[发明专利]不兼容传输的安全性协议

说明书

技术领域

笼统地说，本发明涉及如何安全联网，具体而言，涉及在与传输层安全性不兼容的传输中支持传输层安全性。

背景技术

很不幸，这个世界上有一些人不诚实。在这个不断有线化的世界里，不诚实的人们已经找到了无数的机会来窥探或者非法获取别人的私人数据或保密数据，例如监视一个人在网络上的活动，比如监视你在做什么，在下载什么，观看什么，访问什么，监视你的电话(例如VoIP等等)控制和语音数据；监视和/或干预你网络上的协议，例如干预SNMP(简单网络管理协议)命令、RTP(实时传输协议)数据等等。

为了对付别人的不诚实，通常都采用安全通信协议，例如SSL(安全套接字层)、TLS(传输层安全性)等等来保护数据通信。关于TLS的更多信息，请参考例如因特网RFC(征求意见)2246(TLS协议1.0版)、2712(给TLS增加的Kerberos密码套)、2817(在HTTP/1.1内对TLS的升级)、2818(TLS上的HTTP)、3268(TLS的AES密码套)、3546(TLS扩展)和3749(协议压缩方法)。请注意，在这里引用的所有RFC在因特网上URL www:ietf:org/rfc处都可以获得。还可以参考URL www:gnu:org/software/gnutls处的GNU TLS图书馆(综述)。(注意，为了防止无意的超级链接，已经将这里引用的URL中的句号替换成了冒号。)

可惜，TLS、SSL和许多其它安全性环境要求用来作为基础的通信协议都是TCP/IP(传输控制协议/因特网协议)。可惜，一些协议和应用程序，例如VoIp、RTP、SNMP等等，只在不可靠的通信传输上工作，例如UDP(用户数据报协议)，TLS、SSL等不支持它。已经有人尝试在UDP这种不可靠传输上提供安全性，例如，IPSec(IP安全性)协议或者提供协议专用安全性的SNMPv3。关于IPSec更多的信息，请看能够从www:ietf:org/html:charters/ipsec-charter:html处获得的有关的RFC。可惜，这些方法存在开销大、过于复杂以及协议专用等局限性，例如，不得不将例如SNMP(简单网络管理协议)这种协议重新写入SNMP v3来使用安全性功能。其它局限性还包括这些协议使用专利的、非标准的安全性方法带来的协作和实施方面问题。

附图说明

通过下面对本发明的详细描述，本发明的特征和优点会变得非常清楚。其中：

图1从总体上说明一个实施例中如何在不兼容不可靠的传输上使用传输层安全性；

图2说明一个实施例中图1所示实施例基于特定TLS的实施；

图3说明一个实施例中可以添加到UDP网络通信中去以满足TLS这种传输层安全性协议需要的可靠性要求的一个示例性协议分层；

图4说明一个实施例中示例性的网络协议栈；以及

图5说明可以实施本发明的特定方面的合适的计算环境。

具体实施方式

下面描述用于在UDP(用户数据报协议)这种不可靠传输中使用传输层安全性(TLS)这种安全传输或者SSL协议的各种实施例。为了方便起见，将集中对TLS进行讨论，这个TLS是用于运行面向字节流的传输，提供可靠的顺序数据传递的传输层。但是，要明白TLS和SSL是密切相关的，本领域技术人员知道如何将有关TLS的讨论应用于SSL和其它安全传输。要注意，对于不可靠传输不存在安全性选项，例如UDP下的IPSec。但是，IPSec既是一个复杂的协议，又是一个需要有许多系统开销和大量资源的协议。TLS的使用在许多情况下会更加方便，因为这个协议被广泛采用，具有良好的性能，并且优于IPSec，例如更简单的协议机制，内置密钥交换，软件安装和维护很容易，成本较低等等。

但是，TLS的明显局限性是它需要作为基础的可靠传输，例如TCP和SCTP(流控制传送协议)，它是用于面向消息的应用的通用传输，有时用于电话应用。(关于SCTP更多的信息，见RFC 2960和3436。)但是，除了可靠性要求外，TLS协议独立于其传输。下面描述用于支持在无连接UDP传输这种不可靠传输上使用TLS的各个实施例。它则支持利用TLS来为SNMP、RTP、VoIP、Radius(用户业务中的远程鉴权拨号)等等这种协议提供安全性。(关于Radius更多的信息，见RFC 2865。)这些协议目前定义它们自己的复杂专用安全性机制，或者根本没有安全性机制(例如RTP)。通过在不可靠的传输上让TLS可用，这些协议能够采用已知的标准安全性传输环境，从而简化它们的设计和维护。