CN102196375B - 保护带外消息 - Google Patents
保护带外消息 Download PDFInfo
- Publication number
- CN102196375B CN102196375B CN201110040559.3A CN201110040559A CN102196375B CN 102196375 B CN102196375 B CN 102196375B CN 201110040559 A CN201110040559 A CN 201110040559A CN 102196375 B CN102196375 B CN 102196375B
- Authority
- CN
- China
- Prior art keywords
- computing device
- mobile computing
- shared secret
- channel
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/58—Message adaptation for wireless communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
保护自服务器到移动计算设备的带外消息。在向可信第三方(例如,经由预先存在的权证基础结构)请求服务权证之后,经由第一信道从该可信第三方获得所请求的服务权证和共享秘密。此后,移动计算设备经由第二信道将具有共享秘密的服务权证发送给服务器。服务器使用共享秘密对消息(例如,SMS消息)进行加密。移动计算设备经由相对于第一信道是带外的第三信道从服务器接收经加密的消息。经加密的消息经由共享秘密来解密,并且将经解密的消息提供给移动计算设备的用户。在某些实施例中,该消息包括用于控制移动计算设备的命令。
Description
技术领域
本发明涉及通信领域,尤其涉及通信领域中的短消息服务。
背景
短消息服务(SMS)是允许移动计算设备之间的短消息交换的通信协议。SMS文本消息收发已成为许多商业和个人情形中最广泛使用的通信工具之一,在这些情形中数十亿活动用户在其移动计算设备上发送和接收文本消息。然而,至少由于蜂窝通信的窃听设备的日益可用,SMS消息变得更易于遭受窃听、欺骗以及其他恶意攻击。结果,保护SMS通信不受他方窃听、截取和修改的危险受到用户的日益关注。
概述
本发明的各实施例保护从服务器发送给客户机的带外消息。在客户机对服务权证的请求之后,可信第三方向客户机提供包括服务权证的共享秘密。此后,客户机将具有共享秘密的服务权证发送给服务器。服务器用共享秘密来加密消息,并且将经加密的消息发送给客户机。客户机使用共享秘密来解密经加密的消息以便获得来自服务器的消息。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图简述
图1是示出可信第三方将服务权证和共享秘密提供给移动计算设备的示例性框图。
图2是一移动计算设备的示例性框图,所述移动计算设备具有存储用于验证从服务器发送的短消息服务(SMS)消息的真实性的组件的存储器区域。
图3是示出经由共享秘密来保护SMS消息的过程的示例性流程图。
图4是示出保护从服务器发送给移动计算设备的SMS消息的过程的示例性序列图。
在附图中,对应的附图标记指示对应的部分。
详细描述
参考附图并具体参考图1所示的系统100,本发明的各实施例使得可信第三方108能够保持对共享秘密的控制,服务器106和客户机102使用该共享秘密对经由带外信道在服务器106和客户机102之间发送的消息(例如,短消息服务(SMS)消息,多媒体消息收发服务(MMS)消息、或类似的电信消息收发服务)进行加密和解密。经加密的消息可用于控制移动计算设备(例如,移动计算设备202)。例如,经加密的消息可重新引导、安装/更新软件,锁定移动计算设备,解锁移动通信设备,激活与移动计算设备相关联的某些特征,启用/禁用与移动计算设备相关联的特征,等等。本发明使得客户机102能够经由第一信道将对服务权证的请求发送给可信第三方108。例如,使用预先存在的权证基础结构来发生对服务权证的请求。在发送请求之后,可信第三方108向客户机102提供包括与所请求的服务权证相关联的共享秘密的服务权证。此后,客户机102经由第二信道将具有共享秘密的服务权证发送给服务器106。服务器106利用客户机102提供给服务器106的共享秘密对SMS消息进行加密,并且经由第三信道将SMS消息发送给客户机102。第三信道是相对于第一信道和第二信道的带外信道。例如,第三信道表示不同的通信模式或协议。客户机102利用可信第三方108提供给客户机102的共享秘密对经加密的SMS消息进行解密。
通过使用共享秘密,保护了包含控制移动计算设备的指令的消息。例如,本发明的各方面防止恶意第三方向移动计算设备发送指令、命令或软件元素(例如,仅举数例,不期望的参数改变、个人信息检取、病毒代码下载)。
再次参考图1,客户机102经由网络104被连接到服务器106和可信第三方108。尽管系统100具有到无线网络的特定应用程序,但客户机102、服务器106和可信第三方108之间的其他通信信道是可能的。作为示例,服务器106可通过局域网、或诸如陆基线或无线电话连接的直接通信与客户机102通信。由此,虽然图1示出了经由网络104的通信,但这只是出于说明性目的且不旨在限制本发明。在一个实施例中,客户机102和网络104之间的无线链接可包含一个或多个不同的信道,诸如一个或多个带内信道(例如,第一和第二信道)以及一个或多个带外信道(例如,第三信道)。系统100还可包括可提供去往和来自服务器106和客户机102的SMS消息的短消息服务中心。在某些实施例中,服务器106是对等计算设备并且客户机102(例如,移动计算设备)和对等计算设备具有对等关系。
在某些实施例中,可信第三方108是预先存在的权证基础结构的一部分。在这一基础结构中,可信第三方108存储、访问、或生成和要在客户机102和服务器106之间交换的某些动作和/或信息相对应的一个或多个共享秘密。此外,可信第三方108存储、访问、或生成在客户机102请求服务权证中的一个之后要发送给客户机102的一个或多个服务权证。如以下将进一步详细描述的,在客户机102请求服务权证的同时将具有共享秘密的服务权证发送给客户机102,该共享秘密此后被用于对服务器106经由带外信道发送的消息进行加密和解密。客户机102和服务器106的每一个达成协定来使用可信第三方108,并且可信第三方108进而提供处理可信第三方108所存储的或可访问的共享秘密的请求。
接着参考图2,示例性框图示出了移动计算设备202(诸如客户机设备102),该移动计算设备具有存储器区域204、至少一个处理器208和显示器206。显示器206可以是例如与移动计算设备202分开的显示设备、集成到移动计算设备202中(诸如集成在移动电话中)的显示器、电容触摸屏显示器或非电容显示器。还可以在显示器206中提供用户输入功能,其中显示器206担当诸如触摸屏中的用户输入选择设备。
尽管参考移动计算设备202示出并且描述了本发明的各实施例,但本发明的各方面可以用执行本文示出并且描述的功能的任何设备或其等价物来操作。例如,本发明的实施例可用于上网本、台式计算设备、膝上型计算机、便携式游戏控制台和其他计算设备。
在某些实施例中,存储器区域204还存储一个或多个计算机可执行组件。示例性组件包括但不限于接口组件210、存储器组件212、以及解密组件216。虽然这些组件被示为存储在存储器区域204中,但这些组件可被存储在远离移动计算设备202的存储器区域中并从该存储器区域执行。例如,这些组件可由云服务来存储,并且这些组件的执行的输出可被提供给移动计算设备202。这些实施例减轻了移动计算设备202上的计算和存储负担。
接口设备210在被处理器208执行时使得处理器208与服务器106和可信第三方108通信。例如,接口组件210向可信第三方108请求服务权证。在一个实施例中,接口组件210包括用于经由键盘、触摸屏、鼠标或其他用户输入选择设备来从用户接收用户输入的一个或多个用户接口。由此,接口组件120可接收指示什么信息/请求被发送给服务器106的直接用户输入。在作出请求之后,或在某些实施例中在请求的同时,接口组件210从可信第三方108经由第一信道(例如,TCP信道)接收所请求的服务权证,所述所请求的服务权证具有对应的共享秘密。接口组件210还经由第二信道(例如,另一TCP信道)将具有共享秘密的服务权证发送给服务器106。
存储器组件212在被处理器208执行时使得处理器208将共享秘密存储在存储器区域204中。在某些实施例中,共享秘密(以及服务权证)在预定时间量之后到期,并且例如随着每一后续服务权证请求而获得另一共享秘密。存储器组件212还存储经由第三信道(例如,SMS服务)从服务器106接收的经加密的短消息收发服务(SMS)消息。第三信道相对于第一信道和第二信道是带外的。例如,经加密的消息可包含客户机102上的安全更新或特定应用程序的更新。
解密组件216在被处理器208执行时使得处理器208经由共享秘密对经加密的SMS消息进行解密。如以下将解释的,本发明的各实施例利用对称的加密密钥对消息(例如,SMS消息)进行加密和解密。对称的加密密钥可由服务器106或客户机102通过使用共享秘密来创建。
在各实施例中,处理器208通过执行计算机可执行指令或通过以其他方式编程来变换成专用微处理器。例如,处理器208用诸如接下来在图3中示出的指令来编程。
现在参考图3,示例性流程图示出了保护经由带外信道从服务器106到客户机102(例如,移动计算设备202)的消息(例如,SMS消息)。虽然参考移动计算设备202和服务器106来描述,但图3所示的操作可适用于除了移动计算设备和服务器之外的计算设备。
在302,客户机102经由第一信道(例如,客户机102经由移动计算设备202)向可信第三方108请求服务权证。例如,用户可登录到移动计算设备202或另一计算设备上的应用程序,并且请求要发送给服务提供者(例如,服务器106)的服务权证,该服务权证可以是或可以不是加密的。在某些实施例中,第一信道是安全的(例如,安全套接字层),并且移动计算设备202向可信第三方108认证(例如,提供密码)。
在一个实施例中,在带内信道(例如,诸如TCP信道的第一信道)上向存储所请求的服务权证的可信第三方108作出对服务权证的请求。在请求服务权证之后,在304,移动计算设备202从可信第三方108接收所请求的服务权证,所述所请求的服务权证具有相对应的共享秘密。经由第一信道接收具有共享秘密的服务权证。在移动计算设备202当请求服务权证时向可信第三方108认证的实施例中,服务权证可将移动计算设备202的标识符包括在所返回的服务权证中。
移动计算设备202将所获得的具有共享密钥的服务权证发送给服务器106。服务权证可在其中包括移动计算设备202的标识符。在某些实施例中,在移动计算设备202接收具有共享秘密的服务权证之后,共享秘密被自动地发送给服务器106。在其他实施例中,在移动计算设备202接收服务权证的时间之后的某一时间,移动计算设备202将具有共享秘密的服务权证发送给服务器106。在305,移动计算设备202经由第二信道(例如,另一TCP信道)将所获得的具有共享秘密的服务权证发送给服务器106。在任一示例中,第一信道和第二信道与随后用于将消息从服务器106发送给移动计算设备202的信道(例如,第三信道)不同。
在306,将服务器106使用共享秘密所加密的SMS消息从服务器106发送给移动计算设备202。经加密的消息可以是经请求的或未经请求的。经加密的消息是经由相对于用于获得服务权证的信道而被考虑为带外的(例如,相对于预先存在的权证基础结构是带外的)信道从服务器106发送到移动计算设备202的。例如,在移动计算设备202经由第一信道(例如,TCP信道)将服务权证发送给服务器106的实施例中,经由第三信道(例如,SMS信道)发送经加密的消息。
在314,移动计算设备202经由共享秘密对经加密的消息进行解密,在316,将经解密的消息提供给移动计算设备202的用户。在某些实施例中,将经解密的消息提供给移动计算设备202上的组件(例如,操作系统、应用程序等)以便启动对经解密的消息内的数据的处理。例如,数据可包括用于在移动计算设备202上执行的诸如擦拭、锁定、解锁、安装软件等命令。
服务器106和移动计算设备202之间例如经由SMS通知系统的通信向设计SMS格式呈现挑战,因为发送的每个SMS消息直接影响操作成本。因此,SMS消息被加密和编码以便有效使用SMS消息收发中160字符的限制。由此,本发明的各实施例针对可能阅读消息、更改消息以及重新发送消息的攻击者进行保护。
服务器106可经由共享秘密以不同方式来加密消息。例如,由于移动计算设备202和服务器106两者都从共享秘密导出加密密钥,因此服务器106(或附加的可信方)使用共享秘密来导出对称加密算法的加密密钥。在某些实施例中,可使用AES192增强加密算法来加密。在这一示例中,使用来自advapi32.dll的CryptDeriveKey从以单词ENCRYPT(加密)为前缀的共享秘密的SHA256散列导出加密密钥。例如,SMS消息可使用HMACSHA256散列算法在加密之前计算来自消息组件的散列,由于在操作继续行进之前该散列被验证,从而防止了攻击者更改SMS消息。在这一实施例中,HMAC的128位密钥从以单词HASH(散列)为前缀的共享秘密的SHA256散列导出,并且使用RC4加密算法导出。SMS消息的内容是64基(Base64)编码的,以便将其转换成用于发送的标准ASCII格式。在这一实施例中,纯文本前缀被附连到SMS消息的前面,使得移动计算设备202的应用程序可在所发送的SMS消息之间进行区分。
现在参考以下表1来解释示例性加密的SMS消息的格式。由于每一分隔符自身占据整个字符,因此经加密的SMS消息的以下示例性格式避免了每一消息组件之间的分隔符使用。每一组件是固定长度的字节,这使得客户机102(例如,移动计算设备202)能够安全地假定哪些字节表示哪些数据。尽管构想了其他结构,但经加密的SMS消息的结构如下:
SMS= [前缀][编码的数据]
编码的数据=[序列号][编码的数据]
编码的数据=[散列][版本][动作代码][请求ID][时间戳][数据]
数据=由动作的类型定义
下面的表1描述了以上元素的每一个。
表1.对示例性SMS消息结构的元素的描述。
现在参考图4,现在描述本文示出和提供的操作的示例性实现。在402,服务器106向可信第三方108注册,并且将与服务器106相关联的公钥提供给服务器106和可信第三方108的每一个。在404,移动计算设备202通过安全套接字层(SSL)向可信第三方108请求服务权证。在某些实施例中,移动计算设备202使用预先存在的权证基础结构来请求该服务权证。在406,可信第三方108生成对称密钥/共享秘密。可信第三方108将对称密钥/共享秘密添加到所请求的服务权证中,用与服务器106相关联的公钥对所请求的服务权证进行加密,并且将对称密钥/共享秘密附连到所请求的服务权证。在408,将包括所请求的服务权证和被附连到所请求的服务权证的对称密钥/共享秘密的回复发送给移动计算设备202。在410,将对称密钥/共享秘密存储在移动计算设备202中。在412,将所请求的服务权证从移动计算设备202发送给服务器106。在414,服务器106经由与服务器108相关联且对应于该公钥的私钥对所请求的服务权证进行验证和解密。服务器108随后从所请求的服务权证中提取对称密钥/共享秘密,以及在416存储对称密钥/共享秘密以便用对称密钥/共享秘密对SMS消息进行加密。在418,将经加密的SMS消息从服务器106发送给移动计算设备202。在420,为了确保服务器106发送了经加密的SMS消息,移动计算设备202通过用对称密钥/共享秘密对经加密的SMS消息进行解密来验证经加密的SMS消息。
示例性操作环境
诸如此处所描述的计算机或计算设备具有硬件,包括例如一个或多个处理器或处理单元、系统存储器和某种形式的计算机可读介质。作为示例而非限制,计算机可读介质包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性与非易失性、可移动与不可移动介质。示例性计算机存储介质包括但不限于数字多功能盘(DVD)、紧致盘(CD)、磁带盒、或软盘通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
计算机可使用至一个或多个远程计算机,如远程计算机的逻辑连接在网络化环境中操作。尽管结合示例性计算系统环境进行了描述,但本发明的各实施例可用于众多其它通用或专用计算系统环境或配置。计算系统环境并非旨在对本发明的任何方面的使用范围或功能提出任何限制。此外,计算机环境也不应被解释成对于示例性操作环境中所示出的任一组件或其组合有任何依赖或要求。适用于本发明的各方面的公知的计算系统、环境和/或配置的示例包括,但不仅限于:个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、移动电话、网络PC、小型计算机、大型计算机、包括上面的系统或设备的中的任何一种的分布式计算环境等等。
可以在由一台或多台计算机或其他设备作为软件来执行的诸如程序模块之类的计算机可执行的指令的一般上下文中来描述本发明的各实施例。计算机可执行指令可以被组织成一个或多个计算机可执行组件或模块。一般而言,程序模块包括,但不限于,执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件,以及数据结构。可以利用任何数量的这样的组件或模块及其组织来实现本发明的各方面。例如,本发明的各方面不仅限于附图中所示出并且在此处所描述的特定计算机可执行指令或特定组件或模块。本发明的其他实施例可以包括具有比此处所示出和描述的功能更多或更少功能的不同的计算机可执行指令或组件。本发明的各方面也可以在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。
此处所示出和描述的各实施例以及此处未具体描述但在本发明的各方面的范围内的各实施例构成用于保护服务器经由带外信道发送给移动计算设备的消息的示例性手段,以及用于经由预先存在的权证基础结构来获得共享秘密的示例性手段。
此处所示出和描述的本发明的各实施例中的操作的执行或实现的顺序不是必需的,除非另外指定。即,除非另外指定,否则操作可以按任何顺序执行,且本发明的各实施例可以包括比此处所公开的操作更多或更少的操作。例如,构想了在一个操作之前、同时或之后执行另一个操作是在本发明的各方面的范围之内的。
当介绍本发明的各方面的元素或其实施例时,冠词“一”、“一个”、“该”、“所述”旨在表示有元素中的一个或多个。术语“包括”、“包含”以及“具有”旨在是包含性的,并意味着除所列出的元素以外还可以有额外的元素。
已经详细地描述了本发明的各方面,显然,在不偏离所附权利要求书所定义的本发明的各方面的范围的情况下,可以进行各种修改和变化。在不偏离本发明的各方面的范围的情况下,可以对上面的构造、产品以及方法作出各种更改,上面的描述中所包含的和各个附图中所示出的所有主题应该解释为说明性的,而不是限制性的。
Claims (15)
1.一种用于保护从服务器(106)到移动计算设备(202)的消息的系统,所述系统包括:
存储器区域(204),所述存储器区域用于存储共享秘密;以及
处理器(208),所述处理器被编程为:
经由第一信道向可信第三方(108)请求服务权证;
经由所述第一信道接收来自所述可信第三方(108)的所述服务权证和所述共享秘密;
将所述共享秘密存储在所述存储器区域(204);
经由第二信道将具有所述共享秘密的服务权证发送给所述服务器(106),所述服务权证包括所述移动计算设备的标识符;
经由相对于所述第一信道和所述第二信道是带外的第三信道接收来自所述服务器(106)的经加密的消息,其中所述消息通过所述共享秘密来加密;
使用所述共享秘密对所述经加密的消息进行解密,其中经解密的消息包括用于在所述移动计算设备(202)上执行的至少一个命令;以及
处理所述移动计算设备(202)上的命令。
2.如权利要求1所述的系统,其特征在于,所述处理器还被编程为从所述服务器接收所述共享秘密和所述经加密的消息。
3.如权利要求2所述的系统,其特征在于,所述处理器还被编程为经由预先存在的权证基础结构向所述可信第三方请求所述服务权证。
4.如权利要求1所述的系统,其特征在于,所述处理器还被编程为向所述可信第三方认证所述移动计算设备。
5.如权利要求1所述的系统,其特征在于,还包括用于保护所述服务器经由带外信道发送给所述移动计算设备的消息的装置。
6.如权利要求1所述的系统,其特征在于,还包括用于经由预先存在的权证基础结构来获得所述共享秘密的装置。
7.如权利要求1所述的系统,其特征在于,所述命令包括以下操作的一个或多个:重新引导所述移动计算设备,安装/更新所述移动计算设备上的软件,锁定所述移动计算设备,解锁所述移动计算设备,激活与所述移动计算设备相关联的特定特征,启用/禁用与所述移动计算设备相关联的特征。
8.如权利要求1所述的系统,其特征在于,加密的格式包括[前缀][编码的数据]。
9.一种用于保护从服务器到移动计算设备的消息方法,包括:
由移动计算设备(202)经由第一传输控制协议(TCP)信道向可信第三方(108)请求服务权证;
经由所述第一TCP信道获得来自所述可信第三方(108)的所请求的服务权证和共享秘密;
由所述移动计算设备(202)经由第二TCP信道将具有所述共享秘密的服务权证发送给服务器(106),所述服务权证包括所述移动计算设备的标识符;
经由短消息服务(SMS)信道接收来自所述服务器(106)的经加密的SMS消息,其中所述服务器(106)经由所述共享秘密对所述SMS消息进行加密;
经由所述共享秘密对所述经加密的SMS消息进行解密;以及
将经解密的SMS消息提供给所述移动计算设备(202)的用户。
10.如权利要求9所述的方法,其特征在于,所述经加密的SMS消息不大于160个字符。
11.如权利要求9所述的方法,其特征在于,还包括从所述服务器获得所述共享秘密和所述经加密的SMS消息。
12.如权利要求11所述的方法,其特征在于,还包括向所述可信第三方认证所述移动计算设备。
13.如权利要求12所述的方法,其特征在于,经由所述第一TCP信道向所述可信第三方请求所述服务权证包括:在预先存在的权证基础结构中经由所述第一TCP信道向所述可信第三方请求所述服务权证。
14.如权利要求9所述的方法,其特征在于,在作出对所述服务权证的请求之后所述服务器从所述可信第三方接收所述共享秘密,并且所述服务器将与所述服务权证一起接收的共享秘密与从所述可信第三方接收的所述共享秘密相比较。
15.如权利要求9所述的方法,其特征在于,一种或多种计算机可读介质具有计算机可执行组件,所述组件包括:
接口组件,所述接口组件当由至少一个处理器执行时使得所述至少一个处理器将服务权证请求发送给可信第三方、经由第一信道从所述可信第三方接收具有共享秘密的所请求的服务权证、并且经由第二信道将所述服务权证和所述共享秘密发送给服务器;
存储器组件,所述存储器组件当由至少一个处理器执行时使得所述一个处理器存储所述共享秘密,并且存储经由相对于所述第一信道和所述第二信道是带外的第三信道从服务器接收的经加密的短消息收发服务(SMS)消息;以及
解密组件,所述解密组件当由至少一个处理器执行时使得所述至少一个处理器经由所述共享秘密对所述经加密的SMS消息进行解密。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/702,632 | 2010-02-09 | ||
US12/702,632 US8447970B2 (en) | 2010-02-09 | 2010-02-09 | Securing out-of-band messages |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102196375A CN102196375A (zh) | 2011-09-21 |
CN102196375B true CN102196375B (zh) | 2014-06-25 |
Family
ID=44354596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110040559.3A Active CN102196375B (zh) | 2010-02-09 | 2011-02-09 | 保护带外消息 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8447970B2 (zh) |
CN (1) | CN102196375B (zh) |
Families Citing this family (65)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7343413B2 (en) | 2000-03-21 | 2008-03-11 | F5 Networks, Inc. | Method and system for optimizing a network by independently scaling control segments and data flow |
US20090307140A1 (en) | 2008-06-06 | 2009-12-10 | Upendra Mardikar | Mobile device over-the-air (ota) registration and point-of-sale (pos) payment |
US8543091B2 (en) * | 2008-06-06 | 2013-09-24 | Ebay Inc. | Secure short message service (SMS) communications |
US10721269B1 (en) | 2009-11-06 | 2020-07-21 | F5 Networks, Inc. | Methods and system for returning requests with javascript for clients before passing a request to a server |
US8806190B1 (en) | 2010-04-19 | 2014-08-12 | Amaani Munshi | Method of transmission of encrypted documents from an email application |
US10015286B1 (en) * | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
US8347100B1 (en) | 2010-07-14 | 2013-01-01 | F5 Networks, Inc. | Methods for DNSSEC proxying and deployment amelioration and systems thereof |
US9253168B2 (en) * | 2012-04-26 | 2016-02-02 | Fitbit, Inc. | Secure pairing of devices via pairing facilitator-intermediary device |
WO2012058643A2 (en) | 2010-10-29 | 2012-05-03 | F5 Networks, Inc. | System and method for on the fly protocol conversion in obtaining policy enforcement information |
US10135831B2 (en) | 2011-01-28 | 2018-11-20 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
US8984295B2 (en) * | 2011-03-31 | 2015-03-17 | Echostar Technologies L.L.C. | Secure access to electronic devices |
US8862767B2 (en) | 2011-09-02 | 2014-10-14 | Ebay Inc. | Secure elements broker (SEB) for application communication channel selector optimization |
WO2012163043A1 (zh) | 2011-11-09 | 2012-12-06 | 华为技术有限公司 | 一种保护云中数据安全的方法、装置及系统 |
US9270766B2 (en) | 2011-12-30 | 2016-02-23 | F5 Networks, Inc. | Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof |
US10230566B1 (en) | 2012-02-17 | 2019-03-12 | F5 Networks, Inc. | Methods for dynamically constructing a service principal name and devices thereof |
EP2853074B1 (en) | 2012-04-27 | 2021-03-24 | F5 Networks, Inc | Methods for optimizing service of content requests and devices thereof |
US9285981B1 (en) | 2012-07-16 | 2016-03-15 | Wickr Inc. | Discouraging screen capture |
US9002334B2 (en) * | 2013-03-13 | 2015-04-07 | Cequint, Inc. | Systems and methods for delivering multimedia information to mobile devices |
ES2627976T3 (es) * | 2013-04-19 | 2017-08-01 | Kapsch Trafficcom Ag | Procedimiento para la carga de una unidad de a bordo con un tique electrónico |
US9866591B1 (en) | 2013-06-25 | 2018-01-09 | Wickr Inc. | Enterprise messaging platform |
US10567349B2 (en) | 2013-06-25 | 2020-02-18 | Wickr Inc. | Secure time-to-live |
US10129260B1 (en) | 2013-06-25 | 2018-11-13 | Wickr Inc. | Mutual privacy management |
US9830089B1 (en) | 2013-06-25 | 2017-11-28 | Wickr Inc. | Digital data sanitization |
US20160149876A1 (en) * | 2013-06-28 | 2016-05-26 | Nec Corporation | Security for prose group communication |
GB2518254B (en) * | 2013-09-13 | 2020-12-16 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
US9686251B2 (en) * | 2013-09-17 | 2017-06-20 | Igt Uk Interactive Ltd. | Devices and techniques for controlling disclosure of sensitive information |
CN104581890A (zh) * | 2013-10-24 | 2015-04-29 | 国家电网公司 | Gps数据接入方法和装置 |
US10187317B1 (en) | 2013-11-15 | 2019-01-22 | F5 Networks, Inc. | Methods for traffic rate control and devices thereof |
US9698976B1 (en) | 2014-02-24 | 2017-07-04 | Wickr Inc. | Key management and dynamic perfect forward secrecy |
US10015143B1 (en) | 2014-06-05 | 2018-07-03 | F5 Networks, Inc. | Methods for securing one or more license entitlement grants and devices thereof |
US9584530B1 (en) | 2014-06-27 | 2017-02-28 | Wickr Inc. | In-band identity verification and man-in-the-middle defense |
US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
US10122630B1 (en) | 2014-08-15 | 2018-11-06 | F5 Networks, Inc. | Methods for network traffic presteering and devices thereof |
US10182013B1 (en) | 2014-12-01 | 2019-01-15 | F5 Networks, Inc. | Methods for managing progressive image delivery and devices thereof |
US9654288B1 (en) | 2014-12-11 | 2017-05-16 | Wickr Inc. | Securing group communications |
US11895138B1 (en) | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
US10834065B1 (en) | 2015-03-31 | 2020-11-10 | F5 Networks, Inc. | Methods for SSL protected NTLM re-authentication and devices thereof |
US10505818B1 (en) | 2015-05-05 | 2019-12-10 | F5 Networks. Inc. | Methods for analyzing and load balancing based on server health and devices thereof |
US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
US9590956B1 (en) | 2015-12-18 | 2017-03-07 | Wickr Inc. | Decentralized authoritative messaging |
US11757946B1 (en) | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
US10404698B1 (en) | 2016-01-15 | 2019-09-03 | F5 Networks, Inc. | Methods for adaptive organization of web application access points in webtops and devices thereof |
US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
US10797888B1 (en) | 2016-01-20 | 2020-10-06 | F5 Networks, Inc. | Methods for secured SCEP enrollment for client devices and devices thereof |
US10291607B1 (en) | 2016-02-02 | 2019-05-14 | Wickr Inc. | Providing real-time events to applications |
US9596079B1 (en) | 2016-04-14 | 2017-03-14 | Wickr Inc. | Secure telecommunications |
US9590958B1 (en) | 2016-04-14 | 2017-03-07 | Wickr Inc. | Secure file transfer |
US10791088B1 (en) | 2016-06-17 | 2020-09-29 | F5 Networks, Inc. | Methods for disaggregating subscribers via DHCP address translation and devices thereof |
US11005859B1 (en) * | 2016-09-23 | 2021-05-11 | EMC IP Holding Company LLC | Methods and apparatus for protecting against suspicious computer operations using multi-channel protocol |
US10701176B1 (en) * | 2016-09-23 | 2020-06-30 | Amazon Technologies, Inc. | Messaging using a hash ring with host groups |
US10623526B2 (en) * | 2016-10-03 | 2020-04-14 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Dynamically configuring multi-mode hardware components based on workload requirements |
US10505792B1 (en) | 2016-11-02 | 2019-12-10 | F5 Networks, Inc. | Methods for facilitating network traffic analytics and devices thereof |
CN110036419B (zh) * | 2016-12-06 | 2021-09-07 | 亚萨合莱有限公司 | 通过服务消费者设备提供对锁的访问 |
US10812266B1 (en) | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
US10972453B1 (en) | 2017-05-03 | 2021-04-06 | F5 Networks, Inc. | Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof |
US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
US11122083B1 (en) | 2017-09-08 | 2021-09-14 | F5 Networks, Inc. | Methods for managing network connections based on DNS data and network policies and devices thereof |
US10855440B1 (en) | 2017-11-08 | 2020-12-01 | Wickr Inc. | Generating new encryption keys during a secure communication session |
US11101999B2 (en) | 2017-11-08 | 2021-08-24 | Amazon Technologies, Inc. | Two-way handshake for key establishment for secure communications |
US10541814B2 (en) | 2017-11-08 | 2020-01-21 | Wickr Inc. | End-to-end encryption during a secure communication session |
US10778432B2 (en) | 2017-11-08 | 2020-09-15 | Wickr Inc. | End-to-end encryption during a secure communication session |
US11451521B2 (en) | 2018-10-18 | 2022-09-20 | Paypal, Inc. | Systems and methods for encrypted data transmission |
GB2589569B (en) * | 2019-11-28 | 2022-04-13 | Augnet Ltd | Data communication system and method for providing end-to-end ciphering |
US20230388280A1 (en) * | 2022-05-25 | 2023-11-30 | CybXSecurity LLC | System, Method, and Computer Program Product for Generating Secure Messages for Messaging |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1770681A (zh) * | 2005-10-14 | 2006-05-10 | 西安电子科技大学 | 无线环境下的会话密钥安全分发方法 |
CN101167305A (zh) * | 2005-04-04 | 2008-04-23 | 诺基亚公司 | 无线局域网的访问管理 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6615258B1 (en) * | 1997-09-26 | 2003-09-02 | Worldcom, Inc. | Integrated customer interface for web based data management |
US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
US6732150B1 (en) * | 1999-06-15 | 2004-05-04 | Nokia Corporation | Apparatus, and associated method, for providing a client with out-of-band messages |
US7194621B1 (en) * | 2002-02-28 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for encrypting data communicated between a client and a server that use an unencrypted data transfer protocol |
US20030182559A1 (en) * | 2002-03-22 | 2003-09-25 | Ian Curry | Secure communication apparatus and method for facilitating recipient and sender activity delegation |
US7370209B2 (en) * | 2003-01-30 | 2008-05-06 | Hewlett-Packard Development Company, L.P. | Systems and methods for increasing the difficulty of data sniffing |
KR20080031965A (ko) * | 2005-07-20 | 2008-04-11 | 베리메트릭스 인코퍼레이티드 | 네트워크 사용자 인증 시스템 및 방법 |
EP2020136B1 (en) * | 2006-05-15 | 2012-01-04 | Telecom Italia S.p.A. | Out-of-band authentication method and system for communication over a data network |
US8060916B2 (en) * | 2006-11-06 | 2011-11-15 | Symantec Corporation | System and method for website authentication using a shared secret |
JP4956373B2 (ja) * | 2007-10-26 | 2012-06-20 | 株式会社エヌ・ティ・ティ・ドコモ | 遠隔監視制御装置 |
WO2009082717A2 (en) | 2007-11-19 | 2009-07-02 | Ezmcom, Inc. | A method for authenticating a communication channel between a client and a server |
US8788805B2 (en) * | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
-
2010
- 2010-02-09 US US12/702,632 patent/US8447970B2/en active Active
-
2011
- 2011-02-09 CN CN201110040559.3A patent/CN102196375B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101167305A (zh) * | 2005-04-04 | 2008-04-23 | 诺基亚公司 | 无线局域网的访问管理 |
CN1770681A (zh) * | 2005-10-14 | 2006-05-10 | 西安电子科技大学 | 无线环境下的会话密钥安全分发方法 |
Non-Patent Citations (1)
Title |
---|
JP特开2009-111488A 2009.05.21 |
Also Published As
Publication number | Publication date |
---|---|
US8447970B2 (en) | 2013-05-21 |
US20110197059A1 (en) | 2011-08-11 |
CN102196375A (zh) | 2011-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102196375B (zh) | 保护带外消息 | |
US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
EP2095288B1 (en) | Method for the secure storing of program state data in an electronic device | |
CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
US20180091487A1 (en) | Electronic device, server and communication system for securely transmitting information | |
US20140149746A1 (en) | Method and system of providing authentication of user access to a computer resource on a mobile device | |
CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
CN103503366A (zh) | 管理针对认证设备的数据 | |
CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
KR20200037847A (ko) | 공급 체인 자산 관리를 보호하기 위한 애플리케이션을 가지는 원격 서버에 대한 nfc 태그 인증 | |
CN204360381U (zh) | 移动设备 | |
CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
CN111316596B (zh) | 具有身份验证的加密芯片 | |
WO2005064430A1 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
US20020018570A1 (en) | System and method for secure comparison of a common secret of communicating devices | |
CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
CN111008400A (zh) | 数据处理方法、装置及系统 | |
CN107409043B (zh) | 基于中央加密的存储数据对产品的分布式处理 | |
US8769301B2 (en) | Product authentication based upon a hyperelliptic curve equation and a curve pairing function | |
JP4794970B2 (ja) | 秘密情報の保護方法及び通信装置 | |
KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
CN116866029A (zh) | 随机数加密数据传输方法、装置、计算机设备及存储介质 | |
KR100931986B1 (ko) | 단말기 및 메시지 송수신 방법 | |
CN114785527B (zh) | 数据传输方法、装置、设备及存储介质 | |
KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150429 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150429 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |