CN1540916A - 加密信息包处理设备、方法、程序和程序记录媒体 - Google Patents
加密信息包处理设备、方法、程序和程序记录媒体 Download PDFInfo
- Publication number
- CN1540916A CN1540916A CNA2004100351432A CN200410035143A CN1540916A CN 1540916 A CN1540916 A CN 1540916A CN A2004100351432 A CNA2004100351432 A CN A2004100351432A CN 200410035143 A CN200410035143 A CN 200410035143A CN 1540916 A CN1540916 A CN 1540916A
- Authority
- CN
- China
- Prior art keywords
- information
- block
- encrypted
- packets
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
Abstract
一种加密信息包处理设备,它能够根据数据类型来实现预定的分类过程,同时减少其中存在不同数据类型的加密信息包的通信环境中的处理设备的这种负担。信息块规定部分13规定加密信息包中的位置,该位置中存储有优先级确定部分161所执行的优先级确定过程所必要的信息。指定的信息块解密部分14仅仅为信息块规定部分13所规定的信息块解密,并提取该优先级确定过程所必要的该信息。优先级确定部分161通过将指定的信息块解密部分14所提取的该信息用作密钥,来搜索优先级信息DB162,并且确定该信息包的优先级。
Description
发明背景
发明领域
本发明涉及加密信息包处理设备、方法、程序和程序存储媒体。更具体地说,本发明涉及用于通过确定加密信息包的类型来执行预定分类过程的一种加密信息包处理设备和加密信息包处理方法,以及用于执行该方法的一种计算机程序和程序记录媒体。
背景技术说明
近年来,由于因特网环境的改进,服务器设备和用户终端设备可以经由因特网,容易地传达各种类型的数据。以上数据分成以下两个主要种类:不要求实时处理的数据,例如应用程序和电子邮件(在下文中被称作“非实时数据”);以及要求实时处理的数据,例如视频和音频(在下文中被称作“实时数据”)。在以上所描述的两种类型的数据全部被一起处理的情况下,例如,如果延迟实时数据的处理,则具有停止或丢失视频/音频的可能性。所以,该用户终端设备等较佳地将输入数据分类为实时数据和非实时数据,并且,与该非实时数据相比,更优先地处理该实时数据。一般而言,根据指出数据类型等的特殊信息来执行以上的分类过程。
另一方面,结合该服务器设备与该用户终端设备之间的各种数据的流畅通信的扩展,(例如)电子商务领域和电子支付领域(其中,传达具有特殊重要性的信息或与个人隐私有关的信息)中越来越需要专用线路安全等级。现在存在用于提供高安全等级的各种类型的方法(例如,见第2002-182560号日本专利公开出版物和第2001-344228号日本专利公开出版物),其IPsec(网际协议安全)技术可以作为用于提供高安全等级的典型方法的一个例子。
该IPsec是在网络层(OSI参考模型的第三层)中执行加密和鉴定的安全协议,并且由“因特网工程任务组”(IETF)实行标准化。“请求注解”(RFC)第2401至2412页和第2451页中提供其细节。通过将被安装有该IPsec功能的用户终端设备连接到因特网,或者通过经由被安装有该IPsec功能的网络连接设备(例如,调制解调器或路由器)来将用户终端设备连接到因特网,可以在广域网(例如,因特网)上建立虚拟个人网络(VPN)。也就是说,用户可以安全地使用因特网,而无须执行特殊处理(例如,加密)。
为了使用IPsec来执行通信,必须使被安装有该IPsec功能的传送和接收终端设备预先就哪些信息(例如,加密算法、鉴定算法、加密密钥和鉴定密钥)被用于通信达成一致意见。以上所描述的信息被称作“安全参数”,包括加密算法、加密密钥、鉴定算法、鉴定密钥、“安全参数指数”(SPI)值、协议(例如,关于加密的ESP和关于鉴定的AH)和模式(传送或隧道)或类似物。一般而言,为了使这些传送和接收终端设备就使用哪些安全参数达成一致意见,可由被称作“因特网密钥交换”(IKE)的应用程序在这些设备之间执行通信。这些安全参数(由这些传送和接收终端设备一致同意在彼此进行通信之后使用)被保存为被称作“安全关联”(SA)的一套有关安全的信息,并且被通知给每个设备中的IPsce处理部分。根据由SA定义的该加密算法、该鉴定算法、该加密密钥和该鉴定密钥等,该IPsec处理部分把将要被传送的IP信息包转换成IPsec信息包,并且使所接收的IPsec信息包恢复为该原始IP信息包。
可以按传送模式和隧道模式来运行IPsec。如图16所示,在传送模式中,第四或更高层次的层的协议头部和数据,例如,TCP或UDP(高于IP协议)被包括在将要被加密的信息包中被进行加密。此外,如图17所示,在隧道模式中,将要被加密的整个IP信息包被进行加密,并由新的IP信息包来封装。这样,在隧道模式中,该原始IP信息包(包括第四或更高层次的层的协议头部和数据)的这整个部分被进行加密。
这里,将描述一种情况——其中,为按传送或隧道模式而加密的IP信息包(即IPsec信息包)执行以上所描述的分类过程。在这种情况下,确定数据类型所必要的特殊信息对应于被加密的协议头部和数据。这样,为了确定数据类型,必须为这整个IPsec信息包解密。在下文中,将描述用于根据该数据类型来为该IPsec信息包分类并且根据该分类来执行优先处理的常规设备。图18是框图,表现了常规处理设备200的示范结构。
在图18中,常规处理设备200包括输入处理部分201、加密确定部分202、解密处理部分203、SAD 204、优先级确定部分205、优先级信息DB 206和输出处理部分207。SAD 204是数据库,其中存储有关于各种SA安全参数的信息。优先级信息DB 206是数据库,其中存储有一组特殊信息和预先确定的优先级。
输入处理部分201(例如,是网络接口)输入进来的IP信息包。加密确定部分202参考由输入处理部分201输入的IP信息包的头部信息,并且确定该IP信息包是否被加密,即,确定所输入的信息包是否是IPsec信息包。解密处理部分203从该头部信息中提取关于为由加密确定部分202所确定的IPsec信息包而执行的加密的SA信息。接下来,解密处理部分203通过将所提取的信息用作密钥来搜索SAD 204,并且获得对应于所提取的信息的安全参数。根据所获得的安全参数,解密处理部分203对为该IPsec信息包而执行的所有加密进行解密。优先级确定部分205根据由解密处理部分203解密的IPsec信息包中所包括的特殊信息来检验该IPsec信息包的类型,并且,通过将该类型用作密钥以便搜索优先级信息DB 206,来确定该IPsec信息包的分类(即优先级)。输出处理部分207根据由优先级确定部分205确定的优先级,来执行预定的输出过程。例如,输出处理部分207可能由为每个优先级而规定的多个处理队列组成,从而改变被用于根据所确定的优先级来排队的处理队列。
通过以上所描述的过程,即使在加密实时数据包与加密非实时数据包并存的通信环境中,也可以实现基于该数据类型的优先处理。
一般而言,信息包加密和解密需要许多处理时间。这样,在使用对为信息包而执行的所有加密进行解密的方法的以上所描述的常规设备中,处理设备必须花费许多处理时间。结果,会出现一个问题:例如,如果被加密的信息包连续到达,则可能会延迟信息包处理。这种处理延迟致使优先处理变得毫无意义。
发明概述
所以,本发明的目的是:提供一种加密信息包处理设备、方法以及程序和程序记录介质,以便能够根据数据类型来实现预定的分类过程,同时可减轻存在不同数据类型的加密信息包的通信环境中的处理设备的负担。
本发明具有用于达到上述目的的以下特点。
本发明针对一种加密信息包处理设备,该设备为信息包(包括在信息块基础上被加密的数据的至少一个部分)执行预定的分类过程。为了达到上述目的,本发明的该加密信息包处理设备包括信息块规定部分、指定信息块解密部分和分类处理部分。
该信息块规定部分规定了输入信息包的一个或多个加密信息块这些块包括了该预定分类过程所必要的特殊信息。该指定信息块解密部分对该信息块规定部分所规定的加密信息块进行解密。该分类处理部分根据由该指定信息块解密部分解密的信息块中所包括的特殊信息,来为该输入信息包执行分类。
该信息块规定部分可以根据该输入信息包的未加密信息块中所包括的信息,来规定包括该预定分类过程所必要的特殊信息的加密信息块的一个部分或整体。例如,在该输入信息包是根据IPsec协议而进行加密的信息包的情况下,可以将IP头部中所包括的协议号码用作该未加密信息块中所包括的信息。
作为选择,该信息块规定部分可以规定包括用于规定该加密信息块(包括该预定分类过程所必要的特殊信息)的信息的另一个加密信息块,从而根据由该指定信息块解密部分解密的这另一个信息块中所包括的信息,来规定包括该预定分类过程所必要的特殊信息的加密信息块的一个部分或整体。例如,在该输入信息包是根据IPsec协议而进行加密的信息包的情况下,可以将IP头部长度、服务类型和协议号码(被包括在IP头部中)中的至少一项内容用作用于规定包括该特殊信息的加密信息块的信息。此外,在该输入信息包是被加密的ESP传送模式信息包的情况下,可以将ESP尾部中所包括的下一个头部、第四层头部中所包括的源端口号和第四层头部中所包括的目的端口号中的至少一项内容用作该预定分类过程所必要的特殊信息。此外,在该输入信息包是被加密的ESP隧道模式信息包的情况下,可以将源IP地址、目的IP地址、服务类型和被包括在封装的IP头部中的协议号码、第四层头部中所包括的源端口号和第四层头部中所包括的目的端口号中的至少一项内容用作该预定分类过程所必要的特殊信息。
作为选择,如果预先包括用于存储关于可应用于信息包的加密与包括该预定分类过程所必要的特殊信息的加密信息块之间的对应性的信息的数据库,则可以使该信息块规定部分根据被应用于该输入信息包和该数据库中所存储的信息的加密来规定包括该预定分类过程所必要的特殊信息的加密信息块的一个部分或整体。这里,在该输入信息包是根据IPsec协议而进行加密的信息包的情况下,该数据库可能是存储包括加密密钥的安全参数的安全关联数据库(SAD)。
作为典型的分类处理部分,该分类处理部分可以包括:优先级信息数据库,用于存储关于特殊信息与优先级之间的对应性的信息;以及优先级确定部分,用于根据该解密信息块中所包括的特殊信息和该优先级信息数据库中所存储的信息来确定该输入信息包的优先级。
作为选择,作为具有另一种结构的分类处理部分,该分类处理部分可以包括:分配目的地信息数据库,用于存储关于特殊信息与分配目的地之间的对应性的信息;以及分配目的地确定部分,用于根据该解密信息块中所包括的特殊信息和该分配目的地信息数据库中所存储的信息来确定该输入信息包的分配目的地。
如果以上所描述的结构进一步包括多个队列(其中的每个队列具有按独特方式对应的优先级或分配目的地)和解密处理部分(用于从这多个队列中序贯地提取信息包并根据预定规则来执行解密过程)或分配处理部分(用于从这多个队列中提取信息包并将所提取的信息包发送到分配目的地),则可以使该优先级确定部分或该分配目的地确定部分将该输入信息包加入对应于该确定的优先级或分配目的地的该队列中。
在这种情况下,该优先确定部分或该分配目的地确定部分较佳地将由该指定信息块解密部分解密的输入信息包和信息块加入对应于该确定的优先级或分配目的地的该队列中,并且,该解密处理部分较佳地为该输入信息包中所包括的信息块(而不是该解密信息块)执行解密过程,或者,该分配处理部分较佳地将该解密信息块和该输入信息包一道发送到该分配目的地。
此外,本发明针对一种为包括在信息块基础上被加密的数据的至少一个部分的信息包执行预定分类过程的加密信息包处理方法。为了达到上述目的,该加密信息包处理方法包括:信息块规定步骤,用于规定输入信息包的一个或多个加密信息块(包括该预定分类过程所必要的特殊信息);指定的信息块解密步骤,用于对在该信息块规定步骤中被规定的加密信息块进行解密;以及分类处理步骤,用于根据在该指定信息块解密步骤中被解密的信息块中所包括的特殊信息来为该输入信息包执行分类。
包括以上所描述的加密信息包处理设备的功能块可以作为LSI来加以实现。该加密信息包处理方法也作为程序来加以提供,用于使计算机执行一系列过程。该程序由于被存储在计算机可读记录介质中,因此可以被安装入该计算机。
照此,根据本发明,当执行信息包分类过程时,规定加密信息包中的位置(信息块),其中存储有分类过程所必要的特殊信息,并且只对该位置(信息块)处的数据进行解密。结果,可以将执行解密过程的设备的负担减到最小,从而提高优先处理和将要在以下阶段加以执行的分配过程的效率。此外,即使该特殊信息的位置从一个信息包到另一个信息包是变化的,也可以通过对指出该特殊信息的这个位置的另一个加密信息块进行规定和解密,来对其加以规定。
通过以下结合附图对本发明的详细说明,本发明的这些和其他的目的、特点、方面和优点将会变得更加一目了然。
附图简述
图1表现了包括根据本发明的一个实施例的加密信息包处理设备的加密通信系统(传送模式)的示范网络结构;
图2表现了IP头部的结构;
图3表现了ESP协议的格式;
图4表现了UDP信息包的格式;
图5表现了TCP信息包的格式;
图6是框图,表现了根据本发明的一个实施例的该加密信息包处理设备的结构;
图7表现了示范的SAD;
图8表现了优先级信息DB(传送模式)的一个例子;
图9是流程图,表现了根据本发明的一个实施例的该加密信息包处理设备所执行的加密信息包处理方法的过程;
图10通过DES-CBC表现了信息包加密过程;
图11通过DES-CBC表现了信息包解密过程;
图12是框图,表现了图6中的输出处理部分的特殊结构的一个例子;
图13是包括根据本发明的一个实施例的该加密信息包处理设备的加密通信系统(隧道模式)的示范网络结构;
图14表现了优先级信息DB(隧道模式)的一个例子;
图15表现了使用TLS加密方案来传送和接收的信息包的格式;
图16表现了传送模式IPsec信息包的结构;
图17表现了隧道模式IPsec信息包的结构;以及,
图18是框图,表现了为信息包执行优先处理的常规处理设备的示范结构。
较佳实施例说明
本发明的加密信息包处理设备和方法可以被应用于使用安全协议的各种类型的系统,该安全协议用于对信息包传送通信的信息包中所包括的信息之中的预定分类过程所必要的信息(在下文被称作“特殊信息”)进行加密。在以下的实施例中,将通过采用使用例如“背景技术章节的说明”中所描述的IPsec安全协议的系统,来描述本发明的该加密信息包处理设备和方法。
传送模式IPsec
图1表现了包括根据本发明的一个实施例的加密信息包处理设备的加密通信系统的示范网络结构。在图1中,该加密通信系统由加密信息包处理系统10、网络连接设备20和服务器设备30组成。加密信息包处理设备10是本发明的该特点。加密信息包处理设备10可以被安装入用户终端设备(例如,个人计算机),也可以作为中间设备而与该用户终端设备分开地来加以提供。网络连接设备20(是调制解调器或路由器等)可以作为如图1所示的单个单元来加以提供,也可以与加密信息包处理设备10联合。服务器设备30对包括实时数据(例如,视频和音频)的信息包和包括非实时数据(例如,电子邮件)的信息包进行加密,并传送该加密信息包。
预先在加密信息包处理设备10与服务器设备30之间建立SA,并且使用IPsec来执行通信。在下文中,假定:加密信息包处理设备10的IP地址是“132.182.2.2”,服务器设备30的IP地址是“132.182.1.2”。此外,假定:在加密信息包处理设备10与服务器设备30之间所建立的SA被描述为“SA1”,并且,该SA1包括以下信息:协议“ESP”、模式“传送”、加密算法“DES-CBC”和鉴定算法“HMAC-MD5”。这样,经由网络连接设备20而由服务器设备30传送到加密信息包处理设备10的信息包是通过对ESP传送模式中的IP信息包进行加密而生成的IPsec信息包。
在描述本发明的加密信息包处理设备10之前,将首先描述各种类型的信息包结构和协议格式。
图16中示出ESP传送模式中的该IPsec信息包的结构。该IPsec信息包由IP头部、ESP(封装的安全有效载荷)头部、IV(初始化矢量)、第四层头部、数据、ESP尾部和鉴定数据组成。
作为该IPsec信息包的IP头部,实际上使用预先加密的IP信息包的IP头部。图2中示出该IP头部的结构。在这个结构中,本发明使用协议字段、源IP地址字段和目的IP地址字段。该IP头部后面的信息包数据区的前端处所安放的协议的号码被存储在该协议字段中。在该预先加密的IP信息包中,该IP头部后面是第四层头部(在图16中,见左边的图表),由此,指出第四层协议的号码被存储在该协议字段中。在采用ESP传送模式的IPsec信息包中,该IP头部后面是ESP头部(在图16中,见右边的图表),由此,指出ESP协议的号码被存储在该协议字段中。这样,通过检验该协议字段的号码,可以立即确定所传送的信息包是加密的IPsec信息包还是未加密的IP信息包。
图3表现了该IP头部后面的该ESP协议的格式。在图3中,SPI和序号对应于该ESP头部。该IV是用于为数据执行信息块加密的初始化矢量。在该有效载荷数据中,该预先加密的IP信息包的第四层头部和数据被进行加密和存储。从填充符(被用于调整有效载荷部分的长度)到下一个头部的区域对应于该ESP尾部。在这下一个头部字段中,该有效载荷数据的前端处所安放的协议的号码被加以存储。例如,如果该预先加密的IP信息包的第四层协议是UDP,则指出UDP的号码被存储在这下一个头部字段中。另一方面,如果该预先加密的IP信息包的第四层协议是TCP,则指出TCP的号码被存储在这下一个头部字段中。如同该有效载荷数据的情况,以上所描述的ESP尾部被进行加密。鉴定数据是关于从该ESP头部到该ESP尾部的区域的数据。在这个格式中,该SPI、该IV、该有效载荷数据的一个部分和这下一个头部被用于本发明中,并且,该有效载荷数据的这个部分和这下一个头部对应于特殊信息。
将描述将要被存储在如图3所示的该有效载荷数据中的信息包的格式。图4表现了UDP信息包的格式。该UDP信息包由UDP头部和有效载荷数据组成。该UDP头部具有固定长度的8个字节。源端口号和目的端口号被存储在该UDP头部的前四个字节中,信息包长度与检验和被存储在该UDP头部的接下来的四个字节中。图5表现了TCP信息包的格式。该TCP信息包由TCP头部和有效载荷数据组成。该TCP头部具有固定长度的24个字节。源端口号和目的端口号被存储在该TCP头部的前四个字节中,如图5所示的数据被存储在该TCP头部的其余的20个字节中。在这个格式中,该源端口号和该目的端口号(该有效载荷数据的以上所描述的部分)对应于特殊信息。
接下来,将描述本发明的加密信息包处理设备10的结构。图6是框图,表现了根据本发明的一个实施例的加密信息包处理设备10的结构。在图6中,加密信息包处理设备10包括输入处理部分11、加密确定部分12、信息块规定部分13、指定信息块解密部分14、SAD 15、分类处理部分16和输出处理部分17。分类处理部分16根据该信息包类型来为输入信息包分类,并且,可以将这种分类应用于各种目的。在以下的实施例中,将描述一种情况——其中,分类处理部分16由优先级确定部分161和优先级信息DB 162组成,并且这些分类结果被用于优先处理。此外,在图6中,输入处理部分11和输出处理部分17被包括在加密信息包处理设备10的结构中,但这些元件不一定是加密信息包处理设备10中所需要的。例如,与加密信息包处理设备10的先前或随后的阶段相连接的设备中可能包括输入处理部分11和输出处理部分17。
SAD 15是其中存储有关于各种SA的安全参数的信息的数据库。图7表现了SAD 15的一个例子。
在SAD 15中,为在该加密信息包处理设备与该服务器之间所建立的每个SA登记安全参数(例如,SPI值、协议、模式、加密算法、加密密钥、鉴定算法和鉴定密钥等)。在图7中,在加密信息包处理设备10与服务器设备30之间所建立的以上所描述的SA1被登记为其SPI值是“5000”的第一记录。可以通过将该SPI值用作密钥,来搜索被存储在SAD 15中的该数据库。
优先级信息DB 162是其中存储有一套特殊信息和预先确定的优先级的数据库。图8表现了优先级信息DB 162的一个例子。
在优先级信息DB 162中,登记了多个项目,每个项目包含IP头部信息、第四层头部信息和优先级等。该IP头部信息由源IP地址(它是该服务器设备的IP地址)和目的IP地址(它是其自己的IP地址(即该加密信息包处理设备的IP地址))组成。该第四层信息由协议类型、源端口号和目的端口号组成。可以将任意的信息输入由图8中的符号“”指出的列中。该优先级是被用于确定(例如)输出处理部分17执行过程的顺序的信息。以上所描述的优先级与分类号码同义,并且,可以根据处理目的来任意地设置它的值。
接下来,将描述本发明的加密信息包处理设备10的操作。
在本实施例中,将描述一种情况——其中,服务器设备30传送根据该SA1而被加密的三种类型的信息包A1~A3(以下将加以描述)。信息包A1(其源端口号和目的端口号分别被设置为“1000”和“2000”)是包括其中存储有实时数据的UDP信息包的IPsec信息包。信息包A2(其源端口号和目的端口号分别被设置为“1001”和“2000”)是包括其中存储有非实时数据的UDP信息包的IPsec信息包。信息包A3(其源端口号和目的端口号分别被设置为“1000”和“2000”)是包括其中存储有非实时数据的TCP信息包的IPsec信息包。信息包A1至A3中的每个信息包的ESP头部的SPI值被设置为“5000”。
图9是流程图,表现了由本发明的加密信息包处理设备10执行的加密信息包处理方法的过程。
输入处理部分11(例如,它是网络接口)输入进来的信息包。加密确定部分12参考由输入处理部分11输入的信息包的协议字段(图2),并确定是否为该信息包加密(步骤S901)。明确地说,加密确定部分12确定:该协议字段是存储指出该信息包是由IPsec加密的IPsec信息包的ESP协议号码,还是存储指出该信息包是未加密的IP信息包的第四层协议号码。如果该协议字段存储ESP协议号码,则加密确定部分12将该信息包(IPsec信息包)输出到信息块规定部分13。否则,加密确定部分12将该信息包(IP信息包)输出到优先级确定部分161。
信息块规定部分13提取由加密确定部分12确定的IPsec信息包的ESP头部(图3)中的SPI值,并且,通过将所提取的SPI值用作密钥,来搜索SAD 15(图7),由此可获得被用于该IPsec信息包的该SA的安全参数(步骤S902)。例如,在该SPI值是“5000”的情况下,信息块规定部分13从SAD 15获得对应于该SPI值“5000”的安全参数,即SA1的安全参数(加密算法“DES-CBC”、加密密钥“abcdefgh”、鉴定算法“HMAC-MD5”和鉴定密钥“QRSTU”等)。根据所获得的安全参数,信息块规定部分13从加密数据之中规定一个位置(其中存储有优先级确定部分161所执行的优先级确定过程所必要的信息)(步骤S903)。在这个实施例中,该第四层协议类型、该源端口号和该目的端口号是必要的。
这里,该加密算法“DES-CBC”是在信息块基础上为8个字节的数据加密和解密的方法(见RFC2405)。如图10所示,在加密过程中,利用该加密密钥来对明码文本和IV的第一个信息块P1上的该XOR操作的结果进行加密,从而生成被加密的第一个信息块b1。在下文中,通过利用对明码文本的第n个信息块Pn和被加密的第(n-1)个信息块b(n-1)与该加密密钥的XOR操作的结果进行加密,来生成被加密的第n个信息块bn(n是等于或大于2的整数)。此外,如图11所示,在解密过程中,使用IV来对被加密的第一个信息块b1(利用该加密密钥来进行解密)的解密结果执行该XOR操作,从而恢复该明码文本的第一个信息块P1。在下文中,通过使用被加密的第(n-1)个信息块b(n-1)来对被加密的第n个信息块bn(利用该加密密钥来进行解密)的解密结果执行XOR操作,可恢复明码文本的第n个信息块Pn。照此,利用该加密算法“DES-CBC”,可以在信息块基础上容易地对数据进行解密。注意,加密算法“3DES-CBC”与该加密算法“DES-CBC”的唯一的不同之处在于:16字节长度的数据被用作一个信息块单位。这样,在这种情况下,也可以在信息块基础上规定其中存储有该优先确定过程所必要的信息的位置。以下将描述以上所描述的信息块指定。
指定信息块解密部分14对信息块规定部分13所规定的信息块进行解密,并且从该解密数据中提取优先级确定部分161所执行的优先级确定过程所必要的信息(步骤S904)。注意,在不通过只执行信息块指定和信息块解密一次来提取该必要信息的情况下(例如,在根据该指定信息块的解密结果来指定将要被解密的下一个信息块的情况下),重复地执行步骤S903和S904,直到提取该必要信息为止(步骤S905)。
将详细描述由信息块规定部分13执行的信息块指定和由指定信息块解密部分14执行的信息块解密(它们被执行用于提取该优先级确定过程所必要的信息)。
首先,根据该加密算法的信息块单位,将该被加密的数据区分成从前端开始的8字节长度的多个信息块(信息块b1、信息块b2......信息块bm)。注意,变量m根据该加密数据区的大小而变化,并且,信息块bm指出最后一个被加密的信息块。如图3中所描述的,根据IPsec规格(见RFC2406),该第四层协议类型被存储在这下一个头部字段(它是该ESP尾部的最后一个字节)中。这样,在这种情况下,该第四层协议类型被包括在这最后的信息块bm中。结果,该信息块bm被规定和解密,由此,首先提取该第四层协议类型。
如果所提取的第四层协议类型是TCP或UDP,则根据TCP或UDP规格(RFC793和RFC768),该源端口号和该目的端口号被存储在每个头部的前两个字节和随后的两个字节中(见图4和图5)。此外,根据IPsec规格,该第四层头部直接被放置在该IV后面(见图16)。这样,该源端口号和该目的端口号被包括在这第一个信息块b1中。结果,该信息块b1被规定和解密,由此,从这前两个字节和随后的两个字节中提取该源端口号和该目的端口号。
照此,只有信息块b1和信息块bm由信息块规定部分13从信息块之中加以规定,并且,只有这些加以规定的信息块由指定信息块解密部分14来解密,由此,可以提取该优先级确定过程所必要的该第四层协议类型、该源端口号和该目的端口号。所提取的信息和该未解密的原始IPsec信息包一起被输出到优先级确定部分161。
优先级确定部分161从指定信息块解密部分14接收该第四层协议类型、该源端口号、该目的端口号和该IPsec信息包输入,并且从该IPsec信息包的该IP头部部分中提取该源IP地址和该目的IP地址。通过将该源IP地址、该目的IP地址、该第四层协议类型、该源端口号和该目的端口号用作密钥,优先级确定部分161可搜索优先级信息DB 162,从而确定该信息包的优先级(步骤S906)。在从加密确定部分12输入该未加密的IP信息包的情况下,优先级确定部分161从该IP信息包的该IP头部和该第四层头部中提取如上所述的所有信息,并根据这些提取结果来确定该信息包的优先级。例如,根据图8,信息包A1的优先级(源IP地址“132.182.1.2”、目的IP地址“132.182.2.2”、协议类型“UDP”、源端口号“1000”和目的端口号“2000”)被确定为“1”。根据图8,信息包A2和A3的优先级被确定为“2”。注意,该目的IP地址是加密信息包处理设备10的IP地址,所以,可以从优先级信息DB 162中省略它。
输出处理部分17根据优先级确定部分161所确定的优先级来执行预定的输出过程。例如,如图12所示,输出处理部分17由队列处理部分171(它被提供有对应于优先级“1”的第一队列和对应于优先级“2”的第二队列)和解密处理部分172组成。利用这个结构,队列处理部分171能够执行排列,以便将信息包A1加入这第一队列,并将信息包A2和A3加入这第二队列。与这第二队列中的该信息包相比,解密处理部分172更优先地为这第一队列中的该信息包执行解密过程。注意,可以从如图12所示的SAD 15获得解密处理部分172中的信息包解密所必要的这些安全参数的信息,或者,可以与该信息包一道从优先级确定部分161接收该信息。在后一种情况中,例如,指出对应于该信息包的该SA的指示字信息以及指出该被解密的特殊信息包及其信息块标识符的信息可以按预定的形式被附于该信息包的末端。结果,在解密处理部分172中,可以省略在指定信息块解密部分14与解密处理部分172之间重叠的解密过程。
此外,例如,可以使用能够从该区域的前端序贯地存储一套优先级和信息包的表格,以取代队列处理部分171。在这种情况下,解密处理部分172提取被登记在该表格中的一个信息包(它被提供有最高的优先级,并被放置在该区域的前端),并执行解密过程。
此外,例如,输出处理部分17可以由用于将信息包分配给其他用户终端设备的分配处理部分等组成。在这种情况下,优先级信息DB 162和优先级确定部分161分别被分配目的地信息DB(其中存储有一组特殊信息和预先确定的分配目的地)和用于确定分配目的地的分配目的地确定部分取代。
(2)隧道模式IPsec
基本上,在隧道模式和传送模式中执行相同的过程。但是,该隧道模式IPsec信息包的结构略微不同于该传送模式IPsec信息包的结构。在下文中,将描述该结构的以上所描述的不同部分。
图13是包括根据本发明的一个实施例的该加密信息包处理设备的另一种加密通信系统的示范网络结构。在图13中,该加密通信系统包括加密信息包处理部分10、网络连接设备20、SGW 40和终端50与60。SGW 40是安全网关,通过该安全网关,对从终端50那里被传送的信息包进行加密,并将该加密信息包传送到终端60。
预先在加密信息包处理设备10与SGW 40之间建立SA,并使用IPsec来执行通信。假定:在加密信息包处理设备10与SGW 40之间所建立的该SA包括以下信息:协议“ESP”、模式“隧道”、加密算法“DES-CBC”和鉴定算法“HMAC-MD5”。SGW 40具有关于该LAN(终端50)的IP地址“192.168.1.1”,以及关于该WAN(网络连接设备20)的IP地址“132.182.1.2”。加密信息包处理设备10也具有关于该LAN(终端60)的IP地址“192.168.2.1”,以及关于该WAN(网络连接设备20)的IP地址“132.182.2.2”。
图17中示出ESP隧道模式中的该IPsec信息包的结构。这个IPsec信息包由IP头部、ESP头部、IV、IP头部、第四层头部、数据、ESP尾部和鉴定数据组成。在隧道模式中,对该原始IP信息包的这整个部分进行加密。这样,该源IP地址、该目的IP地址和被存储在该原始IP信息包的该IP头部中的TOS以及该原始IP信息包中所包括的第四或更高层次的层的该协议头部可以被用作需要为优先级确定而进行解密的特殊信息。该TOS是指出该IP信息包的服务类型的信息,并可以被用作特殊信息。这样,在为该IP信息包的这整个部分加密的隧道模式中,可以对包括该TOS的信息块进行规定和解密。
该IP头部的大小是可变的。这样,在隧道模式中,根据该IP头部的该大小来确定该封装的IP信息包的更高层协议的起始位置,并且对包括该封装的IP头部的IHL(指出IP头部长度的字段)的信息块进行规定和解密,从而通过参考该IHL值来规定该TCP协议或该UDP协议(它是更高的层)的起始位置。结果,可以规定包括该TCP协议或该UDP协议中所包括的该源端口号和该目的端口号的信息块。
照此,为了规定包括特殊信息的信息块的位置,可以使用诸如识别包括特殊信息的信息块的位置所必要的头部长度或信息包长度等信息。结果,即使这种位置从一个信息包到另一个信息包在变化,也可以规定特殊信息的位置。
图14中示出关于ESP隧道模式中的该IPsec信息包的优先级信息DB 162的一个例子。如图14所示,在优先级信息DB 162中,将内部IP头部信息加入图8中所示的这些登记项目。如同该IP头部信息的情况,该内部IP头部信息由源IP地址和目的IP地址组成。注意,除该IP头部中所包括的以上所描述的项目以外,该内部IP头部信息还可以包括其他项目。也不一定需要图14中所示的所有项目。这样,可以从图14中的该表格中删除不必要的项目(如果有的话)。
在隧道模式中,根据IP规格,该源IP地址被存储在从IP头部的第13个字节到第16个字节的部分中,并且,该目的IP地址被存储在从该IP头部的第17个字节到第20个字节的部分中。这样,通过为信息块b2和信息块b3解密,可以从信息块b2的最后四个字节和信息块b3的前四个字节中获得该源IP地址和该目的IP地址。该第四层协议类型被存储在该IP头部的第10个字节中。这样,通过为信息块b2解密并参考信息块b2的第二个字节,可以获得该第四层协议类型。如同该传送模式的情况,该第四层的源端口号和目的端口号被存储在从该TCP(UDP)头部的前端到第8个字节的部分中。这样,必须首先获得IP头部长度,以规定该第四层的起始位置。该IP头部长度(IHL)被存储在该IP头部的第2个字节中。这样,通过为信息块b1解密并参考信息块b1的第2个字节,可以获得该IP头部长度。在这个例子中,该IHL是5(=20个字节),由此可确定:该源端口号和该目的端口号被存储在从该加密数据区的前端到第21至24个字节的部分中。这样,信息块b3被解密,由此,可从信息块b3的最后四个字节中获得该源端口号和该目的端口号。
使用该IP头部信息、该内部IP头部信息和该第四层信息来搜索优先级信息DB 172,这些信息由以上所描述的信息块规定过程和信息块解密过程来获得,作为密钥。结果,可以确定:以上所描述的IPsec信息包的优先级是“1”。
照此,根据本发明的一个实施例的该加密信息包处理设备规定加密信息包中的位置(信息块)(其中存储有分类过程所必要的特殊信息),并且只为该加以规定的位置中的数据(信息块)解密。结果,可以将执行该解密过程的设备的负担减到最小,从而提高优先处理和将要在以下阶段中加以执行的分配过程的效率。
注意,在本实施例中,已描述了一种情况——其中,该第四层协议的该头部信息被用作特殊信息。但是,特殊信息可能是其位置可以根据第四或更高层次的层的协议头部和头部信息等来加以规定的其他信息。
此外,在本实施例中,已描述了一种情况——其中,与未加密的IP信息包一道输入由ESP协议加密的IPsec信息包。但是,在只输入该IPsec信息包的情况下,可以省略加密确定部分12。
此外,在本实施例中,在SAD 15存储一个加密算法和一个加密密钥的情况下,信息块规定部分13和指定信息块解密部分14可以使用被存储的一个加密算法和一个加密密钥来执行解密过程,而无须搜索SAD 15。该加密密钥也可能是由管理员手动登记的密钥,或可能是由密钥交换程序(例如,IKE)获得的密钥。此外,在本实施例中,已描述了该加密算法是“DES-CBC”的情况。但是,只要分组密码在信息块解密过程中不需要其他的解密信息块,就可以使用除DES-CBC以外的加密算法。
另外,在本实施例中,已根据该协议类型和使用如图8和14的优先级信息DB 162中所示的任意目的端口号的该源端口号来执行优先级确定。但是,用于优先级确定的方法并不局限于此。可以根据该协议类型和使用任意的源端口号的该目的端口号来确定优先级,也可以根据该协议类型、该源端口号和该目的端口号(而不使用任意值)来确定优先级。
(3)除IPsec以外的安全协议
在以上所描述的实施例中,已描述了一种情况——其中,本发明的该方法被应用于IPsec信息包。接下来,将描述一种情况——其中,本发明的该方法被应用于由RFC2246中所定义的TLS_ver.1加密的信息包。注意,该TLS加密方案定义流密码和块密码。在下文中,将描述该块密码。
图15表现了使用该TLS加密方案来传送和接收的一种信息包格式。图15中的该IP头部和该TCP头部分别与图2和图5中所示的IP头部和TCP头部相同。在图15中,“类型”指出TLS中的协议类型,并且,当传送和接收应用数据时,设置0×17。包括“内容”的阴影区是加密区。在该“内容”中,存储该应用程序所使用的头部和数据。MAC是在这种情况中由所使用的算法从该“内容”中获得的散列值。填充符是字段,被用于调整加密区,以便成为预定信息块的整倍数。填充符长度指出填充符的长度。
这样,对应于TLS的优先级信息DB至少包括作为IP头部信息的源IP地址和目的IP地址、作为第四层头部信息的源端口号和目的端口号(TCP总是被TLS使用)、将要在该应用程序所使用的该头部中被通报到的字段值,以及优先级。如同IPsec的情况,为每个应用程序按独特的方式规定包括将要被通报到的该字段值的信息块。
注意,信息块规定部分13、指定信息块解密部分14、SAD 15和分类处理部分16通常作为LSI(根据集成程度,被称作“IC”、“系统LSI”、“高级LSI”或“超端LSI”等)来加以实现。可以按芯片形式分开构造以上的功能块,也可以按芯片形式来构造以上的功能块,以便包括其一个部分或这整个部分。
集成方法也不局限于LSI,并且可以由专用电路或通用处理器来加以实现。也可以使用FPGA(现场可编程门阵列),它是可以在制造之后加以编程的LSI,或允许该LSI中的这些电路单元的连接和设置的可重新配置的可重新配置的处理器。
另外,如果由于半导体技术的改进或由于从那里衍行出的另一种技术的出现,取代LSI的另一种集成技术变得可用,那么,可以使用以上新的集成技术来执行这些功能块的集成。例如,生物工艺学可以被应用于以上所描述的集成。
此外,本发明的该加密信息包处理方法可以由为预定的程序数据实施解释执行的CPU来加以实现,它被存储在存储设备(ROM、RAM和硬盘等)中,并且可执行以上所描述的过程。在这种情况下,该程序数据可以经由记录介质(例如,CD-ROM和软磁盘)被安装到该存储设备上,也可以从该记录介质中直接被加以执行。
已详细描述了本发明,但前述说明在各个方面只是起说明的作用,而不是起限制的作用。不言而喻,在不脱离本发明的范围的前提下,可以作出众多其他的修改和变更。
Claims (20)
1.一种加密信息包处理设备,它为包括在信息块基础上被加密的数据的至少一个部分的信息包执行预定的分类过程,其特征在于包括:
信息块规定部分,用于规定输入信息包的一个或多个加密信息块,这些加密信息块包括该预定分类过程所必要的特殊信息;
指定信息块解密部分,用于对该信息块规定部分所规定的该加密信息块进行解密;以及,
分类处理部分,用于根据由该指定信息块解密部分解密的该信息块中所包括的该特殊信息,来为该输入信息包执行分类。
2.根据权利要求1的加密信息包处理设备,其特征在于:其中,该信息块规定部分根据该输入信息包的未加密信息块中所包括的信息,来规定包括该预定分类过程所必要的特殊信息的加密信息块的一个部分或整体。
3.根据权利要求1的加密信息包处理设备,其特征在于:其中,该信息块规定部分规定包括信息的被加密的另一个信息块,该信息用于规定包括该预定分类过程所必要的特殊信息的该加密信息块,从而根据由该指定信息块解密部分解密的这另一个信息块中所包括的该信息,来规定包括该预定分类过程所必要的特殊信息的该加密信息块的一个部分或整体。
4.根据权利要求1的加密信息包处理设备,其特征在于:进一步包括数据库,该数据库用于存储关于可应用于信息包的加密与包括该预定分类过程所必要的特殊信息的该加密信息块之间的对应性的信息;
该信息块规定部分根据被应用于该输入信息包的加密和被存储在该数据库中的该信息,来规定包括该预定分类过程所必要的特殊信息的该加密信息块的一个部分或整体。
5.根据权利要求1的加密信息包处理设备,其特征在于:其中,该分类处理部分包括:
优先级信息数据库,用于存储关于特殊信息与优先级之间的对应性的信息;以及,
优先级确定部分,用于根据该解密信息块中所包括的该特殊信息和被存储在该优先级信息数据库中的该信息,来确定该输入信息包的优先级。
6.根据权利要求1的加密信息包处理设备,其特征在于:其中,该分类处理部分包括:
分配目的地信息数据库,用于存储关于特殊信息与分配目的地之间的对应性的信息;以及,
分配目的地确定部分,用于根据该解密信息块中所包括的该特殊信息和被存储在该分配目的地信息数据库中的该信息,来确定该输入信息包的分配目的地。
7.根据权利要求5的加密信息包处理设备,其特征在于进一步包括:
多个队列,其中的每个队列具有按独特方式对应的优先级;以及,
解密处理部分,用于从这多个队列中序贯地检索信息包,并根据预定规则来执行解密过程,其中,
该优先级确定部分将该输入信息包加入对应于该确定的优先级的该队列中。
8.根据权利要求6的加密信息包处理设备,其特征在于进一步包括:
多个队列,其中的每个队列具有按独特方式对应的分配目的地;以及,
分配处理部分,用于从这多个队列中检索信息包,并将该检索到的信息包发送到分配目的地,其中,
该分配目的地确定部分将该输入信息包加入对应于该确定的分配目的地的该队列中。
9.根据权利要求7的加密信息包处理设备,其特征在于:其中,
该优先级确定部分将该输入信息包和由该指定的信息块解密部分解密的该信息块加入对应于该确定的优先级的该队列中;以及,
该解密处理部分为除该解密信息块以外的、被包括在该输入信息包中的一信息块执行解密过程。
10.根据权利要求8的加密信息包处理设备,其特征在于:其中,
该分配目的地确定部分将该输入信息包和由该指定信息块解密部分解密的该信息块加入对应于该确定的分配目的地的该队列中;以及,
该分配处理部分将该解密信息块与该输入信息包一道发送到该分配目的地。
11.根据权利要求2的加密信息包处理设备,其特征在于:其中,
该输入信息包是根据IPsec协议来进行加密的信息包;以及,
该未加密信息块中所包括的该信息是IP头部中所包括的至少一个协议号码。
12.根据权利要求3的加密信息包处理设备,其特征在于:其中,
该输入信息包是根据IPsec协议被加密的信息包;以及,
用于规定包括该特殊信息的该经加密的信息块的该信息是被包括在IP头部中的IP头部长度、服务类型和协议号码中的至少一项内容。
13.根据权利要求3的加密信息包处理设备,其特征在于:其中,
该输入信息包是根据IPsec协议被加密的ESP传送模式信息包;以及,
该预定分类过程所必要的该特殊信息是被包括在ESP尾部中的下一个头部、被包括在第四层头部中的源端口号和被包括在该第四层头部中的目的端口号中的至少一项内容。
14.根据权利要求3的加密信息包处理设备,其特征在于:其中,
该输入信息包是根据IPsec协议来进行加密的ESP隧道模式信息包;以及,
该预定分类过程所必要的该特殊信息是被包括在封装的IP头部中的源IP地址、目的IP地址和服务类型中的至少一项内容。
15.根据权利要求3的加密信息包处理设备,其特征在于:其中,
该输入信息包是根据IPsec协议被加密的ESP隧道模式信息包;以及,
该预定分类过程所必要的该特殊信息是被包括在封装的IP头部中的协议号码、被包括在第四层头部中的源端口号和被包括在该第四层头部中的目的端口号中的至少一项内容。
16.根据权利要求4的加密信息包处理设备,其特征在于:其中,
该输入信息包是根据IPsec协议被加密的信息包;以及,
该数据库是存储包括加密密钥的安全参数的安全关联数据库(SAD)。
17.一种加密信息包处理方法,用于为包括在按信息块基础上被加密的数据的至少一个部分的信息包执行预定的分类过程,其特征在于包括:
信息块规定步骤,用于规定输入信息包的一个或多个被加密的信息块,这些被加密的信息块包括用于该预定分类处理所必要的特殊信息;
指定信息块解密步骤,用于对在该信息块规定步骤中被规定的该经加密的信息块进行解密;以及,
分类处理步骤,用于根据在该指定信息块解密步骤中被解密的该信息块中所包括的该特殊信息,来为该输入信息包执行分类。
18.一种计算机可读程序,它使计算机执行一种方法,该方法用于为包括在信息块基础上被加密的数据的至少一个部分的信息包执行预定的分类过程,其特征在于包括:
信息块规定步骤,用于规定输入信息包的一个或多个加密信息块,这些加密信息块包括用于该预定分类过程所必要的特殊信息;
指定信息块解密步骤,用于对在该信息块规定步骤中被规定的该经加密的信息块进行解密;以及,
分类处理步骤,用于根据在该指定信息块解密步骤中被解密的该信息块中所包括的该特殊信息,来为该输入信息包执行分类。
19.一种存储计算机可读程序的记录介质,该计算机可读程序使计算机执行一种方法,该方法用于为包括在信息块基础上被加密的数据的至少一个部分的信息包执行预定的分类过程,其特征在于包括:
信息块规定步骤,用于规定输入信息包的一个或多个被加密信息块,这些被加密信息块包括该预定分类过程所必要的特殊信息;
指定的信息块解密步骤,用于对在该信息块规定步骤中被规定的该经加密的信息块进行解密;以及,
分类处理步骤,用于根据在该指定信息块解密步骤中被解密的该信息块中所包括的该特殊信息,来为该输入信息包执行分类。
20.一种加密信息包处理设备的集成电路,该加密信息包处理设备用于为包括在信息块基础上被加密的数据的至少一个部分的信息包执行预定的分类过程,其特征在于包括:
信息块规定部分,用于规定输入信息包的一个或多个加密信息块,这些加密信息块包括该预定分类过程所必要的特殊信息;
指定的信息块解密部分,用于对该信息块规定部分所规定的该经加密的信息块进行解密;以及,
分类处理部分,用于根据由该指定信息块解密部分解密的该信息块中所包括的该特殊信息,来为该输入信息包执行分类。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003119974 | 2003-04-24 | ||
| JP2003119974 | 2003-04-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1540916A true CN1540916A (zh) | 2004-10-27 |
| CN100525181C CN100525181C (zh) | 2009-08-05 |
Family
ID=33296451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100351432A Expired - Fee Related CN100525181C (zh) | 2003-04-24 | 2004-04-23 | 加密信息包处理设备和方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7774593B2 (zh) |
| CN (1) | CN100525181C (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103384991A (zh) * | 2010-08-12 | 2013-11-06 | 思杰系统有限公司 | 用于加密网络流量的服务质量的系统和方法 |
| CN101227417B (zh) * | 2006-08-04 | 2015-03-25 | 华为技术有限公司 | 数据包分类方法及其系统 |
| CN111865829A (zh) * | 2019-04-24 | 2020-10-30 | 成都鼎桥通信技术有限公司 | 业务数据的加密解密方法及设备 |
| WO2021037216A1 (zh) * | 2019-08-29 | 2021-03-04 | 华为技术有限公司 | 一种报文传输方法及设备、计算机存储介质 |
Families Citing this family (104)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6658091B1 (en) | 2002-02-01 | 2003-12-02 | @Security Broadband Corp. | LIfestyle multimedia security system |
| US20160065414A1 (en) | 2013-06-27 | 2016-03-03 | Ken Sundermeyer | Control system user interface |
| US11916870B2 (en) | 2004-03-16 | 2024-02-27 | Icontrol Networks, Inc. | Gateway registry methods and systems |
| US9729342B2 (en) | 2010-12-20 | 2017-08-08 | Icontrol Networks, Inc. | Defining and implementing sensor triggered response rules |
| US8635350B2 (en) | 2006-06-12 | 2014-01-21 | Icontrol Networks, Inc. | IP device discovery systems and methods |
| US9531593B2 (en) | 2007-06-12 | 2016-12-27 | Icontrol Networks, Inc. | Takeover processes in security network integrated with premise security system |
| US11582065B2 (en) | 2007-06-12 | 2023-02-14 | Icontrol Networks, Inc. | Systems and methods for device communication |
| US11368327B2 (en) | 2008-08-11 | 2022-06-21 | Icontrol Networks, Inc. | Integrated cloud system for premises automation |
| US11277465B2 (en) | 2004-03-16 | 2022-03-15 | Icontrol Networks, Inc. | Generating risk profile using data of home monitoring and security system |
| US11489812B2 (en) | 2004-03-16 | 2022-11-01 | Icontrol Networks, Inc. | Forming a security network including integrated security system components and network devices |
| US11316958B2 (en) | 2008-08-11 | 2022-04-26 | Icontrol Networks, Inc. | Virtual device systems and methods |
| US10127802B2 (en) | 2010-09-28 | 2018-11-13 | Icontrol Networks, Inc. | Integrated security system with parallel processing architecture |
| US10339791B2 (en) | 2007-06-12 | 2019-07-02 | Icontrol Networks, Inc. | Security network integrated with premise security system |
| US11368429B2 (en) | 2004-03-16 | 2022-06-21 | Icontrol Networks, Inc. | Premises management configuration and control |
| US10200504B2 (en) | 2007-06-12 | 2019-02-05 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
| US10237237B2 (en) | 2007-06-12 | 2019-03-19 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US10721087B2 (en) | 2005-03-16 | 2020-07-21 | Icontrol Networks, Inc. | Method for networked touchscreen with integrated interfaces |
| US11201755B2 (en) | 2004-03-16 | 2021-12-14 | Icontrol Networks, Inc. | Premises system management using status signal |
| US7711796B2 (en) | 2006-06-12 | 2010-05-04 | Icontrol Networks, Inc. | Gateway registry methods and systems |
| US10156959B2 (en) | 2005-03-16 | 2018-12-18 | Icontrol Networks, Inc. | Cross-client sensor user interface in an integrated security network |
| US11159484B2 (en) | 2004-03-16 | 2021-10-26 | Icontrol Networks, Inc. | Forming a security network including integrated security system components and network devices |
| US11244545B2 (en) | 2004-03-16 | 2022-02-08 | Icontrol Networks, Inc. | Cross-client sensor user interface in an integrated security network |
| US20090077623A1 (en) | 2005-03-16 | 2009-03-19 | Marc Baum | Security Network Integrating Security System and Network Devices |
| US11811845B2 (en) | 2004-03-16 | 2023-11-07 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
| US8963713B2 (en) | 2005-03-16 | 2015-02-24 | Icontrol Networks, Inc. | Integrated security network with security alarm signaling system |
| AU2005223267B2 (en) | 2004-03-16 | 2010-12-09 | Icontrol Networks, Inc. | Premises management system |
| US11343380B2 (en) | 2004-03-16 | 2022-05-24 | Icontrol Networks, Inc. | Premises system automation |
| US10142392B2 (en) | 2007-01-24 | 2018-11-27 | Icontrol Networks, Inc. | Methods and systems for improved system performance |
| US11113950B2 (en) | 2005-03-16 | 2021-09-07 | Icontrol Networks, Inc. | Gateway integrated with premises security system |
| US10522026B2 (en) | 2008-08-11 | 2019-12-31 | Icontrol Networks, Inc. | Automation system user interface with three-dimensional display |
| US11677577B2 (en) | 2004-03-16 | 2023-06-13 | Icontrol Networks, Inc. | Premises system management using status signal |
| US9141276B2 (en) | 2005-03-16 | 2015-09-22 | Icontrol Networks, Inc. | Integrated interface for mobile device |
| US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
| US7730519B2 (en) * | 2004-09-17 | 2010-06-01 | At&T Intellectual Property I, L.P. | Detection of encrypted packet streams using feedback probing |
| US7761705B2 (en) * | 2004-09-17 | 2010-07-20 | At&T Intellectual Property I, L.P. | Detection of encrypted packet streams |
| US7451309B2 (en) | 2004-09-17 | 2008-11-11 | At&T Intellectual Property L.P. | Signature specification for encrypted packet streams |
| EP1825412A1 (en) | 2004-10-25 | 2007-08-29 | Rick L. Orsini | Secure data parser method and system |
| US7506156B2 (en) * | 2005-02-01 | 2009-03-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for prioritizing encrypted traffic at an intermediate node in a communications network |
| US11615697B2 (en) | 2005-03-16 | 2023-03-28 | Icontrol Networks, Inc. | Premise management systems and methods |
| US20110128378A1 (en) | 2005-03-16 | 2011-06-02 | Reza Raji | Modular Electronic Display Platform |
| US9306809B2 (en) | 2007-06-12 | 2016-04-05 | Icontrol Networks, Inc. | Security system with networked touchscreen |
| US11496568B2 (en) | 2005-03-16 | 2022-11-08 | Icontrol Networks, Inc. | Security system with networked touchscreen |
| US20120324566A1 (en) | 2005-03-16 | 2012-12-20 | Marc Baum | Takeover Processes In Security Network Integrated With Premise Security System |
| US20170180198A1 (en) | 2008-08-11 | 2017-06-22 | Marc Baum | Forming a security network including integrated security system components |
| US10999254B2 (en) | 2005-03-16 | 2021-05-04 | Icontrol Networks, Inc. | System for data routing in networks |
| US11700142B2 (en) | 2005-03-16 | 2023-07-11 | Icontrol Networks, Inc. | Security network integrating security system and network devices |
| JP4818651B2 (ja) | 2005-07-13 | 2011-11-16 | ルネサスエレクトロニクス株式会社 | 暗号化・復号化回路 |
| GB2431250A (en) | 2005-10-11 | 2007-04-18 | Hewlett Packard Development Co | Data transfer system |
| GB2431253A (en) * | 2005-10-11 | 2007-04-18 | Hewlett Packard Development Co | Data transfer device |
| GB2431249A (en) | 2005-10-11 | 2007-04-18 | Hewlett Packard Development Co | Removable data storage item and key distribution |
| GB2431254A (en) | 2005-10-11 | 2007-04-18 | Hewlett Packard Development Co | Data transfer system |
| GB2431252B (en) | 2005-10-11 | 2010-06-09 | Hewlett Packard Development Co | Data transfer device |
| CN105978683A (zh) | 2005-11-18 | 2016-09-28 | 安全第公司 | 安全数据解析方法和系统 |
| GB2435333B (en) | 2006-02-01 | 2010-07-14 | Hewlett Packard Development Co | Data transfer device |
| US10079839B1 (en) | 2007-06-12 | 2018-09-18 | Icontrol Networks, Inc. | Activation of gateway device |
| US20080005558A1 (en) * | 2006-06-29 | 2008-01-03 | Battelle Memorial Institute | Methods and apparatuses for authentication and validation of computer-processable communications |
| US10073743B2 (en) | 2006-07-26 | 2018-09-11 | Hewlett Packard Enterprise Development Lp | Data storage arrangement and key distribution |
| US11706279B2 (en) | 2007-01-24 | 2023-07-18 | Icontrol Networks, Inc. | Methods and systems for data communication |
| US7633385B2 (en) | 2007-02-28 | 2009-12-15 | Ucontrol, Inc. | Method and system for communicating with and controlling an alarm system from a remote server |
| US8451986B2 (en) | 2007-04-23 | 2013-05-28 | Icontrol Networks, Inc. | Method and system for automatically providing alternate network access for telecommunications |
| US10616075B2 (en) | 2007-06-12 | 2020-04-07 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US11237714B2 (en) | 2007-06-12 | 2022-02-01 | Control Networks, Inc. | Control system user interface |
| US11646907B2 (en) | 2007-06-12 | 2023-05-09 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US10666523B2 (en) | 2007-06-12 | 2020-05-26 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US11089122B2 (en) | 2007-06-12 | 2021-08-10 | Icontrol Networks, Inc. | Controlling data routing among networks |
| US10523689B2 (en) | 2007-06-12 | 2019-12-31 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
| US11601810B2 (en) | 2007-06-12 | 2023-03-07 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US11423756B2 (en) | 2007-06-12 | 2022-08-23 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US11212192B2 (en) | 2007-06-12 | 2021-12-28 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US11218878B2 (en) | 2007-06-12 | 2022-01-04 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US10498830B2 (en) | 2007-06-12 | 2019-12-03 | Icontrol Networks, Inc. | Wi-Fi-to-serial encapsulation in systems |
| US11316753B2 (en) | 2007-06-12 | 2022-04-26 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| US11831462B2 (en) | 2007-08-24 | 2023-11-28 | Icontrol Networks, Inc. | Controlling data routing in premises management systems |
| US11916928B2 (en) | 2008-01-24 | 2024-02-27 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
| CN102016958A (zh) * | 2008-06-04 | 2011-04-13 | 松下电器产业株式会社 | 加密装置及加密系统 |
| US20170185278A1 (en) | 2008-08-11 | 2017-06-29 | Icontrol Networks, Inc. | Automation system user interface |
| US7817631B1 (en) | 2008-07-09 | 2010-10-19 | Google Inc. | Network transfer protocol |
| US10530839B2 (en) | 2008-08-11 | 2020-01-07 | Icontrol Networks, Inc. | Integrated cloud system with lightweight gateway for premises automation |
| US11729255B2 (en) | 2008-08-11 | 2023-08-15 | Icontrol Networks, Inc. | Integrated cloud system with lightweight gateway for premises automation |
| US11758026B2 (en) | 2008-08-11 | 2023-09-12 | Icontrol Networks, Inc. | Virtual device systems and methods |
| US11792036B2 (en) | 2008-08-11 | 2023-10-17 | Icontrol Networks, Inc. | Mobile premises automation platform |
| US11258625B2 (en) | 2008-08-11 | 2022-02-22 | Icontrol Networks, Inc. | Mobile premises automation platform |
| US9401855B2 (en) * | 2008-10-31 | 2016-07-26 | At&T Intellectual Property I, L.P. | Methods and apparatus to deliver media content across foreign networks |
| FR2941584B1 (fr) * | 2009-01-27 | 2011-04-01 | St Nxp Wireless France | Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant |
| US8612693B2 (en) * | 2009-03-19 | 2013-12-17 | Qualcomm Incorporated | Optimized transfer of packets in a resource constrained operating environment |
| US8638211B2 (en) | 2009-04-30 | 2014-01-28 | Icontrol Networks, Inc. | Configurable controller and interface for home SMA, phone and multimedia |
| US8335857B1 (en) * | 2009-05-21 | 2012-12-18 | Sprint Communications Company L.P. | System and methods of data transmission to devices |
| JP5631322B2 (ja) * | 2010-03-15 | 2014-11-26 | パナソニック株式会社 | 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路 |
| JP2013524352A (ja) | 2010-03-31 | 2013-06-17 | セキュリティー ファースト コーポレイション | 移動中のデータをセキュア化するためのシステムおよび方法 |
| AU2011250886A1 (en) | 2010-05-10 | 2013-01-10 | Icontrol Networks, Inc | Control system user interface |
| US9294506B2 (en) * | 2010-05-17 | 2016-03-22 | Certes Networks, Inc. | Method and apparatus for security encapsulating IP datagrams |
| US8792491B2 (en) | 2010-08-12 | 2014-07-29 | Citrix Systems, Inc. | Systems and methods for multi-level quality of service classification in an intermediary device |
| US8990380B2 (en) | 2010-08-12 | 2015-03-24 | Citrix Systems, Inc. | Systems and methods for quality of service of ICA published applications |
| US8836467B1 (en) | 2010-09-28 | 2014-09-16 | Icontrol Networks, Inc. | Method, system and apparatus for automated reporting of account and sensor zone information to a central station |
| US11750414B2 (en) | 2010-12-16 | 2023-09-05 | Icontrol Networks, Inc. | Bidirectional security sensor communication for a premises security system |
| US9147337B2 (en) | 2010-12-17 | 2015-09-29 | Icontrol Networks, Inc. | Method and system for logging security event data |
| US8762706B2 (en) * | 2011-04-11 | 2014-06-24 | International Business Machines Corporation | Computer systems, methods and program product for multi-level communications |
| DE102012109395B4 (de) | 2011-10-03 | 2022-09-15 | Apple Inc. | Kommunikationsgeräte und Flussbegrenzungseinrichtungen |
| US11405463B2 (en) | 2014-03-03 | 2022-08-02 | Icontrol Networks, Inc. | Media content management |
| US11146637B2 (en) | 2014-03-03 | 2021-10-12 | Icontrol Networks, Inc. | Media content management |
| US10051000B2 (en) * | 2015-07-28 | 2018-08-14 | Citrix Systems, Inc. | Efficient use of IPsec tunnels in multi-path environment |
| CN111756523B (zh) * | 2016-11-04 | 2022-08-12 | 北京紫光展锐通信技术有限公司 | 数据传输方法及装置 |
| WO2019036217A1 (en) * | 2017-08-18 | 2019-02-21 | Missing Link Electronics, Inc. | HETEROGENEOUS TRANSPORT BASED ON PACKETS |
| US11356388B2 (en) | 2017-08-18 | 2022-06-07 | Missing Link Electronics, Inc. | Real-time multi-protocol heterogeneous packet-based transport |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10145773A (ja) * | 1996-11-14 | 1998-05-29 | Toshiba Corp | 動画像データの暗号化方法およびその方法が適用されるコンピュータシステム並びに動画像データ符号化/復号化装置 |
| JP3611864B2 (ja) * | 1997-04-24 | 2005-01-19 | 松下電器産業株式会社 | データ転送方法 |
| US7233948B1 (en) * | 1998-03-16 | 2007-06-19 | Intertrust Technologies Corp. | Methods and apparatus for persistent control and protection of content |
| US6157955A (en) * | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
| US6542508B1 (en) * | 1998-12-17 | 2003-04-01 | Watchguard Technologies, Inc. | Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor |
| US6701349B1 (en) * | 1999-07-16 | 2004-03-02 | International Business Machines Corporation | Data processing system and method for prohibiting unauthorized modification of transmission priority levels |
| US7000120B1 (en) * | 1999-12-23 | 2006-02-14 | Nokia Corporation | Scheme for determining transport level information in the presence of IP security encryption |
| JP3736293B2 (ja) | 2000-05-31 | 2006-01-18 | 日本電信電話株式会社 | 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 |
| US7003118B1 (en) * | 2000-11-27 | 2006-02-21 | 3Com Corporation | High performance IPSEC hardware accelerator for packet classification |
| JP2002182560A (ja) | 2000-12-12 | 2002-06-26 | Hitachi Ltd | 暗号処理機能を備えた情報サーバ装置 |
| JP3990565B2 (ja) * | 2000-12-25 | 2007-10-17 | 松下電器産業株式会社 | セキュリティ通信パケット処理装置及びその方法 |
| US6996842B2 (en) * | 2001-01-30 | 2006-02-07 | Intel Corporation | Processing internet protocol security traffic |
| US7496748B2 (en) * | 2001-07-23 | 2009-02-24 | Itt Manufacturing Enterprises | Method for establishing a security association between two or more computers communicating via an interconnected computer network |
| WO2003021443A1 (en) * | 2001-08-31 | 2003-03-13 | Adaptec, Inc. | Systems and methods for implementing host-based security in a computer network |
| JP2003152544A (ja) * | 2001-11-12 | 2003-05-23 | Sony Corp | データ通信システム、データ送信装置、データ受信装置、および方法、並びにコンピュータ・プログラム |
| US7292691B2 (en) * | 2002-01-02 | 2007-11-06 | Sony Corporation | Progressive video refresh slice detection |
| US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
| US20030196081A1 (en) * | 2002-04-11 | 2003-10-16 | Raymond Savarda | Methods, systems, and computer program products for processing a packet-object using multiple pipelined processing modules |
| KR20050027162A (ko) * | 2002-08-06 | 2005-03-17 | 마쯔시다덴기산교 가부시키가이샤 | 패킷 라우팅 장치 및 패킷 라우팅 방법 |
| US9015467B2 (en) * | 2002-12-05 | 2015-04-21 | Broadcom Corporation | Tagging mechanism for data path security processing |
| US7434045B1 (en) * | 2003-04-21 | 2008-10-07 | Cisco Technology, Inc. | Method and apparatus for indexing an inbound security association database |
| WO2004102906A1 (en) * | 2003-05-16 | 2004-11-25 | Matsushita Electric Industrial Co., Ltd. | Packet classification and concatenation over power line communication systems |
| US7506156B2 (en) * | 2005-02-01 | 2009-03-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for prioritizing encrypted traffic at an intermediate node in a communications network |
-
2004
- 2004-04-21 US US10/828,226 patent/US7774593B2/en not_active Expired - Fee Related
- 2004-04-23 CN CNB2004100351432A patent/CN100525181C/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227417B (zh) * | 2006-08-04 | 2015-03-25 | 华为技术有限公司 | 数据包分类方法及其系统 |
| CN103384991A (zh) * | 2010-08-12 | 2013-11-06 | 思杰系统有限公司 | 用于加密网络流量的服务质量的系统和方法 |
| CN103384991B (zh) * | 2010-08-12 | 2016-09-28 | 思杰系统有限公司 | 用于加密网络流量的服务质量的系统和方法 |
| CN111865829A (zh) * | 2019-04-24 | 2020-10-30 | 成都鼎桥通信技术有限公司 | 业务数据的加密解密方法及设备 |
| CN111865829B (zh) * | 2019-04-24 | 2022-08-02 | 成都鼎桥通信技术有限公司 | 业务数据的加密解密方法及设备 |
| WO2021037216A1 (zh) * | 2019-08-29 | 2021-03-04 | 华为技术有限公司 | 一种报文传输方法及设备、计算机存储介质 |
| CN112448918A (zh) * | 2019-08-29 | 2021-03-05 | 华为技术有限公司 | 报文传输方法及装置、计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100525181C (zh) | 2009-08-05 |
| US7774593B2 (en) | 2010-08-10 |
| US20040215955A1 (en) | 2004-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1540916A (zh) | 加密信息包处理设备、方法、程序和程序记录媒体 | |
| US9832015B2 (en) | Efficient key derivation for end-to-end network security with traffic visibility | |
| US8983061B2 (en) | Method and apparatus for cryptographically processing data | |
| CN1284327C (zh) | 分组加密系统和方法 | |
| CN105357218B (zh) | 一种具备硬件加解密功能的路由器及其加解密方法 | |
| US20020114453A1 (en) | System and method for secure cryptographic data transport and storage | |
| CN1909443A (zh) | 数据配送装置和数据通信系统 | |
| CN101383703B (zh) | 基于广义信息域的动态加解密方法 | |
| CN104272674A (zh) | 多隧道虚拟专用网络 | |
| CN101394268B (zh) | 基于广义信息域的高级加密系统及方法 | |
| CN105763557A (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
| CN1859291A (zh) | 一种对网络报文安全封装的方法 | |
| CN105262772A (zh) | 一种数据传输方法、系统及相关装置 | |
| CN1801693A (zh) | 分组加密算法中对短分组的处理方法 | |
| JP2005507614A (ja) | パケットの順序付けを行う並列パケット変換処理のための方法、システムおよびコンピュータプログラム製品 | |
| CN101502041A (zh) | 加密装置、解密装置、加密方法以及解密方法 | |
| CN113193957B (zh) | 一种与量子网络分离的量子密钥服务方法与系统 | |
| CN112491821B (zh) | 一种IPSec报文转发的方法及装置 | |
| CN106453314A (zh) | 数据加解密的方法及装置 | |
| CN103227742A (zh) | 一种IPSec隧道快速处理报文的方法 | |
| KR100624691B1 (ko) | 블록 암호화 데이터의 복호화 처리 장치 및 그 방법 | |
| CN113193958A (zh) | 一种高安全高效率的量子密钥服务方法与系统 | |
| CN107493287A (zh) | 工控网络数据安全系统 | |
| CN106385423A (zh) | 一种数据加密传输方法及系统 | |
| RU2007129927A (ru) | Система связи и способ связи |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090805 Termination date: 20200423 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |