CN101166180B - 利用多媒体会话信息的网络安全处理方法及其系统 - Google Patents
利用多媒体会话信息的网络安全处理方法及其系统 Download PDFInfo
- Publication number
- CN101166180B CN101166180B CN2006101355124A CN200610135512A CN101166180B CN 101166180 B CN101166180 B CN 101166180B CN 2006101355124 A CN2006101355124 A CN 2006101355124A CN 200610135512 A CN200610135512 A CN 200610135512A CN 101166180 B CN101166180 B CN 101166180B
- Authority
- CN
- China
- Prior art keywords
- multimedia session
- software
- cryptographic module
- hardware cryptographic
- session information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000003672 processing method Methods 0.000 title claims description 24
- 230000011664 signaling Effects 0.000 claims abstract description 12
- 238000012545 processing Methods 0.000 claims description 71
- 239000010931 gold Substances 0.000 claims description 28
- 229910052737 gold Inorganic materials 0.000 claims description 28
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims description 27
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 9
- 230000004913 activation Effects 0.000 claims description 3
- 230000001143 conditioned effect Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 8
- 230000008569 process Effects 0.000 abstract description 4
- 230000005540 biological transmission Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 5
- 230000008676 import Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 150000002343 gold Chemical class 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1083—In-session procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法及系统,该方法包含下列步骤:首先,信令处理多媒体会话的多个数据包并获得内含于该多媒体会话中的多媒体会话信息。接着,将该多媒体会话进行网络金钥认证协商。然后,根据该多媒体会话信息,决定致能硬件密码模块或软件密码模块,如果该硬件密码模块被致能,则由该硬件密码模块对该多媒体会话之数据包执行网络安全处理,如果该软件密码模块被致能,则由该软件密码模块对该多媒体会话的数据包执行该网络安全处理。
Description
技术领域
本发明涉及一种网络安全处理方法及其系统,特别是指一种利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法及其系统。
背景技术
在网络消费者电子装置上使用高效能的网际网络安全协议(IPsecurity,IPsec)传送加密图像、视频及音乐媒体串流是有其强烈需求的。目前,一般现有的做法是利用加解密的加速器或硬件执行网际网络安全协议时的卸载(Offload)。
然而,根据2003年出版的Usenix年度技术会议(Usenix AnnualTechnical Conference)上发表的题为“The Design of the OpenBSDCryptographic Framework”的论文中,指出使用加解密的加速器或硬件所产生的问题。该问题是,与没有使用硬件的密码加速器相比,小数据包(Small Packet)传输花费较长的密码处理时间。其原因在于操作系统核心(OS Kernel)及数据总线(Data Bus)和密码处理硬件的额外开销(Overhead)。更具体地讲,小数据包和一般大小的数据包相同,都有过度负载,但是对小数据包而言,整体系统在单位时间内必须处理更多的额外开销。因此,需要付出较高的代价来处理小数据包传输,即使利用密码处理硬件,亦无法有效地缩短密码加解密的处理时间。
标题为加密设备和加密/解密处理方法(Encryption Device andEncryption/Decryption Processing Method)的日本专利公开JP2003069555描述了一种方法与装置用以解决上述问题的方案。在方案中,检验每个数据包的长度来决定是由硬件密码模块还是由软件密码模块来进行密码处理。如果是小数据包则由软件密码模块进行密码处理,如果是大数据包则由硬件密码模块进行密码处理。
然而,上述选择使用软件或硬件密码模块的处理电路必须需要对每个数据包进行检查,因此对于需要注重传输速率的影音串流而言效率非常低。另外,该处理电路也没有考虑在中央处理器或系统负载高时,无条件地将小数据包交由软件密码模块处理,将导致整体系统效能的低落。因此有必要寻求解决的道。
发明内容
因此,本发明的目的是提供一种利用多媒体会话信息用以选择软件或硬件密码模块的网络安全处理方法。
于是,本发明利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法包含下列步骤。首先,信令处理多媒体会话的多个数据包并获得内含在该多媒体会话中的多媒体会话信息。接着,将该多媒体会话进行网络金钥认证协商。然后,根据该多媒体会话信息,决定致能硬件密码模块或软件密码模块,如果该硬件密码模块被致能,则由该硬件密码模块对该多媒体会话的数据包执行网络安全处理,如果该软件密码模块被致能,则由该软件密码模块对该多媒体会话的数据包执行该网络安全处理。
此外,本发明的另一个目的是提供一种利用多媒体会话信息来选择软件或硬件密码模块的系统。
于是,本发明利用多媒体会话信息来选择软件或硬件密码模块的系统包括:信息解析单元、网络安全处理单元,及软硬件决定单元。
该信息解析单元用于信令处理多媒体会话,以获得其中的多媒体会话信息。该网络安全处理单元用于执行网络安全处理,该网络安全处理单元包括对该多媒体会话进行网络金钥认证协商的网络金钥认证子单元,及具有硬件密码模块与软件密码模块的密码处理子单元。该软硬件决定单元用于根据该多媒体会话信息来决定执行该网络安全处理的硬件密码模块或软件密码模块,该软硬件决定单元包括可选择使用该硬件密码模块或该软件密码模块的密码模块决定子单元,及与该密码模块决定子单元联机的密码模块决定数据库。
本发明的功效在于可适当地选择软件密码模块或硬件密码模块来执行网际网络安全处理,在应用于密码影音传输时具有最高的执行效率。
附图说明
图1是说明本发明利用多媒体东信期信息来选择软件或硬件密码模块的网络安全处理方法及其系统的第一优选实施例的系统方框图;
图2是说明该第一优选实施例的网络安全处理单元及软硬件决定单元的功能方框图;
图3是说明该第一优选实施例的安全关联数据库的内容的数据库示意图;
图4是说明该第一优选实施例的密码模块决定数据库的内容的数据库示意图;
图5是说明该第一优选实施例的产生安全关联的流程的流程图;
图6是说明在该第一优选实施例中,将多个网际网络数据包转换为多个网际网络安全协议数据包的流程图;
图7是说明在该第一优选实施例中,将该网际网络安全协议数据包转换为网际网络数据包的流程图;
图8是说明该第一优选实施例中,用于多个手机及网络媒体服务器间的加密传输的应用示意图;
图9是说明在该第一优选实施例中,第一手机与第二手机之间建立网际网络安全协议信道的网络通信示意图;
图10是说明在该第一优选实施例中,该第一手机与该网络媒体服务器之间建立网际网络安全协议信道的网络通信示意图;
图11是说明在该第一优选实施例中,处于高系统负载情况下的第一手机与该第二手机之间建立网际网络安全协议信道的网络通信示意图;
图12是说明本发明的第二优选实施例的系统方框图;
图13是说明该第二优选实施例的会话状态数据库的内容的数据库示意图;及
图14是说明该第二优选实施例的第一手机与第二手机之间建立保全插座层信道的网络通信示意图。
具体实施方式
有关本发明的前述及其它技术内容、特点与功效,在以下配合参考图式的两个优选实施例的详细说明中,将可清楚的呈现。
在详细描述本发明之前,应该需要指出的是,在以下的说明内容中,类似的组件是以相同的编号来表示。
参阅图1、2,本发明利用多媒体会话信息来选择软件或硬件密码模块的系统的第一优选实施例,采用网际网络安全协议(IP Security,IPsec)作为保护网际网络(Internet)信启安全通信的标准,并可以设计需要以加密方式传送多媒体内容的多媒体设备。该系统包含信息解析单元11、网络安全处理单元12、软硬件决定单元13、系统统计单元14、软硬件密码设定单元15、传输接口16、网际网络堆栈单元17及网络接口18。
该信息解析单元11用以信令(Signaling)处理在网际网络中传送的多媒体会话(Multimedia Session),以获得其中之一具有媒体类型(MediaType)及编码类型(Codec Type)的多媒体会话信息。其中,该媒体类型是指该多媒体内容的格式,如音频、视频或声音。而该编码类型则是该多媒体内容的媒体编码配列(Media Encoding Schema),如G.723、G.729及G.711是网络电话(Voice over IP,VoIP)所使用的编码类型。此外,在本第一优选实施例中,该信息解析单元11为对话启始协议(SessionInitial Protocol,SIP)处理单元或实时串流协议(Real Time StreamingProtocol)处理单元。
该网络安全处理单元12用于执行网络安全处理。该网络安全处理单元12包括对该多媒体会话进行网络金钥认证协商的网络金钥认证子单元121,及具有硬件密码模块1221与软件密码模块1222的密码处理子单元122、安全关联处理子单元125、与该安全关联处理子单元125连接的安全关联数据库126、与该网际网络堆栈单元17及网络接口18连接的输入子单元128、与该网际网络堆栈单元17及网络接口18连接的输出子单元129、与该输入子单元128连接的输出转换子单元123、与该输入子单元128连接的输入转换子单元124,及金钥搜寻子单元120。其中,该网络安全处理单元12的密码处理子单元122使用该网际网络安全协议来执行该网络安全处理。另外,该网络安全处理单元12的网络金钥认证子单元121使用网际网络金钥交换(Internet Key Exchange)以产生安全关联(Security Association),当该安全关联产生于通信中的其中一方,另一方即通过该金钥搜寻子单元120搜寻对应的安全关联,作为加密解密的依据。参阅图3,该安全处理单元12的安全关联数据库126具有多个金钥列127,每一个金钥列具有多个信息栏1271。
参阅图1、2,该软硬件决定单元13用以根据该多媒体会话信息来决定执行该网络安全处理的硬件密码模块1221或软件密码模块1222。该软硬件决定单元13包括可选择使用该硬件密码模块1221或该软件密码模块1222的密码模块决定子单元131,及与该密码模块决定子单元131联机的密码模块决定数据库132。其中,该密码模块决定数据库132的资料内容如图4所示。如果该软硬件决定单元13决定为该硬件密码模块1221时,由该安全关联处理子单元125记录该安全关联及对应于该硬件密码模块1221的旗标及识别信息在该安全关联数据库126的每一个金钥列127的该信息栏1271。其中如果该软硬件决定单元13决定为该软件密码模块1222时,由该安全关联处理子单元125记录该安全关联及对应于该软件密码模块1222的旗标及函数指针在该安全关联数据库126的每一个金钥列127该信息栏1271。
该系统统计单元14用于纪录系统统计值。该系统统计值为中央处理器使用率或系统负载值。当该系统统计值高于门限值时,由该软硬件决定单元13选择该硬件密码模块1221针对该多媒体会话执行该网络安全处理,其目的是为了减轻中央处理器在已经过高的负载下,还要额外执行加解密的动作。
该软硬件密码设定单元15用以连接该软硬件决定单元13的密码模块决定数据库132,并将多个选择使用该硬件密码模块1221或该软件密码模块1222的预设条件输入该密码模块决定数据库132,以产生如图4所示,该多个编码类型对应地使用该硬件密码模块1221或该软件密码模块1222的数据库内容。
该传输接口16设于网际网络的网络层(Network Layer)及应用层(Application Layer)间,该传输接口16分别连接该网络安全处理单元12的安全关联处理子单元125及该软硬件决定单元13的密码模块决定数据库132。其目的是用以沟通该网络层及应用层间的信息。
本发明利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法的第一优选实施例,采用网际网络安全协议(IP Security,IPsec)作为保护网际网络(Internet)信息安全通信的标准,包含下列步骤:
参阅图1、2、5,首先,如步骤S01所示,信令处理该多媒体会话的多个数据包并获得该内含于该多媒体会话中的多媒体会话信息,该多媒体会话信息具有该媒体类型及该编码类型。
接着,如步骤S02所示,将该多媒体会话进行该网络金钥认证协商。在本第一优选实施例中,该网络金钥认证协商是使用该网际网络金钥交换。该网络金钥认证协商将产生该对应于该多媒体会话的安全关联。
然后,如步骤S03所示,安全关联产生,并由该传输接口16将该安全关联输入该网络安全处理单元12中。
接着,如步骤S04所示,根据该媒体类型或编码类型,由软硬件决定单元13的密码模块决定子单元131在该密码模块决定数据库132寻找应该对应执行的是硬件密码模块1221还是软件密码模块1222。
然后,如步骤S05所示,根据利用该多媒体会话信息的媒体类型及编码类型搜寻该软硬件密码决定数据库132后,决定是否致能该硬件密码模块1221。如果该硬件密码模块1221被致能,则如步骤S06及S07所示,应于该硬件密码模块1221的该旗标及该识别信息与该安全关联建立连结关系,并如图3所示的该网络安全处理单元12的安全关联数据库126的数据库内容,分别在该安全关联数据库126的金钥列127的信息栏1271中顺序存放该安全关联、该旗标及该识别信息。如此,即完成要传输该多媒体会话时该安全关联的产生,并指定由该硬件密码模块1221加解密。
如步骤S05所示,如果该软件密码模块1222被致能,必须先如步骤S08所示,先验证是否该系统统计值高于该预设的门限值,如果是,则该多媒体会话的数据包由该硬件密码模块1221执行该网络安全处理,以减轻运算负担。如果否,则如步骤S09及S10所示,对应于该软件密码模块1222的该旗标及该函数指针与该安全关联建立连结关系,并如图3所示的该网络安全处理单元12的安全关联数据库126的数据库内容,分别于该安全关联数据库126的金钥列127的信息栏1271中顺序存放该安全关联、该旗标及该函数指针。如此,即完成要传输该多媒体会话时该安全关联的产生,并指定由该软件密码模块1222加解密。
参阅图6,当有属于网际网络数据包输出且需加密成网际网络安全协议的数据包时,采用本发明的第一优选实施例的装置会采取以下步骤:
首先,如步骤S11所示,多个网际网络数据包要求进行输出处理。接着,如步骤S12所示,在该网络安全处理单元12的安全关联数据库126内搜寻安全关联。然后,如步骤S13所示,执行对应于该安全关联的该识别信息(当使用硬件密码模块1221时)或函数指针(当使用软件密码模块1222时)进行加密的动作。最后,如S14所示,网际网络数据包变成网际网络安全协议数据包。
参阅图7,当有属于网际网络安全协议的数据包输入且需解密成网际网络数据包时,采用本发明的第一优选实施例的装置会采取以下步骤:
首先,如步骤S21所示,多个网际网络安全协议的数据包要求进行输入处理。接着,如步骤S22所示,在该网络安全处理单元12的安全关联数据库126内搜寻安全关联。然后,如步骤S23所示,执行对应于该安全关联的该识别信息或函数指针进行解密的动作。最后如步骤S24所示,网际网络安全协议数据包变成网际网络数据包。
参阅图8,在日常生活的应用上,以加密方式传输多媒体内容,可以保证传输过程中的安全性。另外,采用本发明所揭示的方法,可以实时地传输影音内容。在本发明的第一优选实施例的通信应用示范中,第一手机3可以与网络媒体服务器4进行视频串流传输,该第一手机3并可以与第二手机5进行音频串流传输。
参阅图2、8、9,该第一手机3和该第二手机5进行该音频串流传输时,首先,如步骤401所示,信令处理该音频串流。接着,如步骤402所示,该第一手机3获得该音频串流的编码类型,在本第一优选实施例的应用示范中为G.711。接着,如步骤403所示,使用网际网络金钥交换用以产生安全关联来保护该音频串流。接着,如步骤404所示,利用该传输接口16将安全关联与G.711等信息一起传入该网络安全处理单元12中。接着,如步骤405所示,根据G.711的资料,在该软硬件决定单元13的密码模块决定数据库132中寻找应对应使用硬件译码模块123或软件译码模块124。接着,如步骤406所示,该软硬件决定单元13查询到编码类型G.711应使用软件密码模块1222。接着,如步骤407所示,将安全关联及对应于该软件密码模块1222的该旗标及该函数指针插入该网络安全处理单元12的安全关联数据库126中。最后,如步骤408所示,将安全关联储存于该安全关联数据库126中。经过上述步骤即可建立可以保护音频串流传输并由软件密码模块执行的网际网络安全协议信道。
参阅图2、8、10,该第一手机3和该网络媒体服务器4进行该视频串流传输时,首先,如步骤501所示,信令处理该视频串流。接着,如步骤502所示,该第一手机3获得该视频串流的编码类型,在本第一优选实施例的应用示范中为H.264。接着,如步骤503所示,使用网际网络金钥交换用以产生安全关联来保护该视频串流。接着,如步骤504所示,利用该传输接口16将安全关联与H.264等信息一起传入该网络安全处理单元12中。接着,如步骤505所示,根据H.264的资料,在该软硬件决定单元13的密码模块决定数据库132中寻找应对应使用硬件译码模块1221或软件译码模块1222。接着,如步骤506所示,该软硬件决定单元13决定为使用硬件密码模块1221。接着,如步骤507所示,将安全关联及对应于该硬件密码模块1221的该旗标及该识别信息插入该安全关联数据库126中。最后,如步骤508所示,将该安全关联储存于该安全关联数据库126中。经过上述步骤即可建立可以保护视频串流传输并由硬件密码模块执行的网际网络安全协议信道。
参阅图2、8、11,该第一手机3和该第二手机5进行该音频串流传输时,首先,如步骤601所示,信令处理该音频串流。接着,如步骤602所示,该第一手机3获得该音频串流的编码类型,在本第一优选实施例的应用示范中为G.711。接着,如步骤603所示,使用网际网络金钥交换用以产生该安全关联来保护该音频串流。接着,如步骤604所示,利用该传输接口将该安全关联与G.711等信息一起传入该网络安全处理单元12中。接着,如步骤605所示,根据G.711的资料,在该软硬件决定单元13的密码模块决定数据库132中寻找应对应使用硬件译码模块1221或软件译码模块1222。接着,如步骤606所示,由于此时该第一手机3的系统统计值高于该预设的门限值,所以该软硬件决定单元13的密码模块决定子单元131决定使用该硬件密码模块1221。接着,如步骤607所示,将该安全关联及对应于该硬件密码模块1221的该旗标及该识别信息插入该安全关联数据库126中。最后,如步骤608所示,将该安全关联储存进入该安全关联数据库126中。经过上述步骤即可建立可以保护音频串流传输并由硬件密码模块执行的网际网络安全协议信道。
参阅图12,本发明利用多媒体会话信息来选择软件或硬件密码模块的系统的第二优选实施例,是适用于采用保全插座层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)或数据报传输层安全(Datagram Transport Layer Security,DTLS)作为加解密的机制,本第二优选实施例的系统和第一优选实施例的大致相同,包含:信息解析单元11、网络安全处理单元12、软硬件决定单元13、系统统计单元14、软硬件密码设定单元15、传输接口16及网络接口18,其中本第二优选实施例的运作机制与第一优选实施例的运作机制不同,因此无如图1所示网际网络堆栈单元17。
另外和第一优选实施例不同的是,该网络安全处理单元12用以执行一网络安全处理。该网络安全处理单元12包括对该多媒体会话进行网络金钥认证协商的网络金钥认证子单元121,及具有硬件密码模块1221与软件密码模块1222的密码处理子单元122、会话状态处理子单元225,及与该会话状态处理子单元225连接的会话状态数据库226。该会话状态数据库226也可以实施为只纪录一笔数据的会话状态数据项。其中,该网络安全处理单元12的密码处理子单元122使用该保全插座层来执行该网络安全处理。另外,该网络安全处理单元12的网络金钥认证子单元121为保全插座层握手(SSL Handshake)以产生会话状态(Session Statement),该会话状态同时产生于通信中的两方,做为加密解密的依据。参阅图13,该会话状态数据库226具有多个金钥列127,每一金钥列具有多个数据域2271。
由于采用保全插座层,使得网络安全处理单元12与第一优选实施例略有不同,因此该软硬件决定单元13也有部分的改变。该软硬件决定单元13用以根据该多媒体会话信息来决定执行该网络安全处理的硬件密码模块1221或软件密码模块1222。该软硬件决定单元13包括可选择使用该硬件密码模块1221或该软件密码模块1222的密码模块决定子单元131,及与该密码模块决定子单元131联机的密码模块决定数据库132。其中如果该软硬件决定单元13决定为该硬件密码模块1221时,由该会话状态处理子单元225记录该会话状态及对应于该硬件密码模块1221的旗标及识别信息于该会话状态数据库226的每一个金钥列127的该数据域2271。其中如果该软硬件决定单元13决定为该软件密码模块1222时,由该会话状态处理子单元225记录该会话状态及对应于该软件密码模块1222的旗标及函数指针于该会话状态数据库226的每一个金钥列127的该数据域2271。
参阅图8、14,其中图14显示在第二优选实施例中,该第一手机3和该第二手机5进行该音频串流传输时,采用保全插座层进行保护的情况。首先,如步骤701所示,信令处理该音频串流。接着,如步骤702所示,该第一手机3获得该音频串流的编码类型,在本第二优选实施例中为G.711。接着,如步骤703所示,使用该保全插座层握手用以产生该会话状态来保护该音频串流。接着,如步骤704所示,利用该传输接口16将该会话状态与G.711等信息一起传入该网络安全处理单元12。接着,如步骤705所示,根据G.711的资料,进入该软硬件决定单元13的密码模块决定数据库132寻找应对应使用硬件译码模块1221或软件译码模块1222。接着,如步骤706所示,该软硬件决定单元13的密码模块决定子单元131决定为使用软件密码模块1222。最后,如步骤707所示,将该会话状态及对应于该软件密码模块1222的该旗标及该函数指针更新至该会话状态数据库中。经过上述步骤即可建立可以保护音频串流传输并由软件密码模块执行的保全插座层信道。此外,该第一手机3与该网络媒体服务器4的视频串流保护也可依上述说明类推。
综上所述,利用本发明以多媒体会话信息来选择使用软件或硬件来进行加解密的动作,可以有效地应用于需要实时传送加密影音串流的环境,确实达到提高效率的功效。
以上所说明的仅是本发明的优选实施例,而不能以此限定本发明实施的范围,本领域技术人员在不脱离所附权利要求所限定的精神和范围的情况下对本发明内容所作的简单的等效变化与修饰,皆属于本发明涵盖的范围。
Claims (30)
1.一种利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,包含下列步骤:
(a)信令处理多媒体会话的多个数据包并获得内含于该多媒体会话中的多媒体会话信息;
(b)将该多媒体会话进行网络金钥认证协商,所述网络金钥认证协商产生对应于所述多媒体会话的安全关联;及
(c)根据该多媒体会话信息的媒体类型或编码类型,决定致能硬件密码模块或软件密码模块,如果该硬件密码模块被致能,则将对应于所述硬件密码模块的旗标及识别信息与所述安全关联建立连结关系,由该硬件密码模块对该多媒体会话的数据包执行网络安全处理,如果该软件密码模块被致能,则将对应于所述软件密码模块的旗标及函数指针与所述安全关联建立连结关系,由该软件密码模块对该多媒体会话的数据包执行该网络安全处理。
2.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中在所述(a)步骤中,所述多媒体会话信息具有媒体类型。
3.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中在所述(a)步骤中,所述多媒体会话信息具有编码类型。
4.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述(c)步骤包括子步骤,如果系统统计值高于门限值,则所述多媒体会话的数据包由该硬件密码模块执行该网络安全处理。
5.根据权利要求4所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述系统统计值为中央处理器使用率。
6.根据权利要求4所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述系统统计值为系统负载值。
7.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述网络安全处理为网际网络安全协议。
8.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述网络金钥认证协商为网际网络金钥交换。
9.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中在所述(b)步骤中,所述网络金钥认证协商产生对应于所述多媒体会话的会话状态。
10.根据权利要求9所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述(c)步骤包括子步骤,将对应于所述硬件密码模块的旗标及识别信息与该会话状态建立连结关系。
11.根据权利要求9所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述(c)步骤包括子步骤,将对应于所述软件密码模块旗标及函数指针与该会话状态建立连结关系。
12.根据权利要求9所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述网络安全处理为安全套接层SSL层。
13.根据权利要求9所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述网络金钥认证协商为安全套接层SSL层握手。
14.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述多媒体会话信息能够通过对话启始协议获得。
15.根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法,其中所述多媒体会话信息能够通过实时串流协议获得。
16.一种利用多媒体会话信息来选择软件或硬件密码模块的系统,包括:
信息解析单元,用于信令处理多媒体会话,以获得其中的多媒体会话信息;
网络安全处理单元,用于执行网络安全处理,所述网络安全处理单元包括对所述多媒体会话进行网络金钥认证协商的网络金钥认证子单元,及具有硬件密码模块与软件密码模块的密码处理子单元,所述网络金钥认证子单元使用网际网络金钥交换以产生安全关联,所述网络安全处理单元还包括安全关联处理子单元及与所述安全关联处理子单元连接的安全关联数据库,其中所述安全关联数据库具有多个金钥列,每一个金钥列具有多个信息栏;及
软硬件决定单元,用以根据所述多媒体会话信息的媒体类型或编码类型来决定执行所述网络安全处理的硬件密码模块或软件密码模块,所述软硬件决定单元包括能够选择使用所述硬件密码模块或所述软件密码模块的密码模块决定子单元,及与所述密码模块决定子单元联机的密码模块决定数据库,
其中如果所述软硬件决定单元决定为所述硬件密码模块时,由所述安全关联处理子单元记录所述安全关联及对应于所述硬件密码模块的旗标及识别信息于所述安全关联数据库的每一个金钥列的所述信息栏,如果所述软硬件决定单元决定为所述软件密码模块时,由所述安全关联处理子单元记录该安全关联及对应于所述软件密码模块的旗标及函数指针于所述安全关联数据库的每一个金钥列的所述信息栏。
17.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述多媒体会话信息具有媒体类型。
18.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述多媒体会话信息具有编码类型。
19.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,还包括系统统计单元,用于纪录系统统计值,并在所述系统统计值高于门限值时,由所述软硬件决定单元选择所述硬件密码模块针对所述多媒体会话执行所述网络安全处理。
20.根据权利要求19所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述系统统计值为中央处理器使用率。
21.根据权利要求19所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述系统统计值为系统负载值。
22.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,还包括软硬件密码设定单元,用于连接所述软硬件决定单元的密码模块决定数据库,并将多个选择使用所述硬件密码模块或所述软件密码模块的预设条件输入所述密码模块决定数据库。
23.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述网络安全处理单元的密码处理子单元使用网际网络安全协议来执行该网络安全处理。
24.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述网络安全处理单元的网络金钥认证子单元使用安全套接层SSL层握手来产生会话状态。
25.根据权利要求24所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述网络安全处理单元还包括会话状态处理子单元及与所述会话状态处理子单元连接的会话状态数据库,其中所述会话状态数据库具有多个金钥列,每一个金钥列具有多个数据域。
26.根据权利要求25所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中如果所述软硬件决定单元决定为所述硬件密码模块时,由所述会话状态处理子单元记录所述会话状态及对应于所述硬件密码模块的旗标及识别信息于所述会话状态数据库的每一个金钥列的所述数据域。
27.根据权利要求25所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中如果所述软硬件决定单元决定为所述软件密码模块时,由所述会话状态处理子单元记录所述会话状态及对应于所述软件密码模块的旗标及函数指针于所述会话状态数据库的每一个金钥列的所述数据域。
28.根据权利要求24所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述网络安全处理单元的密码处理子单元使用安全套接层SSL层来执行所述网络安全处理。
29.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述信息解析单元为对话启始协议处理单元。
30.根据权利要求16所述的利用多媒体会话信息来选择软件或硬件密码模块的系统,其中所述信息解析单元为实时串流协议处理单元。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101355124A CN101166180B (zh) | 2006-10-16 | 2006-10-16 | 利用多媒体会话信息的网络安全处理方法及其系统 |
| PCT/JP2007/070500 WO2008050697A1 (en) | 2006-10-16 | 2007-10-15 | Network security processing method and system for selecting one of software and hardware cryptographic modules by means of multimedia session information |
| JP2009504931A JP2010507266A (ja) | 2006-10-16 | 2007-10-15 | マルチメディアセッション情報によってソフトウェアおよびハードウェア暗号モジュールのうちの一方を選択するためのネットワークセキュリティ処理方法およびシステム |
| US12/375,772 US8266422B2 (en) | 2006-10-16 | 2007-10-15 | Network security processing method and system for selecting one of software and hardware cryptographic modules by means of multimedia session information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101355124A CN101166180B (zh) | 2006-10-16 | 2006-10-16 | 利用多媒体会话信息的网络安全处理方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101166180A CN101166180A (zh) | 2008-04-23 |
| CN101166180B true CN101166180B (zh) | 2012-07-04 |
Family
ID=38984442
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101355124A Expired - Fee Related CN101166180B (zh) | 2006-10-16 | 2006-10-16 | 利用多媒体会话信息的网络安全处理方法及其系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8266422B2 (zh) |
| JP (1) | JP2010507266A (zh) |
| CN (1) | CN101166180B (zh) |
| WO (1) | WO2008050697A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5100286B2 (ja) * | 2007-09-28 | 2012-12-19 | 東芝ソリューション株式会社 | 暗号モジュール選定装置およびプログラム |
| US10057641B2 (en) * | 2009-03-25 | 2018-08-21 | Sony Corporation | Method to upgrade content encryption |
| CN101854372B (zh) * | 2009-04-03 | 2014-07-30 | 华为技术有限公司 | 一种点击拨号中控制会话媒体类型的方法和装置 |
| CN102769846A (zh) * | 2011-05-04 | 2012-11-07 | 中国银联股份有限公司 | 一种用户终端及支付系统 |
| KR101417927B1 (ko) * | 2011-12-29 | 2014-07-11 | 주식회사 시큐아이 | IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치 |
| TWI662825B (zh) * | 2016-12-12 | 2019-06-11 | 中華電信股份有限公司 | 硬體密碼模組之授權式金鑰備援與回復方法 |
| US10582009B2 (en) * | 2017-03-24 | 2020-03-03 | Motorola Solutions, Inc. | Method and apparatus for a cloud-based broadband push-to-talk configuration portal |
| US11294727B2 (en) * | 2019-03-26 | 2022-04-05 | International Business Machines Corporation | Resolving cryptographic bottlenecks for distributed multi-signature contracts shared with cryptographic accelerators by switching between local and accelerator cryptographic libraries |
| CN115550692B (zh) * | 2022-11-30 | 2023-04-18 | 苏州浪潮智能科技有限公司 | 一种对视频流实时加密的方法、装置及设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783318A (zh) * | 2004-11-22 | 2006-06-07 | 株式会社东芝 | 信息记录/再生方法和信息再生设备、以及信息记录媒体 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120799B2 (en) * | 2000-12-15 | 2006-10-10 | International Business Machines Corporation | Method and apparatus for dual hardware and software cryptography |
| JP2003069555A (ja) | 2001-08-29 | 2003-03-07 | Mitsubishi Electric Corp | 暗号装置および暗復号処理方法 |
| WO2005011232A2 (en) * | 2003-07-24 | 2005-02-03 | 3E Technologies International, Inc. | Method and system for fast setup of group voice calls over ip communications |
| JP5008822B2 (ja) | 2003-10-27 | 2012-08-22 | パナソニック株式会社 | コンテンツ再生制御方法およびコンテンツ再生制御端末 |
| US20060195527A1 (en) | 2005-02-25 | 2006-08-31 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Limited-operation electronic mail accounts with set functions |
| JP2007142591A (ja) | 2005-11-15 | 2007-06-07 | Matsushita Electric Ind Co Ltd | 暗号管理方法 |
| JP2008123482A (ja) | 2006-10-18 | 2008-05-29 | Matsushita Electric Ind Co Ltd | 記憶媒体制御方法 |
| MX2009000619A (es) | 2007-01-11 | 2009-04-16 | Panasonic Corp | Metodo para la reproduccion de truco de datos multimedia en flujo y encriptados. |
| US8077867B2 (en) | 2007-01-15 | 2011-12-13 | Panasonic Corporation | Confidential information processing apparatus, confidential information processing device, and confidential information processing method |
-
2006
- 2006-10-16 CN CN2006101355124A patent/CN101166180B/zh not_active Expired - Fee Related
-
2007
- 2007-10-15 JP JP2009504931A patent/JP2010507266A/ja active Pending
- 2007-10-15 WO PCT/JP2007/070500 patent/WO2008050697A1/en active Application Filing
- 2007-10-15 US US12/375,772 patent/US8266422B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783318A (zh) * | 2004-11-22 | 2006-06-07 | 株式会社东芝 | 信息记录/再生方法和信息再生设备、以及信息记录媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090327697A1 (en) | 2009-12-31 |
| US8266422B2 (en) | 2012-09-11 |
| JP2010507266A (ja) | 2010-03-04 |
| CN101166180A (zh) | 2008-04-23 |
| WO2008050697A1 (en) | 2008-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101166180B (zh) | 利用多媒体会话信息的网络安全处理方法及其系统 | |
| US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| US8175277B2 (en) | Intercepting a communication session in a telecommunication network | |
| JP2018534884A (ja) | クライアント−クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ | |
| US20060010321A1 (en) | Network system, data transmission device, session monitor system and packet monitor transmission device | |
| US20090182668A1 (en) | Method and apparatus to enable lawful intercept of encrypted traffic | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| US8719436B2 (en) | Tunneling non-HTTP traffic through a reverse proxy | |
| WO2012088889A1 (zh) | 基于浏览器的数据通讯方法、设备和数据交互系统 | |
| US6983382B1 (en) | Method and circuit to accelerate secure socket layer (SSL) process | |
| US8462942B2 (en) | Method and system for securing packetized voice transmissions | |
| CA3066728A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| CN108337676A (zh) | 用于移动终端的加密通信方法和移动终端 | |
| CN115567209B (zh) | 采用透明代理和量子密钥预充注实现VoIP加解密方法 | |
| CN107995160A (zh) | 一种基于云端管控的json数据包加密解密方法 | |
| CN107124385B (zh) | 一种基于镜像流的ssl/tls协议明文数据采集方法 | |
| CN107172072B (zh) | 一种基于FPGA的IPSec数据流高速处理系统及方法 | |
| CN1798019A (zh) | 用于在私有网络中共享媒体内容的方法、系统和装置 | |
| CN1270484C (zh) | 从信息服务器向移动终端推送信息的系统及方法 | |
| US20100166182A1 (en) | Method and system for securing voice over internet protocol transmissions | |
| CN107846567A (zh) | 一种srtp能力协商方法及会议终端 | |
| Paulus et al. | SPEECH: Secure personal end-to-end communication with handheld | |
| EP2713576B1 (en) | Method and device for processing streaming media content | |
| ElFgee et al. | Technical requirements of new framework for GPRS security protocol mobile banking application | |
| Gongjian | The study and implementation of voip intelligent voice communication system based on SIP protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20191016 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |