CN101151867B - 对乱序递送数据的保护 - Google Patents
对乱序递送数据的保护 Download PDFInfo
- Publication number
- CN101151867B CN101151867B CN2006800098499A CN200680009849A CN101151867B CN 101151867 B CN101151867 B CN 101151867B CN 2006800098499 A CN2006800098499 A CN 2006800098499A CN 200680009849 A CN200680009849 A CN 200680009849A CN 101151867 B CN101151867 B CN 101151867B
- Authority
- CN
- China
- Prior art keywords
- data
- message
- unordered
- tls
- safe handling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/165—Combined use of TCP and UDP protocols; selection criteria therefor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
Abstract
本发明的基本想法是在可靠传输协议上运行的安全协议中分离有序递送数据和无序递送数据,并在该安全协议中对有序递送数据执行第一类型的安全处理且对无序递送数据执行第二不同类型的安全处理。优选地,在安全协议层上将安全数据流内利用有序递送的数据消息和利用无序递送的数据消息分离成两个消息序列空间,然后在这两个空间中不同地执行数据安全处理。本发明尤其适于诸如SCTP(流控制传送协议)的可靠传输协议。在传输协议上运行的安全协议优选基于具有用于无序递送的安全处理扩展的TLS(传输层安全)或TLS类协议。
Description
技术领域
一般来说,本发明涉及可靠传输协议的安全方面,具体来说,涉及对乱序递送数据的保护。
背景技术
一般来说,本发明涉及支持有序数据递送和无序数据递送的可靠传输协议。流控制传送协议(SCTP)[1]是在IETF的SIGTRAN工作组中开发的此类传输协议的一个实例。它原本是设计用于载送PSTN电话信令消息的。但是,因为它具有TCP中所没有的几个有用特征,所以它现在被视为是通用传输协议和TCP的替代品。
通常,在SCTP流内,数据消息是根据它们的流序列号按序递送的。如果一个数据消息不是按序到达接收端点(即,提前),那么它必须从递送开始保留到上层,直到接收到在它之前的所有消息并将这些消息递送到上层为止。SCTP端点可以指示流内传输的特定DATA块无需有序递送。当端点接收到指示无序递送的DATA块时,它可以绕过排序机构而立即将数据递送到上层,如图1所示,图1示出SCTP无序递送。
无序递送有助于在应用正在处理大量独立事务时避免线头(HOL)阻塞。当单个数据流按序载送多个独立事务(例如,TCP连接)并且其中一个事务中的一些数据迟到时,会发生HOL阻塞;在它之后的所有其它事务从递送堵到上层,并且即使它们与数据迟到的事务无关,也必须等待直到迟到的数据到达为止。
这种应用的一个实例是SIP信令消息(如呼叫建立/终止消息、账单信息和路由排队消息)在用于多个SIP代理(agent)20-A、20-B的两个SIP代理(proxy)10-A、10-B之间的传输,如图2所示,图2示出利用SCTP作为传输协议来交换信令消息的SIP代理。这些SIP信令消息相互独立;这些信令消息的到达顺序无关紧要。但是,它们的及时到达很重要。利用SCTP的无序递送来在SIP代理之间载送SIP信令消息避免了TCP中存在的HOL阻塞;在SCTP无序递送的情况下,SIP事务的SIP消息的丢失不会不利地影响其它事务的SIP消息的及时递送。通过利用SCTP的多流特征(即,为每个SIP事务分派它自己的SCTP流)也可以避免HOL阻塞。但是,这需要更多的流资源,并且可能不可行。在[2]中,已明确指出,当利用SCTP来载送SIP信令消息时,SIP实体应当在具有无序递送的零流上发送每个SIP消息。
另一个实例是AAA(认证、授权和计帐)消息的传输。当用户向网络中的安全网关或其它实体进行认证时,实体通常不包含认证用户所需的重要信息。而是利用DIAMETER协议来从AAA服务器中检索会话认证信息,如图3所示,图3示出在DIAMETER服务器下的典型的认证用例。为了避免HOL阻塞,AAA服务器30和接入网关40之间的接口可以利用SCTP的无序递送方法,或者为每个用户50建立独立的可靠流。接口通常受到保护,并且TLS(传输层安全)协议在这里是共同选择。因为TLS无法和无序递送一起使用(如下所示),所以通常使用多流,上文提到,多流需要更多的流资源。利用该系统设置的一个实例是在[3]中定义的一般引导架构。
在[1]中已经阐明,通过在网络层中利用IP认证报头(AH)[4]或IP封装报头(ESP)[5],可以实现SCTP关联的数据安全性。但是,AH和ESP与诸如中间盒的装置不兼容。通过在传输层上利用传输层安全(TLS)协议[6]也可以实现SCTP关联的数据安全性,但这只适用于有序递送。在[7]中描述了在SCTP上为有序递送使用TLS。文献[8]描述了DTLS(数据报传输层安全)协议,它是TLS的与数据报兼容的修正,它对所有DTLS记录使用基于序列号的处理。
发明内容
本发明克服了现有技术布置的这些和其它缺点。
本发明的总目的是改善支持有序数据递送和无序数据递送的可靠传输协议的安全性。
具体来说,希望在传输层上提供解决利用无序递送特征的数据的安全性的方法,这将在稍后说明。
还希望在不浪费有价值的流资源的情况下提供所需安全性。
一个具体目的是提供一种用于为支持有序数据递送和无序数据递送的可靠传输协议提供数据安全性的方法和系统。
本发明的另一个具体目的是提供配置成基于支持有序数据递送和无序数据递送的可靠传输协议工作的接收器和发射器。
又一个目的是提供配置成结合该传输协议工作的分配器。
如随附专利权利要求定义的本发明满足这些及其它目的。
本发明的基本想法是在可靠传输协议上运行的安全协议中分离有序递送数据和无序递送数据,并在该安全协议中对有序递送数据执行第一类型的安全处理并对无序递送数据执行第二不同类型的安全处理。优选地,在安全协议层上将安全数据流内利用有序递送的数据消息和利用无序递送的数据消息分离成两个消息序列空间,然后在这两个空间中不同地执行数据安全处理。
本发明尤其适于诸如SCTP(流控制传送协议)的可靠传输协议。在传输协议上运行的安全协议优选基于具有用于无序递送的安全处理扩展的TLS(传输层安全)或TLS类协议。但是,应了解,可以进行安全协议和传输协议的其它组合。
有利的是引入专用于无序消息的特殊消息类型以便使得能够标识这些消息。在发射侧,优选从专用于无序消息的特殊序列号空间中为新消息类型的每个消息分派一个显式序列号。然后,在接收侧,无序递送消息的安全处理通常基于对无序递送消息所带的显式序列号的处理。
为了以有效方式实现对无序递送消息的回放保护,有益的是保留那些已经接收到的消息或者是那些尚未接收的消息的列表。
对于数据丢弃保护,用于终止安全协议连接的终止消息一般包括所发送的无序数据消息的末端序列号,然后可以基于终止消息中的末端序列号来检测无序记录空间中的所有发送记录的可靠接收。
本发明与诸如UDP、DCCP和PR-SCTP的现有协议高度兼容,并且完全可以在这些现有协议下工作。
本发明具有以下优点:
改善了数据安全性;
提供了在传输层上稳固且有效地解决利用无序递送特征的数据的安全性的方法;
在有效利用有价值的流资源的情况下提供数据安全性;
与现有的基本传输协议高度兼容。
当阅读以下对本发明的实施例的描述时,将明白本发明提供的其它优点。
附图说明
通过结合附图参照以下描述,将能最好地理解本发明及其其它目的和优点,附图中:
图1是示出SCTP无序递送的示意图;
图2示出利用SCTP作为传输协议来交换信令消息的SIP代理;
图3示出利用DIAMETER服务器的典型认证用例;
图4示出常规TLS数据记录的格式;
图5示出现有技术的SCTP服务的当前TLS支持;
图6是根据本发明的一个实例性优选实施例的用于改善可靠传输协议的数据安全性的方法的示意流程图;
图7示出根据本发明的一个实例性实施例的无序递送记录的独立序列空间的一个实例;
图8示出根据本发明的一个实例性实施例的(SCTP)无序递送的新记录报头的一个实例;
图9示出根据本发明具体参照TLS和SCTP的可能的实例性数据流;
图10示出根据本发明的一个实例性实施例接收器如何保留它接收到的记录的间隔列表;
图11示出根据本发明的一个实例性实施例的回放列表的一个实例,其中接收器记录它尚未看到的记录;
图12示出在有序空间中发送包含无序空间的最高序列号的关闭报警消息的一个实例;
图13是示出根据本发明的一个实例性实施例的接收器的相关部分的示意框图;
图14示意性地示出在TLS安全协议和SCTP传输协议的实例性组合的安全协议和传输协议中分离有序和无序递送。
具体实施方式
在所有图中,将使用相同的附图标记来表示对应或类似的元件。
比较有用的是从具体实例性内容中的问题分析开始。利用无序递送特征的SCTP关联可以用AH和ESP保护。但是,AH和ESP与诸如中间盒(例如,进行TCP性能优化、报头压缩、应用网关设置、防火墙设置、NAT设置等的中间盒)的装置不兼容,因为这些中间盒可能需要访问或甚至操纵传输报头。因此,本发明者意识到,需要在传输层上解决利用诸如SCTP的协议的无序递送特征的数据的安全性的方法。
TLS是在传输层上运行的一个实例性安全协议。TLS原本是设计用于保护TCP连接上的数据的。TLS将数据流分成多个片段,在每个片段上执行包括加密和认证的安全处理,并将经过处理的片段封装到数据记录中。在TLS中,通常将数据块或数据消息称为记录。常规TLS数据记录的格式如图4所示,它包括记录报头、加密数据和MAC(消息认证码)。记录报头通常包括记录类型字段、版本号和关于记录长度的信息。
TLS假定所有的数据记录按序到达并且基于该假定执行安全理。因此,即使当按序递送数据时TLS支持SCTP,TLS仍无法处理利用无序递送的数据。在文献[7]中,明确指出,SCTP的无序递送特征不得与TLS一起使用,如图5所示,图5示出SCTP服务的当前TLS支持。在图5的协议栈中可见,TLS没有用于SCTP无序递送,而只是用于SCTP有序递送。
一般来说,本发明的基本想法是在安全协议层上将用于有序递送的数据消息和用于无序递送的数据消息分离(S1)成两个消息序列空间,并在这两个空间中不同地执行(S2)数据安全处理,如图6中的流程图所示意性地示出。诸如TLS的现今的现有安全协议无法做出这种区分。本发明的想法是在传输层上设计/扩展安全协议,以便允许在安全协议层分离有序和无序递送数据并取决于递送类型来执行不同类型的安全处理。
文献[8]描述了DTLS协议,它实际上提供用于无序递送。但是,在DTLS中,所有记录包含显式序列号,并且基于序列号以相同方式对所有包进行安全处理。
本发明与DTLS的不同之处在于,根据本发明,将有序递送记录和无序递送记录分离成两个不同的记录序列空间,并对有序递送和无序递送不同地执行数据安全处理。具体来说,在本发明的情况下,只对乱序的包插入序列号,而DTLS则为每个记录插入这样的序列号。因此,本发明解决方法节省了带宽,并且可以变得与传统TLS兼容。
另一个不同之处在于,DTLS提供固定大小的回放窗,而根据本发明,利用另一种方法来追踪乱序记录,该方法考虑遗漏序列号的任意大小的间隙。
本发明一般适用于可靠传输协议和设计成在传输层上运行的安全协议。但是,本发明尤其适于SCTP(流控制传送协议)和基于具有用于SCTP有序递送的基本安全处理和用于SCTP无序递送的安全处理扩展的TLS(传输层安全)的安全协议的组合。在该情形下,通常在会话建立过程中例如通过诸如握手程序的带内程序或通过带外信令来协商使用安全处理扩展。
在发射侧,对无序递送的安全处理优选配置成从专用于无序消息的序列号空间中为每个无序数据消息分派一个显式序列号。然后,在接收侧,对无序递送消息的安全处理通常基于对无序递送消息所带的显式序列号的处理。
在下文中,将主要参照具体实例性协议SCTP和TLS描述本发明。如上所提及,本发明一般不限于此,并且应了解,可以进行安全协议和传输协议的其它组合。
根据本发明的一个优选实例性实施例,将安全流内的有序递送记录和无序递送记录分离成两个记录序列空间,如图7所示,并在这两个不同空间中独立执行数据安全。图7示出根据本发明的一个实例性实施例的无序递送记录的独立序列空间的一个实例。只有无序递送序列空间中的序列号才明确包含在对应包中。有序递送序列空间只是供安全协议内部处理,并且在有序包中通常不存在显式序列号。序列空间的分离优选是通过引入用于无序递送记录的额外记录类型来实现的。例如,TLS在记录报头中具有“类型”字段(见图4),它用于标识不同的记录类型(如握手消息、报警消息和应用数据)。根据本发明,该字段也可用于规定记录是无序记录(可以存在所有现有类型的无序版本,或者可以定义完全不同的版本)。例如,可以将对无序记录的处理实现为诸如TLS的安全协议的扩展,并且可以在(TLS)握手(这在有序递送序列空间中完成)过程中在带内协商使用该扩展,以便使它向后与传统(TLS)实施兼容。如果传统(TLS)实施面对的是未知记录类型,那么连接将终止。这意味着,如果传统(TLS)实施获得新类型的记录,那么它将不会不优美地失败。或者,可以通过带外信令(如SIP信令)来协商对无序递送记录使用安全处理扩展。
优选将用于无序递送数据记录的新记录报头定义成包括显式序列号,如图8所示,图8示出根据本发明的一个实例性实施例的用于(SCTP)无序递送的新记录报头的一个实例。对于每个无序记录,通常从专用于无序记录的序列号空间中取一个序列号。该新记录报头中也可以包含安全处理所需的其它字段(或者可以除去来自传统报头的字段,例如,如果可以从基本的传输协议推导出记录的长度,那么可以除去记录长度),而不会影响与传统TLS记录格式的互操作性。
图9中具体参照TLS和SCTP示出该解决方案的一个可能的实例性数据流。在发射侧100,当应用(S11)将数据块发送给TLS(S12)时,它必须指定递送的类型(即,是有序递送还是无序递送)。例如,应用可以设置特殊标记(0/1),例如“0”是有序递送且“1”是无序递送。在TLS实施中,优选扩展分配器。分配器识别递送类型(S13),并根据应用指定的递送类型将数据分配给传统TLS协议栈(S14)或用于SCTP无序递送的TLS扩展(S15)。对于无序递送(S15),序列号(SQN)分配器优选为每个记录分派一个显式序列号。随后,将每个记录发送给接收器(S16)。
在接收侧200,当TLS从SCTP的接收功能接收(S17)SCTP消息时,记录分配器根据记录报头的类型字段将数据记录分配(S18)给传统TLS协议栈(S19)或用于SCTP无序递送的TLS扩展(S20)。对于无序递送记录(S20),SQN提取器提取序列号,并且SQN安全处理模块执行安全处理,该SQN安全处理模块优选包括诸如回放保护、完整性保护和/或数据丢弃保护的安全功能。随后,将记录给应用(S21)。
在有序递送序列空间中,数据记录的到达顺序与它们的发送顺序相同,并且可以利用隐式序列号方案通过常用TLS连接来正确处理。
关于用于SCTP无序递送的TLS扩展,记录的到达通常较可靠。但是,无序记录的到达顺序不一定要和它们的发送顺序相同。为了对无序递送记录执行完整性保护,应当改变TLS记录的格式,使得它包括显式序列号(这与有序递送序列形成对比,在有序递送序列中,序列号单调地每个记录增加1,并且因此序列号可以在通信端点处保留为状态变量)。两种类型的记录的报头间需要的不同之处在于,无序记录明确带有序列号。
优选利用任何用于执行回放保护检查的公认程序基于序列号信息来执行回放保护。为了避免简单的拒绝服务攻击,优选还应包括对回放保护信息的完整性保护。如果在序列号上计算MAC(见图8),那么将存在通过利用普通密钥MAC验证的对该信息的完整性保护。如果攻击者修改序列号(回放保护信息),那么无法验证MAC,然后协议将采取适当措施。
因为无序序列中的序列号之间的间隙可以是任意大小,所以保留固定大小的回放窗可能不可行(参看ESP)。而是可以保留包含接收到的记录中的间隙的如链接表形式的概念列表,以实现更有效的存储器利用。然后,利用该概念列表来执行可靠的回放保护。例如,可以取决于无序和有序记录在流中的分布来做出将使用哪种回放保护实施的决定。该决定优选基于对该分布的先验了解,这可以从对应用行为的了解推导出。
图10示出根据本发明的一个实例性实施例接收器如何保留它接收到的记录的间隔列表(数字对中的第一个数字指示间隔的下限,第二个数字指示上限)。它还示出当间隔完成时可以如何合并这些间隔(参见当记录3和记录号2到达时会发生什么样的情形)。换句话说,图10示出无序递送的回放列表的一个实例,其中接收器追踪它看到的那些记录。
一个备选方法是保留接收器尚未接收的记录的列表。这如图11所示,图11示出回放列表的一个实例,其中接收器记录它尚未看到的那些记录。在图11中,INF代表概念无穷大或最高允许序列号。最高序列号可以用模数方式解释,例如,如果序列号在Oxfffe处开始并且序列号字段是16位宽,那么“最高”序列号可以是例如Oxfffd,即这些数字围绕模2^16。
对于数据丢弃保护,用于终止安全协议连接的终止消息一般包括所发送的无序数据消息的末端序列号,然后可以基于终止消息中的末端序列号来检测无序记录空间中的所有发送记录的可靠接收。应了解,序列号的集合一般是有序集合,并且末端序列号是相对于那个顺序而言的“最大”元素。
在TLS中,通常将终止消息称为关闭报警消息。为了执行“TLS”上下文中的数据丢弃的检测,由每个通信端点就在关闭“TLS”连接之前发送的关闭报警消息优选应当包含所发送的无序递送消息的“最高”序列号,如图12所示,图12示出在有序空间中发送包含无序空间的最高序列号的关闭报警消息的一个实例。各端点需要这样做,以便确保没有无序包尚未到达端点。例如,如果端点A接收到由端点B发送的包含最高无序序列号(图中为5)的关闭报警(ClosureAlert),那么它就知道,在它接收到无序序列中从1到5的所有记录之前,它都不应放弃连接。
图13是示出根据本发明的一个实例性实施例的接收器的相关部分的示意框图。在该具体实例中,接收器200基本包括消息接收器210、分配器220、用于有序递送保护的模块230、用于无序递送保护的模块240和应用模块250。消息接收器210包括诸如SCTP的传输协议的消息接收功能,并且允许数据消息或记录的可能缓冲。消息接收器将数据消息转发给分配器220,分配器220检查消息类型。分配器优选根据数据消息的报头的类型字段将数据消息分配给用于有序递送(去)保护的模块230或用于无序递送(去)保护的模块240。例如,有序递送模块230可以实现传统TLS协议栈,并且无序递送模块240可以实现用于无序递送的TLS扩展。优选地,用于无序递送(去)保护的模块240包括序列号提取器242、完整性检查器244(如MAC验证)、回放检查器246和相关回放列表存储装置248。一处理完数据消息后,便将它们转发给应用250。
总之,将传输协议的状态分离成无序和有序递送。但是,现今的当前安全协议无法进行这种区分。因此,本发明的基本想法是扩展安全协议以便允许在较高层也可以进行这种分离,如图14所举例说明。图14示意性地示出在TLS安全协议和SCTP传输协议的实例性组合的安全协议和传输协议中分离有序和无序递送。关键一点是独立处理利用有序递送的数据消息和利用无序递送的消息,而不管是利用一个还是两个输入点来接入安全协议层,这意味着至少在安全处理过程中,应当在安全协议层上分离这两种不同的消息类型或使这两种不同的消息类型在安全协议层上保持分离。还容易了解,可以进行安全协议和可靠传输协议的其它组合。
用于无序递送的诸如TLS扩展的安全协议扩展和诸如传统TLS的对应传统安全协议之间的不同之处在于,用于无序递送的安全协议扩展(例如,见图9和图14)执行用于处理无序递送所需的安全处理。例如,安全协议扩展优选配置成用于:
处理记录中所带的显式序列号;
基于该序列号执行回放保护(潜在地利用与例如传统TLS中的方案不同的方案,该方案可以在握手过程中决定)。
上文描述的实施例只是作为实例给出,并且应当了解,本发明不限于此。保留本文所公开和要求的基础根本原理的其它修改、变化和改进都在本发明的范围内。
参考文献
R.Stewart,et al.,“Stream Control Transmission Protocol”,RFC2960,IETF,October 2000.
J.Rosenberg,et.al.”The Stream Control Transmission Protocol(SCTP)as aTransport for the Session Initiation Protocol(SIP)”,Internet draft,IETF,January,2005.
3GPP TS.33.220:“Generic Authentication Architecture(GAA);Genericbootstrapping architecture(Release 6)”,September,2004.
S.Kent and R.Atkinson,“IP Authentication Header”,RFC 2402,IETF,November 1998.
S.Kent and R.Atkinson,“IP Encapsulating Security Payload(ESP)”,RFC2406,IETF,November 1998.
T.Dierks and C.Allen,″The TLS Protocol-Version 1.0″,RFC 2246,IETF,January 1999.
A.Jungmaier,et al.,“Transport Layer Security over Stream ControlTransmission Protocol,RFC 3436,IETF,December 2002.
E.Rescorla,N.Modadugu,“Datagram Transport Layer Security”,InternetDraft,June 2004.
Claims (20)
1.一种用于为支持有序数据递送和无序数据递送的可靠传输协议提供数据安全性的方法,其特征在于:
在所述可靠传输协议上运行的安全协议中分离有序递送数据和无序递送数据,其中所述安全协议是基于具有用于有序递送的传统安全处理和用于无序递送的安全处理扩展的传输层安全TLS的安全协议;以及
在所述安全协议中对有序递送数据执行传统TLS安全处理并对无序递送数据执行第二不同类型的安全处理,
其中对无序递送数据的第二不同类型的安全处理基于所述TLS中的安全处理扩展,其配置为对无序递送消息所带的显式序列号进行处理。
2.如权利要求1所述的方法,其特征在于,所述可靠传输协议是流控制传送协议SCTP。
3.如权利要求1所述的方法,其特征在于,所述可靠传输协议是流控制传送协议SCTP,并且所述安全协议基于具有用于SCTP有序递送的传统安全处理和用于SCTP无序递送的安全处理扩展的传输层安全TLS。
4.如权利要求3所述的方法,其特征在于,在会话建立过程中协商使用所述安全处理扩展。
5.如权利要求1所述的方法,其特征在于,在所述安全协议中将安全数据流内利用有序递送的数据消息和利用无序递送的数据消息分离成两个消息序列空间,并在这两个空间中不同地执行数据安全处理。
6.如权利要求5所述的方法,其特征在于,无序递送消息是通过引入专用于无序消息的特殊消息类型来标识的,所述无序消息的每一个包括从专用于无序消息的特殊序列号空间中分派的显式序列号。
7.如权利要求1或6所述的方法,其特征在于,保留那些已经接收的消息、或者是那些尚未接收的消息的概念列表,以便实现对无序递送消息的回放保护。
8.如权利要求1或6所述的方法,其特征在于,用于终止安全协议连接的终止消息包括所发送的无序数据消息的末端序列号,并且基于所述终止消息中的所述末端序列号来检测无序记录空间中的所有发送记录的可靠接收。
9.一种用于为支持有序数据递送和无序数据递送的可靠传输协议提供数据安全性的系统,其特征在于:
用于在所述可靠传输协议上的安全协议中分离有序递送数据和无序递送数据的部件,其中所述安全协议是基于具有用于有序递送的传统安全处理和用于无序递送的安全处理扩展的传输层安全TLS的安全协议;以及
用于在所述安全协议中对有序递送数据执行传统TLS安全处理并对无序递送数据执行第二不同类型的安全处理的部件,
其中对无序递送数据的第二不同类型的安全处理基于所述TLS中的安全处理扩展,其配置为对无序递送消息所带的显式序列号进行处理。
10.如权利要求9所述的系统,其特征在于,所述可靠传输协议是流控制传送协议SCTP,并且所述安全协议基于具有用于SCTP有序递送的传统安全处理和用于SCTP无序递送的安全处理扩展的传输层安全TLS。
11.一种配置成基于支持有序数据递送和无序数据递送的可靠传输协议工作的接收器,其特征在于:
用于在所述可靠传输协议上的安全协议中分离有序递送数据和无序递送数据的部件,其中所述安全协议是基于具有用于有序递送的传统安全处理和用于无序递送的安全处理扩展的传输层安全TLS的安全协议;
用于在所述安全协议中对有序递送数据执行传统TLS安全处理的部件;以及
用于在所述安全协议中对无序递送数据执行第二不同类型的安全处理的部件,其中在所述安全协议中对无序递送数据的第二不同类型的安全处理基于所述TLS中的安全处理扩展,其配置为对无序递送消息所带的显式序列号进行处理。
12.如权利要求11所述的接收器,其特征在于,所述接收器配置成基于流控制传送协议SCTP工作,并且所述接收器配置成对SCTP有序递送运行传统传输层安全TLS安全处理并对SCTP无序递送运行TLS安全处理扩展。
13.如权利要求11所述的接收器,其特征在于,所述分离部件配置成用于在所述安全协议中将安全数据流内利用有序递送的数据消息和利用无序递送的数据消息分离成两个消息序列空间。
14.如权利要求13所述的接收器,其特征在于,所述分离部件配置成用于基于对专用于无序消息的特殊消息类型的检测来标识无序递送消息,所述无序消息的每一个包括从专用于无序消息的特殊序列号空间分派的显式序列号。
15.如权利要求11所述的接收器,还包括用于保留那些已经接收的消息、或者是那些尚未接收的消息的概念列表以便实现对无序递送消息的回放保护的部件。
16.一种配置成基于支持有序数据递送和无序数据递送的可靠传输协议工作的发射器,其特征在于:
用于在所述可靠传输协议上的安全协议中分离用于有序递送的数据和用于无序递送的数据的部件,其中所述安全协议是基于具有用于有序递送的传统安全处理和用于无序递送的安全处理扩展的传输层安全TLS的安全协议;
用于在所述安全协议中对有序数据递送执行传统TLS安全处理的部件;以及
用于在所述安全协议中对无序数据递送执行第二不同类型的安全处理的部件,其中第二不同类型的安全处理基于所述TLS中的安全处理扩展,其配置为用于将显式序列号只分派给无序数据消息。
17.如权利要求16所述的发射器,其特征在于,所述发射器配置成基于流控制传送协议SCTP工作,并且所述发射器配置成对SCTP有序递送运行传统传输层安全TLS安全处理并对SCTP无序递送运行TLS安全处理扩展。
18.如权利要求16或17所述的发射器,其特征在于,用于执行第二不同类型的安全处理的所述部件配置成用于从专用于无序消息的序列号空间中为每个无序数据消息分派一个显式序列号。
19.一种配置成结合支持有序数据递送和无序数据递送的可靠传输协议工作的安全协议分配器,其特征在于用于根据指示的递送类型将数据分配给用于有序递送的传统TLS安全处理或分配给用于无序递送的第二不同类型的安全协议处理的部件,
其中用于无序递送的所述第二不同类型的安全协议处理基于所述TLS中的安全处理扩展,其配置为对无序递送消息所带的显式序列号进行处理。
20.如权利要求19所述的安全协议分配器,其特征在于,所述分配部件配置成将有序递送的数据分配给传统传输层安全TLS安全处理并将无序递送的数据分配给TLS安全处理扩展。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US66659705P | 2005-03-31 | 2005-03-31 | |
| US60/666,597 | 2005-03-31 | ||
| PCT/SE2006/000312 WO2006104438A1 (en) | 2005-03-31 | 2006-03-09 | Protection of data delivered out-of-order |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101151867A CN101151867A (zh) | 2008-03-26 |
| CN101151867B true CN101151867B (zh) | 2012-11-07 |
Family
ID=36590174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800098499A Active CN101151867B (zh) | 2005-03-31 | 2006-03-09 | 对乱序递送数据的保护 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8352727B2 (zh) |
| EP (1) | EP1867129B1 (zh) |
| JP (1) | JP4903780B2 (zh) |
| CN (1) | CN101151867B (zh) |
| BR (1) | BRPI0608941B1 (zh) |
| CA (1) | CA2597419C (zh) |
| WO (1) | WO2006104438A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1867129B1 (en) | 2005-03-31 | 2016-06-22 | Telefonaktiebolaget LM Ericsson (publ) | Protection of data delivered out-of-order |
| US8488455B2 (en) * | 2010-06-21 | 2013-07-16 | Nokia Corporation | Method and apparatus for fair scheduling of broadcast services |
| JP5518262B2 (ja) * | 2010-08-06 | 2014-06-11 | エンパイア テクノロジー ディベロップメント エルエルシー | 通信ネットワークの監視 |
| US8892695B2 (en) * | 2011-09-26 | 2014-11-18 | Samsung Electronics Co., Ltd. | Remote input devices |
| US9237169B2 (en) * | 2012-06-01 | 2016-01-12 | Apple Inc. | Network stream identification for open FaceTime |
| US20180376516A1 (en) * | 2017-06-21 | 2018-12-27 | Aruba Networks, Inc. | Establishing a Datagram Transport Layer Security Connection between Nodes in a Cluster |
| US11593281B2 (en) * | 2019-05-08 | 2023-02-28 | Hewlett Packard Enterprise Development Lp | Device supporting ordered and unordered transaction classes |
| CN113874848A (zh) | 2019-05-23 | 2021-12-31 | 慧与发展有限责任合伙企业 | 用于促进网络接口控制器(nic)中对加速器的操作管理的系统和方法 |
| US11722561B2 (en) * | 2020-12-22 | 2023-08-08 | Telefonaktiebolaget Lm Ericsson (Publ) | DTLS/SCTP enhancements for RAN signaling purposes |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7360075B2 (en) * | 2001-02-12 | 2008-04-15 | Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| JP2003179640A (ja) | 2001-12-10 | 2003-06-27 | Nec Corp | ブロードキャスト通信における欠損パケットの補完方式および方法 |
| JP2004080070A (ja) | 2002-08-09 | 2004-03-11 | Nippon Telegr & Teleph Corp <Ntt> | データ転送方法及びデータ転送システム並びにコンテンツ配信システム |
| US7843968B2 (en) * | 2002-09-30 | 2010-11-30 | Sanyo Electric Co., Ltd. | Communication apparatus and applications thereof |
| JP3557202B2 (ja) | 2002-09-30 | 2004-08-25 | 三洋電機株式会社 | 通信装置、通信方法、およびその方法を利用可能な電話装置、ビデオ電話装置、撮像装置 |
| EP1867129B1 (en) | 2005-03-31 | 2016-06-22 | Telefonaktiebolaget LM Ericsson (publ) | Protection of data delivered out-of-order |
-
2006
- 2006-03-09 EP EP06716997.9A patent/EP1867129B1/en active Active
- 2006-03-09 BR BRPI0608941-0A patent/BRPI0608941B1/pt not_active IP Right Cessation
- 2006-03-09 CN CN2006800098499A patent/CN101151867B/zh active Active
- 2006-03-09 WO PCT/SE2006/000312 patent/WO2006104438A1/en active Application Filing
- 2006-03-09 JP JP2008503989A patent/JP4903780B2/ja active Active
- 2006-03-09 US US11/883,052 patent/US8352727B2/en active Active
- 2006-03-09 CA CA2597419A patent/CA2597419C/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US20080307528A1 (en) | 2008-12-11 |
| EP1867129B1 (en) | 2016-06-22 |
| CN101151867A (zh) | 2008-03-26 |
| EP1867129A1 (en) | 2007-12-19 |
| BRPI0608941A2 (pt) | 2010-11-16 |
| BRPI0608941B1 (pt) | 2019-08-20 |
| WO2006104438A1 (en) | 2006-10-05 |
| CA2597419C (en) | 2013-07-02 |
| US8352727B2 (en) | 2013-01-08 |
| JP2008535080A (ja) | 2008-08-28 |
| CA2597419A1 (en) | 2006-10-05 |
| JP4903780B2 (ja) | 2012-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101151867B (zh) | 对乱序递送数据的保护 | |
| US7017042B1 (en) | Method and circuit to accelerate IPSec processing | |
| EP2850776B1 (en) | Tls abbreviated session identifier protocol | |
| US20060235939A1 (en) | Apparatus and methods for tunneling a media streaming application through a firewall | |
| US20100268935A1 (en) | Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway | |
| CA2587500A1 (en) | System and method for providing client identifying information to a server | |
| JP2003520461A (ja) | データ送信の適正化方法 | |
| EP1744515B1 (en) | Method, cluster system and computer-readable medium for distributing data packets | |
| WO2017148419A1 (zh) | 数据传输方法及服务器 | |
| US20080186969A1 (en) | Internet Protocol Based Encryptor/Decryptor Two Stage Bypass Device | |
| CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
| US20220272079A1 (en) | Method for managing communication between terminals in a communication network, and devices and system for implementing the method | |
| US20050141531A1 (en) | Communication relay method and relay device | |
| US7738459B2 (en) | Method, system and apparatus for reliably transmitting packets of an unreliable protocol | |
| US20230262004A1 (en) | Method for discriminating a message between a terminal and a data server | |
| EP3994862B1 (en) | Packet acknowledgement techniques for improved network traffic management | |
| EP3529966B1 (en) | Methods for header extension preservation, security, authentication, and protocol translation for rtp over mprtp | |
| CN110572708A (zh) | 一种高性能接收rtp复用流的方法 | |
| US20230247009A1 (en) | Method for capturing a packet from an encrypted session | |
| CA2592713A1 (en) | Method and system for monitoring encrypted data transmissions | |
| Thornburgh | RFC 7016: Adobe's Secure Real-Time Media Flow Protocol | |
| Ganiga et al. | A Detailed Study of Transport Layer SCT Protocol and its Security Solutions | |
| JP2005348321A (ja) | パケット通信装置および方法ならびにプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |