【技术实现步骤摘要】
数据的安全传输方法
本专利技术涉及在围绕消息传递代理布置的传输架构中安全地传输数据的方法,消息传递代理(agentdemessagerie)有时也称为“消息代理(agentdemessages)”或“消息中介(courtierdemessages)”或“消息传递中介(courtierdemessagerie)”,英语为“messagebroker”。
技术介绍
消息传递代理充当须彼此通信的各种单元之间的居间中介,从而使得这些各种单元能够脱开(découplage)。当彼此通信的各种单元必须强制性地遵守端到端的安全传输约束时,会出现困难。实际上,在数据传输链中实施消息传递代理按照定义会引入削弱数据安全保障的居间中介。更确切地说,可以藉由例如TLS(英语为“TransportLayerSecurity(传输层安全性)”)协议来保障端到端通信的安全,该协议使得能够在客户端-服务器关系中确保服务器的基本认证(简单认证)和在服务器如此请求的情况下的客户端的基本认证(互相认证)、以及所交换数据的机密性和完整性。消息传递代理的存在于是强迫在消息传递代理与须彼此通信的各种单元中的每一个单元之间使用TLS协议,但是由于消息传递代理于是本身能够访问在所述各种单元之间交换的未经加密的数据,因此不再遵守端到端的安全性约束。另外,鉴于对诸如TLS或SASL(英语为“SimpleAuthenticationandSecurityLayer(简单认证和安全性层)”)之类的安全性协议的支持,消息传递代理的该类型是特定的。另外,考虑到针对数百 ...
【技术保护点】
1.经由消息传递代理(120)在第一装置(500、130、231)和第二装置(501、101、201)之间进行端到端的数据安全传输的方法,其特征在于该方法包括以下步骤:/n- 借助于信令消息经由消息传递代理(120)在第一装置(500、130、231)和第二装置(501、101、201)之间共享(403)熵池,以非对称方式对所述信令消息的可能的有用数据(602)进行加密,并且所述信令消息包括消息签名(615);以及/n- 经由消息传递代理(120)在第一装置(500、130、231)和第二装置(501、101、201)之间传输(905)后续消息,每个所述后续消息包括头部(701)和有用数据(702、802),头部(701)包括基于所共享的熵池获得(901)的认证密钥的识别码(716)和基于所共享的熵池获得(902)的对称加密密钥的识别码(715),藉由对称加密密钥以对称方式对有用数据(702、802)进行加密,并且藉由消息认证码(718)对由头部(701)和有用数据(702、802)形成的整体进行认证,所述消息认证码(718)是藉由认证密钥获得的并且插入在头部(701)中。/n
【技术特征摘要】
20190502 FR 19046201.经由消息传递代理(120)在第一装置(500、130、231)和第二装置(501、101、201)之间进行端到端的数据安全传输的方法,其特征在于该方法包括以下步骤:
-借助于信令消息经由消息传递代理(120)在第一装置(500、130、231)和第二装置(501、101、201)之间共享(403)熵池,以非对称方式对所述信令消息的可能的有用数据(602)进行加密,并且所述信令消息包括消息签名(615);以及
-经由消息传递代理(120)在第一装置(500、130、231)和第二装置(501、101、201)之间传输(905)后续消息,每个所述后续消息包括头部(701)和有用数据(702、802),头部(701)包括基于所共享的熵池获得(901)的认证密钥的识别码(716)和基于所共享的熵池获得(902)的对称加密密钥的识别码(715),藉由对称加密密钥以对称方式对有用数据(702、802)进行加密,并且藉由消息认证码(718)对由头部(701)和有用数据(702、802)形成的整体进行认证,所述消息认证码(718)是藉由认证密钥获得的并且插入在头部(701)中。
2.根据权利要求1所述的方法,其中,消息认证码是HMAC类型的。
3.根据权利要求1和2中的一项所述的方法,其中,通过存储在熵池中的第一数据的聚合来获得认证密钥,并且通过熵池中的对应于所述第一数据的索引的聚合来获得认证密钥的识别码。
4.根据权利要求1和2中的一项所述的方法,其中,通过存储在熵池中的第一数据的聚合来获得认证密钥,并且认证密钥的识别码是索引聚合表的索引,熵池中的对应于所述第一数据的索引的聚合被存储在所述索引聚合表中。
5.根据权利要求1至3中的任一项所述的方法,其中,通过存储在熵池中的第二数据的聚合来获得对称加密密钥,并且通过熵池中的对应于所述第二数据的索引的聚合来获得对称加密密钥的识别码。
6.根据权利要求1至4中的任一项所述的方法,其中,通过存储在熵池中的第二数据的聚合来获得对称加密密钥,并且对称加密密钥的识别码是索引聚合表的索引,熵池中的对应于所述第二数据的索引的聚合被存储在所述索引聚合表中。
7.根据权利要求1至6中的任一项所述的方法,其中,第一装置(130、231)通过使用与跟第二装置(101、201)一起使用的相同的熵池、以相同的方式来执行经由消息传递代理(120)与第三装置(102、202)的端到端的数据安全收发。
8.根据权利要求1至6中的任一项所述的方法,其中,第一装置(130、231、500)通过使用与跟第二装置(101、201、501)一起使用的熵池不同的熵池、以相同的方式来执行经由消息传递代理(120)与第三装置(102、202、502)的端到端的数据安全收发。
9.根据权利要求1至6中的任一项所述的方法...
【专利技术属性】
技术研发人员:A罗克莱,O梅维森,
申请(专利权)人:萨基姆卡姆宽带股份有限公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。