CN1231030C - 用于通过网关认证移动用户的方法和系统 - Google Patents

用于通过网关认证移动用户的方法和系统 Download PDF

Info

Publication number
CN1231030C
CN1231030C CN01816850.7A CN01816850A CN1231030C CN 1231030 C CN1231030 C CN 1231030C CN 01816850 A CN01816850 A CN 01816850A CN 1231030 C CN1231030 C CN 1231030C
Authority
CN
China
Prior art keywords
gateway
party
server
certificate
digital certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN01816850.7A
Other languages
English (en)
Other versions
CN1468488A (zh
Inventor
Z·霍尔纳克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of CN1468488A publication Critical patent/CN1468488A/zh
Application granted granted Critical
Publication of CN1231030C publication Critical patent/CN1231030C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Medicines Containing Plant Substances (AREA)
  • Medicines Containing Material From Animals Or Micro-Organisms (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)

Abstract

一种通过网关(46)使客户端(42)和服务器(44)彼此认证的方法,其中客户端使用自己和网关之间的第一个加密协议并且服务器使用自己和网关之间的第二个加密协议,该方法包括以下步骤:在服务器上设置网关是被信任的认证机构(48);网关发行数字证书认证客户端;以及服务器验证数字证书以便向自己确认该数字证书来自被信任的认证机构。

Description

用于通过网关认证移动用户的方法和系统
本发明涉及认证并且特别地,但是不是专门涉及通信系统。在一个实施方案中,其涉及无线通信系统。
在互联网上的通信使用TCP/IP协议族。TCP指传输控制协议并且IP指互联网协议。TCP/IP指由互联网工程任务组(IETF)规定的一大组协议。TCP/IP是基本互联网和内联网通信协议。其允许信息通过中间设备和单独的网络从一个计算机发送到其目的地。
TCP/IP的很大的灵活性导致其被全世界接受。同时,TCP/IP允许信息通过中间设备的事实使得第三方以下列方式干预通信成为可能:
偷听。信息保持未被动过。但是其秘密被泄密。例如,第三方可以发现信用卡的细节或截获机密信息。
篡改。运送中的信息被改变并且然后被发送到计划的接收者。例如,第三方可以修改货物定单。
扮演。信息传递给佯装为计划的接收者的第三方。扮演可以涉及假装是其他某个人或者尽管不是一个真实组织却将自己错误表示为该真实组织的第三方。例如第三方可以将自己表示为商人并且在不发送货物的情况下接受支付。
虽然这些问题在有线环境中存在,但是因为第三方可以独立于固定位置接收无线传输并且进行其他无线传输,所以在无线环境中它们尤其受到关注。
加密(密码术)被用于解决这些问题。加密使信息能够被秘密呈递因此对偷听者难以理解。这样其提供了保密性。接收者可以检验信息在运送中没有被修改或者检测其何时被修改。接收者可以确定信息源自其声称的源,并且因此可以被认证。除此之外,加密可以提供禁止信息的发送者在稍后的时期声称其没有发送该信息的非否认。
加密的一种形式是对称密钥加密。在对称密钥加密中,密钥可以从解密密钥中被计算或者相反。利用大多数对称算法,相同的密钥用于加密和解密。对称密钥加密的实现可以有很高的效率,因此用户没有经历作为加密和解密过程的结果的任何显著的时间延迟。对称密钥加密还提供一定程度的认证,因为用一个对称密钥加密的信息不能用任何其它对称密钥解密。
只有对称密钥由涉及的双方保持秘密,对称密钥加密才是有效的。如果其他人发现了密钥,则其影响机密性和认证。具有未授权的对称密钥的人不仅可以解密用该密钥发送的消息,还可以加密新的消息并且将其发送,就象其来自最初使用该密钥的两方之一。
另一种形式的加密是公共密钥加密。公共密钥加密的一个版本是基于RSA数据安全算法。公共密钥(也称为不对称密钥)涉及与需要电子地鉴别其身份或者签名或者加密数据的一方相关的一对密钥,公共密钥和私有密钥。公用密钥必须是可靠的。公用密钥可以被公布,而对应的私有密钥必须保密。利用公共密钥和加密算法加密的消息仅可以用私有密钥解密。因此如果一方已经被给予公共密钥,则其可以使用这个密钥来加密仅可以利用该私有密钥解密的消息。这样,提供了保密性和机密性。相反地,利用私有密钥加密的消息仅可以利用公共密钥解密。因此,如果一方有私有密钥,则该方可以使用这个密钥来加密可以由具有公共密钥的另一方来解密的消息。可以被利用公共密钥解密的消息仅可以来自拥有相应私有密钥的一方。这样,提供了认证或签名。
很显然确保任何公共密钥来自其声称的源很重要。例如,发送方可产生私有和公共密钥对并且将公共密钥发送给接收者因此接收者可以确信由私有密钥签名的消息是来自该发送者。但是,如果第三方截获了发送者的公共密钥并且用其自己的私有和公共密钥对代替所述公共密钥,则第三方可以从发送者截获消息,用发送者的公共密钥将消息打开并且然后将其改变并且用自己的私有密钥对其数字签名。一接收到这样的数字签名的消息,接收者将相信其来自发送者。这不仅应用于改变的消息,而且还应用于扮演,也就是第三方可以发送完全伪造的消息。
为解决这个问题,如图1所示使用认证机构。这个方案显示发送者12、接收者14以及认证机构(CA)16。CA 16连接到发送者12以及接收者14并且由两者信任。发送者12有私有密钥(S-SK)和公共密钥(S-PK),接收者14有私有密钥(R-SK)和公共密钥(R-PK),并且CA有私有密钥(CA-SK)和公共密钥(CA-PK)。CA-PK被提供给发送者12和接收者14以便用于认证的通信发生。显然,CA-PK必须被以认证的方式提供,因此发送者12和接收者14可以确信其源。
发送者12生成证书签名请求(CSR),其被发送到CA 16。发送者12向CA 16提供其身份(或者利用发送者12的用户发送一些个人数据或者利用呈现给发送者12的被使用的私有代码)。发送者12还在CSR中发送其公共密钥S-PK。CA 16用唯一的数字签名签署个人数据或私有代码以及公共密钥S-PK以便证明它们一致。签名的证书被返回到发送者12。接收者14与CA 16执行类似的过程以便获得其自己签名的证书。当发送者12想要与接收者14谈话时,需要它们之间的握手,其中发送者12和接收者14交换其数字证书(这个交换不加密)。
然后发送者12和接收者14可以利用CA-PK来验证接收的签名的证书以便确保其由CA 16认证并且因此可以被信任。因为发送者12和接收者14现在每个都有另一个的公共密钥,机密的和认证的通信可以发生。实际上发送者12和接收者14可以发送认证证书(下面讨论)而不是仅仅发送认证的公共密钥。
一般CA被按来自公共根的分层结构排列。这个分层结构被称为公共密钥基础结构。这意味着CA可以彼此认证。
与对称密钥加密相比,公共密钥加密需要更多的计算并且因此不总是适合于大量的数据。因此,RSA或某个其他形式的公共密钥加密仅用于通信的协议握手部分以便生成主要的秘密。这显示在图2中,其中公共密钥加密被用于协商会话密钥。因为数据通信是双向的,下面将参考客户端和服务器端而不是发送者和接收者。
最初,客户端22和服务器端24有来自认证机构(CA-PK)的公共密钥。客户端22和服务器端24每个都进入认证机构以便获得认证的证书,其由认证机构的CA-SK签名。除了(例如客户端22或服务器端24的)公共密钥之外,证书包括其识别的实体的名称(以区别的名称形式)、到期日期(有效期)、发布证书的认证机构的名称(以区别的名称形式,下面称为DN)、序号以及其他信息。最重要的,证书总包括发行认证机构的数字签名。认证机构的数字签名使得证书能够作为知道并且信任该授权机构但是不知道由该证书识别的实体的用户的“介绍信”。
DN是个人的唯一识别符,例如用于识别一个人或一个终端节点。如果DN被包括在数字证书中并且该证书由受信任的CA签名,则相信识别的个人是真实的并且具有对应于证书中公共密钥的私有密钥的个人是这个真实的个人。实际上,由认证机构发行的证书将一个特定公共密钥合并在该证书识别的实体或多个实体的名称中。在CA签名证书之前,其验证个人是声称的那个。这个验证包括个人识别信息的分析、签名或者其他信息。在这个实施方案中,区别的名称(DN)识别客户端22或者服务器端24。
虽然数字证书包括上述所有元件,下面仅讨论公共密钥和该方的DN。
一旦认证的证书已经被交换,其签名就可以被验证并且因此由客户端22和服务器端24利用CA-PK来认证以便每方能够获得另一方的公共密钥。每一方生成一个随机数(RND1以及RND2)并且用另一方的公共密钥对其加密。然后加密的随机数被发送到对方并且可以利用私有密钥被解密。因为现在双方都拥有两个随机数,所以这些可以被组合以便生成主要秘密(也称为会话密钥)。一旦这个被生成,客户端22和服务器端24就可以利用相当快的对称密钥加密方法如DES、3DES或RC5通信。图2被显示和简单地描述以便说明涉及的原理。例如利用SSL或WTLS的图2的方案的特定实现实际上会更复杂。
当来自TCP/IP的以及来自具有其自己的保密层的另一种通信协议的加密方法一起使用时,出现了问题。例如,当根据无线应用协议(WAP)操作的移动终端被用于访问互联网时,可出现这种情况。为了提供保密连接,互联网使用如传输层保密(TLS)(由RFC 2246规定)以及加密套接字协议层(SSL)(由网景公司开发的一个事实上的标准)的保密协议层。在WAP网中使用的等价的协议层是无线传输层保密(WTLS)(由WAP论坛标准化)。
虽然互联网和WAP网非常类似,但是它们不兼容并且因此需要执行超文本标记语言(HTML)和无线标记语言(WML)之间以及HTTP和WSP层之间的内容转换。参考图3说明了这个问题。WAP协议栈32(包含在客户端)通过网关36连接到TCP/IP协议栈34(包含在服务器端)。WAP协议栈32有协议层无线数据报协议(WDP)、无线传输层保密(WTLS)、无线交易协议(WTP)以及无线会话协议(WSP)。其提供WML内容。TCP/IP协议栈34有协议层互联网协议(IP)、交易控制协议(TCP)、加密套接字协议层(SSL)以及超文本传输协议(HTTP)。其提供HTML内容。
在WAP和TCP/IP协议栈的情况下,如果WTLS和SSL层是活动的,并且网关36不拥有必需的密钥来解密被发送的消息,则位于加密层之上的层在网关中不能被修改并且因此它们之间(WSP和HTTP之间或者WML和HTML之间)的转换不可能。因为网关不能访问需要的密钥(通常其以不能被从中读出的方式存储在物理地抵御篡改的设备中),所以应使用另一种加密方案。客户端应该认证网关并且网关应该认证发端服务器并且服务器应该认证网关并且网关应该认证客户端。在这个方案中必须双方都信任该网关。因为当前的加密协议(SSL、TLS、WTLS)假设端到端的已加密连接因此它们不能支持这种加密方案。
根据本发明的第一个方面,提供了一种用于通过网关使第一方和第二方彼此认证的方法,该方法包括步骤:
提供具有网关公共密钥以及相应的网关私有密钥的网关;
为第一方和网关提供通用公共密钥以便认证从一个发送到另一个的信息源;以及
为第二方提供网关公共密钥以便认证从网关接收的信息,该网关公共密钥不同于通用公共密钥。
优选地第一方是客户端。优选地第二方是服务器。
优选地第二方被告知该网关公共密钥是来自认证机构的公共密钥。因此,当第二方从网关接收到已经由网关私有密钥签名的证书时,第二方使用网关公共密钥来验证这个签名的证书来自与网关公共密钥相同的源,并且因此就象该证书来自认证机构一样接受。这样,网关能够将其发送到第二方来说服第二方该网关实际上是第一方的信息包括在证书中。
优选地通用公共密钥是真实并且被信任的认证机构的公共密钥。
根据本发明的第二个方面,提供了一种通过网关向第二方认证第一方的方法,第一方利用其自身和网关之间的第一加密协议并且第二方使用自己和网关之间的第二加密协议,该方法包括步骤:
在第二方中设置网关是被信任的认证机构;
网关发行认证第一方的数字证书;以及
第二方验证该数字证书以便向第二方确认该数字证书来自被信任的认证机构。
优选地第一方和网关之间以及第二方和网关之间的加密协议是不同的。优选地第一方和网关之间的加密协议是WTLS。优选地网关和第二方之间的加密协议是SSL。
根据本发明的第三个方面,提供了一种用于通过网关使客户端和服务器彼此认证的方法,该方法包括步骤:
为客户端提供客户端公共密钥以及相应的客户端私有密钥;
为客户端提供客户端证书;
为服务器提供服务器公共密钥以及相应的服务器私有密钥;
为服务器提供服务器证书;
为网关提供网关公共密钥以及相应的网关私有密钥;以及
为网关提供网关证书。
优选地客户端证书由通用CA发行。优选地客户端证书包含客户端的区别的名称以及客户端公共密钥。客户端证书被签名,并且因此被信任的认证机构认证。
优选地服务器证书包含服务器的区别的名称以及服务器公共密钥。其还包含其他信息项。这个服务器证书被签名,并且因此被信任的认证机构认证。优选地这个认证机构与签名客户端证书的是同一个。替代的其可以是不同的认证机构。
优选地网关证书包含服务器的区别的名称以及网关公共密钥。这个网关证书可以被签名并且因此被信任的认证机构认证。优选地这个认证机构与签名服务器证书的是同一个。替代的其可以是不同的认证机构。只有在服务器和网关属于相同的组织的情况下,被信任的认证机构才可以签署网关证书(包含服务器的区别名称),这是因为只有一个组织对于不同的公共密钥拥有相同的区别名称。
优选地网关模仿认证机构。优选地为服务器提供的网关公共密钥被作为认证机构的公共密钥指示给服务器。优选地网关为每个客户端生成不同的公共-私有密钥对,每个密钥对包含一个生成的客户端公共密钥和一个生成的客户端私有密钥。网关能够以不同的客户端的名义生成不同的证书。网关可以用网关私有密钥签署这些证书。优选地这些证书包含客户端的区别名称以及生成的客户端公共密钥。作为扩展,这些生成的客户端证书包括原始的客户端证书以便使服务器得到可靠的客户端公共密钥。
优选地该方法包括为服务器提供指示其起源的识别符的步骤。优选地其包括为网关提供指示与服务器的通用起源的识别符的步骤。优选地其包括步骤:为服务器和网关请求对应于该服务器和网关的通用识别符,但是包含分别属于服务器和网关的不同的公共密钥的证书。
优选地该方法包括握手以便使每一方向另一方认证并且协商一个或多个会话密钥。这可以是双重握手。在一个实施方案中,客户端和网关执行(利用客户端证书以及网关证书)彼此认证以及协商主要秘密(从中可以计算出会话密钥)的通用的第一次握手。一旦客户端被认证到网关,则网关使用属于被认证的客户端的生成的客户端私有密钥以及生成的客户端证书来执行与服务器的第二次握手(在服务器端服务器使用其服务器证书)。这两次握手彼此重叠。作为第二次握手的结果,网关和服务器协商通用的主要秘密(从中可以计算出会话密钥)。
这样,因为在网关证书中包括服务器的区别名称并且该证书由被信任的认证机构签署,所以本发明提供了客户端从网关接受认证。而且,因为在生成的客户端证书中客户端的区别名称被包括并且该证书由服务器接受作为信任的认证机构的网关签署,所以服务器从网关接受认证。
握手可以是在根据WTSL的通信之前发生的握手。其可以是在SSL或TLS之前的握手。优选地其包括在通过WTLS和SSL或者TLS的通信之前的握手过程。
本发明还被认为是将根据第一个协议加密的内容转换成根据第二个协议的内容的方法或者是用于使这样的转换能够发生的方法。这样的方法需要每一方通过中间网关被认证到另一方并且因此可以使用根据本发明的先前方面的认证方法。
根据本发明的第四个方面,提供了包含第一方和第二方的交易系统,第一方和第二方通过一个网关在双方之间进行通信,该通信是要求利用第一方和网关之间的第一加密协议以及第二方和网关之间的第二加密协议来向第二方认证第一方,其中:
网关包括数字证书签名装置来发行认证第一方的数字证书;
第二方包括对应于网关的数字证书签名装置的数字证书验证装置,其验证数字证书以便向第二方确认该网关签名的数字证书是可靠的。
优选地该交易系统是通信系统。
根据本发明的第五个方面,提供了一个网关,第一方和第二方能够通过该网关在双方之间进行通信,所述通信是要求利用第一方和网关之间的第一加密协议以及第二方和网关之间的第二加密协议将第一方向第二方认证,该网关包括数字证书签名装置来发行数字证书认证第一方,网关的签名装置对应于第二方的验证装置,其验证数字证书以便向第二方确认该网关签名的数字证书是可靠的。
根据本发明的第六个方面,提供了用于通过网关向第二方认证第一方的计算机程序产品,第一方使用其自己和网关之间的加密协议并且第二方使用其自己和网关之间的加密协议,该计算机程序产品包括:
向第二方指示该网关是被信任的认证机构的计算机可执行代码装置;
使得网关能够发行数字证书来认证第一方的计算机可执行代码装置;以及
使得第二方能够验证该数字证书以便向第二方确认该数字证书是由被信任的认证机构发行的计算机可执行代码装置。
根据本发明的第七个方面,提供了通过通信网从内容提供者向终端的内容交付的方法,其中内容提供者和终端通过网关彼此认证,该方法包括步骤:
为网关提供网关公共密钥和相应的网关私有密钥;
为终端和网关提供通用公共密钥来认证从一个发送到另一个的信息源;以及
为内容提供者提供网关公共密钥以便认证从网关接收的信息,该网关公共密钥不同于通用公共密钥。
根据本发明的第八个方面,提供了通过通信网从内容提供者向终端的内容交付的方法,其中内容提供者和终端通过网关彼此认证,终端使用其自己和网关之间的加密协议并且内容提供者使用自己和网关之间的加密协议,该方法包括步骤:
内容提供者确定该网关是被信任的认证机构;
网关发行数字证书认证该终端;以及
内容提供者验证数字证书以便向内容提供者确认该数字证书来自被信任的认证机构。
根据本发明的第九个方面,提供了通过通信网从内容提供者向终端的内容交付的方法,其中内容提供者和终端通过网关彼此认证,该方法包括步骤:
为客户端提供客户端公共密钥和相应的客户端私有密钥;
为客户端提供客户端证书;
为服务器提供服务器公共密钥和相应的服务器私有密钥;
为服务器提供服务器证书;
为网关提供网关公共密钥和相应的网关私有密钥;以及
为网关提供网关证书;
本发明还提供了一种内容交付服务器,用于通过网关向第一方传送所述第一方与内容交付服务器之间的通信,所述内容交付服务器要求使用所述第一方与所述网关之间的第一加密协议以及所述内容交付服务器和所述网关之间的第二加密协议来向该内容交付服务器认证第一方,所述内容交付服务器包括一个证实器来证实由所述网关的数值证书签名器发行的一个数字证书,以便向所述内容交付服务器确认所述网关签名的数值证书是可靠的。
本发明适合于电信,并且特别适合于移动终端,如移动电话、个人数字助理、电子图书或浏览器。其可应用于利用移动终端安全地访问互联网。在一个实施方案中其可以被用于提供利用无线应用协议(WAP)的移动终端和利用互联网安全协议的WWW服务器之间的端到端的安全性。
现在将参考附图描述本发明的一个实施方案,其中:
图1显示发送者和接收者之间的通信;
图2显示生成主要秘密的步骤;
图3显示通过网关的通信;
图4显示根据本发明通过网关的通信;并且
图5显示步骤的流程图。
图4显示包括具有WAP协议栈的客户端42(如移动电话)、具有TCP/IP协议栈的发端服务器44、网关46以及认证机构(CA)48的通信系统40。网关46由发端服务器44的操作者所有,也就是发端服务器44和网关46在共同控制下。CA 48可由客户端42访问,发端服务器44和网关46用于认证属于各方的每一方。发端服务器44位于通信网中。在本发明的这个实施方案中,其位于无线电信网中。
CA 48是独立的机构,其发行数字证书来验证一方将其身份证实给CA。因为每一方信任CA,因此它们接受已经由CA数字签名的显示其他方已经由CA亲自识别的数字证书。CA 48有私有和公共密钥对CA-SK和CA-PK。
客户端42有包括公共密钥(C-PK)和私有密钥(C-SK)的密钥对。其有包含下列信息的证书:
(i)C-PK;
(ii)证书的有效期;
(iii)客户端的DN;
(iv)发行者的DN(CA的DN);以及
(v)由发行者的私有密钥(CA-SK)签名的上述信息的数字签名。
客户端42还有来自CA 48的CA-PK。这可以被预先安装,例如在制造客户端或者制造客户端的一部分(例如SIM卡的制造或配置)时,或者可以在后来的时候被安装。
发端服务器44有包括公共密钥(S-PK)和私有密钥(S-SK)的密钥对。其有包含下列信息的证书:
(i)S-PK;
(ii)证书的有效期;
(iii)发端服务器的DN;
(iv)发行者的DN(CA的DN);以及
(v)由发行者的私有密钥(CA-SK)签名的上述信息的数字签名。
代替来自CA 48的CA-PK,发端服务器44有如下面解释的来自网关46的公共密钥。
网关46有包括公共密钥(G-PK)和私有密钥(G-SK)的密钥对。其有包含下列信息的证书:
(i)G-PK;
(ii)证书的有效期;
(iii)网关的DN(其与服务器的组织相同或者至少属于与服务器相同的组织);
(iv)发行者的DN(CA的DN);以及
(v)由发行者的私有密钥(CA-SK)签名的上述信息的数字签名。
网关服务器46也具有来自CA 48的CA-PK。CA-PK被以可信赖的方式呈现给网关46。例如,CA-PK被通过软盘加载到网关46。
上述与其中所有证书由相同的CA发行的实施方案相关。但是,有几个CA。例如,有用私有密钥CA-C-SK签名客户端的证书的CA-C、用私有密钥CA-G-SK签名网关的证书的CA-G以及用私有密钥CA-S-SK签名服务器的证书的CA-S。将公共密钥CA-C-PK和CA-S-PK给网关并且将公共密钥CA-G-PK给客户端。将网关公共密钥G-PK给服务器。
如上面提到的,G-PK而不是CA-PK被加载到发端服务器44。发端服务器44被通知G-PK实际是CA-PK。因为发端服务器44和网关46在相同的组织控制下并且可位于相同(物理被保护)的位置中(并且可能甚至在相同的机器上),将CA-PK加载到网关46以及将G-PK作为CA-PK加载到发端服务器44是直接的。公共密钥可以被直接加载或者在连接上被提供。所有重要的是G-PK应该以可信的方式被下载。
可能有发端服务器44和网关46不在相同组织的控制下的情况。虽然这在某些环境下是可接受的,但这会导致较低的安全等级。
应该理解在发端服务器44和网关46的证书中,如有效期和发行者的DN的扩展是相同的。除此之外,发端服务器的DN和网关的DN是相同的。但是,在本发明的一个实施方案中,网关的DN和发端服务器的DN有些不同但是相同的足够指示DN表示相同的组织。例如,发端服务器的DN可表示银行服务器并且网关的DN可表示相同银行的另一个服务器。
现在将参考图5的步骤流程图来描述本系统的操作。客户端42和网关46之间的协议握手被执行如下。客户端的证书(由CA 48的CA-SK签名)被发送到网关46。网关46能够利用CA-PK验证这个签名的证书并且因此其获得C-PK,其最初由CA 48认证。在响应中,网关46将其(由CA-SK签名的)证书发送到客户端42。客户端42能够利用CA-PK验证这个签名的证书并且因此其获得G-PK,其最初由CA 48认证。因为网关证书具有发端服务器的DN,所以客户端相信网关46是发端服务器44。因为客户端42和网关46每个有另一个的公共密钥,所以其可以以可信的并且机密的方式通信并且同意根据要使用的加密协议(如WTLS)的主要秘密。客户端42和网关46现在可以利用WTLS加密通信。
现在发端服务器44和网关46之间的协议握手被执行如下。网关46为每个客户端生成公共密钥G-C-PK和私有密钥G-C-SK对。优选地使用客户端特定密钥对以便为不同的客户端提供不同的密钥(为不否认的目的)。
网关46生成包括生成的客户端公共密钥(G-C-PK)和客户端的DN的新的证书。新的证书由网关46的G-SK签名并且被发送到发端服务器44。这样,网关46生成发端服务器将象其来自客户端一样接受的证书。发端服务器44还能够利用G-PK来验证这个签名的证书并且因此其获得生成的客户端公共密钥(G-C-PK)以及客户端的DN。(注意:因为网关46不参与证书的分层结构,所以这个证书将仅由发端服务器44接受并且将对于任何其他方不合法,因此在其他情况下网关46不能扮演客户端。)
因此,因为生成的客户端证书有客户端的DN并且SSL层的内部变量指示有到客户端的安全连接,所以发端服务器44认为其在与客户端42通信。这样在发端服务器44的应用层的程序将不注意任何的差别并且将接受该认证。因为原始的客户端证书被信任的CA签名,所以网关认为客户端的DN与应该信任的一方相关。发端服务器44的证书被CA-SK签名并且将这个签名的证书发送到网关46。网关46能够利用CA-PK验证这个签名的证书并且因此其获得S-PK,其最初由CA 48认证。
因为发端服务器44有生成的网关的客户端公共密钥(在这种情况下是G-C-PK)并且网关46有发端服务器的公共密钥(S-PK),发端服务器44和网关46可以以安全的方式通信并且以与图2相关的上述描述中类似的方式同意一个主要秘密。现在发端服务器44和网关46可以利用SSL(或者TLS)加密来通信。
因此,在上面讨论的过程之后,现在客户端42和发端服务器44可以保密地与网关46通信。由任一方发送的消息可以被网关46解密,在网关46中在WML和HTML之间被转换,并且因此在被发送到计划的接收者之前以发送者的名义被重新加密。网关46被客户端42和发端服务器44视为可信任的解释者,因为双方都在SSL或WTLS安全连接直接与其谈话。
应该注意上面网关46与发端服务器44相关作为认证机构运行。但是,应该注意在这个角色中,网关46不参与证书的分层结构并且不作为对除服务器44之外的其他方的正式的认证机构运行。另一方面,网关46与客户端42相关的作为服务器运行并且有来自真实的认证机构,也就是CA 48的签名的证书。发端服务器44和网关46在共同控制下并且因此发端服务器44可以信任网关46并且客户端可以接受其属于相同的组织。
在优选实施方案中,网关46在与发端服务器44相同的机器上运行,也就是其有相同的IP地址、区别的名称以及证书。在这种情况下,客户端42将不会注意关于转换的任何异常。
如果建立客户端42和发端服务器44之间的安全通信的速度很重要,则可缩放的基于硬件的算法可以被用于该网关。替代的或额外的,在实际握手之前可以计算生成的客户端密钥。
以相同的方式客户端特定的密钥对可被用于网关和服务器之间,服务器特定的网关可被用于客户端和网关之间。如果对于不同的服务器有多个不同的密钥时就是这样的情况。
因为网关为诸如支付的特定操作解密和加密所有的消息,优选地使用另一个应用等级的解决方案。在这种情况下,网关46可以将客户端的原始证书作为附件插入生成的客户端证书中,因此可以执行应用等级之上的真实的端到端认证。然后原始的证书可被用于评估数字签名。
可以很容易地看到这个解决方案独立于WTLS和SSL之间的差异并且在客户端或服务器或两者不被认证的情况下起作用。换句话说,在SSL和WTLS中,客户端或服务器端认证是可选的。如果我们禁止这些认证之一,则本发明提供的方法也能够处理该情况。
本发明的一个优点是其不需要在客户端42和网关46之间的WAP通信中也不需要在发端服务器44和网关46之间的TCP/IP通信中进行修改。这样其与合适的标准兼容。
本发明以使各个协议栈的SSL和WTLS层之间能够以无缝会话的方式提供互联网服务器和WAP客户端之间的端到端的保密。
已经描述了本发明的特定实现和实施方案。对于本领域的技术人员很显然本发明不限于上述实施方案的细节,而是在不背离本发明的特征的情况下其可以利用等价装置在其他实施方案中被实现。本发明的范围仅受所附的权利要求书的限制。

Claims (27)

1.一种通过网关(46)向第二方(44)认证第一方(42)的方法,第一方使用自己和所述网关之间的第一加密协议并且第二方使用自己和所述网关之间的第二加密协议,所述方法包括步骤:
在第二方中设置网关是被信任的认证机构(48);
所述网关发行一个认证第一方的数字证书;并且
第二方验证所述数字证书以便向第二方确认所述数字证书来自被信任的认证机构。
2.根据权利要求1的方法,其中第一方(42)和网关(46)之间以及第二方(44)和网关之间的加密协议是不同的。
3.根据权利要求2的方法,其中第一方(42)和网关(46)之间的加密协议是无线传输层保密并且网关和第二方(44)之间的加密协议是加密套接字协议层。
4.根据权利要求1的方法,其中网关公共密钥被提供给第二方(44)并且被向第二方(44)指示作为被信任的认证机构(48)的公共密钥。
5.根据权利要求1的方法,其中网关(46)为多个第一方生成不同的公共私有密钥对,每个密钥对包括生成的第一方(42)公共密钥以及生成的第一方私有密钥。
6.根据权利要求5的方法,其中网关(46)以不同的第一方的名称生成不同的证书。
7.根据权利要求6的方法,其中网关(46)用网关私有密钥签署这些不同的证书。
8.根据权利要求6的方法,其中这些不同的证书包含第一方(42)的区别的名字以及第一方公共密钥。
9.根据权利要求1的方法,包括为第二方(44)提供指示其起源的识别符的步骤。
10.根据权利要求9的方法,包括为网关(46)提供指示与第二方(44)的通用起源的识别符的步骤。
11.根据权利要求10的方法,包括为第二方(44)和网关(46)请求对应于第二方和网关的通用识别符,但是包含属于第二方和网关的不同公共密钥的证书的步骤。
12.根据权利要求1的方法,包括握手以便将向每一方认证对方并且协商一个或多个会话密钥。
13.根据权利要求12的方法,其中握手是两次握手。
14.根据权利要求1的方法,其中第一方(42)和网关(46)执行通用第一次握手来彼此认证并且协商主要秘密。
15.根据权利要求14的方法,其中网关(46)使用第一方(42)私有密钥以及第一方证书来执行与第二方(44)的第二次握手。
16.根据权利要求14的方法,其中至少一次握手是在根据无线传输层保密的通信之前发生的握手。
17.根据权利要求14的方法,其中至少一次握手是在加密套接字协议层或传输层保密之前发生的握手。
18.根据权利要求1的方法,其中第一方(42)是客户端并且第二方(44)是服务器。
19.根据权利要求1的方法,包括为第一方(42)和网关(46)提供通用公共密钥来认证从一个发送到另一个的信息的源的步骤,通用公共密钥是被信任的认证机构(48)的公共密钥。
20.包括第一方(42)和第二方(44)的交易系统(40),所述第一方和第二方通过网关(46)在双方之间传送通信,该通信是要求利用第一方和网关之间的第一加密协议以及第二方和网关之间的第二加密协议向第二方认证第一方,其中:
网关包括数字证书签名装置来发行一个认证第一方的数字证书;
第二方包括对应于网关的数字证书签名装置的数字证书验证装置,其验证数字证书以便向第二方确认网关签名的数字证书是可靠的。
21.根据权利要求20的交易系统(40)包括通信系统。
22.根据权利要求21的交易系统(40)包括具有网络和多个移动终端的无线电信系统。
23.一种网关(46),第一方(42)和第二方(44)能够通过该网关在双方之间进行通信,所述通信是要求利用第一方和网关之间的第一加密协议以及第二方和网关之间的第二加密协议向第二方认证第一方,网关包括数字证书签名装置来发行一个认证第一方的数字证书,网关的签名装置对应于第二方的验证装置,其验证数字证书以便向第二方确认网关签名的数字证书是可靠的。
24.根据权利要求23的网关(46)包括服务器。
25.一种内容交付服务器,用于通过网关(46)向第一方(42)传送所述第一方与内容交付服务器之间的通信,所述内容交付服务器要求使用所述第一方与所述网关之间的第一加密协议以及所述内容交付服务器和所述网关之间的第二加密协议来向该内容交付服务器认证第一方,所述内容交付服务器包括一个证实器来证实由所述网关的数值证书签名器发行的一个数字证书,以便向所述内容交付服务器确认所述网关签名的数值证书是可靠的。
26.根据权利要求25的内容交付服务器,包括网关(46)。
27.通过通信网从内容提供服务器到终端(42)的内容交付的方法,其中内容提供服务器和终端通过网关(46)彼此认证,终端使用自己和网关之间的第一加密协议并且内容提供服务器使用自己和网关之间的第二加密协议,所述方法包括步骤:
内容提供服务器确定网关是被信任的认证机构(48);
网关发行一个认证终端的数字证书;以及
内容提供服务器验证数字证书以便确认所述数字证书来自被信任的认证机构。
CN01816850.7A 2000-08-18 2001-08-06 用于通过网关认证移动用户的方法和系统 Expired - Fee Related CN1231030C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20001837A FI20001837A (fi) 2000-08-18 2000-08-18 Autentikointi
FI20001837 2000-08-18

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN200510108880.5A Division CN1758598A (zh) 2000-08-18 2001-08-06 用于通过网关认证移动用户的方法和系统

Publications (2)

Publication Number Publication Date
CN1468488A CN1468488A (zh) 2004-01-14
CN1231030C true CN1231030C (zh) 2005-12-07

Family

ID=8558921

Family Applications (2)

Application Number Title Priority Date Filing Date
CN01816850.7A Expired - Fee Related CN1231030C (zh) 2000-08-18 2001-08-06 用于通过网关认证移动用户的方法和系统
CN200510108880.5A Pending CN1758598A (zh) 2000-08-18 2001-08-06 用于通过网关认证移动用户的方法和系统

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN200510108880.5A Pending CN1758598A (zh) 2000-08-18 2001-08-06 用于通过网关认证移动用户的方法和系统

Country Status (8)

Country Link
US (1) US7742605B2 (zh)
EP (1) EP1312191B1 (zh)
CN (2) CN1231030C (zh)
AT (1) ATE504992T1 (zh)
AU (1) AU2001282183A1 (zh)
DE (1) DE60144378D1 (zh)
FI (1) FI20001837A (zh)
WO (1) WO2002015523A1 (zh)

Families Citing this family (142)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US8380854B2 (en) 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
BR0203323A (pt) * 2001-04-19 2003-04-08 Ntt Docomo Inc Aperfeiçoamento introduzido em sistema de terminal de comunicação
BRPI0211215B1 (pt) * 2001-07-16 2016-07-05 Blackberry Ltd sistema para suportar múltiplas autoridades de certificação em um dispositivo de comunicação móvel
IL162011A0 (en) * 2001-11-29 2005-11-20 Siemens Ag Use of a public key pair in the terminal for authentication and authorisation of the telecommunication user with the network op
WO2003071736A1 (en) * 2002-02-22 2003-08-28 Nokia Corporation Method and apparatus for reducing the use of signalling plane in certificate provisioning procedures
US7386717B2 (en) 2002-03-07 2008-06-10 Intel Corporation Method and system for accelerating the conversion process between encryption schemes
US7167547B2 (en) * 2002-03-20 2007-01-23 Bellsouth Intellectual Property Corporation Personal calendaring, schedules, and notification using directory data
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7596692B2 (en) * 2002-06-05 2009-09-29 Microsoft Corporation Cryptographic audit
US7600114B2 (en) * 2002-06-28 2009-10-06 Temic Automotive Of North America, Inc. Method and system for vehicle authentication of another vehicle
US7131005B2 (en) 2002-06-28 2006-10-31 Motorola, Inc. Method and system for component authentication of a vehicle
US7549046B2 (en) 2002-06-28 2009-06-16 Temic Automotive Of North America, Inc. Method and system for vehicle authorization of a service technician
US7127611B2 (en) 2002-06-28 2006-10-24 Motorola, Inc. Method and system for vehicle authentication of a component class
US7137001B2 (en) 2002-06-28 2006-11-14 Motorola, Inc. Authentication of vehicle components
US7325135B2 (en) 2002-06-28 2008-01-29 Temic Automotive Of North America, Inc. Method and system for authorizing reconfiguration of a vehicle
US7181615B2 (en) 2002-06-28 2007-02-20 Motorola, Inc. Method and system for vehicle authentication of a remote access device
US7228420B2 (en) 2002-06-28 2007-06-05 Temic Automotive Of North America, Inc. Method and system for technician authentication of a vehicle
US6996251B2 (en) 2002-09-30 2006-02-07 Myport Technologies, Inc. Forensic communication apparatus and method
US7778438B2 (en) 2002-09-30 2010-08-17 Myport Technologies, Inc. Method for multi-media recognition, data conversion, creation of metatags, storage and search retrieval
US10721066B2 (en) 2002-09-30 2020-07-21 Myport Ip, Inc. Method for voice assistant, location tagging, multi-media capture, transmission, speech to text conversion, photo/video image/object recognition, creation of searchable metatags/contextual tags, storage and search retrieval
US20040093419A1 (en) * 2002-10-23 2004-05-13 Weihl William E. Method and system for secure content delivery
CN1191696C (zh) * 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
US8332464B2 (en) * 2002-12-13 2012-12-11 Anxebusiness Corp. System and method for remote network access
US8244875B2 (en) * 2002-12-13 2012-08-14 ANXeBusiness Corporation Secure network computing
US7506368B1 (en) * 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy
CN100375424C (zh) * 2004-03-22 2008-03-12 国际商业机器公司 多媒体消息收发方法、系统、网关和客户设备
GB0407388D0 (en) 2004-03-31 2004-05-05 British Telecomm Method and apparatus for communicating data between computer devices
CN100448215C (zh) * 2004-06-30 2008-12-31 中国银行股份有限公司 用于企业和银行之间业务对接的处理系统
US8156339B2 (en) * 2004-07-21 2012-04-10 Sanyo Electric Co., Ltd. Method for transmission/reception of contents usage right information in encrypted form, and device thereof
KR20060081337A (ko) * 2005-01-07 2006-07-12 엘지전자 주식회사 비밀키를 이용한 암호화 및 복호화 방법
GB0517303D0 (en) * 2005-08-23 2005-10-05 Netronome Systems Inc System and method for processing secure transmissions
CN1829150B (zh) * 2006-04-10 2011-06-01 北京易恒信认证科技有限公司 一种基于cpk的网关认证装置及方法
US20070245414A1 (en) * 2006-04-14 2007-10-18 Microsoft Corporation Proxy Authentication and Indirect Certificate Chaining
US8160255B2 (en) * 2006-04-24 2012-04-17 Cisco Technology, Inc. System and method for encrypted group network communication with point-to-point privacy
US8356171B2 (en) * 2006-04-26 2013-01-15 Cisco Technology, Inc. System and method for implementing fast reauthentication
CN101123498B (zh) * 2006-08-08 2011-12-28 华为技术有限公司 一种实现接入认证的方法、设备及系统
EP1895770A1 (en) * 2006-09-04 2008-03-05 Nokia Siemens Networks Gmbh & Co. Kg Personalizing any TV gateway
KR101434613B1 (ko) * 2006-09-18 2014-08-26 마벨 인터내셔널 리미티드 다수의 디바이스들 사이에서 애드-혹 네트워크들의 설립
US9055107B2 (en) * 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
US20100106966A1 (en) * 2007-02-07 2010-04-29 0856972 B.C. Ltd. Method and System for Registering and Verifying the Identity of Wireless Networks and Devices
CN101681264B (zh) * 2007-04-23 2014-01-08 汤姆森许可贸易公司 网络中软件下载的方法和装置
KR100842838B1 (ko) 2007-08-13 2008-07-03 이태원 엠피지 시스템을 이용한 모바일 단말을 통한무선공인인증서비스 시스템 및 방법
US8625610B2 (en) * 2007-10-12 2014-01-07 Cisco Technology, Inc. System and method for improving spoke to spoke communication in a computer network
US8346961B2 (en) * 2007-12-12 2013-01-01 Cisco Technology, Inc. System and method for using routing protocol extensions for improving spoke to spoke communication in a computer network
CN101267456B (zh) * 2008-03-31 2011-04-13 中国联合网络通信集团有限公司 防止cp模拟订购的方法及系统
US7945774B2 (en) * 2008-04-07 2011-05-17 Safemashups Inc. Efficient security for mashups
US7966652B2 (en) * 2008-04-07 2011-06-21 Safemashups Inc. Mashauth: using mashssl for efficient delegated authentication
US7930542B2 (en) * 2008-04-07 2011-04-19 Safemashups Inc. MashSSL: a novel multi party authentication and key exchange mechanism based on SSL
US8806053B1 (en) 2008-04-29 2014-08-12 F5 Networks, Inc. Methods and systems for optimizing network traffic using preemptive acknowledgment signals
US20100100926A1 (en) * 2008-10-16 2010-04-22 Carl Binding Interactive selection of identity informatoin satisfying policy constraints
US9008314B2 (en) * 2008-11-18 2015-04-14 Verizon Patent And Licensing Inc. Secure wireless communications
US8195817B2 (en) * 2009-02-11 2012-06-05 Sprint Communications Company L.P. Authentication of the geographic location of wireless communication devices
US20100318788A1 (en) * 2009-06-12 2010-12-16 Alexandro Salvarani Method of managing secure communications
CN101997679A (zh) * 2009-08-21 2011-03-30 华为终端有限公司 加密信息协商方法、设备及网络系统
US8868961B1 (en) 2009-11-06 2014-10-21 F5 Networks, Inc. Methods for acquiring hyper transport timing and devices thereof
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
KR101683286B1 (ko) * 2009-11-25 2016-12-06 삼성전자주식회사 이동통신망을 이용한 싱크 인증 시스템 및 방법
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
DE102010030590A1 (de) * 2010-06-28 2011-12-29 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Zertifikats
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US9083760B1 (en) 2010-08-09 2015-07-14 F5 Networks, Inc. Dynamic cloning and reservation of detached idle connections
US8886981B1 (en) 2010-09-15 2014-11-11 F5 Networks, Inc. Systems and methods for idle driven scheduling
PL2622786T3 (pl) 2010-09-30 2017-07-31 Entersekt Int Ltd Identyfikacja przenośnego urządzenia podręcznego i uwierzytelnianie komunikacji
WO2012058643A2 (en) 2010-10-29 2012-05-03 F5 Networks, Inc. System and method for on the fly protocol conversion in obtaining policy enforcement information
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9246819B1 (en) 2011-06-20 2016-01-26 F5 Networks, Inc. System and method for performing message-based load balancing
WO2013013192A2 (en) * 2011-07-20 2013-01-24 Visa International Service Association Cryptographic expansion device and related protocols
RU2623197C2 (ru) * 2011-07-25 2017-06-27 Филипс Лайтинг Холдинг Б.В. Способы, устройства и системы для создания сквозных безопасных соединений и для безопасной передачи пакетов данных
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
US9172753B1 (en) 2012-02-20 2015-10-27 F5 Networks, Inc. Methods for optimizing HTTP header based authentication and devices thereof
US9231879B1 (en) 2012-02-20 2016-01-05 F5 Networks, Inc. Methods for policy-based network traffic queue management and devices thereof
EP2853074B1 (en) 2012-04-27 2021-03-24 F5 Networks, Inc Methods for optimizing service of content requests and devices thereof
WO2013166278A1 (en) 2012-05-02 2013-11-07 Visa International Service Association Small form-factor cryptographic expansion device
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US9137218B2 (en) * 2013-05-03 2015-09-15 Akamai Technologies, Inc. Splicing into an active TLS session without a certificate or private key
US9553730B2 (en) * 2013-06-02 2017-01-24 Microsoft Technology Licensing, Llc Certificating authority trust evaluation
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
GB2530040B (en) 2014-09-09 2021-01-20 Arm Ip Ltd Communication mechanism for data processing devices
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
US11533297B2 (en) 2014-10-24 2022-12-20 Netflix, Inc. Secure communication channel with token renewal mechanism
US11399019B2 (en) * 2014-10-24 2022-07-26 Netflix, Inc. Failure recovery mechanism to re-establish secured communications
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US10142306B1 (en) 2015-05-05 2018-11-27 F5 Networks, Inc. Methods for providing a secure network channel and devices thereof
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US10129277B1 (en) 2015-05-05 2018-11-13 F5 Networks, Inc. Methods for detecting malicious network traffic and devices thereof
US10122740B1 (en) 2015-05-05 2018-11-06 F5 Networks, Inc. Methods for establishing anomaly detection configurations and identifying anomalous network traffic and devices thereof
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
US11616806B1 (en) 2015-05-08 2023-03-28 F5, Inc. Methods for protecting web based resources from D/DoS attacks and devices thereof
US10581902B1 (en) 2015-11-30 2020-03-03 F5 Networks, Inc. Methods for mitigating distributed denial of service attacks and devices thereof
US10834110B1 (en) 2015-12-18 2020-11-10 F5 Networks, Inc. Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10270792B1 (en) 2016-01-21 2019-04-23 F5 Networks, Inc. Methods for detecting malicious smart bots to improve network security and devices thereof
US10397250B1 (en) 2016-01-21 2019-08-27 F5 Networks, Inc. Methods for detecting remote access trojan malware and devices thereof
US9800568B1 (en) * 2016-03-16 2017-10-24 F5 Networks, Inc. Methods for client certificate delegation and devices thereof
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US10116634B2 (en) * 2016-06-28 2018-10-30 A10 Networks, Inc. Intercepting secure session upon receipt of untrusted certificate
EP3491775A4 (en) * 2016-07-27 2020-02-26 Akamai Technologies, Inc. SHARING OF CRYPTOGRAPHIC MATERIAL BETWEEN ENTITIES WITHOUT CONNECTIVITY OR RELATIONSHIP OF DIRECT TRUST
US10432652B1 (en) 2016-09-20 2019-10-01 F5 Networks, Inc. Methods for detecting and mitigating malicious network behavior and devices thereof
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US20180131525A1 (en) * 2016-11-07 2018-05-10 International Business Machines Corporation Establishing a secure connection across secured environments
US10581595B2 (en) * 2017-03-01 2020-03-03 International Business Machines Corporation Generating public/private key pairs to deploy public keys at computing devices to verify digital signatures
US10389535B2 (en) * 2017-03-01 2019-08-20 International Business Machines Corporation Using public keys provided by an authentication server to verify digital signatures
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11038869B1 (en) 2017-05-12 2021-06-15 F5 Networks, Inc. Methods for managing a federated identity environment based on application availability and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
CN107395560B (zh) * 2017-06-05 2020-07-24 努比亚技术有限公司 安全校验及其发起、管理方法、设备、服务器和存储介质
JP7225355B2 (ja) * 2017-08-25 2023-02-20 東芝テック株式会社 制御装置
JP6987571B2 (ja) 2017-08-25 2022-01-05 東芝テック株式会社 制御装置
DE102017215094A1 (de) * 2017-08-30 2019-02-28 Robert Bosch Gmbh Verfahren zum Ermöglichen und/oder Anfordern eines Zugriffs eines ersten Netzwerkteilnehmers auf einen zweiten Netzwerkteilnehmer in einem Netzwerk
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
US10931691B1 (en) 2017-10-09 2021-02-23 F5 Networks, Inc. Methods for detecting and mitigating brute force credential stuffing attacks and devices thereof
US10652224B2 (en) * 2017-12-05 2020-05-12 International Business Machines Corporation Stateless session synchronization between secure communication interceptors
US11539740B1 (en) 2018-02-02 2022-12-27 F5, Inc. Methods for protecting CPU during DDoS attack and devices thereof
US11418352B2 (en) * 2018-02-21 2022-08-16 Akamai Technologies, Inc. Certificate authority (CA) security model in an overlay network supporting a branch appliance
US11044200B1 (en) 2018-07-06 2021-06-22 F5 Networks, Inc. Methods for service stitching using a packet header and devices thereof
CN110879879B (zh) * 2018-09-05 2023-08-22 航天信息股份有限公司 物联网身份认证方法、装置、电子设备、系统及存储介质
EP3745640A1 (en) * 2019-05-31 2020-12-02 Siemens Aktiengesellschaft Establishing secure communication without local time information
US11095460B2 (en) * 2019-07-05 2021-08-17 Advanced New Technologies Co., Ltd. Certificate application operations
GB2592455B (en) * 2019-09-23 2023-10-25 Fisher Rosemount Systems Inc Secure off-premises access of process control data by a mobile device
CN110912686B (zh) * 2019-10-15 2023-05-05 福建联迪商用设备有限公司 一种安全通道的密钥的协商方法及系统
US11349981B1 (en) 2019-10-30 2022-05-31 F5, Inc. Methods for optimizing multimedia communication and devices thereof
CN110995418B (zh) * 2019-11-27 2022-07-22 中国联合网络通信集团有限公司 云存储认证方法及系统、边缘计算服务器、用户路由器
TWI744844B (zh) * 2020-03-30 2021-11-01 尚承科技股份有限公司 憑證安全簽發與管理系統及方法
US11601519B2 (en) * 2020-06-09 2023-03-07 Twilio Inc. Edge communication locations
US11502855B1 (en) * 2021-08-26 2022-11-15 International Business Machines Corporation Certificate mirroring
CN116633690B (zh) * 2023-07-24 2023-09-26 北京易核科技有限责任公司 一种通信系统、方法、设备及存储介质

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5371794A (en) * 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
AU718291B2 (en) * 1996-03-28 2000-04-13 Markport Limited "A roaming interworking gateway for mobile telecommunications systems"
US6178409B1 (en) * 1996-06-17 2001-01-23 Verifone, Inc. System, method and article of manufacture for multiple-entry point virtual point of sale architecture
US6094578A (en) * 1996-07-10 2000-07-25 American Pcs Communications, Llc Gateway unit
US6192131B1 (en) * 1996-11-15 2001-02-20 Securities Industry Automation Corporation Enabling business transactions in computer networks
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
US5903882A (en) * 1996-12-13 1999-05-11 Certco, Llc Reliance server for electronic transaction system
US6012100A (en) * 1997-07-14 2000-01-04 Freegate Corporation System and method of configuring a remotely managed secure network interface
US6370249B1 (en) * 1997-07-25 2002-04-09 Entrust Technologies, Ltd. Method and apparatus for public key management
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US6553493B1 (en) * 1998-04-28 2003-04-22 Verisign, Inc. Secure mapping and aliasing of private keys used in public key cryptography
CN100452700C (zh) 1998-07-03 2009-01-14 诺基亚公司 用于建立保密连接的存储卡和无线通信设备
US6463534B1 (en) * 1999-03-26 2002-10-08 Motorola, Inc. Secure wireless electronic-commerce system with wireless network domain
US7237261B1 (en) * 1999-09-07 2007-06-26 Swisscom Ag Method, system and gateway allowing secured end-to-end access to WAP services
US6430624B1 (en) * 1999-10-21 2002-08-06 Air2Web, Inc. Intelligent harvesting and navigation system and method
EP1094682B1 (en) 1999-10-22 2005-06-08 Telefonaktiebolaget LM Ericsson (publ) Mobile phone incorporating security firmware
US6643701B1 (en) * 1999-11-17 2003-11-04 Sun Microsystems, Inc. Method and apparatus for providing secure communication with a relay in a network
US6442687B1 (en) * 1999-12-02 2002-08-27 Ponoi Corp. System and method for secure and anonymous communications
US6701303B1 (en) * 1999-12-23 2004-03-02 International Business Machines, Corp. E-commerce system and method of operation enabling a user to conduct transactions with multiple retailers without certification and/or trusted electronic paths
JP3575360B2 (ja) 1999-12-24 2004-10-13 日本電気株式会社 通信方法および通信システム
KR100319256B1 (ko) * 1999-12-30 2002-01-05 서평원 통신 프로토콜 운용 방법
AU2001229504A1 (en) 2000-01-17 2001-07-31 Certicom Corp. Customizable public key infrastructure and developement tool for same
US6789188B1 (en) * 2000-02-07 2004-09-07 Koninklijke Philips Electronics N.V. Methods and apparatus for secure content distribution
US6336137B1 (en) * 2000-03-31 2002-01-01 Siebel Systems, Inc. Web client-server system and method for incompatible page markup and presentation languages
US7275262B1 (en) * 2000-05-25 2007-09-25 Bull S.A. Method and system architecture for secure communication between two entities connected to an internet network comprising a wireless transmission segment
US6823373B1 (en) * 2000-08-11 2004-11-23 Informatica Corporation System and method for coupling remote data stores and mobile devices via an internet based server
US7194759B1 (en) * 2000-09-15 2007-03-20 International Business Machines Corporation Used trusted co-servers to enhance security of web interaction

Also Published As

Publication number Publication date
FI20001837A0 (fi) 2000-08-18
EP1312191A1 (en) 2003-05-21
FI20001837A (fi) 2002-02-19
ATE504992T1 (de) 2011-04-15
CN1468488A (zh) 2004-01-14
US20040103283A1 (en) 2004-05-27
EP1312191B1 (en) 2011-04-06
DE60144378D1 (de) 2011-05-19
CN1758598A (zh) 2006-04-12
US7742605B2 (en) 2010-06-22
AU2001282183A1 (en) 2002-02-25
WO2002015523A1 (en) 2002-02-21

Similar Documents

Publication Publication Date Title
CN1231030C (zh) 用于通过网关认证移动用户的方法和系统
US7366905B2 (en) Method and system for user generated keys and certificates
US8627440B2 (en) PassThru for client authentication
EP1583319B1 (en) Authenticated exchange of public information using electronic mail
US7937584B2 (en) Method and system for key certification
CA2723747C (en) Apparatus and method to prevent man in the middle attack
US20020038420A1 (en) Method for efficient public key based certification for mobile and desktop environments
CN1980121B (zh) 电子签名移动终端、系统及方法
CN1885771A (zh) 用于建立安全通信会话的方法与装置
US20080187140A1 (en) Method and System of Securely Transmitting Electronic Mail
CN1350382A (zh) 基于pki的vpn密钥交换的实现方法
CN1889433A (zh) 基于隐式公钥证书的双方认证密钥协商方法及系统
CN103905384A (zh) 基于安全数字证书的嵌入式终端间会话握手的实现方法
US7360238B2 (en) Method and system for authentication of a user
JP2010154098A (ja) 署名装置
JP2008234143A (ja) バイオメトリクスを使用した本人限定メール開封システムおよびその方法ならびにそのためのプログラム
KR20080005344A (ko) 인증서버가 사용자단말기를 인증하는 시스템
JP2004140636A (ja) 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム
KR20070035342A (ko) 패스워드 기반의 경량화된 상호 인증 방법
CA2474144C (en) Method for securing data traffic in a mobile network environment
KR20040013966A (ko) 이동 통신망에서의 인증 및 키 합의 방법
KR100896743B1 (ko) P3p를 위한 보안 시스템 및 그 보안 방법
Lee et al. Wireless certificate management protocol supporting mobile phones
CN109995694A (zh) 一种通过网关认证用户的方法
CHOUHAN et al. Privacy Preservation and Data Security on Internet Using Mutual SSL

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160122

Address after: Espoo, Finland

Patentee after: Technology Co., Ltd. of Nokia

Address before: Espoo, Finland

Patentee before: Nokia Oyj

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20051207

Termination date: 20200806

CF01 Termination of patent right due to non-payment of annual fee