CN1926802B - 安全数据传输 - Google Patents
安全数据传输 Download PDFInfo
- Publication number
- CN1926802B CN1926802B CN2004800425241A CN200480042524A CN1926802B CN 1926802 B CN1926802 B CN 1926802B CN 2004800425241 A CN2004800425241 A CN 2004800425241A CN 200480042524 A CN200480042524 A CN 200480042524A CN 1926802 B CN1926802 B CN 1926802B
- Authority
- CN
- China
- Prior art keywords
- symmetric key
- wireless telecom
- telecom equipment
- key
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000005540 biological transmission Effects 0.000 title claims description 35
- 231100000279 safety data Toxicity 0.000 title 1
- 230000004044 response Effects 0.000 claims description 55
- 238000013475 authorization Methods 0.000 claims description 43
- 238000000034 method Methods 0.000 claims description 11
- 241001393742 Simian endogenous retrovirus Species 0.000 claims description 9
- 238000012546 transfer Methods 0.000 abstract description 10
- JYIMWRSJCRRYNK-UHFFFAOYSA-N dialuminum;disodium;oxygen(2-);silicon(4+);hydrate Chemical compound O.[O-2].[O-2].[O-2].[O-2].[O-2].[O-2].[Na+].[Na+].[Al+3].[Al+3].[Si+4] JYIMWRSJCRRYNK-UHFFFAOYSA-N 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Abstract
本发明涉及从第一方的第一无线通信设备到第二无线通信设备的安全数据传输。在第一无线通信设备产生随机的第一对称密钥。用第一对称密钥加密第一终端设备的用户数据。用第三方的公钥加密第一对称密钥。被加密的第一对称密钥经由传输设备从第一终端设备发送到第二终端设备。通过利用与公钥相关的并包括在第三方的安全设备中的秘密密钥,在第二终端设备解密被加密的第一对称密钥。被加密的用户数据经由传输设备从第一终端设备发送到第二终端设备。被加密的用户数据在第二终端设备使用第一对称密钥进行解密。
Description
技术领域
本发明涉及安全数据传输。特别地,本发明涉及提供以新颖和改进的方式从第一方的第一无线通信设备到第二无线通信设备的安全数据传输,其中该数据传输将由第二方的传输设备监督。
背景技术
近年来,诸如移动电话的无线通信设备已经迅速地结合了越来越多的不同应用。诸如地址簿、日历和记事本的应用是常见的。诸如电子邮件和短消息服务的各种消息服务通常可通过近来的无线通信设备使用。因此,通常的无线通信设备包含越来越多的个人用户数据,诸如已保存的消息、地址簿条目、日历条目等。通常,用户数据被存储在SIM卡(用户识别模块)上,和/或在无线通信设备的存储装置中,诸如存储器芯片。
另外,用户数据通常是秘密的,并且可包含高度敏感的信息,诸如信用卡号码等。因此,需要保护用户数据免遭非法访问。如果无线通信设备损坏或出现故障,则可被带到服务点以换取新的设备。在这种情况下,用户数据通常从该损坏或故障的设备传输或者恢复到新的设备。该数据恢复或传输通常由服务点员工监督,换句话说,由该设备的所有者以外的人监督。因此,需要确保将被恢复的用户数据不能被服务点员工有意或无意地访问。
通常,当前服务点设备使用的软件对将被传输的用户数据加密,以使用户数据不能用标准的个人计算机软件打开。然而,现有技术中的保护通常很弱并且容易被破解。
因此,显然需要一种更安全的提供从第一无线通信设备到第二无线通信设备的安全数据传输的解决方案。
发明内容
本发明的第一个方面是一种提供从第一方的第一无线通信设备到第二无线通信设备的安全数据传输的方法,该数据传输将由第二方的传输设备监督。在该方法中,在第一无线通信设备随机地产生第一对称密钥。然后,第一无线通信设备的用户数据在第一无线通信设备用所产生的第一对称密钥加密。术语“对称密钥”是指在对称加密系统中使用的密钥,在该系统中,发送方和接收方使用同一个密钥加密消息解密消息。
根据本发明,所产生的第一对称密钥在第一无线通信设备用第三方的公钥加密。然后,被加密的第一对称密钥通过传输设备从第一无线通信设备发送到第二无线通信设备。术语“公钥”是指在非对称系统中使用的加密密钥,在该系统中,发送方使用公钥以加密消息,而接收方使用与该公钥相关的秘密密钥或私钥以解密该消息。正如术语所指出的,公钥通常对任何人公开可用,而秘密密钥仅对其所有者可用。
进一步根据本发明,通过利用与公钥相关的并包括在第三方的安全设备中的秘密密钥,在第二无线通信设备对所接收的被加密的第一对称密钥解密,其中该安全设备被连接到第二无线通信设备。被加密的用户数据通过传输设备从第一无线通信设备发送到第二无线通信设备,所接收的被加密的用户数据在第二无线通信设备用被解密的第一对称密钥解密。
在本发明的第一个方面的实施例中,通过在第二无线通信设备第一次随机产生第二对称密钥,所接收的被加密的第一对称密钥在第二无线通信设备解密。然后,在第二无线通信设备产生请求消息,该请求消息包括所产生的第二对称密钥和所接收的被加密的第一对称密钥,并且该请求消息用公钥加密。接着,请求消息从第二无线通信设备发送到安全设备。所接收的请求消息在安全设备用秘密密钥解密,以获得第二对称密钥和被加密的第一对称密钥。接下来,所获得的被加密的第一对称密钥进一步在安全设备用秘密密钥解密,以获得第一对称密钥。在安全设备产生响应消息,该响应消息包括所获得的第一对称密钥,并用所获得的第二对称密钥加密。响应消息从安全设备发送到第二无线通信设备。所接收的响应消息在第二无线通信设备用所产生的第二对称密钥解密,以获得被解密的第一对称密钥。
在本发明的第一个方面的实施例中,在第一无线通信设备用第一对称密钥封装第一授权信息。在第二无线通信设备用请求消息封装第二授权信息。在产生响应消息之前,在安全设备验证所接收的第一授权信息是否与所接收的第二授权信息匹配。
在本发明的第一方面的实施例中,由第一方输入的密码被用作第一和第二授权信息。在本发明的另一个实施例中,与第一方相关的识别信息被用作第一和第二授权信息。
本发明的第二个方面是一种在无线通信设备之间提供安全数据传输的系统。该系统包括第一方的第一无线通信设备,其具有将被传输的用户数据。第一无线通信设备包括:第一密钥产生器,用于随机地产生第一对称密钥;以及用户数据加密装置,用于用所产生的第一对称密钥加密用户数据。该系统还包括第二无线通信设备,用于接收将被传输的用户数据。该系统还包括第二方的传输设备,用于将第一和第二无线通信设备相互连接,并监督数据传输。
根据本发明的第二个方面,第一无线通信设备还包括密钥加密装置,用于用第三方的公钥加密第一对称密钥。该系统还包括第三方的安全设备,其连接到第二无线通信设备,并包括与公钥相关的秘密密钥。第二无线通信设备包括密钥解密装置,用于通过利用包括在安全设备中的秘密密钥来解密被加密的第一对称密钥,其中被加密的第一对称密钥已经通过传输设备从第一无线通信设备接收到。第二无线通信设备还包括用户数据解密装置,用于用被解密的第一对称密钥解密被加密的用户数据,其中被加密的用户数据已经通过传输设备从第一无线通信设备接收到。
在本发明的第二个方面的实施例中,密钥解密装置包括第二密钥产生器,用于随机地产生第二对称密钥。密钥解密装置还包括请求消息装置,用于产生包括所产生的第二对称密钥和所接收的被加密的第一对称密钥的请求消息,用公钥加密请求消息,以及将请求消息发送到安全设备。安全设备包括响应消息装置,用于用秘密密钥解密所接收的请求消息以获得第二对称密钥和被加密的第一对称密钥,用秘密密钥进一步解密所获得的被加密的第一对称密钥以获得第一对称密钥,产生包括所获得的第一对称密钥的响应消息,用所获得的第二对称密钥加密响应消息,以及将响应消息发送到第二无线通信设备。密钥解密装置还包括响应消息解密装置,用于用所产生的第二对称密钥解密所接收的响应消息,以获得第一对称密钥。
在本发明的第二个方面的实施例中,第一无线通信设备还包括第一授权装置,用于用第一对称密钥封装第一授权信息。第二无线通信设备还包括第二授权装置,用于用请求消息封装第二授权信息。安全设备还包括验证装置,用于在产生响应消息之前验证所接收的第一授权信息是否与所接收的第二授权信息匹配。
在本发明的第二个方面的实施例中,第二无线通信设备通过移动电信网络连接到安全设备。
本发明的第三个方面是一种无线通信设备,其包括密钥解密装置,用于通过利用包括在安全设备中的秘密密钥来解密被加密的第一对称密钥,其中安全设备被连接到该无线通信设备,被加密的第一对称密钥已经通过传输设备从另一个无线通信设备接收到。该无线通信设备还包括用户数据解密装置,用于用被解密的第一对称密钥解密被加密的用户数据,其中被加密的用户数据已经通过传输设备从另一个无线通信设备接收到。
本发明的第四个方面是一种安全设备,其包括响应消息装置,用于从无线通信设备接收包括用公钥加密的第一对称密钥和第二对称密钥的请求消息以及用公钥加密的消息,用包括在安全设备中并与公钥相关的秘密密钥解密所接收的请求消息,以获得第二对称密钥和被加密的第一对称密钥,用秘密密钥进一步解密所获得的被加密的第一对称密钥以获得第一对称密钥,产生包括所获得的第一对称密钥的响应消息,用所获得的第二对称密钥加密响应消息,以及将响应消息发送到无线通信设备。
本发明允许一种从第一方的第一无线通信设备到第二无线通信设备的相当安全的数据传输,这时数据传输将由第二方监督。特别地,本发明确保将从第一无线通信设备传输到第二无线通信设备的用户数据不被服务点员工访问。
附图说明
用于提供对本发明的进一步理解并作为该说明书的一部分的附图示出本发明的实施例,并和说明书一起用于解释本发明的原理。在附图中:
图1是说明根据本发明的实施例的方法的图;
图2是说明根据本发明的实施例的系统的框图。
具体实施方式
现在详细描述本发明的实施例,其例子在附图中被示出。
图1说明本发明的方法的示例性实施例。在步骤1,随机的第一对称密钥在第一无线通信设备产生。然后,第一无线通信设备的用户数据在第一无线通信设备用所产生的第一对称密钥加密(步骤2)。用户数据可以被加密成例如一个数据块,或者可以在“文件对文件”(file-by-file)的基础上加密。
在步骤3,所产生的第一对称密钥在第一无线通信设备用第三方的公钥加密。公钥可以预先已经获得,并以保护完整性(integrity-protected)的方式嵌入第一无线通信设备,使得攻击者不能改变或替换公钥。可选择地,公钥可以例如在启动数据传输时从外部引入。如果公钥从外部引入,则其可附带证书链,使得第一无线通信设备可在接受公钥之前验证其合法性。可选择地,如果从外部引入的公钥没有附带证书链,那么第一无线通信设备可以在使用公钥之前向用户示出公钥的指纹并请求用户接受该公钥。
在步骤4,第一授权信息在第一无线通信设备用第一对称密钥封装。第一授权信息可以是例如由第一方输入的密码。该密码可以例如在数据传输期间输入或者已经预先输入。可选择地或者另外地,第一授权信息可以是例如与第一方相关的识别信息,诸如第一无线通信设备的MSISDN号码(移动用户国际ISDN号码)。第一无线通信设备的当前SIM(用户识别模块)的MSISDN号码可以例如预先读取,并存储为授权信息以用于将来的数据传输。在本发明的另一个实施例中,授权信息可以省略。例如,如果第一无线通信设备的键盘被损坏,那么授权信息可以被省略。然后,被加密的第一对称密钥的副本可以和被加密的用户数据一起暂时存储在第一无线通信设备中。如果传输过程由于某些原因失败或者后来中断,那么被加密的第一对称密钥可以很容易地重新获得。
被加密的第一对称密钥经由传输设备从第一无线通信设备发送到第二无线通信设备(步骤5)。接下来,通过利用与公钥相关的并包括在第三方的安全设备中的秘密密钥,在第二无线通信设备解密所接收的被加密的第一对称密钥,其中该安全设备被连接到第二无线通信设备。在图1所示出的本发明的实施例中,这通过在第二无线通信设备第一次产生随机的第二对称密钥来执行(步骤6)。
接下来在步骤7,在第二无线通信设备产生请求消息,该请求消息包括所产生的第二对称密钥和所接收的被加密的第一对称密钥,并且该请求消息用公钥加密。第二授权信息在第二无线通信设备用请求消息封装(步骤8)。第二授权信息应当与先前输入的第一授权信息相同。换句话说,如果例如询问密码,则第一方或者无线通信设备的用户应当输入与先前相同的密码。然而,如果没有封装第一授权信息,那么也将省略第二授权信息。然后,将请求消息从第二无线通信设备发送到安全设备(步骤9)。
在步骤10,所接收的请求消息在安全设备用秘密密钥解密,以获得第二对称密钥和被加密的第一对称密钥。接下来在步骤11,所获得的被加密的第一对称密钥在安全设备用秘密密钥进一步解密,以获得第一对称密钥。在安全设备,在产生响应消息之前验证所接收的第一授权信息是否与所接收的第二授权信息匹配(步骤12)。
在步骤13,在安全设备产生响应消息,该响应消息包括所获得的第一对称密钥,并且该响应消息用所获得的第二对称密钥加密。将响应消息从安全设备发送到第二无线通信设备(步骤14)。如果使用授权信息,如在图1所示的本发明的实施例中,则安全设备可忘记这次交易。如果没有使用授权信息,那么安全设备可以记录被加密的第一对称密钥,并拒绝再次解密它。在任何一种情况下,安全设备都可以在例如公共存储库中暂时存储响应消息,使得如果响应消息的初始发送由于某些原因而失败,则可以重新获得响应消息。
在步骤15,所接收的响应消息在第二无线通信设备用所产生的第二对称密钥解密,以获得被加密的第一对称密钥。被解密的第一对称密钥可以存储在第二无线通信设备中的文件中,以防传输过程由于某些原因,例如由于电力故障,而失败或中断。如果某些正在被恢复的用户数据遵从由第一方之外的某个人设置的访问控制策略,例如如果用户数据包括不应被转发的版权保护内容或机密商业资料,则被解密的第一对称密钥可以以安全的方式存储在第二无线通信设备中。
然后,被加密的用户数据经由传输设备从第一无线通信设备发送到第二无线通信设备(步骤16)。最后在步骤17,所接收的被加密的用户数据在第二无线通信设备用被解密的第一对称密钥解密。在数据传输已经成功执行后,第二无线通信设备可以删除第一和第二对称密钥。相应地,如果传输设备具有被加密的用户数据的副本,那么现在可以删除它。在另一个实施例中,其它信息可用被加密的第一对称密钥、请求消息和响应消息封装。例如可以封装有效期限,安全设备可以利用它确定要将被加密的第一对称密钥的记录保持多长时间,如果这样的记录正被保持。
图2说明本发明的系统的示例性实施例。图2所示的示例性实施例涉及从第一方的第一无线通信设备中恢复用户数据,其中该恢复由诸如服务点人员的第二方监督。该系统包括具有将被恢复的用户数据的第一方的第一无线通信设备MS 1,用于接收将被恢复的用户数据并充当传输设备的第二无线通信设备MS 2,以及用于将第一无线通信设备和第二无线通信设备彼此连接并监督数据恢复的第二方的服务设备SERV。服务设备SERV可以是例如具有合适的服务软件的个人计算机。在图2所示的本发明的系统的示例性实施例中,第一和第二无线通信设备是移动电话。该系统还包括第三方的安全设备SEC,其连接到第二无线通信设备MS 2并包括与公钥相关的秘密密钥。安全设备SEC可以是例如具有合适的软件的服务器。在图2所示的本发明的实施例中,第二无线通信设备MS 2经由移动电信网络GSM连接到安全设备SEC。在图2所示的本发明的实施例中,移动电信网络是GSM(全球移动通信系统)网络,但是正如对于本领域的普通技术人员是显然的,可以替代使用另外的数字移动电信网络,诸如CDMA(码分多址)网络或WCDMA(宽带码分多址)网络。可选择地或者另外地,第二无线通信设备MS 2可以经由诸如因特网的交换网络连接到安全设备SEC。
第一无线通信设备MS 1包括第一密钥产生器KG 1,用于随机地产生第一对称密钥;以及用户数据加密装置UD_ENC,用于用所产生的第一对称密钥加密用户数据。第一无线通信设备MS 1还包括密钥加密装置K_ENC,用于用第三方的公钥加密第一对称密钥。第一无线通信设备MS1还包括第一授权装置AUTH 1,用于用第一对称密钥封装第一授权信息。
第二无线通信设备MS 2包括密钥解密装置K_DEC,用于在被加密的第一对称密钥已经通过服务设备SERV从第一无线通信设备MS 1接收后,通过利用包括在安全设备SEC中的秘密密钥解密被加密的第一对称密钥。
密钥解密装置K_DEC包括第二密钥产生器KG 2,用于产生随机的第二对称密钥。密钥解密装置K_DEC还包括请求消息装置REQ_MSG,用于产生包括所产生的第二对称密钥和所接收的被加密的第一对称密钥的请求消息,用公钥加密该请求消息,以及将该请求消息发送到安全设备SEC。第二无线通信设备MS 2还包括第二授权装置AUTH 2,用于用请求消息封装第二授权信息。
安全设备SEC包括响应消息装置RESP_MSG,用于用秘密密钥解密所接收的请求消息,以获得第二对称密钥和被加密的第一对称密钥,用秘密密钥进一步解密所获得的被加密的第一对称密钥,以获得第一对称密钥,产生包括所获得的第一对称密钥的响应消息,用所获得的第二对称密钥加密该响应消息,以及将响应消息发送到第二无线通信设备。安全设备SEC还包括验证装置VER,用于在产生响应消息之前验证所接收的第一授权信息是否与所接收的第二授权信息匹配。
密钥解密装置K_DEC还包括响应消息解密装置RESP_MSG_DEC,用于使所产生的第二对称密钥解密所接收的响应消息,以获得第一对称密钥。第二无线通信设备MS 2还包括用户数据解密装置UD_DEC,用于在被加密的用户数据已经通过服务设备SERV从第一无线通信设备MS 1接收后,用被解密的第一对称密钥解密被加密的用户数据。
对于本领域的普通技术人员来说很显然,随着技术的进步,本发明的基本思想可以以不同的方式实现。因此本发明及其实施例并不局限于上述的例子,相反可以在权利要求的保护范围内进行变化。特别地,尽管描述了涉及在服务点进行数据恢复的实施例,但是对于本领域熟练的技术人员来说很显然,本发明可以用于敏感信息需要通过不信任的第二方传输的任何情况。
Claims (9)
1.一种提供从第一方的第一无线通信设备到第二无线通信设备的安全数据传输的方法,所述方法包括以下步骤:
在所述第一无线通信设备随机地产生第一对称密钥;
在所述第一无线通信设备用所产生的第一对称密钥加密所述第一无线通信设备的用户数据;
其特征在于,所述方法还包括以下步骤:
在所述第一无线通信设备用第三方的公钥加密所产生的第一对称密钥;
将被加密的第一对称密钥通过传输设备从所述第一无线通信设备发送到所述第二无线通信设备;
通过利用与所述公钥相关的并包括在所述第三方的安全设备中的秘密密钥,在所述第二无线通信设备解密所接收的被加密的第一对称密钥,其中所述安全设备被连接到所述第二无线通信设备;
将被加密的用户数据通过所述传输设备从所述第一无线通信设备发送到所述第二无线通信设备;以及
在所述第二无线通信设备用被解密的第一对称密钥解密所接收的被加密的用户数据;
其中,通过利用与所述公钥相关的并包括在所述第三方的安全设备中的秘密密钥,在所述第二无线通信设备解密所接收的被加密的第一对称密钥的步骤还包括以下步骤:
在所述第二无线通信设备随机地产生第二对称密钥;
在所述第二无线通信设备产生包括所产生的第二对称密钥和所接收的被加密的第一对称密钥的请求消息,并且所述请求消息是用所述公钥加密的;
将所述请求消息从所述第二无线通信设备发送到所述安全设备;
在所述安全设备用所述秘密密钥解密所接收的请求消息,以获得所述第二对称密钥和被加密的第一对称密钥;
在所述安全设备用所述秘密密钥进一步解密所获得的被加密的第一对称密钥,以获得所述第一对称密钥;
在所述安全设备产生包括所获得的第一对称密钥的响应消息,并且所述响应消息用所获得的第二对称密钥加密;
将所述响应消息从所述安全设备发送到所述第二无线通信设备;以及
在所述第二无线通信设备用所产生的第二对称密钥解密所接收的响应消息,以获得被解密的第一对称密钥。
2.如权利要求1所述的方法,其特征在于,所述方法还包括以下步骤:
在所述第一无线通信设备用所述第一对称密钥封装第一授权信息;
在所述第二无线通信设备用所述请求消息封装第二授权信息;以及
在所述安全设备,在执行产生所述响应消息的步骤之前,验证所接收的第一授权信息是否与所接收的第二授权信息匹配。
3.如权利要求2所述的方法,其特征在于,由所述第一方输入的密码被用作第一和第二授权信息。
4.如权利要求2所述的方法,其特征在于,与所述第三方相关的识别信息被用作第一和第二授权信息。
5.一种在无线通信设备之间提供安全数据传输的系统,包括:
第一方的第一无线通信设备(MS 1),其具有将被传输的用户数据,并包括:第一密钥产生器(KG 1),用于随机地产生第一对称密钥;以及用户数据加密装置(UD_ENC),用于用所产生的第一对称密钥加密所述用户数据;
第二无线通信设备(MS 2),用于接收将被传输的用户数据;
第二方的传输设备(SERV),用于将所述第一和第二无线通信设备相互连接;
其特征在于,所述第一无线通信设备(MS 1)还包括:
密钥加密装置(K_ENC),用于用第三方的公钥加密所述第一对称密钥;
所述系统还包括:
所述第三方的安全设备(SEC),其连接到所述第二无线通信设备(MS 2),并包括与所述公钥相关的秘密密钥;
所述第二无线通信设备(MS 2)包括:
密钥解密装置(K_DEC),用于通过利用包括在所述安全设备(SEC)中的所述秘密密钥解密被加密的第一对称密钥,其中被加密的第一对称密钥已经通过所述传输设备(SERV)从所述第一无线通信设备(MS 1)接收;以及
用户数据解密装置(UD_DEC),用于用被解密的第一对称密钥解密被加密的用户数据,其中被加密的用户数据已经通过所述传输设备(SERV)从所述第一无线通信设备(MS1)接收;
其中,所述密钥解密装置(K_DEC)包括:
第二密钥产生器(KG2),用于随机地产生第二对称密钥;以及
请求消息装置(REQ_MSG),用于产生包括所产生的第二对称密钥和所接收的被加密的第一对称密钥的请求消息,所述请求消息是用所述公钥加密的,以及将所述请求消息发送到所述安全设备(SEC);
所述安全设备(SEC)包括:
响应消息装置(RESP_MSG),用于用所述秘密密钥解密所接收的请求消息,以获得所述第二对称密钥和被加密的第一对称密钥,用所述秘密密钥进一步解密所获得的被加密的第一对称密钥,以获得所述第一对称密钥,产生包括所获得的第一对称密钥的响应消息,用所获得的第二对称密钥加密所述响应消息,以及将所述响应消息发送到所述第二无线通信设备;
所述密钥解密装置(K_DEC)还包括:
响应消息解密装置(RESP_MSG_DEC),用于用所产生的第二对称密钥解密所接收的响应消息,以获得所述第一对称密钥。
6.如权利要求5所述的系统,其特征在于,所述第一无线通信设备(MS 1)还包括:
第一授权装置(AUTH 1),用于用所述第一对称密钥封装第一授权信息;
所述第二无线通信设备(MS 2)还包括:
第二授权装置(AUTH 2),用于用所述请求消息封装第二授权信息;
所述安全设备(SEC)还包括:
验证装置(VER),用于在产生所述响应消息之前,验证所接收的第一授权信息是否与所接收的第二授权信息匹配。
7.如权利要求5或6所述的系统,其特征在于,所述第二无线通信设备(MS 2)经由移动电信网络连接到所述安全设备(SEC)。
8.一种无线通信设备(MS 2),其特征在于,所述无线通信设备(MS 2)包括:
密钥解密装置(K_DEC),用于通过利用包括在连接到所述无线通信设备(MS 2)的安全设备中的秘密密钥,解密被加密的第一对称密钥,其中被加密的第一对称密钥已经通过传输设备(SERV)从另一个无线通信设备(MS 1)接收;以及
用户数据解密装置(UD_DEC),用于用被解密的第一对称密钥解密被加密的用户数据,其中被加密的用户数据已经通过所述传输设备(SERV)从另一个无线通信设备(MS 1)接收,
其中,所述密钥解密装置(K_DEC)包括:
第二密钥产生器(KG2),用于随机地产生第二对称密钥;以及
请求消息装置(REQ_MSG),用于产生包括所产生的第二对称密钥和所接收的被加密的第一对称密钥的请求消息,所述请求消息是用第三方的公钥加密的,以及将所述请求消息发送到安全设备(SEC);
所述安全设备(SEC)包括:
响应消息装置(RESP_MSG),用于用所述秘密密钥解密所接收的请求消息,以获得所述第二对称密钥和被加密的第一对称密钥,用所述秘密密钥进一步解密所获得的被加密的第一对称密钥,以获得所述第一对称密钥,产生包括所获得的第一对称密钥的响应消息,用所获得的第二对称密钥加密所述响应消息,以及将所述响应消息发送到所述第二无线通信设备;
所述密钥解密装置(K_DEC)还包括:
响应消息解密装置(RESP_MSG_DEC),用于用所产生的第二对称密钥解密所接收的响应消息,以获得所述第一对称密钥。
9.一种安全设备(SEC),其特征在于,所述安全设备(SEC)包括:
响应消息装置(RESP_MSG),用于从无线通信设备(MS 2)接收包括用公钥加密的第一对称密钥和第二对称密钥的请求消息,并且所述请求消息是用所述公钥加密的,用包括在所述安全设备(SEC)中并与所述公钥相关的秘密密钥解密所接收的请求消息,以获得所述第二对称密钥和被加密的第一对称密钥,用所述秘密密钥进一步解密所获得的被加密的第一对称密钥,以获得所述第一对称密钥,产生包括所获得的第一对称密钥的响应消息,用所获得的第二对称密钥加密所述响应消息,以及用于将所述响应消息发送到所述第二无线通信设备(MS 2)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2004/000162 WO2005091553A1 (en) | 2004-03-22 | 2004-03-22 | Secure data transfer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1926802A CN1926802A (zh) | 2007-03-07 |
| CN1926802B true CN1926802B (zh) | 2010-06-02 |
Family
ID=34994055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800425241A Expired - Lifetime CN1926802B (zh) | 2004-03-22 | 2004-03-22 | 安全数据传输 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8145907B2 (zh) |
| EP (1) | EP1728352B1 (zh) |
| CN (1) | CN1926802B (zh) |
| AT (1) | ATE465572T1 (zh) |
| DE (2) | DE602004026787C5 (zh) |
| WO (1) | WO2005091553A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104641590A (zh) * | 2012-09-13 | 2015-05-20 | 诺基亚公司 | 用户感兴趣数据的发现和安全传输 |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007080629A1 (ja) * | 2006-01-10 | 2007-07-19 | Fujitsu Limited | 携帯型端末装置、アドレス帳転送装置、携帯型端末装置における情報の表示方法、アドレス帳転送方法、およびコンピュータプログラム |
| US8625784B2 (en) * | 2006-12-22 | 2014-01-07 | Samsung Electronics Co., Ltd. | Broadcast encryption method and broadcast decryption method thereof |
| CN101183938B (zh) * | 2007-10-22 | 2011-11-23 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
| US8738531B1 (en) * | 2008-07-08 | 2014-05-27 | InfoWatch | Cryptographic distributed storage system and method |
| WO2010080637A1 (en) | 2008-12-18 | 2010-07-15 | C. R. Bard, Inc. | Needle guides for a sonographic imaging device |
| US10863970B2 (en) | 2008-12-18 | 2020-12-15 | C. R. Bard, Inc. | Needle guide including enhanced visibility entrance |
| US8403856B2 (en) * | 2009-03-11 | 2013-03-26 | Volcano Corporation | Rotational intravascular ultrasound probe with an active spinning element |
| CN101568110A (zh) * | 2009-05-21 | 2009-10-28 | 中兴通讯股份有限公司 | 一种无线数据传输方法及系统 |
| US8214653B1 (en) * | 2009-09-04 | 2012-07-03 | Amazon Technologies, Inc. | Secured firmware updates |
| US9565207B1 (en) | 2009-09-04 | 2017-02-07 | Amazon Technologies, Inc. | Firmware updates from an external channel |
| US8887144B1 (en) | 2009-09-04 | 2014-11-11 | Amazon Technologies, Inc. | Firmware updates during limited time period |
| US10177934B1 (en) | 2009-09-04 | 2019-01-08 | Amazon Technologies, Inc. | Firmware updates inaccessible to guests |
| US8601170B1 (en) | 2009-09-08 | 2013-12-03 | Amazon Technologies, Inc. | Managing firmware update attempts |
| US8971538B1 (en) | 2009-09-08 | 2015-03-03 | Amazon Technologies, Inc. | Firmware validation from an external channel |
| US8959611B1 (en) | 2009-09-09 | 2015-02-17 | Amazon Technologies, Inc. | Secure packet management for bare metal access |
| US8300641B1 (en) | 2009-09-09 | 2012-10-30 | Amazon Technologies, Inc. | Leveraging physical network interface functionality for packet processing |
| US8381264B1 (en) | 2009-09-10 | 2013-02-19 | Amazon Technologies, Inc. | Managing hardware reboot and reset in shared environments |
| US8516255B2 (en) * | 2010-05-10 | 2013-08-20 | Qualcomm Incorporated | Methods and apparatus for peer-to-peer transfer of secure data using near field communications |
| EP2654568A1 (en) | 2010-12-22 | 2013-10-30 | C. R. Bard, Inc. | Selectable angle needle guide |
| US9788812B2 (en) | 2010-12-22 | 2017-10-17 | C. R. Bard, Inc. | Needle guide with selectable aspects |
| US8984273B2 (en) * | 2011-12-16 | 2015-03-17 | Protected Mobility, Llc | Method to provide secure multimedia messaging between peer systems |
| CN102665204B (zh) * | 2012-04-19 | 2015-08-12 | 北京邮电大学 | 一种定位服务安全防护方法及系统 |
| US9009480B1 (en) * | 2013-03-07 | 2015-04-14 | Facebook, Inc. | Techniques for handshake-free encrypted communication using public key bootstrapping |
| US9735967B2 (en) * | 2014-04-30 | 2017-08-15 | International Business Machines Corporation | Self-validating request message structure and operation |
| EP3138256B1 (en) * | 2014-04-30 | 2019-08-21 | Telefonaktiebolaget LM Ericsson (publ) | Residential local break out in a communication system |
| KR102125562B1 (ko) * | 2014-06-18 | 2020-06-22 | 삼성전자주식회사 | 키 공유 방법 및 장치 |
| CN105654290B (zh) * | 2014-11-10 | 2020-08-21 | 国民技术股份有限公司 | 一种终端与智能密码钥匙通信的方法、网关、终端及系统 |
| CN104618355B (zh) * | 2015-01-19 | 2017-04-05 | 北京海泰方圆科技股份有限公司 | 一种安全存储和传输数据的方法 |
| CN104602208B (zh) * | 2015-01-29 | 2018-02-27 | 成都三零瑞通移动通信有限公司 | 一种基于移动网络的短信加密通信方法 |
| US10659438B2 (en) * | 2015-07-09 | 2020-05-19 | International Business Machines Corporation | Policy based message cryptographic expiry |
| CN105592071A (zh) * | 2015-11-16 | 2016-05-18 | 中国银联股份有限公司 | 一种在设备之间进行授权的方法和装置 |
| EP3182666B1 (en) * | 2015-12-16 | 2023-01-25 | Materna Virtual Solution GmbH | Secure transmission of local private encoding data |
| DE102021103995A1 (de) | 2021-02-19 | 2022-08-25 | Bundesdruckerei Gmbh | Auslesen von Identitätsattributen mit einem entfernte Sicherheitselement |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10218943A1 (de) * | 2002-04-22 | 2003-11-13 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Implementierung eines Sicherheitssystems durch Verteilung von Authentifikationsinformationen über wenigstens ein Mobilfunknetz |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9903124D0 (en) * | 1999-02-11 | 1999-04-07 | Nokia Telecommunications Oy | An authentication method |
| US6643774B1 (en) * | 1999-04-08 | 2003-11-04 | International Business Machines Corporation | Authentication method to enable servers using public key authentication to obtain user-delegated tickets |
| US6718467B1 (en) * | 1999-10-28 | 2004-04-06 | Cisco Technology, Inc. | Password based protocol for secure communications |
| JP3552648B2 (ja) * | 2000-06-20 | 2004-08-11 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法 |
| WO2003007542A1 (en) * | 2001-07-14 | 2003-01-23 | Kent Ridge Digital Labs | Method for certifying location stamping for wireless transactions |
-
2004
- 2004-03-22 WO PCT/FI2004/000162 patent/WO2005091553A1/en not_active Application Discontinuation
- 2004-03-22 DE DE602004026787.2T patent/DE602004026787C5/de not_active Expired - Lifetime
- 2004-03-22 EP EP04722304A patent/EP1728352B1/en not_active Expired - Lifetime
- 2004-03-22 DE DE602004026787.2A patent/DE602004026787C9/de not_active Expired - Lifetime
- 2004-03-22 CN CN2004800425241A patent/CN1926802B/zh not_active Expired - Lifetime
- 2004-03-22 AT AT04722304T patent/ATE465572T1/de not_active IP Right Cessation
-
2006
- 2006-09-22 US US11/525,152 patent/US8145907B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10218943A1 (de) * | 2002-04-22 | 2003-11-13 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Implementierung eines Sicherheitssystems durch Verteilung von Authentifikationsinformationen über wenigstens ein Mobilfunknetz |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104641590A (zh) * | 2012-09-13 | 2015-05-20 | 诺基亚公司 | 用户感兴趣数据的发现和安全传输 |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE465572T1 (de) | 2010-05-15 |
| DE602004026787D1 (de) | 2010-06-02 |
| DE602004026787C5 (de) | 2021-10-21 |
| DE602004026787C9 (de) | 2023-09-21 |
| WO2005091553A1 (en) | 2005-09-29 |
| US20070016781A1 (en) | 2007-01-18 |
| EP1728352A1 (en) | 2006-12-06 |
| CN1926802A (zh) | 2007-03-07 |
| US8145907B2 (en) | 2012-03-27 |
| EP1728352B1 (en) | 2010-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1926802B (zh) | 安全数据传输 | |
| CN100374971C (zh) | 基于接近令牌单元对应用服务的安全访问 | |
| CN103812871B (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
| CN101350724B (zh) | 一种基于生物特征信息的加密方法 | |
| US20060280297A1 (en) | Cipher communication system using device authentication keys | |
| US20030236983A1 (en) | Secure data transfer in mobile terminals and methods therefor | |
| CN101677269B (zh) | 密钥传输的方法及系统 | |
| WO2009149376A1 (en) | Secure short message service (sms) communications | |
| CN105450395A (zh) | 一种信息加解密处理方法及系统 | |
| CN101635924B (zh) | 一种cdma端到端加密通信系统及其密钥分发方法 | |
| CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
| CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| US8230218B2 (en) | Mobile station authentication in tetra networks | |
| CN102572817A (zh) | 实现移动通信保密的方法和智能存储卡 | |
| CN104424446A (zh) | 一种安全认证和传输的方法和系统 | |
| CN113472793A (zh) | 一种基于硬件密码设备的个人数据保护系统 | |
| CN102264068B (zh) | 共享密钥协商方法与系统、网络平台及终端 | |
| CN113591109B (zh) | 可信执行环境与云端通信的方法及系统 | |
| CN101854594A (zh) | 信息发送方法与装置和信息接收方法与装置 | |
| CN110691359A (zh) | 一种电力营销专业的蓝牙通信的安全防护方法 | |
| JPH04247737A (ja) | 暗号化装置 | |
| CN106211146A (zh) | 安全通讯录添加方法、信息通信方法和通话方法及系统 | |
| US20230070408A1 (en) | Secure communication device equipped with quantum encryption chip based quantum random number and method of providing secure communication service using the same | |
| Jitha et al. | SMS security system using encryption techniques | |
| KR100808654B1 (ko) | 안전한 데이터 전송 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160121 Address after: Espoo, Finland Patentee after: NOKIA TECHNOLOGIES OY Address before: Espoo, Finland Patentee before: NOKIA Corp. |
|
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20100602 |