CN1972184B - 通信装置和通信方法 - Google Patents
通信装置和通信方法 Download PDFInfo
- Publication number
- CN1972184B CN1972184B CN2006101446867A CN200610144686A CN1972184B CN 1972184 B CN1972184 B CN 1972184B CN 2006101446867 A CN2006101446867 A CN 2006101446867A CN 200610144686 A CN200610144686 A CN 200610144686A CN 1972184 B CN1972184 B CN 1972184B
- Authority
- CN
- China
- Prior art keywords
- packet
- bag
- segmentation
- encrypted
- communicator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Abstract
为了增强密码通信中信息的保密性而不增加通信帧尺寸或者加密所需的处理时间,提供了一种用于加密IP包的加密装置。这种加密装置包括:包加密单元,用于通过使用预先确定的初始向量加密一个数据包来产生一个加密包;和向量写单元,用于将标识所述初始向量的向量标识符记录在所述加密包中的IP头中提供的字段的至少一部分中,并且,所述字段存储供从多个经过分割的IP包重构原始IP包时使用的信息。
Description
技术领域
本发明涉及通信装置和通信方法。具体来说,本发明涉及用于加密IP包以便保障通信的保密性的通信装置和通信方法。
背景技术
迄今为止,块加密系统(block encrytion system)已在密码通信领域中得到使用。在块加密系统中,加密装置通过针对每一预先确定的位数分割明文产生经过分割的数据项,并使用加密密钥来加密每一个经过分割的数据项。在这种加密系统中,通过使用相同的加密密钥来加密经过分割的数据项,对于同样的明文数据,获得了相同的加密数据项。因此当多个加密数据项相同时,很清楚,这些数据项是从相同的明文数据项产生的。此外,通过收集许多加密数据项并分析每一个加密数据项出现的频率,能够了解明文数据项和加密数据项之间的关联。最终,可以估算加密密钥和加密算法。
此外,已经使用了叫做CBC(Cipher Block Chaining,密码块链接)的加密系统(见非专利文档1)。在CBC中,加密装置通过在第一个经过分割的数据项和预先确定的向量之间实施例如异或运算的一种运算获得运算结果,所述第一个经过分割的数据项来自通过分割明文数据所获得的多个经过分割的数据项。加密装置通过加密所述运算结果获得加密数据项。接着,加密装置使用所述加密数据项作为下一个向量,并通过在所述下一个向量和第二个经过分割的数据项之间实施运算获得运算结果。加密装置通过加密所述运算结果获得下一个加密数据项。通过重复执行上述处理,加密装置加密明文数据。即使加密数据项从同样的明文数据产生,通过上面的处理获得的加密数据项也具有不同的位排列。
此外,近些年随着广域以太网服务等的广泛使用,不仅第3层(OSI参考模型中的网络层)中的加密装置,而且第2层(OSI参考模型中的链路层)中的加密装置已经得到使用。因此,对于第2层中的加密装置,有必要实施例如CBC的加密系统。
[非专利文档1]ISO/IEC 10116:1997 “n位块密码的运算模式(Modes of operation for an n-bit block cipher)”
发明内容
本发明要解决的问题
在CBC中,用于解密加密数据项的处理需要加密中所使用的向量。因此,当将CBC应用于通信装置时,通信装置有必要传输其上添加了向量的加密数据项。但是,当向量添加导致通信帧尺寸超过MTU(最大传输单元)时,通信帧的分割可能大大地降低通信速度。而且,在第2层(OSI参考模型中的数据链路层)中,分割通信帧的处理没有被标准化。因此,将CBC应用于第2层中的通信装置可能很困难。
因此,本发明的目的是提供能够解决上述问题的通信装置和通信方法。利用权利要求书的独立权利要求中描述的特征的组合实现了这个目的。此外,从属权利要求规定了本发明进一步的具体优选例子。
解决问题的方法
根据本发明的第一实施例,提供了一种用于传送数据包的通信装置,所述数据包在数据包头包括标识符字段,所述通信装置包含:包加密单元,用于通过使用预先确定的初始向量加密一个数据包来产生一个加密包;和,向量写单元,用于将标识所述初始向量的向量标识符记录在所述加密包中的标识符字段的至少一部分中,所述标识符字段被用于响应将所述数据包分割为多个经过分割的数据包而将相同的包标识符存储在所述经过分割的数据包的头部中;并且,提供了所述通信装置的通信方法。
此外,根据本发明的第二实施例,提供了一种用于传送数据包的通信装置,所述数据包在数据包的头部中包括标识符字段,所述通信装置包含:标识符获取单元,用于从标识符字段的至少一部分获取标识在加密所述数据包时已经使用的初始向量的向量标识符,在通过加密一个数据包获得的加密包的头部中提供了所述标识符字段,并且,响应将所述数据包分割为多个经过分割的数据包,所述标识符字段被用于将相同的包标识符存储在所述经过分割的数据包的头部中;和,包解密单元,用于通过使用由所述向量标识符标识的所述初始向量执行所述加密包的解密来产生解密数据;并且,提供了所述通信装置的通信方法。
上述发明内容并非本发明所要求的全部特征的罗列,但是这些特征的部分组合能够变成本发明。
优点
根据本发明,不增加通信帧尺寸和增加加密所需的处理时间,能够增强密码通信中信息的保密性。
附图说明
图1示出了信息处理系统10整体的结构。
图2示出了通信数据20的具体例子。
图3示出了通信装置30的功能结构。
图4是其中IP包200-1被通信装置30加密的处理的概念图示。
图5示出了通信数据50的具体例子。
图6示出了通信装置60的功能结构。
图7是其中IP包200-1被通信装置60解密的处理的概念图示。
图8示出了通信数据80的具体例子。
图9示出了通信装置30和60的通信流程图的例子。
附图标记
10:信息处理系统
12:发送系统
14:接收系统
15:通信装置
20:通信数据
30:通信装置
50:通信数据
60:通信装置
80:通信数据
90:通信装置
100:CR-ROM
200:IP包
210:IP头
220:IP数据
225:明文数据
228:加密数据
230:标识符字段
300:确定单元
310:包加密单元
315:向量写单元
320:分割部分
330:数据加密部分
340:存储单元
350:向量输出单元
600:确定单元
605:标识符获取单元
610:包解密单元
620:分割部分
630:向量获取部分
640:数据解密部分
具体实施例
下面通过本发明的实施例描述本发明。下面的实施例不限制权利要求书中描述的发明,并且在下面的实施例中描述的特征的全部组合对于本发明的解决方法来说并非总是必要的。
图1示出了信息处理系统10整体的结构。信息处理系统10包括发送系统12和接收系统14。发送系统12包括通信终端13、具有基于第3层(OSI参考模型中的网络层)的通信功能的通信装置15和具有基于第2层(OSI参考模型中的数据链路层)的通信功能的通信装置30。为了与稍后描述的通信终端95通信,通信终端13将数据包传送到通信装置15。通信装置15在例如互联网协议(此后称为IP)的基础上控制通信。具体地说,在从通信终端13接收到数据包后,通信装置15在IP头中写用于控制IP通信的信息,例如目的地IP地址的信息,并将其中写了信息的数据包传送到通信装置30。被传送到通信装置30的数据包由通信数据20表示。
通信装置30使用介质访问控制地址(此后称为MAC地址)控制通信。具体地说,在从通信装置15接收到通信数据20以后,通信装置30将例如目的地MAC地址的信息写在MAC头中。而且,通信装置30至少对一部分通信数据20进行加密。该加密数据可以被通信装置60解密。以这种方式产生的通信数据由通信数据50表示。通信数据50被传送到接收系统14。
在本实施例中通信终端13是例如个人计算机、文件服务器和打印服务器的各种类型的服务器其中之一,或者是PDA等等。而且,通信装置15是叫做路由器或者网关的第3层交换机。通信装置30是叫做网桥等的第2层交换机。
此外,个人计算机等或者每一个交换机等可以由记录在CD-ROM 100上的程序控制。这个程序允许在个人计算机等或交换机等中提供的处理器起到通信终端13、通信装置15和/或通信装置30的作用。此外,这个程序允许处理器进一步起到通信终端95、通信装置60和/或通信装置90的作用。这个程序在被从CD-ROM 100读出以后被传送到发送系统12或者接收系统14,并且被传送的程序在发送系统12或接收系统14中被安装并执行。该程序允许发送系统12或者接收系统14执行的具体操作和在图2到图8中描述的相同。因此省略了具体操作的描述。
上述程序可以存储在外部存储介质中。作为存储介质,不仅CD-ROM 100,而且例如软盘、DVD或PD的光学记录介质、例如MD的磁光介质、磁带介质,或者例如IC卡的半导体存储器也可以被使用。此外,通过使用连接到专用通信网络或者互联网的服务器系统中提供的例如硬盘或者RAM的存储设备作为记录介质,可以通过网络将该程序提供给发送系统12。
接收系统14包括具有第2层通信功能的通信装置60、具有第3层通信功能的通信装置90,以及通信终端95。通信装置60使用MAC地址控制通信,并且在本实施例中起到MAC帧接收装置的作用。具体来说,在写入MAC头中的信息的基础上,通信装置60获取要被通信装置60中继的MAC帧。例如,通信装置60通过网络从通信装置30接收通信数据50。而且,通信装置60对被通信装置30加密的通信数据50的一部分进行解密。以这种方式产生的通信数据由通信数据80表示。通信装置90从通信装置60接收通信数据80,并将接收到的通信数据80传送到通信终端95。
如上所述,根据本发明实施例的信息处理系统10是用来在第2层中实现密码通信。在这种情况下,信息处理系统10是用来通过应用CBC(密码块链接)等来增强在密码通信中信息的保密性而不增加加密所需的处理时间。
在本实施例中,为了描述的简洁,将发送系统12和接收系统14描述为分离的系统。但是,一个系统还可以具有另一个系统的功能。换句话说,发送系统12和接收系统14中的任意一个均可以起到IP包发送/接收系统的作用。
图2示出了通信数据20的具体例子。通信数据20包括具有IP包200-1作为有效载荷的MAC帧和具有IP包200-2作为有效载荷的MAC帧。从通信数据项产生IP包200-1和200-2。例如,当通信装置15从通信终端13接收到的通信数据的尺寸超过了MTU(最大传输单元)时,通信装置15通过将所述通信数据分割为两部分产生IP包200-1和200-2。
IP包200-1包括IP头210-1和IP数据220-1。IP包200-2包括IP头210-2和IP数据220-2。IP头210-1和210-2中的每一个均包括各种类型的控制信息,例如目的地IP地址。IP头210-1包括标识符字段230-1,并且IP头210-2包括标识符字段230-2。标识符字段230-1是用于记录IP包200-1的包标识符的字段。标识符字段230-2是用于记录IP包200-2的包标识符的字段。响应于将IP包分割为多个经过分割的IP包,相同的包标识符被存储在经过分割的IP包的标识符字段中。因此,标识符字段230-1和230-2存储了相同的包标识符。
在图5和图8以及图2中,省略了除用于描述第2层和第3层的处理所需要的部分以外的包部分。具体来说,在图2中的部分以外,IP包200-1还可以包括例如CRC(循环冗余码)的错误检测/校正数据,或者和头部对应的尾部。省略了对它们的描述。
图3示出了通信装置30的功能结构。通信装置30不仅具有控制第2层通信的功能,而且具有图3中所示的单元所指示的功能。具体来说,通信装置30包括确定单元300、包加密单元310、向量写单元315、存储单元340和向量输出单元350。确定单元300确定要被传送到通信装置60的MAC帧的有效载荷是否是使用IP协议的IP包。当该MAC帧符合以太网(注册商标)帧格式时,确定单元300可以在“类型(type)”字段的值的基础上确定有效载荷是否是IP包。在MAC帧的有效载荷是IP包的情况下,包加密单元310加密该IP包来产生加密包。
在这种加密中使用预先确定的初始向量。更具体地说,包加密单元310包括分割部分320和数据加密部分330。分割部分320顺次地将IP包分割为多个分别具有预先确定的尺寸的经过分割的数据项。接着,数据加密部分330使用所述初始向量来加密一个经过分割的数据项。数据加密部分330还通过使用所述加密数据项作为下一个向量对下一个经过分割的数据项加密。结果,数据加密部分330能够加密经过分割的数据项以便产生多个加密数据项。
向量写单元315将标识初始向量的向量标识符记录在如上述那样产生的加密包的IP头中提供的预先确定的字段的至少一部分中。具体来说,这个预先确定的字段是存储用于从经过分割的IP包重构原始IP包的信息的字段。例如,这个字段是图2中所示的标识符字段230-1。标识符字段230-1是用于IP包分割的保留字段,即使IP包被分割或者不被分割。换句话说,向量写单元315在标识符字段230-1中记录向量标识符,而不管IP包被分割还是不被分割。
或者,所述预先确定的字段可以是用于存储IP包的段偏移(fragment offset)的字段。此外,在预先确定的字段中,用不增加IP包的尺寸的方法记录向量标识符。例如,已经记录在预先确定的字段中的信息可以被向量标识符覆盖,并且可以在向量标识符的基础上转换已经记录在预先确定的字段中的信息。此外,所述预先确定的字段最好是不将值传递到第3层(网络层)以上的层中的装置的字段。这能够防止第2层密码通信干扰不同层中的通信。
对于已经加密的IP包,存储单元340存储已被存储在IP包中标识符字段中的包标识符(包ID)和标识在加密IP包时已使用的初始向量的向量标识符(向量ID),以使两者彼此相关联。在图3中的例子中,存储单元340存储包ID 0x1234....5678,以便与向量ID 0x1234相关联。存储单元340最好以预先确定的定时或者是周期性地删除所存储的包标识符和初始向量之间的关联。这能够防止所需要的存储单元340的存储量上的增加,并能够提高向量标识符搜索速度。例如,预先确定的定时可以是改变通信装置30和60之间设置的加密密钥的定时。
响应于通信装置30接收IP包,向量输出单元350将该IP包视作新的要被加密的IP包,并在存储单元340里搜索和该IP包的包标识符对应的向量标识符。在搜索到这个向量标识符的情况下,即,在这个向量标识符被存储在存储单元340中的情况下,向量输出单元350输出对应于该向量标识符的初始向量作为供在IP包加密中使用的初始向量。包加密单元310使用这个初始向量来执行上述加密。
而且,向量输出单元350将找到的向量标识符输出到向量写单元315。向量写单元315将这个向量标识符记录在IP头中。在上述处理中,相同的向量标识符被记录在具有相同的包ID的IP包中。这允许例如标识符字段230-1和230-2在所记录的内容上是相同的,从而允许由接收系统14进行的IP包重构。
在未搜索到向量标识符的情况下,向量输出单元350可以基于通过使用预先确定的伪随机数等新产生的向量标识符产生初始向量。被产生的向量标识符和初始向量被类似地输出到向量写单元315和包加密单元310。
图4是通信装置30对IP包200-1进行加密的处理的概念图示。在图4的上面部分,示出了处于加密前状态的IP包200-1,并且在图4的下面部分,示出了处于加密状态的包200-1。由于通信装置30在第2层中加密IP包200-1,所以在本实施例中的IP包200-1除了图2中的IP包200-1以外还包括MAC头。MAC头的数据尺寸是例如6字节。
首先,分割部分320顺次地将IP包200-1分割为多个分别均具有预先确定的尺寸的经过分割的数据项。例如,通过分割IP数据220-1获得的经过分割的数据项由明文数据项225-1到225-N表示。还从IP头210-1产生经过分割的数据项。接着,向量输出单元350在向量ID或伪随机数的基础上产生初始向量(S410)。从向量ID产生初始向量的处理由例如预先确定的扩展哈希函数来实现,并且这个函数的内容可以向公众开放。
接着,数据加密部分330通过使用初始向量顺次地加密IP头210-1中的经过分割的数据项。例如,数据加密部分330在IP头210-1中的一个经过分割的数据项和初始向量之间实施异或运算(S420)。数据加密部分330通过使用预先确定的加密密钥对运算的结果加密,产生加密数据项(S430)。这时,包加密单元310用向量ID替代IP包200-1中的标识符字段230-1(S435),并且包加密单元310可以对IP包200-1的、除了标识符字段230-1以外的部分加密。包加密单元310可以用向量ID替代整个标识符字段230-1,或者可以用向量ID只替代标识符字段230-1的一部分。在部分标识符字段230-1被替代的情况下,包加密单元310可以对IP包200-1的、除了被替代部分以外的部分加密。
或者,包加密单元310可以用向量标识符替代在S420中实施的异或运算的结果,而不是替代明文的IP包200-1。换句话说,包加密单元310可以用向量标识符替代对应于在S420中实施的异或运算的结果中的标识符字段230-1的一部分。而且,在这种结构中,可以在解密加密数据项时获得向量标识符,并且可以获得供在解密异或操作中使用的初始向量。
此后,数据加密部分330通过将所述加密数据项用作下一个向量来加密下一个经过分割的数据项。加密的过程和上面所描述的类似。响应于IP头210-1的加密完成的时刻,数据加密部分330通过将最后加密的数据用作向量来加密明文数据项225-1。具体来说,数据加密部分330在该向量和明文数据项225-1之间实施异或运算(S440)。数据加密部分330通过使用预先确定的加密密钥对运算结果加密,产生加密数据项228-1(S450)。接着,数据加密部分330通过将加密数据项228-1用作加密数据项来加密跟在明文数据项225-1后面的明文数据项225-2。具体来说,数据加密部分330在加密数据项228-1和明文数据项225-2之间实施异或运算(S460)。数据加密部分330通过使用预先确定的加密密钥对运算结果加密,产生加密数据项228-2。此后,通过重复地执行加密,数据加密部分330最后产生加密数据项228-N(S490)。
上述加密系统是个例子,并且使用初始向量的加密系统中可能存在很多变化。例如,通过在由加密一个经过分割的数据项产生的数据和初始向量之间实施异或运算,包加密单元310可以产生运算结果作为加密数据项。在这种情况下,包加密单元310通过将所述加密数据项用作下一个向量来加密下一个经过分割的数据项。和图4中的例子类似,即使在这种结构中,也能够增强加密的保密性。加密IP包200-2的处理和加密IP包200-1的处理类似。因此省略了其描述。
图5示出了通信数据50的具体例子。通过上述加密获得的通信数据50包括具有IP包200-1作为有效载荷的MAC帧和具有IP包200-2作为有效载荷的MAC帧。IP包200-1包括加密IP头210-1和加密IP数据220-1。IP头210-1被针对每一个经过分割的数据项加密。但是,IP头210-1在标识符字段230-1中包括未加密的向量标识符。IP数据220-1被针对每一个经过分割的数据项加密。类似地,IP头210-2和IP数据220-2被针对每一个经过分割的数据项加密。但是,IP头210-2在标识符字段230-2中包括未加密的向量标识符。
图6示出了通信装置60的功能结构。通信装置60具有控制第2层通信的功能,并且还包括确定单元600、标识符获取单元605和包解密单元610。标识符获取单元605确定通信装置60所接收的MAC帧的有效载荷是否是IP包。在接收到的MAC是IP包的情况下,标识符获取单元605从在加密包的IP头中提供的标识符字段的至少一部分中获取标识了在加密IP包时已使用的初始向量的向量标识符。这个标识符字段是要用于从多个经过分割的IP包重构原始IP包的信息的例子。通过分割同一IP包产生的IP包在其标识符字段中具有相同的值。
包解密单元610通过使用由向量标识符标识的初始向量执行加密包的解密,产生了解密数据。具体来说,包解密单元610包括分割部分620、向量获取部分630和数据解密部分640。分割部分620顺次地将加密数据包分割为多个分别具有预先确定的尺寸的经过分割的数据项。向量获取部分630获取对应于从加密包的标识符字段获取的向量标识符的初始向量。数据解密部分640使用所述初始向量来解密一个经过分割的数据项,并且通过将所述经过分割的数据项用作下一个向量来进一步解密下一个经过分割的数据项。结果,数据解密部分640能够解密经过分割的数据项以产生多个解密数据项。
图7是其中对通信装置60对IP包200-1进行解密的处理的概念图示。首先,分割部分620将IP头210-1和IP数据220-1分割为多个经过分割的数据项。通过分割IP数据220-1产生的经过分割的数据项由加密数据项228-1到228-N表示。此外,标识符获取单元605从标识符字段230-1获取向量标识符(S700)。接着,向量获取部分630获取对应于该向量标识符的初始向量(S710)。如已经描述的那样,从向量标识符获取初始向量的处理可以由预先确定的哈希函数实现。
接着,数据解密部分640使用所述初始向量来解密一个经过分割的数据项,并通过将所述经过分割的数据项用作下一个向量来进一步解密下一个经过分割的数据项。这使得数据解密部分640能够解密经过分割的数据项,以便产生多个解密数据项。具体来说,例如,数据解密部分640解密IP头210-1中的一个经过分割的数据项(S720)。当这个经过分割的数据项包括向量标识符时,数据解密部分640对加密数据项228-1的、除了向量标识符以外的部分进行解密。数据解密部分640通过在解密数据项和初始向量之间实施异或运算产生明文数据项225-1(S730)。通过将一个解密前的经过分割的数据项用作下一个向量,数据解密部分640解密下一个经过分割的数据项。
在完成了IP头210-1中的解密以后,数据解密部分640顺次地执行IP数据220-1中的解密。具体来说,数据解密部分640通过将处于其被解密前的状态的最后一个经过分割的数据项用作向量,对加密数据项228-1进行解密(S740)。数据解密部分640在被解密的加密数据项228-1和所述向量之间实施异或运算(S750)。接着,数据解密部分640通过将加密数据项228-1用作向量对加密数据项228-2解密。例如,数据解密部分640对加密数据项228-2解密(S760),并在被解密的加密数据项228-2和加密数据项228-1之间实施异或运算(S770)。数据解密部分640顺次地重复上述解密,并最后将加密数据项228-N解密为明文数据项225-N(S780、S790)。用于解密IP包200-2的处理基本上也和解密IP包200-1的处理类似。因此省略了其描述。
图8示出了通信数据80的具体例子。通过上述解密获得的通信数据80包括具有IP包200-1作为有效载荷的MAC帧和具有IP包200-2作为有效载荷的MAC帧。IP包200-1包括明文IP头210-1和明文IP数据220-1。明文IP头210-1在标识符字段230-1中包括向量标识符。IP包200-2包括明文IP头210-2和明文IP数据220-2。IP头210-2在标识符字段230-2中包括向量标识符。
响应于接收到IP包200-1和200-2,通信装置90通过使用存储在标识符字段230-1和230-2中的包标识符重构原始的IP包。将通信数据80与图2中所示的通信数据20比较,发现两者差别在于存储在标识符字段230-1和230-2中的包标识符。这是因为每一个包标识符的至少一部分被向量标识符覆盖。因此,原始的IP包也有可能未被适当地重构。但是,通信装置90组合多个具有相同的包标识符的IP包,但是不组合多个具有不同的包标识符的IP包,而不管包标识符的具体内容如何。由于包标识符和向量标识符在图3中的存储单元340中彼此相关联,所以在通信数据80中,存储在标识符字段230-1中的向量ID和存储在标识符字段230-2中的向量ID彼此相同。因此,通信装置90能够通过组合IP包200-1和200-2适当地重构原始的IP包。
图9示出了通信装置30和60的通信流程图的例子。响应于通信装置30从通信装置15接收到通信数据20,确定单元300确定通信数据20中所包括的MAC帧的有效载荷是否是IP包(S900)。在有效载荷是IP包的情况下(S900:YES),包加密单元310通过使用初始向量加密数据包,产生加密包(S910)。向量写单元315将标识初始向量的向量标识符记录在所述加密包的标识符字段的至少一部分中(S920)。以这种方式被加密的MAC帧被作为通信数据50从通信装置30传送到通信装置60。
响应于通信装置60从通信装置30接收到通信数据50的时刻,确定单元600确定通信数据50中所包括的MAC帧的有效载荷是否是IP包(S930)。在有效载荷是IP包的情况下(S930:YES),标识符获取单元605从这个IP包中的标识符字段的至少一部分获取标识初始向量的向量标识符(S940)。包解密单元610使用这个向量标识符来对加密IP包进行解密(S950),并将解密包通过通信装置90提供给通信终端95。这在通信装置13和通信终端95之间实现了具有高度保密性的通信。
如上所述,根据本实施例中的信息处理系统10,通过使用例如包标识符的信息字段能够增强第2层密码通信的保密性却不妨碍例如分割和重构的处理,在IP包的分割和重构中使用所述包标识符。这能够防止第2层中数据帧尺寸的增加,并且能够消除分割和重构第2层中数据帧的需求。此外,本实施例中的加密系统可应用于各种需要初始向量的算法。因此,本实施例中的加密系统能够广泛地不仅应用于例如CBC的现有算法,而且能够应用于将来可能开发出的算法。
尽管已经通过使用本发明的实施例对其进行描述,但是本发明的技术范围不局限于前述实施例中描述的范围。本领域技术人员很清楚,可以以不同方式更改或改进前述实施例。此外,从权利要求书的范围的描述很清楚,通过更改或改进本实施例获得的形式将被包括在本发明的技术范围内。
Claims (10)
1.一种用于在数据链路层中传送数据包的通信装置,所述数据包在数据包的头部中包括标识符字段,所述通信装置包含:
包加密单元,用于通过使用预先确定的初始向量加密一个数据包来产生一个加密包;和
向量写单元,用于将标识所述初始向量的向量标识符记录在所述加密包中的标识符字段的至少一部分中,所述标识符字段被用于响应于将所述数据包分割为多个经过分割的数据包而将相同的包标识符存储在所述经过分割的数据包的所述头部中,并且相同的向量标识符被记录在具有相同的包标识符的数据包中,
其中,所述数据包是IP包,并且所述数据包的所述头部是IP头,
并且其中所述包加密单元用所述向量标识符替代所述IP包中的所述标识符字段的至少一部分,并加密所述IP包的、除了被替代部分以外的部分。
2.如权利要求1所述的通信装置,还包含:
存储单元,用于针对已经加密的IP包,存储已经被存储在所述IP包的所述标识符字段中的所述包标识符,以及标识在加密所述IP包时已使用的所述初始向量的所述向量标识符,以使两者彼此相关联;和
向量输出单元,用于在所述存储单元存储了一个对应于一个新要加密的IP包的包标识符的向量标识符的情况下,输出对应于所述的这一个向量标识符的初始向量,作为供加密所述的这一个IP包时使用的初始向量。
3.如权利要求2所述的通信装置,其中,所述存储单元响应所述通信装置改变加密密钥,删除存储在所述存储单元中的所述包标识符和所述初始向量之间的关联。
4.如权利要求1所述的通信装置,其中,所述包加密单元用所述向量标识符替代所述IP包中的所述标识符字段,并加密所述IP包的、除了所述标识符字段以外的部分。
5.如权利要求1所述的通信装置,其中,所述包加密单元包括:
分割单元,用于顺次地将每一个数据包分割为多个分别具有预先确定的尺寸的经过分割的数据项;和
数据加密单元,用于通过使用所述初始向量加密一个经过分割的数据项并将加密数据项用作下一个向量来加密下一个经过分割的数据项,将所述经过分割的数据项加密为多个加密数据项。
6.如权利要求1所述的通信装置,还包含确定单元,用于确定要被发送到接收装置的MAC帧的有效载荷是否是使用IP协议的IP包,
其中,在MAC帧的有效载荷是IP包的情况下,所述包加密单元通过加密所述IP包产生所述加密包。
7.一种用于在数据链路层中传送数据包的通信装置,所述数据包在数据包的头部中包括标识符字段,所述通信装置包含:
标识符获取单元,用于从标识符字段的至少一部分获取标识在加密所述数据包时已经使用的初始向量的向量标识符,所述标识符字段的至少一部分在加密时被所述向量标识符替代,在通过加密一个数据包获得的加密包的头部中提供了所述标识符字段,并且,响应于将所述数据包分割为多个经过分割的数据包,所述标识符字段被用于将相同的包标识符存储在所述经过分割的数据包的所述头部中,并且相同的向量标识符被记录在具有相同的包标识符的数据包中;和
包解密单元,用于通过使用由所述向量标识符标识的所述初始向量执行所述加密包的解密来产生解密数据,
其中,所述数据包是IP包,并且所述数据包的所述头部是IP头。
8.如权利要求7所述的通信装置,其中,所述包解密单元包括:
分割单元,用于顺次地将所述加密包分割为多个分别具有预先确定的尺寸的经过分割的数据项;和
向量获取单元,用于获取对应于从所述加密包的所述标识符字段获取的所述向量标识符的初始向量;和
数据解密单元,用于通过使用所述初始向量来解密一个经过分割的数据项并将所述的这一个经过分割的数据项用作下一个向量来进一步解密下一个经过分割的数据项,将所述经过分割的数据项解密为多个解密数据项。
9.一种用于在数据链路层中传送数据包的通信方法,所述数据包在数据包的头部中包括标识符字段,所述通信方法包含:
通过使用预先确定的初始向量加密一个数据包来产生加密包的步骤;和
将标识所述初始向量的向量标识符记录在所述加密包中的标识符字段的至少一部分中的步骤,所述标识符字段被用于响应于将所述数据包分割为多个经过分割的数据包而将相同的包标识符存储在所述经过分割的数据包的所述头部中,并且相同的向量标识符被记录在具有相同的包标识符的数据包中,
其中,所述数据包是IP包,并且所述数据包的所述头部是IP头,
并且其中所述IP包中的所述标识符字段的至少一部分被所述向量标识符替代,并且所述IP包的、除了被替代部分以外的部分被加密。
10.一种用于在数据链路层中传送数据包的通信方法,所述数据包在数据包的头部中包括标识符字段,所述通信方法包含:
从标识符字段的至少一部分获取标识在加密所述数据包时已经使用的初始向量的向量标识符的步骤,所述标识符字段的至少一部分在加密时被所述向量标识符替代,在通过加密一个数据包获得的加密包的头部中提供了所述标识符字段,并且,响应于将所述数据包分割为多个经过分割的数据包,所述标识符字段被用于将相同的包标识符存储在所述经过分割的数据包的所述头部中,并且相同的向量标识符被记录在具有相同的包标识符的数据包中;和
通过使用由所述向量标识符标识的所述初始向量执行所述加密包的解密来产生解密数据的步骤,
其中,所述数据包是IP包,并且所述数据包的所述头部是IP头。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005335916A JP4482630B2 (ja) | 2005-11-21 | 2005-11-21 | 通信装置および通信方法 |
| JP2005335916 | 2005-11-21 | ||
| JP2005-335916 | 2005-11-21 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1972184A CN1972184A (zh) | 2007-05-30 |
| CN1972184B true CN1972184B (zh) | 2011-12-07 |
Family
ID=38053569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101446867A Active CN1972184B (zh) | 2005-11-21 | 2006-11-14 | 通信装置和通信方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US7869597B2 (zh) |
| JP (1) | JP4482630B2 (zh) |
| CN (1) | CN1972184B (zh) |
Families Citing this family (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7391865B2 (en) * | 1999-09-20 | 2008-06-24 | Security First Corporation | Secure data parser method and system |
| AU2004100000A4 (en) * | 2004-01-02 | 2004-02-12 | Sands Innovations Pty Ltd | Dispensing stirring implement |
| EP1825412A1 (en) | 2004-10-25 | 2007-08-29 | Rick L. Orsini | Secure data parser method and system |
| CN105978683A (zh) | 2005-11-18 | 2016-09-28 | 安全第公司 | 安全数据解析方法和系统 |
| US8904080B2 (en) * | 2006-12-05 | 2014-12-02 | Security First Corp. | Tape backup method |
| US7917747B2 (en) * | 2007-03-22 | 2011-03-29 | Igt | Multi-party encryption systems and methods |
| CN101325684B (zh) | 2007-06-14 | 2010-10-06 | 中兴通讯股份有限公司 | 基于移动多媒体广播的加密控制信息传输方法及系统 |
| CN102932136B (zh) | 2007-09-14 | 2017-05-17 | 安全第一公司 | 用于管理加密密钥的系统和方法 |
| US7987363B2 (en) * | 2007-12-21 | 2011-07-26 | Harris Corporation | Secure wireless communications system and related method |
| JP5171245B2 (ja) * | 2007-12-28 | 2013-03-27 | パナソニック株式会社 | プロトコル遅延測定装置及びプロトコル遅延測定方法 |
| EP2106642A4 (en) * | 2008-01-07 | 2015-12-02 | Security First Corp | SYSTEMS AND METHODS FOR SECURING DATA USING A KEY OR MULTI-FACTOR DISPERSION |
| CN103281190B (zh) * | 2008-02-22 | 2018-03-09 | 安全第一公司 | 安全工作组管理和通信的系统和方法 |
| KR100913691B1 (ko) | 2008-06-13 | 2009-08-24 | 한국철도기술연구원 | 개방형 전송 시스템에서 열차제어신호 전송 방법 |
| CN101783789B (zh) * | 2009-01-16 | 2013-01-02 | 深圳市维信联合科技有限公司 | 网络数据包传输处理方法、设备及系统 |
| GB0903313D0 (en) * | 2009-02-26 | 2009-04-08 | Sepura Plc | Mobile communications systems |
| CN102428686A (zh) | 2009-05-19 | 2012-04-25 | 安全第一公司 | 用于安全保护云中的数据的系统和方法 |
| EP2504973B1 (en) | 2009-11-25 | 2016-11-16 | Security First Corp. | Systems and methods for securing data in motion |
| JP2013524352A (ja) | 2010-03-31 | 2013-06-17 | セキュリティー ファースト コーポレイション | 移動中のデータをセキュア化するためのシステムおよび方法 |
| US8782803B2 (en) * | 2010-04-14 | 2014-07-15 | Legitmix, Inc. | System and method of encrypting a derivative work using a cipher created from its source |
| US8824492B2 (en) | 2010-05-28 | 2014-09-02 | Drc Computer Corporation | Accelerator system for remote data storage |
| EP2619939A2 (en) | 2010-09-20 | 2013-07-31 | Rick L. Orsini | Systems and methods for secure data sharing |
| GB2485142A (en) | 2010-10-27 | 2012-05-09 | Nds Ltd | Secure broadcast/multicast of media content |
| US9667741B1 (en) | 2011-03-08 | 2017-05-30 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9338220B1 (en) | 2011-03-08 | 2016-05-10 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9292696B1 (en) | 2011-03-08 | 2016-03-22 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9413526B1 (en) | 2011-03-08 | 2016-08-09 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US11228566B1 (en) * | 2011-03-08 | 2022-01-18 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9852311B1 (en) | 2011-03-08 | 2017-12-26 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9432342B1 (en) | 2011-03-08 | 2016-08-30 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9619482B1 (en) * | 2011-03-08 | 2017-04-11 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US8726398B1 (en) | 2011-12-13 | 2014-05-13 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9300637B1 (en) * | 2011-03-08 | 2016-03-29 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US9356993B1 (en) * | 2011-03-08 | 2016-05-31 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| US8694646B1 (en) | 2011-03-08 | 2014-04-08 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
| WO2013006907A1 (en) * | 2011-07-11 | 2013-01-17 | Cocoon Data Holdings Limited | A system and method for streaming secured data |
| EP2956887A1 (en) | 2013-02-13 | 2015-12-23 | Security First Corp. | Systems and methods for a cryptographic file system layer |
| US9596218B1 (en) | 2014-03-03 | 2017-03-14 | Google Inc. | Methods and systems of encrypting messages using rateless codes |
| WO2016081942A2 (en) | 2014-11-21 | 2016-05-26 | Security First Corp. | Gateway for cloud-based secure storage |
| US9553853B2 (en) * | 2014-12-23 | 2017-01-24 | Intel Corporation | Techniques for load balancing in a packet distribution system |
| CN104836792A (zh) * | 2015-03-28 | 2015-08-12 | 南阳理工学院 | 一种企业管理数据处理系统 |
| CN105187851A (zh) * | 2015-07-31 | 2015-12-23 | 北京邮电大学 | 一种面向海量编码多媒体数据的速度可调节加密方法以及采用该方法的视频处理平台 |
| CN105262772B (zh) * | 2015-11-06 | 2020-03-17 | 腾讯科技(深圳)有限公司 | 一种数据传输方法、系统及相关装置 |
| KR102564396B1 (ko) * | 2016-07-12 | 2023-08-04 | 에스케이텔레콤 주식회사 | 암호화 패킷 전송장치 및 암호화 패킷 전송방법 |
| CN106789903B (zh) * | 2016-11-18 | 2020-11-13 | 海能达通信股份有限公司 | 无线通信方法、装置及通信设备 |
| US10887291B2 (en) | 2016-12-16 | 2021-01-05 | Amazon Technologies, Inc. | Secure data distribution of sensitive data across content delivery networks |
| CN108206820B (zh) * | 2016-12-20 | 2021-05-11 | 扬智科技股份有限公司 | 网络设备与其传输流封包的解密方法 |
| US11159498B1 (en) | 2018-03-21 | 2021-10-26 | Amazon Technologies, Inc. | Information security proxy service |
| CN108777611B (zh) * | 2018-05-11 | 2021-06-18 | 吉林大学 | 基于双密钥流密码的双向链表顺序加密解密方法 |
| US10979403B1 (en) * | 2018-06-08 | 2021-04-13 | Amazon Technologies, Inc. | Cryptographic configuration enforcement |
| US11221612B2 (en) * | 2018-07-27 | 2022-01-11 | Rockwell Automation Technologies, Inc. | System and method of communicating data over high availability industrial control systems |
| US11927950B2 (en) | 2018-07-27 | 2024-03-12 | Rockwell Automation Technologies, Inc. | System and method of communicating safety data over high availability industrial control systems |
| US11363068B2 (en) * | 2019-11-04 | 2022-06-14 | ColorTokens, Inc. | Method and system for providing a complete traceability of changes incurred in a security policy |
| CN111654511A (zh) * | 2020-07-13 | 2020-09-11 | 中国银行股份有限公司 | 一种链式数据加密方法、链式数据解密方法及相应的系统 |
| US20230095149A1 (en) * | 2021-09-28 | 2023-03-30 | Fortinet, Inc. | Non-interfering access layer end-to-end encryption for iot devices over a data communication network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5799089A (en) * | 1993-10-14 | 1998-08-25 | Irdeto B.V. | System and apparatus for blockwise encryption/decryption of data |
| US6055316A (en) * | 1997-12-26 | 2000-04-25 | Sun Microsystems, Inc. | System and method for deriving an appropriate initialization vector for secure communications |
| CN1602615A (zh) * | 2002-08-06 | 2005-03-30 | 松下电器产业株式会社 | 分组路由设备和分组路由方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3887945B2 (ja) | 1997-05-09 | 2007-02-28 | ソニー株式会社 | データ受信装置及びデータ受信方法 |
| JP2000315997A (ja) | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
| US7240202B1 (en) * | 2000-03-16 | 2007-07-03 | Novell, Inc. | Security context sharing |
| JP2002202719A (ja) | 2000-11-06 | 2002-07-19 | Sony Corp | 暗号化装置及び方法、復号装置及び方法、並びに記憶媒体 |
| US20020161784A1 (en) * | 2001-02-28 | 2002-10-31 | Tarenskeen Herbert J. | Method and apparatus to migrate using concurrent archive and restore |
| US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| CN100450177C (zh) | 2001-12-19 | 2009-01-07 | 耶德托存取公司 | 数字内容分配系统 |
| JP2004104439A (ja) | 2002-09-09 | 2004-04-02 | Sony Corp | 通信方法、送信装置及び受信装置 |
| JP2004166153A (ja) | 2002-11-15 | 2004-06-10 | Nec Corp | マルチキャスト配信システムにおける鍵交換方式 |
| US7792121B2 (en) | 2003-01-03 | 2010-09-07 | Microsoft Corporation | Frame protocol and scheduling system |
| JP4608931B2 (ja) | 2004-01-09 | 2011-01-12 | ソニー株式会社 | 情報処理装置および方法、プログラム、並びに記録媒体 |
-
2005
- 2005-11-21 JP JP2005335916A patent/JP4482630B2/ja active Active
-
2006
- 2006-11-14 CN CN2006101446867A patent/CN1972184B/zh active Active
- 2006-11-16 US US11/600,480 patent/US7869597B2/en not_active Expired - Fee Related
-
2010
- 2010-12-28 US US12/979,767 patent/US8300822B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5799089A (en) * | 1993-10-14 | 1998-08-25 | Irdeto B.V. | System and apparatus for blockwise encryption/decryption of data |
| US6055316A (en) * | 1997-12-26 | 2000-04-25 | Sun Microsystems, Inc. | System and method for deriving an appropriate initialization vector for secure communications |
| CN1602615A (zh) * | 2002-08-06 | 2005-03-30 | 松下电器产业株式会社 | 分组路由设备和分组路由方法 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2000-315997A 2000.11.14 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8300822B2 (en) | 2012-10-30 |
| CN1972184A (zh) | 2007-05-30 |
| US7869597B2 (en) | 2011-01-11 |
| US20110145573A1 (en) | 2011-06-16 |
| JP4482630B2 (ja) | 2010-06-16 |
| JP2007142951A (ja) | 2007-06-07 |
| US20070116285A1 (en) | 2007-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1972184B (zh) | 通信装置和通信方法 | |
| US8983061B2 (en) | Method and apparatus for cryptographically processing data | |
| JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
| CN107113239B (zh) | 包混淆和包转发 | |
| EP3157225B1 (en) | Encrypted ccnx | |
| US20040139339A1 (en) | Data encryption and decryption method and apparatus | |
| US20080130881A1 (en) | Method and apparatus for encrypting data | |
| JP2009246801A (ja) | 分割されたパケットの暗号化方法、分割暗号化パケットの復号方法、暗号化装置及びプログラム | |
| JPH0969830A (ja) | 暗号通信システム | |
| US20030212886A1 (en) | Encryption/decryption system and encryption/decryption method | |
| JP2006229863A (ja) | 暗号化/復号化装置、通信コントローラ及び電子機器 | |
| KR100415554B1 (ko) | 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 | |
| CN110941862B (zh) | 一种基于fpga+arm的数据隔离系统 | |
| CN116527405B (zh) | 一种srv6报文加密传输方法、装置及电子设备 | |
| JP4664692B2 (ja) | 暗号化方法、復号方法、暗号化装置、復号装置、暗号装置、およびプログラム | |
| JPH06209313A (ja) | 機密保持装置およびその方法 | |
| JPH0677954A (ja) | 任意選択的ステータスエンコーディングを有する暗号処理装置及び方法 | |
| JP2010268149A (ja) | 復号装置及び復号方法及びプログラム | |
| Wiemer et al. | Enabling Secure Communication for Automotive Endpoint-ECUs through Lightweight-Cryptography | |
| CN115913548A (zh) | 一种对称密钥分发方法、装置 | |
| CN115766290A (zh) | 报文转发方法、装置和网络设备 | |
| CN117439744A (zh) | 基于业务安全等级的业务数据传输方法及装置 | |
| EP2400688B1 (en) | Indices moving in opposite directions for cryptographic bidirectional communications using a shared master key | |
| CN117749375A (zh) | 基于链路层的加密以及解密方法 | |
| Acton | Advances in Information Technology Research and Application: 2013 Edition: ScholarlyBrief |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20161209 Address after: American California Patentee after: HULU, LLC Address before: American New Jersey Patentee before: Coral Bay Innovation Ltd. Effective date of registration: 20161209 Address after: American New Jersey Patentee after: Coral Bay Innovation Ltd. Address before: American New York Patentee before: International Business Machines Corp. |