描述了用于确保接收到的消息的数据完整性和认证的技术。一种技术包括从第一模块向第二模块发送请求,其中请求包括作为用公钥加密的共享密钥的第一部分,由该第二模块从诸如许可证信息存储的包括关于该第一模块的许可证信息或其他应用程序专用的信息的安全且可信的信息存储中获取私钥,使用该私钥来解密该第一部分并且获取共享的秘密,从该第二模块向该第一模块发送响应,其中所述响应包括认证数据和至少一个数据项,该数据项与该共享的秘密一起用于确定该认证数据,以及由该第一模块执行验证处理以验证包括在该响应中的认证数据。
【技术实现步骤摘要】
【国外来华专利技术】用于确保通信的认证和完整性的技术背景消息可以在客户机即发起请求的实体、和服务器即响应请求的实体之间传递。客 户机可以将请求消息发送给服务器,而服务器可以将响应消息发送给客户机。客户机和服 务器可以是例如两台计算机或同一台计算机系统上的两个模块等。存在有关在客户机和服 务器之间交换消息的数据完整性和真实性的问题。客户机和服务器之一或两者可能会关心 所交换的信息的数据完整性和真实性。数据完整性可以涉及消息内容和确保接收到的消息 不是原始消息的经修改的版本。真实性可以涉及对发送者的认证,因为接收到的消息可能 是由除了期望的发送者之外的实体生成的。结合客户机接收到的响应,攻击者可以截取和 修改原本从服务器发送的响应。由此,客户机接收具有已经被修改的内容的响应。攻击者也 可以引入意在成为生成响应的服务器的另一实体,而非截取原本由服务器发送的响应。后 者可例如在攻击者引入代替服务器发送和接收消息的模块的情况下发生。相似地,结合服 务器接收到的请求,攻击者可以截取并修改原始的请求,或者攻击者可以用其他方式引入 代替请求者发送和接收消息的模块。概述提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概 念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定 所要求保护的主题的范围。 描述了用于确保第一模块从第二模块接收到的通信的真实性和数据完整性的技 术。依照本专利技术的一方面,第一模块使用非对称密钥对的公钥来加密共享的秘密,并且将经 加密的共享的秘密发送给第二模块。第二模块从诸如许可证信息存储的安全和可信的信息 存储中检索非对称密钥对的私钥,并且使用该私钥来获取共享的秘密以便为从第二模块发 送到第一模块的消息生成认证数据。第一模块使用共享的秘密来执行验证处理。依照本发 明的另一方面,第二模块使用从许可证信息存储或其他安全且可信的信息存储获取的非对 称密钥对的私钥来为从第二模块发送到第一模块的消息生成数字签名。第一模块使用非对 称密钥对的公钥执行验证处理。附图简述结合附图阅读以下对本专利技术的示例性实施例的详细描述,本专利技术的特征和优点将 变得更加显而易见,其中附图说明图1是结合本文所述的技术可以在实施例中使用的环境的示例;图2是可以包括在实施例中并且可以结合执行本文中的技术使用的组件的示例;图3是可以在执行本文的技术的实施例中使用的请求的示例性表示;图4是响应和如何在使用本文的技术的实施例中确定响应中包括的认证数据的 示例性表示;图5和6是可以在使用本文的技术的实施例中执行的处理步骤的流程图;图7是可以在执行本文的技术的实施例中使用的另一请求的示例性表示;图8是另一响应和如何在使用本文的技术的实施例中确定响应中包括的认证数据的示例性表示; 图9和10是可以在使用本文的技术的另一实施例中执行的处理步骤的流程图。详细描述参考图1,所示的是其中可以实现使用本文中所述的技术的实施例的合适的计算 环境的示例。图1中示出的计算环境仅是合适的计算环境的一个示例,并不旨在对本文中 描述的技术的使用范围或功能提出任何限制。本领域的技术人员可以理解本文描述的技术 适用于与其他通用或专用计算环境和配置一起使用。公知的计算系统、环境、和/或配置的 示例包括但不限于,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于 多处理器的系统、可编程消费电子产品、网络PC、微型计算机、大型计算机、包括任何以上系 统或设备的分布式计算环境等等。本文中所述的技术可在由一个或多个计算机或其他设备执行的诸如程序模块的 计算机可执行指令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特 定抽象数据类型的例程、程序、对象、组件、数据结构等等。通常,程序模块的功能可以按照 各实施例所需的结合或分布。包括在图1中的是计算机12、网络14和服务器16。计算机12可以包括可用于执 行一个或多个程序模块的标准的、市场上可购买的计算机或专用计算机。在以下各节和各 附图中更详细描述的是可以结合使用本文描述的技术确保接收到的通信的完整性和认证 的由计算机12执行的程序模块。计算机12可以在网络化环境中运作并且与诸如服务器16 以及在图1中未示出的其它计算机通信。本领域的技术人员会理解虽然计算机12在示例中被示为在网络化环境中通信, 但是计算机12可以使用不同的通信介质与其它组件通信。例如,计算机12可以使用网络 连接和/或包括但不限于因特网、内联网或其它无线和/或硬连线连接的本领域公知的其 它类型的链接与一个或多个组件通信。如在图1中所示,计算机12可以包括一个或多个处理单元20、存储器22、存储30 和用于便于在计算机12的组件以及图1未示出的其它组件之间的通信的系统总线32。根据计算机12的配置和类型,存储器22可以是易失性的(诸如RAM)、非易失性的 (诸如ROM、闪存等)或两者的某种组合。此外,计算机12也可以具有附加存储(可移动的 和/或不可移动的),包括但不限于USB设备、磁盘或光盘或磁带。这种附加的存储在图1 中用存储30示出。存储30可以包括具有可以由计算机12使用的相关联的计算机可读介 质的一个或多个可移动或不可移动存储设备。一个实施例中的存储30可以包括硬盘和/ 或CD-ROM驱动器。作为示例而非限制,存储器22和存储30是计算机可读介质的示例。计 算机存储介质包括以用于储存诸如计算机可读指令、数据结构、程序模块或其它数据等信 息的任一方法或技术实现的易失性和非易失性,可移动和不可移动介质。计算机存储介质 包括但不限于,RAM、ROM、EEPR0M、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或 其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并 可由计算机12访问的任何其它介质。以上介质通常包含计算机可读指令、数据结构、程序 模块或其它数据。在如本文所描述的一个实施例中,计算机12可以在如图1所示通过网络使用到诸 如服务器16的远程计算机的逻辑连接在网络化环境中运作。一个或多个软件模块和/或数据文件可以包括在计算机12的存储30中。在计算机12的操作期间,包括在存储30中 的这些模块的一个或多个也可以驻留在诸如例如RAM的存储器22的一部分中,用于控制计 算机12的操作。 服务器16可以表示连接到网络14的服务器计算机系统。服务器计算机系统可以 包括用于服务请求的软件模块和类似于本文中关于计算机12描述的一个或多个处理器、 存储器、存储等。本文中描述的技术可以用在其中计算机12和服务器16可以在网络14上 通信的实施例中。计算机12和服务器16可以结合处理在两者之间交换的通信来执行操作。 例如,计算机12可以将请求发送给服务器16,而服务器16可以提供响应。本文中的技术可 用于确保诸如由计算机12从服务器16接收到的响应或诸如由服务器16从计算机12接收 到的请求的接收到的通信的完整性和真实性。数据完整性可以涉及通信内容和确保接收到 的通信不是原始通信的经修改的版本。真实性可以涉及对发送者的认证,因为接收到的通 信可能是由除了期望的发送者之外的实体生成的。本文的技术也可用在结合在诸如计算机12上的两个模块的同一计算机上的两个 模块之间交换的通本文档来自技高网...
【技术保护点】
一种计算机实现的通信方法,包括: 从第一模块(102)向第二模块(104)发送(306)请求(110),所述请求包括作为使用非对称密钥对的公钥加密的共享的秘密的第一部分; 由所述第二模块(104)从包括关于所述第一模块的应用程序专用信息的安全且可信的信息存储中获取(316)所述非对称密钥对的私钥; 由所述第二模块(104)使用所述私钥解密(402)所述第一部分以获取所述共享的秘密; 从所述第二模块向所述第一模块发送(406)响应(112),所述响应(112)包括认证数据和与所述共享的秘密一起用于确定所述认证数据的至少一个数据项;以及 由所述第一模块(102)使用共享秘密执行验证处理(406)以验证包括在所述响应中的所述认证数据。
【技术特征摘要】
【国外来华专利技术】US12/146,5202008年6月26日1. 一种计算机实现的通信方法,包括从第一模块(102)向第二模块(104)发送(306)请求(110),所述请求包括作为使用非 对称密钥对的公钥加密的共享的秘密的第一部分;由所述第二模块(104)从包括关于所述第一模块的应用程序专用信息的安全且可信 的信息存储中获取(316)所述非对称密钥对的私钥;由所述第二模块(104)使用所述私钥解密(40 所述第一部分以获取所述共享的秘密;从所述第二模块向所述第一模块发送(406)响应(112),所述响应(11 包括认证数据 和与所述共享的秘密一起用于确定所述认证数据的至少一个数据项;以及由所述第一模块(10 使用共享秘密执行验证处理G06)以验证包括在所述响应中的 所述认证数据。2. 一种计算机实现的通信方法,包括 从第一模块向第二模块发送(804)请求;由所述第二模块从包括许可证信息的许可证信息存储中获取(814)非对称密钥对的 私钥;从所述第二模块向所述第一模...
【专利技术属性】
技术研发人员:WP·S·苏,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。