JP2017533651A - 安全なネットワーク通信用の方法及び機器 - Google Patents

安全なネットワーク通信用の方法及び機器 Download PDF

Info

Publication number
JP2017533651A
JP2017533651A JP2017521578A JP2017521578A JP2017533651A JP 2017533651 A JP2017533651 A JP 2017533651A JP 2017521578 A JP2017521578 A JP 2017521578A JP 2017521578 A JP2017521578 A JP 2017521578A JP 2017533651 A JP2017533651 A JP 2017533651A
Authority
JP
Japan
Prior art keywords
service request
service
random number
plaintext
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017521578A
Other languages
English (en)
Other versions
JP6641363B2 (ja
Inventor
チェン,シャオジャン
Original Assignee
アリババ グループ ホウルディング リミテッド
アリババ グループ ホウルディング リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アリババ グループ ホウルディング リミテッド, アリババ グループ ホウルディング リミテッド filed Critical アリババ グループ ホウルディング リミテッド
Publication of JP2017533651A publication Critical patent/JP2017533651A/ja
Application granted granted Critical
Publication of JP6641363B2 publication Critical patent/JP6641363B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

安全なネットワーク通信用の方法及び機器が開示される。例示的な方法は、ハンドシェイク要求メッセージをサーバに送信することを含んでもよい。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。方法はまた、サーバから返信されたハンドシェイク応答メッセージを受信することを含んでもよい。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。方法は、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによって、ハンドシェイク応答メッセージを復号することを更に含んでもよい。加えて、方法は、第1の乱数及び第2の乱数に従って、サーバとのセッションにおいて用いられるセッション鍵を計算することを含んでもよい。

Description

技術分野
本出願は、通信技術に関し、特に安全なネットワーク通信方法及び機器に関する。
背景
インターネットの急速な発展と共に、情報セキュリティは、困難な問題になっている。ハイパーテキスト転送プロトコルセキュア(HTTPS)は、従来のパーソナルコンピュータ(PC)上でこの問題を解決するために採用された。HTTPSが用いられる場合に、クライアントとサーバとの間の通信プロセスは、ハンドシェイク段階を含み、その段階において、クライアントは、セキュリティキーのためにサーバと交渉する。サーバは、クライアントによって受信された応答が、正規サーバからのものであることを証明するために、関係機関によって発行された証明書をクライアントに提供する必要がある。それは、クライアントとサーバとの間の多くの対話、各対話における大きなパケットサイズ、及び巨大なネットワークトラフィックを必要とする。クライアントは、証明書を検証するために、中央処理装置(CPU)を用いることによって多くの計算を必要とする。計算の必要電力消費は、モバイル端末にとっては難題である。
概要
本開示は、安全なネットワーク通信用の方法及び機器に関する。本開示は、クライアントとサーバとの間のセキュリティキーに関する交渉中におけるサービス要求及び応答用の情報対話の数を低減する。
一態様において、本開示は、安全なネットワーク通信用の方法に関する。方法は、ハンドシェイク要求メッセージをサーバに送信することを含んでもよい。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。サーバは、第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵に従って、ハンドシェイク要求メッセージを復号し、且つ第1のサービス要求データに従って第1のサービス応答データを生成する。方法はまた、サーバから返信されたハンドシェイク応答メッセージを受信することを含んでもよい。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。方法は、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによってハンドシェイク応答メッセージを復号することを更に含んでもよい。加えて、方法は、第1の乱数及び第2の乱数に従って、サーバとのセッションにおいて用いられるセッション鍵を計算することを含んでもよい。
幾つかの実施形態において、方法は、暗号文サービス要求メッセージをサーバに送信することを含んでもよい。暗号文サービス要求メッセージは、セッション鍵の識別子、及びセッション鍵を用いることによって暗号化された第2のサービス要求データを含む。サーバは、セッション鍵の識別子に従って、対応するセッション鍵を調べ、且つ第2のサービス要求データを取得するために、対応するセッション鍵を用いることによって、暗号文サービス要求メッセージを復号する。方法はまた、サーバから返信された暗号文サービス応答メッセージを受信することを含んでもよい。暗号文サービス応答メッセージは、対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含む。第2のサービス応答データは、第2のサービス要求データに従って、サーバによって生成される。
幾つかの実施形態において、方法は、平文サービス要求メッセージをサーバに送信することを含んでもよい。平文サービス要求メッセージは、平文用の第3のサービス要求データを含む。サーバは、平文サービス要求メッセージから平文用の第3のサービス要求データを取得する。方法はまた、サーバから返信された平文サービス応答メッセージを受信することを含んでもよい。平文サービス応答メッセージは、平文の第3のサービス応答データを含む。第3のサービス応答データは、第3のサービス要求データに従って、サーバによって生成される。
幾つかの実施形態において、方法は、サーバから返信されたセッション鍵の満了の通知を受信することを含んでもよい。方法はまた、別のハンドシェイク要求メッセージをサーバに送信することを含んでもよい。
別の態様において、本開示は、安全なネットワーク通信用の方法に関する。方法は、クライアントから送信されたハンドシェイク要求メッセージを受信することを含んでもよい。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。方法はまた、第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵を用いることによって、ハンドシェイク要求メッセージを復号することを含んでもよい。方法は、第1のサービス要求データに従って、第1のサービス応答データを生成することを更に含んでもよい。加えて、方法は、ハンドシェイク応答メッセージをクライアントに送信することを含んでもよい。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。クライアントは、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによって、ハンドシェイク応答メッセージを復号し、且つ第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算する。更に、方法は、第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算することを含んでもよい。
幾つかの実施形態において、方法は、クライアントから送信された暗号文サービス要求メッセージを受信することを更に含んでもよい。暗号文サービス要求メッセージは、セッション鍵の識別子、及びセッション鍵を用いることによって暗号化された第2のサービス要求データを含む。方法はまた、セッション鍵の識別子に従って、対応するセッション鍵を調べることを含んでもよい。方法は、第2のサービス要求データを取得するために、対応するセッション鍵を用いることによって、暗号文サービス要求メッセージを復号することを更に含んでもよい。加えて、方法は、第2のサービス要求データに従って、第2のサービス応答データを生成することを含んでもよい。更に、方法は、暗号文サービス応答メッセージをクライアントに送信することを含んでもよい。暗号文サービス応答メッセージは、対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含む。
幾つかの実施形態において、方法は、クライアントによって送信された平文サービス要求メッセージを受信することを更に含んでもよい。平文サービス要求メッセージは、平文用の第3のサービス要求データを含む。方法はまた、平文サービス要求メッセージから第3のサービス要求データを取得することを含んでもよい。方法は、第3のサービス要求データに従って、平文の第3のサービス応答データを生成することを更に含んでもよい。加えて、方法は、平文サービス応答メッセージをクライアントに送信することを含んでもよい。平文サービス応答メッセージは、平文の第3のサービス応答データを含む。
幾つかの実施形態において、方法は、クライアントから送信された第4のサービス要求メッセージを受信することを更に含んでもよい。方法はまた、第4のサービス要求メッセージが、暗号文サービス要求メッセージか又は平文サービス要求メッセージかどうかを判定することを含んでもよい。方法は、第4のサービス要求メッセージが、暗号文サービス要求メッセージか又は平文サービス要求メッセージかどうかの判定結果に従って、第1の暗号化識別子を生成することを更に含んでもよい。加えて、方法は、第4のサービス要求メッセージの識別子と第4のサービス要求メッセージの第1の暗号化識別子との間の第1のマッピング関係を確立することを含んでもよい。クライアントから送信された第5のサービス要求メッセージを受信すると、方法は、第5のサービス要求メッセージの識別子及び第1のマッピング関係に従って、第2の暗号化識別子を調べることを含んでもよい。方法は、第5のサービス要求メッセージが暗号文サービス要求メッセージであることを第2の暗号化識別子が示す場合に、クライアントへの暗号文サービス応答メッセージの送信の実行をトリガすることを含んでもよい。方法は、第5のサービス要求メッセージが平文サービス要求メッセージであることを第2の暗号化識別子が示す場合に、クライアントへの平文サービス応答メッセージの送信の実行をトリガすることを含んでもよい。
更なる態様において、本開示は、安全なネットワーク通信用の機器に関する。機器は、ハンドシェイク要求メッセージをサーバに送信するように構成されたハンドシェイク要求送信ユニットを含んでもよい。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。サーバは、第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵に従って、ハンドシェイク要求メッセージを復号し、且つ第1のサービス要求データに従って第1のサービス応答データを生成する。機器はまた、サーバから返信されたハンドシェイク応答メッセージを受信するように構成されたハンドシェイク応答受信ユニットを含んでもよい。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。機器は、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによってハンドシェイク応答メッセージを復号するように構成されたハンドシェイク応答復号ユニットを更に含んでもよい。加えて、機器は、第1の乱数及び第2の乱数に従って、サーバとのセッションにおいて用いられるセッション鍵を計算するように構成されたセッション鍵計算ユニットを含んでもよい。
幾つかの実施形態において、機器は、暗号文サービス要求メッセージをサーバに送信するように構成された暗号文サービス要求送信ユニットを更に含んでもよい。暗号文サービス要求メッセージは、セッション鍵の識別子、及びセッション鍵を用いることによって暗号化された第2のサービス要求データを含む。サーバは、セッション鍵の識別子に従って、対応するセッション鍵を調べ、且つ第2のサービス要求データを取得するために、対応するセッション鍵を用いることによって、暗号文サービス要求メッセージを復号する。機器はまた、サーバから返信された暗号文サービス応答メッセージを受信するように構成された暗号文サービス応答受信ユニットを含んでもよい。暗号文サービス応答メッセージは、対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含む。第2のサービス応答データは、第2のサービス要求データに従って、サーバによって生成される。
幾つかの実施形態において、機器は、平文サービス要求メッセージをサーバに送信するように構成された平文サービス要求送信ユニットを更に含んでもよい。平文サービス要求メッセージは、平文用の第3のサービス要求データを含む。サーバは、平文サービス要求メッセージから平文用の第3のサービス要求データを取得する。機器はまた、サーバから返信された平文サービス応答メッセージを受信するように構成された平文サービス応答受信ユニットを含んでもよい。平文サービス応答メッセージは、平文の第3のサービス応答データを含む。第3のサービス応答データは、第3のサービス要求データに従って、サーバによって生成される。
更に別の態様において、本開示は、安全なネットワーク通信用の機器に関する。機器は、クライアントによって送信されたハンドシェイク要求メッセージを受信するように構成されたハンドシェイク要求受信ユニットを含んでもよい。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。機器はまた、第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵を用いることによって、ハンドシェイク要求メッセージを復号するように構成されたハンドシェイク要求復号ユニットを含んでもよい。機器は、第1のサービス要求データに従って第1のサービス応答データを生成するように構成された第1のサービス応答生成ユニットを更に含んでもよい。加えて、機器は、ハンドシェイク応答メッセージをクライアントに送信するように構成されたハンドシェイク応答送信ユニットを含んでもよい。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。クライアントは、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによって、ハンドシェイク応答メッセージを復号し、且つ第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算する。加えて、機器は、第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算するように構成されたセッション鍵計算ユニットを含んでもよい。
幾つかの実施形態において、機器は、クライアントによって送信された暗号文サービス要求メッセージを受信するように構成された暗号文サービス要求受信ユニットを更に含んでもよい。暗号文サービス要求メッセージは、セッション鍵の識別子、及びセッション鍵を用いることによって暗号化された第2のサービス要求データを含む。機器はまた、セッション鍵の識別子に従って、対応するセッション鍵を調べるように構成されたセッション鍵ルックアップユニットを含んでもよい。機器は、第2のサービス要求データを取得するために、対応するセッション鍵を用いることによって、暗号文サービス要求メッセージを復号するように構成されたサービス要求復号ユニットを更に含んでもよい。加えて、機器は、第2のサービス要求データに従って、第2のサービス応答データを生成するように構成された第2のサービス応答生成ユニットを含んでもよい。更に、機器は、暗号文サービス応答メッセージをクライアントに送信するように構成された暗号文サービス応答送信ユニットを含んでもよい。暗号文サービス応答メッセージは、対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含む。
幾つかの実施形態において、機器は、クライアントによって送信された平文サービス要求メッセージを受信するように構成された平文サービス要求受信ユニットを更に含んでもよい。平文サービス要求メッセージは、平文用の第3のサービス要求データを含む。機器はまた、平文サービス要求メッセージから平文用の第3のサービス要求データを取得するように構成されたサービス要求データ取得ユニットを含んでもよい。機器は、平文用の第3のサービス要求データに従って、平文の第3のサービス応答データを生成するように構成された第3のサービス応答生成ユニットを更に含んでもよい。加えて、機器は、平文サービス応答メッセージをクライアントに送信するように構成された平文サービス応答送信ユニットを含んでもよい。平文サービス応答メッセージは、平文の第3のサービス応答データを含む。
本開示の実施形態において提供される上記の技術的解決法から、サービス要求データは、セッション鍵を交渉するプロセスにおいて同時に送信される。サービス応答データは、セッション鍵交渉のプロセスにおいて、ハンドシェイク応答メッセージを通して取得することができる。それは、サービス要求データのこの部分のためにサービス要求メッセージを送信する追加の後続ステップを省略することが可能であり、且つまた対応するサービス応答データのためにサービス応答メッセージを受信する別の追加ステップを省略し得る。従って、サーバとのメッセージ対話の数は、先行技術と比較して低減される。
図面の簡単な説明
本開示の実施形態において技術的解決法を説明するために、下記において例示的な図面が、簡潔に導入される。これらの図面は、本開示の幾つかの実施形態を含む。当業者は、発明的な労力なしに、これらの図面に従って更に他の図面を取得し得る。
本出願の実施形態による、安全なネットワーク通信用の例示的な方法の流れ図である。 本出願の実施形態による、安全なネットワーク通信用の例示的な方法の流れ図である。 本出願の実施形態による、安全なネットワーク通信用の例示的な方法の例示的なプロセスの概略図である。 本出願の実施形態による、ハンドシェイク要求メッセージの例示的な実装形態の概略図である。 本出願の実施形態による、ハンドシェイク応答メッセージの例示的な実装形態の概略図である。 本出願の実施形態による、暗号文サービス要求メッセージの例示的な実装形態の概略図である。 本出願の実施形態による、サービス応答メッセージの例示的な実装形態の概略図である。 本出願の実施形態による、安全なネットワーク通信用の例示的な機器の概略図である。 本出願の実施形態による、安全なネットワーク通信用の別の例示的な機器の概略図である。
詳細な説明
当業者がより優れた理解を得るように本出願の技術的解決法を説明するために、本出願の幾つかの実施形態が、以下で図面を用いて説明される。これらの実施形態は、実施形態の全てではなく、本出願の実施形態の単に一部である。これらの実施形態に基づいて、発明的な労力なしに当業者によって導き出される全ての他の実施形態は、本出願の範囲内に入るものとする。
現在の通信技術において、クライアントとサーバとの間のサービス要求及び応答は、セキュリティキー用の交渉後に進められなければならない。それは、多くのメッセージ対話を必要とし、従って、それは、時間がかかる。
これらの問題を解決するために、本出願は、図1Aに示されているように、安全なネットワーク通信用の方法を提案する。方法は、以下のステップを含んでもよい。
ステップS101A:ハンドシェイク要求メッセージをサーバに送信する。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。サーバは、第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵に従って、ハンドシェイク要求メッセージを復号し、且つ第1のサービス要求データに従って、第1のサービス応答データを生成する。
ステップS102A:サーバによって返信されたハンドシェイク応答メッセージを受信する。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。
ステップS103A:第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによって、ハンドシェイク応答メッセージを復号する。
ステップS104A:第1の乱数及び第2の乱数に従って、サーバとのセッションにおいて用いられるセッション鍵を計算する。
クライアントは、上記のステップS101A〜S104Aを実行するエンティティであってもよい。
図1Aに示されているような実施形態において、方法は、セッション鍵を交渉するプロセスにおいて、サービス要求データを同時に送信することを含んでもよい。サービス応答データは、セッション鍵交渉のプロセスにおいて、ハンドシェイク応答メッセージを通して取得されてもよい。それは、サービス要求データ用に追加のサービス要求メッセージを送信するステップを省き得る。それはまた、対応するサービス応答データ用に追加のサービス応答メッセージを受信するステップを省き得る。従って、それは、先行技術と比較して、サーバとのメッセージ対話の数を低減し得る。
図1Bに示されているように、本出願は、安全なネットワーク通信用の別の方法を提案する。方法は、以下のステップを含んでもよい。
ステップS101B:クライアントから送信されたハンドシェイク要求メッセージを受信する。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。
ステップS102B:第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵を用いることによって、ハンドシェイク要求メッセージを復号する。
ステップS103B:第1のサービス要求データに従って、第1のサービス応答データを生成する。
ステップS104B:ハンドシェイク応答メッセージをクライアントに送信する。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。クライアントは、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによって、ハンドシェイク応答メッセージを復号し、且つ第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算する。
ステップS105B:第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算する。
サーバは、上記のステップS101B〜S105Bを実行するエンティティであってもよい。
図1Bに示されているような実施形態において、方法は、クライアントとセッション鍵を交渉するプロセスにおいて、サービス要求データを同時に受信すること含んでもよい。サービス応答データは、セッション鍵交渉のプロセスにおいて、ハンドシェイク応答メッセージを通して送信されてもよい。それは、サービス要求データ用に追加のサービス要求メッセージを受信するステップを省き得る。それはまた、対応するサービス応答データ用に追加のサービス応答メッセージを送信する別のステップを省き得る。従って、それは、先行技術と比較して、クライアントとのメッセージ対話の数を低減し得る。
本出願の実施形態の例示的なプロセスが、以下で詳細に示される。
図2は、安全なネットワーク通信用の例示的な方法の例示的なプロセスの概略図である。図2に示されているように、方法は、以下のステップを含んでもよい。
ステップS201:クライアント201は、ハンドシェイク要求メッセージをサーバ202に送信する。ハンドシェイク要求メッセージは、非対称暗号化アルゴリズムの公開鍵を用いることによって暗号化された第1の乱数(nonce1とマークされてもよい)及び公開鍵を用いることによって暗号化されたサービス要求データを含む。
非対称暗号化アルゴリズムの公開鍵は、サーバ202によって広く分配された公開鍵である。データをサーバ202に送信する装置は、公開鍵を用いることによってデータを暗号化してもよい。サーバ202は、サーバにおいて秘密鍵を用いることによってデータを復号してもよい。
クライアント201によってサーバ202に送信されるハンドシェイク要求メッセージは、図3に示されているようなメッセージフォーマットを採用してもよい。図3において、バージョンフィールドは、バージョン及びプロトコルに関する情報を示してもよい。例えば、クライアント201とサーバ202との間の安全な通信用の安全なチャネルが、ハイパーテキスト転送プロトコル(HTTP)に基づく場合に、バージョンフィールドは、11001B(ここでBは、前の数が2進数であることを表す)であるように設定されてもよい。安全なチャネルが、SPDYプロトコルに基づく場合に、バージョンフィールドは、11101Bであるように設定されてもよい。
図3において、タイプフィールドは、メッセージタイプに関する情報を示してもよい。クライアント201によって送信されたハンドシェイク要求メッセージのタイプフィールドは、0x01であるように設定されてもよい。値は、メッセージタイプがハンドシェイク要求であることを示す。このように、サーバ202は、メッセージを受信すると、メッセージが、ハンドシェイク要求メッセージであることを知り得る。
図3において、長さフィールドは、バージョン、タイプ及び長さフィールド用の最初の4バイトを除いて、メッセージの長さをバイトで示してもよい。
図3において、RSA公開鍵(32ビット)フィールドは、32ビットのリベスト−シャミア−エーデルマン(RSA)公開鍵を示してもよい。RSA公開鍵は、ステップS201における非対称暗号化アルゴリズムの公開鍵である。
第1の乱数は、クライアント201における計算から取得された乱数であってもよい。
ステップS202:サーバ202は、第1の乱数及びサービス要求データを取得するために、非対称アルゴリズムの秘密鍵に従って、受信されたハンドシェイク要求メッセージを復号し、且つサービス要求データに従ってサービス応答データを生成する。
幾つかの実施形態において、クライアント201とサーバ202との間の通信のセキュリティを保証するために、サーバ202は、クライアント201からのハンドシェイク要求メッセージを更に検証してもよい。検証が失敗である場合に、サーバ202は、クライアント201との接続を終了させ、且つ後続の手順の実行を停止してもよい。検証が成功である場合に、サーバ202は、サービス要求データに従って、引き続きサービス応答データを生成してもよい。
2つの方法が、ハンドシェイク要求メッセージの上記の検証用に用いられてもよい。
方法1:クライアント201によってサーバ202に送信されたハンドシェイク要求メッセージに含まれる第1の乱数の第1のフィールドは、マジックコードである。第三者が、クライアント201からサーバ202への送信プロセスにおいてメッセージを改竄した場合に、第1の乱数の第1のフィールドは、変更される。従って、ハンドシェイク要求メッセージに対するサーバ202による検証は、復号された第1の乱数の第1のフィールドがマジックコードであるかどうかをチェックすることによって行われてもよい。Yesの場合に、検証は、成功である。Noの場合に、検証は、失敗である。マジックコードはまた、マジックナンバーと呼ばれてもよい。マジックナンバーの技術は、定数を示す一定数のバイトをデータのヘッダ又は末尾に挿入することによって、メッセージの正当性を迅速に判定し得る。
方法2:サーバ202は、クライアント201によって送信されたハンドシェイク要求メッセージの長さに要件を課してもよい。ハンドシェイク要求メッセージが、クライアント201からサーバ202に送信されるときに、攻撃のために悪意のあるユーザによって拡大された場合に、ハンドシェイク要求メッセージの長さは、異常である可能性がある。従って、ハンドシェイク要求メッセージに対するサーバ202による検証はまた、ハンドシェイク要求メッセージの長さが異常か否かをチェックすることによって行われてもよい。長さが異常である場合に、検証は、失敗である。長さが正常である場合に、検証は、成功である。
ステップS203:クライアント202は、ハンドシェイク応答メッセージをサーバ201に送信する。ハンドシェイク応答メッセージは、セキュリティキーとして第1の乱数を用いることによって暗号化された第2の乱数(nonce2とマークされてもよい)及びセキュリティキー第1の乱数を用いることによって暗号化されたサービス応答データを含む。
第2の乱数は、サーバ202における計算から取得された乱数であってもよい。
サーバ202によってクライアント201に送信されたハンドシェイク応答メッセージは、図4に示されているようなメッセージフォーマットを採用してもよい。
図4において、バージョンフィールドは、バージョン及びプロトコルに関する情報を示してもよい。例えば、クライアント201とサーバ202との間の安全な通信用の安全なチャネルが、HTTPに基づく場合に、バージョンフィールドは、11001Bであるように設定されてもよい。安全なチャネルが、SPDYプロトコルに基づく場合に、バージョンフィールドは、11101Bに設定されてもよい。
タイプフィールドは、メッセージタイプに関する情報を示してもよい。サーバ202によって送信されるハンドシェイク応答メッセージのタイプフィールドは、0x03であるように設定されてもよい。値は、メッセージタイプが、ハンドシェイク応答であることを示す。このように、クライアント201は、メッセージを受信すると、メッセージが、ハンドシェイク応答メッセージであることを知り得る。
図4において、長さフィールドは、バージョン、タイプ及び長さフィールド用の最初の4バイトを除いて、メッセージの長さをバイトで示してもよい。
図4において、暗号文フィールドは、セキュリティキーとして第1の乱数を用いることによって暗号化された第2の乱数及びセキュリティキーとして第1の乱数を用いることによって暗号化されたサービス応答データを含んでもよい。
ステップS204:クライアント201は、第2の乱数及びサービス応答データを取得するために、第1の乱数を用いることによって、受信されたハンドシェイク応答メッセージを復号してもよく、且つ対称暗号化アルゴリズムに基づき、第1の乱数及び第2の乱数に従ってセッション鍵を計算する。
セッション鍵は、次の計算によって取得されてもよい。
セッション鍵=sha256(nonce1、nonce2)
この式で、nonce1は、第1の乱数であり、nonce2は、第2の乱数である。
幾つかの実施形態において、クライアント201とサーバ202との間の通信のセキュリティを保証するために、クライアント201は、サーバ202からのハンドシェイク応答メッセージを更に検証してもよい。サーバ202によってクライアント201に送信されたハンドシェイク応答メッセージに含まれる第2の乱数の第1のフィールドは、マジックコードである。第三者が、サーバ202からクライアント201への送信プロセスにおいて、メッセージを改竄した場合に、第2の乱数の第1のフィールドは、変更される。従って、サーバ202のハンドシェイク応答メッセージに対する検証は、復号された第2の乱数の第1のフィールドが、マジックコードかどうかをチェックすることによって行われてもよい。Noの場合に、検証は、失敗である。Yesの場合に、検証は、成功である。クライアント201は、セッション鍵を引き続き計算してもよい。
ステップS205:サーバ202は、第1の乱数及び第2の乱数に従って、ステップS204におけるアルゴリズムと同じアルゴリズムを介してセッション鍵を計算してもよい。
ステップS204及びステップS205においてセッション鍵を計算するためのアルゴリズムが同じである限り、ステップS204又はステップS205のどちらかは、もう一方の前に又は同時に実行されてもよい。このようにして、サーバ202及びクライアント201は、同じセッション鍵を取得してもよい。セッション鍵は、クライアント201及びサーバ202が、サービス要求メッセージ及びサービス応答メッセージを互いに送信する場合に、データを暗号化するために用いられてもよい。
上記のステップS201〜S205は、ハンドシェイク段階及びセッション鍵の交渉のプロセスを含んでもよい。
クライアント201及びサーバ202は、上記のハンドシェイク段階を通してセッションを生成してもよい。このセッションに基づく後続のサービス要求メッセージ及びサービス応答メッセージの送信は、ハンドシェイク段階における交渉中に取得された共通のセッション鍵を用いることによって暗号化されてもよい。サーバ202は、セッションIDとして示される、生成されたセッション用の識別子(ID)を割り当ててもよい。図4に示されているように、セッションIDは、サーバ202からクライアント201に送信されるハンドシェイク応答メッセージに含まれてもよい。
更に、図4におけるハンドシェイク応答メッセージは、セッション鍵の有効期間を更に含んでもよい。接続が、有効期間内において切断後に回復された場合に、セッション鍵は、再交渉なしに再利用されてもよい。有効期間がゼロである場合に、鍵は、一度だけ用いられてもよい。即ち、セッション鍵は、この接続においてのみ有効であってもよい。ひとたび接続が切断されると、別のセッション鍵を再交渉するために、再びステップS201〜S205を実行することが必要である。セッション鍵の有効期間は、相対的な期間であってもよい。例えば、セッション鍵は、サーバ202が、ハンドシェイク応答メッセージをクライアント201に送信した時刻に対する、且つその時刻後の第1の時間長さ内で有効であってもよい。第1の時間長さの値は、相対時間として、図4におけるセッション鍵フィールドの有効期間に含まれてもよい。
図4に示されている解決法において、サーバ202が、ハンドシェイク応答メッセージを通して、セッション鍵の有効期間及びセッションIDを一緒に送ることに留意されたい。幾つかの実施形態において、セッション鍵の有効期間及びセッションIDは、別のメッセージを通してクライアント201に送られてもよい。
ハンドシェイク段階後、クライアント201及びサーバ202は、サービスデータの対話を開始してもよい。サービスデータの対話プロセスは、以下において詳細に説明される。
ステップS206:クライアント201は、サービス要求メッセージをサーバ202に送信する。サービス要求メッセージは、セッションID、及びセッション鍵を用いることによって暗号化されたサービス要求データを含む。
クライアント201によって送信された暗号文サービス要求データを含むメッセージは、図5に示されているようなフォーマットを採用してもよい。
バージョンフィールドは、バージョン及びプロトコルに関する情報を示してもよい。クライアント201とサーバ202との間の安全な通信用の安全なチャネルが、HTTPに基づく場合に、バージョンフィールドは、11001Bであるように設定されてもよい。安全なチャネルが、SPDYプロトコルに基づく場合に、バージョンフィールドは、11101Bに設定されてもよい。
タイプフィールドは、メッセージタイプに関する情報を示してもよい。クライアントによって送信された暗号文サービス要求メッセージのタイプフィールドは、0x02であるように設定され、メッセージタイプが、暗号文サービス要求であることを示してもよい。このように、サーバ202は、メッセージを受信すると、メッセージがサービス要求メッセージであること、及びサービス要求メッセージにおけるサービス要求データが暗号化されたことを知り得る。幾つかの実施形態において、同じセッションにおける、クライアント201とサーバ202との間のサービス要求メッセージ及びサービス応答メッセージの送信は、平文データ又は暗号文データを含んでもよい。セキュリティの懸念なしにそれらのサービスデータ取得するために、クライアント201によってサーバ202に送信されたサービス要求メッセージに含まれるサービス要求データは、平文形式であってもよい。このように、サーバ202は、サービス要求メッセージのメッセージタイプに関する情報を通して、サービス要求メッセージに含まれるサービス要求データが平文であることを通知され得る。サービス要求データを復号する必要はない。従って、クライアント201によってサーバ202に送信されたサービス要求メッセージは、セッションIDを含む必要はない。
ステップS207:サーバ202は、サービス要求メッセージにおけるセッションIDに従って、対応するセッション鍵及びセッション鍵の有効期間を調べ、且つ現在時刻がセッション鍵の有効期間を超過したかどうかを判定する。
セッション鍵の交渉中に、サーバ202は、セッションIDとセッション鍵との間の対応関係を確立しておいてもよい。従って、サーバ202が、サービス要求メッセージにおけるセッションIDを取得した後で、正確なセッション鍵が、上記の対応関係を通して見つけられてもよい。
幾つかの実施形態において、セッション鍵用に有効期間が割り当てられる。従って、セッション鍵が見つけられた後で、現在時刻が、セッション鍵の有効期間を超過したかどうかを判定することが必要である。幾つかの実施形態において、セッション鍵用に有効時間を割り当てるステップは、省略されてもよい。この場合に、現在時刻が、セッション鍵の有効期間を超過したかどうかを判定する必要はない。
現在時刻がセッション鍵の有効期間を超過したとサーバ202が判定した場合に、サーバ202は、セッション鍵の無効を通知するメッセージをクライアント201に返信してもよい。それは、サーバ202との別のセッション鍵の交渉プロセスを再開するようにクライアント201に促し得る。
ステップS208:現在時刻がセッション鍵の有効期間を超過していないとサーバ202が判定した後で、サーバ202は、復号されたサービス要求データを取得するために、セッション鍵を用いることによって、受信されたサービス要求メッセージにおけるサービス要求データを復号し、且つ復号されたサービス要求データに従ってサービス応答データを生成する。
ステップS209:サーバ202は、サービス応答メッセージをクライアント201に送信する。サービス応答メッセージは、ステップS207において見つけられたセッション鍵を用いることによって暗号化されたサービス応答データを含む。
サーバ202は、図6に示されているようなメッセージフォーマットを用いることによってカプセル化されたサービス応答メッセージを作成してもよい。
図6において、バージョンフィールドは、バージョン及びプロトコルに関する情報を示してもよい。クライアント201とサーバ202との間の安全な通信用の安全なチャネルが、HTTPに基づく場合に、バージョンフィールドは、11001Bであるように設定されてもよい。安全なチャネルが、SPDYプロトコルに基づく場合に、バージョンフィールドは、11101Bであるように設定されてもよい。
タイプフィールドは、メッセージタイプに関する情報を示してもよい。サーバ202によってクライアント201に送信されるサービス応答メッセージに含まれるサービス応答データが、暗号化される場合に、メッセージのタイプフィールドは、0x05であるように設定されてもよい。
長さフィールドは、バージョン、タイプ及び長さフィールド用の最初の4バイトを除いて、メッセージの長さをバイトで示してもよい。
幾つかの実施形態において、サーバ202は、クライアント201からのサービス応答メッセージを同期した態様で処理してもよい。サービス応答メッセージに関して、サービス応答メッセージにおけるサービス応答データが暗号化されるかどうかは、受信されたサービス要求メッセージにおけるサービス要求データが暗号化されているかどうかに依存してもよい。即ち、サーバ202によって受信されたサービス要求メッセージにおけるサービス要求データが、セッション鍵を通して暗号化されている場合に、サーバ202によってクライアント201に返信されるサービス応答メッセージにおけるサービス応答データもまた、セッション鍵を通して暗号化される。サーバ202によって受信されたサービス要求メッセージにおけるサービス要求データが、暗号化されていない場合に、サーバ202によってクライアント201に返信されるサービス応答メッセージにおけるサービス応答データは、暗号化されない。幾つかの実施形態において、サーバ202は、サービス要求メッセージにおけるメッセージタイプ情報を読むことによって、サービス要求メッセージにおけるサービス応答データが暗号化されているかどうかを学習してもよい。例えば、メッセージのタイプ情報が、0x05であるように設定されていることをサーバ202が発見した場合に、サーバ202は、サービス要求メッセージにおけるサービス要求データが暗号化されていると判定してもよい。
幾つかの実施形態において、サーバ202は、クライアント201からのサービス要求メッセージを非同期の態様で処理してもよい。サーバ202が、サービス応答メッセージをクライアント201に返信する場合に、オリジナルのサービス要求メッセージにおけるサービス要求データが、暗号化されているかどうかを直接知ることは難しい。従って、サーバ202は、クライアント201によってサーバ202に送信された各サービス要求メッセージの識別子を記録し、且つ各サービス要求メッセージにおけるサービス要求データが暗号化されているかどうかに関する情報(情報は、以下において暗号化識別子と呼ばれる)を記録し、それによって、各サービス要求メッセージの識別子とサービス要求メッセージの暗号化識別子との間の関連性を維持してもよい。サーバ202が、クライアント201によって送信されたサービス要求メッセージ用のサービス応答メッセージを返信する必要がある場合に、サーバ202は、サービス要求メッセージの識別子に従い、上記の関連性を通してサービス要求メッセージの対応する暗号化識別子を最初に見つけてもよい。サービス要求データが暗号化されたことを暗号化識別子が示す場合に、サーバ202は、サービス応答メッセージにおけるサービス応答データを暗号化してもよい。サービス要求データが暗号化されていないことを暗号化識別子が示す場合に、サーバ202は、サービス応答メッセージにおけるサービス応答データを暗号化しなくてもよい。
幾つかの実施形態において、各サービス要求メッセージの識別子と、要求メッセージのサービス要求データが暗号化されているかどうかを示す情報との間の、サーバ202によって維持された関連性は、マッピング関係を用いることによって実現されてもよい。マッピング関係は、少なくとも1つのエントリを含んでもよい。各エントリは、サービス要求メッセージの識別子、及びサービス要求メッセージの暗号化識別子を格納してもよい。例えば、サービス要求メッセージのサービス要求データが、暗号化されている場合に、サービス要求メッセージの暗号化識別子は、「1」であるように設定されてもよい。サービス要求メッセージのサービス要求データが、暗号化されていない場合に、サービス要求メッセージの暗号化識別子は、「0」であるように設定されてもよい。
図7は、本出願の実施形態による、安全なネットワーク通信用の例示的な機器の概略図である。図7に示されているように、機器は、ハンドシェイク要求送信ユニット701、ハンドシェイク応答受信ユニット702、ハンドシェイク応答復号ユニット703、及びセッション鍵計算ユニット704を含んでもよい。
機器は、ハンドシェイク要求メッセージをサーバに送信するように構成されたハンドシェイク要求送信ユニット701を含んでもよい。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。サーバは、第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵に従ってハンドシェイク要求メッセージを復号し、且つ第1のサービス要求データに従って第1のサービス応答データを生成する。
機器はまた、サーバから返信されたハンドシェイク応答メッセージを受信するように構成されたハンドシェイク応答受信ユニット702を含んでもよい。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。
機器はまた、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによってハンドシェイク応答メッセージを復号するように構成されたハンドシェイク応答復号ユニット703を更に含む。
加えて、機器は、第1の乱数及び第2の乱数に従って、サーバとのセッションにおいて用いられるセッション鍵を計算するように構成されたセッション鍵計算ユニット704を含んでもよい。
幾つかの実施形態において、安全なネットワーク通信用の機器はまた、暗号文サービス要求送信ユニット及び暗号文サービス応答受信ユニットを含んでもよい。
機器は、暗号文サービス要求メッセージをサーバに送信するように構成された暗号文サービス要求送信ユニットを含んでもよい。暗号文サービス要求メッセージは、セッション鍵の識別子、及びセッション鍵を用いることによって暗号化された第2のサービス要求データを含む。サーバは、セッション鍵の識別子に従って、対応するセッション鍵を調べ、且つ第2のサービス要求データを取得するために、対応するセッション鍵を用いることによって暗号文サービス要求メッセージを復号する。
機器はまた、サーバから返信された暗号文サービス応答メッセージを受信するように構成された暗号文サービス応答受信ユニットを含んでもよい。暗号文サービス応答メッセージは、対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含む。第2のサービス応答データは、第2のサービス要求データに従って、サーバによって生成される。
幾つかの実施形態において、安全なネットワーク通信用の機器は、平文サービス要求送信ユニット及び平文サービス応答受信ユニットを更に含んでもよい。
機器は、平文サービス要求メッセージをサーバに送信するように構成された平文サービス要求送信ユニットを含んでもよい。平文サービス要求メッセージは、平文用の第3のサービス要求データを含む。サーバは、平文サービス要求メッセージから平文用の第3のサービス要求データを取得する。
機器はまた、サーバから返信された平文サービス応答メッセージを受信するように構成された平文サービス応答受信ユニットを含んでもよい。平文サービス応答メッセージは、平文の第3のサービス応答データを含む。第3のサービス応答データは、第3のサービス要求データに従って、サーバによって生成される。
幾つかの実施形態において、クライアントは、図7に示されている安全なネットワーク通信用の機器を含んでもよい。
別の態様において、本開示はまた、サーバ側の安全なネットワーク通信用の機器に関する。図8に示されているように、安全なネットワーク通信用の機器は、ハンドシェイク要求受信ユニット801、ハンドシェイク要求復号ユニット802、第1のサービス応答生成ユニット803、ハンドシェイク応答送信ユニット804、及びセッション鍵計算ユニット805を含んでもよい。
機器は、クライアントによって送信されたハンドシェイク要求メッセージを受信するように構成されたハンドシェイク要求受信ユニット801を含んでもよい。ハンドシェイク要求メッセージは、第1の公開鍵を用いることによって暗号化された第1の乱数、及び第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む。
機器はまた、第1の乱数及び第1のサービス要求データを取得するために、第1の公開鍵に対応する第1の秘密鍵を用いることによって、ハンドシェイク要求メッセージを復号するように構成されたハンドシェイク要求復号ユニット803を含んでもよい。
機器はまた、第1のサービス要求データに従って、第1のサービス応答データを生成するように構成された第1のサービス応答生成ユニット803を更に含んでもよい。
加えて、機器は、ハンドシェイク応答メッセージをクライアントに送信するように構成されたハンドシェイク応答送信ユニット804を含んでもよい。ハンドシェイク応答メッセージは、第1の乱数を用いることによって暗号化された第1のサービス応答データ、及び第1の乱数を用いることによって暗号化された第2の乱数を含む。クライアントは、第1のサービス応答データ及び第2の乱数を取得するために、第1の乱数を用いることによって、ハンドシェイク応答メッセージを復号し、且つ第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算する。
更に、機器は、第1の鍵アルゴリズムに基づき、第1の乱数及び第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算するように構成されたセッション鍵計算ユニット805を含んでもよい。
幾つかの実施形態において、サーバ側における安全なネットワーク通信用の機器はまた、暗号文サービス要求受信ユニット、セッション鍵検索ユニット、サービス要求復号ユニット、第2のサービス応答生成ユニット、及び暗号文サービス応答送信ユニットを含んでもよい。
機器は、クライアントによって送信された暗号文サービス要求メッセージを受信するように構成された暗号文サービス要求受信ユニットを含んでもよい。暗号文サービス要求メッセージは、セッション鍵の識別子、及びセッション鍵を用いることによって暗号化された第2のサービス要求データを含む。
機器はまた、セッション鍵の識別子に従って、対応するセッション鍵を調べるように構成されたセッション鍵ルックアップユニットを含んでもよい。
機器は、第2のサービス要求データを取得するために、対応するセッション鍵を用いることによって、暗号文サービス要求メッセージを復号するように構成されたサービス要求復号ユニットを更に含んでもよい。
加えて、機器は、第2のサービス要求データに従って、第2のサービス応答データを生成するように構成された第2のサービス応答生成ユニットを含んでもよい。
更に、機器は、暗号文サービス応答メッセージをクライアントに送信するように構成された暗号文サービス応答送信ユニットを含んでもよい。暗号文サービス応答メッセージは、対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含む。
幾つかの実施形態において、サーバ側における安全なネットワーク通信用の機器は、平文サービス要求受信ユニット、サービス要求データ取得ユニット、第3のサービス応答生成ユニット、及び平文サービス応答送信ユニットを更に含んでもよい。
機器は、クライアントによって送信された平文サービス要求メッセージを受信するように構成された平文サービス要求受信ユニットを含んでもよい。平文サービス要求メッセージは、平文用の第3のサービス要求データを含む。
機器はまた、平文サービス要求メッセージから平文用の第3のサービス要求データを取得するように構成されたサービス要求データ取得ユニットを含んでもよい。
機器は、平文用の第3のサービス要求データに従って、平文の第3のサービス応答データを生成するように構成された第3のサービス応答生成ユニットを更に含んでもよい。
加えて、機器は、平文サービス応答メッセージをクライアントに送信するように構成された平文サービス応答送信ユニットを含んでもよい。平文サービス応答メッセージは、平文の第3のサービス応答データを含む。
1990年代に、技術の改善は、ハードウェアの改善(例えば、ダイオード、トランジスタ及びスイッチなどの回路構造の改善)又はソフトウェアの改善(方法手順の改善)として明らかに区別され得る。しかしながら、技術の発展と共に、現在、多くの方法手順における改善は、ハードウェア回路構造に対する直接の改善と見なされ得る。ほとんど全ての設計者は、改善された方法手順をハードウェア回路にプログラムして、対応するハードウェア回路構造を取得する。従って、方法手順に対する改善が、ハードウェアエンティティモジュールを用いることによっては実行され得ないと仮定することはできない。例えば、プログラマブル論理装置(PLD)(例えばフィールドプログラマブルゲートアレイ(FPGA))は、かかる集積回路であり、その論理機能は、ユーザプログラミング装置によって決定される。設計者は、専用集積回路チップを設計し製造するようにチップメーカに要求するのではなく、デジタルシステムをPLDのピースに集積するように独力でプログラムする。更に、現在、プログラミングは、手動で集積回路チップを製造する代わりに、論理コンパイラソフトウェアを用いることによってほとんど実行される。ソフトウェアは、プログラムを開発し書くために使用されるソフトウェアコンパイラに似ている。コンパイリング前のそのオリジナルコードはまた、特定のプログラミング言語で書かれる必要があり、その言語は、ハードウェア記述言語(HDL)と呼ばれる。単に1つのタイプではなく、高度ブール表現言語(Advanced Boolean Expression Language)(ABEL)、アルテラハードウェア記述言語(Altera Hardware Description Language)(AHDL)、Confluence、コーネル大学プログラミング言語(Cornell University programming Language)(CUPL)、HDCal、ジャバハードウェア記述言語(Java(登録商標) Hardware Description Language)(JHDL)、Lava、Lola、MyHDL、PALASM、及びルビーハードウェア記述言語(Ruby Hardware Description Language)(RHDL)などの多くのタイプのHDLが存在する。超高速集積回路ハードウェア記述言語(Very-High-Speed Integrated Circuit Hardware Description Language)(VHDL)及びVerilogは、現在、最も一般的に用いられている。当業者は、論理方法手順を実行するためのハードウェア回路が、上記の幾つかのハードウェア記述言語を用いて方法手順を論理的にプログラムし、且つそれを集積回路にコンパイルすることによってのみ容易に取得され得ることを知っているに違いない。
コントローラが、任意の適切な方法で実現されてもよい。例えば、コントローラは、例えばマイクロプロセッサ又はプロセッサと、(マイクロ)プロセッサ、論理ゲート、スイッチ、特定用途向け集積回路(ASIC)、プログラマブル論理コントローラ及び埋め込み型マイクロコントローラによって実行可能なコンピュータ可読プログラムコード(例えばソフトウェア又はファームウェア)を格納するコンピュータ可読媒体と、の形態であってもよい。コントローラの例は、限定するわけではないが、次のマイクロコントローラを含む。即ち、ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20、及びSilicone Labs C8051F320を含む。メモリコントローラもまた、メモリの制御論理の一部として実現されてもよい。
純粋なコンピュータ可読プログラムを用いることによるコントローラの実現に加えて、当業者はまた、方法ステップが、論理ゲート、スイッチ、特定用途向け集積回路、プログラマブル論理コントローラ、及び埋め込み型マイクロコントローラの形態で同じ機能を実行するコントローラによって、論理プログラミングを通して実行され得ることを知っている。従って、この種のコントローラは、ハードウェアコンポーネントとして見なされてもよい。そこに含まれ、且つ様々な機能を実行するように構成された機器はまた、ハードウェアコンポーネント内の構造として見なされてもよい。代替として、様々な機能を実行するように構成された機器は、方法を実行するためのソフトウェアモジュール及びハードウェアコンポーネント内の構造の両方として見なされてもよい。
上記の実施形態に示されているシステム、機器、モジュール又はユニットは、要求される機能を有するコンピュータ、コンピューティングチップ又は機器ユニットを用いることによって実現されてもよい。
上記の機器は、それらのそれぞれの機能に従って、様々なユニットとして説明されている。幾つかの実施形態において、これらのユニットの機能は、同じ1つの又は多数のソフトウェア及び/又はハードウェア方式で実行されてもよい。
実装形態の前述の説明に基づいて、当業者は、本出願が、ソフトウェア+必要な汎用ハードウェアプラットフォームによって実施され得ることを明白に理解されよう。かかる理解に基づいて、本出願自体又は先行技術に寄与する部分の技術的解決法は、ソフトウェアプロダクトの形で実行され得る。典型的な構成において、コンピュータは、1つ又は複数のプロセッサ(CPU)、入力/出力インターフェース、ネットワークインターフェース、及びメモリを含んでもよい。コンピュータソフトウェアプロダクトは、本出願の実施形態又は実施形態の幾つかの部分で説明された方法を実行するようにコンピュータ(パーソナルコンピュータ、サーバ、ネットワーク装置等であってもよい)に命令するための幾つかの命令を含んでもよい。コンピュータソフトウェアプロダクトは、メモリに格納されてもよい。メモリは、揮発性メモリ、ランダムアクセスメモリ(RAM)、及び/又は読み取り専用メモリ(ROM)若しくはフラッシュRAMなど、コンピュータ可読媒体における非一時的なメモリ等を含んでもよい。メモリは、コンピュータ可読媒体の例である。コンピュータ可読媒体は、不揮発性及び揮発性媒体、並びに着脱可能及び着脱不能媒体を含んでもよく、且つ任意の方法又は技術によって情報の格納を実行してもよい。情報は、コンピュータ可読命令、データ構造、及びプログラム又は他のデータのモジュールであってもよい。コンピュータの記憶媒体は、限定するわけではないが、相変化メモリ(PRAM)、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、他のタイプのRAM、読み取り専用メモリ(ROM)、電気的消去可能プログラマブル読み取り専用メモリ(EEPROM)、フラッシュメモリ若しくは他のメモリ技術、コンパクトディスク読み取り専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)若しくは他の光記憶装置、カセットテープ、磁気テープ/磁気ディスク記憶装置若しくは他の磁気記憶装置、又は任意の他の非送信媒体を含んでもよい。コンピュータの記憶媒体は、計算装置によってアクセス可能な情報を記憶するために用いられてもよい。本明細書における定義によれば、コンピュータ可読媒体は、変調されたデータ信号及びキャリアなどの一時的な媒体を含まない。
本出願の上記の実施形態は、増分式で説明されている。実施形態の同一又は類似部分は、互いを参照して取得されてもよい。各実施形態の説明は、他の実施形態とは異なる特徴を強調する。特に、システム実施形態が、方法実施形態にほとんど似ているので、それらは、単に簡潔に説明される。それらの類似部分の説明は、方法実施形態の説明を参照する場合がある。
本出願の実施形態は、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルド装置又は携帯装置、タブレット装置、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブル消費者電子装置、ネットワークパースンコンピュータ、マイクロコンピュータ、メインフレームコンピュータ、及び上記のシステム又は装置のいずれかを含む分散コンピューティング環境など、様々な汎用又は専用コンピュータシステム環境又は構成に適用可能である。
本出願の実施形態は、例えばプログラムモジュールなど、コンピュータによって実行されるコンピュータ実行可能命令の共通の文脈において実行されてもよい。一般に、プログラムモジュールは、特定のタスクを実行するか又は特定の抽象データ型を実行するために用いられるルーチン、プログラム、オブジェクト、アセンブリ、データ構造等を含んでもよい。本出願の実施形態はまた、分散コンピューティング環境において実施されてもよい。分散コンピュータ環境において、タスクは、通信ネットワークを通して接続された遠隔処理装置を用いることによって実行される。分散コンピュータ環境において、プログラムモジュールは、ローカル記憶装置及び/又は遠隔コンピュータ記憶媒体に置かれてもよい。
本出願は、上記の実施形態を通して説明されるが、当業者は、本出願が、本出願の趣旨から逸脱しない多くの変形及び変更を含むことを知っているに違いない。次の特許請求の範囲は、本出願の趣旨から逸脱しないそれらの変形及び変更をカバーする。

Claims (14)

  1. 安全なネットワーク通信用の方法であって、前記方法が、
    ハンドシェイク要求メッセージをサーバに送信することであって、
    前記ハンドシェイク要求メッセージが、第1の公開鍵を用いることによって暗号化された第1の乱数、及び前記第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含み、
    前記サーバが、前記第1の乱数及び前記第1のサービス要求データを取得するために、前記第1の公開鍵に対応する第1の秘密鍵に従って、前記ハンドシェイク要求メッセージを復号し、前記第1のサービス要求データに従って第1のサービス応答データを生成する、
    送信することと、
    前記サーバから返信されたハンドシェイク応答メッセージを受信することであって、前記ハンドシェイク応答メッセージが、前記第1の乱数を用いることによって暗号化された前記第1のサービス応答データ、及び前記第1の乱数を用いることによって暗号化された第2の乱数を含む、受信することと、
    前記第1のサービス応答データ及び前記第2の乱数を取得するために、前記第1の乱数を用いることによって前記ハンドシェイク応答メッセージを復号することと、
    前記第1の乱数及び前記第2の乱数に従って、前記サーバとのセッションにおいて用いられるセッション鍵を計算することと、
    を含む方法。
  2. 暗号文サービス要求メッセージを前記サーバに送信することであって、
    前記暗号文サービス要求メッセージが、前記セッション鍵の識別子、及び前記セッション鍵を用いることによって暗号化された第2のサービス要求データを含み、
    前記サーバが、前記セッション鍵の前記識別子に従って、対応するセッション鍵を調べ、且つ前記第2のサービス要求データを取得するために、前記対応するセッション鍵を用いることによって、前記暗号文サービス要求メッセージを復号する、
    送信することと、
    前記サーバから返信された暗号文サービス応答メッセージを受信することであって、
    前記暗号文サービス応答メッセージが、前記対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含み、
    前記第2のサービス応答データが、前記第2のサービス要求データに従って、前記サーバによって生成される、
    受信することと、
    を更に含む、請求項1に記載の方法。
  3. 平文サービス要求メッセージを前記サーバに送信することであって、
    前記平文サービス要求メッセージが、平文用の第3のサービス要求データを含み、
    前記サーバが、前記平文サービス要求メッセージから前記平文用の前記第3のサービス要求データを取得する、
    送信することと、
    前記サーバから返信された平文サービス応答メッセージを受信することであって、
    前記平文サービス応答メッセージが、前記平文の第3のサービス応答データを含み、
    前記第3のサービス応答データが、前記第3のサービス要求データに従って、前記サーバによって生成される、
    受信することと、
    を更に含む、請求項2に記載の方法。
  4. 前記サーバから返信された前記セッション鍵の満了の通知を受信することと、
    別のハンドシェイク要求メッセージを前記サーバに送信することと、
    を更に含む、請求項2に記載の方法。
  5. 安全なネットワーク通信用の方法であって、前記方法が、
    クライアントから送信されたハンドシェイク要求メッセージを受信することであって、前記ハンドシェイク要求メッセージが、第1の公開鍵を用いることによって暗号化された第1の乱数、及び前記第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む、受信することと、
    前記第1の乱数及び前記第1のサービス要求データを取得するために、前記第1の公開鍵に対応する第1の秘密鍵を用いることによって、前記ハンドシェイク要求メッセージを復号することと、
    前記第1のサービス要求データに従って、第1のサービス応答データを生成することと、
    ハンドシェイク応答メッセージを前記クライアントに送信することであって、
    前記ハンドシェイク応答メッセージが、前記第1の乱数を用いることによって暗号化された前記第1のサービス応答データ、及び前記第1の乱数を用いることによって暗号化された第2の乱数を含み、
    前記クライアントが、前記第1のサービス応答データ及び前記第2の乱数を取得するために、前記第1の乱数を用いることによって、前記ハンドシェイク応答メッセージを復号し、且つ第1の鍵アルゴリズムに基づき、前記第1の乱数及び前記第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算する、
    送信することと、
    前記第1の鍵アルゴリズムに基づき、前記第1の乱数及び前記第2の乱数に従って、前記セッションにおいて用いられる前記セッション鍵を計算することと、
    を含む方法。
  6. 前記クライアントから送信された暗号文サービス要求メッセージを受信することであって、前記暗号文サービス要求メッセージが、前記セッション鍵の識別子、及び前記セッション鍵を用いることによって暗号化された第2のサービス要求データを含む、受信することと、
    前記セッション鍵の前記識別子に従って、対応するセッション鍵を調べることと、
    前記第2のサービス要求データを取得するために、前記対応するセッション鍵を用いることによって、前記暗号文サービス要求メッセージを復号することと、
    前記第2のサービス要求データに従って、第2のサービス応答データを生成することと、
    暗号文サービス応答メッセージを前記クライアントに送信することであって、前記暗号文サービス応答メッセージが、前記対応するセッション鍵を用いることによって暗号化された前記第2のサービス応答データを含む、送信することと、
    を更に含む、請求項5に記載の方法。
  7. 前記クライアントによって送信された平文サービス要求メッセージを受信することであって、前記平文サービス要求メッセージが、平文用の第3のサービス要求データを含む、受信することと、
    前記平文サービス要求メッセージから前記第3のサービス要求データを取得することと、
    前記第3のサービス要求データに従って、前記平文の第3のサービス応答データを生成することと、
    平文サービス応答メッセージを前記クライアントに送信することであって、前記平文サービス応答メッセージが、前記平文の前記第3のサービス応答データを含む、送信することと、
    を更に含む、請求項6に記載の方法。
  8. 前記クライアントから送信された第4のサービス要求メッセージを受信することと、
    前記第4のサービス要求メッセージが、前記暗号文サービス要求メッセージか又は前記平文サービス要求メッセージかどうかを判定することと、
    前記第4のサービス要求メッセージが、前記暗号文サービス要求メッセージか又は前記平文サービス要求メッセージかどうかの判定結果に従って、第1の暗号化識別子を生成することと、
    前記第4のサービス要求メッセージの識別子と前記第4のサービス要求メッセージの前記第1の暗号化識別子との間の第1のマッピング関係を確立することと、
    前記クライアントから送信された第5のサービス要求メッセージを受信すると、前記第5のサービス要求メッセージの識別子及び前記第1のマッピング関係に従って、第2の暗号化識別子を調べることと、
    前記第5のサービス要求メッセージが前記暗号文サービス要求メッセージであることを前記第2の暗号化識別子が示す場合に、前記クライアントへの前記暗号文サービス応答メッセージの送信の実行をトリガすることと、
    前記第5のサービス要求メッセージが前記平文サービス要求メッセージであることを前記第2の暗号化識別子が示す場合に、前記クライアントへの前記平文サービス応答メッセージの送信の実行をトリガすることと、
    を更に含む、請求項7に記載の方法。
  9. 安全なネットワーク通信用の機器であって、前記機器が、
    ハンドシェイク要求メッセージをサーバに送信するように構成されたハンドシェイク要求送信ユニットであって、
    前記ハンドシェイク要求メッセージが、第1の公開鍵を用いることによって暗号化された第1の乱数、及び前記第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含み、
    前記サーバが、前記第1の乱数及び前記第1のサービス要求データを取得するために、前記第1の公開鍵に対応する第1の秘密鍵に従って、前記ハンドシェイク要求メッセージを復号し、且つ前記第1のサービス要求データに従って第1のサービス応答データを生成する、ハンドシェイク要求送信ユニットと、
    前記サーバから返信されたハンドシェイク応答メッセージを受信するように構成されたハンドシェイク応答受信ユニットであって、前記ハンドシェイク応答メッセージが、前記第1の乱数を用いることによって暗号化された前記第1のサービス応答データ、及び前記第1の乱数を用いることによって暗号化された第2の乱数を含む、ハンドシェイク応答受信ユニットと、
    前記第1のサービス応答データ及び前記第2の乱数を取得するために、前記第1の乱数を用いることによって前記ハンドシェイク応答メッセージを復号するように構成されたハンドシェイク応答復号ユニットと、
    前記第1の乱数及び前記第2の乱数に従って、前記サーバとのセッションにおいて用いられるセッション鍵を計算するように構成されたセッション鍵計算ユニットと、
    を含む機器。
  10. 暗号文サービス要求メッセージを前記サーバに送信するように構成された暗号文サービス要求送信ユニットであって、
    前記暗号文サービス要求メッセージが、前記セッション鍵の識別子、及び前記セッション鍵を用いることによって暗号化された第2のサービス要求データを含み、
    前記サーバが、前記セッション鍵の前記識別子に従って、対応するセッション鍵を調べ、且つ前記第2のサービス要求データを取得するために、前記対応するセッション鍵を用いることによって、前記暗号文サービス要求メッセージを復号する、暗号文サービス要求送信ユニットと、
    前記サーバから返信された暗号文サービス応答メッセージを受信するように構成された暗号文サービス応答受信ユニットであって、
    前記暗号文サービス応答メッセージが、前記対応するセッション鍵を用いることによって暗号化された第2のサービス応答データを含み、
    前記第2のサービス応答データが、前記第2のサービス要求データに従って、前記サーバによって生成される、暗号文サービス応答受信ユニットと、
    を更に含む、請求項9に記載の機器。
  11. 平文サービス要求メッセージを前記サーバに送信するように構成された平文サービス要求送信ユニットであって、
    前記平文サービス要求メッセージが、平文用の第3のサービス要求データを含み、
    前記サーバが、前記平文サービス要求メッセージから前記平文用の前記第3のサービス要求データを取得する、平文サービス要求送信ユニットと、
    前記サーバから返信された平文サービス応答メッセージを受信するように構成された平文サービス応答受信ユニットであって、
    前記平文サービス応答メッセージが、前記平文の第3のサービス応答データを含み、
    前記第3のサービス応答データが、前記第3のサービス要求データに従って、前記サーバによって生成される、平文サービス応答受信ユニットと、
    を更に含む、請求項10に記載の機器。
  12. 安全なネットワーク通信用の機器であって、
    クライアントによって送信されたハンドシェイク要求メッセージを受信するように構成されたハンドシェイク要求受信ユニットであって、前記ハンドシェイク要求メッセージが、第1の公開鍵を用いることによって暗号化された第1の乱数、及び前記第1の公開鍵を用いることによって暗号化された第1のサービス要求データを含む、ハンドシェイク要求受信ユニットと、
    前記第1の乱数及び前記第1のサービス要求データを取得するために、前記第1の公開鍵に対応する第1の秘密鍵を用いることによって、前記ハンドシェイク要求メッセージを復号するように構成されたハンドシェイク要求復号ユニットと、
    前記第1のサービス要求データに従って第1のサービス応答データを生成するように構成された第1のサービス応答生成ユニットと、
    ハンドシェイク応答メッセージを前記クライアントに送信するように構成されたハンドシェイク応答送信ユニットであって、
    前記ハンドシェイク応答メッセージが、前記第1の乱数を用いることによって暗号化された前記第1のサービス応答データ、及び前記第1の乱数を用いることによって暗号化された第2の乱数を含み、
    前記クライアントが、前記第1のサービス応答データ及び前記第2の乱数を取得するために、前記第1の乱数を用いることによって、前記ハンドシェイク応答メッセージを復号し、且つ第1の鍵アルゴリズムに基づき、前記第1の乱数及び前記第2の乱数に従って、前記セッションにおいて用いられる前記セッション鍵を計算する、ハンドシェイク応答送信ユニットと、
    第1の鍵アルゴリズムに基づき、前記第1の乱数及び前記第2の乱数に従って、セッションにおいて用いられるセッション鍵を計算するように構成されたセッション鍵計算ユニットと、
    を含む機器。
  13. 前記クライアントによって送信された暗号文サービス要求メッセージを受信するように構成された暗号文サービス要求受信ユニットであって、前記暗号文サービス要求メッセージが、前記セッション鍵の識別子、及び前記セッション鍵を用いることによって暗号化された第2のサービス要求データを含む、暗号文サービス要求受信ユニットと、
    前記セッション鍵の前記識別子に従って、対応するセッション鍵を調べるように構成されたセッション鍵ルックアップユニットと、
    前記第2のサービス要求データを取得するために、前記対応するセッション鍵を用いることによって、前記暗号文サービス要求メッセージを復号するように構成されたサービス要求復号ユニットと、
    前記第2のサービス要求データに従って、前記第2のサービス応答データを生成するように構成された第2のサービス応答生成ユニットと、
    暗号文サービス応答メッセージを前記クライアントに送信するように構成された暗号文サービス応答送信ユニットであって、前記暗号文サービス応答メッセージが、前記対応するセッション鍵を用いることによって暗号化された前記第2のサービス応答データを含む、暗号文サービス応答送信ユニットと、
    を更に含む、請求項12に記載の機器。
  14. 前記クライアントによって送信された平文サービス要求メッセージを受信するように構成された平文サービス要求受信ユニットであって、前記平文サービス要求メッセージが、平文用の第3のサービス要求データを含む、平文サービス要求受信ユニットと、
    前記平文サービス要求メッセージから前記平文用の前記第3のサービス要求データを取得するように構成されたサービス要求データ取得ユニットと、
    前記平文用の前記第3のサービス要求データに従って、前記平文の第3のサービス応答データを生成するように構成された第3のサービス応答生成ユニットと、
    平文サービス応答メッセージを前記クライアントに送信するように構成された平文サービス応答送信ユニットであって、前記平文サービス応答メッセージが、前記平文の前記第3のサービス応答データを含む、平文サービス応答送信ユニットと、
    を更に含む、請求項13に記載の機器。
JP2017521578A 2014-10-27 2015-10-22 安全なネットワーク通信用の方法及び機器 Active JP6641363B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410584748.0A CN105635039B (zh) 2014-10-27 2014-10-27 一种网络安全通信方法及通信装置
CN201410584748.0 2014-10-27
PCT/CN2015/092506 WO2016066039A1 (zh) 2014-10-27 2015-10-22 一种网络安全通信方法及通信装置

Publications (2)

Publication Number Publication Date
JP2017533651A true JP2017533651A (ja) 2017-11-09
JP6641363B2 JP6641363B2 (ja) 2020-02-05

Family

ID=55856592

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017521578A Active JP6641363B2 (ja) 2014-10-27 2015-10-22 安全なネットワーク通信用の方法及び機器

Country Status (5)

Country Link
US (1) US10419409B2 (ja)
EP (1) EP3214796B1 (ja)
JP (1) JP6641363B2 (ja)
CN (1) CN105635039B (ja)
WO (1) WO2016066039A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023503677A (ja) * 2019-11-29 2023-01-31 華為技術有限公司 鍵交渉方法及び電子デバイス

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106210031A (zh) * 2016-07-06 2016-12-07 北京金山安全软件有限公司 业务执行方法、装置、客户端及服务器
US10433174B2 (en) * 2017-03-17 2019-10-01 Qualcomm Incorporated Network access privacy
CN109802834A (zh) * 2017-11-16 2019-05-24 航天信息股份有限公司 一种对业务层数据进行加密、解密的方法及系统
CN109936529B (zh) * 2017-12-15 2021-12-31 华为技术有限公司 一种安全通信的方法、装置和系统
CN108809643B (zh) * 2018-07-11 2021-04-27 飞天诚信科技股份有限公司 一种设备与云端协商密钥的方法、系统及设备
US12125054B2 (en) 2018-09-25 2024-10-22 Valideck International Corporation System, devices, and methods for acquiring and verifying online information
CN111130750B (zh) * 2018-10-30 2023-09-12 长城汽车股份有限公司 车辆can安全通信方法及系统
CN110719265B (zh) * 2019-09-23 2021-08-17 腾讯科技(深圳)有限公司 一种实现网络安全通信的方法、装置及设备
EP3944554A1 (en) * 2020-07-21 2022-01-26 ADVA Optical Networking SE Rollover of encryption keys in a packet-compatible network
CN112182644B (zh) * 2020-09-11 2023-05-12 华控清交信息科技(北京)有限公司 一种数据处理方法、装置和电子设备
CN112333199B (zh) * 2020-11-17 2023-04-21 珠海大横琴科技发展有限公司 一种数据处理的方法和装置
CN112492580B (zh) * 2020-11-25 2023-08-18 北京小米移动软件有限公司 信息处理方法及装置、通信设备及存储介质
CN112653698B (zh) * 2020-12-22 2023-02-28 中国农业银行股份有限公司 一种通信方法及装置
CN112751858B (zh) * 2020-12-30 2023-04-07 恒安嘉新(北京)科技股份公司 数据加密通信终端方法、装置、终端、服务器及存储介质
CN112765638B (zh) * 2021-01-28 2023-02-24 武汉市博畅软件开发有限公司 一种数据加密通信方法及系统
CN112910878A (zh) * 2021-01-28 2021-06-04 武汉市博畅软件开发有限公司 一种基于串口通信的数据传输方法及系统
CN113037720B (zh) * 2021-02-26 2022-07-08 江铃汽车股份有限公司 车辆网络访问方法、装置、可读存储介质及网关
CN115250450B (zh) * 2021-04-28 2024-06-21 大唐移动通信设备有限公司 一种获取组通信密钥的方法及设备
CN113660328B (zh) * 2021-08-13 2024-02-06 京东科技信息技术有限公司 通信连接的建立方法及装置、存储介质及电子设备
CN114553498B (zh) * 2022-01-28 2023-06-23 郑州信大捷安信息技术股份有限公司 一种适用于芯片的线路保护方法和系统
CN114553553A (zh) * 2022-02-24 2022-05-27 蓝想大数据科技(上海)有限公司 一种混合加密通讯方法
CN117119449B (zh) * 2023-10-20 2024-01-19 长江量子(武汉)科技有限公司 车云安全通信方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11331148A (ja) * 1998-05-18 1999-11-30 Nec Eng Ltd 暗号化通信方式
JP2002344438A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
JP2005138418A (ja) * 2003-11-06 2005-06-02 Seiko Epson Corp プリンタ、印刷クライアント及び印刷システム
JP2006276093A (ja) * 2005-03-28 2006-10-12 Hitachi Ltd Sipメッセージの暗号化方法,および暗号化sip通信システム
JP2007124055A (ja) * 2005-10-25 2007-05-17 Nippon Hoso Kyokai <Nhk> コンテンツ配信装置、ライセンス発行装置、課金装置およびコンテンツ視聴端末、ならびに、ライセンス要求生成プログラム、ライセンス生成プログラムおよび課金プログラム
JP2009141588A (ja) * 2007-12-05 2009-06-25 Canon Inc 通信装置、通信装置の制御方法、コンピュータプログラム
JP2012221111A (ja) * 2011-04-06 2012-11-12 Kyocera Document Solutions Inc 情報処理装置及び情報処理方法
JP2012235214A (ja) * 2011-04-28 2012-11-29 Panasonic Corp 暗号通信装置および暗号通信システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
DE10137152A1 (de) * 2001-07-30 2003-02-27 Scm Microsystems Gmbh Verfahren zur Übertragung vertraulicher Daten
US7281128B2 (en) * 2001-10-22 2007-10-09 Extended Systems, Inc. One pass security
CN100358282C (zh) * 2005-03-23 2007-12-26 西安电子科技大学 Wapi认证机制中的密钥协商方法
CN100450305C (zh) * 2006-01-07 2009-01-07 华为技术有限公司 一种基于通用鉴权框架的安全业务通信方法
CN101001144B (zh) * 2006-01-13 2010-05-12 华为技术有限公司 一种实体认证中心实现认证的方法
WO2007106620A2 (en) * 2006-03-10 2007-09-20 Motorola, Inc. Method for authenticating a mobile node in a communication network
CN101052033B (zh) * 2006-04-05 2012-04-04 华为技术有限公司 基于ttp的认证与密钥协商方法及其装置
EP2013758B1 (en) * 2006-04-24 2016-08-03 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US20080292105A1 (en) * 2007-05-22 2008-11-27 Chieh-Yih Wan Lightweight key distribution and management method for sensor networks
EP2211497A1 (fr) * 2009-01-26 2010-07-28 Gemalto SA Procédé d'établissement de communication sécurisée sans partage d'information préalable
US8510558B2 (en) * 2009-02-17 2013-08-13 Alcatel Lucent Identity based authenticated key agreement protocol
CN101754050B (zh) * 2010-02-02 2012-05-23 中国电子科技集团公司第三十研究所 集成化的高时效呼叫连接控制方法
CN102082790B (zh) * 2010-12-27 2014-03-05 北京握奇数据系统有限公司 一种数字签名的加/解密方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11331148A (ja) * 1998-05-18 1999-11-30 Nec Eng Ltd 暗号化通信方式
JP2002344438A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
JP2005138418A (ja) * 2003-11-06 2005-06-02 Seiko Epson Corp プリンタ、印刷クライアント及び印刷システム
JP2006276093A (ja) * 2005-03-28 2006-10-12 Hitachi Ltd Sipメッセージの暗号化方法,および暗号化sip通信システム
JP2007124055A (ja) * 2005-10-25 2007-05-17 Nippon Hoso Kyokai <Nhk> コンテンツ配信装置、ライセンス発行装置、課金装置およびコンテンツ視聴端末、ならびに、ライセンス要求生成プログラム、ライセンス生成プログラムおよび課金プログラム
JP2009141588A (ja) * 2007-12-05 2009-06-25 Canon Inc 通信装置、通信装置の制御方法、コンピュータプログラム
JP2012221111A (ja) * 2011-04-06 2012-11-12 Kyocera Document Solutions Inc 情報処理装置及び情報処理方法
JP2012235214A (ja) * 2011-04-28 2012-11-29 Panasonic Corp 暗号通信装置および暗号通信システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023503677A (ja) * 2019-11-29 2023-01-31 華為技術有限公司 鍵交渉方法及び電子デバイス
JP7393547B2 (ja) 2019-11-29 2023-12-06 華為技術有限公司 鍵交渉方法及び電子デバイス

Also Published As

Publication number Publication date
EP3214796A1 (en) 2017-09-06
JP6641363B2 (ja) 2020-02-05
CN105635039A (zh) 2016-06-01
EP3214796A4 (en) 2017-09-06
EP3214796B1 (en) 2018-11-28
CN105635039B (zh) 2019-01-04
WO2016066039A1 (zh) 2016-05-06
US10419409B2 (en) 2019-09-17
US20170237718A1 (en) 2017-08-17

Similar Documents

Publication Publication Date Title
JP6641363B2 (ja) 安全なネットワーク通信用の方法及び機器
US9509502B2 (en) Symmetric keying and chain of trust
TWI517085B (zh) 用於工業裝置之安全模型
US9722795B2 (en) Digitally signing JSON messages
CN106470104B (zh) 用于生成共享密钥的方法、装置、终端设备及系统
CN110392014B (zh) 物联网设备之间的通信方法及装置
WO2017045552A1 (zh) 一种在ssl或tls通信中加载数字证书的方法和装置
US20190068363A1 (en) Cryptographic key management for imported cryptographic keys
CN107342861B (zh) 一种数据处理方法、装置及系统
US10277406B1 (en) Authentication process for issuing sequence of short-lived digital certificates
JP2019514314A (ja) 暗号化メッセージを送受信するために動的公開鍵インフラストラクチャを用いる方法、システム、及び媒体
WO2020119265A1 (zh) 基于区块链的取证方法及装置
WO2016107458A1 (zh) 恢复会话的方法和服务器、生成会话凭证的方法和装置
CN109040055A (zh) 使用国产密码实现Web安全访问的方法
CN108564363A (zh) 一种交易处理方法、服务器、客户端及系统
TW202130160A (zh) 會話建立方法、跨境支付方法、裝置及系統
JP7229778B2 (ja) 鍵管理システム及び方法
Adnan et al. Timing analysis of the lightweight AAβ encryption scheme on embedded Linux for Internet of Things
CN113259100A (zh) 基于tee的联邦推荐方法、装置、设备及介质
CN106549754A (zh) 管理密钥的方法和装置
CN112968899A (zh) 一种加密通信的方法与设备
KR101339666B1 (ko) Modbus 통신 암호화 방법 및 장치
JP6527576B2 (ja) ローカル情報を取得するための方法、機器、及びシステム
CN112995119A (zh) 一种数据监测方法及装置
CN112995120A (zh) 一种数据监测方法及装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170621

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181019

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190718

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191227

R150 Certificate of patent or registration of utility model

Ref document number: 6641363

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250