集成可信度量的通信方法和装置制造方法及图纸

本申请提供了一种集成可信度量的通信方法，包括：第一网元发送第一数据包，所述第一数据包包括第一请求信息，所述第一请求信息用于请求验证第二网元是否可信；所述第一网元接收第二数据包，所述第二数据包包括第一响应信息，所述第一响应信息用于验证第二网元是否可信。本申请提供的技术方案，能够在第一网元与第二网元之间建立通信通道时进行可信度量，有利于提高通信主体及通信过程的安全性。利于提高通信主体及通信过程的安全性。利于提高通信主体及通信过程的安全性。

【技术实现步骤摘要】
集成可信度量的通信方法和装置


[0001]本申请涉及通信领域，更具体地，涉及一种集成可信度量的通信方法和装置。

技术介绍

[0002]英特网协议安全(internet protocol security，IPsec)协议为网络层安全协议，可以对两个或多个通信主体之间的通信进行规范或描述，为通信过程提供安全性和数据完整性保障。但是，该协议只考虑了通信主体之间通信过程的安全性，无法判断通信主体是否处于可信的执行状态，若通信主体中任一方处于不可信的状态，则通信过程的安全性将会受到威胁。因此，在建立通信通道的同时，有必要对通信主体进行可信度量，以提升通信过程及通信主体的安全性。

技术实现思路

[0003]本申请提供一种集成可信度量的通信方法和装置，用于通信主体之间在建立通信通道的同时进行可信度量，可以提高通信设备与通信过程的安全性。
[0004]第一方面，提供了一种集成可信度量的通信方法，所述方法可以由第一网元执行，或者，也可以由用于第一网元的芯片或电路执行，本申请对此不作限定。为便于描述，以执行主体为第一网元为例。
[0005]所述方法包括：第一网元发送第一数据包，所述第一数据包包括第一请求信息，所述第一请求信息用于请求验证第二网元是否可信；所述第一网元接收第二数据包，所述第二数据包包括第一响应信息，所述第一响应信息用于验证所述第二网元是否可信。
[0006]在本申请提供的实施例中，在第一网元与第二网元之间的通信过程中部署远程证明，即由第一网元向第二网元发起验证请求，触发第二网元进行可信度量并作出响应，第一网元根据第二网元的响应信息对第二网元的可信状态进行验证，能够在第一网元与第二网元建立通信的过程中进行可信度量，有利于提高第一网元与第二网元之间通信过程的安全性，并提高第一网元与第二网元的安全性。
[0007]结合第一方面，在第一方面的某些实现方式中，所述第一请求信息包括第一字段，所述第一字段为第一标志位，所述第一标志位用于触发生成所述第一响应信息。
[0008]本申请提供的实施例中，在第一数据包中可以只包括第一标志位，不包括第一挑战值，在第二网元接收到包括第一标志位的第一数据包时，生成第一响应信息。第一网元无需生成或复用挑战值用于所述第二网元生成第一响应信息，能够节约资源开销。
[0009]结合第一方面，在第一方面的某些实现方式中，所述第一标志位用于标识所述第一请求信息包括第一挑战值，所述第一挑战值用于生成第一响应信息。
[0010]本申请提供的实施例中，在第一数据包中可以既包括第一标志位，又包括第一挑战值，第一标志位可以用于标识第一数据包中包括第一挑战值，由第一挑战值触发第二网元生成第一响应信息。能够在数据包中包括可信度量相关信息，在建立通信的过程中对第二网元进行可信验证，提高第一网元与第二网元之间通信过程的安全性，并进一步提高第
一网元与第二网元的安全性。
[0011]结合第一方面，在第一方面的某些实现方式中，所述第一请求信息包括第二字段，所述第二字段包括所述第一挑战值，所述第一挑战值用于所述第二网元生成第一响应信息。
[0012]本申请提供的实施例中，在第一请求信息中可以包括第一挑战值，能够在第一网元与第二网元没有预先约定和存储挑战值的情况下，用于所述第二网元生成第一响应信息，用于第一网元对第二网元进行可信验证，提高第一网元与第二网元之间通信过程的安全性，并进一步提高第一网元与第二网元的安全性。
[0013]结合第一方面，在第一方面的某些实现方式中，所述第一挑战值为第一随机数、第二随机数、时间戳和约定字段的数值中的任意一种。所述第一随机数为可信第三方提供的随机数；所述第二随机数为所述第一网元为验证第二网元是否可信而生成的随机数；所述时间戳为第一网元和第二网元均信任的可信时钟，如通过背书者背书的时钟产生的时钟信息；所述约定字段的数值为IPsec协议等协议中任意第X至第Y位比特数据。
[0014]本申请提供的实施例中，第一网元可以复用第一随机数、时间戳或约定字段的数值作为挑战值，无需为了对第二网元进行可信度量而生成随机数作为挑战值，能够节约资源开销，且无需增加新的字段存放挑战值，能够简化第一数据包的结构，便于第二网元解析第一数据包，从而提高其作出响应的效率。
[0015]结合第一方面，在第一方面的某些实现方式中，所述约定字段的数值为所述第一数据包的序列号。
[0016]本申请提供的实施例中，第一网元可以复用第一数据包的序列号作为第一挑战值，所述约定字段即为序列号字段，能够节约资源开销，且无需增加新的字段存放挑战值，能够简化第一数据包的结构，便于第二网元解析第一数据包，从而提高其作出响应的效率。
[0017]第一网元可以根据实际需求选择不同类型的挑战值，用于第二网元生成第一响应信息，能够提高第一网元发起可信验证的灵活性。
[0018]结合第一方面，在第一方面的某些实现方式中，所述第一请求信息包括第三字段，所述第三字段包括所述第一挑战值的长度。
[0019]本申请提供的实施例中，在数据包中，所述第一挑战值可以只占用所述第二字段中的部分字段，利用第三字段存储挑战值的长度信息，能够便于所述第二网元读取所述第二字段中挑战值所占据的具体字段，节约读取时间和资源开销。
[0020]结合第一方面，在第一方面的某些实现方式中，所述第一响应信息包括第四字段，所述第四字段为第二标志位，所述第二标志位用于标识所述第二数据包包括证明信息或证明结果，所述证明信息由所述第一网元根据所述第一挑战值生成的，所述证明结果包括所述第二网元被证明可信的结果。
[0021]本申请提供的实施例中，在数据包中包括第二标志位，能够便于第一网元获知所述第二数据包包括用于验证第二网元是否可信的有效信息，从而读取所述第一响应信息并根据所述第一响应信息验证第二网元的可信状态，防止出现丢包等问题。
[0022]结合第一方面，在第一方面的某些实现方式中，所述第一响应信息包括第五字段，所述第五字段包括所述证明信息或所述证明结果。
[0023]本申请提供的实施例中，在第二数据包中可以包括证明信息，能够在第一网元与
第二网元建立通信的过程中对第二网元的证明信息进行验证，从而验证第二网元是否可信，提高第一网元与第二网元之间通信过程的安全性，并提高第一网元与第二网元的安全性；或者，在第二数据包中也可以包括证明结果，所述证明结果可以为其他验证者验证第二网元可信的结果，并发送给第二网元，用于第二网元展示给后续验证者如第一网元，第一网元无需对证明信息进行验证，只需查验证明结果，确认第二网元的可信状态，能够节约资源开销。
[0024]结合第一方面，在第一方面的某些实现方式中，所述证明结果包括身份信息、可信内容和新鲜度中的一种或多种，所述身份信息用于指示验证所述第二网元可信的验证者的身份，所述可信内容用于指示所述第二网元被验证可信的内容，所述新鲜度用于指示所述第二网元被验证可信的时间。
[0025]在本申请提供的实施例中，所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种集成可信度量的通信方法，其特征在于，包括：第一网元发送第一数据包，所述第一数据包包括第一请求信息，所述第一请求信息用于请求验证第二网元是否可信；所述第一网元接收第二数据包，所述第二数据包包括第一响应信息，所述第一响应信息用于第一网元验证所述第二网元是否可信。2.一种集成可信度量的通信方法，其特征在于，包括：第二网元接收第一数据包，所述第一数据包包括第一请求信息，所述第一请求信息用于请求验证第二网元是否可信；所述第二网元发送第二数据包，所述第二数据包包括第一响应信息，所述第一响应信息用于第一网元验证所述第二网元是否可信。3.根据权利要求1或2所述的方法，其特征在于，所述第一请求信息包括第一字段，所述第一字段为第一标志位，所述第一标志位用于触发生成所述第一响应信息。4.根据权利要求3所述的方法，其特征在于，所述第一标志位用于标识所述第一请求信息包括第一挑战值，所述第一挑战值用于生成所述第一响应信息。5.根据权利要求4所述的方法，其特征在于，所述第一请求信息包括第二字段，所述第二字段包括所述第一挑战值。6.根据权利要求4或5所述的方法，其特征在于，所述第一挑战值为第一随机数、第二随机数、时间戳和约定字段的数值中的任意一种，所述第一随机数为可信第三方提供的随机数，所述第二随机数为所述第一网元为验证所述第二网元是否可信而生成的随机数。7.根据权利要求6所述的方法，其特征在于，所述约定字段的数值为所述第一数据包的序列号。8.根据权利要求4至7中任一项所述的方法，其特征在于，所述第一请求信息包括第三字段，所述第三字段用于指示所述第一挑战值的长度。9.根据权利要求4至8中任一项所述的方法，其特征在于，所述第一响应信息包括第四字段，所述第四字段为第二标志位，所述第二标志位用于标识所述第二数据包包括证明信息或证明结果，所述证明信息根据所述第一挑战值生成，所述证明结果包括所述第二网元被证明可信的结果。10.根据权利要求9所述的方法，其特征在于，所述证明结果包括身份信息、可信内容和新鲜度中的一种或多种，所述身份信息用于指示验证所述第二网元可信的验证者的身份，所述可信内容用于指示所述第二网元被验证可信的内容，所述新鲜度用于指示所述第二网元被验证可信的时间。11.根据权利要求9或10所述的方法，其特征在于，所述第一响应信息包括第五字段，所述第五字段包括所述证明信息或所述证明结果。12.根据权利要求10或11所述的方法，其特征在于，所述第五字段包括第二挑战值，所述第二挑战值用于生成第二响应信息，所述第二响应信息用于验证所述第一网元是否可信。13.根据权利要求9至12中任一项所述的方法，其特征在于，所述第二标志位还用于触发生成所述第二响应信息。14.根据权利要求12或13所述的方法，其特征在于，所述第二标志位还用于标识所述第
一响应信息包括所述第二挑战值。15.根据权利要求9至14中任一项所述的方法，其特征在于，所述第一响应信息包括第六字段，所述第六字段用于指示所述证明信息或所述证明结果的长度。16.一种通信装置，其特征在于，包括：发送单元，用于发送第一数据包，所述第一数据包包括第一请求信息，所述第一请求信息用于请求验证第二网元是否可信；接收单元，用于接收第二数据包，所述第二数据包包括第一响应信息，所述第一响应信息用于第一网元验证所述第二网元是否可信。17.一种通信装置，其特征在于，包括：接收单元，用于接收第一数据...

【专利技术属性】
技术研发人员：王东晖，刘斐，陈利群，洛格纳森，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：