專利名稱:在單路數(shù)據(jù)通道上建立安全連接的方法和裝置的制作方法
技術領域:
本發(fā)明涉及無線網(wǎng)絡,特別涉及無線網(wǎng)絡上的安全數(shù)據(jù)傳輸����。
無線網(wǎng)絡常常被用于從網(wǎng)絡中的一個位置傳輸消息到網(wǎng)絡中的目的位置。這些消息包括要提供給目的位置的數(shù)據(jù)�。更具體地,該消息包括首標部分和數(shù)據(jù)部分����。首標部分包括目的位置的地址,數(shù)據(jù)部分包含數(shù)據(jù)���。例如�,目的位置是一個移動設備或一個服務器����。移動設備一般與無線網(wǎng)絡交互,以接收各種類型的通告,或請求和接收來自該無線網(wǎng)絡連接的另一網(wǎng)絡的數(shù)據(jù)��。
圖1是傳統(tǒng)的無線通信網(wǎng)絡100的方框圖���。無線通信網(wǎng)絡100包括服務器102����、無線網(wǎng)絡104和移動設備106����。有n個移動設備106-1至106-n。服務器102一般是一計算機系統(tǒng)��,其作用是將消息送給移動設備106和從移動設備106接收消息��。這些消息是經(jīng)常要傳輸?shù)揭苿釉O備106的數(shù)據(jù)塊��。例如��,數(shù)據(jù)可以屬于各種類型的通告�、電子郵件、新聞數(shù)據(jù)����、配置信息��、數(shù)據(jù)文件���、庫文件、程序文件等�����。該消息也可以是要求從移動設備106到服務器102傳輸?shù)男畔?例如����,某些數(shù)據(jù))的請求���。服務器102也可以連接到其它有線或無線的網(wǎng)絡以便從其它計算機系統(tǒng)接收消息或轉(zhuǎn)送消息到其它計算機系統(tǒng)����。作為一個例子����,服務器102可以連接到互聯(lián)網(wǎng)。例如��,服務器102可以是耦合到互聯(lián)網(wǎng)的代理服務器(或鏈接服務器)�����、或者是耦合到網(wǎng)絡的網(wǎng)絡網(wǎng)關。近年來互聯(lián)網(wǎng)的迅猛增長����,促進了一種需要,即����,為諸如移動電話,個人數(shù)字助理(PDA�,personal digital assistant)等的移動設備提供對互聯(lián)網(wǎng)上可用的信息和服務的訪問。
無線網(wǎng)絡104一般使用無線電傳輸與移動設備106通信�����。無線網(wǎng)絡104可以使用各種不同網(wǎng)絡和通信協(xié)議�。無線網(wǎng)絡的例子包括蜂窩數(shù)字分組數(shù)據(jù)(CDPD,Cellular Digital Packet Data)����、移動通信全球系統(tǒng)(GSM,GlobalSystem for Mobile Communication)��,碼分多址(CDMA��,Code Division MultipleAccess)和時分多址(TDMA,Time Division Multiple Access)等���,這些無線網(wǎng)絡均有不同的數(shù)據(jù)傳送特性�����,諸如執(zhí)行時間(latency)����、帶寬�、協(xié)議和連接方法等����。例如,協(xié)議可以是互聯(lián)網(wǎng)協(xié)議(IP)�����、短消息系統(tǒng)(SMS�,ShortMessaging System)和無結(jié)構補充服務數(shù)據(jù)(USSD,Unstructured SupplementaryService Data)��,連接方法可以包括分組交換或電路交換��。
作為一個例子,要由服務器102送到移動設備106-2的消息應該包含一個地址��,它專門用來識別移動設備106-2�����。然后該消息由服務器102提供給無線網(wǎng)絡104�。例如,一無線數(shù)據(jù)網(wǎng)絡是使用小消息服務器中心(SMSC�����,SmallMessage Server Center)的分組交換網(wǎng)絡����,小消息服務器中心有較小的分組大小(例如,140字節(jié))���。無線網(wǎng)絡104使該消息被正確地(即���,根據(jù)地址)發(fā)送到移動設備106-2。無線網(wǎng)絡104和移動設備106-2之間的傳輸是無線的����。移動設備106-2接收已經(jīng)從無線網(wǎng)絡104傳輸?shù)南?����。移動設備106-2然后可以存儲該消息���,執(zhí)行預定處理,諸如通知移動設備106-2的用戶收到該消息���。
在服務器102和移動設備106之間傳輸消息或數(shù)據(jù)之前����,需要進行在服務器102和特定的移動設備106之一的連接�����,除非該連接已經(jīng)建立�。另外���,當要傳輸?shù)臄?shù)據(jù)是專用的或保密的時�����,要使用安全連接�����。安全連接是這樣一種類型的連接�����,其中采取了安全性措施����,這樣僅有發(fā)送者和所希望的接收者可以理解該數(shù)據(jù)。由諸如加密的密碼技術實現(xiàn)該安全性措施��。密碼技術在JohnWiley & Sons公司于1996年出版的作者為Schneier的“應用密碼學”第二版中有詳細描述����,在此列出供進一步參考。
根據(jù)有關無線網(wǎng)絡上的傳輸?shù)膮f(xié)議���,建立安全連接�。能夠提供安全連接的協(xié)議的例子包括手持設備傳輸協(xié)議(HDTP����,Handheld Device TransportProtocol)和無線傳輸層安全性(WTLS,Wireless Transport Layer Security)��。HDTP在“HDTP草擬規(guī)范”版本1.1(1997)中有描述,在此列出供進一步參考�����。WTLS是無線應用協(xié)議(WAP�,Wireless Application Protocol)的安全性分層協(xié)議。WTLS在1998年4月30日的無線應用論壇(WirelessApplication Forum)的“無線應用協(xié)議無線傳輸層的安全性”中有描述���,在此列出供進一步參考����。
建立安全連接的傳統(tǒng)途徑的一個問題是����,它需要雙向數(shù)據(jù)通道。例如��,HDTP和WTLS協(xié)議都需要在服務器和移動設備之間的握手操作以建立安全連接���。傳統(tǒng)上,握手操作需要雙向數(shù)據(jù)通道��。結(jié)果是�,單向數(shù)據(jù)通道已經(jīng)不能利用需要握手操作的協(xié)議的安全性特性��。
在一些無線網(wǎng)絡中��,服務器和移動設備可以由兩個或更多通道連接�。在一種情況下���,服務器和移動設備可以在單向數(shù)據(jù)通道和雙向數(shù)據(jù)通道上被連接���。一種具有這種特性的代表性的網(wǎng)絡(例如,GSM)可以使用短消息服務中心(SMSC)以提供單向數(shù)據(jù)通道�,使用交互功能(IFW,Interworking Function)以提供雙向數(shù)據(jù)通道�����。在這樣一種網(wǎng)絡中���,單向數(shù)據(jù)通道常常被看作窄帶通道���,雙向數(shù)據(jù)通道常常被看作寬帶通道。作為一個例子���,窄帶通道可以以大約每秒400位(bps)的速率傳送數(shù)據(jù)�,而寬帶通道可以以至少14400bps的速率傳送數(shù)據(jù)��。因而��,服務器和移動設備既由雙路通道又由單路通道連接(或可連接)的情況并非不常見���。通常���,服務器和客戶機依據(jù)數(shù)據(jù)的急迫性、所招來的花費等���,決定使用一個通道還是兩個都用���。雙路通道的使用常常使移動設備向給該移動設備提供服務的電信服務商繳費(即,費用)�。比較而言,單路窄帶通道的使用常常是沒有花費或是與使用無關的固定花費����。然而,因為傳統(tǒng)安全性的方法需要雙路通道�,單路通道不能建立安全連接�����。所以,這嚴重地妨礙了單路通道上的數(shù)據(jù)的安全傳輸���。
因此����,需要在單向通道上提供安全數(shù)據(jù)傳輸?shù)母倪M方法��。
總的來說����,本發(fā)明涉及改進的技術,用于方便在單路數(shù)據(jù)通道或窄帶通道上的安全數(shù)據(jù)傳送�����。經(jīng)常地�,這些通道是由無線數(shù)據(jù)網(wǎng)絡提供的無線通道。本發(fā)明使單路數(shù)據(jù)通道的密碼握手操作能夠在相伴隨的雙路數(shù)據(jù)通道上執(zhí)行���,這樣����,單路數(shù)據(jù)通道能夠有效地滿足需要密碼握手操作的雙路通信的安全性協(xié)議。一旦密碼握手操作完成了��,數(shù)據(jù)就可以在單路數(shù)據(jù)通道上以安全方式傳輸����。另外,本發(fā)明也使密碼握手操作執(zhí)行得更快�����,因為雙路通道通常是寬帶通道����。在這種情況下,寬帶通道代替窄帶通道用于密碼握手操作�,無論窄帶通道是單路通道還是雙路通道,均減少了執(zhí)行時間���。
本發(fā)明能以包括作為方法��、計算機可讀介質(zhì)�、裝置和系統(tǒng)的幾種方式實現(xiàn)�����。下面討論本發(fā)明的幾個實施例。
作為一種用于安全地在一窄帶通道上在服務器和客戶機之間傳輸數(shù)據(jù)的方法����,其中所述客戶機和服務器不僅能通過所述窄帶通道也能通過一寬帶通道連接���,本發(fā)明的一個實施例包括如下步驟在所述寬帶通道上連接所述客戶機和服務器��;在所述寬帶通道上在所述客戶機和服務器之間交換安全性信息����;所述服務器使用安全性信息��,加密要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)����;和在所述窄帶通道上從所述服務器向所述客戶機傳輸所加密的數(shù)據(jù)。
作為一種用于以安全方式從服務器向客戶機傳輸數(shù)據(jù)的方法�,本發(fā)明的一個實施例包括如下步驟在雙路通道上在客戶機和服務器之間交換安全性信息;基于所述安全性信息�,加密要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù);和在單路通道上從所述服務器向所述客戶機傳輸所述加密的數(shù)據(jù)�����,所述單路通道在所述客戶機和所述服務器之間,從所述服務器向所述客戶機傳送數(shù)據(jù)���。
作為一種無線通信系統(tǒng)����,本發(fā)明的一個實施例包括有多個服務器計算機的有線網(wǎng)絡��;無線載波網(wǎng)絡����,在工作時連接到所述有線網(wǎng)絡,所述無線載波網(wǎng)絡支持第一通道和第二通道��,至少所述第一通道是雙路數(shù)據(jù)通道����;網(wǎng)絡網(wǎng)關,耦合在所述有線網(wǎng)絡和所述無線載波網(wǎng)絡之間�,所述網(wǎng)絡網(wǎng)關包括安全連接處理器,通過在所述第二通道上交換安全性信息來建立在所述第一通道上的安全連接���;和多個無線移動設備���,可以經(jīng)所述無線載波網(wǎng)絡和所述網(wǎng)絡網(wǎng)關與在所述有線網(wǎng)絡上的所述服務器計算機交換數(shù)據(jù)���。通過所述第一通道上建立的所述安全連接,消息從所述網(wǎng)絡網(wǎng)關提供到所述無線移動設備���。
作為一種能夠通過無線鏈路連接到計算機網(wǎng)絡的移動設備���,本發(fā)明的一個實施例包括顯示屏���,顯示圖形和文本����;消息緩沖器���,暫時存儲來自在所述計算機網(wǎng)絡上的計算機的消息����,所述消息有與其相聯(lián)系的服務標識�����;應用程序,利用從所述計算機網(wǎng)絡上所述計算機接收的消息�;和密碼控制器,控制出局消息的加密和簽名�����,控制入局消息的解密和認證�,所述密碼控制器用于建立安全連接,通過所述安全連接使用單路通道接收所述入局消息���,其中相伴隨的雙路通道被用于交換安全性信息����,所述安全性信息是在所述單路通道上建立所述安全連接所需要的���。
作為這樣一種計算機可讀介質(zhì)���,它包括用于安全地在一窄帶通道上在服務器和客戶機之間傳輸數(shù)據(jù)的計算機程序代碼,其中所述客戶機和服務器不僅能通過所述窄帶通道也能通過一寬帶通道連接��,本發(fā)明的一個實施例包括����;用于在所述寬帶通道上連接所述客戶機和服務器的計算機程序代碼�����;用于在所述寬帶通道上在所述客戶機和服務器之間交換安全性信息的計算機程序代碼����;用于使用所述服務器的安全性信息���,加密要傳輸數(shù)據(jù)的計算機程序代碼����;和用于在所述窄帶通道上從所述服務器向所述客戶機傳輸所加密的數(shù)據(jù)的計算機程序代碼���。
作為這樣一種計算機可讀介質(zhì),它包括用于以安全方式從服務器向客戶機傳輸數(shù)據(jù)的計算機程序代碼��,本發(fā)明的一個實施例包括用于在所述客戶機和所述服務器之間的雙路通道上在客戶機和服務器之間交換安全性信息的計算機程序代碼��;用于基于所述安全性信息來加密要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)的計算機程序代碼����;和用于在所述客戶機和所述服務器之間的單路通道上從所述服務器向所述客戶機傳輸所述加密數(shù)據(jù)的計算機程序代碼,所述單路通道將數(shù)據(jù)從所述服務器傳送到所述客戶機��。
本發(fā)明的優(yōu)點是很多的。本發(fā)明的實施例的幾個優(yōu)點如下��。本發(fā)明的一個優(yōu)點是�,可以在單路通道上建立安全連接。本發(fā)明的另一個優(yōu)點是�,可以快速實現(xiàn)安全連接的建立,從而與傳統(tǒng)方法相比���,改進了這類操作的執(zhí)行時間�。本發(fā)明的另一個優(yōu)點是����,服務器具有可選的到客戶機(例如,移動設備)的附加安全數(shù)據(jù)通路��,從而服務器可以使用任意一個或兩個取決于包括花費��、速度和可用性的特定選擇判據(jù)的通路��。
通過參照以下結(jié)合附圖進行的詳細說明��,本發(fā)明的其它方面和優(yōu)點將變得明顯��,附圖通過例子示出了本發(fā)明的原理。
通過以下結(jié)合附圖的詳細描述��,本發(fā)明將容易理解���,其中相同的標號指定相同的結(jié)構元件��,其中圖1是傳統(tǒng)無線通信網(wǎng)絡的方框圖����;圖2A是適合于連接移動通信設備到互聯(lián)網(wǎng)的通信系統(tǒng)的方框圖���;圖2B是根據(jù)本發(fā)明的基本實施例的通信系統(tǒng)的方框圖����;圖3是根據(jù)本發(fā)明的實施例的窄帶安全數(shù)據(jù)傳輸處理的流程圖���;圖4是根據(jù)本發(fā)明的實施例的客戶機側(cè)安全連接處理的流程圖;圖5是根據(jù)本發(fā)明的實施例的服務器側(cè)安全連接處理的流程圖�;圖6是根據(jù)本發(fā)明的實施例的數(shù)據(jù)傳輸處理的流程圖;圖7是根據(jù)本發(fā)明的實施例的數(shù)據(jù)接收處理的流程圖���;圖8是根據(jù)本發(fā)明的實施例的通信系統(tǒng)的方框圖�����;圖9是本發(fā)明使用的代表性的通信系統(tǒng)的方框圖�����;圖10A是適合圖9所示的代表性的通信系統(tǒng)使用的網(wǎng)絡網(wǎng)關的方框圖��;以及圖10B是適合圖9所示的代表性的通信系統(tǒng)使用的移動設備的方框圖�����。
本發(fā)明涉及改進的技術��,用于便于在單路數(shù)據(jù)通道或窄帶通道上進行安全數(shù)據(jù)傳送�����。經(jīng)常地�,這些通道是由無線數(shù)據(jù)網(wǎng)絡提供的無線通道。本發(fā)明使單路數(shù)據(jù)通道的密碼握手操作能夠在相伴隨雙路數(shù)據(jù)通道上執(zhí)行��,這樣�,單路數(shù)據(jù)通道能夠有效地滿足需要密碼握手操作的雙路通信的安全性協(xié)議。一旦密碼握手操作完成了�,數(shù)據(jù)就可以在單路數(shù)據(jù)通道上以安全方式傳輸�。另外���,本發(fā)明也使密碼握手操作執(zhí)行得更快�,因為雙路通道通常是寬帶通道���。在這種情況下����,寬帶通道代替窄帶通道用于密碼握手操作�,無論窄帶通道是單路通道還是雙路通道,均減少了執(zhí)行時間�。
下面參考圖2A-10B討論本發(fā)明的實施例。然而����,本領域的技術人員將容易理解,關于這些附圖所給出的詳細描述是為了解釋的目的�,本發(fā)明超出了這些限定的實施例的范圍。
圖2A是適合于連接移動通信設備到互聯(lián)網(wǎng)的通信系統(tǒng)200的方框圖��。具體地,通信系統(tǒng)200包括移動通信設備202A和202B。這些移動通信設備202A和202B分別通過載波網(wǎng)絡204A(CN-A)和204B(CN-B)耦合到網(wǎng)絡網(wǎng)關206。網(wǎng)絡網(wǎng)關206便于移動通信設備202A和202B與互聯(lián)網(wǎng)208耦合。和通常的一樣��,包括計算機支持遠程服務器A 210和遠程服務器B 212的各種計算機系統(tǒng)被耦合到互聯(lián)網(wǎng)208,或者形成互聯(lián)網(wǎng)208的一部分�。網(wǎng)絡網(wǎng)關206的主要功能是分別經(jīng)載波網(wǎng)絡204A和204B接收來自移動通信設備202A和202B的數(shù)據(jù)請求���,將它們轉(zhuǎn)換為互聯(lián)網(wǎng)208使用的超文本傳輸協(xié)議(HTTP)請求。同樣地�����,網(wǎng)絡網(wǎng)關206也從互聯(lián)網(wǎng)208接收HTTP響應��,將它們轉(zhuǎn)換為具有適合載波網(wǎng)絡204A和204B使用格式(例如,協(xié)議)的數(shù)據(jù)響應。
網(wǎng)絡網(wǎng)關206由第一通道214和第二通道216連接到載波網(wǎng)絡204A�����。第一通道214是雙路通道或雙向通道���。第二通道216是單路通道或單向通道�。另外����,網(wǎng)絡網(wǎng)關206由第一通道218和第二通道220連接到載波網(wǎng)絡204B��。第一通道218和第二通道220都是雙路通道或雙向通道。載波網(wǎng)絡204A和204B然后分別以無線方式連接到移動通信設備202A和202B����。
與網(wǎng)絡網(wǎng)關206和移動通信設備202A和202B之間的數(shù)據(jù)請求和數(shù)據(jù)響應相聯(lián)系的數(shù)據(jù)傳輸在連接的基礎上執(zhí)行。在一些情況下����,當被傳輸?shù)臄?shù)據(jù)高度機密時,這些連接是通過互聯(lián)網(wǎng)208的安全連接����。安全連接是一種連接,在其基礎上傳輸加密和/或證實的數(shù)據(jù)�。為了建立安全連接,無線網(wǎng)絡的安全性協(xié)議需要在握手操作中交換密碼參數(shù)���。傳統(tǒng)上利用單路通道不能執(zhí)行握手操作��,因此在單路通道上不能建立安全連接����。
根據(jù)本發(fā)明����,能夠在單路通道上建立安全連接��。在圖2A所示的通信系統(tǒng)200的實施例中����,第二通道216是單路數(shù)據(jù)通道�,它支持從網(wǎng)絡網(wǎng)關206到載波網(wǎng)絡204A的數(shù)據(jù)的傳輸,而不允許從載波網(wǎng)絡204A到網(wǎng)絡網(wǎng)關206的數(shù)據(jù)的傳輸�。因而,因為不可能握手��,所以不可能在第二通道216上獲得安全連接���。然而�����,第一通道214是雙路數(shù)據(jù)通道�����,它支持網(wǎng)絡網(wǎng)關206和載波網(wǎng)絡204A之間兩個方向的數(shù)據(jù)的傳輸���。根據(jù)本發(fā)明��,第一通道214用于執(zhí)行第二通道216的必要的握手操作�����,這樣安全連接能夠在第二通道216上建立。下面提供關于如何執(zhí)行握手的附加的細節(jié)��。
另外�,根據(jù)本發(fā)明,安全通道也能夠在雙路通道上更有效或快速地建立�。在圖2A所示的通信系統(tǒng)200的實施例中,第一通道218是雙路寬帶數(shù)據(jù)通道����,它支持在網(wǎng)絡網(wǎng)關206和載波網(wǎng)絡204B之間的兩個方向的數(shù)據(jù)的高速傳輸。第二通道220是雙路窄帶數(shù)據(jù)通道�����,支持在網(wǎng)絡網(wǎng)關206和載波網(wǎng)絡204B之間的兩個方向的數(shù)據(jù)的高速傳輸�。根據(jù)本發(fā)明,第一通道218用于執(zhí)行第二通道220的必要的握手操作��,這樣安全通道能夠在第二通道220上更有效和快速地建立。這種改進起因于為執(zhí)行握手操作而使用帶寬更寬的通道����。下面提供關于如何執(zhí)行握手的附加的細節(jié)。
通信系統(tǒng)2000是代表性的通信系統(tǒng)����,其中網(wǎng)絡網(wǎng)關206耦合到互聯(lián)網(wǎng)208,這樣移動通信設備202A和202B可以和互聯(lián)網(wǎng)208交互�。移動通信設備202A和202B到網(wǎng)絡網(wǎng)關206的連接要通過一個或更多由載波網(wǎng)絡204A和204B支持的無線網(wǎng)絡。盡管沒說明�����,通信系統(tǒng)200常?����?梢灾С执罅康囊苿油ㄐ旁O備��。另外���,互聯(lián)網(wǎng)208可以更一般地是任何網(wǎng)絡(例如���,專用網(wǎng)絡��、公共網(wǎng)絡���、廣域網(wǎng)或局域網(wǎng))。網(wǎng)絡網(wǎng)關206通常作為代理服務器工作����,但更一般地是服務器。
圖2B是根據(jù)本發(fā)明的基本實施例的通信系統(tǒng)250的方框圖��。例如����,通信系統(tǒng)250是諸如圖2A所示的通信系統(tǒng)200的更大的通信系統(tǒng)的子系統(tǒng)��。通信系統(tǒng)250包括服務器252����、客戶機A 254和客戶機B 256。服務器252可以采取各種形式�����,包括代理服務器或網(wǎng)絡網(wǎng)關�。服務器252與客戶機254和256交互以便在服務器和客戶機之間交換數(shù)據(jù)。通常,服務器252耦合到網(wǎng)絡����,從而使客戶機254和256能夠和網(wǎng)絡交互。網(wǎng)絡可以采取各種形式��,包括局域網(wǎng)(LAN)�����、廣域網(wǎng)(WAN)或互聯(lián)網(wǎng)��。服務器252常常支持多于圖2B中所示的兩個客戶機254和256的更多客戶機���。
客戶機254和256的每一個通過一對通信通道連接服務器252�����。這些通信通道是無線通道�����,可以是一直連接的(鏈接的)或者是暫時連接的(鏈接的)�。盡管這些連接或鏈接最好是無線的(即����,不是有線的)��,但是連接的一些部分可以是有線的(如同已知的技術)���。這些無線通信通道可以由各種無線網(wǎng)絡來提供,這包括分組交換無線數(shù)據(jù)網(wǎng)絡或電路交換無線數(shù)據(jù)網(wǎng)絡��。更具體地說�,服務器252通過窄帶通道A(NBCA)258以及寬帶通道A(WBCA)260被連接到客戶機A 254。類似地��,服務器252通過窄帶通道B(NBCB)262以及寬帶通道B(WBCB)264被連接到客戶機B 256����。窄帶通道A(NBCA)和寬帶通道A(WBCA)可以被認為由無線網(wǎng)絡A提供���,窄帶通道B(NBCB)和寬帶通道B(WBCB)可以被認為由無線網(wǎng)絡B提供���。
寬帶通道(WBCA和WBCB)260和264比窄帶通道(NBCA和NBCB)258和262支持更大的帶寬和數(shù)據(jù)傳送速率。相應地�����,在窄帶通道上服務器和客戶機之間的傳送數(shù)據(jù)的能力,相比寬帶通道顯然慢�。作為例子,窄帶通道可以以大約每秒400位(bps)的速率傳送數(shù)據(jù)�����,而寬帶通道可以以至少14400bps的速率傳送數(shù)據(jù)�����。在帶寬或傳送速率上的折中通常反映在各個通道的使用花費�。換言之,在寬帶通道上傳輸數(shù)據(jù)常常比在窄帶通道上昂貴得多����。
常常需要或希望在服務器和客戶機之間以安全方式傳輸數(shù)據(jù)。在這種情況下���,密碼技術(例如��,加密)被用于提供安全數(shù)據(jù)傳送�����。如上所述�����,加密技術通常需要服務器和客戶機執(zhí)行握手操作����,其中安全性信息從客戶機傳到服務器,從服務器傳到客戶機����。在服務器和客戶機執(zhí)行握手操作之后,服務器和客戶機能夠在一頭加密數(shù)據(jù)����,傳輸加密的數(shù)據(jù),然后在另一頭解密所接收的數(shù)據(jù)��。
在寬帶通道(WBCA和WBCB)260和264的情況下����,經(jīng)握手操作的安全性信息的交換容易實現(xiàn)�,因為寬帶通道通常是雙路通道。然而���,窄帶通道(NBCA和NBCB)258和262通常是單路通道�����,它支持從服務器向客戶機的傳輸���,但不支持從客戶機到服務器的傳輸��。就此而論��,當窄帶通道(NBCA和NBCB)258和262是單路通道時�,經(jīng)握手操作的安全性信息的交換不能執(zhí)行��。另外���,即使當窄帶通道是雙路通道時�����,在窄帶通道上執(zhí)行握手操作的執(zhí)行時間或延遲較大(與寬帶通道相比)�,原因是其比寬帶通道常常低得多的帶寬或數(shù)據(jù)傳送速率�����。
根據(jù)本發(fā)明�����,因為握手操作的安全性信息的交換在另一通道上發(fā)生,所以可以在一個通道上執(zhí)行安全數(shù)據(jù)傳送�����。在一個實施例中����,在雙路通道上執(zhí)行安全性信息的交換,這樣安全數(shù)據(jù)傳送可以在單路通道上執(zhí)行��。在另一個實施例中��,在寬帶通道上執(zhí)行安全性信息的交換����,這樣安全數(shù)據(jù)傳送可以在窄帶通道上執(zhí)行。
圖3是根據(jù)本發(fā)明的實施例的窄帶安全數(shù)據(jù)傳輸處理300的流程圖��。窄帶安全數(shù)據(jù)傳輸處理300在客戶機和服務器之間發(fā)生�,例如可以由圖2所示的通信系統(tǒng)200來執(zhí)行。
窄帶安全數(shù)據(jù)傳輸處理300以確定塊302開始���。作為例子�����,當服務器希望送(或“推”)數(shù)據(jù)到特定客戶機時���,服務器可以請求安全窄帶連接。當確定塊302確定安全窄帶連接沒有被請求時�,窄帶安全數(shù)據(jù)傳輸處理300等待接收這一請求。換言之�,僅當安全數(shù)據(jù)傳輸要在窄帶通道上發(fā)生時,才利用窄帶安全數(shù)據(jù)傳輸處理300�,非安全傳輸或在寬帶通道上的安全傳輸遵循其它的現(xiàn)有技術操作。
一旦確定塊302確定安全窄帶連接已經(jīng)被請求時�����,調(diào)用處理����,以完成窄帶安全數(shù)據(jù)傳輸處理300。具體說�,客戶機和服務器在雙向?qū)拵ǖ郎媳贿B接(304)。然后���,在寬帶通道上在客戶機和服務器之間交換窄帶安全性信息(306)��。安全性信息通常包括鑰匙或解密算法使用的其它密碼參數(shù)�。一組常用加密算法包括公鑰加密算法。應該注意當連接請求是用于在窄帶通道上的數(shù)據(jù)傳輸時�,安全性信息的交換是在寬帶通道上被執(zhí)行的。接著塊306�,因為需要的握手操作已經(jīng)執(zhí)行,客戶機和服務器能夠建立在窄帶通道上的服務器和客戶機之間的安全連接����。換言之,已經(jīng)在寬帶通道上交換的安全性信息被用于建立在窄帶通道上的安全連接����。
接著,確定塊308確定是否有數(shù)據(jù)要傳輸�。當確定塊308確定當前沒有數(shù)據(jù)要傳輸時,窄帶安全數(shù)據(jù)傳輸處理300等待有可用的數(shù)據(jù)�。一旦確定塊308確定有可用的數(shù)據(jù)要傳輸,要傳輸?shù)臄?shù)據(jù)就基于安全性信息被加密(310)��。在數(shù)據(jù)被加密后���,在窄帶通道上傳輸加密的數(shù)據(jù)(312)���。這里���,假定在窄帶通道上的服務器和客戶機之間的連接已經(jīng)被建立����。然而,在其它實施例中���,在加密的數(shù)據(jù)在窄帶通道上傳輸之前����,在窄帶通道上的服務器和客戶機之間的連接可能需要建立����。
接著塊312,確定塊314確定是否在窄帶通道上的連接仍然是開放的�����。因為各種原因�����,連接常常是關閉的,這些原因包括超時狀態(tài)�����、錯誤狀態(tài)或者因為安全性原因���。當確定塊314確定連接仍然是開放的��,窄帶安全數(shù)據(jù)傳輸處理300返回以重復確定塊308和其后的塊����。另一方面�,一旦確定塊314確定連接不再是開放的,窄帶安全數(shù)據(jù)傳輸處理300返回以重復確定塊302和其后的塊��,這樣安全連接就被重新建立�。
窄帶安全數(shù)據(jù)傳輸處理300使用的窄帶通道可以是單路(服務器向客戶機)或雙路通道。如上所述���,盡管本發(fā)明是特別針對窄帶通道僅是從服務器向客戶機的單路通道的情況���,但是本發(fā)明在兩種情況下都具有優(yōu)點。
假如服務器252和客戶機254和256由至少一對通道(258-264)連接��,如圖2B所示,在服務器和客戶機之間的兩條通道上都同時利用安全傳輸���,并非不常見的����。在這種情況下���,每個通道需要實現(xiàn)握手操作,以便交換對于安全連接的建立需要的安全性信息����。圖4和圖5描述了在服務器和客戶機之間一對通道的雙安全連接的建立。
圖4是根據(jù)本發(fā)明的實施例的客戶機側(cè)安全連接處理400的流程圖��。例如�����,客戶機側(cè)安全連接處理400由諸如圖2所示的客戶機254或客戶機256的客戶機來執(zhí)行���。在這個實施例中����,假定客戶機和服務器之間的第一和第二通道都被用于提供安全連接。
客戶機側(cè)安全連接處理400起初將安全會話請求送到一服務器(例如��,圖2所示的服務器202)(402)����。這里,安全會話請求是一個用于建立第一和第二通道上安全連接的請求���。確定塊404然后確定是否已經(jīng)收到對安全會話請求的響應���。這里,客戶機正在等待來自服務器的響應�。當確定塊404確定還沒有收到對安全會話請求的響應時,確定塊404使客戶機側(cè)安全連接處理400等待接收這一響應�。根據(jù)安全性協(xié)議請求和響應的操作作為第一握手操作,交換安全性信息�。例如,安全性信息可以包含為各種密碼技術指定鑰匙��、隨機數(shù)��、算法����、矢量等的密碼參數(shù)��。
一旦已經(jīng)收到響應�,產(chǎn)生用于服務器和客戶機之間的第一通道的第一鑰匙塊(406)����。第一鑰匙塊包含用于加密或認證要在服務器和客戶機之間經(jīng)第一通道傳輸?shù)臄?shù)據(jù)或數(shù)據(jù)塊的鑰匙。其后����,安全會話完結(jié)通知被送到服務器(408)。安全會話完結(jié)是一個給服務器的通知����,即客戶機已經(jīng)確認收到響應��,準備好了安全會話�����。
接著��,確定塊410確定是否已經(jīng)為第一通道建立安全會話��。只有客戶機請求和服務器同意建立安全會話時���,才建立安全會話�����,然后安全會話確實建立���。當確定塊410確定安全會話已經(jīng)建立時����,第一通道的安全會話就緒�。
現(xiàn)在,建立第二通道的安全會話����。第二通道的安全性信息也被從客戶機送到服務器(412)。應該注意安全性信息在第一通道上被送到服務器(412)���。使用第一通道的原因是(1)當?shù)诙ǖ啦荒軅鬏敂?shù)據(jù)到服務器時的需要��,或者(2)當?shù)诙ǖ朗钦瓗ǖ罆r的執(zhí)行時間的提高���。
接著,確定塊414確定是否已經(jīng)從服務器收到安全性信息。來自服務器的安全性信息也在第一通道上接收����。來自服務器的安全性信息是對客戶機送到服務器的安全性信息的響應。該安全性信息的交換是根據(jù)安全性協(xié)議的第二次握手操作�。確定塊414使客戶機側(cè)安全連接處理400等待從服務器接收安全性信息。一旦確定塊414確定已經(jīng)接收到安全性信息�����,就產(chǎn)生第二通道的第二鑰匙塊(416)���。仍然�����,第二鑰匙塊包含用于加密或認證要在第二通道上以安全方式傳輸?shù)臄?shù)據(jù)或數(shù)據(jù)塊的會話鑰匙����。接著塊416���,客戶機側(cè)安全連接處理400完結(jié)并終止。
另外����,當確定塊410確定在服務器和客戶機之間還沒有建立安全會話時���,客戶機側(cè)安全連接處理400發(fā)出一錯誤通知(418)。接著塊418�,客戶機側(cè)安全連接處理400完結(jié)并終止。
圖5是根據(jù)本發(fā)明的實施例的服務器側(cè)安全連接處理500的流程圖����。例如,服務器側(cè)安全連接處理500由諸如圖2B所示的服務器252的服務器執(zhí)行�����。
服務器側(cè)安全連接處理500以確定塊502開始���。確定塊502確定是否已經(jīng)收到安全會話請求�����。通常�����,安全會話請求由客戶機發(fā)出��,然后由服務器接收��。確定塊502使服務器側(cè)安全連接處理500等待接收安全會話請求���。這里����,安全會話請求是用于建立第一和第二通道上的安全連接的請求���。
一旦已經(jīng)收到安全會話請求�����,服務器側(cè)安全連接處理500繼續(xù)����。產(chǎn)生第一通道的第一鑰匙塊(504)��。然后響應被送到已經(jīng)請求安全會話的客戶機(506)����。安全會話請求和響應的操作作為第一握手操作根據(jù)安全協(xié)議交換安全性信息����。無線網(wǎng)絡環(huán)境的協(xié)議的例子是HDTP和WAP WTLS�����。例如���,安全性信息可包含為各種密碼技術指定鑰匙、隨機數(shù)����、算法、矢量等的密碼參數(shù)����。
接著,確定塊508確定是否已經(jīng)收到安全會話完結(jié)通知��。當客戶機已經(jīng)建立了第一通道的安全會話時�����,安全會話完結(jié)協(xié)議由客戶機送到服務器���。確定塊508使服務器側(cè)安全連接處理500等待接收安全會話完結(jié)通知��。確定塊510然后確定是否建立了安全會話�。當確定塊510確定已經(jīng)建立了安全會話時���,確定塊512確定是否已經(jīng)收到安全性信息����。這里�����,安全性信息在已經(jīng)由客戶機傳輸后由服務器接收�����。該安全性信息是用于第二通道的�����?����?蛻魴C根據(jù)某協(xié)議將安全性信息作為其與服務器通信的內(nèi)容部分發(fā)送到服務器�,以建立第二通道的安全會話��。舉例來說,這里協(xié)議可以是會話層協(xié)議或傳輸層協(xié)議(例如�����,HDTP)��。
一旦確定塊512確定已經(jīng)接收了送到客戶機的第二通道的安全性信息���,然后服務器將第二通道的安全性信息送到客戶機(514)�。然后為第二通道產(chǎn)生第二鑰匙塊(516)����。接著塊516,服務器側(cè)安全連接處理500完結(jié)和終止�。
另外,當確定塊510確定在服務器和客戶機之間不能建立安全連接時�����,服務器側(cè)安全連接處理500發(fā)出錯誤通知(518)�。接著塊518,服務器側(cè)安全連接處理500完結(jié)和終止���。
安全會話請求的發(fā)送和接收以及安全性信息的發(fā)送和接收是在第一通道上執(zhí)行的����。在第一通道上的服務器和客戶機之間交換的信息被用于建立在第一通道和第二通道上的服務器和客戶機之間的安全通信。第一鑰匙塊被用于加密從客戶機到服務器在第一通道上傳輸?shù)臄?shù)據(jù)����,以及解密在第一通道上從服務器接收的數(shù)據(jù)。第二鑰匙塊被用于解密在第二通道上從服務器接收的數(shù)據(jù)�。在一實施例中,第一通道是雙路通道�����,第二通道是單路通道�。在另一個實施例中,第一通道是雙路寬帶通道����,第二通道是雙路窄帶通道。
在涉及的安全協(xié)議是HDTP的情況下�����,第一通道的安全會話按正常情形執(zhí)行��。第二通道的安全會話可以依附在第一通道安全會話的客戶機和服務器交換上。即���,利用HTTP類型的內(nèi)容傳送HDTP����,從而首標(例如��,會話首標)在服務器和客戶機之間正常地交換��。這些首標可以被用于交換第二通道的安全性信息(塊414���、416、512和514)��。
在使用WAP的情況下���,涉及的安全協(xié)議是WTLS��,會話級協(xié)議是無線會話協(xié)議(WSP�����,Wireless Session Protocol)�。WSP也使用HTTP類型的內(nèi)容傳送。當WSP和WTLS創(chuàng)建安全會話時�,首標(例如,會話首標)在服務器和客戶機之間正常地交換���。至于HDTP�,這些首標可以被用于交換第二通道的安全性信息(塊414�����、416��、512和514)�。
與使用的具體協(xié)議無關,一部分安全性信息可以由兩個通道共用或共享���。在使用Diffie Hellman公鑰加密算法的情況下�,在握手操作過程中的交換包括鑰匙交換和隨機數(shù)交換����。因此,正常情況下����,每個通道應分別需要鑰匙交換和隨機數(shù)交換���。然而,通過兩個通道分享同一鑰匙����,第二鑰匙交換可以被去除。同樣�,同一隨機數(shù)的分享可以去除隨機數(shù)交換�。一部分安全性信息的分享改進了安全連接建立的執(zhí)行時間或效率,但可能導致安全性程度的降低�。
另外,可能希望兩個(或者���,多個)通道使用相同的安全性信息�����。在這種情況下,除了為第一通道交換的安全性信息外�����,不需要有為第二通道(或更多通道)的安全性信息的任何交換。這里���,所有的安全性信息將由各通道分享���。然而,各連接將由不同的連接標識來區(qū)分��。例如����,對于圖4,塊412和414可以去除����,對于圖5,塊512和514可以被去除���。通過鑰匙塊(例如���,第一鑰匙塊)的分享,也可以去除第二鑰匙塊的產(chǎn)生(塊416和516)����。這樣,使用同樣的密碼參數(shù),在兩個(或多個)通道上可以建立安全連接�����,代價是降低了安全性的程度��。
圖6是根據(jù)本發(fā)明的實施例的數(shù)據(jù)傳輸處理600的流程圖�。在該實施例中,數(shù)據(jù)通常在第二通道上從服務器向客戶機傳輸�����。舉例來說�,第二通道是單路窄帶通道。在圖4所示的第二通道上的服務器和客戶機之間的安全會話(連接)的建立之后是數(shù)據(jù)傳輸處理600��。在第一通道上的數(shù)據(jù)傳輸��,如果有的話,未示出���。
數(shù)據(jù)傳輸處理600以確定塊602開始。確定塊602確定在第二通道上是否有要傳輸?shù)臄?shù)據(jù)�����。當確定塊602確定在第二通道上當前沒有等待傳輸?shù)臄?shù)據(jù)時,數(shù)據(jù)傳輸處理600只是等待接收這一數(shù)據(jù)����。
一旦確定塊602確定在第二通道上有要傳輸?shù)臄?shù)據(jù),數(shù)據(jù)傳輸處理600則進行數(shù)據(jù)傳輸����。再一次,為第二通道已經(jīng)建立了安全會話(連接)�����。具體地�,獲得數(shù)據(jù)塊(604)。從第二鑰匙塊獲得一個或多個鑰匙(606)�。通常,從第二鑰匙塊獲得認證鑰匙和加密鑰匙�。也可以從第二鑰匙塊獲得初始化向量。初始化向量被用作塊密碼加密算法的隨機種子�。這里,第二鑰匙塊是在圖5所示的服務器側(cè)安全連接處理500的塊514中產(chǎn)生的�����。第二鑰匙塊位于服務器��。
接著,使用從第二鑰匙塊獲得的鑰匙�����,加密和/或簽名數(shù)據(jù)塊(608)��。例如���,所用的特定簽名技術是單路散列算法���。所用的特定加密算法可以不同,但常常公鑰加密算法是合適的�。在一個實施例中,假定均要進行簽名和加密��,應該使用簽名技術和認證鑰匙簽名數(shù)據(jù)塊�,并使用加密算法和加密鑰匙加密數(shù)據(jù)塊,然后兩個處理塊附加在一起��。
接著塊608�,在第二通道上傳輸加密的數(shù)據(jù)塊(610)���。其后��,確定塊612確定在第二通道上是否還有數(shù)據(jù)要傳輸���。當確定塊612確定還有數(shù)據(jù)要傳輸時���,數(shù)據(jù)傳輸處理600返回以重復塊604和隨后的塊。另一方面���,當確定塊612確定在第二通道上不再有數(shù)據(jù)要傳輸時����,數(shù)據(jù)傳輸處理600完結(jié)和終止��。
圖7是根據(jù)本發(fā)明的實施例的數(shù)據(jù)接收處理700的流程圖����。在該實施例中,在第二通道上����,數(shù)據(jù)正被接收。舉例來說����,第二通道是從服務器向客戶機的單路窄帶通道���。在數(shù)據(jù)接收處理700的一個方案中,該處理是由諸如圖2B所示的客戶機254和256的客戶機來執(zhí)行的�����。數(shù)據(jù)接收處理700接著數(shù)據(jù)傳輸處理600���,從而建立了如圖4所示的第二通道上的服務器和客戶機之間的安全會話(連接)���。在第一通道上的數(shù)據(jù)接收,如果有的話�,未示出。
數(shù)據(jù)接收處理700以確定塊702開始����。確定塊702確定在第二通道上是否已經(jīng)接收了數(shù)據(jù)塊。確定塊702使數(shù)據(jù)接收處理700等待�,直到至少在第二通道上已經(jīng)接收了一個數(shù)據(jù)塊。然而��,一旦確定塊702確定至少在第二通道上已經(jīng)接收了一個數(shù)據(jù)塊�����,數(shù)據(jù)接收處理700繼續(xù)��,以便該數(shù)據(jù)塊可以被處理��。即��,從第二鑰匙塊獲得一個或多個鑰匙(704)�。通常,從第二鑰匙塊獲得認證鑰匙和加密鑰匙�����。也可以從第二鑰匙塊獲得初始化向量���。初始化向量被用作塊密碼加密算法的隨機種子���。這里,例如�����,第二鑰匙塊是在圖4中所示的客戶機側(cè)安全連接處理400的塊414中產(chǎn)生第二鑰匙塊���。換言之���,這里第二鑰匙塊位于客戶機���。
接著,使用從第二鑰匙塊獲得的鑰匙����,解密和/或認證已經(jīng)接收的數(shù)據(jù)塊(706)。在一個實施例中����,假定在服務器側(cè)對傳輸?shù)臄?shù)據(jù)一起執(zhí)行簽名和加密,這些數(shù)據(jù)現(xiàn)在已經(jīng)被客戶機接收�,則接收的數(shù)據(jù)塊應該是同時簽名和加密的。所以����,在這一實施例中,接收的數(shù)據(jù)塊應該使用從客戶機側(cè)的第二鑰匙塊獲得(704)的認證鑰匙來認證��,接收的數(shù)據(jù)塊應該也使用從客戶機側(cè)的第二鑰匙塊獲得(704)的加密鑰匙來解密����。
在數(shù)據(jù)塊已經(jīng)被解密和/或認證(706)后,解密的數(shù)據(jù)塊被存儲(708)為以后的使用。接著塊708����,數(shù)據(jù)接收處理700返回以重復確定塊702和后面的塊���,這樣隨后的數(shù)據(jù)塊可以當它們在第二通道上被接收時被處理�����。
載波網(wǎng)絡一般被分類為分組交換網(wǎng)絡和電路交換網(wǎng)絡����。在分組交換網(wǎng)絡中��,在載波網(wǎng)絡和無線通信設備之間的通信可以使用互聯(lián)網(wǎng)協(xié)議(IP)尋址�,因為無線通信設備有其自己的單獨IP地址。另一方面�����,電路交換網(wǎng)絡需要在無線通信設備可以和載波網(wǎng)絡通信之前與載波網(wǎng)絡建立一個電路���。在這樣的網(wǎng)絡中�,無線通信設備沒有靜止的IP地址,而替代地有一個動態(tài)分配的IP地址或唯一的電話號碼���。分組交換載波網(wǎng)絡的一個例子是CDPD����。電路交換網(wǎng)絡的一個例子是碼分多址(CDMA)和移動通信全球系統(tǒng)(GSM)���。
圖8是根據(jù)本發(fā)明的實施例的通信系統(tǒng)800的方框圖��。通信系統(tǒng)800包括網(wǎng)絡網(wǎng)關802���,用于協(xié)調(diào)從互聯(lián)網(wǎng)208到無線通信設備202X,202Y和202Z的信息的訪問和檢索����。網(wǎng)絡網(wǎng)關的操作類似于圖2A所示的網(wǎng)絡網(wǎng)關206。然而���,通信系統(tǒng)800具體地屬于以下情形�,即載波網(wǎng)絡X 804是分組交換網(wǎng)絡諸如CDPD���,載波網(wǎng)絡Y 806是一SMS類型網(wǎng)絡��,它使用帶SMPP接口協(xié)議的CDMA���,載波網(wǎng)絡Z 808是另一個SMS類型網(wǎng)絡���,它使用帶UCP接口協(xié)議的GSM。
由于載波網(wǎng)絡Y 806和載波網(wǎng)絡Z 808是使用SMS的電路交換網(wǎng)絡��,所以它們使用短消息服務器中心(SMSC)和交互工作功能(IWF)以提供與載波網(wǎng)絡的通信���。傳統(tǒng)上一般由載波網(wǎng)絡提供SMSC和IWF的使用,這樣用載波網(wǎng)絡可以實現(xiàn)消息和交互�����。所以����,通信系統(tǒng)800包括SMSC-Y 810和SMSC-Z 812,它們分別提供消息服務到耦合到載波網(wǎng)絡Y 806和載波網(wǎng)絡Z 808的無線通信設備����。SMSC 810和812分別提供從多網(wǎng)絡網(wǎng)關802到載波網(wǎng)絡Y 806和載波網(wǎng)絡Z 808上的無線通信設備的單路通知。IWF-B 814和IWF-C 816分別被用于提供在網(wǎng)絡網(wǎng)關802和載波網(wǎng)絡Y 806和載波網(wǎng)絡Z 808之間的雙路交互�。到載波網(wǎng)絡的SMSC連接被通常稱為窄帶通道,而到載波網(wǎng)絡的IMF連接被稱為寬帶通道。在該實施例中�,到載波網(wǎng)絡的SMSC連接是單路窄帶通道,而到載波網(wǎng)絡的IMF連接是雙路寬帶通道���。
圖9是本發(fā)明使用的代表性的通信系統(tǒng)900的方框圖�����。通信系統(tǒng)900包括有線部分902和無線部分904�。有線部分902包括網(wǎng)絡906和網(wǎng)絡網(wǎng)關908����。在一個實施例中,網(wǎng)絡906是互聯(lián)網(wǎng)����,它代表大量互相連接的計算機。在另一個實施例中����,網(wǎng)絡906是各計算機組成的內(nèi)部網(wǎng)或?qū)S镁W(wǎng)絡。
網(wǎng)絡網(wǎng)關908的作用是從有線部分902到無線部分904的網(wǎng)關�����。網(wǎng)絡網(wǎng)關908用作無線部分904的無線通信和有線部分902的有線通信之間的基本轉(zhuǎn)換部分。網(wǎng)絡網(wǎng)關908從載波網(wǎng)絡914接收入局的內(nèi)容請求�����,執(zhí)行必要的協(xié)議轉(zhuǎn)換�。網(wǎng)絡網(wǎng)關908通常將執(zhí)行一些協(xié)議翻譯和其它帳目管理和校驗操作。網(wǎng)絡網(wǎng)關908包括帳目信息存儲區(qū)域910����,用于存儲帳目、配置和其它信息��。無線部分904包括載波網(wǎng)絡914和至少一個遠程無線計算設備916����。網(wǎng)絡網(wǎng)關908也從網(wǎng)絡906接收消息����,將它們轉(zhuǎn)送合適的遠程計算設備。
例如���,遠程無線計算設備916可以是移動電話��、個人數(shù)字助理(PDA)���、或者便攜通用計算機����。遠程無線計算設備916包括顯示器918���,用于顯示數(shù)屏或數(shù)頁的信息���;遠程無線瀏覽器920;和導航按鈕922和924����。遠程無線瀏覽器920通常是一個應用程序,在遠程無線計算設備916上運行����。遠程無線瀏覽器920提供數(shù)屏或數(shù)頁的信息以顯示在顯示器918上。導航按鈕922和924允許用戶用遠程無線瀏覽器920����,通過顯示在顯示器918上的菜單或列表來導航或從菜單或列表作出選擇。遠程無線計算設備916也可以包括字母數(shù)字鍵板(未示出)���,允許用戶鍵入字母數(shù)字信息��,但這并非必須����,由于字母數(shù)字信息也可以使用顯示在顯示器918上的撥號屏,通過導航按鈕922和924所作的選擇來鍵入�����。通過與遠程無線瀏覽器920的交互�,用戶能夠訪問位于網(wǎng)絡906的信息。根據(jù)本發(fā)明��,至少要在無線部分904上�����,即在遠程無線瀏覽器920和網(wǎng)絡網(wǎng)關908之間能進行安全會話�。如上所述����,這些安全會話甚至可以在單路通道上通過載波網(wǎng)絡914提供。
通常�,無線部分904將包括多個遠程無線瀏覽器920,每個在不同的遠程計算設備上運行���。在帳目信息存儲區(qū)域910中存儲的配置和其它信息可以存儲每個遠程無線瀏覽器920的服務限制���、安全限制�����、優(yōu)先信息��、屏幕配置信息等��。帳目信息存儲區(qū)域910也可以存儲遠程無線瀏覽器920所關心的數(shù)據(jù)或數(shù)頁數(shù)據(jù)��。存儲的數(shù)據(jù)或數(shù)頁面可以作為從網(wǎng)絡906先前請求的高速緩存信息�、或者作為網(wǎng)絡網(wǎng)關908內(nèi)的信息服務器數(shù)據(jù)��。例如����,作為信息服務器,存儲頁可以代表要由遠程無線瀏覽器顯示的數(shù)頁面�。
圖10A是適合圖9所示的代表性的通信系統(tǒng)900使用的網(wǎng)絡網(wǎng)關1000的方框圖。例如�����,網(wǎng)絡網(wǎng)關1000能夠代表圖9所示的網(wǎng)絡網(wǎng)關908,其通常是一個服務器計算機�。為了避免模糊本發(fā)明的方面,在網(wǎng)絡網(wǎng)關1000中的公知方法�、過程、組件和電路不詳細描述��。
網(wǎng)絡網(wǎng)關1000包括耦合到載波網(wǎng)絡914的用戶數(shù)據(jù)報協(xié)議(UDP�,UserDatagram Protocol)接口1002、耦合到網(wǎng)絡906的HTTP接口1004���、和耦合在UDP接口1002和HTTP接口1004的服務器模塊1006�。服務器模塊1006執(zhí)行傳統(tǒng)的服務器處理過程和協(xié)議轉(zhuǎn)換處理����。特別地,協(xié)議轉(zhuǎn)換處理包括在UDP和HTTP之間的協(xié)議轉(zhuǎn)換�����。服務器模塊1006也執(zhí)行圖5和6所示的上述安全會話的相關處理�。另外�����,為了幫助服務器模塊1006進行處理,代理服務器1000包括隨機存取存儲器(RAM)1008和只讀存儲器(ROM)1010���。RAM 1008主要存儲設備標識����、用戶標識�����、配置信息���、安全信息和別名轉(zhuǎn)換信息����。在一個實施例中�����,這樣的信息存儲在RAM 1010中作為數(shù)據(jù)庫�。同樣,RAM 1010可以代表圖9所示的帳目信息存儲區(qū)域910����。
圖10B是適合圖9所示的代表性的通信系統(tǒng)900使用的移動設備1050的方框圖�。例如�����,移動設備1050可以對應于遠程計算設備916���,操作圖9所示的遠程無線瀏覽器920。
移動設備1050包括UDP接口1052�,它經(jīng)RF收發(fā)信機1053耦合到載波網(wǎng)絡914,以接收入局和出局信號����。設備標識(ID)存儲器1054提供設備ID給UDP接口1052。設備ID識別與特定移動設備1050相聯(lián)系的特定代碼�。另外,移動設備1050包括客戶機模塊1056�����,它使移動設備1050執(zhí)行許多處理任務�����,這包括建立與載波網(wǎng)絡1014和網(wǎng)絡網(wǎng)關908的通信會話�����、從網(wǎng)絡906請求和接收數(shù)據(jù)(例如����,數(shù)頁面)、在遠程計算設備的顯示器上顯示信息���、和接收用戶輸入����??蛻魴C模塊1056被耦合到UDP 1052,用于建立通信會話和請求和接收數(shù)據(jù)�����?���?蛻魴C模塊1056也執(zhí)行與從網(wǎng)關計算機908、1000傳輸?shù)南⒌膫鬏敽徒邮沼嘘P的處理���,這包括參照圖4和7所述的安全會話處理���?����?蛻魴C模塊1056控制顯示驅(qū)動器1058�,以在顯示器1060上顯示信息給用戶��。另外����,客戶機模塊1056被耦合到輸入設備1062、ROM1064和RAM 1066�����。最好�����,其中����,客戶機模塊1056操作網(wǎng)絡瀏覽器����,諸如手持設備標記語言(HDML���,HandHeld Device Markup Language)頁面瀏覽器。輸入設備1062允許移動設備1050的用戶輸入數(shù)據(jù)�,從而在控制和使用移動設備1050中作出選擇。ROM 1064為客戶機模塊1056存儲預定數(shù)據(jù)和處理指令���。RAM 1066用于為安全信息和入局和出局數(shù)據(jù)的接收和傳輸提供臨時數(shù)據(jù)存儲器�����。
盡管在圖10A和10B中所述的網(wǎng)絡網(wǎng)關1000和移動設備1050的實施例使用UDP和HTTP協(xié)議����,應該認識到����,還可以提供和利用其它協(xié)議和其它協(xié)議棧(protocol stack)。對網(wǎng)絡網(wǎng)關1000和移動設備1050的設計和結(jié)構的詳細描述包含在美國專利申請No.08/570,210中���,題目“METHOD ANDARCHITECTURE FOR AN INTERACTIVE TWO-WAY DATACOMMUNICATION NETWORK(交互式雙向數(shù)據(jù)通信網(wǎng)絡體系結(jié)構及方法)”����,發(fā)明人是Alain Rossmann,在此列出作為作為參考�。
本發(fā)明的優(yōu)點是很多的。本發(fā)明的實施例的幾個優(yōu)點如下����。本發(fā)明的一個優(yōu)點是,可以在單路通道上建立安全連接��。本發(fā)明的另一個優(yōu)點是��,可以快速實現(xiàn)安全連接的建立��,從而與傳統(tǒng)方法相比�,改進了這類操作的執(zhí)行時間。本發(fā)明的另一個優(yōu)點是�,服務器具有可選的到客戶機(例如,移動設備)的附加安全數(shù)據(jù)通路��,從而服務器可以使用任意一個或兩個取決于包括花費����、速度和可用性的特定選擇判據(jù)的通路。
從所寫的說明書����,可以看出本發(fā)明的許多特點和優(yōu)點是明顯的�。因而�����,所附權利要求旨在覆蓋本發(fā)明的所有這些特征和優(yōu)點����。另外�,由于對本領域的技術人員很容易進行各種修改和改變,所以不希望將本發(fā)明限定到所述的特定結(jié)構和操作����。因而,所有合適的修改和等價物均可能落入本發(fā)明的范圍內(nèi)��。
權利要求
1.一種用于安全地在一窄帶通道上在服務器和客戶機之間傳輸數(shù)據(jù)的方法���,其中所述客戶機和服務器不僅能通過所述窄帶通道也能通過一寬帶通道連接�,所述方法包括如下步驟在所述寬帶通道上連接所述客戶機和服務器��;在所述寬帶通道上在所述客戶機和服務器之間交換安全性信息����;所述服務器使用安全性信息加密要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)���;和在所述窄帶通道上從所述服務器向所述客戶機傳輸所加密的數(shù)據(jù)。
2.如權利要求1所述的方法��,其中所述加密步驟包括所述服務器至少部分基于安全性信息�����,形成服務器側(cè)窄帶通道鑰匙塊���;和使用所述服務器側(cè)窄帶通道鑰匙塊��,加密要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)����。
3.如權利要求2所述的方法�����,其中所述方法還包括所述客戶機至少部分基于安全性信息��,形成客戶機側(cè)窄帶通道鑰匙塊;接收已經(jīng)在所述窄帶通道上從所述服務器向所述客戶機傳輸?shù)募用軘?shù)據(jù)�;和解密已經(jīng)在所述窄帶通道上從所述服務器接收的加密數(shù)據(jù)。
4.如權利要求1所述的方法�,其中所述方法還包括在所述窄帶通道和所述寬帶通道上從所述服務器向所述客戶機傳輸所述加密數(shù)據(jù)的不同部分。
5.如權利要求4所述的方法�����,其中所述加密步驟包括所述服務器至少部分基于安全性信息���,形成服務器側(cè)窄帶通道鑰匙塊��;所述服務器至少部分基于安全性信息,形成服務器側(cè)寬帶通道鑰匙塊���;使用所述服務器側(cè)窄帶通道鑰匙塊�,加密要在窄帶通道上從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)部分�;使用所述服務器側(cè)寬帶通道鑰匙塊,加密要在寬帶通道上從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)部分����。
6.如權利要求5所述的方法,其中所述方法還包括所述客戶機至少部分基于安全性信息�,形成客戶機側(cè)窄帶通道鑰匙塊;所述客戶機至少部分基于安全性信息�����,形成客戶機側(cè)寬帶通道鑰匙塊;接收已經(jīng)在所述窄帶通道上從所述服務器向所述客戶機傳輸?shù)募用軘?shù)據(jù)���;利用所述客戶機側(cè)窄帶通道鑰匙塊���,解密已經(jīng)在所述窄帶通道上從所述服務器接收的加密數(shù)據(jù);接收已經(jīng)在所述寬帶通道上從所述服務器向所述客戶機傳輸?shù)募用軘?shù)據(jù)����;和利用所述客戶機側(cè)寬帶通道鑰匙塊,解密已經(jīng)在所述寬帶通道上從所述服務器接收的加密數(shù)據(jù)�。
7.如權利要求1所述的方法,其中所述方法還包括所述客戶機使用安全性信息�,加密要從所述客戶機向所述服務器傳輸?shù)臄?shù)據(jù);和在所述窄帶通道上從所述客戶機向所述服務器傳輸所述加密的數(shù)據(jù)��。
8.如權利要求7所述的方法���,其中所述要從所述客戶機向所述服務器傳輸?shù)臄?shù)據(jù)的所述加密步驟包括所述客戶機至少部分基于在寬帶通道上接收到的安全性信息����,形成客戶機側(cè)窄帶通道鑰匙塊;和使用客戶機側(cè)窄帶通道鑰匙塊����,加密要從客戶機向服務器傳輸?shù)乃鰯?shù)據(jù)。
9.如權利要求1所述的方法����,其中所述窄帶通道和所述寬帶通道的至少一部分是無線的。
10.如權利要求1所述的方法����,其中所述窄帶通道的帶寬小于所述寬帶通道帶寬的一半。
11.如權利要求1所述的方法���,其中所述窄帶通道是單路通道���,所述寬帶通道是雙路通道����。
12.如權利要求1所述的方法,其中所述方法還包括基于所述安全性信息�,簽名要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù),和其中所述傳輸操作在所述窄帶通道上從所述服務器向所述客戶機傳輸所述加密數(shù)據(jù)和所述簽名數(shù)據(jù)�����。
13.如權利要求12所述的方法,其中所述窄帶通道是單路通道�,所述寬帶通道是雙路通道。
14.一種用于以安全方式從服務器向客戶機傳輸數(shù)據(jù)的方法�,所述方法包括如下步驟在客戶機和服務器之間的雙路通通上在客戶機和服務器之間交換安全性信息;基于所述安全性信息�,加密要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù);和在所述客戶機和所述服務器之間的單路通道上從所述服務器向所述客戶機傳輸所述加密的數(shù)據(jù)���,所述單路通道將數(shù)據(jù)從所述服務器傳送到所述客戶機����。
15.如權利要求14所述的方法�,其中所述安全性信息至少包括一鑰匙和一隨機數(shù)。
16.如權利要求14所述的方法���,其中所述安全性信息還包括加密技術的標識����。
17.如權利要求14所述的方法����,其中所述安全性信息需要在雙路通道上被交換���,所述數(shù)據(jù)在單路通道上被傳輸。
18.如權利要求14所述的方法��,其中所述雙路通道是寬帶通道��,所述單路通道是窄帶通道�����。
19.如權利要求18所述的方法���,其中所述窄帶通道和所述寬帶通道的至少一部分是無線的����。
20.如權利要求19所述的方法����,其中所述寬帶通道由電路交換數(shù)據(jù)網(wǎng)絡提供,所述窄帶通道由單路短消息服務網(wǎng)絡提供�����。
21.一種用于安全地在一窄帶通道上在服務器和客戶機之間傳輸數(shù)據(jù)的方法�,其中所述客戶機和服務器不僅能通過所述窄帶通道也能通過一寬帶通道連接,所述方法包括如下步驟在所述寬帶通道上連接所述客戶機和服務器��;在所述寬帶通道上在所述客戶機和服務器之間交換安全性信息��;基于所述安全性信息����,簽名要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù);和在所述窄帶通道上從所述服務器向所述客戶機傳輸所簽名的數(shù)據(jù)���。
22.如權利要求21所述的方法�,其中所述窄帶通道和所述寬帶通道的至少一部分是無線的�����。
23.如權利要求22所述的方法����,其中所述窄帶通道是單路通道,所述寬帶通道是雙路通道�。
24.一種無線通信系統(tǒng),包括有多個服務器計算機的有線網(wǎng)絡����;無線載波網(wǎng)絡���,在工作時連接到所述有線網(wǎng)絡,所述無線載波網(wǎng)絡支持第一通道和第二通道�����,至少所述第一通道是雙路數(shù)據(jù)通道��;網(wǎng)絡網(wǎng)關�����,耦合在所述有線網(wǎng)絡和所述無線載波網(wǎng)絡之間��,所述網(wǎng)絡網(wǎng)關包括安全連接處理器�,它通過在所述第二通道上交換安全性信息來在所述第一通道上建立安全連接;和多個無線移動設備���,可以經(jīng)所述無線載波網(wǎng)絡和所述網(wǎng)絡網(wǎng)關與在所述有線網(wǎng)絡上的所述服務器計算機交換數(shù)據(jù)����,其中在所述第一通道上建立的所述安全連接上�����,將消息從所述網(wǎng)絡網(wǎng)關提供到所述無線移動設備�。
25.一種移動設備,能夠通過無線鏈路連接到計算機網(wǎng)絡�����,所述移動設備包括顯示屏��,顯示圖形和文本�;消息緩中器,暫時存儲來自在所述計算機網(wǎng)絡上的計算機的消息�����,所述消息有與其相關的服務標識����;應用程序,利用從所述計算機網(wǎng)絡上的所述計算機接收的消息���;和密碼控制器���,控制出局消息的加密和簽名,控制入局消息的解密和認證��,所述密碼控制器用于建立安全連接,并通過所述安全連接使用單路通道來接收所述入局消息��,其中相伴隨的雙路通道被用于交換在所述單路通道上建立所述安全連接所需要的安全性信息���。
26.如權利要求25所述的移動設備���,其中所述應用程序是允許用戶檢索來自所述網(wǎng)絡上計算機的信息的瀏覽器應用程序。
27.一種計算機可讀介質(zhì)���,包括用于安全地在一窄帶通道上在服務器和客戶機之間傳輸數(shù)據(jù)的計算機程序代碼���,其中所述客戶機和服務器不僅能通過所述窄帶通道也能通過一寬帶通道連接,所述計算機可讀介質(zhì)包括用于在所述寬帶通道上連接所述客戶機和服務器的計算機程序代碼�;用于在所述寬帶通道上在所述客戶機和服務器之間交換安全性信息的計算機程序代碼;用于使用安全性信息加密要傳輸?shù)臄?shù)據(jù)的計算機程序代碼�����;和用于在所述窄帶通道上從所述服務器向所述客戶機傳輸所加密的數(shù)據(jù)的計算機程序代碼���。
28.如權利要求27所述的計算機可讀介質(zhì)��,其中用于所述加密處理的計算機程序代碼包括用于至少部分基于安全性信息形成窄帶通道鑰匙塊的計算機程序代碼��;和用于使用所述窄帶通道鑰匙塊來加密要傳輸數(shù)據(jù)的計算機程序代碼�����。
29.如權利要求28所述的計算機可讀介質(zhì)�����,其中所述用于加密處理的計算機程序代碼還包括用于基于所述安全性信息來簽名要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)的計算機程序代碼��。
30.如權利要求28所述的計算機可讀介質(zhì)��,其中所述窄帶通道和所述寬帶通道的至少一部分是無線的�����,其中所述窄帶通道是單路通道�����,所述寬帶通道是雙路通道����。
31.一種計算機可讀介質(zhì),包括用于以安全方式從服務器向客戶機傳輸數(shù)據(jù)的計算機程序代碼��,所述計算機可讀介質(zhì)包括用于在所述客戶機和所述服務器之間的第一無線通道上在客戶機和服務器之間交換安全性信息的計算機程序代碼����;用于基于所述安全性信息加密要從所述服務器向所述客戶機傳輸?shù)臄?shù)據(jù)的計算機程序代碼;和用于在所述客戶機和所述服務器之間的第二無線通道上從所述服務器向所述客戶機傳輸所述加密數(shù)據(jù)的計算機程序代碼���,所述第二無線通道將數(shù)據(jù)從所述服務器傳送到所述客戶機�。
32.如權利要求31所述的計算機可讀介質(zhì)��,其中所述用于密碼處理要傳輸數(shù)據(jù)的計算機程序代碼至少執(zhí)行數(shù)據(jù)的加密和簽名之一��。
33.如權利要求31所述的計算機可讀介質(zhì)�����,其中所述第一無線通道是雙路通道����,所述第二無線通道是單路通道。
34.如權利要求33所述的計算機可讀介質(zhì)���,其中所述雙路無線通道是由電路交換數(shù)據(jù)網(wǎng)絡提供的寬帶通道�,所述單路無線通道是單路短消息服務網(wǎng)絡提供的窄帶通道。
全文摘要
一種在由無線數(shù)據(jù)網(wǎng)絡提供的單路或窄帶通道上安全傳送數(shù)據(jù)的技術�����。其中,單路數(shù)據(jù)通道的密碼握手操作能夠在相伴隨的雙路數(shù)據(jù)通道上執(zhí)行,這樣,單路數(shù)據(jù)通道能夠有效地滿足需要密碼握手操作的雙路通信的安全性協(xié)議�����。一旦密碼握手操作完成了,數(shù)據(jù)就可以在單路數(shù)據(jù)通道上以安全方式傳輸�。由于雙路寬帶通道代替窄帶通道用于密碼握手操作,無論窄帶通道是單路通道還是雙路通道,均減少了執(zhí)行時間�。
文檔編號H04L29/06GK1249586SQ9912034
公開日2000年4月5日 申請日期1999年9月21日 優(yōu)先權日1998年9月21日
發(fā)明者彼得·F·金 申請人:電話通有限公司