具有多重安全级别的无线通信系统技术方案

一种安全无线通信系统，其具有根据安全协议的充当服务寻找者(210)的通信设备和充当服务提供者(220)的另外的通信设备，所述安全协议根据安全机制定义链路层安全性。服务提供者启用第一服务，所述第一服务需要根据第一安全机制的链路层安全性。设备建立第一安全链路连接5(241)以参与第一服务。服务提供者确定另外的服务需要根据不同于第一安全机制的第二安全机制的链路层安全性。现在设备在第一安全链路连接保持活动的同时根据第二安全机制在链路层上建立第二安全链路连接(242)，以经由第二安全链路连接参与另外的服务，10同时阻止服务寻找者访问另外的服务，直到第二安全链路连接已经被建立。

【技术实现步骤摘要】
【国外来华专利技术】具有多重安全级别的无线通信系统
本专利技术涉及一种用于安全无线通信系统中的通信设备，所述安全无线通信系统包括所述通信设备和另外的通信设备。所述通信设备包括安全处理器和无线收发器，所述无线收发器被布置为根据安全协议建立在通信设备和另外的通信设备之间的安全交互，所述安全协议根据安全机制来定义链路层安全性。本专利技术还涉及用于安全无线通信系统中的服务寻找者方法和服务提供者方法，以及用于所述设备中的计算机程序产品。本专利技术总体上涉及经由无线连接安全地提供服务的领域，一个通信设备被布置为充当服务寻找者，而另一通信设备被布置为充当服务提供者。服务提供者可以经由无线广告消息来广告这些服务，并且可以被称为服务广告者。
技术介绍
若干新的无线技术(如Wi-Fi扩展Wi-FiDirect服务(参见参考文献[1])、应用服务平台(ASP)、Wi-FiAware和IEEE802.11aq或其他无线通信系统，诸如蓝牙或Zigbee)为设备提供了广告和寻找通过Wi-Fi可访问的服务的机制。在该文档中，词语提供服务用于设备提供要由另一设备使用的功能、服务或应用或使其可用的一般概念。此外，被称为服务提供者的服务提供设备可以使用信标和管理帧来在服务广告消息中广告服务，其包括关于可用服务的信息。被称为服务寻找者的寻找这种服务的设备可以接收服务广告消息，并执行服务发现以获得关于服务的额外信息，例如服务名称、广告ID、服务特定的信息。设备广告服务可以提供关于设备支持哪种Wi-Fi保护设置(WPS)配置方法的信息，例如在基本Wi-FiP2P中。这也可以每服务完成。如果服务寻找者找到了要连接的有兴趣服务，则服务寻找者可以使用发现的信息来建立与相应服务提供者的连接并开始使用发现的服务。为了在服务寻找者和服务提供者之间建立连接，服务寻找者必须执行与服务提供者的认证步骤，例如使用诸如按钮、输入PIN码、NFC的Wi-Fi保护设置配置方法之一，或使用利用固定PIN的WFDS缺省配置方法，或使用例如802.1xRADIUS认证。认证步骤能够得到用于链路保护中的共享密钥(链路加密和完整性保护)以及安全协议和密码操作集的选择。安全协议的范例是WPA2-个人、WPA-企业、WEP。有线等效保密(WEP)是用于IEEE802.11无线网络的安全算法。作为1997年批准的原始802.11标准的部分被引入，其目的是提供与传统有线网络的相当的数据机密性。WPA-个人也被称为WPA-PSK(预共享密钥)模式，该模式设计用于家庭和小型办公网络，而不需要认证服务器。每个无线网络设备使用256位密钥加密网络流量。该密钥可以作为64个十六进制数字的字符串输入，也可以作为8到63个可打印ASCII字符的密码输入。如果使用ASCII字符，则通过将密钥导出函数应用于密码来计算256位密钥。WPA-个人模式可用于WPA和WPA2。WPA-企业也被称为WPA-802.1X模式，并且有时仅WPA(而不是WPA-PSK)，这是为企业网络设计的，并且需要RADIUS认证服务器。这需要更复杂的设置，但提供了额外的安全性(例如，防止短密码字典攻击)。各种各样的可扩展认证协议(EAP)用于认证。WPA-企业模式可用于WPA和WPA2两者。WPA(有时称为IEEE802.11i标准草案)于2003年变得可用。Wi-Fi联盟希望将其作为一项中间措施，以预期更加安全和复杂的WPA2的可用性。WPA2于2004年变得可用，并且是完整IEEE802.11i(或IEEE802.11i-2004)标准的通用简写。IEEE802.11i-2004已被并入IEEE802.11(2012)(参见参考文献[2])中。密码操作的范例是AES、DES、3DES、RC4、RSA、ECC(用于加密)、HMAC_SHA256(用于完整性保护的键控散列函数)以及MD5、SHA1、SHA2(散列函数)。AES基于JoanDaemen和VincentRijmen开发的Rijndael密文，他们在AES选择过程期间向NIST提交了提案。Rijndael是一系列具有不同密钥和块大小的密文，如“Daemen,Joan；Rijmen,Vincent：AESProposal(2003年3月9日)”所描述的，其可从以下链接可用：http://csrc.nist.gov/archive/aes/rijndael/Rijndael-ammended.pdf。DES于1976年11月被批准为美国联邦标准，并于1977年1月15日作为FIPSPUB46发布，被授权用于所有未分类的数据。其随后重申于1983年、1988年(修订为FIPS-46-1)、1993年(FIPS-46-2，http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf)以及再次在1999年(FIPS-46-3，http://csrc.nist.gov/publications/fips/fips46-3/fips46-3.pdf)，后者规定了“三重DES”，也称为3DES。加密/解密、非对称密钥RSA是第一实践的公钥密码系统之一，并且广泛用于安全数据传输。在这样的密码系统中，加密密钥是公开的，并且与保密的解密密钥不同。在RSA中，这种非对称性基于因子分解两个大素数的乘积的实际困难，即因子分解问题。RSA由RonRivest，AdiShamir和LeonardAdleman的姓氏的首字母组成。Rivest，R.；Shamir，A.；Adleman，L.(1978年2月)。“AMethodforObtainingDigitalSignaturesandPublic-KeyCryptosystems”((PDF).CommunicationsoftheACM21(2)：120-126)。RC4代表“RivestCipher4”，并且由RSASecurity的RonRivest在1987年设计。RRC4最初是商业秘密。描述可以从以下链接发现：https://en.wikipedia.org/wiki/RC4上找到。椭圆曲线密码学(ECC)是基于有限域上椭圆曲线的代数结构的公钥密码学方法。与非ECC密码学(基于普通的伽罗瓦域)相比，ECC需要更小的密钥来提供等效的安全性。椭圆曲线可应用于加密、数字签名、伪随机生成器和其他任务。参见例如NIST，用于政府用途的推荐椭圆曲线。用于完整性保护的键控散列函数包括HMAC-SHA256。HMAC-SHA256是使用SHA256作为加密散列函数的键控散列消息认证码(HMAC)。HMAC是用于计组合秘密密钥的算涉及加密散列函数的消息认证码(MAUC)的具体结构。与任何MAUC一样，其可以用于同时验证数据完整性和消息认证两者。HMAC可以与任何以下密码散列函数一起使用。密码散列函数的一个关键方面是其防碰撞性：应该没有人能够找到导致相同散列输出的两个不同的输入值。通过将计算出的“散列”(来自算法的执行的输出)与已知的和预期的散列值进行比较，人们可以确定数据的完整性。范例如下。MD5消息摘要算法是产生128位散列值的加密散列函数。MD5已被广泛用于各种密码应用中，并且还常用于验证数据完整性。MD5本文档来自技高网...

【技术保护点】
1.一种用于与另外的通信设备进行安全无线通信的通信设备，所述通信设备(110、120)包括安全处理器(112、122)和无线收发器(111、121)，所述安全处理器和所述无线收发器被布置为根据安全协议在所述通信设备与所述另外的通信设备之间建立安全交互，所述安全协议根据安全机制来定义链路层安全性，所述通信设备(110、210)被布置为充当服务寻找者，同时所述另外的通信设备充当服务提供者，或者所述通信设备(120、220)被布置为充当服务提供者，同时所述另外的通信设备充当服务寻找者，充当服务提供者的所述通信设备的所述安全处理器(112)被布置为：‑至少启用第一服务，所述第一服务需要根据第一安全机制的链路层安全性，‑根据所述第一安全机制在链路层上建立与所述服务寻找者的第一安全链路连接(241)，‑经由所述第一安全链路连接参与所述第一服务；充当服务寻找者的所述通信设备的所述安全处理器(122)被布置为：‑检测如由所述服务提供者提供的第一服务，‑根据所述第一安全机制在链路层上建立与所述服务提供者的所述第一安全链路连接，‑经由所述第一安全链路连接参与所述第一服务；充当服务提供者的所述通信设备的所述安全处理器还被布置为：‑启用另外的服务，‑确定所述另外的服务需要根据不同于所述第一安全机制的第二安全机制的链路层安全性，‑在所述第一安全链路连接保持活动的同时，根据所述第二安全机制在所述链路层上建立与所述服务寻找者的第二安全链路连接(242)，‑经由所述第二安全链路连接参与所述另外的服务，并且‑阻止所述服务寻找者访问所述另外的服务，直到所述第二安全链路连接已经被建立；充当服务寻找者的所述通信设备的所述安全处理器还被布置为：‑检测所述另外的服务需要根据不同于所述第一安全机制的第二安全机制的链路层安全性，‑在所述第一安全链路连接保持活动的同时，根据所述第二安全机制在所述链路层上建立与所述服务提供者的所述第二安全链路连接，‑经由所述第二安全链路连接参与所述另外的服务。...

【技术特征摘要】
【国外来华专利技术】2015.12.31 EP 15203273.61.一种用于与另外的通信设备进行安全无线通信的通信设备，所述通信设备(110、120)包括安全处理器(112、122)和无线收发器(111、121)，所述安全处理器和所述无线收发器被布置为根据安全协议在所述通信设备与所述另外的通信设备之间建立安全交互，所述安全协议根据安全机制来定义链路层安全性，所述通信设备(110、210)被布置为充当服务寻找者，同时所述另外的通信设备充当服务提供者，或者所述通信设备(120、220)被布置为充当服务提供者，同时所述另外的通信设备充当服务寻找者，充当服务提供者的所述通信设备的所述安全处理器(112)被布置为：-至少启用第一服务，所述第一服务需要根据第一安全机制的链路层安全性，-根据所述第一安全机制在链路层上建立与所述服务寻找者的第一安全链路连接(241)，-经由所述第一安全链路连接参与所述第一服务；充当服务寻找者的所述通信设备的所述安全处理器(122)被布置为：-检测如由所述服务提供者提供的第一服务，-根据所述第一安全机制在链路层上建立与所述服务提供者的所述第一安全链路连接，-经由所述第一安全链路连接参与所述第一服务；充当服务提供者的所述通信设备的所述安全处理器还被布置为：-启用另外的服务，-确定所述另外的服务需要根据不同于所述第一安全机制的第二安全机制的链路层安全性，-在所述第一安全链路连接保持活动的同时，根据所述第二安全机制在所述链路层上建立与所述服务寻找者的第二安全链路连接(242)，-经由所述第二安全链路连接参与所述另外的服务，并且-阻止所述服务寻找者访问所述另外的服务，直到所述第二安全链路连接已经被建立；充当服务寻找者的所述通信设备的所述安全处理器还被布置为：-检测所述另外的服务需要根据不同于所述第一安全机制的第二安全机制的链路层安全性，-在所述第一安全链路连接保持活动的同时，根据所述第二安全机制在所述链路层上建立与所述服务提供者的所述第二安全链路连接，-经由所述第二安全链路连接参与所述另外的服务。2.根据权利要求1所述的设备，其中，-所述第一安全机制包括第一认证协议，并且所述第二安全机制包括不同于所述第一认证协议的第二认证协议；或者-所述第一安全机制包括第一组密码操作，并且所述第二安全机制包括不同于所述第一组密码操作的第二组密码操作。3.根据权利要求1或2所述的设备，其中，所述链路层上的所述安全链路连接是使用第一寻找者MAC地址和第一提供者MAC地址的经认证且安全的MAC传输层连接，并且所述安全处理器被布置为使用第二寻找者MAC地址和第二提供者MAC地址来建立所述第二安全链路连接，所述第二寻找者MAC地址不同于所述第一寻找者MAC地址，并且所述第二提供者MAC地址不同于所述第一提供者MAC地址。4.根据前述权利要求中的任一项所述的设备，其中，所述安全处理器(112、122)包括安全管理单元，所述安全管理单元被布置为在所述链路层上方的通信管理层处进行操作，并且通过以下操作来确定所述另外的服务需要根据不同于所述第一安全机制的所述第二安全机制的链路层安全性：-确定不同的安全机制的层级或分类，-从所述通信管理层下方的所述链路层获取识别所述第一安全链路连接的所述安全机制的第一安全数据，-基于所述第一安全数据来确立所述另外的服务是否需要不同的安全机制。5.根据前述权利要求中的任一项所述的设备，其中，所述安全处理器(112、122)包括链路控制单元，所述链路控制单元被布置为在通信管理层下方的所述链路层处进行操作，并且确定识别所述第一安全链路连接的所述安全机制的第一安全数据，并且在对所述通信管理层的请求的情况下提供第一安全数据，以使能确立所述另外的服务是否需要不同的安全机制。6.根据前述权利要求中的任一项所述的设备，其中，为了确定所述另外的服务需要根据不同于所述第一安全机制的第二安全机制的链路层安全性，所述安全处理器(112、122)被布置为与所述另外的通信设备交换连接能力请求消息，所述连接能力交换消息指示至少一个支持的安全机制。7.根据前述权利要求中的任一项所述的设备，其中，为了确定所述另外的服务需要根据不同于所述第一安全机制的第二安全机制的链路层安全性，充当服务提供者的所述通信设备的所述安全处理器(112)被布置为：-检测来自所述服务寻找者的指示另外的服务的会话请求消息，所述另外的服务需要根据不同于所述第一安全机制的第二安全机制的链路层安全性，并且随后，-向所述服务寻找者发送会话拒绝消息，所述会话拒绝消息包括指示所述另外的服务需要不同的链路层安全性的错误代码；或...

【专利技术属性】
技术研发人员：W·迪斯，F·A·M·范德拉尔，J·A·C·伯恩森，
申请(专利权)人：皇家飞利浦有限公司，
类型：发明
国别省市：荷兰,NL