專利名稱:安全結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到在一個(gè)設(shè)備中提供改進(jìn)的安全��,該設(shè)備具有可由與之通信的其它設(shè)備接入的業(yè)務(wù)����。它尤其涉及到依照藍(lán)牙規(guī)范通過無線接口接入的設(shè)備。
圖1說明了無線收發(fā)器單元的網(wǎng)絡(luò)2���,它包含一個(gè)主單元4和從單元6�,8和10,通過發(fā)送和接收無線分組進(jìn)行通信��。在網(wǎng)絡(luò)中只能有一個(gè)主單元����。網(wǎng)絡(luò)以時(shí)分雙工制式工作。收發(fā)器單元同步于主單元4確定的公共時(shí)間幀�。這個(gè)時(shí)間幀由一系列等長的時(shí)隙組成。網(wǎng)絡(luò)中發(fā)送的每個(gè)無線分組有一個(gè)與時(shí)隙開始對齊的開始�,每次在網(wǎng)絡(luò)中只傳送單個(gè)分組。當(dāng)主單元執(zhí)行點(diǎn)到點(diǎn)通信時(shí)����,被發(fā)送的無線分組將被定址到一個(gè)特定的收發(fā)器,此收發(fā)器通過在下一個(gè)可用時(shí)隙里發(fā)送一個(gè)以主單元為地址的無線分組來向主單元回應(yīng)���。當(dāng)主單元執(zhí)行點(diǎn)到多點(diǎn)通信時(shí)����,被發(fā)送的無線分組被定址到所有的收發(fā)器單元����。主從單元間的任何時(shí)間差都會通過調(diào)整從單元的定時(shí)來糾正��。
在這個(gè)實(shí)例中�����,收發(fā)器在微波頻帶進(jìn)行發(fā)送和接收��,假設(shè)為2.4GHz。網(wǎng)絡(luò)通過改變傳送每個(gè)無線分組的頻率來減少干擾�����。多個(gè)獨(dú)立頻道每個(gè)都被分配給1MHz的帶寬�����,而且頻率以1600跳/s的速率跳躍�����。與網(wǎng)絡(luò)通信�,或加入網(wǎng)絡(luò)的收發(fā)器的跳頻是由主單元同步且控制的。跳頻順序?qū)τ诰W(wǎng)絡(luò)是唯一的�,并由主單元的唯一標(biāo)識確定。
每一個(gè)收發(fā)器單元有一個(gè)唯一標(biāo)識����,即單元ID�,以后就指藍(lán)牙ID�。每個(gè)藍(lán)牙ID(48比特IEEE地址)對于每個(gè)藍(lán)牙單元是唯一的。一個(gè)單元的藍(lán)牙ID可經(jīng)通過RF接口到該單元的詢問程序獲得����。
此網(wǎng)絡(luò)是一個(gè)射頻網(wǎng),適合在收發(fā)器間傳送語音信息或數(shù)據(jù)信息�。使發(fā)射功率較低,如0到20dBm�,而且收發(fā)器單元可在幾厘米到幾十或幾百米的范圍間有效通信。
參見圖2�����,對幀20作了說明���。幀20是網(wǎng)絡(luò)2使用并由主單元4控制的公共時(shí)間幀���。假設(shè)此幀使用時(shí)隙22到29。由偶數(shù)指定的時(shí)隙被保留�。只有主單元可以開始傳送與偶時(shí)隙開始對齊的無線分組。由奇數(shù)指定的時(shí)隙被保留����。只有由從單元發(fā)送的�、定址為由主單元接收的無線分組可使它們的開始與奇數(shù)時(shí)隙的開始對齊��。每個(gè)時(shí)隙被分配給跳頻序列中的不同的頻率�����。無論如何��,這使一個(gè)無線分組可能擴(kuò)展到多個(gè)時(shí)隙���,而且在這種情況下,進(jìn)行分組傳送的頻率保持恒定在分組開始時(shí)分配給此時(shí)隙的頻率上���。一個(gè)時(shí)隙有一個(gè)恒定的時(shí)間周期���,一般是625微秒。
參見圖3��,說明了一個(gè)典型的無線分組����。該無線分組有一個(gè)起始32����,還包含三個(gè)不同的部分第一部分包含一個(gè)接入碼34����,第二部分包含頭標(biāo)36,第三部分包含凈荷38�����。凈荷38有一個(gè)凈荷頭標(biāo)37���。
參見圖4��,示意性地說明了收發(fā)器單元�����。這個(gè)框圖中只示出了與說明收發(fā)器單元和通信網(wǎng)絡(luò)如何工作所需的一樣多的功能塊和其相互連接���。收發(fā)器單元40包含多個(gè)功能單元一個(gè)天線46,接收機(jī)50����,同步器52���,頭標(biāo)解碼器54,控制器60����,存儲器56,分組器42�,時(shí)鐘68,跳頻控制器48和發(fā)射機(jī)44���。雖然這些單元是各自獨(dú)立的�����,但實(shí)際上它們可能是被集成在一起且以軟件或硬件實(shí)現(xiàn)。
由收發(fā)器單元40在分組凈荷中傳送的數(shù)據(jù)被作為數(shù)據(jù)信號41提供給分組器42�����。在分組凈荷中傳送的控制信息�����,被在由控制器60提供的凈荷控制信號87中提供給分組器42�����。分組器42也從控制器60中接收一個(gè)接入碼控制信號69和頭標(biāo)控制信號71,它們分別控制附帶于凈荷的接入碼34和頭標(biāo)36來形成分組�。分組器42把數(shù)據(jù)或控制信息放進(jìn)分組30里,分組30再被作為信號43提供給發(fā)射機(jī)44��。發(fā)射機(jī)44根據(jù)信號43調(diào)制載波�,產(chǎn)生提供給天線46以傳送的發(fā)送信號45。載波頻率由跳頻控制器48提供給發(fā)射機(jī)44的傳送頻率控制信號47控制成一個(gè)跳頻序列中的一個(gè)��。
天線46接收無線信號51并將它提供給接收器50��,在頻率控制器48提供的接收頻率控制信號49的控制下���,接收器50把無線信號51解調(diào)以產(chǎn)生一個(gè)數(shù)字信號53����。數(shù)字信號53被提供給使收發(fā)器單元40同步于網(wǎng)絡(luò)時(shí)間幀的同步器52����。同步器得到一接入碼信號81,它定義了收發(fā)器單元預(yù)期接收的分組的接入碼�����。同步器接受接入碼與預(yù)期接入碼一致的已接收無線分組,而拒絕接入碼與預(yù)期接入碼不一致的已接收無線分組�。滑動相關(guān)用于識別無線分組中預(yù)期接入碼的出現(xiàn)和開始���。如果無線分組被接受了��,則該無線分組作為信號55被提供給頭標(biāo)解碼器54����,同時(shí)一個(gè)確認(rèn)信號79返回到控制器60�����,指示分組已經(jīng)被同步器52接受���。確認(rèn)信號79被從單元的控制器用來把從時(shí)鐘再同步于主時(shí)鐘�?��?刂破靼呀邮諢o線分組的時(shí)間和該無線分組預(yù)期的接收時(shí)間進(jìn)行比較,從而改變它的定時(shí)來抵消差量��。頭標(biāo)解碼器54對收到的分組的頭標(biāo)解碼���,然后把它作為頭標(biāo)信號75提供給控制器60�����。當(dāng)頭標(biāo)解碼器54被控制器60所提供的凈荷接受信號77使能后��,就產(chǎn)生一個(gè)包含無線分組余下的凈荷38的數(shù)據(jù)輸出信號57�。
存儲器56可以存儲應(yīng)用程序。
單元工作也可通過圖5描述的藍(lán)牙協(xié)議棧100來理解�����。從下至上�,協(xié)議棧100包括包括RF層102的基礎(chǔ)層,基帶和鏈路控制層104����,鏈路管理協(xié)議層106和邏輯鏈路控制和適配層(L2CAP)108。層L2CAP108與多個(gè)上層相連�����,包括提供TCP/IP協(xié)議的網(wǎng)際網(wǎng)層112�����,與用戶接口130接口的人工接口設(shè)備層114和仿真PC串口(com1,com2��,com3等)的RF通信層116����。層112,114和116中的每個(gè)都直接與一個(gè)或更多的應(yīng)用/服務(wù)118相連����,并能夠?qū)⑺鼈兊妮敵鰪?fù)用,使得數(shù)據(jù)被送至幾個(gè)應(yīng)用/服務(wù)中正確的一個(gè)�。層L2CAP108也可與一個(gè)應(yīng)用或服務(wù)直接相連。
在目前建議的單元中����,基帶和鏈路控制層104使用查詢和尋呼來使能各單元間的物理RF鏈路,以便同步其時(shí)鐘及傳送頻率���。鏈路管理協(xié)議層106�����,以后就稱為鏈路層106,負(fù)責(zé)兩個(gè)單元間的鏈路建立,包括安全��、分組大小的控制�����,連接和功率模式��。在建議中��,鏈路層106響應(yīng)收到的鏈路管理協(xié)議分組中的凈荷�。
L2CAP允許高層協(xié)議接收所收到的L2CAP數(shù)據(jù)分組的凈荷。L2CAP協(xié)議可耦合到應(yīng)用和更高協(xié)議層�����,并且在任一更高級協(xié)議和服務(wù)與低級鏈路層106之間傳送數(shù)據(jù)��。
分組30中的凈荷38的凈荷頭標(biāo)37可從鏈路管理協(xié)議分組中辨別出L2CAP分組�����。目前���,要求鏈路管理協(xié)議分組被鏈路層106過濾出來而不傳播到上層����。
藍(lán)牙技術(shù)將在應(yīng)用層和鏈路層都提供安全措施。目前在每個(gè)藍(lán)牙單元中���,鏈路層106的安全措施是標(biāo)準(zhǔn)化了的�。在鏈路層106中���,每個(gè)設(shè)備的認(rèn)證和加密程序都以標(biāo)準(zhǔn)化方式實(shí)現(xiàn)���。
每個(gè)單元都存儲著一個(gè)或更多的秘密認(rèn)證鏈路密鑰,用來與其它的單元通信���。通常一個(gè)單元將永久存儲它希望與之通信的每個(gè)單元的鏈路密鑰��。每個(gè)鏈路密鑰都與各單元用于通信的藍(lán)牙ID相關(guān)��。
儲存的秘密鏈路密鑰在認(rèn)證程序中用于認(rèn)證要與之通信的單元的標(biāo)識�����。儲存的共享秘密鏈路密鑰也用于生成一個(gè)加密密鑰��。加密密鑰從認(rèn)證鏈路密鑰導(dǎo)出但又有別于它���,每次通過使用隨機(jī)數(shù)發(fā)生器進(jìn)行加密時(shí)都生成新的加密密鑰����。
在認(rèn)證一個(gè)單元時(shí)�,使用一種詢問響應(yīng)方案���。一對有效的單元共享相同的秘密鏈路密鑰�����。第一個(gè)單元產(chǎn)生一個(gè)隨機(jī)數(shù)并通過將其提供給第二個(gè)單元�����,來詢問第二個(gè)單元以認(rèn)證它自己���。第二單元將一個(gè)函數(shù)結(jié)果返回,該函數(shù)把第二單元的藍(lán)牙ID�����、收到的隨機(jī)數(shù)和與第一單元相關(guān)卻存儲在第二單元的密鑰作為其自變量����。第一單元使用相同的函數(shù)產(chǎn)生一個(gè)結(jié)果�����,如果此結(jié)果與從第二單元收到的結(jié)果相同��,則可認(rèn)證第二個(gè)設(shè)備����。第一單元中的函數(shù)將在前面已經(jīng)獲得的第二單元的藍(lán)牙ID���、隨機(jī)數(shù)和與第二單元相關(guān)卻存儲在第一單元的密鑰作為其自變量��。
認(rèn)證過程在每個(gè)單元的鏈路層發(fā)生�����。一旦認(rèn)證成功完成����,接入此單元中的協(xié)議層��,業(yè)務(wù)和應(yīng)用就不再被限制����。
每次要求加密時(shí)�����,都需要產(chǎn)生一個(gè)隨機(jī)數(shù)����,以及一個(gè)由隨機(jī)數(shù)和鏈路的認(rèn)證密鑰組成的加密密鑰�����。加密過程發(fā)生在鏈路層106�。
如果兩個(gè)設(shè)備以前沒有通信過��,那么在設(shè)備中就不會存有共享的鏈路密鑰����,這時(shí)就有必要對設(shè)備“配對”。做法就是把一個(gè)PIN碼放入第一單元的用戶接口���,把相同的PIN放入第二單元的用戶接口�。PIN可用來計(jì)算臨時(shí)初始認(rèn)證鏈路密鑰���,直到計(jì)算出一個(gè)永久的用于兩設(shè)備間通信的共享秘密認(rèn)證鏈路密鑰��。
目前建議的安全系統(tǒng)所存在的一個(gè)問題是不夠靈活����。一旦鏈路層106已經(jīng)允許一設(shè)備接入到上層,那么除非有構(gòu)建到應(yīng)用本身的特定的安全功能��,否則此設(shè)備的接入不受限制�。所以希望能提供一個(gè)先進(jìn)的,更靈活的安全系統(tǒng)�。
依據(jù)本發(fā)明的一個(gè)方面,提供了如權(quán)利要求1中要求的設(shè)備����。
依據(jù)本發(fā)明的另一方面,提供了如權(quán)利要求27中要求的設(shè)備����。
依據(jù)本發(fā)明的又一方面,提供了如權(quán)利要求28中要求的方法�����。
本發(fā)明的實(shí)施方案提供了一個(gè)靈活的安全結(jié)構(gòu),可在請求設(shè)備連接時(shí)執(zhí)行接入檢查����,如果需要還可包括在請求接入應(yīng)用的同時(shí)執(zhí)行認(rèn)證和加密。接入控制裝置可以是復(fù)用協(xié)議層�����,而認(rèn)證裝置可以是鏈路層��。
一般優(yōu)選地����,請求接入業(yè)務(wù)的設(shè)備只認(rèn)證一次而不是多次��。實(shí)現(xiàn)的辦法是對接入業(yè)務(wù)的請求僅仲裁一次���,優(yōu)選地響應(yīng)來自可能的最高復(fù)用層(直接與業(yè)務(wù)接口的層)的詢問�����。
對接入一個(gè)業(yè)務(wù)的仲裁要根據(jù)被請求的業(yè)務(wù)的安全要求和/或請求接入的設(shè)備的可信賴度����。安全結(jié)構(gòu)的實(shí)現(xiàn)不需要改變保留在認(rèn)證裝置(鏈路層)中的基本功能(配對、認(rèn)證�����、加密)���。
依據(jù)本發(fā)明的深一層的方面�����,提供了如權(quán)利要求30中要求的設(shè)備����。
依據(jù)本發(fā)明的深一層的方面���,提供了如權(quán)利要求31中要求的設(shè)備�。
依據(jù)本發(fā)明的實(shí)施方案��,接入業(yè)務(wù)要根據(jù)試圖接入業(yè)務(wù)的設(shè)備的可信賴度��。對于可信賴的設(shè)備�,一旦其標(biāo)識得到證實(shí),就可接入所有的業(yè)務(wù)/應(yīng)用���。一個(gè)不被信賴的設(shè)備在每次試圖接入業(yè)務(wù)的時(shí)候都要求由用戶授權(quán)���。因此�����,不被信賴的設(shè)備即使被允許接入一個(gè)業(yè)務(wù)��,也不能打開其它業(yè)務(wù)的接入�。接入每一個(gè)其它業(yè)務(wù)都要求進(jìn)行獨(dú)立的用戶授權(quán)����。
為了更好地理解本發(fā)明,理解它如何發(fā)揮作用���,將結(jié)合附圖以舉例的方式來說明����,其中圖1說明了包括一個(gè)主單元和一個(gè)從單元的通信網(wǎng)���。
圖2說明了通信網(wǎng)的時(shí)間幀。
圖3說明了一個(gè)無線分組�。
圖4說明了一個(gè)適合用作主或從單元的收發(fā)器單元。
圖5說明了收發(fā)器單元使用的協(xié)議棧。
圖6說明了一個(gè)安全結(jié)構(gòu)���。
圖7a和7b分別說明了一個(gè)業(yè)務(wù)數(shù)據(jù)庫和一個(gè)設(shè)備數(shù)據(jù)庫�����。
圖8a和8b說明了當(dāng)可信賴設(shè)備和不被信賴設(shè)備分別請求接入一個(gè)非開放業(yè)務(wù)時(shí)的安全結(jié)構(gòu)的信息流。
圖9到11是流程圖����,說明了由控制器執(zhí)行的仲裁過程如何確定一個(gè)設(shè)備是否可接入服務(wù)。
圖6說明了依據(jù)本發(fā)明的一個(gè)實(shí)施方案的安全結(jié)構(gòu)��。說明了藍(lán)牙協(xié)議棧100��。它包括包含鏈路層106的較低層,如L2CAP層的最低復(fù)用協(xié)議層108�,如RFCOMM層116和應(yīng)用層118的較高復(fù)用協(xié)議層110����。也說明了用戶接口130,安全管理器120����,業(yè)務(wù)數(shù)據(jù)庫122和設(shè)備數(shù)據(jù)庫124。
鏈路層106直接與最低復(fù)用協(xié)議108相連�。要從鏈路層接入較高復(fù)用協(xié)議110和應(yīng)用/業(yè)務(wù)118,只能通過最低復(fù)用協(xié)議層108實(shí)現(xiàn)�。
最低復(fù)用協(xié)議層108直接與較高復(fù)用協(xié)議110相連,也直接與應(yīng)用1183相連���。接入應(yīng)用1183可直接由最低復(fù)用協(xié)議來完成����,而要接入應(yīng)用1181和1182�����,只能通過與應(yīng)用1181和1182直接相連的較高復(fù)用協(xié)議110來完成���。
當(dāng)一個(gè)分組被單元接收到后����,分組中的凈荷就被傳到最低復(fù)用協(xié)議層108���。凈荷不會被鏈路層106過濾掉����。如果收到的分組是接入一個(gè)業(yè)務(wù)/應(yīng)用的請求���,那么就要對接入業(yè)務(wù)應(yīng)用進(jìn)行仲裁����。
最低復(fù)用協(xié)議層108向安全管理器發(fā)送一個(gè)詢問��,查問可否準(zhǔn)予接入如較高協(xié)議層110或應(yīng)用1183的較高實(shí)體���。該詢問標(biāo)識了接入請求所對應(yīng)的業(yè)務(wù)/應(yīng)用�,和請求接入的設(shè)備的藍(lán)牙ID��。安全管理器確定是否允許其接入下一個(gè)實(shí)體�,并控制鏈路層106執(zhí)行認(rèn)證。如果詢問的協(xié)議層與被請求的業(yè)務(wù)不直接相連�����,那么安全管理器將自動把一個(gè)同意信號發(fā)給該詢問協(xié)議層108�,它將允許接入一個(gè)較高協(xié)議層110。如果詢問協(xié)議層108與被請求的業(yè)務(wù)1183直接相連�,則安全管理器仲裁以確定是否允許接入。如果接入被允許了�����,它將給最低復(fù)用協(xié)議層108發(fā)出一個(gè)同意信號�,接著最低復(fù)用協(xié)議層108會接入應(yīng)用1183���。如果接入被拒絕了,那么安全管理器120將給最低復(fù)用協(xié)議108發(fā)一個(gè)拒絕信號��,阻止請求單元接入到所需的業(yè)務(wù)中����。
較高復(fù)用協(xié)議110從最低復(fù)用協(xié)議108接到的接入一個(gè)業(yè)務(wù)(應(yīng)用1181或1182)的請求,使層110向安全管理器發(fā)出詢問��,查問可否接入如較高復(fù)用協(xié)議層(沒有說明)���,或應(yīng)用1181或1182的較高實(shí)體��。詢問標(biāo)識了接入請求所對應(yīng)的業(yè)務(wù)/應(yīng)用�,和請求接入的設(shè)備的藍(lán)牙ID���。如果詢問的協(xié)議層與被請求的業(yè)務(wù)不直接相連�,那么安全管理器將自動把一個(gè)同意信號發(fā)給詢問協(xié)議層108���,后者將允許接入一個(gè)較高協(xié)議層�����。如果詢問協(xié)議層110與被請求的業(yè)務(wù)直接相連���,則安全管理器仲裁以確定是否允許接入�����。如果接入被允許了,它將給詢問協(xié)議層110發(fā)出一個(gè)同意信號�����,后者接著將接入所請求的應(yīng)用�。如果接入被拒絕了,那么安全管理器120將給詢問協(xié)議層110發(fā)一個(gè)拒絕信號����,阻止請求單元接入到所需的業(yè)務(wù)中。
最低復(fù)用協(xié)議108針對每個(gè)收到的接入業(yè)務(wù)的請求向安全管理器詢問����。只有當(dāng)安全管理器同意接入,請求才能被允許進(jìn)行到更高層或業(yè)務(wù)上��。接入業(yè)務(wù)的請求被路由通過的各個(gè)復(fù)用協(xié)議層在每次收到請求時(shí)向安全管理器發(fā)出詢問。只有當(dāng)安全管理器同意接入����,請求才能被允許進(jìn)行到更高層或業(yè)務(wù)上。因此��,在沒有安全管理器的至少一個(gè)仲裁的情況下�,沒有應(yīng)用/業(yè)務(wù)可被單元接入。
安全管理器120是一個(gè)與協(xié)議108和110��、業(yè)務(wù)/應(yīng)用118�����、UI130�����、數(shù)據(jù)庫122和124以及鏈路層106有接口的軟件模塊�。安全管理器控制著鏈路層和它的標(biāo)準(zhǔn)功能的執(zhí)行,例如認(rèn)證����,加密和配對。安全管理器知道每個(gè)協(xié)議層可直接接入的業(yè)務(wù)的標(biāo)識���。
安全管理器可使用它與業(yè)務(wù)數(shù)據(jù)庫122��,設(shè)備數(shù)據(jù)庫�,鏈路管理器和UI130的接口來執(zhí)行以上提到的仲裁。圖7a說明了一個(gè)示范性的業(yè)務(wù)數(shù)據(jù)庫�,圖7b說明了一個(gè)示范性的設(shè)備數(shù)據(jù)庫。當(dāng)安全管理器從協(xié)議層或應(yīng)用收到一個(gè)詢問時(shí)���,它就查詢數(shù)據(jù)庫122和124���。它訪問來自業(yè)務(wù)數(shù)據(jù)庫的與被請求的應(yīng)用/業(yè)務(wù)相關(guān)的域��,并訪問來自設(shè)備數(shù)據(jù)庫124的與請求單元的藍(lán)牙ID相關(guān)的域���。
數(shù)據(jù)庫被用來定義設(shè)備和業(yè)務(wù)的不同安全等級�。每個(gè)單元有一個(gè)設(shè)備數(shù)據(jù)庫��,用來存儲曾與它通信的其它設(shè)備信息��。設(shè)備數(shù)據(jù)庫給其它設(shè)備的每個(gè)藍(lán)牙ID一個(gè)條目�。每個(gè)條目都有相關(guān)域,包括指示那個(gè)設(shè)備是否可信的第一域���,存儲用于與那個(gè)設(shè)備通信的當(dāng)前鏈路密鑰的第二域����,以及指示當(dāng)前會話中是否對那個(gè)設(shè)備進(jìn)行過成功認(rèn)證的第三域。
可信賴域是二元的�����,因此就有兩個(gè)安全等級分別對應(yīng)可信賴設(shè)備和不可信賴設(shè)備���。如果第一個(gè)單元在它的設(shè)備數(shù)據(jù)庫中把第二單元記錄為可信賴的��,那么第二單元在經(jīng)過認(rèn)證后��,就可接入第一單元的所有業(yè)務(wù)��。如果第一單元把第二單元記錄為不可信賴(不可靠)的���,那么可能依據(jù)第一單元的業(yè)務(wù)數(shù)據(jù)庫限制第二單元接入第一單元的業(yè)務(wù)。
每個(gè)單元都有一個(gè)業(yè)務(wù)數(shù)據(jù)庫(圖7a)�,它存儲了那個(gè)單元中可被另一單元接入的應(yīng)用和業(yè)務(wù)的信息。業(yè)務(wù)數(shù)據(jù)庫對每個(gè)可用應(yīng)用或業(yè)務(wù)有一個(gè)條目�����。每個(gè)變量都有相關(guān)域,包括指示那個(gè)業(yè)務(wù)是否開放的第一域��,和指示是否要求加密的第二域����。在注冊過程中,此安全信息可由業(yè)務(wù)/應(yīng)用提供給安全管理器�����。
安全管理器定義了關(guān)于一個(gè)業(yè)務(wù)的三個(gè)安全等級���。是什么等級取決于業(yè)務(wù)的安全分級(開放/不開放)����,和請求設(shè)備的安全分級(可信賴/不可信賴)����。如果業(yè)務(wù)的安全分級是開放����,就不再依賴于請求設(shè)備是否可信賴了,開放的業(yè)務(wù)對所有設(shè)備都是開放的�。
當(dāng)業(yè)務(wù)的安全分級是不開放時(shí)���,將取決于請求接入設(shè)備的可信賴度。如果請求設(shè)備是可信賴的���,那么在被同意接入業(yè)務(wù)前����,請求接入業(yè)務(wù)的設(shè)備必須被認(rèn)證��。如果請求設(shè)備是不可信賴的���,那么請求業(yè)務(wù)的設(shè)備必須被認(rèn)證�����,并在被同意接入業(yè)務(wù)前��,出示明確的用戶授權(quán)�����。
參見圖9至11的流程框圖��,安全管理器從復(fù)用協(xié)議層108或110收到一個(gè)詢問(200)后�����,它要確定詢問的復(fù)用層是否直接與被請求的業(yè)務(wù)(201)相連(接口)���。如果來自協(xié)議層的詢問所涉及的業(yè)務(wù)沒有與協(xié)議層直接相連����,但通過較高復(fù)用協(xié)議層可間接相連�����,那么安全管理器向詢問的協(xié)議層發(fā)出一個(gè)同意信號����,允許請求經(jīng)過較高復(fù)用協(xié)議層。如果來自詢問協(xié)議層的詢問所涉及的業(yè)務(wù)與詢問的協(xié)議層直接相連�,那么安全管理器將執(zhí)行一個(gè)仲裁,確定允許或拒絕對業(yè)務(wù)的接入���。
仲裁由安全管理器接入(202)數(shù)據(jù)庫122和124,識別請求設(shè)備是否可信賴以及識別被請求業(yè)務(wù)是否開放(204)而啟動���。
如果被請求的業(yè)務(wù)是開放業(yè)務(wù)����,安全管理器通過向該詢問協(xié)議層發(fā)出一個(gè)同意信號來同意接入(216),該詢問協(xié)議層隨后接入被請求應(yīng)用���。如果被請求業(yè)務(wù)不是開放的業(yè)務(wù)����,則繼續(xù)仲裁��。
如果請求設(shè)備是可信賴的����,就只需要認(rèn)證。如果請求設(shè)備的認(rèn)證沒有在這個(gè)會話(206)中發(fā)生過(由設(shè)備數(shù)據(jù)庫中此請求設(shè)備的條目的第三域確定)��,那么安全管理器就通知鏈路層106執(zhí)行認(rèn)證(208)��。參見圖10��,安全管理器將存儲在數(shù)據(jù)庫條目的第二域中的當(dāng)前密鑰(如果有)提供給鏈路層���。鏈路層執(zhí)行認(rèn)證(需要的話就配對)�,如果認(rèn)證成功就通知安全管理器��。配對(222)和檢查鏈路密鑰的過程是通用的(224),以及創(chuàng)建鏈路密鑰是與實(shí)施有關(guān)的�,這里就不再進(jìn)一步說明了。如果認(rèn)證不成功�,安全管理器將向詢問協(xié)議發(fā)出(218)一個(gè)拒絕信號,從而阻止接入被請求的業(yè)務(wù)����。如果認(rèn)證成功,鏈路層也把當(dāng)前鏈路密鑰返回給請求設(shè)備����。接著,安全管理器更新(210)設(shè)備數(shù)據(jù)庫����,把當(dāng)前鏈路密鑰放入數(shù)據(jù)庫條目的第二域,并在條目的第三域指示在這次會話中發(fā)生過成功認(rèn)證�。隨后,安全管理器確定(212)請求設(shè)備是否是可信賴的設(shè)備�����。由于該設(shè)備是可信賴的��,所以安全管理器給詢問協(xié)議發(fā)(216)一個(gè)同意信號����,從而允許接入業(yè)務(wù)。
如果請求設(shè)備是不可信賴的����,就需要認(rèn)證和用戶授權(quán)。如果請求設(shè)備的認(rèn)證沒有在這次會話中發(fā)生(206)(由設(shè)備數(shù)據(jù)庫中此請求設(shè)備的條目的第三域確定)����,那么安全管理器就通知(208)鏈路層106執(zhí)行認(rèn)證。安全管理器將存儲在數(shù)據(jù)庫條目的第二域中的當(dāng)前密鑰(如果有)提供給鏈路層��。鏈路層執(zhí)行認(rèn)證(需要的話就配對)��,如前面參照圖10中所描述的��,而且如果認(rèn)證成功就通知安全管理器��。如果認(rèn)證不成功����,安全管理器將向詢問協(xié)議發(fā)出(218)一個(gè)拒絕信號,從而阻止接入該業(yè)務(wù)�����。如果認(rèn)證成功,鏈路層也把當(dāng)前鏈路密鑰返回用于該請求設(shè)備���,安全管理器更新設(shè)備數(shù)據(jù)庫(210)�����,把當(dāng)前鏈路密鑰放入數(shù)據(jù)庫條目的第二域��,并在該條目的第三域指示在這次會話中發(fā)生過成功認(rèn)證����。安全管理器檢查(212)請求設(shè)備的可信賴狀態(tài)�。由于該設(shè)備不可信賴,安全管理器就如圖11所說明的�����,試圖獲得用戶授權(quán)(214)�。安全管理器控制(230)UI130以指示給用戶,需要某些肯定動作來允許請求設(shè)備接入業(yè)務(wù)����。業(yè)務(wù)和/或請求設(shè)備可在屏幕上識別�。用戶可同意或不同意接入�����。如果同意�,安全管理器就給(216)詢問協(xié)議層一個(gè)同意信號�����,從而允許接入被請求的業(yè)務(wù)����。如果不同意,安全管理器就給(216)詢問協(xié)議一個(gè)拒絕信號��,從而阻止接入被請求的業(yè)務(wù)�����。用戶已經(jīng)被授權(quán)的事實(shí)不進(jìn)行記錄�,因而只能有一次接入。作為一個(gè)選項(xiàng)�����,安全管理器可給用戶提供(232)機(jī)會,通過隨后更新(234)設(shè)備數(shù)據(jù)庫把請求設(shè)備的信賴狀態(tài)由不可信賴改變?yōu)榭尚刨嚒?br>
如果在允許連接至被請求的應(yīng)用/業(yè)務(wù)前�,除了認(rèn)證外還要求加密,那么安全管理器就控制鏈路層106執(zhí)行它�。
應(yīng)用/業(yè)務(wù)118和較高復(fù)用協(xié)議110必須把它們的復(fù)用政策注冊到安全管理器,以使它能夠確定哪個(gè)應(yīng)用/業(yè)務(wù)直接與每個(gè)協(xié)議層相連���。
用可信賴設(shè)備接入業(yè)務(wù)的過程將在圖8a中進(jìn)一步說明�����。協(xié)議層直接與業(yè)務(wù)連接�。
1.連接請求至協(xié)議層
2.如果接入控制發(fā)生在這個(gè)協(xié)議層�����,就向安全管理器發(fā)送詢問3.安全管理器查找業(yè)務(wù)數(shù)據(jù)庫4.安全管理器查找設(shè)備數(shù)據(jù)庫5.安全管理器在鏈路層執(zhí)行標(biāo)準(zhǔn)認(rèn)證(可能和加密)6.安全管理器同意接入或鏈路終止7.協(xié)議層通過與較高協(xié)議層/業(yè)務(wù)聯(lián)系來繼續(xù)建立連接���。
用不可信賴設(shè)備接入業(yè)務(wù)的過程將在圖8b中進(jìn)一步說明�����。協(xié)議層直接與業(yè)務(wù)連接����。
1.連接請求至協(xié)議層2.如果接入控制發(fā)生在這個(gè)協(xié)議層,就向安全管理器發(fā)送詢問3.安全管理器查找業(yè)務(wù)數(shù)據(jù)庫4.安全管理器查找設(shè)備數(shù)據(jù)庫5.安全管理器在鏈路層執(zhí)行標(biāo)準(zhǔn)認(rèn)證(可能和加密)6.安全管理器請求手工用戶授權(quán)7.安全管理器可能更新設(shè)備數(shù)據(jù)庫(可信賴��?)8.安全管理器同意接入或鏈路終止9.協(xié)議層通過與較高協(xié)議層/業(yè)務(wù)聯(lián)系來繼續(xù)建立連接�����。
在這個(gè)實(shí)施方案中����,認(rèn)證(5)在授權(quán)(6)之前執(zhí)行��。當(dāng)然可能在認(rèn)證(5)之前執(zhí)行授權(quán)(6)�����。
前面所述是在優(yōu)選的應(yīng)用中��,即根據(jù)藍(lán)牙標(biāo)準(zhǔn)的低功率無線頻率通信網(wǎng)中�,描述了申請專利的發(fā)明的優(yōu)選實(shí)現(xiàn)。然而�,應(yīng)當(dāng)理解的是,可在沒有脫離申請專利的發(fā)明范圍的情況下利用其它實(shí)現(xiàn)和應(yīng)用���。
特別是在所述的實(shí)施方案中��,是否要求認(rèn)證設(shè)備僅僅取決于被請求的業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)庫的內(nèi)容����,尤其是業(yè)務(wù)開放與否。是否要求用戶授權(quán)取決于被請求的業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)庫的內(nèi)容����,尤其是業(yè)務(wù)開放與否,以及還取決于請求接入的設(shè)備的標(biāo)識和設(shè)備數(shù)據(jù)庫的內(nèi)容���,尤其是請求設(shè)備是否可信賴��。
當(dāng)然可能單獨(dú)地或額外根據(jù)請求業(yè)務(wù)的設(shè)備的可信賴狀況進(jìn)行設(shè)備認(rèn)證����。當(dāng)然也可能單獨(dú)地或額外根據(jù)被請求的業(yè)務(wù)來進(jìn)行用戶授權(quán)�,使得例如對于不可信賴設(shè)備接入一個(gè)特別業(yè)務(wù)是否需要用戶授權(quán)要根據(jù)所存儲的業(yè)務(wù)屬性。
在上面的實(shí)施方案里��,所描述的安全結(jié)構(gòu)的運(yùn)行涉及到一個(gè)設(shè)備請求接入一個(gè)“安全”設(shè)備的業(yè)務(wù)�����。安全結(jié)構(gòu)可運(yùn)行在兩個(gè)方向上���,以使在沒有安全管理器做出決定的情況下����,信息不會從“安全”設(shè)備發(fā)送到另一個(gè)設(shè)備。協(xié)議層���,優(yōu)選地是最高可能復(fù)用協(xié)議層和安全管理器結(jié)合仲裁信息是否被發(fā)送����。這個(gè)仲裁需要上述的認(rèn)證和/或授權(quán)�����。
權(quán)利要求
1.一種與其它設(shè)備通信以允許它們接入應(yīng)用的設(shè)備���,包括至少一個(gè)第一應(yīng)用;認(rèn)證通信設(shè)備的認(rèn)證裝置���;接入控制裝置�����,可由請求接入第一應(yīng)用的通信設(shè)備接入����,而不要求該通信設(shè)備已通過認(rèn)證裝置認(rèn)證,并被安排成對同意或拒絕通信設(shè)備接入第一應(yīng)用進(jìn)行仲裁���,其中如果仲裁需要通信設(shè)備的一個(gè)認(rèn)證����,接入控制裝置就指示認(rèn)證裝置對通信設(shè)備進(jìn)行認(rèn)證��。
2.如任一以前的權(quán)利要求所要求的設(shè)備�,其中接入控制裝置被安排成存儲與可接入的應(yīng)用相關(guān)的安全指示,其中與第一應(yīng)用相關(guān)的已存儲的安全指示可指示在仲裁過程中是否需要通信設(shè)備的認(rèn)證����。
3.如任一以前的權(quán)利要求所要求的設(shè)備,進(jìn)一步包含一個(gè)用戶接口����,用于在仲裁過程中授權(quán)接入一個(gè)應(yīng)用,接入控制裝置被安排成存儲與可接入的應(yīng)用相關(guān)的安全指示��,其中與第一應(yīng)用相關(guān)的已存儲的安全指示可指示在仲裁過程中是否需要通信設(shè)備的用戶授權(quán)�。
4.如權(quán)利要求2所要求的設(shè)備,其中獨(dú)立于通信設(shè)備的標(biāo)識,與第一應(yīng)用相關(guān)的已存儲的安全指示可指示在仲裁過程中是否需要通信設(shè)備的認(rèn)證����。
5.如權(quán)利要求3所要求的設(shè)備,其中接入控制裝置進(jìn)一步被安排成存儲與設(shè)備相關(guān)的可信賴指示�����,而且其中根據(jù)與通信設(shè)備相關(guān)的任何已存儲的可信賴指示��,與第一應(yīng)用相關(guān)的已存儲的安全指示可指示在仲裁過程中是否需要通信設(shè)備的用戶授權(quán)�。
6.如權(quán)利要求1所要求的設(shè)備,進(jìn)一步包含一個(gè)用戶接口��,用于在仲裁過程中授權(quán)接入一個(gè)應(yīng)用�����,接入控制裝置被安排成存儲與設(shè)備相關(guān)的可信賴指示��,其中如果有了一個(gè)與通信設(shè)備相關(guān)的已存儲的可信賴指示�,就不需要用戶授權(quán)�。
7.如權(quán)利要求6所要求的設(shè)備,其中接入控制裝置接收源自通信設(shè)備����、標(biāo)識該通信設(shè)備的指示�。
8.如權(quán)利要求1所要求的設(shè)備����,進(jìn)一步包含一個(gè)用戶接口,用于在仲裁過程中授權(quán)接入一個(gè)應(yīng)用�,接入控制裝置被安排成存儲與設(shè)備相關(guān)的可信賴指示,并存儲與可接入應(yīng)用相關(guān)的安全指示���,其中取決于與被請求應(yīng)用相關(guān)的已存儲的安全指示����,如果有了一個(gè)與通信設(shè)備相關(guān)的已存儲的可信賴指示�����,就不需要用戶授權(quán)����,但如果沒有與通信設(shè)備相關(guān)的可信賴指示,就需要用戶授權(quán)����。
9.如權(quán)利要求5或8所要求的設(shè)備,其中接入控制裝置接收源自通信設(shè)備、對通信設(shè)備和被請求的應(yīng)用進(jìn)行標(biāo)識的指示�����。
10.如任一以前的權(quán)利要求所要求的設(shè)備有一個(gè)存儲不同設(shè)備的可信賴指示的設(shè)備數(shù)據(jù)庫��。
11.如任一以前的權(quán)利要求所要求的設(shè)備有一個(gè)存儲可接入應(yīng)用的安全指示的業(yè)務(wù)數(shù)據(jù)庫����。
12.如任一以前的權(quán)利要求所要求的設(shè)備,其中認(rèn)證包含設(shè)備和通信設(shè)備間秘密密鑰交換��。
13.如任一以前的權(quán)利要求所要求的設(shè)備����,其中接入控制裝置是一個(gè)/那個(gè)與第一應(yīng)用的接口。
14.如任一以前的權(quán)利要求所要求的設(shè)備有一個(gè)協(xié)議棧�����,包含一個(gè)第一層和該第一層之上的第二較高層�����,有或沒有中間層����,其中第一較低層是認(rèn)證裝置,而第二較高層是部分接入控制裝置��。
15.如權(quán)利要求14所要求的設(shè)備���,其中與一個(gè)安全管理器相結(jié)合的第二層是接入控制裝置���。
16.如權(quán)利要求14或15所要求的設(shè)備,其中根據(jù)目前建議的藍(lán)牙規(guī)范v0.9或它的等價(jià)物���,第一層是鏈路管理協(xié)議層����。
17.如權(quán)利要求14�,15或16所要求的設(shè)備,其中根據(jù)目前建議的藍(lán)牙規(guī)范v0.9或它的等價(jià)物�����,第二層不是鏈路管理協(xié)議層���。
18.如任一以前的權(quán)利要求所要求的設(shè)備����,包含多個(gè)應(yīng)用和多個(gè)接入控制裝置,其中每個(gè)應(yīng)用有一個(gè)接入控制裝置與之相連����。
19.如權(quán)利要求18所要求的設(shè)備,其中多個(gè)接入控制裝置被安排成分層結(jié)構(gòu)��,其中位于分層中最低級的一個(gè)第一接入控制裝置提供接入到至少一個(gè)第二接入控制裝置���,以及接入到一個(gè)第三接入控制裝置和一個(gè)應(yīng)用中的一個(gè)或兩個(gè)�,其中接入每個(gè)應(yīng)用要通過一個(gè)或多個(gè)接入控制裝置來提供�,如果它們不同,則包括第一接入控制裝置和與應(yīng)用相連的接入控制裝置�����,而且其中任何接入控制裝置都可由請求接入其中一個(gè)與之相連的應(yīng)用的通信設(shè)備接入��,而不要求該通信設(shè)備已通過認(rèn)證裝置進(jìn)行認(rèn)證�����,并被安排成仲裁同意或拒絕通信設(shè)備接入一個(gè)相連的應(yīng)用�����,如果仲裁要求一個(gè)通信設(shè)備的認(rèn)證����,則相連的接入控制裝置指示認(rèn)證裝置對通信設(shè)備進(jìn)行認(rèn)證。
20.如任一以前從屬于權(quán)利要求14的權(quán)利要求所要求的設(shè)備�����,其中這個(gè)或每個(gè)接入控制裝置包括多個(gè)不同復(fù)用協(xié)議層中的一個(gè)����。
21.如權(quán)利要求20所要求的設(shè)備,其中每個(gè)接入控制裝置是一個(gè)復(fù)用協(xié)議層和一個(gè)安全管理器的結(jié)合�。
22.如權(quán)利要求20或21所要求的設(shè)備,其中用于一種特定應(yīng)用的接入控制裝置是與該特定應(yīng)用相關(guān)的最高可能復(fù)用協(xié)議層�。
23.如任一以前從屬于權(quán)利要求14的權(quán)利要求所要求的設(shè)備,其中接入第一應(yīng)用的請求向上通過協(xié)議棧進(jìn)行到接入控制裝置����。
24.如從屬于權(quán)利要求21時(shí)的權(quán)利要求23所要求的設(shè)備,其中當(dāng)請求向上通過協(xié)議棧進(jìn)行時(shí)��,在請求的路線上每個(gè)復(fù)用協(xié)議層詢問安全管理器��,如果被請求的應(yīng)用不和詢問協(xié)議層相連,安全管理器就允許請求通過詢問協(xié)議層接入到一個(gè)較高復(fù)用協(xié)議層�,而如果被請求的應(yīng)用與詢問協(xié)議層相連,就執(zhí)行一個(gè)仲裁來同意或拒絕通信設(shè)備接入被請求的應(yīng)用�。
25.如權(quán)利要求15,21或24所要求的設(shè)備�,其中安全管理器控制認(rèn)證裝置。
26.如任一以前的權(quán)利要求所要求的便攜的設(shè)備�����,有一個(gè)無線收發(fā)器和一個(gè)包含一個(gè)顯示器和用戶輸入裝置的用戶接口�。
27.一種與其它設(shè)備通信以允許它們接入應(yīng)用的設(shè)備,包括至少第一和第二應(yīng)用����;認(rèn)證通信設(shè)備的認(rèn)證裝置;第一接入控制裝置����,可由請求接入第一應(yīng)用的一個(gè)通信設(shè)備接入,而不要求該通信設(shè)備已通過認(rèn)證裝置認(rèn)證�,并被安排成對同意或拒絕通信設(shè)備接入第一應(yīng)用進(jìn)行仲裁,其中如果仲裁需要通信設(shè)備的一個(gè)認(rèn)證��,接入控制裝置就指示認(rèn)證裝置對通信設(shè)備進(jìn)行認(rèn)證���,第二接入控制裝置��,可由請求接入第二應(yīng)用的一個(gè)通信設(shè)備接入���,而不要求該通信設(shè)備已通過認(rèn)證裝置認(rèn)證,并被安排成對同意或拒絕通信設(shè)備接入第二應(yīng)用進(jìn)行仲裁����,其中如果仲裁需要通信設(shè)備的一個(gè)認(rèn)證,接入控制裝置就指示認(rèn)證裝置對通信設(shè)備進(jìn)行認(rèn)證�,其中第一接入控制裝置可由請求接入第二應(yīng)用的一個(gè)通信設(shè)備接入,而不要求該通信設(shè)備已通過認(rèn)證裝置認(rèn)證�����,并被安排成提供該通信設(shè)備到第二接入裝置的接入�。
28.一種對請求設(shè)備接入一個(gè)由提供設(shè)備提供的業(yè)務(wù)進(jìn)行仲裁的方法,包含由請求設(shè)備向提供設(shè)備發(fā)出一個(gè)接入業(yè)務(wù)的請求���;在提供設(shè)備接收請求��,且不對請求設(shè)備進(jìn)行認(rèn)證���,就把它傳遞給一個(gè)與業(yè)務(wù)接口的仲裁裝置�����;在仲裁裝置中�����,確定同意或拒絕請求設(shè)備接入第一應(yīng)用�,其中如果確定需要請求設(shè)備的一個(gè)認(rèn)證�����,就在那個(gè)確定過程中而不是之前來執(zhí)行認(rèn)證�。
29.如權(quán)利要求30所要求的方法,其中確定以被請求業(yè)務(wù)的標(biāo)識和/或請求設(shè)備的標(biāo)識為基礎(chǔ)進(jìn)行�。
30.一種可提供業(yè)務(wù)并允許其它設(shè)備接入所提供的業(yè)務(wù)的設(shè)備,包括一個(gè)與其它設(shè)備通信且從那里接收接入一個(gè)業(yè)務(wù)的請求的接口���;仲裁裝置�����,用于確定通過此接口通信的一個(gè)請求設(shè)備可否接入它已經(jīng)請求接入的業(yè)務(wù)����,被安排成存儲與請求設(shè)備相關(guān)的可信賴指示,并被安排成從接口接收源自其它設(shè)備����、標(biāo)識該其它設(shè)備的指示,其中�,如果請求設(shè)備有一個(gè)與之相關(guān)的已存儲的可信賴指示就不要求用戶授權(quán),如果該請求設(shè)備沒有與之相關(guān)的已存儲的可信賴指示就要求用戶授權(quán)����;和一個(gè)提供用戶授權(quán)的用戶接口����。
31.一種可提供業(yè)務(wù)并允許其它設(shè)備接入所提供的業(yè)務(wù)的設(shè)備,包括一個(gè)與其它設(shè)備通信且從那里接收接入一個(gè)業(yè)務(wù)的請求的接口�����;仲裁裝置�,用于確定通過此接口通信的一個(gè)請求設(shè)備可否接入它已經(jīng)請求接入的業(yè)務(wù),被安排成存儲與請求設(shè)備相關(guān)的可信賴指示��,存儲與所提供的業(yè)務(wù)相關(guān)的安全指示��,并被安排成從接口接收源自其它設(shè)備、標(biāo)識其它設(shè)備和被請求業(yè)務(wù)的指示�����,其中�����,取決于與被請求業(yè)務(wù)相關(guān)的已存儲的安全指示����,如果請求設(shè)備有一個(gè)與之相關(guān)的已存儲的可信賴指示就不要求用戶授權(quán),而如果設(shè)備沒有與之相關(guān)的��、已存儲的可信賴指示就要求用戶授權(quán)����;和一個(gè)提供用戶授權(quán)的用戶接口。
全文摘要
一個(gè)與其它設(shè)備通信以允許它們接入應(yīng)用的設(shè)備,包括:至少一個(gè)第一應(yīng)用;認(rèn)證通信設(shè)備的認(rèn)證裝置;和接入控制裝置,可由請求接入第一應(yīng)用的一個(gè)通信設(shè)備接入而不要求該通信設(shè)備已通過認(rèn)證裝置認(rèn)證���。該設(shè)備進(jìn)一步被安排成對同意或拒絕該通信設(shè)備接入第一應(yīng)用進(jìn)行仲裁,其中如果仲裁需要通信設(shè)備的一個(gè)認(rèn)證,則接入控制裝置將指示認(rèn)證裝置對該通信設(shè)備進(jìn)行認(rèn)證��。
文檔編號H04L12/28GK1354947SQ00808634
公開日2002年6月19日 申請日期2000年6月5日 優(yōu)先權(quán)日1999年6月7日
發(fā)明者T·穆勒, M·羅特 申請人:諾基亞移動電話有限公司