安全使用的方法和設備的製作方法

2023-07-19 00:49:01

專利名稱：安全使用的方法和設備的製作方法
技術領域：
本發明涉及一種供安全使用的方法和設備。本發明發現了連網裝置之間或系統之間的安全通信的特殊應用。
背景技術：
網絡通信的裝置通常使用密碼算法和特殊協議提供這些裝置之間安全的和完整的數據傳遞。一個典型實例是，用戶使用web瀏覽器與銀行伺服器通信，以操作銀行往來帳戶。在此情況下，通常使用安全套接字層(SSL)協議建立瀏覽器裝置與銀行伺服器之間的安全數據通信路徑。
在SSL協議中，在建立從伺服器向瀏覽器傳遞數據的連接的時候，伺服器向瀏覽器發送它的公用加密密鑰。瀏覽器(或者它代表的客戶)使用它正好接收的公用加密密鑰生成主密鑰，並把它發送給伺服器。後續通信開始使用從主密鑰導出的密鑰。
安全連網通信中的主要問題是第三方可以試圖確定什麼安全系統在適當位置，並嘗試發現經由安全路徑通信的數據。本技術中存在在諸如網際網路的網絡上進行這種攻擊的許多實例。
對付攻擊的一般方法是，使用算法和/或協議保護日益更加複雜和難於攻擊的數據路徑。一些實例是1024比特加密算法和公用密鑰協議。儘管這種安全系統經常被預配置，但是另一種方法是在連接時的各方之間，一對一協商參數，比如待使用的加密算法或密鑰。
依賴用於信息傳遞的安全系統的技術的一個實例是數字TV市場，特別是諸如付費節目的系統。限制業務接入授權用戶的已知方法僅僅是通過公用密鑰加密把業務加密密鑰分配給授權用戶。接著，使用業務加密密鑰發送用於授權用戶解擾器的控制字，以便解擾廣播業務。作為選擇，可以使用「零知識」算法，而不使用控制字。
在這種系統中，業務密鑰必需再次一對一分配，儘管業務密鑰隨後在有關業務的廣播系統上是相同的。

發明內容
根據本發明的第一個方面，這裡提供一種供數據向或從連接網絡的通信裝置安全傳輸使用的安全系統，該系統包括i)接收數據的輸入端；ii)安全管理設備，用於處理在輸入端接收的數據和選擇安全系統的一個或多個參數的值；以及iii)用來標識輸出給所述通信裝置的所選值的輸出端，其中，所述設備適合處理所述接收數據以選擇所述值，以及使用所述輸出端標識輸出給一個或多個所述通信裝置的所述值，以供隨後使用網絡向或從所述一個或多個通信裝置安全傳輸數據。
選擇該值的這種安全系統的性能可以被設計成是隨機的和/或響應的。它的性能依賴於例如在系統使用中，設備適於處理數據的方式和被處理的數據的性質。本發明的實施例可以用來實現安全系統的一個或多個參數中的隨機和/或動態變化，並給予數據接收定時或實時響應。這些特徵可以使後續數據安全傳輸的未授權破壞更加困難。
因而，本發明的實施例提供了保護連網系統之間通信的安全機制的動態實施的處理。重要的是，本發明的實施例可以在系統已經運行的同時，響應「空中」接收的數據。因而，標識達到一個或多個所述通信裝置的一個或多個值的效果可以是，改變已經使用的參數，而不是僅僅安裝供後續數據安全傳輸之用的參數。
設備適於處理選擇值的數據的方式通常用一個或多個規則表示，但是這種規則可以被實施。例如，規則可以是在設備中硬編碼，實時或者通過人工操作員來決定，或者被存儲在資料庫中。系統還可以便利地包括一個規則數據存儲器，用於存儲設備在處理接收數據以選擇所述值時使用的一個或多個規則。需要時，可以改變或更新這種規則。
在輸入端接收用於處理的數據也許來自一個或多個不同的源。例如，它可以通過以下途徑產生人的幹預，時鐘或日曆，事件如用戶位置相對於網絡改變或用戶使用的裝置改變，或者監視用戶行為的歷史或安全系統的以前行為的另外的數據處理系統，或者它們的任意組合。安全管理系統還可以使用除了在輸入端接收的選擇值的數據之外的數據，比如對它單獨可用的數據。
可以選擇一個或多個值的安全系統的參數包括例如加密和計算算法，數據傳輸協議和這些算法和協議的配置。
可以通過發送信號，包括值本身、加密的或其它性質的，來標識一個或多個通信裝置的值，或者通過發送值的標識符，或者實際上發送值數據包的標識符，來標識該值，其中通信裝置適於例如通過參考查找表解釋該標識符。
安全管理設備連接到通信裝置連接的網絡不是必需的。輸入端和輸出端可以連接一個或多個其它通信系統。輸出端可以用於標識輸出給通信裝置的已選值，以便使用已選值配置在網絡上隨後數據傳輸的裝置才是必需的。例如，在隨後數據安全傳輸出現在有線電視網的同時，輸出端和通信裝置可以連接網際網路。
可以標識值的參數包括·協議，如密鑰傳輸協議·加密算法·密鑰和密鑰長度·塊密碼中的塊長度·無密鑰「零知識」方法·不同碼實施這種參數的值可以是高或低電平。也就是，一個參數的替代值可以指示整個參數將被改變，例如替代另一個的一種算法，或正好指示參數將被不同地操作。例如，用於「算法」參數的值可以首先指示AES(高級加密標準)算法將被使用，然後指示將使用RC4(另一已知加密算法)。作為選擇，「算法」參數的不同值可以例如通過設置塊密碼中使用的迭代次數，來僅僅調整算法。
可以設置一個以上值的加密算法的另一實例是主加密算法。從一個主算法中，能夠生成幾千個衍生物，每個都難於作為下一個來使用。這種情況中的值可以操作選擇所使用的衍生物。
上文已經提到作為值可以被選擇的參數的不同碼實施。這是一種安全技術，其中代碼呈現在計算設備上，以實施在每種情況下都不同的算法。儘管算法將產生相同結果，但是黑客在算法運算期間將看到的實際代碼也許在一種情況下非常不同於下一個。
儘管稱作規則，但是本發明的實施例上下文中的「規則」不打算具有特定含義，而是僅僅提供安全管理設備可以使用的操作，以處理接收的數據和選擇用於一個或多個參數的值。接收的數據本身提供被選擇的一個或多個值，或值的標識符。在此情況下，「規則」將運行，使得設備僅僅適當地提取和輸出一個或多個值或標識符。作為選擇，規則可以在啟動設備選擇一個值之前，考慮多種判定準則，比如日時、一個或多個通信裝置的網絡位置、網絡活動性如內容訪問或預約付費，用戶身份識別數據，和/或活動性的歷史圖。
規則可以按不同方式實施，並且可以例如被表示為基於約束的編程或專家系統。然而，簡單邏輯也是合適的，比如「如果(條件A)，則(值X，Y)」。
本發明一個實施例中的連接網絡的通信裝置包括通用的安全數據的發射機和/或接收機。安全系統本身可以連接打算數據安全傳輸的網絡，但這不是必需的。可以改用另一路由，把值或值的標識符傳送給通信裝置。
本發明的實施例可以提供達到或者來自連接網絡的通信裝置的數據安全傳輸。最好是，存儲在規則數據存儲器中的至少一個規則包括網絡位置數據，使安全管理設備選擇的參數的值是至少部分網絡位置依賴的。這樣的網絡位置數據可以例如標識由安全管理設備服務的子網，或者可以專用於連接由安全管理設備服務的網絡的一個或多個通信裝置。這能夠使安全管理設備設置用於網絡中不同數據路徑的不同值。因而，如果一條路徑被損壞，則不能以相同方式立即損壞網絡中的其它路徑。
該網絡位置依賴性可以給予安全管理設備極大的靈活性。例如，在數位電視網絡中，使設置用於安全系統參數的不同值，把數據傳遞到相同地理位置的各通信裝置如同一房子的不同機頂盒成為可能。在此水平，由規則包含的網絡位置數據是一個或多個不同通信裝置的網絡地址。
根據本發明的另一方面，這裡提供了一種供數據安全傳輸之用的安全系統，向或從連接網絡的通信裝置安全傳輸數據，該系統包括i)安全管理設備，用於選擇安全系統的一個或多個參數的值；ii)輸出端，用於標識輸出給所述通信裝置的所選值，其中，所述設備適合使用一個或多個規則選擇所述值，以及使用所述輸出端標識輸出給一個或多個所述通信裝置的已選值，以供隨後使用網絡向或從所述一個或多個通信裝置安全傳輸數據，在系統使用中，所述一個或多個規則的至少一個包括網絡位置數據，因而設備適於選擇至少部分網絡位置依賴的值。
這樣一種安排給予安全系統在一個網絡內強大的差異能力。也就是，可以設置位於網絡中不同位置的不同安全系統的參數的值。這再次限制了可以破壞數據傳輸安全性的範圍。網絡位置數據可以例如包括標識網絡的子網的數據，或一個或多個通信裝置的網絡地址。
如在第一方面的本發明的實施例中，系統包括存儲所述一個或多個規則的規則數據存儲器是方便的，這些規則供設備在處理接收數據時用來選擇所述值。
最好是，根據本發明第二方面的實施例包括根據本發明第一方面的實施例的一個或多個特徵。例如特別是，根據本發明第二方面的實施例還可以包括用來接收數據的輸入端，適合於根據所接收數據選擇安全系統的一個或多個參數的值的安全管理設備。這可以給予安全系統動態響應與上述網絡的差異性的強力組合。
本發明實施例的安全系統的有用部件是在系統使用中監視數據出現的活動性監視器。選擇值的至少一個規則可以被安排成運行，以使所選值是至少部分地依賴於所監視的數據。這允許安全系統響應在其它環境中不導致響應的活動性。例如，用戶在新網絡位置的接入不可能導致一有機會就響應，但是如果以預定時間間隔重複高於預定次數，則可能導致響應。可以以此方式監視的數據的實例包括網絡位置數據、系統選擇值和用戶標識數據。
在一個替代安排中，上述的活動性監視器可以被設置為供安全系統使用的通信裝置的部分，而不是設置在上述的安全系統內。因此，供上述安全系統使用的新穎的和創造性的通信裝置包括，用於監視至少一個通信裝置的網絡活動性的活動性監視器，並使對安全系統有效的被監視活動性供值選擇之用。
應當注意，通信裝置是通信系統中使用的有效發射機和接收機，因而被視為相同發明概念的有關方面。
不論供安全系統使用的通信裝置是否包括活動性監視器，可配置成實施用於安全系統的一個或多個參數的一個或多個選擇值的裝置最好包括一個存儲用於所述一個或多個參數的值與用於該值的標識符之間關係的值數據存儲器，使得裝置可配置接收一個或多個標識符。這允許裝置不用必需發射給裝置的實際值配置，而是用值的標識符配置。
根據本發明的第三方面，這裡提供了一種保護連接網絡的通信裝置之間的數據傳輸的方法，使用一個或多個安全參數保護所述數據傳輸，一個或多個安全參數具有可選值，該方法包括以下步驟i)接收激勵數據；ii)接入在一個或多個判定準則的一組中標識的當前數據；iii)處理激勵數據與所述當前數據，以選擇所述安全參數的至少一個的至少一個值；以及iv)向兩個或更多個通信裝置輸出信號，該信號包括至少一個所選值。
激勵數據可以從連接通信裝置的網絡接收，或者從不同網絡接收。
為了提供所述當前數據，本發明第三方面的方法還可以包括監視與網絡上被保護的數據傳輸有關的活動性的步驟。這種方法還可以或者替代地包括在處理激勵數據之前，處理當前數據的步驟。這允許考慮與網絡上被保護的數據傳輸有關的行為模式，如超時使用或地區群集。
附圖描述下面參考附圖，僅通過舉例的方式描述根據本發明實施例的安全系統。


圖1顯示了連接網絡以控制應用於網絡中數據路徑的安全參數的安全系統的功能方框圖；圖2顯示了供圖1的安全系統之用的安全引擎的功能的方框圖；圖3顯示了使用中的安全引擎的操作的流程圖；圖4至圖8顯示了可以由使用中的安全引擎應用的安全值數據包中的網絡差異；圖9顯示了供圖1的安全系統使用的通信裝置的功能方框圖。
具體實施例方式
1.網絡概述參見圖1，安全系統的總體任務是保護連接到網絡145的通信裝置115、120、150之間的數據路徑。在所述實施例中，通信裝置包括「發行」裝置150和至少兩個接收裝置，比如安裝在住宅中的個人計算機120和具有機頂盒115的電視機。(如圖1所示，接收裝置115、120連接相同的子網125，但這不是必需的。)安全系統主要包括在計算平臺上運行處理以提供連接通信裝置115、120、150的安全引擎100的軟體。安全系統保護通信裝置115、120、150之間的數據路徑的方式是選擇各種安全參數(比如，加密密鑰、算法和協議)的值的數據包，並指令發行裝置150和它的接收裝置115、120使用該數據包用於它們之間的安全通信。安全引擎100可以在任何時間動態改變有效數據包。
安全引擎100可以根據實時接收的數據和其它準則，使用基於規則的方法作出這些改變。顯然，如果任何時間有效的數據包是不可預測的，則它可以提高安全的強度，這些內容將在標題「2.安全引擎」下的段落中進一步討論。
下面將對安全系統有效的值的每個數據包稱作「策略」。單個策略，如「策略SP1」因而代表一組一個或多個特定算法、協議、配置和/或其它參數值。對用於選擇的安全引擎100有效的策略被存儲在資料庫140中。
網絡145中的不同數據路徑可以具有在任何時間都有效的不同策略。安全引擎100通過選擇一組通信裝置115、120、150，例如因為它們各自的網絡位置指令使用相同策略，而執行操作，或通過子網或通過任何其它適當裝置而執行操作。
管理員域110允許安全操作員例如為了原始設置、更新和修改而控制安全引擎100，並且分離資料庫140可接入管理員域110和安全引擎100。
使用管理員域110的操作員可以確定安全引擎100可以採用的判定範圍，比如選擇多個協議並設置可以改變的這些協議的參數，以及選擇將作為子網處理的通信裝置組，但是此後，安全引擎100支配在通信裝置115、120、150之間保護數據傳輸時使用的協議和算法的選擇、實施和配置，並且通信裝置115、120、150除了「按命令」實施外，沒有判定的部分。
應當理解，圖1所述安排不是必需的，軟體處理的位置、和數據實設計和環境的問題。例如，這可能是這樣一種情況，管理員域110、安全引擎100和資料庫140共同位於相同伺服器或其它通信計算上。此外，儘管安全引擎100被顯示為連接相同網絡145，以作為待保護的一個，但是這不是必需的。安全引擎100應當能夠與發行和接收通信裝置115、120、150通信才是必需的，並且這可能在分離網絡上進行，如圖4所示。
2.安全引擎參見圖2，安全引擎100通過根據判定準則應用規則，判定哪個安全策略任何時間都有效並位於網絡中。判定通過激勵觸發，安全引擎100具有連接網絡145的接口210，可以經由網絡接收作為來自管理員域110的操作員輸入或者來自其它地方的激勵。
下面更詳細說明激勵、判定準則和規則，然後說明安全引擎100可有效用來選擇的策略。如圖2所示，它們可以被存儲在與安全引擎100位於一起的數據存儲器200中，或者可以從數據存儲器140或管理員域110遠程獲得。然而，由於安全原因，最好被存儲在本地數據存儲器200中。
2.1激勵安全引擎100可以通過多個激勵觸發，以作出關於哪個策略應當使用的判定。這些激勵可以包括例如以下的任何一個或多個·通信裝置115、120、150之間的交互，例如發行裝置150於接收裝置115、120之間的交互·通信裝置115、120、150任一個與另一個實體之間的交互，這可以包括通信裝置115、120、150中的另一處理，或者通信裝置115、120、150任一個與連接網絡的其它實體交互·時日
·人為幹預·調度策略改變這些激勵通過網絡145經由接口210接收，或者對於安全引擎100是內部的。例如，調度策略改變和基於時日的這些可以源自安全引擎100內的時鐘處理，或與安全引擎100關聯的時鐘處理。人為幹預可以由來自管理員域110的一個操作員作出。
源自通信裝置115、120、150之間交互、或通信裝置115、120、150與其它實體之間交互的激勵，通常由連接安全引擎100的一個或多個通信裝置傳送，並因此可以經由接口210接收。
可以作為激勵出現的交互可以源自例如接收裝置115、120上的用戶活動。登錄系統的用戶可以提供用於驗證的用戶ID和口令，已確認ID可以被傳送給安全引擎100，以作為在用戶接收裝置與用戶已經接入業務的供應商域之間提供數據路徑的新安全策略的激勵。作為選擇，用戶可以使用通信裝置建立數據路徑，用於下載具有高安全等級的數據，或者支付訂購費。這些中的任何一個可以由通信裝置平等地報告給安全引擎100，以作為在指定數據路徑上安裝新策略的激勵。
2.2判定準則一旦激勵已經出現，安全引擎100就可以在數據路徑上安裝新策略時，考慮若干判定準則的任何一個。例如安全引擎可以考慮以下準則的任何一個或多個1.日期/時日2.發行商或者用戶的身份3.發行商或用戶執行的動作，比如內容接入或付訂購費4.發行商或者用戶在網絡上的邏輯或物理位置5.使用的裝置6.網絡操作員設置的參數7.用戶/發行商或用戶終端/網絡操作員之間的訂購狀態8.與上述的任何一個或多個相關聯的歷史9.在前應用的策略的歷史。
如上所述，這些中的某些如「發行商或用戶要執行的動作」可以以從通信裝置115、120、150報告的形式的激勵出現。某些可以從其它處理得到。例如，訂購狀態將經常從訂購監視服務得到。然而，安全引擎100還可以被設計成執行正在進行的數據處理，以便跟蹤其它不可用的方面。例如，在前應用策略的歷史不可能由其它處理監視。
2.3規則一旦已經觸發安全引擎100作出判定，就在處理判定準則中引用規則以獲得新的安全策略。安全引擎的不同的部署和實施可以使用不同規則並應用不同判定準則選擇規則。然而，規則的實例如下R1如果條件A、B和D被滿足則在星期二，在曼徹斯特運行策略SP1，倫敦運行SP2以及在其它任何地方運行SP2；R2如果條件B和E被滿足則在星期四，運行SP1上的所有奇數房號，運行SP2上的所有偶數房號，但觀看將使用SP5的頻道17的那些除外。
R3如果條件A被滿足則除非規則R1或R2應用，否則在網絡的任意部分使用隨機策略。
顯然，這些規則分別是位置依賴的。這提供了網絡內的差異。
上述規則被寫成它們在真實世界中的影響。實際上，更可能根據網絡位置寫規則。例如，曼徹斯特和倫敦對於安全引擎100將被標識為子網，並且依據用戶記錄翻譯奇房號和偶房號，以便提供按公用地址註冊的特定通信裝置115、120的網絡地址。
以此方式與網絡地址一體化的規則是指，同一房子中的偶數的單獨機頂盒可以被分配不同的安全策略。此外，由於激勵可以包括通信裝置115、120、150之間，例如發行裝置150與接收裝置115、120之間的交互，甚至個別會話，或者包括特定個體的會話都可以分配不同策略。
上述規則併入了在應用該規則之前將被滿足的條件。這些條件通常將基於上述一個或多個判定準則的特定值。下面的標題「3.使用中的安全引擎」之下的段落還描述了該條件和使用。
安全引擎100選擇和/或實施策略變化的方式最好相當不可預測。這可以例如基於上文進一步討論的系統的歷史行為，但是另一因素是所用規則的選擇。可能的情況是，包括可以應用於給定條件的一個以上規則，並且安全引擎100作出規則之間的隨機選擇。
2.4策略一旦安全引擎100已經把規則應用於判定準則，則它可以選擇將發送給有關通信裝置115、120、150用於實施的策略。策略可以被描述為所有這些參數的收集，包括方法、裝置、協議和它們的配置，策略用來在網絡上的系統之間交換數據。也就是，策略是系統工作之間進行通信的任何事情，所述通信實質上是一對一、一對多或多對一。
某些參數比其它參數更合適或更有用或更好，其中它們更直接有用，-例如改變密鑰長度或改變協議在使網絡阻止攻擊方面是非常有效的。然而，在設計安全引擎100中，將是有效的策略的選擇非常快地降至選擇一組提供安全方面多種效應但有效供網絡使用的策略，並計算連接網絡的裝置的帶寬。例如，最好選擇不導致網絡承載過多分組的協議，或者不依賴於終端之間的低等待時間路徑的協議。總思想是，如果黑客設法破壞一個策略，則使用中的其它策略是不同策略，這足以阻止第一次入侵在不同策略有效的其它地方或者不同時間使用。
安全策略可以是以下任何一個或者多個的一組值-協議，如隨機密鑰協議，以及將使用協議的什麼配置，比如DH(Diffie-Hellman)密鑰交換-加密算法，比如AES(高級加密標準)和RC4(已知加密算法)，以及這些算法的配置，比如128比特或者1024比特-特定算法用來輸出加密數據的周期的數量
-密鑰和密鑰長度-密鑰傳輸協議-密鑰有效的時間周期-無密鑰「零知識」方法-差異碼實施安全策略的實例是SP1128比特AES 10個循環SP21024比特RC4，具有隨機密鑰和DH密鑰交換2.5把值傳輸給裝置一旦選擇了策略，就必須在有關數據路徑上實施它。這可以由安全引擎100通過以下方式直接完成，即向通過適當配置它們自己來響應的有關通信裝置115、120、150發送策略標識符或實際值。作為選擇，也可以通過以下方式間接完成，即向通信裝置的配置裝置(未示出)發送標識符。間接方法可以在具有預先存在的用於通信裝置115、120、150的配置裝置的情況下選用。在任何一種情況下，特別是如果通信已經在通信裝置115、120、150之間進行時，必須同步對分離裝置的改變。
顯然，重要的是確保在向通信裝置115、120、150傳遞期間不截取策略。當安全引擎100由數據路徑得到本發明實施例保護的網絡145連接所述裝置時，策略可以置於適當地方，以保護策略數據向裝置或者其它位置的傳輸。然而，安全引擎100可以通過保護可以被使用的策略數據的其它裝置和已知安全方法連接通信裝置115、120、150。
3.安全引擎使用參見圖3，安全引擎100的操作流程如下所述步驟300網絡運行；步驟305激勵到達，例如由通信裝置115傳遞新用戶ID；步驟310安全引擎100選擇適合接收新用戶ID的規則，並組裝運行規則以選擇適當策略所需的數據，這是比如通信裝置115的當前網絡位置、請求的業務和關聯用戶ID的定購狀態的數據；
步驟315安全引擎100運行規則並選擇一個或多個策略；步驟320安全引擎100輸出由策略規定的配置適當通信裝置115、120、150的值，並返回步驟300以等候下一個激勵。
參見圖4至圖8，具有網絡位置差異的不同策略的效果是，有效的安全策略可以是甚至專指特定通信裝置級別的網絡寬度或位置，比如家居環境的機頂盒115。一組情況如下。
在下文中，應當注意可以有效保護網絡145中數據路徑的策略範圍可以依賴於由發行商選擇的安全產品。具有一組安全產品是可能的，其中更便宜產品覆蓋更小或更簡單的策略範圍。在下文中，安全產品被視為提供不同級別的安全性(「SL1」，「SL2」等等)。每個級別的安全性支持特定級別的複雜性。
參見圖4，諸如數位電視業務的業務從前端設備50分配給一組子網絡145A、145B和145C。前端設備由此構成發行通信裝置150，並且在住宅105上具有連接不同子網的接收通信裝置115、120(圖中僅僅涉及接收通信裝置115、120之每個的一個實例)。
安全引擎100經由不同網路400如網際網路連接前端設備150和住宅105。(這僅僅被顯示在圖4中，但是同樣適用於圖5至圖8所示的設備。)在業務開始時，子網絡145A、145B和145C上的用於接收通信裝置115、120之每個的有效安全策略是相同的。這在圖4中通過用於所有接收通信裝置115、120的所示圖形顯示。
參見圖5，這裡引入了僅僅用於授權觀看者的新業務。前端設備150向安全引擎100報告新業務，例如「S3a」，安全引擎100把報告作為激勵接收。報告可以簡單地包含網絡標識符和新業務標識符。安全引擎100需要選擇適合於新業務激勵的規則，並裝配運行該規則所需的數據，以及選擇和實施一個或多個適當策略。因此，這涉及數據存儲器200、140，例如查找表，以發現哪個規則運行和找出組裝什麼數據項。查找表列出了對照規則(例如R15)和數據項的新業務(例如「S3a」)。查找表中的條目可以代表，例如「S3aR15(網絡145A、145B和145C上的當前安全級別，發行商擁有的安全產品)」
因此安全引擎100將需要收集位於網絡145A、145B和145C上的策略的當前安全級別的數據，以及收集發行商為當前安全產品付費的數據。根據規則R15，新業務S3a也許需要安全級別「SL5」。獲得數據後，引擎100運行如下表示的R15「R15如果當前安全級別＝SL5或發行商擁有的當前安全產品覆蓋SL5則在每個子網上也運行策略SP1，SP2，SP3，SP4…」為了實施R15，安全引擎100必須配置前端設備150和每個子網145A、145B和145C上的通信裝置，根據每個子網絡的策略裝載適當值。
為了響應上述激勵，安全引擎100需要用於發行商的最新網絡和產品狀態數據。這可以由安全引擎保持或者根據管理員域110的要求獲得。
可能的情況是規則R15不運行。例如，發行商也許不購買包括SL5的產品。特別是在後一種情況中，安全引擎100可以把通知該情況的消息返回給前端設備150。
參見圖6和圖7，關於圖5所述的情況可以導致不同安全級別的實施。在圖6中，在每個子網的不同住宅上實施不同策略，並且在圖7中，把策略隨機分布在住宅上。
參見圖8，激勵可以出現在用戶通信裝置115、120上，並且結果可能是如圖8的子網A所示。例如，在住宅「D」上，除一個裝置運行策略SP16以外，所有通信裝置都運行策略SP3。這可以出現在用戶用不同安全級別接入新業務的時候。在該情況下，住宅「D」上的通信裝置或者前端設備150可以把作為激勵的報告傳送給安全引擎100。報告可以包括例如用於新業務(「S18」)的代碼加用戶ID(「U3981」)以及用於通信裝置的網絡地址(「NA369.09156」)。
此外，安全引擎100需要選擇適合於新業務激勵的規則，並裝配允許規則所需的數據，以及選擇和實施適當策略。因此查閱數據存儲器200、140，以發現運行哪個規則，並找出裝配什麼數據項。查找表中的新業務S18的條目可以代表例如「S18R36(子網中的當前安全級別，發行商擁有的當前安全產品，用於裝置網絡地址的當前策略，用戶ID的定購狀態)」一旦安全引擎100已經裝配所示數據，就可以運行R36。例如R36可以如下「R36如果[子網中的當前安全級別＝SL21或發行商擁有的當前安全產品覆蓋SL21]用於裝置網絡地址的當前策略≠SP16用於用戶ID的當前定購狀態覆蓋S18則對於裝置網絡地址，運行SP16」。
只要R36準則被滿足，就需要在前端設備150和有關通信裝置上配置用於策略SP16的值。
安全引擎100可以使策略利用多種方法來實施-向發行和接收通信裝置115、120、150發送一個消息，以指示應當使用哪個策略-向發行和接收通信裝置115、120、150發送關於策略的值-使用上述方法的組合。
在一個特殊實施中，安全引擎100用來確定正在發射數位電視信號的網絡中的安全策略。前端設備150與接收通信裝置115之間的數據傳輸處理被安置在前端設備150的數位電視加擾裝置和接收裝置115的數位電視接收機的解擾器中。前端設備150和接收通信裝置115連接網絡145A、145B和145C，其中，即使不同技術被用來實施每個方向的數據通信路徑，也可能進行雙向通信。
安全引擎100被裝載確定哪個安全策略隨時有效的規則。引擎100經由網絡數據傳遞路徑把安全策略加載到數據傳遞處理中。當判定點(例如，關於哪個安全策略應當在使用中的判定的時間點)達到，安全引擎100查閱它的上述規則，確定應當使用哪個策略。一旦作出判定，安全引擎100通過把策略數據從安全策略存儲器200加載到前端設備150和接收通信裝置115上的數據傳輸處理中，來實施策略。當安全引擎100知道已經加載了特殊策略時，該步驟被省略。一旦安全策略可在數據傳輸處理中有效使用，安全引擎100就通過向數據傳輸處理髮送消息來激活策略。
在合適和便利的時間點，前端設備150和接收通信裝置115切換使用新安全策略。
4.響應網絡激活如上所述，一旦激勵出現，安全引擎100就在數據路徑上安裝新策略時考慮若干判定準測的任何一個。潛在的一組準則被列在上述的標題「2.2判定準則」之下，並且包括與系統使用中的判定準則關聯的歷史和系統使用中的策略選擇的歷史。
參見圖2，安全引擎100設有數據存儲器200，尤其存儲歷史系統數據。這可以包括例如與系統使用中的判定準則關聯的數據，和/或策略選擇數據。
安全引擎100對與判定準則關聯的數據歷史響應的實例將是下述的規則「R98如果[子網中當前安全級別＝SL43或發行商擁有的當前安全產品覆蓋SL43]用於裝置網絡地址的當前策略≠SP18用於用戶ID的當前定購狀態覆蓋(有關業務)用於用戶ID的新網絡位置在五個工作日已經重複6次則對於裝置網絡地址，運行SP18」這樣的規則將具有以下效果如果用戶開始定期使用新位置中的裝置，則自動升級保護達到新位置的數據路徑的安全級別。
安全引擎100對與策略選擇關聯的數據的歷史響應的實例將是下述的規則「R83如果用於裝置地址的建議的新策略＝SP17已經為相同子網上的五個其它裝置網絡地址選擇所建議的新策略則對於裝置網絡地址，運行從SP35到SP40的組中動態選擇的策略。
這種規則可以在用於網絡地址的新策略已經被選擇，但是還未被實施之前運行。這將具有這樣的效果，如果相同策略已經位於達到相同子網的若干其它裝置的位置，則將使用來自不同策略組的策略。
5.通信裝置115，120，150參見圖9，通信裝置115、120、150通常是已知類型。然而，具有為了實施本發明實施例可以提供的新特徵。例如，為了使安全引擎100響應通信裝置上的活動，需要把該活動報告給安全引擎100。便利的情況是，發行裝置150(如數位電視系統的前端設備)適合把有關活動通知給安全引擎100。因此，發行裝置150可以包括一個監視器920，監視來自接收裝置115、120的用於有關數據的通信，如併入新用戶ID(標識符)或當前用戶ID的新網絡位置的請求。監視器920檢測的任何有關數據被複製到連接安全引擎100的輸出端910，或者使用累積或處理的數據。這允許通常也許不被安全引擎100視作為激勵的通信裝置上的網絡活動被如此處置。例如，不同網絡位置的用戶單獨請求也許不被視為激勵，而一個新網絡位置的用戶的多個請求也許被視為激勵。監視器920可以用來作出該區別。
為了在用於網絡145數據路徑的操作中實現安全策略的變化，可能的安排是發行裝置150接收來自安全引擎100的策略數據，並使用現有的配置機制適當配置接收裝置115、120。如果安全引擎100發送待實施的策略的代碼或待實施的策略，並且發行裝置150訪問策略數據存儲器900，把代碼翻譯成用於配置目的的實際值，則改善安全性。作為選擇，接受裝置115、120可以訪問策略數據存儲器900，使得除了潛在的安裝和更新以外，實際值不會在網絡125、145、400的任何部分發射。
在該說明書中，單詞「包括」打算作廣義解釋，以便包括例如至少是指以下短語的任一個「由……單獨組成」和「除了其它事情之外，還包括」。
顯然，本發明的實施例可以得到各種類型的平臺和配置的支持。本發明實施例出現平臺不是必需的。因此本發明實施例包括記錄在一個或多個數據或表現為信號的載體上的軟體，用於加載到合適平臺使用。
權利要求
1.一種安全系統，用於向或從連接網絡的通信裝置安全傳輸數據，該系統包括i)接收數據的輸入端；ii)安全管理設備，用於處理在輸入端接收的數據和選擇安全系統的一個或多個參數的值；以及iii)用來標識輸出給所述通信裝置的所選值的輸出端，其中，所述設備適合處理所述接收數據以選擇所述值，以及使用所述輸出端標識輸出給一個或多個所述通信裝置的所述值，以供隨後使用網絡向或從所述一個或多個通信裝置安全傳輸數據。
2.根據權利要求1所述的安全系統，其中所述設備適於使用一個或多個規則處理所述接收數據，以選擇所述值。
3.根據權利要求2所述的安全系統，系統還包括用於存儲所述一個或多個規則的規則數據存儲器。
4.根據上述權利要求任一項所述的安全系統，其中輸入端和輸出端的至少一個連接與網絡分離的通信路徑。
5.根據上述權利要求任一項所述的安全系統，其中輸入端連接在系統中使用中的至少一個個所述通信裝置，以接收待處理的數據，使設備適合於選擇至少一個值，該值至少部分地依賴於從所述通信裝置接收的數據。
6.根據上述權利要求任一項所述的安全系統，其中輸入端連接數據處理設備，用於處理與網絡使用關聯的數據，使得該設備適於選擇至少部分地依賴於網絡應用數據的至少一個值。
7.根據上述權利要求任一項所述的安全系統，其中可以選擇一個或多個值的所述一個或多個參數包括加密算法的一個或多個參數。
8.根據權利要求7所述的安全系統，其中所述一個或多個參數包括系統可用的從兩種或更多種不同種類的加密算法中選出的一種加密算法。
9.根據權利要求7所述的安全系統，其中加密算法包括主加密算法，所述一個或多個參數包括從來自主加密算法的兩個或更多不同加密算法中選出的加密算法。
10.根據上述權利要求任一項所述的安全系統，其中所述一個或多個參數包括從系統可用的兩個或更多不同種類的加密密鑰交換協議選出的加密密鑰交換協議。
11.根據上述任一項權利要求所述的安全系統，其中所述一個或更多參數包括加密密鑰交換協議的參數。
12.根據權利要求11所述的安全系統，其中，加密密鑰交換協議的所述參數包括在加密密鑰交換協議中使用的多個循環(round)。
13.根據上述權利要求任一項所述的安全系統，其中所述一個或多個參數包括從系統可用的兩種或更多不同種類的數據傳輸協議中選出的數據傳輸協議。
14.根據上述權利要求任一項所述的安全系統，其中所述一個或多個參數包括數據傳輸協議的參數。
15.根據上述權利要求任一項所述的安全系統，其中系統被安排成，通過發送包括所述值的信號，使用所述輸出端標識輸出給一個或多個所述通信裝置的所述值。
16.根據上述任一項權利要求所述的安全系統，其中系統被安排成，通過發送包括所述值標識符的信號，使用所述輸出端標識輸出給一個或多個所述通信裝置的所述值。
17.根據上述權利要求任一項所述的安全系統，其中系統被安排成，通過發送包括一組兩個或更多個值的標識符的信號，使用所述輸出端標識輸出給一個或多個所述通信裝置的所述值。
18.根據上述權利要求任一項所述的安全系統，其中所述規則的至少一個包括網絡位置數據，使得系統適於標識輸出給一個或多個通信裝置的值，這些值至少是部分網絡位置依賴的。
19.根據權利要求18所述的安全系統，其中網絡位置數據包括網絡中至少一個通信裝置的網絡位置。
20.根據權利要求18所述的安全系統，其中網絡位置數據標識網絡的子網絡。
21.根據上述權利要求任一項所述的安全系統，其中至少一個所述規則包括時間和/日期數據，使得系統適於標識一個或多個通信裝置的值，這些值至少是部分地依賴於時間和/或日期。
22.一種安全系統，用於向或從連接網絡的通信裝置安全傳輸數據，該系統包括i)安全管理設備，選擇用於安全系統的一個或多個參數的值；ii)輸出端，用於標識輸出給所述通信裝置的所選值，其中，所述設備適合使用一個或多個規則選擇所述值，以及使用所述輸出端標識輸出給一個或多個所述通信裝置的已選值，以供隨後使用網絡向或從所述一個或多個通信裝置安全傳輸數據，在系統使用中，所述一個或多個規則的至少一個包括網絡位置數據，因而設備適於選擇至少部分網絡位置依賴的值。
23.根據權利要求22所述的安全系統，其中，網絡位置數據包括網絡中至少一個通信裝置的網絡位置。
24.根據權利要求22所述的安全系統，其中網絡位置數據標識網絡的子網絡。
25.根據權利要求22至24任一項所述的安全系統，其中至少一個所述規則中的包括除了網絡位置數據之外的數據，因而設備適於選擇至少一個僅部分網絡位置依賴的值。
26.根據權利要求25所述的安全系統，其中，除網絡位置數據之外的所述數據包括時間和/或日期數據。
27.根據上述權利要求任一項所述的安全系統，還包括活動性監視器，用於監視在系統使用中出現的數據，並且選擇值的至少一個所述規則被安排成，操作以使所選值至少部分地依賴於所監視的數據。
28.根據權利要求27所述的安全系統，其中所監視的數據包括網絡位置數據。
29.根據權利要求27或28所述的安全系統，其中所監視的數據包括所選值。
30.根據權利要求27至29任一項所述的安全系統，其中所監視的數據包括用戶標識符數據。
31.一種通信裝置，供上述權利要求任一項所述的安全系統使用，該裝置可配置成執行用於安全系統的一個或多個參數的一個或多個所選值，所述裝置包括值數據存儲器，用於存儲所述一個或多個參數的值與用於該值的標識符之間的關係，使得裝置可配置接收一個或多個標識符。
32.一種通信裝置，供上述權利要求任一項所述的安全系統使用，該裝置包括活動性監視器，用於監視至少一個其它通信裝置的網絡活動性，並使得所監視的活動性適用於安全系統用來選擇值。
33.一種保護連接網絡的通信裝置之間的數據傳輸的方法，使用一個或多個安全參數保護所述數據傳輸，一個或多個安全參數具有可選值，該方法包括以下步驟i)接收激勵數據；ii)訪問在一個或多個判定準則的一組中標識的當前數據；iii)同時處理激勵數據和所述當前數據，以選擇所述安全參數至少一個的至少一個值；以及iv)向兩個或更多個通信裝置輸出信號，該信號包括至少一個所選值。
34.根據權利要求33所述的方法，還包括監視與網絡上數據的保護傳輸有關的活動性的步驟，以便提供所述當前數據。
35.根據權利要求33或34任一項所述的方法，還包括在處理激勵數據之前處理當前數據的步驟。
全文摘要
一種用於保護網絡中數據路徑的安全系統響應事件來改變使用中的安全特徵的參數。例如，可以改變正在使用的加密算法的類型，或改變加密算法的參數如密鑰長度或協商的多次循環，或者可以改變數據傳輸協議。安全系統可以響應的事件包括用戶動作，比如登錄到更貴的業務或者移動它們的網絡位置、或日期或時間，或網絡中應用的模式。系統使用規則處理輸入數據，以確定響應。可以通過向連接網絡的通信裝置如數位電視系統中的前端設備和電視接收機，輸出配置數據來改變參數。在系統的最佳形式中，使用中的安全特徵的參數可以依賴於網絡位置，從而把差異引入系統，使得安全更難於穿透。
文檔編號H04L29/06GK1879384SQ200480033039
公開日2006年12月13日 申請日期2004年9月13日 優先權日2003年9月11日
發明者保羅·詹森·羅傑斯 申請人:保羅·詹森·羅傑斯