用于控制分组传输网络中的握手的方法和装置制造方法及图纸

本发明专利技术涉及用于控制握手操作的方法和装置。数据报传输层安全（DTLS）是基于IP的物联网中的重要安全协议。DTLS握手的性能可能受网络状态、通信量和分组丢失率等的显著影响。因此，建议评估分组丢失率并且估计分组丢失的原因。然后，DTLS握手策略可以基于网络状态和分组丢失的检测而适应性地改变。作为结果，DTLS握手的成功率和延迟可以得到改进。确认和非确认模式可以以混合方式使用以评估分组丢失率并估计分组丢失的原因并且最终改进DTLS握手的性能。

Method and apparatus for controlling handshaking in a packet transmission network

The present invention relates to a method and apparatus for controlling handshaking. Datagram transport layer security (DTLS) is an important security protocol in the Internet of things based on IP. The performance of DTLS handshake can be significantly affected by network status, traffic and packet loss rate. Therefore, it is recommended to evaluate packet loss rate and estimate the cause of packet loss. Then, the DTLS handshake policy can be adaptively modified based on network status and packet loss detection. As a result, the success rate and latency of the DTLS handshake can be improved. The acknowledgement and non acknowledgement modes can be used in a mixed manner to evaluate packet loss rates and estimate the cause of packet loss, and ultimately improve the performance of the DTLS handshake.

【技术实现步骤摘要】
【国外来华专利技术】用于控制分组传输网络中的握手的方法和装置
本专利技术涉及用于控制分组传送网络中的握手的方法和装置的领域，诸如——但不限于——数据报传输层安全（DTLS）环境中的握手操作。
技术介绍
互联网协议版本6（IPv6）提供了几乎每一个物理对象与互联网的互连。这导致开发新应用的极大可能性，诸如家庭自动化和家庭安全管理、照明系统、智能能量监控和管理、物品和装运追踪、监视和军事、智能城市、监控监控、物流监控和管理。随着无线传感器网络（WSN）中的低功率无线个域网（6LoWPAN）之上的互联网协议（IP）版本6的引入，资源受限设备可以连接到互联网。互联网和IPv6连接的受限设备的这种混合网络形成所谓的“物联网”（IoT）。与其中设备大多强大的互联网不同并且与其中设备大多资源受限的典型WSN不同，IoT中的事物极其多样化。IoT设备可以是典型的传感器节点、灯泡、微波炉、电表、汽车部件、智能电话、个人计算机（PC）或膝上型电脑、强大的服务器机器或者甚至云。由于IoT中的无线网络的低功率且有损耗的本性，无连接用户数据报协议（UDP）而不是面向流的传输控制协议（TCP）大多被用在IoT中。同步超文本传输协议（HTTP）被设计用于TCP并且对于在基于UDP的IoT中使用是不可行的。因此，受限应用协议（CoAP），HTTP的子集被标准化为用于IoT的web协议。CoAP针对受限设备且针对机器到机器通信而定制。此外，尽管互联网协议安全（IPsec）可以用在IoT中，但是它并非主要设计用于诸如HTTP或CoAP之类的web协议。对于web协议，传输层安全（TLS）或其前身安全套接层（SSL）是最常见的安全解决方案。然而，面向连接的TLS协议仅可以用在面向流的TCP之上，该面向流的TCP不是用于智能对象的优选通信方法。由于低功率无线网络的有损耗本性，难以维持6LoWPAN网络中的连续连接。针对UDP的TLS的调适被称为数据报TLS（DTLS）。DTLS通过在传输层与应用层之间操作来保证一个机器上的不同应用的端到端（E2E）安全性。除提供认证、机密性、完整性和重播保护的TLS之外，DTLS还在使用网络追踪器（cookie）的情况下提供抵抗拒绝服务（DoS）攻击的保护。虽然DTLS提供应用级安全性，但是它只能在UDP协议之上使用。用于IoT的安全web协议，安全CoAP（CoAP），授权使用DTLS作为用于CoAP的底层安全解决方案。因此，必要的是，在IoT中使能DTLS支持，例如用于安全问题，诸如自展（bootstrap）。术语“自展”从其自大约2005年以来在IETF的6LoWPAN工作组中的使用导出。它可以被定义为配置节点以使得它能够参与正常网络操作的过程。但是也许更引人注目地，在一般使用中，自展的过程意指从非常原始的事物开始在若干步骤中设立复杂的软件环境（诸如早期计算中的二极管矩阵ROM自展）。将该概念转移成安全自展并且将其与以上定义组合，它可能代表使用一些原始最初建钥材料和安全性过程对鲁棒安全节点配置的设置。在DTLS握手期间，客户端和服务器就用于建立连接的安全性的各种参数达成一致。作为示例，在基于IP的照明网络中，DTLS握手用于在调试期间调试照明设备。图1示出了关于在客户端（C）和服务器（S）之间利用证书的典型DTLS握手的信令图。每一个消息部分之后的括号中的数字指示这些部分以字节为单位的各自的长度。为了设立新的连接并且协商安全参数，使用握手协议。客户端通过向服务器发送ClientHello（客户端问候）消息发起握手。该消息包含所支持的密码套件、散列和压缩算法以及随机数。服务器被料想以ServerHello（服务器问候）做出响应，该ServerHello包含服务器已经从客户端提供的密码套件和算法中选择的密码套件和算法以及还有随机数。除其它数据之外，将使用两个随机数来计算主秘密。如果有必要，服务器可以利用包括其证书的服务器证书消息继续以认证它自己。在那种情况下，它还可以发送CertifcateRequest（证书请求）消息，以驱使客户端也进行认证。对于一些密码套件，附加数据对秘密的计算而言可能是必需的，该附加数据可以利用ServerKeyExchange（服务器密钥交换）消息来发送。由于所提及的最后三个消息是可选的，所以ServerHelloDone（服务器问候结束）消息指示何时没有更多的消息从服务器产生。握手的这个部分对于无连接传输协议是个问题，因为不存在必要的传输连接设置并且攻击者可能仅仅向服务器发送许多ClientHello。这可以用于针对服务器的拒绝服务（DOS）攻击，其将针对每一个ClientHello开始新的会话，从而分配资源；或者通过将服务器的大得多的响应重定向到另一个受害者从而使攻击者的带宽加倍而用于针对该另一个受害者的拒绝服务攻击。为了防止该问题，DTLS使用附加握手消息，其被称为HelloVerifyRequest（问候验证请求）。它响应于ClientHello消息而被发送并且包含任意数据的所谓cookie，优选地是已签名的。服务器将仅发送该消息而不分配任何资源。客户端然后必须以附带有cookie的ClientHello*消息重复。如果cookie可以被验证，因而签名被验证，则服务器知晓客户端没有使用伪造地址，并且由于HelloVerifyRequest消息是小的并且必须在服务器发送任何更多数据之前得到答复，所以再也没有DOS攻击是可能的。在该验证之后，握手将如之前那样继续。在ServerHelloDone消息之后，如果服务器请求认证，客户端必须利用ClientCertifcate（客户端证书）消息发送其证书。这随后是ClientKeyExchange（客户端密钥交换）消息，其包含其公共密钥或其它加密数据，这取决于所使用的密码套件。也取决于密码套件的是，用于验证签名的证书的CertifcateVerify（证书验证）消息是否必须发送。在这一点上，两个对等体具有足够的信息以计算主秘密。因而，客户端发送ChangeCipherSpec（改变密码规范）消息以宣布经协商的参数和秘密将从现在起使用。其最后的消息为Finished（完成）消息，其包含在整个握手之上计算的散列值并且已经被加密。服务器也通过发送ChangeCipherSpec和Finished消息来结束握手。由于DTLS握手的目的是发起安全连接，所以非常关键的是具有成功DTLS握手以开始通信。DTLS握手的性能，诸如延迟和成功率，很大程度上取决于网络状态，诸如拥堵、无线丢失、分组丢失率等。它还取决于DTLS握手的安全模式，例如具有预共享密钥（PSK）、原始公共密钥或者证书的DTLS，因为不同模式具有要传输的不同数目的分组。延迟随着分组丢失率的增大而增大。对于其中需要传输更多分组的DTLS-证书模式，延迟比其它模式更快地增大。具有返回确认模式的PSK一次发送一个分组并且等待确认的回复。如果不存在返回的ACK，则分组将再次被发送。因此，该模式的延迟比其它PSK方法大得多。由于DTLS握手的目标是发起安全连接，所以非常关键的是具有成功的DTLS握手以开始通信。当DTLS握手用在UDP通信中时，用于DTLS握手的分组可能在传输中丢失。为了确保可靠的接本文档来自技高网...

【技术保护点】
一种用于控制分组传输网络中的握手的装置，该装置包括：‑ 用于检测基于握手的分组传输中的分组丢失并且用于估计所检测的分组丢失的原因的检测器（S1，C1）；以及‑ 用于基于所估计的原因来改变分组传输的握手策略的控制器（S2，C2），其中控制器（S2，C2）适于估计由所述估计的原因引起的分组丢失率并且基于分组丢失率来估计用于握手的剩余时间，以便将剩余时间与预定的握手超时进行比较，其中控制器适于在确定所估计的剩余时间小于预定的握手超时后改变握手策略。

【技术特征摘要】
【国外来华专利技术】2014.04.15 EP 14164789.11.一种用于控制分组传输网络中的握手的装置，该装置包括：-用于检测基于握手的分组传输中的分组丢失并且用于估计所检测的分组丢失的原因的检测器（S1，C1）；以及-用于基于所估计的原因来改变分组传输的握手策略的控制器（S2，C2），其中控制器（S2，C2）适于估计由所述估计的原因引起的分组丢失率并且基于分组丢失率来估计用于握手的剩余时间，以便将剩余时间与预定的握手超时进行比较，其中控制器适于在确定所估计的剩余时间小于预定的握手超时后改变握手策略。2.权利要求1的装置，其中检测器（S1，C1）适于基于所接收的分组的序列来检测分组丢失。3.权利要求2的装置，其中检测器（S1，C1）适于基于DTLS握手信令的ClientHello消息的序列来检测分组丢失。4.权利要求1的装置，其中检测器（S1，C1）适于在所接收的连续分组之间的延迟变化的情况下或者在所接收的连续分组之间存在混乱的情况下将拥堵丢失估计为所检测的分组丢失的原因。5.权利要求1的装置，其中检测器（S1，C1）适于在所检测的分组丢失随机地分布的情况下或者在所接收的连续分组之间的延迟几乎相等的情况下估计无线丢失。6.权利要求5的装置，其中如果检测器（S1，C1）已经估计无线丢失，则控制器（S2，C2）适于估计分组丢失率，基于分组丢失率估计用于握手的剩余时间，将剩余时间与预定的握手超时进行比较，以及在所估计的剩余时...

【专利技术属性】
技术研发人员：马缚龙，SL科奥，
申请(专利权)人：飞利浦灯具控股公司，
类型：发明
国别省市：荷兰,NL