特許第6181303号(P6181303)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 牟大同

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 牟大同の特許一覧

特許6181303暗号化通信方法、及び、暗号化通信システム
<>
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000002
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000003
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000004
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000005
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000006
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000007
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000008
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000009
  • 特許6181303-暗号化通信方法、及び、暗号化通信システム 図000010
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6181303
(24)【登録日】2017年7月28日
(45)【発行日】2017年8月16日
(54)【発明の名称】暗号化通信方法、及び、暗号化通信システム
(51)【国際特許分類】
   H04L 9/32 20060101AFI20170807BHJP
   H04L 9/08 20060101ALI20170807BHJP
【FI】
   H04L9/00 675A
   H04L9/00 601C
   H04L9/00 675B
【請求項の数】14
【全頁数】22
(21)【出願番号】特願2016-528326(P2016-528326)
(86)(22)【出願日】2014年7月8日
(65)【公表番号】特表2016-525838(P2016-525838A)
(43)【公表日】2016年8月25日
(86)【国際出願番号】CN2014081835
(87)【国際公開番号】WO2015010537
(87)【国際公開日】20150129
【審査請求日】2016年2月24日
(31)【優先権主張番号】201310314997.3
(32)【優先日】2013年7月24日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】516021887
【氏名又は名称】牟大同
(74)【代理人】
【識別番号】100142804
【弁理士】
【氏名又は名称】大上 寛
(72)【発明者】
【氏名】牟大同
【審査官】 金沢 史明
(56)【参考文献】
【文献】 国際公開第2007/099609(WO,A1)
【文献】 特開2004−348236(JP,A)
【文献】 特開平10−070576(JP,A)
【文献】 特開平05−075598(JP,A)
【文献】 特開2006−217275(JP,A)
【文献】 特開2000−010927(JP,A)
【文献】 国際公開第2012/073340(WO,A1)
【文献】 中国特許出願公開第102737311(CN,A)
【文献】 中国特許出願公開第103001976(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
下記のステップを含む暗号化通信方法:
ステップA:モバイル端末とアプリケーションサーバーは双方向認証を実行し、暗号化モバイル通信を構築し、モバイル端末とアプリケーションサーバーの間の認証及び通信のためのキーを導出する;
ステップB:クライアントホストが起動し、読み取り専用記憶装置に保存しているクライアントシステムソフトとクライアントネットワークアプリケーションソフトを読み取り起動してステップCを実行可能とする
ステップC:クライアントホストとアプリケーションサーバーがそれぞれ相手のIPアドレスを取得し、IPアドレスのフィルタールールをそれぞれ設定する;
ステップD:アプリケーションサーバーはランダム数とキーを生成し、モバイル端末を通じてクライアントホストに送信する;
ステップE:クライアントホストとアプリケーションサーバーの間で、直接前記IPアドレスのフィルタールールに基づいて、IPアドレスフィルターを実行し、また前記アプリケーションサーバーが生成した前記ランダム数と前記キーにより、クライアントホストとアプリケーションサーバーの間の双方向認証及びキー認証を行うことで、暗号化ネット通信を構築する;
こととし、
前記ステップAは以下のステップを含む:
ステップA11:モバイル端末とアプリケーションサーバーは対称認証キーKaKa’に基づき、双方向認証を実行し、対称通信キーKcKc’に基づき、暗号化モバイル通信を構築し、かつ、KaKa’とKcKc’の間には演算関係がなく、前記演算関係がないこととは任意の2個のキー間が互いに独立し、関連性がないことをいう;
ステップA12:アプリケーションサーバーはランダム数R1、R2、R3、R4を生成し、新しい認証キーKa’を導出し、Ka’を導出する過程は以下のステップを含む:
アプリケーションサーバーは保存しているMemPa’に基づき、MemPa’=f(R1,MemPa’)を計算する、ここで、R1はランダム数であり、MemPa’はキーであり、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含む;
アプリケーションサーバーは保存しているMemKa’に基づき、MemKa’=f(R2,MemKa’)を計算する、ここで、R2はランダム数であり、MemKa’はキーである;
アプリケーションサーバーはKa’=f(R1,R2,MemPa’,MemKa’)を計算する、ここで、R1とR2はランダム数であり、MemPa’はパラメーターであり、MemKa’はキーである;
アプリケーションサーバーは新しい通信キーKc’を導出し、Kc’の導出の過程は上記Ka’の導出の過程に演算関係がなく、Kc’の導出する過程は以下のステップを含む:
アプリケーションサーバーは保存しているMemPc’に基づき、MemPc’=f(R3,MemPc’)を計算する、ここで、R3はランダム数であり、MemPc’はキーである;
アプリケーションサーバーは保存しているMemKc’に基づき、MemKc’=f(R4,MemKc’)を計算する、ここで、R4はランダム数であり、MemKc’はキーである;
アプリケーションサーバーはKc’=f(R3,R4,MemPc’,MemKc’)を計算する、ここで、R3とR4はランダム数であり、MemPc’はパラメーターであり、MemKc’はキーである;
アプリケーションサーバーはKa’、Kc’、MemPa’、MemKa’、MemPc’、MemKc’を保存し、次の双方向認証、キー導出暗号化通信、キー導出に使う;
ステップA13:アプリケーションサーバーはランダム数R1、R2、R3、R4をモバイル端末に送信する;
ステップA14:モバイル端末は新しい認証キーKaを導出し、Kaを導出する過程は以下のステップを含む:
モバイル端末は保存しているMemPaに基づき、MemPa=f(R1,MemPa)を計算する、ここで、R1はランダム数であり、MemPaはキーである;
モバイル端末は保存しているMemKaに基づき、MemKa=f(R2,MemKa)を計算する、ここで、R2はランダム数であり、MemKaはキーである;
モバイル端末はKa=f(R1,R2,MemPa,MemKa)を計算する、ここで、R1とR2はランダム数であり、MemPaはパラメーターであり、MemKaはキーである;
モバイル端末は新しい通信キーKcを導出し、Kcの導出過程は上記のKaの導出過程と演算関係がなく、Kcの導出過程は下記のものを含む:
モバイル端末は保存しているMemPcに基づき、MemPc=f(R3,MemPc)を計算する、ここで、R3はランダム数であり、MemPcはキーである;
モバイル端末は保存しているMemKcにより、MemKc=f(R4,MemKc)を計算する、ここで、R4はランダム数であり、MemKcはキーである;
モバイル端末はKc=f(R3,R4,MemPc,MemKc)を計算する、ここで、R3とR4はランダム数であり、MemPcはパラメーターであり、MemKcはキーである;
モバイル端末はKa、Kc、MemPa、MemKa、MemPc、MemKcを保存し、次の双方向認証、キー導出暗号化通信、キー導出に使う。
【請求項2】
前記ステップBは以下のステップを含む:
ステップB11:クライアントホストが起動する;
ステップB12:読み取り専用記憶装置に保存しているクライアントシステムソフトを読み取り起動する
ステップB13:クライアントホストはクライアントシステムソフトにより該クライアントホストのハードディスクの使用禁止を行う
ステップB14:クライアントホストは読み取り専用記憶装置に保存しているクライアントネットアプリソフトウェアを読み取り起動する
ことを特徴とする請求項1に記載の暗号化通信方法。
【請求項3】
前記ステップCは以下のステップを含む:
ステップC11:クライアントホストはインターネットから該クライアントホストのIPアドレスIPAcを取得する;
ステップC12:
クライアントホストは読み取り専用記憶装置に保存しているアプリケーションサーバーのIPアドレスIPAsを読み取り起動する
または、
クライアントホストはユーザーをモバイル端末でアプリケーションサーバーからアプリケーションサーバーのIPアドレスIPAsを取得させ、ユーザーにIPAsをクライアントホストに入力させることで、アプリケーションサーバーのIPアドレスIPAsを読み取り起動する、
ステップC13:クライアントホストはIPアドレスフィルタールールを設定し、該クライアントホストによるIPソースアドレスがIPAsであるIPデータパッケージの受信を許可する;
ステップC14:クライアントホストはユーザーにモバイル端末を用いてアプリケーションサーバーにIPAcを送信することを提示する;
ステップC15:モバイル端末はIPAcを取得する
ステップC16:モバイル端末はIPAcをアプリケーションサーバーに送信し、アプリケーションサーバーはIPAcを受信し、同時にモバイル端末のモバイルユーザー総合業務デジタルネットワーク番号MSISDNを取得する;
ステップC17:アプリケーションサーバーはIPアドレスフィルタールールを設定し、アプリケーションサーバーはIPソースアドレスがIPAcであるIPデータパッケージの受信を許可する
ことを特徴とする請求項1に記載の暗号化通信方法。
【請求項4】
前記ステップDは以下のステップを含む:
ステップD11:アプリケーションサーバーはランダム数rand1、rand2、対称キーK1K1’、K2K2’、K3K3’を生成する、ここで、K1、K2、K3の任意の二者の間には演算関係がない;
ステップD12:アプリケーションサーバーはrand1、rand2、K1、K2、K3をモバイル端末に送信する;
ステップD13:モバイル端末はユーザーにrand1、rand2、K1、K2、K3のクライアントホストへの入力を提示する;
ステップD14:クライアントホストはrand1、rand2、K1、K2、K3を取得する
ことを特徴とする請求項1に記載の暗号化通信方法。
【請求項5】
前記ステップEは以下のステップを含む:
ステップE11:クライアントホストはres1=f(rand1,K1)を計算する、ここで、re1はレスポンスであり、rand1はランダム数であり、K1はキーであり、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含む;
ステップE12:クライアントホストはIPデータパッケージIP1を通じて、res1をアプリケーションサーバーに送信し、IP1のIPソースアドレスがIPAcである;
ステップE13:アプリケーションサーバーはIPアドレスフィルターを実行し、IPアドレスフィルタールールにより、IP1を受信し、クライアントホストからアプリサーバへの接続を許可する;
ステップE14:アプリケーションサーバーはres1’=f(rand1,K1’)を計算する、ここで、re1’はレスポンスであり、rand1はランダム数であり、K1’はキーである;
ステップE15:アプリケーションサーバーはres1’とres1を比較し、同じである場合には、ステップE16へ進み、そうではない場合には、あらゆるフローが終了する;
ステップE16:アプリケーションサーバーはres2’=f(rand2,K2’)を計算する、ここで、re2’はレスポンスであり、rand2はランダム数であり、K2’はキーであり、アプリケーションサーバーはランダム数rand3を生成し、rand3_c=E(rand3,K3’)を計算する、ここで、rand3_cが暗号文であり、K3’はキーであり、Eは暗号化関数である;
ステップE17:アプリケーションサーバーはIPデータパッケージIP2を通じて、res2’とrand3_cをクライアントホストに送信し、IP2のIPソースアドレスがIPAsである;
ステップE18:クライアントホストはIPアドレスフィルターを実行し、IPアドレスフィルタールールによりIP2を受信し、アプリケーションサーバーからクライアントホストへの接続を許可する;
ステップE19:クライアントホストはres2=f(rand2,K2)を計算する、ここで、res2はレスポンスであり、rand2はランダム数であり、K2はキーであり、クライアントホストはrand3_p=D(rand3_c,K3)を計算する、ここで、rand3_pはrand3_cの暗号化解除で取得した明文であり、rand3_cが暗号文であり、K3はキーであり、Dは暗号化関数Eに対応する暗号化解除関数である;
ステップE20:クライアントホストはres2とres2’を比較し、同じである場合には、ステップE21へ進み、そうではない場合には、あらゆるフローが終了する;
ステップE21:クライアントホストはユーザーにクライアントホストへのMSISDNの入力を提示する;
ステップE22:MSISDNをクライアントホストに入力する;
ステップE23:
クライアントホストとアプリケーションサーバーはrand3_pとrand3、MSISDN、K3とK3’に基づき、会話キーKsを認証し、Ksに基づき暗号化ネット通信を構築する、
または、
アプリケーションサーバーはユーザーの口座を開設するときに登録したユーザー情報からパラメーターCをランダムに選択し、モバイル端末またはクライアントホストを通じて、ユーザーへパラメーターCの名称を提示し、ユーザーにパラメーターCをクライアントホストに入力させ、クライアントホストとアプリケーションサーバーはパラメーターC、rand3_pとrand3、MSISDN、K3とK3’に基づき、会話キーKsを認証し、Ksに基づき暗号化ネット通信を構築する、
ことを特徴とする請求項1に記載の暗号化通信方法。
【請求項6】
前記ステップE23において、
ユーザーの口座開設するときに登録したユーザー情報は、
ユーザーの生物的な特徴、国際モバイルユーザー識別コードIMSI、国際モバイル設備識別番号IMEI、ICカード識別コードICCID、銀行口座の口座番号、身分証明書に明記するID、身分証明書に明記する有効期間または身分証明書に明記する住所を含む、
ことを特徴とする請求項5に記載の暗号化通信方法。
【請求項7】
対称キーK1,K2を非対称キーK1a,K2aとする取り替えを行い、K1a、K2a、対称キーK3の任意の二者の間には演算関係がないこととし、暗号化関数fを非対称暗号化/暗号化解除関数に取り換え、クライアントホストはK1aプライベートキーとK2aパブリックキーに基づき、アプリケーションサーバーはK2aプライベートキーとK1aパブリックキーに基づき、双方はランダム数を送信せずに、パブリックキーを交換することもなく
、レスポンスのみを送信し、双方向認証を実行し、レスポンスの間には、演算関係がない、
ことを特徴とする請求項に記載の暗号化通信方法。
【請求項8】
双方向認証では、レスポンスのみを送信し、ランダム数を送信せずに、非対称暗号化アルゴリズムを採用するときにはパブリックキーを交換せず、
レスポンスの間には演算関係がなく、レスポンスと会話キーの間にも演算関係がない、
ことを特徴とする請求項1又は請求項に記載の暗号化通信方法。
【請求項9】
暗号化通信方法の各実行ステップにおいて、
それぞれモバイル端末を通じてクライアントホストの全ての機能を完成できる、
ことを特徴とする請求項1乃至請求項のいずれか一項に記載の暗号化通信方法。
【請求項10】
請求項1乃至請求項9のいずれか一項に記載の暗号化通信方法を実施する暗号化通信システムであって、
読み取り専用記憶装置、クライアントホスト、モバイル端末、アプリケーションサーバーを含み、
読み取り専用記憶装置は、クライアントホストにクライアントシステムソフトとクライアントネットワークアプリケーションソフト及びアプリケーションサーバーのIPアドレスを提供するものであり、
クライアントホストは、データ通信ネットを通じてアプリケーションサーバーに接続し、起動した後、読み取り専用記憶装置に保存しているクライアントシステムソフトとクライアントネットワークアプリケーションソフトを読み取り・稼働し、読み取り専用記憶装置に保存しているアプリケーションサーバーのIPアドレスを読み取り、モバイル端末を通じてIPアドレスをアプリケーションサーバーに送信し、モバイル端末を通じてアプリケーションサーバーからランダム数とキーを受信し、アプリケーションサーバーのIPアドレスに基づき、IPアドレスフィルターを実行し、アプリケーションサーバーと双方向認証及びキー認証を実行し、暗号化ネット通信を構築するものであり、
モバイル端末は、モバイル通信ネットを通じてアプリケーションサーバーに接続し、アプリケーションサーバーと双方向認証を実行し、暗号化モバイル通信を構築し、クライアントホストとアプリケーションサーバーにランダム数とキー及びIPアドレスを送信するものであり、
アプリケーションサーバーは、モバイル端末と双方向認証を実行し、暗号化モバイル通信を構築し、モバイル端末を通じてクライアントホストのIPアドレスを受信し、ランダム数とキーを生成し、モバイル端末を通じてクライアントホストに送信し、クライアントホストのIPアドレスに基づき、IPアドレスフィルターを実行し、クライアントホストと双方向認証とキー認証を実行し、暗号化ネット通信を構築する、ことを特徴とする暗号化通信システム。
【請求項11】
前記読み取り専用記憶装置は、
CD−ROM、DVD−ROM、MASK ROM、PROM、EPROM、OTP ROM、EEPROMまたはFlash ROMのいずれかである、
ことを特徴とする請求項1に記載の暗号化通信システム。
【請求項12】
読み取り専用記憶装置は、有線通信インタフェースまたは無線通信インタフェースを通じてクライアントホストに接続される、
或いは読み取り専用記憶装置はクライアントホストのハードウェアとして設計される、
ことを特徴とする請求項1に記載の暗号化通信システム。
【請求項13】
モバイル端末は携帯電話、PDA、タブレットコンピュータまたはノートパソコンのいずれかである、ことを特徴とする請求項10に記載の暗号化通信システム。
【請求項14】
暗号化通信システムは、モバイル端末を通じてクライアントホストの全ての機能を実現する、
ことを特徴とする請求項10に記載の暗号化通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はインターネット技術、LAN技術、移動通信技術と情報セキュリティ技術分野に関わり、特に暗号化通信方法と暗号化通信システムに関する。
【背景技術】
【0002】
インターネットの発展は各種のネット安全問題をもたらし、主に以下のようなものがある。
トロイの木馬ウイルスを利用し、ユーザークライアントを通じてユーザーパスワードなどのユーザー敏感な情報を盗み取る;
フィッシングを利用し、ネット詐欺を行う;
ユーザークライアントに対するリモートコントロールを利用し、ユーザーのデータを操作を改竄し、大量のクライアントを侵入・コントロールした後、DDoS攻撃を起こす;
などである。
【0003】
これ以外にも、暗号化通信における会話キーの生成過程(インターネットに応用されるPKIは、非対称暗号化アルゴリズムに基づくキー交換過程、WLANに応用されるWPA−PSK/WPA2−PSKは、対称暗号化アルゴリズムに基づくキー認証過程)においては、無数攻撃のリスクを避けられない。並行計算技術と分布型計算技術の発展に伴い、当該問題は日に日に際立っている。
そこで本発明は、上記のインターネット安全問題に対して、暗号化通信方法と暗号化通信システムを提案するものである。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明が解決すべき技術課題は、暗号化通信方法と暗号化通信システムを提供することであり、モバイル端末を利用して、クライアントホストとアプリサーバーにIPアドレス、ランダム数とキーを送信させ、IPアドレスフィルター、双方向認証、キー認証を実行させて暗号化ネット通信を構築し、ネットアプリの安全性を向上させるものである。
【0005】
本発明の上記の技術課題を解決するための技術案は下記のとおりである:
暗号化通信方法であり、暗号化通信方法を使用する前に、ユーザーはアプリサーバーへ登録し、ユーザー情報をアプリサーバーに提出する。ユーザー情報は下記のものを含む:
ユーザーの生物学的な特徴、モバイル端末のモバイルユーザー総合業務デジタルネットワーク番号MSISDN(Mobile Subscriber Integrated Services Digital Network Number)、モバイル端末の国際モバイルユーザー識別コード IMSI(International Mobile Subscriber Identity)、モバイル端末の国際モバイル設備識別コードIMEI(International Mobile Equipment Identity)、モバイル端末SIMカードの集積回路カード識別コードICCID(Integrated Circuit Card Identity)、銀行口座(デビットカード、クレジットカードまたは預金通帳)の口座番号及び身分証明書のID、有効期間または住所;
アプリサーバーは対称キーKa/Ka’、Kc/Kc’、MemPa/MemPa’、MemKa/MemKa’、MemPc/MemPc’とMemKc/MemKc’を生成し、Ka、Kc、MemPa、MemKa、MemPcとMemKcをモバイル端末に書き込み、モバイル端末とアプリサーバーの双方向認証を実行させ、暗号化モバイル通信を構築し、キーを導出する。
【0006】
暗号化通信方法は下記のステップを含む:
ステップA:モバイル端末と応用サーバーは双方向認証を実行し、暗号化モバイル通信を構築し、キーを導出する;
ステップB:クライアントホストが起動し、読み取り専用記憶装置に保存しているクライアントシステムソフトとクライアントネットワークアプリケーションソフトを読み取り・稼働する;
ステップC:クライアントホストとアプリケーションサーバーがそれぞれ相手のIPアドレスを取得し、IPアドレスのフィルタールールをそれぞれ設定する;
ステップD:アプリケーションサーバーはランダム数とキーを生成し、モバイル端末を通じてクライアントホストに送信する;
ステップE:クライアントホストとアプリケーションサーバーはIPアドレスフィルター、双方向認証とキー認証を実行し、暗号化ネット通信を構築する。
【0007】
上記の方法を使う有益な効果として、ネットアプリの端末から端末まで(End−to−End)の安全性を保証する。
【0008】
上記の技術案について、暗号化通信方法を下記のように改善できる:
ステップAは以下のステップを含む:
ステップA11:モバイル端末とアプリサーバーは対称認証キーKa/Ka’に基づき、双方向認証を実行し、対称通信キーKc/Kc’に基づき、暗号化モバイル通信を構築し、かつ、Ka/Ka’とKc/Kc’の間には演算関係がない;
ステップA12:アプリサーバーはランダム数R1、R2、R3、R4を生成し、新しい認証キーKa’を導出し、Ka’を導出する過程は以下のステップを含む:
アプリサーバーは保存しているMemPa’に基づき、MemPa’=f(R1,MemPa’)を計算する、ここで、R1はランダム数であり、MemPaはキーであり、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含む;
アプリサーバーは保存しているMemKa’に基づき、MemKa’=f(R2,MemKa’)を計算する、ここで、R2はランダム数であり、MemKa’はキーである;
アプリサーバーはKa’=f(R1,R2,MemPa’,MemKa’)を計算する、ここで、R1とR2はランダム数であり、MemPa’はパラメーターであり、MemKa’はキーである;
アプリサーバーは新しい通信キーKc’を導出し、Kc’の導出の過程は上記Ka’の導出の過程に演算関係がなく、Kc’の導出する過程は以下のステップを含む:
アプリサーバーは保存しているMemPc’に基づき、MemPc’=f(R3,MemPc’)を計算する、ここで、R3はランダム数であり、MemPc’はキーである;
アプリサーバーは保存しているMemKc’に基づき、MemKc’=f(R4,MemKc’)を計算する、ここで、R4はランダム数であり、MemKc’はキーである;
アプリサーバーはKc’=f(R3,R4,MemPc’,MemKc’)を計算する、ここで、R3とR4はランダム数であり、MemPc’はパラメーターであり、MemKc’はキーである;
アプリサーバーはKa’、Kc’、MemPa’、MemKa’、MemPc’、MemKc’を保存し、次の双方向認証、キー導出暗号化通信、キー導出に使う;
ステップA13:アプリサーバーはランダム数R1、R2、R3、R4をモバイル端末に送信する;
ステップA14:モバイル端末は新しい認証キーKaを導出し、Kaを導出する過程は以下のステップを含む:
モバイル端末は保存しているMemPaに基づき、MemPa=f(R1,MemPa)を計算する、ここで、R1はランダム数であり、MemPaはキーである;
モバイル端末は保存しているMemPaに基づき、MemKa=f(R2,MemKa)を計算する、ここで、R2はランダム数であり、MemKaはキーである;
モバイル端末はKa=f(R1,R2,MemPa,MemKa)を計算する、ここで、R1とR2はランダム数であり、MemPaはパラメーターであり、MemKaはキーである;
モバイル端末は新しい通信キーKcを導出し、Kcの導出過程は上記のKaの導出過程と演算関係がなく、Kcの導出過程は下記のものを含む:
Kcのモバイル端末は保存しているMemPcに基づき、MemPc=f(R3,MemPc)を計算する、ここで、R3はランダム数であり、MemPcはキーである;
モバイル端末は保存しているMemKcにより、MemKc=f(R4,MemKc)を計算する、ここで、R4はランダム数であり、MemKcはキーである;
モバイル端末はKc=f(R3,R4,MemPc,MemKc)を計算する、ここで、R3とR4はランダム数であり、MemPcはパラメーターであり、MemKcはキーである;
モバイル端末はKa、Kc、MemPa、MemKa、MemPc、MemKcを保存し、次の双方向認証、キー導出暗号化通信、キー導出に使う。
【0009】
上記の案を使う有益な効果として、認証キーKa/Ka’と通信キーKc/Kc’の間には演算関係がないため、Ka/Ka’に基づく認証情報によるKc/Kc’に対する無数攻撃が防止される。
ステップAをn回目実行した後における、MemPa、MemKa、MemPcとMemKcのそれぞれのキー導出は、再帰演算K=f(R,f(Rn−1,f(…,f(R,f(Ri−1,f(…,f(R,f(R,K))))))))によりなされ、ここで、1≦i≦nであり、K,…,K,…,Kはキーであり、K=f(R,Ki−1)、R,Rn−1,…,R,…,R,R1はランダム数であり、それらは暗号化通信を通じて送信され、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含み、当該再帰演算に基づくMemPa/MemPa’とMemKa/MemKa’をパラメーターとキーとして、認証キーKa/Ka’を計算し、当該再帰演算に基づくMemPc/MemPc’とMemKc/MemKc’をパラメーターとキーとして、通信キーKc/Kc’を計算し、ルートキーにより認証キーと通信キーを計算せず、また、Kc/Kc’の導出過程とKa/Ka’の導出過程に演算関係がないことで、双方向認証と暗号化通信の安全性が向上させられる。
【0010】
ステップBは以下のステップを含む:
ステップB11:クライアントホストが起動する:
ステップB12:読み取り専用記憶装置に保存しているクライアントシステムソフトを読み取り・稼働する;
ステップB13:クライアントホストはクライアントシステムソフトウェアでホストのハードディスクの使用を禁止する;
ステップB14:クライアントホストは読み取り専用記憶装置に保存しているクライアントネットアプリソフトウェアを読み取り・稼働する。
【0011】
上記の案を使う有益な効果として、クライアントホストが起動した後、読み取り専用記憶装置で保存されたソフトウェアを使用し、クライアントホストのハードディスク使用が禁止され、クライアントホストハードディスクに保存されたコンピューターウイルスによるネットアプリに対する危害を防止する。
【0012】
ステップCは以下のステップを含む:
ステップC11:クライアントホストはインターネットからホストのIPアドレスIPAcを取得する;
ステップC12:クライアントホストは読み取り専用記憶装置に保存しているアプリサーバーのIPアドレスIPAsを読み取り・稼働する、或いは、クライアントホストはユーザーにモバイル端末を用いてアプリサーバーからアプリサーバーのIPアドレスIPAsを取得させ、ユーザーにIPAsをクライアントに入力させる;
ステップC13:クライアントホストはIPアドレスフィルタールールを設定し、ホストによるIPソースアドレスがIPAsであるIPデータパッケージの受信を許可する;
ステップC14:クライアントホストはユーザーがモバイル端末を用いてアプリサーバーにIPAcを送信することを提示する;
ステップC15:IPAcをモバイル端末に入力する;
ステップC16:モバイル端末はIPAcをアプリサーバーに送信し、アプリサーバーはIPAcを受信し、同時にモバイル端末のモバイルユーザー総合業務デジタルネットワーク番号MSISDNを取得する;
ステップC17:アプリサーバーはIPアドレスフィルタールールを設定し、ホストはIPソースアドレスがIPAcであるIPデータパッケージの受信を許可する。
【0013】
上記の案を使う有益な効果として、クライアントホストは、DNSを使用せずに、IPAsを直接利用してアプリサーバーにアクセスし、DNSハイジャック(DNS Hijacking)によるネットアプリに対する危害を防止する。クライアントホストはユーザーにモバイル端末を通じてIPAcをアプリサーバーに送信させ、アプリサーバーに対し、アクセスするクライアントホストのIPアドレスを把握させ、IPアドレスフィルタールールを設定する。
【0014】
ステップDは以下のステップを含む:
ステップD11:アプリサーバーはランダム数rand1、rand2、対称キーK1/K1’、K2/K2’、K3/K3’を生成する、ここで、K1、K2、K3の任意の二者の間には演算関係がない;
ステップD12:アプリサーバーはrand1、rand2、K1、K2、K3をモバイル端末に送信する;
ステップD13:モバイル端末はユーザーにrand1、rand2、K1、K2、K3のクライアントホストへの入力を提示する;
ステップD14、rand1、rand2、K1、K2、K3をクライアントホストに入力する。
【0015】
上記の案を使う有益な効果として、アプリサーバーはモバイル端末を通じて、ランダム数とキーをクライアントホストに送信し、ネット通信のワンタイムの秘密性が保証される。
【0016】
ステップEは以下のステップを含む:
ステップE11:クライアントホストはres1=f(rand1,K1)を計算する、ここで、re1はレスポンスであり、rand1はランダム数であり、K1はキーであり、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含む;
ステップE12:クライアントホストはIPデータパッケージIP1を通じて、res1をアプリサーバーに送信し、IP1のIPソースアドレスがIPAcである;
ステップE13:アプリサーバーはIPアドレスフィルターを実行し、IPアドレスフィルタールールにより、IP1を受信し、クライアントホストからアプリサーバへの接続を許可する;
ステップE14:アプリサーバーはres1’=f(rand1,K1’)を計算する、ここで、re1’はレスポンスであり、rand1はランダム数であり、K1’はキーである;
ステップE15:アプリサーバーはres1’とres1を比較し、同じである場合には、ステップE16へ進み、そうではない場合には、あらゆるフローが終了する;
ステップE16:アプリサーバーはres2’=f(rand2,K2’)を計算する、ここで、re2’はレスポンスであり、rand2はランダム数であり、K2’はキーである;アプリサーバーはランダム数rand3を生成し、rand3_c=E(rand3,K3’)を計算する、ここで、rand3_cが暗号文であり、K3’はキーであり、Eは暗号化関数である;
ステップE17:アプリサーバーはIPデータパッケージIP2を通じて、res2’とrand3_cをクライアントホストに送信し、IP2のIPソースアドレスがIPAsである;
ステップE18:クライアントホストはIPアドレスフィルターを実行し、IPアドレスフィルタールールによりIP2を受信し、アプリサーバーからクライアントホストへの接続を許可する;
ステップE19:クライアントホストはres2=f(rand2,K2)を計算する、ここで、res2はレスポンスであり、rand2はランダム数であり、K2はキーであり、クライアントホストはrand3_p=D(rand3_c,K3)を計算する、ここで、rand3_pはrand3_cの暗号化解除で取得した明文であり、rand3_cが暗号文であり、K3はキーであり、Dは暗号化関数Eに対応する暗号化解除関数である;
ステップE20:クライアントホストはres2とres2’を比較し、同じである場合には、ステップE21へ進み、そうではない場合には、あらゆるフローが終了する;
ステップE21、クライアントホストはユーザーにクライアントホストへのMSISDNの入力を提示する;
ステップE22:MSISDNをクライアントホストに入力する;
ステップE23:クライアントホストとアプリサーバーはrand3_p/rand3、MSISDN、K3/K3’に基づき、会話キーKsを認証し、Ksに基づき、暗号化ネット通信を構築する、または、アプリサーバーはユーザーの口座を開設するときに登録したユーザー情報からパラメーターCをランダムに選択し、モバイル端末またはクライアントホストを通じて、ユーザーへパラメーターCの名称を提示し、ユーザーをパラメーターCをクライアントホストに入力させ、クライアントホストとアプリサーバーはパラメーターC、rand3_p/rand3、MSISDN、K3/K3’に基づき、会話キーKsを認証し、Ksに基づき、暗号化ネット通信を構築する。
【0017】
上記の案を使う有益な効果として、アプリサーバーはIPアドレスフィルターを実行してクライアントホストを認証するので、DdoSによるアプリサーバーへの攻撃・危害が防止される。クライアントホストはIPアドレスフィルターを実行してアプリサーバーを認証するので、フィッシングによるクライアントホストに対する危害が防止される。ネット通信の双方向認証の過程において、クライアントホストとアプリサーバーの間ではランダム数が送信されず、レスポンスres1とres2’のみが送信され、res1とres2’の間には演算関係がないため、ネット送信される認証情報に基づく認証キーK1とK2に対する攻撃が防止される。res1とK3の間、res2’とK3の間には演算関係がなく、ネット送信される認証情報に基づく会話キーKsに対する攻撃が防止される。送信されないMSISDN(モバイル通信ネットはMSISDNに基づかず、臨時モバイルユーザー識別コードTMSI(Temporary Mobile Subscriber Identity)とIMSIに基づいてモバイル端末を識別し、モバイル通信ネットはTMSI/IMSIに対応するMSISDNとユーザーサービスをアプリサーバーに送信する)と、ランダムに選択されて送信されないパラメーターCと、モバイル通信ネットで送信されるK3と、インターネット暗号化送信されるrand3認証会話キーKsに基づくことで、キー認証の安全性が向上される。
【0018】
さらに、ステップE23にユーザーの口座開設するときに登録したユーザー情報は、ユーザーの生物的な特徴、国際モバイルユーザー識別コードIMSI 、国際モバイル設備識別番号IMEI、ICカード識別コードICCID、銀行口座の口座番号、身分証明書に明記するID、身分証明書に明記する有効期間または身分証明書に明記する住所を含む。
【0019】
上記の案を使う有益な効果として、ユーザー情報からパラメーターCがランダムに選択され、会話キーKsの認証に使われ、パラメーターCが伝達されないため、キー認証の安全性を向上させる。
【0020】
上記の暗号化通信方法において、対称キーK1とK2を非対称キーK1aとK2aとする取り替えを行い、K1a、K2a及び対称キーK3の任意の二者の間に演算関係がないこととし、暗号化関数fを非対称暗号化/暗号化解除関数に取り換え、クライアントホストはK1aプライベートキーとK2aパブリックキーに基づき、アプリサーバーはK2aプライベートキーとK1aパブリックキーに基づき、双方はランダム数を送信せずに、パブリックキーを交換することもなく、レスポンスのみを送信し、双方向認証を実行し、レスポンスの間には、演算関係がないこととする。
【0021】
上記の案を使う有益な効果として、暗号化通信方法に非対称暗号化アルゴリズムを採用して双方向認証を実行できる。双方向認証の際には、レスポンスのみが送信され、ランダム数が送信されず、パブリックキーが交換されず、レスポンスの間には演算関係がないので、ネット送信される認証情報による認証キーK1aとK2aに対する無数攻撃が防止される。K1aとK3の間、K2aとK3の間には演算関係がなく、ネット送信される認証情報による会話キーKsに対する攻撃が防止される。
【0022】
上記の暗号化通信方法において、双方向認証はレスポンスのみを送信し、ランダム数を送信せず、非対称暗号化アルゴリズムを採用するときには、パブリックキーを交換せず、レスポンスの間には演算関係がなく、レスポンスと会話キーの間にも演算関係がない。
【0023】
上記の案を使う有益な効果として、レスポンスのみが送信され、レスポンスの間には演算関係がないので、認証情報に基づく認証キーに対する無数攻撃が防止される。レスポンスと会話キーの間には演算関係がないので、認証情報に基づく会話キーに対する無数攻撃が防止される。
【0024】
暗号化通信方法の各実行ステップにおいて、モバイル端末を通じてクライアントホストの全ての機能を完了できる。
【0025】
上記の案を使う有益な効果として、本案のコストを更に削減できる。
【0026】
上述した暗号化通信方法に対応し、本発明の技術案には暗号化通信システムも含まれる。
即ち、読み取り専用記憶装置、クライアントホスト、モバイル端末とアプリケーションサーバーを含む暗号化通信システムであって、
読み取り専用記憶装置は、クライアントホストにクライアントシステムソフトウェアとクライアントネットワークアプリケーションソフトウェア及びアプリサーバーのIPアドレスを提供するものであり、
クライアントホストは、データ通信ネットを通じてアプリサーバーに接続し、起動した後、読み取り専用記憶装置に保存しているクライアントシステムソフトウェアとクライアントネットワークアプリケーションソフトウェアを読み取り・稼働し、読み取り専用記憶装置に保存しているアプリサーバーのIPアドレスを読み取り、モバイル端末を通じてIPアドレスをアプリサーバーに送信すし、モバイル端末を通じてアプリサーバーからランダム数とキーを受信し、アプリサーバーのIPアドレスに基づき、IPアドレスフィルターを実行し、アプリサーバーと双方向認証とキー認証を実行し、暗号化ネット通信を構築するものであり、
モバイル端末はモバイル通信ネットを通じてアプリサーバーに接続し、アプリサーバーと双方向認証を実行し、暗号化モバイル通信を構築し、クライアントホストとアプリサーバーにランダム数とキー及びIPアドレスを送信するものであり、
アプリサーバーは、モバイル端末と双方向認証を実行し、暗号化モバイル通信を構築し、モバイル端末を通じてクライアントホストのIPアドレスを受信し、ランダム数とキーを生成し、モバイル端末を通じてクライアントホストに送信し、クライアントホストのIPアドレスに基づき、IPアドレスフィルターを実行し、クライアントホストと双方向認証とキー認証を実行し、暗号化ネット通信を構築する。
【0027】
上記のシステムを使う有益な効果として、ネットアプリの端末から端末まで(End−to−End)の安全性が保証される。
【0028】
上記の技術案について、暗号化通信システムを下記のように改善できる。
読み取り専用記憶装置がCD−ROM、DVD−ROM、MASK ROM、PROM、EPROM、OTP ROM、EEPROMまたはFlash ROMのいずれかである。
【0029】
読み取り専用記憶装置は有線通信インタフェースまたは無線通信インタフェースを通じてクライアントホストに接続される、或いは読み取り専用記憶装置はクライアントホストのハードウェアとして設計される。
【0030】
モバイル端末は携帯電話、PDA、タブレットコンピュータまたはノートパソコンのいずれかである。
【0031】
暗号化通信システムはモバイル端末を通じてクライアントホストの全ての機能を完成できる。
【0032】
データ通信ネットはWAN、MANとLANを含む;モバイル端末は音声、メッセージまたはデータの方式でアプリサーバーと通信する。
【0033】
本発明が提供する方法とシステムは、ネットアプリの端末から端末まで(End−to−End)の安全性を保証する。
【図面の簡単な説明】
【0034】
図1は本発明実施例一に述べた暗号化通信システムの構造イメージ図である;
図2は本発明実施例二に述べた暗号化通信方法のフローチャートである;
図3は本発明実施例二に述べた暗号化通信方法ステップBのフローチャートである;
図4は本発明実施例二に述べた暗号化通信方法ステップCのフローチャートである;
図5は本発明実施例二に述べた暗号化通信方法ステップDのフローチャートである;
図6は本発明実施例二に述べた暗号化通信方法ステップEのフローチャートである;
図7は本発明実施例三に述べた暗号化WLAN通信構築の方法のフローチャートである;
図8は本発明実施例四に述べた携帯電話銀行を実現する方法のフローチャートである;
図9は本発明実施例二に述べた暗号化通信方法ステップAのフローチャートである。
図面の符号は、下記のとおりである:
101、読み取り専用記憶装置、102、クライアントホスト、103、モバイル端末、104、アプリサーバー。
【発明を実施するための形態】
【0035】
以下添付図面に合わせて本発明の原理と特徴について説明する。記載される例は本発明の解釈のみに使用され、本発明の範囲を制限するものではない。
【0036】
図1に示すように、実施例一は暗号化通信システムを提供するものであり、システムは読み取り専用記憶装置101、クライアントホスト102、モバイル端末103及びアプリサーバー104を含む。
読み取り専用記憶装置101は、クライアントホスト102にクライアントシステムソフトウェアとクライアントネットワークアプリケーションソフトウェア及びアプリサーバー104のIPアドレスを提供し、クライアントネットワークアプリケーションソフトウェアは、ブラウザ、安全ソフトウェア、リアルタイム通信ソフトウェアとゲームソフトウェアを含む;
クライアントホスト102は、データ通信ネットを通じてアプリサーバー104に接続し、起動した後、読み取り専用記憶装置101に保存しているクライアントシステムソフトウェアとクライアントネットワークアプリケーションソフトウェアを読み取り・稼働し、読み取り専用記憶装置101に保存しているアプリサーバー104のIPアドレスを読み取る。クライアントホスト102は、モバイル端末103を通じて、IPアドレスをアプリサーバー104に送信させるる。クライアントホスト102は、モバイル端末103を通じて、アプリサーバー104からランダム数とキーを受信する。クライアントホスト102は、アプリサーバー104のIPアドレスに基づき、IPアドレスフィルターを実行し、アプリサーバー104と双方向認証とキー認証を実行し、暗号化ネット通信を構築する;
モバイル端末103は、モバイル通信ネットを通じてアプリサーバー104に接続し、アプリサーバー104と双方向認証を実行し、暗号化モバイル通信を構築する。モバイル端末103は、クライアントホスト102とアプリサーバー104にランダム数とキー及びIPアドレスを送信する;
アプリサーバー104は、モバイル端末103と双方向認証を実行し、暗号化モバイル通信を構築する。アプリサーバー104は、モバイル端末103を通じてクライアントホスト102のIPアドレスを受信する。アプリサーバー104は、ランダム数とキーを生成し、モバイル端末103を通じてクライアントホスト102に送信する。アプリサーバー104は、クライアントホスト102のIPアドレスに基づき、IPアドレスフィルターを実行し、クライアントホスト102と双方向認証とキー認証を実行し、暗号化ネット通信を構築する。
【0037】
実施例一において、データ通信ネットにはWAN、MAN、LANが含まれる。モバイル端末103には音声、メッセージ、データの方式でアプリサーバー104と通信する。読み取り専用記憶装置101はCD−ROM、DVD−ROM、MASK ROM、PROM、EPROM、OTP ROM、EEPROM、または、Flash ROMのいずれかである。モバイル端末103は、携帯電話、PDA、タブレットコンピュータまたはノートパソコンのいずれかであり、クライアントホスト102の全ての機能を完成できる。
【0038】
図2に示すように、実施例二は暗号化通信方法を提供するものであり、下記のステップを含む:
ステップA:モバイル端末と応用サーバーは双方向認証を実行し、暗号化モバイル通信を構築し、キーを導出する;
ステップB:クライアントホストが起動し、読み取り専用記憶装置に保存しているクライアントシステムソフトとクライアントネットワークアプリケーションソフトを読み取り・稼働する;
ステップC:クライアントホストとアプリケーションサーバーがそれぞれ相手のIPアドレスを取得し、IPアドレスのフィルタールールをそれぞれ設定する;
ステップD:アプリケーションサーバーはランダム数とキーを生成し、モバイル端末を通じてクライアントホストに送信する;
ステップE:クライアントホストとアプリケーションサーバーはIPアドレスフィルター、双方向認証とキー認証を実行し、暗号化ネット通信を構築する。
【0039】
上記の各実行ステップにおいては、モバイル端末を通じてクライアントホストの全ての機能を完成できる。
【0040】
図9に示すように、実施例二に述べたステップAは下記の者を含む:
ステップA11:モバイル端末とアプリサーバーは対称認証キーKa/Ka’に基づき、双方向認証を実行し、対称通信キーKc/Kc’に基づき、暗号化モバイル通信を構築する。ここで、Ka/Ka’とKc/Kc’の間には演算関係がない;
ステップA12:アプリサーバーはランダム数R1、R2、R3、R4を生成し、新しい認証キーKa’を導出し、Ka’を導出する過程は下記のものを含む
アプリサーバーは保存しているMemPa’に基づき、MemPa’=f(R1,MemPa’)を計算する、ここで、R1はランダム数であり、MemPaはキーであり、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含む;
アプリサーバーは保存しているMemKa’に基づき、MemKa’=f(R2,MemKa’)を計算する、ここで、R2はランダム数であり、MemKa’はキーである;
アプリサーバーはKa’=f(R1,R2,MemPa’,MemKa’)を計算する、ここで、R1とR2はランダム数であり、MemPa’はパラメーターであり、MemKa’はキーである;
アプリサーバーは新しい通信キーKc’を導出し、Kc’の導出の過程は上記Ka’の導出の過程に演算関係がなく、Kc’の導出する過程は以下のステップを含む:
アプリサーバーは保存しているMemPc’に基づき、MemPc’=f(R3,MemPc’)を計算する、ここで、R3はランダム数であり、MemPc’はキーである;
アプリサーバーは保存しているMemKc’に基づき、MemKc’=f(R4,MemKc’)を計算する、ここで、R4はランダム数であり、MemKc’はキーである;
アプリサーバーはKc’=f(R3,R4,MemPc’,MemKc’)を計算する、ここで、R3とR4はランダム数であり、MemPc’はパラメーターであり、MemKc’はキーである;
アプリサーバーはKa’、Kc’、MemPa’、MemKa’、MemPc’、MemKc’を保存し、次の双方向認証、キー導出暗号化通信、キー導出に使う;
ステップA13:アプリサーバーはランダム数R1、R2、R3、R4をモバイル端末に送信する;
ステップA14:モバイル端末は新しい認証キーKaを導出し、Kaを導出する過程は以下のステップを含む:
モバイル端末は保存しているMemPaに基づき、MemPa=f(R1,MemPa)を計算する、ここで、R1はランダム数であり、MemPaはキーである;
モバイル端末は保存しているMemPaに基づき、MemKa=f(R2,MemKa)を計算する、ここで、R2はランダム数であり、MemKaはキーである;
モバイル端末はKa=f(R1,R2,MemPa,MemKa)を計算する、ここで、R1とR2はランダム数であり、MemPaはパラメーターであり、MemKaはキーである;
モバイル端末は新しい通信キーKcを導出し、Kcの導出過程は上記のKaの導出過程と演算関係がなく、Kcの導出過程は下記のものを含む
Kcのモバイル端末は保存しているMemPcに基づき、MemPc=f(R3,MemPc)を計算する、ここで、R3はランダム数であり、MemPcはキーである;
モバイル端末は保存しているMemKcにより、MemKc=f(R4,MemKc)を計算する、ここで、R4はランダム数であり、MemKcはキーである;
モバイル端末はKc=f(R3,R4,MemPc,MemKc)を計算する、ここで、R3とR4はランダム数であり、MemPcはパラメーターであり、MemKcはキーである;
モバイル端末はKa、Kc、MemPa、MemKa、MemPc、MemKcを保存し、次の双方向認証、キー導出暗号化通信、キー導出に使う。
【0041】
図3に示すように、実施例二に述べたステップBは以下のステップを含む:
ステップB11:クライアントホストが起動する
ステップB12:読み取り専用記憶装置に保存しているクライアントシステムソフトを読み取り・稼働する;
ステップB13:クライアントホストはクライアントシステムソフトウェアでホストのハードディスクの使用を禁止する;
ステップB14:クライアントホストは読み取り専用記憶装置に保存しているクライアントネットアプリソフトウェアを読み取り・稼働する。
【0042】
図4に示すように、実施例二に述べたステップCは、さらに以下を含む:
ステップC11:クライアントホストはインターネットからホストのIPアドレスIPAcを取得する;
ステップC12:クライアントホストは読み取り専用記憶装置に保存しているアプリサーバーのIPアドレスIPAsを読み取り・稼働する;または、クライアントホストはユーザーをモバイル端末でアプリサーバーからアプリサーバーのIPアドレスIPAsを取得させ、ユーザーにIPAsをクライアントに入力させる;
ステップC13:クライアントホストはIPアドレスフィルタールールを設定し、ホストによるIPソースアドレスがIPAsであるIPデータパッケージの受信を許可する;
ステップC14:クライアントホストはユーザーがモバイル端末を用いてアプリサーバーにIPAcを送信することを提示する;
ステップC15:IPAcをモバイル端末に入力する;
ステップC16:モバイル端末はIPAcをアプリサーバーに送信し、アプリサーバーはIPAcを受信し、同時にモバイル端末のモバイルユーザー総合業務デジタルネットワーク番号MSISDNを取得する;
ステップC17:アプリサーバーはIPアドレスフィルタールールを設定し、ホストはIPソースアドレスがIPAcであるIPデータパッケージの受信を許可する。
【0043】
図5に示すように、実施例二に述べたステップDは以下のステップを含む:
ステップD11:アプリサーバーはランダム数rand1、rand2、対称キーK1/K1’、K2/K2’、K3/K3’を生成し、K1、K2、K3の任意の二者の間には演算関係がない;
ステップD12:アプリサーバーはrand1、rand2、K1、K2、K3をモバイル端末に送信する;
ステップD13:モバイル端末はユーザーにrand1、rand2、K1、K2、K3のクライアントホストへの入力を提示する;
ステップD14:rand1、rand2、K1、K2、K3をクライアントホストに入力する。
【0044】
図6に示すように、実施例二に述べたステップEは以下のステップを含む:
ステップE11:クライアントホストはres1=f(rand1,K1)を計算する、ここで、re1はレスポンスであり、rand1はランダム数であり、K1はキーであり、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含む;
ステップE12:クライアントホストはIPデータパッケージIP1を通じて、res1をアプリサーバーに送信し、IP1のIPソースアドレスがIPAcである;
ステップE13:アプリサーバーはIPアドレスフィルターを実行し、IPアドレスフィルタールールにより、IP1を受信し、クライアントホストからアプリサーバへの接続を許可する;
ステップE14:アプリサーバーはres1’=f(rand1,K1’)を計算する、ここで、re1’はレスポンスであり、rand1はランダム数であり、K1’はキーである;
ステップE15:アプリサーバーはres1’とres1を比較し、同じである場合には、ステップE16へ進み、そうではない場合には、あらゆるフローが終了する;
ステップE16:アプリサーバーはres2’=f(rand2,K2’)を計算する、ここで、re2’はレスポンスであり、rand2はランダム数であり、K2’はキーである;アプリサーバーはランダム数rand3を生成し、rand3_c=E(rand3,K3’)を計算する、ここで、rand3_cが暗号文であり、K3’はキーであり、Eは暗号化関数である;
ステップE17:アプリサーバーはIPデータパッケージIP2を通じて、res2’とrand3_cをクライアントホストに送信し、IP2のIPソースアドレスがIPAsである;
ステップE18:クライアントホストはIPアドレスフィルターを実行し、IPアドレスフィルタールールによりIP2を受信し、アプリサーバーからクライアントホストへの接続を許可する;
ステップE19:クライアントホストはres2=f(rand2,K2)を計算する、ここで、res2はレスポンスであり、rand2はランダム数であり、K2はキーである;クライアントホストはrand3_p=D(rand3_c,K3)を計算する、ここで、rand3_pはrand3_cの暗号化解除で取得した明文であり、rand3_cが暗号文であり、K3はキーであり、Dは暗号化関数Eに対応する暗号化解除関数である;
ステップE20:クライアントホストはres2とres2’を比較し、同じである場合には、ステップE21へ進み、そうではない場合には、あらゆるフローが終了する;
ステップE21:クライアントホストはユーザーにクライアントホストへのMSISDNの入力を提示する;
ステップE22:MSISDNをクライアントホストに入力する;
ステップE23:クライアントホストとアプリサーバーはrand3_p/rand3、MSISDN、K3/K3’に基づき、会話キーKsを認証し、Ksに基づき、暗号化ネット通信を構築する;または、アプリサーバーはユーザーの口座を開設するときに登録したユーザー情報からパラメーターCをランダムに選択し、モバイル端末またはクライアントホストを通じて、ユーザーへパラメーターCの名称を提示し、ユーザーをパラメーターCをクライアントホストに入力させ、クライアントホストとアプリサーバーはパラメーターC、rand3_p/rand3、MSISDN、K3/K3’に基づき、会話キーKsを認証し、Ksに基づき、暗号化ネット通信を構築する。
【0045】
ステップE23において、ユーザー情報には、ユーザーの生物的な特徴、国際モバイルユーザー識別コードIMSI、国際モバイル設備識別番号IMEI、ICカード識別コードICCID、銀行口座の口座番号、身分証明書に明記するID、身分証明書に明記する有効期間または身分証明書に明記する住所を含む。
【0046】
図7に示すように、実施例三では、モバイル端末とアプリサーバーが構築する暗号化WLAN通信の方法を提供するものであり、当該方法は下記のステップを含む:
モバイル端末は出荷Flash ROMに保存されたモバイル端末システムソフトウェアを読み取り・稼働する;
モバイル端末はモバイル通信ネットを通じてWLAN暗号化通信請求をアプリサーバーに送信する;
アプリサーバーはランダム数Rand1、Rand2とプリシェアキーPSKを生成し、Rand1とRand2の間、Rand1とPSKの間、Rand2とPSKの間には演算関係がなく、アプリサーバーはモバイル通信ネットを通じてRand1、Rand2、PSKをモバイル端末に送信する;
モバイル端末はWLANを通じてRand1をアプリサーバーに送信する;
アプリサーバーはRand1が正しいを検証した後、WLANを通じてRand2をモバイル端末に送信する;
モバイル端末はRand2が正しいを検証した後、WLAN認証過程が終わる;
モバイル端末とアプリサーバーはPSKに基づき、暗号化WLAN通信を構築する。
【0047】
実施例三において、モバイル端末を起動した後、ROMが保存しているソフトウェアを使用することで、コンピューターウイルスによるモバイル端末に対する危害が防止される。Rand1とPSKの間、Rand2とPSKの間には演算関係がないため、WLANにて送信される認証情報によるWLANプリシェアキーPSKに対する無数攻撃が防止される。
【0048】
図8に示すように、実施例四はUSBKey、携帯電話、インターネットバンキングサーバーを利用し携帯電話銀行を実現する方法を提供するものであり、ここで、USBKeyはOTG(On−The−Go)接続ラインを通じて携帯に接続し、USBKeyは携帯電話に対して読み取り専用である。
【0049】
上記の方法を使う前に、ユーザーはインターネットバンキングサーバーへ登録し、インターネットバンキングサーバーは携帯電話システムソフトウェア、携帯電話銀行ソフトウェア、インターネットバンキングサーバーのIPアドレスをUSBKeyに書き込み、インターネットバンキングサーバー、ユーザーデジタル証明書を生成、保存し、ユーザーデジタル証明書をUSBKeyに書き込み、インターネットバンキングサーバーは対称キーK1/K1’を生成し、K1’を保存し、K1をUSBKeyに書き込むこととし、K1とユーザーデジタル証明書の間、及び、K1とインターネットバンキングサーバーデジタル証明書の間には演算関係がない。
【0050】
上記の方法は下記のステップを含む:
携帯を起動し、USBKeyに保存している携帯電話システムソフトウェアと携帯電話銀行ソフトウェアを読み取り・稼働する;
携帯電話はUSBKeyに保存しているインターネットバンキングサーバーのIPアドレスを読み取り、当該IPアドレスによりIPアドレスフィルタールールを設定し、インターネットバンキングサーバーがホストへの接続を許可する;
携帯電話はUSBKeyに保存しているユーザーデジタル証明書を読み取る;
携帯電話とインターネットバンキングサーバーはユーザーデジタル証明書に基づき、インターネットバンキングサーバーデジタル証明書は双方向認証を実行し、SSLリンクを構築する;
インターネットバンキングサーバーはランダム数rand1を生成し、Kc’=f(rand1,K1’)を計算する、ここで、Kc’は通信キーであり、K1’はキーであり、fは暗号化関数であり、fは単向Hash関数、対称暗号化関数、及び、当該二種類の関数により構成する関数を含む;
インターネットバンキングサーバーはSSLリンクを通じてrand1を携帯電話に送信する;
携帯電話はrand1をUSBKeyに送信する;
USBKeyはKc=f(rand1,K1)を計算する、ここで、Kcは通信キーであり、rand1はランダム数であり、K1はキーである;
USBKeyはKcを携帯電話に送信する;
携帯電話とインターネットバンキングサーバーはSSLリンクにおいて通信キーKc/Kc’に基づき、暗号化通信接続を構築し、携帯電話銀行ソフトウェアは当該SSLリンクにある暗号化通信を通じてインターネットバンキングサーバーと通信する。
【0051】
実施例四において、携帯電話を起動した後に、読み取り専用USBKeyに保存しているソフトウェアを使用するので、コンピューターウイルスによる携帯電話銀行アプリへの危害が防止される。携帯電話は読み取り専用USBKeyに保存しているインターネットバンキングサーバーのIPアドレスを使用し、DNSを使用せず、DNSハイジャックによる携帯電話銀行アプリへの危害が防止される。携帯電話はIPアドレスフィルターを実行するので、フィッシングによる携帯電話に対する危害が防止される。携帯電話とインターネットバンキングサーバーはデジタル証明書に基づき、双方向認証を実行し、USBKeyとインターネットバンキングサーバーはK1/K1’に基づき、通信キーKc/Kc’を認証し、認証情報と通信キーの間には演算関係がないので、認証情報による通信キーに対する無数攻撃が防止される。SSLリンクを通じて、rand1を送信し、rand1を通信キーKcの認証に使うことで、キー認証の安全性が向上する。SSLリンクで暗号化通信接続を構築することで、携帯電話銀行の安全性が向上する。
【0052】
上記以外にも、ユーザーが登録するときには、インターネットバンキングサーバーにユーザーデジタル証明書と携帯電話SIMカードICCIDまたはユーザー身分証明書IDを保存し、インターネットバンキングサーバーデジタル証明書をUSBKeyに書き込む。携帯電話とインターネットバンキングサーバーはユーザーデジタル証明書、インターネットバンキングサーバーデジタル証明書に基づき双方向認証を実行するときに、携帯電話はUSBKeyに保存しているインターネットバンキングサーバーデジタル証明書を読み取り、携帯電話は携帯電話SIMカードICCIDまたは携帯電話の身分証明書IDをインターネットバンキングサーバーに送信し、インターネットバンキングサーバーは保存している当該ICCID、または、身分証明書IDに対応するユーザーデジタル証明書を読み取り、携帯電話とインターネットバンキングサーバーはデジタル証明書を交換せずに、双方向認証を実行する。
【0053】
携帯電話は読み取り専用USBKeyに保存しているインターネットバンキングサーバーデジタル証明書を使い、インターネットバンキングサーバーは保存しているユーザー情報ICCIDまたは身分証明書IDに対応するユーザーデジタル証明書を使い、携帯電話とインターネットバンキングサーバーはパブリックキーを交換せず双方向認証を実行することで、安全性が向上する。
【0054】
これ以外にも、SDカード、Micor SDカード、SIMカードまたは携帯電話出荷Flash ROMによりUSBKeyの全ての機能を発揮させることができ、これらの記憶装置は携帯電話に対して読み取り専用とする。
【0055】
実施例五は本発明の実施例二の簡素化方法を提供するものである。ここで、モバイル端末はUSBを通じてクライアントホストに接続するものであり、当該方法は下記のステップを含む:
ステップA’:モバイル端末が起動し、モバイル端末の読み取り専用形式で保存されたモバイル端末システムソフトウェアとモバイル端末ネットアプリソフトウェアを読み取り・稼働し、アプリサーバーとモバイル通信を構築する;
ステップB’:クライアントホストが起動し、モバイル端末の読み取り専用形式で保存しているクライアントシステムソフトウェアとクライアントネットワークアプリケーションソフトウェアを読み取り・稼働する;
ステップC’:クライアントホストはモバイル端末を通じてアプリサーバーからアプリサーバーのIPアドレスを獲得し、IPアドレスフィルタールールを設定し、アプリサーバーからのクライアントホストへの接続を許可し、アプリサーバーはモバイル端末を通じてクライアントホストからクライアントホストのIPアドレスを獲得し、IPアドレスフィルタールールを設定し、クライアントホストからのアプリサーバーへの接続を許可する;
ステップD’:アプリサーバーは会話キーを生成し、モバイル端末を通じてクライアントホストに送信する;
ステップE’:クライアントホストとアプリサーバーはIPアドレスフィルターを実行し、会話キーに基づき、暗号化ネット通信を構築する。
【0056】
実施例五において、クライアントホストとアプリサーバーは双方向認証とキー認証を使用せず、モバイル端末が送信する会話キーに基づき、暗号化ネット通信を構築するので、ネット送信に基づく認証情報による会話キーに対する無数攻撃が防止される。
【0057】
上記は本発明の好適な実施例であり、本発明を制限するものではなく、本発明の精神と原則内におけるいかなる修正、同等な置換、改善などは、本発明の保護範囲内に含まれるべきである。
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.