CN1992585A - 一种用于用户设备与内部网络间安全通信的方法及装置 - Google Patents
一种用于用户设备与内部网络间安全通信的方法及装置 Download PDFInfo
- Publication number
- CN1992585A CN1992585A CNA2005101124110A CN200510112411A CN1992585A CN 1992585 A CN1992585 A CN 1992585A CN A2005101124110 A CNA2005101124110 A CN A2005101124110A CN 200510112411 A CN200510112411 A CN 200510112411A CN 1992585 A CN1992585 A CN 1992585A
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- packet
- internal network
- security strategy
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明的目的在于提供一种新的支持处于外部网络的用户设备与其所属内部网络之间安全通信的技术方案。具体的,通过利用在用户设备和接入设备处,利用预存的与特定内部网络相对应的根密钥与约定的加/解密以及认证算法来对所传输的数据进行加/解密以及认证,从而在不降低安全等级的前提下,简化了加/解密钥以及认证密钥等的生成方式,降低了内部网络端的接入设备的复杂性。本发明的技术方案具备较高的灵活性和可扩展性,实现了更优的用户体验。
Description
技术领域
本发明涉及通信网络中的安全通信技术,尤其涉及在通信网络(尤其是基于IP网络)环境中支持处于外部网络的用户设备与其所属的内部网络之间的安全通信的方法及相应装置。
背景技术
在未来互联网协议第六版(IPv6)的网络环境下,巨大的IP地址空间可以让任何一个电子设备(例如,计算机、移动设备、家用电器等)拥有其独立的IP地址,这样,企业、公司或家庭内部的每个电子设备都可以有各自的IP地址,从而构成内部网络。通过这些IP地址或者域名解析,内部网络的成员可以从外面的任一用户设备经互联网与内部网络相通信,进而控制或监视内部网络中的任一电子设备,还可以传送信息。
然而,由于内部网络的信息具有私密性和敏感性,以及互联网具有开放性,内部网络的成员并不希望任何人都可以从外部经互联网访问内部网络,并进而轻易获得内部的特殊信息,甚至控制内部网络的各个电子设备。
同时,内部网络的成员也不希望当其从外部网络正常访问内部网络时,相关数据由于经互联网传送而被恶意窃取或篡改。因此,迫切需要一种能够保护内部网络不受恶意攻击,并且保证内部网络成员能够从外部网络经过互联网安全访问内部网络的方案。
在现有技术中,虚拟个人网(VPN)可以实现在公有网络上传输私有通信。虚拟个人网可以分为两类:加密VPN与非加密VPN。非加密虚拟个人网的安全型依赖对网际网络服务供应商的信任以及路由功能的安全与完整性;加密虚拟个人网通常采用加密隧道将两个或多个需要安全通信的网络连接在一起,这样,虚拟个人网在公开网络上传输的通信对外部网络是隐藏的,这类VPN的一个很好的例子是互联网协议安全虚拟个人网(IPsec VPN)。
IPsec VPN技术可以实现数据加密,使通信流量安全穿越互联网,但是,这种方案存在以下问题:
1)由于IPsec客户端的IP地址的不确定性,要使用未知客户端的IP地址来连接网关,使得定义一个独一无二的基于IP地址的预共享密钥是不可能的;
2)在访问服务器端需要大量的复杂配置工作,相关的配置的改变可能导致客户端设置的变更,扩展性差;
3)IPsec隧道建立时需要复杂的专业的参数协商过程,令普通用户难以掌握,也没有必要;
4)已有的IPsec VPN方案将IPsec客户端作为其需要连接的家庭网络的一部分对待,需要将原有的家庭网络的复杂属性配置给远端用户,这使得该方案的实施很复杂,且成本上升。
发明内容
为了克服现有技术中的上述缺点,本发明的目的在于提供一种新的支持处于外部网络的用户设备与其所属内部网络之间安全通信的技术方案。具体的,通过利用在用户设备和接入设备处,利用预存的与特定内部网络相对应的根密钥与约定的加/解密以及认证算法来对所传输的数据进行加/解密以及认证,从而实现一种简单的在用户设备以及其所属内部网络之间的安全通信方案,而内部网络无需进行任何改变。
根据本发明的第一方面,提供了一种在通信网络的用户设备中用于与一个内部网络进行安全通信的方法,包括以下步骤:生成一个用于指示加解密数据的一组参数及算法的安全策略指数(SPI)值;通过利用预存的第一根密钥对所述SPI和目的地址进行运算,以生成加密密钥;利用所述加密密钥对待传输数据进行加密,以生成加密数据;将所述加密数据与所述SPI值一起封装为数据包,经网络进行传输。
根据本发明的第二方面,提供了一种在通信网络中用于与一个内部网络进行安全通信的用户设备,包括:生成装置,用于生成用于指示加解密数据的一组参数及算法的安全策略指数(SPI)值;第一运算装置,用于通过利用预存的第一根密钥对所述SPI和目的地址进行运算,已生成加密密钥;加密装置,用于利用所述加密密钥对待传输数据进行加密,以生成加密数据;封装装置,用于将所述加密数据与所述SPI值一起封装为数据包,经网络进行传输。
根据本发明的第三方面,提供了一种在通信网络的接入设备中用于支持用户设备与内部网络之间安全通信的方法,其包括以下步骤:接收来自所述一个用户设备的数据包;判断所述来自用户设备的数据包是否为用于与一个内部网络之间安全通信的加密数据包;如果所述来自用户设备的数据包为根据本发明的用于与所述内部网络之间安全通信的加密数据包,则利用预存的与所述内部网络对应的第一根密钥来将所述加密数据包转换为普通数据包,并将其转发给所述内部网络。
根据本发明的第四方面,提供了一种在在通信网络中用于支持用户设备与内部网络之间安全通信的的接入设备,其包括:第一接收装置,用于接收来自所述一个用户设备的数据包;判断装置,用于判断所述来自用户设备的数据包是否为根据本发明的用于与一个内部网络之间安全通信的加密数据包;转换装置,用于如果所述数据包为用于与所述内部网络之间安全通信的加密数据包,则利用预存的与所述内部网络对应的第一根密钥来由所述加密数据包转换为普通数据包;第一发送装置,用于将所述普通数据包转发给所述内部网络。
与现有技术相比,根据本发明的技术方案,提供了一种在通信网络(尤其是基于IP的网路)环境下的成员由外部对内部网络的安全访问机制:除内部网络成员之外,任何未经授权的人均无法访问该内部网络,并且在不降低安全等级的前提下,简化了加/解密钥以及认证密钥等的生成方式,降低了内部网络端的接入设备的复杂性。本发明的技术方案具备较高的灵活性和可扩展性,实现了更优的用户体验。
附图说明
图1为根据本发明一个具体实施方式的用户设备由外部对内部网络进行安全访问的通信网络的示意图;
图2为根据本发明一个具体实施方式的在通信网络的用户设备中用于与所属内部网络进行特殊安全通信的方法流程图;
图3为根据本发明的一个具体实施方式的在通信网络中用于与所属内部网络进行特殊安全通信的用户设备的框图;
图4和5为根据本发明一个具体实施方式的在通信网络的接入设备中用于支持一个用户设备与其所属内部网络之间的特殊安全通信的方法的流程图;
图6为根据本发明一个具体实施方式的在通信网络中用于支持用户设备与其所属内部网络之间的特殊安全通信的接入设备的框图。
其中,相同的附图标记代表相同或相似的部件。
具体实施方式
下面参照附图来对本发明的具体实施方式进行详细描述。但应该理解,本发明并不仅限于所述具体实施方式。
在多数情况下,内部网络的成员由于工作、学习的原因,位置并不固定,并随时可能需要与其所属的内部网络进行联系。在本发明的方案中,当内部成员需要与内部网络进行通信,如控制或监视内部网络中的某一设备或传送文件时,他可能会利用自己的笔记本电脑,掌上电脑,甚至网吧里的一台普通电脑来进行通信,这时,就必须关注通信的安全性。
图1示出根据本发明一个具体实施方式的用户设备由外部对内部网络进行安全访问的通信网络的示意图。所述通信网络在此为基于IPv6的网络,其中包括:多个内部网络(例如家庭网络)、与内部网络相连的接入设备1、处于外部网络中的作为内部网络成员的用户设备2以及,用于为接入设备和用户设备提供相关信息更新的一个安全策略参量服务器3。用户设备1通过互联网经由接入设备2与所属内部网络进行根据本发明的特殊安全通信。所述接入设备2负责一个或多个内部网络的接入,对来自作为内部网络成员用户设备和来自内部网络的数据包进行识别和处理,保证数据包安全跨越互联网到达目的地址;用户设备则是任意一台可以连接到互联网的计算机。
下面参照图1来对本发明进行描述。
作为某一内部网络成员的用户从外部网络使用其个人计算机(例如便携式计算机)或公有计算机(如网吧里的计算机)连上互联网。在具体实现中,当需要访问其所属网络时,用户可以通过启动自己的计算机中所包含的IPsec客户端软件或插入用于包含IPsec客户端软件的便携式存储设备(例如USB存储设备)来实现与其所属内部网络之间的安全通信。在此,便携式计算机或公用计算机以便携式存储设备可称为用户设备1。
首先,用户设备1利用预存的用户身份信息,通过与用户的交互(例如提示用户输入用户名和口令),来确定是该用户是否为该个人计算机或USB存储设备的合法主人。如果用户合法,则进入下面操作;否则,拒绝操作。
当用户被确认合法后,用户设备1自动访问运营商提供的安全策略和参数分发服务器,首先凭个人计算机或USB设备中的数字证书确认是否有参数更新,若没有就自动退出访问服务器。若有更新,就自动下载更新的数据。通常是代表其所属内部网络的目的地址前缀的更新,安全策略参量(例如第一、二根密钥以及加/解密和认证算法等)的更新。
随后,用户设备1依据本地预存的内部网络地址前缀(例如64位前缀为前64为IP地址)、用生成安全策略指示(SPI)的第二根密钥Kspi对当前用户设备(主机)的IP地址和当天日期、目的IP地址前缀和源IP地址进行运算,以生成SPI值。然后,由生成加密认证的第一根密钥Kroot根据预先约定的算法来对所生成的SPI值与双方都知晓的预定序列(例如目的地址前缀和源地址)进行运算,从而产生加密密钥Ke和认证密钥Ka。同时自动检测发往网卡的数据包,依据数据包中目的地址前缀(前64位IP地址)是否匹配所属内部网络前缀来确认是否拦截该数据包。如果确定是发往所属内部网络的数据包,则根据已约定的安全策略和已生成的加密密钥Ke对待传输的数据进行加密,以生成加密数据;并利用以生成的认证密钥Ka对加密机密数据Hash(散列)运算,并取Hash运算结果的前一个部分作为认证部分。将所生成的SPI值、加密数据以及认证部分封装为一个用于本发明的特殊安全通信的加密数据包,并将处理好的加密数据包发往网卡,从而发送到与内部网络相连接的接入设备2。
工作于目的内部网络的接入设备2(例如DSLAM),检查到来的数据包(例如Ipsec格式的IP包)。首先检查目的(IP)地址前缀,随后基于本地保存的内部网络地址与根密钥的映射表查询到与该目的地址前缀相对应的根密钥,接着,检查SPI值中包含的日期值。利用根密钥根据按与用户设备1之间约定的算法对当天日期、目的(IP)地址前缀和源(IP)地址等进行计算,得到一个新的安全策略指示(SPI)值,将其与到来数据包中的SPI值相比较,如果两者相一致,则确定是合法的成员所发出的,不致则丢弃。接着根据SPI值计算出认证密钥Ka,并利用认证密钥Ka来对源(IP)地址以及加密数据进行Hash运算,以生成一个新的认证部分,随后将其于到来数据包的SPI中所包含的认证部分进行比较,如果两者相一致,则可确认数据包没被窜改且是合法的成员发出,否则,将丢弃该数据包。最后,当确认没被窜改且是合法的成员发出,根据SPI值计算出加密密钥Ke,解密数据包中的加密数据部分,以生成一个普通数据包。并将生成的普通数据包发往对应的内部网络。
优选的,接入设备2还应记录成功处理的数据包的诸如目的IP地址、源地址及SPI值,Ke,Ka等通信相关信息,以便于加快后续包的处理及反方向从内部网络发往处于外部网络的成员的用户设备的数据处理。同时接入设备也应记录已经从内部网络发起与外部网络的全部通信的相关信息,例如,采用常见的防火墙技术即可实现。这样可以防止非法用户攻击内部网络。
对于从内部网络发出的后续的数据包,由接入设备基于所记录的先前建立的全部通信的相关信息判断是否属于与其外部成员之间的特殊安全通信。如果属于与其外部成员之间的安全通信,则按与用户设备处相似的方式,利用所存的与该内部网络(源IP地址前缀)相对应的根密钥来按照约定的方式对数据进行处理,以生成一个包含源IP地址、目的IP地址、SPI值、加密数据部分以及认证部分的加密数据包,并发送给相应的用户设备1。并由用户设备1对来自接入设备2的加密数据包进行检查,并作相关的解密处理,以得到原始数据。
图2为根据本发明一个具体实施方式的在通信网络的用户设备中用于与所属内部网络进行特殊安全通信的方法流程图。
下面参照图2并结合图1来对此实施方式进行详细描述。
在本实施方式中,在用户设备1中进行与其所属的内部网络之间的特殊安全通信之前,为了确认用户有权启动与内部网络间的安全通信(为合法成员),需要对用户进行验证。因此,在步骤S101中,利用本地预存的用户相关信息来,通过与用户的交互(例如例如提示用户输入用户名和口令),对所述希望启动与内部网络间的安全通信的用户进行身份认证。随着相关技术的不断完善,用户的身份认证还可以通过指纹识别、RFID扫描等方式实现。在步骤S102中对用户的合法性进行判断,如果用户合法,则进入步骤S103;否则,拒绝操作。
在步骤S103中,当用户希望启动与其所属内部网络间的安全通信(即,目的地址与用户设备端预存的所述用户所属的内部网络的IP地址匹配,说明该通信属于与内部网络间的安全通信)时,将依据预存的内部网络地址前缀(例如64位前缀为前64为IP地址),用生成安全策略指示(SPI)的第二根密钥Kspi对和当天日期、目的IP地址前缀和源IP地址(当前用户设备的IP地址)进行运算,以生成一个安全策略指示(SPI)值,该SPI值用于指示加解密算法以及加解密数据的参数。具体的,该SPI值可以包括三部分,其中:第一部分用于指示所采用的安全策略方案,所述安全策略方案包括加密算法、封装方式等;第二部分包括本地当前日期值;第三部分包括通过对所述本地当前日期值、目的地址前缀、源地址、所述第二根密钥等进行散列运算得到的数值。
在一个实施例中,例如在IPv6协议中,SPI值为32比特,其中:
第一部分可为3bit,用于指示所采用的安全策略方案。例如,可用“111”指定ESP封装,3DES加密,MD5认证的安全方案,可用“100”来指定ESP封装,AES-128加密,SHA-1认证的安全方案。由于现在常用的安全策略方案不超过8种,3bit的组合可以满足现有需要,如果今后出现更多的常用安全策略方案,可以将32位中的更多位数分给所述SPI值的第一部分。这样,用户设备1可以用该部分告知IPsec对等端(接入设备2)其所采用的具体的加解密算法,因而双方都有能力由SPI值的第一部分得知此次通信所用的加解密算法(当然,用户设备1与接入设备2之间如果预先约定了加/解密算法,则无需再通过所述第一部分告知对方);
第二部分可包含5bit:由于网络环境的复杂,为了保证通信安全,用于加密和认证密钥都需要定期更新,每月的日期由1至31,可以用5bit二进制覆盖,并在后续步骤中用于每日更新的加密和认证密钥的生成。如果无需对加密密钥和认证密钥进行定期更新,则可以不包含这一部分,而采用用户设备1与接入设备2之间预先约定的一个预定序列;
第三部分包含24bit:将预存的第二根密钥(Kspi)对当前系统的日期值、目的地址前缀(例如内部成员所属内部网络的IP地址的前64位)、源IP地址(例如用户设备端的IP地址,128位),经过约定的MD5算法,得到一个128位的Hash运算结果,取其前24位,作为SPI值的第三部分。
从而,生成了一个完整的SPI值,指示加解密数据的一组参数及算法,由于其输入量中有每天更新的日期值,生成的SPI值也是每天更新的。
在步骤S104中,将本地(例如便携式计算机或USB存储装置)中预存的第一根密钥(Kroot)对生成的SPI值和一个双方都知晓的预定序列(例如目的地址前缀,目的地址的前64位)进行约定的MD5运算,生成加密密钥。由于所述SPI值是每天更新的,所以生成的加密密钥也是每天更新的。
接着,在步骤S104中,用所述加密密钥待发送的属于所述用户与其所属内部网络间的安全通信的数据在约定加密算法下进行加密,得到加密数据。
在步骤S105中,基于SPI值所规定的封装机制(例如Ipsec的封装机制),将前述步骤中生成的SPI值和加密数据封装成数据包,用于经由网络进行发送。
优选的,步骤S103还包括,将预存的第一根密钥(Kroot)作用于之前对生成的SPI值和另一个双方知晓的预定序列(例如源地址的前64位),进行MD5运算,生成认证密钥;进而,在步骤S104中,在生成加密数据之后,利用以生成的认证密钥Ka对加密机密数据Hash(散列)运算,并取Hash运算结果的前一个部分作为认证部分;随后,在步骤S105中,将认证部分与SPI值和加密数据一同进行封装,以生成待传输的数据包。
优选的,用户设备1还通过访问一个由运营商提供的安全策略服务器来更新与根据本发明的特殊安全通信相关的一些参量,例如代表其所属内部网络的目的地址前缀的更新,安全策略参量(例如第一、二根密钥以及加/解密和认证算法等)的更新等。
在用户设备端,为甄别与所属内部网络之间的特殊安全通信或与其他外部网络之间的通信,还可在进行以上操作之间判断待传输的数据包的目的IP地址前缀与预存的用户所属的内部网络的IP地址是否匹配,如果两者不匹配,表示所要进行的通信并非用于用户与所属内部网络间的安全通信,则不需对所述数据包做上述根据本发明的处理,而是直接将该数据包发送出去。
图3为根据本发明的一个具体实施方式的在通信网络中用于与所属内部网络进行特殊安全通信的用户设备的框图。如上面图1所示,该用户设备1工作于外部网络中,用于作为一个内部网络的成员来经由接入设备2来实现根据本发明的对所述内部网络的安全访问。其中,如图3所示,所述用户设备包括:用于生成安全策略指示(SPI)值的生成装置101,用于生成加密密钥的第一运算装置102、用于生成加密数据的加密装置103,用于生成认证密钥的第二运算装置104,用于生成认证部分的认证装置105,用于封装数据包的封装部分106,用于对用户身份进行验证的验证装置107。
在本实施方式中,在进行与其所属的内部网络之间的特殊安全通信之间,为了确认用户有权启动与内部网络间的安全通信(为合法成员),需要对用户进行验证。因此,验证装置107,利用本地预存的用户相关信息来,通过与用户的交互(例如提示用户输入用户名和口令),对所述希望启动与内部网络间的安全通信的用户进行身份认证。随着相关技术的不断完善,用户的身份认证还可以通过指纹识别、RFID扫描等方式实现。如果用户合法,允许对数据包进行相关处理;否则,停止处理。
当验证装置107验证用户为合法。生成装置101将依据预存的内部网络地址前缀(例如64位前缀为前64的IP地址)、用生成安全策略指示(SPI)的第二根密钥Kspi对当前用户设备(主机)的IP地址和当天日期、目的IP地址前缀和源IP地址进行运算,以生成一个安全策略指示(SPI)值,该SPI值用于指示加解密算法以及加解密数据的参数。具体的,该SPI值可以包括三部分,其中:第一部分用于指示所采用的安全策略方案,所述安全策略方案包括加密算法、封装方式等;第二部分包括本地当前日期值;第三部分包括通过对所述本地当前日期值、目的地址前缀、源地址、所述第二根密钥等进行散列运算得到的数值。
在一个实施例中,例如在IPv6协议中,SPI值为32比特,其中:
第一部分可为3bit,用于指示所采用的安全策略方案。例如,可用“111”指定ESP封装,3DES加密,MD5认证的安全方案,可用“100”来指定ESP封装,AES-128加密,SHA-1认证的安全方案。由于现在常用的安全策略方案不超过8种,3bit的组合可以满足现有需要,如果今后出现更多的常用安全策略方案,可以将32位中的更多位数分给所述SPI值的第一部分。这样,用户设备1可以用该部分告知IPsec对等端(接入设备2)其所采用的具体的加解密算法,因而双方都有能力由SPI值的第一部分得知此次通信所用的加解密算法(当然,用户设备1与接入设备2之间如果预先约定了加/解密算法,则无需再通过所述第一部分告知对方);
第二部分可包含5bit:由于网络环境的复杂,为了保证通信安全,用于加密和认证密钥都需要定期更新,每月的日期由1至31,可以用5bit二进制覆盖,并在后续步骤中用于每日更新的加密和认证密钥的生成。如果无需对加密密钥和认证密钥进行定期更新,则可以不包含这一部分,而采用用户设备1与接入设备2之间预先约定的一个预定序列;
第三部分包含24bit:将预存的第二根密钥(Kspi)对当前系统的日期值、目的地址前缀(例如内部成员所属内部网络的IP地址的前64位)、源IP地址(例如用户设备端的IP地址,128位),经过约定的MD5算法,得到一个128位的Hash运算结果,取其前24位,作为SPI值的第三部分。
从而,生成了一个完整的SPI值,指示加解密数据的一组参数及算法,由于其输入量中有每天更新的日期值,生成的SPI值也是每天更新的。
第一运算装置102对本地(例如便携式计算机或USB存储装置)预存的第一根密钥(Kroot)对生成的SPI值和一个双方都知晓的预定序列(例如目的地址前缀,目的地址的前64位)进行约定的MD5运算,生成加密密钥。由于所述SPI值是每天更新的,所以生成的加密密钥也是每天更新的。
加密装置103,用于利用来自所述第一运算装置102的加密密钥,将待发送的属于所述用户与其所属内部网络间的安全通信的数据在约定加密算法下进行加密,并将经其加密的加密数据转给封装装置106;
第二运算装置104将预存的第一根密钥(Kroot)对来自生成装置101的SPI值和另一个双方知晓的预定序列(例如源地址的前64位),进行MD5运算,生成认证密钥,并将该认证密钥转给认证装置105。由于SPI值作为输入量之一,所述认证密钥每天更新;
认证装置105将利用来自所述第二运算装置303的认证密钥,利用已生成的认证密钥Ka对加密机密数据Hash(散列)运算,并取Hash运算结果的前一个部分作为认证部分,用于接收对等端(接入设备)来确定发送者是否可以信赖;
封装装置106,用于将来自生成装置101的SPI值、来自加密装置103的加密数据和来自认证装置105的认证部分封装入待发送的数据包。
优选的,用户设备1还通过访问一个由运营商提供的安全策略服务器来更新与根据本发明的特殊安全通信相关的一些参量,例如代表其所属内部网络的目的地址前缀的更新,安全策略参量(例如第一、二根密钥以及加/解密和认证算法等)的更新等。
在用户设备端1处,为甄别与所属内部网络之间的特殊安全通信或与其他外部网络之间的通信,还可在进行以上操作之间判断待传输的数据包的目的IP地址前缀与预存的用户所属的内部网络的IP地址是否匹配,如果两者不匹配,表示所要进行的通信并非用于用户与所属内部网络间的安全通信,则不需对所述数据包做上述根据本发明的处理,而是直接将该数据包发送出去。
图4和5为根据本发明一个具体实施方式的在通信网络的接入设备中用于支持一个用户设备与其所属内部网络之间的特殊安全通信的方法的流程图。
如图1所示,接入设备2用于与多个内部网络相连,负责内部网络与外部网络间的双向通信的控制。由于内部网络的安全性需要,所以与内部网络有关的通信可以分为:1)由位于外部网络的作为合法成员的用户设备发起的根据本发明的特殊安全通信;2)由所述用户设备发起的到其他外部网络的其他正常通信(例如未采用Ipsec加密方案的数据包和采用现有技术中Ipsec加密方案的通信);3)由内部网络发起的其他正常通信(例如来采用Ipsec加密方案的数据包和采用现有技术中Ipsec加密方案的通信)。而所有来自外部网络的恶意流量都将在接入设备2处被丢弃,从而保护内部网络的安全。优选的,假定接入设备已经记录所有上述三种已建立通信的相关信息,例如,采用常见的防火墙技术即可实现。其中,对于由位于外部网络的作为合法成员的用户设备发起的根据本发明的特殊安全通信,需要记录该通信的目的IP地址、源IP地址、此次通信所用的SPI值、加密密钥、认证密钥以及TCP/UDP端口号等,并保证更新;对于内部网络或用户设备的其他正常通信,可记录该通信的目的IP地址、源IP地址以及TCP/UDP端口号等,并保证更新。
另外,接入设备还要记录其管理的所有内部网络的IP地址前缀和与每个前缀对应的第一根密钥、第二根密钥。即,不同的内部网络拥有不同的IP地址前缀,接入设备将所述不同的前缀映射到属于每个内部网络的用于生成加密、认证密钥的第一根密钥和用于生成SPI值的第二根密钥。所述两个根密钥安全程度最高,而用于安全通信的SPI值、加密密钥、认证密钥由所述第一、第二根密钥在约定算法下作用生成,进而用于在约定的加密、认证算法下的数据加解密和认证。优选的,与用户设备相似,接入设备2可通过访问一个由运营商提供的安全策略服务器来更新与根据本发明的特殊安全通信相关的一些参量,例如代表其所属内部网络的目的地址前缀的更新,安全策略参量(例如第一、二根密钥以及加/解密和认证算法等)的更新等。。
图4为在该方法中当接入设备2接收到来自用户设备的数据包的处理流程。现参照图4来对所述方法的这一部分进行描述。
在步骤S201中,接入设备接收来自外部网络的用户设备的数据包。
步骤S202中,判断所述来自用户设备的数据包是否为用于与其所述内部网络之间特殊安全通信的加密数据包。
如果所述来自用户设备的数据包为用户设备1发起的与所属内部网络之间的根据本发明的特殊安全通信,则进到步骤S203,利用预存的与所述内部网络对应的第一根密钥来对所述来自用户设备的数据包中的加密数据部分执行与用户设备处的加密算法相对应的解密算法,以生成普通数据包,并将其转发给所述内部网络。
如果所述来自用户设备的数据包属于所述用户设备的已建立的其他类型通信,则进到步骤S204,直接转发所述数据包。
如果所述来自用户设备的数据包不属于所述特殊安全通信和所述用户设备的已建立的其他类型通信,则进到步骤S205,丢弃所述数据包。
根据本发明的一个优选实施例,在步骤S202中通过以下步骤来对数据包进行判断:
如上所述,接入设备2接收到的数据包如前所述可能有三种类型。基于已经记录的所有已建立的通信的相关信息,接入设备2可以将接收到的数据包的信息与已存的信息进行对比。
如果根据对比判断所述数据包属于已经建立的通信,则根据该数据包所属于的具体通信类型来分别进到步骤S203-S205,采用对应的方式对数据包进行处理。
如果所述数据包属于由作为合法成员的用户从外部网络发起的与其所属内部网络间的通信,由于已经存储了该通信所用的认证密钥和加密密钥,所以,在步骤S203中,只需将所述认证密钥用于对所述数据包进行认证,对通过认证的数据包,再将所述已存储的该通信所用的加密密钥对所述数据包的加密数据进行解密,并将解密后的普通数据包中转发给目的内部网络即可。
如果所述数据包属于用户设备的已建立的其他正常通信(例如未采用Ipsec方案的数据包和采用现有技术中Ipsec方案的数据包),可在步骤S204中将所述数据包经由网络直接转发。
如果来自用户设备的数据包与所记录的已建立通信的相关信息都不相匹配,则存在两种可能:
(1)所述数据包属于用户设备1首次发起的与所述内部网络之间的根据本发明的特殊安全通信,尚未在接入设备端被记录;
(2)所述数据包属于不明来历的通信(可能为恶意攻击),为保护内部网络,应当丢弃。
对于情况(2),只要简单地将该数据包丢弃即可,
而对于情况(1),所述数据包为采用本发明提供的方案(优选为基于Ipsec封装)的数据包,其中包括SPI值、加密数据和认证部分。因此,首先,接入设备2应从所述数据包中提取表示内部网络的目的地址前缀和SPI值。由于接入设备预存有所有其管理下的内部网络的IP地址前缀和与所述前缀相对应的属于各个内部网络的第一、第二根密钥,接入设备可以简单通过查询而获得处理所述数据包所需的第一、二根密钥。并且,根据所述提取出的SPI值的用于指示安全策略方案(例如,加解密、认证等算法)的第一部分,接入设备可以根据预存的所有安全策略方案来中得知所述数据包所采用的加解密算法和认证算法等,接着便可以对该数据包进行进一步的操作了:
首先,根据由原始SPI值中提取表示用户设备1的当地日期值的第二部分,并利用利用预存的与所述目的地址前缀相对应的第二根密钥通过与用户设备处相同的生成方式来生成新的安全策略指示(SPI)值;将所述原始SPI值与新的SPI值进行比较;如果两者一致,则可以确定该数据是由作为合法成员的用户设备发出的。
在本发明一个优选实施例中,优选的,可利用预存的与所述目的地址前缀相对应的第一根密钥对所述数据包的目的地址前64位、源地址的128位以及所述SPI值的第二部分(日期值),生成一个128位的Hash值,将其前24位作为新的用于校验的SPI值的第三部分。
接着,比较所述数据包中的SPI值的第三部分和所述生成的新的用于校验的SPI值第三部分,如果所述原始SPI值的第三部分与在接入设备中计算得出的SPI值的第三部分相一致,则可以确定该数据是由作为合法成员的用户设备发出的,可以进一步对所述数据包进行认证;否则,将其丢弃。
认证方法是,利用预存的与所述目的地址前缀相对应的第一根密钥对所计算的SPI值和一个与用户设备之间预先约定的预定序列执行与用户设备处相同的运算来生成一个新认证密钥,利用所述新认证密钥对所述来自用户设备的加密数据包中的加密数据部分执行与用户设备处相同的认证运算,以生成新认证部分。在本发明的一个优选实施例中,所述预定序列为源地址。
随后,将所述数据包中提取出的原始认证部分与所述新认证部分相比较,若两者相一致,则确认数据包未被窜改过而且是合法成员发出的,可利用所述第一根密钥在约定算法下对目的地址前缀(例如目的IP地址的前64位)和所述SPI值进行运算,以生成加密密钥,并将所生成的加密密钥对所述数据包中封装的加密数据进行解密,以获得解密后的数据,并将其封装成普通数据包,在步骤S203中转发给目的内部网络。
图5为在该方法中接入设备对来自内部网络发往外部网络的数据包的处理流程。下面,现参照图5来对所述方法的这一部分进行描述。
如上所述,由于接入设备记录所有已建立通信的相关信息。当接入设备2接收到来自内部网络的数据包后,可将接收到的数据包的信息与已存的信息进行对比。如果根据对比判断该数据包属于由内部网络发起的其他正常通信(例如未采用Ipsec加密方案的数据包和采用现有技术中Ipsec加密方案的通信),则将该数据包直接转发;而如果所述数据包属于为根据本发明的用于与所述内部网络之间的特殊安全通信,则利用所述第一根密钥和第二根密钥来将所述普通数据包转换为用于所述特殊安全通信的加密数据包,并将所转换的加密数据包发送给所述用户设备。
如图5所述,在步骤S206中,接收来自内部网络的数据包;
在步骤S207中,根据已经记录的所有已建立的通信的相关信息来判断来自内部网络的数据包是否属于与所述用户设备之间的已建立的根据本发明的特殊安全通信的普通数据包或内部网络的已建立的其他类型通信(例如未采用Ipsec加密方案的数据包和采用现有技术中Ipsec加密方案的通信);
如果该数据包属于所述内部网路与用户设备之间已建立的特殊安全通信,则在步骤S208中,利用所述第一根密钥和第二根密钥来采用与用户设备处相同的方式将所述普通数据包转换为用于所述特殊安全通信的加密数据包,并将所转换的加密数据包发送给所述用户设备;
如果该数据包属于所述内部网络的已建立的其他类型通信,则在步骤S209中,直接转发所述数据包。
如果该数据包不属于所记录的任何已建立的通信(即与所有记录信息都不符合),则在步骤S210中,直接转发所述数据包。
对于与所有记录信息都不符合的数据包,接入设备2可以简单地判断,该数据包可能属于以下几种情况:
-所述数据包采用IPsec封装:这种情况下,无论接入设备处是否存有所述通信的相关信息,接入设备都可以确定所述数据包是基于现有技术中的IPsec方案,属于应当正常转发的数据包,这是由于只需要保护内部网络,不允许外部用户对其随意访问,但是对于内部网络对外部网络的访问,接入设备在此不予限制,于是,记录相关信息后(无相关记录的前提下需要此操作),将该数据包发送至外部网络;
-所述数据包未采用IPsec封装:这可能包括以下情形:
(a)如果接入设备未存有与所述数据包相关信息相匹配的信息,
则判断所述数据包属于由内部网络发起的其他通信,则在步骤S210中,将其正常转发,于是将所述数据包发送至外部网络目的地址;
(b)如果接入设备存有与所述数据包的相关信息相匹配的信息,
则可以根据记录装置中所保存的已建立通信的相关信息判断所述数据包属于内部网络发起的与外部网络的正常通信(不采用IPsec方案)或者内部网络与在外部网络中作为其成员的用户设备之间的根据本发明的特殊安全通信。对于这两种情况,转换处理装置203分别进行以下操作:
(i)内部网络发起的与外部网络的通信(不采用IPsec方案)
或者,对这种数据包,直接将所述数据包发送至目的地址;所述数据包还可能属于:
(ii)外部网络发起的与内部网络间的根据本发明的特殊安全通信,对这种数据包,在步骤S207中,在所存储的与该通信相关的记录信息中查到其所用的第一、第二根密钥,并根据所述根密钥,将第二根密钥作用于目的IP地址、源IP地址和当前系统(接入设备)的日期值,在约定算法(由将生成的SPI值的第一部分确定)下生成SPI值,并将其用于在第一根密钥的作用下生成加密、认证密钥。接着,利用所述加密密钥对待发送的数据进行加密,生成加密数据,利用所述认证密钥作用于所述数据包,生成认证部分,并将所述SPI值、加密数据、认证部分封装成IPsec数据包,进而在后续步骤中发送至目的IP地址(位于外部网络的用户设备)。
图6为根据本发明一个具体实施方式的在通信网络中用于支持用户设备与其所属内部网络之间的特殊安全通信的接入设备的框图。其中,该接入设备2包括用于接收来自所述一个用户设备的数据包第一接收装置201;用于发送数据包的第一发送装置204;用于记录所有已建立通信的相关信息的记录装置205;用于接收来自所述内部网络的数据包的第二接收装置206;用于发送来自内部网络的数据包的第二发送装置207;用于判断所述来自用户设备或内部网络的数据包是否属于根据本发明的用户设备与内部网络之间安全通信的加密数据包的判断装置202;用于根据判断结果来对数据包进行处理,并分别提供给第一或第二发送装置204的转换处理装置203。
在根据本发明的一个具体实施方式中,判断装置202还包括提取装置2021、计算装置2022、比较装置2023和确定装置2024,当接收到来自用户设备的数据包时,可通过以下操作来对数据包进行判断。
如上所述,接入设备2接收到的数据包如前所述可能有三种类型。记录装置207中已经记录了所有已建立的通信的相关信息,判断装置202可以执行以下操作:
-将接收到的数据包的相关信息与记录装置207中已建立的所有通信的相关信息进行对比;
-确定该数据包是否属于由作为合法成员的用户从外部网络发起的与其所属内部网络间的特殊安全通信或者属于用户设备的已建立的其他正常通信(例如未采用Ipsec方案的数据包和采用现有技术中Ipsec方案的数据包),并将确定结果告知转换处理装置203。
转换处理装置203用于执行以下操作:
-如果所述数据包属于由作为合法成员的用户从外部网络发起的与其所属内部网络间的通信,由于已经存储了该通信所用的认证密钥和加密密钥,所以,在步骤S203中,只需将所述认证密钥用于对所述数据包进行认证,对通过认证的数据包,再将所述已存储的该通信所用的加密密钥对所述数据包的加密数据进行解密,并将解密后的普通数据包转发给目的内部网络即可;
-如果所述数据包属于用户设备的已建立的其他正常通信(例如未采用Ipsec方案的数据包和采用现有技术中Ipsec方案的数据包),可在步骤S204中将所述数据包经由网络直接转发。
如果来自用户设备的数据包与所记录的已建立通信的相关信息都不相匹配,则存在两种可能:
(1)所述数据包属于用户设备1首次发起的与所述内部网络之间的根据本发明的特殊安全通信,尚未在接入设备端被记录;
(2)所述数据包属于不明来历的通信(可能为恶意攻击),为保护内部网络,应当丢弃。
因此,当来自用户设备的数据包与所记录的已建立通信的相关信息都不相匹配,判断装置202需要对其进行进一步判断;
具体的,判断装置202还包括一个提取装置2021、计算装置2022、比较装置2023、确定装置2024。
对于上述情况(1),所述数据包为采用本发明提供的方案(优选为基于Ipsec封装)的数据包,其中包括SPI值、加密数据和认证部分。因此,提取装置2021应从所述数据包中提取表示内部网络的目的地址前缀和SPI值。由于接入设备2中已经预存有所有其管理下的内部网络的IP地址前缀和与所述前缀相对应的属于各个内部网络的第一、第二根密钥,接入设备可以简单通过查询而获得处理所述数据包所需的第一、二根密钥。
随后,根据所述提取出的SPI值的用于指示安全策略方案(例如,加解密、认证等算法)的第一部分,计算装置2022可以根据预存的所有安全策略方案来中得知所述数据包所采用的加解密算法和认证算法等,接着便可以对该数据包进行如下操作:根据由原始SPI值中提取表示用户设备1的当地日期值的第二部分,并利用利用预存的与所述目的地址前缀相对应的第二根密钥通过与用户设备处相同的生成方式来生成新的安全策略指示(SPI)值。
比较装置2023将所述原始安全策略指示值与新的安全策略指示值进行比较。
确定装置2024根据由原始SPI值中提取表示用户设备1的当地日期值的第二部分,并利用利用预存的与所述目的地址前缀相对应的第二根密钥通过与用户设备处相同的生成方式来生成新的安全策略指示(SPI)值;将所述原始SPI值与新的SPI值进行比较;如果两者一致,则可以确定该数据是由作为合法成员的用户设备发出的。
在本发明一个优选实施例中,优选的,计算装置2022可利用预存的与所述目的地址前缀相对应的第一根密钥对所述数据包的目的地址前64位、源地址的128位以及所述SPI值的第二部分(日期值),生成一个128位的Hash值,将其前24位作为新的用于校验的SPI值的第三部分。
接着,比较装置2023比较所述数据包中的SPI值的第三部分和所述生成的新的用于校验的SPI值第三部分。如果所述原始SPI值的第三部分与在接入设备中计算得出的SPI值的第三部分相一致,则确定装置2024可以确定该数据是由作为合法成员的用户设备发出的,可以进一步对所述数据包进行认证;否则,将其丢弃。
认证的具体操作如下:
计算装置2022利用预存的与所述目的地址前缀相对应的第一根密钥对所计算的SPI值和一个与用户设备之间预先约定的预定序列执行与用户设备处相同的运算来生成一个新认证密钥,利用所述新认证密钥对所述来自用户设备的加密数据包中的加密数据部分执行与用户设备处相同的认证运算,以生成新认证部分。在本发明的一个优选实施例中,所述预定序列为源地址。
比较装置2023将所述数据包中提取出的原始认证部分与所述新认证部分相比较。若两者相一致,则确定装置2024可以确认数据包未被窜改过而且是合法成员发出的。从而,转换处理装置203可利用所述第一根密钥在约定算法下对目的地址前缀(例如目的IP地址的前64位)和所述SPI值进行运算,以生成加密密钥,并将所生成的加密密钥对所述数据包中封装的加密数据进行解密,以获得解密后的数据,并将其封装成普通数据包,并提供给第一发送装置204,用以发送给目的内部网络。
在根据本发明的一个具体实施方式中,当第二接收装置205接收到来自用户设备的数据包时,判断装置202可通过以下操作来对该数据包进行判断:
如上所述,由于记录装置207记录所有已建立通信的相关信息。当接入设备2接收到来自内部网络的数据包后,判断装置202可将接收到的数据包的信息与记录装置207中已存的所有已建立的通信的相关信息进行对比。根据对比可以给出几个确定结果。如果确定该数据包属于由内部网络发起的其他正常通信(例如未采用Ipsec加密方案的数据包和采用现有技术中Ipsec加密方案的通信),则转换处理装置203将该数据包直接提供给第二发送装置206,用以转发;而如果所述数据包属于为根据本发明的用于与所述内部网络之间的特殊安全通信,则转换处理装置203利用所述第一根密钥和第二根密钥来将所述普通数据包转换为用于所述特殊安全通信的加密数据包,并将所转换的加密数据包发送给所述用户设备。
对于与所有记录信息都不符合的数据包,判断装置203可以简单地判断,该数据包可能属于以下几种情况:
-所述数据包采用IPsec封装:这种情况下,无论记录装置207处是否存有所述通信的相关信息,判断装置203都可以确定所述数据包是基于现有技术中的IPsec方案,属于应当正常转发的数据包,这是由于只需要保护内部网络,不允许外部用户对其随意访问,但是对于内部网络对外部网络的访问,在此不予限制,于是,判断装置203并将该数据包发送至外部网络,并将该通信的相关信息提供给记录装置207进行记录后(无相关记录的前提下需要此操作);
-所述数据包未采用IPsec封装:这可能包括以下情形:
(a)如果接入设备未存有与所述数据包相关信息相匹配的信息
则判断装置203可以确定所述数据包属于由内部网络发起的通信,应当正常转发,从而,转换处理装置204将所述数据包直接提供给第二发送装置,用以发送;
(b)如果接入设备存有与所述数据包的相关信息相匹配的信息
则判断装置203可以根据记录装置中所保存的已建立通信的相关信息判断所述数据包属于内部网络发起的与外部网络的正常通信(不采用IPsec方案)或者内部网络与在外部网络中作为其成员的用户设备之间的根据本发明的特殊安全通信。对于这两种情况,转换处理装置203分别进行以下操作:
(i)内部网络发起的与外部网络的正常通信(不采用IPsec方案)
转换处理装置203将所述数据包直接提供给第二发送装置206,用以发送给目的地址;
(ii)外部网络发起的与内部网络间的根据本发明的特殊安全通信
对这种数据包,转换处理装置203根据记录装置中所保存的与该通信相关的记录信息中查到其所用的第一、第二根密钥,并根据所述根密钥,将第二根密钥作用于目的IP地址、源IP地址和当前系统(接入设备)的日期值,在约定算法(由将生成的SPI值的第一部分确定)下生成SPI值,并将其用于在第一根密钥的作用下生成加密、认证密钥。接着,利用所述加密密钥对待发送的数据进行加密,生成加密数据,利用所述认证密钥作用于所述数据包,生成认证部分,并将所述SPI值、加密数据、认证部分封装成加密数据包(例如IPsec数据包),然后将该加密数据包提供给第二发送装置206,以发送至目的IP地址(位于外部网络的用户设备)。
以上结合附图对本发明的具体实施方式进行了阐述,需要理解,本发明并不限于具体实施方式,本领域内熟练技术人员可以在所附权利要求的范围内做出各种变形或修改。
Claims (24)
1.一种在通信网络的用户设备用于与其所属的内部网络进行特殊安全通信的方法,包括以下步骤:
a)利用生成一个预存的第二根密钥来生成一个安全策略指示值,所述安全策略指示值用于指示加解密算法以及加解密数据的参数;
b)通过利用预存的第一根密钥对所述安全策略指示值和一个第一预定序列进行运算,以生成加密密钥;
c)利用所述加密密钥对待传输数据进行加密,以生成加密数据;
d)将所述加密数据与所述安全策略指示值一起封装为数据包,经所述通信网络进行传输。
2.根据权利要求1所述的方法,其特征在于,所述安全策略指示值值包括三部分,其中:
第一部分用于指示所采用的安全策略方案,所述安全策略方案包括加密算法、封装方式等;
第二部分包括本地当前日期值;
第三部分包括通过对所述本地当前日期值、目的地址前缀、源地址、所述第二根密钥等进行散列运算得到的数值。
3.根据权利要求1或2所述的方法,其特征在于,还包括以下步骤:
利用所述第一根密钥对所述安全策略指示值与一个第二预定序列进行运算,以生成认证密钥;
利用所述认证密钥对所述加密数据进行散列运算以生成认证部分;
其中,所述步骤d)还包括:
将所述认证部分封装入所述待传输的加密数据包中。第一部分用于指示安全策略方案。
4.根据权利要求1-3中的任一项所述的方法,其特征在于,在步骤a)之前还包括如下步骤:
利用本地预存的用户相关信息,通过与用户的交互,来对用户的身份进行验证;
如所述用户为合法用户,则进到步骤a);
否则,停止工作。
5.根据权项1-4中任一项所述的方法,其特征在于,
所述通信网络为基于IP协议的网络。
6.一种在通信网络中用于与所属内部网络进行特殊安全通信的用户设备,其包括:
生成装置,用于利用生成一个预存的第二根密钥来生成一个安全策略指示值,所述安全策略指示值用于指示加解密算法以及加解密数据的参数;
第一运算装置,用于通过利用预存的第一根密钥对所述安全策略指示和一个第一预定序列进行运算,以生成加密密钥;
加密装置,用于利用所述加密密钥对待传输数据进行加密,以生成加密数据;
封装装置,用于将所述加密数据与所述安全策略指示一起封装为数据包,经所述通信网络进行传输。
7.根据权利要求6所述的用户设备,其中,所述安全策略指示值包括三部分,其中:
第一部分用于指示所采用的安全策略方案,所述安全策略方案包括加密算法、封装方式等;
第二部分包括本地当前日期值;
第三部分包括通过对所述本地当前日期值、目的地址前缀、源地址、所述第二根密钥等进行散列运算得到的数值。
8.根据权利要求6所述的用户设备,其特征在于,还包括:
第二运算装置,用于利用所述第一根密钥对所述安全策略指示值与与一个第二预定序列进行运算,以生成认证密钥;
认证装置,用于利用所述认证密钥对所述加密数据进行认证运算以生成认证部分;
其中,
所述封装装置还用于将所述认证部分封装入所述待传输的数据包中。第三部分为利用预存的第二根密钥对目的地址和源地址以及所述本地当前日期值进行运算得到的数值。
9.根据权利要求6-8任一项中所述的用户设备,其特征在于,还包括:
验证装置,用于执行以下操作:
-利用本地预存的用户相关信息,通过与用户的交互,来对用户的身份进行验证,以及;
-如有所述用户为合法用户,则允许进行工作;
-否则,停止工作。
10.根据权利要求6-9中任一项所述的用户设备,其特征在于,
所述通信网络为基于IP协议的网络。
11.一种在通信网络的接入设备中用于支持一个用户设备与其所属内部网络之间的特殊安全通信的方法,其包括以下步骤:
i)接收来自一个用户设备的数据包;
ii)判断所述来自用户设备的数据包是否为属于所述用户设备与其所属内部网络之间的特殊安全通信;
iii)如果所述来自用户设备的数据包属于所述特殊安全通信,则利用预存的与所述内部网络对应的第一根密钥来对所述来自用户设备的数据包中的加密数据部分执行与用户设备处的加密算法相对应的解密算法,以生成普通数据包,并将其转发给所述内部网络。
12.根据权利要求11所述的方法,其特征在于,所述步骤ii)包括:
由所述来自用户设备的数据包中提取所述数据包的目的地址前缀和原始安全策略指示值;
利用预存的与所述目的地址前缀相对应的第二根密钥通过与用户设备处相同的生成方式来生成新的安全策略指示值;
将所述原始安全策略指示值与新的安全策略指示值进行比较;
如果所述原始安全策略指示值与新的安全策略指示值相一致,则确定所述来自用户设备的数据包属于所述特殊安全通信。
13.根据权利要求12所述的方法,其特征在于,所述步骤ii)还包括:
由所述安全策略指示值中提取所述原始认证部分;
利用预存的与所述目的地址前缀相对应的第一根密钥对所计算的安全策略指示值执行与用户设备处相同的运算来生成一个新认证密钥;
利用所述新认证密钥对所述来自用户设备的加密数据包中的加密数据部分执行与用户设备处相同的认证运算,以生成新认证部分;
将所述原始认证部分与所述新认证部分相比较;
如果所述原始认证部分与所述新的认证部分相一致,则确定所述来自用户设备的数据包属于所述特殊安全通信。
14.根据权利要求11-13中任一项所述的方法,其特征在于,还包括:
记录所有已建立通信的相关信息;
基于所述相关信息来判断所述来自用户设备的数据包是否属于用户设备与其所述内部网络之间的特殊安全通信或所述用户设备的已建立的其他类型通信;
如果所述来自用户设备的数据包属于所述特殊安全通信,则利用所述第一根密钥来对所述来自用户设备的数据包中的加密数据部分执行与用户设备处的加密算法相对应的解密算法,以生成普通数据包,并将其转发给所述内部网络;
如果所述来自用户设备的数据包属于所述用户设备的已建立的其他类型通信,则直接转发所述数据包;
如果所述来自用户设备的数据包不属于所述特殊安全通信和所述用户设备的已建立的其他类型通信,则丢弃所述数据包。
15.根据权利要求14所述的方法,其特征在于,还包括以下步骤:
接收来自所述内部网络的数据包;
根据所记录的所有已建立通信的相关信息来判断所述来自内部网络的数据包是否属于所述内部网络与用户设备之间已建立的特殊安全通信或所述内部网络的已建立的其他类型通信;
如果所述来自内部网络的数据包属于所述内部网路与用户设备之间已建立的特殊安全通信,则利用所述第一根密钥和第二根密钥来采用与用户设备处相同的方式将所述普通数据包转换为用于所述特殊安全通信的加密数据包,并将所转换的加密数据包发送给所述用户设备;
如果所述来自内部网络的数据包属于所述内部网络的已建立的其他类型通信,则直接转发所述数据包。
16.根据权利要求11-15中任一项所述的方法,其特征在于,
所述相关信息包括数据包的目的地址、源地址、SPI值、第一根密钥等。
17.根据权利要求11-16中任一项所述的方法,其特征在于,
所述通信网络为基于IP协议的网络。
18.一种在在通信网络中用于支持用户设备与其所属内部网络之间的特殊安全通信的接入设备,其包括:
第一接收装置,用于接收来自所述一个用户设备的数据包;
判断装置,用于判断所述来自用户设备的数据包是否属于所述用户设备与其所属内部网络之间的特殊安全通信;
转换处理装置,用于如果所述数据包属于所述特殊安全通信,则利用预存的与所述内部网络对应的第一根密钥来对所述来自用户设备的数据包中的加密数据部分执行与用户设备处的加密算法相对应的解密算法,以生成普通数据包;
第一发送装置,用于转发数据包。
19.根据权项18所述的接入设备,其特征在于,所述判断装置包括:
提取装置,用于由所述数据包中提取所述数据包的目的地址前缀和原始安全策略指示值;
计算装置,用于利用预存的与所述目的地址前缀相对应的第二根密钥通过与用户设备处相同的生成方式来生成新的安全策略指示值;
比较装置,用于将所述原始安全策略指示值与新的安全策略指示值进行比较;
确定装置,用于如果所述原始安全策略指示值与新的安全策略指示值相一致,则确定所述来自用户设备的数据包属于所述特殊安全通信。
20.根据权利要求19所述的接入设备,其特征在于,
所述提取装置还用于由所述安全策略指示值中提取所述原始认证部分;
所述计算装置还用于利用预存的与所述目的地址前缀相对应的第一根密钥对所计算的安全策略指示值执行与用户设备处相同的运算来生成一个新认证密钥;
所述比较装置还用于将所述原始认证部分与所述新的认证部分相比较;
所述确定装置还用于当所述原始认证部分与所述新的的认证部分一致,则确定所述来自用户设备的数据包属于所述特殊安全通信。
21.根据权利要求18-20中任一项所述的接入设备,其特征在于,还包括:
记录装置,用于记录所有已建立通信的相关信息;
其中,
所述判断装置还用于基于所述相关信息来判断所述来自用户设备的数据包是否属于该用户设备与其所述内部网络之间的特殊安全通信或所述用户设备的已建立的其他类型通信;
所述转换处理装置还用于执行以下功能:
-如果所述数据包为该用户设备与所述内部网络之间安全通信的加密数据包,则利用预存的与所述内部网络相对应的第一根密钥来将所述加密数据包转换为普通数据包,并将其提供给第一发送装置;
-如果所述数据包属于该用户设备的已建立的其他类型通信,则直接将所述数据包提供给所述第一发送装置;
-否则,丢弃所述数据包。
22.根据权利要求21所述的接入设备,其特征在于,还包括:
第二接收装置,用于接收来自所述内部网络的数据包;
第二发送装置,用于将数据包发送给用户设备;
其中,
所述判断装置还用于根据所记录的所有已建立通信的相关信息来判断所述来自内部网络的数据包是否属于所述内部网络与用户设备之间已建立的特殊安全通信或所述内部网络的已建立的其他类型通信的数据包;
所述转换处理装置还用于执行以下操作:
-如果所述来自内部网络的数据包属于所述内部网路与用户设备之间已建立的特殊安全通信,则利用所述第一根密钥和第二根密钥来采用与用户设备处相同的方式将所述普通数据包转换为用于所述特殊安全通信的加密数据包,并将所转换的加密数据包提供给第二发送装置;
如果所述来自内部网络的数据包属于所述内部网络的已建立的其他类型通信的数据包,则将所述数据包直接提供给第二发送装置。
23.根据权利要求18-22中任一项所述的接入设备,其特征在于,
所述相关信息包括数据包的目的地址、源地址、SPI值、第一根密钥等。
24.根据权利要求18-23中任一项所述的接入设备,其特征在于,
所述通信网络为基于IP协议的网络。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101124110A CN100571125C (zh) | 2005-12-30 | 2005-12-30 | 一种用于用户设备与内部网络间安全通信的方法及装置 |
| US11/616,937 US7853783B2 (en) | 2005-12-30 | 2006-12-28 | Method and apparatus for secure communication between user equipment and private network |
| AT06027051T ATE480941T1 (de) | 2005-12-30 | 2006-12-29 | Verfahren und vorrichtung zur sicheren kommunikation zwischen einem benutzergerät und einem privatnetz |
| DE602006016720T DE602006016720D1 (de) | 2005-12-30 | 2006-12-29 | Verfahren und Vorrichtung zur sicheren Kommunikation zwischen einem Benutzergerät und einem Privatnetz |
| EP06027051A EP1804461B1 (en) | 2005-12-30 | 2006-12-29 | Method and apparatus for secure communication between user device and private network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101124110A CN100571125C (zh) | 2005-12-30 | 2005-12-30 | 一种用于用户设备与内部网络间安全通信的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1992585A true CN1992585A (zh) | 2007-07-04 |
| CN100571125C CN100571125C (zh) | 2009-12-16 |
Family
ID=37983456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101124110A Active CN100571125C (zh) | 2005-12-30 | 2005-12-30 | 一种用于用户设备与内部网络间安全通信的方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7853783B2 (zh) |
| EP (1) | EP1804461B1 (zh) |
| CN (1) | CN100571125C (zh) |
| AT (1) | ATE480941T1 (zh) |
| DE (1) | DE602006016720D1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102215219A (zh) * | 2010-04-01 | 2011-10-12 | 精工爱普生株式会社 | 通信系统、通信装置以及通信方法 |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| CN102385362A (zh) * | 2011-09-14 | 2012-03-21 | 无锡市星亿涂装环保设备有限公司 | 一种远程控制方法、设备及系统 |
| CN103177222A (zh) * | 2011-12-23 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种文件加壳、脱壳的处理方法及其设备 |
| CN105282366A (zh) * | 2014-07-24 | 2016-01-27 | 京瓷办公信息系统株式会社 | 通信装置、通信系统以及通信装置的控制方法 |
| CN108109625A (zh) * | 2017-12-21 | 2018-06-01 | 北京华夏电通科技有限公司 | 手机语音识别内外网传输系统及方法 |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
| US8296825B2 (en) * | 2004-05-31 | 2012-10-23 | Telecom Italia S.P.A. | Method and system for a secure connection in communication networks |
| US8301897B2 (en) * | 2006-08-23 | 2012-10-30 | Cisco Technology, Inc. | Challenge-based authentication protocol |
| US8725886B1 (en) * | 2006-10-20 | 2014-05-13 | Desktone, Inc. | Provisioned virtual computing |
| US20090003359A1 (en) * | 2007-06-29 | 2009-01-01 | Cisco Technology, Inc. | Selecting a Visited Bearer Manager (VBM) |
| US8116454B2 (en) | 2007-07-23 | 2012-02-14 | Savi Technology, Inc. | Method and apparatus for providing security in a radio frequency identification system |
| CN100565597C (zh) * | 2007-11-16 | 2009-12-02 | 北京飞天诚信科技有限公司 | 一种自助充值的系统和方法 |
| DE102008053354B4 (de) * | 2008-10-27 | 2013-08-14 | Gigaset Communications Gmbh | Vorrichtung und Verfahren zur Freigabe von lokalen Dateninhalten für einen IP-basierten Datenzugriff, zugehöriges Kommunikationssystem, digitales Speichermedium, Computer-Programm-Produkt und Computer-Programm |
| US9336375B1 (en) * | 2009-07-28 | 2016-05-10 | Sprint Communications Company L.P. | Restricting access to data on portable storage media based on access to a private intranet |
| CN102082780B (zh) * | 2009-11-30 | 2014-03-05 | 国际商业机器公司 | 安全验证的方法和装置 |
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102907170A (zh) * | 2010-06-01 | 2013-01-30 | 诺基亚西门子通信公司 | 将移动站连接到通信网络的方法 |
| US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
| US8769642B1 (en) | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
| US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
| US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
| US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
| US20130108045A1 (en) * | 2011-10-27 | 2013-05-02 | Architecture Technology, Inc. | Methods, networks and nodes for dynamically establishing encrypted communications |
| US8799641B1 (en) * | 2011-12-16 | 2014-08-05 | Amazon Technologies, Inc. | Secure proxying using network intermediaries |
| WO2013119238A1 (en) * | 2012-02-09 | 2013-08-15 | Intel Corporation | Repeatable application-specific encryption key derivation using a hidden root key |
| WO2013142802A1 (en) * | 2012-03-23 | 2013-09-26 | Ambient Corporation | Offline authentication with embedded authorization attributes |
| US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
| US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
| US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
| US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
| US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
| CN102984154B (zh) * | 2012-11-29 | 2016-05-18 | 无锡华御信息技术有限公司 | 在局域网中安全发送/接收数据的方法及系统 |
| US9930066B2 (en) | 2013-02-12 | 2018-03-27 | Nicira, Inc. | Infrastructure level LAN security |
| US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
| US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
| US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
| US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
| US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| WO2015063991A1 (en) * | 2013-10-30 | 2015-05-07 | Nec Corporation | Apparatus, system and method for secure direct communcation in proximity based services |
| US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
| US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
| US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
| US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
| US9270662B1 (en) | 2014-01-13 | 2016-02-23 | Amazon Technologies, Inc. | Adaptive client-aware session security |
| US9800650B2 (en) | 2014-03-10 | 2017-10-24 | Vmware, Inc. | Resource management for multiple desktop configurations for supporting virtual desktops of different user classes |
| US9817990B2 (en) * | 2014-03-12 | 2017-11-14 | Samsung Electronics Co., Ltd. | System and method of encrypting folder in device |
| US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
| US9450757B2 (en) * | 2014-05-07 | 2016-09-20 | Oxcept Limited | Method and device for communication security |
| RU2589861C2 (ru) * | 2014-06-20 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ шифрования данных пользователя |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
| US10083311B2 (en) * | 2014-06-30 | 2018-09-25 | Konica Minolta Laboratory U.S.A., Inc. | Cryptographic key |
| US9489519B2 (en) * | 2014-06-30 | 2016-11-08 | Nicira, Inc. | Method and apparatus for encrypting data messages after detecting infected VM |
| US9571463B2 (en) * | 2014-07-14 | 2017-02-14 | Raytheon Bbn Technologies Corp. | Policy-based access control in content networks |
| US10218496B2 (en) * | 2014-08-04 | 2019-02-26 | Cryptography Research, Inc. | Outputting a key based on an authorized sequence of operations |
| US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
| US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
| US10083325B2 (en) * | 2015-11-16 | 2018-09-25 | The Boeing Company | Secure removable storage for aircraft systems |
| US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
| US10798073B2 (en) | 2016-08-26 | 2020-10-06 | Nicira, Inc. | Secure key management protocol for distributed network encryption |
| US11075949B2 (en) * | 2017-02-02 | 2021-07-27 | Nicira, Inc. | Systems and methods for allocating SPI values |
| US10887095B2 (en) * | 2017-12-16 | 2021-01-05 | Nicira, Inc. | Allocating security parameter index values using time-based one-time passwords |
| US11140169B1 (en) * | 2018-10-31 | 2021-10-05 | Workday, Inc. | Cloud platform access system |
| US10979395B2 (en) * | 2019-04-16 | 2021-04-13 | Fortinet, Inc. | Automatic virtual private network (VPN) establishment |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6327660B1 (en) * | 1998-09-18 | 2001-12-04 | Intel Corporation | Method for securing communications in a pre-boot environment |
| US7496748B2 (en) * | 2001-07-23 | 2009-02-24 | Itt Manufacturing Enterprises | Method for establishing a security association between two or more computers communicating via an interconnected computer network |
| US7185362B2 (en) * | 2001-08-20 | 2007-02-27 | Qualcomm, Incorporated | Method and apparatus for security in a data processing system |
| US7370194B2 (en) * | 2002-06-10 | 2008-05-06 | Microsoft Corporation | Security gateway for online console-based gaming |
-
2005
- 2005-12-30 CN CNB2005101124110A patent/CN100571125C/zh active Active
-
2006
- 2006-12-28 US US11/616,937 patent/US7853783B2/en active Active
- 2006-12-29 EP EP06027051A patent/EP1804461B1/en not_active Not-in-force
- 2006-12-29 AT AT06027051T patent/ATE480941T1/de not_active IP Right Cessation
- 2006-12-29 DE DE602006016720T patent/DE602006016720D1/de active Active
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102215219A (zh) * | 2010-04-01 | 2011-10-12 | 精工爱普生株式会社 | 通信系统、通信装置以及通信方法 |
| CN102215219B (zh) * | 2010-04-01 | 2015-05-20 | 精工爱普生株式会社 | 通信系统、通信装置以及通信方法 |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| CN102316108B (zh) * | 2011-09-09 | 2014-06-04 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| CN102385362A (zh) * | 2011-09-14 | 2012-03-21 | 无锡市星亿涂装环保设备有限公司 | 一种远程控制方法、设备及系统 |
| CN103177222A (zh) * | 2011-12-23 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种文件加壳、脱壳的处理方法及其设备 |
| CN103177222B (zh) * | 2011-12-23 | 2015-08-12 | 腾讯科技(深圳)有限公司 | 一种文件加壳、脱壳的处理方法及其设备 |
| CN105282366A (zh) * | 2014-07-24 | 2016-01-27 | 京瓷办公信息系统株式会社 | 通信装置、通信系统以及通信装置的控制方法 |
| CN105282366B (zh) * | 2014-07-24 | 2018-06-12 | 京瓷办公信息系统株式会社 | 通信装置、通信系统以及通信装置的控制方法 |
| CN108109625A (zh) * | 2017-12-21 | 2018-06-01 | 北京华夏电通科技有限公司 | 手机语音识别内外网传输系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7853783B2 (en) | 2010-12-14 |
| ATE480941T1 (de) | 2010-09-15 |
| EP1804461B1 (en) | 2010-09-08 |
| EP1804461A1 (en) | 2007-07-04 |
| CN100571125C (zh) | 2009-12-16 |
| DE602006016720D1 (de) | 2010-10-21 |
| US20070157309A1 (en) | 2007-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1992585A (zh) | 一种用于用户设备与内部网络间安全通信的方法及装置 | |
| CN1689367A (zh) | 安全装置的安全和保密性增强 | |
| CN1961557A (zh) | 通信网络中的安全连接方法和系统 | |
| US20030229786A1 (en) | System and Method for Application-Level Virtual Private Network | |
| KR100565157B1 (ko) | 가상 사설망 | |
| CN1574738A (zh) | 在移动特设网络中分配加密密钥的方法及其网络设备 | |
| JP2006203936A (ja) | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 | |
| US20120023325A1 (en) | Virtual private network system and network device thereof | |
| CN1685689A (zh) | 控制家庭终端的装置、方法和计算机软件产品 | |
| CN101034977A (zh) | 在客户端计算机上施加策略兼容的方法、装置、信号和介质 | |
| CN1649294A (zh) | 用于处理ipv6网络上的验证的方法和设备 | |
| JP2008099267A (ja) | ネットワーク内で無線端末と設備との間のセッションを保護する方法 | |
| CN1910882A (zh) | 保护数据的方法和系统、相关通信网络以及计算机程序产品 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| US7965701B1 (en) | Method and system for secure communications with IP telephony appliance | |
| CN1422399A (zh) | 用于安全地存储保密信息的系统和方法,在这种系统中使用的设备与服务器和有关数字内容分布的方法 | |
| CN101060454A (zh) | 代理接入方法、控制网络设备以及代理接入系统 | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN108712364B (zh) | 一种sdn网络的安全防御系统及方法 | |
| EP2706717A1 (en) | Method and devices for registering a client to a server | |
| JP2008228273A (ja) | データストリームのセキュリティを確保するための方法 | |
| CN1910531A (zh) | 数据资源的密钥控制使用的方法和系统、相关网络以及计算机程序产品 | |
| CN114422194A (zh) | 一种单包认证方法、装置、服务端及存储介质 | |
| CN1925401A (zh) | 互联网接入系统及接入方法 | |
| CN107948977B (zh) | 用于非安全移动设备与安全网络建立通信的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHANGHAI ALCATEL-LUCENT CO., LTD. Free format text: FORMER NAME: BEIER AERKATE CO., LTD., SHANGHAI |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai Alcatel-Lucent Co., Ltd. Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Beier Aerkate Co., Ltd., Shanghai |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |