[发明专利]受控的安全域

说明书

技术领域

本公开涉及用于在不可信环境内控制安全域的系统和方法。

背景技术

为了本描述的目的，“不可信环境”将被理解成意味着攻击者有可能修改消息、删除消息乃至添加或重放消息的任何通信或连网环境。公共因特网是不可信环境的常见示例，因为不可能禁止攻击者修改、删除、添加或重放消息。有线和卫星电视分配网络也可能在如下意义上不可信：一旦机顶盒接收器/解码器单元被分配给最终用户，他们就可能“被侵入(hacked)”以允许未授权地访问节目编排内容。

为了允许在不可信环境中进行安全通信，通常应用密码算法和机制来检测消息由于一个或多个前面的原因而无效。这种密码技术要求参与者都拥有适当的密码密钥。常见的是，服务提供商或运营商实现安全域，其中一组密码密钥被分配给经授权方。这些密钥然后可用于促进那些方之间的安全通信。例如，在有线和卫星电视分配网络中，惯例是，运营商使用私用密码密钥加密他们的节目编排内容。互补公共密钥被分发给经授权订户作为安全令牌，该安全令牌使用户能够解密和观看节目编排内容。通常也将私用/公共密钥用于在公共因特网中实现安全域(例如以虚拟私用网(VPN)的形式)。

众所周知，在上述类型的密码安全系统中，有必要以及时方式更新密钥(并且还频繁更新算法)以确保系统安全保持不受黑客团体所取得进展的影响。一般而言，安全系统的运营商可选择改变密钥，并且可能甚至以规则间隔增大它们的大小。在一些安全系统中，可能甚至期望改变算法。这例如对于是黑客首要目标的卫星TV有条件访问系统而言是常见问题。

运营商的问题是，规则地改变密码分量的开销和风险可能是不可接受的，并且可劝服他们允许密钥改变之间的时段比期望的更长。这种密钥管理系统的复杂性是众所周知的。

在一些系统(诸如VPN和卫星电视分配网络)中，更新密钥的任务简化，某种程度上是由于如下事实：用户在某一时间必须连接到安全(可信)资源。例如，在VPN中，远程用户必须登录到安全服务器上以便访问VPN的服务。在有线和卫星电视分配网络中，用户的机顶盒接收器/解码器单元必须连接到安全内容服务器以便接收节目编排内容。在任一情况下，到安全资源的连接都提供了可用来确定存储在用户的远程装置上的安全令牌的年龄(age)并根据需要更新所分配令牌的手段。

然而，在一些系统中，用户可能仅不频繁地登录到安全资源中，或从未登录到安全资源中。这种类型的情形可发生在一些电子商务系统中，例如在其中用户可与其它用户交互作用但只很少(如果曾经的话)登录到系统的中央服务器中的电子商务系统中。在这种情况下，与存储在用户的装置中的密钥相关联的日期和时间信息可能不可信，并且因此不能用于确定那些密钥的年龄以及更新它们的需要。而且，缺乏对用户的密钥进行更新的可靠机制。

发明内容

本公开阐明以提供一种实际方式，安全系统的运营商可以通过该实际方式以如下这种方式改变安全令牌的密码参数：可纯粹通过发布新令牌进入循环使较老令牌无效，并且无需参考与当前使用的任何令牌相关联的日期和时间信息。系统运营商可任意选择何时改变这些参数，例如根据当前的威胁和感到的脆弱。

从而，本发明的一方面提供一种安全域控制方法，该方法包含：定义安全域的顺序系列；将其中一个所述安全域指定为当前域；在当前安全域下生成多个安全令牌，每个安全令牌配置成使一方能够与正在持有以下项中任一项的另一方交换密码保护的消息：在当前安全域下生成的令牌、在系列中至少一个接下来的安全域下生成的令牌和在系列中至少一个前面的安全域下生成的令牌；以及随后将系列中的安全域中接下来的安全域指定为当前域。

附图说明

本发明的另外特征和优点根据结合附图获取的如下详细描述将变得显而易见，附图中：

图1是示出实现根据本发明相应实施例的方法的安全系统的框图；

图2是例证图1系统中的可能消息交换事务的框图；

图3是例证图1系统中的消息交换事务的消息流程图；以及

图4是例证根据本发明第二实施例的系统中的可能消息交换事务的框图。

将注意到，在全部附图中，相似的特征由相似的附图标记标识。

具体实施方式

为了本公开的目的，设想在不可信环境中不能实施与安全令牌相关联的到期日期，因为没有与安全令牌相关联的可信任实时时钟。信任不受控终端(例如订户的通信装置)的日期和时间参考是不可接受的，因为黑客轻易能够修改这种日期和时间参考。