安全使用的方法和设备的制作方法

专利名称：安全使用的方法和设备的制作方法
技术领域：
本发明涉及一种供安全使用的方法和设备。本发明发现了连网装置之间或系统之间的安全通信的特殊应用。
背景技术：
网络通信的装置通常使用密码算法和特殊协议提供这些装置之间安全的和完整的数据传递。一个典型实例是，用户使用web浏览器与银行服务器通信，以操作银行往来帐户。在此情况下，通常使用安全套接字层(SSL)协议建立浏览器装置与银行服务器之间的安全数据通信路径。
在SSL协议中，在建立从服务器向浏览器传递数据的连接的时候，服务器向浏览器发送它的公用加密密钥。浏览器(或者它代表的客户)使用它正好接收的公用加密密钥生成主密钥，并把它发送给服务器。后续通信开始使用从主密钥导出的密钥。
安全连网通信中的主要问题是第三方可以试图确定什么安全系统在适当位置，并尝试发现经由安全路径通信的数据。本技术中存在在诸如互联网的网络上进行这种攻击的许多实例。
对付攻击的一般方法是，使用算法和/或协议保护日益更加复杂和难于攻击的数据路径。一些实例是1024比特加密算法和公用密钥协议。尽管这种安全系统经常被预配置，但是另一种方法是在连接时的各方之间，一对一协商参数，比如待使用的加密算法或密钥。
依赖用于信息传递的安全系统的技术的一个实例是数字TV市场，特别是诸如付费节目的系统。限制业务接入授权用户的已知方法仅仅是通过公用密钥加密把业务加密密钥分配给授权用户。接着，使用业务加密密钥发送用于授权用户解扰器的控制字，以便解扰广播业务。作为选择，可以使用“零知识”算法，而不使用控制字。
在这种系统中，业务密钥必需再次一对一分配，尽管业务密钥随后在有关业务的广播系统上是相同的。

发明内容
根据本发明的第一个方面，这里提供一种供数据向或从连接网络的通信装置安全传输使用的安全系统，该系统包括i)接收数据的输入端；ii)安全管理设备，用于处理在输入端接收的数据和选择安全系统的一个或多个参数的值；以及iii)用来标识输出给所述通信装置的所选值的输出端，其中，所述设备适合处理所述接收数据以选择所述值，以及使用所述输出端标识输出给一个或多个所述通信装置的所述值，以供随后使用网络向或从所述一个或多个通信装置安全传输数据。
选择该值的这种安全系统的性能可以被设计成是随机的和/或响应的。它的性能依赖于例如在系统使用中，设备适于处理数据的方式和被处理的数据的性质。本发明的实施例可以用来实现安全系统的一个或多个参数中的随机和/或动态变化，并给予数据接收定时或实时响应。这些特征可以使后续数据安全传输的未授权破坏更加困难。
因而，本发明的实施例提供了保护连网系统之间通信的安全机制的动态实施的处理。重要的是，本发明的实施例可以在系统已经运行的同时，响应“空中”接收的数据。因而，标识达到一个或多个所述通信装置的一个或多个值的效果可以是，改变已经使用的参数，而不是仅仅安装供后续数据安全传输之用的参数。
设备适于处理选择值的数据的方式通常用一个或多个规则表示，但是这种规则可以被实施。例如，规则可以是在设备中硬编码，实时或者通过人工操作员来决定，或者被存储在数据库中。系统还可以便利地包括一个规则数据存储器，用于存储设备在处理接收数据以选择所述值时使用的一个或多个规则。需要时，可以改变或更新这种规则。
在输入端接收用于处理的数据也许来自一个或多个不同的源。例如，它可以通过以下途径产生人的干预，时钟或日历，事件如用户位置相对于网络改变或用户使用的装置改变，或者监视用户行为的历史或安全系统的以前行为的另外的数据处理系统，或者它们的任意组合。安全管理系统还可以使用除了在输入端接收的选择值的数据之外的数据，比如对它单独可用的数据。
可以选择一个或多个值的安全系统的参数包括例如加密和计算算法，数据传输协议和这些算法和协议的配置。
可以通过发送信号，包括值本身、加密的或其它性质的，来标识一个或多个通信装置的值，或者通过发送值的标识符，或者实际上发送值数据包的标识符，来标识该值，其中通信装置适于例如通过参考查找表解释该标识符。
安全管理设备连接到通信装置连接的网络不是必需的。输入端和输出端可以连接一个或多个其它通信系统。输出端可以用于标识输出给通信装置的已选值，以便使用已选值配置在网络上随后数据传输的装置才是必需的。例如，在随后数据安全传输出现在有线电视网的同时，输出端和通信装置可以连接互联网。
可以标识值的参数包括·协议，如密钥传输协议·加密算法·密钥和密钥长度·块密码中的块长度·无密钥“零知识”方法·不同码实施这种参数的值可以是高或低电平。也就是，一个参数的替代值可以指示整个参数将被改变，例如替代另一个的一种算法，或正好指示参数将被不同地操作。例如，用于“算法”参数的值可以首先指示AES(高级加密标准)算法将被使用，然后指示将使用RC4(另一已知加密算法)。作为选择，“算法”参数的不同值可以例如通过设置块密码中使用的迭代次数，来仅仅调整算法。
可以设置一个以上值的加密算法的另一实例是主加密算法。从一个主算法中，能够生成几千个衍生物，每个都难于作为下一个来使用。这种情况中的值可以操作选择所使用的衍生物。
上文已经提到作为值可以被选择的参数的不同码实施。这是一种安全技术，其中代码呈现在计算设备上，以实施在每种情况下都不同的算法。尽管算法将产生相同结果，但是黑客在算法运算期间将看到的实际代码也许在一种情况下非常不同于下一个。
尽管称作规则，但是本发明的实施例上下文中的“规则”不打算具有特定含义，而是仅仅提供安全管理设备可以使用的操作，以处理接收的数据和选择用于一个或多个参数的值。接收的数据本身提供被选择的一个或多个值，或值的标识符。在此情况下，“规则”将运行，使得设备仅仅适当地提取和输出一个或多个值或标识符。作为选择，规则可以在启动设备选择一个值之前，考虑多种判定准则，比如日时、一个或多个通信装置的网络位置、网络活动性如内容访问或预约付费，用户身份识别数据，和/或活动性的历史图。
规则可以按不同方式实施，并且可以例如被表示为基于约束的编程或专家系统。然而，简单逻辑也是合适的，比如“如果(条件A)，则(值X，Y)”。
本发明一个实施例中的连接网络的通信装置包括通用的安全数据的发射机和/或接收机。安全系统本身可以连接打算数据安全传输的网络，但这不是必需的。可以改用另一路由，把值或值的标识符传送给通信装置。
本发明的实施例可以提供达到或者来自连接网络的通信装置的数据安全传输。最好是，存储在规则数据存储器中的至少一个规则包括网络位置数据，使安全管理设备选择的参数的值是至少部分网络位置依赖的。这样的网络位置数据可以例如标识由安全管理设备服务的子网，或者可以专用于连接由安全管理设备服务的网络的一个或多个通信装置。这能够使安全管理设备设置用于网络中不同数据路径的不同值。因而，如果一条路径被损坏，则不能以相同方式立即损坏网络中的其它路径。
该网络位置依赖性可以给予安全管理设备极大的灵活性。例如，在数字电视网络中，使设置用于安全系统参数的不同值，把数据传递到相同地理位置的各通信装置如同一房子的不同机顶盒成为可能。在此水平，由规则包含的网络位置数据是一个或多个不同通信装置的网络地址。
根据本发明的另一方面，这里提供了一种供数据安全传输之用的安全系统，向或从连接网络的通信装置安全传输数据，该系统包括i)安全管理设备，用于选择安全系统的一个或多个参数的值；ii)输出端，用于标识输出给所述通信装置的所选值，其中，所述设备适合使用一个或多个规则选择所述值，以及使用所述输出端标识输出给一个或多个所述通信装置的已选值，以供随后使用网络向或从所述一个或多个通信装置安全传输数据，在系统使用中，所述一个或多个规则的至少一个包括网络位置数据，因而设备适于选择至少部分网络位置依赖的值。
这样一种安排给予安全系统在一个网络内强大的差异能力。也就是，可以设置位于网络中不同位置的不同安全系统的参数的值。这再次限制了可以破坏数据传输安全性的范围。网络位置数据可以例如包括标识网络的子网的数据，或一个或多个通信装置的网络地址。
如在第一方面的本发明的实施例中，系统包括存储所述一个或多个规则的规则数据存储器是方便的，这些规则供设备在处理接收数据时用来选择所述值。
最好是，根据本发明第二方面的实施例包括根据本发明第一方面的实施例的一个或多个特征。例如特别是，根据本发明第二方面的实施例还可以包括用来接收数据的输入端，适合于根据所接收数据选择安全系统的一个或多个参数的值的安全管理设备。这可以给予安全系统动态响应与上述网络的差异性的强力组合。
本发明实施例的安全系统的有用部件是在系统使用中监视数据出现的活动性监视器。选择值的至少一个规则可以被安排成运行，以使所选值是至少部分地依赖于所监视的数据。这允许安全系统响应在其它环境中不导致响应的活动性。例如，用户在新网络位置的接入不可能导致一有机会就响应，但是如果以预定时间间隔重复高于预定次数，则可能导致响应。可以以此方式监视的数据的实例包括网络位置数据、系统选择值和用户标识数据。
在一个替代安排中，上述的活动性监视器可以被设置为供安全系统使用的通信装置的部分，而不是设置在上述的安全系统内。因此，供上述安全系统使用的新颖的和创造性的通信装置包括，用于监视至少一个通信装置的网络活动性的活动性监视器，并使对安全系统有效的被监视活动性供值选择之用。
应当注意，通信装置是通信系统中使用的有效发射机和接收机，因而被视为相同发明概念的有关方面。
不论供安全系统使用的通信装置是否包括活动性监视器，可配置成实施用于安全系统的一个或多个参数的一个或多个选择值的装置最好包括一个存储用于所述一个或多个参数的值与用于该值的标识符之间关系的值数据存储器，使得装置可配置接收一个或多个标识符。这允许装置不用必需发射给装置的实际值配置，而是用值的标识符配置。
根据本发明的第三方面，这里提供了一种保护连接网络的通信装置之间的数据传输的方法，使用一个或多个安全参数保护所述数据传输，一个或多个安全参数具有可选值，该方法包括以下步骤i)接收激励数据；ii)接入在一个或多个判定准则的一组中标识的当前数据；iii)处理激励数据与所述当前数据，以选择所述安全参数的至少一个的至少一个值；以及iv)向两个或更多个通信装置输出信号，该信号包括至少一个所选值。
激励数据可以从连接通信装置的网络接收，或者从不同网络接收。
为了提供所述当前数据，本发明第三方面的方法还可以包括监视与网络上被保护的数据传输有关的活动性的步骤。这种方法还可以或者替代地包括在处理激励数据之前，处理当前数据的步骤。这允许考虑与网络上被保护的数据传输有关的行为模式，如超时使用或地区群集。
附图描述下面参考附图，仅通过举例的方式描述根据本发明实施例的安全系统。


图1显示了连接网络以控制应用于网络中数据路径的安全参数的安全系统的功能方框图；图2显示了供图1的安全系统之用的安全引擎的功能的方框图；图3显示了使用中的安全引擎的操作的流程图；图4至图8显示了可以由使用中的安全引擎应用的安全值数据包中的网络差异；图9显示了供图1的安全系统使用的通信装置的功能方框图。
具体实施例方式
1.网络概述参见图1，安全系统的总体任务是保护连接到网络145的通信装置115、120、150之间的数据路径。在所述实施例中，通信装置包括“发行”装置150和至少两个接收装置，比如安装在住宅中的个人计算机120和具有机顶盒115的电视机。(如图1所示，接收装置115、120连接相同的子网125，但这不是必需的。)安全系统主要包括在计算平台上运行处理以提供连接通信装置115、120、150的安全引擎100的软件。安全系统保护通信装置115、120、150之间的数据路径的方式是选择各种安全参数(比如，加密密钥、算法和协议)的值的数据包，并指令发行装置150和它的接收装置115、120使用该数据包用于它们之间的安全通信。安全引擎100可以在任何时间动态改变有效数据包。
安全引擎100可以根据实时接收的数据和其它准则，使用基于规则的方法作出这些改变。显然，如果任何时间有效的数据包是不可预测的，则它可以提高安全的强度，这些内容将在标题“2.安全引擎”下的段落中进一步讨论。
下面将对安全系统有效的值的每个数据包称作“策略”。单个策略，如“策略SP1”因而代表一组一个或多个特定算法、协议、配置和/或其它参数值。对用于选择的安全引擎100有效的策略被存储在数据库140中。
网络145中的不同数据路径可以具有在任何时间都有效的不同策略。安全引擎100通过选择一组通信装置115、120、150，例如因为它们各自的网络位置指令使用相同策略，而执行操作，或通过子网或通过任何其它适当装置而执行操作。
管理员域110允许安全操作员例如为了原始设置、更新和修改而控制安全引擎100，并且分离数据库140可接入管理员域110和安全引擎100。
使用管理员域110的操作员可以确定安全引擎100可以采用的判定范围，比如选择多个协议并设置可以改变的这些协议的参数，以及选择将作为子网处理的通信装置组，但是此后，安全引擎100支配在通信装置115、120、150之间保护数据传输时使用的协议和算法的选择、实施和配置，并且通信装置115、120、150除了“按命令”实施外，没有判定的部分。
应当理解，图1所述安排不是必需的，软件处理的位置、和数据实设计和环境的问题。例如，这可能是这样一种情况，管理员域110、安全引擎100和数据库140共同位于相同服务器或其它通信计算上。此外，尽管安全引擎100被显示为连接相同网络145，以作为待保护的一个，但是这不是必需的。安全引擎100应当能够与发行和接收通信装置115、120、150通信才是必需的，并且这可能在分离网络上进行，如图4所示。
2.安全引擎参见图2，安全引擎100通过根据判定准则应用规则，判定哪个安全策略任何时间都有效并位于网络中。判定通过激励触发，安全引擎100具有连接网络145的接口210，可以经由网络接收作为来自管理员域110的操作员输入或者来自其它地方的激励。
下面更详细说明激励、判定准则和规则，然后说明安全引擎100可有效用来选择的策略。如图2所示，它们可以被存储在与安全引擎100位于一起的数据存储器200中，或者可以从数据存储器140或管理员域110远程获得。然而，由于安全原因，最好被存储在本地数据存储器200中。
2.1激励安全引擎100可以通过多个激励触发，以作出关于哪个策略应当使用的判定。这些激励可以包括例如以下的任何一个或多个·通信装置115、120、150之间的交互，例如发行装置150于接收装置115、120之间的交互·通信装置115、120、150任一个与另一个实体之间的交互，这可以包括通信装置115、120、150中的另一处理，或者通信装置115、120、150任一个与连接网络的其它实体交互·时日
·人为干预·调度策略改变这些激励通过网络145经由接口210接收，或者对于安全引擎100是内部的。例如，调度策略改变和基于时日的这些可以源自安全引擎100内的时钟处理，或与安全引擎100关联的时钟处理。人为干预可以由来自管理员域110的一个操作员作出。
源自通信装置115、120、150之间交互、或通信装置115、120、150与其它实体之间交互的激励，通常由连接安全引擎100的一个或多个通信装置传送，并因此可以经由接口210接收。
可以作为激励出现的交互可以源自例如接收装置115、120上的用户活动。登录系统的用户可以提供用于验证的用户ID和口令，已确认ID可以被传送给安全引擎100，以作为在用户接收装置与用户已经接入业务的供应商域之间提供数据路径的新安全策略的激励。作为选择，用户可以使用通信装置建立数据路径，用于下载具有高安全等级的数据，或者支付订购费。这些中的任何一个可以由通信装置平等地报告给安全引擎100，以作为在指定数据路径上安装新策略的激励。
2.2判定准则一旦激励已经出现，安全引擎100就可以在数据路径上安装新策略时，考虑若干判定准则的任何一个。例如安全引擎可以考虑以下准则的任何一个或多个1.日期/时日2.发行商或者用户的身份3.发行商或用户执行的动作，比如内容接入或付订购费4.发行商或者用户在网络上的逻辑或物理位置5.使用的装置6.网络操作员设置的参数7.用户/发行商或用户终端/网络操作员之间的订购状态8.与上述的任何一个或多个相关联的历史9.在前应用的策略的历史。
如上所述，这些中的某些如“发行商或用户要执行的动作”可以以从通信装置115、120、150报告的形式的激励出现。某些可以从其它处理得到。例如，订购状态将经常从订购监视服务得到。然而，安全引擎100还可以被设计成执行正在进行的数据处理，以便跟踪其它不可用的方面。例如，在前应用策略的历史不可能由其它处理监视。
2.3规则一旦已经触发安全引擎100作出判定，就在处理判定准则中引用规则以获得新的安全策略。安全引擎的不同的部署和实施可以使用不同规则并应用不同判定准则选择规则。然而，规则的实例如下R1如果条件A、B和D被满足则在星期二，在曼彻斯特运行策略SP1，伦敦运行SP2以及在其它任何地方运行SP2；R2如果条件B和E被满足则在星期四，运行SP1上的所有奇数房号，运行SP2上的所有偶数房号，但观看将使用SP5的频道17的那些除外。
R3如果条件A被满足则除非规则R1或R2应用，否则在网络的任意部分使用随机策略。
显然，这些规则分别是位置依赖的。这提供了网络内的差异。
上述规则被写成它们在真实世界中的影响。实际上，更可能根据网络位置写规则。例如，曼彻斯特和伦敦对于安全引擎100将被标识为子网，并且依据用户记录翻译奇房号和偶房号，以便提供按公用地址注册的特定通信装置115、120的网络地址。
以此方式与网络地址一体化的规则是指，同一房子中的偶数的单独机顶盒可以被分配不同的安全策略。此外，由于激励可以包括通信装置115、120、150之间，例如发行装置150与接收装置115、120之间的交互，甚至个别会话，或者包括特定个体的会话都可以分配不同策略。
上述规则并入了在应用该规则之前将被满足的条件。这些条件通常将基于上述一个或多个判定准则的特定值。下面的标题“3.使用中的安全引擎”之下的段落还描述了该条件和使用。
安全引擎100选择和/或实施策略变化的方式最好相当不可预测。这可以例如基于上文进一步讨论的系统的历史行为，但是另一因素是所用规则的选择。可能的情况是，包括可以应用于给定条件的一个以上规则，并且安全引擎100作出规则之间的随机选择。
2.4策略一旦安全引擎100已经把规则应用于判定准则，则它可以选择将发送给有关通信装置115、120、150用于实施的策略。策略可以被描述为所有这些参数的收集，包括方法、装置、协议和它们的配置，策略用来在网络上的系统之间交换数据。也就是，策略是系统工作之间进行通信的任何事情，所述通信实质上是一对一、一对多或多对一。
某些参数比其它参数更合适或更有用或更好，其中它们更直接有用，-例如改变密钥长度或改变协议在使网络阻止攻击方面是非常有效的。然而，在设计安全引擎100中，将是有效的策略的选择非常快地降至选择一组提供安全方面多种效应但有效供网络使用的策略，并计算连接网络的装置的带宽。例如，最好选择不导致网络承载过多分组的协议，或者不依赖于终端之间的低等待时间路径的协议。总思想是，如果黑客设法破坏一个策略，则使用中的其它策略是不同策略，这足以阻止第一次入侵在不同策略有效的其它地方或者不同时间使用。
安全策略可以是以下任何一个或者多个的一组值-协议，如随机密钥协议，以及将使用协议的什么配置，比如DH(Diffie-Hellman)密钥交换-加密算法，比如AES(高级加密标准)和RC4(已知加密算法)，以及这些算法的配置，比如128比特或者1024比特-特定算法用来输出加密数据的周期的数量
-密钥和密钥长度-密钥传输协议-密钥有效的时间周期-无密钥“零知识”方法-差异码实施安全策略的实例是SP1128比特AES 10个循环SP21024比特RC4，具有随机密钥和DH密钥交换2.5把值传输给装置一旦选择了策略，就必须在有关数据路径上实施它。这可以由安全引擎100通过以下方式直接完成，即向通过适当配置它们自己来响应的有关通信装置115、120、150发送策略标识符或实际值。作为选择，也可以通过以下方式间接完成，即向通信装置的配置装置(未示出)发送标识符。间接方法可以在具有预先存在的用于通信装置115、120、150的配置装置的情况下选用。在任何一种情况下，特别是如果通信已经在通信装置115、120、150之间进行时，必须同步对分离装置的改变。
显然，重要的是确保在向通信装置115、120、150传递期间不截取策略。当安全引擎100由数据路径得到本发明实施例保护的网络145连接所述装置时，策略可以置于适当地方，以保护策略数据向装置或者其它位置的传输。然而，安全引擎100可以通过保护可以被使用的策略数据的其它装置和已知安全方法连接通信装置115、120、150。
3.安全引擎使用参见图3，安全引擎100的操作流程如下所述步骤300网络运行；步骤305激励到达，例如由通信装置115传递新用户ID；步骤310安全引擎100选择适合接收新用户ID的规则，并组装运行规则以选择适当策略所需的数据，这是比如通信装置115的当前网络位置、请求的业务和关联用户ID的定购状态的数据；
步骤315安全引擎100运行规则并选择一个或多个策略；步骤320安全引擎100输出由策略规定的配置适当通信装置115、120、150的值，并返回步骤300以等候下一个激励。
参见图4至图8，具有网络位置差异的不同策略的效果是，有效的安全策略可以是甚至专指特定通信装置级别的网络宽度或位置，比如家居环境的机顶盒115。一组情况如下。
在下文中，应当注意可以有效保护网络145中数据路径的策略范围可以依赖于由发行商选择的安全产品。具有一组安全产品是可能的，其中更便宜产品覆盖更小或更简单的策略范围。在下文中，安全产品被视为提供不同级别的安全性(“SL1”，“SL2”等等)。每个级别的安全性支持特定级别的复杂性。
参见图4，诸如数字电视业务的业务从前端设备50分配给一组子网络145A、145B和145C。前端设备由此构成发行通信装置150，并且在住宅105上具有连接不同子网的接收通信装置115、120(图中仅仅涉及接收通信装置115、120之每个的一个实例)。
安全引擎100经由不同网路400如互联网连接前端设备150和住宅105。(这仅仅被显示在图4中，但是同样适用于图5至图8所示的设备。)在业务开始时，子网络145A、145B和145C上的用于接收通信装置115、120之每个的有效安全策略是相同的。这在图4中通过用于所有接收通信装置115、120的所示图形显示。
参见图5，这里引入了仅仅用于授权观看者的新业务。前端设备150向安全引擎100报告新业务，例如“S3a”，安全引擎100把报告作为激励接收。报告可以简单地包含网络标识符和新业务标识符。安全引擎100需要选择适合于新业务激励的规则，并装配运行该规则所需的数据，以及选择和实施一个或多个适当策略。因此，这涉及数据存储器200、140，例如查找表，以发现哪个规则运行和找出组装什么数据项。查找表列出了对照规则(例如R15)和数据项的新业务(例如“S3a”)。查找表中的条目可以代表，例如“S3aR15(网络145A、145B和145C上的当前安全级别，发行商拥有的安全产品)”
因此安全引擎100将需要收集位于网络145A、145B和145C上的策略的当前安全级别的数据，以及收集发行商为当前安全产品付费的数据。根据规则R15，新业务S3a也许需要安全级别“SL5”。获得数据后，引擎100运行如下表示的R15“R15如果当前安全级别＝SL5或发行商拥有的当前安全产品覆盖SL5则在每个子网上也运行策略SP1，SP2，SP3，SP4…”为了实施R15，安全引擎100必须配置前端设备150和每个子网145A、145B和145C上的通信装置，根据每个子网络的策略装载适当值。
为了响应上述激励，安全引擎100需要用于发行商的最新网络和产品状态数据。这可以由安全引擎保持或者根据管理员域110的要求获得。
可能的情况是规则R15不运行。例如，发行商也许不购买包括SL5的产品。特别是在后一种情况中，安全引擎100可以把通知该情况的消息返回给前端设备150。
参见图6和图7，关于图5所述的情况可以导致不同安全级别的实施。在图6中，在每个子网的不同住宅上实施不同策略，并且在图7中，把策略随机分布在住宅上。
参见图8，激励可以出现在用户通信装置115、120上，并且结果可能是如图8的子网A所示。例如，在住宅“D”上，除一个装置运行策略SP16以外，所有通信装置都运行策略SP3。这可以出现在用户用不同安全级别接入新业务的时候。在该情况下，住宅“D”上的通信装置或者前端设备150可以把作为激励的报告传送给安全引擎100。报告可以包括例如用于新业务(“S18”)的代码加用户ID(“U3981”)以及用于通信装置的网络地址(“NA369.09156”)。
此外，安全引擎100需要选择适合于新业务激励的规则，并装配允许规则所需的数据，以及选择和实施适当策略。因此查阅数据存储器200、140，以发现运行哪个规则，并找出装配什么数据项。查找表中的新业务S18的条目可以代表例如“S18R36(子网中的当前安全级别，发行商拥有的当前安全产品，用于装置网络地址的当前策略，用户ID的定购状态)”一旦安全引擎100已经装配所示数据，就可以运行R36。例如R36可以如下“R36如果[子网中的当前安全级别＝SL21或发行商拥有的当前安全产品覆盖SL21]用于装置网络地址的当前策略≠SP16用于用户ID的当前定购状态覆盖S18则对于装置网络地址，运行SP16”。
只要R36准则被满足，就需要在前端设备150和有关通信装置上配置用于策略SP16的值。
安全引擎100可以使策略利用多种方法来实施-向发行和接收通信装置115、120、150发送一个消息，以指示应当使用哪个策略-向发行和接收通信装置115、120、150发送关于策略的值-使用上述方法的组合。
在一个特殊实施中，安全引擎100用来确定正在发射数字电视信号的网络中的安全策略。前端设备150与接收通信装置115之间的数据传输处理被安置在前端设备150的数字电视加扰装置和接收装置115的数字电视接收机的解扰器中。前端设备150和接收通信装置115连接网络145A、145B和145C，其中，即使不同技术被用来实施每个方向的数据通信路径，也可能进行双向通信。
安全引擎100被装载确定哪个安全策略随时有效的规则。引擎100经由网络数据传递路径把安全策略加载到数据传递处理中。当判定点(例如，关于哪个安全策略应当在使用中的判定的时间点)达到，安全引擎100查阅它的上述规则，确定应当使用哪个策略。一旦作出判定，安全引擎100通过把策略数据从安全策略存储器200加载到前端设备150和接收通信装置115上的数据传输处理中，来实施策略。当安全引擎100知道已经加载了特殊策略时，该步骤被省略。一旦安全策略可在数据传输处理中有效使用，安全引擎100就通过向数据传输处理发送消息来激活策略。
在合适和便利的时间点，前端设备150和接收通信装置115切换使用新安全策略。
4.响应网络激活如上所述，一旦激励出现，安全引擎100就在数据路径上安装新策略时考虑若干判定准测的任何一个。潜在的一组准则被列在上述的标题“2.2判定准则”之下，并且包括与系统使用中的判定准则关联的历史和系统使用中的策略选择的历史。
参见图2，安全引擎100设有数据存储器200，尤其存储历史系统数据。这可以包括例如与系统使用中的判定准则关联的数据，和/或策略选择数据。
安全引擎100对与判定准则关联的数据历史响应的实例将是下述的规则“R98如果[子网中当前安全级别＝SL43或发行商拥有的当前安全产品覆盖SL43]用于装置网络地址的当前策略≠SP18用于用户ID的当前定购状态覆盖(有关业务)用于用户ID的新网络位置在五个工作日已经重复6次则对于装置网络地址，运行SP18”这样的规则将具有以下效果如果用户开始定期使用新位置中的装置，则自动升级保护达到新位置的数据路径的安全级别。
安全引擎100对与策略选择关联的数据的历史响应的实例将是下述的规则“R83如果用于装置地址的建议的新策略＝SP17已经为相同子网上的五个其它装置网络地址选择所建议的新策略则对于装置网络地址，运行从SP35到SP40的组中动态选择的策略。
这种规则可以在用于网络地址的新策略已经被选择，但是还未被实施之前运行。这将具有这样的效果，如果相同策略已经位于达到相同子网的若干其它装置的位置，则将使用来自不同策略组的策略。
5.通信装置115，120，150参见图9，通信装置115、120、150通常是已知类型。然而，具有为了实施本发明实施例可以提供的新特征。例如，为了使安全引擎100响应通信装置上的活动，需要把该活动报告给安全引擎100。便利的情况是，发行装置150(如数字电视系统的前端设备)适合把有关活动通知给安全引擎100。因此，发行装置150可以包括一个监视器920，监视来自接收装置115、120的用于有关数据的通信，如并入新用户ID(标识符)或当前用户ID的新网络位置的请求。监视器920检测的任何有关数据被复制到连接安全引擎100的输出端910，或者使用累积或处理的数据。这允许通常也许不被安全引擎100视作为激励的通信装置上的网络活动被如此处置。例如，不同网络位置的用户单独请求也许不被视为激励，而一个新网络位置的用户的多个请求也许被视为激励。监视器920可以用来作出该区别。
为了在用于网络145数据路径的操作中实现安全策略的变化，可能的安排是发行装置150接收来自安全引擎100的策略数据，并使用现有的配置机制适当配置接收装置115、120。如果安全引擎100发送待实施的策略的代码或待实施的策略，并且发行装置150访问策略数据存储器900，把代码翻译成用于配置目的的实际值，则改善安全性。作为选择，接受装置115、120可以访问策略数据存储器900，使得除了潜在的安装和更新以外，实际值不会在网络125、145、400的任何部分发射。
在该说明书中，单词“包括”打算作广义解释，以便包括例如至少是指以下短语的任一个“由……单独组成”和“除了其它事情之外，还包括”。
显然，本发明的实施例可以得到各种类型的平台和配置的支持。本发明实施例出现平台不是必需的。因此本发明实施例包括记录在一个或多个数据或表现为信号的载体上的软件，用于加载到合适平台使用。
权利要求
1.一种安全系统，用于向或从连接网络的通信装置安全传输数据，该系统包括i)接收数据的输入端；ii)安全管理设备，用于处理在输入端接收的数据和选择安全系统的一个或多个参数的值；以及iii)用来标识输出给所述通信装置的所选值的输出端，其中，所述设备适合处理所述接收数据以选择所述值，以及使用所述输出端标识输出给一个或多个所述通信装置的所述值，以供随后使用网络向或从所述一个或多个通信装置安全传输数据。
2.根据权利要求1所述的安全系统，其中所述设备适于使用一个或多个规则处理所述接收数据，以选择所述值。
3.根据权利要求2所述的安全系统，系统还包括用于存储所述一个或多个规则的规则数据存储器。
4.根据上述权利要求任一项所述的安全系统，其中输入端和输出端的至少一个连接与网络分离的通信路径。
5.根据上述权利要求任一项所述的安全系统，其中输入端连接在系统中使用中的至少一个个所述通信装置，以接收待处理的数据，使设备适合于选择至少一个值，该值至少部分地依赖于从所述通信装置接收的数据。
6.根据上述权利要求任一项所述的安全系统，其中输入端连接数据处理设备，用于处理与网络使用关联的数据，使得该设备适于选择至少部分地依赖于网络应用数据的至少一个值。
7.根据上述权利要求任一项所述的安全系统，其中可以选择一个或多个值的所述一个或多个参数包括加密算法的一个或多个参数。
8.根据权利要求7所述的安全系统，其中所述一个或多个参数包括系统可用的从两种或更多种不同种类的加密算法中选出的一种加密算法。
9.根据权利要求7所述的安全系统，其中加密算法包括主加密算法，所述一个或多个参数包括从来自主加密算法的两个或更多不同加密算法中选出的加密算法。
10.根据上述权利要求任一项所述的安全系统，其中所述一个或多个参数包括从系统可用的两个或更多不同种类的加密密钥交换协议选出的加密密钥交换协议。
11.根据上述任一项权利要求所述的安全系统，其中所述一个或更多参数包括加密密钥交换协议的参数。
12.根据权利要求11所述的安全系统，其中，加密密钥交换协议的所述参数包括在加密密钥交换协议中使用的多个循环(round)。
13.根据上述权利要求任一项所述的安全系统，其中所述一个或多个参数包括从系统可用的两种或更多不同种类的数据传输协议中选出的数据传输协议。
14.根据上述权利要求任一项所述的安全系统，其中所述一个或多个参数包括数据传输协议的参数。
15.根据上述权利要求任一项所述的安全系统，其中系统被安排成，通过发送包括所述值的信号，使用所述输出端标识输出给一个或多个所述通信装置的所述值。
16.根据上述任一项权利要求所述的安全系统，其中系统被安排成，通过发送包括所述值标识符的信号，使用所述输出端标识输出给一个或多个所述通信装置的所述值。
17.根据上述权利要求任一项所述的安全系统，其中系统被安排成，通过发送包括一组两个或更多个值的标识符的信号，使用所述输出端标识输出给一个或多个所述通信装置的所述值。
18.根据上述权利要求任一项所述的安全系统，其中所述规则的至少一个包括网络位置数据，使得系统适于标识输出给一个或多个通信装置的值，这些值至少是部分网络位置依赖的。
19.根据权利要求18所述的安全系统，其中网络位置数据包括网络中至少一个通信装置的网络位置。
20.根据权利要求18所述的安全系统，其中网络位置数据标识网络的子网络。
21.根据上述权利要求任一项所述的安全系统，其中至少一个所述规则包括时间和/日期数据，使得系统适于标识一个或多个通信装置的值，这些值至少是部分地依赖于时间和/或日期。
22.一种安全系统，用于向或从连接网络的通信装置安全传输数据，该系统包括i)安全管理设备，选择用于安全系统的一个或多个参数的值；ii)输出端，用于标识输出给所述通信装置的所选值，其中，所述设备适合使用一个或多个规则选择所述值，以及使用所述输出端标识输出给一个或多个所述通信装置的已选值，以供随后使用网络向或从所述一个或多个通信装置安全传输数据，在系统使用中，所述一个或多个规则的至少一个包括网络位置数据，因而设备适于选择至少部分网络位置依赖的值。
23.根据权利要求22所述的安全系统，其中，网络位置数据包括网络中至少一个通信装置的网络位置。
24.根据权利要求22所述的安全系统，其中网络位置数据标识网络的子网络。
25.根据权利要求22至24任一项所述的安全系统，其中至少一个所述规则中的包括除了网络位置数据之外的数据，因而设备适于选择至少一个仅部分网络位置依赖的值。
26.根据权利要求25所述的安全系统，其中，除网络位置数据之外的所述数据包括时间和/或日期数据。
27.根据上述权利要求任一项所述的安全系统，还包括活动性监视器，用于监视在系统使用中出现的数据，并且选择值的至少一个所述规则被安排成，操作以使所选值至少部分地依赖于所监视的数据。
28.根据权利要求27所述的安全系统，其中所监视的数据包括网络位置数据。
29.根据权利要求27或28所述的安全系统，其中所监视的数据包括所选值。
30.根据权利要求27至29任一项所述的安全系统，其中所监视的数据包括用户标识符数据。
31.一种通信装置，供上述权利要求任一项所述的安全系统使用，该装置可配置成执行用于安全系统的一个或多个参数的一个或多个所选值，所述装置包括值数据存储器，用于存储所述一个或多个参数的值与用于该值的标识符之间的关系，使得装置可配置接收一个或多个标识符。
32.一种通信装置，供上述权利要求任一项所述的安全系统使用，该装置包括活动性监视器，用于监视至少一个其它通信装置的网络活动性，并使得所监视的活动性适用于安全系统用来选择值。
33.一种保护连接网络的通信装置之间的数据传输的方法，使用一个或多个安全参数保护所述数据传输，一个或多个安全参数具有可选值，该方法包括以下步骤i)接收激励数据；ii)访问在一个或多个判定准则的一组中标识的当前数据；iii)同时处理激励数据和所述当前数据，以选择所述安全参数至少一个的至少一个值；以及iv)向两个或更多个通信装置输出信号，该信号包括至少一个所选值。
34.根据权利要求33所述的方法，还包括监视与网络上数据的保护传输有关的活动性的步骤，以便提供所述当前数据。
35.根据权利要求33或34任一项所述的方法，还包括在处理激励数据之前处理当前数据的步骤。
全文摘要
一种用于保护网络中数据路径的安全系统响应事件来改变使用中的安全特征的参数。例如，可以改变正在使用的加密算法的类型，或改变加密算法的参数如密钥长度或协商的多次循环，或者可以改变数据传输协议。安全系统可以响应的事件包括用户动作，比如登录到更贵的业务或者移动它们的网络位置、或日期或时间，或网络中应用的模式。系统使用规则处理输入数据，以确定响应。可以通过向连接网络的通信装置如数字电视系统中的前端设备和电视接收机，输出配置数据来改变参数。在系统的最佳形式中，使用中的安全特征的参数可以依赖于网络位置，从而把差异引入系统，使得安全更难于穿透。
文档编号H04L29/06GK1879384SQ200480033039
公开日2006年12月13日 申请日期2004年9月13日 优先权日2003年9月11日
发明者保罗·詹森·罗杰斯 申请人:保罗·詹森·罗杰斯