專利名稱:在電子通信中提供可適用安全等級的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在電子通信中提供可適用安全等級的方法和裝置。
背景技術(shù):
電子通信中經(jīng)常需要防止竊取者中途截取消息。也期望提供消息的真實性的指征,該指征為發(fā)送者的可驗證的認(rèn)證。這些目標(biāo)通常通過密碼術(shù)的運(yùn)用來實現(xiàn)。私鑰密碼術(shù)需要在開始通信前共享一個密鑰。人們通常更愿意使用公鑰密碼術(shù),因為其不需要這種共享的密鑰。不同地,每個通信者擁有包含私鑰和公鑰的鑰對。該公鑰可通過任何便利的方式提供,并不需要保密。密碼算法中有很多變化以及確定該精密運(yùn)算的各種參數(shù)。無線通信的標(biāo)準(zhǔn)中,慣常為每種幀類型提前設(shè)定好這些參數(shù)。然而,這種方式限制了這些參數(shù)的靈活性。當(dāng)一個裝置與其它若干裝置通信時,常常需要針對每一通信設(shè)立各自的參數(shù)。本發(fā)明的一個目的為消除或減輕上述不足之處。
發(fā)明內(nèi)容
—方面,本發(fā)明提供一種在數(shù)據(jù)通信系統(tǒng)中第一通信者和第二通信者之間通信的方法,該方法包括:在上述第一通信者處聚集數(shù)據(jù)流,該數(shù)據(jù)流具有至少一個幀,該幀具有幀頭和數(shù)據(jù);在該幀頭中整合幀類型的指示;以及傳送該幀至上述第二通信者以使得該第二通信者根據(jù)該幀類型來判斷該幀的可接受性。另一方面,本發(fā)明提供一種驗證在數(shù)據(jù)通信系統(tǒng)中第一通信者和第二通信者之間通信的方法,包括該第二通信者:從該第一通信者處接收具有幀頭和數(shù)據(jù)的幀,該幀頭包括幀類型的指示;從該幀頭確定該幀類型;以及關(guān)聯(lián)該幀類型與一個策略,以確定對該幀的至少一個屬性而言該幀類型是否可接受。再一方面,本發(fā)明提供一種在數(shù)據(jù)通信系統(tǒng)的一對通信者之間通信的方法,包括對上述通信者的其中之一豁免與該通信系統(tǒng)相關(guān)的安全規(guī)則,以使該通信者開始與另一通信者通信。
以下將以將結(jié)合附圖的方式對本發(fā)明的一個實施例進(jìn)行描述,其中:圖1為通信系統(tǒng)的示意性表示;圖2為圖1所示的通信系統(tǒng)中交換的信息幀的示意性表示;圖3為圖2所示的幀的幀控制部分的示意性表示;圖4為圖1中的發(fā)送者所執(zhí)行的方法的示意性表示;
圖5為圖1中的接收者所執(zhí)行的方法的示意性表示;圖6為該通信系統(tǒng)的一個實施例中的網(wǎng)絡(luò)的示意性表示;圖7為該通信系統(tǒng)的一個實施例的示意性表示;圖8為該通信系統(tǒng)的另一實施例的示意性表示;圖9為另一巾貞的不意性表不;圖10為利用圖9中的幀,發(fā)送者所執(zhí)行的方法的示意性表示;圖11為利用圖9中的幀,接收者所執(zhí)行的方法的示意性表示;圖12為另一通彳目系統(tǒng)的不意性表不;及圖13為圖12中的通信者所執(zhí)行的方法的示意性表示。
具體實施例方式請參閱圖1,通信系統(tǒng)10包括一對由通信線路16所連接的通信者12、14。每一通信者12、14包括各自的密碼單元18、20。每一通信者12、14可包括處理器22、24。每個處理器可連接至顯示器及用戶輸入裝置,例如鍵盤、鼠標(biāo)或其它適合的裝置。如果該顯示器是觸摸感應(yīng)式的,則該顯示器自身可作為用戶輸入裝置使用。計算機(jī)可讀存儲介質(zhì)(圖未示)連接至每一處理器,以為處理器22、24提供指令來命令和/或設(shè)置處理器22、24來執(zhí)行與每一通信者12、14的操作相關(guān)的步驟或運(yùn)算,下文將進(jìn)一步解釋。該計算機(jī)可讀介質(zhì)可包括硬件和/或軟件,例如(僅以舉例的方式):磁盤(Magnetic Disk)、磁帶(Magnetic Tape)、光讀取介質(zhì)(如CD-ROM)及半導(dǎo)體存儲器(如PCMCIA卡)。在每種情形下,該介質(zhì)可為便攜的形式,例如小視盤(SmallDisk)、軟盤(Floppy Diskette)、盒式磁帶(Cassette),或該介質(zhì)可為相對較大或不可移動的形式,例如支持系統(tǒng)中所提供的硬盤驅(qū)動器(Hard Disk Drive)、固態(tài)記憶卡(Solid State Memory Card)或隨機(jī)存儲器(RAM)。應(yīng)當(dāng)指出,上述列舉示例介質(zhì)既可單獨(dú)使用也可結(jié)合使用。為了在通信者12、14之間傳輸數(shù)據(jù),分組流30根據(jù)已定義的協(xié)議在至少一個通信者處被匯集。該分組流30在圖2中示意性表示,且由一個或多個幀31組成,每個幀31具有中貞頭(Header) 32和數(shù)據(jù)(Data) 34。在某些協(xié)議中,該分組自身可被組織成一個巾貞,該具有幀頭32a和由單獨(dú)的幀的組成的數(shù)據(jù)34a。該幀頭32由位串組成并在該位流中指定位置包含有控制信息。每一幀頭34中包含安全控制位33,該安全控制位33包括安全模式位35和完整性等級位36、37。在本實施例中,安全模式位35用于指出是否加密。完整性等級位36、37 —起用于指出使用的是四個完整性等級(例如0、32、64、128位密鑰長度)中的哪一個。該安全模式位35可用于指示操作的可選模式,例如認(rèn)證,位長可增加(或減少)以適應(yīng)不同的組合。應(yīng)當(dāng)意識到,在該位流30的每一幀31中提供安全位允許該安全等級建立在逐幀的基礎(chǔ)上,而不是建立在一對通信者的基礎(chǔ)上,因此,在組織通信中提供更好的靈活性。為了保障安全,可使用某些最低安全等級。這些等級應(yīng)通過一個已議定的規(guī)則由所有的通信者決議。該規(guī)則可為靜態(tài)或動態(tài)。在操作中,通信者12執(zhí)行圖4中由數(shù)字100所表示的步驟,以發(fā)送信息至通信者14。首先,在步驟102中該通信者12準(zhǔn)備數(shù)據(jù)和幀頭。然后,在步驟104中選擇安全等級。該安全等級通過考慮接收者必需的最低安全等級、該接收者的性質(zhì)和被傳送的數(shù)據(jù)的類型來確定。如果安全等級含有加密,則在步驟106中該通信者12加密數(shù)據(jù)。如果該安全等級含有認(rèn)證,則在步驟108中該通信者12對該數(shù)據(jù)簽名。然后,在步驟110中該通信者12將指征該安全模式及安全等級的位加入該幀控制中。在步驟112中該通信者12發(fā)送該幀至通信者14。一旦收到該幀,該通信者14執(zhí)行圖5中由數(shù)字120所表示的步驟。在步驟122中,該通信者14首先接收該幀。然后,在步驟124中提取該安全位。如果模式安全位34指出已加密,則在步驟126中該通信者14解密該數(shù)據(jù)。如果該安全位指出需認(rèn)證,則在步驟126中驗證該簽名。最后,在步驟128中該通信者14檢查該安全等級以確保其滿足預(yù)設(shè)的最低安全等級要求。在步驟130中,如果加密或認(rèn)證中任一失敗,或該安全等級不滿足最低要求,則該通信者14拒絕該消息;如果該加密和認(rèn)證成功,且該安全等級滿足最低要求,則該消息被接受。應(yīng)當(dāng)意識到,提供安全位和可調(diào)的安全等級為保護(hù)該通信中的每一幀帶來靈活性。因此該發(fā)送者能夠決定哪些幀應(yīng)該加密但不需認(rèn)證。由于認(rèn)證通常增加消息的長度,這在帶寬非常珍貴的受限環(huán)境下節(jié)約資源。在另一實施例中,該通信者12希望以不同的最低安全要求分別發(fā)送相同消息給多個接收者14。在這種情況下,該通信者12選擇足夠高的安全等級以滿足全部的要求。該通信者12隨后如圖4中所示以該安全等級來匯集并發(fā)送消息。由于滿足每一接收者的最低要求,該消息將被他們每一個所接受。應(yīng)當(dāng)意識到,相較分別處理每一接收者的要求而言,本實施例更有效率。在另一實施例中,使用不同的安全位長。實際位長不限于任何數(shù)值,而是可針對任何給定的應(yīng)用而預(yù)先確定。該安全位應(yīng)指出運(yùn)算參數(shù),這些安全位可被用于確定密鑰的長度為40位或128位、所使用的密鑰的版本或者該加密系統(tǒng)中的任何其它參數(shù)。應(yīng)當(dāng)意識到,在上述實施例中,可使用網(wǎng)絡(luò)堆棧來組織通信者之間的通信。因此參看圖6,通信者A的網(wǎng)絡(luò)堆棧用數(shù)字130表示,通信者B的網(wǎng)絡(luò)堆棧用數(shù)字140表示。這些網(wǎng)絡(luò)堆棧被分成幾層并具有類似的結(jié)構(gòu)。網(wǎng)絡(luò)堆棧130包括應(yīng)用層(Application Layer,APL)132、網(wǎng)絡(luò)層(Network Layer, NWK) 134、消息認(rèn)證層(Message AuthenticationLayer,MAC) 136和物理層(PhySiCalLayer,PHY)138。該網(wǎng)絡(luò)堆棧140包括用類似標(biāo)號方式表示的類似組成部分。該發(fā)送者決定他如何保護(hù)有效負(fù)載(Payload)(以及在哪保護(hù)它,即哪一層)。對APL層而言,安全性是透明的,其作用僅為指出數(shù)據(jù)保護(hù)的等級(即安全服務(wù):無、機(jī)密、數(shù)據(jù)認(rèn)證或兩者皆有)。實際的密碼處理則被指派到下面的層?;诮邮盏降膸捅镜鼐S護(hù)的狀態(tài)信息,該接收者決定是否接受被保護(hù)的有效負(fù)載。該密碼處理(在與發(fā)送者相同的層進(jìn)行)的結(jié)果,包括透明傳送的保護(hù)等級的信息,被傳送到應(yīng)用層,該應(yīng)用層決定所提供的保護(hù)等級是否充分。該接收者可基于該“充分性測試”向原始發(fā)送者確認(rèn)該幀的正確接收。該確認(rèn)(ACK),如果有,被傳送回至發(fā)送者并被傳送到適當(dāng)?shù)膶?如果被保護(hù)的消息在APL層被發(fā)送,則ACK應(yīng)返回至那一層;當(dāng)然,對下面的層而言類似)。
該發(fā)送者A決定其想要使用SEC所指示的保護(hù)等級來保護(hù)有效負(fù)載m (考慮自身安全需求和,可能的話,那些預(yù)期的接收者的安全需求)。該有效負(fù)載m和期望的保護(hù)等級SEC然后被傳送到負(fù)責(zé)實際密碼處理的下一層(例如圖中的MAC層)。(該傳送的消息可包括輔助該幀處理的附加狀態(tài)信息,例如預(yù)期的接收者、分片信息等。應(yīng)注意,如果進(jìn)行密碼處理的層與有效負(fù)載m所在的層相同,指派到下一層進(jìn)行密碼處理僅僅是概念性的步驟。)密碼處理包括利用該期望的保護(hù)等級SEC所指示的密碼處理來保護(hù)有效負(fù)載m和(可能的話)相關(guān)信息(如幀頭)。用于保護(hù)該信息的密鑰來自該發(fā)送者和該預(yù)期的接收者之間所維護(hù)的共享密鑰材料(Keying Material)。在密碼處理之后,在圖6中用[m]K,SEC來表示的該被保護(hù)的幀被傳遞到至預(yù)期的接收者B。利用該監(jiān)測到的保護(hù)等級SEC’所指示的密碼處理,且利用該發(fā)送者和該預(yù)期接收者之間所維持的共享密鑰材料所得到的密鑰,該預(yù)期的接收者從該接收到的被保護(hù)的幀中獲取該有效負(fù)載m’。該獲取到的有效負(fù)載m’和該監(jiān)測到的保護(hù)等級SEC’被傳遞到與該發(fā)送者發(fā)出該有效負(fù)載相同的層,在這里判斷該監(jiān)測到的保護(hù)等級的充分性。如果滿足或超過期望的保護(hù)等級SECtj,該監(jiān)測到的保護(hù)等級SEC’被認(rèn)為足夠,這里參數(shù)SEQ可能為固定的預(yù)先商議的保護(hù)等級,該保護(hù)等級獨(dú)立于或取決于在此討論的獲取到的有效負(fù)載m’。(在取決于消息方式下定義SECtj將允許細(xì)粒度的訪問控制策略,但通常會增加存儲和處理的需求。)上述方式在期望的保護(hù)等級和監(jiān)測到的保護(hù)等級可進(jìn)行比較的環(huán)境下工作,例如這組保護(hù)等級為一個偏序(Partial Ordering)的環(huán)境或(一組保護(hù)等級其中之一)進(jìn)行隸屬測試(Membership Test)的環(huán)境。一個示例是包含加密和/或認(rèn)證的組合的情形下,將加密的自然排序(Natural Ordering)(不加密<加密,Encryption OFF < EncryptionON)和認(rèn)證的自然排序(按照數(shù)據(jù)認(rèn)證字段的長度遞增來排序)的笛卡爾乘積(Cartesianproduct)進(jìn)行排序。此外,如果這組保護(hù)等級具有最高等級,則該發(fā)送者可使用該最高保護(hù)等級來確保(未被改變的)消息總能通過充分性測試。在另一示例中,將該被觀測的保護(hù)等級與SECtj比較,這里SEQS—組保護(hù)等級,而不僅僅是最低保護(hù)等級。在這種方式下,如果 SEC0 = {None, Auth-32, Auth-64, Auth-128}且 SEC = Auth-32,則該充分性測試通過;反之如果SEQj和上面相同且SEC = Auth-32+機(jī)密(Confidentiality,例如加密),則該充分性測試失敗。在以上實施例中,每一發(fā)送者預(yù)先與每一預(yù)期的接收者商議該最低期望保護(hù)等級SEC。。因此,這種方式可能不如預(yù)期那樣適用于某些應(yīng)用場合且該SEQ參數(shù)的每一改變都可能帶來額外的協(xié)議開銷(Protocol Overhead)。這些不足可利用從接收者到發(fā)送者的確認(rèn)(ACK)機(jī)制作為該SEQ信息的反饋通道來克服。這通過在每一確認(rèn)信息中加入關(guān)于期望保護(hù)等級的指示信息來完成。該信息可隨后被原始發(fā)送者核對以更新其接收者的期望的最低保護(hù)等級,而不管這是否取決于消息。在另一實施例中,示出一種同步安全等級的方法。參看圖7,該通信系統(tǒng)的另一實施例總體用標(biāo)號160表示。該系統(tǒng)包括一個發(fā)送者162 (發(fā)送者A)和在標(biāo)記為G的組內(nèi)的接收者168。該發(fā)送者A包括參數(shù)SECa164和SECe166。發(fā)送者A想要安全傳遞消息m至設(shè)備組G。該發(fā)送者A訪問該二個參數(shù),S卩(I)想要保護(hù)該信息的最低等級SECa (—般而言,SECa可能取決于其發(fā)送信息所至的組和該信息本身,故適當(dāng)?shù)臉?biāo)記為SECa(m,G)) ;(2)該接收者的組G期望的最低保護(hù)等級SECe(如果該等級取決于該發(fā)送者和該信息本身,適當(dāng)?shù)臉?biāo)記為SECe(m,A))。這里,一個組的最低期望等級為所有組員的最低期望等級的最大值。初始化: 發(fā)送者A假定每一參數(shù)SECe被設(shè)置為最高保護(hù)等級(針對與其安全通信的每一組G)。操作方法:發(fā)送者A確定其想要保護(hù)該消息m的最低保護(hù)等級SECa。應(yīng)用于該消息m的實際保護(hù)等級SEC同時滿足自身的充分性測試(即SEC ^ SECa)和該組G的最低期望等級(即SEC 彡 SECg)。該組G中的每一接收者B (即BeG)在其安全確認(rèn)消息中指出在該特定時刻的最低期望保護(hù)等級(針對發(fā)送者A和消息m)。A更新該參數(shù)SECe,使其與接收反饋回的每一確認(rèn)信息中指出的所有最低保護(hù)等級一致(即在所有響應(yīng)的設(shè)備B中:SECe彡SECb)。應(yīng)注意到,上述流程發(fā)送消息的保護(hù)等級同時滿足該發(fā)送者的需求和接收者的期望,并能適應(yīng)隨時間的變化??蛇x擇地,該發(fā)送者可僅考慮其自身的保護(hù)需求,其代價為可能發(fā)送的消息會因充分性不夠(因為低于期望保護(hù)等級)而被一個或多個接收者拒絕。上述流程可被歸納為任一網(wǎng)絡(luò)拓?fù)渲醒b置間的狀態(tài)信息的大概自同步過程,這里關(guān)于狀態(tài)信息的反饋信息可能在沿從接收者到發(fā)送者的反饋路徑上就被部分處理,而不是僅由發(fā)送者自己處理(在上述示例中,拓?fù)鋱D為具有根部A和樹葉(接收者)的樹,且該同步涉及一個特殊的安全參數(shù))。如圖8中所示,A發(fā)送以安全保護(hù)等級SEC保護(hù)的有效負(fù)載至B1-B4構(gòu)成的設(shè)備組。接收者B1-B4以期望的保護(hù)等級(在圖中以整數(shù)1、3、2、5所示,這里這些整數(shù)以保護(hù)等級遞增的順序編號)提供反饋給發(fā)送者A。該反饋經(jīng)由中間節(jié)點(diǎn)Cl和C2被傳送回A,這些節(jié)點(diǎn)在代表二個組返回給發(fā)送者A壓縮的認(rèn)證信息之前收集組Gl、G2中的各設(shè)備其各自的反饋并加以處理。該這些中間設(shè)備所提供的壓縮反饋為A提供滿足所有接收者期望的最低保護(hù)等級的信息,該信息與不經(jīng)中間處理就傳送給A的情形中的信息相同。(這里,我們假定中間設(shè)備在計算中不存在欺騙。)在另一實施例中,通信中的每一幀的結(jié)構(gòu)如圖9中所示并大體上用數(shù)字170表示。該幀170主要包括幀頭172、有效負(fù)載174和幀腳176。該幀腳176通常包括代表錯誤碼的一個或多個位。該有效負(fù)載174包括該特定幀170中將被傳送的數(shù)據(jù),即消息。一個示范性的巾貞頭172a在圖9詳細(xì)示出。該巾貞頭172a包括密鑰標(biāo)識(KeyIdentifier) 178、密鑰代表(Representation) 180、巾貞類型182、安全等級184 (如之前一樣)和信息始發(fā)者(例如發(fā)送者12)的指示186。該幀頭172a的每一部分包含表示傳送的某一屬性的一個或多個位或包括一條信息。該密鑰標(biāo)識178和該密鑰代表180通常用于確定使用什么密鑰和如何使用該密鑰,例如廣播或單播通信。該幀類型182提供關(guān)于在該特定幀172a中什么傳送類型將被發(fā)送的指征。典型的幀類型182包括數(shù)據(jù)幀、指令幀、確認(rèn)幀和信標(biāo)幀。數(shù)據(jù)類型的幀傳輸數(shù)據(jù),指令類型的幀傳輸指令,確認(rèn)類型的幀傳輸反饋信息給發(fā)送者,例如接收者對幀已被適當(dāng)接收的確認(rèn),以及信標(biāo)幀通常將傳送以時間間隔分割開。為了提供安全,除了為接收者14提供最低安全等級外,該發(fā)送者12在幀頭172a中加入了幀類型182。該幀類型182被該接收者14用于執(zhí)行策略檢查(Policy Check)以確定該安全等級、密鑰、密鑰用法等是否適合被傳輸?shù)膸念愋?。例如,對通常需要高安全性保護(hù)的幀類型而言,安全性不夠?qū)⒃獾骄芙^。在操作中,該發(fā)送者12執(zhí)行圖10中數(shù)字200所示的步驟來發(fā)送信息給接收者14。首先,根據(jù)上述步驟102-110該發(fā)送者12在步驟202中和準(zhǔn)備該幀。應(yīng)當(dāng)了解,這些步驟也包括幀頭172a的準(zhǔn)備以包括圖9中所示的位的代表。在步驟204中,該發(fā)送者確定該幀類型182并在幀頭172a中包括一個或多個位以指示該幀類型182。在步驟206中,該發(fā)送者12隨后發(fā)送該幀170至接收者14。一旦接收到該幀170,該接收者14執(zhí)行圖11中數(shù)字208所示的步驟。首先在步驟210中該接收者14接收該幀,然后在步驟212中執(zhí)行上述討論的步驟124-126。然后在步驟214中,該接收者14從幀頭172a中提取幀類型182。隨后在步驟216中,為了執(zhí)行策略檢查,該幀類型182被與策略相關(guān)聯(lián)。具體而言,該接收者訪問指示每一幀類型的一個或多個策略的查詢表(Look-up Table)。在步驟218中該接收者14確定該策略是否滿足,且在步驟220中基于該策略是否滿足來拒絕或接受該幀170。該策略檢查包括該幀類型182與某些其它數(shù)據(jù)的相關(guān)性,優(yōu)選的是包含在該幀內(nèi)的數(shù)據(jù)。例如,該策略可包括密鑰類型和幀類型之間的某些相關(guān)性,以致基于該密鑰160代表,根據(jù)該密鑰是否適用于該特定幀類型182該幀被接受或拒絕。結(jié)果,為了要滿足策略,需要某種類型的密鑰(或密鑰用法)。如果該密鑰不是正確的類型,則該幀170不被接收者14所接受。如果單個幀頭32a被用于圖2中所示的多個幀34a,則該策略將同樣應(yīng)用于該信息內(nèi)的余下的幀。在另一示例中,該策略基于該幀170內(nèi)包含的安全等級184來設(shè)置,例如上文所討論的最低安全等級SEQ。該幀170包含某一在發(fā)送者12準(zhǔn)備該幀頭172時已被包含的最低安全等級,且該最低安全等級與該特定幀類型相關(guān)聯(lián)。如果該安全等級184適于該幀類型162,則在步驟220中該幀170被接收者傳送,如果不是該幀170被拒絕。應(yīng)當(dāng)理解,該策略可適用于將該幀內(nèi)任何適當(dāng)?shù)男畔⑴c該幀類型182相關(guān)聯(lián)。為了防范更易于遭受攻擊的安全特征的組合,上述原則使得安全檢查適用于各種信息、各種幀類型等。例如,當(dāng)幀類型不使用加密而特別容易受到攻擊時,策略可造成接收者因未經(jīng)加密僅需認(rèn)證而拒絕該中貞。一般而言,存在三種安全等級檢查,其具有不同粒度等級。第一種是SEQ獨(dú)立于消息的情況。在這種情況下,該最低安全等級只設(shè)置一次,本地僅需存儲一個數(shù)值來執(zhí)行策略檢查。然而,由于對所有消息和消息類型僅有一個最低安全等級,當(dāng)SEQ獨(dú)立于信息時提供最小粒度。第二種是SECtj完全取決于消息的情況。由于每個信息具有其自身的最低安全等級,在這種情況下提供高粒度等級。然而,這需要將所有消息和所對應(yīng)的最低安全等級的列舉存儲在本地的表格中。第三種是SECtj部分取決于消息的情況,也就是如圖9-11所討論的消息被分成不同的類型(例如按照幀的類型),且每一種消息類型被分配一個最低安全等級。這種情況平衡了空間競爭需求和基于最低安全等級執(zhí)行策略檢查的粒度。通常,消息/幀類型的數(shù)量顯著減少,并因此在表格中實現(xiàn)的可行性增加。在圖12所示的另一實施例中,網(wǎng)絡(luò)N包括通過中間通信者C通信的一個或多個通信者(例如A、B)。通信者A利用上述任何原則通過網(wǎng)絡(luò)傳輸幀150至信者C。當(dāng)通信者A首先希望接入網(wǎng)絡(luò)N時,他們沒有密鑰因而不能被認(rèn)證以在網(wǎng)絡(luò)N中通信。初始化程序的大體步驟在圖13中示出。該通信者C首先在步驟224中獲得A想要加入網(wǎng)絡(luò)N的指示。該指示可通過適當(dāng)?shù)淖猿绦騺硖峁T诓襟E226中,通信者C在一個指示狀態(tài)的表中加入A,并將通信者A的狀態(tài)設(shè)置為“豁免”。該豁免狀態(tài)需要進(jìn)行初始化程序,因而直到在網(wǎng)絡(luò)N中被初始化后,通信者A才能安全通信。在步驟228中,通信者A發(fā)送幀至中間通信者C。在步驟230中,通信者C檢查該表格。在這第一次通信中,該通信者A的狀態(tài)為豁免且密鑰交換或其它初始化程序在步驟232中執(zhí)行,且通信者A的狀態(tài)在步驟234中變?yōu)椤胺腔砻狻?或豁免指示被移除,設(shè)為零等)。通信者A遵循正常的安全規(guī)則發(fā)送幀至通信者C。在步驟230中,通信者A的狀態(tài)將從此之后被定為非豁免且在步驟236中應(yīng)用正常的安全規(guī)則,例如通過檢查安全等級、幀類型等。應(yīng)當(dāng)理解,A也可豁免C從而角色互換,且A允許C與之通信(例如,這里A為另一網(wǎng)絡(luò)的一部分)。在圖12所示網(wǎng)絡(luò)N的示例實施中,上述最低安全等級測試考慮該幀150和該始發(fā)者186。在這種情況下,該發(fā)送者為通信者A且該接收者為通信者B。最低安全等級的檢查將因此為檢查是否SEC ^ SECB (m,A)。如果最低安全等級獨(dú)立于始發(fā)者A,如前文所述,上述安全等級檢查歸結(jié)為檢查是否SEC ^ SECB (m)。與之前的安全等級測試一樣,也有存儲空間的考慮(情形I)。如果該最低安全等級完全依賴于該始發(fā)者A,則列出最低安全等級表(如上文所述,依據(jù)幀m、m的幀類型或是否取決于消息),不同的是為每一始發(fā)者(情形2)。如果最低安全等級獨(dú)立于始發(fā)者 A,除了當(dāng)始發(fā)者在一組明確列舉出豁免的裝置(例如表中由“ExemptSet”(豁免組)表示的)中之外,該ExemptSet之外的裝置執(zhí)行單一最低安全等級表(可能依據(jù)巾貞類型等),此外,為該ExemptSet中的每一成員列舉其各自的最低安全等級表(情形3)。因此,如果通信者(和與之相關(guān)的裝置)為該ExemptSet表的部分,適用情形2 ;如果沒有裝置在該ExemptSet表中,適用情形I。如果通信者在該ExemptSet表中,使用獨(dú)立于該ExemptSet中的該特定裝置的一個最低安全等級表,則情形3可更易于執(zhí)行。這要求,不在該ExemptSet表中的裝置只需要執(zhí)行一個安全等級表,而在該ExemptSet表中的裝置執(zhí)行一個表(情形4)。情形4的進(jìn)一步優(yōu)化為,對在該ExemptSet表中的所有裝置而言,該可能依賴于消息或消息類型(如上文所述)的最低安全等級被設(shè)置為針對在ExemptSet之外的所有裝置的最低安全等級或者被設(shè)置為針對所有在ExemptSet之內(nèi)的所有裝置的一個預(yù)先指定值。由于這將導(dǎo)致只有兩種選擇(例如:針對每幀、幀類型、全部),這可用布爾(Boolean)參數(shù)來指示??傊?SEC 彡 SECb (m, A)),這里
如果 A 不是 ExemptSet 的成員,SECb (m, A)) = SECb (m)。 如果A是ExemptSet的成員且消息m的重寫參數(shù)OverrideSEC(m)設(shè)置為假(FALSE),SECb (m, A)) = SECB (m)。 如果A是ExemptSet的成員且消息m的重寫參數(shù)OverrideSEC (m)設(shè)置為真(TRUE),SECb (m, A)) = ExemptSECB (m)??偟膩碚f,最實際的情況下ExemptSECB(m)被設(shè)置為“不安全”。應(yīng)當(dāng)注意到,如果一些裝置已被接收者B標(biāo)示出屬于ExemptSet (且ExemptSECB (m)被設(shè)置為“不安全”),有一種情形允許這些尚未有密鑰的裝置(例如,因剛加入該網(wǎng)絡(luò)且尚需建立密鑰,如經(jīng)由密鑰協(xié)商(KeyAgreement)或密鑰傳輸協(xié)議(KeyTransportation Protocol)或個人身份號碼(PIN)或其它機(jī)制)“繞過(by-pass) ”該最低安全等級檢查(即該安全檢查始終成功)。繞過最低安全等級檢查可能取決于該接收到的消息m、該消息m的幀類型(如果m的幀類型包括在該被傳輸?shù)膸?,該消息對接收者可見——通常m的幀類型和其它幀控制信息并未加密),或取決于可通過重寫參數(shù)OverrideSEC (m)設(shè)置的參數(shù)。也應(yīng)當(dāng)注意到,接收者對ExemptSet的操作有效地約束該最低安全等級檢查的操作(一個裝置加入該組可能允許繞過或降低安全要求,同時一個裝置從該組中的排除恢復(fù)普通的最低安全等級檢查并使其(再次可能)適用于在此討論的始發(fā)裝置)。因此,上述提供了在該系統(tǒng)的壽命期限內(nèi)考慮通信者(及其裝置)的過渡行為的彈性機(jī)制,并易于推進(jìn)一個裝置從還沒有密鑰的某初始階段到已建立密鑰并能嚴(yán)格遵守正常的最低安全等級策略的階段。該重寫參數(shù)OverrideSE`C (m)允許精細(xì)調(diào)節(jié)“繞過”該最低安全等級檢查并使這取決于接收到的消息m(或消息類型一顯然在付出表格實現(xiàn)成本的情況下可使粒度盡可能精細(xì)化)。例如,在一個裝置加入網(wǎng)絡(luò)并尚需建立一個密鑰的情況下,可僅對始發(fā)裝置A最低需求的消息或消息類型而言將重寫參數(shù)OverrideSECOn)設(shè)為真(TRUE),以建立與接收裝置B (或與網(wǎng)絡(luò)內(nèi)的某些其它裝置T,一旦該密鑰被建立該裝置T即通知B),因而限制裝置A的可允許行為但并不排除所有形為。這也可用于任何其它初始化程序或設(shè)立程序并不應(yīng)限于密鑰設(shè)立。同樣,接收者B對重寫參數(shù)OverrideSEC (m)的操作允許對安全控制策略進(jìn)行非常靈活且低耗的精調(diào)。例如,通過將所有的重寫參數(shù)設(shè)為假(FALSE),有效地關(guān)閉與沒有密鑰的裝置的所有網(wǎng)絡(luò)操作(由于所有給接收者B的密碼不安全的消息將最終被拒絕)——所謂的秘密行動模式——而將所有的重寫參數(shù)設(shè)為真(TRUE),可能導(dǎo)致該最低安全等級測試被有效地繞過從而允許不安全的信息不受限制地流向裝置B。應(yīng)當(dāng)意識到,該安全規(guī)則提供靈活性不僅可適用于在逐幀的基礎(chǔ)上而且適用于基于幀類型,使得策略檢查可確定是否某些安全規(guī)則或密鑰類型可用于特定的幀類型。盡管本發(fā)明已參照一些具體的實施例來描述,但本領(lǐng)域的技術(shù)人員在不脫離本發(fā)明的精神與本發(fā)明的權(quán)利要求所記載的范圍的前提下可作出各種修改。
權(quán)利要求
1.一種在通信網(wǎng)絡(luò)中進(jìn)行通信的方法,所述方法包括: 對第一通信者豁免與該通信網(wǎng)絡(luò)相關(guān)的安全規(guī)則; 在對該第一通信者豁免該安全規(guī)則的同時,第二通信者在該通信網(wǎng)絡(luò)中對該第一通信者進(jìn)行初始化;以及 在對該第一通信者進(jìn)行初始化之后,在該通信網(wǎng)絡(luò)中將該安全規(guī)則應(yīng)用于該第一通信者。
2.如權(quán)利要求1所述的方法,其中該第二通信者含有該第一通信者的狀態(tài)的指示,且所述方法還包括在對所述第一通信者進(jìn)行初始化之后改變所述狀態(tài)的指示,其中所述改變的指示指示該第一通信者遵循該安全規(guī)則。
3.如權(quán)利要求1所述的方法,其中該第二通信者包括負(fù)責(zé)控制對該網(wǎng)絡(luò)的訪問的中間通信者。
全文摘要
一種在安全通信系統(tǒng)中通信的方法,其包括以下步驟在發(fā)送者處匯集消息,然后確定幀類型;以及在該消息的幀頭中加入該幀類型的指征。該消息隨后被發(fā)送到接收者,該幀類型用于執(zhí)行策略檢查。
文檔編號H04L29/06GK103166961SQ201310067350
公開日2013年6月19日 申請日期2007年4月13日 優(yōu)先權(quán)日2006年4月13日
發(fā)明者馬里努斯·斯特洛伊克 申請人:塞爾蒂卡姆公司