相支持至少一個安全配置文件。如果在 握手期間,主機端點識別出幾個相互支持的安全會話安全配置文件,則主機負責選擇最安 全的候選文件。
[0059] 在一個實施例中,對象識別符(OID)數值可用于給算法的強度進行排序。例如,如 果發(fā)現下述配置文件,主機端點應選擇V2-EnhancedAuthProfile,因為它具有更高的OID數 或因為它的版本更高。后面兩個標準應該永遠不沖突:
[0060] Vl-BasicProfile 1.3.6.1.4.1.191.1.23.1.1.1.2
[0061] V2-EnhancedAuthProfile 1.3.6.1.4.1.191.1.23.1.1.1.3
[0062] 如果建立的配置文件比 Vl-BasicProf ile強,但比 VS-EnhancedAuthProf ile弱,則 OID可W看起來是:1.3.6.1.4.1.191.1.23.1.1.1.2.1.將它們一起查看,我們可W看到OID 順序和強度被保存:
[0063] Vl-BasicProfile 1.3.6.1.4.1.191.1.23.1.1.1.2
[0064] Vl-AltBasicProfile 1.3.6.1.4.1.191.1.23.1.1.1.2.1 [00化]V2-EnhancedAuthProfiIe 1.3.6.1.4.1.191.1.23.1.1.1.3
[0066] 在一個實施例中,安全會話協(xié)議(利用安全配置文件)是WASN. I標記編寫的,一開 始包括=個預定義的安全配置文件。運種安全會話協(xié)議的實現范例如下:
[0067] /*
[0068] /*信息對象集:安全會話配置文件
[0070]下述信息對象對數據類型、加密元素和算法進行定義,并對為定義具體的安全會 話安全配置文件所必須的其它任何特點進行定義。該規(guī)范還對受支持的具體的安全配置文 件進行定義。每個受支持的具體配置文件包括在(本實施例樣本的)本規(guī)范中,并將對它所 支持的準確的數據類型、加密要素和算法進行定義。
[0077] 上文討論的運些實施例和其他實施例現參照圖2-4進行討論。
[0078] 根據一個實施例,圖2是采用加密安全配置文件通信的方法200的示意圖。方法200 (下文稱為"安全會話管理器")被實現為編程指令,駐留于內存中或永久性電腦可讀(處理 器可讀)存儲媒體中,由設備的一個或多個處理器執(zhí)行。處理器經特別配置和編程,用于處 理安全會話管理器。安全會話管理器還可W通過一個或多個網絡操作。網絡可W是有線、無 線或有線與無線相結合的網絡。
[0079] 在一個實施例中,安全會話管理器是圖IA和IB中的主機設備。
[0080] 在一個實施例中,安全會話管理器是圖IA和IB中所述的SIOM。
[0081] 安全會話管理器是從與另一臺設備建立安全會話的設備的處理方面展現的。
[0082] 在210,安全會話管理器從請求設備接收安全配置文件。如圖IA和IB所討論的那 樣,安全配置文件清單是請求設備可W支持的安全配置文件清單。
[0083] 根據一個實施例,在211處,安全會話管理器向請求設備發(fā)送消息,請求被請求的 設備提供安全配置文件清單,返回到安全會話管理器。
[0084] 在一個實施例中,在212處,安全會話管理器獲取具有該安全配置文件清單的請求 設備識別符。
[0085] 在212的一個實施例中和在213處,安全會話管理器接收驗證數據,該數據用于利 用請求設備識別符和安全配置文件清單來對請求設備進行驗證。
[0086] 在220,安全會話管理器從安全配置文件清單中選擇安全配置文件。由安全會話管 理器選擇安全會話管理器和請求設備兩者都能夠用于彼此通信的最高安全級別。
[0087] 根據一個實施例,在221,安全會話管理器將所選的安全配置文件識別為請求設備 和安全會話管理器都支持的最佳的可用安全配置文件。在運種情況下,最佳的可用安全配 置文件是最高級別的安全等級或決策。
[0088] 在221的實施例中和在222,安全會話管理器將該清單與安全會話管理器能夠訪問 的可用安全配置文件清單進行比較,W將最佳的可用安全配置文件識別為所選的配置文 件,其中最佳的可用安全配置文件列在安全會話管理器可W訪問的可用安全配置文件清單 中。
[0089] 在222的實施例中和在223,安全會話管理器對可用清單和安全配置文件清單中的 每個安全配置文件的數字對象識別符進行評價。每個數字對象識別符代表具體的加密、散 列和驗證的組或分組,及加密、散列和驗證分組的版本。
[0090] 在223的實施例中和在224,安全會話管理器將每種類型的加密、散列和驗證映射 到W下的一種或多種:特定加密、散列和驗證算法及與具體的加密算法一起使用的一個或 多個加密鑰的長度。
[0091] 在230,安全會話管理器建立與請求設備的安全通信,在安全會話期間,利用所選 的安全配置文件對數據進行加密和驗證。也就是說,在安全通信會話中,利用所選的安全配 置文件中定義的加密和驗證算法、密鑰和密鑰長度對數據負載進行加密和驗證。
[0092] 根據一個實施例,在231,安全會話管理器將所選的安全通信會話中使用的安全配 置文件通知請求設備,并向請求設備提供安全通信會話的具體信息的數據報,W讓請求設 備建立其自己一側的安全通信會話。
[0093] 在231的實施例中和在232,安全會話管理器在確認安全會話管理器和請求設備之 間已經成功建立安全通信會話之后,從利用所選的安全配置文件加密的請求設備接收消 息。
[0094] 根據一個示例實施例,圖3是采用加密安全配置文件通信的方法300的示意圖。方 法300(下文稱為"安全會話控制器")被實現為指令,在內存中或在在設備的一個或多個處 理器上執(zhí)行的永久性電腦可讀(處理器可讀)存儲媒體中被編程;設備的處理器經過??谂?置可W執(zhí)行安全會話控制器。安全會話控制器也可W通過一個或多個網絡操作;網絡可W 為有線、無線或有線與無線相結合。
[OOM]安全會話控制器是從提供安全配置文件清單供主機設備所選的設備方面展現的, 主機設備建立安全會話。
[0096] 在一個實施例中,安全會話控制器是圖1A、IB和IC討論的外圍設備。
[0097] 在310,安全會話控制器從主機設備(如圖1A、1B和圖2所述的主機設備)接收會話 連接消息。
[0098] 在320,安全會話控制器向主機設備提供安全會話控制器可W利用的安全配置文 件清單,用于在與主機設備的安全通信會話期間使用。
[0099] 根據一個實施例,在321,安全會話控制器包括具有安全配置文件清單的安全會話 控制器執(zhí)行設備的識別符。
[0100] 在321的實施例中和在322,安全會話控制器提供帶有識別符和安全配置文件清單 的驗證數據,供主機設備來對該設備進行驗證。
[0101] 在322的實施例中和在323,安全會話控制器將安全配置文件清單中的每個安全配 置文件識別為數字串,運些數字串識別加密算法的類型、加密算法的版本及與加密算法一 起使用的一個或多個密鑰的長度。
[0102] 在330,安全會話控制器從主機設備獲取所選的配置文件,該配置文件是安全配置 文件清單中安全會話控制器可W利用的配置文件。在320,響應提供安全配置文件清單的安 全會話控制器的要求,提供所選的配置文件。
[0103] 在一個實施例中,在331,安全會話控制器根據所選的配置文件中的加密和驗證算 法及與加密和驗證算法一起使用的一個或多個密鑰的長度,配置與主機設備安全會