CN111801924A - 用于使用消息级安全性进行消息传递的设备、方法和制造产品 - Google Patents

用于使用消息级安全性进行消息传递的设备、方法和制造产品 Download PDF

Info

Publication number
CN111801924A
CN111801924A CN201980010055.1A CN201980010055A CN111801924A CN 111801924 A CN111801924 A CN 111801924A CN 201980010055 A CN201980010055 A CN 201980010055A CN 111801924 A CN111801924 A CN 111801924A
Authority
CN
China
Prior art keywords
web service
client
service token
signed
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980010055.1A
Other languages
English (en)
Other versions
CN111801924B (zh
Inventor
Y·吴
R·韦斯特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sensing Spectrum LLC
Original Assignee
Sensing Spectrum LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sensing Spectrum LLC filed Critical Sensing Spectrum LLC
Publication of CN111801924A publication Critical patent/CN111801924A/zh
Application granted granted Critical
Publication of CN111801924B publication Critical patent/CN111801924B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

方法包括:建立客户端与提供WEB服务的服务器之间的传输层安全性连接;在所述连接中识别用于与WEB服务的通信的至少一个密码密钥;关闭连接;并且使用WEB服务令牌在客户端与WEB服务之间进行通信,所述WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。在客户端与WEB服务之间使用WEB服务令牌进行通信可以不要求新传输层安全性连接的创建。另外的实施例提供一种配置成执行如上所述的操作的计算机以及存储指令的计算机可读介质,所述指令在由计算机执行时执行如上所述的操作。

Description

用于使用消息级安全性进行消息传递的设备、方法和制造 产品
背景技术
本发明主题涉及计算机连网方法、设备和制造产品,以及更特别地涉及用于计算机网络中的安全通信的方法、设备和制造产品。
连网应用通常涉及消息在发送节点与接收节点之间经由各种其它中间节点的传递。由于用来经由这些中间节点进行通信的需要,这类通信能够易遭到拦截、欺骗和其它形式的攻击。例如,这类通信能够易遭到所谓的“中间人”(MITM)攻击,其中攻击者在中间节点处拦截来自各方的消息,并且通过伪装成各方中的一方来改变各方之间的通信。
用于防护MITM攻击的常规技术通常采用某种类型的认证来建立各方之间的安全信道,并且使用安全信道来建立一个或多个密码密钥,以便被用来保护各方之间的后续通信。例如,传输层安全性(TLS)(及其前任安全套接字层(SSL))通常涉及使用握手协议来发起会话,该握手协议建立用于会话期间在各方之间的通信的对称密钥。握手通常涉及一个或多个安全性证书的交换、由证书机构对所交换的(一个或多个)证书的验证以及响应于(一个或多个)证书的验证的对称密钥的建立。对于TLS(或SSL)会话的其余部分,对称密钥用来对各方之间的消息进行加密。
发明内容
本发明主题的一些实施例提供操作客户端的方法。方法包括:建立与提供WEB服务的服务器的传输层安全性连接;在所述连接中识别用于WEB服务的通信的至少一个密码密钥;关闭所述连接;并且使用WEB服务令牌与WEB服务进行通信,所述WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。在一些实施例中,使用WEB服务令牌与WEB服务的通信不要求新传输层安全性连接的创建。
按照一些实施例,识别至少一个密码密钥可包括识别客户端私有密钥和服务器公有密钥,以及使用所签署的WEB服务令牌与服务器进行通信可包括传送按照客户端私有密钥所签署并且按照服务器公有密钥所加密的WEB服务令牌。按照另外的实施例,识别至少一个密码密钥可包括识别客户端公有密钥和服务器私有密钥,以及其中使用所签署的WEB服务令牌与服务器进行通信包括接收按照服务器私有密钥所签署并且按照客户端公有密钥所加密的WEB服务令牌。
在一些实施例中,在所述连接中识别用于WEB服务的至少一个密码密钥可包括:传送凭证;接收与凭证对应的WEB服务的第一WEB服务令牌;使用第一WEB服务令牌与WEB服务交换安全性证书,以识别至少一个密码密钥。使用WEB服务令牌与WEB服务进行通信可包括利用第二WEB服务令牌进行通信,所述第二WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。
在一些实施例中,WEB服务令牌可包括所签署和加密的JavaScript对象标记(JSON)WEB服务令牌(JWT)。JWT可使用JSON WEB签署(JWS)格式和JSON WEB加密(JWE)格式。
另外的实施例提供一种计算机,所述计算机配置成执行如上所述的客户端操作。附加实施例包括存储指令的计算机可读介质,所述指令在由计算机执行时执行如上所述的客户端操作。
本发明主题的一些实施例提供操作WEB服务的方法。方法包括:建立与客户端的传输层安全性连接;在所述连接中识别用于与由服务器所托管的WEB服务的通信的至少一个密码密钥;关闭所述连接;并且使用WEB服务令牌与客户端进行通信,所述WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。使用WEB服务令牌与客户端的通信可以不要求新传输层安全性连接的创建。
在一些实施例中,识别至少一个密码密钥可包括识别服务器公有密钥和客户端私有密钥,以及使用WEB服务令牌与服务器进行通信可包括接收按照客户端私有密钥所签署并且按照服务器公有密钥所加密的WEB服务令牌。在另外的实施例中,识别至少一个密码密钥可包括识别服务器私有密钥和客户端公有密钥,以及使用所签署的WEB服务令牌与服务器进行通信可包括传送按照服务器私有密钥所签署并且按照客户端公有密钥所加密的WEB服务令牌。
按照一些实施例,在所述连接中识别用于WEB服务的至少一个密码密钥可包括:接收凭证;传送与凭证对应的WEB服务的第一WEB服务令牌;并且使用第一WEB服务令牌与客户端交换安全性证书,以识别至少一个密码密钥。使用WEB服务令牌与客户端进行通信可包括利用第二WEB服务令牌进行通信,所述第二WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。
本发明主题的又一些实施例提供客户端与WEB服务之间进行通信的方法。方法包括:建立客户端与提供WEB服务的服务器之间的传输层安全性连接;在所述连接中识别用于与WEB服务的通信的至少一个密码密钥;关闭所述连接;并且使用WEB服务令牌在客户端与WEB服务之间进行通信,所述WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。在客户端与WEB服务之间使用WEB服务令牌进行通信可以不要求新传输层安全性连接的创建。
另外的实施例提供一种计算机,所述计算机配置成执行如上所述的WEB服务操作。附加实施例提供存储指令的计算机可读介质,所述指令在由计算机执行时执行如上所述的WEB服务操作。
附图说明
图1是图示其中可应用本发明主题的网络环境的示意图。
图2是按照本发明主题的一些实施例的图示用于安全通信的操作的流程图。
图3是按照另外的实施例的图示用于安全通信的操作的流程图。
图4是图示其中可采用本发明主题的实施例的客户端-服务器系统的示意图。
图5是图示图4的系统中的注册操作的消息流程图。
图6是图示用于图4的系统的固件更新操作的消息流程图。
图7是图示图4的系统中的撤消注册(de-registration)操作的消息流程图。
具体实施方式
现在将参照附图来描述本发明主题的特定示范实施例。但是,本发明主题可通过许多不同形式来体现,而不应被理解为局限于本文所述的实施例;相反,这些实施例被提供,使得本公开将是透彻和全面的,并且将向本领域的技术人员全面地传达本发明主题的范围。在附图中,相似数字表示相似项。将理解,当项被说成是“连接”或“耦合”到另一个项时,它能够直接连接或耦合到另一项,或者可存在中间项。如本文所使用的,术语“和/或”包括关联所列项的一个或多个的任何和所有组合。
本文所使用的术语只是用于描述特定实施例的目的,而不是意在限制本发明主题。如本文所使用,单数形式“一”、“一个”和“该”意在也包括复数形式,除非另有明确规定。还将理解,术语“包括(inculde/including)”和/或“包含(comprise/comprising)”当在本说明书中被使用时指定所述特征、整数、步骤、操作、项和/或组件的存在,但是并不排除一个或多个其它特征、整数、步骤、操作、项、组件和/或其编组的存在或添加。
除非另有限定,否则本文所使用的全部术语(包括技术和科学术语)都具有与由本发明主题所属领域中的技术人员通常所理解的含意相同的含意。还将理解,诸如常用词典中定义的那些术语之类的术语应当被理解为具有与它们在本说明书和相关领域的上下文中的含意一致的含意,而将不会从理想化或过分正式意义上理解,除非本文中这样明确限定。
本发明主题的一些实施例产生于如下认识:可通过在客户端与WEB服务之间使用消息级安全性方案进行消息传递来提供降低的开销以及对MITM和其它攻击的潜在增加的抗性,该消息级安全性方案使用WEB服务令牌(例如JavaScript对象标记(JSON)WEB令牌(JWT)),所述WEB服务令牌按照私有/公有密钥对来签署和加密,所述私有/公有密钥对在初始TLS(或SSL)连接中建立,该初始TLS(或SSL)连接建立双边信任根。WEB服务令牌能够在初始传输层安全连接被关闭之后用于通信,因而消除对于为客户端与服务器之间的每个通信会话来建立新TLS连接的需要。用于生成WEB服务令牌的密钥能够通过相对于其中所包括的有效载荷的到期来终止,和/或能够由客户端或WEB服务来终止。
在其中客户端与WEB服务之间的通信会话零星发生的应用中,这种方式能够是特别有利的。如本文所述的,例如,这类技术可有利地用于固件管理器客户端与由塔台网关基站(TGB)所提供的WEB服务之间的通信中,该TGB服务于多个仪表或其它感测装置。这种方式能够降低对于这类通信的开销,能够降低可拦截用于访问WEB服务的凭证的可能性,并且还因信任关系的双边性质而能够允许客户端和WEB服务均发起通信。
图1图示其中可采用本发明主题的实施例的网络环境。驻留在客户端装置110(例如计算机、移动终端或其它装置)处的客户端112配置成经由网络130与驻留在服务器120(例如计算机、基站或其它装置)处的WEB服务122进行通信。客户端112和WEB服务122配置成提供消息级安全通信功能114和124,所述消息级安全通信功能114和124提供消息级安全性,其消除对于TLS/SSL会话的重复创建的需要。
特别是,参照图2,在客户端112与WEB服务122之间经由网络130来建立与传输层安全性(TLS)的连接(框210)。在存在连接的同时,识别用于客户端112与WEB服务122之间的后续通信的至少一个密钥对(框220)。在关闭连接(框230)之后,客户端112和WEB服务122能够使用WEB服务令牌继续相互通信(框240),所述WEB服务令牌按照至少一个密钥对来签署和加密。这允许通信发生,而无需重新建立新传输层安全连接。
图3图示按照另外的实施例的操作。在客户端与WEB服务之间使用多种已知技术中的任何技术来建立TLS连接(框310)。为了发起双边信任根的建立,客户端将凭证(例如用户名/密码)传递给WEB服务(框320)。作为响应,WEB服务认证凭证,并且将认证令牌返回给客户端(框330)。使用认证令牌,客户端和服务器交换安全性凭证,并且识别公有/私有密钥(框340)。然后终止TLS连接(框350)。随后,客户端和服务器使用WEB服务令牌进行通信,使用所识别的公有/私有密钥对来签署和加密所述WEB服务令牌(框360)。随后可由WEB服务单边地和/或响应于例如预定有效性周期的到期或者来自客户端的请求而使WEB服务令牌密钥对无效。
如上所述,沿上述的线的通信操作可有利地用于其中客户端和WEB服务在零星的基础上进行通信的应用中。例如,参照图1,智能电网或其它公用事业监测系统可采用多个智能装置,例如仪表440和传感器450,它们经由无线电链路来链接到塔台网关基站(TGB)430。TGB 430可经由网络420来链接到驻留在远程装置410处的固件管理器客户端412。固件管理器客户端412可配置成经由与驻留在TGB 430处的一个或多个WEB服务432的通信来更新TGB 430上的固件,所述一个或多个WEB服务432从仪表440和传感器450来收集数据。
图5图示按照另外的实施例的用于这种管理器客户端与TGB WEB服务之间的注册的代表消息流程。在TLS会话的发起(501)之后,管理器传送登录请求,其包括用户名和密码凭证(502)。在验证凭证之后,WEB服务生成JavaScript对象标记(JSON)WEB服务令牌(JWT)以供认证过程期间使用(503),并且将令牌传送给管理器(504)。管理器和WEB服务使用认证JWT来交换安全性证书并且响应地识别用于管理器和服务器的私有/公有密钥对(505-512)。管理器然后为TGB WEB服务指配TGB WEB服务保存和确认的唯一ID(513-515)。接下来是,管理器发送URL,TGB WEB服务能够使用所述URL来下载固件包(package),TGB WEB服务保存和确认所述URL(516-518)。管理器随后传送对于将要被无效的令牌的请求(519),以及WEB服务响应地使令牌无效,并且向管理器指示无效(520和521)。然后可终止TLS连接(522)。
在这个注册过程之后,客户端与WEB服务之间的通信然后可使用TLS会话期间所识别的私有/公有密钥对进行。特别是,客户端可通过传送JWT来发起这类通信,该JWT按照其私有密钥(例如使用如在IETF RFC 7515中所定义的JSON WEB签署(JWS)紧凑串行化格式)来签署并且按照服务器的公有密钥(例如使用如在IETF RFC 7516中所定义的JSON WEB加密(JWE)紧凑串行化格式)来加密。服务器能够使用其私有密钥对这种令牌进行解密,并且验证令牌的签名对应于客户端。类似地,服务器能够通过传送JWT来发起通信,该JWT按照其私有密钥来签署并且按照客户端的公有密钥来加密。
例如,图6图示用于监测驻留在图4的系统中的塔台处的软件的配置的操作。管理器传送消息,该消息指示TGB刷新其来自软件资料库(图6中的“资料库”)的软件包的清单的副本,所述软件资料库拥有预期(最新)清单(610)。传输使用先前建立的密钥对来创建JWT,因此消除对于登录的需要。资料库的位置先前可在消息中从管理器传送给TGB,该消息包括资料库的位置(例如URL)以及用来访问资料库所需的凭证。TGB使用先前建立的位置和凭证向资料库传送对清单的请求(620),并且从资料库接收清单文件(630)。TGB保存清单文件,在TGB处将它与当前安装包进行比较(640和650)。TGB向管理器报告结果(660)。
图7图示按照另外的实施例的用于取消注册(unregister)的操作。沿上述的线,在管理器与TGB之间创建TLS会话(701)。管理器传送包括用户名/密码组合的登录请求(702),以及TGB生成和传送JWT,该JWT用来生成密钥对以供后续消息传递中使用(703和704)。随后(例如在一个或多个消息交换之后),管理器可传送“取消注册”请求消息(705)。作为响应,TGB删除与针对请求的JWT关联的公有密钥(706),并且确认取消注册请求(707)。管理器然后可传送注销请求(708),以及TGB响应地使令牌无效(使密钥无效)。管理器与塔台之间的后续令牌使能通信将要求双边信任根的重新建立,如以上参照图5所述。
将领会,以上参照图4-7所述的实现仅为了说明的目的而提供,并且本发明主题可按照多个不同应用中的任何应用来实现。
在附图和说明书中,公开了本发明主题的示范实施例。虽然采用特定术语,但是它们仅从一般性和描述性意义上使用,而不是用于限制的目的,本发明主题的范围通过下列权利要求书来限定。

Claims (20)

1.一种操作客户端的方法,所述方法包括:
建立与提供WEB服务的服务器的传输层安全性连接;
在所述连接中识别用于与所述WEB服务的通信的至少一个密码密钥;
关闭所述连接;以及
使用WEB服务令牌与所述WEB服务进行通信,所述WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。
2.如权利要求1所述的方法,其中使用所述WEB服务令牌与所述WEB服务的通信不要求新传输层安全性连接的创建。
3.如权利要求1所述的方法,其中识别至少一个密码密钥包括识别客户端私有密钥和服务器公有密钥,以及其中使用所签署的WEB服务令牌与所述服务器进行通信包括传送按照所述客户端私有密钥所签署并且按照所述服务器公有密钥所加密的WEB服务令牌。
4.如权利要求1所述的方法,其中识别至少一个密码密钥包括识别客户端公有密钥和服务器私有密钥,以及其中使用所签署的WEB服务令牌与所述服务器进行通信包括接收按照所述服务器私有密钥所签署并且按照所述客户端公有密钥所加密的WEB服务令牌。
5.如权利要求1所述的方法,
其中在所述连接中识别用于WEB服务的至少一个密码密钥包括:
传送凭证;
接收与所述凭证对应的所述WEB服务的第一WEB服务令牌;以及
使用所述第一WEB服务令牌与所述WEB服务交换安全性证书,以识别所述至少一个密码密钥;以及
其中使用WEB服务令牌与所述WEB服务进行通信包括利用第二WEB服务令牌进行通信,所述第二WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。
6.如权利要求1所述的方法,其中所述WEB服务令牌包括所签署和加密的JavaScript对象标记(JSON)WEB服务令牌(JWT)。
7. 如权利要求6所述的方法,其中所述JWT使用JSON WEB签署(JWS)格式和JSON WEB加密(JWE)格式。
8.一种计算机,所述计算机配置成执行如权利要求1所述的方法。
9.一种存储指令的计算机可读介质,所述指令在由计算机执行时执行如权利要求1所述的方法。
10.一种操作服务器的方法,所述方法包括:
建立与客户端的传输层安全性连接;
在所述连接中识别用于与由所述服务器所托管的WEB服务的通信的至少一个密码密钥;
关闭所述连接;以及
使用WEB服务令牌与所述客户端进行通信,所述WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。
11.如权利要求10所述的方法,其中使用所述WEB服务令牌与所述客户端的通信不要求新传输层安全性连接的创建。
12.如权利要求10所述的方法,其中识别至少一个密码密钥包括识别服务器公有密钥和客户端私有密钥,以及其中使用所签署的WEB服务令牌与所述服务器进行通信包括接收按照所述客户端私有密钥所签署并且按照所述服务器公有密钥所加密的WEB服务令牌。
13.如权利要求10所述的方法,其中识别至少一个密码密钥包括识别服务器私有密钥和客户端公有密钥,以及其中使用所签署的WEB服务令牌与所述服务器进行通信包括传送按照所述服务器私有密钥所签署并且按照所述客户端公有密钥所加密的WEB服务令牌。
14.如权利要求10所述的方法,
其中在所述连接中识别用于WEB服务的至少一个密码密钥包括:
接收凭证;
传送与所述凭证对应的所述WEB服务的第一WEB服务令牌;以及
使用所述第一WEB服务令牌与所述客户端交换安全性证书,以识别所述至少一个密码密钥;以及
其中使用WEB服务令牌与所述客户端进行通信包括利用第二WEB服务令牌进行通信,所述第二WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。
15.如权利要求10所述的方法,其中所述WEB服务令牌包括所签署和加密的JavaScript对象标记(JSON)WEB服务令牌(JWT)。
16. 如权利要求15所述的方法,其中所述JWT使用JSON WEB签署(JWS)格式和JSON WEB加密(JWE)格式。
17.一种计算机,所述计算机配置成执行如权利要求10所述的方法。
18.一种存储指令的计算机可读介质,所述指令在由计算机执行时执行如权利要求10所述的方法。
19.一种在客户端与WEB服务之间进行通信的方法,所述方法包括:
建立所述客户端与提供所述WEB服务的服务器之间的传输层安全性连接;
在所述连接中识别用于与所述WEB服务的通信的至少一个密码密钥;
关闭所述连接;以及
在所述客户端与所述WEB服务之间使用WEB服务令牌进行通信,所述WEB服务令牌按照所识别的至少一个密码密钥来签署和加密。
20.如权利要求19所述的方法,其中在所述客户端与所述WEB服务之间使用WEB服务令牌进行通信不要求新传输层安全性连接的创建。
CN201980010055.1A 2018-01-26 2019-01-15 用于使用消息级安全性进行消息传递的设备、方法和制造产品 Active CN111801924B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/881151 2018-01-26
US15/881,151 US11546310B2 (en) 2018-01-26 2018-01-26 Apparatus, methods and articles of manufacture for messaging using message level security
PCT/US2019/013652 WO2019147436A1 (en) 2018-01-26 2019-01-15 Apparatus, methods and articles of manufacture for messaging using message level security

Publications (2)

Publication Number Publication Date
CN111801924A true CN111801924A (zh) 2020-10-20
CN111801924B CN111801924B (zh) 2023-05-12

Family

ID=65324584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980010055.1A Active CN111801924B (zh) 2018-01-26 2019-01-15 用于使用消息级安全性进行消息传递的设备、方法和制造产品

Country Status (9)

Country Link
US (1) US11546310B2 (zh)
EP (1) EP3744062A1 (zh)
JP (1) JP7389754B2 (zh)
KR (1) KR20200118074A (zh)
CN (1) CN111801924B (zh)
AU (1) AU2019212026B2 (zh)
CA (1) CA3089203A1 (zh)
MX (1) MX2020007907A (zh)
WO (1) WO2019147436A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3834449A4 (en) * 2018-08-10 2022-05-04 Nokia Technologies Oy NETWORK FUNCTION AUTHENTICATION BASED ON A PUBLIC KEY BINDING IN AN ACCESS TOKEN IN A COMMUNICATION SYSTEM
US11528140B2 (en) 2021-02-09 2022-12-13 International Business Machines Corporation Compromised access token invalidation in a singleton process
US20230171240A1 (en) * 2021-11-26 2023-06-01 Cisco Technology, Inc. Web tokens for enhanced microservice obervability
CN114679276B (zh) * 2022-02-18 2024-04-23 支付宝(杭州)信息技术有限公司 基于时间的一次性密码算法的身份认证方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1906886A (zh) * 2004-01-08 2007-01-31 国际商业机器公司 在计算机系统之间建立用于传递消息的安全上下文
US20080104401A1 (en) * 2006-10-27 2008-05-01 International Business Machines Corporation System, Apparatus, Method, And Program Product For Authenticating Communication Partner Using Electronic Certificate Containing Personal Information
US20100217975A1 (en) * 2009-02-25 2010-08-26 Garret Grajek Method and system for secure online transactions with message-level validation
CN104115465A (zh) * 2012-01-20 2014-10-22 交互数字专利控股公司 具有本地功能的身份管理
US20140359295A1 (en) * 2011-10-14 2014-12-04 Orange Method of transferring the control of a security module from a first entity to a second entity

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7100200B2 (en) 2001-06-13 2006-08-29 Citrix Systems, Inc. Method and apparatus for transmitting authentication credentials of a user across communication sessions
US7853995B2 (en) * 2005-11-18 2010-12-14 Microsoft Corporation Short-lived certificate authority service
CN101461209A (zh) * 2006-04-10 2009-06-17 信托综合服务公司 安全的数据传输的装置与方法
US8327142B2 (en) 2006-09-27 2012-12-04 Secureauth Corporation System and method for facilitating secure online transactions
US8543829B2 (en) * 2007-01-05 2013-09-24 Ebay Inc. Token device re-synchronization through a network solution
US8527774B2 (en) * 2009-05-28 2013-09-03 Kaazing Corporation System and methods for providing stateless security management for web applications using non-HTTP communications protocols
JP5452192B2 (ja) 2009-12-02 2014-03-26 Kddi株式会社 アクセス制御システム、アクセス制御方法およびプログラム
US8799640B2 (en) * 2010-02-27 2014-08-05 Novell, Inc. Techniques for managing a secure communication session
US9426140B2 (en) * 2013-09-09 2016-08-23 Layer, Inc. Federated authentication of client computers in networked data communications services callable by applications
JP2017046179A (ja) 2015-08-26 2017-03-02 日本電信電話株式会社 端末支援システム、及び端末支援方法
US20180075677A1 (en) 2016-09-09 2018-03-15 Tyco Integrated Security, LLC Architecture for Access Management
DE102017211267A1 (de) * 2017-07-03 2019-01-03 Siemens Aktiengesellschaft Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1906886A (zh) * 2004-01-08 2007-01-31 国际商业机器公司 在计算机系统之间建立用于传递消息的安全上下文
US20080104401A1 (en) * 2006-10-27 2008-05-01 International Business Machines Corporation System, Apparatus, Method, And Program Product For Authenticating Communication Partner Using Electronic Certificate Containing Personal Information
US20100217975A1 (en) * 2009-02-25 2010-08-26 Garret Grajek Method and system for secure online transactions with message-level validation
US20140359295A1 (en) * 2011-10-14 2014-12-04 Orange Method of transferring the control of a security module from a first entity to a second entity
CN104115465A (zh) * 2012-01-20 2014-10-22 交互数字专利控股公司 具有本地功能的身份管理

Also Published As

Publication number Publication date
US11546310B2 (en) 2023-01-03
EP3744062A1 (en) 2020-12-02
AU2019212026A1 (en) 2020-08-13
WO2019147436A1 (en) 2019-08-01
MX2020007907A (es) 2020-09-07
US20190238518A1 (en) 2019-08-01
KR20200118074A (ko) 2020-10-14
CN111801924B (zh) 2023-05-12
CA3089203A1 (en) 2019-08-01
AU2019212026B2 (en) 2023-06-01
JP7389754B2 (ja) 2023-11-30
JP2021511613A (ja) 2021-05-06

Similar Documents

Publication Publication Date Title
Tschofenig et al. Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things
CN108650227B (zh) 基于数据报安全传输协议的握手方法及系统
US11082403B2 (en) Intermediate network entity
CN111801924B (zh) 用于使用消息级安全性进行消息传递的设备、方法和制造产品
US11336641B2 (en) Security enhanced technique of authentication protocol based on trusted execution environment
CN101371550B (zh) 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统
US20160365982A1 (en) System and method for secure end-to-end messaging system
US8281127B2 (en) Method for digital identity authentication
US20220217152A1 (en) Systems and methods for network access granting
US20140337619A1 (en) Derived Certificate based on Changing Identity
KR20180095873A (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
US20080137859A1 (en) Public key passing
GB2598669A (en) Server-based setup for connecting a device to a local area newwork
Fossati RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things
Sigholt et al. Keeping connected when the mobile social network goes offline
CN107835196B (zh) 一种基于hdlc的安全通信方法
Santos et al. A federated lightweight authentication protocol for the internet of things
JP5107823B2 (ja) 認証メッセージ交換システムおよび認証メッセージ交換方法
Vishwakarma et al. Attacks in a PKI-Based Architecture for M-commerce
CN107846279B (zh) 安全保护部件互联结构化系统及实现方法
Jiang et al. Network Security in RWNs
UPADHYAYA et al. WEAKNESS OF EAP, THREAT ANALYSIS IN WIRELESS LAN AND PROPOSED SOLUTION
Singh et al. Mechanisms for Security and Authentication of Wi-Fi devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant