專利名稱:基于身份的網(wǎng)絡(luò)策略實(shí)現(xiàn)的制作方法
基于身份的網(wǎng)絡(luò)策略實(shí)現(xiàn)
背景技術(shù):
計(jì)算機(jī)和諸如PDA (個(gè)人數(shù)字助理)��、外部驅(qū)動(dòng)等(本文統(tǒng)一稱為計(jì)算設(shè)備)之類的基于計(jì)算機(jī)的設(shè)備是在一個(gè)或多個(gè)計(jì)算設(shè)備之間的通信會話中的對等端點(diǎn)��。例如�,一個(gè)計(jì)算設(shè)備(例如客戶端)和第二計(jì)算設(shè)備(例如服務(wù)器)是由計(jì)算設(shè)備或計(jì)算設(shè)備中一個(gè)或兩個(gè)的一個(gè)或多個(gè)用戶發(fā)起的種種通信會話中的對等端點(diǎn)����。兩個(gè)對等端點(diǎn)之間的通信會話中數(shù)據(jù)分組遍歷的路徑經(jīng)常包括一個(gè)或多個(gè)中介����。中介是調(diào)度和/或穿過對等端點(diǎn)之間的通信的硬件或軟件�。示范性中介包括但不限于交換機(jī)、路由器���、負(fù)載均衡器�����、網(wǎng)守(gate keeper)等�。期望對等端點(diǎn)之間的通信路徑中的中介能夠識別端點(diǎn)用戶�����。進(jìn)一步期望對等端點(diǎn)之間的通信路徑中的中介能夠認(rèn)證正在利用(employ)認(rèn)證并潛在地利用加密協(xié)議的端點(diǎn)用戶�。因此,有利的是,在功能上實(shí)現(xiàn)用于對等端點(diǎn)之間的通信路徑中的中介識別對等端點(diǎn)的一個(gè)或兩個(gè)并認(rèn)證對等端點(diǎn)的一個(gè)或兩個(gè)和/或它們的用戶的系統(tǒng)和過程�����。如果用于對等端點(diǎn)識別和認(rèn)證的系統(tǒng)和過程被包括在用于對等端點(diǎn)通信、認(rèn)證和/或加密協(xié)議的現(xiàn)有系統(tǒng)和過程內(nèi)����,這進(jìn)一步是有利且便利的��,因此不需要設(shè)計(jì)并實(shí)現(xiàn)全新的協(xié)議��。認(rèn)證對等端點(diǎn)的中介能力可以提供對所傳輸?shù)臄?shù)據(jù)流量的附加的安全保護(hù)���,因?yàn)橥ㄐ艜挼耐ㄐ怕窂街械闹薪閷?shù)據(jù)流量來自/去往被期望和/或預(yù)期的誰有信心。識別對等端點(diǎn)的中介能力可以支持網(wǎng)絡(luò)流量處理的增強(qiáng)粒度�����,因?yàn)樗鼘⑹沟弥薪槟軌驅(qū)νㄟ^它們傳輸?shù)臄?shù)據(jù)流量實(shí)現(xiàn)并實(shí)施基于身份的規(guī)則���。
發(fā)明內(nèi)容
該發(fā)明內(nèi)容被提供以通過簡化形式引入對下文在具體實(shí)施方式
中進(jìn)一步描述的概念的選擇。該發(fā)明內(nèi)容并非旨在標(biāo)識要求保護(hù)的主題的關(guān)鍵或必要特征,也非旨在被用作對確定要求保護(hù)的主題的范圍的輔助����。本文所討論的實(shí)施例包括用于實(shí)現(xiàn)在通信會話中在兩個(gè)對等端點(diǎn)之間的數(shù)據(jù)流量的基于身份的處理的系統(tǒng)和方法論�。在實(shí)施例中���,兩個(gè)對等端點(diǎn)之間的通信會話的通信路徑中的中介通過在轉(zhuǎn)發(fā)被對等端點(diǎn)用來建立通信會話的(多個(gè))握手消息之前添加中介印記來修改所述(多個(gè))握手消息�。在實(shí)施例中���,中介可以隨后使用它們的中介印記來識別在對等端點(diǎn)之間傳輸?shù)南?�,其可以用于識別對等端點(diǎn)的一個(gè)或兩個(gè)。在實(shí)施例中,中介隨后還可以使用它們的中介印記來識別在對等端點(diǎn)之間傳輸?shù)恼J(rèn)證對等端點(diǎn)和/或提供將被用于加密隨后在這些對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組的加密信息的消息���。在這些實(shí)施例中��,中介可以獲取必要信息以識別和認(rèn)證對等端點(diǎn)并識別在特定通信會話的對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組��。 在實(shí)施例中��,對等端點(diǎn)傳輸在它們的(多個(gè))握手消息中以及在它們的認(rèn)證和/或加密協(xié)議消息中的一個(gè)或多個(gè)中的中介印記���。在實(shí)施例中�����,對等端點(diǎn)的一個(gè)或兩個(gè)使用中介印記生成中介可以譯解的并連同相應(yīng)的證書一起使用的哈希簽名�����,以認(rèn)證對等端點(diǎn)����。在實(shí)施例中���,對等端點(diǎn)認(rèn)證向在處理對等端點(diǎn)數(shù)據(jù)流量中基于身份的規(guī)則應(yīng)用提供增強(qiáng)的安全和確實(shí)性���。
現(xiàn)在將參考旨在說明而非限制本發(fā)明的某些實(shí)施例和示例的附圖來描述這些和其他特征�����,并且其中
圖IA描繪了具有兩個(gè)對等端點(diǎn)和各種中介的示范性通信會話���。圖IB描繪了附加了新中介的圖I的示范性通信會話。圖2圖示了中介在沒有認(rèn)證和加密的通信會話中識別對等端點(diǎn)的通信協(xié)議的實(shí)施例���。圖3A�����、3B�����、3C和3D描繪了可以被中介修改的用于對等端點(diǎn)的通信協(xié)議消息的實(shí)施 例。圖4圖示了中介印記的實(shí)施例���。圖5圖示了中介在具有認(rèn)證和加密的通信會話中認(rèn)證和識別對等端點(diǎn)的通信協(xié)議的實(shí)施例。圖6A和6B描繪了用于對等端點(diǎn)向中介認(rèn)證它們自己的通信協(xié)議消息的實(shí)施例�。圖7A-7C圖示了發(fā)起者對等端點(diǎn)在通信會話中向一個(gè)或多個(gè)中介識別和認(rèn)證它自己的邏輯流程的實(shí)施例���。圖8A-8C圖示了響應(yīng)者對等端點(diǎn)在通信會話中向一個(gè)或多個(gè)中介識別和認(rèn)證它自己的邏輯流程的實(shí)施例���。圖9A-9D圖示了中介在通信會話中識別和認(rèn)證對等端點(diǎn)的邏輯流程的實(shí)施例�����。圖10是可以處理軟件(即程序代碼或指令)的示范性基本計(jì)算設(shè)備系統(tǒng)的框圖。
具體實(shí)施例方式在下面的描述中,為了解釋的目的,闡述了許多特定細(xì)節(jié)以便提供對本文所述的實(shí)施例的透徹理解���。然而�����,對本領(lǐng)域技術(shù)人員而言��,顯然����,這些實(shí)施例可以在沒有這些特定細(xì)節(jié)的情況下被實(shí)施����。在其他情況中�,公知的結(jié)構(gòu)和設(shè)備以框圖的形式被示出以便避免不必要的晦澀費(fèi)解���。自始至終使用的任何和所有標(biāo)題僅是為了易于解釋�,而不是為了任何限制性用途。圖IA描繪了在兩個(gè)對等端點(diǎn)(客戶端100和服務(wù)器110)之間的示范性網(wǎng)際協(xié)議(IP)通信會話����。在圖IA的示例中,三個(gè)中介Il 115,12 120和13 125沿著客戶端-服務(wù)器(C->S)通信方向130位于客戶端100與服務(wù)器110之間�����。在實(shí)施例中����,中介是調(diào)度和/或穿過對等端點(diǎn)之間的通信(即IP分組)的硬件和/或軟件。示范性中介包括但不限于交換機(jī)�����、路由器�、負(fù)載均衡器�、網(wǎng)守等���。在圖IA的示例中���,一個(gè)中介14 135沿著服務(wù)器-客戶端(S->C)通信方向140位于客戶端100與服務(wù)器110之間�����。在實(shí)施例中�,通信會話在兩個(gè)對等端點(diǎn)(發(fā)起者和響應(yīng)者)之間�。在圖IA的示例中�,客戶端100是發(fā)起者����,而服務(wù)器110是響應(yīng)者����。在其中對等端點(diǎn)或?qū)嶓w(例如圖IA的客戶端100和服務(wù)器110)之間的認(rèn)證或在端點(diǎn)實(shí)體之間傳輸?shù)挠行лd荷(即數(shù)據(jù)流量)或數(shù)據(jù)分組160的加密都未被使用的實(shí)施例中�,中介可以確定發(fā)起者和/或響應(yīng)者的身份以用于在流過它們的數(shù)據(jù)分組160上實(shí)施基于身份的策略或規(guī)則175。參照圖2�,在該實(shí)施例中���,發(fā)起者100經(jīng)由在發(fā)起者100與響應(yīng)者110之間的通信路徑中的(多個(gè))中介210向響應(yīng)者110發(fā)送未加密的握手消息230�����,以在發(fā)起者100與響應(yīng)者110之間建立通信信道或會話���。使用圖IA的示例,客戶端100經(jīng)由
Il115���、12 120和13 125中介向服務(wù)器110發(fā)送握手消息230。參照圖3A,握手消息230的實(shí)施例具有頭部310。在該握手消息230實(shí)施例的一個(gè)方面,頭部310包括發(fā)起者(例 如客戶端100)COOkie 305。在一個(gè)實(shí)施例中�����,發(fā)起者cookie305由可以用于指明用于嘗試被實(shí)例化的通信會話的發(fā)起者100的數(shù)據(jù)(例如一個(gè)或多個(gè)數(shù)字或數(shù)字對)構(gòu)成��。在一個(gè)實(shí)施例中��,發(fā)起者cookie 305將發(fā)起者100表征為與用于特定通信會話的數(shù)據(jù)流量相關(guān)聯(lián)的對等端點(diǎn)���。在另一個(gè)實(shí)施例中,握手消息230包括足以指明相同的兩個(gè)端點(diǎn)之間的相關(guān)流量和可以用于區(qū)分發(fā)起者100的數(shù)據(jù)����。在一個(gè)實(shí)施例中,當(dāng)握手消息230從發(fā)起者100沿著C_>S通信方向130被傳輸?shù)街薪镮l 115�、中介12 120和中介13 125�����,最后被傳輸?shù)蕉它c(diǎn)響應(yīng)者110時(shí)����,每個(gè)中介Il115�、12 120和13 125均可以查看握手消息230并且獲得發(fā)起者cookie 305。以此方式�����,在C->S通信方向130上的每個(gè)中介210均可以識別在發(fā)起者的IP (網(wǎng)際協(xié)議)地址之外的發(fā)起者100���。在一個(gè)實(shí)施例中����,在C->S通信方向130上的查看握手消息230并獲得發(fā)起者cookie 305的每個(gè)中介210存儲發(fā)起者cookie 305和/或從中得到的信息����,以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話。在一個(gè)實(shí)施例中,當(dāng)握手消息230被第一中介210 (例如Il 115)接收時(shí)�,Il 115在將現(xiàn)在修改的握手消息240沿著C->S通信方向130傳遞到下一個(gè)實(shí)體(即中介210或?qū)Φ榷它c(diǎn))之前將中介印記附加或另外嵌入或包括在其中��。在一個(gè)實(shí)施例中����,當(dāng)在C->S通信方向130上每個(gè)附加的中介210接收到修改的握手消息240時(shí)�,每個(gè)中介210在將修改的握手消息240沿著C->S通信方向130傳遞到下一個(gè)實(shí)體之前將中介印記附加到該修改的握手消息240���。在該實(shí)施例中且參照圖3B的修改的握手消息240,當(dāng)Il 115接收到握手消息230時(shí)�,它將中介Il印記322附加到握手消息230并將修改的握手消息240沿著C_>S通信方向130傳遞到下一個(gè)實(shí)體12 120。在該實(shí)施例和示例中��,當(dāng)12 120接收到修改的握手消息240時(shí)����,它附加中介12印記324并將修改的握手消息240沿著C_>S通信方向130傳遞到下一個(gè)實(shí)體13 125���。在該實(shí)施例和示例中,當(dāng)13 125接收到修改的握手消息240時(shí),它附加中介13印記326并將修改的握手消息240傳遞到端點(diǎn)響應(yīng)者110。參照圖4�,由中介210添加的中介印記400的實(shí)施例具有隨機(jī)數(shù)(nonce)字段410����,其包含用于中介210的唯一隨機(jī)數(shù)�,例如隨機(jī)數(shù)415�����。在一個(gè)實(shí)施例中,隨機(jī)數(shù)是隨機(jī)或偽隨機(jī)的數(shù)。在可替代實(shí)施例中�����,隨機(jī)數(shù)可以是其他隨機(jī)的、偽隨機(jī)的或特定的標(biāo)識符���。在一個(gè)實(shí)施例中,存儲在隨機(jī)字段410中的隨機(jī)數(shù)是長度可變的。在一個(gè)實(shí)施例中,中介印記400具有供未來使用的保留字段420。在一個(gè)實(shí)施例中�,中介印記400具有隨機(jī)數(shù)大小字段430,其指示隨機(jī)數(shù)字段410中的隨機(jī)數(shù)(例如隨機(jī)數(shù)415)的大小(例如大小425)�����。在一個(gè)實(shí)施例中中介印記400具有類型字段440。在一個(gè)實(shí)施例中�,類型字段440包含中介印記類型的指示����。
參照圖2�����,在一個(gè)實(shí)施例中��,當(dāng)響應(yīng)者110接收到修改的握手消息240時(shí),它其中包括響應(yīng)者cookie 335����,并且將修改的握手消息250沿著S_>C通信方向140往回傳輸?shù)桨l(fā)起者(例如客戶端100)。參照圖3C���,在一個(gè)實(shí)施例中�,響應(yīng)者110將響應(yīng)者cookie 335添加到修改的握手消息250的頭部310。在一個(gè)實(shí)施例中,響應(yīng)者cookie 335由可以用于指明用于嘗試被實(shí)例化的通信會話的響應(yīng)者110的數(shù)據(jù)(例如一個(gè)或多個(gè)數(shù)字或數(shù)字對)構(gòu)成����。在一個(gè)實(shí)施例中��,響應(yīng)者cookie 335將響應(yīng)者110表征為與用于特定通信會話的數(shù)據(jù)流量相關(guān)聯(lián)的對等端點(diǎn)�。在另一個(gè)實(shí)施例中����,當(dāng)響應(yīng)者110接收到修改的握手消息240時(shí),它其中包括可以用于區(qū)分響應(yīng)者110的數(shù)據(jù)���,并且將修改的握手消息250沿著S->C通信方向140往回傳輸?shù)桨l(fā)起者100�。在可替代實(shí)施例中����,當(dāng)響應(yīng)者110接收到修改的握手消息240時(shí)����,它將新握手消息250格式化�����。在該可替代實(shí)施例中�����,新握手消息250具有與圖3C的握手消息250的實(shí)施例相似的內(nèi)容����,相似之處在于它具有包括發(fā)起者cookie 305和響應(yīng)者cookie 335或其他用于區(qū)分發(fā)起者100和響應(yīng)者110的其他數(shù)據(jù)的頭部���,并且它包括來自中介Il 115�、中介12120和中介13 125的中介印記322、324和326���。在該可替代實(shí)施例中�,新握手消息250可以包含與先前參考圖3C討論的修改的握手消息250不同的頭部內(nèi)容和/或值�。在該可替代實(shí)施例中��,新握手消息250還或可替代地可以包含與先前參考圖3C討論的修改的握手消息250不同的有效載荷內(nèi)容和/或值�����。在一個(gè)實(shí)施例和圖IA的示例中���,當(dāng)握手消息250從服務(wù)器110沿著S_>C通信方向140被傳輸?shù)街薪?4 135之后傳輸?shù)蕉它c(diǎn)客戶端100時(shí)�,14 135可以觀看握手消息250并獲得發(fā)起者�����、客戶端����、cookie 305和響應(yīng)者、服務(wù)器��、cookie 335���。以此方式,在S_>C通信方向140上的每個(gè)中介210可以識別在發(fā)起者的IP地址之外的發(fā)起者100�����。以此方式,在S->C通信方向140上的每個(gè)中介210還可以識別在響應(yīng)者的IP地址之外的響應(yīng)者110��。在一個(gè)實(shí)施例中����,在S->C通信方向140上的獲得發(fā)起者cookie 305的每個(gè)中介210存儲發(fā)起者cookie 305和/或從中得到的信息以用于在發(fā)起者(客戶端)100與響應(yīng)者(服務(wù)器)110之間的當(dāng)前通信會話��。在一個(gè)實(shí)施例中,在S_>C通信方向140上的獲得響應(yīng)者cookie335的每個(gè)中介210存儲響應(yīng)者cookie 335和/或從中得到的信息以用于在發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話�。在一個(gè)實(shí)施例中�����,當(dāng)握手消息250在S_>C通信方向140上被中介14 135接收到 時(shí)���,14 135在將修改的握手消息260傳遞到端點(diǎn)客戶端100之前將中介印記328附加或另外嵌入或包括于此�����。如圖3D所不,修改的握手消息260的實(shí)施例具有14 135中介印記328�。在該實(shí)施例和圖IA的示例中���,當(dāng)客戶端100從14 135接收到修改的握手消息260時(shí)���,客戶端100可以確定在它與服務(wù)器110之間存在4個(gè)中介。在該實(shí)施例和示例中,客戶端100還可以使用中介印記322�、324��、326和328來識別(至少在名義上)客戶端100與服務(wù)器110之間的這四個(gè)當(dāng)前中介(S卩Il 115, 12 120, 13 125和14 135)。中介信息可以被客戶端100用于多種目的���,包括但不限于控制C->S通信方向130路徑以求期望的通信性能��。再次參照圖2�����,在一個(gè)實(shí)施例中�����,當(dāng)發(fā)起者(客戶端)100接收到修改的握手消息260時(shí)��,客戶端100沿著C->S通信方向130將修改的握手消息260往回回波(echo)到響應(yīng)者(服務(wù)器)110���。
在一個(gè)實(shí)施例中���,當(dāng)修改的握手消息260從客戶端100沿著C_>S通信方向130被傳遞到中介Il 115���、12 120和13 125且之后被傳遞到端點(diǎn)服務(wù)器110時(shí)�����,每個(gè)中介Il115、12 120和13 125均可以查看修改的握手消息260并獲得響應(yīng)者(例如服務(wù)器110)cookie 335。以此方式,在C_>S通信方向130上的每個(gè)中介210均可以識別在響應(yīng)者的IP地址之外的響應(yīng)者110。在一個(gè)實(shí)施例中���,在C->S通信方向130上的查看修改的握手消息260并獲得響應(yīng)者cookie 335的每個(gè)中介210存儲響應(yīng)者cookie 335和/或從中得到的信息����,以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話。在一個(gè)實(shí)施例中�����,在C_>S通信方向130上的每個(gè)中介Il 115�����、12 120和13 125可以通過驗(yàn)證中介的相應(yīng)印記(例如322�、324或326)包括在修改的握手消息260中來確定修改的握手消息260用于與原始握手消息230或修改的握手消息240相同的通信會話。在一個(gè)實(shí)施例和圖IA的示例中���,當(dāng)服務(wù)器110接收到包含用于客戶端100與服務(wù) 器HO之間的每一個(gè)中介210的中介印記322���、324�����、326和328的修改的握手消息260時(shí)�����,服務(wù)器110可以確定在它與客戶端100之間存在4個(gè)中介210。在該實(shí)施例和示例中�,服務(wù)器110還可以使用中介印記322、324����、326和328來識別(至少在名義上)客戶端100與服務(wù)器110之間的這四個(gè)當(dāng)前中介(S卩Il 115,12 120,13 125和14 135)。中介信息可以被服務(wù)器110用于多種目的,包括但不限于控制S->C通信方向140路徑以求期望的通信性能。在可替代實(shí)施例中��,不是每個(gè)中介210都可以具有用于識別通信會話中的對等端點(diǎn)的用途���。例如,在一些可替代實(shí)施例中��,一個(gè)或多個(gè)中介210 (例如12 120)將以相同的方式處理穿過它的每個(gè)數(shù)據(jù)分組160,并且因此無需區(qū)分任何特定通信會話中涉及的對等端點(diǎn)。在這些可替代實(shí)施例中���,不關(guān)注對等端點(diǎn)身份的一個(gè)或多個(gè)中介210不需要查看握手消息230或修改的握手消息240�、250或260���,也不需要獲得發(fā)起者cookie 305或響應(yīng)者cookie 335�。仍然在其他可替代實(shí)施例中,一個(gè)或多個(gè)中介210可以僅關(guān)注識別通信會話中的一個(gè)對等端點(diǎn)(例如客戶端100)���。例如���,一個(gè)或多個(gè)中介210可以被預(yù)配置成了解對等端點(diǎn)之一(例如服務(wù)器110)的身份��,因?yàn)樵搶Φ榷它c(diǎn)對中介210而言總是相同的�����。作為另一個(gè)示例���,一個(gè)或多個(gè)中介210可以被配置成基于通信會話中僅一個(gè)對等端點(diǎn)的身份針對數(shù)據(jù)分組160實(shí)施基于身份的規(guī)則175��。在這些可替代實(shí)施例的一個(gè)方面,中介210將不存儲用于中介210不關(guān)注的對等端點(diǎn)的cookie或從中得到的信息����。在其中對等端點(diǎn)(例如圖IA的客戶端100和服務(wù)器110)之間的認(rèn)證協(xié)議被使用的實(shí)施例中�,中介210可以識別并認(rèn)證一個(gè)或兩個(gè)對等端點(diǎn)以用于在它們之間傳輸?shù)臄?shù)據(jù)流量160上實(shí)施基于身份的策略或規(guī)則175���。參照圖5�,在該實(shí)施例中,發(fā)起者(例如客戶端)100經(jīng)由在發(fā)起者100與響應(yīng)者110之間的通信路徑中的(多個(gè))中介210向響應(yīng)者(例如服務(wù)器)110傳輸握手消息230。使用圖IA的示例�,客戶端100經(jīng)由Il 115��、12 120和13125中介向服務(wù)器110發(fā)送握手消息230。如圖3A所示,在一個(gè)實(shí)施例中�,握手消息230包括頭部310�����,該頭部包括發(fā)起者cookie 305��。在另一個(gè)實(shí)施例中,握手消息230包括足以指明相同的兩個(gè)對等端點(diǎn)之間的相關(guān)流量并且可以用于區(qū)分發(fā)起者100的數(shù)據(jù)���。在一個(gè)實(shí)施例中�����,握手消息230的頭部310是明文形式的,即它是未加密的。在一個(gè)實(shí)施例中�����,當(dāng)握手消息230被第一中介210 (例如Il 115)接收時(shí),Il 115在將現(xiàn)在修改的握手消息240沿著C->S通信方向130傳遞到下一個(gè)實(shí)體(即中介210或?qū)Φ榷它c(diǎn))之前將中介印記附加或另外嵌入或包括在其中。在一個(gè)實(shí)施例中���,當(dāng)在C->S通信方向130上每個(gè)附加的中介210接收到修改的握手消息240時(shí)����,每個(gè)中介210在將修改的握手消息240沿著C->S通信方向130傳遞到下一個(gè)實(shí)體之前將中介印記附加到修改的握手消息240�����。在該實(shí)施例中且參照圖3B的修改的握手消息240���,當(dāng)Il 115接收到握手消息230時(shí),它將中介Il印記322附加到握手消息230并將修改的握手消息240沿著C_>S通信方向130傳遞到下一個(gè)實(shí)體12 120���。在該實(shí)施例和示例中,當(dāng)12 120接收到修改的握手消息240時(shí)��,它附加中介12印記324并將修改的握手消息240傳遞到下一個(gè)實(shí)體13 125。在該實(shí)施例和示例中��,當(dāng)13 125接收到修改的握手消息240時(shí),它附加中介13印記326并將修改的握手消息240傳遞到端點(diǎn)響應(yīng)者110�����。參照圖4,由中介210添加的中介印記400的實(shí)施例具有隨機(jī)數(shù)字段410����,其包含用于中介210的唯一隨機(jī)數(shù)(例如隨機(jī)數(shù)415)����。在一個(gè)實(shí)施例中��,隨機(jī)數(shù)是隨機(jī)或偽隨機(jī)的數(shù)。在可替代實(shí)施例中��,隨機(jī)數(shù)可以是其他隨機(jī)的�����、偽隨機(jī)的或特定的標(biāo)識符�����。在一個(gè)實(shí)施例中,存儲在隨機(jī)字段410中的隨機(jī)數(shù)是長度可變的��。在一個(gè)實(shí)施例中,中介印記400具有供未來使用的保留字段420�。在一個(gè)實(shí)施例中����,中介印記400具有指示隨機(jī)數(shù)的大小(例如大小425)的隨機(jī)數(shù)大小字段430���。在一個(gè)實(shí)施例中�,中介印記400具有類型字段440���。在一個(gè)實(shí)施例中��,類型字段440包含中介印記類型的指示��。在該實(shí)施例的一個(gè)方面�����,用于附加到修改的握手消息240的中介印記的類型字段440包含指示中介印記400是認(rèn)證請求印記的身份。在一個(gè)實(shí)施例中��,零(0)435的印記類型指示中介印記400是認(rèn)證請求印記�。再參照圖5�,在一個(gè)實(shí)施例中,當(dāng)響應(yīng)者110接收到修改的握手消息240時(shí)��,它將響應(yīng)者cookie 335添加到其中并且將修改的握手消息250沿著S_>C通信方向140往回傳輸?shù)桨l(fā)起者(例如客戶端100)。參照圖3C��,在一個(gè)實(shí)施例中���,響應(yīng)者110將響應(yīng)者cookie 335添加到修改的握手消息250的頭部310��。在另一個(gè)實(shí)施例中����,當(dāng)響應(yīng)者110接收到修改的握手消息240時(shí),它其中包括可以用于區(qū)分響應(yīng)者110的數(shù)據(jù)并且將修改的握手消息250沿著S->C通信方向140往回傳輸?shù)桨l(fā)起者100。在一個(gè)實(shí)施例中,響應(yīng)者110將可以用于區(qū)分它的數(shù)據(jù)添加到修改的握手消息250的頭部310�����。在一個(gè)實(shí)施例中�,修改的握手消息250的頭部310是明文形式的,即它是未加密的。在可替代實(shí)施例中�,當(dāng)響應(yīng)者110接收到修改的握手消息240時(shí)����,它將新握手消息250格式化。在該可替代實(shí)施例中�,新握手消息250具有與圖3C的握手消息250的實(shí)施例相似的內(nèi)容����,相似之處在于它具有包括發(fā)起者cookie 305和響應(yīng)者cookie 335的頭部或可替代地用于區(qū)分發(fā)起者100和響應(yīng)者110的數(shù)據(jù)�����,并且它包括來自中介Il 115、中介12120和中介13 125的中介印記322�、324和326。在該可替代實(shí)施例中�,新握手消息250可以包含與先前參考圖3C討論的修改的握手消息250不同的頭部內(nèi)容和/或值。在該可替代實(shí)施例中,新握手消息250還或可替代地可以包含與參考圖3C討論的修改的握手消息250不同的有效載荷內(nèi)容和/或值�����。、
在一個(gè)實(shí)施例中�����,當(dāng)在S_>C通信方向140上的中介210接收到從響應(yīng)者110傳輸?shù)奈帐窒?50時(shí),每個(gè)中介210在將修改的握手消息260沿著S->C通信方向140傳遞到下一個(gè)實(shí)體(中介210或?qū)Φ榷它c(diǎn))之前將中介印記附加或另外嵌入或包括于此。因此�����,在一個(gè)實(shí)施例中且參照圖IA和5���,當(dāng)握手消息250在S_>C通信方向140上被中介14 135接收到時(shí)��,14 135在將修改的握手消息260傳遞到端點(diǎn)客戶端100之前向握手消息250附加中介印記328�。如圖3D所示����,修改的握手消息260的實(shí)施例具有14 135 中介印記328。在該實(shí)施例和圖IA的示例中,當(dāng)客戶端100從14 135接收到修改的握手消息260時(shí)�,客戶端100可以確定在它與服務(wù)器110之間存在4個(gè)中介210。在該實(shí)施例和示例中���,客戶端100可以使用中介印記322�����、324、326和328來識別(至少在名義上)客戶端100與服務(wù)器110之間的這四個(gè)當(dāng)前中介210 (即Il 115��、12 120�、13 125和14 135)。在一個(gè)實(shí)施例中,當(dāng)發(fā)起者(客戶端)100接收到修改的握手消息260時(shí)�,客戶端100沿著C_>S通信方向130將修改的握手消息260往回回波到響應(yīng)者(服務(wù)器)110。在一個(gè)實(shí)施例中��,在C_>S通信方向130上的每個(gè)中介Il 115、12 120和13 125可以通過驗(yàn)證中介的相應(yīng)印記(例如322、324或326)包括在修改的握手消息260中來確定修改的握手消息260用于與原始握手消息230或修改的握手消息240相同的通信會話���。在一個(gè)實(shí)施例和圖IA的示例中����,當(dāng)服務(wù)器110接收到包含用于客戶端100與服務(wù)器110之間的每一個(gè)中介210的中介印記322、324、326和328的修改的握手消息260時(shí)��,服務(wù)器110可以確定在它與客戶端100之間存在4個(gè)中介210����。在該實(shí)施例和示例中����,服務(wù)器110還可以使用中介印記322�����、324�����、326和328來識別(至少在名義上)客戶端100與服務(wù)器110之間的這四個(gè)當(dāng)前中介���,S卩Il 115��、12 120�����、13 125和14 135���。在一個(gè)實(shí)施例中��,發(fā)起者(例如客戶端)100和/或響應(yīng)者(例如服務(wù)器)110向中介210認(rèn)證它們自己����。在一個(gè)實(shí)施例中,發(fā)起者100和響應(yīng)者110使用驗(yàn)證者tx消息(其中每一個(gè)在本文中也被稱為驗(yàn)證tx)來認(rèn)證它們自己�����。在一個(gè)實(shí)施例中驗(yàn)證tx包括簽名��。在一個(gè)實(shí)施例中����,驗(yàn)證tx包括證書�。在一個(gè)實(shí)施例中�,對等通信會話中的發(fā)起者100首先為了認(rèn)證的目的傳輸其驗(yàn)證者tx消息。在其中對等端點(diǎn)之間的數(shù)據(jù)分組傳輸要被加密的實(shí)施例中,響應(yīng)者110命令(多個(gè))密鑰來加密這些傳輸�。在圖IA的示例中���,當(dāng)客戶端100發(fā)起與服務(wù)器110的通信過程時(shí)客戶端100是發(fā)起者����,而服務(wù)器110是響應(yīng)者。在圖IA的示例中�����,響應(yīng)者(服務(wù)器110)命令(多個(gè))密鑰加密在客戶端100與服務(wù)器110之間傳輸?shù)臄?shù)據(jù)分組��。使用圖IA的示例并再次參照圖5��,在一個(gè)實(shí)施例中,發(fā)起者(客戶端)100格式化發(fā)起者驗(yàn)證tx 500并將其傳輸?shù)巾憫?yīng)者(服務(wù)器)110。參照圖6A����,發(fā)起者驗(yàn)證tx的實(shí)施例500包含iverify分組680�����。iverify分組680的實(shí)施例包含發(fā)起者簽名615。iverify分組680的實(shí)施例包含發(fā)起者證書620。在一個(gè)實(shí)施例中����,發(fā)起者簽名615已經(jīng)被與中介210可以辨識和信任的發(fā)起者證書620相關(guān)聯(lián)的私鑰所標(biāo)記。在一個(gè)實(shí)施例中,當(dāng)中介210接收到發(fā)起者驗(yàn)證tx 500時(shí),它們可以從iverify分組680提取和使用發(fā)起者簽名615和發(fā)起者證書620以證實(shí)發(fā)起者簽名615與發(fā)起者證書620關(guān)聯(lián),并且因此認(rèn)證發(fā)起者100是它所宣稱的���。在另一個(gè)實(shí)施例中�����,當(dāng)中介210接收到發(fā)起者驗(yàn)證tx 500時(shí),它們可以從iverify分組680提取并使用發(fā)起者簽名615以及連同它們已經(jīng)存儲的發(fā)起者證書或它們已經(jīng)存儲的發(fā)起者證書信息來證實(shí)發(fā)起者簽名615與發(fā)起者證書或發(fā)起者證書信息關(guān)聯(lián),從而認(rèn)證發(fā)起者100。在一個(gè)實(shí)施例中,在認(rèn)證發(fā)起者100的過程中�,中介210還識別在中介210具有的在用于通信會話的數(shù)據(jù)流的環(huán)境內(nèi)指明發(fā)起者100的信息(例如IP地址和發(fā)起者cookie305)之外的發(fā)起者100�����。在實(shí)施例中��,發(fā)起者證書620或所存儲的發(fā)起者證書或證書信息(在本文中統(tǒng)一被稱為發(fā)起者證書620)可以識別使用或另外控制發(fā)起者100設(shè)備的用戶���,例如約翰史密斯(John Smith)����。在實(shí)施例中,發(fā)起者證書620還或可替代地可以識別發(fā)起者100設(shè)備,例如設(shè)備描述和/或唯一設(shè)備id。在實(shí)施例中,發(fā)起者證書620還或可替代地可以識別用戶的屬性(例如用戶職業(yè)��、用戶雇主��、用戶的就業(yè)團(tuán)體等)和/或發(fā)起者100設(shè)備的屬性(例如個(gè)人計(jì)算機(jī)�、手持式設(shè)備���、計(jì)算設(shè)備制造商/型號等)。在實(shí)施例中���,發(fā)起者證 書620還或可替代地可以識別用戶和/或發(fā)起者100設(shè)備的位置(locality),例如美國�����、華盛頓�、雷德蒙���、ABC公司8號樓等等��。在實(shí)施例中,發(fā)起者證書620還或可替代地可以識別其他用戶和/或發(fā)起者100設(shè)備信息和/或其任意組合���。在一個(gè)實(shí)施例中��,發(fā)起者簽名615是簽署的簽名值。在該實(shí)施例的一個(gè)方面����,簽名值是散列算法660的結(jié)果。散列算法660的實(shí)施例將發(fā)起者cookie 305��、響應(yīng)者cookie335�����、中介印記(例如中介印記322�、324�����、326和328)和發(fā)起者安全參數(shù)索引(SPI) 685用作輸入�。在一個(gè)實(shí)施例中����,發(fā)起者SPI 685識別用于C->S通信方向130的安全參數(shù)���,并且結(jié)合發(fā)起者IP地址而被用于識別所實(shí)現(xiàn)的安全關(guān)聯(lián)(SA)。在一個(gè)實(shí)施例中���,SA是用于提供安全數(shù)據(jù)連接的安全參數(shù)的邏輯組�����。在一個(gè)實(shí)施例中,在發(fā)起者100與響應(yīng)者110之間�����,經(jīng)由發(fā)起者100與響應(yīng)者110之間的一個(gè)或多個(gè)通信先前協(xié)商散列算法660���。在一個(gè)實(shí)施例中���,中介印記用于生成發(fā)起者簽名615的簽名值的用途支持到對等端點(diǎn)生成的簽名值的每中介輸入。在該實(shí)施例中����,發(fā)起者100可以利用單個(gè)發(fā)起者簽名615向所有中介210提供發(fā)起者身份的證明。在可替代實(shí)施例中,發(fā)起者簽名615和/或簽名值是具有相同或其他輸入的其他算法的結(jié)果���。在一個(gè)實(shí)施例中,iverify分組680內(nèi)容是明文形式���,即iverify分組是未加密的�����。在一個(gè)實(shí)施例中�,發(fā)起者驗(yàn)證tx 500包含頭部605。在一個(gè)實(shí)施例中�,發(fā)起者驗(yàn)證tx 500包含一個(gè)或多個(gè)控制分組610��。在該實(shí)施例的一個(gè)方面��,(多個(gè))控制分組610被發(fā)起者100和響應(yīng)者110用來建立用于它們之間的傳輸?shù)陌踩珨?shù)據(jù)信道。在該實(shí)施例的一個(gè)方面,(多個(gè))控制分組610還或可替代地被發(fā)起者100和響應(yīng)者110用來向彼此認(rèn)證它們自己。在該實(shí)施例的一個(gè)方面���,(多個(gè))控制分組610還或可替代地被用來建立要用于發(fā)起者100與響應(yīng)者110之間的傳輸?shù)募用?cryptography)�。在一個(gè)實(shí)施例中���,發(fā)起者驗(yàn)證tx 500包含發(fā)起者協(xié)商信息(ineginfo)分組625�。在一個(gè)實(shí)施例中,ineginfo分組625包含用于散列算法660的id (標(biāo)識)���。在一個(gè)實(shí)施例中�,ineginfo分組625還包含發(fā)起者SPI 685。如先前所述,在一個(gè)實(shí)施例中,發(fā)起者SPI685識別用于C->S通信方向130的安全參數(shù)����,并且結(jié)合發(fā)起者IP地址來識別所實(shí)現(xiàn)的安全關(guān)聯(lián)(SA)�。在一個(gè)實(shí)施例中�,ineginfo分組625的內(nèi)容是明文形式��。
在一個(gè)實(shí)施例中,發(fā)起者驗(yàn)證tx 500包含發(fā)起者100與響應(yīng)者110之間的通信路徑中的每個(gè)中介210的中介印記���。在一個(gè)實(shí)施例中��,發(fā)起者驗(yàn)證tx 500中的中介印記是明文形式��。在一個(gè)實(shí)施例中,當(dāng)發(fā)起者驗(yàn)證tx 500從客戶端100沿著C_>S通信方向130被傳輸?shù)街薪镮l 115�、12 120和13 125且之后被傳輸?shù)蕉它c(diǎn)服務(wù)器110時(shí)�,每個(gè)中介Il 115��、
12120和13 125均可以識別其中介印記并確定發(fā)起者驗(yàn)證tx 500是中介210現(xiàn)在正在跟蹤的、發(fā)起者100與響應(yīng)者110之間的通信會話的一部分�����。在一個(gè)實(shí)施例中���,在C_>S通信方向130上的中介210可以使用發(fā)起者簽名615和發(fā)起者證書620來嘗試識別并認(rèn)證客戶端100�。在一個(gè)實(shí)施例中���,中介210可以訪問散列算法660的id和發(fā)起者SPI 685,因?yàn)樗鼈冊趇neginfo分組625中未被加密�。在一個(gè)實(shí)施例中,中介210可以訪問所有中介印記(例如印記322、324���、326和328)����。在一個(gè)實(shí)施例中�,中 介210可以訪問發(fā)起者cookie 305和響應(yīng)者cookie 335和/或從中得到的信息。因此�����,在一個(gè)實(shí)施例中���,中介210具有用于解碼發(fā)起者簽名615和證實(shí)發(fā)起者簽名615與發(fā)起者證書620適當(dāng)關(guān)聯(lián)的必要信息�����。在一個(gè)實(shí)施例中����,中介Il 115接收發(fā)起者驗(yàn)證tx 500并且可以使用發(fā)起者簽名615和發(fā)起者證書620來嘗試識別并認(rèn)證客戶端100����。如果發(fā)起者簽名615是有效的���,即發(fā)起者簽名615與發(fā)起者證書620關(guān)聯(lián)�����,則中介Il 115已經(jīng)認(rèn)證了發(fā)起者100。在一個(gè)實(shí)施例中,中介12 120在接收到發(fā)起者驗(yàn)證tx 500時(shí)可以使用發(fā)起者簽名615和發(fā)起者證書620來嘗試識別并認(rèn)證客戶端100。如果發(fā)起者簽名615是有效的,則中介12 120已經(jīng)認(rèn)證了發(fā)起者100�����。在一個(gè)實(shí)施例中,中介13 125在接收到發(fā)起者驗(yàn)證tx 500時(shí)可以使用發(fā)起者簽名615和發(fā)起者證書620來嘗試識別并認(rèn)證客戶端100���。如果發(fā)起者簽名615是有效的,則中介13 125已經(jīng)認(rèn)證了發(fā)起者100����。再次參照圖5����,在一個(gè)實(shí)施例中����,當(dāng)對等端點(diǎn)響應(yīng)者(例如服務(wù)器)110接收到發(fā)起者驗(yàn)證tx 500時(shí)����,響應(yīng)者110將發(fā)起者驗(yàn)證tx 500沿著S->C通信方向140往回回波到發(fā)起者100。以此方式�,在S->C通信方向140上的中介210可以認(rèn)證發(fā)起者100����。在一個(gè)實(shí)施例和圖IA和5的示例中�,當(dāng)發(fā)起者驗(yàn)證tx 500沿著S_>C通信方向140被傳輸時(shí)���,中介14 135可以識別其中介印記并確定發(fā)起者驗(yàn)證tx 500是14 135現(xiàn)在正在跟蹤的發(fā)起者100與響應(yīng)者110之間的通信會話的一部分��。在一個(gè)實(shí)施例中���,在S_>C通信方向140上的中介210可以使用發(fā)起者簽名615和發(fā)起者證書620以嘗試識別并認(rèn)證客戶端100���。在一個(gè)實(shí)施例中�����,中介210可以訪問散列算法660的id和發(fā)起者SPI 685���,因?yàn)樗鼈冊趇neginfo分組625中未被加密���。在一個(gè)實(shí)施例中��,中介210可以訪問所有中介印記���,因?yàn)樗鼈冊诎l(fā)起者驗(yàn)證tx 500中未被加密��。在一個(gè)實(shí)施例中����,中介210可以訪問發(fā)起者cookie 305和響應(yīng)者cookie 335和/或從中得到的信息��。因此,在一個(gè)實(shí)施例中���,中介210具有用于解碼發(fā)起者簽名615和證實(shí)它與發(fā)起者證書620關(guān)聯(lián)的必要信息。在一個(gè)實(shí)施例中,認(rèn)證發(fā)起者100的每個(gè)中介210存儲發(fā)起者cookie 305和/或從中得到的信息以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話。在一個(gè)實(shí)施例中,認(rèn)證發(fā)起者100的每個(gè)中介210存儲發(fā)起者IP地址以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話�。在一個(gè)實(shí)施例中,認(rèn)證發(fā)起者100的每個(gè)中介210存儲發(fā)起者證書620和/或從中得到的信息以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話���。在一個(gè)實(shí)施例中��,認(rèn)證發(fā)起者100的每個(gè)中介210存儲發(fā)起者SPI 685以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話���。在一個(gè)實(shí)施例中,認(rèn)證發(fā)起者100的每個(gè)中介210存儲來自ineginfo分組625的散列id���,其識別用于在發(fā)起者100與響應(yīng)者110之間沿著C->S通信方向130通信的散列算法660����。使用圖 的示例并再次參照圖5�����,在一個(gè)實(shí)施例中,響應(yīng)者(例如服務(wù)器110)格式化響應(yīng)者驗(yàn)證tx 530并且將其傳輸?shù)桨l(fā)起者(例如客戶端100)�。在該實(shí)施例的一個(gè)方面��,響應(yīng)者110在將發(fā)起者驗(yàn)證tx 500往回回波到發(fā)起者100之后將響應(yīng)者驗(yàn)證tx 530傳輸?shù)桨l(fā)起者100��。參照圖6B,響應(yīng)者驗(yàn)證tx 530的實(shí)施例包含rverify分組690。在一個(gè)實(shí)施例中rverify分組690包含響應(yīng)者簽名645���。在一個(gè)實(shí)施例中,rverify分組690包含響應(yīng)者證書 650��。在一個(gè)實(shí)施例中����,響應(yīng)者簽名645已經(jīng)被與中介210可以辨識和信任的響應(yīng)者證書650相關(guān)聯(lián)的私鑰所簽署�。在一個(gè)實(shí)施例中����,當(dāng)中介210接收到響應(yīng)者驗(yàn)證tx 530時(shí)�����,它們可以從rverify分組690提取并使用響應(yīng)者簽名645和響應(yīng)者證書650以證實(shí)響應(yīng)者簽名645與響應(yīng)者證書650中預(yù)期的關(guān)聯(lián)�,并且因此認(rèn)證響應(yīng)者110是它所宣稱的���。在另一個(gè)實(shí)施例中��,當(dāng)中介210接收到響應(yīng)者驗(yàn)證tx 530時(shí),它們可以從rverify分組690提取并使用響應(yīng)者簽名645連同它們已經(jīng)存儲的響應(yīng)者證書或它們已經(jīng)存儲的響應(yīng)者證書信息�,證實(shí)響應(yīng)者簽名645與響應(yīng)者證書或響應(yīng)者證書信息關(guān)聯(lián)�,從而認(rèn)證響應(yīng)者 110。在一個(gè)實(shí)施例中�����,在認(rèn)證響應(yīng)者100的過程中��,中介210還識別在中介210具有的在用于通信會話的數(shù)據(jù)流的環(huán)境內(nèi)指明響應(yīng)者110的信息(例如IP地址和響應(yīng)者cookie335)之外的響應(yīng)者110��。在實(shí)施例中��,響應(yīng)者證書650或所存儲的響應(yīng)者證書或證書信息(在本文中統(tǒng)一被稱為響應(yīng)者證書650)可以識別使用或另外控制響應(yīng)者110設(shè)備的用戶�,例如約翰史密斯(John Smith)����。在實(shí)施例中,響應(yīng)者證書650還或可替代地可以識別響應(yīng)者110設(shè)備,例如設(shè)備描述和/或唯一的設(shè)備id����。在實(shí)施例中���,響應(yīng)者證書650還或可替代地可以識別用戶的屬性(例如用戶職業(yè)、用戶雇主、用戶的就業(yè)團(tuán)體等)和/或響應(yīng)者110設(shè)備的屬性(例如個(gè)人計(jì)算機(jī)��、手持式設(shè)備����、計(jì)算設(shè)備制造商/型號等)���。在實(shí)施例中�����,響應(yīng)者證書650可以還或可替代地識別用戶和/或響應(yīng)者110設(shè)備的位置,例如美國���、華盛頓�、雷德蒙���、ABC公司8號樓等等。在實(shí)施例中��,響應(yīng)者證書650還或可替代地可以識別其他用戶和/或響應(yīng)者110設(shè)備信息和/或其任意組合��。在一個(gè)實(shí)施例中�,響應(yīng)者簽名645是簽署的簽名值�。在該實(shí)施例的一個(gè)方面,簽名值是散列算法670的結(jié)果�。散列算法670的實(shí)施例將發(fā)起者cookie 305��、響應(yīng)者cookie335�、中介印記(例如中介印記322�、324�����、326和328)和響應(yīng)者(例如服務(wù)器)id (服務(wù)器id)692用作輸入。在該實(shí)施例的一個(gè)方面,服務(wù)器id 692是在服務(wù)器的管理域內(nèi)的響應(yīng)者服務(wù)器110的唯一標(biāo)識符。在該實(shí)施例的一個(gè)方面,服務(wù)器id 692是以管理方式設(shè)置或制定的任意身份值。在該實(shí)施例的一個(gè)方面,服務(wù)器id 692的長度是六十四(64)比特����。在該實(shí)施例的可替代方面,服務(wù)器id 692是響應(yīng)者110的IP地址�����。
在一個(gè)實(shí)施例中�,服務(wù)器id 692結(jié)合響應(yīng)者IP地址識別所實(shí)現(xiàn)的安全關(guān)聯(lián)(SA)�����。散列算法的可替代實(shí)施例670將發(fā)起者cookie 305、響應(yīng)者cookie 335����、中介印記和響應(yīng)者安全參數(shù)索引(SPI)用作輸入�����。在一個(gè)實(shí)施例中��,響應(yīng)者SPI識別用于s->c通信方向140的安全參數(shù),并且結(jié)合響應(yīng)者IP地址識別所實(shí)現(xiàn)的安全關(guān)聯(lián)(SA)。在一個(gè)實(shí)施例中,在發(fā)起者100與響應(yīng)者110之間��,經(jīng)由發(fā)起者100與響應(yīng)者110之間的ー個(gè)或多個(gè)通信先前協(xié)商散列算法670。在一個(gè)實(shí)施例中�����,中介印記用于生成響應(yīng)者簽名645的簽名值的用途支持到對等端點(diǎn)生成的簽名值的每中介輸入��。在該實(shí)施例中����,響應(yīng)者Iio可以利用單個(gè)響應(yīng)者簽名645向所有中介210提供響應(yīng)者身份的證明。在可替代實(shí)施例中,響應(yīng)者簽名645和/或簽名值是具有相同或其他輸入的其他算法的結(jié)果�����。 在一個(gè)實(shí)施例中,rverify分組690內(nèi)容是明文形式���,即它們是未加密的。在一個(gè)實(shí)施例中����,響應(yīng)者驗(yàn)證tx 530包含頭部635���。在一個(gè)實(shí)施例中,響應(yīng)者驗(yàn)證tx 530包含ー個(gè)或多個(gè)控制分組640。在該實(shí)施例的ー個(gè)方面��,(多個(gè))控制分組640被發(fā)起者100和響應(yīng)者110用來建立用于它們之間的傳輸?shù)陌踩珨?shù)據(jù)信道。在該實(shí)施例的ー個(gè)方面,(多個(gè))控制分組640還或可替代地被發(fā)起者100和響應(yīng)者110用來向彼此認(rèn)證它們自己。在該實(shí)施例的ー個(gè)方面����,(多個(gè))控制分組640還或可替代地被用來建立要用于發(fā)起者100與響應(yīng)者110之間的傳輸?shù)募用?cryptography)���。在一個(gè)實(shí)施例中,響應(yīng)者驗(yàn)證tx 530包含響應(yīng)者協(xié)商信息(rneginfo)分組655�����。在一個(gè)實(shí)施例中,rneginfo分組655包含用于散列算法670的id (標(biāo)識)���。在一個(gè)實(shí)施例中,rneginfo分組655包含服務(wù)器id 692�����。在可替代的實(shí)施例中,rneginfo分組655包含響應(yīng)者SPI。如先前所述����,在一個(gè)實(shí)施例中��,服務(wù)器id 692或響應(yīng)者SPI結(jié)合響應(yīng)者IP地址被用來識別所實(shí)現(xiàn)的安全關(guān)聯(lián)(SA)。在可替代實(shí)施例中,響應(yīng)者散列算法670可以使用服務(wù)器id 692或響應(yīng)者SPI��。在該可替代實(shí)施例的一方面,rneginfo分組655包含用于服務(wù)器id 692值的字段和用于響應(yīng)者SPI 592值的字段,其中一個(gè)字段包含正確值��,而另ー個(gè)字段是零(0)�。以此方式����,在該可替代實(shí)施例中,中介210可以分辨散列算法670是使用服務(wù)器id 692還是響應(yīng)者SPI�,因?yàn)閞neginfo分組655中僅ー個(gè)對應(yīng)字段值將是非零。在一個(gè)實(shí)施例中���,rneginfo分組655的內(nèi)容是明文形式�����。在一個(gè)實(shí)施例中,響應(yīng)者驗(yàn)證tx 530包含發(fā)起者100與響應(yīng)者110之間的每個(gè)中介210的中介印記�。在一個(gè)實(shí)施例中���,響應(yīng)者驗(yàn)證tx 530中的中介印記是明文形式����。在一個(gè)實(shí)施例和圖IA和5的示例中���,當(dāng)響應(yīng)者驗(yàn)證tx 530從服務(wù)器110沿著s->c通信方向140被傳輸?shù)街薪?4 135且之后被傳輸?shù)蕉它c(diǎn)客戶端100吋,14 135可以識別其中介印記并確定響應(yīng)者驗(yàn)證tx 530是中介210現(xiàn)在正在跟蹤的�����、響應(yīng)者110與發(fā)起者100之間的通信的一部分�����。在一個(gè)實(shí)施例中,在S_>C通信方向140上的中介210可以使用響應(yīng)者簽名645和響應(yīng)者證書650以嘗試識別并認(rèn)證服務(wù)器110����。在一個(gè)實(shí)施例中�����,中介210可以訪問散列算法670的id和服務(wù)器id 692,因?yàn)樗鼈冊趓neginfo分組655中未被加密��。在一個(gè)實(shí)施例中�,中介210可以訪問所有中介印記��。在一個(gè)實(shí)施例中��,中介210可以訪問發(fā)起者cookie305和響應(yīng)者cookie 335和/或從中得到的信息�����。因此���,在一個(gè)實(shí)施例中,中介210具有用于解碼響應(yīng)者簽名645和證實(shí)它與響應(yīng)者證書650關(guān)聯(lián)的必要信息。在一個(gè)實(shí)施例中,中介14 135可以查閱響應(yīng)者驗(yàn)證tx 530并且使用響應(yīng)者簽名645和響應(yīng)者證書650來嘗試識別和認(rèn)證服務(wù)器110����。如果響應(yīng)者簽名645是有效的�,即響應(yīng)者簽名645與響應(yīng)者證書650關(guān)聯(lián)����,則中介14 135已經(jīng)認(rèn)證響應(yīng)者110。再次參照圖5��,在一個(gè)實(shí)施例中���,當(dāng)對等端點(diǎn)發(fā)起者(例如客戶端)100接收到響應(yīng)者驗(yàn)證tx 530時(shí)��,發(fā)起者100將響應(yīng)者驗(yàn)證tx 530沿著C->S通信方向130往回回波到響應(yīng)者110�。以此方式�����,在C->S通信方向130上的中介210可以識別和認(rèn)證響應(yīng)者110。在一個(gè)實(shí)施例中��,當(dāng)響應(yīng)者驗(yàn)證tx 530從客戶端100沿著C_>S通信方向130被傳輸?shù)街薪?10且之后被傳輸?shù)蕉它c(diǎn)服務(wù)器110時(shí)����,每個(gè)中介Il 115、12 120和13 125均可以識別其中介印記并確定響應(yīng)者驗(yàn)證tx 530是中介210現(xiàn)在正在跟蹤的���、發(fā)起者100與響應(yīng)者110之間的通信會話的一部分。 在一個(gè)實(shí)施例中,在C_>S通信方向130上的中介210可以使用響應(yīng)者簽名645和響應(yīng)者證書650以嘗試識別并認(rèn)證服務(wù)器110�。在一個(gè)實(shí)施例中�,中介210可以訪問散列算法670的id和服務(wù)器id 692��,因?yàn)樗鼈冊趓neginfo分組655中未被加密。在一個(gè)實(shí)施例中,中介210可以訪問所有中介印記,因?yàn)樗鼈冊陧憫?yīng)者驗(yàn)證tx 530中未被加密����。在ー個(gè)實(shí)施例中�����,中介210可以訪問發(fā)起者cookie 305和響應(yīng)者cookie 335和/或從中得到的信息��。因此���,在一個(gè)實(shí)施例中,中介210具有用于解碼響應(yīng)者簽名645和證實(shí)它與響應(yīng)者證書650關(guān)聯(lián)的必要信息。在一個(gè)實(shí)施例中,認(rèn)證響應(yīng)者110的每個(gè)中介210存儲響應(yīng)者cookie 335和/或從中得到的信息以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話。在一個(gè)實(shí)施例中,認(rèn)證響應(yīng)者110的每個(gè)中介210存儲響應(yīng)者IP地址以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話。在一個(gè)實(shí)施例中��,認(rèn)證響應(yīng)者Iio的每個(gè)中介210存儲響應(yīng)者證書650和/或從中得到的信息以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話��。在一個(gè)實(shí)施例中��,認(rèn)證響應(yīng)者110的每個(gè)中介210存儲服務(wù)器id 692或可替代地存儲響應(yīng)者SPI�����,以用于發(fā)起者100與響應(yīng)者110之間的當(dāng)前通信會話��。在一個(gè)實(shí)施例中���,認(rèn)證響應(yīng)者110的姆個(gè)中介210存儲來自rneginfo分組655的散列id����,其識別用于在發(fā)起者100與響應(yīng)者110之間沿著S->C通信方向140通信的散列算法670�。在一個(gè)實(shí)施例中���,當(dāng)服務(wù)器110將發(fā)起者驗(yàn)證tx 500往回回波到客戶端100并且客戶端100接收到它吋,客戶端100可以認(rèn)為所有中介210都已經(jīng)接收到發(fā)起者驗(yàn)證tx500并且可以使用它來識別和認(rèn)證客戶端100����。在一個(gè)實(shí)施例中�����,客戶端100使用計(jì)時(shí)器來接收從服務(wù)器110返回的回波的發(fā)起者驗(yàn)證tx 500�����。在一個(gè)實(shí)施例中,如果客戶端計(jì)時(shí)器期滿(expire)��,則客戶端向服務(wù)器110重傳發(fā)起者驗(yàn)證tx 500。在該實(shí)施例中,服務(wù)器110將任何發(fā)起者驗(yàn)證tx 500往回回波到客戶端100�����。在一個(gè)實(shí)施例中,客戶端100將重試一次以求被發(fā)送到服務(wù)器110和從服務(wù)器110發(fā)送的成功的發(fā)起者驗(yàn)證tx 500�����。在可替代實(shí)施例中,客戶端100重試其他次數(shù),例如兩次����、五次等以求被發(fā)送到服務(wù)器110和從服務(wù)器110發(fā)送的成功的發(fā)起者驗(yàn)證tx 500。在又一個(gè)可替代實(shí)施例中,當(dāng)客戶端計(jì)時(shí)器期滿時(shí),客戶端將不會進(jìn)行重試以求被發(fā)送到服務(wù)器110和從服務(wù)器110發(fā)送的成功的發(fā)起者驗(yàn)證tx 500ο
在一個(gè)實(shí)施例中,當(dāng)客戶端100將響應(yīng)者驗(yàn)證tx 530往回回波到服務(wù)器110并且服務(wù)器110接收到它時(shí),服務(wù)器110可以認(rèn)為所有中介210都已經(jīng)接收到響應(yīng)者驗(yàn)證tx530并且可以使用它來識別和認(rèn)證服務(wù)器110����。在一個(gè)實(shí)施例中,服務(wù)器110使用計(jì)時(shí)器來接收從服務(wù)器110返回的回波的響應(yīng)者驗(yàn)證tx 530。在一個(gè)實(shí)施例中,如果服務(wù)器計(jì)時(shí)器期滿(expire)���,則服務(wù)器向客戶端100重傳響應(yīng)者驗(yàn)證tx 530�����。在該實(shí)施例中��,客戶端110將任何響應(yīng)者驗(yàn)證tx 530往 回回波到服務(wù)器110。在一個(gè)實(shí)施例中��,服務(wù)器110將重試一次以求被發(fā)送到客戶端100和從客戶端100發(fā)送的成功的響應(yīng)者驗(yàn)證tx 530。在可替代實(shí)施例中,服務(wù)器110重試其他次數(shù)�����,例如兩次�����、五次等以求被發(fā)送到客戶端100和客戶端100發(fā)送的成功的響應(yīng)者驗(yàn)證tx 530�。在又一個(gè)可替代實(shí)施例中�����,當(dāng)服務(wù)器計(jì)時(shí)器期滿時(shí)�����,服務(wù)器將不會進(jìn)行重試以求被發(fā)送到客戶端100和從客戶端100發(fā)送的成功的響應(yīng)者驗(yàn)證tx 530�����。在一個(gè)實(shí)施例中�����,一旦發(fā)起者驗(yàn)證tx 500和響應(yīng)者驗(yàn)證tx 530被中介210接收并成功處理��,則中介210具有在當(dāng)前通信會話的發(fā)起者100與響應(yīng)者110之間傳輸?shù)暮罄m(xù)數(shù)據(jù)分組160上實(shí)施基于身份的規(guī)則175的必要信息����。在一個(gè)實(shí)施例中,中介210接收發(fā)起者100與響應(yīng)者110之間傳輸?shù)臄?shù)據(jù)分組160并且使用數(shù)據(jù)分組160中的發(fā)起者SPI或響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI來識別用于特定發(fā)起者/響應(yīng)者通信會話的數(shù)據(jù)分組160并相應(yīng)地將任意建立的基于身份的規(guī)則175應(yīng)用到數(shù)據(jù)分組160���。在其中發(fā)起者SPI或響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI受到完整性保護(hù)的實(shí)施例中���,中介210存儲了能夠確定完整性散列值的信息以識別所包括的發(fā)起者SPI或響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI�,從而允許中介210隨后將任何建立的基于身份的規(guī)則175相應(yīng)地應(yīng)用到數(shù)據(jù)分組160。在一個(gè)實(shí)施例中����,中介210可以驗(yàn)證在兩個(gè)對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組160的完整性��。在一個(gè)實(shí)施例中�,中介210可以使用它們通過識別用于加密的數(shù)據(jù)分組160的發(fā)起者和/或響應(yīng)者SPI或響應(yīng)者服務(wù)器id和/或發(fā)起者和/或響應(yīng)者IP地址已被篡改或否則被改變�、來驗(yàn)證通信會話中兩個(gè)對等端點(diǎn)之間的數(shù)據(jù)分組160的能力�,來減輕由替代攻擊所造成的損害�。例如����,ー個(gè)已知的替代攻擊情境涉及攻擊者選擇可以向中介210正確顯現(xiàn)的IP地址和/或SPI或服務(wù)器id�����。在一個(gè)實(shí)施例中�����,中介210可以確定包含改變的信息的數(shù)據(jù)分組160被攻擊者而非合法對等端點(diǎn)發(fā)送��。驗(yàn)證數(shù)據(jù)分組完整性結(jié)合識別并認(rèn)證對等端點(diǎn)的能力允許中介210提供更加增強(qiáng)的安全的魯棒數(shù)據(jù)流量路徑和處理��。在另ー個(gè)實(shí)施例中,中介210可以檢測包含改變的信息的數(shù)據(jù)分組160被攻擊者用如下方式發(fā)送通過使用它從握手/認(rèn)證消息獲得的數(shù)據(jù)來訪問通信會話的相關(guān)加密密鑰以便看到數(shù)據(jù)分組160內(nèi)部并驗(yàn)證其真實(shí)性�。在一個(gè)實(shí)施例中�,中介210已經(jīng)存儲了用于區(qū)分兩個(gè)或更多個(gè)在相同的對等端點(diǎn)(且因此相同的端點(diǎn)IP地址)之間的同時(shí)發(fā)生的通信會話的信息�。例如�����,用戶數(shù)據(jù)分組160流量(例如用戶訪問電子郵件、用戶訪問互聯(lián)網(wǎng)等)可以與由對等端點(diǎn)的一個(gè)或兩個(gè)的硬件發(fā)送的系統(tǒng)數(shù)據(jù)分組160流量(S卩非用戶發(fā)起的(多個(gè))通信)同時(shí)發(fā)生��。在該示例和實(shí)施例中����,用戶發(fā)起的通信會話將具有發(fā)起者SPI/響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI、組合���,其不同于系統(tǒng)發(fā)起的通信會話的發(fā)起者SPI或響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI���、組合。
作為另ー個(gè)示例,在客戶端100與服務(wù)器110之間可能同時(shí)存在兩個(gè)或更多個(gè)用戶數(shù)據(jù)分組流量通信會話,例如用戶訪問它們的電子郵件,同時(shí)參加與另ー個(gè)用戶的會議會話。在該示例和實(shí)施例中���,每個(gè)用戶數(shù)據(jù)分組流量通信會話將具有唯一的發(fā)起者SPI/響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI��、與其相關(guān)聯(lián)的組合��。作為另ー個(gè)示例��,兩個(gè)不同用戶可以同時(shí)登錄到與相同服務(wù)器110通信的相同客戶端100���。在該示例和實(shí)施例中����,每個(gè)用戶發(fā)起的通信將通過專有的(exclusive)發(fā)起者SPI/響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI、組合來唯一地識別。在所有這些示例和實(shí)施例中���,接收在發(fā)起者100與響應(yīng)者110之間傳輸?shù)臄?shù)據(jù)分組160的中介210使用數(shù)據(jù)分組160中的IP地址連同發(fā)起者SPI或響應(yīng)者服務(wù)器id或可替代地響應(yīng)者SPI以及其存儲的信息將數(shù)據(jù)分組160與特定發(fā)起者/響應(yīng)者通信會話相關(guān)聯(lián)。在這些示例和實(shí)施例中�,如果數(shù)據(jù)分組160信息是正確的����,則中介210將任何基于身份的規(guī)則175相應(yīng)地應(yīng)用到數(shù)據(jù)分組160��。在其中在通信會話中兩個(gè)對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組160在通信會話的初始 化時(shí)被加密的實(shí)施例中���,對等端點(diǎn)(例如客戶端100和服務(wù)器110)沒有任何共享的秘密����。在一個(gè)實(shí)施例中,兩個(gè)對等端點(diǎn)都連接到網(wǎng)絡(luò)并向網(wǎng)絡(luò)認(rèn)證��。在一個(gè)實(shí)施例中���,作為該連接和認(rèn)證協(xié)議的一部分���,授權(quán)令牌和安全策略被提供給客戶端100和服務(wù)器110.在一個(gè)實(shí)施例中�,安全策略描述了需要什么安全和應(yīng)當(dāng)如何將安全策略應(yīng)用到對等端點(diǎn)之間的后續(xù)數(shù)據(jù)通信。在一個(gè)實(shí)施例中���,用于通過認(rèn)證和加密發(fā)起者100與響應(yīng)者110之間的數(shù)據(jù)流的每個(gè)IP分組來保護(hù)IP通信安全的IPsec (網(wǎng)際協(xié)議安全)協(xié)議是經(jīng)認(rèn)證的網(wǎng)際協(xié)議或等價(jià)于、相似于或基于其上的協(xié)議�。在一個(gè)實(shí)施例中,IPsec協(xié)議具有主模式(mm),該主模式中mm安全關(guān)聯(lián)(SA)建立在對等端點(diǎn)之間以加密附加的認(rèn)證和加密密鑰協(xié)議流量����。在IPsec協(xié)議_的實(shí)施例中�����,利用安全通信信道的期望終止點(diǎn)認(rèn)證發(fā)起者設(shè)備和/或用戶。在IPsec協(xié)議mm的實(shí)施例中,終止(響應(yīng)者110)端點(diǎn)利用發(fā)起者100認(rèn)證它自己�����。在一個(gè)實(shí)施例中,由發(fā)起者100和響應(yīng)者110使用的IPsec協(xié)議具有快速模式(qm)���,在該快速模式中用于保護(hù)通信會話數(shù)據(jù)分組安全的安全關(guān)聯(lián)(SA)被協(xié)商和建立����。在一個(gè)實(shí)施例中�����,協(xié)商的qm SA具有一使用期限����,在該使用期限之后需要qm SA密鑰更新(rekey)(在本文中也被稱為密鑰更新事件)���。在一個(gè)實(shí)施例中,發(fā)起者驗(yàn)證tx 500和響應(yīng)者驗(yàn)證tx 530針對姆一個(gè)qm SA密鑰更新而被傳輸����。在該實(shí)施例的ー個(gè)方面��,響應(yīng)者110無需且沒有在針對qm SA密鑰更新傳輸?shù)捻憫?yīng)者驗(yàn)證tx 530中發(fā)送rverify分組690����。在一個(gè)實(shí)施例中���,中介210檢查流過它們的qm SA密鑰更新通信。在一個(gè)實(shí)施例中���,當(dāng)識別新qm時(shí),中介210存儲相應(yīng)的發(fā)起者驗(yàn)證tx 500和響應(yīng)者驗(yàn)證tx 530中所包含的信息���,如前所討論���,用于識別對等端點(diǎn)之間的通信會話的后續(xù)數(shù)據(jù)分組160并對其應(yīng)用基于身份的規(guī)則175����。在該實(shí)施例的ー個(gè)方面���,其中響應(yīng)者110沒有在針對qm SA密鑰更新傳送的響應(yīng)者驗(yàn)證tx 530中發(fā)送rverify分組690,中介210使用先前包括在通信會話的對等端點(diǎn)之間的第一響應(yīng)者驗(yàn)證tx 530中的響應(yīng)者服務(wù)器id 692�。在可替代實(shí)施例中����,不是每個(gè)中介210都可以具有用于通信會話中對等端點(diǎn)的身份的用途。例如,在可替代實(shí)施例中�����,一個(gè)或多個(gè)中介210 (例如12 120)將以相同方式處理穿過它的每一通信���,并且因此無需知道對等端點(diǎn)的身份。在該可替代實(shí)施例中�����,不關(guān)注對等端點(diǎn)身份的ー個(gè)或多個(gè)中介210不需要查看握手消息230�����、修改的握手消息240��、250或260�、發(fā)起者驗(yàn)證tx 500或響應(yīng)者驗(yàn)證tx 530,并且可以將這些消息看作穿過消息。在該可替代實(shí)施例的ー個(gè)方面�����,不關(guān)注對等端點(diǎn)身份的ー個(gè)或多個(gè)中介210將不在任何握手消息240、250或260中包括它們的中介印記���,并且它們的中介印記將不包括在發(fā)起者驗(yàn)證tx500或響應(yīng)者驗(yàn)證tx 530中,也將不用在散列算法660或散列算法670中���。在第二可替代實(shí)施例中�,一個(gè)或多個(gè)中介210可以只關(guān)注通信會話中ー個(gè)對等端點(diǎn)(例如客戶端100)的身份。例如�����,一個(gè)或多個(gè)中介210可以被預(yù)配置成了解一個(gè)對等端點(diǎn)(例如服務(wù)器110)的身份�����,因?yàn)樵搶Φ榷它c(diǎn)對該中介210而言保持不變�。作為另ー個(gè)示例,一個(gè)或多個(gè)中介210可以被配置成基于通信會話中僅一個(gè)對等端點(diǎn)的身份將基于身份的規(guī)則175應(yīng)用于數(shù)據(jù)分組160流量���。在該第二可替代實(shí)施例的ー個(gè)方面��,中介210僅需 要存儲識別特定通信會話的對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組160所必需的信息并基于ー個(gè)對等端點(diǎn)的身份對其應(yīng)用基于身份的規(guī)則175。在可替代實(shí)施例中����,在對等端點(diǎn)傳輸其證書的過程中從事身份曝光(identityexposure)的組織(其可以有效地廣播對等端點(diǎn)的身份)可以使用身份是⑶ID (全局唯一標(biāo)識符)或SID (安全標(biāo)識符)的證書���。在一個(gè)實(shí)施例中����,GUID是用于提供基本唯一的參考數(shù)字的標(biāo)識符�。在一個(gè)實(shí)施例中�����,SID是在登錄過程期間被分配且用于識別諸如網(wǎng)絡(luò)中的用戶或用戶群之類的主體的唯一名稱�,即字母數(shù)字字符串��。在一個(gè)實(shí)施例中,組織具有如下模式�����,其中認(rèn)證令牌可以表現(xiàn)得像智能卡���。在該實(shí)施例的一個(gè)方面,發(fā)起者證書620和/或響應(yīng)者證書650可以是包括宣稱(claims)的處理認(rèn)證標(biāo)記。在一個(gè)實(shí)施例中�,新中介210可以變成包含在兩個(gè)對等端點(diǎn)之間的通信會話中��。例如,新中介210可以在對等端點(diǎn)已經(jīng)向彼此和該通信會話中涉及的初始在線中介認(rèn)證了它們自己且安全關(guān)聯(lián)(SA)已經(jīng)被協(xié)商和建立之后在線。作為另ー個(gè)示例����,路由變更可以重新路由通信會話中的數(shù)據(jù)分組160流量,使得它現(xiàn)在穿過新中介210�。參照圖1B,變成包含在所建立的通信會話中的新中介210的示例描繪了已經(jīng)在圖IA的客戶端100與服務(wù)器110之間在S->C通信方向140上在線的新中介15 155�����。在這些示例和實(shí)施例中��,任何新中介210 (例如中介15 155)必須辨別對等端點(diǎn)(例如客戶端100和服務(wù)器110)中一個(gè)或兩者的身份���,以便能夠?qū)υ谒鼈冎g發(fā)送的數(shù)據(jù)分組160施加基于身份的規(guī)則175�。在一個(gè)實(shí)施例中,到現(xiàn)有通信會話的新中介210請求對等端點(diǎn)重新運(yùn)行身份和認(rèn)證協(xié)議���。在一個(gè)實(shí)施例中���,新中介210 (例如中介15 155)在對等端點(diǎn)之間傳輸?shù)娜魏螖?shù)據(jù)分組160中設(shè)置標(biāo)志����,其指示中介210被新近加入并且身份和認(rèn)證協(xié)議被請求重新運(yùn)行�。在可替代實(shí)施例中�,新中介210附加新分組到在對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組160,其指示中介210請求重新運(yùn)行身份和認(rèn)證協(xié)議��。在又一個(gè)可替代實(shí)施例中����,新中介210生成孤立的重新運(yùn)行傳輸,其將該傳輸沿著中介210包括在其中的通信方向傳輸?shù)綄Φ榷它c(diǎn)以請求重新運(yùn)行身份和認(rèn)證協(xié)議����。在其他可替代實(shí)施例中�,可以使用其他格式來向?qū)Φ榷它c(diǎn)發(fā)信號通知中介210請求重新運(yùn)行身份和認(rèn)證協(xié)議。在一個(gè)實(shí)施例中�����,首先接收中介210對重新運(yùn)行身份和認(rèn)證協(xié)議的請求的對等端點(diǎn)變成了新發(fā)起者并且圖2或圖5的協(xié)議被重新運(yùn)行����。在一個(gè)實(shí)施例中���,如果要接收中介210對重新運(yùn)行身份和認(rèn)證協(xié)議的請求的第一對等端點(diǎn)在初始身份和認(rèn)證協(xié)議通信期間不是發(fā)起者,則該對等端點(diǎn)(即響應(yīng)者110)將向原始發(fā)起者100轉(zhuǎn)發(fā)發(fā)起圖2或圖5的身份和認(rèn)證協(xié)議的通知。在該實(shí)施例的ー個(gè)方面��,響應(yīng)者110可以轉(zhuǎn)發(fā)指示下一個(gè)被發(fā)送的數(shù)據(jù)分組160中的重新運(yùn)行請求到發(fā)起者100�,可以將指示重新運(yùn)行請求的分組附加到下一個(gè)傳輸?shù)臄?shù)據(jù)分組160�,可以將孤立的重新運(yùn)行傳輸轉(zhuǎn)發(fā)到發(fā)起者100,等等����。在一個(gè)實(shí)施例中����,通信會話中的一個(gè)對等端點(diǎn)可以被配置成向中介210認(rèn)證它自己����,同時(shí)另ー個(gè)對等端點(diǎn)未被如此配置�。在該實(shí)施例和圖5的示例中,未被配置成向中介210認(rèn)證它自己的對等端點(diǎn)將在其相應(yīng)的驗(yàn)證tx (例如發(fā)起者驗(yàn)證tx 500或響應(yīng)者驗(yàn)證tx 530)中不包括驗(yàn)證分組,例如iverify分組680或rverify分組690或協(xié)商信息分組�����,例如ineginfo 635或rneginfo 655����。在該實(shí)施例和示例中�����,發(fā)起者100與響應(yīng)者110之間的通信路徑中的中介210將僅能夠應(yīng)用與已知的對等端點(diǎn)的身份關(guān)聯(lián)的�����、基于身份的規(guī)則175,所述已知的對等端點(diǎn)即被配置成且能夠向中介210認(rèn)證它自己的對等端點(diǎn)。圖7A-7C圖示了發(fā)起者對等端點(diǎn)向通信會話中涉及的一個(gè)或多個(gè)中介實(shí)現(xiàn)對等 端點(diǎn)的識別和認(rèn)證的邏輯流的實(shí)施例�����。盡管下面的討論是相對于本文中描繪的系統(tǒng)進(jìn)行的,所述操作可以在其他系統(tǒng)中實(shí)現(xiàn)。而且�,本文所述的操作不限于所示的順序。此外���,在其他可替代實(shí)施例中可以執(zhí)行更多或更少的操作。參照圖7A�����,在實(shí)施例中�����,在決策框700處����,做出關(guān)于是否建立了與另ー個(gè)對等端點(diǎn)(響應(yīng)者)的通信會話以及數(shù)據(jù)分組是否從該另ー個(gè)對等端點(diǎn)接收到的確定�。如果是����,則在一個(gè)實(shí)施例中���,發(fā)起者處理所接收的數(shù)據(jù)分組702��。在決策框704處���,做出關(guān)于發(fā)起者是否具有要傳輸?shù)巾憫?yīng)者的數(shù)據(jù)流量的確定�����。如果是��,發(fā)起者將要被發(fā)送的下一個(gè)數(shù)據(jù)分組傳輸?shù)巾憫?yīng)者706�。在一個(gè)實(shí)施例中����,無論發(fā)起者是否具有要傳輸?shù)臄?shù)據(jù)分組�,該邏輯返回到?jīng)Q策框700,在其中再次做出關(guān)于是否建立了與另ー個(gè)對等端點(diǎn)的通信會話以及數(shù)據(jù)分組是否已被接收的確定����。如果在決策框700處不存在與另ー個(gè)對等端點(diǎn)(響應(yīng)者)建立的當(dāng)前通信會話并且/或者數(shù)據(jù)分組當(dāng)前尚未被接收,則在一個(gè)實(shí)施例中在決策框708處���,做出關(guān)于是否與另ー個(gè)對等端點(diǎn)(響應(yīng)者)建立通信會話以及是否存在要傳輸?shù)臄?shù)據(jù)分組的確定���。如果是,發(fā)起者將要被發(fā)送的下一個(gè)數(shù)據(jù)分組傳輸?shù)巾憫?yīng)者712����。在一個(gè)實(shí)施例中,該邏輯返回到?jīng)Q策框700���。如果在決策框708處不存在與另ー個(gè)對等端點(diǎn)(響應(yīng)者)建立的當(dāng)前通信會話并且/或者不存在要傳輸?shù)漠?dāng)前數(shù)據(jù)分組���,則在一個(gè)實(shí)施例中在決策框712處���,做出關(guān)于是否建立與另ー個(gè)對等端點(diǎn)的新通信會話的確定����。如果是�����,在一個(gè)實(shí)施例中發(fā)起者格式化包括發(fā)起者cookie 714的握手消息并且將格式化的握手消息傳輸?shù)巾憫?yīng)者對等端點(diǎn)716����。圖3A描繪了被發(fā)起者(例如客戶端100)格式化和傳輸?shù)氖痉缎晕帐窒?30的實(shí)施例����。在另ー個(gè)實(shí)施例中,發(fā)起者對握手消息格式化,該握手消息包括足以指明相同端點(diǎn)之間的相關(guān)流量和可以用于區(qū)分發(fā)起者714的數(shù)據(jù)���。在該另ー個(gè)實(shí)施例中��,發(fā)起者將格式化的握手消息傳輸?shù)巾憫?yīng)者對等端點(diǎn)716�。如果在決策框712處不存在與另ー個(gè)對等端點(diǎn)建立的新通信會話��,則在ー個(gè)實(shí)施例中且參照圖7B,在決策框718處���,做出關(guān)于從響應(yīng)者發(fā)送的握手消息是否已被接收到的確定����。如果是,在一個(gè)實(shí)施例中����,從響應(yīng)者接收的握手消息包含發(fā)起者cookie�����、響應(yīng)者cookie和用于位于發(fā)起者與響應(yīng)者之間的姆一個(gè)中介的中介印記�����。圖3D中描繪了由發(fā)起者(例如客戶端100)接收的示范性握手消息260的實(shí)施例�����。在另ー個(gè)實(shí)施例中,所接收的從響應(yīng)者傳輸?shù)奈帐窒阋詤^(qū)分發(fā)起者的數(shù)據(jù)、足以區(qū)分響應(yīng)者的數(shù)據(jù)以及用于介于發(fā)起 者與響應(yīng)者之間的每一個(gè)中介的中介印記����。在一個(gè)實(shí)施例中���,發(fā)起者收集或另外聚集所接收的握手消息中的所有中介印記720。在一個(gè)實(shí)施例中����,所收集的中介印記被輸入到用于發(fā)起者端點(diǎn)認(rèn)證的散列算法�。在一個(gè)實(shí)施例中,發(fā)起者將握手消息往回回波到響應(yīng)者721。參照圖7C,在一個(gè)實(shí)施例中����,發(fā)起者格式化新的發(fā)起者驗(yàn)證tx 750�。圖6A中描繪了示范性發(fā)起者驗(yàn)證tx 500的實(shí)施例��。在一個(gè)實(shí)施例中發(fā)起者設(shè)置發(fā)起者驗(yàn)證tx計(jì)時(shí)器752。在一個(gè)實(shí)施例中���,發(fā)起者使用發(fā)起者驗(yàn)證tx計(jì)時(shí)器來確定它是否在預(yù)定義的時(shí)間限制內(nèi)接收到從響應(yīng)者往回回波的發(fā)起者驗(yàn)證tx�����。在一個(gè)實(shí)施例中�,發(fā)起者將格式化的發(fā)起者驗(yàn)證tx傳輸?shù)巾憫?yīng)者754。再次參照圖7B�����,在決策框718處如果接收到來自響應(yīng)者的握手消息�,則在ー個(gè)實(shí)施例中�,在決策框722處�����,做出關(guān)于所回波的發(fā)起者驗(yàn)證tx是否已被接收的確定����。如果是�,在一個(gè)實(shí)施例中�,發(fā)起者禁止(disable)驗(yàn)證tx計(jì)時(shí)器724,因?yàn)樵隍?yàn)證tx定時(shí)器期滿之前已經(jīng)接收到所回波的發(fā)起者驗(yàn)證tx�����。在一個(gè)實(shí)施例中�,在決策框726處�����,做出關(guān)于密鑰更新事件是否正在發(fā)生�、即發(fā)起者和響應(yīng)者是否正在建立用于它們當(dāng)前通信會話的數(shù)據(jù)傳輸?shù)男录用?cryptographic)密鑰的確定��。如果密鑰更新事件正在發(fā)生��,則在ー個(gè)實(shí)施例中發(fā)起者建立用于當(dāng)前通信會話的新SA 728�����。如前所述����,在一個(gè)實(shí)施例中,SA (安全關(guān)聯(lián))是用于提供在兩個(gè)對等端點(diǎn)之間的安全數(shù)據(jù)連接的安全參數(shù)的邏輯組��。在一個(gè)實(shí)施例中,如果沒有密鑰更新事件當(dāng)前正在進(jìn)行,則發(fā)起者在接收所回波的發(fā)起者驗(yàn)證tx時(shí)將等待響應(yīng)者驗(yàn)證tx。如果在決策框722處沒有回波的發(fā)起者驗(yàn)證tx已被接收,則在一個(gè)實(shí)施例中�����,在決策框730處,做出關(guān)于是否已經(jīng)從響應(yīng)者對等端點(diǎn)接收到初始的���、第一響應(yīng)者驗(yàn)證tx的確定。圖6B描繪了示范性響應(yīng)者驗(yàn)證tx 530的實(shí)施例���。如果初始響應(yīng)者驗(yàn)證tx已被接收����,則在一個(gè)實(shí)施例中發(fā)起者建立用于它自己與響應(yīng)者對等端點(diǎn)之間的通信會話的SA 732���。在一個(gè)實(shí)施例中�����,發(fā)起者在建立用于與響應(yīng)者的現(xiàn)存通信會話的當(dāng)前SA的過程中使用來自響應(yīng)者驗(yàn)證tx的信息和參數(shù)732�。在一個(gè)實(shí)施例中,發(fā)起者在接收到用于通信會話的初始響應(yīng)者驗(yàn)證tx之后將響應(yīng)者驗(yàn)證tx往回回波到響應(yīng)者734����。在一個(gè)實(shí)施例中�,隨后發(fā)起者使用SA將數(shù)據(jù)分組傳輸?shù)巾憫?yīng)者736。如果在決策框730處沒有接收到用于發(fā)起者與響應(yīng)者之間的當(dāng)前通信會話的初始響應(yīng)者驗(yàn)證tx,則參照圖7C,在一個(gè)實(shí)施例中在決策框738處做出關(guān)于發(fā)起者驗(yàn)證tx計(jì)時(shí)器是否已經(jīng)期滿的確定���。如果是��,在一個(gè)實(shí)施例中在決策框740處��,做出關(guān)于是否允許重試傳輸發(fā)起者驗(yàn)證tx的確定���。如果是,在一個(gè)實(shí)施例中�,發(fā)起者再次設(shè)置發(fā)起者驗(yàn)證tx計(jì)時(shí)器752并且將發(fā)起者驗(yàn)證tx傳輸?shù)巾憫?yīng)者754。如果在決策框740處不允許重試傳輸發(fā)起者驗(yàn)證tx��,則在ー個(gè)實(shí)施例中�,與響應(yīng)者的通信會話的建立失敗742。在決策框738處,如果發(fā)起者驗(yàn)證tx計(jì)時(shí)器尚未期滿,則在一個(gè)實(shí)施例中在決策框744處�����,做出關(guān)于與響應(yīng)者的通信會話是否被建立且發(fā)起者是否已接收到響應(yīng)者驗(yàn)證tx的確定。在一個(gè)實(shí)施例中�����,如果在發(fā)起者與響應(yīng)者之間建立了通信會話并且發(fā)起者接收到響應(yīng)者驗(yàn)證tx��,則發(fā)起密鑰更新事件�,即發(fā)起者和響應(yīng)者將建立用于它們的當(dāng)前通信會話的數(shù)據(jù)傳輸?shù)男录用苊荑€。如果在發(fā)起者與響應(yīng)者之間建立了通信會話并且發(fā)起者接收到響應(yīng)者驗(yàn)證tx,則在ー個(gè)實(shí)施例中發(fā)起者將響應(yīng)者驗(yàn)證tx往回回波到響應(yīng)者748。在ー個(gè)實(shí)施例中,發(fā)起者格式化新的發(fā)起者驗(yàn)證tx 750,設(shè)置發(fā)起者驗(yàn)證tx計(jì)時(shí)器752,并且將發(fā)起者驗(yàn)證tx傳輸?shù)巾憫?yīng)者754��。在決策框744處,如果在發(fā)起者與另ー對等端點(diǎn)之間沒有建立通信會話和/或發(fā)起者尚未接收到響應(yīng)者驗(yàn)證tx���,則在ー個(gè)實(shí)施例中在決策框746處,做出關(guān)于新中介是否正在用信號通知在發(fā)起者與響應(yīng)者之間的通信路徑中它的存在的確定��。在一個(gè)實(shí)施例中�����,到現(xiàn)有通信會話的新中介請求對等端點(diǎn)重新運(yùn)行身份和認(rèn)證協(xié)議(其先前用于向中介識別和認(rèn)證對等端點(diǎn))���,即發(fā)起新身份和認(rèn)證事件�。在一個(gè)實(shí)施例中��,新中介設(shè)置對等端點(diǎn)之間的任何數(shù)據(jù)分組中指示該中介是新近加入的標(biāo)志(flag)��,并且請求身份和認(rèn)證事件。在可替代實(shí)施例中,新中介將新分組附加到對等端點(diǎn)之間的數(shù)據(jù)分組���,用信號通知新中介請求 身份和認(rèn)證事件。在另ー個(gè)可替代實(shí)施例中���,新中介生成孤立的重新運(yùn)行傳輸�,它將其沿著中介包括在其中的通信方向發(fā)送到對等端點(diǎn)以請求身份和認(rèn)證事件����。在又一個(gè)可替代實(shí)施例中�����,可以利用其他格式來向至少ー個(gè)對等端點(diǎn)發(fā)信號通知中介請求身份和認(rèn)證事件。如果在決策框746處,確定了新中介正在用信號通知發(fā)起者與響應(yīng)者之間的通信方向上它的存在,則參照圖7A,在一個(gè)實(shí)施例中,發(fā)起者格式化包括發(fā)起者cookie 714或可替代地指明發(fā)起者的數(shù)據(jù)的握手消息,并且將該握手消息傳輸?shù)巾憫?yīng)者716。圖8A-8C圖示了響應(yīng)者對等端點(diǎn)對通信會話中涉及的一個(gè)或多個(gè)中介實(shí)現(xiàn)對等端點(diǎn)的識別和認(rèn)證的邏輯流的實(shí)施例�。盡管下面的討論是相對于本文中描繪的系統(tǒng)進(jìn)行的�����,但是所述操作可以在其他系統(tǒng)中實(shí)現(xiàn)�。而且,本文所述的操作不限于所示的順序��。此外���,在其他可替代實(shí)施例中可以執(zhí)行更多或更少的操作。參照圖8A�,在實(shí)施例中����,在決策框800處�,做出關(guān)于是否建立與另ー個(gè)對等端點(diǎn)(發(fā)起者)的通信會話以及是否已經(jīng)從該另ー個(gè)對等端點(diǎn)接收到數(shù)據(jù)分組的確定�����。如果是��,則在ー個(gè)實(shí)施例中����,響應(yīng)者處理所接收的數(shù)據(jù)分組802��。在決策框804處,做出關(guān)于響應(yīng)者是否具有要傳輸?shù)臄?shù)據(jù)分組的確定���。如果是��,響應(yīng)者將要被發(fā)送的下一個(gè)數(shù)據(jù)分組傳輸?shù)桨l(fā)起者806。在一個(gè)實(shí)施例中,無論響應(yīng)者是否具有要傳輸?shù)臄?shù)據(jù)分組�����,該邏輯返回到?jīng)Q策框800���,在其中再次做出關(guān)于是否建立與另ー個(gè)對等端點(diǎn)的通信會話以及數(shù)據(jù)分組是否已被接收的確定。如果在決策框800處不存在與另ー個(gè)對等端點(diǎn)建立的當(dāng)前通信會話并且/或者數(shù)據(jù)分組當(dāng)前尚未被接收��,則在一個(gè)實(shí)施例中在決策框808處���,做出關(guān)于是否建立與另ー個(gè)對等端點(diǎn)(發(fā)起者)的通信會話以及SA計(jì)時(shí)器是否期滿的確定��。在一個(gè)實(shí)施例中���,響應(yīng)者使用SA計(jì)時(shí)器確定何時(shí)發(fā)起新密鑰更新事件以建立用于當(dāng)前發(fā)起者/響應(yīng)者通信會話的數(shù)據(jù)傳輸?shù)男录用苊荑€。如果建立了與發(fā)起者的通信會話并且SA計(jì)時(shí)器已經(jīng)期滿�,在一個(gè)實(shí)施例中��,響應(yīng)者建立用于當(dāng)前發(fā)起者/響應(yīng)者通信會話的新SA 810���。在一個(gè)實(shí)施例中,響應(yīng)者格式化新的響應(yīng)者驗(yàn)證tx 812����。圖6B中描繪了示范性響應(yīng)者驗(yàn)證tx 530的實(shí)施例�����。在一個(gè)實(shí)施例中��,響應(yīng)者設(shè)置了響應(yīng)者驗(yàn)證tx計(jì)時(shí)器814��。在一個(gè)實(shí)施例中�����,響應(yīng)者使用響應(yīng)者驗(yàn)證tx計(jì)時(shí)器來確定它是否在預(yù)定義的時(shí)間限制內(nèi)接收到從發(fā)起者往回回波的響應(yīng)者驗(yàn)證tx����。在一個(gè)實(shí)施例中響應(yīng)者將響應(yīng)者驗(yàn)證tx傳輸?shù)桨l(fā)起者816。如果在決策框808處不存在當(dāng)前針對發(fā)起者和響應(yīng)者建立的通信會話和/或SA計(jì)時(shí)器尚未期滿��,則在一個(gè)實(shí)施例中并參照圖8B,在決策框818����,做出關(guān)于是否建立了與另一個(gè)對等端點(diǎn)(發(fā)起者)的通信會話且響應(yīng)者是否具有要傳輸?shù)臄?shù)據(jù)分組的確定。如果是,在一個(gè)實(shí)施例中�,響應(yīng)者將下ー個(gè)要發(fā)送的數(shù)據(jù)分組傳輸?shù)桨l(fā)起者820��。在一個(gè)實(shí)施例中��,該邏輯轉(zhuǎn)到?jīng)Q策框800�。 如果在決策框818處不存在與另ー個(gè)對等端點(diǎn)建立的現(xiàn)存通信會話并且/或者當(dāng)前不存在要傳輸?shù)臄?shù)據(jù)分組����,則在一個(gè)實(shí)施例中在決策框822處,做出關(guān)于是否接收到了來自發(fā)起者的、沒有響應(yīng)者cookie或可替代地響應(yīng)者區(qū)分?jǐn)?shù)據(jù)的握手消息����。如果是�����,在一個(gè)實(shí)施例中響應(yīng)者通過添加響應(yīng)者cookie或可替代地可以用于區(qū)分響應(yīng)者的數(shù)據(jù)來修改所接收的握手消息824。圖3C描繪了示范性響應(yīng)者修改的握手消息250的實(shí)施例�。在可替代實(shí)施例中,響應(yīng)者對包括如下內(nèi)容的新握手消息進(jìn)行格式化來自所接收的握手消息的發(fā)起者cookie���、響應(yīng)者cookie和包含在所接收的握手消息內(nèi)的任何中介印記���。在另ー個(gè)可替代實(shí)施例中,響應(yīng)者對包括如下內(nèi)容的新握手消息進(jìn)行格式化可以用于區(qū)分發(fā)起者的、包含在所接收的握手消息中的數(shù)據(jù)��、可以用于區(qū)分響應(yīng)者的數(shù)據(jù)以及包含在所接收的握手消息中的任何中介印記。在一個(gè)實(shí)施例中,響應(yīng)者將包含發(fā)起者cookie���、響應(yīng)者cookie或可替代地區(qū)分發(fā)起者和響應(yīng)者的數(shù)據(jù)的握手消息傳輸?shù)桨l(fā)起者826。在一個(gè)實(shí)施例中�����,該邏輯返回到?jīng)Q策框800���。如果在決策框822處沒有接收到具有響應(yīng)者cookie或可替代地區(qū)分響應(yīng)者的數(shù)據(jù)的握手消息����,則在ー個(gè)實(shí)施例中在決策框828處,做出關(guān)于是否已經(jīng)接收到來自發(fā)起者的��、包括響應(yīng)者cookie或可替代地區(qū)分響應(yīng)者的數(shù)據(jù)的握手消息的確定。圖3D描繪了包括響應(yīng)者cookie 335并從發(fā)起者100傳輸?shù)氖痉缎晕帐窒?60的實(shí)施例��。如果在決策框828處接收到了具有響應(yīng)者cookie或可替代地區(qū)分響應(yīng)者的數(shù)據(jù)的握手消息����,則在ー個(gè)實(shí)施例中在發(fā)起者-響應(yīng)者和響應(yīng)者-發(fā)起者通信方向上的所有中介現(xiàn)在已經(jīng)接收到包含可以用于區(qū)分發(fā)起者和響應(yīng)者的數(shù)據(jù)的消息�。在一個(gè)實(shí)施例中,具有響應(yīng)者cookie或可替代地區(qū)分響應(yīng)者的數(shù)據(jù)的握手消息還包含發(fā)起者與響應(yīng)者之間的所有中介的中介印記���。在一個(gè)實(shí)施例中,響應(yīng)者收集或另外聚集所接收的握手消息中的所有中介印記830�。在一個(gè)實(shí)施例中�����,所收集的中介印記被輸入到用于響應(yīng)者端點(diǎn)認(rèn)證的散列算法��。如果在決策框828處沒有接收到具有響應(yīng)者cookie或區(qū)分響應(yīng)者的數(shù)據(jù)的握手消息����,則在ー個(gè)實(shí)施例中在決策框832處做出關(guān)于發(fā)起者驗(yàn)證tx是否已被接收的確定�����。圖6A描繪了示范性發(fā)起者驗(yàn)證tx 500的實(shí)施例��。如果發(fā)起者驗(yàn)證tx已被接收,則在ー個(gè)實(shí)施例中���,響應(yīng)者將發(fā)起者驗(yàn)證tx往回回波到發(fā)起者834�����。參照圖8C,在一個(gè)實(shí)施例中在決策框854處,做出關(guān)于密鑰更新事件是否正在發(fā)生的確定。如果是����,在一個(gè)實(shí)施例中,響應(yīng)者設(shè)置用于當(dāng)前發(fā)起者/響應(yīng)者通信會話的新SA會話的SA會話計(jì)時(shí)器856。如果在決策框854處不存在密鑰更新事件�����,則在ー個(gè)實(shí)施例中并參照圖8A�����,響應(yīng)者建立用于發(fā)起者/響應(yīng)者通信會話的新SA 810����。在一個(gè)實(shí)施例中���,響應(yīng)者格式化新響應(yīng)者驗(yàn)證tx 812,設(shè)置響應(yīng)者驗(yàn)證tx計(jì)時(shí)器814并且將響應(yīng)者驗(yàn)證tx傳輸?shù)桨l(fā)起者816��。再次參照圖SB,如果在決策框832處沒有接收到發(fā)起者驗(yàn)證tx�,則在ー個(gè)實(shí)施例中并參照圖8C,在決策框836處做出關(guān)于從發(fā)起者往回回波的響應(yīng)者驗(yàn)證tx是否已被接收的確定���。如果是,在一個(gè)實(shí)施例中響應(yīng)者禁止響應(yīng)者驗(yàn)證tx計(jì)時(shí)器838,因?yàn)樗呀?jīng)在響應(yīng)者驗(yàn)證tx計(jì)時(shí)器期滿之前成功地接收到從發(fā)起者往回回波的響應(yīng)者驗(yàn)證tx�。在決策框840處,做出關(guān)于密鑰更新事件是否正在發(fā)生的確定�。如果不是�����,在一個(gè)實(shí)施例中��,響應(yīng)者建立用于發(fā)起者與響應(yīng)者之間的新SA會話的SA會話計(jì)時(shí)器842���。如果在決策框840處��,正在發(fā)生密鑰更新事件��,則在ー個(gè)實(shí)施例中,當(dāng)接收到從發(fā)起者往回回波的響應(yīng)者驗(yàn)證tx時(shí),響應(yīng)者現(xiàn)在等待發(fā)起者驗(yàn)證tx�。圖6A中描繪了示范性發(fā)起者驗(yàn)證tx 500的實(shí)施例�。如果在決策框836處沒有接收到回波的響應(yīng)者驗(yàn)證tx����,則在ー個(gè)實(shí)施例中在決策框844處做出關(guān)于響應(yīng)者驗(yàn)證tx計(jì)時(shí)器是否已期滿的確定。如果是,在一個(gè)實(shí)施例中在決策框846處做出關(guān)于是否允許重試傳輸響應(yīng)者驗(yàn)證tx的確定����。如果是���,在一個(gè)實(shí)施例中并參照圖8A,響應(yīng)者再次設(shè)置響應(yīng)者驗(yàn)證tx計(jì)時(shí)器814并將響應(yīng)者驗(yàn)證tx傳輸?shù)桨l(fā)起者816���。如果在決策框846處�����,不允許重試傳輸響應(yīng)者驗(yàn)證tx���,則在ー個(gè)實(shí)施例中���,與發(fā)起者的通信會話的建立失敗848。如果在決策框844處響應(yīng)者驗(yàn)證tx計(jì)時(shí)器尚未期滿��,則在ー個(gè)實(shí)施例中在決策框850處��,做出關(guān)于新中介是否發(fā)信號通知在發(fā)起者與響應(yīng)者之間的通信路徑中它的存在的確定。在一個(gè)實(shí)施例中,到現(xiàn)有通信會話的新中介請求對等端點(diǎn)重新運(yùn)行先前用于識別并向中介認(rèn)證對等端點(diǎn)的身份和認(rèn)證協(xié)議,即新身份和認(rèn)證事件被發(fā)起��。如果在決策框850處��,新中介正在發(fā)信號通知在發(fā)起者與響應(yīng)者之間的通信路徑中它的存在��,則在ー個(gè)實(shí)施例中�,響應(yīng)者通知發(fā)起者在用于當(dāng)前通信會話的對等端點(diǎn)之間發(fā)起新身份和認(rèn)證事件852�����。在該實(shí)施例的ー個(gè)方面��,響應(yīng)者將指示中介的存在的中介信號在從響應(yīng)者傳輸?shù)桨l(fā)起者的下一個(gè)數(shù)據(jù)分組中或利用該數(shù)據(jù)分組傳遞到發(fā)起者����。在可替代實(shí)施例中,響應(yīng)者在接收到新中介正在加入通信會話路徑的中介信號時(shí)變成發(fā)起者并且開始與原始發(fā)起者(其現(xiàn)在充當(dāng)響應(yīng)者)的新身份和認(rèn)證事件。圖9A-9D圖示了在兩個(gè)對等端點(diǎn)(即發(fā)起者和響應(yīng)者)之間的通信路徑中的中介實(shí)施(effect)對等端點(diǎn)的識別和認(rèn)證以例如用于對在對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組實(shí)現(xiàn)基于身份的規(guī)則的邏輯流程的實(shí)施例。盡管下面的討論是相對于本文所描述的系統(tǒng)進(jìn)行的��,但是所述操作可以在其他系統(tǒng)中實(shí)現(xiàn)�。而且,本文所示的操作不限于所示的順序�。此外,在其他可替代實(shí)施例中��,可以執(zhí)行更多或更少的操作。參照圖9A,在一個(gè)實(shí)施例中,兩個(gè)對等端點(diǎn)(例如客戶端和服務(wù)器)之間的通信路徑中的中介接收源自對等端點(diǎn)之一的消息900。在一個(gè)實(shí)施例中在決策框902處,做出關(guān)于所接收的消息是否包含該中介的中介印記的確定��。如果是,在決策框904處��,做出關(guān)于所接收的消息是否是握手消息的確定。中介(例如圖IA的Il 115)可以接收的示范性握手消息實(shí)施例包括圖3A的示范性握手消息230和圖3D的示范性握手消息260。
如果在決策框904處確定了所接收的消息是對等端點(diǎn)之間的握手消息�,則在ー個(gè)實(shí)施例中��,中介從握手消息獲得對等端點(diǎn)的IP地址并存儲該IP地址906����。在一個(gè)實(shí)施例中�����,中介從握手消息獲得發(fā)起者cookie和(如果包含在握手消息內(nèi))響應(yīng)者cookie并將其存儲�。在可替代實(shí)施例中����,中介從握手消息獲得區(qū)分發(fā)起者的數(shù)據(jù)和(如果包含在握手消息內(nèi))區(qū)分響應(yīng)者的數(shù)據(jù)和識別如在發(fā)起者與響應(yīng)者之間的握手消息流量的數(shù)據(jù)并將其存儲906�。在一個(gè)實(shí)施例中��,發(fā)起者將所接收的消息在通信路徑中轉(zhuǎn)發(fā)908����。然后在一個(gè)實(shí)施例中結(jié)束對當(dāng)前接收的握手消息的處理910�����。如果在決策框902處所接收的消息不包含中介印記,則在一個(gè)實(shí)施例中在決策框912處���,做出關(guān)于所接收的消息是否是握手消息的確定。如果是���,在一個(gè)實(shí)施例中�����,中介從握手消息獲得對等端點(diǎn)的IP地址��、發(fā)起者cookie以及(如果包含在當(dāng)前握手消息內(nèi))響應(yīng)者cookie并將其存儲914�。在可替代實(shí)施例中���,中介從握手消息獲得區(qū)分發(fā)起者的數(shù)據(jù)和(如果包含在當(dāng)前 握手消息內(nèi))區(qū)分響應(yīng)者的數(shù)據(jù)以及識別如在發(fā)起者與響應(yīng)者之間的握手消息流量的數(shù)據(jù)并將其存儲914���。在一個(gè)實(shí)施例中����,中介生成將要添加到握手消息的中介印記916���。圖4描繪了示范性中介印記400的實(shí)施例�。在一個(gè)實(shí)施例中�����,中介利用所接收的握手消息包括其中介印記918并將現(xiàn)在修改的握手消息在通信路徑中傳輸908����。然后在一個(gè)實(shí)施例中��,隨后結(jié)束對當(dāng)前接收的握手消息的處理910。如果在決策框912處確定了所接收的消息不是握手消息��,則在ー個(gè)實(shí)施例中并參照圖9B�����,在決策框920處做出關(guān)于所接收的消息是否是去往/來自當(dāng)前存儲的對等端點(diǎn)組合(例如當(dāng)前存儲的IP地址組合)的確定��。在該實(shí)施例中�����,在決策框920處�,做出關(guān)于中介是否認(rèn)識到當(dāng)前所接收的消息去往/來自的對等端點(diǎn)的身份。如果是,在一個(gè)實(shí)施例中��,中介使用所接收的消息中的IP地址和/或所接收的消息中的指明消息在發(fā)起者與響應(yīng)者之間的數(shù)據(jù)來確定所接收的消息的發(fā)起者和響應(yīng)者924����。在一個(gè)實(shí)施例中����,中介使用在用于當(dāng)前通信會話的發(fā)起者和響應(yīng)者的身份和認(rèn)證事件期間收集的所存儲的發(fā)起者/響應(yīng)者信息�����,以識別其一部分是所接收的消息的特定通信會話925���。在一個(gè)實(shí)施例中,在決策框926處,中介做出關(guān)于所接收的消息中的信息對所接收的消息似乎為其一部分的特定通信會話的對等端點(diǎn)而言是否是有效的確定(例如替代攻擊是否似乎要發(fā)生)����。以此方式���,在一個(gè)實(shí)施例中�����,在決策框925處,中介驗(yàn)證據(jù)稱在所建立的通信會話的兩個(gè)對等端點(diǎn)之間正在傳輸?shù)臄?shù)據(jù)分組的完整性�。如果在決策框926處�,數(shù)據(jù)分組的諸如ー個(gè)或兩個(gè)地址和/或ー個(gè)或ニ個(gè)SPI之類的信息已被篡改����,或者否則被認(rèn)為無效���,則在一個(gè)實(shí)施例中���,中介記錄錯(cuò)誤927�����,以及對當(dāng)前接收的數(shù)據(jù)分組消息的處理結(jié)束 910。在一個(gè)實(shí)施例中����,中介可以確定包含改變的信息的數(shù)據(jù)分組已由攻擊者而不是合法的對等端點(diǎn)發(fā)送��。驗(yàn)證數(shù)據(jù)分組完整性結(jié)合識別和認(rèn)證對等端點(diǎn)的能力允許中介提供更加增強(qiáng)的安全的魯棒的數(shù)據(jù)流量路徑和處理�����。在另ー個(gè)實(shí)施例中,中介可以通過使用它先前從握手和/或認(rèn)證消息獲得的信息訪問通信會話的相關(guān)加密密鑰以便看到數(shù)據(jù)分組內(nèi)部以驗(yàn)證其完整性,來檢測數(shù)據(jù)分組包含改變的信息并且因此可以被認(rèn)為由攻擊者發(fā)送。
在一個(gè)實(shí)施例中���,通過在其通信方向路徑上發(fā)送獨(dú)立消息到對等端點(diǎn)���,中介可以記錄指示所接收的消息信息錯(cuò)誤的數(shù)據(jù)分組錯(cuò)誤。如果在決策框926處�����,在所接收的數(shù)據(jù)分組中沒有發(fā)現(xiàn)錯(cuò)誤或沒有感知到無效信息����,則在ー個(gè)實(shí)施例中�����,在處理用于在通信路徑中進(jìn)ー步傳輸?shù)乃邮盏臄?shù)據(jù)分組的過程中���,中介基于發(fā)起者和/或響應(yīng)者身份將任何建立的基于身份的規(guī)則應(yīng)用于數(shù)據(jù)分組928。在一個(gè)實(shí)施例中����,數(shù)據(jù)分組依照對其應(yīng)用的基于身份的規(guī)則在通信會話的通信路徑中被傳輸928。在一個(gè)實(shí)施例中結(jié)束對當(dāng)前所接收的數(shù)據(jù)分組的處理910。如果在決策框920處所接收的消息不是去往和/或來自當(dāng)前由中介存儲的對等端點(diǎn)組合�,則在ー個(gè)實(shí)施例中��,中介可以認(rèn)為它新近加入了兩個(gè)對等端點(diǎn)之間的現(xiàn)有通信會話��。在一個(gè)實(shí)施例中�����,中介向一個(gè)或兩個(gè)對等端點(diǎn)發(fā)信號通知它新近加入通信路徑并且它請求發(fā)起身份和認(rèn)證事件以便中介識別和認(rèn)證ー個(gè)或兩個(gè)對等端點(diǎn)922。在一個(gè)實(shí)施例中��,中介在正在對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組中設(shè)置標(biāo)志���,指示中介新近加入對等端點(diǎn)的通信路徑中并且它請求身份和認(rèn)證事件922���。在可替代實(shí)施例中,中介將新分組附加到正在對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組以發(fā)信號通知中介請求身份和認(rèn)證事件922。在第二可替代實(shí)施例中����,中介生成孤立重新運(yùn)行傳輸,它將其沿著該中介被包括在其中的通信方向發(fā)送到對等端點(diǎn)以請求身份和認(rèn)證事件922����。在第二可替代實(shí)施例中�,中介同樣將原始的所接收的數(shù)據(jù)分組沿著適當(dāng)?shù)耐ㄐ欧较蜣D(zhuǎn)發(fā)922���。在其它可替代實(shí)施例中��,可以利用其他格式向至少ー個(gè)對等端點(diǎn)發(fā)信號通知中介請求身份和認(rèn)證事件。在一個(gè)實(shí)施例中�,然后結(jié)束對當(dāng)前接收的數(shù)據(jù)分組的處理910����。回顧圖9A����,如果在決策框904處當(dāng)前接收的消息不是握手消息,但它包含該中介的中介印記,則在一個(gè)實(shí)施例中并參照圖9C,在決策框930處做出關(guān)于所接收的消息是否是發(fā)起者驗(yàn)證tx的確定��。圖6A描繪了示范性發(fā)起者驗(yàn)證tx 500的實(shí)施例。如果新近接收的消息是發(fā)起者驗(yàn)證tx,則在ー個(gè)實(shí)施例中��,中介從發(fā)起者驗(yàn)證tx獲得散列id和發(fā)起者SPI或服務(wù)器id和中介印記。在一個(gè)實(shí)施例中���,中介使用存儲的正被建立當(dāng)前通信會話的發(fā)起者和響應(yīng)者的信息和從發(fā)起者驗(yàn)證tx獲得的信息來譯解發(fā)起者簽名并確定發(fā)起者簽名是否正確地與發(fā)起者證書或發(fā)起者證書信息關(guān)聯(lián)936�。在ー個(gè)實(shí)施例中�,發(fā)起者驗(yàn)證tx中的發(fā)起者簽名是簽署的簽名值�。在一個(gè)實(shí)施例中,所簽署的簽名值是散列算法在發(fā)起者cookie���、響應(yīng)者cookie和中介印記上的結(jié)果�����。在一個(gè)實(shí)施例中�,發(fā)起者驗(yàn)證tx包含ineginfo分組中的散列id和發(fā)起者SPI或服務(wù)器id���。在一個(gè)實(shí)施例中,中介具有它需要用來譯解發(fā)起者簽名并嘗試將其與發(fā)起者證書或發(fā)起者證書信息關(guān)聯(lián)的信息���。在一個(gè)實(shí)施例中����,在決策框938處�,中介確定簽名是否是真實(shí)的���,即所譯解的發(fā)起者簽名是否正確地與發(fā)起者驗(yàn)證tx中所包括的證書、所存儲的發(fā)起者證書或所存儲的發(fā)起者證書信息關(guān)聯(lián)����。如果是���,則中介已經(jīng)利用發(fā)起者證書信息或發(fā)起者證書中的信息識別 了發(fā)起者����,并且也認(rèn)證了發(fā)起者935��。在一個(gè)實(shí)施例中��,中介將發(fā)起者SPI或服務(wù)器id與發(fā)起者關(guān)聯(lián)����,并且存儲來自發(fā)起者驗(yàn)證tx的發(fā)起者SPI或服務(wù)器id和散列id以供未來在證明數(shù)據(jù)分組和將基于身份的規(guī)則應(yīng)用到當(dāng)前通信會話傳輸?shù)臄?shù)據(jù)分組中使用940���。在一個(gè)實(shí)施例中���,中介將ー個(gè)或多個(gè)基于身份的規(guī)則與所識別的發(fā)起者關(guān)聯(lián)以在處理在發(fā)起者與響應(yīng)者對等端點(diǎn)之間傳輸?shù)臄?shù)據(jù)分組中使用941��。在一個(gè)實(shí)施例中��,中介在發(fā)起者與響應(yīng)者之間的通信路徑中轉(zhuǎn)發(fā)發(fā)起者驗(yàn)證tx 942。在一個(gè)實(shí)施例中��,結(jié)束對當(dāng)前接收的發(fā)起者驗(yàn)證tx消息的處理910。如果在決策框938處,中介已經(jīng)確定發(fā)起者簽名是無效的或不真實(shí)的,則在ー個(gè)實(shí)施例中���,中介記錄錯(cuò)誤944�。在一個(gè)實(shí)施例中�,結(jié)束對當(dāng)前接收的無效的發(fā)起者驗(yàn)證tx消息的處理910��。如果在決策框930處�,所接收的消息不是發(fā)起者驗(yàn)證tx,則在決策框932處�����,做出關(guān)于所接收的消息是否是響應(yīng)者驗(yàn)證tx的確定��。圖6B描繪了示范性響應(yīng)者tx 530的實(shí)施例�����。如果新近接收的消息是響應(yīng)者驗(yàn)證tx,則在ー個(gè)實(shí)施例中并參照圖9D,中介從響應(yīng)者驗(yàn)證tx獲得散列id��、響應(yīng)者服務(wù)器id或SPI和中介印記��。在一個(gè)實(shí)施例中�����,中介使用存儲的用于當(dāng)前正被建立的通信會話的發(fā)起者和響應(yīng)者的信息以及從響應(yīng)者驗(yàn)證tx獲得的信息來譯解響應(yīng)者簽名并確定所譯解的響應(yīng)者簽名是否正確地與響應(yīng)者證書或響應(yīng)者證書イ目息關(guān)聯(lián)���,948�����。 在一個(gè)實(shí)施例中響應(yīng)者驗(yàn)證tx中的響應(yīng)者簽名是所簽署的簽名值。在一個(gè)實(shí)施例中����,所簽署的簽名值是散列算法在發(fā)起者cookie�����、響應(yīng)者cookie和中介印記上的結(jié)果。在一個(gè)實(shí)施例中,響應(yīng)者驗(yàn)證tx包含rneginfo分組中的散列id和響應(yīng)者服務(wù)器id或SPI。在一個(gè)實(shí)施例中,中介具有它需要用來譯解響應(yīng)者簽名并嘗試將其與響應(yīng)者證書或響應(yīng)者證書彳目息關(guān)聯(lián)的彳目息。在一個(gè)實(shí)施例中��,在決策框950處����,中介確定響應(yīng)者簽名是否是真實(shí)的,即所譯解的響應(yīng)者簽名是否正確地與響應(yīng)者驗(yàn)證tx中所包括的響應(yīng)者證書���、所存儲的響應(yīng)者證書或所存儲的響應(yīng)者證書信息關(guān)聯(lián)���。如果是�,則中介已經(jīng)利用響應(yīng)者證書信息或響應(yīng)者證書中的信息識別了響應(yīng)者�����,并且也認(rèn)證了響應(yīng)者952。在一個(gè)實(shí)施例中��,中介將響應(yīng)者服務(wù)器id或SPI與響應(yīng)者關(guān)聯(lián),并且存儲來自響應(yīng)者驗(yàn)證tx的響應(yīng)者服務(wù)器id或SPI和散列id以供未來在證明所接收的數(shù)據(jù)分組和將基于身份的規(guī)則應(yīng)用到當(dāng)前通信會話傳輸?shù)臄?shù)據(jù)分組中使用954�����。在一個(gè)實(shí)施例中,中介將ー個(gè)或多個(gè)基于身份的規(guī)則與所識別的響應(yīng)者關(guān)聯(lián)以在處理在發(fā)起者與響應(yīng)者之間傳輸?shù)臄?shù)據(jù)分組中使用956���。在一個(gè)實(shí)施例中���,中介還或可替代地可以將ー個(gè)或多個(gè)基于身份的規(guī)則與所識別的響應(yīng)者和先前識別的發(fā)起者關(guān)聯(lián)以在處理發(fā)起者與響應(yīng)者之間傳輸?shù)臄?shù)據(jù)分組中使用956。在一個(gè)實(shí)施例中��,中介在發(fā)起者與響應(yīng)者之間的通信路徑中將響應(yīng)者驗(yàn)證tx轉(zhuǎn)發(fā)958。在一個(gè)實(shí)施例中,對當(dāng)前接收的響應(yīng)者驗(yàn)證tx消息的處理結(jié)束910����。如果在決策框950處,中介已經(jīng)確定響應(yīng)者簽名是無效的或不真實(shí)的,則在ー個(gè)實(shí)施例中�,中介記錄錯(cuò)誤960����。在一個(gè)實(shí)施例中��,結(jié)束對無效的響應(yīng)者驗(yàn)證tx消息的處理910���。再次參照圖9C,如果在決策框932處所接收的消息不是響應(yīng)者驗(yàn)證tx����,則在ー個(gè)實(shí)施例中,中介不能識別所接收的消息�����。在一個(gè)實(shí)施例中結(jié)束對未知消息的處理910���。計(jì)算設(shè)備系統(tǒng)配置
圖10是圖示其上可以實(shí)現(xiàn)實(shí)施例的示范性計(jì)算設(shè)備系統(tǒng)1000的框圖���。該計(jì)算設(shè)備系統(tǒng)1000包括總線1005或用于傳送信息的其他機(jī)構(gòu),以及與總線1005耦合以用于處理信息的處理單元1010���。計(jì)算設(shè)備系統(tǒng)1000還包括系統(tǒng)存儲器1015�����,其可以是易失性的或動(dòng)態(tài)的���,比如隨機(jī)存取存儲器(RAM)���,非易失性的或靜態(tài)的��,比如只讀存儲器(ROM)���,或閃存或ニ者的某種組合���。系統(tǒng)存儲器1015耦合到總線1005以用于存儲信息和要被處理單元1010執(zhí)行的指令�����,并且還可以用于存儲在處理單元1010執(zhí)行指令期間的臨時(shí)變量或其他中間信息��。系統(tǒng)存儲器1015經(jīng)常包含操作系統(tǒng)和ー個(gè)或多個(gè)程序�����,并且還可以包括程序數(shù)據(jù)�����。在一個(gè)實(shí)施例中��,諸如磁盤或光盤之類的存儲設(shè)備1020也耦合到總線1005以用于存儲包括含有指令和/或數(shù)據(jù)的程序代碼的信息�����。計(jì)算設(shè)備系統(tǒng)1000 —般地包括ー個(gè)或多個(gè)顯示設(shè)備1035,比如但不限于顯示屏(如陰極射線管(CRT)或液晶顯示器(LCD))、打印機(jī)以及ー個(gè)或多個(gè)揚(yáng)聲器��,以用于向計(jì)算設(shè)備用戶提供信息。計(jì)算設(shè)備系統(tǒng)1000 —般地還包括ー個(gè)或多個(gè)輸入設(shè)備1030���,比如但不限于鍵盤�、鼠標(biāo)�、軌跡球、筆�、(多個(gè))語音輸入設(shè)備和觸摸輸入設(shè)備�����,計(jì)算設(shè)備可以使用輸入設(shè)備向處理單元1010傳送信息和命令選擇。所有這些設(shè)備在本領(lǐng)域是已知的并且在這里不需要詳細(xì)討論。處理單元1010執(zhí)行系統(tǒng)存儲器1015中所包含的一個(gè)或多個(gè)程序指令的一個(gè)或多個(gè)序列�����。這些指令可以從另一個(gè)計(jì)算設(shè)備可讀介質(zhì)讀取到系統(tǒng)存儲器1015中��,所述另ー個(gè)計(jì)算設(shè)備可讀介質(zhì)包括但不限于存儲設(shè)備1020���。在可替代實(shí)施例中���,硬布線電路代替軟件程序指令或與之結(jié)合地使用。該計(jì)算設(shè)備系統(tǒng)環(huán)境不限于硬件電路和/或軟件的任意特定組合����。如本文所使用的術(shù)語“計(jì)算設(shè)備可讀介質(zhì)”意指可以參與向處理單元1010提供程序指令以供執(zhí)行的任何介質(zhì)����。這種介質(zhì)可以采用許多形式,包括但不限于存儲介質(zhì)和傳輸介質(zhì)。存儲介質(zhì)的示例包括但不限于�,RAM��、ROM�����、EEPR0M、閃存�、CD-ROM、數(shù)字通用盤(DVD)���、盒式磁帶��、磁帶���、磁盤存儲��,或任何其他磁性介質(zhì)����、軟盤����、弾性盤、打孔卡、紙帶����,或具有孔洞��、存儲器芯片或卡盤模式的任何其他物理介質(zhì)。計(jì)算設(shè)備系統(tǒng)1000的系統(tǒng)存儲器1015和存儲設(shè)備1020是存儲介質(zhì)的進(jìn)一歩的示例����。傳輸介質(zhì)的示例包括但不限于,有線介質(zhì)(比如同軸電纜�、銅線和光纖)和無線介質(zhì)(比如光學(xué)信號、聲學(xué)信號��、RF信號和紅外信號)。計(jì)算設(shè)備系統(tǒng)1000還包括耦合到總線1005的ー個(gè)或多個(gè)通信連接1050����。(多個(gè))通信連接1050在局域網(wǎng)(LAN) 1065和/或廣域網(wǎng)(WAN)(包括萬維網(wǎng)或因特網(wǎng)1070)上提供從計(jì)算設(shè)備系統(tǒng)1000到其他計(jì)算設(shè)備的雙向數(shù)據(jù)通信耦合����。(多個(gè))通信連接1050的示例包括但不限于綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)卡、調(diào)制解調(diào)器�、LAN卡和能夠發(fā)送和接收電��、電磁�、光�、聲學(xué)��、RF或紅外信號的任何設(shè)備。由計(jì)算設(shè)備系統(tǒng)1000接收的通信可以包括程序指令和程序數(shù)據(jù)�。由計(jì)算設(shè)備系統(tǒng)1000接收的程序指令在它們被接收時(shí)可以由處理單元1010執(zhí)行��,和/或存儲在存儲設(shè)備1020或其他非易失性存儲器中以供稍后執(zhí)行。結(jié)論
盡管本文描述了各種實(shí)施例,但是這些實(shí)施例僅通過示例呈現(xiàn)并且不g在限制要求保護(hù)的主題的范圍���。許多保持在所附權(quán)利要求的范圍內(nèi)的變形是可能的�。這樣的變形在檢查本文的說明書����、附圖和權(quán)利要求之后是清楚的。因此����,要求保護(hù)的主題的寬度和范圍沒有被限制于除了所附權(quán)利要求及其等價(jià)物限定之外��。權(quán)利要求
1.一種用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法����,該方法包括 生成中介印記���; 將所述中介印記添加到源自對等端點(diǎn)的第一消息以生成修改的第一消息���,其中源自對等端點(diǎn)的第一消息由兩個(gè)對等端點(diǎn)在建立這兩個(gè)對等端點(diǎn)之間的通信會話中使用�����; 在所述通信會話的通信路徑中傳輸所述修改的第一消息�; 接收源自兩個(gè)對等端點(diǎn)的第一個(gè)的�、包括所述中介印記和用于兩個(gè)對等端點(diǎn)的所述第一個(gè)的簽名標(biāo)識的消息����; 使用用于兩個(gè)對等端點(diǎn)的所述第一個(gè)的簽名標(biāo)識和用于兩個(gè)對等端點(diǎn)的所述第一個(gè)的證書信息來認(rèn)證兩個(gè)對等端點(diǎn)的所述第一個(gè)的身份�; 使用用于兩個(gè)對等端點(diǎn)的所述第一個(gè)的證書信息識別兩個(gè)對等端點(diǎn)的所述第一個(gè); 將一個(gè)或多個(gè)基于身份的規(guī)則與兩個(gè)對等端點(diǎn)的所述第一個(gè)的身份關(guān)聯(lián); 接收源自兩個(gè)對等端點(diǎn)的所述第一個(gè)的��、包括數(shù)據(jù)流量的數(shù)據(jù)消息�����; 確定源自兩個(gè)對等端點(diǎn)的所述第一個(gè)的、包括數(shù)據(jù)流量的數(shù)據(jù)消息是兩個(gè)對等端點(diǎn)之間的通信會話傳輸?shù)臄?shù)據(jù)分組以及該數(shù)據(jù)分組是由所識別的對等端點(diǎn)傳輸?shù)?;以及將所述一個(gè)或多個(gè)基于身份的規(guī)則中的至少一個(gè)應(yīng)用于數(shù)據(jù)分組的處理��。
2.權(quán)利要求I的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法�����,其中兩個(gè)對等端點(diǎn)的所述第一個(gè)是客戶端且兩個(gè)對等端點(diǎn)的第二個(gè)是服務(wù)器��。
3.權(quán)利要求I的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法,進(jìn)一步包括 接收從兩個(gè)對等端點(diǎn)的所述第二個(gè)傳輸?shù)?、包括所述中介印記和用于兩個(gè)對等端點(diǎn)的所述第二個(gè)的簽名標(biāo)識的消息; 使用用于兩個(gè)對等端點(diǎn)的所述第二個(gè)的簽名標(biāo)識和用于兩個(gè)對等端點(diǎn)的所述第二個(gè)的證書信息來認(rèn)證兩個(gè)對等端點(diǎn)的所述第二個(gè)的身份�; 使用用于兩個(gè)對等端點(diǎn)的所述第二個(gè)的證書信息識別兩個(gè)對等端點(diǎn)的所述第二個(gè);將一個(gè)或多個(gè)基于身份的規(guī)則與兩個(gè)對等端點(diǎn)的所述第一個(gè)的身份以及兩個(gè)對等端點(diǎn)的所述第二個(gè)的身份關(guān)聯(lián); 接收源自對等端點(diǎn)的第二數(shù)據(jù)消息���,其中該第二數(shù)據(jù)消息包括數(shù)據(jù)流量; 確定源自所述對等端點(diǎn)的、包括數(shù)據(jù)流量的所述第二數(shù)據(jù)消息是兩個(gè)對等端點(diǎn)之間的通信會話傳輸?shù)牡诙?shù)據(jù)分組以及該第二數(shù)據(jù)分組是由所識別的對等端點(diǎn)傳輸?shù)?;以及將所述一個(gè)或多個(gè)基于身份的規(guī)則中的至少一個(gè)應(yīng)用于第二數(shù)據(jù)分組的處理�����。
4.權(quán)利要求3的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法��,其中用于兩個(gè)對等端點(diǎn)的所述第一個(gè)的簽名標(biāo)識包括根據(jù)散列算法生成的簽署值���,該散列算法的輸入包括中介印記,并且其中用于兩個(gè)對等端點(diǎn)的所述第二個(gè)的簽名標(biāo)識包括根據(jù)散列算法生成的簽署值���,該散列算法的輸入包括中介印記����。
5.權(quán)利要求4的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法��,其中每個(gè)散列算法的輸入包括在通信會話中的兩個(gè)對等端點(diǎn)之間的通信路徑中的每個(gè)中介的中介印記�。
6.權(quán)利要求4的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法���,其中所接收的源自兩個(gè)對等端點(diǎn)的所述第一個(gè)的����、包括中介印記和兩個(gè)對等端點(diǎn)的所述第一個(gè)的簽名標(biāo)識的消息進(jìn)一步包括發(fā)起者SPI�,并且其中用于生成兩個(gè)對等端點(diǎn)的所述第一個(gè)的簽名標(biāo)識的散列算法的輸入進(jìn)一步包括發(fā)起者SPI�����。
7.權(quán)利要求I的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法,其中所接收的源自兩個(gè)對等端點(diǎn)的所述第一個(gè)的、包括中介印記和兩個(gè)對等端點(diǎn)的所述第一個(gè)的簽名標(biāo)識的消息進(jìn)一步包括含有兩個(gè)對等端點(diǎn)的所述第一個(gè)的證書信息的證書���。
8.權(quán)利要求I的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法��,進(jìn)一步包括 驗(yàn)證源自兩個(gè)對等端點(diǎn)的所述第一個(gè)的�����、包括數(shù)據(jù)流量的數(shù)據(jù)消息的完整性�����;以及 只有在源自兩個(gè)對等端點(diǎn)的所述第一個(gè)的包括數(shù)據(jù)流量的數(shù)據(jù)消息的完整性被成功驗(yàn)證的情況下�,才在兩個(gè)對等端點(diǎn)之間的通信路徑中傳輸源自兩個(gè)對等端點(diǎn)的所述第一個(gè)的包括數(shù)據(jù)流量的數(shù)據(jù)消息�����。
9.權(quán)利要求I的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法���,進(jìn)一步包括 從兩個(gè)對等端點(diǎn)之一接收消息���,但缺少對兩個(gè)對等端點(diǎn)中任一個(gè)的識別�����;以及 傳輸關(guān)于新中介在兩個(gè)對等端點(diǎn)之間的通信會話的通信路徑中的指示符�。
10.權(quán)利要求I的用于實(shí)現(xiàn)通信會話中兩個(gè)對等端點(diǎn)中至少一個(gè)的對等端點(diǎn)識別的方法�,其中中介印記包括含有唯一隨機(jī)值的隨機(jī)數(shù)字段���。
11.一種其中存儲有計(jì)算設(shè)備可執(zhí)行指令的計(jì)算設(shè)備可讀介質(zhì),該計(jì)算設(shè)備可執(zhí)行指令在被計(jì)算設(shè)備的處理器執(zhí)行時(shí)���、實(shí)施用于實(shí)現(xiàn)識別在包括含有中介的通信路徑的通信會話中的兩個(gè)對等端點(diǎn)中的至少一個(gè)的方法��,該計(jì)算設(shè)備可讀介質(zhì)包括 用于通信會話的通信路徑中的中介接收源自兩個(gè)對等端點(diǎn)之一的第一消息的計(jì)算設(shè)備可執(zhí)行指令����; 用于通信會話的通信路徑中的中介生成中介印記并將該中介印記添加到源自兩個(gè)對等端點(diǎn)之一的第一消息的計(jì)算設(shè)備可執(zhí)行指令�; 用于通信會話的通信路徑中的中介將添加了中介印記的第一消息傳輸?shù)酵ㄐ艜挼耐ㄐ怕窂街械南乱粋€(gè)實(shí)體的計(jì)算設(shè)備可執(zhí)行指令�; 用于通信會話的通信路徑中的中介接收源自兩個(gè)對等端點(diǎn)之一的第二消息的計(jì)算設(shè)備可執(zhí)行指令�����,其中第二消息包括該中介的中介印記���、用于兩個(gè)對等端點(diǎn)之一的簽名標(biāo)識和用于兩個(gè)對等端點(diǎn)之一的證書��; 用于通信會話的通信路徑中的中介使用用于兩個(gè)對等端點(diǎn)之一的簽名標(biāo)識和用于兩個(gè)對等端點(diǎn)之一的證書來認(rèn)證兩個(gè)對等端點(diǎn)之一的身份的計(jì)算設(shè)備可執(zhí)行指令���;以及 用于通信會話的通信路徑中的中介使用用于兩個(gè)對等端點(diǎn)之一的證書來識別兩個(gè)對等端點(diǎn)之一的計(jì)算設(shè)備可執(zhí)行指令���。
12.權(quán)利要求11的計(jì)算設(shè)備可讀介質(zhì)�,其中用于通信會話的通信路徑中的中介生成中介印記的計(jì)算設(shè)備可執(zhí)行指令包括用于在所生成的中介印記中包括該中介的唯一隨機(jī)值的計(jì)算設(shè)備可執(zhí)行指令�����。
13.權(quán)利要求11的計(jì)算設(shè)備可讀介質(zhì)�,進(jìn)一步包括用于通信會話的通信路徑中的中介使用第二消息中的信息譯解簽名標(biāo)識以生成譯解的簽名值的計(jì)算設(shè)備可執(zhí)行指令;以及 用于通信會話的通信路徑中的中介將譯解的簽名值與用于兩個(gè)對等端點(diǎn)之一的證書關(guān)聯(lián)以認(rèn)證兩個(gè)對等端點(diǎn)之一的身份的計(jì)算設(shè)備可執(zhí)行指令��。
14.權(quán)利要求11的計(jì)算設(shè)備可讀介質(zhì)��,其中用于兩個(gè)對等端點(diǎn)之一的簽名標(biāo)識包括由散列算法生成的值,其中該散列算法輸入包括中介印記��。
15.權(quán)利要求11的計(jì)算設(shè)備可讀介質(zhì),進(jìn)一步包括 用于通信會話的通信路徑中的中介將一個(gè)或多個(gè)基于身份的規(guī)則與兩個(gè)對等端點(diǎn)之一的身份關(guān)聯(lián)的計(jì)算設(shè)備可執(zhí)行指令; 用于通信會話的通信路徑中的中介接收源自兩個(gè)對等端點(diǎn)之一的數(shù)據(jù)分組的計(jì)算設(shè)備可執(zhí)行指令;以及 用于通信會話的通信路徑中的中介將與兩個(gè)對等端點(diǎn)之一的身份關(guān)聯(lián)的至少一個(gè)基于身份的規(guī)則應(yīng)用于在通信會話的通信路徑中傳輸?shù)臄?shù)據(jù)分組的處理的計(jì)算設(shè)備可執(zhí)行指令���。
全文摘要
增強(qiáng)的網(wǎng)絡(luò)數(shù)據(jù)傳輸安全和個(gè)性化數(shù)據(jù)傳輸處理可以通過在兩個(gè)對等(peer)端點(diǎn)之間的通信路徑中單獨(dú)具有識別和認(rèn)證對等端點(diǎn)中的一個(gè)或兩者的能力的中介來實(shí)現(xiàn)��。通信會話建立、對等端點(diǎn)身份處理和認(rèn)證以及數(shù)據(jù)流量加密協(xié)議被修改以允許中介跟蹤用于特定通信會話的對等端點(diǎn)之間的通信并獲得信息以認(rèn)證對等端點(diǎn)以及識別在它們之間傳輸?shù)臄?shù)據(jù)流量���。中介可以使用對等端點(diǎn)中一個(gè)或兩者的身份來實(shí)施基于身份的規(guī)則以便處理通信會話的對等端點(diǎn)之間的數(shù)據(jù)流量。
文檔編號H04L9/32GK102668450SQ201080054602
公開日2012年9月12日 申請日期2010年11月5日 優(yōu)先權(quán)日2009年12月2日
發(fā)明者B.斯萬德, D.R.西蒙, P.門內(nèi)西斯 申請人:微軟公司