Установление однорангового сеанса с малым временем ожидания

Установление однорангового сеанса с малым временем ожидания

Иллюстрации

Показать все

Реферат

УРОВЕНЬ ТЕХНИКИ

Во многих вычислительных сценариях два или более устройств, которые взаимно доступны (например, через проводную или беспроводную сеть), могут пытаться установить сеанс связи, который подвергается шифрованию для удерживания от прослушивания или утечки секретной информации и/или подвергается аутентификации, из условия, чтобы каждое устройство могло верифицировать, что принятые сообщения формировались другим устройством. Например, алгоритм асимметричного шифрования с обменом ключами, такой как алгоритм RSA (Ривеста-Шамира-Адлемана), может быть реализован для предоставления двум устройствам возможности обмениваться открытыми ключами для сеанса, которые могут использоваться вместе с соответствующими (и удерживаемыми в качестве сохраняемых в тайне) секретными ключами для того, чтобы давать возможность шифрованной и аутентифицированной связи во время сеанса связи.

Когда два устройства пытаются установить такой сеанс связи, протокол подтверждения установления связи может использоваться для идентификации поддерживаемых протоколов и для обмена ключами. Например, протокол безопасности транспортного уровня (TLS) может быть реализован каждым устройством для инициации подтверждения установления связи; для раскрытия и выбора алгоритмов шифрования, алгоритмов сжатия, открытых ключей и сертификатов аутентификации; и для сигнализации начала связи с использованием согласованных алгоритмов. Как только детали сеанса связи определены, устройства могут устанавливать безопасное соединение и могут инициировать связь через шифрованный канал.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Это краткое описание сущности изобретения приведено для представления в упрощенном виде подборки концепций, которые дополнительно описаны ниже в Подробном описании. Это краткое описание сущности изобретения не предназначено для идентификации ключевых факторов или существенных признаков заявленного предмета изобретения, также не подразумевается используемым для ограничения объема заявленного изобретения.

Многие процессы подтверждения установления связи, включая протокол безопасности транспортного уровня (TLS), дают возможность большой устойчивости при согласовании логистики сеанса связи. Однако эта устойчивость может накладывать различные затраты, такие как сложность реализации и являющаяся результатом потенциальная возможность для изъянов безопасности. К тому же, устройства должны обмениваться несколькими сообщениями для завершения согласования, где каждое сообщение может влечь за собой следование туда и обратно через сеть, соединяющую устройства. Этот обмен информацией может быть медленным и склонным к отказу, особенно через соединения с низкой шириной полосы пропускания, высоким временем ожидания и/или ненадежные соединения (например, сотовые сети со слабым приемом, которые могут вызывать пропущенные сообщения).

Альтернативная технология включает в себя обмен сравнительно небольшим количеством сообщений для того, чтобы устанавливать сеанс связи. Один такой набор технологий, раскрытых в материалах настоящей заявки, включает в себя доставку одиночного набора информации (например, одиночного сообщения) с устройства источника на устройство назначения, представляющего собой приглашение сеанса, где сообщение предписывает один или более отбираемых адресов устройства источника и сеансовый ключ, генерированный устройством источника. Клиентское устройство может принимать приглашение сеанса и, если предпочитает дать возможность установления сеанса связи (и верификацию деталей приглашения сеанса, например, аутентификацию устройства и/или пользователя, инициировавших сеанс связи), может отвечать своим собственным сеансовым ключом, а также одним или более отбираемыми адресами устройства назначения. Устройство источника и устройство назначения, каждое, используют сеансовый ключ источника и сеансовый ключ назначения для создания сеансового ключа, которые оба устройства могут использовать для сеанса. Обменявшись достаточным набором информации, чтобы дать возможность сеанса защищенной связи, устройство источника может инициировать сеанс связи, а устройство назначения может отвечать таким же образом. Таким образом, сеанс безопасной связи может быть установлен с сокращенным (и, может быть, минимальным) количеством обмениваемых сообщений между устройствами, тем самым снижая время ожидания и вероятность сбоя в установлении сеанса связи. Другие признаки безопасности могут быть реализованы и включены в эту схему. Например, может быть выполнимым скрывать действительные адреса устройства источника и устройства назначения до тех пор, пока не установлен сеанс безопасной связи; например, другие (такие как анонимизированные) адреса могут использоваться во время процесса подтверждения установления связи, в течение которого устройства могут безопасно передавать другие (неанонимизированные) адреса каждого адреса, который должен использоваться во время сеанса связи.

Для достижения вышеизложенных и связанных целей следующее описание и прилагаемые чертежи излагают некоторые иллюстративные аспекты и реализации. Таковые являются указывающими лишь на несколько различных способов, которыми могут применяться принципы различных аспектов. Другие аспекты, преимущества и новейшие признаки раскрытия станут очевидными из последующего подробного описания, когда рассматриваются вместе с прилагаемыми чертежами.

ОПИСАНИЕ ЧЕРТЕЖЕЙ

Фиг.1 - иллюстрация примерного сценария, характеризующегося генерированием и обменом парой несимметричных шифровальных ключей между устройством источника и устройством назначения.

Фиг.2 - иллюстрация примерного сценария, характеризующегося использованием пары асимметричных шифровальных ключей для обмена сообщениями между устройством источника и устройством назначения в течение сеанса безопасной связи.

Фиг.3 - иллюстрация взаимодействия подтверждения установления связи устройства источника и устройства назначения согласно примерному варианту протокола безопасности транспортного уровня.

Фиг.4 - иллюстрация взаимодействия подтверждения установления связи устройства источника и устройства назначения в соответствии с технологиями, представленными в материалах настоящей заявки.

Фиг.5 - блок-схема последовательности операций способа, иллюстрирующая примерный способ установления сеанса связи устройством источника с устройством назначения.

Фиг.6 - блок-схема последовательности операций способа, иллюстрирующая примерный способ установления сеанса связи устройством назначения с устройством источника.

Фиг.7 - иллюстрация примерного машиночитаемого носителя, содержащего выполняемые процессором команды, сконфигурированные для воплощения одной или более из возможностей, изложенных в материалах настоящей заявки.

Фиг.8 - иллюстрация набора устройств, представленных в пределах развертываемой вычислительной среды, которые могут устанавливать сеансы связи согласно технологиям, обсужденным в материалах настоящей заявки.

Фиг.9 - иллюстрация примерного сценария, характеризующегося сервером сертификатов, сконфигурированным для хранения открытых сертификатов, которые могут подвергаться доступу устройством источника и/или устройством назначения наряду с установлением сеанса связи.

Фиг.10 - иллюстрация примерного сценария, характеризующегося установлением сеанса связи между устройством источника и устройством назначения с использованием одноразового номера источника.

Фиг.11 иллюстрирует примерную вычислительную среду, в пределах которой могут быть реализованы одна или более из возможностей, изложенных в материалах настоящей заявки.

ПОДРОБНОЕ ОПИСАНИЕ

Заявленное изобретение далее описано со ссылкой на чертежи, на всем протяжении которых одинаковые номера ссылок используются для указания ссылкой на идентичные элементы. В последующем описании, в целях пояснения, многочисленные специфичные детали изложены для того, чтобы обеспечить исчерпывающее понимание заявленного изобретения. Однако может быть очевидно, что заявленное изобретение может быть осуществлено на практике без этих специфичных деталей. В иных случаях конструкции и устройства показаны в виде структурной схемы для того, чтобы облегчить описание заявленного изобретения.

Многие сценарии в области вычислительной обработки данных включают в себя установление сеанса связи между одноранговыми устройствами, такими как два компьютера, соединенных через сеть Интернет, или два устройства беспроводной связи, соединенных через беспроводную локальную сеть. В этих сценариях устройства могут пытаться устанавливать сеанс связи через защищенный канал из условия, чтобы связь между устройствами шифровалась. Более того, устройства могут пытаться шифровать данные некоторым образом, чтобы избегать взаимно совместно используемого пароля, которым может быть трудно обмениваться безопасным образом до того, как установлен сеанс безопасной связи. Таким образом, устройства могли бы быть способными осуществлять связь через физическую сеть посредством отправки нешифрованных сообщений, но могут выражать пожелание разработать «наложенную» сеть, посредством чего шифрованные сообщения могут отправляться и приниматься через физическую сеть, но сообщение может автоматически шифроваться и дешифроваться каждым устройством, тем самым представляя приложениям, исполняющимся на каждом устройстве, виртуальную сеть между устройствами, которая защищена от прослушивания.

Фиг.1-2 вместе представляют примерный сценарий, характеризующийся устройством 12 источника (например, клиентом, инициирующим запрос на сеанс связи) и устройством 14 назначения (например, сервером, принимающим запрос для инициирования сеанса связи), которые пытаются установить и использовать сеанс связи безопасным образом. В примерном сценарии 10 по фиг.1 устройство 12 источника и устройство 14 назначения формируют и обмениваются некоторой информацией, вовлекаемой при защите сеанса связи посредством использования алгоритма 16 шифрования, характеризующегося шифрованием с несимметричными ключами, таким как алгоритм RSA. Этот алгоритм сконфигурирован для генерирования пары шифровальных ключей, содержащей открытый ключ и секретный ключ, имеющие два свойства: секретный ключ не может идентифицироваться с использованием открытого ключа; и сообщение, зашифрованное открытым ключом, может быть дешифровано только с использованием секретного ключа. В качестве дополнительного преимущества, сообщение может криптографически «подписываться» с использованием секретного ключа, и подпись может верифицироваться с использованием открытого ключа, таким образом верифицируя автора сообщения в качестве держателя секретного ключа (и верифицируя контент сообщения). При подготовке сеанса безопасной связи устройство 12 источника может использовать алгоритм 16 шифрования для генерирования секретного ключа 20 источника и открытого ключа 18 источника, а устройство 14 назначения может использовать алгоритм 16 шифрования для генерирования открытого ключа 22 назначения и секретного ключа 24 назначения. Устройство 12 источника затем может передавать открытый ключ 18 источника на устройство 14 назначения наряду с сохранением секретного ключа 20 источника в тайне, а устройство 14 назначения может передавать открытый ключ 22 назначения на устройство 12 источника наряду с сохранением в тайне секретного ключа 24 назначения.

Фиг.2 представляет примерный сценарий 30, характеризующийся использованием этой пары ключей устройством 12 источника и устройством 14 назначения для обмена сообщениями безопасным образом, который сдерживает прослушивание, к тому же, наряду с избежанием затруднений безопасности совместно используемых паролей (например, затруднения обмена совместно используемым паролем для шифрования сеанса связи до того, как установлен сеанс связи) и предоставлением возможности верификации автора и контента конкретного сообщения. Согласно примерному сценарию 10 по фиг.1, устройство 12 источника уже генерировало открытый ключ 18 источника, который был введен в совместное использование с устройством 14 назначения, и секретный ключ 20 источника, который сохраняется в тайне, а устройство 14 назначения уже генерировало открытый ключ 22 назначения, который был введен в совместное использование с устройством 12 источника, и секретный ключ 24 назначения, который сохраняется в тайне. В этом примерном сценарии 30 устройство 12 источника и устройство 14 назначения далее занимаются сеансом 32 связи, через который сообщение 34 может безопасно передаваться с устройства 12 источника на устройство 14 назначения. Например, сеанс 32 связи может устанавливаться через незащищенную сеть, такую как сеть Интернет, где может происходить прослушивание; соответственно, устройство 12 источника и устройство 14 назначения, поэтому, доставляют только шифрованные сообщения на протяжении сеанса 32 связи, которые не могут быть без труда прочитаны, изменены или фальсифицированы третьей стороной.

В этом примерном сценарии 30 устройство 12 источника сначала шифрует сообщение 34 открытым ключом 22 назначения для выработки шифрованного сообщения 36. Устройство 12 источника, к тому же, подписывает шифрованное сообщение 36 секретным ключом 20 источника для создания шифрованного и подписанного сообщения 38. Это шифрованное и подписанное сообщение 38 может передаваться на устройство 14 назначения в течение сеанса 32 связи. Даже если третья сторона может прослушивать сообщение 32 связи и может читать шифрованное и подписанное сообщение 38, перехваченное сообщение 34 не может быть дешифровано, так как третья сторона не имеет доступа к секретному ключу 24 назначения. В противоположность, когда устройство 14 назначения принимает шифрованное и подписанное сообщение 38, устройство 14 назначения использует секретный ключ 24 назначения для создания дешифрованного сообщения 40. Дополнительно, устройство 14 назначения может использовать открытый ключ 18 источника для верификации автора дешифрованного сообщения 40 (например, для верификации, что шифрованное сообщение 40 формировалось устройством, имеющим доступ к секретному ключу 20 источника, таким как устройство 12 источника) и/или для верификации, что контент дешифрованного сообщения 40 не был изменен третьей стороной, которая может прослушивать сеанс 32 связи. В результате этого примерного сценария 30 устройство 14 назначения принимает дешифрованное верифицированное сообщение 42, которое было передано через незащищенный канал (такой как сеть Интернет) с доказанно низкой вероятностью перехвата и/или фальсификации третьей стороной.

Технологии, проиллюстрированные в примерных сценариях по фиг.1-2, могут использоваться для обмена шифрованными сообщениями через сеанс безопасной связи, но способ обмена информацией об открытых ключах, для того чтобы устанавливать сеанс связи, может включать в себя дополнительные соображения. В качестве первого примера может быть желательно, чтобы одно устройство аутентифицировало другое устройство так, чтобы третья сторона не могла просто выдавать себя за другое устройство в начале обмена ключами. Например, третья сторона могла бы перехватить запрос на установление сеанса 32 связи из устройства 12 источника, и может заниматься обменом ключами с устройством 12 источника наряду с выдачей себя за устройство 14 назначения. Более того, в «атаке методом перехвата сообщений и подмены ключей» третья сторона, к тому же, могла бы выдавать себя за устройство 12 источника и осуществлять запрос на установление второго сеанса связи 32 с устройством 14 назначения. При успехе в инициировании обоих сеансов 32 связи третья сторона могла бы передавать все сообщения 34, принятые из одного сеанса 32 связи, в другой сеанс 32 связи, тем самым представляя внешние признаки канала 32 безопасной связи между устройством 12 источника и устройством 14 приемника, но имея полный доступ к сообщениям 34, обмениваемым через него. Для того чтобы снижать эту вероятность, устройство 12 источника может пытаться аутентифицировать устройство 14 назначения, например, проверяя идентичность устройства 14 назначения в отношении открытого сертификата, принятого из доверенного источника, и идентифицируя устройство 14 назначения, чего может не быть способной выполнять третья сторона.

В качестве второго примера, третья сторона, которая не может дешифровать сообщения, по-прежнему может мешать устройству 12 источника и/или устройству 14 назначения посредством «атаки с повторением пакетов», где третья сторона захватывает одно или более шифрованных и подписанных сообщений 38, переданных в сеанс 32 связи, и позже повторно передает их на принимающее устройство. Принимающее устройство могло бы претерпевать неудачу в распознавании повторного сообщения в качестве дубликата принятого ранее сообщения и могло бы действовать на его основании. Например, если устройство 12 источника отправляет на устройство 14 назначения запрос установить сеанс 32 связи, который аутентифицирует устройство 12 источника, третья сторона могла бы захватить сообщение и повторно передать его на устройство 14 назначения с другого адреса. Даже если третья сторона не может дешифровать контент запроса, повторная передача запроса (включающего в себя шифрованный мандат устройства 12 источника) с отдельного адреса могла бы успешно приниматься по адресу 14 назначения, тем самым давая возможность устройству 14 назначения устанавливать сеанс 32 связи с третьей стороной, выдающей себя за устройство 12 источника. Для того чтобы уменьшить угрозу связанных с нарушением секретности рисков, устройство 12 источника и/или устройство 14 назначения может включать в различные сообщения «одноразовый номер», содержащий одноразовый идентификатор (зачастую сформированный случайным образом), который используется для придания отличительной черты сообщению 34, сеансу 32 связи и т.д., из условия, чтобы принимающее устройство могло идентифицировать повторно переданные сообщения.

Вследствие этих и других соображений может быть разработан конкретный образ действий установления сеансов 32 связи между устройством 12 источника и устройством 14 назначения, включающий в себя не только обмен информацией о ключах, но также связанной информацией. Во многих сценариях этот образ действий по установлению сеанса 32 связи, иногда упоминаемый как «подтверждение установления связи», может включать в себя обмен значительной информацией хорошо структурированным и интерактивным образом.

Фиг.3 представляет примерный сценарий 50, характеризующийся установлением сеанса связи с «подтверждением установления связи» между устройством 12 источника и устройством 14 назначения, который используется в криптографическом протоколе безопасности транспортного уровня (TLS). Устройство 12 источника вновь генерирует открытый ключ 18 источника и секретный ключ 20 источника наряду с тем, что устройство 14 назначения генерирует открытый ключ 22 назначения и секретный ключ 24 назначения. Согласно одному из сравнительно упрощенных взаимодействий «подтверждения установления связи» в соответствии с протоколом TLS, устройство 12 источника инициирует взаимодействие отправкой сообщения 52 на устройство 14 назначения, закодированного в качестве сообщения «Приветствие клиента», которое идентифицирует версию TLS, используемого клиентом 12, и одноразовый номер источника. Устройство 14 назначения отвечает сообщением 52 «Приветствие сервера», также идентифицирующим версию TLS, используемого сервером 12, и одноразовый номер назначения. Устройство 14 назначения также отправляет сообщение 52 «Сертификат», которое, в некоторых сценариях, может включать в себя открытый ключ 22 назначения, а затем отправляет на устройство 12 источника сообщение 52 «Приветствие сервера выполнено». Устройство 12 источника отвечает сообщением 52 «Обмен ключом клиента», характеризующимся открытым ключом 18 источника, а затем отправляет сообщение 52 «Изменить спецификацию шифра», указывающее, что следующее сообщение 52, отправленное устройством 12 источника, зашифровано согласно измененному мандату. Устройство 12 источника в заключение отправляет сообщение 52 «Готово», указывающее, что устройство 12 источника выполнило свою часть взаимодействия подтверждения установления связи. Устройство 14 назначения отвечает подобным сообщением 52 «Изменить спецификацию шифра» и сообщением 52 «Готово», тем самым завершая взаимодействие подтверждения установления связи и устанавливая канал 32 безопасной связи.

В этом сравнительно упрощенном взаимодействии подтверждения установления связи устройство 12 источника и устройство 14 назначения обмениваются значительным объемом информации. Это взаимодействие может включать в себя обмен девятью сообщениями 52, каждое имеет специфичный формат, используемый отправляющим устройством, и вызывает конкретное поведение на принимающем устройстве. Сложность взаимодействия подтверждения установления связи могла бы поднимать вероятность возникновения осложнений (например, неожиданных или нежелательных результатов, если обмен сообщениями 52 осуществляется в неправильном порядке, неудавшейся доставки сообщения 52 и возможностей злоупотребления третьими сторонами). Более того, каждое сообщение 52 влечет за собой задержку передачи по сети, вызывая значительную величину времени ожидания, которая может задерживать установление канала 32 связи между устройством 12 источника и устройством 14 назначения. Несмотря на то, что некоторые технологии могли бы использоваться для сокращения количества обмениваемых сообщений 52 (например, группирование наборов связанных сообщений 52 в примерном сценарии 50 по фиг.3 могло бы сокращать количество обмениваемых сообщений до четырех), дополнительные признаки канала связи (например, согласование конкретной версии TLS и конкретного алгоритма 16 шифрования) могли бы дополнительно увеличивать количество сообщений 52, обмениваемых для завершения подтверждения установления связи. Формирование, передача, прием, декодирование и обработка таких сообщений также накладывают затраты вычислительных ресурсов на устройство 12 источника и устройство 14 назначения, и сценарии, где количество соединений может быть большим (например, одноранговая передача данных между большим набором одноранговых устройств, где устройство может устанавливать и поддерживать сотни соединений на динамической основе), задержки и затраты вычислительных ресурсов по установлению соединений могут превышать масштаб приемлемого диапазона.

Соответственно, может быть желательно уменьшать сложность взаимодействия подтверждения установления соединения для того, чтобы давать возможность установления сеанса 32 связи с желательно низким временем ожидания и вычислительными затратами, к тому же, наряду с предоставлением возможности некоторых признаков, обсужденных в материалах настоящей заявки (например, защиты от атак методом перехвата сообщений и подмены ключей или атак с повторением пакетов). Одна из технологий для снижения времени ожидания включает в себя сокращение количества сообщений 52, обмениваемых при установлении сеанса 32 связи. Например, взаимодействие подтверждения установления связи могло бы быть разработано, чтобы давать каждому устройству возможность доставлять на другое устройство одиночный набор информации, определяющий его часть сеанса 32 безопасной связи, тем самым давая сеансу 32 связи возможность начинать с единственного обмена сообщениями 52.

Фиг.4 представляет примерный сценарий 60, характеризующийся вариантом осуществления этих технологий, в котором устройство 12 источника и устройство 14 назначения могли бы устанавливать сеанс 32 связи с одиночным обменом информацией. Например, устройство 12 источника и устройство 14 назначения могут содержать компьютеры, имеющие процессоры 88 и поддерживающие связь через проводную или беспроводную сеть, такую как сеть Интернет или локальная сеть (LAN). В этом примерном сценарии 60 устройство 12 источника может быть идентифицируемым посредством открытого сертификата 66 источника, а устройство 14 назначения может быть идентифицируемым посредством открытого сертификата 72 назначения. Эти открытые сертификаты могут поддерживаться доверенным сервером (например, сервером аутентификации, который сконфигурирован для хранения открытых сертификатов и для содействия аутентификации устройств другими устройствами), или могли бы обмениваться другими способами. Открытый сертификат 66 источника, например, мог бы содержать в себе открытый ключ 62 сертификата источника, который соответствует открытому ключу 64 сертификата источника, который удерживается в тайне известным и аутентифицированным устройством 12 источника; а открытый сертификат 72 назначения, например, мог бы содержать в себе открытый ключ 68 сертификата назначения, который соответствует открытому ключу 70 сертификата назначения, который удерживается в тайне известным и аутентифицированным устройством 14 назначения. Пара ключей, включенная в эти открытые сертификаты, могла бы не использоваться устройством для шифрования сообщений 52 во время сеанса 32 связи с другим устройством, но могла бы резервироваться для аутентификации устройств. Устройство 12 источника может иметь доступ к открытому сертификату 72 назначения, содержащему открытый ключ 68 сертификата назначения, и устройство 14 назначения может иметь доступ к открытому сертификату 66 источника, содержащему открытый ключ 62 сертификата источника. В дополнение, устройство 12 источника может иметь адрес 78 источника в конкретной сети, например, адрес TCP/IP, назначенный для доступа по сети Интернет или LAN, и устройство 14 назначения может иметь адрес 80 назначения в той же самой сети, который может использоваться каждым устройством для адресации сообщений 52 на другое устройство. Например, адрес 80 назначения мог бы специфицироваться в открытом сертификате 72 назначения, тем самым аутентифицируя идентичность устройства 14 назначения, если оно доступно на адресе 80 назначения и является обладающим секретным ключом 70 сертификата назначения.

Когда устройство 12 источника принимает (например, от пользователя) запрос на инициирование сеанса 32 связи с устройством 14 назначения, устройство 12 источника могло бы инициировать подтверждение установления связи следующим образом. Прежде всего, устройство 12 источника могло бы формировать сеансовый ключ 70 источника, который должен использоваться для шифрования и дешифрования сообщений 52, только для этого сеанса 32 связи с этим устройством 14 назначения. Устройство 12 источника может подготавливать приглашение 82 сеанса, содержащее сеансовый ключ 74 источника и адрес 78 источника, и может шифровать сообщение с открытым ключом 68 сертификата назначения в пределах открытого сертификата 72 назначения. Приглашение 82 сеанса затем может передаваться на устройство 14 назначения в качестве запроса инициировать сеанс 32 связи.

Когда устройство назначения принимает приглашение 82 сеанса, устройство назначения может дешифровать приглашение 82 сеанса с использованием секретного ключа 70 сертификата назначения и может определять, принять или нет приглашение инициировать сеанс 32 связи. Если устройство 14 назначения принимает приглашение, устройство 14 назначения затем может генерировать сеансовый ключ 76 назначения. С использованием сеансового ключа 74 источника и сеансового ключа 76 назначения устройство 14 назначения могло бы генерировать сеансовый ключ 86, который может использоваться для шифрования конечного сеанса 32 связи. Например, сеансовый ключ 86 может содержать симметричный ключ, такой как ключ Риджндаела (Rijndael), который используется как для шифрования, так и дешифрования сообщений. Симметричный ключ, например, может содержать простую конкатенацию сеансового ключа 74 источника и сеансового ключа 76 назначения. После формирования сеансового ключа 76 назначения устройство 14 назначения может подготавливать принятие 84 сеанса, содержащее сеансовый ключ 76 назначения и адрес 80 назначения, которое может кодироваться с открытым сертификатом 66 источника. Устройство 14 назначения затем может передавать принятие 84 сеанса на устройство 12 источника. По приему принятия 84 сеанса устройство 12 источника также может генерировать сеансовый ключ 86 с использованием сеансового ключа 74 источника и сеансового ключа 76 назначения. Устройство 12 источника затем может инициировать сеанс связи с адресом 14 назначения, шифрованным сеансовым ключом 86, и может обмениваться сообщениями через сеанс 32 связи, как в примерном сценарии 30 по фиг.2. Этим способом устройство 12 источника и устройство 14 назначения могут обмениваться релевантной информацией для инициирования сеанса 32 связи всего лишь двумя сообщениями 52, тем самым уменьшая время ожидания и затраты вычислительных ресурсов, связанные с подтверждением установления связи. Дополнительно, использование открытого сертификата 72 назначения может обеспечивать аутентификацию устройству 12 источника по идентичности устройства 14 назначения, наряду с отсутствием привлечения обмена дополнительными сообщениями 52 при подтверждении установления связи. Более того, в усовершенствование этих технологий (не проиллюстрированное на фиг.4), время ожидания установления сеанса 32 связи могло бы быть дополнительно уменьшено, если бы устройство 14 назначения инициировало сеанс связи с устройством 12 источника по приему приглашения 82 сеанса. В этом варианте осуществления принятие 84 сеанса может отправляться в пределах установленного канала связи, тем самым сокращая подтверждение установления связи до обмена единственным сообщением 52 и снижая время задержки и затраты вычислительных ресурсов, связанные с подтверждением установления связи.

Фиг.5 представляет первый вариант осуществления этих технологий, представленный в качестве примерного способа 90 установления сеанса 32 связи устройством 12 источника, имеющим процессор 88 и адрес 78 источника, а также открытый ключ 62 источника и секретный ключ 64 источника. Устройство 12 источника, поэтому, представлено открытым сертификатом 66 источника, содержащим открытый ключ 62 источника. Сеанс 32 связи устанавливается с устройством 14 назначения, имеющим открытый сертификат 72 назначения и адрес 80 назначения. Примерный способ 90, например, может быть воплощен в качестве набора команд, хранимых в памяти устройства 12 источника. Примерный способ 90 начинается на 92 и включает в себя выполнение 94 на процессоре 88 команд, сконфигурированных для реализации технологий, представленных в материалах настоящей заявки. В частности, команды могут быть сконфигурированы для формирования 96 сеансового ключа источника. Команды, к тому же, могут быть сконфигурированы для передачи 98 на устройство 14 назначения приглашения 82 сеанса, содержащего адрес 78 источника и сеансовый ключ 74 источника, где приглашение 82 сеанса зашифровано с использованием открытого сертификата 72 назначения (например, открытого ключа 68 сертификата назначения, включенного в открытый сертификат 72 назначения). Команды, к тому же, могут быть сконфигурированы, по приему 100 с устройства 12 назначения принятия 84 сеанса, содержащего адрес 80 назначения и сеансовый ключ 76 назначения, для дешифрования 102 принятия 84 сеанса с использованием открытого сертификата 66 и генерирования 104 сеансового ключа 86 с использованием сеансового ключа 74 источника и сеансового ключа 76 назначения. В заключение, команды могут быть сконфигурированы для инициирования 106 сеанса 32 связи с устройством 14 назначения на адресе 80 назначения, специфицированном в принятии 84 сеанса, где сеанс связи шифруется с использованием сеансового ключа 86. Обменявшись информацией о ключах с устройством 14 назначения посредством передачи приглашения 82 сеанса и приема принятия 84 сеанса, примерный способ 90, вследствие этого, устанавливает сеанс 32 связи с устройством 14 назначения сокращенным количеством сообщений 52 и, таким образом, заканчивается на 108.

Фиг.6 представляет второй вариант осуществления этих технологий, проиллюстрированный в качестве примерного способа 110 установления сеанса 32 связи устройством 14 назначения, имеющим процессор 88, открытый сертификат 72 назначения и адрес 80 назначения, с устройством 12 источника, имеющим открытый сертификат 66 источника. Примерный способ 110, например, может быть воплощен в качестве набора команд, хранимых в памяти устройства 14 назначения. Примерный способ 110 начинается на 112 и включает в себя выполнение 114 на процессоре 88 команд, сконфигурированных для реализации технологий, представленных в материалах настоящей заявки. Более точно, команды могут быть сконфигурированы, по приему 116 с устройства 12 источника приглашения 82 сеанса, содержащего адрес 78 источника и сеансовый ключ 74 источника, для дешифрования 118 приглашения 82 сеанса с использованием открытого сертификата 72 назначения и генерирования 120 сеансового ключа 76 назначения. С использованием сеансового ключа 74 источника и сеансового ключа 76 назначения команды могут быть сконфигурированы для генерирования 122 сеансового ключа 86. Команды, к тому же, могут быть сконфигурированы для передачи 124 на устройство 12 источника принятия 84 сеанса, содержащего адрес 80 назначения и сеансовый ключ 76 назначения, где принятие 84 сеанса шифруется с использованием открытого сертификата 66 источника. В заключение, команды могут быть сконфигурированы, по приему с устройства 12 источника инициирования сеанса 32 связи, для инициирования 124 сеанса 32 связи с устройством 12 источника на адресе 76 источника, где сеанс 32 связи шифруется с использованием сеансового ключа 86. Обменявшись информацией о ключах с устройством 12 источника посредством приема приглашения 82 сеанса и передачи принятия 84 сеанса, примерный способ 110, вследствие этого, устанавливает сеанс 32 связи с устройством 12 источника сокращенным количеством сообщений 52 и, таким образом, заканчивается на 126.

Еще один другой вариант осуществления включает в себя машиночитаемый носитель, содержащий выполняемые процессором команды, сконфигурированные для применения технологий, представленных в материалах настоящей заявки. Примерный машиночитаемый носитель, который может быть разработан этими способами, проиллюстрирован на фиг.7, при этом реализация 130 содержит машиночитаемый носитель 132 (например, CD-R (компакт-диск с однократной записью), DVD-R (цифровой многофункциональный диск с однократной записью) или накопитель на жестких дисках), на котором закодированы машиночитаемые данные 134. Эти машиночитаемые данные 134, в свою очередь, содержат набор компьютерных команд 136, сконфигурированных для работы согласно принципам, изложенным в материалах настоящей заявки. В одном таком варианте осуществления выполняемые процессором команды 136 могут быть сконфигурированы для осуществления способа установления сеанса связи с устройством назначения, такого как примерный способ 90 по фиг.5. В другом таком варианте осуществления выполняемые процессором команды 136 могут быть сконфигурированы для выполнения способа установления сеанса связи с устройством источника, такого как примерный способ 110 по фиг.6. Рядовыми специалистами в данной области техники могут быть разработаны многие такие машиночитаемые носители, которые сконфигурированы для работы в соответствии с технологиями, представленными в материалах настоящей заявки.

Технологии, обсужденные в материалах настоящей заявки, могут быть продуманы с вариантами по многим аспектам, и некоторые варианты могут представлять дополнительные преимущества и/или уменьшать недостатки по отношению к другим вариантам этих и других технологий. Более того, некоторые варианты могут быть реализованы в комбинации, и некоторые комбинации могут характеризоваться дополнительными преимуществами и/или уменьшенными недостатками благодаря синергичному взаимодействию. Варианты могут быть включены в различные варианты осуществления (например, примерный способ 90 по фиг.5 и примерный способ 110 по фиг.6), чтобы давать отдельные и/или действующие совместно преимущества по таким вариантам осуществления.

Первый аспект, который может мен