基於igrs協議的管道通訊方法

2023-10-11 08:07:59

專利名稱：基於igrs協議的管道通訊方法
技術領域：
本發明涉及一種基於IGRS協議(Intellectual Grouping and ResourceSharing，智能互聯資源共享協議)的網絡設備之間建立和維護管道通訊的方法，具體地是在創建管道通訊的過程中提高數據交互的安全性。
背景技術：
在現有各類有線和無線網絡環境下，基於實現網絡設備相互間智能互聯、資源共享和協同服務的技術發展已成為一種趨勢。特別是隨著802.11協議的使用，在無線網絡設備之間也可實現互連和資源共享。各種設備可在網絡區域內實現自動發現，並且根據各自的操作權限來獲取對方的資源，因而在互連設備間建立安全高效的通訊管道就變得尤為重要。
IGRS協議，即Intellectual Grouping and Resource Sharing智能互聯資源共享協議，是目前得到初步使用的網絡通訊協議標準。基於IGRS協議的有線或無線網絡，可實現設備間的智能互聯、資源共享和協同服務，而且該通訊協議為各類互連設備提供有規範的通訊格式和機制。在授權權限內，當需進行數據傳輸時，根據IGRS協議提供的通訊格式即可在兩個設備之間建立一通訊管道，並且當設備下線或完成通訊後還可即時關閉管道以節約網絡資源。
基於IGRS協議的現有管道通訊技術，主要側重點在於建立高效的通訊管道、而且交互通訊的設備間需具有相同的加密算法，至少兩個設備間的加密算法間具有交集，否則設備間的數據加密和解密無法正常進行。即使兩個設備都具備IGRS協議機制，也要受其各自數據加密算法的限制。因而在上述基於IGRS協議的網絡環境下，還未實現任意設備間的管道通訊。

發明內容
本發明所述基於IGRS協議的管道通訊方法，其發明目的在於解決上述問題和不足。在保證數據通訊安全的前提下，特別是在兩個設備之間沒有相同的加密算法時，採用網絡通訊方式獲取加密算法並進行密文通訊。從而實現基於IGRS協議的網絡環境下，任意設備均可建立管道通訊。
所述基於IGRS協議的管道通訊方法，其流程主要包括有管道的初始化；創建管道；管道的維持；以及，管道的關閉，這四個流程。
在所述的管道的初始化過程中，需對每個上線的IGRS設備創建設備管道列表和生成並啟動定時器T1。
基於所述的管道列表，任意兩個基於IGRS協議的互連設備均可進行管道通訊。
生成並啟動定時器T1，以執行對每一IGRS設備的管道列表進行檢測，並根據管道列表信息來執行在線檢測，以確定是否有IGRS設備下線、或在規定時間內沒有進行信息通訊。
在所述的創建管道過程中，所創建的管道分為兩種類型，即安全管道和非安全管道。
創建安全管道是以確定相同安全機制和密碼算法為前提，根據所確認的密碼算法可實現兩個設備之間的數據加密和解密，從而完成數據信息在兩個設備之間的密文傳輸。
所述確定相同安全機制和密碼算法，是由設備1將設備2所宣告信息中支持的安全機制及相應密碼算法列表，與自己支持的安全機制及相應密碼算法列表進行交集運算。
若交集非空，則進一步根據雙方的安全屬性選擇一種適合雙方的安全機制及相應密碼算法，然後通過管道創建請求發送給設備2；若交集為空集，則由設備1向設備2發送管道創建失敗的確認，並通過設備2獲取包括加密算法的軟體包，設備1獲取該加密軟體包重新啟動並加載，以執行與設備2相同的安全機制和密碼算法。
由設備1通過設備2獲取並加載、運行所指定的加密軟體包，是實現發明目的的關鍵所在，其方法流程是由設備1先向設備2發送一「獲取加密算法請求」消息，消息格式包括設備1需要得到的加密軟體的格式和內容。
由設備2根據設備1的消息請求，反饋一「加密算法請求回復」消息，由設備2通知設備1所提供加密軟體所在的位置和驗證碼。
設備1根據「加密算法請求回復」消息，向設備2發出加密軟體索取，以獲取軟體包。
設備2通過自身伺服器向設備1提供該軟體包。
設備1獲取軟體包後，重新啟動設備1並加載該軟體包。
設備1將獲得的驗證碼經過加密軟體加密後，發送給設備2。
設備2獲取加密內容，進行解密並與發送給設備1的驗證碼進行對比。如果是相同的，則證明設備1的加密算法下載後正常運行，即發送確認消息；否則，就說明發送不成功，即發送錯誤消息，由設備1重新向設備2發送「獲取加密算法請求」消息。
為了保證下載後的加密軟體包可以被正常加載並運行，每一IGRS設備在獲取加密軟體包時需執行相同格式的API接口函數。
在所述管道維持的過程中，為保證佔用較少的設備資源，需對管道的使用和狀態進行在線監控。若管道已經失效或者管道處於閒置狀態，則需要將管道關閉。
在所述管道關閉的過程中，包括設備主動要求斷開管道時、以及通過管道維持在線檢測流程而發現對方設備無反饋，或者在單位時間內管道上沒有信息通訊時。
執行管道關閉時，會在管道列表中刪除該管道信息。
如上所述，基於IGRS協議的管道通訊方法所具有優點是，即使需建立管道通訊的兩個設備之間不具有相同的安全機制和加密算法，也可由其中一個設備提供雙方均可接受的加密軟體包，從而擺脫了不同加密算法的限制。只要是基於IGRS協議的網絡設備，均可實現創建管道和執行安全通訊。


圖1是所述基於IGRS協議的通訊管道建立過程示意圖；圖2是建立管道通訊初始化過程示意圖；圖3是建立安全和非安全管道的流程圖；
圖4是由設備1向設備2發送某一種加密算法的過程示意圖。
具體實施例方式
實施例1，如圖1至圖4所示，所述基於IGRS協議的管道通訊方法，其控制流程主要包括有以下步驟第一步，管道的初始化。
如圖2所示，對於每個基於IGRS協議的互連設備，被加入網絡連接後需進行管道初始化，主要是創建設備管道列表和啟動定時器。
其中，管道列表的結構內容包括指向下一個管道的指針(IGRS_PipeInfo*next)；設備管道的ID地址(int PipeID)；管道所在設備的ID地址(DeviceID[IGRS_MAX_ID_LENGTH])；管道所在設備埠號(int DevicePort)；對方設備的ID地址(Device2ID[IGRS_MAX_ID_LENGTH])；對方設備埠號(int Device2Port)；第三方設備的ID地址(Device3ID[IGRS_MAX_ID_LENGTH])第三方設備埠號(int Device3Port)；管道類型(IGRS_PIPESECURITY_TYPE pipetype)，包括安全管道和非安全管道；管道的密鑰(int num)，如果為非安全加密，則置為0。
上述管道列表是在管道初始化過程中，為每一個IGRS設備所創建的。基於上述管道列表，任意兩個基於IGRS協議的互連設備均可進行管道通訊。
創建定時器，是在設備初始化啟動後，即生成定時器T1(系統預設設置為30秒)。
根據定時器T1的設置時間，定時對每一IGRS設備的管道列表進行檢測，並根據管道列表信息(主要是對方設備的ID地址和埠號)執行在線檢測，以確定是否有IGRS設備下線、或在規定時間內沒有進行信息通訊。
第二步，創建管道。
對於每一個新上線的IGRS設備，經過上一步的管道初始化後，即判斷是否需要創建管道。
如圖1所示，IGRS設備上線後，首先進行管道初始化；然後，查詢該IGRS設備的管道列表，查詢是否已建立管道。若已建立有管道，則使用管道內容進行通訊；若未建立管道，則啟動管道創建流程並更新管道列表；再次，根據定時器T1啟動管道監控程序，以執行在線檢測以確定是否需要關閉該管道。
如圖3所示，所創建的管道分為兩種類型，即安全管道和非安全管道。
管道的初始預設值為0，即管道為非安全管道。
創建非安全管道的過程很簡單，直接在兩個IGRS設備間創建TCP/IP連接，即可完成設備間的通訊，所傳輸的數據並未進行加密處理。
根據兩個IGRS設備自身安全和信息傳輸類型，創建相應的管道並實現數據信息的交互。
創建安全管道的過程較為複雜，包括有2.1創建安全管道的初始化流程。
2.1.1設備1通過向設備2的可用設備連接地址，發出一TCP連接創建請求。如果成功，則進入下一步驟，否則管道創建失敗。
2.1.2設備1首先將設備2所宣告的信息中支持的安全機制及相應密碼算法列表(注列表順序反映優先權重)，與自己支持的安全機制及相應密碼算法列表進行交集運算。若交集非空，則進一步根據雙方的安全屬性選擇一種「最合適」的安全機制及相應密碼算法，然後通過管道創建請求發送給設備2；若交集為空集，則進入下一步驟，同時設備1向設備2發送管道創建失敗的確認。
2.1.3若設備1和設備2之間沒有交集，說明兩個IGRS設備沒有共同的安全機制和加密算法，則設備1向設備2發送某一種加密算法的下載需求。
如圖4所示，IGRS設備1先向IGRS設備2發送一「獲取加密算法請求」消息(GetEncryptRequest)。
由設備1根據消息格式註明需要得到加密軟體的格式和內容，其中包括有目標主機IP埠地址、目標設備標識符、源設備標識符、請求消息序列號、設備安全機制描述符、以及加密軟體的文件格式。
設備2根據設備1的消息請求，反饋一「加密算法請求回復」(GetEncryptResponse)消息，該消息主要包括有目標設備標識符、源設備標識符、加密軟體所在的位置、加密算法的密鑰、以及設備2生成的驗證碼。由設備2通知設備1所提供加密軟體所在的位置和驗證碼(驗證碼由設備2隨機生成)。
設備1根據「加密算法請求回復」(GetEncryptResponse)消息，向設備2發出加密軟體索取，以獲取軟體包。
設備2通過自身伺服器向設備1提供該軟體包。
設備1獲取軟體包後，重新啟動設備1並加載該軟體包。
設備1將獲得的驗證碼經過加密軟體加密後，發送給設備2。
設備2獲取加密內容，進行解密並與發送給設備1的驗證碼進行對比。如果是相同的，則證明設備1的加密算法下載後正常運行，即發送確認消息；否則，就說明發送不成功，即發送錯誤消息，由設備1重新向設備2發送「獲取加密算法請求」消息(GetEncryptRequest)。
為了保證下載後的加密軟體包可以被正常加載並運行，每一IGRS設備在獲取加密軟體包時需執行相同格式的API接口函數。
如加密函數(int Encypt)，其函數返回結果為1，則加密成功；函數返回結果為0，則加密失敗。
加密參數包括有，輸入參數(IN char Content，是明文)；加密密鑰(IN char Key)；輸出參數(OUT char EnContent，是密文)。
解密函數(int Dncypt)，其函數返回結果為1，則解密成功；函數返回結果為0，則解密失敗。
解密參數包括有，輸入參數(IN char Content，是密文)；解密密鑰(IN char Key)；輸出參數(OUT char EnContent，是明文)。
2.2安全身份認證和生成管道密鑰。
在上述確定安全機制和密碼算法的基礎上，由設備2來確認設備1所選擇的安全機制及相應密碼算法是否滿足自己目前安全需求及狀態。若滿足，則向設備1發送包括安全機制及相應密碼算法在內的管道確認消息；若不滿足，則向設備1發送管道創建失敗的確認消息。
根據管道創建的要求可以創建以下四種安全管道，即基於對稱密鑰體制的認證及消息認證機制的設備安全管道；基於對稱密鑰體制的認證、消息傳輸加密及消息認證機制的設備安全管道；對於公鑰體制的認證、消息傳輸加密及消息認證機制的設備安全管道；基於可信賴第三方體制的認證、消息傳輸加密及消息認證機制的設備安全管道；創建安全管道的類型則根據IGRS協議的版本來確定。
2.3創建管道的確認。
若設備1從自己這端來看管道創建成功，則向設備2發送管道創建的成功的確認(OK)，否則發送管道創建的失敗的確認(Failed)；當設備2接收到設備1的管道創建的成功的確認(OK)時，同時己方前期相關協議步驟成功完成，則向設備1返回管道創建的成功的確認(OK)，其它情形都返回管道創建的失敗的確認(Failed)。
第三步，管道的維持。
對於每一個建立通訊管道的IGRS設備來說，當管道創建完成後，為保證儘量少地佔用設備資源，需對管道的使用和狀態進行在線監控。若管道已經失效或者管道處於閒置狀態，則需要將管道關閉。
在線監控流程包括兩種類型，一是根據初始化時所生成的定時器T1，執行定時檢查所有設備的管道列表若定時器T1溢出，則查詢管道列表，獲得管道和對方設備的信息；通過管道向管道對方設備發送再現檢測信息；對方設備收到信息後，向本設備反饋在線信息；如果在10秒鐘內，沒有反饋數值，則證明對方不在線，這時啟動管道關閉程序並重新刷新管道列表，刪除已經失效的管道列表內容；如果有反饋，則證明管道完好，繼續保持；完成上述流程後，定時器T1置零，並重新啟動。
另外，是根據IGRS設備每個管道建立後，都要啟動一個定時器T 3(系統預設值為200秒)。
設備管道上的所有通訊發生時(包括會話建立過程中的請求，設備/服務查找請求，事件訂閱請求，獲取設備/服務詳細信息請求)，都要重置定時器T3。
如果定時器T3溢出，這證明在這段時間內沒有任何數據和信息在管道上通訊，即調用管道關閉程序，斷開管道，並刷新管道列表，刪除該管道。
第四步，管道的關閉。
當設備下線或者管道上在單位時間內沒有信息通訊，則認為管道已經沒有存在的必要，這是要關閉管道。
出現管道關閉的情況有當設備主動要求斷開管道時；通過管道維持的在線檢測流程而發現對方設備無反饋，或者在單位時間內管道上沒有信息通訊，則自動斷開管道。
斷開管道的流程是設備1向設備2發送斷開命令；設備2得到命令後，發出反饋，並在管道列表中刪除該管道信息；設備1得到反饋命令後，在管道列表中刪除該管道信息；如果在單位時間(如10秒)內，沒有反饋信息，則說明設備2不在線，則主動在管道列表中刪除該管道信息。
當需要在兩個IGRS設備間進行管道通訊時，就需要按上述四個步驟重新建立並維持管道。
以上即是本發明所述基於IGRS協議的管道通訊方法的基本內容。
權利要求
1.一種基於IGRS協議的管道通訊方法，主要包括有管道的初始化、創建管道、管道的維持和管道的關閉流程，其特徵在於所述創建安全管道，是以確定相同安全機制和密碼算法為前提，根據所確認的密碼算法來實現數據加密和解密，從而完成數據信息在兩個設備之間的密文傳輸。
2.根據權利要求1所述的基於IGRS協議的管道通訊方法，其特徵在於所述確定相同安全機制和密碼算法，是由設備1將設備2所宣告信息中支持的安全機制及相應密碼算法列表，與自己支持的安全機制及相應密碼算法列表進行交集運算；若交集非空，則進一步根據雙方的安全屬性選擇一種適合雙方的安全機制及相應密碼算法，然後通過管道創建請求發送給設備2；若交集為空集，則由設備1向設備2發送管道創建失敗的確認，並通過設備2獲取包括加密算法的軟體包，設備1獲取該加密軟體包重新啟動並加載，以執行與設備2相同的安全機制和密碼算法。
3.根據權利要求2所述的基於IGRS協議的管道通訊方法，其特徵在於由設備1通過設備2獲取包括加密算法的軟體包的流程是，由設備1先向設備2發送一「獲取加密算法請求」消息，消息格式包括設備1需要得到的加密軟體的格式和內容。由設備2根據設備1的消息請求，反饋一「加密算法請求回復」消息，由設備2通知設備1所提供加密軟體所在的位置和驗證碼。設備1根據「加密算法請求回復」消息，向設備2發出加密軟體索取，以獲取軟體包。設備2通過自身伺服器向設備1提供該軟體包。設備1獲取軟體包後，重新啟動設備1並加載該軟體包。設備1將獲得的驗證碼經過加密軟體加密後，發送給設備2。設備2獲取加密內容，進行解密並與發送給設備1的驗證碼進行對比。如果是相同的，則證明設備1的加密算法下載後正常運行，即發送確認消息；否則，就說明發送不成功，即發送錯誤消息，由設備1重新向設備2發送「獲取加密算法請求」消息。
4.根據權利要求3所述的基於IGRS協議的管道通訊方法，其特徵在於為了保證下載後的加密軟體包可以被正常加載並運行，每一IGRS設備在獲取加密軟體包時需執行相同格式的API接口函數。
5.根據權利要求1或4所述的基於IGRS協議的管道通訊方法，其特徵在於在所述管道維持的過程中，對管道的使用和狀態進行在線監控；若管道已經失效或者管道處於閒置狀態，則需要將管道關閉。
6.根據權利要求5所述的基於IGRS協議的管道通訊方法，其特徵在於所述管道的關閉過程，包括根據設備主動要求斷開管道、以及通過管道維持在線檢測流程而發現對方設備無反饋，或者在單位時間內管道上沒有信息通訊時。
全文摘要
本發明所述基於IGRS協議的管道通訊方法，在保證數據通訊安全的前提下，特別是在兩個設備之間沒有相同的加密算法時，採用網絡通訊方式獲取加密算法並進行密文通訊。從而實現基於IGRS協議的網絡環境下，任意設備均可建立管道通訊。所述基於IGRS協議的管道通訊方法，創建安全管道是以確定相同安全機制和密碼算法為前提，根據所確認的密碼算法可實現兩個設備之間的數據加密和解密，從而完成數據信息在兩個設備之間的密文傳輸。當設備1和設備2之間不具有相同的安全機制和加密算法時，通過設備2獲取包括加密算法的軟體包，設備1獲取該加密軟體包重新啟動並加載，以執行與設備2相同的安全機制和密碼算法。
文檔編號H04L29/06GK1798133SQ20041007578
公開日2006年7月5日 申請日期2004年12月29日 優先權日2004年12月29日
發明者李玉軍, 丁倩, 李雲峰 申請人:海信集團有限公司