CN1890920A - 多播通信业务的安全传送 - Google Patents

多播通信业务的安全传送 Download PDF

Info

Publication number
CN1890920A
CN1890920A CNA2004800363527A CN200480036352A CN1890920A CN 1890920 A CN1890920 A CN 1890920A CN A2004800363527 A CNA2004800363527 A CN A2004800363527A CN 200480036352 A CN200480036352 A CN 200480036352A CN 1890920 A CN1890920 A CN 1890920A
Authority
CN
China
Prior art keywords
tunnel
multicast
router
group key
downstream router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004800363527A
Other languages
English (en)
Other versions
CN1890920B (zh
Inventor
格莱格里·M.·莱伯维兹
刘昌明
谢重耀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Jungle Network
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jungle Network filed Critical Jungle Network
Publication of CN1890920A publication Critical patent/CN1890920A/zh
Application granted granted Critical
Publication of CN1890920B publication Critical patent/CN1890920B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

提供了经由网络的安全隧道多播发送和接收。可以从第二隧道端点接收加入请求(600),所述加入请求表明待加入的多播组。可以把组密钥发送给第二隧道端点(606),其中所述组密钥至少基于所述多播组。可以对在第一隧道端点处接收的分组进行密码处理以便生成封装净荷(610)。可以向封装净荷添加报头以便形成封装分组(612),其中所述报头包括与第二隧道端点相关联的信息。基于添加的报头,隧道可以建立在第一隧道端点和第二隧道端点之间(613)。所述封装分组可以经由隧道传输至第二隧道端点(614)。所述第二隧道端点可以接收封装分组(508)。封装分组的密码处理可以揭示具有第二报头的分组(510,512)。然后可以在接口上向第二报头中识别出的至少一个多播接收方转发所述分组(516)。

Description

多播通信业务的安全传送
相关申请的交叉引用
此申请要求了于2003年10月31日提交的临时专利申请号为60/516,346的美国专利申请的权益,将该篇专利申请的全部内容在此引入,以供参考。
技术领域
符合本发明原理的系统和方法总体上涉及用于安全网络通信的方法和设备。
背景技术
涉及计算机组的网络计算应用程序可以向组中的多台计算机发送相同的信息。有三种常规的方式来设计用于组通信的网络应用程序,所述方式为:单播、广播和多播。如图1所示,单播系统允许向一个特殊接收方传输每一数据分组的副本。为了传输到多个接收方,需要与每一接收方进行独立的连接。随着接收方数目的增加,进行多个直接连接需要大量带宽,并且由于相同分组必须被反复地复制然后传输给每一接收方,故而可以会产生延迟。基于广播系统,可以把每一分组的一个副本发送给广播地址。因此,当实际只有少数人希望接收广播时,广播传输被发送给大量人员。
采用多播系统,网络应用程序可以向一组接收方发送已编址的一个或多个分组的一个副本,而不是仅向一个接收方(如单播系统中那样)发送一个或多个分组。然后一个或多个网络可以向接收方转发所述一个或多个分组。由于依靠网络来转发一个或多个分组,所以多播应用程序只可以对允许多播的网络起作用。通常,诸如单播、广播或者多播的传输不安全,这是因为目的地地址可以被网络上的任何人看见,即使所述分组的数据净荷已经被加密也一样。
存在多种常规方法来经由网络传输数据分组。这些常规方法的某些可以提供安全传输,而其它的也许不能。用于数据分组安全传输的技术之一是使用单播隧道。如图2所示,源设备210可以向隧道网关220传输数据,以跨越单播隧道230来传输,以便经由隧道端点250到达目的地设备270。对于安全传输来说,通常可以使用用于正使用的特定单播隧道230的唯一密钥来加密所述分组。可以在隧道网关220把所述分组封装在单播隧道分组中。常规的隧道可以使用诸如网际协议安全的封装安全净荷(IPsec ESP)的封装协议。IPsec可以提供隧道安全特性的范围。IPsec单独或与诸如互联网密钥交换(IKE)的其它协议一起可以为每个隧道构造唯一的安全关联集合,其包括用于给定隧道的访问控制、加密密钥和验证密钥。因此,一旦数据进入隧道230,数据和分组的最终目的地都无法被解密。隧道端点250可以基于解密密钥来解密所接收的分组,并且对给定隧道执行验证检查,并且然后可以向分组的最终目的地、即目的地设备270转发原始分组。
发明内容
在符合本发明原理的一方面中,提供了一种允许经由网络进行安全多播传输的方法。所述方法可以包括:从第一下游路由器接收第一加入请求,所述加入请求表明待加入的多播组;向第一下游路由器发送组密钥,其中所述组密钥至少基于所述多播组;使用所述组密钥来对第一分组进行密码处理以便生成封装净荷;向封装净荷添加第一报头以便形成第一封装分组;基于所添加的第一报头来建立与第一下游路由器的隧道;以及经由所述隧道向第一下游路由器发送第一封装分组。
在符合本发明原理的第二方面中,提供了一种用于经由网络接收多播传输的方法。所述方法可以包括:经由单播隧道向转发路由器发送加入请求,所述单播隧道是在转发路由器和第一下游路由器之间建立的,所述加入请求表明待加入的多播组;响应于发送的加入请求,接收组密钥,所述组密钥至少基于所述多播组;在转发路由器和第一下游路由器之间建立组密钥隧道;经由组密钥隧道接收封装分组;使用所述组密钥对封装分组进行密码处理以便揭示多播分组,所述多播分组包括具有多播目的地地址的网际协议(IP)报头;在接口上向对应于所述多播目的地地址的至少一个多播接收方转发多播分组。
在符合本发明原理的第三方面中,提供了一种用于在计算机网络内接收和发送分组的设备。所述设备可以被配置成:经由第一隧道从第一下游路由器接收第一加入请求,所述第一隧道是在第一下游路由器和转发路由器之间建立的,所述第一加入请求表明待加入的多播组;经由第一隧道向第一下游路由器发送至少基于多播组的组密钥;使用所述组密钥来对第一分组进行密码处理以便生成封装净荷;向所述封装净荷添加第一报头以便形成第一封装分组,其中所述第一报头包括与第一下游路由器相关联的信息;基于所添加的第一报头来建立与第一下游路由器的第二隧道;以及经由所述第二隧道向第一下游路由器发送第一封装分组。
在符合本发明原理的第四方面中,提供了一种用于在计算机网络内接收和发送分组的设备。所述设备可以被配置成:经由第一单播隧道从第一下游路由器接收第一加入请求,其中所述第一单播隧道是在第一下游路由器和转发路由器之间建立的;经由第二单播隧道从第二下游路由器接收第二加入请求,所述第二单播隧道是在第二下游路由器和转发路由器之间建立的,其中所述第一和第二加入请求表明待加入的多播组;生成至少基于多播组的组密钥;经由所述第一单播隧道向第一下游路由器发送组密钥;经由所述第二单播隧道向第二下游路由器发送组密钥;使用所述组密钥对第一多播分组进行密码处理,以便生成封装净荷;向封装净荷添加第一单播网际协议(IP)报头,以便形成第一封装分组,其中所述第一单播IP报头与第一下游路由器相关联;基于所添加的第一单播IP报头来建立与第一下游路由器的第一组密钥隧道;复制所述封装净荷;向复制的封装净荷添加第二单播网际协议(IP)报头以便形成第二封装分组,其中所述第二单播IP报头与第二下游路由器相关联;基于所添加的第二单播IP报头来建立与第二下游路由器的第二组密钥隧道;经由所述第一组密钥隧道向第一下游路由器发送第一封装分组;以及经由所述第二组密钥隧道向第二下游路由器发送第二封装分组。
附图说明
并入并且构成此说明书一部分的附图举例说明了本发明的实现方式,并且结合此描述来解释本发明。在所述附图中,
图1是网络传输形态的例证说明。
图2是使用隧道的示例性网络通信的示意图。
图3是经由隧道进行的示例性多播数据传输的示意图。
图4是经由多个隧道进行的示例性多播数据传输的示意图。
图5是举例说明了接收隧道分组并且把隧道分组解密为多播分组的示例性过程的流程图。
图6是描述用于经由隧道传输多播分组的示例性方法的流程图。
图7是举例说明符合本发明原理的加密和验证方案的示例性实现方式的示意图。
图8是举例说明符合本发明原理的封装方案的示例性实现方式的示意图。
图9是举例说明符合本发明原理的封装方案的另一示例性实现方式的示意图。
图10是描述用于经由隧道进行的多播数据传输的示例性方法的流程图。
具体实施方式
本发明的具体实施方式将参考附图。不同附图中的同一附图标记可以表示相同或者类似元素。此外,接下来的详细描述不限制本发明。相反,本发明的范围由所附权利要求书及其等效物来定义。
图3是经由隧道进行的示例性多播数据传输的示意图。如图3所示,使用隧道的多播数据传输可以从多播源300开始。多播源300可以依照多播分组的形式向隧道网关310传输多播数据。多播分组可以包括多播数据净荷和IP报头。多播数据净荷可以是由隧道网关310的下游接收方请求的来自多播流的数据段。网际协议(IP)报头可以提供包括多播源300的网络地址和由接收方340预订的多播组地址的信息。所述网络地址例如可以是IP地址。所述多播流可以被定义为一组分组,其组成向特定源和组(标记为(S,G))多播出去的数据。
多播流可以仅仅经由允许多播的网络被直接传输。不允许的网络中的路由器以及其它中间网络节点可以不转发包含多播报头的数据分组,因为不允许的设备可以不读取多播接收方地址,因此不知道向哪里转发所述多播分组。为了经由不允许的网络传输多播数据,源300可以经由单播隧道来传输多播分组,所述单播隧道开始于隧道网关310并且结束于隧道端点330。图3举例说明了仅涉及在多播源300和多播接收方340之间提供清晰传输路径的一个隧道的示例性路径。可以使用多个隧道并且下面相对于图4来论述。可以在隧道网关310把多播分组转换为封装分组以便经由单播隧道传送。隧道网关310可以加密并且验证多播分组,然后可以把已加密的并且已验证的分组封装在封装分组中。所述封装可以包括附加报头,其包括隧道的源和端点单播地址(例如,IP隧道中的源和目的地IP地址)。所述IP报头和数据分组的属性于是对于网络而言是不可见的。隧道网关310然后可以把多播分组作为封装分组经由不允许多播的网络向隧道端点330传输。
在隧道网关310传输之后,所述封装分组沿通向隧道端点330的隧道路径可以遇到多个中间节点设备,例如包括路由器320a和320b(统称为“路由器320”)(例如,单播节点)。路由器320可以用于沿特定路径向下一目的地转发分组,或者跳过,无论它是另一路由器还是最终目的地。路由器320可以审查附加于隧道分组的单播隧道报头,以便确定隧道分组的目的地地址。每个路由器320内的路由表可以由路由器320使用,以便确定哪个路径用于转发具有特定多播组地址的分组。使用路由表,路由器320可以确定用于隧道分组的正确路径,并且因此转发所述隧道分组。隧道网关310和隧道端点330之间的路径可以穿过多个中间节点,每一中间节点类似地转发所述隧道分组,直到它到达隧道端点330为止。如果没有封装单播报头,而是保留IP报头,那么不允许多播的节点设备不可以识别多播组地址,并且因此不能把分组路由到下一目的地,导致丢失分组。
隧道端点330可以接收封装分组。隧道端点330可以从封装分组中去除封装,并解密和验证最终分组。解密和验证过程产生具有IP报头和多播数据净荷的原始多播分组。基于在IP报头中发现的目的地,诸如多播组地址,隧道端点330可以向其它多播接收方340和另外的下游路由器转发多播分组。
现在参考图4,举例说明了使用多个隧道的示例性多播系统。多播源400可以向每个多播组的转发路由器410传输每个多播分组的副本。虽然为了简单而示出了连接,但是应该理解的是,多播源400和转发410可以依照任何适当方式与可能位于其间的另外中间设备(例如,路由器等)可操作地连接。另外,正如此处所定义的那样,多播组涉及一种已定义的多播组地址,基于所述地址,一组多播接收方460a-460h(统称为“多播接收方460”)可以连续地查找多播流。位于多播网络内的多播接收方460可以经由组密钥隧道420a-420c(统称为“组密钥隧道420”)之一以及预先存在的单播隧道425a-425c(“预先存在的单播隧道425”)之一被连接至多播流。在本实现方式中,每个隧道420涉及同一多播组,并因此提供使用相同的组密钥集合加密、验证并且封装的多播分组,但它们仍具有不同的IP目的地报头。应该理解的是,可以把另外的单播隧道集合用于不同的多播流。可以经由单播网络428(例如,因特网、局域网(LAN)等)为每个多播流并且为每对转发路由器410和下游路由器440建立组密钥隧道420和预先存在的单播隧道425。转发路由器410可以是可兼容路由器、网络服务器、计算机或者其它一些包括多播源400内的组件的隧道可兼容网络接口。
依照本发明的原理,可以从一个多播接收方460通过相关的一个预先存在的单播隧道425、经由相关的一个下游路由器440接收表明参与组密钥加密方案的加入请求。然后转发路由器410可以生成相关联的组密钥,并且再次经由相关的一个预先存在的单播隧道425与发出请求的一个下游路由器440交换密钥。然后转发路由器410可以使用组密钥来加密并且验证原始多播分组,并且封装所述多播分组,如上面参照图3所描述的那样,以便根据每一多播分组来形成封装分组。将在下面的附加细节中提出涉及所接收的加入请求、加密、验证和封装的附加细节。
转发路由器410还可以向每一封装分组附加IP报头,并且把每一封装分组经由适当的组密钥隧道420朝向每一发出请求的下游路由器440引导。与加密、验证和封装所述多播分组相关的处理可以统称为隧道封装处理,并且可以包括准备多播分组以便经由隧道420转发给下游路由器440所需的任何技术。
另外,应该理解的是,所示出的隧道数目仅仅是例证性的。根据用于探寻多播组数据的下游路由器数目和这些下游路由器希望加入的多播组(S,G)或者(*,G)的数目,可以存在任何数目的隧道。术语(S,G)指的是由源S和组地址G来识别多播组的方式。对于(*,G)组来说,多个源可以生成原始多播分组。可以经由对应于单播报头的适当一个组隧道420向下游路由器440a-440c(统称为“下游路由器440”)传输封装分组。例如,位于多播接收方端的下游路由器440可以是可兼容路由器、网络服务器、一个多播接收方460或者可以是其它一些隧道可兼容网络接口。此外,如果任何下游路由器440是网络服务器,那么充当下游路由器的网络服务器和多播接收方之间的网络应该是允许多播的,因此多播分组可以从下游路由器440传输给多播接收方460。否则,在转发路由器410和一个下游路由器440之间出现的上述方法将以类似方式在下游路由器440和路由器440(未示出)下游的另外路由器之间再次出现。
当到达一个下游路由器440时,每个封装分组可以被解封装、解密并且验证。然后可以由下游路由器440依照已知的方式把最终多播分组朝向多播接收方460路由。
图5是举例说明依照本发明原理的用于经由网络接收多播分组的一个示例性过程的流程图。在此示例性实现方式中,多播分组是从多播源400经由转发路由器410、隧道420b和下游路由器440b向多播接收方460d传输的。此实现方式仅仅是示例性的,并且依照本发明原理,可以利用任何适当的网络元件的组合。处理过程可以从下游路由器440b建立与转发路由器410的初始单播隧道425b以便于单播分组交换而开始(动作500)。一旦隧道420b已经被建立,就可以从多播接收方460d接收加入请求(动作502),所述加入请求表明接收方460d想要预订特定的多播组和所接收的涉及该组的传输。所述加入请求可以遵循所述领域已知的任何适当的多播协议。在符合本发明原理的一种实现方式中,所述加入请求可以是协议独立多播-分散模式(ProtocolIndependent Multicast-Sparse Mode,PIM-SM)加入请求。作为选择,还可以接收互联网组管理协议(Internet Group ManagementProtocol,IGMP)加入请求。无论所使用的协议如何,所接收的加入请求应该至少包括表示希望加入的多播组的指示(例如,多播组地址)。
当接收到加入请求时,下游路由器440b经由预先存在的单播隧道425b把所述加入请求转发至转发路由器410(动作504)。正如下面在附加细节中论述的那样,转发路由器410生成与下游路由器440b相关联的组加密和验证密钥(统称为“组密钥”)。传输加入请求之后,下游路由器440b可以从转发路由器410接收安全关联参数(动作505)。在符合本发明原理的一种实现方式中,所述安全关联参数可以包括涉及转发路由器410所采用的组密钥方案的特殊内容,包括但不限于密钥使用期限、所使用的密码、密钥长度、重叠处理指令、请求消息、确认消息、状态和错误消息、翻转协议等。一旦已经交换了安全参数,那么就把所生成的密钥经由预先存在的单播隧道425b传递给下游路由器440b并由其接收(动作506)。然后,转发路由器410使用所述组密钥来加密并且验证与所选多播组相关联的每一输入多播分组,并且把最终净荷封装为具有隧道IP报头的封装分组,所述隧道IP报头并入用于封装净荷的源和目的地地址(例如,转发路由器410和下游路由器440b)。接下来,根据隧道IP报头源和目的地地址来建立组密钥隧道420b,以便接纳封装分组(动作507)。然后,经由组密钥隧道420b把封装分组传输给下游路由器440b并由其接收(动作508)。然后把所接收的分组解封装,由此除去隧道IP报头并且保留加密的并且验证的数据净荷(动作510)。然后,使用在动作506中接收的组密钥并且依照协商的安全关联参数来解密所接收的分组,以便揭露初始多播分组(动作512)。然后,下游路由器440b可以分析原始多播分组的报头,以便基于报头中的组(目的地)地址来识别多播接收方正在哪个接口上查找所述分组(动作514)。然后把已解封装并已解密的分组向已识别出的接口上的多播接收方460d转发出去(动作516)。
图6举例说明了用于经由隧道在源和接收方之间进行安全多播数据传输的示例性方法。最初,如上简述的那样,转发路由器410经由预先存在的单播隧道425b从下游路由器440b接收加入请求(动作600)。作为响应,转发路由器410首先确定先前是否已经为特定多播组接收了加入请求(动作602)。如果是,那么所述过程进行到如下所述的动作606。然而,如果先前没有接收到加入请求,那么转发路由器410可以与下游路由器440b交换安全关联参数(动作603)。如上所述,所述安全关联参数可以包括涉及转发路由器410采用的组密钥方案的特殊内容,诸如密钥使用期限、所使用的密码、密钥长度、翻转协议等。至少基于多播组来生成组加密和验证密钥(动作604)。此形式的组密钥可以由习语Kg p来表示,其中‘p’表示密钥类型,而‘g’表示多播组。因此,组密钥的一个示例性集合是作为验证密钥的K239.1.1.1 α和作为加密密钥的K239.1.1.1 e,其中239.1.1.1是所期望的多播组的IP地址。在符合本发明原理的候选实现方式中,所述组密钥还可以基于与转发路由器410相关联的寻址信息。在此实现方式中,对于验证密钥和加密密钥而言,所述组密钥可以分别表示为K5.5.5.1,239.1.1.1 α和K5.5.5.1,239.1.1.1 e,其中5.5.5.1是转发路由器410的IP地址。
一旦生成,就可以经由预先存在的单播隧道425b把组密钥转发给下游路由器440b,以便允许随后对所接收的多播分组进行解密和验证(动作606)。当从多播源400接收与所选多播组(例如具有239.1.1.1的目的地IP地址)相关联的多播分组时,转发路由器410最初使用在动作604中生成的组密钥来加密并验证分组报头和净荷信息,以便生成加密并验证的多播分组(动作608)。接下来,封装已加密和验证的多播分组以便形成封装分组的封装净荷(动作610)。在一种实现方式中,所述净荷可以是封装安全净荷(Encapsulating Security Payload,ESP),正如由IETF(互联网工程工作小组,Internet Engineering Task Force)出版的RFC 2406中定义的。
然后确定组密钥隧道的后续跳(动作611)。更具体地说,识别用于接收所述分组的下一个或多个下游路由器的目的地地址。然后可以把隧道IP报头添加至封装净荷以便形成封装分组(动作612)。在符合本发明原理的一种实现方式中,所述隧道IP报头包括分别与转发路由器410和下游路由器440b相关联的源和目的地地址,如在动作611中所识别的。依照这些地址,然后可以在转发路由器410和下游路由器440b之间建立组密钥隧道420b,以便于多播分组的交换(动作613)。
依照此方式,每个多播组只需要一个封装,无论预订所述多播组的多播接收方的数目如何都如此。因此,前往不同下游路由器440的封装分组之间的唯一差别是所添加的隧道IP报头。封装后,经由组密钥隧道420b把接收到的多播分组转发至下游路由器440b(动作614)。接下来确定是否还有未被服务的任何下游路由器(动作616)。如果是,那么过程返回到动作611,其中确定适当的下一跳。如果没有,那么由于多播分组已经被路由至所有发出请求的下游路由器,所以过程结束。
图7是举例说明符合本发明原理的加密方案的一种示例性实现方式的示意图。如图7所示,由转发路由器410接收到的多播分组700可以包括UDP(用户数据报协议)报头(UDP)702、IP报头(IP)704和净荷(P)706。当由转发路由器410加密后,可以生成并入多播分组700的已加密多播分组708。
图8是举例说明符合本发明原理的封装方案的一种示例性实现方式的示意图。如图8所示,符合本发明原理的封装可以生成并入在图7中描述的已加密多播分组708、用于便于解封装的ESP报头802以及用于便于所接收分组的验证的验证报尾804的封装净荷800。
图9是举例说明符合本发明原理的封装分组的若干示例性实现方式的示意图。更具体地说,所示出的第一封装分组900包括图8的封装净荷800以及与第一下游路由器440a相关联的IP报头(IP′)902。另外,所示出的第二封装分组904也包括图8的封装净荷800以及与第二下游路由器440b相关联的第二IP报头(IP”)906。所示出的第三封装分组908也包括图8的封装净荷800以及与第三下游路由器440c相关联的第三IP报头(IP)910。如图所示,使用符合本发明原理的组密钥和封装方案,只需要为每个多播分组执行一次加密、验证和封装,下游路由器指定由附加于封装分组的不同IP报头来提供,由此基本上减小了用于多播处理的开销。
在图10中描述了经由IP网络环境进行多播数据传输的一种示例性实现方式。最初,可以在转发路由器410和每一下游路由器440之间创建IPsec单播隧道425的第一集合(动作1000)。IPsec可以提供包括隧道安全关联构造的隧道安全特性的范围。隧道安全关联可以包括对隧道的访问控制、加密密钥和验证密钥。
在建立从转发路由器410至下游路由器440的IPsec隧道425之后,一个或多个下游路由器440可以从多播接收方460接收加入请求,以便加入具有定义地址的特定多播组(动作1002)。作为响应,接收的下游路由器440可以确定转发路由器410是否支持组密钥加密/验证方案(动作1004)。在一种实现方式中,下游路由器440维护一个表,所述表基于多播组的(S,G)或者(*,G)来表明参与组密钥加密方案。参考此表可以允许下游路由器440确定转发路由器410的参与和执行组密钥隧道功能的能力。如果确定转发路由器410支持组密钥加密,那么可以把加入请求经由相关联的隧道425发送给转发路由器410表明组密钥参与(动作1006)。
当接收到所述加入请求后,转发路由器410经由隧道425与发出请求的下游路由器440交换安全参数(动作1007),并且依照上面就图6提出的方式来生成用于验证和加密的组密钥(动作1008)。在符合本发明原理的候选实现方式中,另外的下游路由器也许已经发送用于多播组的信号,由此由转发路由器410先前触发组密钥生成。不论是哪种情况,都经由隧道425把组密钥转发给发出请求的下游路由器440,以用于解密并且验证接收的封装分组(动作1010)。接下来,使用在动作1008中生成的组密钥来加密、验证并且封装输入的多播分组以便生成封装净荷(动作1012)。
接下来,转发路由器410识别与每一发出请求的下游路由器440相关联的IP地址(动作1014),并且为每个识别出的下游路由器440生成封装分组(动作1016),其中单个封装分组包括在动作1012中生成的封装净荷的副本和唯一的IP报头,所述唯一的IP报头包括与相应的下游路由器440相关联的目的地IP地址。另外,识别出发出请求的下游路由器440之后,可以建立组密钥IPsec隧道420以便于在转发路由器410和下游路由器440之间交换封装分组(动作1018)。然后经由隧道420向在每一封装分组的隧道IP报头中识别出的下游路由器440转发所述封装分组(动作1020)。
一旦由下游路由器440接收,就使用在动作1010中接收的组密钥来解封装、解密并且验证封装分组或进行其它密码处理,以便生成原始多播分组(动作1022)。然后依照多播分组的多播目的地地址经由适当接口把多播分组朝向多播接收方460转发(动作1024)。通过允许使用与单个IPSec隧道相关联的组密钥来加密并且封装多播分组,不需要为每个接收方逐一地对多播分组进行密码处理。
上述步骤的顺序可以改变,而不会影响结果。例如,可以在使用该组隧道的安全关联中的那些密钥创建了任何特定封装净荷之后来分发组密钥,为每个组隧道420生成的安全关联具有相同的密钥。另外,如果已经接收到请求,由此获知多播接收方,那么可以定义组并且在没有首先在多播源400和每个多播接收方460之间生成单个隧道的情况下形成组隧道420。
实施例可以依照数字电子电路、计算机硬件、固件或者软件或者其组合来实现。实施例可以作为计算机程序产品来实现,即,可确实嵌入在例如机器可读存储设备或者传送信号的信息载体中的计算机程序,以便由例如可编程处理器、计算机或者多个计算机的数据处理设备来执行或者用于控制它们的操作。可以依照任何形式的程序设计语言来编写计算机程序,包括编译或者解释语言,并且其可以采用各种形式,包括按照独立程序或者按照模块、组件、子程序或者适用于计算环境的其它部件的形式。计算机程序可以被采用以便在处于一个场所的一台或多台计算机上执行,或者跨越由通信网络互联的多个场所来分布。
各实施例的方法动作可以由一个或多个可编程处理器来执行,所述一个或多个可编程处理器用于执行计算机程序以便通过对输入数据操作并且生成输出来执行符合本发明原理的功能。方法动作还可以由符合本发明原理的设备来执行,所述设备可作为专用逻辑电路来实现,例如FPGA(现场可编程门阵列)或者ASIC(专用集成电路)。
适用于执行计算机程序的处理器例如可以包括通用和专用微处理器以及任何类型的数字计算机的任意一个或多个处理器。通常,处理器将接收来自只读存储器或者随机存取存储器或者它们两者的指令和数据。计算机的基本元件是用于执行指令的处理器和用于存储指令和数据的一个或多个存储器设备。通常,计算机还可以包括、或者可以被可操作地耦合以便从用于存储数据的一个或多个大容量存储设备接收或向其转送数据,所述大容量存储设备例如是磁盘、磁光盘或者光盘。适用于具体实现计算机程序指令和数据的信息载体可以包括所有形式的非易失性存储器,例如包括诸如EPROM、EEPROM和闪存设备的半导体存储器设备,例如内部硬盘或者移动盘、磁光盘、CD-ROM和DVD-ROM盘的磁盘。处理器和存储器可以由专用逻辑电路来补充或者并入专用逻辑电路中。
符合本发明原理的实施例可以依照计算系统来实现,所述计算系统可以包括诸如数据服务器的后端组件,或者其可以包括媒件组件,例如应用服务器,或者其可以包括前端组件,例如具有图形用户界面或者网络浏览器的客户端计算机,借此,用户可以与本发明的实现方式交互,或者可以包括这种后端、媒件或者前端组件的组合。所述系统的组件可以通过任何形式或者任何介质的数字数据通信、例如通信网络来互连。通信网络的例子可以包括局域网(“LAN”)和广域网(“WAN”),例如,因特网。
所述计算系统可以包括客户端和服务器。客户端和服务器一般彼此远离,并且通常可以经由通信网络来相互作用。客户端和服务器的关系是借助于在相应计算机上运行并且具有客户端-服务器彼此关系的计算机程序来实现。
已经描述了本发明的多个实施例。尽管如此,应该理解的是,在不脱离本发明的精神和发明范围的情况下可以作出各种修改。

Claims (30)

1.一种用于经由网络提供安全多播传输的方法,包括:
从第一下游路由器接收第一加入请求,所述加入请求表明待加入的多播组;
向所述第一下游路由器发送组密钥,其中所述组密钥至少基于所述多播组;
使用所述组密钥对第一分组进行密码处理以便生成封装净荷;
向所述封装净荷添加第一报头以形成第一封装分组;
基于所添加的第一报头来建立与第一下游路由器的隧道;以及
经由所述隧道向第一下游路由器发送第一封装分组。
2.如权利要求1所述的方法,包括:
响应于所接收的第一加入请求,与第一下游路由器交换安全关联参数。
3.如权利要求2所述的方法,其中,所述安全关联参数包括从包含如下内容的组中选择的参数:组密钥使用期限、所使用的密码、密钥长度、重叠处理指令、请求消息、确认消息、状态和错误消息以及翻转协议。
4.如权利要求1所述的方法,
响应于所接收的第一加入请求,确定先前是否已经为所述多播组生成组密钥;以及
如果先前没有为所述多播组生成组密钥,则生成至少基于所述多播组的组密钥。
5.如权利要求1所述的方法,其中,所述组密钥还基于多播源的地址和多播组的地址。
6.如权利要求1所述的方法,其中,所述第一下游路由器可操作地连接到至少一个多播接收方。
7.如权利要求1所述的方法,其中,所述组密钥包括组加密密钥和组验证密钥。
8.如权利要求1所述的方法,其中,密码处理包括使用所述组密钥来加密所述分组。
9.如权利要求1所述的方法,其中,密码处理包括使用所述组密钥来验证所述分组。
10.如权利要求1所述的方法,其中,密码处理包括封装所述分组。
11.如权利要求10所述的方法,其中,封装所述分组包括生成并入所述分组的封装安全净荷(ESP)。
12.如权利要求1所述的方法,其中,所述第一报头包括与转发路由器相关联的源网际协议(IP)地址,以及与第一下游路由器相关联的目的地IP地址。
13.如权利要求1所述的方法,其中,所述隧道是单播隧道。
14.如权利要求13所述的方法,其中,所述隧道是网际协议安全(IPsec)隧道。
15.如权利要求1所述的方法,其中,从第一下游路由器接收所述第一加入请求包括:经由预先存在的隧道从第一下游路由器接收所述第一加入请求,其中所述预先存在的隧道是在转发路由器和第一下游路由器之间建立的;以及其中向第一下游路由器发送所述组密钥包括:经由预先存在的隧道向第一下游路由器发送所述组密钥。
16.如权利要求1所述的方法,包括:
从第二下游路由器接收第二加入请求;
把所述组密钥发送至第二下游路由器;
复制所述封装净荷;
向已复制的封装净荷添加第二报头以形成第二封装分组;
基于所添加的第二报头,在转发路由器和第二下游路由器之间建立第二隧道;并且
经由所述第二隧道向第二下游路由器发送第二封装分组。
17.如权利要求16所述的方法,其中,所述第二报头包括与转发路由器相关联的源网际协议(IP)地址,以及与第二下游路由器相关联的第二目的地IP地址。
18.一种用于经由网络接收多播传输的方法,所述方法包括:
经由单播隧道向转发路由器发送加入请求,所述单播隧道是在转发路由器和第一下游路由器之间建立的,所述加入请求表明待加入的多播组;
响应于发送的加入请求而接收组密钥,所述组密钥至少基于所述多播组;
在转发路由器和第一下游路由器之间建立组密钥隧道;
经由组密钥隧道接收封装分组;
使用所述组密钥对封装分组进行密码处理以便揭示多播分组,所述多播分组包括具有多播目的地地址的网际协议(IP)报头;并且
在接口上向对应于所述多播目的地地址的至少一个多播接收方转发所述多播分组。
19.如权利要求18所述的方法,包括:在传输所述加入请求之后,从转发路由器接收安全关联参数。
20.如权利要求18所述的方法,其中,所述转发路由器是发起多播分组的多播源。
21.如权利要求18所述的方法,其中,所述封装分组包括单播IP报头,所述单播IP报头包括对应于转发路由器的源地址以及对应于下游路由器的目的地地址。
22.如权利要求18所述的方法,包括:
确定所述转发路由器是否支持组密钥处理;以及
如果所述转发路由器支持组密钥处理,则向所述转发路由器发送加入请求,其中所述加入请求表明参与组密钥方案。
23.如权利要求18所述的方法,其中所述单播隧道和所述组密钥隧道是IP安全(IPsec)隧道。
24.一种用于在计算机网络内接收和发送分组的设备,所述设备被配置成:
经由第一隧道从第一下游路由器接收第一加入请求,所述第一隧道是在第一下游路由器和转发路由器之间建立的,所述第一加入请求表明待加入的多播组;
经由第一隧道向第一下游路由器发送至少基于所述多播组的组密钥;
使用所述组密钥对第一分组进行密码处理以便生成封装净荷;
向所述封装净荷添加第一报头以便形成第一封装分组,其中所述第一报头包括与第一下游路由器相关联的信息;
基于所添加的第一报头来建立与第一下游路由器的第二隧道;以及
经由所述第二隧道向第一下游路由器发送第一封装分组。
25.如权利要求24所述的设备,其中,所述隧道包括网际协议安全(IPsec)隧道。
26.如权利要求24所述的设备,其中,所述网络设备还被配置成:
响应于所接收的第一加入请求,与第一下游路由器交换安全关联参数。
27.一种用于在计算机网络内接收和发送分组的设备,所述设备被配置成:
经由第一单播隧道从第一下游路由器接收第一加入请求,其中所述第一单播隧道是在第一下游路由器和转发路由器之间建立的;
经由第二单播隧道从第二下游路由器接收第二加入请求,其中所述第二单播隧道是在第二下游路由器和转发路由器之间建立的,
其中所述第一和第二加入请求表明待加入的多播组;
生成至少基于多播组的组密钥;
经由所述第一单播隧道向第一下游路由器发送组密钥;
经由所述第二单播隧道向第二下游路由器发送组密钥;
使用所述组密钥对第一多播分组进行密码处理以便生成封装净荷;
向封装净荷添加第一单播网际协议(IP)报头以便形成第一封装分组,其中所述第一单播IP报头与第一下游路由器相关联;
基于所添加的第一单播IP报头来建立与第一下游路由器的第一组密钥隧道;
复制所述封装净荷;
向复制的封装净荷添加第二单播网际协议(IP)报头以便形成第二封装分组,其中所述第二单播IP报头与第二下游路由器相关联;
基于所添加的第二单播IP报头来建立与第二下游路由器的第二组密钥隧道;
经由所述第一组密钥隧道向第一下游路由器发送第一封装分组;以及
经由所述第二组密钥隧道向第二下游路由器发送第二封装分组。
28.如权利要求27所述的设备,其中所述设备被配置成:
响应于所接收的第一加入请求,确定先前是否已经为所述多播组生成组密钥;以及
如果先前没有为所述多播组生成组密钥,则生成至少基于所述多播组的组密钥。
29.一种用于在计算机网络内接收和发送分组的设备,包括:
用于经由第一隧道从第二隧道端点接收加入请求的部件,所述第一隧道是在第一隧道端点和第二隧道端点之间建立的,所述加入请求表明待加入的多播组;
用于经由第一隧道向第二隧道端点发送至少基于所述多播组的组密钥的部件;
用于使用所述组密钥对第一分组进行密码处理以便生成封装净荷的部件;
用于向封装净荷添加报头以形成封装分组的部件,其中所述报头包括与第二隧道端点相关联的信息;
用于基于所添加的报头而在第一隧道端点和第二隧道端点之间建立第二隧道的部件;以及
用于经由所述第二隧道向第二隧道端点发送封装分组的部件。
30.如权利要求29所述的设备,包括:
用于响应于所接收的加入请求,在第二隧道端点和第一隧道端点之间交换安全参数的部件。
CN2004800363527A 2003-10-31 2004-10-29 多播通信业务的安全传送 Active CN1890920B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US51634603P 2003-10-31 2003-10-31
US60/516,346 2003-10-31
PCT/US2004/035735 WO2005046126A1 (en) 2003-10-31 2004-10-29 Secure transport of multicast traffic

Publications (2)

Publication Number Publication Date
CN1890920A true CN1890920A (zh) 2007-01-03
CN1890920B CN1890920B (zh) 2011-01-26

Family

ID=34572879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2004800363527A Active CN1890920B (zh) 2003-10-31 2004-10-29 多播通信业务的安全传送

Country Status (3)

Country Link
US (3) US7587591B2 (zh)
CN (1) CN1890920B (zh)
WO (1) WO2005046126A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103746893A (zh) * 2013-12-19 2014-04-23 柳州职业技术学院 一种针对ip数据包的安全型隐蔽通信方法
CN102160401B (zh) * 2009-02-12 2014-12-17 上海贝尔股份有限公司 在固定网络中传送移动组播业务的方法和装置
CN106134144A (zh) * 2014-02-04 2016-11-16 迪潘卡·散尔卡 可靠性组播数据传送系统以及方法

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI297335B (en) * 2001-07-10 2008-06-01 Synta Pharmaceuticals Corp Taxol enhancer compounds
ATE378759T1 (de) 2003-05-06 2007-11-15 Cvon Innovations Ltd Nachrichtenübertragungssystem und nachrichtendienst
GB0321337D0 (en) 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
CN1890920B (zh) 2003-10-31 2011-01-26 丛林网络公司 多播通信业务的安全传送
US20050129236A1 (en) * 2003-12-15 2005-06-16 Nokia, Inc. Apparatus and method for data source authentication for multicast security
US7512085B2 (en) * 2004-06-24 2009-03-31 International Business Machines Corporation Method for multicast tunneling for mobile devices
CA2577428C (en) * 2004-08-16 2013-12-10 Qualcomm Flarion Technologies, Inc. Methods and apparatus for managing group membership for group communications
JP4407452B2 (ja) * 2004-09-29 2010-02-03 株式会社日立製作所 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US20080072035A1 (en) * 2005-01-31 2008-03-20 Johnson Robert A Securing multicast data
WO2006085292A1 (en) * 2005-02-14 2006-08-17 Telefonaktiebolaget L M Ericsson (Publ) Method and nodes for performing bridging of data traffic over an access domain
JP4486902B2 (ja) * 2005-03-01 2010-06-23 富士通株式会社 ネットワークシステム及びゲートウェイ装置
US20060227772A1 (en) * 2005-03-30 2006-10-12 Fujitsu Limited Method and system for packet data communication between networks
US8102846B2 (en) * 2005-03-31 2012-01-24 Alcatel Lucent Method and apparatus for managing a multicast tree using a multicast tree manager and a content server
JP2006295787A (ja) * 2005-04-14 2006-10-26 Matsushita Electric Ind Co Ltd 情報処理システム、情報処理装置、及び情報処理方法
US7761702B2 (en) * 2005-04-15 2010-07-20 Cisco Technology, Inc. Method and apparatus for distributing group data in a tunneled encrypted virtual private network
EP1727328A1 (en) * 2005-05-25 2006-11-29 Alcatel Network node, module therefor and distribution method
US7672306B2 (en) * 2005-07-18 2010-03-02 Stewart Ian A Method for secure reliable point to multi-point bi-directional communications
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
US8102847B2 (en) * 2005-12-09 2012-01-24 Nec Corporation Frame processing method and frame processing apparatus
US8176317B2 (en) * 2006-01-19 2012-05-08 Helius, Inc. System and method for multicasting IPSec protected communications
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
KR101088620B1 (ko) * 2006-04-24 2011-11-30 노키아 코포레이션 무선 네트워크에서의 신뢰할 수 있는 멀티캐스트/브로드캐스트용 장치 및 방법
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
ES2577291T3 (es) * 2006-06-27 2016-07-14 Waterfall Security Solutions Ltd. Enlaces unidireccionales seguros desde y hacia un motor de seguridad
US9680880B2 (en) * 2006-07-11 2017-06-13 Alcatel-Lucent Usa Inc. Method and apparatus for supporting IP multicast
US20080222693A1 (en) * 2006-08-08 2008-09-11 Cipheroptics, Inc. Multiple security groups with common keys on distributed networks
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
IL177756A (en) * 2006-08-29 2014-11-30 Lior Frenkel Encryption-based protection against attacks
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US20080072033A1 (en) * 2006-09-19 2008-03-20 Mcalister Donald Re-encrypting policy enforcement point
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US8607301B2 (en) * 2006-09-27 2013-12-10 Certes Networks, Inc. Deploying group VPNS and security groups over an end-to-end enterprise network
US8046820B2 (en) * 2006-09-29 2011-10-25 Certes Networks, Inc. Transporting keys between security protocols
US8104082B2 (en) * 2006-09-29 2012-01-24 Certes Networks, Inc. Virtual security interface
IL180020A (en) * 2006-12-12 2013-03-24 Waterfall Security Solutions Ltd Encryption -and decryption-enabled interfaces
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
IL180748A (en) * 2007-01-16 2013-03-24 Waterfall Security Solutions Ltd Secure archive
US8392593B1 (en) 2007-01-26 2013-03-05 Juniper Networks, Inc. Multiple control channels for multicast replication in a network
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US8687536B2 (en) * 2007-02-23 2014-04-01 Qualcomm Incorporated Method and apparatus to create multicast groups based on proximity
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
EP2119110B1 (en) 2007-03-12 2018-10-03 Nokia Technologies Oy Establishment of reliable multicast/broadcast in a wireless network
GB2441399B (en) 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
CN101355425A (zh) 2007-07-24 2009-01-28 华为技术有限公司 组密钥管理中实现新组员注册的方法、装置及系统
US20090034738A1 (en) * 2007-07-31 2009-02-05 Charles Rodney Starrett Method and apparatus for securing layer 2 networks
FR2922392B1 (fr) * 2007-10-12 2011-03-04 Thales Sa Dispositif et procede pour aiguiller des flux d'echange de valeurs publiques (ou non sensibles) permettant de creer des cles secretes communes entre plusieurs zones.
US8223205B2 (en) 2007-10-24 2012-07-17 Waterfall Solutions Ltd. Secure implementation of network-based sensors
JP4993202B2 (ja) * 2007-12-10 2012-08-08 横河電機株式会社 フィールドネットワークシステム
US20090161590A1 (en) * 2007-12-19 2009-06-25 Motorola, Inc. Multicast data stream selection in a communication system
US20100023752A1 (en) * 2007-12-27 2010-01-28 Motorola, Inc. Method and device for transmitting groupcast data in a wireless mesh communication network
JP4535163B2 (ja) * 2008-04-08 2010-09-01 ソニー株式会社 情報処理システム、通信端末、情報処理装置、およびプログラム
US8307422B2 (en) 2008-08-14 2012-11-06 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall
US8713627B2 (en) 2008-08-14 2014-04-29 Juniper Networks, Inc. Scalable security services for multicast in a router having integrated zone-based firewall
US8176012B1 (en) * 2008-10-06 2012-05-08 Netapp, Inc. Read-only mirroring for load sharing
US8510551B1 (en) * 2008-11-10 2013-08-13 Juniper Networks, Inc. Policy handling for multicast transmissions
CN101640787B (zh) * 2009-08-24 2011-10-26 中兴通讯股份有限公司 一种层次化控制访问组播组的方法和装置
WO2011025876A1 (en) * 2009-08-27 2011-03-03 Interdigital Patent Holdings, Inc. Method and apparatus for solving limited addressing space in machine-to-machine (m2m) environments
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
US9363102B1 (en) * 2010-12-21 2016-06-07 Amazon Technologies, Inc. Methods and apparatus for implementing anycast flow stickiness in stateful sessions
US8830999B2 (en) * 2011-07-06 2014-09-09 Telefonaktiebolaget L M Ericsson (Publ) Dynamic updating of a label switched path
KR101240552B1 (ko) * 2011-09-26 2013-03-11 삼성에스디에스 주식회사 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법
JP5824326B2 (ja) * 2011-10-28 2015-11-25 キヤノン株式会社 管理装置、管理方法、およびプログラム
US9203512B2 (en) * 2012-07-24 2015-12-01 Verizon Patent And Licensing Inc. Distinguishing light in single fiber transceivers
US9635037B2 (en) 2012-09-06 2017-04-25 Waterfall Security Solutions Ltd. Remote control of secure installations
US9998291B1 (en) * 2012-11-29 2018-06-12 vIPtela Inc. Multicast routing based on a unicast transport network
US9419975B2 (en) 2013-04-22 2016-08-16 Waterfall Security Solutions Ltd. Bi-directional communication over a one-way link
US9288186B2 (en) * 2013-06-04 2016-03-15 Cisco Technology, Inc. Network security using encrypted subfields
US9825759B2 (en) * 2013-07-08 2017-11-21 Alcatel Lucent Secure service management in a communication network
JP6311253B2 (ja) * 2013-09-24 2018-04-18 セイコーエプソン株式会社 通信装置
US9444796B2 (en) * 2014-04-09 2016-09-13 Cisco Technology, Inc. Group member recovery techniques
US9608945B2 (en) * 2014-05-30 2017-03-28 Apple Inc. Sending messages to multiple receiving electronic devices using a message server
IL235175A (en) 2014-10-19 2017-08-31 Frenkel Lior Secure desktop remote control
CN104735665A (zh) * 2015-03-19 2015-06-24 上海斐讯数据通信技术有限公司 一种基于单播技术的多设备同时接入移动终端网络的方法
IL250010B (en) 2016-02-14 2020-04-30 Waterfall Security Solutions Ltd Secure connection with protected facilities
US10693866B2 (en) * 2016-04-01 2020-06-23 Intel Corporation System, apparatus and method for first hop security
US20180019976A1 (en) * 2016-07-14 2018-01-18 Intel Corporation System, Apparatus And Method For Massively Scalable Dynamic Multipoint Virtual Private Network Using Group Encryption Keys
US10511548B2 (en) * 2017-06-22 2019-12-17 Nicira, Inc. Multicast packet handling based on control information in software-defined networking (SDN) environment
US10652220B1 (en) 2018-05-09 2020-05-12 Architecture Technology Corporation Systems and methods for secure data transport
US10979402B1 (en) * 2018-05-09 2021-04-13 Architecture Technology Corporation Systems and methods for data in transit encryption
US11316797B2 (en) * 2018-07-24 2022-04-26 Vmware, Inc. Queue filter configuration for multicast packet handling
US11652503B2 (en) * 2020-01-03 2023-05-16 Westcom Wireless, Inc Full duplex transceiver amplifier assembly, communication system including same, and associated method
US11412007B2 (en) * 2020-03-16 2022-08-09 Juniper Networks, Inc. Lawfully intercepting traffic and providing the traffic to a content destination based on chained traffic tapping
WO2021184271A1 (zh) * 2020-03-18 2021-09-23 华为技术有限公司 一种消息转发方法及装置
CN116489244B (zh) * 2023-06-25 2023-10-20 中电科网络安全科技股份有限公司 一种业务数据处理方法、装置、电子设备和存储介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030037235A1 (en) * 1998-08-19 2003-02-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US6606706B1 (en) 1999-02-08 2003-08-12 Nortel Networks Limited Hierarchical multicast traffic security system in an internetwork
US6643773B1 (en) * 1999-04-13 2003-11-04 Nortel Networks Limited Apparatus and method for authenticating messages in a multicast
US7127610B1 (en) * 1999-06-02 2006-10-24 Nortel Networks Limited Apparatus and method of implementing multicast security between multicast domains
US7181014B1 (en) * 1999-09-10 2007-02-20 Cisco Technology, Inc. Processing method for key exchange among broadcast or multicast groups that provides a more efficient substitute for Diffie-Hellman key exchange
US7360084B1 (en) * 2000-05-15 2008-04-15 Nortel Networks Limited System, device, and method for controlling access in a multicast communication network
US6965883B2 (en) * 2002-02-20 2005-11-15 Nokia Corporation Charging mechanism for multicasting
US20030233540A1 (en) * 2002-06-13 2003-12-18 International Business Machines Corporation System and method for secured delivery of content stream across multiple channels
US7236465B2 (en) * 2002-06-13 2007-06-26 International Business Machines Corporation System and method for gathering multicast content receiver data
EP1463257B1 (en) * 2003-03-27 2006-06-07 Motorola Inc. Communication between a private network and a roaming mobile terminal
US20050066371A1 (en) * 2003-09-19 2005-03-24 Bin Lu Mobile digital security system and method
CN1890920B (zh) 2003-10-31 2011-01-26 丛林网络公司 多播通信业务的安全传送

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102160401B (zh) * 2009-02-12 2014-12-17 上海贝尔股份有限公司 在固定网络中传送移动组播业务的方法和装置
CN103746893A (zh) * 2013-12-19 2014-04-23 柳州职业技术学院 一种针对ip数据包的安全型隐蔽通信方法
CN106134144A (zh) * 2014-02-04 2016-11-16 迪潘卡·散尔卡 可靠性组播数据传送系统以及方法

Also Published As

Publication number Publication date
US8132000B2 (en) 2012-03-06
US7587591B2 (en) 2009-09-08
US20120144191A1 (en) 2012-06-07
CN1890920B (zh) 2011-01-26
WO2005046126A1 (en) 2005-05-19
US20050138369A1 (en) 2005-06-23
US8433900B2 (en) 2013-04-30
US20090292917A1 (en) 2009-11-26

Similar Documents

Publication Publication Date Title
CN1890920B (zh) 多播通信业务的安全传送
US7360084B1 (en) System, device, and method for controlling access in a multicast communication network
EP1869865B1 (en) Method and apparatus for distributing group data in a tunneled encrypted virtual private network
CN109565510B (zh) 使用随机加密密码本加密法进行安全通信的系统和方法
US9571458B1 (en) Anti-replay mechanism for group virtual private networks
EP0702477B1 (en) System for signatureless transmission and reception of data packets between computer networks
US20070186281A1 (en) Securing network traffic using distributed key generation and dissemination over secure tunnels
Hardjono et al. Multicast and group security
CN110690961B (zh) 一种量子网络功能虚拟化方法与装置
CN110677241B (zh) 一种量子网络虚拟化架构方法与装置
Weis et al. Multicast extensions to the security architecture for the internet protocol
CN101843030B (zh) 使用安全实时传输协议重传数据的中间发送方和方法
WO2018214701A1 (zh) 一种数据报文发送方法、网络设备、控制设备及网络系统
CN112367163A (zh) 一种量子网络虚拟化方法与装置
JP2013506388A (ja) Ibeを有する効率的なnemoセキュリティ
US20230300172A1 (en) Secure overlay multicast
US7577837B1 (en) Method and apparatus for encrypted unicast group communication
JP2004134855A (ja) パケット通信網における送信元認証方法
Refaei et al. Secure reliable group communication for tactical networks
KR100449809B1 (ko) 다중 보안 서비스를 제공하는 개선된 아이피 계층에서의패킷 보호 방법
Kong et al. A Covert Communication Model Based on IPv6 Multicast
Mahajan et al. DEVELOPING A PARADIGM IN COVERT COMMUNICATION USING REFERENCE MODEL AND PROTOCOL CHANNELS FOR IPV4
Nath et al. Implementation of data privacy between nodes using AES in wireless ad hoc networks
Banumathi et al. The response-oriented mechanism for delay tolerant network
Adamson et al. Security and Reliable Multicast Transport Protocols: Discussions and Guidelines

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: JUNIPER NETWORKS INC.

Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC.

CP01 Change in the name or title of a patent holder

Address after: American California

Patentee after: Juniper Networks, Inc.

Address before: American California

Patentee before: Jungle network