CN101843040B - 用于分析在ip网络中同时传输的加密数据流的方法 - Google Patents
用于分析在ip网络中同时传输的加密数据流的方法 Download PDFInfo
- Publication number
- CN101843040B CN101843040B CN2008801134453A CN200880113445A CN101843040B CN 101843040 B CN101843040 B CN 101843040B CN 2008801134453 A CN2008801134453 A CN 2008801134453A CN 200880113445 A CN200880113445 A CN 200880113445A CN 101843040 B CN101843040 B CN 101843040B
- Authority
- CN
- China
- Prior art keywords
- data flow
- key information
- data
- packet
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/75—Media network packet handling
- H04L65/762—Media network packet handling at the source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/75—Media network packet handling
- H04L65/764—Media network packet handling at the destination
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
对于以特定于数据流的方式加密的数据流(ds1..n)分别提供具有数据分组(dp)的网络协议(RTP),该数据分组(dp)具有可扩展报头(KE),将以特定于数据流的方式形成的密钥信息(si1..n)插入到各数据流(ds1..n)的数据分组(dp)的扩展报头(RTPH)中并进行传输。从各数据流(ds1..n)的所接收到的数据分组(dp)的扩展报头(RTPH)中以特定于数据流的方式选择密钥信息(sp1..n),并且借助于至少一个所选择的特定于数据流的密钥信息(si1..n)对所属的经过加密的数据流(ds1..n)进行解密。可以用少的额外成本形成密钥信息(si1..n)和将密钥信息(si1..n)插入根据标准所扩展的报头(KE)中,由此用于分析或诊断同时传输的加密数据流(ds1..n)的成本可以显著减少。有利地,可以只在当前执行对所述数据流的诊断或分析和/或记录时,才开启或促使密钥信息(si1..n)的插入。
Description
背景技术
在通信网络中、尤其是在网络电话(VoIP)通信网络中,通常提供RTP协议(Real Time Protocol,实时协议)以用于传输由数据分组形成的数据流或多媒体数据流、即有用信息或语音信息。该RTP协议在RFC标准1889中或自从2003年起在RFC标准3550中被定义。由于增长的安全性要求,相当长时间以来都以加密的方式传输数据流,其中在RFC标准3711中描述有该安全的RTP协议。在此,以特定于数据流的方式分配或使用加密所需的密钥信息。例如,对于基于IP的通信网络中的两个终端之间的多媒体会话,分别在一个传输方向上传输音频数据流和视频数据流。在涉及两个传输方向的情况下,在一个多媒体会话中要传输四个数据流,这些数据流被分别独立地加密、即以特定于数据流的方式被加密。在连接信令期间-例如SIP协议(Session InitiationProtocol,会话初始化协议)-为相应的会话或相应的数据流分配或协商所述密钥信息,其中使用特定密钥-例如Preshared Secrets(预共享密钥)-对该连接信令进行加密,该特定密钥即使在所述数据流被盗读(Mitlesen)时也不能够被识别。
在通信网络中,在大多数情况下有多个数据流或多媒体数据流通过传输路段或传输段被传输。对于在通信网络中所出现的问题状况,对所传输的数据流的分析或诊断是必要的,以便对错误进行定位或限定范围。对于错误分析或诊断来说,对未加密数据流的重构在大多数情况下是必要的。通常在传输段中对多个同时按照RTP协议进行传输的数据流执行分析或诊断,其中数据流、例如RTP数据流中的加密信息不可用并且即使在连接信令期间也不能被确定,因为信令信息被加密且密钥信息被再次加密并且所使用的密钥信息不可用。
发明内容
本发明所基于的任务在于,改进对单独或同时传输的具有数据分组的数据流的分析或诊断,其中按照用于传输数据流的网络协议以特定于数据流的方式形成数据流并且对该数据流以特定于数据流的方式进行加密。该任务通过权利要求1和9的特征解决。
根据本发明方法的重要方面在于,提供具有数据分组的网络协议,该数据分组具有可扩展报头,并且将以特定于数据流的方式形成的密钥信息插入到各数据流的数据分组的扩展报头中并进行传输。从各数据流的所接收到的数据分组的扩展报头中以特定于数据流的方式选择密钥信息,并且借助于至少一个所选择的特定于数据流的密钥信息对所属的经过加密的数据流进行解密。
本发明的重要优点在于,可以用少的管理成本形成和插入密钥信息,并且用于分析或诊断同时传输的数据流的成本可以显著减少,其中利用具有扩展报头的数据分组可以额外地传输有用信息。有利地,可以只在当前执行对数据流的诊断或分析时,才开启或促使密钥信息到数据分组的扩展报头中的插入。
按照根据本发明方法的有利的改进方案,根据RFC标准3550或1899标准化的网络协议被提供为具有可扩展报头的网络协议,其中根据SecuredReal Time Protocol(安全实时协议)网络协议(SRTP)对所述数据流(ds1..n)进行加密。该标准化的SRTP协议基于根据RFC标准3550或1899的标准化的RTP协议(Real Time Protocol,实时协议)。在使用RTP协议时,可以用少的额外成本将密钥信息插入到根据标准的可扩展的报头中。
根据本发明的扩展方案,在额外地用于具有所插入的密钥信息的数据分组的网络协议中确定数据分组类型,使得在根据网络协议接收到数据流时丢弃所述数据分组,然而在该变型方案中在数据分组中不插入有用信息或有效载荷。由此保证,在根据网络协议传输数据分组时,所述密钥信息不被根据网络协议的数据接收方读取。作为所述数据分组的数据分组类型,定义对于所述网络协议是新的数据分组类型或有利地提供未被使用的数据分组类型,其中在根据网络协议进行传输时,所述数据分组不被根据网络协议的接收方读取。
根据本发明的另一有利的扩展方案,特定于数据流的密钥信息被连续地插入到各数据流的具有扩展报头的数据分组中。由此,在识别出具有所插入的密钥信息的若干数据分组后可以连续地求得密钥信息,或在接收到规则数目的数据分组后可以求得密钥信息。因为不必对每个数据分组就是否插入有密钥信息进行检查,所以减少了动态负荷。
有利地,为了分析或诊断和/或记录所述数据流(ds1...n),能够开启并随后关闭以特定于数据流的方式对密钥信息(si1...n)的插入。通过只在诊断数据流时才开启密钥信息到数据分组中的插入,在运行时即使不进行诊断也可以获得高安全性。
根据本发明方法的其它有利的改进方案以及根据本发明装置的扩展方案可以从其它权利要求中获悉。
附图说明
下面,参照两个附图进一步解释本发明及其改进方案。在此:
图1以方框图示出用于执行根据本发明方法的通信装置,并且
图2示出为该通信装置提供的根据本发明的数据分组。
具体实施方式
图1以方框图示例性地示出一种通信装置,在该通信装置中实现根据本发明的方法,其中只示出根据本发明的方法被实施在其中或对于阐述根据本发明的方法来说是必要的那些部件。
该通信装置被提供用于Voice Over IP(网络电话),即用于以IP协议来传输语音信息,其中用标准化H.323或SIP协议来执行该信令。对于语音和/或视频传输来说,优选使用RTP协议(Real Time Protocol,实时协议),其中所述语音和/或视频信息直接在通过该信令连接的部件之间进行传输。该RTP协议在RFC标准1889或3550中被定义,并且是一种针对通过基于IP的网络对实时数据、例如视听数据或多媒体数据进行连续传输的协议。在此,对待传输的数据分组进行编码并且插入IP兼容的数据分组中以便通过基于IP的网络进行传输。所述数据分组的传输在IP终端设备之间的会话范围内进行,其中向每个会话分配至少一个数据流ds或者多个数据流。RTP协议RTP被提供用于单个数据流ds的传输,以及用于多个数据流ds1..n或数据分组的同时传输。对于该实施例假设,在基于IP的网络的部件之间同时传输多个数据流ds1..n、即多媒体流。
由于在传输数据流ds时增长的安全性要求,越来越多地对数据流ds、优选地对根据RTP协议RTP所传输的数据流ds进行加密。为此,使用密钥信息si来进行加密,该密钥信息si对于相互间传输基于IP的网络内的数据流的部件是已知的。用于对RTP数据流进行加密的协议在根据RFC标准3711的SRTP协议(Secured Real Time Protocoll,安全实时传输协议)中被定义。在此,使用提供高安全程度的对称加密系统。
所述通信装置包括第一部件K1,该第一部件在该实施例中通过网关GW来表示。该网关GW示例性地通过局域网LAN-在后面被称为LAN并且在图1中通过虚线描绘的椭圆形来表明-与第二部件K2相连接,其中该第二部件在该实施例中通过因特网终端IP-E、例如多媒体终端设备MME来表示。该LAN例如可以以物理方式和程序方式实现为以太网。
此外对于该实施例假设,同时有多个按照RTP协议RTP形成的数据流ds1′..n′或多媒体数据流要从网关GW传输到因特网终端IP-E。所述多个数据流ds1′..n′例如由音频数据流和视频数据流形成,其中可以向每个会话分配音频数据流和视频数据流。另外,所述按照RTP协议RTP形成的数据流ds1′..n′借助于加密单元VE以特定于数据流的方式被加密。这意味着,为每个数据流ds1′..n′提供不同的密钥信息si1..n用于加密。对于RTP数据流来说,优选地借助于根据RFC标准3711的SRTP协议SRTP来执行所述加密。
根据本发明,应该从以特定于数据流的方式被加密的数据流ds1..n中重新解密出所加密的数据流ds1..n,以便通过诊断单元DE对所述数据流进行分析。通常,诊断单元DE不参与基于IP的网络的建立有连接的部件之间的信令,其中在该信令的范围内为每个数据流ds协商所使用的密钥信息si。虽然该信令也可以通过诊断单元DE来分析,但是不能确定用于数据流ds1..n的密钥信息si1..n,因为该信令被加密且密钥信息si1..n被再次加密,并且用于加密的密钥信息在诊断单元中不可用,也不能从信令信息中确定出来。这意味着,诊断单元DE不具有关于在数据流ds1..n中所使用的密钥信息si的信息。
尽管如此,为了对按照SRTP协议所形成的数据流ds1..n进行解密,使用根据本发明的方法,其中根据本发明的方法在该实施例的情况下涉及多个按照SRTP协议所形成的数据流sds1..n从网关GW到IP终端IP-E的同时传输。可以在相对的传输方向上相应地实现下面描述的方法和部件。
在网关GW中,在加密单元VE中根据SRTP协议SRTP对数据流ds1′..n′进行加密,其中该加密单元VE与插入单元IE一起设置在传输单元UE中。所需的密钥信息si1..n被存储在密钥单元SE中并且供所述加密单元VE和插入单元IE使用-在图1中通过用si1..n表示的箭头来表明。在此,为每个数据流ds1′..n′提供一个密钥信息si1..n,也就是说以特定于数据流的方式对数据流ds1′..n′进行加密。
在插入单元IE中,通过将报头扩展位设为1,报头的扩展部分KE-见图2-被插入到用于根据RTP协议RTP传输密钥信息si1..n所提供的数据分组dp中。此外,在报头RTPH的扩展部分KE中,说明了报头的扩展部分所包括的16位字的数目。另外或有利地,在用于传输密钥信息si1..n所提供的数据分组中可以说明数据分组类型的信息或者根据RTP协议RTP说明有效载荷类型PT,通过所述数据分组类型的信息或者有效载荷类型PT,数据分组被确定为具有所插入的密钥信息si1..n的数据分组dp。在此,应该选择或说明不在根据标准的数据分组中使用的有效载荷类型PT,并且具有所选择的有效载荷类型PT的数据分组在根据标准的传输中被丢弃。这意味着,在该变型方案中,不允许在数据分组dp中插入有用信息或有效载荷。
为了在传输具有密钥信息si1..n的数据分组dp时提高安全性,可以额外地对数据分组dp1或者其中所包含的密钥信息si1..n进行加密。为此需要附加的密钥信息,该附加的密钥信息由公共密钥spublic和专用密钥spriv形成。在此,在网关GW中的密钥单元SE中提供该公共密钥spub以用于额外的加密,该公共密钥spub被传送给传输单元UE以用于对数据分组dp或者其中所包含的密钥信息si1..n进行加密-在图1中通过用spub表示的箭头来表明。在诊断单元DE中,专用密钥spriv由解密单元EE来提供并且被用于对额外加密的数据分组dp或密钥信息si1..n进行解密-在图1中通过解密单元EE中的附图标记spriv来表明。
随后在插入单元IE中,将密钥信息si1..n插入到相应数据流ds1..n的数据分组的报头RTPH的扩展部分KE中。
包含密钥信息si1..n的数据流sds1..n通过LAN被传输到IP终端IP-E。为了对数据流sds1..n进行诊断或分析的目的,提供与LAN连接的诊断单元DE。为了使包含密钥信息si1..n的数据流sds1..n能够被分析,必须对加密的数据流sds1..n进行解密。对此如开头已经所阐述的那样,对于每个加密的数据流ds1..n,都需要密钥信息si1..n以用于解密。因为根据本发明,包含密钥信息si1..n的数据分组dp被插入到数据流sds1..n中,所以在诊断单元DE中借助于监视单元UEE搜索、读取以及存储相应数据流ds1..n中的数据分组dp,在该数据分组dp中展示出报头RTPH的扩展部分KE。另外,还可以利用有效载荷类型PT来识别具有密钥信息si1..n的数据分组dp。
随后,在由所识别的数据分组dp的报头RTPH的相应扩展部分KE构成的数据流sds1..n中,密钥信息si1..n被选择出来并被存储,在那以后可以从报头RTPH的扩展部分KE中移除该密钥信息si1..n。另外,报头RTPH的扩展部分也可以通过将合适的信息插入该报头中而复位。与相应的密钥信息si1..n一起,还可以确定并存储来自报头RTPH的扩展部分KE的信息i(ds1..n),对于数据流ds1..n的该信息i(ds1..n)提供用于解密的密钥信息si1..n。
加密的数据流ds1..n以及所选择的密钥信息si1..n都被传送给解密单元EE。在该解密单元EE中,借助于相应的密钥信息si1..n、即解密信息和信息i(ds1..n)对加密的数据流sds1..n进行解密。在解密之后,未加密的数据流ds1′..n′可提供用于诊断单元DE中的诊断或分析。
在诊断单元DE中,可选地或者有利地提供插入在LAN与诊断单元DE之间的记录单元REC,在该记录单元REC中可以记录数据流sds1..n。由此对密钥信息si1..n的选择和对所记录的数据流sds1..n的分析或诊断可以在稍后的时刻进行,例如在夜间进行记录时以及稍后在白天进行诊断时。可替换地,记录装置REC还可以在对加密的数据流sds1..n解密后被插入-未示出,其中数据流ds1′..n′以未加密的形式提供用于诊断或分析。
图2示出插入有密钥信息si1..n的数据分组dp的协议结构。该数据分组dp根据RTP标准RTP形成并且按照RFC3550具有报头RTPH-在本领域中被称为Header(报头)-以及有用部分RTPP-在本领域中被称为有用载荷。该RTP协议RTP被嵌入在UDP协议UDP中,其报头UDPH被附加到RTP协议的报头RTPH后。因为是基于IP的传输,所以UDP协议被打包在IP协议IPP中,为此附加IP报头IPH。在通过LAN、尤其是以太网LAN进行传输时,还要考虑相应的协议元素-出于清楚的原因没有示出这些协议元素。
在RTP协议RTP的报头RTPH中,关于报头RTPH的扩展部分KE的信息是根据本发明方法的重要信息。为此根据RTP标准RTP提供一个x位,其中通过设置x位=1来示出报头的扩展部分-在图2中通过附图标记xBit=1表明。另外,可以插入关于有效载荷类型PT的信息-在图2中通过附图标记PT表明。虽然在RTP协议RTP中对所使用的有效载荷类型PT进行说明,但是没有为该RTP协议RTP分配有效载荷类型PT,其中在标准化阶段中定义有效载荷类型PT为“19”,然而该有效载荷类型在后面并不被使用且目前被给出为“保留的”。因此,为了确定具有密钥信息si1..n的RTP数据分组dp,使用有效载荷类型19是有利的。对于有效载荷类型PT的额外使用来说,不允许将有用信息插入有效载荷部分或有用部分RTPP,因为这样形成的数据分组dp在根据标准的传输中在进行接收的部件处被丢弃。
报头PTRH的扩展部分KE根据下面的表1定位在标准化的RTP报头RTPH中,其中号码0..31分别表示1位。
根据表1,所述x位示出报头扩展部分KE,即在x位=1时数据分组dp的报头PTRH得到扩展。所述扩展的范围由报头扩展部分字段中的16位字段的数量给出。密钥信息si1..n针对各个数据流ds1..n被插入到报头扩展部分KE中,其中在下面的表2中示出根据标准化的SRTP协议SRTP用于解密的密钥信息si,其中号码0..9分别表示1位。
表1
表2
在此根据SRTP标准,在表1中存在的说明具有以下含义。
Version(版本):
跟踪信标的版本。
BeaconType:
跟踪信标的内容。
F:
指示可变字段的长度是否固定在其最大值(如果F==1,则长度固定)。
Rsv:
保留位。
NbCtx:
指示分组中所包含的语区(context)的数目。语区是指导(Tx/Rx)与SSRC之间的关联。已经断定,最多15个语区应该足以用于当前的目的。
NbKeys:
指示分组中所包含的密钥的数目。
SCIAuthTagLen:
附加于跟踪信标的认证标签的长度。该长度目前将一直为零,因为在短期内未预期使用该认证。
KEK SPI Len:
获取对KEK进行加密的密钥所需的SPI的字节长度。如果在跟踪信标中不存在加密的KEK,则该长度可以为零。
Encrypted KEK length(加密KEK的长度):
使用RSA加密的对称密钥的长度,单位为字节。如果跟踪信标不包含该密钥,则该长度可以为零。因为加密的KEK可能是跟踪信标中的最长部分,所以在例如两个跟踪信标之一中发送加密的KEK可导致所发送的跟踪信标的平均大小的明显增加。
Contexts(语区):
语区的配置信息(参见下一图表)。
Keys(密钥):
密钥的配置信息(参见下一图表)。
Encrypted KEK(加密KEK):
使用RSA加密的对称密钥。当公共密钥具有2048个位且不需要在32位边界处终止时,该字段可以采用高达256个字节。该字段也是可选的,因为该字段的长度可以为零。
KEK SPI:
允许获取对KEK进行解密所需的密钥的标识符。在这里(Inyour case),该字段对应于证书Id。该字段不需要在32位边界处终止。类似于Encrypted KEK,该字段是可选的,因为其长度可以为零。
SCI Authentication tag(SCI认证标签):
跟踪信标的认证标签。跟踪信标的经过认证的部分将会是前八位字节,即语区和密钥部分。该字段是可选的,因为认证标签的长度可以为零。实际上不期望该字段存在于跟踪信标的该版本中。
借助于根据标准化SRTP协议SRTP的前述密钥信息si1..n对加密的数据流ds1..n进行解密,即转化为初始的数据流ds1′..n′。可以在诊断单元DE中相应于所实施的诊断例程-未示出-来提供所述数据流ds1′..n′。
Claims (12)
1.一种用于对至少一个具有加密数据分组的数据流(ds1..n)进行错误分析的方法,其中以特定于数据流的方式按照第一网络协议形成所述数据流(ds1..n)并以特定于数据流的方式加密该数据流(ds1..n)以便对数据流进行加密和传输,
其特征在于,
-为根据第二网络协议形成的数据分组配备可扩展的报头,并且将以特定于数据流的方式形成的密钥信息(si1..n)插入到各数据流(ds1..n)的数据分组的扩展的报头中并进行传输,
-从各数据流(ds1..n)的所接收到的数据分组的扩展的报头中以特定于数据流的方式选择密钥信息(si1..n),
-至少借助于所选择的特定于数据流的密钥信息(si1..n)对所属的经过加密的数据流(ds1..n)进行解密,以及
-密钥信息(si1..n)到数据分组的扩展的报头中的插入仅在执行对数据流(ds1..n)的错误分析时被开启。
2.根据权利要求1所述的方法,其特征在于,根据RFC标准3550或1899标准化的RTP网络协议被提供为具有可扩展的报头的第二网络协议,其中根据安全实时协议网络协议作为第一网络协议对所述数据流(ds1..n)进行加密。
3.根据权利要求1或2所述的方法,其特征在于,在具有带有扩展的报头和所插入的密钥信息(si1..n)的数据分组的第二网络协议中额外地确定数据分组类型,使得在根据网络协议接收到数据流(ds1..n)时丢弃所述数据分组。
4.根据权利要求3所述的方法,其特征在于,作为用于密钥数据分组(sp1..n)的数据分组类型定义对于第二网络协议是新的数据分组类型,或提供未被使用的数据分组类型。
5.根据权利要求1或2所述的方法,其特征在于,特定于数据流的密钥信息(si1..n)被连续地插入到各数据流(ds1..n)的具有扩展的报头的数据分组中。
6.根据权利要求1或2所述的方法,其特征在于,所述密钥信息(si1..n)被额外地加密,其中该额外加密所需要的附加密钥信息(spub,spriv)被提供给分析和/或诊断和/或记录功能。
7.根据权利要求6所述的方法,其特征在于,所述附加密钥信息(spub,spriv)通过非对称的密钥信息表示,其中与对数据流(ds1..n)的解密不同的密钥信息被提供用于对密钥数据分组(sp1..n)的加密。
8.根据权利要求1或2之一所述的方法,其特征在于,为了错误分析或诊断和/或记录所述数据流(ds1..n),能够开启并随后关闭以特定于数据流的方式对密钥信息(si1..n)的插入。
9.一种用于对至少一个具有加密数据分组的数据流(ds1..n)进行错误分析的装置,其中以特定于数据流的方式按照第一网络协议形成所述数据流(ds1..n)并以特定于数据流的方式加密该数据流(ds1..n)以便对数据流进行加密和传输,
其特征在于,
-密钥单元(SE),该密钥单元构成为使得能够形成特定于数据流的密钥信息(si1..n),
-利用第二网络协议的传输单元(UE),该传输单元构成为使得能够扩展数据分组的报头并且以特定于数据流的方式形成的密钥信息(si1..n)能够被插入到数据分组的扩展的报头中并能够传输该具有所插入的密钥信息(si1..n)的数据分组,其中密钥信息(si1..n)向数据分组的扩展的报头中的插入仅在执行对数据流(ds1..n)的错误分析时被开启,
-监视单元(UEE),该监视单元构成为使得能够从各数据流(ds1..n)的所接收到的数据分组的扩展的报头中以特定于数据流的方式选择密钥信息(si1..n),以及
-解密单元(EE),所述解密单元构成为使得能够借助于至少一个所选择的特定于数据流的密钥信息(si1..n)对所加密的各数据流(ds1..n)进行特定于数据流的解密。
10.根据权利要求9所述的装置,其特征在于,所述监视单元(UEE)和所述解密单元(EE)被集成在构成为使得能够对所解密的数据流(ds1′..n′)进行错误分析的诊断单元(DE)中。
11.根据权利要求9或10所述的装置,其特征在于,具有记录装置(REC),该记录装置构成为使得能够记录包含所述密钥信息(si1..n)的数据流(sds1..n)和/或使得能够记录加密的数据流(ds1..n)和/或解密的数据流(ds1′..n′)。
12.根据权利要求9或10所述的装置,其特征在于,所述密钥单元(SE)被配置为,为了错误分析和/或记录所述数据流(sds1..n,ds1..n,ds1′..n′),能够开启和关闭对数据分组的报头的扩展以及密钥信息(si1..n)到所扩展的报头中的插入。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102007041143.1 | 2007-08-30 | ||
| DE102007041143A DE102007041143B4 (de) | 2007-08-30 | 2007-08-30 | Verfahren zum Analysieren von gleichzeitig übertragenen, verschlüsselten Datenströmen in IP-Netzwerken |
| PCT/EP2008/058552 WO2009030539A1 (de) | 2007-08-30 | 2008-07-03 | Verfahren zum analysieren von gleichzeitig übertragenen, verschlüsselten datenströmen in ip-netzwerken |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101843040A CN101843040A (zh) | 2010-09-22 |
| CN101843040B true CN101843040B (zh) | 2013-07-17 |
Family
ID=39767189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801134453A Expired - Fee Related CN101843040B (zh) | 2007-08-30 | 2008-07-03 | 用于分析在ip网络中同时传输的加密数据流的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8478994B2 (zh) |
| EP (1) | EP2204013B1 (zh) |
| CN (1) | CN101843040B (zh) |
| CA (1) | CA2697926C (zh) |
| DE (1) | DE102007041143B4 (zh) |
| WO (1) | WO2009030539A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471831A (zh) * | 2014-09-15 | 2016-04-06 | 杭州海康威视数字技术股份有限公司 | 一种对实时传输协议数据包进行加密的方法和装置 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8260877B2 (en) | 2008-12-31 | 2012-09-04 | Apple Inc. | Variant streams for real-time or near real-time streaming to provide failover protection |
| US8578272B2 (en) | 2008-12-31 | 2013-11-05 | Apple Inc. | Real-time or near real-time streaming |
| US8156089B2 (en) | 2008-12-31 | 2012-04-10 | Apple, Inc. | Real-time or near real-time streaming with compressed playlists |
| BRPI0923917B1 (pt) * | 2008-12-31 | 2021-05-25 | Apple Inc | Método implementado por máquina, meio de armazenamento não transitório legível por máquina, aparelho, e sistema de processamento de dados para transmissão contínua em tempo real ou próximo ao tempo real |
| US20100169303A1 (en) | 2008-12-31 | 2010-07-01 | David Biderman | Playlists for real-time or near real-time streaming |
| US8560642B2 (en) | 2010-04-01 | 2013-10-15 | Apple Inc. | Real-time or near real-time streaming |
| US8805963B2 (en) | 2010-04-01 | 2014-08-12 | Apple Inc. | Real-time or near real-time streaming |
| GB201105502D0 (en) | 2010-04-01 | 2011-05-18 | Apple Inc | Real time or near real time streaming |
| US8892691B2 (en) | 2010-04-07 | 2014-11-18 | Apple Inc. | Real-time or near real-time streaming |
| KR101885258B1 (ko) | 2010-05-14 | 2018-08-06 | 삼성전자주식회사 | 비디오 신호의 부호화 방법과 그 장치, 및 비디오 복호화 방법과 그 장치 |
| US8856283B2 (en) | 2011-06-03 | 2014-10-07 | Apple Inc. | Playlists for real-time or near real-time streaming |
| US8843586B2 (en) | 2011-06-03 | 2014-09-23 | Apple Inc. | Playlists for real-time or near real-time streaming |
| US9910561B2 (en) | 2013-12-23 | 2018-03-06 | Vection Technologies Inc. | Highly efficient and parallel data transfer and display with geospatial alerting |
| US9665267B2 (en) * | 2013-12-23 | 2017-05-30 | Vection Technologies Inc. | Highly efficient and parallel data transfer and display |
| WO2018162564A1 (en) | 2017-03-08 | 2018-09-13 | Abb Schweiz Ag | Methods and devices for preserving relative timing and ordering of data packets in a network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1735008A (zh) * | 2004-08-13 | 2006-02-15 | 华为技术有限公司 | 一种与加密网络互通的方法及加密关口局 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US6931531B1 (en) * | 1998-09-02 | 2005-08-16 | Matsushita Electric Industrial Co., Ltd. | Image object recording, compression, and encryption method and system |
| CN1214567C (zh) * | 1998-11-24 | 2005-08-10 | 尼克桑公司 | 用于采集和分析通信数据的装置及方法 |
| NZ506002A (en) | 2000-07-26 | 2003-01-31 | Rpk New Zealand Ltd | Encryption processing for streaming media by assigning tag value, creating packet key, encrypting data and adding tag value |
| US20020025045A1 (en) * | 2000-07-26 | 2002-02-28 | Raike William Michael | Encryption processing for streaming media |
| US7197507B2 (en) * | 2000-10-03 | 2007-03-27 | Netagent Co., Ltd | Communication information recording device |
| US7050583B2 (en) * | 2001-03-29 | 2006-05-23 | Etreppid Technologies, Llc | Method and apparatus for streaming data using rotating cryptographic keys |
| US7356147B2 (en) * | 2002-04-18 | 2008-04-08 | International Business Machines Corporation | Method, system and program product for attaching a title key to encrypted content for synchronized transmission to a recipient |
| US7242681B1 (en) * | 2002-05-17 | 2007-07-10 | Sandstorm Enterprises, Inc. | System and method for intercepting and authenticating packets during one or more communication sessions and automatically recognizing content |
| US7450579B2 (en) * | 2003-09-09 | 2008-11-11 | Broadcom Corporation | Downstream synchronous multichannels for a communications management system |
| US20050183120A1 (en) * | 2004-01-13 | 2005-08-18 | Saurabh Jain | Multi-user personalized digital multimedia distribution methods and systems |
| JP2005210193A (ja) * | 2004-01-20 | 2005-08-04 | Matsushita Electric Works Ltd | 共通秘密鍵生成装置 |
| CA2560550A1 (en) | 2004-03-18 | 2005-09-29 | Qualcomm Incorporated | Efficient transmission of cryptographic information in secure real time protocol |
| US8018917B2 (en) * | 2005-11-21 | 2011-09-13 | Cisco Technology, Inc. | System and method for facilitating network performance analysis |
-
2007
- 2007-08-30 DE DE102007041143A patent/DE102007041143B4/de active Active
-
2008
- 2008-07-03 WO PCT/EP2008/058552 patent/WO2009030539A1/de active Application Filing
- 2008-07-03 CN CN2008801134453A patent/CN101843040B/zh not_active Expired - Fee Related
- 2008-07-03 CA CA2697926A patent/CA2697926C/en not_active Expired - Fee Related
- 2008-07-03 US US12/675,333 patent/US8478994B2/en active Active
- 2008-07-03 EP EP08774680.6A patent/EP2204013B1/de active Active
-
2013
- 2013-02-21 US US13/772,679 patent/US20130185554A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1735008A (zh) * | 2004-08-13 | 2006-02-15 | 华为技术有限公司 | 一种与加密网络互通的方法及加密关口局 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471831A (zh) * | 2014-09-15 | 2016-04-06 | 杭州海康威视数字技术股份有限公司 | 一种对实时传输协议数据包进行加密的方法和装置 |
| CN105471831B (zh) * | 2014-09-15 | 2019-05-10 | 杭州海康威视数字技术股份有限公司 | 一种对实时传输协议数据包进行加密的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102007041143A1 (de) | 2009-03-05 |
| DE102007041143B4 (de) | 2010-04-08 |
| CA2697926C (en) | 2017-08-22 |
| US20130185554A1 (en) | 2013-07-18 |
| WO2009030539A1 (de) | 2009-03-12 |
| EP2204013A1 (de) | 2010-07-07 |
| CA2697926A1 (en) | 2009-03-12 |
| US20100313015A1 (en) | 2010-12-09 |
| CN101843040A (zh) | 2010-09-22 |
| US8478994B2 (en) | 2013-07-02 |
| EP2204013B1 (de) | 2018-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101843040B (zh) | 用于分析在ip网络中同时传输的加密数据流的方法 | |
| CN101843039B (zh) | 用于分析同时传输的加密数据流的方法 | |
| EP1738508B1 (en) | Method and apparatus for transporting encrypted media streams over a wide area network | |
| US6449473B1 (en) | Security method for transmissions in telecommunication networks | |
| US7369662B2 (en) | Maintaining end-to-end synchronization on a telecommunications connection | |
| US20090182668A1 (en) | Method and apparatus to enable lawful intercept of encrypted traffic | |
| ES2303594T3 (es) | Aparato y procedimiento para transmitir informacion privada dentro de un sistema de comunicacion en grupo. | |
| US20060010321A1 (en) | Network system, data transmission device, session monitor system and packet monitor transmission device | |
| US7752449B1 (en) | System and method for generating a non-repudiatable record of a data stream | |
| US20100005179A1 (en) | Multi-Level Secure Network | |
| WO2004036840A1 (ja) | パケット送受信装置 | |
| US20090070586A1 (en) | Method, Device and Computer Program Product for the Encoded Transmission of Media Data Between the Media Server and the Subscriber Terminal | |
| JP2004194295A (ja) | パケット送受信装置 | |
| CN110061962B (zh) | 一种视频流数据传输的方法和装置 | |
| US20170237720A1 (en) | System and method of encrypted media encapsulation | |
| WO2022161369A1 (zh) | 一种光传送网的安全管理信息处理方法及装置 | |
| CN114826748B (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
| CN115428402A (zh) | 用于数据传输的方法和通信系统 | |
| CN100450119C (zh) | 在ip视频会议系统中进行密文传输的方法 | |
| Gergely et al. | Enhancing progressive encryption for scalable video streams | |
| Sweeney et al. | Comparison of IPsec to TLS and SRTP for Securing VoIP. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130717 Termination date: 20210703 |