[发明专利]用于向应用和服务提供网络通信关联信息的方法和装置

说明书

背景

领域

至少一个特征涉及通信网络中的设备之间的安全通信，更具体而言涉及跨不同层和应用采集和共享可用网络通信关联。

背景

在通信网络中或有线或无线的设备上的诸如电子邮件(email)之类的应用目前并不知悉原先用来创建该网络中的安全性关联所使用的底层认证机制的强度。结果，每个应用在与另一设备通信时管理其自己的安全性。例如，应用可能知道传输层安全性(TLS)或网际协议安全性(IPSec)信道存在，但不知道该信道原是如何建立的。该信道可能是已经由例如未经认证的Diffie-Hellman(DH)、基于完全加密程序(Pretty Good Privacy：PGP)的认证、基于预先共享密钥(PSK)的认证或基于公钥基础设施(PKI)的认证来建立的，然而应用并不知悉原先用来建立该信道的认证的类型。

在开放式系统互连(OSI)分层通信和计算机网络协议设计中，每个层可建立其自己的受安保或不受安保的关联或信道。例如，第一OSI层可与另一设备建立受安保或不受安保的通信信道。类似地，例如媒体接入控制(MAC)层、网际协议(IP)层和/或应用层之类的第二OSI层可使用其自己的安全信道来保护两个设备之间的通信。工作在设备的层上的应用一般并不知悉第一层信道或关联的安全性或认证特性，并且因此不得不建立其自己的安全信道或关联。

如上所讨论的那样，即使应用知道另一层上的安全关联或信道，它也不知道原先是使用了什么类型或强度的认证来创建该安全关联或信道。如果认证等级不清楚，那么在每层处维持最低认证等级是不可能的。结果，应用就不得不建立其自己的网际协议(IP)连通性，即IP层加密，即使有第一层通信关联或信道可用并且原本能用于相同目的亦是如此。

另外，即使应用能知道原先用来在第一层处建立安全性关联的认证类型，单此可能并不足以确定该安全性关联的实际质量。尽管认证可证明实体是它所声称的那个实体，但它无法提供对通过该实体可用的服务的可靠性或质量的保证。目前，寻求这种保证的应用无从获得该保证。

有鉴于以上，需要有一种系统和方法来向第一或第二层应用提供关于第一层网络通信关联的信息以促成在此第一层网络通信关联上的安全通信，藉此避免建立额外的第一网络通信关联或使用第二层网络通信关联。该信息可包括所建成的网络通信关联、所使用的认证类型以及该安全性关联的可靠性或信任度。

概述

一个特征提供一种能在发射终端上工作的方法，该方法允许应用利用相同层或不同层处预先建成的网络通信关联来将数据传递给接收终端，藉此避免建立新的网络通信关联。结果，开销得以最小化，因为可能不需要在建立可能已经建成的新网络通信关联时浪费开销。为了实现这个目的，安全性信息模块(例如硬件、软件、或其组合)提供接口，通过该接口采集一个或更多个层的一个或更多个网络通信关联的信息并将其分发给应用。在一个示例中，这一个或更多个网络通信关联可对应于开放式系统互连(OSI)模块通信系统的一个或更多个层，其中这一个或更多个层可包括应用层、网络层、数据链路层和物理层中的至少一者。

可为这一个或更多个网络通信关联中的每一个评估和/或存储信任度。另外，来自应用的有关与一个或更多个接收终端先前的经历的信息可被采集并提供给其他应用。可基于采集到的信息来为每个这样的接收终端评估信任度。信任度可基于与对应接收终端先前的经历和用来创建到此对应接收终端的层网络通信关联的认证类型。也可标识要在选择藉以发送数据的网络通信关联时使用的策略集，其中此策略集基于用户偏好。

可从作请求的应用接收对关于可用的层网络通信关联的信息的请求。响应于此，可将至少一个网络通信关联的安全性信息提供给此作请求的应用以允许此作请求的应用选择网络通信关联来向接收终端发送数据，藉此避免与此接收终端建立新的网络通信关联。所采集到的信息可存储在安全性信息模块中以供随后检索和选择要藉以向此接收终端上的应用发送该数据的网络通信关联。所提供的安全性信息可包括这些网络通信关联的强度等级。可选择此作请求的应用能藉以在网络上将该数据发送给此接收终端的网络通信关联。这些网络通信关联的安全性信息可包括以下至少一者：用来安保第一层网络通信关联的方法、用来认证第一层网络通信关联的方法、以及发射终端同与之建立这些网络通信关联的接收终端之间先前的历史。