用於從個人掌上計算機到全球資訊網終端的無線傳輸的加密系統的製作方法

2023-05-21 18:56:56 1

專利名稱：用於從個人掌上計算機到全球資訊網終端的無線傳輸的加密系統的製作方法
技術領域：
本發明涉及從無線終端特別是掌上型計算機設備，向例如全球資訊網(Web)或網際網路(Internet)(可交替地使用)終端的網絡計算機終端發送的數據的保護。
背景技術：
由於數據處理產業和消費電子產業的結合而推動的技術革命，已將過去的十年打上標記。同樣，這種影響又促進了已經已知且可應用但在這些年中相對靜止的技術的進步。這些技術中的一種主要技術是與Internet或Web相關的文檔、媒體和程序的分配。電子娛樂和消費產業與數據處理的結合，使對廣範圍的通信分配信道的需求呈指數增長，並且Web或Internet開始明顯的擴展期。隨著這種擴展，商業和消費者能夠直接訪問文檔、媒體和電腦程式的所有內容。
為了使Web作為全世界範圍商業和學術事務及通信的基本信道能夠發揮其全部的潛能，Web及類似網絡的提供者和用戶必須確保一個開放的通信環境，以及對通過Web提供的數據和對這樣的數據所作的請求進行保護。隨著Web的增長，惡意用戶的數量不幸增加，這些惡意用戶至少企圖破壞Web和其他網絡服務，並且最糟糕的是，他們妄圖盜取可通過Web獲取的物品、服務和數據。當然，該產業已經付出多年的努力，試圖消除或至少壓制這些惡意用戶的企圖。
儘管存在這些安全問題，上述因素已經帶來從事商務、電子商務或E商務活動的新方式的增長。這當然包括通過Web公共網絡和/或專用網絡處理一切商務內容，這樣就需要更高的安全性。
全球資訊網安全的基礎之一是發送數據的加密。不幸的是，任何試圖惡意獲取信息的人都能夠以某種方式得到，這似乎是事實。然而，用戶和Web開發者仍然使用加密作為最終的防禦措施，即，即使在入侵者確實得到信息的情況下，在他們能夠讀取或使用信息之前，他們仍然有很多工作要做。Web事務主要使用公鑰加密術(Public Key Cryptology)來加密，這種系統使用成對的非常大的數字來編碼和解碼發送的數據。成對數字中的一個被稱為公鑰，並且被公開，而第二個數字即私鑰被保密。於是，使用公鑰編碼數據，然後私鑰的持有者能夠將其解碼或解密。相反地，私鑰的持有者能夠通過使用該私鑰編碼消息，來證明其身份。然後，接收到該消息的任何人可以通過使用公鑰來解密該消息，由於這種產生相關消息的解密證明發送者是私鑰的持有者。公鑰系統的能力是通過用作密鑰的數的大小來度量的。當前使用的兩種Web大小分別是40至64比特，用於輕度加密；和128比特，用於重度加密。添加的每一個比特都使破解代碼的難度幾乎加倍。於是，破解128比特加密比破解40比特加密難兆兆倍。然而，比特數越大，加密系統需要更大的CPU和存儲容量。在通常的Web瀏覽技術中，由於具有極大提高的CPU處理能力和增加的存儲容量的計算機的可用性，該技術已經在朝著高端加密方向發展。兩種主要的Web瀏覽器Microsoft的Internet Explorer和Netscape的Navigator現在使用高端128比特加密用於Web傳輸。用於Web文檔的標準加密協議是安全套接字層(Secure Sockets Layer，SSL)。SSL加密整個Web文檔，使用由認證機構發放的數字證書(Digital Certificate)，該數字證書是已經在SSL協議下批准的，來認證各Web伺服器是他們所聲稱的，然後Web伺服器和Web站點瀏覽器來回發送加密消息，直到特定事務完成為止。以下文本更詳細地討論了Internet或Web中的加密「InternetThe CompleteReference，Millennium Edition」(Young等人，Osborne/McGraw-Hill，Berkeley，1999年，見403至406頁)。
隨著Web的發展，公眾已經出現了對通過掌上型終端以及尤其是移動和無線掌上型顯示終端、來有效訪問Web的需求。這些終端，即通常所說的PDA(個人數字助理，Personal Digital Assistant)，包括例如Motorola的Two-WayPager/PDA、3Com的PalmPilot(TM)和International Business MachinesCorporation(IBM)的WorkPad(TM)。當前的估計是目前正在使用的這種設備超過15,000,000臺。近年來，個人掌上設備已經發展了網絡協議TCP/IP，其允許通過PDA即掌上型終端數據機直接連接到Web，以下文本更詳細地討論了掌上型終端數據機「Palm III PalmPilot」(Jeff Carlson，PeachpitPress，1998，參見148至149頁)。
雖然SSL協議相當充分地滿足了有線連接到它們各自的Web伺服器的Web網站和Web站點的加密需求，但是在使用無線個人掌上型設備訪問Web中仍然存在加密問題。問題來自於雙重的不足。首先，任何無線通信都比有線傳輸更容易被截獲。其次，或許是更重要的一點，大多數掌上型計算機的處理能力遠遠低於甚至通用桌面計算機的處理能力。因此，它們不具有處理高效力SSL加密所需的速度或容量，這種加密涉及整個文檔的加密。此外，大多數高效力加密程序需要的內存和數據存儲容量，遠遠超出大多數掌上型無線計算機的有限的隨機存取存儲器(Random Access Memory，RAM)和可編程只讀存儲器(Read Only Memory，ROM)。

發明內容
本實施例提供一種上述問題的解決方案，即無線個人掌上型計算機設備如何能夠加密通過Web或Internet發送的文檔，即使這種設備中的數據處理能力和存儲功能有限也可如此。實施例提供一種系統，用於從包括計算機控制無線顯示終端的計算機控制遠程無線顯示終端、到網絡的數據的安全傳輸，該計算機控制無線顯示終端包括用於僅初始加密文本文檔的一部分的部件；和用於將所述部分加密的文本文檔無線發送到伺服器計算機的部件，該伺服器計算機通常作為Web伺服器，即通過該伺服器，Web計算機終端有線連接或連接到Web。然後，該Web伺服器包括用於接收從無線掌上型設備發送的該部分加密的文本文檔的部件；用於進一步加密接收的文本文檔的部件；和用於將進一步加密的文檔發送到網絡中的終端的部件。
以下將更詳細地闡述上述加密，這種雙或兩步加密允許無線掌上型計算機最小化其加密功能，以便不超出掌上設備的有限的數據處理和存儲能力，同時在大多數通過Web進行的文檔傳輸和處理過程中，最大化文檔的加密安全。例如，對於很多Web商務交易，掌上型計算機的用戶的信用卡號是最重要的需要加密的關鍵數據。因此，在從掌上設備到Web伺服器的無線傳輸期間，將無線發送掌上型設備的有限的處理器和存儲器資源主要用於信用卡號的加密。於是，在Web伺服器中，可以使用SSL協議進一步加密接收的部分加密的文檔，以便加密整個文檔，用於進一步的傳統Web分配和處理。
本實施例的一個重要方面涉及以下認識，由於無線掌上型設備缺少使用傳統Web SSL協議加密整個文檔所需的CPU和存儲器資源，可以在無線掌上設備使用綜合能力和效力較低的協議(例如上述40比特加密或64比特系統，如Blowfish算法(以下將說明))對文檔進行部分加密。然後，在伺服器使用傳統128比特Web加密協議(例如SSL)再加密整個文檔之前，必須在伺服器中解密這種低級加密，以便恢復文本文檔。
此外，如果在無線掌上設備中加密的關鍵或特別敏感數據是相對少量的數據，例如信用卡號或類似的標識號，那麼可以在掌上設備中使用較高級別的加密協議來加密這種有限數量的數據，而不至於過分消耗掌上設備中的CPU資源。在這種情況下，由於將使用相同的高級加密協議來進行隨後的完全加密，所以在完全加密文本文檔之前，不必解密部分加密。


通過下面結合附圖進行的描述，對本領域技術人員來說，本發明將更容易理解，以及本發明的幾個目的和優點將會變得更加清楚，其中圖1是本發明實踐中的部分Web系統的概括視圖，該Web系統包括可以直接與Web通信的無線掌上型顯示計算機；圖2是包括中央處理單元和通過通信適配器的網絡連接的數據處理系統的方框圖，該通信適配器能夠實現Web伺服器，以及實現任何Web顯示計算機網站；圖3是啟動以執行本發明的傳統無線掌上型計算機或個人數字顯示助理的概括方框圖；圖4是說明啟動如下功能的說明性流程圖，即部分加密來自掌上型顯示計算機的文檔以及將部分加密的文檔無線發送到Web伺服器以便進一步解密/加密；和圖5是根據圖4所啟動的程序的說明性運行的流程圖。
具體實施例方式
參照圖1，提供一種概括系統，單獨的無線掌上型終端10能夠通過該系統連接到它們各自的Web伺服器56。移動終端10通過天線11與衛星13之間來往發送/接收12，並且通過路徑43連接到衛星天線33，然後通過無線終端接收機45連接到Web伺服器56。應該注意到，術語「個人掌上型設備」被用於一般涵蓋各種掌上型設備。這包括蜂窩電話及有關的無線設備、智慧型電話(smartphone)和Internet可視電話(screen phone)。在掌上計算機設備10和伺服器56中執行的加密和解密功能，前面已經做過一般討論，以下將進行詳細討論。伺服器56可以具有相關的I/O顯示器或顯示器計算機57，用戶能夠通過它來與伺服器56連接，用於維護、更新、糾錯等。
伺服器56以標準方式連接到Web 50。可以參照「Mastering the Internet」(G.H.Cady等人，Sybex公司出版，Alameda，CA，1996，參見136至147頁)，了解本地顯示站與Web之間通過網絡伺服器的典型連接，任何一種連接都可用於實現應用本發明的系統。圖1的系統實施例具有主機撥號連接(host-dialconnection)。這種主機撥號連接已經使用超過30年，通過連接到61的訪問伺服器53至Web 50。通過普通撥號電話連接58來訪問Web伺服器53，普通撥號電話連接58經過數據機54、電話線55和數據機52。在掌上型設備10的傳輸中，在設備10中文檔被部分加密，並且被無線發送到伺服器56，在伺服器56中進行進一步的解密/加密，這些將在後面說明。然後，將加密文檔通過電話線連接從伺服器56下載到Web訪問伺服器53。接著，通過連接61將文檔分配給Web 50。可以通過Web終端62和63來訪問Web文檔，在web終端62和63中可以解密加密的文檔，這些將在以下說明。
現在參照圖2，圖2示出典型的數據處理終端，該終端能夠作為Web終端62-63、伺服器56和53，以及I/O顯示終端57中的任何一個。該終端提供中央處理單元(CPU)22，例如PC微處理器或工作站(如International BusinessMachines Corporation(IBM)的RISC System/6000(TM)(RS/6000)系列)，並且通過系統總線25與其他各種組件互相連接。作業系統21在CPU22上運行，提供控制並且用於協調圖2所示的各種組件的功能。作業系統21可以是各種商用作業系統之一，例如IBM的AIX 6000(TM)作業系統、Microsoft的Windows98(TM)或WindowsNT(TM)，以及UNIX和AIX作業系統。可以將系統控制的應用程式20移進或移出主存儲器即隨機存取存儲器(RAM)24。這些程序包括本發明的程序和例行程序，其用於本文所說明的伺服器和Web終端組件中的加密和解密。只讀存儲器(ROM)26通過總線25連接到CPU 22，並且包括控制基本計算機功能的基本輸入/輸出系統(Basic Input/Output System，BIOS)。RAM 24、I/O適配器28和通信適配器40也與系統總線25互相連接。I/O適配器28與盤存儲設備30通信。通信適配器40將總線25與適當的外部網絡互相連接，該外部網絡能夠使數據處理系統通過Web或Internet通信(分別進行如上所述的通信)。I/O設備也通過用戶接口適配器32和顯示適配器29、連接到系統總線25。滑鼠27通過用戶接口適配器32與總線25互相連接。顯示適配器29支持監視器31。在沒有任何顯示I/O功能的網絡伺服器中，可以去掉顯示適配器和監視器。
參照圖3，圖3示出個人掌上型設備10的概括視圖。然而，在進行進一步的說明之前，將提供一些關於本發明所使用的PDA或個人掌上型設備的背景情況。目前的一般定義所包括的大多數普通PDA是包括Microsoft的WinCE line、3Com公司生產的PalmPilo line、IBM的WorkPad以及Motorola的Two Way Pager等的個人掌上型設備。文本「Palm III PalmPilot」(JeffCarlson，Peachpit Press，1998)和文本「Palm Handheld」(Johnson和Brioda，Osborne/McGraw-Hill，New York，2000)中，對這些設備進行了綜合說明。它們包括數據處理器、作業系統、大約2至4MB的RAM及永久性可編程存儲器、可編程ROM(可以是EPROM或快閃ROM)，在Carlson的書第38頁中說明了這些內容。由於這些快閃ROM能夠提供4MB容量，包括本發明的加密例行程序的所有應用程式也能夠存儲在該ROM中，而這些程序通常存儲在個人掌上設備的RAM中。此外，設備作業系統和內置應用程式通常也是存儲在ROM中。可以通過一種稱為「快閃記憶體(flashing)」的技術，寫入到快閃ROM中。其他軟體可以通過快閃記憶體被寫入ROM硬體中。於是，個人掌上型設備10包括數據處理器65、可編程ROM 64(最好是前面說明的快閃ROM)、RAM66(以裝載設備的作業系統73的操作狀態示出)、及其應用程式67(包括本發明的加密例行程序)。個人掌上型設備10還包括天線11、控制按鈕59和顯示屏幕72。
現在參照圖4所示的編程步驟，來啟動本發明的程序。在步驟80，利用至Web的無線I/O，例如連接至伺服器56的無線傳輸接收機45(參見圖2)，啟動個人掌上型計算機設備。在步驟81，在掌上型設備內啟動加密例行程序。如上所述，由於掌上型設備的處理能力和存儲器有限，無線掌上型設備使用與更複雜的目前用於Web文檔加密的128比特SSL加密系統相比較簡單的加密程序，如Blowfish算法，這是一種64比特加密系統。Blowfish算法是1994年開發出的一種以8位元組塊加密/解密數據的塊加密程序。文章「Fast SoftwareEncryption」(R.Anderson，第一次發表於Dr.Dobb′s Journal，1994年4月)中，以及隨後的文章「The Blowfish Algorithm-One Year Later」(B.Schneier，同樣發表於Dr.Dobb′s Journal，1995年9月)中，都說明了該算法。然而，目前在2001年，Blowfish是比當前所使用的128比特加密系統更老、更簡單的加密程序。但是，Blowfish非常適合於資源有限的掌上型計算機。此外，在當前的例行程序中啟動了只加密無線發送的文本文檔的較小部分的能力，例如僅僅加密發送文檔中的信用卡號。在圖4的步驟82，在接收無線傳輸用於Web中的進一步分配的伺服器中，啟動相應的Blowfish解密例行程序，用於對來自掌上設備的無線文檔的加密部分進行解密。於是，所接收到的文檔在伺服器中是完整的文本形式。在步驟83，利用標準SSL例行程序啟動的伺服器，現在加密整個文檔，並且將根據SSL協議加密的整個文檔發送到接收Web終端。在步驟84，利用用於解密文檔的SSL例行程序來啟動接收或請求Web終端，以便能夠在終端中顯示該文檔。
現在，參照圖5的流程圖，來說明圖4中啟動的處理的簡化的說明性運行。在步驟88，啟動無線掌上型設備。在步驟89，在掌上設備中創建用於傳輸的文檔。在步驟90，確定所創建的文檔中是否存在必須保護的保密數據，例如信用卡號。如果存在，則在步驟91通過例如Blowfish來只加密保密數據，然後在步驟92將部分加密的文檔無線發送到伺服器。如果步驟90中的確定結果是沒有，即不存在保密數據，則在步驟92也將未加密的文檔無線發送到伺服器。當伺服器接收到無線文檔時，則在步驟93使用Blowfish算法來解密任何部分加密。此時，在步驟94再次確定該文檔中是否存在任何保密數據。如果存在，則在步驟95採用SSL來加密整個文檔，然後在步驟96進行通過Web到適當Web終端的有線傳輸。如果步驟94中的確定結果是沒有保密數據，則在步驟96仍然進行通過Web到適當Web終端的不加密的有線傳輸。如果接收文檔是加密的，則使用SSL協議對其進行解密。
應該注意到，本發明包括的程序可以被存儲在當前計算機系統之外，直到它們被需要。程序指令可以被存儲在其他可讀介質中，例如存儲在與桌面計算機相連的盤驅動器中，或者存儲在可移動存儲器(例如用於CD ROM計算機輸入的光碟或用於軟盤驅動器計算機輸入的軟盤)中。而且，程序指令在用於本發明的系統之前，可以被存儲在其他計算機的存儲器中，當本發明的用戶需要時、通過區域網(Local Area Network，LAN)或廣域網(Wide AreaNetwork，WAN)(例如Internet)發送。本領域的技術人員應該理解，控制本發明的處理能夠被在各種形式的計算機可讀介質中進行分配。
雖然已經示出和說明了特定優選實施例，但是應該理解，在不脫離所附權利要求的範圍和目的的情況下，可以進行各種改變和修改。
權利要求
1.一種在包括多個計算機控制終端的計算機網絡中，用於從計算機控制的無線遠程顯示終端到所述網絡的數據的安全傳輸的系統，包括計算機控制的無線顯示終端，包括用於加密文檔的部件；和用於無線發送所述部分加密的文本文檔的部件；以及伺服器計算機，包括用於接收所述加密的文本文檔的部件；用於進一步加密所述接收文檔的部件；和用於將所述進一步加密的文檔發送到所述網絡中的終端的部件。
2.根據權利要求1的計算機網絡系統，其中，所述無線顯示終端是個人掌上型終端。
3.根據權利要求2的計算機網絡系統，其中，所述計算機網絡是全球資訊網。
4.根據權利要求3的計算機網絡系統，其中，所述加密的文檔包括信用卡號。
5.根據權利要求3或4的計算機網絡系統，其中，所述伺服器計算機還包括用於在所述進一步加密之前解密所述加密文檔的部件。
6.根據權利要求5的計算機網絡系統，其中，所述用於進一步加密的部件用安全套接字層(SSL)來加密所述文檔。
7.根據權利要求6的計算機網絡系統，其中，所述用於進一步加密的部件加密所述整個接收文檔。
8.一種方法，用於從計算機控制的無線遠程顯示終端到包括多個計算機控制終端的計算機網絡的數據的安全傳輸，包括以下步驟加密無線遠程終端中的文檔；無線發送所述部分加密的文檔；在網絡伺服器計算機中接收所述加密文檔；在所述伺服器計算機中進一步加密所述接收的文檔；以及將所述進一步加密的文檔發送到所述網絡中的終端。
9.根據權利要求8的方法，其中，所述無線顯示終端是個人掌上型終端。
10.根據權利要求9的方法，其中，所述計算機網絡是全球資訊網。
11.根據權利要求10的方法，其中，所述加密的所述文檔包括信用卡號。
12.根據權利要求10或11的方法，還包括如下步驟在所述進一步加密之前，在所述伺服器中解密所述加密的文檔。
13.根據權利要求12的方法，其中，所述進一步加密步驟用安全套接字層(SSL)來加密所述文檔。
14.根據權利要求13的方法，其中，所述用於進一步加密的步驟加密所述整個接收文檔。
15.一種電腦程式，包括記錄在計算機可讀的介質上的代碼，用於從計算機控制的無線遠程顯示終端到包括多個計算機控制終端的計算機網絡的數據的安全傳輸，包括計算機控制的無線顯示終端中、用於加密文檔的部件；用於無線發送所述加密的文本文檔的部件；伺服器計算機中、用於接收所述加密文檔的部件；所述伺服器計算機中、用於進一步加密所述接收的文本文檔的部件；和所述伺服器計算機中、用於將所述進一步加密的文檔發送到所述網絡中的終端的部件。
16.根據權利要求15的電腦程式，其中，所述無線顯示終端是個人掌上型終端。
17.根據權利要求16的電腦程式，其中，所述計算機網絡是全球資訊網。
18.根據權利要求17的電腦程式，其中，所述文檔的所述加密部分包括信用卡號。
19.根據權利要求17的電腦程式，還包括所述伺服器計算機中、用於在所述進一步加密之前、解密所述接收文本文檔的所述加密部分的部件。
20.根據權利要求19的電腦程式，其中，所述用於進一步加密的部件用安全套接字層(SSL)來加密所述文檔。
21.根據權利要求20的電腦程式，其中，所述用於進一步加密的部件加密所述整個接收文檔。
全文摘要
在無線個人掌上型計算機設備中，提供對通過網際網路發送的文檔的加密，儘管這種設備的數據處理能力和存儲功能有限。掌上型設備最初只加密無線發送到伺服器計算機的文本文檔的一部分，該伺服器計算機通常用作Web伺服器，即將Web計算機終端有線連接或連接到Web的伺服器。然後，該Web伺服器進一步加密所接收到的文本文檔，並且將該進一步加密的文檔發送到所述網絡中的終端。伺服器中的進一步加密最好包括如下兩個步驟解密較低級別的加密(由於掌上設備中的有限的CPU和存儲資源所需)，以便在伺服器中恢復該文本文檔；之後，該伺服器使用較高級別的傳統128比特Web加密協議(例如SSL)，再加密整個文檔。
文檔編號H04L9/16GK1496644SQ02806576
公開日2004年5月12日 申請日期2002年3月4日 優先權日2001年3月15日
發明者肖恩·P·馬倫, 古哈·P·文卡塔拉曼, P 文卡塔拉曼, 肖恩 P 馬倫 申請人:國際商業機器公司