CN1890920A - 多播通信业务的安全传送 - Google Patents
多播通信业务的安全传送 Download PDFInfo
- Publication number
- CN1890920A CN1890920A CNA2004800363527A CN200480036352A CN1890920A CN 1890920 A CN1890920 A CN 1890920A CN A2004800363527 A CNA2004800363527 A CN A2004800363527A CN 200480036352 A CN200480036352 A CN 200480036352A CN 1890920 A CN1890920 A CN 1890920A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- multicast
- router
- group key
- downstream router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了经由网络的安全隧道多播发送和接收。可以从第二隧道端点接收加入请求(600),所述加入请求表明待加入的多播组。可以把组密钥发送给第二隧道端点(606),其中所述组密钥至少基于所述多播组。可以对在第一隧道端点处接收的分组进行密码处理以便生成封装净荷(610)。可以向封装净荷添加报头以便形成封装分组(612),其中所述报头包括与第二隧道端点相关联的信息。基于添加的报头,隧道可以建立在第一隧道端点和第二隧道端点之间(613)。所述封装分组可以经由隧道传输至第二隧道端点(614)。所述第二隧道端点可以接收封装分组(508)。封装分组的密码处理可以揭示具有第二报头的分组(510,512)。然后可以在接口上向第二报头中识别出的至少一个多播接收方转发所述分组(516)。
Description
相关申请的交叉引用
此申请要求了于2003年10月31日提交的临时专利申请号为60/516,346的美国专利申请的权益,将该篇专利申请的全部内容在此引入,以供参考。
技术领域
符合本发明原理的系统和方法总体上涉及用于安全网络通信的方法和设备。
背景技术
涉及计算机组的网络计算应用程序可以向组中的多台计算机发送相同的信息。有三种常规的方式来设计用于组通信的网络应用程序,所述方式为:单播、广播和多播。如图1所示,单播系统允许向一个特殊接收方传输每一数据分组的副本。为了传输到多个接收方,需要与每一接收方进行独立的连接。随着接收方数目的增加,进行多个直接连接需要大量带宽,并且由于相同分组必须被反复地复制然后传输给每一接收方,故而可以会产生延迟。基于广播系统,可以把每一分组的一个副本发送给广播地址。因此,当实际只有少数人希望接收广播时,广播传输被发送给大量人员。
采用多播系统,网络应用程序可以向一组接收方发送已编址的一个或多个分组的一个副本,而不是仅向一个接收方(如单播系统中那样)发送一个或多个分组。然后一个或多个网络可以向接收方转发所述一个或多个分组。由于依靠网络来转发一个或多个分组,所以多播应用程序只可以对允许多播的网络起作用。通常,诸如单播、广播或者多播的传输不安全,这是因为目的地地址可以被网络上的任何人看见,即使所述分组的数据净荷已经被加密也一样。
存在多种常规方法来经由网络传输数据分组。这些常规方法的某些可以提供安全传输,而其它的也许不能。用于数据分组安全传输的技术之一是使用单播隧道。如图2所示,源设备210可以向隧道网关220传输数据,以跨越单播隧道230来传输,以便经由隧道端点250到达目的地设备270。对于安全传输来说,通常可以使用用于正使用的特定单播隧道230的唯一密钥来加密所述分组。可以在隧道网关220把所述分组封装在单播隧道分组中。常规的隧道可以使用诸如网际协议安全的封装安全净荷(IPsec ESP)的封装协议。IPsec可以提供隧道安全特性的范围。IPsec单独或与诸如互联网密钥交换(IKE)的其它协议一起可以为每个隧道构造唯一的安全关联集合,其包括用于给定隧道的访问控制、加密密钥和验证密钥。因此,一旦数据进入隧道230,数据和分组的最终目的地都无法被解密。隧道端点250可以基于解密密钥来解密所接收的分组,并且对给定隧道执行验证检查,并且然后可以向分组的最终目的地、即目的地设备270转发原始分组。
发明内容
在符合本发明原理的一方面中,提供了一种允许经由网络进行安全多播传输的方法。所述方法可以包括:从第一下游路由器接收第一加入请求,所述加入请求表明待加入的多播组;向第一下游路由器发送组密钥,其中所述组密钥至少基于所述多播组;使用所述组密钥来对第一分组进行密码处理以便生成封装净荷;向封装净荷添加第一报头以便形成第一封装分组;基于所添加的第一报头来建立与第一下游路由器的隧道;以及经由所述隧道向第一下游路由器发送第一封装分组。
在符合本发明原理的第二方面中,提供了一种用于经由网络接收多播传输的方法。所述方法可以包括:经由单播隧道向转发路由器发送加入请求,所述单播隧道是在转发路由器和第一下游路由器之间建立的,所述加入请求表明待加入的多播组;响应于发送的加入请求,接收组密钥,所述组密钥至少基于所述多播组;在转发路由器和第一下游路由器之间建立组密钥隧道;经由组密钥隧道接收封装分组;使用所述组密钥对封装分组进行密码处理以便揭示多播分组,所述多播分组包括具有多播目的地地址的网际协议(IP)报头;在接口上向对应于所述多播目的地地址的至少一个多播接收方转发多播分组。
在符合本发明原理的第三方面中,提供了一种用于在计算机网络内接收和发送分组的设备。所述设备可以被配置成:经由第一隧道从第一下游路由器接收第一加入请求,所述第一隧道是在第一下游路由器和转发路由器之间建立的,所述第一加入请求表明待加入的多播组;经由第一隧道向第一下游路由器发送至少基于多播组的组密钥;使用所述组密钥来对第一分组进行密码处理以便生成封装净荷;向所述封装净荷添加第一报头以便形成第一封装分组,其中所述第一报头包括与第一下游路由器相关联的信息;基于所添加的第一报头来建立与第一下游路由器的第二隧道;以及经由所述第二隧道向第一下游路由器发送第一封装分组。
在符合本发明原理的第四方面中,提供了一种用于在计算机网络内接收和发送分组的设备。所述设备可以被配置成:经由第一单播隧道从第一下游路由器接收第一加入请求,其中所述第一单播隧道是在第一下游路由器和转发路由器之间建立的;经由第二单播隧道从第二下游路由器接收第二加入请求,所述第二单播隧道是在第二下游路由器和转发路由器之间建立的,其中所述第一和第二加入请求表明待加入的多播组;生成至少基于多播组的组密钥;经由所述第一单播隧道向第一下游路由器发送组密钥;经由所述第二单播隧道向第二下游路由器发送组密钥;使用所述组密钥对第一多播分组进行密码处理,以便生成封装净荷;向封装净荷添加第一单播网际协议(IP)报头,以便形成第一封装分组,其中所述第一单播IP报头与第一下游路由器相关联;基于所添加的第一单播IP报头来建立与第一下游路由器的第一组密钥隧道;复制所述封装净荷;向复制的封装净荷添加第二单播网际协议(IP)报头以便形成第二封装分组,其中所述第二单播IP报头与第二下游路由器相关联;基于所添加的第二单播IP报头来建立与第二下游路由器的第二组密钥隧道;经由所述第一组密钥隧道向第一下游路由器发送第一封装分组;以及经由所述第二组密钥隧道向第二下游路由器发送第二封装分组。
附图说明
并入并且构成此说明书一部分的附图举例说明了本发明的实现方式,并且结合此描述来解释本发明。在所述附图中,
图1是网络传输形态的例证说明。
图2是使用隧道的示例性网络通信的示意图。
图3是经由隧道进行的示例性多播数据传输的示意图。
图4是经由多个隧道进行的示例性多播数据传输的示意图。
图5是举例说明了接收隧道分组并且把隧道分组解密为多播分组的示例性过程的流程图。
图6是描述用于经由隧道传输多播分组的示例性方法的流程图。
图7是举例说明符合本发明原理的加密和验证方案的示例性实现方式的示意图。
图8是举例说明符合本发明原理的封装方案的示例性实现方式的示意图。
图9是举例说明符合本发明原理的封装方案的另一示例性实现方式的示意图。
图10是描述用于经由隧道进行的多播数据传输的示例性方法的流程图。
具体实施方式
本发明的具体实施方式将参考附图。不同附图中的同一附图标记可以表示相同或者类似元素。此外,接下来的详细描述不限制本发明。相反,本发明的范围由所附权利要求书及其等效物来定义。
图3是经由隧道进行的示例性多播数据传输的示意图。如图3所示,使用隧道的多播数据传输可以从多播源300开始。多播源300可以依照多播分组的形式向隧道网关310传输多播数据。多播分组可以包括多播数据净荷和IP报头。多播数据净荷可以是由隧道网关310的下游接收方请求的来自多播流的数据段。网际协议(IP)报头可以提供包括多播源300的网络地址和由接收方340预订的多播组地址的信息。所述网络地址例如可以是IP地址。所述多播流可以被定义为一组分组,其组成向特定源和组(标记为(S,G))多播出去的数据。
多播流可以仅仅经由允许多播的网络被直接传输。不允许的网络中的路由器以及其它中间网络节点可以不转发包含多播报头的数据分组,因为不允许的设备可以不读取多播接收方地址,因此不知道向哪里转发所述多播分组。为了经由不允许的网络传输多播数据,源300可以经由单播隧道来传输多播分组,所述单播隧道开始于隧道网关310并且结束于隧道端点330。图3举例说明了仅涉及在多播源300和多播接收方340之间提供清晰传输路径的一个隧道的示例性路径。可以使用多个隧道并且下面相对于图4来论述。可以在隧道网关310把多播分组转换为封装分组以便经由单播隧道传送。隧道网关310可以加密并且验证多播分组,然后可以把已加密的并且已验证的分组封装在封装分组中。所述封装可以包括附加报头,其包括隧道的源和端点单播地址(例如,IP隧道中的源和目的地IP地址)。所述IP报头和数据分组的属性于是对于网络而言是不可见的。隧道网关310然后可以把多播分组作为封装分组经由不允许多播的网络向隧道端点330传输。
在隧道网关310传输之后,所述封装分组沿通向隧道端点330的隧道路径可以遇到多个中间节点设备,例如包括路由器320a和320b(统称为“路由器320”)(例如,单播节点)。路由器320可以用于沿特定路径向下一目的地转发分组,或者跳过,无论它是另一路由器还是最终目的地。路由器320可以审查附加于隧道分组的单播隧道报头,以便确定隧道分组的目的地地址。每个路由器320内的路由表可以由路由器320使用,以便确定哪个路径用于转发具有特定多播组地址的分组。使用路由表,路由器320可以确定用于隧道分组的正确路径,并且因此转发所述隧道分组。隧道网关310和隧道端点330之间的路径可以穿过多个中间节点,每一中间节点类似地转发所述隧道分组,直到它到达隧道端点330为止。如果没有封装单播报头,而是保留IP报头,那么不允许多播的节点设备不可以识别多播组地址,并且因此不能把分组路由到下一目的地,导致丢失分组。
隧道端点330可以接收封装分组。隧道端点330可以从封装分组中去除封装,并解密和验证最终分组。解密和验证过程产生具有IP报头和多播数据净荷的原始多播分组。基于在IP报头中发现的目的地,诸如多播组地址,隧道端点330可以向其它多播接收方340和另外的下游路由器转发多播分组。
现在参考图4,举例说明了使用多个隧道的示例性多播系统。多播源400可以向每个多播组的转发路由器410传输每个多播分组的副本。虽然为了简单而示出了连接,但是应该理解的是,多播源400和转发410可以依照任何适当方式与可能位于其间的另外中间设备(例如,路由器等)可操作地连接。另外,正如此处所定义的那样,多播组涉及一种已定义的多播组地址,基于所述地址,一组多播接收方460a-460h(统称为“多播接收方460”)可以连续地查找多播流。位于多播网络内的多播接收方460可以经由组密钥隧道420a-420c(统称为“组密钥隧道420”)之一以及预先存在的单播隧道425a-425c(“预先存在的单播隧道425”)之一被连接至多播流。在本实现方式中,每个隧道420涉及同一多播组,并因此提供使用相同的组密钥集合加密、验证并且封装的多播分组,但它们仍具有不同的IP目的地报头。应该理解的是,可以把另外的单播隧道集合用于不同的多播流。可以经由单播网络428(例如,因特网、局域网(LAN)等)为每个多播流并且为每对转发路由器410和下游路由器440建立组密钥隧道420和预先存在的单播隧道425。转发路由器410可以是可兼容路由器、网络服务器、计算机或者其它一些包括多播源400内的组件的隧道可兼容网络接口。
依照本发明的原理,可以从一个多播接收方460通过相关的一个预先存在的单播隧道425、经由相关的一个下游路由器440接收表明参与组密钥加密方案的加入请求。然后转发路由器410可以生成相关联的组密钥,并且再次经由相关的一个预先存在的单播隧道425与发出请求的一个下游路由器440交换密钥。然后转发路由器410可以使用组密钥来加密并且验证原始多播分组,并且封装所述多播分组,如上面参照图3所描述的那样,以便根据每一多播分组来形成封装分组。将在下面的附加细节中提出涉及所接收的加入请求、加密、验证和封装的附加细节。
转发路由器410还可以向每一封装分组附加IP报头,并且把每一封装分组经由适当的组密钥隧道420朝向每一发出请求的下游路由器440引导。与加密、验证和封装所述多播分组相关的处理可以统称为隧道封装处理,并且可以包括准备多播分组以便经由隧道420转发给下游路由器440所需的任何技术。
另外,应该理解的是,所示出的隧道数目仅仅是例证性的。根据用于探寻多播组数据的下游路由器数目和这些下游路由器希望加入的多播组(S,G)或者(*,G)的数目,可以存在任何数目的隧道。术语(S,G)指的是由源S和组地址G来识别多播组的方式。对于(*,G)组来说,多个源可以生成原始多播分组。可以经由对应于单播报头的适当一个组隧道420向下游路由器440a-440c(统称为“下游路由器440”)传输封装分组。例如,位于多播接收方端的下游路由器440可以是可兼容路由器、网络服务器、一个多播接收方460或者可以是其它一些隧道可兼容网络接口。此外,如果任何下游路由器440是网络服务器,那么充当下游路由器的网络服务器和多播接收方之间的网络应该是允许多播的,因此多播分组可以从下游路由器440传输给多播接收方460。否则,在转发路由器410和一个下游路由器440之间出现的上述方法将以类似方式在下游路由器440和路由器440(未示出)下游的另外路由器之间再次出现。
当到达一个下游路由器440时,每个封装分组可以被解封装、解密并且验证。然后可以由下游路由器440依照已知的方式把最终多播分组朝向多播接收方460路由。
图5是举例说明依照本发明原理的用于经由网络接收多播分组的一个示例性过程的流程图。在此示例性实现方式中,多播分组是从多播源400经由转发路由器410、隧道420b和下游路由器440b向多播接收方460d传输的。此实现方式仅仅是示例性的,并且依照本发明原理,可以利用任何适当的网络元件的组合。处理过程可以从下游路由器440b建立与转发路由器410的初始单播隧道425b以便于单播分组交换而开始(动作500)。一旦隧道420b已经被建立,就可以从多播接收方460d接收加入请求(动作502),所述加入请求表明接收方460d想要预订特定的多播组和所接收的涉及该组的传输。所述加入请求可以遵循所述领域已知的任何适当的多播协议。在符合本发明原理的一种实现方式中,所述加入请求可以是协议独立多播-分散模式(ProtocolIndependent Multicast-Sparse Mode,PIM-SM)加入请求。作为选择,还可以接收互联网组管理协议(Internet Group ManagementProtocol,IGMP)加入请求。无论所使用的协议如何,所接收的加入请求应该至少包括表示希望加入的多播组的指示(例如,多播组地址)。
当接收到加入请求时,下游路由器440b经由预先存在的单播隧道425b把所述加入请求转发至转发路由器410(动作504)。正如下面在附加细节中论述的那样,转发路由器410生成与下游路由器440b相关联的组加密和验证密钥(统称为“组密钥”)。传输加入请求之后,下游路由器440b可以从转发路由器410接收安全关联参数(动作505)。在符合本发明原理的一种实现方式中,所述安全关联参数可以包括涉及转发路由器410所采用的组密钥方案的特殊内容,包括但不限于密钥使用期限、所使用的密码、密钥长度、重叠处理指令、请求消息、确认消息、状态和错误消息、翻转协议等。一旦已经交换了安全参数,那么就把所生成的密钥经由预先存在的单播隧道425b传递给下游路由器440b并由其接收(动作506)。然后,转发路由器410使用所述组密钥来加密并且验证与所选多播组相关联的每一输入多播分组,并且把最终净荷封装为具有隧道IP报头的封装分组,所述隧道IP报头并入用于封装净荷的源和目的地地址(例如,转发路由器410和下游路由器440b)。接下来,根据隧道IP报头源和目的地地址来建立组密钥隧道420b,以便接纳封装分组(动作507)。然后,经由组密钥隧道420b把封装分组传输给下游路由器440b并由其接收(动作508)。然后把所接收的分组解封装,由此除去隧道IP报头并且保留加密的并且验证的数据净荷(动作510)。然后,使用在动作506中接收的组密钥并且依照协商的安全关联参数来解密所接收的分组,以便揭露初始多播分组(动作512)。然后,下游路由器440b可以分析原始多播分组的报头,以便基于报头中的组(目的地)地址来识别多播接收方正在哪个接口上查找所述分组(动作514)。然后把已解封装并已解密的分组向已识别出的接口上的多播接收方460d转发出去(动作516)。
图6举例说明了用于经由隧道在源和接收方之间进行安全多播数据传输的示例性方法。最初,如上简述的那样,转发路由器410经由预先存在的单播隧道425b从下游路由器440b接收加入请求(动作600)。作为响应,转发路由器410首先确定先前是否已经为特定多播组接收了加入请求(动作602)。如果是,那么所述过程进行到如下所述的动作606。然而,如果先前没有接收到加入请求,那么转发路由器410可以与下游路由器440b交换安全关联参数(动作603)。如上所述,所述安全关联参数可以包括涉及转发路由器410采用的组密钥方案的特殊内容,诸如密钥使用期限、所使用的密码、密钥长度、翻转协议等。至少基于多播组来生成组加密和验证密钥(动作604)。此形式的组密钥可以由习语Kg p来表示,其中‘p’表示密钥类型,而‘g’表示多播组。因此,组密钥的一个示例性集合是作为验证密钥的K239.1.1.1 α和作为加密密钥的K239.1.1.1 e,其中239.1.1.1是所期望的多播组的IP地址。在符合本发明原理的候选实现方式中,所述组密钥还可以基于与转发路由器410相关联的寻址信息。在此实现方式中,对于验证密钥和加密密钥而言,所述组密钥可以分别表示为K5.5.5.1,239.1.1.1 α和K5.5.5.1,239.1.1.1 e,其中5.5.5.1是转发路由器410的IP地址。
一旦生成,就可以经由预先存在的单播隧道425b把组密钥转发给下游路由器440b,以便允许随后对所接收的多播分组进行解密和验证(动作606)。当从多播源400接收与所选多播组(例如具有239.1.1.1的目的地IP地址)相关联的多播分组时,转发路由器410最初使用在动作604中生成的组密钥来加密并验证分组报头和净荷信息,以便生成加密并验证的多播分组(动作608)。接下来,封装已加密和验证的多播分组以便形成封装分组的封装净荷(动作610)。在一种实现方式中,所述净荷可以是封装安全净荷(Encapsulating Security Payload,ESP),正如由IETF(互联网工程工作小组,Internet Engineering Task Force)出版的RFC 2406中定义的。
然后确定组密钥隧道的后续跳(动作611)。更具体地说,识别用于接收所述分组的下一个或多个下游路由器的目的地地址。然后可以把隧道IP报头添加至封装净荷以便形成封装分组(动作612)。在符合本发明原理的一种实现方式中,所述隧道IP报头包括分别与转发路由器410和下游路由器440b相关联的源和目的地地址,如在动作611中所识别的。依照这些地址,然后可以在转发路由器410和下游路由器440b之间建立组密钥隧道420b,以便于多播分组的交换(动作613)。
依照此方式,每个多播组只需要一个封装,无论预订所述多播组的多播接收方的数目如何都如此。因此,前往不同下游路由器440的封装分组之间的唯一差别是所添加的隧道IP报头。封装后,经由组密钥隧道420b把接收到的多播分组转发至下游路由器440b(动作614)。接下来确定是否还有未被服务的任何下游路由器(动作616)。如果是,那么过程返回到动作611,其中确定适当的下一跳。如果没有,那么由于多播分组已经被路由至所有发出请求的下游路由器,所以过程结束。
图7是举例说明符合本发明原理的加密方案的一种示例性实现方式的示意图。如图7所示,由转发路由器410接收到的多播分组700可以包括UDP(用户数据报协议)报头(UDP)702、IP报头(IP)704和净荷(P)706。当由转发路由器410加密后,可以生成并入多播分组700的已加密多播分组708。
图8是举例说明符合本发明原理的封装方案的一种示例性实现方式的示意图。如图8所示,符合本发明原理的封装可以生成并入在图7中描述的已加密多播分组708、用于便于解封装的ESP报头802以及用于便于所接收分组的验证的验证报尾804的封装净荷800。
图9是举例说明符合本发明原理的封装分组的若干示例性实现方式的示意图。更具体地说,所示出的第一封装分组900包括图8的封装净荷800以及与第一下游路由器440a相关联的IP报头(IP′)902。另外,所示出的第二封装分组904也包括图8的封装净荷800以及与第二下游路由器440b相关联的第二IP报头(IP”)906。所示出的第三封装分组908也包括图8的封装净荷800以及与第三下游路由器440c相关联的第三IP报头(IP)910。如图所示,使用符合本发明原理的组密钥和封装方案,只需要为每个多播分组执行一次加密、验证和封装,下游路由器指定由附加于封装分组的不同IP报头来提供,由此基本上减小了用于多播处理的开销。
在图10中描述了经由IP网络环境进行多播数据传输的一种示例性实现方式。最初,可以在转发路由器410和每一下游路由器440之间创建IPsec单播隧道425的第一集合(动作1000)。IPsec可以提供包括隧道安全关联构造的隧道安全特性的范围。隧道安全关联可以包括对隧道的访问控制、加密密钥和验证密钥。
在建立从转发路由器410至下游路由器440的IPsec隧道425之后,一个或多个下游路由器440可以从多播接收方460接收加入请求,以便加入具有定义地址的特定多播组(动作1002)。作为响应,接收的下游路由器440可以确定转发路由器410是否支持组密钥加密/验证方案(动作1004)。在一种实现方式中,下游路由器440维护一个表,所述表基于多播组的(S,G)或者(*,G)来表明参与组密钥加密方案。参考此表可以允许下游路由器440确定转发路由器410的参与和执行组密钥隧道功能的能力。如果确定转发路由器410支持组密钥加密,那么可以把加入请求经由相关联的隧道425发送给转发路由器410表明组密钥参与(动作1006)。
当接收到所述加入请求后,转发路由器410经由隧道425与发出请求的下游路由器440交换安全参数(动作1007),并且依照上面就图6提出的方式来生成用于验证和加密的组密钥(动作1008)。在符合本发明原理的候选实现方式中,另外的下游路由器也许已经发送用于多播组的信号,由此由转发路由器410先前触发组密钥生成。不论是哪种情况,都经由隧道425把组密钥转发给发出请求的下游路由器440,以用于解密并且验证接收的封装分组(动作1010)。接下来,使用在动作1008中生成的组密钥来加密、验证并且封装输入的多播分组以便生成封装净荷(动作1012)。
接下来,转发路由器410识别与每一发出请求的下游路由器440相关联的IP地址(动作1014),并且为每个识别出的下游路由器440生成封装分组(动作1016),其中单个封装分组包括在动作1012中生成的封装净荷的副本和唯一的IP报头,所述唯一的IP报头包括与相应的下游路由器440相关联的目的地IP地址。另外,识别出发出请求的下游路由器440之后,可以建立组密钥IPsec隧道420以便于在转发路由器410和下游路由器440之间交换封装分组(动作1018)。然后经由隧道420向在每一封装分组的隧道IP报头中识别出的下游路由器440转发所述封装分组(动作1020)。
一旦由下游路由器440接收,就使用在动作1010中接收的组密钥来解封装、解密并且验证封装分组或进行其它密码处理,以便生成原始多播分组(动作1022)。然后依照多播分组的多播目的地地址经由适当接口把多播分组朝向多播接收方460转发(动作1024)。通过允许使用与单个IPSec隧道相关联的组密钥来加密并且封装多播分组,不需要为每个接收方逐一地对多播分组进行密码处理。
上述步骤的顺序可以改变,而不会影响结果。例如,可以在使用该组隧道的安全关联中的那些密钥创建了任何特定封装净荷之后来分发组密钥,为每个组隧道420生成的安全关联具有相同的密钥。另外,如果已经接收到请求,由此获知多播接收方,那么可以定义组并且在没有首先在多播源400和每个多播接收方460之间生成单个隧道的情况下形成组隧道420。
实施例可以依照数字电子电路、计算机硬件、固件或者软件或者其组合来实现。实施例可以作为计算机程序产品来实现,即,可确实嵌入在例如机器可读存储设备或者传送信号的信息载体中的计算机程序,以便由例如可编程处理器、计算机或者多个计算机的数据处理设备来执行或者用于控制它们的操作。可以依照任何形式的程序设计语言来编写计算机程序,包括编译或者解释语言,并且其可以采用各种形式,包括按照独立程序或者按照模块、组件、子程序或者适用于计算环境的其它部件的形式。计算机程序可以被采用以便在处于一个场所的一台或多台计算机上执行,或者跨越由通信网络互联的多个场所来分布。
各实施例的方法动作可以由一个或多个可编程处理器来执行,所述一个或多个可编程处理器用于执行计算机程序以便通过对输入数据操作并且生成输出来执行符合本发明原理的功能。方法动作还可以由符合本发明原理的设备来执行,所述设备可作为专用逻辑电路来实现,例如FPGA(现场可编程门阵列)或者ASIC(专用集成电路)。
适用于执行计算机程序的处理器例如可以包括通用和专用微处理器以及任何类型的数字计算机的任意一个或多个处理器。通常,处理器将接收来自只读存储器或者随机存取存储器或者它们两者的指令和数据。计算机的基本元件是用于执行指令的处理器和用于存储指令和数据的一个或多个存储器设备。通常,计算机还可以包括、或者可以被可操作地耦合以便从用于存储数据的一个或多个大容量存储设备接收或向其转送数据,所述大容量存储设备例如是磁盘、磁光盘或者光盘。适用于具体实现计算机程序指令和数据的信息载体可以包括所有形式的非易失性存储器,例如包括诸如EPROM、EEPROM和闪存设备的半导体存储器设备,例如内部硬盘或者移动盘、磁光盘、CD-ROM和DVD-ROM盘的磁盘。处理器和存储器可以由专用逻辑电路来补充或者并入专用逻辑电路中。
符合本发明原理的实施例可以依照计算系统来实现,所述计算系统可以包括诸如数据服务器的后端组件,或者其可以包括媒件组件,例如应用服务器,或者其可以包括前端组件,例如具有图形用户界面或者网络浏览器的客户端计算机,借此,用户可以与本发明的实现方式交互,或者可以包括这种后端、媒件或者前端组件的组合。所述系统的组件可以通过任何形式或者任何介质的数字数据通信、例如通信网络来互连。通信网络的例子可以包括局域网(“LAN”)和广域网(“WAN”),例如,因特网。
所述计算系统可以包括客户端和服务器。客户端和服务器一般彼此远离,并且通常可以经由通信网络来相互作用。客户端和服务器的关系是借助于在相应计算机上运行并且具有客户端-服务器彼此关系的计算机程序来实现。
已经描述了本发明的多个实施例。尽管如此,应该理解的是,在不脱离本发明的精神和发明范围的情况下可以作出各种修改。
Claims (30)
1.一种用于经由网络提供安全多播传输的方法,包括:
从第一下游路由器接收第一加入请求,所述加入请求表明待加入的多播组;
向所述第一下游路由器发送组密钥,其中所述组密钥至少基于所述多播组;
使用所述组密钥对第一分组进行密码处理以便生成封装净荷;
向所述封装净荷添加第一报头以形成第一封装分组;
基于所添加的第一报头来建立与第一下游路由器的隧道;以及
经由所述隧道向第一下游路由器发送第一封装分组。
2.如权利要求1所述的方法,包括:
响应于所接收的第一加入请求,与第一下游路由器交换安全关联参数。
3.如权利要求2所述的方法,其中,所述安全关联参数包括从包含如下内容的组中选择的参数:组密钥使用期限、所使用的密码、密钥长度、重叠处理指令、请求消息、确认消息、状态和错误消息以及翻转协议。
4.如权利要求1所述的方法,
响应于所接收的第一加入请求,确定先前是否已经为所述多播组生成组密钥;以及
如果先前没有为所述多播组生成组密钥,则生成至少基于所述多播组的组密钥。
5.如权利要求1所述的方法,其中,所述组密钥还基于多播源的地址和多播组的地址。
6.如权利要求1所述的方法,其中,所述第一下游路由器可操作地连接到至少一个多播接收方。
7.如权利要求1所述的方法,其中,所述组密钥包括组加密密钥和组验证密钥。
8.如权利要求1所述的方法,其中,密码处理包括使用所述组密钥来加密所述分组。
9.如权利要求1所述的方法,其中,密码处理包括使用所述组密钥来验证所述分组。
10.如权利要求1所述的方法,其中,密码处理包括封装所述分组。
11.如权利要求10所述的方法,其中,封装所述分组包括生成并入所述分组的封装安全净荷(ESP)。
12.如权利要求1所述的方法,其中,所述第一报头包括与转发路由器相关联的源网际协议(IP)地址,以及与第一下游路由器相关联的目的地IP地址。
13.如权利要求1所述的方法,其中,所述隧道是单播隧道。
14.如权利要求13所述的方法,其中,所述隧道是网际协议安全(IPsec)隧道。
15.如权利要求1所述的方法,其中,从第一下游路由器接收所述第一加入请求包括:经由预先存在的隧道从第一下游路由器接收所述第一加入请求,其中所述预先存在的隧道是在转发路由器和第一下游路由器之间建立的;以及其中向第一下游路由器发送所述组密钥包括:经由预先存在的隧道向第一下游路由器发送所述组密钥。
16.如权利要求1所述的方法,包括:
从第二下游路由器接收第二加入请求;
把所述组密钥发送至第二下游路由器;
复制所述封装净荷;
向已复制的封装净荷添加第二报头以形成第二封装分组;
基于所添加的第二报头,在转发路由器和第二下游路由器之间建立第二隧道;并且
经由所述第二隧道向第二下游路由器发送第二封装分组。
17.如权利要求16所述的方法,其中,所述第二报头包括与转发路由器相关联的源网际协议(IP)地址,以及与第二下游路由器相关联的第二目的地IP地址。
18.一种用于经由网络接收多播传输的方法,所述方法包括:
经由单播隧道向转发路由器发送加入请求,所述单播隧道是在转发路由器和第一下游路由器之间建立的,所述加入请求表明待加入的多播组;
响应于发送的加入请求而接收组密钥,所述组密钥至少基于所述多播组;
在转发路由器和第一下游路由器之间建立组密钥隧道;
经由组密钥隧道接收封装分组;
使用所述组密钥对封装分组进行密码处理以便揭示多播分组,所述多播分组包括具有多播目的地地址的网际协议(IP)报头;并且
在接口上向对应于所述多播目的地地址的至少一个多播接收方转发所述多播分组。
19.如权利要求18所述的方法,包括:在传输所述加入请求之后,从转发路由器接收安全关联参数。
20.如权利要求18所述的方法,其中,所述转发路由器是发起多播分组的多播源。
21.如权利要求18所述的方法,其中,所述封装分组包括单播IP报头,所述单播IP报头包括对应于转发路由器的源地址以及对应于下游路由器的目的地地址。
22.如权利要求18所述的方法,包括:
确定所述转发路由器是否支持组密钥处理;以及
如果所述转发路由器支持组密钥处理,则向所述转发路由器发送加入请求,其中所述加入请求表明参与组密钥方案。
23.如权利要求18所述的方法,其中所述单播隧道和所述组密钥隧道是IP安全(IPsec)隧道。
24.一种用于在计算机网络内接收和发送分组的设备,所述设备被配置成:
经由第一隧道从第一下游路由器接收第一加入请求,所述第一隧道是在第一下游路由器和转发路由器之间建立的,所述第一加入请求表明待加入的多播组;
经由第一隧道向第一下游路由器发送至少基于所述多播组的组密钥;
使用所述组密钥对第一分组进行密码处理以便生成封装净荷;
向所述封装净荷添加第一报头以便形成第一封装分组,其中所述第一报头包括与第一下游路由器相关联的信息;
基于所添加的第一报头来建立与第一下游路由器的第二隧道;以及
经由所述第二隧道向第一下游路由器发送第一封装分组。
25.如权利要求24所述的设备,其中,所述隧道包括网际协议安全(IPsec)隧道。
26.如权利要求24所述的设备,其中,所述网络设备还被配置成:
响应于所接收的第一加入请求,与第一下游路由器交换安全关联参数。
27.一种用于在计算机网络内接收和发送分组的设备,所述设备被配置成:
经由第一单播隧道从第一下游路由器接收第一加入请求,其中所述第一单播隧道是在第一下游路由器和转发路由器之间建立的;
经由第二单播隧道从第二下游路由器接收第二加入请求,其中所述第二单播隧道是在第二下游路由器和转发路由器之间建立的,
其中所述第一和第二加入请求表明待加入的多播组;
生成至少基于多播组的组密钥;
经由所述第一单播隧道向第一下游路由器发送组密钥;
经由所述第二单播隧道向第二下游路由器发送组密钥;
使用所述组密钥对第一多播分组进行密码处理以便生成封装净荷;
向封装净荷添加第一单播网际协议(IP)报头以便形成第一封装分组,其中所述第一单播IP报头与第一下游路由器相关联;
基于所添加的第一单播IP报头来建立与第一下游路由器的第一组密钥隧道;
复制所述封装净荷;
向复制的封装净荷添加第二单播网际协议(IP)报头以便形成第二封装分组,其中所述第二单播IP报头与第二下游路由器相关联;
基于所添加的第二单播IP报头来建立与第二下游路由器的第二组密钥隧道;
经由所述第一组密钥隧道向第一下游路由器发送第一封装分组;以及
经由所述第二组密钥隧道向第二下游路由器发送第二封装分组。
28.如权利要求27所述的设备,其中所述设备被配置成:
响应于所接收的第一加入请求,确定先前是否已经为所述多播组生成组密钥;以及
如果先前没有为所述多播组生成组密钥,则生成至少基于所述多播组的组密钥。
29.一种用于在计算机网络内接收和发送分组的设备,包括:
用于经由第一隧道从第二隧道端点接收加入请求的部件,所述第一隧道是在第一隧道端点和第二隧道端点之间建立的,所述加入请求表明待加入的多播组;
用于经由第一隧道向第二隧道端点发送至少基于所述多播组的组密钥的部件;
用于使用所述组密钥对第一分组进行密码处理以便生成封装净荷的部件;
用于向封装净荷添加报头以形成封装分组的部件,其中所述报头包括与第二隧道端点相关联的信息;
用于基于所添加的报头而在第一隧道端点和第二隧道端点之间建立第二隧道的部件;以及
用于经由所述第二隧道向第二隧道端点发送封装分组的部件。
30.如权利要求29所述的设备,包括:
用于响应于所接收的加入请求,在第二隧道端点和第一隧道端点之间交换安全参数的部件。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US51634603P | 2003-10-31 | 2003-10-31 | |
US60/516,346 | 2003-10-31 | ||
PCT/US2004/035735 WO2005046126A1 (en) | 2003-10-31 | 2004-10-29 | Secure transport of multicast traffic |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1890920A true CN1890920A (zh) | 2007-01-03 |
CN1890920B CN1890920B (zh) | 2011-01-26 |
Family
ID=34572879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004800363527A Active CN1890920B (zh) | 2003-10-31 | 2004-10-29 | 多播通信业务的安全传送 |
Country Status (3)
Country | Link |
---|---|
US (3) | US7587591B2 (zh) |
CN (1) | CN1890920B (zh) |
WO (1) | WO2005046126A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746893A (zh) * | 2013-12-19 | 2014-04-23 | 柳州职业技术学院 | 一种针对ip数据包的安全型隐蔽通信方法 |
CN102160401B (zh) * | 2009-02-12 | 2014-12-17 | 上海贝尔股份有限公司 | 在固定网络中传送移动组播业务的方法和装置 |
CN106134144A (zh) * | 2014-02-04 | 2016-11-16 | 迪潘卡·散尔卡 | 可靠性组播数据传送系统以及方法 |
Families Citing this family (86)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI297335B (en) * | 2001-07-10 | 2008-06-01 | Synta Pharmaceuticals Corp | Taxol enhancer compounds |
ATE378759T1 (de) | 2003-05-06 | 2007-11-15 | Cvon Innovations Ltd | Nachrichtenübertragungssystem und nachrichtendienst |
GB0321337D0 (en) | 2003-09-11 | 2003-10-15 | Massone Mobile Advertising Sys | Method and system for distributing advertisements |
CN1890920B (zh) | 2003-10-31 | 2011-01-26 | 丛林网络公司 | 多播通信业务的安全传送 |
US20050129236A1 (en) * | 2003-12-15 | 2005-06-16 | Nokia, Inc. | Apparatus and method for data source authentication for multicast security |
US7512085B2 (en) * | 2004-06-24 | 2009-03-31 | International Business Machines Corporation | Method for multicast tunneling for mobile devices |
CA2577428C (en) * | 2004-08-16 | 2013-12-10 | Qualcomm Flarion Technologies, Inc. | Methods and apparatus for managing group membership for group communications |
JP4407452B2 (ja) * | 2004-09-29 | 2010-02-03 | 株式会社日立製作所 | サーバ、vpnクライアント、vpnシステム、及びソフトウェア |
US20080072035A1 (en) * | 2005-01-31 | 2008-03-20 | Johnson Robert A | Securing multicast data |
WO2006085292A1 (en) * | 2005-02-14 | 2006-08-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for performing bridging of data traffic over an access domain |
JP4486902B2 (ja) * | 2005-03-01 | 2010-06-23 | 富士通株式会社 | ネットワークシステム及びゲートウェイ装置 |
US20060227772A1 (en) * | 2005-03-30 | 2006-10-12 | Fujitsu Limited | Method and system for packet data communication between networks |
US8102846B2 (en) * | 2005-03-31 | 2012-01-24 | Alcatel Lucent | Method and apparatus for managing a multicast tree using a multicast tree manager and a content server |
JP2006295787A (ja) * | 2005-04-14 | 2006-10-26 | Matsushita Electric Ind Co Ltd | 情報処理システム、情報処理装置、及び情報処理方法 |
US7761702B2 (en) * | 2005-04-15 | 2010-07-20 | Cisco Technology, Inc. | Method and apparatus for distributing group data in a tunneled encrypted virtual private network |
EP1727328A1 (en) * | 2005-05-25 | 2006-11-29 | Alcatel | Network node, module therefor and distribution method |
US7672306B2 (en) * | 2005-07-18 | 2010-03-02 | Stewart Ian A | Method for secure reliable point to multi-point bi-directional communications |
US7877387B2 (en) | 2005-09-30 | 2011-01-25 | Strands, Inc. | Systems and methods for promotional media item selection and promotional program unit generation |
US8102847B2 (en) * | 2005-12-09 | 2012-01-24 | Nec Corporation | Frame processing method and frame processing apparatus |
US8176317B2 (en) * | 2006-01-19 | 2012-05-08 | Helius, Inc. | System and method for multicasting IPSec protected communications |
US20070214502A1 (en) * | 2006-03-08 | 2007-09-13 | Mcalister Donald K | Technique for processing data packets in a communication network |
KR101088620B1 (ko) * | 2006-04-24 | 2011-11-30 | 노키아 코포레이션 | 무선 네트워크에서의 신뢰할 수 있는 멀티캐스트/브로드캐스트용 장치 및 방법 |
US7774837B2 (en) * | 2006-06-14 | 2010-08-10 | Cipheroptics, Inc. | Securing network traffic by distributing policies in a hierarchy over secure tunnels |
ES2577291T3 (es) * | 2006-06-27 | 2016-07-14 | Waterfall Security Solutions Ltd. | Enlaces unidireccionales seguros desde y hacia un motor de seguridad |
US9680880B2 (en) * | 2006-07-11 | 2017-06-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for supporting IP multicast |
US20080222693A1 (en) * | 2006-08-08 | 2008-09-11 | Cipheroptics, Inc. | Multiple security groups with common keys on distributed networks |
US8082574B2 (en) * | 2006-08-11 | 2011-12-20 | Certes Networks, Inc. | Enforcing security groups in network of data processors |
IL177756A (en) * | 2006-08-29 | 2014-11-30 | Lior Frenkel | Encryption-based protection against attacks |
US20080072281A1 (en) * | 2006-09-14 | 2008-03-20 | Willis Ronald B | Enterprise data protection management for providing secure communication in a network |
US20080072033A1 (en) * | 2006-09-19 | 2008-03-20 | Mcalister Donald | Re-encrypting policy enforcement point |
US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
US8284943B2 (en) * | 2006-09-27 | 2012-10-09 | Certes Networks, Inc. | IP encryption over resilient BGP/MPLS IP VPN |
US8607301B2 (en) * | 2006-09-27 | 2013-12-10 | Certes Networks, Inc. | Deploying group VPNS and security groups over an end-to-end enterprise network |
US8046820B2 (en) * | 2006-09-29 | 2011-10-25 | Certes Networks, Inc. | Transporting keys between security protocols |
US8104082B2 (en) * | 2006-09-29 | 2012-01-24 | Certes Networks, Inc. | Virtual security interface |
IL180020A (en) * | 2006-12-12 | 2013-03-24 | Waterfall Security Solutions Ltd | Encryption -and decryption-enabled interfaces |
US20080162922A1 (en) * | 2006-12-27 | 2008-07-03 | Swartz Troy A | Fragmenting security encapsulated ethernet frames |
IL180748A (en) * | 2007-01-16 | 2013-03-24 | Waterfall Security Solutions Ltd | Secure archive |
US8392593B1 (en) | 2007-01-26 | 2013-03-05 | Juniper Networks, Inc. | Multiple control channels for multicast replication in a network |
US7864762B2 (en) * | 2007-02-14 | 2011-01-04 | Cipheroptics, Inc. | Ethernet encryption over resilient virtual private LAN services |
US8687536B2 (en) * | 2007-02-23 | 2014-04-01 | Qualcomm Incorporated | Method and apparatus to create multicast groups based on proximity |
GB2438475A (en) | 2007-03-07 | 2007-11-28 | Cvon Innovations Ltd | A method for ranking search results |
EP2119110B1 (en) | 2007-03-12 | 2018-10-03 | Nokia Technologies Oy | Establishment of reliable multicast/broadcast in a wireless network |
GB2441399B (en) | 2007-04-03 | 2009-02-18 | Cvon Innovations Ltd | Network invitation arrangement and method |
US8671000B2 (en) | 2007-04-24 | 2014-03-11 | Apple Inc. | Method and arrangement for providing content to multimedia devices |
CN101355425A (zh) | 2007-07-24 | 2009-01-28 | 华为技术有限公司 | 组密钥管理中实现新组员注册的方法、装置及系统 |
US20090034738A1 (en) * | 2007-07-31 | 2009-02-05 | Charles Rodney Starrett | Method and apparatus for securing layer 2 networks |
FR2922392B1 (fr) * | 2007-10-12 | 2011-03-04 | Thales Sa | Dispositif et procede pour aiguiller des flux d'echange de valeurs publiques (ou non sensibles) permettant de creer des cles secretes communes entre plusieurs zones. |
US8223205B2 (en) | 2007-10-24 | 2012-07-17 | Waterfall Solutions Ltd. | Secure implementation of network-based sensors |
JP4993202B2 (ja) * | 2007-12-10 | 2012-08-08 | 横河電機株式会社 | フィールドネットワークシステム |
US20090161590A1 (en) * | 2007-12-19 | 2009-06-25 | Motorola, Inc. | Multicast data stream selection in a communication system |
US20100023752A1 (en) * | 2007-12-27 | 2010-01-28 | Motorola, Inc. | Method and device for transmitting groupcast data in a wireless mesh communication network |
JP4535163B2 (ja) * | 2008-04-08 | 2010-09-01 | ソニー株式会社 | 情報処理システム、通信端末、情報処理装置、およびプログラム |
US8307422B2 (en) | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
US8713627B2 (en) | 2008-08-14 | 2014-04-29 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
US8176012B1 (en) * | 2008-10-06 | 2012-05-08 | Netapp, Inc. | Read-only mirroring for load sharing |
US8510551B1 (en) * | 2008-11-10 | 2013-08-13 | Juniper Networks, Inc. | Policy handling for multicast transmissions |
CN101640787B (zh) * | 2009-08-24 | 2011-10-26 | 中兴通讯股份有限公司 | 一种层次化控制访问组播组的方法和装置 |
WO2011025876A1 (en) * | 2009-08-27 | 2011-03-03 | Interdigital Patent Holdings, Inc. | Method and apparatus for solving limited addressing space in machine-to-machine (m2m) environments |
US9367847B2 (en) | 2010-05-28 | 2016-06-14 | Apple Inc. | Presenting content packages based on audience retargeting |
US9363102B1 (en) * | 2010-12-21 | 2016-06-07 | Amazon Technologies, Inc. | Methods and apparatus for implementing anycast flow stickiness in stateful sessions |
US8830999B2 (en) * | 2011-07-06 | 2014-09-09 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic updating of a label switched path |
KR101240552B1 (ko) * | 2011-09-26 | 2013-03-11 | 삼성에스디에스 주식회사 | 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법 |
JP5824326B2 (ja) * | 2011-10-28 | 2015-11-25 | キヤノン株式会社 | 管理装置、管理方法、およびプログラム |
US9203512B2 (en) * | 2012-07-24 | 2015-12-01 | Verizon Patent And Licensing Inc. | Distinguishing light in single fiber transceivers |
US9635037B2 (en) | 2012-09-06 | 2017-04-25 | Waterfall Security Solutions Ltd. | Remote control of secure installations |
US9998291B1 (en) * | 2012-11-29 | 2018-06-12 | vIPtela Inc. | Multicast routing based on a unicast transport network |
US9419975B2 (en) | 2013-04-22 | 2016-08-16 | Waterfall Security Solutions Ltd. | Bi-directional communication over a one-way link |
US9288186B2 (en) * | 2013-06-04 | 2016-03-15 | Cisco Technology, Inc. | Network security using encrypted subfields |
US9825759B2 (en) * | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
JP6311253B2 (ja) * | 2013-09-24 | 2018-04-18 | セイコーエプソン株式会社 | 通信装置 |
US9444796B2 (en) * | 2014-04-09 | 2016-09-13 | Cisco Technology, Inc. | Group member recovery techniques |
US9608945B2 (en) * | 2014-05-30 | 2017-03-28 | Apple Inc. | Sending messages to multiple receiving electronic devices using a message server |
IL235175A (en) | 2014-10-19 | 2017-08-31 | Frenkel Lior | Secure desktop remote control |
CN104735665A (zh) * | 2015-03-19 | 2015-06-24 | 上海斐讯数据通信技术有限公司 | 一种基于单播技术的多设备同时接入移动终端网络的方法 |
IL250010B (en) | 2016-02-14 | 2020-04-30 | Waterfall Security Solutions Ltd | Secure connection with protected facilities |
US10693866B2 (en) * | 2016-04-01 | 2020-06-23 | Intel Corporation | System, apparatus and method for first hop security |
US20180019976A1 (en) * | 2016-07-14 | 2018-01-18 | Intel Corporation | System, Apparatus And Method For Massively Scalable Dynamic Multipoint Virtual Private Network Using Group Encryption Keys |
US10511548B2 (en) * | 2017-06-22 | 2019-12-17 | Nicira, Inc. | Multicast packet handling based on control information in software-defined networking (SDN) environment |
US10652220B1 (en) | 2018-05-09 | 2020-05-12 | Architecture Technology Corporation | Systems and methods for secure data transport |
US10979402B1 (en) * | 2018-05-09 | 2021-04-13 | Architecture Technology Corporation | Systems and methods for data in transit encryption |
US11316797B2 (en) * | 2018-07-24 | 2022-04-26 | Vmware, Inc. | Queue filter configuration for multicast packet handling |
US11652503B2 (en) * | 2020-01-03 | 2023-05-16 | Westcom Wireless, Inc | Full duplex transceiver amplifier assembly, communication system including same, and associated method |
US11412007B2 (en) * | 2020-03-16 | 2022-08-09 | Juniper Networks, Inc. | Lawfully intercepting traffic and providing the traffic to a content destination based on chained traffic tapping |
WO2021184271A1 (zh) * | 2020-03-18 | 2021-09-23 | 华为技术有限公司 | 一种消息转发方法及装置 |
CN116489244B (zh) * | 2023-06-25 | 2023-10-20 | 中电科网络安全科技股份有限公司 | 一种业务数据处理方法、装置、电子设备和存储介质 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030037235A1 (en) * | 1998-08-19 | 2003-02-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
US6606706B1 (en) | 1999-02-08 | 2003-08-12 | Nortel Networks Limited | Hierarchical multicast traffic security system in an internetwork |
US6643773B1 (en) * | 1999-04-13 | 2003-11-04 | Nortel Networks Limited | Apparatus and method for authenticating messages in a multicast |
US7127610B1 (en) * | 1999-06-02 | 2006-10-24 | Nortel Networks Limited | Apparatus and method of implementing multicast security between multicast domains |
US7181014B1 (en) * | 1999-09-10 | 2007-02-20 | Cisco Technology, Inc. | Processing method for key exchange among broadcast or multicast groups that provides a more efficient substitute for Diffie-Hellman key exchange |
US7360084B1 (en) * | 2000-05-15 | 2008-04-15 | Nortel Networks Limited | System, device, and method for controlling access in a multicast communication network |
US6965883B2 (en) * | 2002-02-20 | 2005-11-15 | Nokia Corporation | Charging mechanism for multicasting |
US20030233540A1 (en) * | 2002-06-13 | 2003-12-18 | International Business Machines Corporation | System and method for secured delivery of content stream across multiple channels |
US7236465B2 (en) * | 2002-06-13 | 2007-06-26 | International Business Machines Corporation | System and method for gathering multicast content receiver data |
EP1463257B1 (en) * | 2003-03-27 | 2006-06-07 | Motorola Inc. | Communication between a private network and a roaming mobile terminal |
US20050066371A1 (en) * | 2003-09-19 | 2005-03-24 | Bin Lu | Mobile digital security system and method |
CN1890920B (zh) | 2003-10-31 | 2011-01-26 | 丛林网络公司 | 多播通信业务的安全传送 |
-
2004
- 2004-10-29 CN CN2004800363527A patent/CN1890920B/zh active Active
- 2004-10-29 WO PCT/US2004/035735 patent/WO2005046126A1/en active Application Filing
- 2004-10-29 US US10/976,026 patent/US7587591B2/en active Active
-
2009
- 2009-07-30 US US12/512,098 patent/US8132000B2/en active Active
-
2011
- 2011-11-30 US US13/308,254 patent/US8433900B2/en active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102160401B (zh) * | 2009-02-12 | 2014-12-17 | 上海贝尔股份有限公司 | 在固定网络中传送移动组播业务的方法和装置 |
CN103746893A (zh) * | 2013-12-19 | 2014-04-23 | 柳州职业技术学院 | 一种针对ip数据包的安全型隐蔽通信方法 |
CN106134144A (zh) * | 2014-02-04 | 2016-11-16 | 迪潘卡·散尔卡 | 可靠性组播数据传送系统以及方法 |
Also Published As
Publication number | Publication date |
---|---|
US8132000B2 (en) | 2012-03-06 |
US7587591B2 (en) | 2009-09-08 |
US20120144191A1 (en) | 2012-06-07 |
CN1890920B (zh) | 2011-01-26 |
WO2005046126A1 (en) | 2005-05-19 |
US20050138369A1 (en) | 2005-06-23 |
US8433900B2 (en) | 2013-04-30 |
US20090292917A1 (en) | 2009-11-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1890920B (zh) | 多播通信业务的安全传送 | |
US7360084B1 (en) | System, device, and method for controlling access in a multicast communication network | |
EP1869865B1 (en) | Method and apparatus for distributing group data in a tunneled encrypted virtual private network | |
CN109565510B (zh) | 使用随机加密密码本加密法进行安全通信的系统和方法 | |
US9571458B1 (en) | Anti-replay mechanism for group virtual private networks | |
EP0702477B1 (en) | System for signatureless transmission and reception of data packets between computer networks | |
US20070186281A1 (en) | Securing network traffic using distributed key generation and dissemination over secure tunnels | |
Hardjono et al. | Multicast and group security | |
CN110690961B (zh) | 一种量子网络功能虚拟化方法与装置 | |
CN110677241B (zh) | 一种量子网络虚拟化架构方法与装置 | |
Weis et al. | Multicast extensions to the security architecture for the internet protocol | |
CN101843030B (zh) | 使用安全实时传输协议重传数据的中间发送方和方法 | |
WO2018214701A1 (zh) | 一种数据报文发送方法、网络设备、控制设备及网络系统 | |
CN112367163A (zh) | 一种量子网络虚拟化方法与装置 | |
JP2013506388A (ja) | Ibeを有する効率的なnemoセキュリティ | |
US20230300172A1 (en) | Secure overlay multicast | |
US7577837B1 (en) | Method and apparatus for encrypted unicast group communication | |
JP2004134855A (ja) | パケット通信網における送信元認証方法 | |
Refaei et al. | Secure reliable group communication for tactical networks | |
KR100449809B1 (ko) | 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법 | |
Kong et al. | A Covert Communication Model Based on IPv6 Multicast | |
Mahajan et al. | DEVELOPING A PARADIGM IN COVERT COMMUNICATION USING REFERENCE MODEL AND PROTOCOL CHANNELS FOR IPV4 | |
Nath et al. | Implementation of data privacy between nodes using AES in wireless ad hoc networks | |
Banumathi et al. | The response-oriented mechanism for delay tolerant network | |
Adamson et al. | Security and Reliable Multicast Transport Protocols: Discussions and Guidelines |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C56 | Change in the name or address of the patentee |
Owner name: JUNIPER NETWORKS INC. Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC. |
|
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: Juniper Networks, Inc. Address before: American California Patentee before: Jungle network |