CN104092663A - 一种加密通信方法和加密通信系统 - Google Patents
一种加密通信方法和加密通信系统 Download PDFInfo
- Publication number
- CN104092663A CN104092663A CN201410270594.8A CN201410270594A CN104092663A CN 104092663 A CN104092663 A CN 104092663A CN 201410270594 A CN201410270594 A CN 201410270594A CN 104092663 A CN104092663 A CN 104092663A
- Authority
- CN
- China
- Prior art keywords
- application server
- key
- client host
- mobile terminal
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本发明涉及一种加密通信方法和加密通信系统,该方法包括:移动终端与应用服务器执行双向认证并建立加密移动通信,再执行密钥推导;客户端主机启动,并读取和运行只读存储器存储的客户端系统软件和客户端网络应用软件;客户端主机和应用服务器分别获取对方的IP地址,并各自设置IP地址过滤规则;应用服务器生成随机数和密钥,并将其通过移动终端发送至客户端主机;客户端主机与应用服务器执行IP地址过滤、双向认证和密钥协商,从而建立加密网络通信。所述系统包括只读存储器、客户端主机、移动终端及应用服务器,客户端主机通过数据通信网与应用服务器连接,移动终端通过移动通信网与应用服务器连接。本发明保证了网络应用端到端的安全性。
Description
技术领域
本发明涉及互联网技术、局域网技术、移动通信技术和信息安全技术领域,尤其涉及一种加密通信方法和加密通信系统。
背景技术
互联网的发展带来了各种网络安全问题,主要包括:利用木马病毒通过用户客户端窃取用户口令等用户敏感信息;利用网络钓鱼进行网络欺诈;利用对用户客户端的远程控制,篡改用户的数据和操作,进而在入侵控制大量的客户端后发起DDoS攻击等等。
另外,加密通信生成会话密钥的过程(例如应用于互联网的PKI基于非对称加密算法的密钥交换过程、应用于WLAN的WPA-PSK/WPA2-PSK基于对称加密算法的密钥协商过程)无法避免穷举攻击的风险。随着并行计算技术和分布式计算技术的发展,这一问题日益突出。
因此,本发明针对上述网络安全问题,提出了一种加密通信方法和加密通信系统。
发明内容
本发明所要解决的技术问题是提供一种加密通信方法和加密通信系统,用于使客户端主机和应用服务器利用移动终端传递IP地址、随机数和密钥,并执行IP地址过滤、双向认证和密钥协商而建立加密网络通信,以提高网络应用的安全性。
本发明为了解决上述技术问题的技术方案如下:
一种加密通信方法,在使用所述加密通信方法前,用户向应用服务器注册,并将用户信息提交应用服务器,用户信息包括:用户生物特征、移动终端的移动用户综合业务数字网号码MSISDN(Mobile Subscriber IntegratedServices Digital Network Number)、移动终端的国际移动用户识别码IMSI(International Mobile Subscriber Identity)、移动终端的国际移动设备识别码IMEI(International Mobile Equipment Identity)、移动终端SIM卡的集成电路卡识别码ICCID(Integrated Circuit Card Identity)、银行账户(借记卡、贷记卡或存折)的账号及身份证标示的ID、有效期或住址;应用服务器生成对称密钥Ka/Ka'、Kc/Kc'、MemPa/MemPa'、MemKa/MemKa'、MemPc/MemPc'和MemKc/MemKc',并将Ka、Kc、MemPa、MemKa、MemPc和MemKc写入移动终端,使移动终端能与应用服务器执行双向认证并建立加密移动通信,再执行密钥推导。所述加密通信方法包括如下步骤:
步骤A,移动终端与应用服务器执行双向认证并建立加密移动通信,再执行密钥推导;
步骤B,客户端主机启动,并读取和运行只读存储器存储的客户端系统软件和客户端网络应用软件;
步骤C,客户端主机和应用服务器分别获取对方的IP地址,并各自设置IP地址过滤规则;
步骤D,应用服务器生成随机数和密钥,并将其通过移动终端发送至客户端主机;
步骤E,客户端主机与应用服务器执行IP地址过滤、双向认证和密钥协商,从而建立加密网络通信。
采用上述方法的有益效果是:保证了网络应用端到端的安全性。
在上述技术方案的基础上,所述加密通信方法还可以做如下改进:
进一步,所述步骤A包括:
步骤A11,移动终端与应用服务器基于对称认证密钥Ka/Ka'执行双向认证,并基于对称通信密钥Kc/Kc'建立加密移动通信,且Ka/Ka'与Kc/Kc'之间无演算关系;
步骤A12,应用服务器生成随机数R1、R2、R3、R4,并推导新的认证密钥Ka',推导Ka'的过程包括:
应用服务器基于其存储的MemPa'计算MemPa'=f(R1,MemPa'),其中,R1为随机数,MemPa'为密钥,f为加密函数,且f包括单向散列函数和对称加密函数及由这两种函数构成的函数;
应用服务器基于其存储的MemKa'计算MemKa'=f(R2,MemKa'),其中,R2为随机数,MemKa'为密钥;
应用服务器计算Ka'=f(R1,R2,MemPa',MemKa'),其中,R1和R2为随机数,MemPa'为参数,MemKa'为密钥;
应用服务器推导新的通信密钥Kc',且推导Kc'的过程与上述推导Ka'的过程之间无演算关系,推导Kc'的过程包括:
应用服务器基于其存储的MemPc'计算MemPc'=f(R3,MemPc'),其中,R3为随机数,MemPc'为密钥;
应用服务器基于其存储的MemKc'计算MemKc'=f(R4,MemKc'),其中,R4为随机数,MemKc'为密钥;
应用服务器计算Kc'=f(R3,R4,MemPc',MemKc'),其中,R3和R4为随机数,MemPc'为参数,MemKc'为密钥;
应用服务器存储Ka'、Kc'、MemPa'、MemKa'、MemPc'、MemKc',以用于下一次双向认证、加密通信和密钥推导;
步骤A13,应用服务器将随机数R1、R2、R3、R4发送至移动终端;
步骤A14,移动终端推导新的认证密钥Ka,推导Ka的过程包括:
移动终端基于其存储的MemPa计算MemPa=f(R1,MemPa),其中,R1为随机数,MemPa为密钥;
移动终端基于其存储的MemKa计算MemKa=f(R2,MemKa),其中,R2为随机数,MemKa为密钥;
移动终端计算Ka=f(R1,R2,MemPa,MemKa),其中,R1和R2为随机数,MemPa为参数,MemKa为密钥;
移动终端推导新的通信密钥Kc,且推导Kc的过程与上述推导Ka的过程之间无演算关系,推导Kc的过程包括:
移动终端基于其存储的MemPc计算MemPc=f(R3,MemPc),其中,R3为随机数,MemPc为密钥;
移动终端基于其存储的MemKc计算MemKc=f(R4,MemKc),其中,R4为随机数,MemKc为密钥;
移动终端计算Kc=f(R3,R4,MemPc,MemKc),其中,R3和R4为随机数,MemPc为参数,MemKc为密钥;
移动终端存储Ka、Kc、MemPa、MemKa、MemPc、MemKc,以用于下一次双向认证、加密通信和密钥推导。
采用上述进一步方案的有益效果是:认证密钥Ka/Ka'与通信密钥Kc/Kc'之间无演算关系,防止了用基于Ka/Ka'的认证信息而穷举攻击Kc/Kc';第n次执行步骤A后,MemPa、MemKa、MemPc和MemKc各自的密钥推导均符合递归运算Kn=f(Rn,f(Rn-1,f(…,f(Ri,f(Ri-1,f(…,f(R2,f(R1,K0)))))))),其中,1≤i≤n,Kn,…,Ki,…,K0为密钥且Ki=f(Ri,Ki-1),Rn,Rn-1,…,Ri,…,R2,R1为随机数且其通过加密通信传递,f为加密函数且f包括单向散列函数和对称加密函数及由这两种函数构成的函数,将基于该递归运算的MemPa/MemPa'和MemKa/MemKa'作为参数和密钥计算认证密钥Ka/Ka',并将基于该递归运算的MemPc/MemPc'和MemKc/MemKc'作为参数和密钥计算通信密钥Kc/Kc',而非基于根密钥计算认证密钥和通信密钥,且推导Kc/Kc'的过程与推导Ka/Ka'的过程之间无演算关系,提高了双向认证和加密通信的安全性。
进一步,所述步骤B包括:
步骤B11,客户端主机启动;
步骤B12,客户端主机读取和运行只读存储器存储的客户端系统软件;
步骤B13,客户端主机用客户端系统软件禁用本机的硬盘;
步骤B14,客户端主机读取和运行只读存储器存储的客户端网络应用软件。
采用上述进一步方案的有益效果是:客户端主机启动后使用只读存储器存储的软件并禁用客户端主机的硬盘,防止了客户端主机硬盘存储的计算机病毒危害网络应用。
进一步,所述步骤C包括:
步骤C11,客户端主机从互联网获取本机的IP地址IPAc;
步骤C12,客户端主机读取只读存储器存储的应用服务器的IP地址IPAs;或者,客户端主机令用户用移动终端从应用服务器获取应用服务器的IP地址IPAs,并令用户将IPAs输入至客户端主机;
步骤C13,客户端主机设置IP地址过滤规则,允许本机接收IP源地址为IPAs的IP数据包;
步骤C14,客户端主机提示用户用移动终端向应用服务器发送IPAc;
步骤C15,输入IPAc至移动终端;
步骤C16,移动终端将IPAc发送至应用服务器,应用服务器接收IPAc并同时获得移动终端的移动用户综合业务数字网号码MSISDN;
步骤C17,应用服务器设置IP地址过滤规则,允许本机接收IP源地址为IPAc的IP数据包。
采用上述进一步方案的有益效果是:客户端主机直接利用IPAs访问应用服务器而不采用DNS,防止了DNS劫持(DNS Hijacking)危害网络应用;客户端主机令用户通过移动终端将IPAc发送至应用服务器,使应用服务器获知将要来访的客户端主机的IP地址而得以设置IP地址过滤规则。
进一步,所述步骤D包括:
步骤D11,应用服务器生成随机数rand1、rand2,生成对称密钥K1/K1'、K2/K2'、K3/K3',且所述K1、K2、K3中的任意两方之间无演算关系;
步骤D12,应用服务器将rand1、rand2、K1、K2、K3发送至移动终端;
步骤D13,移动终端提示用户将rand1、rand2、K1、K2、K3输入至客户端主机;
步骤D14,输入rand1、rand2、K1、K2、K3至客户端主机。
采用上述进一步方案的有益效果是:应用服务器通过移动终端将随机数和密钥发送至客户端主机,保证了网络通信一次一密。
进一步,所述步骤E包括:
步骤E11,客户端主机计算res1=f(rand1,K1),其中,re1为响应,rand1为随机数,K1为密钥,f为加密函数,且f包括单向散列函数和对称加密函数及由这两种函数构成的函数;
步骤E12,客户端主机通过IP数据包IP1将res1发送至应用服务器,且IP1的IP源地址为IPAc;
步骤E13,应用服务器执行IP地址过滤,根据IP地址过滤规则接收IP1,允许客户端主机连接至本机;
步骤E14,应用服务器计算res1'=f(rand1,K1'),其中,re1'为响应,rand1为随机数,K1'为密钥;
步骤E15,应用服务器比较res1'与res1,若相同则转向步骤E16,否则全部流程结束;
步骤E16,应用服务器计算res2'=f(rand2,K2'),其中,re2'为响应,rand2为随机数,K2'为密钥;应用服务器生成随机数rand3,并计算rand3_c=E(rand3,K3'),其中,rand3_c为密文,K3'为密钥,E为加密函数;
步骤E17,应用服务器通过IP数据包IP2将res2'和rand3_c发送至客户端主机,且IP2的IP源地址为IPAs;
步骤E18,客户端主机执行IP地址过滤,根据IP地址过滤规则接收IP2,允许应用服务器连接至本机;
步骤E19,客户端主机计算res2=f(rand2,K2),其中,res2为响应,rand2为随机数,K2为密钥;客户端主机计算rand3_p=D(rand3_c,K3),其中,rand3_p为解密rand3_c所得明文,rand3_c为密文,K3为密钥,D为与加密函数E对应的解密函数;
步骤E20,客户端主机比较res2与res2',若相同则转向步骤E21,否则全部流程结束;
步骤E21,客户端主机提示用户将MSISDN输入至客户端主机;
步骤E22,输入MSISDN至客户端主机;
步骤E23,客户端主机与应用服务器基于rand3_p/rand3、MSISDN、K3/K3'协商会话密钥Ks,并基于Ks建立加密网络通信;或者,应用服务器在用户开户时所留用户信息中随机选取一个参数C,并通过移动终端或客户端主机向用户提示参数C的名称且令用户将参数C输入至客户端主机,客户端主机与应用服务器基于参数C、rand3_p/rand3、MSISDN、K3/K3'协商会话密钥Ks,并基于Ks建立加密网络通信。
采用上述进一步方案的有益效果是:应用服务器执行IP地址过滤并认证客户端主机,防止了DDoS攻击危害应用服务器;客户端主机执行IP地址过滤并认证应用服务器,防止了网络钓鱼危害客户端主机;在网络通信双向认证的过程中,客户端主机和应用服务器之间不传递随机数,而只传递响应res1和res2',且res1和res2'之间无演算关系,防止了基于网络传递的认证信息而穷举攻击认证密钥K1和K2;res1与K3之间、res2'与K3之间无演算关系,防止了基于网络传递的认证信息而穷举攻击会话密钥Ks;基于未传递的MSISDN(移动通信网不依据MSISDN,而依据临时移动用户识别码TMSI(Temporary Mobile Subscriber Identity)和IMSI识别移动终端;移动通信网将与TMSI/IMSI对应的MSISDN和用户业务发送至应用服务器)、随机选取且未传递的参数C、移动通信网传递的K3、互联网加密传递的rand3协商会话密钥Ks,提高了密钥协商的安全性。
进一步,所述步骤E23中用户开户时所留用户信息包括用户生物特征、国际移动用户识别码IMSI、国际移动设备识别码IMEI、集成电路卡识别码ICCID、银行账户的账号、身份证标示的ID、身份证标示的有效期或身份证标示的住址。
采用上述进一步方案的有益效果是:在用户信息中随机选取一个参数C用于协商会话密钥Ks,且参数C未传递,提高了密钥协商的安全性。
进一步,在上述加密通信方法中,若将对称密钥K1和K2替换为非对称密钥K1a和K2a,且K1a、K2a及对称密钥K3中的任意两方之间无演算关系,并将加密函数f替换为非对称加密/解密函数,则客户端主机基于K1a私钥和K2a公钥,应用服务器基于K2a私钥和K1a公钥,双方不传递随机数且不交换公钥即只传递响应而执行双向认证,且响应之间无演算关系。
采用上述进一步方案的有益效果是:所述加密通信方法能采用非对称加密算法执行双向认证;双向认证时只传递响应而不传递随机数且不交换公钥,且响应之间无演算关系,防止了基于网络传递的认证信息而穷举攻击认证密钥K1a和K2a;K1a与K3之间、K2a与K3之间无演算关系,防止了基于网络传递的认证信息而穷举攻击会话密钥Ks。
进一步,在上述加密通信方法中,所述双向认证只传递响应而不传递随机数且采用非对称加密算法时不交换公钥,且响应之间无演算关系,响应与会话密钥之间也无演算关系。
采用上述进一步方案的有益效果是:只传递响应且响应之间无演算关系,防止了基于认证信息而穷举攻击认证密钥;响应与会话密钥之间也无演算关系,防止了基于认证信息而穷举攻击会话密钥。
进一步,在所述加密通信方法的各执行步骤中均能通过移动终端完成客户端主机的全部功能。
采用上述进一步方案的有益效果是:使得方案成本更低。
对应上述加密通信方法,本发明的技术方案还包括一种加密通信系统,包括只读存储器、客户端主机、移动终端及应用服务器;
只读存储器,用于为客户端主机提供客户端系统软件和客户端网络应用软件及应用服务器的IP地址;
客户端主机,其通过数据通信网与应用服务器连接,用于在启动后读取和运行只读存储器存储的客户端系统软件和客户端网络应用软件,并读取只读存储器存储的应用服务器的IP地址;用于通过移动终端将其IP地址发送至应用服务器;用于通过移动终端从应用服务器接收随机数和密钥;用于基于应用服务器的IP地址执行IP地址过滤,并与应用服务器执行双向认证和密钥协商而建立加密网络通信;
移动终端,其通过移动通信网与应用服务器连接,用于与应用服务器执行双向认证并建立加密移动通信;用于为客户端主机和应用服务器传递随机数和密钥及IP地址;
应用服务器,用于与移动终端执行双向认证并建立加密移动通信;用于通过移动终端接收客户端主机的IP地址;用于生成随机数和密钥,并将其通过移动终端发送至客户端主机;用于基于客户端主机的IP地址执行IP地址过滤,并与客户端主机执行双向认证和密钥协商而建立加密网络通信。
采用上述系统的有益效果是:保证了网络应用端到端的安全性。
在上述技术方案的基础上,所述加密通信系统还可以做如下改进:
进一步,只读存储器为CD-ROM、DVD-ROM、MASK ROM、PROM、EPROM、OTPROM、EEPROM或Flash ROM中的任一种。
进一步,只读存储器通过有线通信接口或者无线通信接口与客户端主机连接,或者将只读存储器设计为客户端主机的一个硬件。
进一步,移动终端为移动电话、PDA、平板电脑或笔记本电脑中的任一种。
进一步,所述加密通信系统中能通过移动终端完成客户端主机的全部功能。
进一步,所述数据通信网包括广域网、城域网和局域网;移动终端以语音、短信或数据的方式与应用服务器通信。
本发明提供的方法和系统,保证了网络应用端到端的安全性。
附图说明
图1为本发明实施例一中所述加密通信系统的结构示意图;
图2为本发明实施例二中所述加密通信方法的流程图;
图3为本发明实施例二中所述加密通信方法步骤B的流程图;
图4为本发明实施例二中所述加密通信方法步骤C的流程图;
图5为本发明实施例二中所述加密通信方法步骤D的流程图;
图6为本发明实施例二中所述加密通信方法步骤E的流程图;
图7为本发明实施例三中所述建立加密WLAN通信的方法的流程图;
图8为本发明实施例四中所述实现手机银行的方法的流程图;
图9为本发明实施例二中所述加密通信方法步骤A的流程图。
附图标记为:
101、只读存储器,102、客户端主机,103、移动终端,104、应用服务器。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,实施例一提供了一种加密通信系统,所述系统包括只读存储器101、客户端主机102、移动终端103及应用服务器104;
只读存储器101,用于为客户端主机102提供客户端系统软件和客户端网络应用软件及应用服务器104的IP地址,所述客户端网络应用软件包括浏览器、安全软件、即时通讯软件和游戏娱乐软件等;
客户端主机102,其通过数据通信网与应用服务器104连接,用于在启动后读取和运行只读存储器101存储的客户端系统软件和客户端网络应用软件,并读取只读存储器101存储的应用服务器104的IP地址;用于通过移动终端103将其IP地址发送至应用服务器104;用于通过移动终端103从应用服务器104接收随机数和密钥;用于基于应用服务器104的IP地址执行IP地址过滤,并与应用服务器104执行双向认证和密钥协商而建立加密网络通信;
移动终端103,其通过移动通信网与应用服务器104连接,用于与应用服务器104执行双向认证并建立加密移动通信;用于为客户端主机102和应用服务器104传递随机数和密钥及IP地址;
应用服务器104,用于与移动终端103执行双向认证并建立加密移动通信;用于通过移动终端103接收客户端主机102的IP地址;用于生成随机数和密钥,并将其通过移动终端103发送至客户端主机102;用于基于客户端主机102的IP地址执行IP地址过滤,并与客户端主机102执行双向认证和密钥协商而建立加密网络通信。
在实施例一中,所述数据通信网包括广域网、城域网和局域网;移动终端103以语音、短信或数据的方式与应用服务器104通信;只读存储器101为CD-ROM、DVD-ROM、MASK ROM、PROM、EPROM、OTP ROM、EEPROM或Flash ROM中的任一种;移动终端103为移动电话、PDA、平板电脑或笔记本电脑中的任一种,并能完成客户端主机102的全部功能。
如图2所示,实施例二提供了一种加密通信方法,包括如下步骤:
步骤A,移动终端与应用服务器执行双向认证并建立加密移动通信,再执行密钥推导;
步骤B,客户端主机启动,并读取和运行只读存储器存储的客户端系统软件和客户端网络应用软件;
步骤C,客户端主机和应用服务器分别获取对方的IP地址,并各自设置IP地址过滤规则;
步骤D,应用服务器生成随机数和密钥,并将其通过移动终端发送至客户端主机;
步骤E,客户端主机与应用服务器执行IP地址过滤、双向认证和密钥协商,从而建立加密网络通信。
上述各执行步骤中均能通过移动终端完成客户端主机的全部功能。
如图9所示,实施例二中所述步骤A进一步包括:
步骤A11,移动终端与应用服务器基于对称认证密钥Ka/Ka'执行双向认证,并基于对称通信密钥Kc/Kc'建立加密移动通信,且Ka/Ka'与Kc/Kc'之间无演算关系;
步骤A12,应用服务器生成随机数R1、R2、R3、R4,并推导新的认证密钥Ka',推导Ka'的过程包括:
应用服务器基于其存储的MemPa'计算MemPa'=f(R1,MemPa'),其中,R1为随机数,MemPa'为密钥,f为加密函数,且f包括单向散列函数和对称加密函数及由这两种函数构成的函数;
应用服务器基于其存储的MemKa'计算MemKa'=f(R2,MemKa'),其中,R2为随机数,MemKa'为密钥;
应用服务器计算Ka'=f(R1,R2,MemPa',MemKa'),其中,R1和R2为随机数,MemPa'为参数,MemKa'为密钥;
应用服务器推导新的通信密钥Kc',且推导Kc'的过程与上述推导Ka'的过程之间无演算关系,推导Kc'的过程包括:
应用服务器基于其存储的MemPc'计算MemPc'=f(R3,MemPc'),其中,R3为随机数,MemPc'为密钥;
应用服务器基于其存储的MemKc'计算MemKc'=f(R4,MemKc'),其中,R4为随机数,MemKc'为密钥;
应用服务器计算Kc'=f(R3,R4,MemPc',MemKc'),其中,R3和R4为随机数,MemPc'为参数,MemKc'为密钥;
应用服务器存储Ka'、Kc'、MemPa'、MemKa'、MemPc'、MemKc',以用于下一次双向认证、加密通信和密钥推导;
步骤A13,应用服务器将随机数R1、R2、R3、R4发送至移动终端;
步骤A14,移动终端推导新的认证密钥Ka,推导Ka的过程包括:
移动终端基于其存储的MemPa计算MemPa=f(R1,MemPa),其中,R1为随机数,MemPa为密钥;
移动终端基于其存储的MemKa计算MemKa=f(R2,MemKa),其中,R2为随机数,MemKa为密钥;
移动终端计算Ka=f(R1,R2,MemPa,MemKa),其中,R1和R2为随机数,MemPa为参数,MemKa为密钥;
移动终端推导新的通信密钥Kc,且推导Kc的过程与上述推导Ka的过程之间无演算关系,推导Kc的过程包括:
移动终端基于其存储的MemPc计算MemPc=f(R3,MemPc),其中,R3为随机数,MemPc为密钥;
移动终端基于其存储的MemKc计算MemKc=f(R4,MemKc),其中,R4为随机数,MemKc为密钥;
移动终端计算Kc=f(R3,R4,MemPc,MemKc),其中,R3和R4为随机数,MemPc为参数,MemKc为密钥;
移动终端存储Ka、Kc、MemPa、MemKa、MemPc、MemKc,以用于下一次双向认证、加密通信和密钥推导。
如图3所示,实施例二中所述步骤B进一步包括:
步骤B11,客户端主机启动;
步骤B12,客户端主机读取和运行只读存储器存储的客户端系统软件;
步骤B13,客户端主机用客户端系统软件禁用本机的硬盘;
步骤B14,客户端主机读取和运行只读存储器存储的客户端网络应用软件。
如图4所示,实施例二中所述步骤C进一步包括:
步骤C11,客户端主机从互联网获取本机的IP地址IPAc;
步骤C12,客户端主机读取只读存储器存储的应用服务器的IP地址IPAs;或者,客户端主机令用户用移动终端从应用服务器获取应用服务器的IP地址IPAs,并令用户将IPAs输入至客户端主机;
步骤C13,客户端主机设置IP地址过滤规则,允许本机接收IP源地址为IPAs的IP数据包;
步骤C14,客户端主机提示用户用移动终端向应用服务器发送IPAc;
步骤C15,输入IPAc至移动终端;
步骤C16,移动终端将IPAc发送至应用服务器,应用服务器接收IPAc并同时获得移动终端的移动用户综合业务数字网号码MSISDN;
步骤C17,应用服务器设置IP地址过滤规则,允许本机接收IP源地址为IPAc的IP数据包。
如图5所示,实施例二中所述步骤D进一步包括:
步骤D11,应用服务器生成随机数rand1、rand2,生成对称密钥K1/K1'、K2/K2'、K3/K3',且所述K1、K2、K3中的任意两方之间无演算关系;
步骤D12,应用服务器将rand1、rand2、K1、K2、K3发送至移动终端;
步骤D13,移动终端提示用户将rand1、rand2、K1、K2、K3输入至客户端主机;
步骤D14,输入rand1、rand2、K1、K2、K3至客户端主机。
如图6所述,实施例二中所述步骤E进一步包括:
步骤E11,客户端主机计算res1=f(rand1,K1),其中,re1为响应,rand1为随机数,K1为密钥,f为加密函数,且f包括单向散列函数和对称加密函数及由这两种函数构成的函数;
步骤E12,客户端主机通过IP数据包IP1将res1发送至应用服务器,且IP1的IP源地址为IPAc;
步骤E13,应用服务器执行IP地址过滤,根据IP地址过滤规则接收IP1,允许客户端主机连接至本机;
步骤E14,应用服务器计算res1'=f(rand1,K1'),其中,re1'为响应,rand1为随机数,K1'为密钥;
步骤E15,应用服务器比较res1'与res1,若相同则转向步骤E16,否则全部流程结束;
步骤E16,应用服务器计算res2'=f(rand2,K2'),其中,re2'为响应,rand2为随机数,K2'为密钥;应用服务器生成随机数rand3,并计算rand3_c=E(rand3,K3'),其中,rand3_c为密文,K3'为密钥,E为加密函数;
步骤E17,应用服务器通过IP数据包IP2将res2'和rand3_c发送至客户端主机,且IP2的IP源地址为IPAs;
步骤E18,客户端主机执行IP地址过滤,根据IP地址过滤规则接收IP2,允许应用服务器连接至本机;
步骤E19,客户端主机计算res2=f(rand2,K2),其中,res2为响应,rand2为随机数,K2为密钥;客户端主机计算rand3_p=D(rand3_c,K3),其中,rand3_p为解密rand3_c所得明文,rand3_c为密文,K3为密钥,D为与加密函数E对应的解密函数;
步骤E20,客户端主机比较res2与res2',若相同则转向步骤E21,否则全部流程结束;
步骤E21,客户端主机提示用户将MSISDN输入至客户端主机;
步骤E22,输入MSISDN至客户端主机;
步骤E23,客户端主机与应用服务器基于rand3_p/rand3、MSISDN、K3/K3'协商会话密钥Ks,并基于Ks建立加密网络通信;或者,应用服务器在用户开户时所留用户信息中随机选取一个参数C,并通过移动终端或客户端主机向用户提示参数C的名称且令用户将参数C输入至客户端主机,客户端主机与应用服务器基于参数C、rand3_p/rand3、MSISDN、K3/K3'协商会话密钥Ks,并基于Ks建立加密网络通信。
步骤E23中,所述用户信息包括用户生物特征、国际移动用户识别码IMSI、国际移动设备识别码IMEI、集成电路卡识别码ICCID、银行账户的账号、身份证标示的ID、身份证标示的有效期或身份证标示的住址。
如图7所示,实施例三提供了一种移动终端与应用服务器建立加密WLAN通信的方法,所述方法包括如下步骤:
移动终端读取和运行其出厂Flash ROM存储的移动终端系统软件;
移动终端通过移动通信网将WLAN加密通信请求发送至应用服务器;
应用服务器生成随机数Rand1、Rand2和预共享密钥PSK,且Rand1与Rand2之间、Rand1与PSK之间、Rand2与PSK之间无演算关系,应用服务器通过移动通信网将Rand1、Rand2、PSK发送至移动终端;
移动终端通过WLAN将Rand1发送至应用服务器;
应用服务器验证Rand1正确后,通过WLAN将Rand2发送至移动终端;
移动终端验证Rand2正确后,WLAN认证过程结束;
移动终端与应用服务器基于PSK建立加密WLAN通信。
在实施例三中,移动终端启动后使用其ROM存储的软件,防止了计算机病毒危害移动终端;Rand1与PSK之间、Rand2与PSK之间无演算关系,防止了基于WLAN传递的认证信息而穷举攻击WLAN预共享密钥PSK。
如图8所示,实施例四提供了一种利用USBKey、手机、网银服务器实现手机银行的方法,其中,USBKey通过OTG(On-The-Go)连接线与手机连接且USBKey对于手机为只读。在使用所述方法前,用户向网银服务器注册,网银服务器将手机系统软件、手机银行软件和网银服务器的IP地址写入USBKey,网银服务器生成、存储用户数字证书并将用户数字证书写入USBKey,网银服务器生成对称密钥K1/K1'、存储K1'并将K1写入USBKey,且K1与用户数字证书之间、K1与网银服务器数字证书之间无演算关系。所述方法包括如下步骤:
手机启动,并读取和运行USBKey存储的手机系统软件和手机银行软件;
手机读取USBKey存储的网银服务器的IP地址,并根据该IP地址设置IP地址过滤规则,且允许网银服务器连接至本机;
手机读取USBKey存储的用户数字证书;
手机与网银服务器基于用户数字证书、网银服务器数字证书执行双向认证,并建立SSL链路;
网银服务器生成随机数rand1,并计算Kc’=f(rand1,K1'),其中,Kc’为通信密钥,K1'为密钥,f为加密函数,且f包括单向散列函数和对称加密函数及由这两种函数构成的函数;
网银服务器通过SSL链路将rand1发送至手机;
手机将rand1发送至USBKey;
USBKey计算Kc=f(rand1,K1),其中,Kc为通信密钥,rand1为随机数,K1为密钥;
USBKey将Kc发送至手机;
手机与网银服务器在SSL链路上基于通信密钥Kc/Kc’建立加密通信连接,手机银行软件通过该SSL链路上的加密通信连接与网银服务器通信。
在实施例四中,手机启动后使用只读USBKey存储的软件,防止了计算机病毒危害手机银行应用;手机使用只读USBKey存储的网银服务器的IP地址而不采用DNS,防止了DNS劫持危害手机银行应用;手机执行IP地址过滤,防止了网络钓鱼危害手机;手机与网银服务器基于数字证书执行双向认证且USBKey与网银服务器基于K1/K1’协商通信密钥Kc/Kc’,则认证信息与通信密钥之间无演算关系,防止了基于认证信息而穷举攻击通信密钥;通过SSL链路传递rand1并将rand1用于协商通信密钥Kc,提高了密钥协商的安全性;在SSL链路上建立加密通信连接,提高了手机银行的安全性。
另外,在用户注册时,网银服务器存储用户数字证书和手机SIM卡ICCID或用户身份证ID,并将网银服务器数字证书写入USBKey;在手机与网银服务器基于用户数字证书、网银服务器数字证书执行双向认证时,手机读取USBKey存储的网银服务器数字证书,手机将手机SIM卡ICCID或输入至手机的身份证ID发送至网银服务器,网银服务器读取其存储的与该ICCID或身份证ID对应的用户数字证书,则手机与网银服务器能不交换数字证书而执行双向认证。
手机采用只读USBKey存储的网银服务器数字证书,网银服务器采用其存储的与用户信息ICCID或身份证ID对应的用户数字证书,则手机与网银服务器不交换公钥而执行双向认证,提高了安全性。
另外,还能用SD卡、Micor SD卡、SIM卡或手机出厂Flash ROM完成USBKey的全部功能,且上述存储器对于手机为只读。
实施例五提供了一种本发明的实施例二的简化方法,其中,移动终端通过USB连接至客户端主机,所述方法包括如下步骤:
步骤A’,移动终端启动,并读取和运行移动终端以只读形式存储的移动终端系统软件和移动终端网络应用软件,且与应用服务器建立移动通信;
步骤B’,客户端主机启动,并读取和运行移动终端以只读形式存储的客户端系统软件和客户端网络应用软件;
步骤C’,客户端主机通过移动终端从应用服务器获取应用服务器的IP地址,并设置IP地址过滤规则,且允许应用服务器连接至客户端主机,应用服务器通过移动终端从客户端主机获取客户端主机的IP地址,并设置IP地址过滤规则,且允许客户端主机连接至应用服务器;
步骤D’,应用服务器生成会话密钥,并将其通过移动终端发送至客户端主机;
步骤E’,客户端主机与应用服务器执行IP地址过滤,并基于会话密钥建立加密网络通信。
在实施例五中,客户端主机与应用服务器不采用双向认证和密钥协商而直接基于移动终端传递的会话密钥建立加密网络通信,防止了基于网络传递的认证信息而穷举攻击会话密钥。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种加密通信方法,其特征在于,包括如下步骤:
步骤A,移动终端与应用服务器执行双向认证并建立加密移动通信,再执行密钥推导;
步骤B,客户端主机启动,并读取和运行只读存储器存储的客户端系统软件和客户端网络应用软件;
步骤C,客户端主机和应用服务器分别获取对方的IP地址,并各自设置IP地址过滤规则;
步骤D,应用服务器生成随机数和密钥,并将其通过移动终端发送至客户端主机;
步骤E,客户端主机与应用服务器执行IP地址过滤、双向认证和密钥协商,从而建立加密网络通信。
2.根据权利要求1所述的加密通信方法,其特征在于,所述步骤A进一步包括:
步骤A11,移动终端与应用服务器基于对称认证密钥Ka/Ka'执行双向认证,并基于对称通信密钥Kc/Kc'建立加密移动通信,且Ka/Ka'与Kc/Kc'之间无演算关系;
步骤A12,应用服务器生成随机数R1、R2、R3、R4,并推导新的认证密钥Ka',推导Ka'的过程包括:
应用服务器基于其存储的MemPa'计算MemPa'=f(R1,MemPa'),其中,R1为随机数,MemPa'为密钥,f为加密函数,且f包括单向散列函数和对称加密函数及由这两种函数构成的函数;
应用服务器基于其存储的MemKa'计算MemKa'=f(R2,MemKa'),其中,R2为随机数,MemKa'为密钥;
应用服务器计算Ka'=f(R1,R2,MemPa',MemKa'),其中,R1和R2为随机数,MemPa'为参数,MemKa'为密钥;
应用服务器推导新的通信密钥Kc',且推导Kc'的过程与上述推导Ka'的过程之间无演算关系,推导Kc'的过程包括:
应用服务器基于其存储的MemPc'计算MemPc'=f(R3,MemPc'),其中,R3为随机数,MemPc'为密钥;
应用服务器基于其存储的MemKc'计算MemKc'=f(R4,MemKc'),其中,R4为随机数,MemKc'为密钥;
应用服务器计算Kc'=f(R3,R4,MemPc',MemKc'),其中,R3和R4为随机数,MemPc'为参数,MemKc'为密钥;
应用服务器存储Ka'、Kc'、MemPa'、MemKa'、MemPc'、MemKc',以用于下一次双向认证、加密通信和密钥推导;
步骤A13,应用服务器将随机数R1、R2、R3、R4发送至移动终端;
步骤A14,移动终端推导新的认证密钥Ka,推导Ka的过程包括:
移动终端基于其存储的MemPa计算MemPa=f(R1,MemPa),其中,R1为随机数,MemPa为密钥;
移动终端基于其存储的MemKa计算MemKa=f(R2,MemKa),其中,R2为随机数,MemKa为密钥;
移动终端计算Ka=f(R1,R2,MemPa,MemKa),其中,R1和R2为随机数,MemPa为参数,MemKa为密钥;
移动终端推导新的通信密钥Kc,且推导Kc的过程与上述推导Ka的过程之间无演算关系,推导Kc的过程包括:
移动终端基于其存储的MemPc计算MemPc=f(R3,MemPc),其中,R3为随机数,MemPc为密钥;
移动终端基于其存储的MemKc计算MemKc=f(R4,MemKc),其中,R4为随机数,MemKc为密钥;
移动终端计算Kc=f(R3,R4,MemPc,MemKc),其中,R3和R4为随机数,MemPc为参数,MemKc为密钥;
移动终端存储Ka、Kc、MemPa、MemKa、MemPc、MemKc,以用于下一次双向认证、加密通信和密钥推导。
3.根据权利要求1所述的加密通信方法,其特征在于,所述步骤B进一步包括:
步骤B11,客户端主机启动;
步骤B12,客户端主机读取和运行只读存储器存储的客户端系统软件;
步骤B13,客户端主机用客户端系统软件禁用本机的硬盘;
步骤B14,客户端主机读取和运行只读存储器存储的客户端网络应用软件。
4.根据权利要求1所述的加密通信方法,其特征在于,所述步骤C进一步包括:
步骤C11,客户端主机从互联网获取本机的IP地址IPAc;
步骤C12,客户端主机读取只读存储器存储的应用服务器的IP地址IPAs;或者,客户端主机令用户用移动终端从应用服务器获取应用服务器的IP地址IPAs,并令用户将IPAs输入至客户端主机;
步骤C13,客户端主机设置IP地址过滤规则,允许本机接收IP源地址为IPAs的IP数据包;
步骤C14,客户端主机提示用户用移动终端向应用服务器发送IPAc;
步骤C15,输入IPAc至移动终端;
步骤C16,移动终端将IPAc发送至应用服务器,应用服务器接收IPAc并同时获得移动终端的移动用户综合业务数字网号码MSISDN;
步骤C17,应用服务器设置IP地址过滤规则,允许本机接收IP源地址为IPAc的IP数据包。
5.根据权利要求1所述的加密通信方法,其特征在于,所述步骤D进一步包括:
步骤D11,应用服务器生成随机数rand1、rand2,生成对称密钥K1/K1'、K2/K2'、K3/K3',且所述K1、K2、K3中的任意两方之间无演算关系;
步骤D12,应用服务器将rand1、rand2、K1、K2、K3发送至移动终端;
步骤D13,移动终端提示用户将rand1、rand2、K1、K2、K3输入至客户端主机;
步骤D14,输入rand1、rand2、K1、K2、K3至客户端主机。
6.根据权利要求1所述的加密通信方法,其特征在于,所述步骤E进一步包括:
步骤E11,客户端主机计算res1=f(rand1,K1),其中,re1为响应,rand1为随机数,K1为密钥,f为加密函数,且f包括单向散列函数和对称加密函数及由这两种函数构成的函数;
步骤E12,客户端主机通过IP数据包IP1将res1发送至应用服务器,且IP1的IP源地址为IPAc;
步骤E13,应用服务器执行IP地址过滤,根据IP地址过滤规则接收IP1,允许客户端主机连接至本机;
步骤E14,应用服务器计算res1'=f(rand1,K1'),其中,re1'为响应,rand1为随机数,K1'为密钥;
步骤E15,应用服务器比较res1'与res1,若相同则转向步骤E16,否则全部流程结束;
步骤E16,应用服务器计算res2'=f(rand2,K2'),其中,re2'为响应,rand2为随机数,K2'为密钥;应用服务器生成随机数rand3,并计算rand3_c=E(rand3,K3'),其中,rand3_c为密文,K3'为密钥,E为加密函数;
步骤E17,应用服务器通过IP数据包IP2将res2'和rand3_c发送至客户端主机,且IP2的IP源地址为IPAs;
步骤E18,客户端主机执行IP地址过滤,根据IP地址过滤规则接收IP2,允许应用服务器连接至本机;
步骤E19,客户端主机计算res2=f(rand2,K2),其中,res2为响应,rand2为随机数,K2为密钥;客户端主机计算rand3_p=D(rand3_c,K3),其中,rand3_p为解密rand3_c所得明文,rand3_c为密文,K3为密钥,D为与加密函数E对应的解密函数;
步骤E20,客户端主机比较res2与res2',若相同则转向步骤E21,否则全部流程结束;
步骤E21,客户端主机提示用户将MSISDN输入至客户端主机;
步骤E22,输入MSISDN至客户端主机;
步骤E23,客户端主机与应用服务器基于rand3_p/rand3、MSISDN、K3/K3'协商会话密钥Ks,并基于Ks建立加密网络通信;或者,应用服务器在用户开户时所留用户信息中随机选取一个参数C,并通过移动终端或客户端主机向用户提示参数C的名称且令用户将参数C输入至客户端主机,客户端主机与应用服务器基于参数C、rand3_p/rand3、MSISDN、K3/K3'协商会话密钥Ks,并基于Ks建立加密网络通信。
7.根据权利要求6所述的加密通信方法,其特征在于,所述步骤E23中用户开户时所留用户信息包括用户生物特征、国际移动用户识别码IMSI、国际移动设备识别码IMEI、集成电路卡识别码ICCID、银行账户的账号、身份证标示的ID、身份证标示的有效期或身份证标示的住址。
8.根据权利要求6所述的加密通信方法,其特征在于,若将所述对称密钥K1和K2替换为非对称密钥K1a和K2a,且K1a、K2a及所述对称密钥K3中的任意两方之间无演算关系,并将所述加密函数f替换为非对称加密/解密函数,则所述客户端主机基于K1a私钥和K2a公钥,所述应用服务器基于K2a私钥和K1a公钥,双方不传递随机数且不交换公钥即只传递响应而执行双向认证,且响应之间无演算关系。
9.根据权利要求1或8所述的加密通信方法,其特征在于,所述双向认证只传递响应而不传递随机数且采用非对称加密算法时不交换公钥,且响应之间无演算关系,响应与会话密钥之间也无演算关系。
10.根据权利要求1至9中任一所述的加密通信方法,其特征在于,在所述加密通信方法的各执行步骤中均能通过所述移动终端完成所述客户端主机的全部功能。
11.一种加密通信系统,其特征在于,所述系统包括只读存储器、客户端主机、移动终端及应用服务器;
所述只读存储器,用于为所述客户端主机提供客户端系统软件和客户端网络应用软件及所述应用服务器的IP地址;
所述客户端主机,其通过数据通信网与所述应用服务器连接,用于在启动后读取和运行所述只读存储器存储的客户端系统软件和客户端网络应用软件,并读取所述只读存储器存储的所述应用服务器的IP地址;用于通过所述移动终端将其IP地址发送至所述应用服务器;用于通过所述移动终端从所述应用服务器接收随机数和密钥;用于基于所述应用服务器的IP地址执行IP地址过滤,并与所述应用服务器执行双向认证和密钥协商而建立加密网络通信;
所述移动终端,其通过移动通信网与所述应用服务器连接,用于与所述应用服务器执行双向认证并建立加密移动通信;用于为所述客户端主机和所述应用服务器传递随机数和密钥及IP地址;
所述应用服务器,用于与所述移动终端执行双向认证并建立加密移动通信;用于通过所述移动终端接收所述客户端主机的IP地址;用于生成随机数和密钥,并将其通过所述移动终端发送至所述客户端主机;用于基于所述客户端主机的IP地址执行IP地址过滤,并与所述客户端主机执行双向认证和密钥协商而建立加密网络通信。
12.根据权利要求11所述的加密通信系统,其特征在于,所述只读存储器为CD-ROM、DVD-ROM、MASK ROM、PROM、EPROM、OTP ROM、EEPROM或FlashROM中的任一种。
13.根据权利11所述的加密通信系统,其特征在于,所述只读存储器通过有线通信接口或者无线通信接口与所述客户端主机连接,或者将所述只读存储器设计为所述客户端主机的一个硬件。
14.根据权利要求11所述的加密通信系统,其特征在于,所述移动终端为移动电话、PDA、平板电脑或笔记本电脑中的任一种。
15.根据权利要求11所述的加密通信系统,其特征在于,所述加密通信系统中能通过所述移动终端完成所述客户端主机的全部功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410270594.8A CN104092663A (zh) | 2013-07-24 | 2014-06-17 | 一种加密通信方法和加密通信系统 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310314997.3 | 2013-07-24 | ||
CN2013103149973A CN103415008A (zh) | 2013-07-24 | 2013-07-24 | 一种加密通信方法和加密通信系统 |
CN201410270594.8A CN104092663A (zh) | 2013-07-24 | 2014-06-17 | 一种加密通信方法和加密通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104092663A true CN104092663A (zh) | 2014-10-08 |
Family
ID=49607983
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2013103149973A Pending CN103415008A (zh) | 2013-07-24 | 2013-07-24 | 一种加密通信方法和加密通信系统 |
CN201410270594.8A Pending CN104092663A (zh) | 2013-07-24 | 2014-06-17 | 一种加密通信方法和加密通信系统 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2013103149973A Pending CN103415008A (zh) | 2013-07-24 | 2013-07-24 | 一种加密通信方法和加密通信系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9848320B2 (zh) |
JP (1) | JP6181303B2 (zh) |
CN (2) | CN103415008A (zh) |
WO (1) | WO2015010537A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106250556A (zh) * | 2016-08-17 | 2016-12-21 | 贵州数据宝网络科技有限公司 | 用于大数据分析的数据挖掘方法 |
CN106533669A (zh) * | 2016-11-15 | 2017-03-22 | 百度在线网络技术(北京)有限公司 | 设备识别的方法、装置和系统 |
CN107612691A (zh) * | 2017-11-07 | 2018-01-19 | 世纪龙信息网络有限责任公司 | 认证信息传输方法和装置以及用户信息认证系统 |
CN108848107A (zh) * | 2018-07-04 | 2018-11-20 | 成都立鑫新技术科技有限公司 | 一种安全传输网络信息的方法 |
CN111431586A (zh) * | 2020-04-17 | 2020-07-17 | 中国电子科技集团公司第三十八研究所 | 一种卫星网络安全通信方法 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103415008A (zh) * | 2013-07-24 | 2013-11-27 | 牟大同 | 一种加密通信方法和加密通信系统 |
US9585014B2 (en) * | 2013-12-23 | 2017-02-28 | Marvell International Ltd. | Fast recovery from ciphering key mismatch |
CN103780620B (zh) * | 2014-01-22 | 2017-05-24 | 牟大同 | 一种网络安全方法和网络安全系统 |
CN104917741B (zh) * | 2014-07-19 | 2018-10-02 | 国家电网公司 | 一种基于usbkey的明文文档公网安全传输系统 |
CN106797565B (zh) * | 2014-09-01 | 2020-07-14 | 华为技术有限公司 | 一种通信方法、移动网络设备、终端、应用服务器及系统 |
CN104506534B (zh) * | 2014-12-25 | 2017-11-21 | 青岛微智慧信息有限公司 | 安全通信密钥协商交互方案 |
CN106507331B (zh) * | 2015-09-07 | 2019-08-20 | 中国移动通信集团公司 | 一种卡应用数据的安全迁移方法、装置及系统 |
CN105554759A (zh) * | 2016-02-24 | 2016-05-04 | 中国联合网络通信集团有限公司 | 一种鉴权方法和鉴权系统 |
AU2017358604B2 (en) * | 2016-08-12 | 2021-11-04 | 7Tunnels, Inc. | Systems and methods for secure communication using Random Cipher Pad cryptography |
US10575179B2 (en) | 2016-11-30 | 2020-02-25 | Mastercard International Incorporated | System and method for device fraud prevention |
CN106998359A (zh) * | 2017-03-24 | 2017-08-01 | 百度在线网络技术(北京)有限公司 | 基于人工智能的语音识别服务的网络接入方法以及装置 |
JP7148947B2 (ja) | 2017-06-07 | 2022-10-06 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理装置 |
WO2019140554A1 (zh) * | 2018-01-16 | 2019-07-25 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
US11188685B2 (en) * | 2019-02-22 | 2021-11-30 | Google Llc | Secure transient buffer management |
GB2582169B (en) * | 2019-03-13 | 2021-08-11 | Trustonic Ltd | Authentication method |
CN110768795B (zh) * | 2019-10-30 | 2022-09-13 | 迈普通信技术股份有限公司 | 一种会话建立方法及装置 |
CN113204760B (zh) * | 2021-05-20 | 2022-04-15 | 郑州信大捷安信息技术股份有限公司 | 用于软件密码模块的安全通道建立方法及系统 |
CN114255530B (zh) * | 2021-12-06 | 2024-01-16 | 深圳供电局有限公司 | 一种用于供电设备的智能锁具的通信安全保障方法及系统 |
US11522958B1 (en) | 2021-12-12 | 2022-12-06 | Intrado Life & Safety, Inc. | Safety network of things |
CN114760138B (zh) * | 2022-04-20 | 2024-02-13 | 深圳市昊洋智能有限公司 | 基于云架构下的视频会议系统安全方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080123856A1 (en) * | 2006-11-24 | 2008-05-29 | Korea Information Security Agency | Method of Managing a Mobile Multicast Key Using a Foreign Group Key |
CN102737311A (zh) * | 2012-05-11 | 2012-10-17 | 福建联迪商用设备有限公司 | 网络银行安全认证方法和系统 |
CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0575598A (ja) * | 1991-09-18 | 1993-03-26 | Matsushita Electric Ind Co Ltd | 鍵データ共有装置 |
JP3662080B2 (ja) * | 1996-08-29 | 2005-06-22 | Kddi株式会社 | ファイアウォール動的制御方法 |
JP2000010927A (ja) * | 1998-06-25 | 2000-01-14 | Nec Yonezawa Ltd | 認証システム及び認証装置 |
US6901429B2 (en) * | 2000-10-27 | 2005-05-31 | Eric Morgan Dowling | Negotiated wireless peripheral security systems |
JP3944118B2 (ja) * | 2003-05-20 | 2007-07-11 | 株式会社東芝 | サーバ装置、携帯端末装置及び情報利用装置 |
JP2006217275A (ja) * | 2005-02-03 | 2006-08-17 | Neo Techno:Kk | Vpn通信装置及び通信システム |
JP4813133B2 (ja) * | 2005-09-20 | 2011-11-09 | 富士通株式会社 | 生体認証方法及び生体認証システム |
US20090037734A1 (en) * | 2006-02-28 | 2009-02-05 | Matsushita Electric Industrial Co., Ltd. | Device authentication system, mobile terminal device, information device, device authenticating server, and device authenticating method |
JP5488716B2 (ja) * | 2010-11-30 | 2014-05-14 | 富士通株式会社 | 鍵更新方法、ノード、ゲートウェイ、サーバ、およびネットワークシステム |
CN103415008A (zh) * | 2013-07-24 | 2013-11-27 | 牟大同 | 一种加密通信方法和加密通信系统 |
-
2013
- 2013-07-24 CN CN2013103149973A patent/CN103415008A/zh active Pending
-
2014
- 2014-06-17 CN CN201410270594.8A patent/CN104092663A/zh active Pending
- 2014-07-08 WO PCT/CN2014/081835 patent/WO2015010537A1/zh active Application Filing
- 2014-07-08 US US14/907,280 patent/US9848320B2/en not_active Expired - Fee Related
- 2014-07-08 JP JP2016528326A patent/JP6181303B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080123856A1 (en) * | 2006-11-24 | 2008-05-29 | Korea Information Security Agency | Method of Managing a Mobile Multicast Key Using a Foreign Group Key |
CN102737311A (zh) * | 2012-05-11 | 2012-10-17 | 福建联迪商用设备有限公司 | 网络银行安全认证方法和系统 |
CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106250556A (zh) * | 2016-08-17 | 2016-12-21 | 贵州数据宝网络科技有限公司 | 用于大数据分析的数据挖掘方法 |
CN106250556B (zh) * | 2016-08-17 | 2019-06-18 | 贵州数据宝网络科技有限公司 | 用于大数据分析的数据挖掘方法 |
CN106533669A (zh) * | 2016-11-15 | 2017-03-22 | 百度在线网络技术(北京)有限公司 | 设备识别的方法、装置和系统 |
CN106533669B (zh) * | 2016-11-15 | 2018-07-13 | 百度在线网络技术(北京)有限公司 | 设备识别的方法、装置和系统 |
CN107612691A (zh) * | 2017-11-07 | 2018-01-19 | 世纪龙信息网络有限责任公司 | 认证信息传输方法和装置以及用户信息认证系统 |
CN108848107A (zh) * | 2018-07-04 | 2018-11-20 | 成都立鑫新技术科技有限公司 | 一种安全传输网络信息的方法 |
CN111431586A (zh) * | 2020-04-17 | 2020-07-17 | 中国电子科技集团公司第三十八研究所 | 一种卫星网络安全通信方法 |
Also Published As
Publication number | Publication date |
---|---|
US9848320B2 (en) | 2017-12-19 |
JP6181303B2 (ja) | 2017-08-16 |
CN103415008A (zh) | 2013-11-27 |
US20160165435A1 (en) | 2016-06-09 |
WO2015010537A1 (zh) | 2015-01-29 |
JP2016525838A (ja) | 2016-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104092663A (zh) | 一种加密通信方法和加密通信系统 | |
EP2950506B1 (en) | Method and system for establishing a secure communication channel | |
JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
CN102547688B (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
CN105450406A (zh) | 数据处理的方法和装置 | |
WO2016161583A1 (zh) | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
CN105282179A (zh) | 一种基于cpk的家庭物联网安全控制的方法 | |
CN101286849A (zh) | 基于约定算法的第三方认证系统和方法 | |
CN111512608A (zh) | 基于可信执行环境的认证协议 | |
CN109309566B (zh) | 一种认证方法、装置、系统、设备及存储介质 | |
CN105307164B (zh) | 一种可穿戴设备的认证方法 | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
Di Pietro et al. | A two-factor mobile authentication scheme for secure financial transactions | |
CN103312671B (zh) | 校验服务器的方法和系统 | |
Li et al. | Security and vulnerability in the Internet of Things | |
CN115001658A (zh) | 在非稳定网络环境下可信的地铁身份认证和存取控制方法 | |
Sinha et al. | A Secure Three-Party Authenticated Key Exchange Protocol for Social Networks. | |
CN103929743B (zh) | 一种对移动智能终端传输数据的加密方法 | |
Cimato | Design of an authentication protocol for GSM Javacards | |
Ashraf et al. | Robust and lightweight remote user authentication mechanism for next-generation IoT-based smart home |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20180608 |
|
AD01 | Patent right deemed abandoned |