施方法400的其他实施例。根据第一可替换实施例,配置并使用了不同的端口。一般地,用于接收安全性特征信息和数据的端口将遵从因特网分配号码局(IANA)或类似机构的指定。根据一个实施例,WTLS端口可以是从具有9208和9282之间的号码的端口组中选择的端口。根据第二可替换实施例,从方框420或445所协商的格式开始的安全性转换可被选择为转换到另一种安全性格式而非普通数据格式。当数据目的地是通过不是足够安全的链路与所述安全性系统相耦合的情况下,这可能是有优势的。例如,不是在方框470处提供普通数据,而是可将具有WTLS格式的安全数据转换成SSL格式的安全数据并提供给数据目的地。这种转换在数据目的地不能解密转换前的安全性格式时是有优势的。
图5示出了根据一个实施例的WTLS安全性体系结构500。体系结构500包括记录协议550,用于从上部栈层接受要被传输的的非安全数据、考虑数据完整性和认证、并将压缩和加密算法应用到所述数据。体系结构500还包括4个协议客户端,包括下面讨论的握手协议510,用于提供终止安全连接的方法的警报协议520,用于和上部栈层接口的应用协议530,以及使得可在读、写和待处理状态之间进行协调式改变的改变密码规范协议(change cipher spec protocol)540。
握手协议510表示无线接入设备和数据中心之间的安全性协商的一个实施例。握手协议510使得该设备和数据中心可协商或就安全性方法和参数例如安全性协议、协议版本、加密算法、认证、公钥技术以及其他安全性特征达成一致。
图6示出了根据一个实施例的WTLS握手的方框流程图。握手600可用来在无线接入设备客户端610和数据中心服务器670之间协商安全性格式。根据一个实施例,握手600包括安全性特征信息。
握手600开始于方框620,由客户端610向数据中心670提供客户端问候消息。客户端问候通常会公告所支持的安全性特征(例如协议、版本、选项、加密算法以及受信证书)。根据一个实施例,所述客户端问候至少部分地表明了一种安全性格式。在所述客户端问候之后,接入设备610接收消息,直到数据中心服务器670发送一个服务器问候完成消息。
握手600从方框620前进到方框630,数据中心服务器670继续握手600。数据中心服务器670可提供同意或重新协商安全性格式方法和参数的服务器问候消息。服务器670还可以发送服务器证书消息(如果要使用认证的话)、服务器密钥交换消息(用于提供一个公钥,该公钥可用来传送或交换预控制(pre-master)秘密值)、证书请求消息(用于向客户端请求证书和认证)、以及服务器问候完成消息(用于表明握手600的问候消息阶段完成)。服务器670然后等待来自客户端610的响应。
握手600从方框630前进到方框640,接入设备客户端610继续握手600。客户端610可发送客户端证书消息(如果被请求认证它自身的话)(或者发送一个无证书警报)、客户端密钥交换消息(该消息基于在所述客户端问候和服务器问候之间选择的公钥算法,并包括用所述数据中心的公钥加密的预控制秘密)、数字签名的证书验证消息(用于在客户端610已发送具有签名能力的证书的情况下显式地验证所述证书)、改变密码规范消息(用于表明开始使用经协商的安全性参数)、以及完成消息(该消息包括对以前的数据的验证,所述以前的数据包括在所述新的算法、密钥和秘密下计算的安全性信息)。
握手600从方框640前进到方框650,数据中心服务器670继续握手600。数据中心服务器670可用密码规范消息来进行响应,以确认所述会话并通知客户端610使用经协商的会话参数,并可用完成消息来进行响应,所述完成消息包括对所交换和所计算的信息的验证。
握手600从方框650前进到方框660,客户端610和服务器670可使用已建立和协商的安全连接来交换安全数据。握手600还可包括保留与安全连接有关的信息例如会话标识符,以使得未来的安全数据交换可基于以前协商的安全性方法和参数来进行。
图7示出了根据一个实施例的客户端问候消息700。客户端问候消息700可用于SSL、WTLS或另一种安全性格式。根据一个实施例,在端口上接收的客户端问候消息700包括安全性格式指示。客户端问候消息700包括安全性特征信息,例如客户端安全性能力信息710、随机结构信息720、会话标识信息730、所支持的加密选项信息740以及压缩方法信息750。
客户端安全性能力信息710可包括协议版本。协议版本可以是客户端可操作来使用的、所期望使用的、以及既可操作来使用又是所期望使用的版本。例如,信息710可表示SSL版本3.0或另一个协议版本。根据一个实施例,数据中心中的安全性系统可使用客户端版本信息来协商安全性格式并选择对应的安全性转换。
随机结构信息720可包括客户端生成的随机结构。所述随机结构可包括多个位和多个随机字节,所述多个位所基于的是根据客户端内部时钟的当前时间和日期,而所述多个随机字节由一个安全性随机数生成器生成。
会话标识信息730可包括可变长度的会话标识,该标识如果非空的话则标识客户端和服务器之间的一个在先会话,所述在先会话包括客户端希望重新用于当前会话的在先安全性方法和参数。所述会话标识可以来自早先的连接、当前连接、或另一个目前活动的连接。服务器可定义会话标识的实际内容。如果在先会话不可获得,或者如果客户端希望重新协商安全性方法和参数,则会话标识信息730可以为空。根据一个实施例,会话标识包括安全性转换的指示。例如,会话标识可对应于以前所选择的安全性转换,并且接收到该会话标识使得选择系统可重新选择所述安全性转换。
所支持的加密选项信息740可包括客户端所支持以及根据客户端的优选项而安排的加密选项和组合的指示。这一信息还可包括来自将要重新使用的在先会话的类似信息。
压缩方法信息750可包括客户端所支持的压缩算法或方法的列表,和客户端对于每种方法的优选项的指示。如果会话标识信息730表明要重新使用的会话,则压缩方法信息750可包括该在先会话所使用的压缩算法。根据一个实施例,信息750表明了对CompressionMethod.null的支持。
图8示出了一个实施例的选择系统800。选择系统800接收指示810。指示810是足以使得选择系统800可选择一种安全性格式转换的指示。所示出的指示810包括安全性格式的指示,并具有端口信息812和安全性特征信息814。
端口信息812可包括以前在其上接收到数据(例如客户端问候消息、安全性特征信息等等)的端口的信息,并且,端口信息812被提供给选择系统800的协议选择逻辑820。协议选择逻辑820可操作来基于端口信息812而在不同安全性协议之间进行选择。根据所示出的实施例,协议选择逻辑820可操作来基于端口信息812而在无线协议、有线协议以及普通非安全协议之间进行选择。不受限地考虑下述原理性协议选择逻辑820:如果端口信息812指示了端口9208,则选择无线协议;否则,如果端口信息812指示了端口443,则选择有线协议;否则,如果端口信息812指示了端口80,则选择普通非安全协议。协议选择逻辑820设置一种协议选择830,其指示无线协议(无线选择)、有线协议(有线选择)或普通非安全协议(S5)。
选择系统800还包括安全性特征选择逻辑840,其与协议选择逻辑820相耦合以接收协议选择830。逻辑840可操作来基于协议选择830并基于安全性特征信息814,选择不同的安全性格式转换。选择S5可绕过逻辑840,因为通常不对普通数据进行安全性格式转换。根据所示出的实施例,逻辑840可操作来选择4种不同的转换(即对应于选择S1、S2、S3或S4的转换)中的一种,但这不是对其他实施例的限制。
逻辑840包括无线逻辑部分850和有线逻辑部分860,二者都能够接收安全性特征信息814。如果协议选择830指示了无线选择,则逻辑部分850可操作来选择一种转换。不受限地考虑下述原理性逻辑部分850:如果安全性特征信息814指示了至少一种安全性特征的集合F1,则选择第一安全性格式转换;否则,如果安全性特征信息814指示了至少一种安全性特征的集合F2,则选择第二安全性格式转换;否则发送重定向URL(如果如此配置了的话)。
如果协议选择830指示了有线选择,则逻辑部分860可操作来选择一种转换。不受限地考虑下述原理性逻辑部分860:如果安全性特征信息814指示了至少一种安全性特征的集合F3,则选择第三安全性格式转换;否则,如果安全性特征信息814指示了至少一种安全性特征的集合F4,则选择第四安全性格式转换;否则发送重定向URL(如果如此配置了的话)。
逻辑840设置安全性格式转换选择870,其表明了对安全数据执行的安全性格式转换,所述转换与端口信息812和814一致。选择870可包括用于无线设备的S1或S2,以及用于有线设备的S3或S4。选择870可被传达到转换系统或模块。
图9示出了一个实施例的数据中心900。数据中心900可与公共网络例如因特网相耦合以从该公共网络接收指示和安全数据。数据中心900包括功能上设置在交换机/路由器910和交换机/路由器930之间、并且足够接近数据中心900的一个或多个服务器940-960的安全性系统920。安全性系统920从交换机/路由器910接收可能是异构加密的数据,并将经过适当安全性格式转换的数据提供给交换机/路由器930。交换机/路由器930将转换后可能具有普通数据格式的数据提供给所述一个或多个服务器940-960。根据第一实施例,所述一个或多个服务器940-960包括WML内容服务器940和HTTP内容服务器950,WML内容服务器940可通过地址10.1.1.30来访问以接收和提供无线数据,HTTP内容服务器950可通过地址10.1.1.31来访问以接收和提供有线数据。根据第二实施例,可通过地址10.1.1.32访问的阿帕奇服务器960可同时接收和提供无线和有线数据。
图10示出了根据一个实施例的安全性系统1000。安全性系统1000包括前面板接口1010。前面板接口可提供所期望的信息(例如1011-1018)、数据链路(例如1019-1022)和特定实现所需的用户控件(例如1023-1024)。具体地说,所述数据链路可包括到一个控制台的链路1019,所述控制台包括显示设备(例如监视器)、数据输入设备(例如键盘)、光标控制设备(例如鼠标)以及其他使得用户可配置并监视系统1000的组件。所述数据链路还可包括到公共网络或公共网络接口的网络链路1021,以及到经过安全性格式转换的数据的目的地的服务器链路1022。这些链路可包括千兆以太网或RJ45链路。
安全性系统1000还包括与前面板接口1010相耦合以传送信息的总线或其他通信装置1050、与总线1050相耦合以处理数据的处理装置例如处理器1060、与总线1050相耦合以存储由处理器1060执行的数据和指令的主存储器1070(例如RAM存储器)、与总线1050相耦合以存储用于处理器1060的静态信息和指令(例如BIOS)的只读存储器1080、以及安全性硬件1090。
主存储器1070可存储选择指令1072以及转换指令1074。指令1072、1074可作为应用程序、模块、数据结构或其他逻辑而被包含。
根据一个实施例,安全性格式转换选择或安全性格式转换可部分地在硬件中执行。例如,硬件1090可包括用于执行模块化求幂、伪随机数生成、伪随机密钥生成、DES/3DES加密和解密、以及其他所期望的安全性操作的电路。根据一个实施例,硬件1090包括用于执行这些安全性操作的加密卡、现场可编程门阵列(FPGA)或专用集成电路(ASIC)。
其他实施例
本发明并不局限于上述具体实施例,本领域内可从本发明的公开内容受益的普通技术人员将会认识到,还可以实施许多其他实施例。
不同的安全性格式
根据第一可替换实施例,本发明可使用前面描述的安全性格式之外的安全性格式。所述安全性格式可以是因特网工程工作组(IETF)批准的格式,可以是基于传输层安全性(TLS)的格式,可以是将来对TLS、SSL或WTLS改进的格式,或者可以是如安全HTTP(S-HTTP)、IP安全性(IPSec)、专有通信技术(Private Communications Technology)等格式。
分布式安全性系统
根据第二可替换实施例,在此所讨论的安全性系统可以分布在多个计算机系统上。例如,第一计算机系统或设备可具有选择系统,第二系统或设备可具有WTLS转换系统,而第三系统或设备可具有SSL转换系统。
具有安全性系统的服务器
根据第三可替换实施例,安全性系统、选择系统或转换系统可被包含到服务器中。
万维网交换机(Web Switch)
根据第四可替换实施例,安全性系统、选择系统或转换系统可被包含到具有更多网络连接能力的万维网交换机中,以增加连接可扩展性。
推送(push)模式
根据第五可替换实施例,安全性系统、选择系统或转换系统可以在推送模式中使用。例如,数据中心中的服务器可以向一个安全性系统提供普通数据,该安全性系统包括用于为有线设备选择到SSL格式的转换、以及为无线设备选择到WTLS格式的转换的安全性格式转换选择系统。
认证
认证是一个系统验证与该系统交互的用户和计算机的有效性的安全性功能和过程。它是可以在加密之外实施的保证方式。可以使用认证信息来认证设备。认证信息可包括数字证书、数字签名或二者。
在整个说明书中,对源的认证指的是对用户和/或设备的认证。而且,认证指的是验证客户端的身份,验证有效性指的是一般结合数字证书处理而执行的处理,包括但不局限于验证CA签名、验证证书的有效期、以及确保证书不在证书吊销列表(CRL)上。
而且,将使用WAP(无线应用协议)标准来提供本发明的无线设备方面的示例。WAP是一个全球标准,用于在移动电话和其他无线终端上提供和传递无线信息和电话服务。从安全性角度来说,在此具体地描述了WTLS(无线传输层安全性),它与用来确保有线互联网的安全性的协议SSL(安全套接口层)作用近似。
数字证书
一种用于认证设备的方法是通过使用数字证书。数字证书是一种对从互联网下载的数据是来自可信的源的保证方式。数字证书通过公共加密技术来确保机密信息、金钱或其他敏感材料的合法的在线传输。数字证书由CA(证书机构)发放,并提供该数字证书的发放时间、有效期等信息。
证书在其过期前可能被损坏(compromise)。例如,它可能会落入错误的人手中,或者CA可能决定向其发放证书的源已不再值得信任。为了拒绝已知在过期前被损坏了的证书,CA将被拒绝的证书张贴到证书吊销列表(CRL)上。CRL是在其过期前已被CA吊销的证书的列表,并且可在公共域上获得。
数字签名
数字签名提供了用于认证设备的另一种方法。数字签名用来同时认证签名者(即源)的身份以及通过使用公钥和私钥而传输的信息的完整性。数字签名的前提是数据的签名者拥有私钥,而与该签名者交换数据的其他人可能拥有该签名者的公钥。其他人可以使用公钥来加密或解密数据,而签名者可使用私钥来加密或解密数据。
例如,签名者可以对数据进行哈希以创建一个消息摘要,然后用该签名者的私钥来对该消息摘要进行加密,从而对文档签名。然后将加密的消息摘要附加到该文档上。当接收者接收到加密的消息摘要和文档时,接收者使用签名者的公钥来解密该加密的消息摘要,生成所述消息摘要。然后通过对文档中的数据进行哈希,并将之与所生成的消息摘要进行比较,从而验证了该文档的有效性。如果它们匹配,则文档的有效性已被验证。如果它们不匹配,则接收者了解到文档中的数据已经被损坏,因为它没有产生出与被发送时相同的消息摘要。
PKI/WPKI基础设施
在本发明所描述的实施例中,参考了具有用于验证和认证互联网事务中所涉及的各方的有效性的数字证书、证书机构以及其他注册机构的PKI(公开密钥基础设施)和WPKI(无线公开密钥基础设施)。一般地,在PKI/WPKI基础设施下,当设备请求数字证书(以下称为“证书”)时,它被一个注册机构所认可,并转发给证书机构。证书机构然后可发放证书。一般地,注册机构和证书机构包含同一实体。然而在一些情形下,它们可能不同。
概览
图11示出了一种方法的流程图,用于根据本发明的实施例来建立安全连接。所述方法开始于方框1100,并继续到方框1102,客户端发送客户端问候(Client_Hello)消息以请求与服务器的安全连接。在方框1104,安全性系统代表该服务器以服务器问候(Server_Hello)消息回应,确认客户端的请求。安全性系统然后可在方框1106中启动证书交换过程,确定客户端是否已请求认证(例如通过请求安全连接来请求认证)。如果客户端已请求认证,则在方框1108,安全性系统发送认证信息。
如果客户端未请求认证,则所述方法跳转到方框1110,在此处服务器也可以请求认证(例如要求客户端表明自己的身份)。如果服务器请求认证,则在方框1112,客户端发送认证信息到安全性系统,并继续到方框1114。如果服务器不请求认证,则所述方法跳转到方框1114,安全性系统发送服务器问候完成(Server_Hello_Done)消息到客户端,表明握手的问候消息阶段完成。当客户端接收到Server_Hello_Done消息时,它在方框1116发送完成(Finished)消息到安全性系统,在方框1118,安全性系统用一个Finished消息进行响应。所述方法在方框1120处结束。
现在完成了握手,客户端和服务器可向彼此发送加密数据,并且/或者,如果已发送数据,则可使用对于数据加密方法而言合适的解密方法来进行解密。
图12是示出了上述基本功能的伪代码。所述伪代码开始于第1行,在第3行检测到加密方法。如果数据是用WTLS加密的(第5行),则在第6行启动WTLS握手。在第7行,完成WTLS认证,在第8行,解密WTLS数据。
如果数据是以SSL加密的(第9行),则在第10行启动SSL握手。在第11行,完成SSL认证,在第12行,解密SSL数据。如果数据未加密(第13行),则在第14行不对数据做任何操作。
图13示出了根据本发明的通用实施例,用于有线和无线认证的系统体系结构1300。它可包括无线接入设备1302(例如移动电话或个人数字助理)或有线接入设备1308(例如个人计算机浏览器)。在无线接入设备1302的情形下,例如使用UDP(用户数据报协议)或WDP(无线数据报协议)传输协议来通过无线网络1304发送WTLS数据。无线网络1304接收消息,并将它传递给WAP网关1306,在此处传输协议从WDP/UDP转换成TCP/IP,并且进行编码和解码。
另外,在传统方式下,在WAP网关处将WTLS加密数据转换成SSL加密数据,并且在WAP网关处认证无线客户端证书。然而,这不是用于认证的端到端解决方案。然而,在本发明的实施例中不在WAP网关处进行解密。相反地,通过公共网络1310例如因特网将WTLS数据发送给数据中心1316。在有线接入设备1308的情形下,直接通过公共网络1310将SSL数据发送给数据中心1316。
在数据中心1316处,认证数据的发送者(即客户端),WTLS/SSL加密数据被解密成普通文本,而该普通文本数据被发送到数据中心中的一个或多个可能的服务器1314(只示出一个)。数据中心1316可包括与图3的安全性系统345非常相似的安全性系统1312。
除了图13的安全性系统与图3的安全性系统345相比另外还具有认证系统这一点之外,图13所示的体系结构1300在许多方面都与图3所示的体系结构300相似。
在另一个实施例中,如图14所示,系统体系结构1400包括驻留在WAP服务器1306前面的安全性系统1312,WAP服务器1306执行WAP网关和万维网服务器功能。或者,安全性系统1312可驻留在其后跟随有万维网服务器(未示出)的WAP网关前面。这一实施例可包括防火墙1402。例如,一些公司可为它们的应用而在它们的数据中心内运行它们自己的网关,因此不需要依赖于移动服务提供商来获得网关服务。
在这一实施例中,使用例如UDP(用户数据报协议)或WDP(无线数据报协议)传输协议来将WTLS数据从无线接入设备1302发送到无线网络1304。无线网络1304接收消息,并将数据路由通过公共网络1310,然后通过防火墙1402。
一旦在安全性系统1312处接收到数据,安全性系统1312就认证WTLS加密数据,并且如果适用的话就将WTLS加密数据转换成普通文本。安全性系统1312然后考虑认证和解密。在有线接入设备1308的情形下,通过公共网络1310将SSL数据发送到数据中心1316,其中安全性系统1312认证SSL加密数据,并且如果适用的话就将SSL加密数据转换成普通文本。普通文本数据然后可被发送到数据中心中的一个或多个可能的服务器1314(只示出一个)。
安全性系统1312维护一个CRL,此CRL可根据由CA更新的一个公共可访问的CRL来以预定义的间隔更新。安全性系统根据所述公共可访问的CRL来更新它的CRL,并包括一个认证系统,用于通过将从客户端设备接收的客户端证书与它的CRL比较来确定所述客户端证书是否有效。
安全性系统1312还在例如当客户端请求认证时,请求将服务器端证书发送到客户端。安全性系统1312维护着常规证书以发送到有线设备,并维护长期和短期证书以发送到无线设备。有线设备可通过根据该有线设备维护的CRL来检查服务器证书,从而认证服务器的身份。
在无线客户端的情形下,由于无线设备不具有用来实现吊销方法例如CRL的本地资源或通信带宽,因此在一个长期的时间段中一次性地认证服务器(例如发放一个长期证书),并且在所述长期时间段的整个过程中向服务器发放短期证书,这些短期证书可被发放给客户端。服务器然后将长期证书和短期证书都发送给客户端,这两种证书对于客户端认证服务器来说都必须是有效的。
如果CA希望吊销服务器,则它只是停止向服务器进一步发放短期证书。因此,如果短期证书无效,则不再向客户端提供当前有效的证书,从而客户端不再认为服务器是经认证的。这减轻了客户端维护CRL以与服务器端证书进行比较这一需要。
服务器端证书支持
服务器认证使得客户端可使用服务器证书来认证服务器,并且使得只有具有有效服务器证书的服务器可与客户端相连接。服务器证书由CA(例如加利福尼亚州Mountain View市的VeriSign公司)发放,CA在发放服务器证书之前检查服务器证书申请者是否满足CA的可信度标准。服务器证书使得服务器在服务器证书的有效性过期之前可与客户端相连接。在过期之后,服务器将被封堵。为了续展访问权,服务器的可信度需要被CA再次确认。
然而,服务器证书在其过期之前可能会被损坏。有线设备可维护CRL来验证服务器,但对于无线设备是发放短期证书,如前所述。
图15示出了对于有线和无线客户端,用于服务器端证书的工作流程1500。安全性系统1312向证书机构1502请求服务器证书,证书机构将该请求张贴到证书存储库1504,在证书存储库1504处维护着证书信息(包括证书号码以及向谁发放了证书)。
客户端1302、1308可通过安全性系统1312连接到数据中心1316中的服务器1312。无线接入设备1302向无线网络1304发送一个WTLS消息,从而试图建立与该服务器的安全连接(这是一个隐式的对认证的请求,有时称为“认证请求”)。无线网络1304将该消息发送给WAP网关1306,而有线接入设备1308可直接通过公共网络1310连接。WAP网关1306然后将加密的客户端消息通过公共网络1310发送到安全性系统1312。响应于客户端的认证请求,安全性系统1312将服务器证书发送到客户端1302、1308。客户端1302、1308然后可认证服务器证书。
图16示出了根据本发明的通用实施例,用于服务器端证书的方法的流程图。该方法开始于方框1600并继续到方框1602,安全性系统向CA请求服务器证书,在方框1604,CA将证书发送到安全性系统。在方框1606,安全性系统将服务器证书发送到客户端,例如用于对请求认证的客户端作出响应。在方框1608,确定服务器证书是否有效。在方框1610,如果服务器证书有效,则建立安全连接。否则,在方框1612,客户端关闭连接。所述方法在方框1614处结束。
安全性系统可以用户定义的间隔轮询(poll)证书存储库以获得证书,更新短期和长期证书,和/或更新它的CRL。
·无线客户端
在无线互联网中,WTLS服务器证书是向无线设备认证服务器的身份的证书。当无线设备用户想要向服务器发送机密信息时,WAP设备将会请求服务器的数字证书。该证书包含WAP服务器的公钥,并由无线设备用来执行以下操作:
·认证服务器的身份;和
·使用WTLS协议来加密用于服务器的信息。
然而,WPKI体系结构涉及了一种不同的实现,因为对WAP设备来说难于持续地更新CRL列表以检查服务器端证书的吊销。在WPKI体系结构中,安全性系统维护短期证书和长期证书。请求间隔可由用户定义。
图17示出了根据本发明的实施例,用于无线客户端的服务器端证书的方法的流程图。所述方法开始于方框1700并继续到方框1702,安全性系统代表服务器向CA请求服务器证书(包括短期证书和长期证书的下载件以及更新件)。由于可以根据用户定义的间隔来请求服务器证书,因此这一步骤不必每次都进行。
在方框1704,CA将服务器证书发送到安全性系统。在方框1706,将长期证书和短期证书都发送到客户端。例如,服务器证书可响应于客户端的认证请求而被发送到客户端。
在方框1708,通过验证CA签名以及证书的有效期,从而确定服务器证书是否有效。如果长期证书和短期证书都仍有效,则在方框1710处建立安全连接。否则,在方框1712处客户端可关闭连接。所述方法在方框1714处结束。
·有线客户端
类似地,在有线互联网中,SSL证书是用于向有线设备(即个人计算机)验证服务器的身份的证书。
为了拒绝已知在过期前已被损坏的服务器证书,客户端查询在公共域中维护的证书吊销列表(CRL),该列表也可被下载到客户端。一般地,如果在CRL中发现该服务器证书,则客户端将关闭连接。
图18示出了根据本发明的实施例,用于有线客户端的服务器端证书的方法的流程图。所述方法开始于方框1800并继续到方框1802,安全性系统代表服务器向CA请求服务器证书。在方框1804,CA将服务器证书发送到安全性系统。在方框1806,服务器证书被发送到客户端。例如,服务器证书可响应于客户端的认证请求而被发送到客户端。
在方框1808,客户端确定服务器证书是否在CRL上,从而验证服务器证书。如果服务器证书不在CRL上,则在方框1810,在客户端和服务器之间建立安全连接。否则,在方框1812,客户端关闭连接。所述方法在方框1814处结束。
客户端证书支持
客户端认证可使用安装在用户的万维网浏览器或其他客户端应用程序中的客户端证书来认证用户,并且只允许具有有效客户端证书的客户端进入授权域(例如网站上的受限区域)。客户端证书由证书机构(CA)发放。CA在发放客户端证书之前检查客户端证书请求者是否满足CA的可信度标准。客户端证书在其有效性过期之前可用于访问授权域。在过期后,该用户将被封堵。为了续展访问权,用户的可信度需要被CA再次确认,然后续展该客户端证书。对客户端证书何时被发放及续展的检查有助于确保有效的客户端证书只被因受信任而可进入授权域的用户所拥有。
然而,客户端证书在其过期前可能会被损坏。例如,它可能会落入错误的人手中,或者CA可能决定它以前向其发放证书的用户不再值得信任。如果客户端证书在其过期前被损坏,则CA可吊销该证书,这是通过将被吊销的客户端证书添加到证书吊销列表(CRL)上而实现的。CRL由CA维护,但可被下载到服务器以用于认证客户端的身份。
为了拒绝已知在过期前已被损坏的客户端证书,服务器查询在公共域中维护但可被下载到服务器上的证书吊销列表(CRL)。如果被吊销的客户端证书在CRL中,则具有该被吊销的客户端证书的客户端将被拒绝访问授权域。
在本发明的实施例中,安全性系统1312支持CRL。安全性系统1312从公共域下载CRL。当响应于服务器的认证请求而接收到客户端证书时,对照服务器的CRL来检查客户端证书,以确定客户端证书是否已被吊销。
在本发明的实施例中,通过客户端证书进行认证这一功能可由安全性系统代表服务器来启用或禁止。例如,可以对于发出股票出价订单之类的事务启用认证,但对于提供普通网页服务之类的事务则禁止该功能。
图19示出了对于有线和无线客户端,用于客户端证书的工作流程1900。无线客户端1302通过无线网络1902连接到CA 1502,以申请证书。CA 1502发放证书,并将该证书张贴到证书存储库1504。CA 1502然后发送客户端证书或证书URL到客户端,客户端1302可使用WTLS消息和客户端证书(或到客户端证书的链接)来尝试连接到服务器1314。
安全性系统1312以用户定义的间隔来更新它的CRL。它解密所述WTLS消息,并通过将它与CRL进行比较以检查客户端证书是否有效。如果客户端证书有效,则建立安全连接。否则,服务器例如可选择关闭连接,或允许连接存在但拒绝该客户端访问授权域。
对于有线客户端1308,可通过公共网络1310(即互联网)向证书机构1502请求客户端证书。有线客户端1308可通过发送SSL消息和客户端证书来尝试连接到服务器1314。如果客户端证书有效,则建立安全连接。否则,服务器例如可选择关闭连接,或允许连接存在但拒绝该客户端访问授权域。
图20示出了根据本发明的通用实施例,用于有线客户端证书的方法的流程图。该方法开始于方框2000并继续到方框2002,客户端申请有线客户端证书。在方框2004,证书机构向客户端发放有线客户端证书。在方框2006,客户端可在不使用有线客户端证书的情形下请求安全连接,并在方框2008,响应于服务器对客户端认证的请求而将有线客户端证书发送到服务器。
在方框2010,安全性系统代表服务器验证有线客户端证书的有效性。如果它是有效的,则在方框2012建立安全连接。否则,在方框2014不建立安全连接,并且服务器例如可选择关闭连接,或允许连接存在但拒绝客户端访问授权域。所述方法在方框2016处结束。
·无线客户端
在无线互联网中,使用WTLS客户端证书来向服务器认证无线设备。作为示例,WTLS客户端证书例如被定义为WAP 1.2的一部分,并具有X.509证书或微型证书的格式。
图21示出了根据本发明的实施例,用于无线客户端证书的方法的流程图。所述方法开始于方框2100并继续到方框2102,客户端申请无线客户端证书。在方框2104A,CA创建指向无线客户端证书的URL(统一资源定位符),并将该证书URL发送到客户端。或者,可在2104B将CA发放的无线客户端证书发送到客户端,并存储在WAP设备中的无线标识模块(WIM)中。WIM用于执行WTLS和应用级安全性功能,并用于存储和处理标识和认证用户所需的信息。
在方框2106,客户端可尝试建立安全连接,并且随后在2108,响应于服务器的认证请求而发送客户端证书(或指向证书的链接)。安全性系统在方框2110处解密所述WTLS消息,并将客户端证书与CRL进行比较以确定客户端证书是否真实。如果客户端证书有效,则在方框2112,在客户端和服务器之间建立安全连接。否则,在方框2114不建立安全连接,并且服务器可选择关闭连接,或允许连接存在但不允许客户端进入授权域。所述方法在方框2116处结束。
·有线客户端
在有线互联网中,SSL客户端证书是用于向服务器认证有线设备的身份的客户端证书。图22示出了根据本发明的实施例,用于有线客户端证书的方法的流程图。
所述方法开始于方框2200并继续到方框2202,客户端申请有线客户端证书。在方框2204,CA发放证书并将它发送到客户端。在方框2206,客户端尝试与服务器建立安全连接,并且随后在方框2208,响应于服务器的认证请求而发送有线客户端证书。
在方框2208,安全性系统解密SSL消息并将客户端证书与CRL进行比较,以确定客户端证书是否真实。如果客户端证书有效,则在方框2212,在客户端和服务器之间建立安全连接。否则,在方框2214,不建立安全连接,并且服务器可选择关闭连接,或允许连接存在但不允许客户端进入授权域。所述方法在方框2216处结束。
·数字签名
在发送客户端证书之外,客户端还可发送数字签名。如果客户端发送数字签名,则服务器验证该签名。如果数字签名有效,则建立安全连接。否则,客户端被拒绝访问授权域。
例如,对于有线客户端,可使用可获得的WAP功能来实现数字签名。WAP 1.2还定义了一种不是WTLS一部分的基于WPKI的功能。这一功能称为无线置标语言(WML)脚本签名文本功能,其允许WAP客户端对事务进行数字签名,并可用于需要来自客户端的非公认签名的应用。
安全性系统
图23示出了安全性系统的体系结构。安全性系统2300包括应用模块2302、SSL模块2304、PKI模块2308、WTLS模块2306以及WPKI模块2310。到安全性系统的输入包括进入数据2314,其可以是SSL加密数据、WTLS加密数据或普通数据。安全性系统的输出是普通数据2316,该数据然后可由服务器处理。
应用模块2302检测进入数据2314是SSL加密的、WTLS加密的还是普通文本。它然后代表它后面的服务器来处理WTLS/SSL握手,并与用于服务器端认证和客户端认证的PKI/WPKI模块进行交互。
如果进入数据2314是SSL加密的并且已经建立认证,则应用模块调用SSL模块2304。SSL模块2304读取所述数据并将它解密成普通文本2316。当它完成其处理时,它通知应用模块2302。SSL模块2304可使用硬件加密卡来用于SSL功能并提供SSL加速。SSL模块可包括图3的SSL转换系统374。在本发明的通用实施例中,SSL模块2304可以是有线设备解密模块,其接受使用有线安全性协议加密的数据(即SSL加密的数据),并将这种数据解密成普通文本。
如果应用模块2302检测到WTLS加密数据并且已建立认证,则调用WTLS模块2306。WTLS模块2306读取进入数据2314,并将它解密成普通数据2316。当它完成时,它通知应用模块2302。WTLS模块2306可以是纯软件,或者是软件和硬件的组合。WTLS加密和解密可以通过在硬件中执行处理器密集型功能来加速。WTLS模块可包括图3的WTLS转换模块372。在本发明的通用实施例中,WTLS模块2306可以是无线设备解密模块,其接受使用无线安全性协议加密的数据(即WTLS加密数据),并将这种数据解密成普通文本。
PKI模块2308具有通过检查它的CRL以发现已被CA吊销的任何客户端证书,从而验证数字签名和/或认证有线客户端证书的功能。使用对LDAP服务器的LDAP/FTP/HTTP请求,根据用户定义的间隔来更新CRL列表。PKI模块2308还通过从CA下载服务器端证书并将这些证书发放给客户端,从而支持服务器的认证。在本发明的通用实施例中,PKI模块2308可以是有线设备认证模块,其接受有线认证信息,并使用所述有线认证信息来认证有线设备。
WPKI模块2310具有通过检查它的CRL以发现已被CA吊销的任何客户端证书,从而验证无线数字签名和/或认证无线客户端证书的功能。使用对LDAP(轻量级目录访问协议)服务器的LDAP/FTP(文件传输协议)/HTTP(超文本传输协议)请求,根据用户定义的间隔来更新CRL列表。在本发明的通用实施例中,WPKI模块2310可以是无线设备认证模块,其接受无线认证信息,并使用所述无线认证信息来认证无线设备。
WPKI模块2310还使用服务器端证书来支持服务器的认证。存在两种由这一模块处理的服务器端证书。短期证书可被设置成每24小时后就过期,而长期证书可被设置成一年后过期。根据用户定义的间隔来更新(即从CA下载)这两种证书。
其他模块
一旦应用程序从SSL模块2304或WTLS模块2306获得进入数据2314,它就可以调用在网络设备上提供其他功能的其他模块2312,例如XML处理模块、负载平衡模块或XML转换模块。它还可以与诸如基于内容的交换、基于XML的路由以及设备检测等特征结合在一起。
配置
图24示出了可以如何配置安全性系统的示例。如下定义多个字段:
·“映射ID”字段为一个连接提供了一个任意的标识符;
·“连接类型”字段提供了连接类型(例如安全的或者非安全的)以及加密类型(即SSL或WTLS);
·“键值ID”字段提供了用于安全连接的键值标识;
·“服务器IP”字段提供了用于和数据中心内的服务器通信的因特网协议地址;
·“网络端口”字段提供了用于从公共网络接收安全或非安全数据的预定义已知端口号;
·“服务器端口”字段提供了用于将普通数据传送到数据中心中的服务器的公知预定义端口;
·“密码套件”字段包含了用于安全和非安全连接的安全性强度的指示;
·“重定向”字段提供了一个选项,用于当接入设备不支持所使用的安全性特征时,将该设备重定向到安全性升级资源处;
·“客户端认证”字段确定是否请求了使用数字证书的客户端认证;
·“数字签名”字段确定是否请求了使用数字签名的客户端认证。
安全性系统的配置可以通过GUI(图形用户界面)或CLI(通用语音接口)来完成。例如,客户端证书和服务器证书可以通过CLI从安全性供应商处获得。CRL的刷新时间可以通过CLI设置。CRL列表可以通过HTTP(超文本传输协议)、FTP(文件传输协议)或LDAP请求而从LDAP服务器更新。短期服务器证书还可以根据用户定义的间隔从CA存储库自动更新。重定向参数用于当客户端不能在客户端这一侧支持所需的安全性功能时,将客户端重定向到具有与所需功能相关的信息的URL。
结论
在前面的说明中,已参考其具体实施例来描述了本发明。然而,很清楚可以对本发明作出各种修改和改变而不偏离本发明更宽的精神和范围。因此,本说明书和附图应被理解成说明性而非限制性的。
例如,尽管其中已描述了PKI/WPKI和SSL/WTLS协议,但是本领域内的普通技术人员应当理解到,这些协议只是为了进行说明而被描述,而不应被理解成是对本发明的限制。同样地可以应用其他协议。
本发明是一同待处理的美国专利申请No.10/000,154的部分继续,并要求其优先权,该申请名称为“Selecting a Security Format Conversion for Wiredand Wireless Devices”,申请日为2001年10月23日。
本专利文献的公开内容的一部分包含了受版权保护的材料。版权所有者不反对任何人对此专利文献或专利公开内容如其出现在美国专利商标局专利档案或记录中呈现的那样进行复制,但对其他方面保留所有的版权。下述声明适用于本说明书及其附图中的软件和数据:版权
Figure BSA00000423968300341
2001,英特尔公司,保留所有版权。

Claims (23)

1.一种为无线客户端和有线客户端建立安全连接的方法,包括:
在与数据中心的服务器相关联的所述数据中心的安全性系统处截获从所述无线客户端和有线客户端发送到所述服务器的消息,所述消息用于建立所述安全连接,所述安全性系统具有与公共网络耦合的第一接口和与所述服务器耦合的第二接口,所述安全性系统代表所述服务器对所述无线客户端和有线客户端执行认证功能,所述安全性系统位于公共网络和所述数据中心内的所述服务器之间,其中,所述方法不在WAP网关内执行;以及
如果执行了合适的认证,则建立所述安全连接。
2.如权利要求1所述的方法,其中所述合适的认证包括:如果所述客户端已请求了认证,则确定所述服务器是否真实。
3.如权利要求2所述的方法,其中所述合适的认证还包括:如果所述服务器已请求了认证,则确定所述客户端是否真实。
4.如权利要求1所述的方法,其中所述合适的认证包括:验证数字证书的有效性。
5.一种建立安全连接的方法,包括:
在与数据中心的服务器相关联的所述数据中心的设备处接收来自客户端的客户端问候消息,所述客户端问候消息表明了与所述服务器建立所述安全连接的请求;
响应于所述客户端问候消息,所述数据中心的所述设备代表所述服务器发送服务器问候消息,以确认所述客户端问候消息;
如果所述客户端和所述服务器中至少之一请求了认证,则交换认证信息;
从所述数据中心的所述设备向所述客户端发送服务器问候完成消息,所述发送服务器问候完成消息是由所述设备代表所述数据中心的所述服务器完成的;
从所述客户端接收完成消息;以及
从所述数据中心的所述设备向所述客户端发送完成消息,所述发送完成消息是由所述数据中心的所述设备代表所述数据中心的所述服务器完成的,
其中,所述数据中心的所述设备位于公共网络和所述数据中心内的所述服务器之间。
6.一种认证和解密装置,包括:
应用模块,用于:
接收进入数据,所述进入数据发送自一个客户端,并要发送到数据中心内的多个服务器当中的一个给定服务器;和
将所述数据路由到一个认证模块,以验证所述客户端的身份的有效性;
与所述多个服务器相关联的有线设备认证模块,用于:
如果所述进入数据是使用有线认证信息发送的,则从所述应用模块接收所路由的数据;和
认证有线设备;
与所述多个服务器相关联的无线设备认证模块,用于:
如果所述进入数据是使用无线认证信息发送的,则从所述应用模块接收所路由的数据;和
认证无线设备;
与所述多个服务器相关联的有线设备解密模块,用于:
如果所述进入数据是使用有线安全性协议加密的,则从所述应用模块接收所路由的数据;和
将使用所述有线安全性协议加密的所述数据解密成普通文本;以及
与所述多个服务器相关联的无线设备解密模块,用于:
如果所述进入数据是使用无线安全性协议加密的,则从所述应用模块接收所路由的数据;和
将使用所述无线安全性协议加密的所述数据解密成普通文本。
7.一种位于数据中心中的认证系统,所述数据中心耦合在公共网络和所述数据中心的一个或多个服务器之间,所述一个或多个服务器与客户端交换数据,所述认证系统包括:
与所述一个或多个服务器相关联的安全性系统,用于:
支持用于认证所述一个或多个服务器的身份的认证功能;和
认证请求与所述一个或多个服务器建立安全连接的客户端的身份,
其中,所述安全性系统位于公共网络和所述数据中心内的所述一个或多个服务器之间,并且具有与所述公共网络耦合的第一接口和与所述一个或多个服务器耦合的第二接口。
8.一种认证和解密装置,包括:
第一装置,用于:
接收进入数据,所述进入数据发送自一个客户端,并要发送到数据中心内的多个服务器当中的一个给定服务器;和
将所述数据路由到用于通过认证与所述客户端相关联的设备来验证所述客户端身份的有效性的装置;
第二装置,用于:
如果所述进入数据是使用有线认证信息发送的,则从所述第一装置接收所路由的数据;和
认证有线设备;
第三装置,用于:
如果所述进入数据是使用无线认证信息发送的,则从所述第一装置接收所路由的数据;和
认证无线设备;
第四装置,用于:
如果所述进入数据是使用有线安全性协议加密的,则从所述第一装置接收所路由的数据;和
将使用所述有线安全性协议加密的所述数据解密成普通文本;以及
第五装置,用于:
如果所述进入数据是使用无线安全性协议加密的,则从所述第一装置接收所路由的数据;和
将使用所述无线安全性协议加密的所述数据解密成普通文本。
9.一种用于建立安全连接的装置,包括:
用于接收从客户端发送到服务器的消息的模块,该消息用于建立所述安全连接;
用于在与所述服务器相关联的安全性系统处截获所述消息的模块,所述安全性系统代表所述服务器执行认证功能,所述安全性系统位于公共网络和私有网络内的所述服务器之间,其中,所述装置不包括WAP网关;以及
用于如果执行了合适的认证,则建立所述安全连接的模块。
10.一种建立安全连接的方法,包括:
接收从客户端发送到服务器的消息,该消息用于建立所述安全连接;
在与所述服务器相关联的安全性系统处截获所述消息,所述安全性系统为所述服务器执行认证功能,所述安全性系统位于从中接收所述消息的公共网络和所述服务器之间,其中,安全性功能包括从WAP网关转移到所述安全性系统的所述认证功能;以及
如果执行了合适的认证,则建立所述安全连接。
11.一种位于耦合在公共网络和数据中心的服务器之间的所述数据中心中的认证和加密装置,所述装置包括:
到所述公共网络的第一接口,用于接收来自至少一个有线客户端设备的安全套接口层SSL加密数据,并且用于接收来自至少一个无线客户端设备的无线传输层安全性WTLS加密数据;
客户端类型确定逻辑,用于确定请求安全连接的客户端设备是有线客户端设备还是无线客户端设备;
执行有线认证的逻辑,用于当确定请求客户端设备是有线客户端设备时建立安全连接;
执行无线认证的逻辑,用于当确定请求客户端设备是无线客户端设备时建立安全连接;
用于将所述SSL加密数据转换成未加密格式并且用于将所述WTLS加密数据转换成未加密格式的逻辑;以及
第二接口,用于将未加密的数据提供到所述数据中心的所述服务器。
12.如权利要求11所述的装置,其中,所述第二接口用于从所述服务器接收未加密格式的数据。
13.如权利要求11所述的装置,其中,所述执行有线认证的逻辑包括用于使用有线通信协议执行有线认证的逻辑,并且其中,所述执行无线认证的逻辑包括用于使用无线通信协议执行无线认证的逻辑。
14.如权利要求11所述的装置,其中,所述执行有线认证的逻辑和所述执行无线认证的逻辑各自包括:
用于确定所述请求客户端设备是否已经请求了认证的逻辑;以及
用于当确定所述请求客户端设备已经请求了认证时发送认证信息的逻辑。
15.如权利要求11所述的装置,其中,所述执行有线认证的逻辑和所述执行无线认证的逻辑各自包括:
用于从所述请求客户端设备接收客户端证书的逻辑;以及
用于通过将所述客户端证书与证书吊销列表进行比较来确定所述客户端证书是否有效的逻辑。
16.一种执行认证和解密的方法,包括:
通过公共网络从各自请求与数据中心的服务器的安全连接的至少一个有线客户端设备和至少一个无线客户端设备接收所述数据中心内的数据;
执行有线认证,以与所述有线客户端设备建立安全连接;
执行无线认证,以与所述无线客户端设备建立安全连接;
将来自所述有线客户端设备和所述无线客户端设备这两者的数据从加密格式转换成未加密格式;以及
将未加密格式的数据通过接口提供到所述数据中心的所述服务器。
17.如权利要求16所述的方法,其中,所述执行有线认证和所述执行无线认证各自包括:
确定请求客户端设备是否已经请求了认证;以及
当确定所述请求客户端设备已经请求了认证时,发送认证信息。
18.如权利要求16所述的方法,其中,所述执行有线认证和所述执行无线认证各自包括:
从请求客户端设备接收客户端证书;以及
通过将所述客户端证书与证书吊销列表进行比较来确定所述客户端证书是否有效。
19.一种用于建立安全连接的装置,包括:
网络接口,用于接收通过公共网络来自有线设备的安全套接口层SSL数据和通过公共网络来自无线设备的无线传输层安全性WTLS数据;
公开密钥基础设施PKI逻辑,用于与所述有线设备建立安全连接;
无线公开密钥基础设施WPKI逻辑,用于与所述无线设备建立安全连接;
SSL逻辑,用于将所述SSL数据转换成其它格式;
WTLS逻辑,用于将所述WTLS数据转换成其它格式;以及
第二接口,用于将从SSL格式和WTLS格式转换的数据通过私有网络提供到服务器。
20.如权利要求19所述的装置,其中,所述装置位于所述公共网络和所述服务器之间的数据中心中,所述服务器是数据中心服务器。
21.如权利要求19所述的装置,其中,所述SSL数据所转换成的所述其它格式是普通数据格式,其中,所述WTLS数据所转换成的所述其它格式是普通数据格式,并且其中,所述PKI逻辑、所述WPKI逻辑、所述SSL逻辑和所述WTLS逻辑均被包括在代表所述服务器执行安全性功能的单个设备内。
22.一种耦合在公共网络和数据中心的服务器之间的所述数据中心内的单个网络设备,所述单个网络设备包括:
到所述公共网络的第一接口,所述第一接口用于从有线设备接收根据有线加密协议加密的第一数据,并且所述第一接口用于从无线设备接收根据无线加密协议加密的第二数据;
用于执行与所述有线设备的有线认证的逻辑;
用于执行与所述无线设备的无线认证的逻辑;
用于将所述第一数据转换成第一未加密数据并且用于将所述第二数据转换成第二未加密数据的逻辑;以及
第二接口,用于将所述第一未加密数据和所述第二未加密数据提供到所述数据中心的所述服务器。
23.如权利要求22所述的网络设备,
其中,所述执行有线认证的逻辑和所述执行无线认证的逻辑各自包括:
用于确定所述有线设备或无线设备是否已经请求了认证的逻辑;以及
用于当确定所述有线设备或无线设备已经请求了认证时发送认证信息的逻辑;
并且其中,所述执行有线认证的逻辑和所述执行无线认证的逻辑各自还包括:
用于从所述有线设备或无线设备接收客户端证书的逻辑;以及
用于通过将所述客户端证书与证书吊销列表进行比较来确定所述客户端证书是否有效的逻辑。
CN201110009932.9A 2002-01-12 2003-01-10 用于支持有线和无线客户端和服务器端认证的方法的机制 Expired - Fee Related CN102143160B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/045,893 2002-01-12
US10/045,893 US8601566B2 (en) 2001-10-23 2002-01-12 Mechanism supporting wired and wireless methods for client and server side authentication

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN038021641A Division CN1615632B (zh) 2002-01-12 2003-01-10 用于支持对有线和无线客户端的服务器端认证的方法、装置和系统

Publications (2)

Publication Number Publication Date
CN102143160A CN102143160A (zh) 2011-08-03
CN102143160B true CN102143160B (zh) 2014-01-15

Family

ID=21940415

Family Applications (2)

Application Number Title Priority Date Filing Date
CN038021641A Expired - Fee Related CN1615632B (zh) 2002-01-12 2003-01-10 用于支持对有线和无线客户端的服务器端认证的方法、装置和系统
CN201110009932.9A Expired - Fee Related CN102143160B (zh) 2002-01-12 2003-01-10 用于支持有线和无线客户端和服务器端认证的方法的机制

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN038021641A Expired - Fee Related CN1615632B (zh) 2002-01-12 2003-01-10 用于支持对有线和无线客户端的服务器端认证的方法、装置和系统

Country Status (8)

Country Link
US (1) US8601566B2 (zh)
CN (2) CN1615632B (zh)
AU (1) AU2003214827A1 (zh)
DE (1) DE10392208T5 (zh)
GB (1) GB2399480B (zh)
HK (1) HK1065196A1 (zh)
TW (1) TW200307439A (zh)
WO (1) WO2003061246A1 (zh)

Families Citing this family (104)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8020201B2 (en) 2001-10-23 2011-09-13 Intel Corporation Selecting a security format conversion for wired and wireless devices
US8601566B2 (en) 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication
US7376967B1 (en) 2002-01-14 2008-05-20 F5 Networks, Inc. Method and system for performing asynchronous cryptographic operations
AU2003226976A1 (en) * 2002-03-08 2003-09-22 Sony Ericsson Mobile Communications Ab Security protection for data communication
US7430755B1 (en) 2002-09-03 2008-09-30 Fs Networks, Inc. Method and system for providing persistence in a secure network access
US20040064691A1 (en) * 2002-09-26 2004-04-01 International Business Machines Corporation Method and system for processing certificate revocation lists in an authorization system
US7774831B2 (en) * 2002-12-24 2010-08-10 International Business Machines Corporation Methods and apparatus for processing markup language messages in a network
US7685631B1 (en) 2003-02-05 2010-03-23 Microsoft Corporation Authentication of a server by a client to prevent fraudulent user interfaces
ES2249680T3 (es) * 2003-05-27 2006-04-01 Siemens Aktiengesellschaft Procedimiento para la transmision de datos orientada a paquetes en redes de telecomunicaciones por medio de la conversion en un nodo intermedio de un protocolo de transmision sin conexion en un protocolo de transmision orientado a la conexion y viceversa.
JP4493653B2 (ja) * 2003-06-24 2010-06-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散型アプリケーション環境においてサーバを認証するための方法およびシステム
WO2005067199A1 (ja) * 2003-12-26 2005-07-21 Mitsubishi Denki Kabushiki Kaisha 被認証装置及び認証装置及び認証方法
WO2005083982A1 (en) * 2004-02-23 2005-09-09 Sinett Corporation Unified architecture for wired and wireless networks
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
US20050250472A1 (en) * 2004-05-04 2005-11-10 Silvester Kelan C User authentication using a wireless device
WO2006022469A1 (en) * 2004-08-25 2006-03-02 Electronics And Telecommunications Research Institute Method for security association negociation with extensible authentication protocol in wireless portable internet system
US20060095767A1 (en) * 2004-11-04 2006-05-04 Nokia Corporation Method for negotiating multiple security associations in advance for usage in future secure communication
KR100619960B1 (ko) * 2004-11-22 2006-09-08 엘지전자 주식회사 인터넷을 통한 디버깅 장치의 원격 제어 장치 및 방법
US8353011B2 (en) 2005-06-13 2013-01-08 Nokia Corporation Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA)
US8087069B2 (en) 2005-06-13 2011-12-27 Nokia Corporation Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)
US7836306B2 (en) * 2005-06-29 2010-11-16 Microsoft Corporation Establishing secure mutual trust using an insecure password
WO2007012584A1 (fr) * 2005-07-26 2007-02-01 France Telecom Procédé de contrôle de transactions sécurisées mettant en oeuvre un dispositif physique unique à bi-clés multiples, dispositif physique, système et programme d'ordinateur correspondants
EP1911194A1 (fr) * 2005-07-26 2008-04-16 France Télécom Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants
US8613071B2 (en) 2005-08-10 2013-12-17 Riverbed Technology, Inc. Split termination for secure communication protocols
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
US7984479B2 (en) * 2006-04-17 2011-07-19 International Business Machines Corporation Policy-based security certificate filtering
US10681151B2 (en) 2006-05-15 2020-06-09 Microsoft Technology Licensing, Llc Notification framework for wireless networks
KR101432326B1 (ko) * 2006-07-17 2014-08-20 퀄컴 인코포레이티드 호스트 가장 네트워크 디바이스 및 그의 방법
US8095787B2 (en) * 2006-08-21 2012-01-10 Citrix Systems, Inc. Systems and methods for optimizing SSL handshake processing
US8230214B2 (en) 2006-08-21 2012-07-24 Citrix Systems, Inc. Systems and methods for optimizing SSL handshake processing
US8352728B2 (en) 2006-08-21 2013-01-08 Citrix Systems, Inc. Systems and methods for bulk encryption and decryption of transmitted data
US8554830B2 (en) * 2006-09-06 2013-10-08 Devicescape Software, Inc. Systems and methods for wireless network selection
US8743778B2 (en) * 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US8196188B2 (en) * 2006-09-06 2012-06-05 Devicescape Software, Inc. Systems and methods for providing network credentials
US8191124B2 (en) * 2006-09-06 2012-05-29 Devicescape Software, Inc. Systems and methods for acquiring network credentials
US9326138B2 (en) * 2006-09-06 2016-04-26 Devicescape Software, Inc. Systems and methods for determining location over a network
US8549588B2 (en) * 2006-09-06 2013-10-01 Devicescape Software, Inc. Systems and methods for obtaining network access
US8194589B2 (en) * 2006-09-06 2012-06-05 Devicescape Software, Inc. Systems and methods for wireless network selection based on attributes stored in a network database
US8708227B1 (en) 2006-10-31 2014-04-29 United Services Automobile Association (Usaa) Systems and methods for remote deposit of checks
US7873200B1 (en) 2006-10-31 2011-01-18 United Services Automobile Association (Usaa) Systems and methods for remote deposit of checks
CN101212293B (zh) * 2006-12-31 2010-04-14 普天信息技术研究院 一种身份认证方法及系统
US7835723B2 (en) * 2007-02-04 2010-11-16 Bank Of America Corporation Mobile banking
US8799648B1 (en) * 2007-08-15 2014-08-05 Meru Networks Wireless network controller certification authority
US8266630B2 (en) * 2007-09-03 2012-09-11 International Business Machines Corporation High-performance XML processing in a common event infrastructure
US9058512B1 (en) 2007-09-28 2015-06-16 United Services Automobile Association (Usaa) Systems and methods for digital signature detection
US9159101B1 (en) 2007-10-23 2015-10-13 United Services Automobile Association (Usaa) Image processing
US20090113543A1 (en) * 2007-10-25 2009-04-30 Research In Motion Limited Authentication certificate management for access to a wireless communication device
US20090154701A1 (en) * 2007-12-17 2009-06-18 Kosaraju Ravi K On device number lock driven key generation for a wireless router in wireless network security systems
US10380562B1 (en) 2008-02-07 2019-08-13 United Services Automobile Association (Usaa) Systems and methods for mobile deposit of negotiable instruments
US8307203B2 (en) 2008-07-14 2012-11-06 Riverbed Technology, Inc. Methods and systems for secure communications using a local certification authority
US10504185B1 (en) 2008-09-08 2019-12-10 United Services Automobile Association (Usaa) Systems and methods for live video financial deposit
US20100263022A1 (en) * 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
JP5632380B2 (ja) * 2008-10-13 2014-11-26 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワークを識別するためのシステム及び方法
CN101420341B (zh) * 2008-12-08 2011-01-05 福建星网锐捷网络有限公司 嵌入式系统的处理器性能测试方法和装置
US9100222B2 (en) * 2008-12-31 2015-08-04 Sybase, Inc. System and method for mobile user authentication
US8452689B1 (en) 2009-02-18 2013-05-28 United Services Automobile Association (Usaa) Systems and methods of check detection
US10956728B1 (en) 2009-03-04 2021-03-23 United Services Automobile Association (Usaa) Systems and methods of check processing with background removal
US20100235625A1 (en) * 2009-03-13 2010-09-16 Ravi Kant Pandey Techniques and architectures for preventing sybil attacks
US9602499B2 (en) 2009-04-07 2017-03-21 F-Secure Corporation Authenticating a node in a communication network
GB2469287B (en) * 2009-04-07 2013-08-21 F Secure Oyj Authenticating a node in a communication network
US9779392B1 (en) 2009-08-19 2017-10-03 United Services Automobile Association (Usaa) Apparatuses, methods and systems for a publishing and subscribing platform of depositing negotiable instruments
US8977571B1 (en) 2009-08-21 2015-03-10 United Services Automobile Association (Usaa) Systems and methods for image monitoring of check during mobile deposit
US8699779B1 (en) 2009-08-28 2014-04-15 United Services Automobile Association (Usaa) Systems and methods for alignment of check during mobile deposit
CN101714982B (zh) * 2009-10-23 2017-03-29 中兴通讯股份有限公司 一种压缩版权的传输方法和系统
US9794248B2 (en) * 2009-12-23 2017-10-17 Symantec Corporation Alternative approach to deployment and payment for digital certificates
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US9129340B1 (en) 2010-06-08 2015-09-08 United Services Automobile Association (Usaa) Apparatuses, methods and systems for remote deposit capture with enhanced image detection
CN102035838B (zh) * 2010-12-07 2014-02-19 中国科学院软件研究所 一种基于平台身份的信任服务连接方法与信任服务系统
EP2676399A4 (en) 2011-02-14 2016-02-17 Devicescape Software Inc SYSTEMS AND METHODS FOR NETWORK CARE
US9998545B2 (en) * 2011-04-02 2018-06-12 Open Invention Network, Llc System and method for improved handshake protocol
WO2013014609A1 (en) * 2011-07-25 2013-01-31 Koninklijke Philips Electronics N.V. Methods, devices and systems for establishing end-to-end secure connections and for securely communicating data packets
JP5673952B2 (ja) * 2011-08-29 2015-02-18 セイコーインスツル株式会社 データ証明システム、クライアント装置、公開サーバおよびデータ証明方法
US9330188B1 (en) 2011-12-22 2016-05-03 Amazon Technologies, Inc. Shared browsing sessions
CN102420692A (zh) * 2011-12-28 2012-04-18 广州杰赛科技股份有限公司 一种基于云计算的客户终端USBKey安全认证方法及其系统
US10380565B1 (en) 2012-01-05 2019-08-13 United Services Automobile Association (Usaa) System and method for storefront bank deposits
US9374244B1 (en) * 2012-02-27 2016-06-21 Amazon Technologies, Inc. Remote browsing session management
US9152800B2 (en) * 2012-05-03 2015-10-06 Dell Products L.P. Pluggable cryptography
CN103546421B (zh) * 2012-07-10 2016-08-24 河北省电子认证有限公司 基于pki技术的网络工作交流安全保密系统及其实现方法
US9009465B2 (en) * 2013-03-13 2015-04-14 Futurewei Technologies, Inc. Augmenting name/prefix based routing protocols with trust anchor in information-centric networks
US9602537B2 (en) * 2013-03-15 2017-03-21 Vmware, Inc. Systems and methods for providing secure communication
CN104348846A (zh) * 2013-07-24 2015-02-11 航天信息股份有限公司 基于wpki实现云存储系统数据通信安全的方法和系统
CN104348870A (zh) * 2013-08-02 2015-02-11 航天信息股份有限公司 基于可信时间戳的云存储系统的数据管理方法和系统
US9286514B1 (en) 2013-10-17 2016-03-15 United Services Automobile Association (Usaa) Character count determination for a digital image
CN104579662B (zh) * 2013-10-21 2018-11-13 航天信息股份有限公司 基于wpki和时间戳的移动终端身份认证方法和系统
CN103646201A (zh) * 2013-12-09 2014-03-19 东南大学 一种人脸组合身份验证方法
CN104811421A (zh) * 2014-01-24 2015-07-29 中辉世纪传媒发展有限公司 基于数字版权管理的安全通信方法及装置
US10454919B2 (en) * 2014-02-26 2019-10-22 International Business Machines Corporation Secure component certificate provisioning
US9419799B1 (en) * 2014-08-22 2016-08-16 Emc Corporation System and method to provide secure credential
US9875344B1 (en) * 2014-09-05 2018-01-23 Silver Peak Systems, Inc. Dynamic monitoring and authorization of an optimization device
CN105592051A (zh) * 2015-09-08 2016-05-18 杭州华三通信技术有限公司 安全套接字层ssl会话建立方法和装置
US10506281B1 (en) 2015-12-22 2019-12-10 United Services Automobile Association (Usaa) System and method for capturing audio or video data
CN106921481A (zh) * 2015-12-28 2017-07-04 航天信息股份有限公司 一种基于pki的租户划分及权限认证的系统和方法
KR101772553B1 (ko) * 2015-12-29 2017-08-30 주식회사 코인플러그 파일에 대한 공증 및 검증을 수행하는 방법 및 서버
CA3010645A1 (en) 2016-01-07 2017-07-13 Genetec Inc. Network sanitization for dedicated communication function and edge enforcement
CN105931327A (zh) * 2016-04-15 2016-09-07 广东京奥信息科技有限公司 一种门禁监控方法及系统
EP3485663B1 (en) 2016-07-18 2021-01-13 Telefonaktiebolaget LM Ericsson (PUBL) Remote provision of a subscriber entity
US9667619B1 (en) * 2016-10-14 2017-05-30 Akamai Technologies, Inc. Systems and methods for utilizing client side authentication to select services available at a given port number
GB2561822B (en) 2017-04-13 2020-02-19 Arm Ip Ltd Reduced bandwidth handshake communication
US11030752B1 (en) 2018-04-27 2021-06-08 United Services Automobile Association (Usaa) System, computing device, and method for document detection
US10868677B2 (en) * 2018-06-06 2020-12-15 Blackberry Limited Method and system for reduced V2X receiver processing load using certificates
US10475038B1 (en) 2018-11-26 2019-11-12 Capital One Services, Llc Systems and methods for visual verification
CN110135149A (zh) * 2019-05-13 2019-08-16 深圳大趋智能科技有限公司 一种应用安装的方法及相关装置
US11968293B2 (en) * 2020-11-18 2024-04-23 International Business Machines Corporation Private key management
US11900755B1 (en) 2020-11-30 2024-02-13 United Services Automobile Association (Usaa) System, computing device, and method for document detection and deposit processing
US11669639B2 (en) * 2021-02-25 2023-06-06 Dell Products L.P. System and method for multi-user state change

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1083722A2 (de) * 1999-09-07 2001-03-14 Swisscom AG Verfahren, System und Gateway, die einen End-zu-End gesicherten Zugriff auf WAP-Dienste erlauben

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5699431A (en) * 1995-11-13 1997-12-16 Northern Telecom Limited Method for efficient management of certificate revocation lists and update information
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US6751221B1 (en) * 1996-10-04 2004-06-15 Kabushiki Kaisha Toshiba Data transmitting node and network inter-connection node suitable for home network environment
US6035402A (en) * 1996-12-20 2000-03-07 Gte Cybertrust Solutions Incorporated Virtual certificate authority
US5982898A (en) * 1997-03-07 1999-11-09 At&T Corp. Certification process
US6473406B1 (en) * 1997-07-31 2002-10-29 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
US6125349A (en) * 1997-10-01 2000-09-26 At&T Corp. Method and apparatus using digital credentials and other electronic certificates for electronic transactions
US6243010B1 (en) * 1998-01-08 2001-06-05 Pittway Corp. Adaptive console for augmenting wireless capability in security systems
US6230269B1 (en) * 1998-03-04 2001-05-08 Microsoft Corporation Distributed authentication system and method
US6092202A (en) * 1998-05-22 2000-07-18 N*Able Technologies, Inc. Method and system for secure transactions in a computer system
US6931526B1 (en) * 1998-06-04 2005-08-16 International Business Machines Corporation Vault controller supervisor and method of operation for managing multiple independent vault processes and browser sessions for users in an electronic business system
US6684332B1 (en) * 1998-06-10 2004-01-27 International Business Machines Corporation Method and system for the exchange of digitally signed objects over an insecure network
US6539237B1 (en) 1998-11-09 2003-03-25 Cisco Technology, Inc. Method and apparatus for integrated wireless communications in private and public network environments
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
KR100414648B1 (ko) 1998-12-28 2004-01-07 엔티티 도꼬모 인코퍼레이티드 통신제어방법, 통신방법, 서버장치, 단말기, 중계장치 및 통신시스템
US7237261B1 (en) * 1999-09-07 2007-06-26 Swisscom Ag Method, system and gateway allowing secured end-to-end access to WAP services
US6289460B1 (en) * 1999-09-13 2001-09-11 Astus Corporation Document management system
US6571221B1 (en) * 1999-11-03 2003-05-27 Wayport, Inc. Network communication service with an improved subscriber model using digital certificates
EP1172985B1 (en) * 2000-02-17 2004-12-08 Mitsubishi Denki Kabushiki Kaisha Method and apparatus for protocol conversion
US7055171B1 (en) * 2000-05-31 2006-05-30 Hewlett-Packard Development Company, L.P. Highly secure computer system architecture for a heterogeneous client environment
FI112150B (fi) * 2000-07-24 2003-10-31 Stonesoft Oyj Tietoliikenteen ohjausmenetelmä
TW513883B (en) * 2000-08-03 2002-12-11 Telepaq Technology Inc A secure transaction mechanism system and method integrating wireless communication and wired communication
US20020146129A1 (en) * 2000-11-09 2002-10-10 Kaplan Ari D. Method and system for secure wireless database management
US7127742B2 (en) * 2001-01-24 2006-10-24 Microsoft Corporation Establishing a secure connection with a private corporate network over a public network
US20020133598A1 (en) * 2001-03-16 2002-09-19 Strahm Frederick William Network communication
US20020178365A1 (en) * 2001-05-24 2002-11-28 Shingo Yamaguchi Method and system for controlling access to network resources based on connection security
US20030046532A1 (en) * 2001-08-31 2003-03-06 Matthew Gast System and method for accelerating cryptographically secured transactions
US7840494B2 (en) * 2001-09-12 2010-11-23 Verizon Business Global Llc Systems and methods for monetary transactions between wired and wireless devices
US8020201B2 (en) 2001-10-23 2011-09-13 Intel Corporation Selecting a security format conversion for wired and wireless devices
US8601566B2 (en) 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1083722A2 (de) * 1999-09-07 2001-03-14 Swisscom AG Verfahren, System und Gateway, die einen End-zu-End gesicherten Zugriff auf WAP-Dienste erlauben

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Eun-Kyeong Kwon, Yong-Gu Cho, Ki-Joon Chae.《Integrated Transport Layer Security: End-to-End Security Model between WTLS and TLS》.《IEEE》.2001,文章第1-4章,图3. *

Also Published As

Publication number Publication date
US20030097592A1 (en) 2003-05-22
GB2399480B (en) 2005-12-21
TW200307439A (en) 2003-12-01
GB2399480A (en) 2004-09-15
HK1065196A1 (en) 2005-02-08
CN1615632B (zh) 2011-03-23
GB0415250D0 (en) 2004-08-11
WO2003061246A1 (en) 2003-07-24
US8601566B2 (en) 2013-12-03
AU2003214827A1 (en) 2003-07-30
CN1615632A (zh) 2005-05-11
CN102143160A (zh) 2011-08-03
DE10392208T5 (de) 2004-12-23

Similar Documents

Publication Publication Date Title
CN102143160B (zh) 用于支持有线和无线客户端和服务器端认证的方法的机制
CN100508517C (zh) 选择用于有线和无线设备的安全格式转换
RU2638741C2 (ru) Способ и система аутентификации пользователя посредством мобильного устройства с применением сертификатов
CN1753359B (zh) 实现传输SyncML同步数据的方法
CN1885771B (zh) 用于建立安全通信会话的方法与装置
EP1312191B1 (en) Method and system for authentification of a mobile user via a gateway
JP4632315B2 (ja) グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム
CN101120569B (zh) 用户从用户终端远程访问终端设备的远程访问系统和方法
CN100574184C (zh) 用于在计算机系统之间建立用于传递消息的安全上下文的方法和设备
US8532620B2 (en) Trusted mobile device based security
CA2427699C (en) A system and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
AU2006298507B2 (en) Method and arrangement for secure autentication
JP4913044B2 (ja) ネットワークを用いて送り側と受け側との間でデータを暗号化し移送する方法
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
EP1147637A1 (en) Seamless integration of application programs with security key infrastructure
JP4130809B2 (ja) 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
CN1842993A (zh) 提供证书
KR100850506B1 (ko) 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법
Arnedo-Moreno et al. Secure communication setup for a P2P-based JXTA-overlay platform
EP1623551B1 (en) Network security method and system
KR101962349B1 (ko) 인증서 기반 통합 인증 방법
KR100697344B1 (ko) 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템
CN106464684B (zh) 业务处理方法及装置
KR100366403B1 (ko) 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템
US20240064137A1 (en) Decentralized edge node authentication

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140115

Termination date: 20160110

CF01 Termination of patent right due to non-payment of annual fee