CN1879382B - 在设备间建立加密通信通道的方法和设备 - Google Patents
在设备间建立加密通信通道的方法和设备 Download PDFInfo
- Publication number
- CN1879382B CN1879382B CN200480032891.3A CN200480032891A CN1879382B CN 1879382 B CN1879382 B CN 1879382B CN 200480032891 A CN200480032891 A CN 200480032891A CN 1879382 B CN1879382 B CN 1879382B
- Authority
- CN
- China
- Prior art keywords
- terminal
- session management
- equipment
- communication channel
- encrypted communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 223
- 238000004891 communication Methods 0.000 title claims abstract description 219
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000004044 response Effects 0.000 claims description 49
- 238000012545 processing Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000011664 signaling Effects 0.000 description 51
- 230000006870 function Effects 0.000 description 33
- 230000008569 process Effects 0.000 description 14
- 238000007689 inspection Methods 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 241000209202 Bromus secalinus Species 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4535—Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4547—Network directories; Name-to-address mapping for personal communications, i.e. using a personal identifier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了一种通过使用会话管理设备在第一设备和第二设备之间建立加密通信通道的方法。该方法包括以下步骤:通过在会话管理设备和第一设备之间执行相互鉴权在会话管理设备和第一设备之间建立第一加密通信通道;通过在会话管理设备和第二设备之间执行相互鉴权在会话管理设备和第二设备之间建立第二加密通信通道;并且经由第一加密通信通道和第二加密通信通道在第一设备和第二设备之间交换密钥信息,以在第一设备和第二设备之间建立加密通信通道。
Description
技术领域
本发明涉及用于在网络上的两个终端之间建立安全数据通道的技术。
背景技术
在常规技术中,为了在IP网络上的两个终端之间建立数据通道以执行所谓的对等通信,各种准备活动是必要的,如名称注册到DNS、为保证安全而设置和管理FW(防火墙)、获得公共密钥认证等等。对于一个通过相互鉴权与多个终端执行加密的对等通信的终端,该终端必须获得所有其他终端的公共密钥认证或所有其他终端的ID和口令。
如上所述,根据常规技术,需要复杂的活动以在IP网络上的两个终端之间建立安全数据通道。除此之外,由于终端的名称和地址将在开放的DNS中注册,存在可发生未鉴权的访问及开放的DNS中的数据可被篡改的问题。
提出了一种用于建立伪对等数据通道的机制。在该机制中,中介服务器(mediating server)被引入终端之间。中介服务器终止来自作为代理的一个端点的终端的数据通道并终止来自另一端点的终端的数据通道,并连接所述数据通道。但是,根据该方法,由于终端间所有交换的数据均经过中介服务器,因此存在将沉重的工作负荷置于中介服务器上的问题。而且,存在实时访问本地终端不可通过该机制实现的问题。日本已公开的专利申请No.2002-208921披露了涉及建立安全通道的技术。
发明内容
本发明的目的是提供用于在设备间容易地建立安全数据通道的技术。
根据本发明的另一实施例,提供了一种在连接到网络的第一终端和第二终端之间建立加密通信通道、并使用该加密通信信道在第三终端和 所述第二终端之间进行通信的方法。该方法包括:第一步骤:在连接到所述网络的会话管理设备和所述第一终端交换用于加密通信的密钥信息,所述会话管理设备和所述第一终端执行相互鉴权,在所述会话管理设备和所述第一终端之间建立第一加密通信通道;第二步骤:在所述会话管理设备和所述第二终端之间交换用于加密通信的密钥信息,所述会话管理设备和所述第二终端执行相互鉴权,在所述会话管理设备和所述第二终端之间建立第二加密通信通道;第三步骤:所述第一终端接收来自第三终端的访问;第四步骤:所述第一终端经由所述第一加密通信通道发送目的地为所述第二终端的、包括用于所述第一终端和所述第二终端之间的加密通信的密钥信息的连接请求消息给所述会话管理设备,并且所述会话管理设备经由所述第二加密通信通道发送所述连接请求消息给所述第二终端;第五步骤:所述第二终端经由所述第二加密通信通道发送包括用于所述第一终端和所述第二终端之间的加密通信的密钥信息的响应消息给所述会话管理设备,以响应于接收所述连接请求消息,并且所述会话管理设备经由所述第一加密通信通道发送所述响应消息给所述第一终端;以及第六步骤:所述第一终端经由通过所述第四步骤和所述第五步骤的执行而建立的所述第一终端和所述第二终端之间的加密通信信道,从所述第二终端接收数据,并发送该数据到所述第三终端。其中,所述第一终端具有包括所述第三终端允许连接到的至少一个连接目的地的表,并且响应于来自第三终端的访问而发送有关所述至少一个连接目的地的信息到所述第三终端,从所述第三终端接收选择的连接目的地,并基于该选择在所述第四步骤中发送目的地为所述第二终端的连接请求消息给所述会话管理设备。
根据本发明的另一实施例,提供了一种通过使用连接到网络的会话管理设备来建立到第二终端的加密通信通道的终端,该终端包括:用于与连接到网络的会话管理设备交换用于加密通信的密钥信息、并与所述会话管理设备执行相互鉴权以在该终端和所述会话管理设备之间建立加 密通信通道的第一加密通信通道建立部件;用于经由所述第一加密通信通道建立部件建立的加密通信通道发送目的地为所述第二终端、包括用于该终端和所述第二终端之间的加密通信的密钥信息的连接请求消息到所述会话管理设备、并且经由所述会话管理设备从所述第二终端接收包括用于该终端和所述第二终端之间的加密通信的密钥信息的响应消息以在该终端和所述第二终端之间建立加密通信通道的第二加密通信通道建立部件;在接收到来自来自第三终端的访问之后、在所述第一加密通信通道建立部件进行了用于建立该终端与所述会话管理设备之间的加密通信通道的处理并且所述第二加密通信通道建立部件进行了用于建立该终端和所述第二终端之间的加密通信通道的处理后、经由通过这些处理所建立的该终端与所述第二终端之间的加密通信通道从所述第二终端接收数据、并发送该数据到所述第三终端的部件;包括所述第三终端允许连接到的至少一个连接目的地的表;以及响应于来自所述第三终端的访问而发送有关所述至少一个连接目的地的信息到所述第三终端、并从所述第三终端接收选择的连接目的地的部件。其中,所述第二加密通信通道建立部件基于所述选择的连接目的地来发送目的地为所述第二终端的连接请求消息到所述会话管理设备。
根据本发明的另一实施例,提供了一种通过使用连接到网络的会话管理设备来建立到第二终端的加密通信通道的终端,该终端包括:用于与连接到网络的会话管理设备交换用于加密通信的密钥信息、并且与所述会话管理设备执行相互鉴权以在该终端和会话管理设备之间建立加密通信通道的第一加密通信通道建立部件;用于经由通过所述第一加密通信通道建立部件建立的加密通信通道来发送目的地为所述第二终端、且包括用于该终端与所述第二终端之间的加密通信的密钥信息的连接请求消息到所述会话管理设备、并且经由所述会话管理设备从所述第二终端接收包括用于该终端与所述第二终端之间的加密通信的密钥信息的响应消息以在该终端和所述第二终端之间建立加密通信通道的第二加密通信 通道建立部件;在接收来自第三终端的访问之后、在所述第二加密通信通道建立部件进行了用于建立该终端与所述第二终端之间的加密通信通道的处理后、经由通过该处理所建立的该终端与所述第二终端之间的加密通信通道从所述第二终端接收数据、并发送该数据到所述第三终端的部件;包括所述第三终端允许连接到的至少一个连接目的地的表;以及响应于来自所述第三终端的访问而发送有关所述至少一个连接目的地的信息到所述第三终端、并从所述第三终端接收选择的连接目的地的部件,其中,所述第二加密通信通道建立部件基于所述选择的连接目的地来发送目的地为所述第二终端的连接请求消息给会话管理设备。
根据本发明的另一实施例,提供了一种能够通过网络连接到第一设备和第二设备的会话管理设备,该会话管理设备包括:用于与所述第一设备执行相互鉴权以在所述会话管理设备和所述第一设备之间建立第一加密通信通道、且将所述第一设备名称和所述第一加密通信通道的识别信息存储在存储装置中的部件,其中所述第一设备名称和所述第一加密通信通道的识别信息是相互关联的;用于基于与所述第二设备的相互鉴权而在所述会话管理设备和所述第二设备之间建立第二加密通信通道的部件;用于经由所述第一加密通信通道接收包括所述第一设备名称的消息的部件;用于通过将包括在所述消息中的名称与存储在所述存储装置中并与所述第一加密通信通道的识别信息相关联的名称相比较来确定包括在所述消息中的名称是否正确的部件;以及用于经由所述第二加密通信通道发送所述消息给所述第二设备的部件。
根据本发明的另一实施例,提供了一种能够通过网络连接到第一设备和第二设备的会话管理设备,该会话管理设备包括:用于与所述第一设备执行相互鉴权以在所述会话管理设备和所述第一设备之间建立第一加密通信通道的部件;用于基于与所述第二设备的相互鉴权在所述会话管理设备和所述第二设备之间建立第二加密通信通道的部件;用于经由所述第一加密通信通道从所述第一设备接收包括表示所述第一设备和所 述会话管理设备间路由可靠性的第一头的消息的部件;以及用于给所述消息添加表示所述会话管理设备和所述第二设备间路由可靠性的第二头、并经由所述第二加密通信通道发送该消息给所述第二设备的部件,其中,所述第一头包括所述第一设备的地址、且响应于接收所述第一头,所述会话管理设备通过比较包括在所述第一头中的地址与所述第一设备的地址来确定所述第一头的有效性。
通过一种用于使用会话管理设备在第一设备和第二设备之间建立加密通信通道的方法,实现了该目的,所述方法包括以下步骤:
通过在会话管理设备和第一设备之间执行相互鉴权而在会话管理设备和第一设备之间建立第一加密通信通道;
通过在会话管理设备和第二设备之间执行相互鉴权而在会话管理设备和第二设备之间建立第二加密通信通道;以及
经由第一加密通信通道和第二加密通信通道而在第一设备和第二设备之间交换密钥信息以在第一设备和第二设备之间建立加密通信通道。
根据本发明,可通过执行相互鉴权在每一设备和会话管理设备之间建立相互信任的关系。这样,第一设备和第二设备之间的加密通信通道可经由会话管理设备通过简单信令过程而建立,于是设备间的安全数据通道可容易地建立。而且,在加密数据通道建立之后,无需会话管理设备,可执行设备间的数据通信。所以,可解决常规技术的问题。
本发明还可配置为一种用于使用会话管理设备在第一设备和第二设备之间建立加密通信通道的方法,其中:
会话管理设备和第一设备交换用于加密通信的密钥信息,并执行相互鉴权以在会话管理设备和第一设备之间建立第一加密通信通道;
会话管理设备和第二设备交换用于加密通信的密钥信息,并执行相互鉴权以在会话管理设备和第二设备之间建立第二加密通信通道;
第一设备经由第一加密通信通道向会话管理设备发送目的地为第二设备的、包括用于第一设备和第二设备之间的加密通信的密钥信息的连接 请求消息,并且会话管理设备经由第二加密通信通道发送该连接请求消息给第二设备;以及
第二设备经由第二加密通信通道向会话管理设备发送包括用于第一设备和第二设备之间的加密通信的密钥信息的响应消息,以响应于接收连接请求消息,并且会话管理设备经由第一加密通信通道发送该响应消息给第一设备。
通过一种用于在第一设备和第二设备之间建立加密通信通道的方法也实现了所述目的,其中:
公共密钥管理设备和第一设备交换用于加密通信的密钥信息,并且公共密钥管理设备和第一设备执行相互鉴权以建立第一加密通信通道;
第一设备生成秘密密钥和公共密钥,且经由第一加密通信通道发送公共密钥给公共密钥管理设备;
公共密钥管理设备为接收的公共密钥生成公共密钥认证,并经由第一加密通信通道发送公共密钥认证给第一设备;以及
第一设备发送公共密钥认证给第二设备,以便在第一设备和第二设备之间建立使用公共密钥的第二加密通信通道。
本发明还配置为一种用于在第一设备和第二设备之间建立加密通信通道的方法,其中:
公共密钥管理设备和第一设备交换用于执行加密通信的密钥信息,并且公共密钥管理设备和第一设备执行相互鉴权以建立第一加密通信通道;
公共密钥管理设备和第二设备交换用于加密通信的密钥信息,并且公共密钥管理设备和第二设备执行相互鉴权以建立第二加密通信通道;
第一设备生成秘密密钥和公共密钥,且经由第一加密通信通道发送公共密钥给公共密钥管理设备;
公共密钥管理设备将接收的公共密钥存储在其存储装置中,而第二设备经由第二加密通信通道从公共密钥管理设备获得公共密钥以便在第一设备和第二设备之间建立使用公共密钥的第三加密通信通道。
通过一种用于在每个连接到网络的第一设备、会话管理设备和第二设备之间传递消息的方法,也实现了以上目的,其中:
会话管理设备和第一设备执行相互鉴权,以在会话管理设备和第一设备之间建立第一加密通信通道,且会话管理设备将第一设备名称和第一加密通信通道的识别信息存储在存储装置中,其中第一设备名称和所述识别信息是相互关联的;
会话管理设备和第二设备执行相互鉴权,以在会话管理设备和第二设备之间建立第二加密通信通道;
第一设备经由第一加密通信通道发送包括第一设备名称的消息给会话管理设备;
会话管理设备通过将包括在消息中的名称与存储在存储装置中并与第一加密通信通道的识别信息关联的名称相比较来确定包括在消息中的名称是否正确;以及
会话管理设备经由第二加密通信通道发送该消息给第二设备。
根据本发明,可避免被设备欺骗,使得可安全地传递信令消息。所以,可建立安全数据通道。
通过一种用于在每个连接到网络的第一设备、会话管理设备和第二设备之间传递消息的方法,也实现了所述目的,其中:
会话管理设备和第一设备执行相互鉴权,以在会话管理设备和第一设备之间建立第一加密通信通道;
会话管理设备和第二设备执行相互鉴权,以在会话管理设备和第二设备之间建立第二加密通信通道;
第一设备经由第一加密通信通道向会话管理设备发送包括表示第一设备和会话管理设备间路由可靠性的第一头的消息;以及
会话管理设备将表示会话管理设备和第二设备间路由可靠性的第二头添加到该消息,并经由第二加密通信通道发送该消息给第二设备。其中,所述第一头可以包括所述第一设备的地址、且响应于接收所述第一头,所 述会话管理设备可以通过比较包括在所述第一头中的地址与所述第一设备的地址来确定所述第一头的有效性。
根据本发明,由于消息中包括表示路由可靠性的头,因此可检查路由可靠性。所以,可检查消息的可靠性,使得可安全地传递信令消息。所以,可建立安全数据通道。
附图说明
当结合附图来阅读时,根据以下详细描述,本发明的其他目的、特征和优点将变得显而易见,在附图中:
图1是解释本发明的第一实施例的概要的图;
图2所示为终端1-会话管理服务器3-终端2之间的通信序列的序列图;
图3所示为该序列的一个具体实例;
图4所示为该序列的一个具体实例;
图5为REGISTER消息的序列图;
图6是用于解释发起者欺骗监视和Route-Security(路由-安全性)头的序列图;
图7是解释图6所示序列的图;
图8是解释图6所示序列的图;
图9是解释图6所示序列的图;
图10是解释图6所示序列的图;
图11所示为其中使用SIP作为信令协议的每个设备的功能配置的块图;
图12是解释第二实施例中的通信过程的图;
图13是解释第二实施例中的通信过程的图;
图14是解释第二实施例中的通信过程的图;
图15所示为在终端11和13之间建立安全数据通道(SSL(安全套 接字层)通信通道)的序列;
图16所示为在终端11和13之间建立安全数据通道(SSL(安全套接字层)通信通道)的序列;
图17是第二实施例中的每个设备的功能块图;
图18所示为第三实施例的系统配置;
图19所示为第三实施例的序列图;
图20所示为包括每个用户标识符和对应的允许访问目的地名称的表;
图21是网关设备1的块图。
具体实施方式
以下,将参考附图来说明本发明的实施例。
(第一实施例)
首先,参考图1说明第一实施例的概要。
如图1所示,在终端1和终端2之间设置了会话管理服务器3。在终端1-会话管理服务器3-终端2之间,执行信令过程以便构造终端1和终端2之间的数据通道。建立数据通道以后,无需会话管理服务器3,在终端1和2之间执行数据通信。虽然“终端”在本申请的实施例中用作表示与另一设备建立加密通信通道的设备的术语,但是在本申请中术语“终端”可由“设备”替代。
在信令过程中,在终端1和会话管理服务器3之间以及在会话管理服务器3和终端2之间交换加密密钥信息且执行相互鉴权以使用Ipsec等来建立安全信令通道。随后,为了在终端1和终端2之间建立安全数据通道,在会话管理服务器处执行名称注册且经由在终端1和会话管理服务器3之间以及在会话管理服务器3和终端2之间建立的安全信令通道来执行信令步骤。
通过执行用于在终端1和会话管理服务器3之间以及在会话管理服务 器3和终端2之间建立安全信令通道的信令过程,在会话管理服务器3和终端1的对以及会话管理服务器3和终端2的对的每个中建立了基于相互鉴权的相互信任的关系。所以,在终端1和终端2之间也建立了相互信任的关系。即,通过针对每一对执行相互鉴权,经由会话管理服务器3建立了信任链。因而,可使用用于交换密钥信息的简化的过程以便在终端1和终端2之间建立安全数据通道。
接下来,参考图2说明终端1-会话管理服务器3-终端2之间的通信序列。
图2所示的序列基于一种系统配置,其中终端1、会话管理服务器3和终端2分别连接到IP网络如因特网(Internet)。
每一终端包括与会话管理服务器3进行信令过程的信令功能、用于与在另一端点处的终端经由安全数据通道执行数据通信的功能、以及利用数据通信能力提供所需服务的应用。
会话管理服务器包括用于与每一终端进行信令过程的信令功能、用于控制终端间连通性允许信息的连接策略控制功能、用于对每一终端鉴权的鉴权功能、用于从终端名称获得终端IP地址的名称解析功能、以及存储名称和对应IP地址的数据库。而且,会话管理服务器可包括类似于通用DNS的功能作为名称解析功能。
如图2所示,为了在终端1和终端2之间建立安全数据通道,首先,在终端1和会话管理服务器3的对以及会话管理服务器3和终端2的对的每个中建立安全信令通道,随后针对每一终端在会话管理服务器3处执行名称注册。
更特别地,在步骤1中在终端1和会话管理服务器3之间交换用于加密通信如IPsec的密钥信息(用于生成加密密钥的信息)。之后,终端1和会话管理服务器3中的每一个对包括其自己的口令和ID的信息进行加密并发送该信息给另一方,使得在步骤2执行相互鉴权,于是在终端1和会话管理服务器3之间建立安全信令通道。通过使用安全信令通道,终端1 发送其名称和IP地址给会话管理服务器3,且在步骤3中会话管理服务器3注册该名称和IP地址。在终端2和会话管理服务器3之间进行类似过程,于是在步骤4-6中会话管理服务器3注册终端2的名称和IP地址。
之后,在步骤7中从终端1经由安全信令通道发送从终端1到终端2的连接请求。该连接请求包括终端2的名称和用于终端1和终端2之间的加密通信的密钥信息(用于生成加密密钥的信息)。接收连接请求的会话管理服务器3检查终端1是否进行了欺骗(发起者欺骗检查)。进一步,在步骤8中会话管理服务器3通过使用连通性策略控制功能检查终端1是否被允许连接到终端2。当连接被允许时,在步骤9中,通过使用名称解析功能、通过参考数据库,会话管理服务器3根据终端2的名称获得终端2的IP地址,并在步骤10中经由会话管理服务器3和终端2间的安全信令通道将该连接请求传递给终端2。这时,终端1的IP地址也被发送到终端2。如果不允许终端1和2之间的连接,则来自终端1的连接请求被拒绝。在这种情况下,有关终端2的任何信息均不发送到终端1。发起者欺骗检查详细说明如下。
在步骤11中,接收连接请求的终端2经由终端2和会话管理服务器3之间的安全信令通道发送包括用于加密通信的密钥信息的响应消息给会话管理服务器3作为对连接请求的响应。在步骤12中,会话管理服务器3传递该响应消息给终端1。这时,终端2的IP地址被发送给终端1。
执行这些步骤之后,可在终端1和终端2之间执行加密通信。即,在终端1和终端2之间建立了安全数据通道并且所需的数据通信可经由安全数据通道来执行。
通过步骤1和2以及4和5建立了安全数据通道的事实意味着在每一终端和会话管理服务器3之间成功进行了相互鉴权,使得在终端1和会话管理服务器3的对以及终端2和会话管理服务器3的对的每个中构成了相互信任的关系。既然这种关系存在于每一对中,因而相互信任的关系也存在于终端和终端2之间。因而,步骤7之后,可使用与用于常规加密通信 的密钥交换过程相比更简化的过程。
为实现上述过程,可使用扩展的SIP(会话初始协议)。在这种情况下,会话管理服务器3起SIP代理服务器的作用,且上述过程中交换的信息包括在SIP消息中。
在这种情况下,REGISTER消息可用于建立安全信令通道并用于执行名称注册,而INVITE消息用于在终端1和终端2之间建立安全数据通道。
图3和图4所示为在使用SIP的情况下的一个序列实例。
图3和图4所示为提供了经由安全通道互相连接的多个会话管理服务器的实例。经由安全通道连接的一个会话管理服务器或多个会话管理服务器可称为会话管理设备,在图3和4所示配置中,终端1的IP地址为2001:1234::10,会话管理服务器A的IP地址为2001:6789::5060,会话管理服务器B的IP地址为2001:abcd::5060,而终端2的IP地址为2001:cdef::10。
在终端和与终端相邻的会话管理服务器之间,交换ID和口令。即,终端在其自己的存储装置中具有会话管理服务器的ID和口令,而会话管理服务器在其自己的存储装置中具有终端的ID和口令。在会话管理服务器A和会话管理服务器B之间,经由安全通道如TLS(传输层安全)通道等来执行通信。
首先,终端1和2的每一个建立到对应的会话管理服务器(A或B)的安全通道,并在步骤21(对应于图2的步骤1-6)中发送(遵守SIP)终端的名称和IP地址到会话管理服务器(A或B)。该过程在以下详细说明。
接下来,在步骤22中,终端1经由终端1和会话管理服务器A之间的安全信令通道将INVITE消息作为连接请求发送到终端2。在步骤22中,INVITE消息包括用于加密通信的密钥信息(在该情况中用于生成秘密共享密钥的信息)作为SDP参数。在步骤23,会话管理服务器A经由会话管理服务器A和会话管理服务器B之间的安全通道将INVITE消息传递到 会话管理服务器B。
来自终端1的INVITE消息包括Route-Security(路由-安全性)头。接收包括Route-Security头的INVITE消息的设备检查从Route-Security头(“Route-Security:[地址]”)中的地址到设备的路由是否安全(例如,检查通过Ipsec的加密是否被执行)。如果路由确定为安全的,则设备将其中Route-Security头保持原样的INVITE消息传递到下一节点。如果需要下一节点检查接收消息的路由是否安全,则设备将“Route-Security:[自己的地址]”添加到INVITE消息并传递该INVITE消息。从目的地返回的响应信息包括当INVITE消息被传递给目的地时添加的Route-Security头。相应地,接收响应消息的每一设备可辨别该消息是经由安全路由传递的。即,Route-Security头提供用于保证路由安全的机制。使用Route-Security头的路由安全检查方法详细说明如下。
在步骤24中,会话管理服务器B经由终端2和会话管理服务器B之间的安全信令通道发送INVITE消息给终端2。在会话管理服务器A和会话管理服务器B中,已经执行了终端2的名称解析。
在步骤25中,接收INVITE消息的终端2发送包括用于加密通信的密钥信息的响应消息给终端1。随后,在步骤26和27中,响应消息经过与INVITE消息相同的路由反向路由到终端1。
之后,在步骤28-30中,确认(ACK)消息从终端1发送到终端2。于是,加密通信(如IPsec)可在终端1和终端2之间执行。
例如,在图3中的步骤21中的REGISTER消息的序列是图5所示的。
首先,在步骤211中,终端发送包括用于加密通信(IPsec等)的密钥信息的REGISTER消息给会话管理服务器。响应于该REGISTER消息,在步骤212中,会话管理服务器返回包括用于加密通信的密钥信息的响应消息。之后,终端发送包括由会话管理服务器用来对终端进行鉴权的鉴权信息的REGISTER消息到会话管理服务器。响应于该REGISTER消息,在步骤214中,会话管理服务器发送包括由终端用来对会话管理服务器进 行鉴权的鉴权信息的RESPONSE信息到终端。当相互鉴权完成之后,加密通信可经由安全信令通道执行。
之后,由于包是加密并经由安全信令通道来传送和接收的,在步骤215和216中,通过使用通用REGISTER消息可进行名称注册。
在上述序列中,假定用于执行加密通信必需的其他信息项是按需要被接收和发送的。鉴权信息可以是包括ID和口令的信息,或可以是认证(X.509认证等)。而且,鉴权信息可包括在用于交换加密通信的密钥信息的消息中。
(发起者欺骗监视,路由可靠性检查)
下面,更详细地说明发起者欺骗监视和路由可靠性检查。
在图3和4所示序列中,会话管理服务器执行上述发起者欺骗监视,并添加上述Route-Security头以在安全数据通道构造过程中通过INVITE消息安全地执行信令过程。
以下,详细说明Route-Security头。如上所述,Route-Security头是在终端(SIP UA)或会话管理服务器(SIP代理)中添加的头。Route-Security头包括至少添加该Route-Security头的设备地址。当需要目的地节点确定用于发送请求消息给目的地节点的链接是否安全时,添加Route-Security头。而且,当用于发送请求消息的链接的安全性高于预定级别时,可添加Route-Security头。
Route-Security头可包括表示将用于发送请求消息到下一节点的链接的安全性级别的“安全性级别”参数。例如,根据用户鉴权(身份检查)是否执行、是否保证完整性(“完整性”意味着是接收的包未被篡改)、以及是否保持保密(换言之,包中信息是否被加密),可添加在位置0至3的参数。接收具有安全性级别的消息的节点将Route-Security头中的IP地址与发送该消息的前一节点的IP地址相比较以确定该Route-Security头是否正确添加的。而且,通过检查由Route-Security头表示的安全性级别与节点经由其接收消息的链接的安全性级别是否相同,节点可确定参数是否 有效。如果Route-Security头中的IP地址与前一节点的IP地址不一致,则节点确定Route-Security头不是在前一节点中添加的。在这种情况下,节点可通过使用前一节点的IP地址来添加没有任何安全性级别参数的Route-Security头。因此,接收消息的终端可获知存在其中没添加Route-Security头的链接。
接收已经过一个或多个会话管理服务器的请求消息的终端参考添加到该请求消息的Route-Security头。于是,例如,如果存在其中没添加Route-Security头的链接,则终端可确定存在请求消息经过了没有足够安全性的链接的可能性。而且,如果包括表示低安全性级别的参数Route-Security头被包括在请求消息中,则终端可确定请求消息已经过了低安全性的链接。在这种情况下,例如,终端可返回错误响应。
在请求消息经由基于相互鉴权的安全信令通道被传递到目的地终端的情况下,每一节点可只检查前一节点是否已正确添加了Route-Security头(例如,只检查前一节点的IP地址)。即,接收了一系列Route-Security头被添加到其的请求消息的终端通过检查前一节点添加的Route-Security头可确定经由其请求消息被传递的路由的安全性。在这种情况下,例如,如果终端检测到在前一节点中没有添加正确的Route-Security头,例如,则终端将错误返回到源终端。图6-8中的实例示出了这种情况。
接收请求消息的终端将包括在接收的请求消息中的Route-Security头包括在其中Route-Security头的次序被保持的响应消息中。响应消息经由与用于传递请求消息的相同的路由被发送到源终端。例如,每一会话管理服务器可通过将包括在由会话管理服务器添加的Route-Security头中的IP地址与会话管理服务器自己的IP地址相比较来检查响应消息。
作为请求消息发送源的终端可通过与接收请求消息的终端相同的方式检查所述系列Route-Security头来检查响应消息的可靠性。例如,如果终端确定链接可靠性低,则终端可停止该会话。
在请求消息经由基于相互鉴权的安全信令通道被传递到终端的情况 下,终端可只检查包括终端自己IP地址的Route-Security头。
接下来,更详细地说明在如图3和4所示的序列中步骤22-27的过程,以便说明发起者欺骗监视并用于说明Route-Security头的使用实例。
图6所示为该序列。图7-10用于解释图6所示的序列。在以下说明中,假定在终端1和会话管理服务器A之间以及终端2和会话管理服务器B之间已经建立了安全信令通道,且名称和对应的地址已在会话管理服务器中注册(图6中步骤51-54)。
首先,如图7所示,在步骤55中,INVITE消息被发送到会话管理服务器A。该INVITE消息包括:Route-Security头,该Route-Security头包括终端1的IP地址;连接目的地的名称(“To”行,user-bxyz.com);和发送源(终端1)的名称(“From”行,user-aabc.com)。
如图8所示,接收INVITE消息的会话管理服务器A检查终端1的名称是否正确(该名称是否不是假的名称)。会话管理服务器A已将终端1的名称、终端1的IP地址、终端1的端口号和用于识别终端1和会话管理服务器A之间安全信令通道的连接的识别信息(例如,IPsecSA)存储在其存储装置中。存储的信息项互相关联。所以,通过使用经由其接收INVITE消息的连接或通过使用源终端的IP地址,会话管理服务器A可从存储装置获得INVITE消息的源终端名称。会话管理服务器A将获得的名称与接收的INVITE消息中的“From”行中的名称相比较。然后,如果它们相同,则其可确定没有执行欺骗(没使用假的名称)。以同样方式,通过比较Route-Security中的IP地址与对应于连接的IP地址,可确定是否正确添加了Route-Security头。在这种情况下,例如,如果“From”行或Route-Security头不正确,则会话管理服务器A可停止传递INVITE消息并返回错误消息到发送源终端。
因为在相互鉴权的终端1和会话管理服务器A之间已建立了安全信令通道,所以会话管理服务器A可相信从终端1接收的INVITE消息是从终端1发送的。这样,通过检查“From”行中的名称,会话管理服务器A 可检查欺骗是否被执行。
接下来,在步骤56中,会话管理服务器A将包括其自己IP地址的Route-Security头添加到INVITE消息并将该INVITE消息传递给会话管理服务器B。会话管理服务器A和会话管理服务器B经由与终端1和会话管理服务器A之间的安全通道类似的安全通道来连接。会话管理服务器B确定经由该通道从会话管理服务器A发送的INVITE消息一定是从会话管理服务器A发送的。然后,会话管理服务器B检查由会话管理服务器A添加的Route-Security头中的IP地址等,以便检查Route-Security头是否被正确添加。
接下来,如图9所示,在步骤57中,会话管理服务器A将包括其自己IP地址的Route-Security头添加到INVITE消息并发送该INVITE消息到终端2。终端2通过检查Route-Security头可检查经由其INVITE消息已经被传送的路由的可靠性。
接收INVITE消息的终端2经由与传递INVITE消息的路由相反的路由来发送包括与接收的INVITE消息的相同的Route-Security头、“To”行和“From”行的响应消息到终端1。于是,如图10所示在步骤58中,
响应消息被首先发送给会话管理服务器B。
从终端2接收响应消息的会话管理服务器B通过确定顶层Route-Security头中的IP地址是否与其自己的IP地址相同而对该消息执行欺骗检查。随后,在步骤59中,响应消息从会话管理服务器B传递到会话管理服务器A。
会话管理服务器A通过确定第二Route-Security头中的IP地址是否与其自己的IP地址相同来执行检查。随后,在步骤60中,响应消息发送到作为INVITE消息的源的终端1。终端1通过确定第三Route-Security头中的IP地址是否与其自己的IP地址相同来检查消息的有效性。而且,终端1可通过检查所述系列的Route-Security头来检查整个路由的可靠性。例如,当终端1检测到低可靠性的链接时,终端1可停止该会话。
(每一设备的配置)
接下来,参考图11的块图来说明每一设备的功能配置,假定将SIP用于信令协议。
会话管理服务器包括进行用于传递呼叫(消息)的过程的SIP代理、用于注册SIP名称的SIP注册器、通过使用ID/口令或认证等来执行每一终端的鉴权的鉴权模块、以及执行加密通信如IPsec的加密模块。
每一终端包括用于在加密数据通道上执行通信的功能部件、SIP功能部件、鉴权模块和加密模块。SIP功能部件用于执行基于SIP的消息通信如INVITE消息的接收/发送和REGISTER消息的发出等。鉴权模块用于通过使用ID/口令或认证等对会话管理服务器进行鉴权。加密模块用于执行加密通信如IPsec。
会话管理服务器的每一功能和终端通过程序来实现。本发明的会话管理设备和终端的每一部件通过程序和硬件来实现。终端可以是通用计算机如包括CPU、存储器、硬盘等的PC。终端还可以是移动终端等。通过在计算机中安装程序,可实现本实施例的终端。而且,终端还可以是数字家庭电子产品。会话管理服务器可以是计算机如服务器等。通过在服务器中安装程序,可实现本实施例的会话管理服务器。每一程序可存储在计算机可读记录介质如CD-ROM、存储器等中。
通过采用本发明的配置,可获得以下效果。
由于每次当名称和IP地址改变时终端执行名称和IP地址注册,终端可采用所谓的动态IP地址分配。而且,因为会话管理服务器执行名称解析,不必在开放DNS中执行名称注册而这在常规技术中是必需的。而且,信令过程是在每一终端和会话管理服务器之间建立了安全信令通道之后执行的,在终端侧,FW管理变得不必要了。而且,由于会话管理服务器管理每一终端的ID和口令,因此每一终端不必管理很多ID和口令。另外,会话管理服务器中采用连通性策略控制功能,所以对于源终端不被允许连接的目的地终端,甚至不执行名称解析。这样,发起终端甚至不知道该目 的地终端的存在,使得可防止对目的地终端的未鉴权访问。进一步,建立安全数据通道所必需的端口号经由安全信令通道在信令过程中传输,所以甚至当该信令过程没有成功完成时从外部也不知道端口号。而且,因为仅“轻”信令过程通过中间服务器执行(会话管理服务器)且真实的数据通信在终端之间对等执行无需中间服务器,所以中间服务器的工作负荷不会变重。
而且,虽然在常规技术中需要执行安全设置如获得认证或所有终端的ID和口令以执行到许多终端的相互鉴权和加密对等通信,但是,如果终端是本发明的系统的构件,则任何预先的安全设置都变成不必要的。
甚至当数据通道加密不必要时,保证发起号码的可信性机制也是必要的。在常规技术中,作为该机制,将使用PKI等。但是,根据本发明,原始号码的欺骗和篡改可通过只执行服务设置(SIP的ID/口令设置)来防止。
而且,通过检查INVITE消息的“From”行中的名称,可检查INVITE消息的源是否使用假的名称。于是,可进一步提高可靠性。而且,通过使用Route-Security头,可验证路由的安全性以使可靠性进一步提高。虽然终端有可能经由非安全通道来访问SIP服务器,但是保持安全性的通信通过执行欺骗检查和路由安全性检查来实现。
而且,通过使用实施例中描述的欺骗检查和Route-Security头机制,甚至当另一网络被包括在终端之间时也可实现终端间的安全通信。
虽然路由检查和欺骗检查是以INVITE消息为例来说明的,但是路由检查和欺骗检查可应用于各种消息。
(第二实施例)
以下,说明一个利用第一实施例的机制的实施例。
为了利用使用基于公共密钥的认证技术的SSL(安全套接字层)来执行加密通信,需要使用由认证机构(CA)发出的公共密钥认证。但是从CA接收公共密钥认证并且定期地更新公共密钥认证是很麻烦的。因此,不常使用基于公共密钥的认证技术。
在下述的第二实施例中,利用了终端和会话管理服务器之间的相互信任关系,以使终端可容易地在服务器中注册公共密钥,并且可容易地获得该公共密钥的公共密钥认证和该公共密钥本身。相应地,在终端之间可容易地利用基于公共密钥的认证技术,使得加密通信如基于SSL(安全套接字层)的通信可容易地在终端之间使用。
本实施例的通信过程接下来参考图12-14来说明。
第二实施例的系统包括终端11、终端12、会话管理服务器21、会话管理服务器22和简化的CA服务器30。终端11在分发公共密钥的一侧中。终端12接收公共密钥并与终端11执行基于公共密钥的加密通信。会话管理服务器21和22每一个包括与第一实施例中相同的功能。假定通过执行第一实施例中的步骤在每一对节点间已经建立了安全信令通道。虽然会话管理服务器和简化的CA服务器在本实施例中是分离的,但它们可被实现为一个设备。即,第一实施例中的会话管理服务器可包括本实施例中的简化的CA服务器的功能。而且,经由安全通道连接的简化的CA服务器和会话管理服务器可称为公共密钥管理设备。
而且,在本实施例中,终端、会话管理服务器21、22和简化的CA管理服务器30的每个具有接收/发送用于请求简化的CA管理服务器发出公共密钥认证的PUBLISH消息(SIP消息)的功能。通过将公共密钥或公共密钥认证包括在其主体部分来使用PUBLISH消息。
在图12,首先,在步骤31中,终端11生成一对秘密密钥和公共密钥。随后,在步骤32中,终端11经由终端11和会话管理服务器21之间并经由会话管理服务器21和简化的CA服务器30之间的安全信令通道来发送公共密钥到简化的CA服务器30。简化的CA服务器30注册该公共密钥并通过使用简化的CA服务器30的秘密密钥来生成公共密钥认证。
接下来,在图13,在步骤33中,终端11经由会话管理服务器21从简化的CA管理服务器30获得公共密钥认证。该公共密钥认证只在给定的时间段内由简化的CA管理服务器30发出。给定的时间段对应于公共 密钥认证的有效性期限。随后,如图14所示,在步骤34中,终端11分发公共密钥认证给通用终端13。相应地,例如,在终端11和终端13之间可执行SSL(安全套接字层)通信。通过使用公共密钥来执行SSL(安全套接字层)通信的方法与常规的SSL(安全套接字层)通信的方法相同。
而且,在步骤35中,终端12可接收终端11的公共密钥而无需公共密钥认证,因为终端12安全连接到简化的CA管理服务器30且在服务器30和终端12之间建立了信任关系。于是,可在终端11和12之间实现基于公共密钥的加密通信。
图15和16所示为在终端11和终端13之间建立安全数据通道(SSL(安全套接字层)通信通道)的序列。在图15和16,未示出会话管理服务器22。
在终端11和会话管理服务器21之间,通过用REGISTER消息建立了安全信令通道且在步骤41中以与第一实施例相同的方式执行SIP名称注册。会话管理服务器21和简化的CA服务器30通过TLS(传输层安全性)安全通道而连接。假定终端13已获得简化的CA服务器30的公共密钥。
为了注册终端11的公共密钥,在步骤42中,终端11将在PUBLISH消息主体中包括公共密钥的PUBLISH消息发送到会话管理服务器21。在步骤43中,会话管理服务器21将该PUBLISH消息发送到简化的CA服务器30。在步骤44中,简化的CA服务器30注册该公共密钥并发出用于该公共密钥的公共密钥认证,并把在主体中包括公共密钥认证的响应消息发送到会话管理服务器21以响应该PUBLISH消息。随后,在步骤45,会话管理服务器21将该响应消息传递到终端11。之后,在步骤46中,为了执行终端11和13之间的SSL(安全套接字层)加密通信,开始会话。步骤46之后,执行与通用SSL(安全套接字层)通信相同的过程。即,通过预先执行步骤40-45的过程,SSL(安全套接字层)通信可在终端11和13之间在任何时序自由地进行。
图17所示为本实施例中每一设备的功能块图。
会话管理服务器的功能与第一实施例的相同。对于终端,除图6的功能外,SIP功能部件包括PUBLISH消息发送功能。而且,终端包括秘密密钥和公共密钥生成功能以及公共密钥认证管理功能。而且,除加密模块、鉴权模块和SIP功能部件之外,简化的CA服务器包括用于执行公共密钥管理的功能和用于发出公共密钥认证的功能。例如,在公共密钥管理中,简化的CA服务器将具有对应于公共密钥的终端识别信息的每一公共密钥存储在存储装置中。
如上所述,根据本实施例,基于终端、会话管理服务器和简化的CA服务器之间相互信任的关系,可实现简化的公共密钥管理模型。
虽然上述实施例中说明了使用SIP作为发送/接收信息的手段的情况,但发送/接收信息的方式并不限于SIP。例如可使用HTTP代替SIP
(第三实施例)
以下,说明进一步的实施例,其中通过执行第一实施例中所述信令过程来应用建立安全数据通道的机制。在以下说明中,“http”被广泛使用以包括“https”的含义,除非特别指明。
在本实施例中,图2的系统中的终端之一(在此情况中,终端1)包括网关功能。以下,终端1称为网关设备1。诸如移动电话和PDA的移动终端访问网关设备1,使得移动终端和终端2可通过使用本实施例中的安全数据通道来执行通信。
图18所示为本实施例的整体配置。如图18所示,图2所示的终端1由网关设备1替代。在图18的系统,移动终端41或Web浏览器终端42访问网关设备1,以使安全数据通道在网关设备1和终端2之间建立。随后,移动终端41或Web浏览器终端42经由网关设备1与终端2通信。例如,终端2是只允许来自特定用户即移动终端41或Web浏览器终端42的访问的Web服务器。
接下来,通过参考图19的序列图,说明本实施例的操作。在图19的 序列中,假定网关设备1与会话管理服务器3之间以及会话管理服务器3与终端2之间已经建立了安全信令通道。以下,以移动终端41作为访问网关设备1的实例。
首先,在步骤61中,移动终端41通过使用http协议来访问网关设备1。这时,网关设备1获得移动终端41的电话号码。可替换地,移动终端41可发送其ID和口令给获得ID和口令的网关设备1。在步骤62中,网关设备1通过使用电话号码或ID和口令来对移动终端41进行鉴权。
网关设备1具有包括每一用户标识符(电话号码或ID)和用户标识符的用户允许连接到的连接目的地名称的表,如图20所示。例如,移动终端41访问网关设备1时,网关设备1从表中获得名称并将名称发送到移动终端41。移动终端41显示所述名称,以使移动终端41的用户选择一个特定名称。随后,移动终端41发送该特定名称到网关设备1。相应的,网关设备1可为移动终端41获得访问目的地的名称。当显示所述名称时,移动终端41可显示表示对应于所述名称的每一目的地站点轮廓(outline)的图像。可替换地,用户可直接输入目的地名称,以使移动终端41发送该名称到网关设备1。进一步,以上述方式获得目的地名称的网关设备1发送包括该名称的INVITE消息到会话管理服务器3,以执行到由该名称表示的连接目的地(该实施例中的终端2)的连接请求。图19所示步骤63-66的过程与图2的步骤7-12的过程相同。
安全数据通道建立之后,在步骤69中,移动终端41接收http响应。之后,在移动终端41和网关设备1之间以及网关设备1和终端2之间通过使用一个http协议或多个https协议来执行通信。在通信中,网关设备1接收来自终端2的数据,且网关设备1发送该数据到移动终端41。而且,网关设备1按需执行数据转换,以使移动终端41可正确显示数据。而且,网关设备1接收来自移动终端41的请求并发送该请求到终端2。
在上述实例中,安全信令通道已预先在网关设备1和会话管理服务器3之间建立。可替换地,网关设备1和会话管理服务器3之间的安全信令 通道可响应于移动终端41的访问来建立。
图21所示为网关设备1的功能块图。图21主要示出用于执行建立数据通道的信令过程的功能。
如图21所示,网关设备1包括用于执行http协议过程的Web服务器部件51、伪SIP功能部件52、SIP控制部件53、IPsec控制部件54、和用于对移动终端等鉴权的数据库55。而且,虽然在图中未示出,网关设备1包括用于执行在网关设备1和终端2之间在安全数据通道建立之后执行的http通信的http协议过程部件。
伪SIP功能部件52包括伪SIP功能控制部件521,伪SIP功能控制部件521生成个体伪SIP功能部件522以响应来自移动终端41的访问。每一个体伪SIP功能部件522代表访问网关设备1的移动终端来执行用于建立安全信令数据通道的信令过程。由于伪SIP功能部件52代表移动终端41用作如图2所示的终端中的SIP功能部件,因此部件52被称为“伪”SIP功能部件。个体伪SIP功能部件522生成将包括在SIP消息中的基本信息,并传递该基本信息到SIP控制部件53。随后,SIP控制部件53生成遵守SIP协议的包并发送该包。IPsec控制部件54对应于图6所示的加密模块。
接下来,说明整个系统的操作。在以下操作中,假定网关设备1与会话管理服务器3之间已经建立了安全信令通道。移动终端41和网关设备1可使用一个http或多个http。
首先,Web服务器部件51接收从移动终端41发送的http请求。Web服务器51将http请求中的信息传递到伪SIP功能控制部件521。通过参考数据库55来使用包括在信息中的ID等,伪SIP功能控制部件521对移动终端41进行鉴权。如果移动终端41被成功鉴权,则网关设备1生成对应于访问移动终端41的个体伪SIP功能控制部件522。随后,例如,网关设备1通过执行上述用于获得连接目的地名称的过程来获得移动终端41的连接目的地名称。图20所示的表信息包括在数据库55中。
之后,个体伪SIP功能部件522生成作为连接请求的INVITE消息,并经由SIP控制部件53发送该INVITE消息到会话管理服务器3。随后,通过执行图19所示的步骤,IPsec控制部件54生成到终端2的IPsec连接(安全数据通道)。之后,可在网关设备1和终端2之间经由安全数据通道通过使用一个http或多个http来执行通信。随后,网关设备1接收的数据按需要被转换且数据被发送到移动终端41。
如上所述,根据本实施例,网关设备1包括伪SIP功能并代表移动终端41来执行用于建立安全数据通道的信令过程。
所以,甚至只具有http通信功能的终端也可仅通过http连接到网关设备1、经由安全数据通道与连接目的地终端执行安全通信。在连接过程中,终端不需要知道连接目的地终端是使用SIP来建立通道的终端。因而,可广泛应用第一实施例所述机制。
而且,由于网关设备1包括图20所示的存储针对每一终端的可连接目的地的表,因此,甚至没有足够的操作功能的终端如移动电话也可仅通过在访问由网关设备1提供的便携站点之后选择目的地而容易地连接到目的地。
本发明不限于所述特定公开的实施例,且可在不背离本发明的范围的情况下进行变更和修改。
本申请包括与2003年11月4日提交于JPO的日本专利申请No.2003-374880、2004年2月10日提交于JPO的日本专利申请No.2004-034172,以及2004年2月13日提交于JPO的日本专利申请No.2004-037314相关的主题,其全部内容通过引用在此引入。
Claims (10)
1.一种在连接到网络的第一终端和第二终端之间建立加密通信通道、并使用该加密通信信道在第三终端和所述第二终端之间进行通信的方法,特征在于包括以下步骤:
第一步骤:在连接到所述网络的会话管理设备和所述第一终端之间交换用于加密通信的密钥信息,所述会话管理设备和所述第一终端执行相互鉴权,在所述会话管理设备和所述第一终端之间建立第一加密通信通道;
第二步骤:在所述会话管理设备和所述第二终端之间交换用于加密通信的密钥信息,所述会话管理设备和所述第二终端执行相互鉴权,在所述会话管理设备和所述第二终端之间建立第二加密通信通道;
第三步骤:所述第一终端接收来自第三终端的访问;
第四步骤:所述第一终端经由所述第一加密通信通道发送目的地为所述第二终端的、包括用于所述第一终端和所述第二终端之间的加密通信的密钥信息的连接请求消息给所述会话管理设备,并且所述会话管理设备经由所述第二加密通信通道发送所述连接请求消息给所述第二终端;
第五步骤:所述第二终端经由所述第二加密通信通道发送包括用于所述第一终端和所述第二终端之间的加密通信的密钥信息的响应消息给所述会话管理设备,以响应于接收所述连接请求消息,并且所述会话管理设备经由所述第一加密通信通道发送所述响应消息给所述第一终端;以及
第六步骤:所述第一终端经由通过所述第四步骤和所述第五步骤的执行而建立的所述第一终端和所述第二终端之间的加密通信信道,从所述第二终端接收数据,并发送该数据到所述第三终端,
其中,所述第一终端具有包括所述第三终端允许连接到的至少一个连接目的地的表,并且响应于来自第三终端的访问而发送有关所述至少一个连接目的地的信息到所述第三终端,从所述第三终端接收选择的连接目的地,并基于该选择在所述第四步骤中发送目的地为所述第二终端的连接请求消息给所述会话管理设备。
2.如权利要求1或2所述的方法,其中,该会话管理设备存储有关是否允许在终端之间进行连接的信息,在接收到从连接请求的源终端到连接请求的目的地终端的连接请求消息的情况下,所述会话管理设备参考所述有关是否允许在终端之间进行连接的信息来确定是否允许所述连接请求的源终端与所述连接请求的目的地终端相连接,如果允许,则发送所述连接请求消息到所述连接请求的目的地终端,如果不允许,则不向所述连接请求的目的地终端发送所述连接请求消息,以拒绝进行连接。
3.一种通过使用连接到网络的会话管理设备来建立到第二终端的加密通信通道的终端,特征在于,该终端包括:
用于与连接到网络的会话管理设备交换用于加密通信的密钥信息、并与所述会话管理设备执行相互鉴权以在该终端和所述会话管理设备之间建立加密通信通道的第一加密通信通道建立部件;
用于经由所述第一加密通信通道建立部件建立的加密通信通道发送目的地为所述第二终端、包括用于该终端和所述第二终端之间的加密通信的密钥信息的连接请求消息到所述会话管理设备、并且经由所述会话管理设备从所述第二终端接收包括用于该终端和所述第二终端之间的加密通信的密钥信息的响应消息以在该终端和所述第二终端之间建立加密通信通道的第二加密通信通道建立部件;
在接收到来自来自第三终端的访问之后、经由通过所述第一加密通信通道建立部件进行的用于建立该终端与所述会话管理设备之间的加密通信通道的处理以及所述第二加密通信通道建立部件进行的用于建立该终端和所述第二终端之间的加密通信通道的处理而建立的该终端与所述第二终端之间的加密通信通道从所述第二终端接收数据、并发送该数据到所述第三终端的部件;
包括所述第三终端允许连接到的至少一个连接目的地的表;以及
响应于来自所述第三终端的访问而发送有关所述至少一个连接目的地的信息到所述第三终端、并从所述第三终端接收选择的连接目的地的部件,
其中,所述第二加密通信通道建立部件基于所述选择的连接目的地来发送目的地为所述第二终端的连接请求消息到所述会话管理设备。
4.一种通过使用连接到网络的会话管理设备来建立到第二终端的加密通信通道的终端,特征在于,该终端包括:
用于与连接到网络的会话管理设备交换用于加密通信的密钥信息、并且与所述会话管理设备执行相互鉴权以在该终端和会话管理设备之间建立加密通信通道的第一加密通信通道建立部件;
用于经由通过所述第一加密通信通道建立部件建立的加密通信通道来发送目的地为所述第二终端、且包括用于该终端与所述第二终端之间的加密通信的密钥信息的连接请求消息到所述会话管理设备、并且经由所述会话管理设备从所述第二终端接收包括用于该终端与所述第二终端之间的加密通信的密钥信息的响应消息以在该终端和所述第二终端之间建立加密通信通道的第二加密通信通道建立部件;
在接收来自第三终端的访问之后、在所述第二加密通信通道建立部件进行了用于建立该终端与所述第二终端之间的加密通信通道的处理后、经由通过该处理所建立的该终端与所述第二终端之间的加密通信通道从所述第二终端接收数据、并发送该数据到所述第三终端的部件;
包括所述第三终端允许连接到的至少一个连接目的地的表;以及
响应于来自所述第三终端的访问而发送有关所述至少一个连接目的地的信息到所述第三终端、并从所述第三终端接收选择的连接目的地的部件,
其中,所述第二加密通信通道建立部件基于所述选择的连接目的地来发送目的地为所述第二终端的连接请求消息给会话管理设备。
5.一种能够通过网络连接到第一设备和第二设备的会话管理设备,该会话管理设备包括:
用于与所述第一设备执行相互鉴权以在所述会话管理设备和所述第一设备之间建立第一加密通信通道、且将所述第一设备名称和所述第一加密通信通道的识别信息存储在存储装置中的部件,其中所述第一设备名称和所述第一加密通信通道的识别信息是相互关联的;
用于基于与所述第二设备的相互鉴权而在所述会话管理设备和所述第二设备之间建立第二加密通信通道的部件;
用于经由所述第一加密通信通道接收包括所述第一设备名称的消息的部件;
用于通过将包括在所述消息中的名称与存储在所述存储装置中并与所述第一加密通信通道的识别信息相关联的名称相比较来确定包括在所述消息中的名称是否正确的部件;以及
用于经由所述第二加密通信通道发送所述消息给所述第二设备的部件。
6.如权利要求5所述的会话管理设备,其中,如果所述会话管理设备确定包括在所述消息中的所述第一设备名称不正确,则所述会话管理设备发送错误消息到所述第一设备。
7.如权利要求5所述的会话管理设备,其中所述消息是基于会话初始协议的。
8.一种能够通过网络连接到第一设备和第二设备的会话管理设备,该会话管理设备包括:
用于与所述第一设备执行相互鉴权以在所述会话管理设备和所述第一设备之间建立第一加密通信通道的部件;
用于基于与所述第二设备的相互鉴权在所述会话管理设备和所述第二设备之间建立第二加密通信通道的部件;
用于经由所述第一加密通信通道从所述第一设备接收包括表示所述第一设备和所述会话管理设备间路由可靠性的第一头的消息的部件;以及
用于给所述消息添加表示所述会话管理设备和所述第二设备间路由可靠性的第二头、并经由所述第二加密通信通道发送该消息给所述第二设备的部件,
其中,所述第一头包括所述第一设备的地址,且响应于接收所述第一头,所述会话管理设备通过比较包括在所述第一头中的地址与所述第一设备的地址来确定所述第一头的有效性。
9.一种用于在每个连接到网络的第一设备、会话管理设备和第二设备之间传递消息的方法,其中:
所述会话管理设备和所述第一设备执行相互鉴权以在所述会话管理设备和所述第一设备之间建立第一加密通信通道,且所述会话管理设备将所述第一设备名称和所述第一加密通信通道的识别信息存储在存储装置中,其中所述第一设备名称和所述第一加密通信通道的识别信息是相互关联的;
所述会话管理设备和所述第二设备执行相互鉴权以在所述会话管理设备和所述第二设备之间建立第二加密通信通道;
所述第一设备经由所述第一加密通信通道发送包括所述第一设备名称的消息给所述会话管理设备;
所述会话管理设备通过将包括在所述消息中的名称与存储在存储装置中并与所述第一加密通信通道的识别信息相关联的名称相比较来确定包括在所述消息中的名称是否正确;以及
所述会话管理设备经由所述第二加密通信通道发送所述消息给所述第二设备。
10.一种用于在每个连接到网络的第一设备、会话管理设备和第二设备之间传递消息的方法,其中:
所述会话管理设备和所述第一设备执行相互鉴权以在所述会话管理设备和所述第一设备之间建立第一加密通信通道;
所述会话管理设备和所述第二设备执行相互通信以在所述会话管理设备和所述第二设备之间建立第二加密通信通道;
所述第一设备经由所述第一加密通信通道发送包括表示所述第一设备和所述会话管理设备间路由可靠性的第一头的消息给所述会话管理设备;以及
所述会话管理设备给所述消息添加表示所述会话管理设备和所述第二设备间路由可靠性的第二头,并经由所述第二加密通信通道发送所述消息给所述第二设备,
其中,所述第一头包括所述第一设备的地址,且响应于接收所述第一头,所述会话管理设备通过比较包括在所述第一头中的地址与所述第一设备的地址来确定所述第一头的有效性。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP374880/2003 | 2003-11-04 | ||
| JP2003374880 | 2003-11-04 | ||
| JP034172/2004 | 2004-02-10 | ||
| JP2004034172A JP4130809B2 (ja) | 2003-11-04 | 2004-02-10 | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム |
| JP037314/2004 | 2004-02-13 | ||
| JP2004037314A JP4025734B2 (ja) | 2004-02-13 | 2004-02-13 | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム |
| PCT/JP2004/016708 WO2005043281A2 (en) | 2003-11-04 | 2004-11-04 | Method, apparatus and program for establishing encrypted communication channel between apparatuses |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1879382A CN1879382A (zh) | 2006-12-13 |
| CN1879382B true CN1879382B (zh) | 2011-12-28 |
Family
ID=34557023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200480032891.3A Active CN1879382B (zh) | 2003-11-04 | 2004-11-04 | 在设备间建立加密通信通道的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8515066B2 (zh) |
| CN (1) | CN1879382B (zh) |
| GB (2) | GB2433008B (zh) |
| WO (1) | WO2005043281A2 (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4710267B2 (ja) * | 2004-07-12 | 2011-06-29 | 株式会社日立製作所 | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 |
| US7734051B2 (en) * | 2004-11-30 | 2010-06-08 | Novell, Inc. | Key distribution |
| US8532304B2 (en) * | 2005-04-04 | 2013-09-10 | Nokia Corporation | Administration of wireless local area networks |
| US7984294B1 (en) * | 2005-04-14 | 2011-07-19 | Avaya Inc. | Method and apparatus for trust based routing in data networks |
| JP4961798B2 (ja) * | 2005-05-20 | 2012-06-27 | 株式会社日立製作所 | 暗号化通信方法及びシステム |
| JP4190521B2 (ja) * | 2005-07-14 | 2008-12-03 | 株式会社東芝 | マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末 |
| JPWO2007043649A1 (ja) * | 2005-10-13 | 2009-04-16 | Kddi株式会社 | 中継装置、通信端末および通信方法 |
| US20100287623A1 (en) * | 2005-11-23 | 2010-11-11 | Thomas Banik | Method for distributing a computer data structure to nodes of a network |
| CN100450305C (zh) * | 2006-01-07 | 2009-01-07 | 华为技术有限公司 | 一种基于通用鉴权框架的安全业务通信方法 |
| FR2898445B1 (fr) | 2006-03-08 | 2008-11-14 | Airbus France Sas | Procede et dispositif de detection de tentatives d'intrusion sur une liaison de communication entre un aeronef et une station sol. |
| US8184530B1 (en) | 2006-09-08 | 2012-05-22 | Sprint Communications Company L.P. | Providing quality of service (QOS) using multiple service set identifiers (SSID) simultaneously |
| US8111620B1 (en) | 2006-09-08 | 2012-02-07 | Sprint Communications Company L.P. | Ability to provide quality of service (QOS) to an IPSEC tunnel in a foreign network |
| US7835275B1 (en) | 2006-09-08 | 2010-11-16 | Sprint Communications Company L.P. | Dynamic assignment of quality of service (QoS) to an active session in an ipsec tunnel |
| US7649848B1 (en) * | 2006-09-08 | 2010-01-19 | Sprint Communications Company L.P. | Ability to apply different levels of quality of service (QoS) to different sessions in an IPsec tunnel |
| JP2008098792A (ja) | 2006-10-10 | 2008-04-24 | Hitachi Ltd | コンピュータシステムとの暗号化通信方法及びシステム |
| DE102006048797A1 (de) * | 2006-10-16 | 2008-04-17 | Giesecke & Devrient Gmbh | Verfahren zum Ausführen einer Applikation mit Hilfe eines tragbaren Datenträgers |
| CA2571891C (en) * | 2006-12-21 | 2015-11-24 | Bce Inc. | Device authentication and secure channel management for peer-to-peer initiated communications |
| EP2111701B1 (en) * | 2007-01-31 | 2018-12-05 | BroadSoft, Inc. | System and method for reestablishing, with a client device, a signaling session associated with a call in progress |
| US8402278B2 (en) * | 2007-04-13 | 2013-03-19 | Ca, Inc. | Method and system for protecting data |
| JP2008269088A (ja) * | 2007-04-17 | 2008-11-06 | Toshiba Corp | プログラム情報提供システム、プログラム情報提供方法、プログラム情報提供方法に用いられる記録媒体 |
| KR100948604B1 (ko) | 2008-03-25 | 2010-03-24 | 한국전자통신연구원 | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 |
| CN101222324B (zh) * | 2008-01-23 | 2012-02-08 | 中兴通讯股份有限公司 | 用于端到端的媒体流安全的实现方法和装置 |
| US8806630B2 (en) * | 2008-05-13 | 2014-08-12 | At&T Intellectual Property, I, L.P. | Methods and apparatus for intrusion protection in systems that monitor for improper network usage |
| US8990569B2 (en) * | 2008-12-03 | 2015-03-24 | Verizon Patent And Licensing Inc. | Secure communication session setup |
| FR2950769B1 (fr) * | 2009-09-30 | 2022-09-16 | Trustseed Sas | Systeme et procede de gestion de sessions de correspondance electronique securisee |
| US8588746B2 (en) * | 2009-10-31 | 2013-11-19 | SAIFE Technologies Incorporated | Technique for bypassing an IP PBX |
| EP2339775A1 (fr) * | 2009-12-22 | 2011-06-29 | France Telecom | Procédé et dispositif de chiffrement distribué basé sur un serveur de clés |
| US9253168B2 (en) | 2012-04-26 | 2016-02-02 | Fitbit, Inc. | Secure pairing of devices via pairing facilitator-intermediary device |
| CN103024599B (zh) * | 2011-09-20 | 2016-03-16 | 中国联合网络通信集团有限公司 | 机顶盒通信方法、装置和系统 |
| JP5494603B2 (ja) * | 2011-09-29 | 2014-05-21 | 沖電気工業株式会社 | セキュリティ処理代行システム |
| US9420001B2 (en) * | 2011-10-31 | 2016-08-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Securing data communications in a communications network |
| JP5464232B2 (ja) * | 2012-05-23 | 2014-04-09 | 沖電気工業株式会社 | セキュア通信システム及び通信装置 |
| US9075953B2 (en) * | 2012-07-31 | 2015-07-07 | At&T Intellectual Property I, L.P. | Method and apparatus for providing notification of detected error conditions in a network |
| FR2996086B1 (fr) * | 2012-09-25 | 2014-10-24 | Kadrige | Procede de presentation a distance entre au moins deux terminaux connectes a travers un reseau |
| US9787669B2 (en) | 2013-03-14 | 2017-10-10 | Comcast Cable Communications, Llc | Identity authentication using credentials |
| CN104349303B (zh) * | 2013-08-05 | 2019-07-23 | 中兴通讯股份有限公司 | 设备到设备连接管理方法、装置及基站 |
| CN103841203A (zh) * | 2014-03-14 | 2014-06-04 | 华为技术有限公司 | 一种数据通信的方法、装置和系统 |
| US9584492B2 (en) * | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
| US9716716B2 (en) * | 2014-09-17 | 2017-07-25 | Microsoft Technology Licensing, Llc | Establishing trust between two devices |
| US9935925B2 (en) * | 2014-10-03 | 2018-04-03 | Intrinsic Id B.V. | Method for establishing a cryptographically protected communication channel |
| CN104580189B (zh) * | 2014-12-30 | 2019-02-12 | 北京奇虎科技有限公司 | 一种安全通信系统 |
| US9819670B2 (en) | 2015-06-18 | 2017-11-14 | Airwatch Llc | Distributing security codes through a restricted communications channel |
| US9843572B2 (en) | 2015-06-29 | 2017-12-12 | Airwatch Llc | Distributing an authentication key to an application installation |
| CN105391702A (zh) * | 2015-10-29 | 2016-03-09 | 北京梦坊国际教育科技有限公司 | 音/视频通信方法、终端、服务器及平台 |
| US10462109B2 (en) * | 2016-06-12 | 2019-10-29 | Apple Inc. | Secure transfer of a data object between user devices |
| CN107566314B (zh) | 2016-06-30 | 2021-05-14 | 斑马智行网络(香港)有限公司 | 一种数据传输系统、方法和设备 |
| US20180013798A1 (en) * | 2016-07-07 | 2018-01-11 | Cisco Technology, Inc. | Automatic link security |
| US10841096B2 (en) * | 2017-10-03 | 2020-11-17 | Salesforce.Com, Inc. | Encrypted self-identification using a proxy server |
| US10819508B2 (en) | 2018-04-25 | 2020-10-27 | Micro Focus Llc | Encrypted communication channels for distributed database systems |
| CN108931620A (zh) * | 2018-09-07 | 2018-12-04 | 江苏中聚检测服务有限公司 | 一种基于互联网技术的在线水质监测系统 |
| CN108931488B (zh) * | 2018-09-07 | 2021-04-20 | 江苏中聚检测服务有限公司 | 一种基于终端和客户端的网络水质检测系统 |
| US11825306B2 (en) * | 2020-07-08 | 2023-11-21 | Cervais Inc. | Peer-to-peer secure communication system, apparatus, and method |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6158011A (en) * | 1997-08-26 | 2000-12-05 | V-One Corporation | Multi-access virtual private network |
| CN1383302A (zh) * | 2002-06-05 | 2002-12-04 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05191402A (ja) | 1992-01-13 | 1993-07-30 | Hitachi Ltd | 非対称暗号鍵の生成方式 |
| JP2000244655A (ja) | 1999-02-18 | 2000-09-08 | Fujitsu Ltd | 秘匿サービス機能を有するネットワークシステム |
| US6366950B1 (en) | 1999-04-02 | 2002-04-02 | Smithmicro Software | System and method for verifying users' identity in a network using e-mail communication |
| JP3689039B2 (ja) | 1999-09-08 | 2005-08-31 | 株式会社日立製作所 | 楕円曲線生成方法、装置及び楕円暗号システム並びに記録媒体 |
| JP2001177663A (ja) | 1999-12-16 | 2001-06-29 | Matsushita Electric Ind Co Ltd | インターネット電話システム |
| AU3065101A (en) | 2000-02-04 | 2001-08-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Location service for the internet |
| JP2002208921A (ja) | 2000-11-08 | 2002-07-26 | Nippon Telegraph & Telephone East Corp | Vpnデータ通信方法および私設網構築システム |
| US20020174335A1 (en) | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| US20030084287A1 (en) * | 2001-10-25 | 2003-05-01 | Wang Huayan A. | System and method for upper layer roaming authentication |
| JP3956194B2 (ja) | 2001-11-27 | 2007-08-08 | ソニー株式会社 | 電子機器及び認証装置、並びに複製機器検出システム及び複製機器検出方法 |
| JP2004064215A (ja) | 2002-07-25 | 2004-02-26 | Casio Comput Co Ltd | 電子メールシステム、電子メールのなりすまし送信防止方法及びなりすまし送信メールの受信防止方法 |
| US20080301298A1 (en) * | 2002-07-29 | 2008-12-04 | Linda Bernardi | Identifying a computing device |
| JP4218934B2 (ja) * | 2002-08-09 | 2009-02-04 | キヤノン株式会社 | ネットワーク構築方法、無線通信システムおよびアクセスポイント装置 |
| US7590122B2 (en) * | 2003-05-16 | 2009-09-15 | Nortel Networks Limited | Method and apparatus for session control |
| US8413213B2 (en) * | 2004-12-28 | 2013-04-02 | Intel Corporation | System, method and device for secure wireless communication |
| WO2006104459A1 (en) | 2005-03-29 | 2006-10-05 | Singapore Telecommunications Limited | Voice over internet protocol system and method |
| FI121773B (fi) | 2005-06-13 | 2011-03-31 | Deltagon Group Oy | Menetelmä ja palvelin sähköpostiviestin lähettäjän autentikoimiseksi ja sähköpostiviestin välitystavan ilmaisemiseksi |
| JP5191402B2 (ja) | 2009-01-06 | 2013-05-08 | 株式会社イノアックコーポレーション | 車両内装部材の製造方法 |
-
2004
- 2004-11-04 CN CN200480032891.3A patent/CN1879382B/zh active Active
- 2004-11-04 GB GB0701194A patent/GB2433008B/en active Active
- 2004-11-04 GB GB0608382A patent/GB2422995B/en active Active
- 2004-11-04 WO PCT/JP2004/016708 patent/WO2005043281A2/en active Application Filing
- 2004-11-04 US US10/578,177 patent/US8515066B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6158011A (en) * | 1997-08-26 | 2000-12-05 | V-One Corporation | Multi-access virtual private network |
| CN1383302A (zh) * | 2002-06-05 | 2002-12-04 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 同上. |
Also Published As
| Publication number | Publication date |
|---|---|
| GB0701194D0 (en) | 2007-02-28 |
| GB2422995A (en) | 2006-08-09 |
| GB0608382D0 (en) | 2006-06-07 |
| US20070133803A1 (en) | 2007-06-14 |
| US8515066B2 (en) | 2013-08-20 |
| GB2433008A (en) | 2007-06-06 |
| WO2005043281A2 (en) | 2005-05-12 |
| WO2005043281A3 (en) | 2005-08-18 |
| CN1879382A (zh) | 2006-12-13 |
| GB2433008B (en) | 2007-08-22 |
| GB2422995B (en) | 2007-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1879382B (zh) | 在设备间建立加密通信通道的方法和设备 | |
| CN100592731C (zh) | 端到端加密数据电信的合法侦听 | |
| CN103503408B (zh) | 用于提供访问凭证的系统和方法 | |
| CN112425136B (zh) | 采用多方计算(mpc)的物联网安全性 | |
| CN102160357B (zh) | 通信网络中的密钥管理 | |
| US7443983B2 (en) | Communication apparatus and method | |
| US5604807A (en) | System and scheme of cipher communication | |
| CA2636780C (en) | Method and device for anonymous encrypted mobile data and speech communication | |
| JP4770494B2 (ja) | 暗号通信方法およびシステム | |
| JP4130809B2 (ja) | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム | |
| JP2007528650A (ja) | エンティティの第1のidおよび第2のidの検証方法 | |
| US11546305B2 (en) | Methods and systems for secure DNS routing | |
| CN101637004B (zh) | 用于通信系统中的前缀可达性的方法 | |
| US20090300197A1 (en) | Internet Protocol Communication System, Server Unit, Terminal Device, and Authentication Method | |
| US20030097584A1 (en) | SIP-level confidentiality protection | |
| CN105656901A (zh) | 对双栈操作进行互通授权的方法和装置 | |
| JP2006217446A (ja) | 遠隔会議システム | |
| JP5342818B2 (ja) | 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。 | |
| CN104753872A (zh) | 认证方法、认证平台、业务平台、网元及系统 | |
| JP4025734B2 (ja) | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム | |
| JP4073931B2 (ja) | 端末、通信装置、通信確立方法および認証方法 | |
| Huang et al. | Efficient and provably secure IP multimedia subsystem authentication for UMTS | |
| JP2005267520A (ja) | 証明書相互認証システム、及び証明書相互認証方法 | |
| CN101471938A (zh) | 一种点对点p2p网络中的认证方法、系统和装置 | |
| JP4583424B2 (ja) | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |