[0001] 本公开涉及用于在不可信环境内控制安全域的系统和方法。

[0002] 为了本描述的目的，“不可信环境”将被理解成意味着攻击者有可能修改消息、删除消息乃至添加或重放消息的任何通信或连网环境。公共因特网是不可信环境的常见示例，因为不可能禁止攻击者修改、删除、添加或重放消息。有线和卫星电视分配网络也可能在如下意义上不可信：一旦机顶盒接收器/解码器单元被分配给最终用户，他们就可能“被侵入(hacked)”以允许未授权地访问节目编排内容。

[0003] 为了允许在不可信环境中进行安全通信，通常应用密码算法和机制来检测消息由于一个或多个前面的原因而无效。这种密码技术要求参与者都拥有适当的密码密钥。常见的是，服务提供商或运营商实现安全域，其中一组密码密钥被分配给经授权方。这些密钥然后可用于促进那些方之间的安全通信。例如，在有线和卫星电视分配网络中，惯例是，运营商使用私用密码密钥加密他们的节目编排内容。互补公共密钥被分发给经授权订户作为安全令牌，该安全令牌使用户能够解密和观看节目编排内容。通常也将私用/公共密钥用于在公共因特网中实现安全域(例如以虚拟私用网(VPN)的形式)。

[0004] 众所周知，在上述类型的密码安全系统中，有必要以及时方式更新密钥(并且还频繁更新算法)以确保系统安全保持不受黑客团体所取得进展的影响。一般而言，安全系统的运营商可选择改变密钥，并且可能甚至以规则间隔增大它们的大小。在一些安全系统中，可能甚至期望改变算法。这例如对于是黑客首要目标的卫星TV有条件访问系统而言是常见问题。

[0005] 运营商的问题是，规则地改变密码分量的开销和风险可能是不可接受的，并且可劝服他们允许密钥改变之间的时段比期望的更长。这种密钥管理系统的复杂性是众所周知的。

[0006] 在一些系统(诸如VPN和卫星电视分配网络)中，更新密钥的任务简化，某种程度上是由于如下事实：用户在某一时间必须连接到安全(可信)资源。例如，在VPN中，远程用户必须登录到安全服务器上以便访问VPN的服务。在有线和卫星电视分配网络中，用户的机顶盒接收器/解码器单元必须连接到安全内容服务器以便接收节目编排内容。在任一情况下，到安全资源的连接都提供了可用来确定存储在用户的远程装置上的安全令牌的年龄(age)并根据需要更新所分配令牌的手段。

[0007] 然而，在一些系统中，用户可能仅不频繁地登录到安全资源中，或从未登录到安全资源中。这种类型的情形可发生在一些电子商务系统中，例如在其中用户可与其它用户交互作用但只很少(如果曾经的话)登录到系统的中央服务器中的电子商务系统中。在这种情况下，与存储在用户的装置中的密钥相关联的日期和时间信息可能不可信，并且因此不能用于确定那些密钥的年龄以及更新它们的需要。而且，缺乏对用户的密钥进行更新的可靠机制。

[0008] 本公开阐明以提供一种实际方式，安全系统的运营商可以通过该实际方式以如下这种方式改变安全令牌的密码参数：可纯粹通过发布新令牌进入循环使较老令牌无效，并且无需参考与当前使用的任何令牌相关联的日期和时间信息。系统运营商可任意选择何时改变这些参数，例如根据当前的威胁和感到的脆弱。

[0009] 从而，本发明的一方面提供一种安全域控制方法，该方法包含：定义安全域的顺序系列；将其中一个所述安全域指定为当前域；在当前安全域下生成多个安全令牌，每个安全令牌配置成使一方能够与正在持有以下项中任一项的另一方交换密码保护的消息：在当前安全域下生成的令牌、在系列中至少一个接下来的安全域下生成的令牌和在系列中至少一个前面的安全域下生成的令牌；以及随后将系列中的安全域中接下来的安全域指定为当前域。

[0010] 本发明的另外特征和优点根据结合附图获取的如下详细描述将变得显而易见，附图中：

[0011] 图1是示出实现根据本发明相应实施例的方法的安全系统的框图；

[0012] 图2是例证图1系统中的可能消息交换事务的框图；

[0013] 图3是例证图1系统中的消息交换事务的消息流程图；以及

[0014] 图4是例证根据本发明第二实施例的系统中的可能消息交换事务的框图。

[0015] 将注意到，在全部附图中，相似的特征由相似的附图标记标识。

[0016] 为了本公开的目的，设想在不可信环境中不能实施与安全令牌相关联的到期日期，因为没有与安全令牌相关联的可信任实时时钟。信任不受控终端(例如订户的通信装置)的日期和时间参考是不可接受的，因为黑客轻易能够修改这种日期和时间参考。

[0017] 本发明提供了可在其中通过实施废弃的过程实现老安全令牌到期的系统。

[0018] 从而，服务提供商根据安全域的顺序系列生成安全令牌。每个安全域可通过标识其在系列内的位置的域ID来参考。预期每个安全域可包括在那个安全域内发布的密钥的相应证书颁发机构(CA)以及相应密码特征(包含算法)，它们中的任一个都可与系列内其它安全域的相应证书颁发机构(CA)以及相应密码特征相同或者不同。在给定安全域下发布的每个安全令牌配置成使一方能够与具有在同一安全域下或在系列内至少两个相邻安全域中任一个安全域下发布的安全令牌的另一方交换可信消息。

[0019] 用这种设置，服务提供商可在他们认为适当时实现新安全域。在实现每个新安全域时，接收在当前安全域下发布的令牌的各方能够与持有在当前域下、在紧接的前面的域下和在系列中接下来的域下发布的令牌的各方交换可信消息。这提供了接连安全域之间的互操作性，而同时确保了在较老域下发布的令牌的有用性逐渐减小，因为持有较老令牌的各方不能与在当前域下发布的令牌的持有者交换安全消息。作为结果，甚至在未迫使各方登录到可迫使令牌更新的中央服务器中的环境下，各方也具有如下动机：将他们的令牌更新到当前安全域，以避免废弃以及随后无能力与安全系统中的其它方交换消息传递。

[0020] 在一些实施例中，可使用本领域已知的方法生成令牌并将令牌下载到订户的通信装置。在这种情况下，可不时地更新订户的一个或多个令牌，例如当订户使用他们的令牌登录到安全服务器中时。在其它实施例中，令牌可嵌入在随后被分配给用户的物理装置(例如智能卡等)内。在这种情况下，服务提供商可提供服务，由此订户可更新嵌入在他们装置内的一个或多个令牌或者备选地使用户能够将老装置换成新的。

[0021] 图1和2例证了实现本发明的方面的安全系统。将注意到，所例证的系统基于公共密钥密码学，但在本领域的技术人员将理解，相同原理可适用于对称算法的使用。

[0022] 参考图1，安全系统包括主机服务器(在此情况下由服务提供商维护)和多个订户(例证了其中4个)，它们中的每个都通过不可信数据网络(诸如公共因特网)连接以便通信。主机服务器保持安全域的顺序系列，其中一个被指定为“当前域”。

[0023] 在所例证实施例中，每个安全域由相应域系列ID参考，并且包含那个安全域的指定证书颁发机构(CA)以及由那个安全域的指定证书颁发机构发布的公共密钥(PK)。预期，在大多数情况下，可为系列中的每个安全域指定相同的证书颁发机构，但这不是必要的。原则上，系列中的每个安全域可具有不同的证书颁发机构(如果期望的话)。然而，在所有情况下，由为系列中每个安全域指定的证书颁发机构发布的公共密钥(PK)必须是独特的，至少在系列中的安全域之间是独特的。

[0024] 在操作中，新令牌在指定的当前域下发布，并且包含：相应独特令牌ID、对那个令牌独特的相应秘密和公共密钥(SKx和PKx)、由那个安全域的指定CA发布的令牌公共密钥证书、和当前安全域以及系列中紧接的前面的安全域和后续安全域中每一个安全域的公共密钥[PK(nx)]。在一些实施例中，令牌ID可包含已经在其下发布令牌的域系列ID。在一些实施例中，公共密钥[PK(nx)]可以公共密钥证书的形式存储。在图1和2的示例中，例证了4个代表性订户(A-D)，其中仅订户D持有在目前指定的当前域(n4)下发布的令牌。订户A-C中的每一个都持有较老令牌，它们是当系列的相应较早域被指定为当前域时发布的。因而，订户A已经接收到了在安全域“n1”下发布的令牌，其包含域系列ID(n1)、由安全域n1的CA发布的证书[CA(n1)发布的Pka]和安全域n1以及安全域n0和n2的公共密钥[PK(n0),PK(n1),PK(n2)]。订户B已经接收到了在安全域“n2”下发布的令牌，其包含域系列ID(n2)、由安全域n2的CA发布的证书[CA(n2)发布的Pkb]和安全域n2以及安全域n1和n3的公共密钥[PK(n1),PK(n2),PK(n3)]。订户C已经接收到了在安全域“n3”下发布的令牌，其包含域系列ID(n3)、由安全域n3的CA发布的证书[CA(n3)发布的Pkc]和安全域n3以及安全域n2和n4的公共密钥[PK(n2),PK(n3),PK(n4)]。订户D已经接收到了在安全域“n4”(指定的当前域)下发布的令牌，其包含域系列ID(n4)、由安全域n4的CA发布的证书[CA(n4)发布的Pkd]和安全域n4以及安全域n3和n5的公共密钥[PK(n3),PK(n4),PK(n5)]。

[0025] 用这种设置，订户A和B可交换消息，因为每个令牌中的CA公共密钥的交叠集合使订户A的n1域令牌能够使从订户B接收的消息生效，并且订户B的n2域令牌可使从订户A接收的消息生效。订户B可与订户A和订户C交换消息，再次因为每个订户的令牌中的CA公共密钥的交叠集合。类似地，订户C可与订户B和订户D交换消息。然而，订户B不能够与订户D交换消息，并且订户A不能够与订户C或订户D交换消息。这样，因为系列中每个接连安全域都成为当前的，因此在较老安全域下发布的令牌变得逐渐不那么有用了，并且最终变成废弃的。

[0026] 图3例证了订户A与B之间的可能消息交换情形。在此情形下，期望将可信消息从订户A发送到订户B。因而，订户A的通信装置发送询问（challenge）消息，该询问消息含有订户A的令牌的域系列ID的指示。在一些实施例中，域系列ID可包括订户A的令牌ID的一部分，但这不是必要的。在接收到询问消息时，订户B的通信装置可检查其令牌中含有的公共密钥集合，以确定它是否具有订户A的安全域(n1)的公共密钥。在此情况下，这个验证检查的结果为“是”，因此订户B的通信装置将对应的确认(OK)消息返回给订户A。在接收到确认(OK)消息时，订户A的通信装置可使用其令牌来生成密码保护的消息并将密码保护的消息发送到订户B，所述密码保护的消息包含订户A的证书。在接收到保护的消息时，订户B的通信装置可使用其令牌来获得订户A的安全域的公共密钥[PK(n1)]，并验证所接收消息中含有的证书。

[0027] 上面参考图3描述的询问器/响应情形受到限制，因为在发送方与接收方之间必须建立实时连接，否则在缺乏实时连接时需要复杂的延迟转移协议来处置消息转移。如上面提到的，在一些实施例中，令牌ID可设计成包含在其下发布令牌的域的域系列ID。例如，在一个可能的实施例中，令牌ID可格式化为15位数据字段，其中的前11位独特标识令牌，并且末尾4位包括域系列ID。其它适当格式将是本领域普通技术人员容易明白的，并且可根据需要使用。用这种方式将域系列ID嵌入到令牌ID中提供了如下优点：接收方(在上面示例中是订户B)没有必要如上面参考图3所描述的那样向发送方发送询问消息。所需要的只是，发送方知道预计接收方的令牌ID。这个信息可通过各种手段中的任一种传送到发送方，并且因此避免了对两方之间的实时连接的需要(这在询问/响应事务中暗含了)。

[0028] 图4例证了备选实施例，其中在给定当前域下发布的每个新令牌包含：对那个令牌独特的相应秘密和公共密钥(SKx和PKx)、由那个安全域的指定CA发布的证书以及当前安全域、接下来的安全域和前两个安全域二者的公共密钥[PK(nx)]。因而，例如，订户C的令牌包含域系列ID(n3)、由安全域n3的CA发布的证书[CA(n3)发布的Pkc]，与图1和2实施例中一样，但现在具有安全域n1-n4的4个公共密钥[PK(n1),PK(n2),PK(n3),PK(n4)]。类似地，订户D的令牌具有域系列ID(n4)、由安全域n4的CA发布的证书[CA(n4)发布的Pkd]，与图1和2实施例中一样，但现在具有安全域n2-n5的4个公共密钥[PK(n2),PK(n3),PK(n4),PK(n5)]。用这种设置，订户A能够向订户C发送消息，因为订户C的令牌包含订户A的安全域的公共密钥[PK(n1)]，但订户A不能够从订户C接收消息，因为订户A的令牌未含有订户C的安全域的公共密钥[PK(n3)]，并且因此不能识别订户C的证书。类似地，订户B能够向订户D发送消息，但不能从订户D接收消息。这种设置是有用的，因为它在较老令牌的有用性方面提供了更逐渐的降级，因为持有较老令牌的各方经历了与持有在当前安全域下发布的令牌的各方通信的能力的减小，而不是完全切断。

[0029] 如上面提到的，可通过用在当前安全域下发布的新令牌替换他们的一个或多个老令牌来更新用户的一个或多个安全令牌。然而，服务提供商可选择在当前域下更新安全令牌；也就是说，无需实现系列中的下一安全域。例如，当订户登录到安全服务器中时，可通过添加或删除CA公共密钥来修改用户的安全令牌，并由此更改用户与持有在其它安全域下发布的令牌的用户交换可信消息传递的能力。

[0030] 在一些实施例中，控制处理器10的固件可配置成传送对其它令牌的令牌更新。例如，如上面提到的，可更新或修改用户的安全令牌，无需改变安全域。在这种情况下，处理器的固件可操作以传递有关具有相同域系列ID的其它令牌的改变的信息(例如在嵌入在内容转移消息内的加密字段中)。在接收到内容转移消息时，处理器10可解密该字段，以提取令牌改变信息，并且如果适当的话，相应地更新它自己令牌的内容。

[0031] 上面描述的本发明实施例打算只是示范性的。因此，本发明的范围打算仅由所附权利要求的范围限制。