專利名稱:一種安全等級握手協(xié)商方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通訊和信息安全領(lǐng)域�,具體涉及一種安全等級握手協(xié)商方法�����。
背景技術(shù):
隨著移動網(wǎng)絡(luò)和業(yè)務(wù)的發(fā)展,移動網(wǎng)絡(luò)必須支持越來越多的安全協(xié)議和安全算法��。這種動力主要來自以下幾個方面(1)隨著移動網(wǎng)絡(luò)日益走向融合�����,如3G與WLAN的融合等����,移動網(wǎng)絡(luò)必須同時支持種類繁多的移動終端,然而不同的移動終端可能由不同的安全協(xié)議支持��,因此服務(wù)器必須支持的安全協(xié)議就日漸增多�。(2)由于移動終端的移動性,支持某種安全協(xié)議的移動終端一旦投入使用�����,客觀上要求運營商對該移動終端可能漫游范圍內(nèi)的服務(wù)器配置該安全協(xié)議�����。(3)不同國家由于國家安全的需要�,也可能要求本國移動通信網(wǎng)絡(luò)支持本國的加密算法。這就要求移動網(wǎng)絡(luò)服務(wù)器需要支持復(fù)雜全面的安全協(xié)議,以滿足漫游和互通的需要�����。
大多數(shù)移動終端計算能力����,顯示能力以及內(nèi)存有限,難以支持和服務(wù)器等同數(shù)量的安全協(xié)議����。移動終端只能根據(jù)自身應(yīng)用范圍和特點,支持有限安全協(xié)議種類�。若移動終端和服務(wù)器由安全協(xié)議直接握手協(xié)商安全策略,服務(wù)器在每次發(fā)出初次握手信令時��,就必須將所支持的各種類型安全協(xié)議和相關(guān)參數(shù)發(fā)給移動終端�。雖然從單一的移動終端和服務(wù)器的通信過程來說,安全協(xié)議參數(shù)的增加對帶寬的消耗很小�,但是考慮到移動終端的移動性,從服務(wù)器發(fā)出的安全參數(shù)需要將所有可能的參數(shù)傳給個性化的移動終端��,整體對網(wǎng)絡(luò)帶寬的消耗就會明顯增加�����。比如支持某種類型安全協(xié)議的移動終端只占所有網(wǎng)絡(luò)移動終端數(shù)量的一小部分���,然而為了支持該類型移動終端的移動性�,服務(wù)器每次和各種移動終端建立通信時����,就有必要在安全協(xié)議參數(shù)中增加該類型的安全參數(shù)。隨著移動終端應(yīng)用范圍����,應(yīng)用領(lǐng)域不斷擴大,移動終端個性化日益明顯情況下���,整體安全參數(shù)在全網(wǎng)中的傳輸量會不斷增加�,這不但增加整體網(wǎng)絡(luò)帶寬消耗����,也增加所有移動終端計算資源和內(nèi)存消耗。
另一方面���,移動網(wǎng)絡(luò)所有安全協(xié)議參數(shù)在每次呼叫過程傳輸�����,將不利于網(wǎng)絡(luò)的升級���。隨著安全技術(shù)的不斷發(fā)展和不同應(yīng)用的需要���,安全協(xié)議參數(shù)數(shù)量的不斷擴展有可能受到現(xiàn)有信令格式的限制。如果發(fā)生無法擴展的情況����,就需要對所有移動終端和服務(wù)器進(jìn)行升級,這是很難辦到的���。
隨著移動網(wǎng)絡(luò)傳輸能力的增大��,各種新業(yè)務(wù)也隨著發(fā)展�。業(yè)務(wù)范圍已經(jīng)不局限于移動終端之間通話的語音業(yè)務(wù)���,或移動終端訪問特定服務(wù)器內(nèi)容的數(shù)據(jù)業(yè)務(wù)��,而是移動終端全面參與多方信息交互的多媒體業(yè)務(wù)���,移動終端既是多媒體信息的接收者,也是多媒體信息的提供者�。日漸豐富的應(yīng)用需要有足夠的安全保障�。然而��,并不是所有信息都需要同樣級別的安全保障��,因此有必要針對不同業(yè)務(wù)需要����,提供不同等級的安全保障服務(wù)����。因此,在各種安全協(xié)議基礎(chǔ)上���,對安全協(xié)議所能提供的安全保障服務(wù)進(jìn)行等級劃分����,讓業(yè)務(wù)根據(jù)需要���,使用不同等級的安全保障服務(wù)就成為現(xiàn)實的需要���。
安全保障的實現(xiàn)需要運營商在移動網(wǎng)絡(luò)上增加投資。這種投資需要融入產(chǎn)業(yè)的價值鏈中�����,轉(zhuǎn)化為符合各方利益的增值服務(wù),促進(jìn)安全服務(wù)良性發(fā)展����。在安全技術(shù)的基礎(chǔ)上,劃分不同等級的安全保障����,可以為安全服務(wù)成為增值服務(wù)提供技術(shù)條件。
移動用戶的日益普及��,移動終端成為大眾化的產(chǎn)品�����。然而大部分用戶安全知識有限��,也難以在移動終端對安全策略進(jìn)行專業(yè)的配置�����。從這個意義上講���,需要根據(jù)不同信息的不同安全要求���,實施簡單����,直觀的安全級別選擇機制����。用戶根據(jù)通信要求�����,靈活選擇合適的安全級別進(jìn)行通信���。這就要求網(wǎng)絡(luò)在技術(shù)上能夠支持不同等級的安全服務(wù)��。
發(fā)明內(nèi)容
本發(fā)明的目的之一是提出了一種安全等級握手協(xié)商系統(tǒng)�,解決了現(xiàn)有技術(shù)中安全協(xié)議參數(shù)擴展可能受到信令格式限制的問題���,適應(yīng)了移動網(wǎng)絡(luò)多種安全協(xié)議并存���,移動終端多樣化以及移動業(yè)務(wù)日益豐富所帶來的網(wǎng)絡(luò)安全協(xié)議參數(shù)增多的特點。
本發(fā)明的另一個目的是提出了一種安全等級握手協(xié)商方法����,能夠在移動終端實現(xiàn)用戶根據(jù)安全需求簡單配置���,減少網(wǎng)絡(luò)帶寬和終端計算資源的消耗,而且不需要改變現(xiàn)有安全協(xié)議自身的握手協(xié)商方式�����,支持各種安全協(xié)議自身的安全策略的配置����,為安全服務(wù)成為增值服務(wù)提供技術(shù)實現(xiàn)機制。
本發(fā)明所述安全等級握手協(xié)商系統(tǒng)由以下幾部分組成在移動終端和服務(wù)器部份中分別設(shè)置有安全等級描述層和安全協(xié)議層����;所述安全等級描述層具備以下功能(1)將安全保障能力分為不同等級,對應(yīng)于不同的安全保障能力和應(yīng)用環(huán)境���,(2)將來自安全協(xié)議層的握手信令中的安全協(xié)議參數(shù)轉(zhuǎn)換成安全等級����。(3)將安全等級轉(zhuǎn)換成安全協(xié)議參數(shù)��。(4)接收對端安全等級描述層發(fā)來的安全等級信息。安全等級所規(guī)定的安全保障能力由安全協(xié)議層的安全技術(shù)支持�。安全協(xié)議層中存儲需要的安全協(xié)議參數(shù),并可接收對端安全協(xié)議層發(fā)來的安全協(xié)議參數(shù)信息�;安全等級協(xié)商涉及協(xié)商雙方一方發(fā)起,另一方響應(yīng)的過程�。因此,本發(fā)明涵蓋4種協(xié)商過程中的任何一種�,分別為(1)服務(wù)器通過安全等級描述層發(fā)起協(xié)商;(2)服務(wù)器通過安全協(xié)議層發(fā)起協(xié)商���;(3)移動終端通過安全等級描述層發(fā)起協(xié)商;(4)移動終端通過安全協(xié)議層發(fā)起協(xié)商�。對每一種協(xié)商過程描述如下(1)服務(wù)器通過安全等級描述層發(fā)起協(xié)商第一步服務(wù)器的安全協(xié)議層發(fā)起安全協(xié)議參數(shù)握手信令給服務(wù)器的安全等級描述層;第二步服務(wù)器的安全等級描述層接收到安全協(xié)議參數(shù)后��,將其轉(zhuǎn)化為安全等級���,并發(fā)送給移動終端的安全等級描述層�����;第三步移動終端的安全等級描述層接收到安全等級信息�����,經(jīng)過移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)�,并進(jìn)行后續(xù)與服務(wù)器的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止。
移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下三種情況移動終端認(rèn)同所述的安全等級��,安全等級描述層將安全等級轉(zhuǎn)化為相應(yīng)的安全協(xié)議參數(shù)握手信令�����,并傳給移動終端安全協(xié)議層�����,由移動終端的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層�����;移動終端不認(rèn)同所述的安全等級����,選擇其他安全等級;安全等級描述層將其他安全等級轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令����,并傳給移動終端安全協(xié)議層,由移動終端的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層��;移動終端不認(rèn)同所述的安全等級,并拒絕通信���。
(2)服務(wù)器通過安全協(xié)議層發(fā)起協(xié)商第一步服務(wù)器的安全協(xié)議層發(fā)起安全協(xié)議參數(shù)握手信令��;第二步移動終端的安全協(xié)議層接收到安全協(xié)議參數(shù)握手信令��,將安全協(xié)議參數(shù)發(fā)給移動終端的安全等級描述層����;第三步移動終端的安全等級描述層接收到安全協(xié)議參數(shù)后����,將其轉(zhuǎn)化為安全等級,經(jīng)過移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)�����,并進(jìn)行后續(xù)與服務(wù)器的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止��。
移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下處理方式移動終端認(rèn)同所述的安全等級����,并由安全等級描述層將安全等級轉(zhuǎn)成安全協(xié)議參數(shù)握手信令�����,并傳給移動終端安全協(xié)議層;由移動終端的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層����;移動終端不認(rèn)同所述的安全等級,并確定其他安全等級�����;安全等級描述層將其他安全等級轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令��,并傳給移動終端安全協(xié)議層��,由移動終端的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層���;移動終端不認(rèn)同所述的安全等級�,并拒絕通信���。
(3)移動終端通過安全等級描述層發(fā)起協(xié)商第一步移動終端安全協(xié)議層發(fā)起協(xié)議參數(shù)握手信令給移動終端安全等級描述層����;第二步移動終端的安全等級描述層接收到安全協(xié)議參數(shù)后���,將其轉(zhuǎn)化為安全等級���,并發(fā)送給服務(wù)器的安全等級描述層�;第三步服務(wù)器的安全等級描述層接收到安全等級信息�,經(jīng)過服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù),并進(jìn)行后續(xù)與移動終端的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止����。
服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下處理方式服務(wù)器認(rèn)同所述的安全等級,安全等級描述層將安全等級轉(zhuǎn)化為相應(yīng)的安全協(xié)議參數(shù)握手信令���,并傳給服務(wù)器安全協(xié)議層��,由服務(wù)器的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給移動終端的安全協(xié)議層�;服務(wù)器不認(rèn)同所述的安全等級�,選擇其他安全等級;安全等級描述層將其他安全等級信息轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令���,并傳給服務(wù)器安全協(xié)議層,由服務(wù)器的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給移動終端的安全協(xié)議層���;服務(wù)器移動終端不認(rèn)同所述的安全等級����,并拒絕通信。
(4)移動終端通過安全協(xié)議層發(fā)起協(xié)商第一步移動終端的安全協(xié)議層發(fā)起安全協(xié)議參數(shù)握手信令���;第二步服務(wù)器的安全協(xié)議層接收到安全協(xié)議參數(shù)握手信令�,將安全協(xié)議參數(shù)發(fā)給服務(wù)器的安全等級描述層�;第三步服務(wù)器的安全等級描述層接收到安全協(xié)議參數(shù)后,將其轉(zhuǎn)化為安全等級����,過服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù),并進(jìn)行后續(xù)與服務(wù)器的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止�����。
服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下處理方式服務(wù)器認(rèn)同所述的安全等級��,安全等級描述層將安全等級轉(zhuǎn)化為相應(yīng)的安全協(xié)議參數(shù)握手信令�����,并傳給服務(wù)器安全協(xié)議層�����,由服務(wù)器的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給移動終端的安全協(xié)議層;服務(wù)器不認(rèn)同所述的安全等級���,選擇其他安全等級���;安全等級描述層將其他安全等級信息轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令,并傳給服務(wù)器安全協(xié)議層����,由服務(wù)器的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給移動終端的安全協(xié)議層;服務(wù)器移動終端不認(rèn)同所述的安全等級�,并拒絕通信。
本發(fā)明的特點是利用安全等級描述層提供與具體安全技術(shù)沒有直接相關(guān)的安全保障程度接口信息��,供用戶和具體業(yè)務(wù)調(diào)用���。優(yōu)點是(1)完全利用安全協(xié)議原有的握手信令攜帶等級描述信息�,可以避免由于增加安全等級描述信令而帶來潛在的安全漏洞���。(2)提供技術(shù)實現(xiàn)機制��,一方面使安全技術(shù)易于配置和使用�����,另一方面促進(jìn)安全服務(wù)個性化����,方便計費���,使安全服務(wù)有條件成為增值服務(wù)內(nèi)容����。
圖1安全等級握手協(xié)商系統(tǒng)框架圖��;圖2由服務(wù)器通過安全協(xié)議層發(fā)起協(xié)商進(jìn)程示意圖���;圖3由服務(wù)器通過安全等級描述層發(fā)起協(xié)商進(jìn)程示意圖����;圖4由移動終端通過安全等級描述層發(fā)起協(xié)商進(jìn)程示意圖����;
圖5由移動終端通過安全協(xié)議層發(fā)起協(xié)商進(jìn)程示意圖。
具體實施例方式
下面結(jié)合附圖對技術(shù)方案的實施作進(jìn)一步的詳細(xì)描述在安全協(xié)議層之外增加安全等級描述層���,規(guī)則如圖1所示��。安全協(xié)議層泛指移動終端和服務(wù)器內(nèi)����,所能支持的安全協(xié)議的總稱。它為安全等級描述層提供安全技術(shù)支持�����。安全等級描述層的功能實體可以根據(jù)應(yīng)用需要���,將安全級別分成n級����,其中n為等級代號�。每一級的安全級別對應(yīng)特定的協(xié)議參數(shù),實現(xiàn)一定程度的安全保障����。
安全協(xié)議層所發(fā)出的握手信令在通過安全等級描述層時,安全等級描述層根據(jù)需要將協(xié)議參數(shù)轉(zhuǎn)換成帶等級代號的信令��,供移動終端識別和配置��。來自安全等級描述層的握手信令在送往安全協(xié)議層之前,將握手信令中的等級代號轉(zhuǎn)換成相應(yīng)的協(xié)議參數(shù)���。
當(dāng)服務(wù)器通過等級描述層發(fā)起協(xié)商時,規(guī)則如圖2所示���。步驟21顯示握手信令Serverhello(協(xié)議參數(shù))經(jīng)過安全等級描述層時�,被安全等級描述層屏蔽安全協(xié)議參數(shù)信息�,并替換上相應(yīng)的安全等級代號,即Serverhello(等級代號)�。步驟22顯示Serverhello(等級代號)被移動終端由安全等級描述層直接接收。在安全等級描述層內(nèi)部�,安全等級代號被移動終端確認(rèn)或進(jìn)一步選擇,然后將確認(rèn)后信令Serverhello(等級代號)轉(zhuǎn)換為相應(yīng)的移動終端支持的安全協(xié)議參數(shù)�,即Clienthello(協(xié)議參數(shù))。步驟23顯示安全等級描述層將Clienthello(協(xié)議參數(shù))傳給安全協(xié)議層��。步驟24顯示安全協(xié)議層將Clienthello(協(xié)議參數(shù))傳給服務(wù)器的安全協(xié)議層����。后續(xù)的握手協(xié)商由雙方的安全協(xié)議層根據(jù)所用協(xié)議的策略規(guī)定繼續(xù)進(jìn)行協(xié)商。
服務(wù)器通過安全協(xié)議層發(fā)起協(xié)商時��,規(guī)則如圖3所示���。步驟31顯示握手信令Serverhello(協(xié)議參數(shù))從服務(wù)器安全協(xié)議層發(fā)送到移動終端的安全協(xié)議層�����。步驟32顯示在移動終端內(nèi)部����,(協(xié)議參數(shù))被發(fā)送到安全等級描述層。在安全等級描述層內(nèi)部�,(協(xié)議參數(shù))被轉(zhuǎn)換成(等級代號)。安全等級代號被移動終端確認(rèn)或進(jìn)一步選擇�,然后將確認(rèn)后(等級代號)轉(zhuǎn)換為相應(yīng)的移動終端支持的安全(協(xié)議參數(shù))。步驟33顯示安全等級描述層將(協(xié)議參數(shù))傳給安全協(xié)議層�����。步驟34顯示安全協(xié)議層將Clienthello(協(xié)議參數(shù))傳給服務(wù)器的安全協(xié)議層���。后續(xù)的握手協(xié)商由雙方的安全協(xié)議層根據(jù)所用協(xié)議的策略規(guī)定繼續(xù)進(jìn)行協(xié)商�。從這種協(xié)商方式中����,可以看出移動終端的安全等級描述層并不參與發(fā)送握手信令給服務(wù)器端,因此在移動終端內(nèi)部��,安全等級描述層和安全協(xié)議層之間的通信,例如步驟32和33���,不需要傳遞完整的信令����,只需要傳遞協(xié)議參數(shù)即可���。如果步驟32和33傳遞完整的信令,也是一種可行的方式���。
移動終端通過等級描述層發(fā)起協(xié)商時�,規(guī)則如圖4所示���。首先由移動終端根據(jù)應(yīng)用需要在安全等級描述層設(shè)定相應(yīng)的安全等級代號�����。步驟41顯示安全協(xié)議層根據(jù)安全等級代號����,向移動終端安全等級描述層發(fā)送握手信令Clienthello(協(xié)議參數(shù))���。移動終端安全等級描述層將其轉(zhuǎn)換成Clienthello(等級代號)�����,發(fā)送給服務(wù)器的安全等級描述層�����,如步驟42所示�����。服務(wù)器安全等級描述層根據(jù)策略配置�,將安全等級代號轉(zhuǎn)換成服務(wù)器安全協(xié)議層支持的安全協(xié)議參數(shù),并將Serverhello(協(xié)議參數(shù))傳給安全協(xié)議層�,如步驟43所示。步驟44顯示服務(wù)器安全協(xié)議層收到Serverhello(協(xié)議參數(shù))后��,和移動終端的安全協(xié)議層進(jìn)行后續(xù)的協(xié)商��。
當(dāng)移動終端通過安全協(xié)議層發(fā)起協(xié)商時��,規(guī)則如圖5所示�。首先由移動終端根據(jù)應(yīng)用需要在安全等級描述層設(shè)定相應(yīng)的安全等級代號。安全等級描述層根據(jù)安全等級代號�����,轉(zhuǎn)換成相應(yīng)的安全協(xié)議參數(shù)。安全協(xié)議層根據(jù)獲得的安全協(xié)議參數(shù)��,組成握手信令Clienthello(協(xié)議參數(shù))發(fā)送給服務(wù)器的安全協(xié)議層���,如步驟51所示��。服務(wù)器的安全協(xié)議層將Clienthello(協(xié)議參數(shù))發(fā)送給安全等級描述層�,如步驟52所示�。步驟53顯示服務(wù)器安全等級描述層根據(jù)策略規(guī)定�����,確定合適的安全等級�,然后將其轉(zhuǎn)換成對應(yīng)的協(xié)議參數(shù),并把Serverhello(協(xié)議參數(shù))傳給服務(wù)器的安全協(xié)議層�����。步驟54顯示服務(wù)器的安全協(xié)議層和移動終端的安全協(xié)議層進(jìn)行后續(xù)的協(xié)商�。
這里,服務(wù)器泛指配置安全協(xié)議功能的實體����,既可以是單獨的服務(wù)器����,安全網(wǎng)關(guān)�,也可以是系統(tǒng)中的一個功能實體,或者集成安全功能的安全模塊��。Clienthello()和Serverhello()泛指包含協(xié)商安全協(xié)議參數(shù)的握手信令��。
權(quán)利要求
1.安全等級握手協(xié)商系統(tǒng)����,所述系統(tǒng)包括移動終端和服務(wù)器,其特征在于�����,所述的移動終端和服務(wù)器中分別設(shè)置一個安全等級描述層和安全協(xié)議層��;所述安全等級描述層將安全保障能力分為不同等級���,對應(yīng)于不同的安全保障能力和應(yīng)用環(huán)境�����,并可將來自安全協(xié)議層的握手信令中的安全協(xié)議參數(shù)轉(zhuǎn)換成安全等級以及接收對端安全等級描述層發(fā)來的安全等級信息���,并可將發(fā)送到安全協(xié)議層的握手信令中的安全等級轉(zhuǎn)換成安全協(xié)議參數(shù)����;安全協(xié)議層中存儲需要的安全協(xié)議參數(shù)�,以及接收對端安全協(xié)議層發(fā)來的安全協(xié)議參數(shù)信息;安全等級所規(guī)定的安全保障能力由安全協(xié)議層的安全技術(shù)支持��。
2.如權(quán)利要求1所述系統(tǒng)的安全等級協(xié)商方法�����,其特征在于�����,當(dāng)服務(wù)器通過安全等級描述層發(fā)起協(xié)商時,包括以下處理步驟第一步服務(wù)器的安全協(xié)議層發(fā)起安全協(xié)議參數(shù)握手信令給服務(wù)器的安全等級描述層;第二步服務(wù)器的安全等級描述層接收到安全協(xié)議參數(shù)后���,將其轉(zhuǎn)化為安全等級���,并發(fā)送給移動終端的安全等級描述層����;第三步移動終端的安全等級描述層接收到安全等級信息�,經(jīng)過移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù),并進(jìn)行后續(xù)與服務(wù)器的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止��。
3.如權(quán)利要求2所述的方法�,其特征在于,所述第三步中移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下三種情況移動終端認(rèn)同所述的安全等級��,安全等級描述層將安全等級轉(zhuǎn)化為相應(yīng)的安全協(xié)議參數(shù)握手信令��,并傳給移動終端安全協(xié)議層�����,由移動終端的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層�;移動終端不認(rèn)同所述的安全等級,選擇其他安全等級��;安全等級描述層將其他安全等級轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令�,并傳給移動終端安全協(xié)議層,由移動終端的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層����;移動終端不認(rèn)同所述的安全等級����,并拒絕通信�����。
4.如權(quán)利要求1所述系統(tǒng)的安全等級協(xié)商方法�����,其特征在于��,當(dāng)服務(wù)器通過安全協(xié)議層發(fā)起協(xié)商時���,包括以下處理步驟第一步服務(wù)器的安全協(xié)議層發(fā)起安全協(xié)議參數(shù)握手信令��;第二步移動終端的安全協(xié)議層接收到安全協(xié)議參數(shù)握手信令����,將安全協(xié)議參數(shù)發(fā)給移動終端的安全等級描述層�;第三步移動終端的安全等級描述層接收到安全協(xié)議參數(shù)后�����,將其轉(zhuǎn)化為安全等級,經(jīng)過移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)��,并進(jìn)行后續(xù)與服務(wù)器的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止����。
5.如權(quán)利要求4所述的方法,其特征在于��,所述第三步中移動終端內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下處理方式移動終端認(rèn)同所述的安全等級���,并由安全等級描述層將安全等級轉(zhuǎn)成安全協(xié)議參數(shù)握手信令����,并傳給移動終端安全協(xié)議層����;由移動終端的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層;移動終端不認(rèn)同所述的安全等級���,并確定其他安全等級�����;安全等級描述層將其他安全等級轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令�����,并傳給移動終端安全協(xié)議層��,由移動終端的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給服務(wù)器的安全協(xié)議層�����;移動終端不認(rèn)同所述的安全等級���,并拒絕通信��。
6.如權(quán)利要求1所述系統(tǒng)的安全等級協(xié)商方法�����,其特征在于����,當(dāng)移動終端通過安全等級描述層發(fā)起協(xié)商時�,包括以下處理步驟第一步移動終端安全協(xié)議層發(fā)起協(xié)議參數(shù)握手信令給移動終端安全等級描述層;第二步移動終端的安全等級描述層接收到安全協(xié)議參數(shù)后���,將其轉(zhuǎn)化為安全等級��,并發(fā)送給服務(wù)器的安全等級描述層���;第三步服務(wù)器的安全等級描述層接收到安全等級信息,經(jīng)過服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)�����,并進(jìn)行后續(xù)與移動終端的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止���。
7.如權(quán)利要求6所述的方法�����,其特征在于�,所述第三步中服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下處理方式服務(wù)器認(rèn)同所述的安全等級�,安全等級描述層將安全等級轉(zhuǎn)化為相應(yīng)的安全協(xié)議參數(shù)握手信令,并傳給服務(wù)器安全協(xié)議層�����,由服務(wù)器的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給移動終端的安全協(xié)議層�����;服務(wù)器不認(rèn)同所述的安全等級,選擇其他安全等級���;安全等級描述層將其他安全等級信息轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令��,并傳給服務(wù)器安全協(xié)議層����,由服務(wù)器的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給移動終端的安全協(xié)議層���;服務(wù)器移動終端不認(rèn)同所述的安全等級�,并拒絕通信���。
8.如權(quán)利要求1所述系統(tǒng)的安全等級協(xié)商方法��,其特征在于����,當(dāng)移動終端通過安全協(xié)議層發(fā)起協(xié)商時��,包括以下處理步驟第一步移動終端的安全協(xié)議層發(fā)起安全協(xié)議參數(shù)握手信令����;第二步服務(wù)器的安全協(xié)議層接收到安全協(xié)議參數(shù)握手信令��,將安全協(xié)議參數(shù)發(fā)給服務(wù)器的安全等級描述層��;第三步服務(wù)器的安全等級描述層接收到安全協(xié)議參數(shù)后,將其轉(zhuǎn)化為安全等級��,過服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)����,并進(jìn)行后續(xù)與服務(wù)器的握手協(xié)商過程或?qū)ξ帐謪f(xié)商進(jìn)行終止。
9.如權(quán)利要求8所述的方法�,其特征在于,所述第三步中服務(wù)器內(nèi)部安全策略決定采用的安全協(xié)議參數(shù)具體包括以下處理方式服務(wù)器認(rèn)同所述的安全等級���,安全等級描述層將安全等級轉(zhuǎn)化為相應(yīng)的安全協(xié)議參數(shù)握手信令���,并傳給服務(wù)器安全協(xié)議層,由服務(wù)器的安全協(xié)議層發(fā)送安全協(xié)議參數(shù)給移動終端的安全協(xié)議層��;服務(wù)器不認(rèn)同所述的安全等級�,選擇其他安全等級;安全等級描述層將其他安全等級信息轉(zhuǎn)化為相應(yīng)的其他安全協(xié)議參數(shù)握手信令���,并傳給服務(wù)器安全協(xié)議層�,由服務(wù)器的安全協(xié)議層發(fā)送其他安全協(xié)議參數(shù)給移動終端的安全協(xié)議層;服務(wù)器移動終端不認(rèn)同所述的安全等級�����,并拒絕通信�����。
全文摘要
本發(fā)明提出了一種安全等級握手協(xié)商方法和系統(tǒng)�����,通過在移動終端和服務(wù)器中分別設(shè)置有安全等級描述層和安全協(xié)議層���,安全等級描述層將安全保障能力分為不同等級���,將來自安全協(xié)議層的安全協(xié)議參數(shù)轉(zhuǎn)換成安全等級以及接收對端安全等級描述層發(fā)來的安全等級信息,將發(fā)送到安全協(xié)議層的安全等級轉(zhuǎn)換成安全協(xié)議參數(shù)�����;安全協(xié)議層中存儲需要的安全協(xié)議參數(shù)�����,以及接收對端安全協(xié)議層發(fā)來的安全協(xié)議參數(shù)信息。本發(fā)明完全利用安全協(xié)議原有的握手信令攜帶等級描述信息��,可以避免由于增加安全等級描述信令而帶來潛在的安全漏洞����;一方面使安全技術(shù)易于配置和使用,另一方面促進(jìn)安全服務(wù)個性化���,方便計費,使安全服務(wù)有條件成為增值服務(wù)內(nèi)容���。
文檔編號H04L29/06GK1728632SQ20041007065
公開日2006年2月1日 申請日期2004年7月28日 優(yōu)先權(quán)日2004年7月28日
發(fā)明者陳劍勇, 彭志威, 羅忠生 申請人:中興通訊股份有限公司