背景

領域

至少一個特征涉及通信網絡中的設備之間的安全通信，更具體而言涉及跨不同層和應用采集和共享可用網絡通信關聯。

背景

在通信網絡中或有線或無線的設備上的諸如電子郵件(email)之類的應用目前并不知悉原先用來創建該網絡中的安全性關聯所使用的底層認證機制的強度。結果，每個應用在與另一設備通信時管理其自己的安全性。例如，應用可能知道傳輸層安全性(TLS)或網際協議安全性(IPSec)信道存在，但不知道該信道原是如何建立的。該信道可能是已經由例如未經認證的Diffie-Hellman(DH)、基于完全加密程序(Pretty?Good?Privacy：PGP)的認證、基于預先共享密鑰(PSK)的認證或基于公鑰基礎設施(PKI)的認證來建立的，然而應用并不知悉原先用來建立該信道的認證的類型。

在開放式系統互連(OSI)分層通信和計算機網絡協議設計中，每個層可建立其自己的受安保或不受安保的關聯或信道。例如，第一OSI層可與另一設備建立受安保或不受安保的通信信道。類似地，例如媒體接入控制(MAC)層、網際協議(IP)層和/或應用層之類的第二OSI層可使用其自己的安全信道來保護兩個設備之間的通信。工作在設備的層上的應用一般并不知悉第一層信道或關聯的安全性或認證特性，并且因此不得不建立其自己的安全信道或關聯。

如上所討論的那樣，即使應用知道另一層上的安全關聯或信道，它也不知道原先是使用了什么類型或強度的認證來創建該安全關聯或信道。如果認證等級不清楚，那么在每層處維持最低認證等級是不可能的。結果，應用就不得不建立其自己的網際協議(IP)連通性，即IP層加密，即使有第一層通信關聯或信道可用并且原本能用于相同目的亦是如此。

另外，即使應用能知道原先用來在第一層處建立安全性關聯的認證類型，單此可能并不足以確定該安全性關聯的實際質量。盡管認證可證明實體是它所聲稱的那個實體，但它無法提供對通過該實體可用的服務的可靠性或質量的保證。目前，尋求這種保證的應用無從獲得該保證。

有鑒于以上，需要有一種系統和方法來向第一或第二層應用提供關于第一層網絡通信關聯的信息以促成在此第一層網絡通信關聯上的安全通信，藉此避免建立額外的第一網絡通信關聯或使用第二層網絡通信關聯。該信息可包括所建成的網絡通信關聯、所使用的認證類型以及該安全性關聯的可靠性或信任度。

概述

一個特征提供一種能在發射終端上工作的方法，該方法允許應用利用相同層或不同層處預先建成的網絡通信關聯來將數據傳遞給接收終端，藉此避免建立新的網絡通信關聯。結果，開銷得以最小化，因為可能不需要在建立可能已經建成的新網絡通信關聯時浪費開銷。為了實現這個目的，安全性信息模塊(例如硬件、軟件、或其組合)提供接口，通過該接口采集一個或更多個層的一個或更多個網絡通信關聯的信息并將其分發給應用。在一個示例中，這一個或更多個網絡通信關聯可對應于開放式系統互連(OSI)模塊通信系統的一個或更多個層，其中這一個或更多個層可包括應用層、網絡層、數據鏈路層和物理層中的至少一者。

可為這一個或更多個網絡通信關聯中的每一個評估和/或存儲信任度。另外，來自應用的有關與一個或更多個接收終端先前的經歷的信息可被采集并提供給其他應用。可基于采集到的信息來為每個這樣的接收終端評估信任度。信任度可基于與對應接收終端先前的經歷和用來創建到此對應接收終端的層網絡通信關聯的認證類型。也可標識要在選擇藉以發送數據的網絡通信關聯時使用的策略集，其中此策略集基于用戶偏好。

可從作請求的應用接收對關于可用的層網絡通信關聯的信息的請求。響應于此，可將至少一個網絡通信關聯的安全性信息提供給此作請求的應用以允許此作請求的應用選擇網絡通信關聯來向接收終端發送數據，藉此避免與此接收終端建立新的網絡通信關聯。所采集到的信息可存儲在安全性信息模塊中以供隨后檢索和選擇要藉以向此接收終端上的應用發送該數據的網絡通信關聯。所提供的安全性信息可包括這些網絡通信關聯的強度等級。可選擇此作請求的應用能藉以在網絡上將該數據發送給此接收終端的網絡通信關聯。這些網絡通信關聯的安全性信息可包括以下至少一者：用來安保第一層網絡通信關聯的方法、用來認證第一層網絡通信關聯的方法、以及發射終端同與之建立這些網絡通信關聯的接收終端之間先前的歷史。