專利名稱:加密處理方法和加密處理裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于增強應用層的安全的加密處理方法和加密處理裝置����。
背景技術(shù):
專利文獻1提出了增強與應用層安全協(xié)議對應的處理性能的方法。在專利文獻1 中���,公開了為了增強處理性能����,加密加速器從CPU去除加密處理的負荷���。但是�,在專利文獻1 所公開的方法中,對每個輸入消息或輸出消息��,在用戶空間與內(nèi)核空間(kernel space)之 間發(fā)生兩次內(nèi)存復制(memory copy)動作���,因此����,招致較大的開銷����。于是�,為了應對應用層安全協(xié)議中用戶_內(nèi)核空間的內(nèi)存復制的開銷,提出了以 下的發(fā)明(專利文獻2)�����。專利文獻2提出了使網(wǎng)絡協(xié)議卸載芯片負擔加密處理和網(wǎng)絡協(xié)議棧處理這兩者 的負荷�����,從而減輕內(nèi)存復制的開銷的方法���,所述網(wǎng)絡協(xié)議卸載芯片由加密加速器�、以及網(wǎng)絡 協(xié)議棧處理器構(gòu)成。但是�,為了實現(xiàn)該方法,需要特定的網(wǎng)絡硬件結(jié)構(gòu)���,因此�,不符合于已嵌 入裝置中的基于軟件的TCP/IP棧��。專利文獻1 美國專利申請第7����,047,405號說明書專利文獻2 美國專利申請第6���,983�����,382號說明書
發(fā)明內(nèi)容
發(fā)明需要解決的問題但是�,在專利文獻1中����,產(chǎn)生如下的問題在進行應用層安全協(xié)議時,對每個輸入 消息或輸出消息��,在用戶空間與內(nèi)核空間之間將各個多媒體有效載荷多次復制到存儲器 中,因此����,加密處理性能較差。這里�����,所謂有效載荷是指��,從數(shù)據(jù)塊中去除了報頭(header) 等的數(shù)據(jù)本身�。在處理音頻視頻等的大小較大的有效載荷時,加密處理性能更加惡化���。在專利文獻2中,即使能夠避免內(nèi)存復制的開銷���,也在連續(xù)地處理大小較大的有 效載荷被分段的部分時��,由于不存在有關(guān)用于使連續(xù)的兩個段關(guān)聯(lián)對應的加密的信息���,因 此,在適用應用層安全協(xié)議時��,在對各個段個別地進行CBC(Cipher Block Chaining,密碼 分組鏈接)模式或計數(shù)器模式的加密和認證處理時產(chǎn)生困難�����。本發(fā)明鑒于上述各點而完成�����,其目的在于�,提供有效地增強安全多媒體通信的加 密解密處理性能或認證處理性能的加密處理方法和加密處理裝置。解決問題的方案本發(fā)明的加密處理方法的一個形態(tài)為����,用于增強對于通過安全協(xié)議進行了安全處 理的多媒體通信的加密解密處理或認證處理,其包括以下步驟在開始所述多媒體通信時�����, 存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息�����;將明 文的多媒體分組發(fā)送到虛擬網(wǎng)絡接口 �����;基于所述安全處理信息中包含的所述識別條件,在 網(wǎng)絡協(xié)議棧內(nèi)對所述明文的多媒體分組進行過濾��;在所述明文的多媒體分組被過濾時�,在 所述明文的多媒體分組符合所述安全處理信息中包含的所述識別條件的情況下,對所述明文的多媒體分組進行加密處理或認證處理���,修改所述安全多媒體分組的有效載荷以符合安 全協(xié)議��;將發(fā)往所述虛擬網(wǎng)絡接口的所述安全多媒體分組轉(zhuǎn)發(fā)到原來的網(wǎng)絡接口 ��;以及從 所述原來的網(wǎng)絡接口輸出所述安全多媒體分組����。本發(fā)明的加密處理裝置的一個形態(tài)為�,用于增強對于通過安全協(xié)議進行了安全處 理的多媒體通信的加密解密處理或認證處理,其所采用的結(jié)構(gòu)包括存儲單元����,存儲包含用 于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息�;發(fā)送單元,將明 文的多媒體分組發(fā)送到虛擬網(wǎng)絡接口 ����;修改單元���,判斷所述明文的多媒體分組是否符合所 述安全處理信息中包含的所述識別條件,在符合所述識別條件時��,對所述明文的多媒體分 組進行加密處理或認證處理����,修改所述安全多媒體分組的有效載荷以符合安全協(xié)議;置換 單元��,將發(fā)往所述虛擬網(wǎng)絡接口的所述安全多媒體分組轉(zhuǎn)發(fā)到原來的網(wǎng)絡接口 �;以及輸出 單元,從所述原來的網(wǎng)絡接口輸出所述安全多媒體分組�����。本發(fā)明的加密處理方法的一個形態(tài)為��,用于增強對于通過安全協(xié)議進行了安全處 理的多媒體通信的加密解密處理或認證處理�����,其包括以下步驟在開始所述多媒體通信時���, 存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息�;基于 所述安全處理信息中包含的所述識別條件,在網(wǎng)絡協(xié)議棧內(nèi)對所輸入的安全多媒體分組進 行過濾��;在所述安全多媒體分組被過濾時���,在所述安全多媒體分組符合所述安全處理信息 中包含的所述識別條件的情況下����,對所述安全多媒體分組進行解密處理或認證處理����,將所 述安全多媒體分組的有效載荷修改為明文有效載荷;以及將明文的多媒體分組發(fā)送到所述 輸入多媒體通信的應用層�。本發(fā)明的加密處理裝置的一個形態(tài)為,用于增強對于通過安全協(xié)議進行了安全處 理的輸入多媒體通信的加密解密處理或認證處理���,其所采用的結(jié)構(gòu)包括存儲單元�����,存儲包 含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息;修改單元��, 判斷所輸入的安全多媒體分組是否符合所述安全處理信息中包含的所述識別條件,在符合 所述識別條件時��,對所述安全多媒體分組進行解密處理或認證處理����,并將所述安全多媒體 分組的有效載荷修改為明文有效載荷;以及發(fā)送單元�����,將所述明文的多媒體分組發(fā)送到所 述輸入多媒體通信的應用層�。發(fā)明的效果根據(jù)本發(fā)明,能夠有效地增強安全多媒體通信的加密解密處理性能或認證處理性 能����。
圖1是表示本發(fā)明的實施方式的加密處理通信系統(tǒng)的結(jié)構(gòu)圖。圖2是表示用于對所輸出的安全多媒體分組進行內(nèi)核級加密處理的本發(fā)明的實 施方式的流程圖����。圖3是表示用于對所輸入的安全多媒體分組進行內(nèi)核級加密處理的本發(fā)明的實 施方式的流程圖。圖4是安全多媒體應用的管理單元���、應用層安全處理信息�����、應用層安全處理單元����、 以及加密處理單元的結(jié)構(gòu)圖。圖5是本發(fā)明的實施方式的大小較大的安全多媒體有效載荷的結(jié)構(gòu)圖�。在本發(fā)明的實施方式的輸出處理中對形式發(fā)生各種變化的多媒體分 組進行處理的加密處理通信系統(tǒng)的結(jié)構(gòu)圖。圖7是表示在本發(fā)明的實施方式的輸入處理中對形式發(fā)生各種變化的多媒體分 組進行處理的加密處理通信系統(tǒng)的結(jié)構(gòu)圖�����。圖8是表示用于對所輸出的安全多媒體分組進行內(nèi)核級加密處理的本發(fā)明的實 施方式的時序流程��。圖9是表示用于對所輸入的安全多媒體分組進行內(nèi)核級加密處理的本發(fā)明的實 施方式的時序流程����。
具體實施例方式以下,參照附圖詳細地說明本發(fā)明的實施方式��。在本實施方式中�����,說明以下的結(jié)構(gòu)�,S卩將大小較大的有效載荷轉(zhuǎn)發(fā)到設定了比在 實際向網(wǎng)絡輸出時所使用的最大發(fā)送單位足夠大的最大發(fā)送單位的虛擬網(wǎng)絡裝置(虛擬 網(wǎng)絡接口),對暫時取入到虛擬網(wǎng)絡裝置的網(wǎng)絡協(xié)議棧的大小較大的有效載荷整體�,啟動 內(nèi)核級的加密解密處理或認證處理��,將進行了安全處理的有效載荷發(fā)送到現(xiàn)實的網(wǎng)絡裝置 (網(wǎng)絡接口)的網(wǎng)絡協(xié)議棧。圖1是表示本發(fā)明的實施方式的一例加密處理通信系統(tǒng)的結(jié)構(gòu)圖�����。加密處理通信系統(tǒng)100包括用戶空間110和內(nèi)核空間120�。用戶空間110包括安全多媒體應用112、套接字(socket) 114���、安全多媒體應用的 管理單元116�、以及安全控制接口 118�����。安全多媒體應用112是在安全實時傳輸協(xié)議(SRTP :Secure Real-time Transport Protocol)等的應用層安全協(xié)議的保護下��,經(jīng)由因特網(wǎng)享受音頻或視頻等多媒體內(nèi)容的應用���。音頻或視頻等多媒體內(nèi)容以有效載荷的形式被分組�����。高精細度的多媒體內(nèi)容成為 趨勢����,因此,有效載荷普遍成為大小較大的有效載荷�����。運輸多媒體內(nèi)容的有效載荷為了網(wǎng)絡處理而被輸入到套接字114�����。安全多媒體應用112通過啟動安全多媒體應用的管理單元116��,從而啟動安全多 媒體通信�。安全多媒體應用的管理單元116將安全多媒體通信的開始或結(jié)束等的命令發(fā)送 到安全控制接口 118。內(nèi)核空間120包括網(wǎng)絡協(xié)議棧130�、虛擬網(wǎng)絡接口 140、網(wǎng)絡接口 150�����、以及內(nèi)核級 加密模塊160����。網(wǎng)絡協(xié)議棧130包括安全多媒體分組的輸出過濾器132、以及安全多媒體分組的 輸入過濾器134�。作為網(wǎng)絡協(xié)議棧130的一個例子�����,存在TCP/IP棧�����。作為虛擬網(wǎng)絡接口 140,為了避免將大小較大的多媒體有效載荷劃分為段���,設定具 有較大的MTU(Maximum Transfer Unit���,最大傳輸單元)的虛擬網(wǎng)絡接口。安全多媒體應用的管理單元116設定并啟動安全多媒體分組的輸出過濾器132����、 以及安全多媒體分組的輸入過濾器134。
6
在多媒體分組通過輸出過濾器132或輸入過濾器134進行過濾時�����,只要多媒體分 組滿足由輸出過濾器132或輸入過濾器134設定的識別條件��,則多媒體分組的有效載荷接 受符合應用層安全協(xié)議的加密解密處理或認證處理�����。這里,識別條件是加密解密處理或認 證處理所需要的參數(shù)����,或者是用于識別需要加密解密處理或認證處理的分組的條件。內(nèi)核級加密模塊160包括應用層安全處理信息存儲單元162�、應用層安全處理單 元164、以及加密處理單元168����。此外,加密處理單元168包括加密單元1682和消息認證單 元1684���。內(nèi)核級加密模塊160進行符合應用層安全協(xié)議的加密處理或認證處理��。圖2是表示用于對所輸出的安全多媒體分組進行內(nèi)核級加密處理或認證處理的 本發(fā)明的實施方式的流程圖�。在步驟S102中�,安全多媒體應用112開始安全多媒體應用本身的處理,啟動安全 多媒體應用的管理單元116以進行對應于輸出安全多媒體分組的設定����。由此,安全多媒體應用的管理單元116在虛擬網(wǎng)絡接口 140的網(wǎng)絡協(xié)議棧130內(nèi), 激活一個輸出加密處理過濾點(相當于輸出過濾器132)�����。然后��,管理單元116在應用層安 全處理信息存儲單元162(相當于本發(fā)明的“存儲單元”)中生成安全處理信息項目�,進行包 括應用層安全處理單元164和加密處理單元168中的加密處理或認證處理的設定的、內(nèi)核 級加密模塊160的設定��。在步驟S104中��,當在用戶空間110中發(fā)生輸出多媒體內(nèi)容時�,安全多媒體應用112 生成多媒體傳輸分組�。在步驟S106中,安全多媒體應用112將多媒體傳輸分組經(jīng)由套接字114發(fā)送到虛 擬網(wǎng)絡接口 140的網(wǎng)絡協(xié)議棧130�����。在步驟S108中��,在內(nèi)核空間120中���,當多媒體傳輸分組滿足輸出過濾器132的識 別條件時����,網(wǎng)絡協(xié)議棧130啟動內(nèi)核級加密模塊160,使其進行對于多媒體傳輸分組的加密 處理或認證處理���,對有效載荷進行修改以符合應用層安全��?�;趹脤影踩幚硇畔⒋鎯卧?62中的安全處理信息項目�����,內(nèi)核級加密模 塊160通過加密單元1682進行多媒體傳輸分組的加密���。消息認證單元1684進行消息認 證。然后�,應用層安全處理單元164將多媒體傳輸分組重新編制為符合例如由SRTP(Secure Real-time Transport Protocol,安全實時傳輸協(xié)議)進行了加密的部分���、以及由SRTP進 行了認證的部分的�、具有應用層安全的有效載荷����。也就是說���,多媒體傳輸分組被變換為安全 多媒體分組。 在步驟Sl 10中����,應用層安全處理單元164將成為發(fā)往虛擬網(wǎng)絡接口的安全多媒體 分組的目的地址置換為作為實際的發(fā)送目的地的發(fā)送目的地址。在步驟S112中�,安全多媒體分組被發(fā)送到網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130。在步驟S114中�,在網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130中,安全多媒體分組將有效載 荷大小與網(wǎng)絡接口 150的MTU進行核對����,判斷是否進行分組的分段。在符合分段條件時��,進 入步驟S116�����,進行分組劃分�,從網(wǎng)絡接口 150輸出所生成的多個被劃分的分組����。在不符合分 段條件時,進入步驟S118,從網(wǎng)絡接口 150輸出安全多媒體分組��。圖3是表示用于對所輸入的安全多媒體分組進行內(nèi)核級解密處理或認證處理的 本發(fā)明的實施方式的流程圖����。在步驟S202中,安全多媒體應用112啟動安全多媒體應用���,并啟動安全多媒體應用的管理單元116���,以進行對應于所輸入的安全多媒體應用的設定。由此��,安全多媒體應用的管理單元116在網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130內(nèi)�,激活 一個輸入加密處理過濾點(相當于輸入過濾器134)。然后��,管理單元116在應用層安全處 理信息存儲單元162(相當于本發(fā)明的“存儲單元”)中生成安全處理信息項目����,進行包括應 用層安全處理單元164和加密處理單元168中的解密處理或認證處理的設定的、內(nèi)核級加 密模塊160的設定�。在步驟S204中,所輸入的安全多媒體分組通過網(wǎng)絡接口 150接收���,并為了其后的 網(wǎng)絡協(xié)議處理而被調(diào)度��。在步驟S206中��,在內(nèi)核空間120中�����,當多媒體分組滿足輸入過濾器134的識別條 件時���,網(wǎng)絡協(xié)議棧130啟動內(nèi)核級加密模塊160�,使其進行分組的解密處理或認證處理��,以 確認有效載荷符合應用層安全��?���;趹脤影踩幚硇畔⒋鎯卧?62中的安全處理信息項目����,內(nèi)核級加密模塊 160通過加密單元1682進行多媒體分組的解密。消息認證單元1684基于安全多媒體分組 計算消息認證值��,通過將計算結(jié)果與安全多媒體分組中包含的消息認證值進行核對,確認 安全分組的可靠性����。在這些嚴格一致的情況下,表示安全多媒體分組是真正可靠的�����,并且其 是由通信對方真正發(fā)送來的�����。安全多媒體分組中的有效載荷為明文(Plain text)的有效 載荷�。這里,所謂明文是指�,加密前或解密后的、未被加密的狀態(tài)的數(shù)據(jù)��。在步驟S208中�,網(wǎng)絡協(xié)議棧130將明文的多媒體分組經(jīng)由套接字114發(fā)送到安全 多媒體應用112。由此�,安全多媒體應用112接收明文的多媒體分組。圖4是安全多媒體應用的管理單元116����、應用層安全處理信息�����、應用層安全處理單 元164�����、以及加密處理單元168的結(jié)構(gòu)圖����。安全多媒體應用的管理單元116包括安全應用會話(session)的開始單元1162��、 以及安全應用會話的結(jié)束單元1164�����。在從安全多媒體應用112接收輸出安全多媒體應用開始時�����,安全應用會話的開始 單元1162啟動虛擬網(wǎng)絡接口 140的網(wǎng)絡協(xié)議棧130內(nèi)的安全多媒體分組的輸出過濾器 132���,并將應用層安全處理信息存儲單元162中的項目初始化��。在本實施方式中�,作為虛擬網(wǎng)絡接口 140能夠適用本地環(huán)回接口����,過濾方法為網(wǎng) 絡過濾器,輸出過濾點(相當于輸出過濾器132)為網(wǎng)絡過濾器的NF_IP_L0CAL_0UT�����。在從安全多媒體應用112接收輸入安全多媒體應用開始時��,安全應用會話的開始 單元1162啟動網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130內(nèi)的安全多媒體分組的輸入過濾器134����,并 將應用層安全處理信息存儲單元162中的項目初始化。在本實施方式中��,作為虛擬網(wǎng)絡接口 140能夠適用以太網(wǎng)(Ethernet)(注冊商標) 網(wǎng)卡�����,過濾方法為網(wǎng)絡過濾器�,輸入過濾點134為網(wǎng)絡過濾器的NF_IP_L0CAL_IN。在從安全多媒體應用112接收輸入安全或輸出多媒體應用結(jié)束時���,安全應用會話 的結(jié)束單元1164使網(wǎng)絡過濾器的輸入或輸出過濾點失效���,從而使安全多媒體分組的輸入 過濾器134或安全多媒體分組的輸出過濾器132失效���。應用層安全處理信息存儲單元162存儲多個安全處理信息的項目。安全處理信息 的一個項目1620與輸入安全或輸出多媒體應用中的任一者對應���。應用層安全處理信息存儲單元162中的安全處理信息的各個項目包括用于存儲為了確定安全多媒體應用�、以及為 了進行加密處理所需要的有關(guān)加密的信息的多個字段(field)����。安全處理信息的一個項目1620包括同步源(SSRC Synchronization Source)識 別符1621、發(fā)送目的地網(wǎng)絡地址1622����、發(fā)送目的地傳輸端口號1623、加密算法識別符1624�、 認證算法識別符1625、主密鑰(Master Key) 1626��、主鹽(Master Salt) 1627�、加密密鑰 1628、以及認證密鑰1629的字段��。SSRC識別符1621、發(fā)送目的地網(wǎng)絡地址1622���、以及發(fā)送目的地傳輸端口號1623用 于核對安全應用的加密上下文(cryptographic context)�����。加密算法識別符1624用于確定安全應用的加密算法。所支持的算法為包括CBC 或計數(shù)器模式的 DES (Data Encryption Standard���,數(shù)據(jù)加密標準)�、3DES����、AES (Advanced Encryption Standard,高級加密標準)、AES192���、以及 AES256 等��。認證算法識別符1625用于確定安全應用的認證算法�。所支持的算法例如為 HMAC-SHA1����、HMAC-MD5、DES_XCBC-MAC、3DES-XCBC_MAC�����、以及 AES-XCBC-MAC�。主密鑰1626和主鹽1627用于在未生成加密密鑰1628和認證密鑰1629時生成 加密處理所使用的加密密鑰1628和認證密鑰1629的密鑰導出、或者對新接收到的主密鑰 1626進行主密鑰更新�����。這里���,所謂鹽(salt)是指用于使密碼復雜化的隨機數(shù)���。加密密鑰1628用于進行加密或解密等的安全應用的加密處理。認證密鑰1629用 于進行消息認證或消息摘要(message digest)�����。應用層安全處理單元164進行如確定安全多媒體分組的被加密的部分��,確定安全 多媒體分組的認證部分那樣的����、消息認證的確認等應用層安全協(xié)議的作成�����。應用層安全處 理單元164包括加密和解密部分的確定單元(locator���,定位器)1642、認證部分和認證標簽 的確定單元1646���、認證標簽生成單元1644、以及認證標簽確認單元1648����。加密和解密部分的確定單元1642用于確定在加密或解密的加密處理中處理的有 效載荷的開始地址和結(jié)束地址。加密處理在有效載荷的該被確定的部分內(nèi)進行�����。以輸出實 時傳輸協(xié)議(RTP)分組為例�����,開始地址通常與接著RTP報頭的最初的字節(jié)一致����。結(jié)束地址 為RTP有效載荷的末尾字節(jié)����。認證部分和認證標簽的確定單元1646用于確定在認證處理中處理的有效載荷的 開始地址和結(jié)束地址��、以及確定用于存儲或讀出認證標簽的開始地址��。認證處理在有效載 荷的該被確定的部分內(nèi)進行��。以輸出RTP分組為例����,開始地址通常與RTP報頭的開頭字節(jié) 一致。結(jié)束地址為RTP有效載荷的末尾字節(jié)���。以輸出RTP分組為例���,認證標簽開始地址通 常與接著RTP有效載荷的末尾字節(jié)的最初的字節(jié)一致,認證標簽通常具有80比特的長度��。認證標簽生成單元1644用于將通過運算處理獲得的認證標簽附加在輸出分組的 有效載荷的末尾�。認證標簽確認單元1648用于將通過運算處理獲得的認證標簽與輸入分組的有效 載荷中的認證標簽進行核對以確認其是否一致。在這些標簽不一致時�����,確認失敗,丟棄分 組�。而在與此情況相反,這些標簽一致的情況下���,表示安全多媒體分組是真正可靠的�,并且 其是由通信對方真正發(fā)送來的��。加密處理單元168包括加密單元1682和消息認證單元1684����。加密單元1682支持 包括CBC或計數(shù)器模式的DES���、3DES�、AES��、AES192����、以及AES256等的加密和解密。
消息認證單元1684 支持例如 HMAC-SHA1����、HMAC-MD5�、DES-XCBC-MAC���、 3DES-XCBC-MAC��、以及AES-XCBC-MAC的消息認證處理����。圖5是本發(fā)明的實施方式的大小較大的安全多媒體有效載荷的結(jié)構(gòu)圖����。安全多媒體應用112為了發(fā)送多媒體內(nèi)容而使用實時傳輸協(xié)議(RTP),生成包含 RTP報頭412和大小較大的有效載荷414的明文的多媒體分組410�����。網(wǎng)絡層的明文的多媒體分組420包括套接字緩沖結(jié)構(gòu)體(Sk_buff結(jié)構(gòu)體)422���、 IP報頭424��、UDP報頭426����、RTP報頭412�����、以及大小較大的有效載荷414。在符合應用層安全協(xié)議的內(nèi)核級加密處理后��,網(wǎng)絡層的明文的多媒體分組420成 為網(wǎng)絡層的安全多媒體分組430�����。網(wǎng)絡層的安全多媒體分組430包括套接字緩沖結(jié)構(gòu)體422�����、IP報頭424�����、UDP報頭 426��、RTP報頭412��、被加密的大小較大的有效載荷432��、以及消息認證碼434��。網(wǎng)絡協(xié)議棧130根據(jù)網(wǎng)絡接口 150的MTU���,進行大小較大的網(wǎng)絡層的安全多媒體分 組430的分段處理����。在網(wǎng)絡層的安全多媒體分組的網(wǎng)絡協(xié)議棧130進行的分段處理后�����,網(wǎng)絡層的安全 多媒體分組430成為一連串的被分段的安全多媒體分組440���。一連串的被分段的安全多媒 體分組440包括第一被分段安全多媒體分組442���、第二被分段安全多媒體分組444、以及第 η被分段安全多媒體分組446�。第一被分段安全多媒體分組442包括套接字緩沖結(jié)構(gòu)體422、IP報頭424���、UDP報 頭426�����、RTP報頭412�、以及第一被分段加密有效載荷4422。第二被分段安全多媒體分組444 包括套接字緩沖結(jié)構(gòu)體422��、IP報頭424�、以及第二被分段加密有效載荷4442。第η被分段 安全多媒體分組446包括套接字緩沖結(jié)構(gòu)體422���、IP報頭424�����、以及第η被分段加密有效載 荷 4462���。圖6是表示在本發(fā)明的實施方式的一例輸出處理中對形式發(fā)生各種變化的多媒 體分組進行處理的加密處理通信系統(tǒng)的結(jié)構(gòu)圖。安全多媒體應用112生成明文的多媒體分組410���,并將明文的多媒體分組410經(jīng)由 套接字114發(fā)送到虛擬網(wǎng)絡接口 140的網(wǎng)絡協(xié)議棧130�����。若明文的多媒體分組410 —旦被輸入網(wǎng)絡協(xié)議棧130��,則采用網(wǎng)絡層的分組格式 的形式,并成為網(wǎng)絡層的明文的多媒體分組420�。輸出過濾器132對網(wǎng)絡層的明文的多媒體分組420進行選擇,啟動內(nèi)核級加密模 塊160�����,使其進行應用層安全協(xié)議。由此���,網(wǎng)絡層的明文的多媒體分組420成為網(wǎng)絡層的安 全多媒體分組430�����。網(wǎng)絡層的安全多媒體分組430屬于虛擬網(wǎng)絡接口 140����。在網(wǎng)絡層的安全多媒體分組430的發(fā)往IP報頭424中的虛擬網(wǎng)絡接口 140的目 的地址被置換為實際的發(fā)送目的地址后��,網(wǎng)絡層的安全多媒體分組430被發(fā)送到網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130���。在網(wǎng)絡層的安全多媒體分組430到達網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130后�����,進行網(wǎng) 絡層的安全多媒體分組430的分段����。最后,一連串的被分段的安全多媒體分組440從網(wǎng)絡接口 150輸出����。也就是說,第 一被分段安全多媒體分組442�����、第二被分段安全多媒體分組444���、以及第η被分段安全多媒
10體分組446從網(wǎng)絡接口 150輸出��。圖7是表示在本發(fā)明的實施方式的輸入處理中對形式發(fā)生各種變化的多媒體分 組進行處理的加密處理通信系統(tǒng)的結(jié)構(gòu)圖���。由網(wǎng)絡接口 150接收一連串的被分段的安全多媒體分組440或網(wǎng)絡層的安全多媒 體分組430中的任一者。在為大小較大的安全多媒體有效載荷時�,由網(wǎng)絡接口 150接收包含第一被分段安 全多媒體分組442、第二被分段安全多媒體分組444���、以及第η被分段安全多媒體分組446 的��、一連串的被分段的安全多媒體分組440�����。在非上述情況的情形下��,由網(wǎng)絡接口 150接收 網(wǎng)絡層的安全多媒體分組430��。在一旦分組到達網(wǎng)絡協(xié)議棧130后�����,對一連串的被分段的安全多媒體分組440��,進 行基于網(wǎng)絡協(xié)議棧的復原處理�。一連串的被分段的安全多媒體分組440被重組為網(wǎng)絡層的 安全多媒體分組430����。輸入過濾器134對網(wǎng)絡層的安全多媒體分組430進行選擇,啟動內(nèi)核級加密模塊 160�,使其進行解密或消息認證確認等的應用層安全協(xié)議。由此�����,網(wǎng)絡層的安全多媒體分組 430成為網(wǎng)絡層的明文的多媒體分組420��。網(wǎng)絡層的明文的多媒體分組420經(jīng)由套接字114被發(fā)送到安全多媒體應用112��。 最后,安全多媒體應用112接收明文的多媒體分組410����。圖8是表示用于對所輸出的安全多媒體分組進行內(nèi)核級加密處理的本發(fā)明的實 施方式的時序流程。在步驟S302中����,安全多媒體應用112生成明文的多媒體分組410。明文的多媒體 分組410能夠以實時傳輸協(xié)議(RTP)的形式表示�����。在步驟S304中�����,安全多媒體應用112經(jīng)由套接字114將明文的多媒體分組410發(fā) 送到虛擬網(wǎng)絡接口 140的網(wǎng)絡協(xié)議棧130�。在步驟S306中,在明文的多媒體分組410 —旦被輸入到網(wǎng)絡協(xié)議棧130后�,采用 網(wǎng)絡層的分組格式的形式,如圖5的網(wǎng)絡層的明文的分組格式420所示����,能夠通過套接字緩 沖結(jié)構(gòu)體422表示。在步驟S308中�,網(wǎng)絡層的明文的多媒體分組420被輸入到輸出過濾點(相當于輸 出過濾器132)���。該過濾點能夠是網(wǎng)絡過濾器的NF_IP_L0CAL_0UT。在步驟S310中�,在RTP報頭412中的三個項目{SSRC ID 1621、發(fā)送目的地網(wǎng)絡地 址1622�����、發(fā)送目的地傳輸端口號1634}符合過濾條件時�����,判定為網(wǎng)絡層的明文的多媒體分 組420符合相當于應用層安全處理信息存儲單元162中的安全處理信息項目1620的過濾 條件�。在符合過濾條件時(S310:是)�����,在步驟S312中����,啟動對于網(wǎng)絡層的明文的多媒體 分組420的內(nèi)核級加密處理。另外���,在不符合過濾條件時(S310 否)��,結(jié)束處理�����。在步驟S314中�,RTP報頭412中的三個項目{SSRC ID 1621、發(fā)送目的地網(wǎng)絡地址 1622���、發(fā)送目的地傳輸端口號1634}被用作進行加密處理的指標����。在未生成加密密鑰1628 和認證密鑰1629時�����,或者進行新接收到的主密鑰1626的主密鑰更新時�����,為了生成加密密鑰 1628和認證密鑰1629而使用主密鑰1626和主鹽1627����。加密的開始地址基于加密和解密部分的確定單元1642被決定,并為了進行對加
11密部分432的加密處理而使用加密算法ID1624和加密密鑰1628����。消息認證的開始地址基于認證部分和認證標簽的確定單元1646被決定���,并對認 證部分432進行認證。為了將該結(jié)果保存為消息認證標簽434��,使用認證算法ID1625和認 證密鑰1629��。認證后�����,認證標簽生成單元1644將作為對認證部分432的認證的結(jié)果的消息認證 標簽434附加到分組中�。加密和認證后�,內(nèi)核級加密模塊160通過使網(wǎng)絡層的明文的多媒體分組420(有效 載荷)符合安全實時傳輸協(xié)議(SRTP)等的應用層安全協(xié)議,對網(wǎng)絡層的明文的多媒體分組 420進行修改��,使其成為具有加密部分432和消息認證碼434的網(wǎng)絡層的安全多媒體分組 430�����。在步驟S316中�,使分組符合安全實時傳輸協(xié)議(SRTP)等的應用層安全協(xié)議,從而 使其為具有加密部分432和消息認證碼434的網(wǎng)絡層的分組格式430的形式��。在步驟S318中,在將安全多媒體分組上的網(wǎng)絡層的安全多媒體分組430的IP報 頭424中的目的地址置換為實際的發(fā)送目的地址后��,在步驟S320中���,網(wǎng)絡層的安全多媒體 分組430被發(fā)送到網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130�����。由此���,在步驟S322中,網(wǎng)絡層的安全 多媒體分組430通過輸出過濾點(相當于輸出過濾器132)�。網(wǎng)絡層的安全多媒體分組430 被輸入到網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130。在步驟S324中�����,進行是否發(fā)生網(wǎng)絡層的安全多媒體分組430的分段的判斷���。若網(wǎng) 絡層的安全多媒體分組430比網(wǎng)絡接口 150的MTU大�����,則該判斷狀態(tài)為真正����。此時,進入步驟S326�,進行分段。在分段后�,使網(wǎng)絡層的安全多媒體分組430為一 連串的被分段的安全多媒體分組440。在步驟S328中���,包括第一被分段安全多媒體分組 442���、第二被分段安全多媒體分組444、以及第η被分段安全多媒體分組446的��、一連串的被 分段的安全多媒體分組440從網(wǎng)絡接口 150被輸出到網(wǎng)絡�。另一方面���,若網(wǎng)絡層的安全多媒體分組430比網(wǎng)絡接口 150的MTU小����,則步驟S324 中的判斷狀態(tài)為虛假��。此時,進入步驟S328�,網(wǎng)絡層的安全多媒體分組430從網(wǎng)絡接口 150 被輸出到網(wǎng)絡。圖9是表示用于對所輸入的安全多媒體分組進行內(nèi)核級加密處理的本發(fā)明的實 施方式的時序流程���。在步驟S402中��,網(wǎng)絡接口接收安全多媒體分組(安全多媒體分組)�����,對網(wǎng)絡協(xié)議處 理進行調(diào)度����。安全多媒體分組能夠是包括第一被分段安全多媒體分組442���、第二被分段安全多 媒體分組444���、以及第η被分段安全多媒體分組446的、一連串的被分段的安全多媒體分組 440的形式�、或者網(wǎng)絡層的安全多媒體分組430的形式中的任一者。在步驟S404中�����,在安全多媒體分組為一連串的被分段的安全多媒體分組440的形 式時,網(wǎng)絡接口 150的網(wǎng)絡協(xié)議棧130進行復原以使包括第一被分段安全多媒體分組442����、 第二被分段安全多媒體分組444、以及第η被分段安全多媒體分組446的���、一連串的被分段 的安全多媒體分組440成為網(wǎng)絡層的安全多媒體分組430����。通過步驟S404的處理�����,使安全多媒體分組為以套接字緩沖結(jié)構(gòu)體422的形式表示 的網(wǎng)絡層的安全多媒體分組430����。
在步驟S406中,網(wǎng)絡層的安全多媒體分組430被輸入到輸入過濾點(相當于輸入 過濾器134)��。該過濾點能夠是網(wǎng)絡過濾器的NF_IP_L0CAL_IN����。在步驟S408中����,在RTP報頭412中的三個項目{SSRC ID 1621�����、發(fā)送目的地網(wǎng)絡 地址1622���、發(fā)送目的地傳輸端口號1634}符合過濾條件時,判定為網(wǎng)絡層的安全多媒體分 組430符合相當于應用層安全處理信息存儲單元162中的安全處理信息項目1620的過濾 條件��。在符合過濾條件時(S408 是)�����,在步驟S410中��,啟動對于網(wǎng)絡層的安全多媒體分 組430的內(nèi)核級加密處理�����。在不符合過濾條件時(S408 否)��,結(jié)束處理���。在步驟S412中����,RTP報頭412中的三個項目{SSRC ID 1621、發(fā)送目的地網(wǎng)絡地址 1622���、發(fā)送目的地傳輸端口號1634}被用作進行加密處理的指標���。在未生成加密密鑰1628 和認證密鑰1629時,或者進行新接收到的主密鑰1626的主密鑰更新時�,為了生成加密密鑰 1628和認證密鑰1629而使用主密鑰1626和主鹽1627。解密的開始地址基于加密和解密部分的確定單元1642被決定���,并為了進行對解 密部分432的解密處理而使用加密算法ID1624和加密密鑰1628���。消息認證的開始地址基于認證部分和認證標簽的確定單元1646被決定,并為了 對認證部分432進行認證���,使用認證算法ID1625和認證密鑰1629�����。將其結(jié)果稱為被運算處 理的消息認證。在步驟S414中�����,為了確認被運算處理的消息認證是否與消息認證碼434嚴格一 致,使用認證標簽確認單元1648�。在這些嚴格一致的情況下,表示網(wǎng)絡層的安全多媒體分組430是真正可靠的�����,并 且其是由通信對方真正發(fā)送來的����。在這些非嚴格一致的情況下,表示網(wǎng)絡層的安全多媒體分組430是虛假的����,并流 程進入步驟S416,丟棄網(wǎng)絡層的安全多媒體分組430���。在這些嚴格一致的情況下�,流程進入步驟S418�����,對安全多媒體分組430的有效載 荷進行修改�����,使具有解密部分432和消息認證碼434的網(wǎng)絡層的安全多媒體分組430成為 符合實時傳輸協(xié)議(RTP)的網(wǎng)絡層的明文的多媒體分組420。在步驟S420中�,網(wǎng)絡層的明文的安全多媒體分組420通過輸入過濾點(相當于輸 入過濾器134)。在步驟S422中���,以套接字緩沖結(jié)構(gòu)體422的形式表示的�、網(wǎng)絡層的明文的多媒體 分組420經(jīng)由套接字114被發(fā)送到安全多媒體應用112��。最后��,在步驟S424中�����,從套接字114接收明文的多媒體分組410����,從RTP有效載荷 414取出多媒體內(nèi)容。這樣�,根據(jù)本實施方式,為了避免分段的問題而將大小較大的有效載荷發(fā)送到具 有較大的最大發(fā)送單位(MTU)的虛擬網(wǎng)絡接口��,對暫時取入到虛擬網(wǎng)絡接口的網(wǎng)絡協(xié)議棧 的大小較大的有效載荷整體�����,啟動內(nèi)核級的加密處理���,并將進行了安全處理的有效載荷發(fā) 送到網(wǎng)絡接口的網(wǎng)絡協(xié)議棧���,從而能夠在有效運用現(xiàn)有的網(wǎng)絡協(xié)議棧的同時,以最低限度 的內(nèi)存復制次數(shù)實現(xiàn)應用層安全協(xié)議處理���。2008年2月13日提交的特愿第2008-32228號的日本專利申請所包含的說明書����、 附圖以及說明書摘要的公開內(nèi)容���,全部引用于本申請���。
13
工業(yè)實用性本發(fā)明的加密處理裝置作為有效地增強安全多媒體通信的加密處理性能的加密 處理裝置是有用的。
權(quán)利要求
加密處理方法����,用于增強對于通過安全協(xié)議進行了安全處理的多媒體通信的加密解密處理或認證處理,包括以下步驟在開始所述多媒體通信時�����,存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息;將明文的多媒體分組發(fā)送到虛擬網(wǎng)絡接口��;基于所述安全處理信息中包含的所述識別條件����,在網(wǎng)絡協(xié)議棧內(nèi)對所述明文的多媒體分組進行過濾;在所述明文的多媒體分組被過濾時�����,在所述明文的多媒體分組符合所述安全處理信息中包含的所述識別條件的情況下�����,對所述明文的多媒體分組進行加密處理或認證處理��,修改所述安全多媒體分組的有效載荷以符合安全協(xié)議�����;將發(fā)往所述虛擬網(wǎng)絡接口的所述安全多媒體分組轉(zhuǎn)發(fā)到原來的網(wǎng)絡接口��;以及從所述原來的網(wǎng)絡接口輸出所述安全多媒體分組。
2.加密處理裝置�����,用于增強對于通過安全協(xié)議進行了安全處理的多媒體通信的加密解 密處理或認證處理��,包括存儲單元�,存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全 處理信息����;發(fā)送單元,將明文的多媒體分組發(fā)送到虛擬網(wǎng)絡接口 ���;修改單元���,判斷所述明文的多媒體分組是否符合所述安全處理信息中包含的所述識別 條件,在符合所述識別條件時����,對所述明文的多媒體分組進行加密處理或認證處理,修改所 述安全多媒體分組的有效載荷以符合安全協(xié)議�;置換單元,將發(fā)往所述虛擬網(wǎng)絡接口的所述安全多媒體分組轉(zhuǎn)發(fā)到原來的網(wǎng)絡接口 �;以及輸出單元,從網(wǎng)絡接口輸出所述安全多媒體分組。
3.加密處理方法����,用于增強對于通過安全協(xié)議進行了安全處理的多媒體通信的加密解 密處理或認證處理,包括以下步驟在開始所述多媒體通信時�,存儲包含用于識別需要加密解密處理或認證處理的分組的 識別條件的安全處理信息;基于所述安全處理信息中包含的所述識別條件��,在網(wǎng)絡協(xié)議棧內(nèi)對所輸入的安全多媒 體分組進行過濾���;在所述安全多媒體分組被過濾時����,在所述安全多媒體分組符合所述安全處理信息中包 含的所述識別條件的情況下����,對所述安全多媒體分組進行解密處理或認證處理,將所述安 全多媒體分組的有效載荷修改為明文有效載荷�����;以及將明文的多媒體分組發(fā)送到所述輸入多媒體通信的應用層����。
4.加密處理裝置����,用于增強對于通過安全協(xié)議進行了安全處理的輸入多媒體通信的加 密解密處理或認證處理���,包括存儲單元��,存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全 處理信息����;修改單元����,判斷所輸入的安全多媒體分組是否符合所述安全處理信息中包含的所述識 別條件�,在符合所述識別條件時,對所述安全多媒體分組進行解密處理或認證處理�,并將所述安全多媒體分組的有效載荷修改為明文有效載荷;以及發(fā)送單元���,將所述明文的多媒體分組發(fā)送到所述輸入多媒體通信的應用層����。
全文摘要
公開了有效地增強安全多媒體通信的加密處理性能的加密處理裝置�����。加密處理裝置(100)包括存儲單元(162),存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息��;發(fā)送單元(112)�����,將明文的多媒體分組發(fā)送到虛擬網(wǎng)絡接口(140)�����;修改單元(160)�����,在所述多媒體分組符合所述識別條件時���,對所述多媒體分組進行加密處理或認證處理���,修改安全多媒體分組的有效載荷以符合安全協(xié)議;以及置換單元(130)���,將發(fā)往所述虛擬網(wǎng)絡接口(140)的安全多媒體分組轉(zhuǎn)發(fā)到原來的網(wǎng)絡接口(150)���。
文檔編號H04L12/22GK101946456SQ200980104900
公開日2011年1月12日 申請日期2009年1月28日 優(yōu)先權(quán)日2008年2月13日
發(fā)明者劉學燈, 千賀諭, 山田一成, 方均偉 申請人:松下電器產(chǎn)業(yè)株式會社