用于向应用和服务提供网络通信关联信息的方法和装置

摘要

本发明提供一种系统和方法，其允许第一终端上的应用查询有关它能够用来向另一终端发送数据的可用网络通信关联，藉此避免与该另一终端建立新的网络通信关联。安全性信息模块可用来采集和/或存储关于此第一终端与另一终端之间跨不同层的可用网络通信关联的信息。该安全性信息模块还可基于用来建立每个关联的安全性机制和/或就这些网络通信关联所报告的以往经历信息来评估这些网络通信关联的信任度。一旦接收到对可用网络通信关联的请求，该安全性信息模块就将此提供给作请求的应用，后者能使用其来与该另一终端上的对应应用建立通信。

说明书

背景

领域

至少一个特征涉及通信网络中的设备之间的安全通信，更具体而言涉及跨 不同层和应用采集和共享可用网络通信关联。

背景

在通信网络中或有线或无线的设备上的诸如电子邮件(email)之类的应 用目前并不知悉原先用来创建该网络中的安全性关联所使用的底层认证机制 的强度。结果，每个应用在与另一设备通信时管理其自己的安全性。例如，应 用可能知道传输层安全性(TLS)或网际协议安全性(IPSec)信道存在，但不 知道该信道原是如何建立的。该信道可能是已经由例如未经认证的 Diffie-Hellman(DH)、基于完全加密程序(Pretty Good Privacy：PGP)的认 证、基于预先共享密钥(PSK)的认证或基于公钥基础设施(PKI)的认证来 建立的，然而应用并不知悉原先用来建立该信道的认证的类型。

在开放式系统互连(OSI)分层通信和计算机网络协议设计中，每个层可 建立其自己的受安保或不受安保的关联或信道。例如，第一OSI层可与另一设 备建立受安保或不受安保的通信信道。类似地，例如媒体接入控制(MAC)层、 网际协议(IP)层和/或应用层之类的第二OSI层可使用其自己的安全信道来保 护两个设备之间的通信。工作在设备的层上的应用一般并不知悉第一层信道或 关联的安全性或认证特性，并且因此不得不建立其自己的安全信道或关联。

如上所讨论的那样，即使应用知道另一层上的安全关联或信道，它也不知 道原先是使用了什么类型或强度的认证来创建该安全关联或信道。如果认证等 级不清楚，那么在每层处维持最低认证等级是不可能的。结果，应用就不得不 建立其自己的网际协议(IP)连通性，即IP层加密，即使有第一层通信关联或 信道可用并且原本能用于相同目的亦是如此。

另外，即使应用能知道原先用来在第一层处建立安全性关联的认证类型， 单此可能并不足以确定该安全性关联的实际质量。尽管认证可证明实体是它所 声称的那个实体，但它无法提供对通过该实体可用的服务的可靠性或质量的保 证。目前，寻求这种保证的应用无从获得该保证。

有鉴于以上，需要有一种系统和方法来向第一或第二层应用提供关于第一 层网络通信关联的信息以促成在此第一层网络通信关联上的安全通信，藉此避 免建立额外的第一网络通信关联或使用第二层网络通信关联。该信息可包括所 建成的网络通信关联、所使用的认证类型以及该安全性关联的可靠性或信任 度。

概述

一个特征提供一种能在发射终端上工作的方法，该方法允许应用利用相同 层或不同层处预先建成的网络通信关联来将数据传递给接收终端，藉此避免建 立新的网络通信关联。结果，开销得以最小化，因为可能不需要在建立可能已 经建成的新网络通信关联时浪费开销。为了实现这个目的，安全性信息模块(例 如硬件、软件、或其组合)提供接口，通过该接口采集一个或更多个层的一个 或更多个网络通信关联的信息并将其分发给应用。在一个示例中，这一个或更 多个网络通信关联可对应于开放式系统互连(OSI)模块通信系统的一个或更 多个层，其中这一个或更多个层可包括应用层、网络层、数据链路层和物理层 中的至少一者。

可为这一个或更多个网络通信关联中的每一个评估和/或存储信任度。另 外，来自应用的有关与一个或更多个接收终端先前的经历的信息可被采集并提 供给其他应用。可基于采集到的信息来为每个这样的接收终端评估信任度。信 任度可基于与对应接收终端先前的经历和用来创建到此对应接收终端的层网 络通信关联的认证类型。也可标识要在选择藉以发送数据的网络通信关联时使 用的策略集，其中此策略集基于用户偏好。

可从作请求的应用接收对关于可用的层网络通信关联的信息的请求。响应 于此，可将至少一个网络通信关联的安全性信息提供给此作请求的应用以允许 此作请求的应用选择网络通信关联来向接收终端发送数据，藉此避免与此接收 终端建立新的网络通信关联。所采集到的信息可存储在安全性信息模块中以供 随后检索和选择要藉以向此接收终端上的应用发送该数据的网络通信关联。所 提供的安全性信息可包括这些网络通信关联的强度等级。可选择此作请求的应 用能藉以在网络上将该数据发送给此接收终端的网络通信关联。这些网络通信 关联的安全性信息可包括以下至少一者：用来安保第一层网络通信关联的方 法、用来认证第一层网络通信关联的方法、以及发射终端同与之建立这些网络 通信关联的接收终端之间先前的历史。

如果该一个或更多个网络通信关联中的至少一个的安全性等级达到作请 求的应用进行数据传输所希望的安全性等级，则所选择的网络通信关联是自所 述一个或更多个网络通信关联中选择的。替换地，如果这一个或更多个网络通 信关联的安全性等级达不到希望的安全性等级，则可建立新的网络通信关联， 作请求的应用能使用它来将该数据发送给此接收终端。一旦选择了网络通信关 联，接收终端就可得到关于要在其上接收正被发送的数据的网络通信关联的通 知。

在一个示例中，作请求的应用可在第一层上工作并且所选择的网络通信关 联可在不同的第二层上工作。第一层可以是比第二层更高的层。在另一示例中， 作请求的应用可在第一层上工作而所选择的网络通信关联可在相同的第一层 上工作。

根据另一应用，提供一种包括通信接口和处理电路的接入终端。该处理接 口可适配成用于与接收终端通信。该处理电路可配置成：(1)提供藉以采集一 个或更多个层的一个或更多个网络通信关联的信息并将其分发给应用的接口， (2)从作请求的应用接收对关于可用的层网络通信关联的信息的请求，(3)选 择要藉以在网络上将该数据发送给此接收终端的网络通信关联，和/或(4)向 作请求的应用提供至少一个网络通信关联的安全性信息以允许此作请求的应 用选择网络通信关联来向接收终端发送数据，藉此避免与此接收终端建立新的 网络通信关联。在一个示例中，如果这一个或更多个网络通信关联中的至少一 个的安全性等级达到由此作请求的应用进行数据传输所希望的安全性等级，则 所选择的网络通信关联可自这一个或更多个网络通信关联中选择。在一些实现 中，作请求的应用可在阶层式协议架构中的第一层上工作并且所选择的网络通 信关联在此阶层式协议架构的第二层上工作。替换地，作请求的应用可在第一 层上工作而所选择的网络通信关联在阶层式协议架构中相同的第一层上工作。

在一些实现中，该处理电路可进一步配置成：如果这一个或更多个网络通 信关联的安全性等级达不到希望的安全性等级，则建立新网络通信关联并使用 它来将该数据发给此接收终端。

根据另一特征，该处理电路可进一步配置成：(1)评估这一个或更多个网 络通信关联中的每一个的信任度；和/或(2)存储这一个或更多个网络通信关 联中的每一个的信任度。

根据又一特征，该处理电路可进一步配置成：(1)从应用采集关于与一个 或更多个接收终端先前的经历的信息，(2)基于所采集到的信息评估每个这样 的接收终端的信任度，和/或(3)将这一个或更多个接收终端的信息提供给其 他应用。

该接入终端还可包括存储设备，该存储设备耦合于该处理电路并配置成将 所采集到的信息存储在安全性信息模块中以供随后检索和选择要藉以向该接 收终端上的应用发送该数据的网络通信关联。

在各种示例中，本文中描述的这些特征之中的一个或更多个特征可实现在 硬件(例如，一个或更多个处理器、电路、芯片等)、软件、和/或其组合中。

附图简述

结合附图来理解下面阐述的详细说明，各种特征、本质和优点便可从中变 得明了，在附图中，相同的参考标记贯穿始终作相应标示。

图1是解说在发射终端与接收终端之间通信期间建立的第一层网络通信 关联的通信网络的框图。

图2是解说在发射终端与接收终端之间的网络通信层关联的框图。

图3(包括图3A、3B和3C)是解说用于向第二层应用提供安全性和信任 度信息以促成第一层网络通信关联上的安全通信藉此避免建立第二层网络通 信关联的方法的流图。

图4是解说可配置成探明第一层网络通信关联的安全性和信任度信息的 接入终端的示例的框图。

图5是解说安全性信息模块采集第一层关联(信道)信息并将其提供给第 一或第二层应用和/或服务的操作和/或功能的框图。

图6解说工作在安全性信息模块中以用于采集网络通信信息并将其提供 给应用和/或服务的方法。

图7(包括图7A和7B)解说工作在通信终端中以用于将安全性和信任度 信息提供给第二层应用以促成第一层网络通信关联上的安全通信藉此避免建 立第二层网络通信关联的方法。

详细说明

在下面的说明中，给出具体细节来提供对配置的透彻理解。然而，本领域 普通技术人员将理解，这些配置可不用这些具体细节来实践。例如，可能以框 图形式示出电路以不至使这些配置湮没在不必要的细节中。在其他实例中，可 能详细地示出公知的电路、结构和技术以不至湮没这些配置。

如本文中所使用的，术语“终端”可包括用户装备(UE)、无线或有线通 信设备、网络设备、个人通信设备、移动设备、和/或移动站的一些或所有功能 性。术语“网络通信关联”可包括网络上的建立在两不同终端的应用或服务之间 的链路或信道。

综述

提供一种系统和方法，其允许第一终端上的应用查询有关它能用来向另一 终端发送数据的可用网络通信关联，藉此避免与此另一终端建立新的网络通信 关联。安全性信息模块可用来采集和/或存储关于此第一终端与另一终端之间跨 不同层的可用网络通信关联的信息。该安全性信息模块还可基于用来建立每个 关联的安全性机制和/或就这些网络通信关联所报告的以往经历信息来评估这 些网络通信关联的信任度。一旦接收到对可用网络通信关联的请求，该安全性 信息模块就将此提供给作请求的应用，后者能使用其来与此另一终端上的对应 应用建立通信。

根据一个示例，(向安全性信息模块)提供藉以采集一个或更多个层的一 个或更多个(可用)网络通信关联的信息并将其分发给应用的接口。可采集和 /或存储这一个或更多个(可用)网络通信关联的信息。这类信息可包括这些网 络通信关联的安全性信息、信任度信息、以往经历信息。至少一个网络通信关 联的安全性信息被提供给作请求的应用以允许此作请求的应用选择网络通信 关联来向接收终端发送数据，藉此避免与该接收终端建立新的网络通信关联。

在一个示例中，提供一种系统和方法，用于促成向第二层应用提供安全性 信息以促成第一层网络通信关联上的安全通信，藉此避免建立第二层网络通信 关联。在一些实例中，应用或服务(例如，银行服务等)可能不信任同一设备 中的其他应用/服务，结果其可能希望建立其自己的安全通信信道或通道。然而 在其他实例中，第二层应用或服务不需要来自同一设备中的其他应用/服务的保 护(即，与同一设备中的其他应用/服务互信)，结果可避免单独的安全信道或 网络通信关联并且可使用相同的第一层信道或网络通信关联。结果，密钥管理 协议的成本可能摊薄到多个安全信道或关联上。例如，应用层可从媒体接入控 制(MAC)层安全性获益而不是建立其自己的安全关联。

在避免建立第二层网络通信关联时，第二层应用可确定每个网络通信关联 的强度等级。强度等级可使用与这些网络通信关联相关联的安全性信息和信任 度信息来确定。信任度信息可由使用关于这些网络通信关联的安全性信息和任 何其他可用信息的应用来确定。一旦确定强度等级，就可将其与存储在设备中 的安全性信息模块上的策略集比对以确定是否可利用现有的网络通信信道/关 联或者是否应当获取新的网络通信信道/关联。所选择或获得的网络通信关联 (或安全网络信道)随即可用于至该设备/从该设备至另一设备的数据传输。

另一特征提供一种系统和方法，用于促成向第一层应用提供安全性信息以 促成第一层网络通信关联上的安全通信，藉此避免建立额外的第一网络通信关 联。

网络的这些第一层可能必须保护第二层也许尚未保护的头部。头部可能已 被引入到第一层与第二层之间。例如，对于应用层与传输控制协议/网际协议 (TCP/IP)层之间的头部而言可有IP级安全性机制可用。然而，应用层可能 已保护数据或有效载荷，因此IP稍后可作出关于是否要保护TCP头部或者IP 级安全性机制是否可保护TCP头部的确定。换言之，如果第二层正在使用第 一层协议，则这些层之间的头部中有一些可能需要由第一层所作的保护。

注意，如本文中所使用的那样，术语“层”是指阶层式协议架构，在其中概 念上类似的功能的集合向其上的层提供服务并从其下的层接收服务。结果，第 二层就能基于第一层关联或信道来建立自己的关联或通信信道。术语“第二层” 和“第一层”仅表示不同的层而并不暗示或意指任何特定的层。术语“第一”和“第 二”可以分别替换地称为“较低”和“较高”。术语“关联”是指与另一设备建立的关 系，诸如在两个设备的层之间的通信信道。术语“安全性协议”是指其中在建立 关联或信道时利用某种形式的认证和/或加密的任何协议。

共享通信关联

图1是解说在发射终端102与接收终端104之间通信期间建立的第一层网 络通信关联的通信网络100的框图。发射终端102可经由第一接入节点106(例 如，基站)连接到诸如因特网之类的网络110。当向接收终端104发射数据时， 发射终端102可将数据发送给第一接入节点106，后者随即经由因特网110将 数据传送至网关108。从网关108，该数据可被传送至第二接入节点112，后者 可将接收终端104连接到网络110。第二接入节点112随后可将该数据传送给 接收终端104。

当发射终端102与接收终端104之间的通信发起时，可在通信网络100的 这些节点之间建立一个或更多个安全信道或网络通信关联。例如，可在发射终 端102与第一接入节点106之间建立媒体接入控制(MAC)层安全性关联114。 可在发射终端102与网关108之间建立网际协议安全性(IPsec)层关联116。 替换地，IPsec层118可在发射终端102与接收终端104之间。另外，在发射 终端102与接收终端104之间可以有应用层安全性关联，例如传输层安全性 (TLS)/数据报传输层安全性(DTLS)120。

图2是解说在发射终端202与接收终端204之间的网络通信层关联的框 图。这些设备的网络架构——其例如可以是开放式系统互连(OSI)七层模 型——可分成七个层，其从顶到底是应用层、表示层、会话层、传输层、网络 层、数据链路层和物理层。注意，为了简单和明晰，仅解说了每个设备的应用 层204a和204b、网络层206a和206b、数据链路层208a和208b以及物理层 210a和210b。

在图2中所示的示例中，第一电子邮件应用212可能寻求建立安全信道以 保护去往/来自第二电子邮件应用216的传输。如此，工作在发射终端202的应 用层204a中的第一电子邮件应用212可使用网络协议安全外壳(SSH)在安全 网络通信关联(或信道)214上与接收终端204的应用层204b中的第二电子邮 件应用216交换数据。

图2中的示例中还示出因特网密钥交换第2版(IKEv2)协议。在网络层 206a中，发射终端202可在IPsec会话开始时使用IKEv2协议来与接收终端204 协商安全关联218。在一个示例中，第一电子邮件应用212不是建立其自己的 安全关联(即，信道)，而是可利用网络层206a中预先建成的安全关联218 中的一个。安全性信息模块可将关于诸第一层关联或信道的信息提供给诸第二 层。在一些实现中，在不同层间发生网络通信关联的纵向共享。然而，在其他 实现中，可发生从第一层中的一个应用至在相同的第一层中的另一应用或服务 的网络通信关联的横向共享。

图3(包括图3A、3B和3C)是解说使用第一层的网络通信关联促成两个 设备或终端之间安全的数据传输的方法的流图。通过使用第一层网络通信关 联，可避免在第二层上使用和建立新的网络通信关联。在本例中，图2的发射 终端202和接收终端204用于解说目的。发射终端202可包括应用模块302、 安全性信息模块304和安全性协议模块306。

应用模块302可包括使用网络通信关联来与其他终端或设备上的其他应 用交换数据的应用或服务。另外，如下文所讨论的，应用模块302还可在数据 交换或交换数据的尝试之后评估这些节点或网络通信关联的信任度。可使用诸 如在网络通信关联创建中使用的认证类型之类的信息来评估信任度。例如，可 基于原先在创建该网络通信关联时使用的是强力的预先共享密钥(PSK)或自 签署的凭证还是未经认证的Diffie-Hellman来确定信任度。可将该信息经由 应用程序接口(API)提供给安全性协议模块。

安全性信息模块304可采集关于来自各种安全性协议的安全信道或网络 通信关联的特性的信息并在受请求时将此安全性信息提供给应用或服务。另 外，安全性信息模块304可采集由应用提供的关于节点和网络通信关联的信任 度的信息。信任度信息可被纳入到关于在将来的通信中要使用哪个网络通信关 联的决策中，或可被提供给其他模块以用于作出路由决策。藉由知道网络通信 关联的类型，关于在创建此类关联时使用的凭证或认证机制类型的信息可用来 评估这样的关联和/或对应节点的信任度。例如，网络通信关联可包括IKEv2 和802.11i或蓝牙配对方案，其中的每一者将导致该网络通信关联有不同的信 任度。

安全性协议模块306可包括任何安全性协议或网络通信关联，任其是第一 层还是第二层，其促成凭证管理、密钥管理和/或安全信道建立以用于在发射终 端与接收终端之间进行通信。

在通信网络中，可由发射终端202建立策略集并可将其存储在安全性信息 模块304中，在此该策略集可基于用户偏好308。所述偏好可包括但并不被限 定于成本、可用带宽以及应用可用来安全地传送数据的安全性等级。安全性信 息模块304可采集此信息并用此来与应用和/或网络通信关联交互。

安全性协议模块306可探明关于可能先前已在发射终端和接收终端上的 应用/服务或应用程序接口(API)之间建成的网络通信关联的安全性信息310。 应用或服务可以有能力使用该安全性信息来选择先前建成的第一层网络通信 关联来使开销最小化，因为不会在建立可能已建成的网络通信关联中浪费开 销。例如，该安全性信息模块可能已知道经加密网络通信关联或信道的可用性。 结果，应用就能使用这些第一层经加密网络通信关联或信道并跳过其自己的IP 层加密。而如果这层信息不可用，那么应用可能不得不建立其自己的IP层加 密，即便在第一层处有这个直接连通性模型可用也无济于事。结果，第二层应 用或服务能通过藉由从安全性信息模块304获得该信息来依赖第一层关联或信 道(具有希望的安全性等级)，从而减小开销和/或复杂度。

特定关联或信道的安全性信息可包括在特定信道上与给定节点的可用凭 证的类型，包括但并不被限定于牵涉用户的蓝牙配对和基础设施辅助式可扩展 认证协议(EAP)。凭证可以是关联或信道无关的。除了可用凭证的类型，安 全性信息还可包括该节点或关联/信道原先是如何得到认证的，诸如PSK、自 签署凭证、生物测定等，以及设备/节点的类型，即受信任的相对于非受信任 的——若这些信息已知。可将此信息发送至安全性信息模块312，此信息可存 储在那里314。

接着，应用模块302可评估这些网络通信关联中的每一个的信任度316。 可使用所获得的安全性信息、以及其可能具有的关于这些网络通信关联的任何 其他信息例如由用户提供的信息来评估信任度。例如，接收到损坏的文件的应 用可指示它已从自其接收到损坏的文件的设备或节点接收到此损坏的文件。该 信息可在评估信任度时使用。接着，可将信任度反馈提供给安全性信息模块 318，该反馈可存储在那里320。信任度反馈可由其他应用使用以确定特定网络 通信关联或节点是否可以信任(或对其赋予信任度)。

另外，信任度信息可用来演算网络通信关联的总强度。该信息对正在运行 该设备/节点上运行的其他应用或服务可能很有用。例如，指望获得某件软件的 另一应用可根据该反馈选择不使用先前提供了损坏的文件的设备/节点。即便认 证等级对应用而言可能是能接受的，然而对应节点或网络认证关联的指示低信 任度的先前历史(例如，提供损坏的文件的历史等)可取代此类信道强度信息。 例如，如果设备C中的应用具有从设备A或设备B获得内容的选项并且该应 用具有设备A的先验知识，那么相比来自设备B的内容，该应用也许能更好 地认证来自设备A的内容。即使设备A和设备B两者均使用自签署的证书/认 证，该应用也可请求从设备A接收此信息，因为该应用与设备A具有先前建 成的关系。结果，可由应用使用(由工作在设备C中的相同或其他应用)与设 备A积极通信的先前历史来确定是否应当使用这种关联。

当发射终端202中的应用想要向接收终端204传送数据时，应用模块302 (例如工作在发射终端202上的应用或服务)可请求第一层网络通信关联或信 道的任何可用的安全性和信任度信息，该信息可在安全性信息模块322中获得 或存储。安全性信息模块304可接收此请求并可将任何可用的安全性和信任度 信息发送给应用模块324。安全性信息可包括例如这些网络通信关联的认证强 度和密码术算法强度。应用模块302随后可将此安全性和信任度信息随策略集 一起使用来确定是否可利用现有的网络通信关联或信道或者是否应当获取新 的网络通信关联或信道326。换言之，可使用安全性和/或信任度信息来确定安 全性等级，同时该策略集可包括从该设备进行的数据传输所希望的安全性等 级。如果使用安全性和信任度信息确定的安全性等级要么等于要么超过所希望 的安全性等级，则可使用第一层网络通信。所希望的安全性等级可由应用基于 优选的安全性类型来确定。例如，应用可能想要使用完好性和加密或者是用256 位密钥的加密。

如果应用模块确定这些建成的网络通信关联中的任何哪个可以利用，即达 到希望的安全性等级，则运行在发射终端上的该应用就可选择这些第一层网络 通信关联中要藉以与接收终端通信的的一个326。

在一些实例中，第一层网络通信关联可在多个应用或服务间被共享。在这 类实例中，这些应用或服务可能对其他应用和服务具有足够的信任以并发地使 用相同的第一层共享关联或信道。

在其他实例中，应用或服务可能不信任同一设备中的其他应用或服务或可 能希望对自己的通信使用非共享的私用或专用关联或信道。在这类实例中，应 用或服务要么可以请求第一层建起非共享的网络通信关联或信道以供其独用， 要么可以决定建起其自己的第二层关联或信道。

一旦第一层网络通信关联或信道已被选择，就可将关于可与接收终端建立 网络通信关联和安全性通信信道的通知提供328给接收终端204。如果建成的 网络通信关联全都无法达到希望的安全性等级，则可创建具有希望的安全性等 级的新网络通信关联330。然后可将关于此新网络通信关联的通知提供给接收 终端。一旦发射终端已经建立此安全性通信信道——任其是使用现有的第一层 网络通信关联还是创建新的网络通信关联，就在此安全性通信信道上向接收终 端204传送数据332。

图4是解说可配置成将安全性信息提供给第二层应用以促成第一层网络 通信关联上的安全通信藉此避免建立第二层网络通信关联的通信终端的示例 的框图。通信终端402可包括耦合到通信接口406的处理电路404，通信接口 406用于在有线或无线网络上与另一设备通信。应用模块410可实现为硬件、 软件(例如，在处理电路404内工作的软件)、或其组合，并代表使用由安全 性协议建立的安全信道或关联来交换数据的应用或服务。应用模块410可将关 于某个节点或路径的评级(例如，信任度等)的信息提供给安全性信息模块408。 应用模块408可评估这些网络通信关联中每一个的信任度。安全性信息模块 412可实现为硬件、软件(例如，在处理电路404内工作)、或其组合，以按 请求采集关于来自各种安全性协议的安全关联或信道的特性的信息并将其提 供给这些应用(例如，应用模块410)。安全性信息模块412也可采集由这些 应用提供的评级信息，并将此类反馈纳入到关于是否要使用特定安全关联或信 道的决策中或将其提供给其他模块以用于作出路由决策。安全性协议模块408 可实现为硬件、软件(例如，在处理电路内工作)、或其组合，以建立安全关 联或信道并可提供关于在创建网络通信关联/信道时使用的凭证或认证机制类 型的信息。策略模块414可用来存储策略集，其可用作选择藉以传输数据的网 络通信关联的方针。

图4的通信终端402可配置成将安全性信息提供给第一层应用以促成第一 层网络通信关联上的安全通信，藉此避免建立另一第一层网络通信关联。即， 应用不是依赖其他层上的网络通信关联(例如，纵向共享)，而是可使用同层 上的网络通信关联(横向共享)。

图5是解说安全性信息模块采集第一层关联(信道)信息并将其提供给第 一或第二层应用和/或服务的操作和/或功能的框图。安全性信息模块502可包 括各种模块以采集和分发在安全性信息模块502所工作在的设备的各种层处可 用的网络通信关联或信道的信息。关联信息存储模块504可存储与在各种层处 可用的网络通信关联或信道有关的信息(例如安全性等级、信任度、强度等级、 先前评级、策略等)。关联(信道)信息采集器506可用来采集关于各种层处 的可用关联或信道的信息。例如，关联信息采集器506可查询和/或获得在各种 层处可用的网络关联和/或信道、用来创建那些关联或信道之中每一个的认证类 型，等等。此类信息可例如经由安全性协议的应用编程接口(API)来获得， 该API可允许新的关联将信息提供给安全性信息模块502。从安全性协议采集 的数据的示例包括：a)在给定关联或信道(例如，牵涉用户的蓝牙配对、基础 设施辅助式EAP等)上与给定节点(另一设备)建立的可用凭证的类型；b)用 于认证关联或信道的凭证的类型(例如，PSK、自签署证书、生物测定等)； 和/或c)与之建立关联的设备/节点的类型(例如，受信任或不受信任的设备 等)。

另外，策略信息采集器508可获得或存储为关联和/或协议定义的规则。 例如，取决于可用的策略信息，策略信息采集器508可将关于是否需要为特定 关联或信道建立认证的输入提供给安全性协议。设备可具有基于用户偏好的策 略集，用户偏好诸如有成本偏好、要求的安全性等级，等等。此信息可由安全 性信息模块使用以与应用和安全性协议交互。

关联信息分发器510可用来将信息提供给第一或第二层应用和服务。例 如，关联信息分发器510可提供a)去往给定节点或设备的可用安全信道或关 联的强度，b)去往给定节点的可用安全性路径以及相对强度、对于给定服务 而言具有安全信道可用性的可用节点。应用可向安全性信息模块502注册以接 收这样的信息。为任何一个层或协议提供的信息的粒度或细节可变。

关联评级采集器512允许应用和/或服务提供关于特定关联、信道和/或节 点的反馈。例如，应用可基于与这类节点以往的经历来提供节点评级(例如， 如果从这样的节点接收到损坏的文件，则这可等同于对该节点作出低的评级)。 评级可用来演算安全信道或节点的总强度。从而此信息可能对其他应用和服务 很有用。

图6解说工作在安全性信息模块中以用于采集网络通信信息并将其提供 给应用和/或服务的方法。这种安全性信息模块可实现为软件、硬件、和/或其 组合。采集关于与其他节点可用的第一层网络通信关联的信息602。同样，也 采集来自本地应用或服务的关于其他节点的反馈604。这类反馈可指示此类其 他节点(即，应用已与之通信的其他设备)是否值得信任。第一层网络通信关 联和/或其他节点的信任度可基于采集到的信息和反馈来评估606。关于关联和 其他节点的信息可由安全性信息模块存储或维护608。可将关于网络通信关联 和其他节点的信息提供给作请求的应用和/或服务610。

图7解说工作在接入终端以用于提供关于网络通信关联的信息以促成在 这些网络通信关联中的一个上的安全通信藉此避免建立新的网络通信关联的 方法。为了达成此目的，安全性信息模块(例如，硬件、软件、或其组合)提 供藉以采集一个或更多个层的一个或更多个网络通信关联的信息和/或将该信 息分发给应用的接口700。在一个示例中，这一个或更多个网络通信关联可对 应于开放式系统互连(OSI)模块通信系统的一个或更多个层，其中这一个或 更多个层可包括应用层、网络层、数据链路层和物理层中的至少一者。

安全性信息模块可探明或获得和/或存储来自一个或更多个层的网络通信 关联的安全性信息702和704。网络通信关联的安全性信息可包括以下至少一 者：用来安保第一层网络通信关联的方法，用来认证第一层网络通信关联的方 法，以及在发射终端同与之建立这些网络通信关联的接收终端之间先前的历 史。安全性信息还可包括网络通信关联的强度等级。可为这一个或更多个网络 通信关联中的每一个评估和/或存储信任度706和708。另外，可采集来自应用 的涉及与一个或更多个接收终端先前的经历的信息并将其提供给其他应用。可 基于所采集到的信息为每个这样的接收终端评估信任度。信任度可基于与对应 接收终端先前的经历以及用来创建至对应接收终端的层网络通信关联的认证 类型。还可标识和/或采集要在选择藉以发送该数据的网络通信关联时使用的策 略集，其中该策略集基于用户偏好710。所采集到的信息可存储在安全性信息 模块中以供随后检索和选择要藉以将该数据发送给接收终端上的应用的网络 通信关联。

可从作请求的应用接收对关于可用网络通信关联的信息的请求712。

响应于这样的请求，可以(要么由作请求的终端要么由安全性信息模块) 作出关于存储着的用于传递数据的网络通信关联是否达到希望的安全性等级 的确定714。响应于这样的请求，可选择作请求的应用能藉以在网络上将该数 据发送给接收终端的网络通信关联。根据一种选项，如果这一个或更多个网络 通信关联中的至少一个的安全性等级达到作请求的应用进行数据传输所希望 的安全性水平，则可将至少一个网络通信关联的安全性信息提供给作请求的应 用以允许该作请求的应用选择网络通信关联以向接收终端发送数据，藉此避免 与该接收终端建立新的网络通信关联716。替换地，如果这一个或更多个网络 通信关联的安全性等级无法达到希望的安全性等级，则可建立新的网络通信关 联，作请求的应用能使用它来将该数据发给接收终端718。在一个示例中，安 全性信息模块可选择作请求的应用应当使用的网络通信关联，并将该网络通信 关联提供给作请求的应用。在另一示例中，作请求的应用可从安全性信息模块 接收多个网络通信关联并随后选取一个用于向接收终端进行传输。一旦选择了 网络通信关联，接收终端就可得到关于要在其上接收正被发送的数据的网络通 信关联的通知720。

然后数据可(例如，由作请求的应用)在所选择的网络通信关联上向接收 终端传送。

在一个示例中，作请求的应用可工作在第一层上而所选择的网络通信关联 可工作在不同的第二层上。第一层可以是比第二层更高的层。在另一示例中， 作请求的应用可工作在第一层上而所选择的网络通信关联可工作在相同的第 一层上。

根据又一种配置，将电路适配成提供藉以采集一个或更多个层的一个或更 多个网络通信关联的信息并将其分发给应用的接口。相同的电路、不同的电路、 或是相同或不同电路的第二部分可适配成探明、采集和/或存储一个或更多个层 上的一个或更多个网络通信关联的信息。例如，这样的电路可为这一个或更多 个网络通信关联中的每一个评估和/或存储信任度和/或安全性信息。另外，相 同的电路、不同的电路、或第三部分可适配成评估、采集和/或来自应用的有关 于与一个或更多个接收终端先前的经历的信息。此类信息可包括基于所采集到 的信息的每个这样的接收终端的信任度。同样，相同的电路、不同的电路、或 第四部分可适配成从作请求的终端接收对关于可用网络通信关联的信息的请 求。相同的电路、不同的电路、或第五部分可适配成选择作请求的终端能藉以 在网络上向该接收终端发送数据的网络通信关联。相同的电路、不同的电路、 或第六部分可适配成将至少一个网络通信关联的安全性信息提供给作请求的 应用以允许此作请求的应用选择网络。相同的电路、不同的电路、或第七部分 可适配成在如果这一个或更多个网络通信关联的安全性等级无法达到希望的 安全性等级的情况下建立新的网络通信关联并且使用其来将数据发送给接收 终端。

本领域普通技术人员将认识到，一般而言，本公开中描述的处理中的绝大 多数可以用相似的方式来实现。这些电路或电路部分中的任何哪个均可单独或 作为具有一个或更多个处理器的集成电路的一部分来组合地实现。这些电路之 中的一个或更多个电路可实现在集成电路、高级RISC机(ARM)处理器、数 字信号处理器(DSP)、通用处理器上，等等。

另外要注意，可能将这些配置描述成作为流程图、流图、结构图或框图来 描绘的过程。尽管流程图可能将这些操作描述为顺序过程，然而这些操作之中 有许多能并行或并发地执行。另外，可重新安排这些操作的次序。过程在其 操作完成时终止。过程可与方法、函数、规程、子例程、子程序等对应。当过 程对应于函数时，其终止对应于该函数返回至调用函数或主函数。

在一个或更多个示例和/或配置中，所描述的功能可以在硬件、软件、固 件、或其任何组合中实现。如果在软件中实现，则这些功能可作为一条或更多 条指令或代码存储在计算机可读介质上或在其上传输。计算机可读介质包括计 算机存储介质和通信介质两者，后者包括促成计算机程序从一地转移至另一地 的任何介质。存储介质可以是能够由通用或专用计算机访问的任何可用介质。 作为示例而非限定，这样的计算机可读介质能包括随机存取存储器(RAM)、 只读存储器(ROM)、电可擦式可编程只读存储器(EEPROM)、光碟只读 存储器(CD-ROM)或其他光盘存储、磁盘存储、闪存或其他磁存储设备、或 任何其他能用来携带或存储指令或数据结构形式的合意程序代码手段并能由 通用或专用计算机或者通用或专用处理器访问的介质。另外，任何连接也可正 当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞 线、数字订户线(DSL)、或诸如红外、无线电、及微波之类的无线技术从 web网站、服务器或其他远程源发送而来的，则该同轴电缆、光纤电缆、双绞 线、DSL、或诸如红外、无线电和微波之类的无线技术就被包括在介质的定义 中。如本文中使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光 碟、数字多用碟(DVD)、软盘和蓝光碟，其中盘通常以磁性方式再现数据， 而碟用激光来光学地再现数据。上述的组合也包括在计算机可读介质的范围 内。

此外，配置可由硬件、软件、固件、中间件、微代码、或其任何组合来实 现。当在软件、固件、中间件或微代码中实现时，执行必要任务的程序代码或 代码段可存储在诸如存储介质或其他存储之类的计算机可读介质中。处理器可 执行必要的任务。代码段可代表规程、函数、子程序、程序、例程、子例程、 模块、软件包、类、或是指令、数据结构或程序语句的任何组合。代码段可通 过传递和/或接收信息、数据、自变量、参数、或存储器内容来耦合到另一代码 段或硬件电路。信息、自变量、参数、数据等可经由包括存储器共享、消息传 递、令牌传递、网络传输等任何合适的手段来传递、转发、或传输。

本文中描述的传输技术也可用于各种无线通信系统，诸如码分多址 (CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、正交 频分多址(OFDMA)系统、单载波FDMA(SC-FDMA)系统，等等。OFDMA 系统利用正交频分复用(OFDM)，它是将系统总带宽分成多个(K个)正交 副载波的调制技术。这些副载波也可称为频调、频隙等。有了OFDM，每个副 载波可独立地用数据调制。SC-FDMA系统可利用交织式FDMA(IFDMA)以 在跨系统带宽分布的副载波上传输，利用局部式FDMA(LFDMA)以在由毗 邻副载波构成的块上传输，或利用增强式FDMA(EFDMA)以在多个由毗邻 副载波构成的块上传输。一般而言，调制码元在OFDM下是在频域中发送的， 而在SC-FDMA下是在时域中发送的。

图1、2、3、4、5、6和/或7中解说的组件、步骤和/或功能之中的一个或 更多个可被重新安排和/或组合成单个组件、步骤或功能，或实施在若干组件、 步骤或功能中。也可添加更多的元件、组件、步骤和/或功能。图1、2、4和/ 或5中解说的装置、设备和/或组件可配置成或适配成执行图3、6和/或7中描 述的方法、特征或步骤中的一个或更多个。本文中描述的算法可在软件和/或嵌 入式硬件中高效率地实现。

本领域技术人员将进一步领会，结合本文中公开的配置描述的各种解说性 逻辑框图、模块、电路和算法步骤可实现为电子硬件、计算机软件、或两者的 组合。为了清楚地解说硬件与软件的这种可互换性，各种解说性组件、框、模 块、电路、和步骤在上文中以其功能性的形式作了一般化描述。此类功能性是 实现为硬件还是软件取决于具体应用和施加在整个系统上的设计约束。

本文中描述的各种特征能实现在不同系统中。例如，用于向第二层应用提 供安全性信息以促成第一层网络通信关联上的安全通信藉此避免建立第二层 网络通信关联的系统和方法可实现在单个电路或模块中、实现在分开的电路或 模块上、由一个或更多个处理器执行、纳入在机器可读或计算机可读介质中的 计算机可读指令执行、和/或实施在手持设备、移动计算机和/或移动电话中。

应注意，前面的配置仅为示例并且不应被解释成对权利要求构成限定。对 这些配置的描述旨在解说而不是对权利要求的范围构成限定。如此，本教导能 现成地应用于其他类型的装置，并且许多更替、改动和变形对本领域技术人员 而言将是显而易见的。