CN104247481A - 安全通信系统和方法 - Google Patents
安全通信系统和方法 Download PDFInfo
- Publication number
- CN104247481A CN104247481A CN201280061646.XA CN201280061646A CN104247481A CN 104247481 A CN104247481 A CN 104247481A CN 201280061646 A CN201280061646 A CN 201280061646A CN 104247481 A CN104247481 A CN 104247481A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- key
- response
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
在一个实施例中,一种在连接性受限的环境中将数据从用户终端发送到通信网络上的解密部件的方法包括:在用户终端:在用户终端从用户接收数据。如果判断该数据是敏感数据,则使用安全加密密钥将该敏感数据加密。基于隧道协议产生包,该包包括命令数据和加密后的敏感数据。该命令数据包括网络部件的地址、命令和命令标识符。该命令标识出该安全加密密钥已经被用于加密该敏感数据。在该地址中标识出的网络部件处:在第一端口接收该包;读取该命令;将该包经由第二端口转发给该解密部件以便解密;并且向用户终端转发包括响应和该命令标识符的响应包。
Description
技术领域
本发明涉及通信系统和方法。
背景技术
基于包(packet-based)的通信系统允许例如个人计算机等装置的用户在例如因特网等计算机网络上通信。基于包的通信系统包括因特网上语音协议(“VoIP”)通信系统。这些系统对用户有益,因为它们在成本上通常显著低于固定线路或移动网络。这对于长距离通信可能尤其如此。为了使用VoIP系统,用户必须在他们的装置上安装并执行客户端软件。该客户端软件提供VoIP连接以及其他功能,如注册和认证。除了语音通信以外,客户端还可以提供其他特征,如视频呼叫、即时消息(“IM”)、SMS消息和语音信箱。
一种基于包的通信系统使用在私有协议上构建的对等(“P2P”)拓扑。为了能够访问对等系统,用户必须在他们的计算机上执行由P2P软件提供商提供的P2P客户端软件,并且向P2P系统登记。当用户向P2P系统登记时,从服务器向客户端软件提供数字证书。一旦客户端软件装备有该证书,就可以随后在P2P系统的用户之间建立通信并进行路由而不再使用服务器。具体来说,用户可以基于使得能够访问P2P系统的一个或多个数字证书(或者用户身份证书,“UIC”)的交换、通过P2P系统建立它们自己的通信路由。用户之间数字证书的交换提供用户的身份以及他们在P2P系统中被适当授权和认证的证据。因此,呈现数字证书可提供对用户身份的信任。因此,通信不使用服务器而是直接从终端用户路由到终端用户是对等通信的特征。在WO2005/009019中公开了这种P2P系统的更多细节。
基于包的通信系统的问题是需要具有足够带宽的与因特网的可靠连接。尽管当用户在已知的固定位置(如他们的家)时这通常不是问题,但是当用户旅行时这可能特别成问题。用户在旅行时可以广泛利用由无线局域网(“WLAN”)接入点和适当热点软件提供的无线因特网热点。这些热点通常可以在公共区域获得,如机场、咖啡馆和车站。然而,这些热点经常是不开放的,并且访问被限制并被保护。这些热点需要用户作为付费的回报从热点经营者获得登录凭证。
例如无线因特网服务提供商漫游(Wireless Internet Service Provider roaming, WISPr)协议等协议可被用于访问热点。当使用WISPr协议时,尝试使用访问受限热点连接到因特网的用户被重定向到热点的经营者的登录服务器。该重定向导致向用户显示登录页面。该登录页面提示用户输入用户名和口令(例如,如果这已经被用户预先购买或者作为预先计划的账单方案的一部分被提供)或者输入信用卡(或者其他支付)详情。通过输入需要的信息,用户可以访问热点并且可以连接到因特网,并且因此被收费。
以这种方式访问热点是有问题的。首先,用户将付费详情输入到热点的登录服务器存在安全问题。用户必须足够信任热点提供商不会泄露他们的付费详情或个人数据。其次,用户不方便将付费详情输入到热点登录服务器,因为这需要他们手边具有他们的付费详情。第三,手动登录和输入该信息是一个慢过程,如果用户希望快速访问因特网以使用基于包的通信系统,这是不胜任的。
GB2464553通过使用户能够使用用户已经为使用基于包的通信系统而购买的信用来为访问热点付费,解决了访问受限WLAN热点所具有的上述问题中的一些。当用户已经使用基于包的通信系统时,他们通常已经与基于包的通信软件提供商具有付费关系。典型地,这是用户已经例如为了在因特网和公共交换电话网络(“PSTN”)之间进行呼叫而购买的预付信用的形式。
用户信任基于包的通信软件的提供商,因为他们具有预先存在的账单方案。因此,用户更安心地向基于包的通信软件的提供商提供个人数据或登录凭证而不是向热点经营者提供。
当使用预付信用时,用户不需要只要在他们想要访问热点时就得输入付费详情。由于预先存在的账单关系,改为他们只需要提供他们的基于包的通信网络的登录凭证。用于访问热点的机制可以紧密集成到通信客户端软件中,这可以大大加快用户经由热点访问基于包的通信系统的过程。
然而,希望访问热点的许多用户不能使用上述预付信用方法,因为他们在他们的账户上没有信用。
在没有预先获得预付信用的情况下,使用户能够为访问热点付费具有若干问题。用户此时不能获得信用,因为因特网访问还是不可利用的,所以不能使用标准的基于web的付费方法。
当热点不在基于包的通信软件的提供商的控制下而是改为由第三方操作时,存在安全问题。第三方可能是恶意用户,其建立的热点看上去像合法热点,但是只用于收集用户凭证和/或付费用具详情。因此,在基于包的通信网络中将用户的登录凭证和付费详情暴露给第三方热点经营者是不适当的。
此外,在未付费或者未呈现有效凭证的情况下,用户不能访问因特网以获得信用。
发明内容
根据本发明的一方面,提供一种在连接性受限的环境中将数据从用户终端发送到通信网络上的解密部件的方法,该方法包括:
在该用户终端:
在该用户终端从用户接收数据;
如果判断为该数据是敏感数据,则使用安全加密密钥将该敏感数据加密;
根据隧道协议产生包,该包包括命令数据和加密后的敏感数据,所述命令数据包括网络部件的地址、命令和命令标识符,其中该命令标识出该安全加密密钥已经被用于加密该敏感数据。
本发明可以包括,在该地址中标识出的网络部件处:在第一端口接收该包;
读取该命令;
将该包经由第二端口转发给该解密部件用于解密;并且
向该用户终端转发包括响应和该命令标识符的响应包。
根据本发明的另一方面,提供一种通信系统,该通信系统包括解密部件,该解密部件包括:
输入,其用于接收具有命令数据和加密后的敏感数据的包;存储器,其保存安全密钥;以及处理器,其配置为执行计算机程序,该计算机程序使用该安全密钥解密接收到的包含加密后的敏感数据的包,验证所述敏感数据,并且产生验证响应,以及网络部件,其连接到该解密部件并且具有保存不同于该安全密钥的会话密钥的存储器,并且包括处理器,其配置为读取接收到的每个包中的命令数据;从该命令数据中识别加密密钥;如果该加密密钥是该会话密钥,则将包解密,而如果该加密密钥是该安全密钥,则将包转发到该解密部件。
该敏感数据可以是付费数据。
该会话加密密钥可以是密钥对中的一个,其中该对密钥保存在该网络部件处。该安全加密密钥可以是密钥对中的一个,其中该对密钥保存在该解密部件处并且是网络部件所不知的。
本发明的另一方面提供一种用户终端,其具有:用户界面,其配置为提示用户至少输入敏感数据或会话数据;
处理器,其配置为执行计算机程序,该计算机程序:
接收所述数据;
判断该数据是敏感数据还是会话数据;
利用安全加密密钥将敏感数据加密,或者利用会话密钥将会话数据加密;
产生包,该包包括命令数据和所述加密后的数据,该命令数据为纯文本并且包括命令和命令标识符,其中该命令标识出该安全密钥或者该会话密钥是否已经被使用。
该计算机程序可以是在通信网络中建立通信事件的通信客户端,如Skype TM。然而,该功能可以作为单独的付费应用程序或者作为任何其他相关应用程序的特征来实现,如作为诸如Windows TM等操作系统的一部分的WIFI网络管理器。
通过以纯文本提供该命令数据,不过,在接收到该命令的网络部件不能解密为解密部件设计的数据的情况下,它可以判断该命令是否应该被转发给解密部件。
本发明的另一方面提供一种在通信网络中使用的网络部件,包括:
第一端口,其用于与该通信网络交换包;
第二端口,其用于在安全环境中与解密部件交换包;
处理器,其配置为执行计算机程序,该计算机程序:
接收来自第一端口的包,该包包含加密后的数据和包括命令和命令标识符的命令数据;
读取该命令并且判断是否已经使用安全密钥或者会话密钥来加密该数据;
如果已经使用会话密钥,则解密该数据并作用于该数据;而如果已经使用安全密钥,则将该包转发到第二端口,并且通过第一端口发送包括响应和该命令的响应包。
在该背景下,安全环境涵盖访问受限的环境和/或信用卡处理环境。
本发明的另一方面是一种在通信网络中操作网络部件的方法,该方法包括:
通过该通信网络从该网络部件的第一端口接收包,该包包含加密后的数据和包括命令和命令标识符的命令数据;读取该命令并且判断是否已经使用安全密钥或会话密钥来加密该数据,如果已经使用会话密钥,则解密该数据并且作用于该数据,而如果已经使用安全密钥,则将该包转发到第二端口以便与解密部件交换包,并且经由第一端口发送包括响应和该命令标识符的响应包。
本发明还提供一种计算机程序产品,该计算机程序产品在被处理器执行时实现上述方法。
附图说明
为了更好地理解本发明以及为了示出如何实现本发明,现在以举例的方式参考附图,其中:
图1示出基于包的通信系统;
图2示出执行通信客户端的用户终端;
图3示出该通信系统中部件的示意性框图;
图4示出用于发送安全数据的信令图表;
图4A示出用于登录到WLAN热点的过程的信令图表;以及
图4B示出用于状态查询的信令图表。
具体实施例
如上所述,本发明的实施例可用于提供一种在连接性受限的环境中、特别是在对因特网的访问未被授权的情况下解决数据传输问题的方案。在GB2464553中描述了即使在因特网访问开放之前也使用DNS隧道与后端服务器交换数据的访问协议。在此,该协议扩展为从客户端向后端服务器传送付费详情,使得用户可以购买信用,并且通过热点访问因特网。
首先参考图1,图1示出基于包的通信系统100。注意,尽管关于P2P通信系统描述了该说明性实施例,但是也可以使用其他类型的通信系统,如非P2P、VoIP或者IM系统。该通信系统的第一用户(名字为“Tom Smith”102)操作用户终端104,用户终端104能够连接到网络106,如因特网。用户终端104可以例如是个人计算机(“PC”)(包括,例如,WindowsTM、Mac OSTM和LinusTM PC)、个人数字助手(“PDA”)、移动电话、游戏装置或者能够连接到网络106的其它嵌入式装置。用户终端104配置为接收来自该装置的用户102的信息并向其输出信息。在本发明的优选实施例中,该用户装置包括显示器,如屏幕,以及输入装置,如键盘、鼠标、游戏杆和/或触摸屏。
在图1中所示的例子中,用户终端104包括能够连接到WLAN接入节点107的网络接口。该接入节点包括:接入点(“AP”)108,其提供与接入节点107的无线连接;以及热点入口109,其控制用户终端是否能够连接到接入节点107。AP 108和热点入口109可以共同位于单个实体中,或者设置在明显分开的实体中。然而,无论结构布局如何,这两个要素的功能是相同的,使得热点入口109控制用户终端是否能够通过AP 108连接到网络106(并由此连接到因特网)。热点入口109提供诸如重定向的功能,用于认证和付费。
用户终端104运行由软件提供商提供的通信客户端110。通信客户端110是在用户终端104中的本地处理器上执行的软件程序。用户终端104还连接到手机112,手机112包括扬声器和麦克风,以使用户能够在语音呼叫中听和说。该麦克风和扬声器不一定是传统的手机电话的形式,也可以是具有集成麦克风的头戴式听筒或耳机的形式,作为独立连接到用户终端104或者集成到用户终端104本身的分开的扬声器和麦克风。
假定用户102能够通过WLAN接入节点107访问网络106,则通过选择联系人并且使用诸如鼠标等指示装置在用户界面上点击“呼叫”按钮,可以在通信系统上发起对联系人列表中的用户的VoIP呼叫。再次参考图1,使用私有协议进行呼叫建立,并且由对等系统确定呼叫用户和被呼叫用户之间在网络106上的路由而不使用服务器。例如,第一用户“Tom Smith”102可以呼叫第二用户“Kevin Jackson”114。
通过呈现数字证书(以证明用户是通信系统的真正订户-在WO2005/009019中更详细地描述)进行认证之后,可以使用VoIP进行该呼叫。客户端110对VoIP包进行编码和解码。来自用户终端104的VoIP包经由接入节点107发送到网络106,并且经由网络接口118路由到被呼叫方114的计算机终端116。在被呼叫用户114的用户终端116上运行的客户端120(与客户端110类似)将VoIP包解码,以产生被呼叫用户使用手机122能够听到的音频信号。相反地,当第二用户114对手机122讲话时,在用户终端116上执行的客户端120将该音频信号编码为VoIP包,并且在网络106上将它们发送到用户终端104。在用户终端104上执行的客户端110将VoIP包解码,并且产生手机112的用户能够听到的音频信号。
如上所述的用户(如102和114)之间的呼叫的VoIP包只在网络106上传送,并且不涉及公共交换电话网络(“PSTN”)124。此外,由于系统的P2P本性,可以在不使用中心服务器的情况下进行通信系统的用户之间的实际语音呼叫。这具有网络容易缩放并且保持高语音质量的优点,并且用户可以自由地进行呼叫。另外,通过将呼叫路由到PSTN网络124,还可以进行从使用基于包的通信系统的客户端(110、122)向固定线路或移动电话126的呼叫。类似地,可以经由PSTN 124进行从固定线路或移动电话126向基于包的通信系统的呼叫。
除了进行语音呼叫以外,客户端110的用户还能够以若干种其他方式与用户通信,例如,通过即时消息(也称为聊天消息)、文件传输、向联系人发送语音邮件或者建立视频呼叫。
图2示出其上执行客户端110的用户终端104的详细视图。用户终端104包括中央处理单元(“CPU”)302,诸如屏幕的显示器304经由显示器接口305连接到CPU 302,诸如键盘306的输入装置和诸如鼠标308的指示装置经由诸如USB的接口309连接到CPU 302。在可供选择的终端中,输入装置和指示装置可以集成到该终端中,如小键盘、触摸屏和/或游戏杆。输出音频装置310(例如,扬声器)和输入音频装置312(例如,麦克风)通过音频接口313连接。输出音频装置310和输入音频装置312可以集成到手机112或头戴式听筒中,或者可以是分开的。CPU 302连接到网络接口311,用于连接到WLAN AP。
图2还示出在CPU 302上执行的操作系统(“OS”)314。客户端110用的软件栈316运行在OS 314的顶部。该软件栈示出协议层318、客户端引擎层320和客户端用户界面层(“UI”)322。每层负责特定的功能。因为每个层通常与两个其他层通信,所以它们被看作设置在如图3中所示的栈中。操作系统314管理计算机的硬件资源,并且处理经由网络接口108发送到网络和从网络发送来的数据。客户端软件的客户端协议层318与操作系统314通信,并且管理该通信系统上的连接。需要更高等级处理的过程被传递到客户端引擎层320。客户端引擎320也与客户端用户界面层322通信。客户端引擎320可以设置为控制客户端用户界面层322,以经由客户端的用户界面(如图2中所示)向用户呈现信息并且经由用户界面从用户接收信息。
访问管理器324也被示出为集成到客户端110中。访问管理器324负责管理对WLAN热点的访问。在优选实施例中,访问管理器324集成到客户端110中,并且使用客户端UI层322以向用户显示信息,并且使用客户端协议层318连接到通信系统。在可选择的实施例中,访问管理器324可以作为在OS 314上执行的独立软件来实现,但是它与客户端110通信。
图3是示出在图1的通信系统中使用的安全访问系统的部件的示意性框图。图1中所示的部件中的一些也在图2中被示出,并且用相同的参考标记来表示。除了图1中所示的部件以外,图2示出连接到入口109的万维网服务器200和域名服务器202。
图1和图3还示出通信客户端软件提供商域名服务器(“DNS”)128。DNS协议被用于使用称为DNS隧道的技术绕过热点109的访问限制。注意,通信客户端软件提供商域名服务器(“DNS”)128不一定是实际的域名服务器,而可以是专门配置的后端服务器,其设置为使用DNS协议通信。图1和图3中还示出访问查找数据库130,其可被用于以从GB2464553知道的并且稍后将简要描述的方式提供对热点的访问。
图3中所示的安全访问系统包括安全环境,例如,包括密码服务部件214的付费控制产业环境210,密码服务部件214将DNS后端服务器128连接到安全web付费API 212。付费处理机集成服务216连接到订购和卡数据的数据库218,数据库218也连接到密码服务部件214。密码服务部件214经由API 212连接到访问数据库220。
数据库220用于在本文中讨论的付费过程中验证用户证书。
信用卡号处理必须符合用于PCI顺从性的一组严格规则,主要要求是卡号和其他敏感数据必须从客户端终端到被认为安全的PCI顺从环境210端到端加密。
为了实现这一点,引入新的包类型以扩展用于建立会话(稍后描述)的访问协议。新的包类型承载加密的敏感数据的有效负荷,在此情况下,后端服务器不能解密付费业务。服务器128将付费业务转发到密码服务部件214。
通过使用不同的公共密钥加密密钥对以便加密会话包和安全付费包来保持安全性。
现在参考图4,图4说明在客户端和PCI环境之间实现安全通信的过程,利用该安全通信可以在不建立因特网访问的情况下进行付费。
该付费方法独立于稍后关于图4A描述的步骤S412和S414之间的会话建立过程。
在下文中,付费消息被编码为DNS查询,该DNS查询经由AP 108的DNS入口在网络106上被发送到通信客户端软件提供商域名服务器(“DNS”)128。DNS协议被用于使用被称为DNS隧道的技术绕过热点109的访问限制。
这通过使用规范名称(“CNAME”)记录DNS查询来实现。查询和响应格式二者都必须遵守严格的规则。当以多达63个字符的标签与长度字节混合的内部格式表达时,完全合格域名(“FDQN”)的总长度不能超过255个字节。使用最大长度的标签,有250个字符用于承载有效负荷。Base32编码可以与字典abcdefghjklmnopqrstuvwxyz0123456一起使用。每个字符可以承载5位的二进制有效负荷,这意味着每个响应和查询能承载1248位。1152位Rivest Shamir Adleman(“RSA”)密钥被用于加密。查询的可读形式与“data.data.data.access.skype.com”的形式类似。每个DNS隧道包具有标识该包的目的地的地址,如后端DNS服务器。
在S441中,从终端104中的客户端110发送开始付费请求。开始付费请求为如下形式:
表格1
| 字段 | 长度 | 说明 |
| 命令 | 1 | CMD开始交易=6 |
| cmdid | 1 | 客户端分配命令ID,服务器在响应中将其发回,以允许匹配命令和响应 |
| 挑战 | 16 | 随机客户端挑战 |
| skype名字 | 32 | 字符串,如果skype名字的长度正好为32个字符,则可以以非零结尾 |
| pwdhash | 16 | 口令散列 |
注意,在本文中,对“Skyper”和“Skype(TM)”名称的提及不意图限制于Skype通信系统,可以使用任何用户名或登录证书。
注意,除了命令和CMD ID字段以外(它们是纯文本),请求中的每个剩余字段都用安全RSA私钥加密。付费RSA私钥是11552位Rivest, Shamir, Adelman密钥,在本文中专用于付费目的。如下文所述,不同的RSA密钥用于建立会话。DNS服务器128无权使用安全付费RSA密钥,所以不能解密该请求。它将该请求转发到密码服务部件214。由COMMAND字段标识已经使用安全密钥这一事实。实际上,服务器128将加密后的字段作为二进制大对象(blob)来处理。服务器128将该请求作为请求有效负荷通过安全web付费API 212不变地转发到密码服务部件214。
付费RSA密钥的私人部分仅为安全环境内的密码服务部件所知,并且该密码部件使用密钥的私人部分来认证用户。在本实施例中,认证使用安全web.api,但是对于不同用户类型,认证方法可以不同。利用随机交易ID号码在该数据库中产生交易记录。这被表示为S442。密码服务部件214返回如下形式的连续交易消息(S443):
表格2
。
在上述消息中,使用设置为MD5(客户端挑战,“加密”,初始化矢量)的RC4密钥、利用包含RC4初始化矢量的字段加密交易ID。注意,在不同的实施方式中可以使用其他对称加密算法,如AES、DES等。cmdid字段包含由客户端分配的命令ID。结果代码字段含有向客户端提供状态信息的响应。该连续交易消息被返回到服务器128,然后返回到客户端110,在S444客户端110返回如下格式的产品详情消息:
表格3
| 字段 | 长度 | 说明 |
| 命令 | 1 | CMD产品详情=8 |
| cmdid | 1 | 客户端分配命令ID,服务器在响应中将其发回,以允许匹配命令和响应 |
| 挑战 | 16 | 随机客户端挑战 |
| 交易ID | 16 | |
| 产品 | 1 | 产品ID(0=skype信用,1=具有auto-topup的skype信用 |
| 数量 | 4 | 付费货币数量(unit 32网络字节订单) |
| 国家 | 2 | ISO 2字符代码。账单国家(以确定VAT)。 |
如果产品详情被接受,则在步骤445服务器128以连续交易消息进行响应。在产品详情消息中,除了命令和CMD ID字段以外的所有字段都使用付费RSA密钥来加密。因此它们被提供给密码服务部件214以便解密和验证。
在客户端104接收连续交易消息。付费详情被客户端设计成付费详情消息,在S416,该付费详情消息被发送到密码服务部件214。注意,命令和响应的整个流程发生在用户已经在显示给他的屏幕中的用户界面中输入全部详情之后。然后3个命令的顺序由客户端自动发布。
表格4
| 字段 | 长度 | 说明 |
| 命令 | 1 | CMD付费详情=9 |
| cmdid | 1 | 客户端分配命令ID,服务器在响应中将其发回,以允许匹配命令和响应 |
| 挑战 | 16 | 随机客户端挑战 |
| 交易ID | 16 | |
| 卡类型 | 1 | 0=未知,1=维萨信用卡,2=万事达信用卡 |
| 卡号 | 10 | 最多19个数字,BCD编码,0×f用于填补末尾 |
| 失效期 | 2 | MM/YY,BCD编码,第一字节为月份,第二字节为年 |
| 卡持有人名字 | 26 | 如果名字长度不足26个字符,则用0填补 |
| 验证号码 | 2 | 3或4数字验证号码。0×f用于填补 |
除了命令和CMD ID字段(它们是纯文本)以外的付费详情消息中的字段使用付费RSA密钥来编码。当接收到付费详情时,密码服务部件214将付费详情解密,基于交易ID查看先前存储的交易数据,并且产生针对web付费API 212的请求消息,web付费API 212使用PCI数据库218以认证付费。在S448,由安全web API 212产生付费响应,该付费响应包括付费ID,优选为随机号码或者一些其他不可预测参数的形式。付费ID被密码服务部件214设计为付费响应,并且该响应返回到DNS服务器128,并且从DNS服务器128回到客户端。下面给出付费响应的格式。
表格5
。
现在回到在S443中作为对开始交易消息S442的响应和在S445中作为对产品详情消息的响应提供的连续交易消息。在这两个响应中,结果代码字段可以保存四个可能响应中的一个:
● 结果_连续
● 结果_未认证
● 结果_无效交易
● 结果_付费失败。
在大多数情况下,这些结果选项由密码服务部件214根据解密和认证的结果提供给DNS服务器。然而,如果密码服务部件214响应失败,则该网络部件可以自己产生第四结果选项(结果_付费失败)。DNS服务器利用以纯文本发回的命令代码、RC4初始化矢量代码、命令ID和结果代码产生具有表2中给出的格式的消息。当没有交易ID时,不需要加密有效负荷的任何部分。此外,当没有被加密的部分时,RC4初始化矢量代码是无意义的。
当客户端具有付费ID(在S448中产生的付费响应消息中提供)时,其可以使用具有下面给出的格式的付费状态查询消息来轮询付费状态(见图4B)。
表格6
| 字段 | 长度 | 说明 |
| 命令 | 1 | CMD_付费状态查询=11 |
| cmdid | 1 | 客户端分配命令ID,服务器在响应中将其发回,以允许匹配命令和响应 |
| 挑战 | 16 | 随机客户端挑战 |
| skype名字 | 32 | 字符串,如果skype名字的长度正好为32个字符,则可以以非零结尾 |
| pwdhash | 16 | 密码散列 |
| 付费ID | 16 |
状态查询消息被提供给DNS服务器128,DNS服务器128将其传送到密码服务部件214用于解密。密码服务部件214使用安全web付费API来访问PCI数据库218并且确定付费状态。付费状态被安全web API 212返回到密码服务部件214,密码服务部件214产生具有下面给出的格式的付费状态结果消息,该消息从DNS服务器128传送到终端104的客户端110。
表格7
。
上述方法解决了在连接性受限的环境中传输安全数据的问题。一旦已经进行付费,用户就可以接收信用,使得他们可以随后使用例如GB2464553中给出的并且下面将参照图4A更充分地描述的技术利用预支付的信用访问热点。在下文中,查询和响应格式也必须遵守如上所述的针对DNS设置的规则。此外,RSA密钥被用于加密,但是这不同于该RSA密钥被用于与密码服务部件进行安全交换以便交换付费详情。也就是说,针对为了使用信用访问热点而访问DNS服务器和为了进行付费而访问密码服务部件,存在不同的公共密钥加密密钥对来将包加密。
尽管付费流程独立于会话建立,现在描述会话建立的方法。在一个实施例中,在将付费屏幕呈现给用户之前执行SSID请求和令牌请求(下面描述),从而付费命令流程遵循图4A中所示的步骤,然后重复会话建立过程,因为期间令牌已经超时。
现在回到图4A,作为第一步(图中未示出),其上安装有客户端的装置的操作系统314扫描可利用的无线网络。该操作系统可以自动连接到记住的接入点或者提示用户选择接入点。由OS 314进行的扫描操作取决于使用中的用户终端104及其运行的OS。
访问管理器324(图2中)检测在网络接口311发生的变化。这可以通过将网络接口事件通知给访问管理器324或者通过访问管理器周期性地轮询来实现,针对其所使用的机制取决于所讨论的用户终端104。
当检测到网络接口中的变化时,访问管理器324读取由OS 314扫描发现的AP 108的服务集标识符(“SSID”)。响应于此,访问管理器324产生SSID信息查询。该查询被用于查明访问管理器是否能够登录到所讨论的热点109以及是否能够使用预先存在的付费信用为访问付费。为此,访问管理器324需要在网络106上向保存可接受的SSID的数据库的服务器发送SSID信息查询。然而,对网络106的一般访问受到热点109限制。在可选实施例中,可接受的SSID的数据库可保存在用户终端,但是这更难以管理。作为付费消息,SSID信息查询被编码为DNS查询。
从访问管理器324发送到通信客户端软件提供商DNS服务器128的SSID信息查询包括用于标识无线LAN AP 108的SSID、媒体访问控制(“MAC”)地址(标识AP 108的物理网络接口)以及可选的登录到客户端110的用户102的用户名(Skype名字)。
更具体来说,SSID信息查询的有效负荷包括以下数据:
● 命令:1个字节,表示有效负荷是SSID信息请求
● cmdid:1个字节,客户端分配的命令ID。然后在响应中DNS服务器将其发回,以允许匹配命令和响应
● 用户名:32个字节,字符串,如果用户名长度正好是32个字节,则可以以非零结尾
● 接入点SSID:32个字节,字符串,如果SSID长度正好是32个字节,则可以以非零结尾
● 接入点MAC:6个字节,二进制,如果不可用,则全为零
● 随机客户端挑战:16个字节,二进制。
超过32个二进制字符的用户名的用户名散列:20个字节(SHA1)(只有用户名不以零结尾时才有意义)
有效负荷的命令部分被发送并且不被加密。其余的有效负荷为了安全被RSA加密。然后该有效负荷被base32编码,得到的结果随后被分解为分开的标签,并且添加了基于包的通信系统提供商运行DNS服务的域名,例如“.access.skype.com”。
然后客户端110中的访问管理器324进行递归式CNAME查询。如所述的,因为这是DNS查询(使用DNS隧道),所以即使热点109限制对网络106的访问,也可以发送该消息。
当接收到SSID查询时,通信客户端软件提供商DNS服务器128通过级联所有标签并且省去词典中没有的字符来提取二进制的有效负荷,直到结果的长度为231个字符,此时base 32编码被去除,导致144字节的二进制有效负荷。然后该二进制有效负荷被RSA解密。
通信客户端软件提供商DNS服务器128判断热点109运营者和付费合作方(即,与其存在账单方案的信任合作方)之间是否存在协定。这是通过利用SSID查询访问数据库130来确定的。从访问DB 130接收到响应。还检索该热点109的价格信息。通过利用用户名查询用户数据库132并且接收响应可以任选地确定用户的位置(在用户简档信息中设定)。通过使用该数据,可以按用户的本地货币给出价格信息。
注意,通过任选的DB接入节点129访问图1中的数据库。
如果SSID信息查询不包括MAC地址,则DNS服务器128只查找SSID,忽略MAC。如果该查询指定某个MAC,则服务器尝试寻找匹配。如果未找到匹配,则服务器在响应中将MAC地址清零,并且以一般的SSID信息响应。
通信客户端软件提供商DNS服务器128产生SSID响应,其被编码为DNS响应。如果判断用户102可以使用他们的信用(为了使用基于包的通信系统而购买的)为通过AP 108访问因特网付费,则SSID响应将指示:客户端110可以使用访问管理器324为访问热点付费。具体来说,SSID响应可以包括以用户的本地货币计价的热点109的价格信息。
如果用户没有信用,则向其显示弹出消息,该消息指出他可以购买信用,并且开始图4的付费程序。在一个实施例中,通过失败的令牌请求查询来确定信用的可用性,但是也可以通过其他方式来提供该信息。
由通信客户端软件提供商DNS服务器产生的SSID信息响应有效负荷包括:
● cmdid:1个字节,该响应所对应的SSID请求命令的命令ID
● 接入点SSID:32个字节,字符串,如果SSID的长度正好为32个字节,则可以以非零结尾
● 接入点MAC:6个字节,二进制,如果不可用,则全为零
● 价格:4个字节,大端(big endian)无符号整数
● 价格精确度:4个字节,价格十进制精确度,大端无符号整数
● 货币:4个字节,零结尾的3字母货币代码
● 提供商ID:2个字节,大端整数。
通信客户端软件提供商DNS服务器128使用从查询中提供的‘客户端挑战’导出的加密密钥来加密SSID信息响应。加密之后有效负荷被base32编码。
在步骤S412中使用DNS隧道将SSID信息响应发送到客户端110。
响应于接收到对SSID信息查询的肯定响应,访问管理器324被配置为产生令牌请求并且在步骤S414中使用DNS协议(隧道)将该令牌请求发送到通信客户端软件提供商DNS服务器128。
令牌请求消息的有效负荷包括:
● 命令:1个字节
● cmdid:1个字节,客户端分配的命令ID
● 用户名:32个字节,字符串,如果用户名的长度正好为32个字节,则可以以非零结尾
● 接入点SSID:32个字节,字符串,如果SSID的长度正好为32个字节,则可以以非零结尾
● 口令散列:16个字节(MD5),二进制
● 随机客户端挑战:16个字节,二进制
● 超过32个二进制字符的用户名的用户名散列:20个字节(SHA1)(只有用户名不以零结尾时才有意义)。
1字节命令被发送并且不被加密,其余的117个字节的总有效负荷被RSA加密。口令散列是用户名/口令散列,另外,公共RSA密钥的前16个字节被散列。这使得该散列仅在如下情况时才可用:RSA密钥已经被用于将包加密,当RSA密钥无效时,使所有以前发送的散列值无效。
然后将得到的1160位进行base32编码,得到的结果被分解为分开的标签,并且添加了基于包的通信系统提供商运行DNS服务的域名,例如“.access.skype.com”。然后在步骤S414中客户端110对通信客户端软件提供商DNS服务器128按IN类别进行递归CNAME查询。由于每个查询都不同,所以每个查询都到达对于指定的域给出权威回答的DNS服务器。
‘客户端挑战’被用于产生用来加密响应包并且还用来从令牌(下面描述)产生会话ID值的密钥。例如,可以使用RC4-drop(768)对称加密算法,但是也可以使用流模式的任何对称密码。
响应于接收到令牌请求,通信客户端软件提供商DNS服务器配置为将该令牌请求解密并且提取用户名和口令散列。在步骤S416和S418中,DNS服务器对照用户数据库132中列出的证书来验证用户名和口令。在步骤S420中,向账户DB 134请求用户的信用余额,并且在S422中接收响应,以确保用户具有足够的信用为访问热点109付费。
如果用户被核实并且具有足够的信用,则通信客户端软件提供商DNS服务器128将产生随机的16字节令牌并且用base32编码的响应对客户端110作出响应。
令牌响应消息的有效负荷包括:
● 命令:1个字节
● rc4初始化矢量:4个字节,二进制值
● 结果代码:1个字节
● cmdid:1个字节,该响应所对应的令牌请求命令的命令ID
● 令牌:8个字节
● 标记(tick)服务器地址:8个字节,优选为向其发送标记的两个IP地址(下面描述)
● 登录名格式说明符:多达83个字节。
使用从客户端挑战产生的密钥将从结果代码开始的整个有效负荷加密。在加密之后,该有效负荷进行base32编码。然后在步骤S424中使用DNS隧道将令牌响应消息发送到客户端110。然后客户端110将该响应解码,然后将该响应解密。
通信客户端软件提供商DNS服务器128还在步骤S425中将利用用户名和客户端挑战产生的令牌存储在访问DB 130中。通信客户端软件提供商DNS服务器128还从该令牌产生临时用户名(如下文所述),并且将其存储为会话ID。如果不被使用,则在预定时间之后该令牌从该服务器失效。
响应于在步骤S424中接收到令牌和格式说明符,访问管理器324将该响应解码并解密。然后访问管理器324控制客户端UI 322向用户提供使用他们的基于包的通信系统信用为连接付费的选项。在图5中示出示例性的用户界面消息。用户102可以通过选择“开始”按钮502选择连接到AP 108,或者通过选择“取消”按钮选择不连接。
响应于从用户接收到表示用户希望连接到AP 108的选择信号,访问管理器在步骤S426中使用临时用户名(从令牌和客户端挑战导出的)和临时口令(从用户口令和客户端挑战的散列函数导出的)注册到热点109。
按照包括在令牌响应中的格式说明符将临时用户名格式化。临时用户名的格式允许热点109提供商确定账单合作方的身份。
客户端110根据WISPr建议注册到热点109。访问管理器324尝试通过AP 108发送http请求,用于检索已知内容的预定文件。热点109将该请求重定向到热点提供商的登录服务器(未示出)。响应于被重定向到登录服务器,访问管理器324被配置为提供临时用户名和口令以注册到登录服务器。
热点109根据临时用户名的格式(例如,它具有表示账单合作方的前缀)判断登录请求与基于包的通信系统账单合作方相关联,并且在步骤S428中将账单请求转发到热点的远程认证拨入用户服务(Remote Authentication Dial In User Service,“RADIUS”)服务器136。
响应于在热点RADIUS服务器136接收到登录请求,热点RADIUS服务器136根据临时用户名的格式判断所述登录请求与基于包的通信网络相关联。在步骤S430中,热点RADIUS服务器136将包括临时用户名和口令的授权查询发送到通信客户端软件提供商RADIUS服务器138。
通信客户端软件提供商RADIUS服务器138接收该临时用户名和口令。一旦在步骤S431和S432中通信客户端软件提供商RADIUS服务器138验证了存储在访问DB 130中的证书,它就在步骤S433中用“接受访问”或“拒绝访问”消息来响应热点RADIUS服务器136。“接受访问”消息使用临时用户名来标识会话,并且可以限定根据最小30分钟或者将信用除以每分钟的成本所计算出的允许的会话时间的长度。
假定接收到“接受访问”消息,在步骤S434中热点RADIUS服务器136向热点109发送授权消息。响应于接收到授权消息,热点109允许客户端110访问因特网,并且在步骤S436中通知客户端110登录成功。
访问管理器324向客户端110(的其他元件)通知登录成功。在与AP 108连接期间,访问管理器324控制客户端322 UI,以向用户通知该终端连接到网络。
在以上说明中,付费包遵循与会话创建包相同的模式,并具有几点重要差别:
● 使用不同的RSA密钥
● 除了命令以外,还以纯文本发送cmdid
● 如果密码部件不响应,则到达的响应可以只有命令、cmdid和结果代码字段被填充。
口令散列使用与在令牌请求中使用的散列方案相同的散列方案。口令散列将是双散列的用户名/Skyper/口令散列,另外,公共RSA密钥的前16个字节被散列。这使得只有当已经被使用的RSA密钥有效时,该散列才是可用的。
对于其他请求,在付费消息中,命令代码、初始化矢量、命令ID和结果代码以纯文本发送,并且响应中的其他部分被加密。
Claims (10)
1.一种在连接性受限的环境中将数据从用户终端发送到通信网络上的解密部件的方法,该方法包括:
在该用户终端:
在该用户终端从用户接收数据;
如果判断该数据是敏感数据,则使用安全加密密钥将该敏感数据加密;
根据隧道协议产生包,该包包括网络部件的地址、命令数据和加密后的敏感数据,所述命令数据包括命令和命令标识符,其中该命令标识出该安全加密密钥已经被用于加密该敏感数据。
2.根据权利要求1所述的方法,其中如果判断该数据是会话数据,则使用会话加密密钥来加密该会话数据,并且该命令标识出已经使用该会话加密密钥来加密该会话数据。
3.根据上述任一项权利要求所述的方法,其中所述命令数据是纯文本。
4.根据上述任一项权利要求所述的方法,其中所述敏感数据包括访问数据或付费数据。
5.一种用户终端,具有:用户界面,其配置为提示用户至少输入安全数据或会话数据;
处理器,其配置为执行计算机程序,该计算机程序:
接收所述数据;
判断该数据是安全数据还是会话数据;
利用安全加密密钥将安全数据加密,或者利用会话密钥将会话数据加密;
产生包,该包包括纯文本的命令数据和所述加密后的数据,该命令数据包括命令和命令标识符,其中该命令标识出该安全密钥或者该会话密钥是否已经被使用。
6.一种在通信网络中使用的网络部件,包括:
第一端口,其用于与该通信网络交换包;
第二端口,其用于在安全环境中与解密部件交换包;
处理器,其配置为执行计算机程序,该计算机程序:
接收来自第一端口的包,该包包含加密后的数据和包括命令和命令标识符的命令数据;
读取该命令并且判断是否已经使用安全密钥或者会话密钥来加密该数据;
如果已经使用会话密钥,则解密该数据并作用于该数据;而
如果已经使用安全密钥,则将该包转发到第二端口,并且通过第一端口发送包括响应和该命令标识符的响应包。
7.根据权利要求6所述的网络部件,其中该处理器配置为接收来自解密部件的响应并且将接收到的响应包括在响应包中。
8.根据权利要求6所述的网络部件,其中该处理器配置为产生包括由该网络部件产生的响应的响应包。
9.根据权利要求8所述的网络部件,其中该处理器配置为当没有从解密部件接收到响应时,在该网络部件产生该响应。
10.一种计算机程序产品,包括程序代码部,该程序代码部在由处理器执行时,执行根据权利要求1至4中任一项所述的方法的步骤。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB201121585A GB201121585D0 (en) | 2011-12-15 | 2011-12-15 | Communication system and method |
| GB1121585.2 | 2011-12-15 | ||
| US13/363023 | 2012-01-31 | ||
| US13/363,023 US20130159711A1 (en) | 2011-12-15 | 2012-01-31 | Communication System and Method |
| PCT/US2012/069966 WO2013090866A1 (en) | 2011-12-15 | 2012-12-15 | Secure communication system and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104247481A true CN104247481A (zh) | 2014-12-24 |
Family
ID=45560517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280061646.XA Pending CN104247481A (zh) | 2011-12-15 | 2012-12-15 | 安全通信系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20130159711A1 (zh) |
| EP (1) | EP2777308A1 (zh) |
| JP (1) | JP2015503303A (zh) |
| KR (1) | KR20140102688A (zh) |
| CN (1) | CN104247481A (zh) |
| GB (1) | GB201121585D0 (zh) |
| WO (1) | WO2013090866A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110710184A (zh) * | 2017-04-07 | 2020-01-17 | 思杰系统有限公司 | 用于为了增强的安全性和可见性通过云托管或本地网络网关安全且透明地代理saas应用的系统和方法 |
| CN113747438A (zh) * | 2021-09-12 | 2021-12-03 | 胡忠南 | Wlan接入管理方法、装置及系统 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2464553B (en) | 2008-10-22 | 2012-11-21 | Skype | Controlling a connection between a user terminal and an access node connected to a communication network |
| US8825814B1 (en) | 2013-05-23 | 2014-09-02 | Vonage Network Llc | Method and apparatus for minimizing application delay by pushing application notifications |
| US9584492B2 (en) * | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
| CN104219737B (zh) * | 2014-08-22 | 2018-06-05 | 欧阳聪星 | 一种实现联网转接服务的系统及其方法 |
| US10726405B2 (en) | 2014-08-22 | 2020-07-28 | Fan Wu | System and method for implementing networking transfer service |
| US9876783B2 (en) * | 2015-12-22 | 2018-01-23 | International Business Machines Corporation | Distributed password verification |
| KR20180000582A (ko) * | 2016-06-23 | 2018-01-03 | 삼성전자주식회사 | 결제 방법 및 이를 사용하는 전자 장치 |
| US10949486B2 (en) | 2017-09-20 | 2021-03-16 | Citrix Systems, Inc. | Anchored match algorithm for matching with large sets of URL |
| WO2019220310A1 (en) * | 2018-05-14 | 2019-11-21 | Terrence Keith Ashwin | A financial transaction wireless communication authentication sensor |
| CN112291504B (zh) * | 2020-03-27 | 2022-10-28 | 北京字节跳动网络技术有限公司 | 信息交互方法、装置和电子设备 |
| CN112054909A (zh) * | 2020-09-19 | 2020-12-08 | 黑龙江讯翱科技有限公司 | 一种基于RSA算法的Radius认证方法 |
| CN113411328B (zh) * | 2021-06-17 | 2023-03-24 | 国网福建省电力有限公司信息通信分公司 | 一种基于数据预辨识敏感数据高效传输系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003096165A2 (en) * | 2002-05-13 | 2003-11-20 | Thomson Licensing S.A. | Paid access to a local area network |
| US20100100951A1 (en) * | 2008-10-22 | 2010-04-22 | Andres Kutt | Communication system and method |
| US20100275007A1 (en) * | 2006-05-03 | 2010-10-28 | Skype Limited | Secure Transmission System and Method |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7536462B2 (en) * | 2002-06-11 | 2009-05-19 | Pandya Ashish A | Memory system for a high performance IP processor |
| BRPI0412595A8 (pt) | 2003-07-16 | 2017-12-26 | Skype Ltd | Sistema de telefonia não hierárquico, método para operar um sistema de telefonia, e, sofware |
| US8374165B2 (en) * | 2008-06-09 | 2013-02-12 | Nokia Corporation | Method, apparatus, and computer program product for communication routing |
| GB2464553B (en) | 2008-10-22 | 2012-11-21 | Skype | Controlling a connection between a user terminal and an access node connected to a communication network |
-
2011
- 2011-12-15 GB GB201121585A patent/GB201121585D0/en not_active Ceased
-
2012
- 2012-01-31 US US13/363,023 patent/US20130159711A1/en not_active Abandoned
- 2012-12-15 JP JP2014547540A patent/JP2015503303A/ja active Pending
- 2012-12-15 CN CN201280061646.XA patent/CN104247481A/zh active Pending
- 2012-12-15 KR KR20147016330A patent/KR20140102688A/ko not_active Application Discontinuation
- 2012-12-15 EP EP12823118.0A patent/EP2777308A1/en not_active Withdrawn
- 2012-12-15 WO PCT/US2012/069966 patent/WO2013090866A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003096165A2 (en) * | 2002-05-13 | 2003-11-20 | Thomson Licensing S.A. | Paid access to a local area network |
| US20100275007A1 (en) * | 2006-05-03 | 2010-10-28 | Skype Limited | Secure Transmission System and Method |
| US20100100951A1 (en) * | 2008-10-22 | 2010-04-22 | Andres Kutt | Communication system and method |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110710184A (zh) * | 2017-04-07 | 2020-01-17 | 思杰系统有限公司 | 用于为了增强的安全性和可见性通过云托管或本地网络网关安全且透明地代理saas应用的系统和方法 |
| CN113747438A (zh) * | 2021-09-12 | 2021-12-03 | 胡忠南 | Wlan接入管理方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140102688A (ko) | 2014-08-22 |
| US20130159711A1 (en) | 2013-06-20 |
| JP2015503303A (ja) | 2015-01-29 |
| WO2013090866A1 (en) | 2013-06-20 |
| EP2777308A1 (en) | 2014-09-17 |
| GB201121585D0 (en) | 2012-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104247481A (zh) | 安全通信系统和方法 | |
| US8091116B2 (en) | Communication system and method | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| US8196188B2 (en) | Systems and methods for providing network credentials | |
| US8499156B2 (en) | Method for implementing encryption and transmission of information and system thereof | |
| US9210729B2 (en) | Communication system and method | |
| CN101406021B (zh) | 基于sim的认证 | |
| WO2017201809A1 (zh) | 终端通信方法及系统 | |
| CN100574511C (zh) | 一种移动终端通讯中对端身份确认的方法及系统 | |
| US10680835B2 (en) | Secure authentication of remote equipment | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN101641976A (zh) | 认证方法 | |
| US8156340B1 (en) | System and method for securing system content by automated device authentication | |
| US9490974B2 (en) | Identity-based decryption | |
| KR20160081973A (ko) | 네트워크 액세스 | |
| JPWO2011111842A1 (ja) | Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体 | |
| CN104869000A (zh) | 一种基于标识密码跨域安全通信方法及系统 | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 | |
| JP7139635B2 (ja) | 認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141224 |
|
| WD01 | Invention patent application deemed withdrawn after publication |