专利名称:通过交换加密信息经网络安全传输数据的方法和对应装置的制作方法
技术领域:
本发明涉及特别是使用V8标准的调制解调器(调制器/解调器)类型的和特别是G3、高速G3或G4类型的传真(fax)类型的通信设备,这些通信设备用于经由需要调制/解调的至少一个通信网络(例如IP(网际协议)网络、传真中继或分组类型网络)安全地传输数据。
背景技术:
正如本领域技术人员所知的,经由一个或多个IP网络在通信设备之间传输(数字)数据在缺乏安全连接时是不安全的,该安全连接例如是经由使用IPSec(IP安全)类型协议(正如规范RFC 2401所定义的)的虚拟专用网的连接。确切地说,连接到IP网络的第三方设备能够访问正在IP网络中传送的传输数据。
这一点特别会发生在传真类型的数据上,该数据是由连接到因特网媒体网关或计算机的传真机(fax)或者由配备有基于IP应用的软传真的通信终端(例如服务器)生成的。
现有技术的安全连接的不足在于,当存在必须穿过多个IP(或分组或传真中继)网络的数据时,有必要在每个网络级特别地对数据进行加密。
发明内容
本发明的一个目的因此是弥补这一不足。
对此,本发明提出一种用于经由需要调制/解调的至少一个通信网络在第一与第二通信设备之间安全传输数据的方法,特征在于,在为了传输数据而在所述设备之间建立呼叫时,该方法包括-从所述设备之一向另一设备传输在非标准设施字段中包含用于确定主要加密密钥的第一数据的第一消息,-然后在能对数据进行加密/解密的每个设备中根据所述第一数据来确定所述主要加密密钥,-从接收所述第一消息的设备向发送所述第一消息的设备传输包含代表它的数据加密/解密能力的第二数据的第二消息,所述第二数据借助于所述主要加密密钥来加密,-然后,在发送所述第一消息的设备中接收所述第二消息时,借助于所述主要加密密钥尝试对所述第二数据进行解密以确定它是否借助于所述主要加密密钥加密过,而且如果是则推断发送所述第二消息的设备能使用所述主要加密密钥对数据进行加密/解密,-然后,当且仅当所述设备均能对数据进行加密/解密时,激活具有要传输的数据的设备中的加密装置而且激活须接收该数据的另一设备中的解密装置,所述加密装置和所述解密装置使用所述主要加密密钥。
本发明的方法可以特别地、单独地或者组合地具有其它特征-第一数据可以代表辅助密钥,在该情况下主要加密密钥根据所述辅助密钥来确定; 第一数据可以构成辅助密钥; 主要加密密钥可以借助于包括与辅助密钥相等的变量的选定函数在主叫和被叫设备中加以确定;-(第二消息中包含的)第二数据可以借助于主要加密密钥来加密; 在接收第二消息时,可以在接收器设备中分析能力倾向(aptitude)数据以确定它是否使用主要加密密钥加密过;●在接收第二消息时,第二数据可以借助于主要加密密钥来解密,而且可以确定解密结果是否对应于借助主要加密密钥的加密,以便在匹配时对后续的加密数据进行解密;●(第二消息中包含的)第二数据可以构成借助于主要加密密钥来加密的选定的一连串符号或选定字;-主要加密密钥可以在加密数据的传输期间在主叫设备与被叫设备中同样地和基本上同时地改变;-在存在传真类型数据以及实施G3类型传真功能的主叫设备和被叫设备时,在被叫设备中第一数据可以被并入包含DIS、CSI和NSF字段的消息的NSF类型非标准设施字段中,而在主叫设备中第二数据可以被并入TCF类型消息中或者另一消息的TCS类型字段中;-在存在高速G3或G4传真类型的和/或使用V8标准的调制解调器类型的主叫设备和被叫设备时,在主叫设备中第一数据可以替代地并入Call Menu类型消息的非标准设施字段中,而在被叫设备中第二数据可以替代地并入Join Menu类型消息中或者另一消息的字段中。
本发明也提出了用于适于实施上述数据安全传输方法的各个通信设备的第一和第二加密/解密装置。
第一装置的特征在于它包括适于执行如下处理的处理装置i)在称为被叫设备的第一设备与称为主叫设备的第二设备之间建立呼叫时,为了进行从主叫设备到被叫设备的数据传输,生成第一消息到主叫设备,第一消息在非标准设施字段中包含用于确定主要加密密钥的第一数据,然后根据第一数据确定该主要加密密钥,以及ii)在从主叫设备接收包含第二数据的第二消息,第二数据代表了它对要在加密数据的接收之前传输的数据进行加密的能力时,激活解密装置以借助于主要加密密钥对接收的加密数据进行解密。
第二装置的特征在于包括适于执行如下处理的处理装置i)在称为主叫设备的第一设备与称为被叫设备的第二设备之间建立呼叫时,为了进行从主叫设备到被叫设备的数据传输,生成第一消息到被叫设备,第一消息在非标准设施字段中包含用于确定主要加密密钥的第一数据,以及ii)在从被叫设备接收包含代表了它的数据解密能力的第二数据的第二消息时,根据第一数据确定主要加密密钥,然后激活加密装置以借助于主要加密密钥对要传输到被叫设备的数据进行加密。
本发明还提出了一种包括上述类型的加密/解密装置的通信设备,例如传真机、调制解调器、通信网关、传真服务器或者固定或便携计算机。
本发明虽然不是穷举式地但是特别地适用于传真类型数据在IP(网际协议)、传真中继或分组类型通信网络中的传输。本发明一般地应用于其中数据传输需要调制/解调的任一网络类型。
在阅读以下具体描述和察阅附图时,本发明的其它特征和优点将显现出来,在附图中-图1是IP网络的图,该IP网络一方面耦合到配备有本发明的加密/解密装置的一个实施例的G3类型传真服务器,而另一方面耦合到G3类型传真机,该G3类型传真机耦合到一台传真机而且配备有本发明的加密/解密装置的一个实施例,-图2是根据IUT-T标准T.30的传真类型数据传输的主要步骤图,以及-图3是IP网络的图,该IP网络一方面耦合到利用V8标准而且配备有本发明的加密/解密装置的一个实施例的调制解调器,而另一方面耦合到配备有本发明的加密/解密装置的一个实施例的高速G3类型传真机。
附图不仅构成本发明的说明书的一部分,而且如有必要也有助于对本发明的定义。
具体实施例方式
本发明的目的是通过端对端类型的加密经由一个或多个IP、传真中继或分组类型网络在两个调制解调器或传真(fax)类型通信设备之间实现安全的数据传输。
对此,本发明包括将加密/解密装置D并入能连接到例如IP、传真中继或分组类型的网络RIP的第一和第二通信设备E1、E2,以便安全地传输(数字)数据。
通过非限制性的例子在下文中考虑的网络RIP是IP网络。
首先参照图1和图2来描述本发明的第一实施例。
在该第一实施例中,通过非限制性的例子来考虑所传输的(数字)数据是由配备有基于IP应用的软传真AT的第3组(G3)类型的主叫服务器E1生成并且寻址到另一通信设备E2的传真类型数据,该另一通信设备E2例如也是G3类型的被叫传真机(fax)E2。要传输的数据因此代表复制页。然而,本发明不限于提供传真(fax)功能的这些通信设备。它涉及传真类型(特别是例如遵循V34标准的高速G3或G4类型)的或者调制解调器类型(例如利用V8标准)的任何通信设备,这些通信设备能从任何源经由需要调制/解调的网络来传输(数字)数据而且在适当的时候寻址到例如固定或便携计算机的其它设备。因此本发明也涉及网际协议(IP)通信网关,也已知为网际媒体网关而且包括耦合到至少一个传真机的传真调制解调器。
在参照图1和图2在下文中描述的非限制性例子中,服务器E1使用它的基于IP应用的软传真AT内部地生成要传输的传真类型数字数据,而传真机E2接收传真类型数字数据。
根据本发明的每个加密/解密装置D耦合到内部调制解调器MD(在E2的情况下)或者基于IP应用的软传真AT(在E1的情况下),而且包括每当在它的(主叫或被叫)设备与另一(被叫或主叫)设备之间已经实现呼叫建立阶段(P1)时进行干预的处理器模块MT。
如图2中图解所示,在五个阶段P1至P5中根据ITU-U标准T.30传输传真类型数据。
第一阶段P1是呼叫建立阶段。主叫设备(例如服务器E1)将向被叫设备E2(在这里是传真机)发送(箭头F1)可选主叫音调CNG,以通知被叫设备E2它希望向其发送传真类型数据。被叫传真机E2通过向主叫服务器E1发送(箭头F2)CED(被叫终端标识应答音调)响应信号或者幅度和/或相位调制ANS AM、ANS PM或ANS AM/PM类型2100Hz响应信号以通知主叫设备E1它准备好接收数据来对主叫音调CNG做出响应。
第二阶段P2已知为容量控制和交换阶段(或者数据预传输过程)。它识别每个设备E1、E2将使用的容量而且定义传输条件。被叫传真机E2向主叫服务器E1发送(箭头F3)(例如)包含如下字段的消息DIS(数字标识信息)字段,该字段包含表征其容量特征的信息;CSI(被叫用户标识)字段,该字段包含对被叫用户的身份进行定义的信息;以及NSF(非标准设施)字段,该字段特别地包含制造商信息。主叫服务器E1然后向被叫传真机E2发送(箭头F4)(例如)DCS(数字命令信号)信息和TCS(传输用户标识)信息,该DCS信息定义了与DIS所定义的容量相对应的配置命令,该TCS信息定义了主叫方的身份。主叫服务器E1然后向被叫传真机E2发送(箭头F5)(例如)包含T.4调制命令的TCF(训练检验)消息,以通过提供如下指示来检验该行,该指示针对以给定的比特速率来使用传输信道的可能性。最后,被叫传真机E2向主叫服务器E1发送(箭头F6)(例如)CFR(对接收的确认)接收确认消息以报告已经正确地实现第二阶段P2而且现在能够传输数据。
在第三阶段P3中,数据在T.4标准之下从主叫服务器E1传输到被叫传真机E2(箭头F7)。
第四阶段P4是页数据和多页信令(或者传输后过程)阶段的结束传输。当已经发送了整页时,主叫服务器E1向被叫传真机E2发送(箭头F8)(例如)EOP(过程结束)消息以报告完成末页的传输并且在终止该呼叫之前请求确认。被叫传真机E2然后向主叫服务器E1发送(箭头F9)对接收的结束进行确认的MCF(消息确认)消息。
第五阶段P5是呼叫阶段的结束,其中主叫服务器E1向被叫传真机E2发送(箭头F10)DCN(断开)消息以报告它正在终止呼叫。
重要的是注意到上面描述的各种步骤并不构成在主叫设备与被叫设备之间交换的所有信息的穷举性表示。仅仅提到了本发明所用的主要信息和主要消息和/或信息和消息。对五个阶段P1至P5的完整描述具体地能够在2003年7月的ITU-T文献“T.30-Procedure for documentfacsimile transmission in the general switched telephone network(用于在通用交换电话网中文档传真传输的过程)”中找到。
处理器模块MT在第二阶段P2中,即在数据传输开始之前(这里是传真类型数据的传输)更为精确地进行干预。
确切地说,一旦完成第一(呼叫建立)阶段P1(图2中的箭头F1和F2),被叫设备(这里是传真机E2)的处理器模块MT就生成第一消息到主叫设备(这里是服务器E1),此第一消息(这里是DIS、CSI和NSF类型-图2中的箭头F3)在NSF类型非标准设施字段中包含第一数据,使得主叫服务器E1的处理器模块MT能够确定M比特的主要加密密钥KM(对于M=128比特)。
重要的是注意到(DIS、CSI和NSF类型的)第一消息能够是标准的DIS、CSI和NSF消息或者新的专用DIS、CSI和NSF消息,在标准的DIS、CSI和NSF消息中第一数据被添加到NSF字段的数据中。
被叫传真机E2和主叫服务器E1的处理器模块MT然后各自根据第一数据来确定各自的主要加密密钥KM。
重要的是注意到在第一消息(DIS、CSI和NSF-箭头F3)中包含的第一数据可以代表N比特的辅助密钥KN。在当前背景下,措词“第一代表数据”指代如下数据,该数据指定辅助密钥KN或者构成辅助密钥KN。在前一情况(指定)下处理器模块MT根据第一数据的值来确定表中的辅助密钥KN,而在后一情况下处理器模块MT可直接访问辅助密钥KN。
当辅助密钥KN由第一数据定义时,每个处理器模块MT根据辅助密钥KN来确定主要加密密钥KM。对此,每个处理器模块MT使用相同的选定计算函数GNM,该函数包括等于辅助密钥KN的变量,使得GNM(KN)=KM。用于这一目的的函数GNM可以是任何类型,特别是伪随机类型函数。
为避免显著地延迟数据传输,辅助密钥KN的比特数目N例如等于24。
一旦主叫服务器E1已经接收到包含了“扩充”有第一数据的字段NSF的消息,它就将信息DCS和TCS发送到被叫传真机E2(箭头F4)。主叫服务器E1的处理器模块MT然后生成第二数据,该第二数据代表了它具有对要传输的数据进行加密的能力。此第二数据并入优选为TCF消息的第二消息中或者另一消息的TCS类型字段中,而且由主叫服务器E1发送到被叫传真机E2(箭头F5)。
并入第二消息中的第二数据可以采用不同形式。
例如,它可以是表示接受所用加密的数据(当然是在主叫设备E1包括本发明的装置D时)。在这一情况下,如果被叫设备E2的装置D接收第二数据,则它立即知道主叫设备E1是否包括与它自有的装置D类型相同的装置D。如果类型相同,则被叫设备E2的装置D的处理器模块MT激活它的加密/解密模块MED以便准备好对主叫设备E1必须在第三阶段P3期间发送的加密数据(这里是传真类型)进行解密。
可选地,第二数据可以是要分析的数据。在这一情况下,被叫设备E2的装置D的处理器模块MT包括分析模块MA,该分析模块用于对已经接收的TCF消息中(或者TCS字段中)包含的第二数据进行分析以便确定主叫设备E1的装置D是否与它自有的装置D类型相同。
例如,分析模块MA分析第二(能力倾向)数据以确定是否使用主要加密密钥KM对它加密过。对此,能力倾向第二数据可以构成为所有分析模块MA所知的而且使用主要加密密钥KM加密过的选定(文字数字)字。换句话说,主叫设备E1的装置D的处理器模块MT利用它的加密/解密模块MED以使用主要加密密钥KM对选定字进行加密,这一加密的结果然后构成要并入第二消息中的第二数据。
在这一情况下,当被叫设备E2的装置D接收第二数据时,它将其传达到它的处理器模块MT以便它的加密/解密模块MED使用主要加密密钥KM对其进行解密。这一处理器模块MT然后将这一解密的结果发送到它的分析模块MA以便后者将其与它所知的选定字进行比较。
如果第二消息是TCF类型,则它包含的第二数据代表了由主叫设备E1的装置D的加密/解密模块MED使用主要加密密钥而且在它的处理器模块MT的控制之下所加密的一连串符号。根据T.30标准,标准的TCF消息包括在调制之前在选定的最小时段期间采用一连串零形式的一连串符号。
在这一情况下,当被叫设备E2的装置D接收第二数据时,它将其传达到它的处理器模块MT以便它的加密/解密模块MED使用主要加密密钥KM对其进行解密。这一处理器模块MT然后将这一解密的结果和某些第二数据发送到它的分析模块MA。
分析模块MA例如通过利用TCF消息的解调符号(数据)的前述性质来实现它的比较。这些符号必须在选定的最小时段期间采用一组连续零的形式。因而,如果Dp是代表某些第二数据的由处理器模块MT接收的第p块TCF数据,则Dkp是由加密/解密模块MED对第p块Dp解密的结果,而R(p)是分析模块MA将Dp和Dkp与值0(零)做比较的结果,然后分析模块MA每当Dkp等于0时递送其值指示已知加密形式的结果R(p)或者每当Dp等于0时递送其值指示没有加密的结果R(p)或者在所有其他情况下递送其值指示出错的R(p)。
如果在TCF消息的结束时其值指示了已知的加密形式并且在选定的时段(由T.30标准定义)中获得的连续比特的数目R(p)大于或等于选定数目(也由T.30标准定义),则处理器模块MT推断主叫设备E1包括与它自有的装置D类型相同的装置D。在这一情况下,处理器模块MT然后激活它的加密/解密模块MED,使得它准备好对主叫设备E1必须在第三阶段P3期间发送的加密数据(这里是传真类型)进行解密。
如果在TCF消息的结束时其值指示了没有加密并且在选定的时段中获得的连续比特的数目R(p)大于或等于选定数目,则处理器模块MT推断主叫设备E1不包括与它自有的装置D类型相同的装置D。在这一情况下,处理器模块MT不激活它的加密/解密模块MED,以便传真机E2接收以常规方式(没有加密)在第三阶段P3期间由主叫设备E1发送的数据(这里是传真类型)。
最后,如果上面两种情形都不适用,则被叫设备E2请求主叫设备E1向它发送新的TCF消息。
为了使传输的数据更为安全,主叫设备E1中和被叫设备E2中装置D的处理器模块MT能够改变由它们的加密/解密模块MED在第三阶段P3期间分别地用来对数据(这里是传真类型)进行加密和解密的主要加密密钥KM。在加密数据的整个传输期间(即在整个第三阶段P3期间)同样地和基本上同时地实现这些改变。
例如,每个加密/解密模块MED能够使用相同的选定函数以根据它前面的值KM(n)=f(KM(n-1))来改变主要加密密钥KM。
在静态(无变化)情形中,函数f是恒等函数。在动态(变化)情形中,函数f可以例如是伪随机生成器(在该情况下主叫设备E1和被叫设备E2具有以相同方式演变的伪随机生成器)或者任何其它函数(为主叫设备E1和被叫设备E2所知)。
重要的是注意到加密/解密模块MED优选地适于单独地对要传输的数据分组进行加密。这就使得处理器模块MT能够使用UDP层分配给加密分组的序列编号,以便在解密之后,包括当一个或多个分组在这里是IP类型的一个或多个网络RIP内的运送中丢失时,很快重新组成有序的分组序列。由于无法在网络RIP中找到这些丢失的分组,所以通过根据它们各自的序列编号对分组进行分类并且从该序列中忽略已经丢失的分组来重新组成有序的序列。
上面描述了本发明在如下情形中的应用,其中主叫设备E1和被叫设备E2均具有第3组(G3)类型传真功能。然而,如上所述,本发明等同地应用于如下情形,其中主叫设备E1和被叫设备E2是利用V8标准的调制解调器和/或高速第3组(高速G3)或G4类型的传真机,如图3中所示。
在图3中所示的第二实施例中,主叫设备E1是利用V8标准而且耦合到终端T的调制解调器,该终端T比如是内部地生成要传输的传真类型数字数据的固定或便携计算机或服务器,而被叫设备E2是能够从调制解调器E1接收传真类型数字数据的高速G3类型传真机。
重要的是注意到本发明的第二实施例不限于传输传真类型数据。利用V8标准的两个调制解调器能够传输其它类型的数据。
根据本发明,每个加密/解密装置D包括处理器模块MT,该模块每当已经在它的(主叫或被叫)设备与另一(被叫或主叫)设备之间实现呼叫建立阶段时,即在数据(这里是传真类型)传输开始之前就会进行干预。
确切地说,一旦完成呼叫建立阶段,主叫设备E1(这里是调制解调器)的处理器模块MT就会生成例如CM(Call Menu)类型(参见V8标准)的第一消息到被叫设备E2(这里是传真机),该第一消息在NSF类型非标准设施字段中包含第一数据,该第一数据使得被叫传真机E2的处理器模块MT能够确定M比特的主要加密密钥KM(例如M=128比特)。
重要的是注意到(CM类型的)第一消息能够是其数据添加有第一数据的标准CM消息或者新的专用CM消息。
当被叫传真机E2的处理器模块MT接收第一消息时,如果它配备有装置D,则它能够根据接收的第一数据来确定主要加密密钥KM而且激活它的加密/解密模块MED以对主叫调制解调器E1向它发送的传真类型加密数据进行解密,而如果它没有配备装置D,则它忽略它所接收的第一数据而且等待主叫调制解调器E1向它发送未加密的传真类型数据。
与上面参照图1和图2描述的例子中一样,第一消息CM中包含的第一数据可以代表N比特的辅助密钥KN(例如N=24)。如果辅助密钥KN由第一数据定义,则每个处理器模块MT根据辅助密钥KN来确定主要加密密钥KM。对此,每个处理器模块MT使用相同的选定计算函数GNM,该函数包括等于辅助密钥KN的变量,使得GNM(KN)=KM。任一类型的函数GNM可以用于这一目的,特别是伪随机类型函数。
当被叫传真机E2已经接收到“扩充”有第一数据的第一消息CM时,它向主叫调制解调器E1发送例如JM(Join Menu)类型的第二消息(参见V8标准)。如果被叫传真机E2没有装置D则该第二消息JM是标准类型,或者由被叫传真机E2的装置D的处理器模块MT以第二数据进行了“扩充”,该第二数据代表了它的传真机E2对数据进行加密/解密的能力。第二数据并入JM类型的第二消息中或者另一消息的字段中。
如果在第二消息中没有第二数据,则主叫设备E1的装置D立即推断传真机E2没有配备装置D而且不激活它的加密功能。调制解调器E1然后向传真机E2发送未加密的传真类型数据。
如果第二数据存在于第二消息中,则主叫设备E1的装置D的处理器模块MT要求它的分析模块MA对其进行分析。能够以与上面参照图1和图2描述的分析之一相似的方式而且根据已经接收的第二数据的类型来实现这一分析。
如果该分析指示了被叫传真机E2能执行解密,则主叫设备E1的装置D的处理器模块MT根据第一数据(该数据先前被发送到被叫传真机E2)来确定主要加密密钥KM,然后激活它的加密/解密模块MED以便准备好使用主要加密密钥KM对要传输到被叫设备E2的数据(这里是传真类型)进行加密。
如果该分析指示了被叫传真机E2不能执行解密,则主叫设备E1的装置D的处理器模块MT不激活它的加密/解密模块MED。调制解调器E1然后向传真机E2发送未加密的传真类型数据。
请注意,与上面参照图1和图2描述的第一实施例中一样,通过改变由加密/解密模块MED用来对数据(这里是传真类型)进行加密和解密的主要加密密钥KM,在第二实施例中能够使得传输的数据更为安全。
另外,与上面参照图1和图2描述的第一实施例中一样,可以使得加密/解密模块MED适于单独对要传输的数据分组进行加密。
本发明的第一和第二加密/解密装置D,特别是它们的处理器模块MT,可以采用电子电路、软件(或电子数据处理)模块或者电路和软件组合的形式。
上面描述了用于实施本发明的加密/解密装置。然而,本发明也包括可以借助于上面描述的第一和第二加密/解密装置D来实施的一种安全数据传输方法。该方法的步骤的主要和可选功能及子功能基本上与构成第一和第二装置的各种装置的功能相同,下面仅简要描述实施本发明方法主要功能的步骤。
当在主叫设备E1与被叫设备E2之间建立呼叫(其目的在于传输例如传真类型的数据)的情况下,该方法包括-从主叫设备E1或被叫设备E2向这些设备中的另一设备传输包含用于确定主要加密密钥KM的第一数据的第一消息,-在能对数据进行加密/解密的每个设备E1和/或E2中根据第一数据来确定主要加密密钥KM,-从接收第一消息的设备向发送第一消息的设备传输包含代表它的数据加密/解密能力的第二数据的第二消息,然后-如果主叫设备E1和被叫设备E2能对数据进行加密/解密,则在主叫设备E1中对要传输的数据进行加密,然后经由网络RIP将加密的数据传输到被叫设备E2,然后使用主要加密密钥KM在被叫设备E2中对加密的数据进行解密。
本发明具有许多优点,包括-降低的实施成本,-特别易于集成,-面向终端用户的透明性,-唯一的端对端类型加密,这意味着每当传送中的数据穿过不同IP网络时无需使用专用加密设备,-面向其它设备的本地的互操作性。
本发明不仅限于上面借助于例子描述的加密/解密装置、通信设备和安全数据传输方法的实施例,而是涵盖落入所附权利要求的范围之内的本领域技术人员可以预想到的所有变形。
权利要求
1.一种用于经由需要调制/解调的至少一个通信网络(RIP)在第一与第二通信设备(E1,E2)之间安全传输数据的方法,特征在于,在为了传输数据而在所述设备之间建立呼叫时,该方法包括-从所述设备之一向另一设备传输(F3)在非标准设施字段中包含用于确定主要加密密钥的第一数据的第一消息,-然后在能够对数据进行加密/解密的每个设备(E1,E2)中根据所述第一数据来确定所述主要加密密钥,-从接收所述第一消息的设备向发送所述第一消息的设备传输包含代表它的数据加密/解密能力的第二数据的第二消息,所述第二数据借助于所述主要加密密钥来加密,-然后,在发送所述第一消息的设备中接收到所述第二消息时,借助于所述主要加密密钥尝试对所述第二数据进行解密以确定它是否借助于所述主要加密密钥加密过,而且如果是则推断发送所述第二消息的设备能使用所述主要加密密钥对数据进行加密/解密,-然后,当且仅当所述设备均能对数据进行加密/解密时,激活具有要传输的数据的设备中的加密装置,并激活须接收该数据的另一设备中的解密装置,所述加密装置和所述解密装置使用所述主要加密密钥。
2.根据权利要求1的方法,特征在于所述第一数据代表辅助密钥而所述主要加密密钥根据所述辅助密钥来确定。
3.根据权利要求2的方法,特征在于所述第一数据构成所述辅助密钥。
4.根据权利要求1的方法,特征在于所述第二消息中包含的所述第二数据构成借助于所述主要加密密钥来加密的选定的一连串符号。
5.根据权利要求1的方法,特征在于所述主要加密密钥在加密数据的传输期间在所述主叫设备(E1)与所述被叫设备(E2)之间同样地和基本上同时地改变。
6.根据权利要求1的方法,特征在于在存在传真类型数据以及实施G3类型传真功能的主叫设备(E1)和被叫设备(E2)时,在所述被叫设备(E2)中所述第一数据并入包含DIS、CSI和NSF字段的消息的NSF类型非标准设施字段中,在所述主叫设备(E1)中所述第二数据并入TCF类型消息中或者另一消息的TCS类型字段中。
7.根据权利要求1的方法,特征在于,在存在高速G3或G4传真类型的和/或使用V8标准的调制解调器类型的主叫设备(E1)和被叫设备(E2)时,在所述主叫设备(E1)中所述第一数据并入Call Menu类型消息的非标准设施字段中,而在所述被叫设备(E2)中所述第二数据并入Join Menu类型消息中或者另一消息的字段中。
8.一种用于第一通信设备(E2)的对数据进行加密/解密的装置(D),所述第一通信设备(E2)适于经由需要调制/解调的至少一个通信网络(RIP)来与等效类型的第二通信设备(E1)交换数据,特征在于所述装置包括适于执行如下处理的处理装置(MT)i)在称为被叫设备的所述第一设备(E2)与称为主叫设备的所述第二设备(E1)之间建立呼叫时,为了进行从所述主叫设备(E1)到所述被叫设备(E2)的数据传输,生成第一消息到所述主叫设备(E1),所述第一消息在非标准设施字段中包含用于确定主要加密密钥的第一数据,然后根据所述第一数据确定所述主要加密密钥,以及ii)在从所述主叫设备(E1)接收到包含第二数据的第二消息,所述第二数据代表了它对要在加密数据的接收之前传输的数据进行加密的能力时,激活解密装置(MED)以借助于所述主要加密密钥对所述接收的加密数据进行解密。
9.一种用于第一通信设备(E1)的对数据进行加密/解密的装置(D),所述第一通信设备(E1)适于经由需要调制/解调的至少一个通信网络(RIP)来与不同类型的第二通信设备(E2)交换数据,特征在于所述装置包括适于执行如下处理的处理装置(MT)i)在称为主叫设备的所述第一设备(E1)与称为被叫设备的所述第二设备(E2)之间建立呼叫时,为了进行从所述主叫设备(E1)到所述被叫设备(E2)的数据传输,生成第一消息到所述被叫设备(E2),所述第一消息在非标准设施字段中包含用于确定主要加密密钥的第一数据,以及ii)在从所述被叫设备(E2)接收包含代表了它的数据解密能力的第二数据的第二消息时,根据所述第一数据确定所述主要加密密钥,然后激活加密装置(MED)以借助于所述主要加密密钥对要传输到所述被叫设备(E2)的数据进行加密。
10.根据权利要求8或权利要求9的装置,特征在于所述处理装置(MT)适于生成在非标准设施字段中包含代表选定辅助密钥的第一数据的第一消息,以及适于根据所述选定辅助密钥确定所述主要加密密钥。
11.根据权利要求10的装置,特征在于所述第一数据构成所述辅助密钥。
12.根据权利要求8、10和11中任一权利要求的装置,特征在于所述处理装置(MT)适于生成包含借助于所述主要加密密钥来加密的第二数据的第二消息。
13.根据权利要求8至12中任一权利要求的装置,特征在于所述处理装置(MT)包括分析装置(MA),所述分析装置在接收第二消息时适于对它包含的第二(能力倾向)数据进行分析以确定它是否借助于所述主要加密密钥加密过。
14.根据权利要求13的装置,特征在于所述处理装置(MT)适于在接收第二消息时借助于所述主要加密密钥对所述第二数据进行解密,而所述分析装置(MA)适于确定所述解密结果是否对应于借助于所述主要加密密钥的加密,以便在匹配时授权所述处理装置(MT)对要传输的数据进行加密或者对传输的加密数据进行解密。
15.根据权利要求13或权利要求14的装置,特征在于所述处理装置(MT)适于将构成借助于所述主要加密密钥来加密的选定的一连串符号的所述第二数据并入所述第二消息中。
16.根据权利要求8至15中任一权利要求的装置,特征在于所述处理装置(MT)适于在加密数据的传输期间改变所述主要加密密钥。
17.根据权利要求8和10至16中任一权利要求的装置,特征在于所述处理装置(MT)适于在存在传真类型数据时将所述第一数据并入包含DIS、CSI和NSF字段的消息的NSF类型非标准设施字段中,而将所述第二数据并入TCF类型的消息中或者另一消息的TCS类型字段中。
18.根据权利要求9至16中任一权利要求的装置,特征在于所述处理装置(MT)适于在存在传真类型数据时,将所述第一数据并入Call Menu类型消息的非标准设施字段中,而将所述第二数据并入JoinMenu类型消息的非标准设施字段中或者另一消息的字段中。
19.一种用于网际协议通信网络(RIP)的通信设备(E1,E2),特征在于它包括根据权利要求8至18中任一权利要求的加密/解密装置(D)。
全文摘要
一种装置(D)专用于在通信设备(E2)中对数据进行加密/解密,该通信设备能经由需要调制/解调的至少一个通信网络(RIP)来与等效类型的另一通信设备(E1)交换数据。这一装置(D)包括处理装置(MT),该处理装置适于i)在它们的被叫设备(E2)与主叫设备(E1)之间建立呼叫时,为了进行数据传输,生成第一消息到主叫设备(E1),第一消息在非标准设施字段中包含用于确定主要加密密钥的第一数据,然后根据第一数据确定主要加密密钥,以及ii)从主叫设备(E1)接收包含(可能在消息的一个字段中)第二数据的第二消息,第二数据代表了它对要传输的数据进行加密的能力时,以及然后接收加密数据时,借助于主要加密密钥对接收的加密数据进行解密。
文档编号H04L12/46GK1972185SQ20061011508
公开日2007年5月30日 申请日期2006年8月23日 优先权日2005年8月23日
发明者穆莱·法迪利, 热尔勒米·兹里昂, 阿布德尔克里姆·穆勒伊阿维 申请人:阿尔卡特公司