技術(shù)領(lǐng)域

籠統(tǒng)地說，本發(fā)明涉及如何安全聯(lián)網(wǎng)，具體而言，涉及在與傳輸層安全性不兼容的傳輸中支持傳輸層安全性。

背景技術(shù)

很不幸，這個(gè)世界上有一些人不誠(chéng)實(shí)。在這個(gè)不斷有線化的世界里，不誠(chéng)實(shí)的人們已經(jīng)找到了無數(shù)的機(jī)會(huì)來窺探或者非法獲取別人的私人數(shù)據(jù)或保密數(shù)據(jù)，例如監(jiān)視一個(gè)人在網(wǎng)絡(luò)上的活動(dòng)，比如監(jiān)視你在做什么，在下載什么，觀看什么，訪問什么，監(jiān)視你的電話(例如VoIP等等)控制和語音數(shù)據(jù)；監(jiān)視和/或干預(yù)你網(wǎng)絡(luò)上的協(xié)議，例如干預(yù)SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)命令、RTP(實(shí)時(shí)傳輸協(xié)議)數(shù)據(jù)等等。

為了對(duì)付別人的不誠(chéng)實(shí)，通常都采用安全通信協(xié)議，例如SSL(安全套接字層)、TLS(傳輸層安全性)等等來保護(hù)數(shù)據(jù)通信。關(guān)于TLS的更多信息，請(qǐng)參考例如因特網(wǎng)RFC(征求意見)2246(TLS協(xié)議1.0版)、2712(給TLS增加的Kerberos密碼套)、2817(在HTTP/1.1內(nèi)對(duì)TLS的升級(jí))、2818(TLS上的HTTP)、3268(TLS的AES密碼套)、3546(TLS擴(kuò)展)和3749(協(xié)議壓縮方法)。請(qǐng)注意，在這里引用的所有RFC在因特網(wǎng)上URL?www:ietf:org/rfc處都可以獲得。還可以參考URL?www:gnu:org/software/gnutls處的GNU?TLS圖書館(綜述)。(注意，為了防止無意的超級(jí)鏈接，已經(jīng)將這里引用的URL中的句號(hào)替換成了冒號(hào)。)

可惜，TLS、SSL和許多其它安全性環(huán)境要求用來作為基礎(chǔ)的通信協(xié)議都是TCP/IP(傳輸控制協(xié)議/因特網(wǎng)協(xié)議)。可惜，一些協(xié)議和應(yīng)用程序，例如VoIp、RTP、SNMP等等，只在不可靠的通信傳輸上工作，例如UDP(用戶數(shù)據(jù)報(bào)協(xié)議)，TLS、SSL等不支持它。已經(jīng)有人嘗試在UDP這種不可靠傳輸上提供安全性，例如，IPSec(IP安全性)協(xié)議或者提供協(xié)議專用安全性的SNMPv3。關(guān)于IPSec更多的信息，請(qǐng)看能夠從www:ietf:org/html:charters/ipsec-charter:html處獲得的有關(guān)的RFC。可惜，這些方法存在開銷大、過于復(fù)雜以及協(xié)議專用等局限性，例如，不得不將例如SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)這種協(xié)議重新寫入SNMP?v3來使用安全性功能。其它局限性還包括這些協(xié)議使用專利的、非標(biāo)準(zhǔn)的安全性方法帶來的協(xié)作和實(shí)施方面問題。

附圖說明

通過下面對(duì)本發(fā)明的詳細(xì)描述，本發(fā)明的特征和優(yōu)點(diǎn)會(huì)變得非常清楚。其中：

圖1從總體上說明一個(gè)實(shí)施例中如何在不兼容不可靠的傳輸上使用傳輸層安全性；

圖2說明一個(gè)實(shí)施例中圖1所示實(shí)施例基于特定TLS的實(shí)施；

圖3說明一個(gè)實(shí)施例中可以添加到UDP網(wǎng)絡(luò)通信中去以滿足TLS這種傳輸層安全性協(xié)議需要的可靠性要求的一個(gè)示例性協(xié)議分層；

圖4說明一個(gè)實(shí)施例中示例性的網(wǎng)絡(luò)協(xié)議棧；以及

圖5說明可以實(shí)施本發(fā)明的特定方面的合適的計(jì)算環(huán)境。

具體實(shí)施方式

下面描述用于在UDP(用戶數(shù)據(jù)報(bào)協(xié)議)這種不可靠傳輸中使用傳輸層安全性(TLS)這種安全傳輸或者SSL協(xié)議的各種實(shí)施例。為了方便起見，將集中對(duì)TLS進(jìn)行討論，這個(gè)TLS是用于運(yùn)行面向字節(jié)流的傳輸，提供可靠的順序數(shù)據(jù)傳遞的傳輸層。但是，要明白TLS和SSL是密切相關(guān)的，本領(lǐng)域技術(shù)人員知道如何將有關(guān)TLS的討論應(yīng)用于SSL和其它安全傳輸。要注意，對(duì)于不可靠傳輸不存在安全性選項(xiàng)，例如UDP下的IPSec。但是，IPSec既是一個(gè)復(fù)雜的協(xié)議，又是一個(gè)需要有許多系統(tǒng)開銷和大量資源的協(xié)議。TLS的使用在許多情況下會(huì)更加方便，因?yàn)檫@個(gè)協(xié)議被廣泛采用，具有良好的性能，并且優(yōu)于IPSec，例如更簡(jiǎn)單的協(xié)議機(jī)制，內(nèi)置密鑰交換，軟件安裝和維護(hù)很容易，成本較低等等。

但是，TLS的明顯局限性是它需要作為基礎(chǔ)的可靠傳輸，例如TCP和SCTP(流控制傳送協(xié)議)，它是用于面向消息的應(yīng)用的通用傳輸，有時(shí)用于電話應(yīng)用。(關(guān)于SCTP更多的信息，見RFC?2960和3436。)但是，除了可靠性要求外，TLS協(xié)議獨(dú)立于其傳輸。下面描述用于支持在無連接UDP傳輸這種不可靠傳輸上使用TLS的各個(gè)實(shí)施例。它則支持利用TLS來為SNMP、RTP、VoIP、Radius(用戶業(yè)務(wù)中的遠(yuǎn)程鑒權(quán)撥號(hào))等等這種協(xié)議提供安全性。(關(guān)于Radius更多的信息，見RFC?2865。)這些協(xié)議目前定義它們自己的復(fù)雜專用安全性機(jī)制，或者根本沒有安全性機(jī)制(例如RTP)。通過在不可靠的傳輸上讓TLS可用，這些協(xié)議能夠采用已知的標(biāo)準(zhǔn)安全性傳輸環(huán)境，從而簡(jiǎn)化它們的設(shè)計(jì)和維護(hù)。