JP5205075B2 - 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 - Google Patents

暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 Download PDF

Info

Publication number
JP5205075B2
JP5205075B2 JP2008032228A JP2008032228A JP5205075B2 JP 5205075 B2 JP5205075 B2 JP 5205075B2 JP 2008032228 A JP2008032228 A JP 2008032228A JP 2008032228 A JP2008032228 A JP 2008032228A JP 5205075 B2 JP5205075 B2 JP 5205075B2
Authority
JP
Japan
Prior art keywords
secure
processing
multimedia
packet
multimedia packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008032228A
Other languages
English (en)
Other versions
JP2009194559A (ja
Inventor
一成 山田
諭 千賀
シュエ タン リュウ
チェン ウェ フォン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2008032228A priority Critical patent/JP5205075B2/ja
Priority to PCT/JP2009/000330 priority patent/WO2009101768A1/ja
Priority to EP09710833A priority patent/EP2244416A4/en
Priority to CN2009801049008A priority patent/CN101946456A/zh
Priority to US12/864,170 priority patent/US20100306540A1/en
Publication of JP2009194559A publication Critical patent/JP2009194559A/ja
Application granted granted Critical
Publication of JP5205075B2 publication Critical patent/JP5205075B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/65Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、アプリケーション層のセキュリティを増進するための暗号処理方法暗号処理装置、復号処理方法および復号処理装置に関する。
特許文献1は、アプリケーション層セキュリティプロトコルに対応した処理性能を増進する方法を提案している。特許文献1は、処理性能を増進するために、暗号化アクセラレータが暗号処理の負荷をCPUから取り除くことを開示する。しかし、特許文献1に開示された方法では、各入力メッセージまたは出力メッセージごとにユーザ空間とカーネル空間の間で2回のメモリコピー動作が発生し、大きなオーバヘッドを招く。
そこで、アプリケーション層セキュリティプロトコルにおけるユーザ-カーネル空間でのメモリコピーのオーバヘッドに対処するために、次の発明が提案されている(特許文献2)。
特許文献2は、暗号処理とネットワークプロトコルスタック処理の両方の負荷を暗号化アクセラレータと、ネットワークプロトコルスタックプロセッサとの両方からなるネットワークプロトコルオフロードチップに担わせることにより、メモリコピーのオーバヘッドを減少させる方法を提案している。しかし、この方法を実現するには特定のネットワークハードウェア構成が必要であり、装置に組み込まれたソフトウェアベースのTCP/IPスタックには適合しない。
米国特許第7,047,405号明細書 米国特許第6,983,382号明細書
しかしながら、特許文献1では、アプリケーション層セキュリティプロトコルを実行するとき、各入力メッセージまたは出力メッセージごとに、ユーザ空間とカーネル空間との間で、各マルチメディアペイロードを複数回のメモリコピーを行うため、暗号処理性能が悪いという問題が生じる。ここで、ペイロードとはデータブロックのうちヘッダ等をのぞいたデータ本体を指す。オーディオビデオ等の大きいサイズのペイロードを処理する際には、この性能はより悪化する。
特許文献2では、メモリコピーのオーバヘッドを回避できても、大きいサイズのペイロードのセグメント化された部分の連続を処理する場合、連続する二つのセグメントを関係付けるための暗号化に関する情報がないので、アプリケーション層セキュアプロトコルを適用する際、各セグメントに対して個々にCBCまたはカウンターモードの暗号化および認証処理を行う際に困難が生じる。
本発明は、かかる点に鑑みてなされたものであり、セキュアマルチメディア通信の暗復号処理性能または認証処理性能を効果的に増進する暗号処理方法暗号処理装置、復号処理方法および復号処理装置を提供することを目的とする。
本発明の暗号処理方法は、セキュリティプロトコルによってセキュア化されたマルチメディア通信に対する暗復号処理または認証処理を増進するための暗号処理装置における暗号処理方法であり、前記マルチメディア通信の開始時に、暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶装置またはメモリに記憶するステップと、平文のマルチメディアパケットを仮想ネットワークインタフェースへ送信するステップと、前記セキュア処理情報に含まれる前記識別条件に基づいて前記平文のマルチメディアパケットをネットワークプロトコルスタック内でフィルタリングするステップと、前記平文のマルチメディアパケットがフィルタリングされるときに、前記平文のマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致する場合、前記平文のマルチメディアパケットに対して暗号処理または認証処理を実行して、セキュリティプロトコルに適合するように、セキュアマルチメディアパケットのペイロードを修正するステップと、前記仮想ネットワークインタフェースへの宛先アドレスを、前記セキュアマルチメディアパケットの送信先アドレスに置き換えるステップと、前記セキュアマルチメディアパケットをネットワークインタフェースから送出するステップと、を有するようにした。
本発明の暗号処理装置は、セキュリティプロトコルによってセキュアされたマルチメディア通信に対する暗復号処理または認証処理を増進するための暗号処理装置であり、暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶する記憶手段と、平文のマルチメディアパケットを仮想ネットワークインタフェースへ送信する送信手段と、前記平文のマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致するか否かを判断し、前記識別条件が合致した場合に前記平文のマルチメディアパケットに対して暗号処理または認証処理を実行して、セキュリティプロトコルに適合するようにセキュアマルチメディアパケットのペイロードを修正する修正手段と、前記仮想ネットワークインタフェースへの宛先アドレスを、前記セキュアマルチメディアパケットの送信先アドレスに置き換える置換手段と、前記セキュアマルチメディアパケットをネットワークインタフェースから送出する送出手段とを有する構成を採る。
本発明の号処理方法は、セキュリティプロトコルによってセキュアされたマルチメディア通信に対する暗復号処理または認証処理を増進するための復号処理装置における復号処理方法であり、前記マルチメディア通信の開始時に、暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶装置またはメモリに記憶するステップと、前記セキュア処理情報に含まれる前記識別条件に基づいて、入力されるセキュアマルチメディアパケットをネットワークプロトコルスタック内でフィルタリングするステップと、前記セキュアマルチメディアパケットがフィルタリングされるときに、前記セキュアマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致する場合、前記セキュアマルチメディアパケットに対して復号処理または認証処理を実行し、セキュアマルチメディアパケットのペイロードを平文ペイロードとして修正するステップと、平文のマルチメディアパケットを入力マルチメディア通信のアプリケーション層へ送信するステップと、を有するようにした。
本発明の号処理装置は、セキュリティプロトコルによってセキュアされた入力マルチメディア通信に対する暗復号処理または認証処理を増進するための号処理装置であり、暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶するための記憶手段と、入力されるセキュアマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致するか否かを判断し、前記識別条件が合致する場合に前記セキュアマルチメディアパケットに対して復号処理または認証処理を実行し、前記セキュアマルチメディアパケットのペイロードを平文ペイロードとして修正するための修正手段と、平文のマルチメディアパケットを入力マルチメディア通信のアプリケーション層へ送信する送信手段と、を有する構成を採る。
本発明によれは、セキュアマルチメディア通信の暗復号処理性能または認証処理性能を効果的に増進することができる。
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
本実施の形態では、大きいサイズのペイロードを、ネットワークへ実際に送出する際に使用される最大送信単位よりも十分に大きい最大送信単位を設定した仮想ネットワーク装置(仮想ネットワークインタフェース)に転送し、仮想ネットワーク装置のネットワークプロトコルスタックにいったん取り込んだ大きいサイズのペイロード全体に対して、カーネルレベルの暗復号処理または認証処理を起動し、セキュア化されたペイロードを実在のネットワーク装置(ネットワークインタフェース)のネットワークプロトコルスタックに送信する構成について説明する。
図1は、本発明の実施の形態に係る暗号処理通信システムの一例を示す構成図である。
暗号処理通信システム100は、ユーザ空間110とカーネル空間120を含む。
ユーザ空間110は、セキュアマルチメディアアプリケーション112、ソケット114、セキュアマルチメディアアプリケーションの統制部116、およびセキュア制御インタフェース118を含む。
セキュアマルチメディアアプリケーション112は、セキュアリアルタイムトランスポートプロトコル(SRTP)等のアプリケーション層セキュリティプロトコルの保護の下で、インターネットを介してオーディオまたはビデオ等のマルチメディアコンテンツを楽しむアプリケーションである。
オーディオまたはビデオ等のマルチメディアコンテンツは、ペイロードの形でパケット化される。高精細度のマルチメディアコンテンツがトレンドであるので、ペイロードは、一般に、大きいサイズのペイロードになる。
マルチメディアコンテンツを運ぶペイロードは、ネットワーク処理のためにソケット114に入力される。
セキュアマルチメディアアプリケーション112は、セキュアマルチメディアアプリケーションの統制部116によって、セキュアマルチメディア通信を起動する。
セキュアマルチメディアアプリケーションの統制部116は、セキュアマルチメディア通信の開始や終了等のコマンドをセキュア制御インタフェース118へ送る。
カーネル空間120は、ネットワークプロトコルスタック130、仮想ネットワークインタフェース140、ネットワークインタフェース150、およびカーネルレベル暗号モジュール160から構成される。
ネットワークプロトコルスタック130は、セキュアマルチメディアパケットの出力フィルタ132、およびセキュアマルチメディアパケットの入力フィルタ134から構成される。
ネットワークプロトコルスタック130の一例としては、TCP/IPスタックがある。
仮想ネットワークインタフェース140としては、大きいサイズのマルチメディアペイロードをセグメントに分割するのを避けるために比較的大きなMTU(最大送信単位)をもつ仮想ネットワークインタフェースを設定する。
セキュアマルチメディアアプリケーションの統制部 116は、セキュアマルチメディアパケットの出力フィルタ132と、セキュアマルチメディアパケットの入力フィルタ134とを設定および起動する。
マルチメディアパケットが、出力フィルタ132、または、入力フィルタ134でフィルタリングされるとき、マルチメディアパケットが出力フィルタ132、または、入力フィルタ134にて設定された識別条件を満たせば、マルチメディアパケットのペイロードはアプリケーション層セキュリティプロトコルに適合する暗復号処理または認証処理を受ける。ここで、識別条件は、暗復号処理または認証処理に必要なパラメタであり、または暗復号処理または認証処理が必要なパケットを識別するための条件である。
カーネルレベル暗号モジュール160は、アプリケーション層セキュア処理情報格納部162、アプリケーション層セキュリティ処理ユニット164、および暗号処理ユニット168から構成される。なお、暗号処理ユニット168は、暗号ユニット1682とメッセージ認証ユニット1684を含む。カーネルレベル暗号モジュール160は、アプリケーション層セキュリティプロトコルに適合する暗号処理または認証処理を実行する。
図2は、出力されるセキュアマルチメディアパケットに対してカーネルレベル暗号処理または認証処理を実行するための本発明の実施の形態を示すフローチャートである。
ステップS102において、セキュアマルチメディアアプリケーション112は、セキュアマルチメディアアプリケーション自身の処理を開始し、出力セキュアマルチメディアパケットに対応した設定を行うように、セキュアマルチメディアアプリケーションの統制部116を起動する。
これにより、セキュアマルチメディアアプリケーションの統制部116は、仮想ネットワークインタフェース140のネットワークプロトコルスタック130内で、一つの出力暗号処理フィルタリングポイント132を有効化する。そして、統制部116は、アプリケーション層セキュア処理情報格納部162(本発明の「記憶手段」に相当)中にセキュア処理情報エントリーを作成し、アプリケーション層セキュリティ処理ユニット164および暗号処理ユニット168における暗号処理または認証処理の設定を含む、カーネルレベル暗号モジュール160の設定を行う。
ステップS104において、ユーザ空間110で出力マルチメディアコンテンツが発生すると、セキュアマルチメディアアプリケーション112は、マルチメディアトランスポートパケットを生成する。
ステップS106において、セキュアマルチメディアアプリケーション112は、マルチメディアトランスポートパケットを、ソケット114を介して、仮想ネットワークインタフェース140のネットワークプロトコルスタック130へ送信する。
ステップS108で、カーネル空間120において、マルチメディアトランスポートパケットが出力フィルタ132の識別条件を満たす場合は、ネットワークプロトコルスタック130は、カーネルレベル暗号モジュール160を起動して、マルチメディアトランスポートパケットに対する暗号処理または認証処理を行わせ、アプリケーション層セキュリティに適合するようにペイロードを修正させる。
アプリケーション層セキュア処理情報格納部162中のセキュア処理情報エントリーに基づいて、カーネルレベル暗号モジュール160は、暗号ユニット1682において、マルチメディアトランスポートパケットの暗号化を実行する。メッセージ認証ユニット1684は、メッセージ認証を実行する。そして、アプリケーション層セキュリティ処理ユニット164は、例えば、SRTPにより暗号化された部分と、SRTPにより認証された部分とに適合するような、アプリケーション層セキュリティをもつペイロードにマルチメディアトランスポートパケットを作り変える。すなわち、マルチメディアトランスポートパケットは、セキュアマルチメディアパケットに変換される。
ステップS110において、アプリケーション層セキュリティ処理ユニット164は、仮想ネットワークインタフェースになっているセキュアマルチメディアパケットの宛先アドレスを実際の送信先である送信先アドレスに置き換える。
ステップS112において、セキュアマルチメディアパケットはネットワークインタフェース150のネットワークプロトコルスタック130へ送信される。
ステップS114で、ネットワークインタフェース150のネットワークプロトコルスタック130において、セキュアマルチメディアパケットは、ペイロードサイズをネットワークインタフェース150のMTUに照らし合わせて、パケットのセグメント分割を行うか否かが判断される。セグメント分割条件に合う場合は、ステップS116へ進み、パケット分割を行い、生成された複数の分割されたパケットをネットワークインタフェース150から送出する。そうでない場合は、ステップS118へ進み、セキュアマルチメディアパケットをネットワークインタフェース150から送出する。
図3は、入力されるセキュアマルチメディアパケットに対してカーネルレベル復号処理または認証処理を実行するための本発明の実施の形態を示すフローチャートである。
ステップS202において、セキュアマルチメディアアプリケーション112が、セキュアマルチメディアアプリケーションを始動し、入力されるセキュアマルチメディアアプリケーションに対応した設定を行うように、セキュアマルチメディアアプリケーションの統制部116を起動する。
これにより、セキュアマルチメディアアプリケーションの統制部116は、ネットワークインタフェース150のネットワークプロトコルスタック130内で、一つの入力暗号処理フィルタリングポイント134を有効化する。そして統制部116は、アプリケーション層セキュア処理情報格納部162(本発明の「記憶手段」に相当)中にセキュア処理情報エントリーを作成し、アプリケーション層セキュリティ処理ユニット164および暗号処理ユニット168における復号処理または認証処理の設定を含む、カーネルレベル暗号モジュール160の設定を行う。
ステップS204で、入力されるセキュアマルチメディアパケットがネットワークインタフェース150により受信され、その後のネットワークプロトコル処理のためにスケジュールされる。
ステップS206において、カーネル空間120において、マルチメディアパケットが、入力フィルタ134の識別条件を満たす場合は、ネットワークプロトコルスタック130は、カーネルレベル暗号モジュール160を起動して、パケットの復号処理または認証処理を行わせ、ペイロードがアプリケーション層セキュリティに適合することを確認させる。
アプリケーション層セキュア処理情報格納部162中のセキュア処理情報エントリーに基づいて、カーネルレベル暗号モジュール160は、暗号ユニット1682においてマルチメディアパケットの復号化を実行する。メッセージ認証ユニット1684は、セキュアマルチメディアパケットからメッセージ認証値を算出し、算出結果とセキュアマルチメディアパケットに含まれているメッセージ認証値を照合することにより、セキュリティパケットの信頼性を確認する。これらが厳密に一致する場合、セキュアマルチメディアパケットは本当に信頼できるものであり、通信相手によって真正に送信されていることを意味する。セキュアマルチメディアパケット中のペイロードは、平文のペイロードになる。
ここで、平文とは暗号化する前、または、復号化した後の、暗号化されていない状態のデータを指す。
ステップS208において、ネットワークプロトコルスタック130は、平文のマルチメディアパケットを、ソケット114を介してセキュアマルチメディアアプリケーション112へ送信する。これにより、セキュアマルチメディアアプリケーション112は、平文のマルチメディアパケットを受信する。
図4は、セキュアマルチメディアアプリケーションの統制部、アプリケーション層セキュア処理情報、アプリケーション層セキュリティ処理ユニット、および暗号処理ユニットの構成図である。
セキュアマルチメディアアプリケーションの統制部116は、セキュアアプリケーションセッションの開始ユニット1162とセキュアアプリケーションセッションの終了ユニット1164を含む。
セキュアマルチメディアアプリケーション112から出力セキュアマルチメディアアプリケーション開始を受信すると、セキュアアプリケーションセッションの開始ユニット1162は、仮想ネットワークインタフェース140のネットワークプロトコルスタック130内のセキュアマルチメディアパケットの出力フィルタ132を起動し、アプリケーション層セキュア処理情報格納部162中のエントリーを初期化する。
本実施の形態では、仮想ネットワークインタフェース140として、ローカルループバックインタフェースが適用可能であり、フィルタリング方法は、ネットフィルタであり、出力フィルタリングポイント132はネットフィルタのNF_IP_LOCAL_OUTである。
セキュアマルチメディアアプリケーション112から入力セキュアマルチメディアアプリケーション開始を受信すると、セキュアアプリケーションセッションの開始ユニット1162は、ネットワークインタフェース150のネットワークプロトコルスタック130内のセキュアマルチメディアパケットの入力フィルタ134を起動し、アプリケーション層セキュア処理情報格納部162中のエントリーを初期化する。
本実施の形態では、仮想ネットワークインタフェース140として、イーサネットネット(登録商標)ワークカードが適用可能であり、フィルタリング方法はネットフィルタであり、入力フィルタリングポイント134はネットフィルタのNF_IP_LOCAL_INである。
セキュアマルチメディアアプリケーション112から入力セキュアまたは出力マルチメディアアプリケーション終了を受信すると、セキュアアプリケーションセッションの終了ユニット1164は、ネットフィルタの入力または出力フィルタポイントを無効化することによって、セキュアマルチメディアパケットの入力フィルタ134またはセキュアマルチメディアパケットの出力フィルタ132を無効化する。
アプリケーション層セキュア処理情報格納部162は、複数のセキュア処理情報のエントリーを記憶する。セキュア処理情報の一つのエントリー1620は、入力セキュアまたは出力マルチメディアアプリケーションのいずれかに対応する。アプリケーション層セキュア処理情報格納部162中のセキュア処理情報の各エントリーは、セキュアマルチメディアアプリケーションを特定するため並びに暗号処理を実行するために必要な暗号化に関する情報を記憶するための複数のフィールドを含む。
セキュア処理情報の一つのエントリー1620は、同期ソース(SSRC)識別子1621、送信先ネットワークアドレス1622、送信先トランスポートポート番号1623、暗号アルゴリズム識別子1624、認証アルゴリズム識別子1625、マスターキー1626、マスターSalt1627、暗号キー1628、および認証キー1629のフィールドを含む。
SSRC識別子1621、送信先ネットワークアドレス1622および送信先トランスポートポート番号1623は、セキュアアプリケーションの暗号コンテクスト(cryptographic context)を照合するために使用される。
暗号アルゴリズム識別子1624は、セキュアアプリケーションの暗号アルゴリズムを特定するために使用される。サポートされるアルゴリズムは、CBCまたはカウンターモードを含むDES、3DES、AES、AES192、およびAES256などである。
認証アルゴリズム識別子1625は、セキュアアプリケーションの認証アルゴリズムを特定するために使用される。サポートされるアルゴリズムは、たとえば、HMAC−SHA1、HMAC−MD5、DES−XCBC−MAC、3DES−XCBC−MAC、およびAES−XCBC−MACである。
マスターキー1626とマスターソルト1627は、暗号キー1628と認証キー1629が生成されていない場合に暗号処理に用いる暗号キー1628と認証キー1629とを生成するためのキー導出、または新たに受信したマスターキー1626に対してマスターキー再キーイングを行うために使用される。ここで、ソルトとはパスワードを複雑化するための乱数を指す。
暗号キー1628は、暗号化や復号化等のセキュアアプリケーションのための暗号処理を実行するために使用される。認証キー1629は、メッセージ認証またはメッセージダイジェストを実行するために使用される。
アプリケーション層セキュリティ処理ユニット164は、セキュアマルチメディアパケットの暗号化された部分を特定し、セキュアマルチメディアパケットの認証部分を特定するような、メッセージ認証の確認等のアプリケーション層セキュリティプロトコル編成を実行する。アプリケーション層セキュリティ処理ユニット164は、暗号化および復号化部分の特定部(locator)1642、認証部分および認証タグの特定部1646、認証タグ生成部1644および認証タグ確認部1648を含む。
暗号化および復号化部分の特定部1642は、暗号化または復号化の暗号処理で処理されるペイロードの開始アドレスと終了アドレスを特定するために使用される。ペイロードのこの特定された部分内で、暗号処理が実行される。出力リアルタイムトランスポートプロトコル(RTP)パケットを例にとると、開始アドレスは、通常、RTPヘッダーに続く最初のバイトに一致する。終了アドレスはRTPペイロードの最終バイトである。
認証部分および認証タグの特定部1646は、認証処理で処理されるペイロードの開始アドレスと終了アドレスを特定するためにおよび認証タグを記憶するまたは読み出すための開始アドレスを特定するために使用される。ペイロードのこの特定された部分内で、認証処理が実行される。出力RTPパケットを例にとると、開始アドレスは、通常、RTPヘッダーの先頭バイトに一致する。終了アドレスはRTPペイロードの最終バイトである。出力RTPパケットを例にとると、認証タグ開始アドレスは、通常、RTPペイロードの最終バイトに続く最初のバイトに一致し、認証タグは、通常、80ビットの長さをもつ。
認証タグ生成部1644は、演算処理により得た認証タグを出力パケットのペイロードの最後に付加するために使用される。
認証タグ確認部1648は、演算処理により得た認証タグを入パケットのペイロード中の認証タグに照合して確認するために使用される。これらのタグが一致しない場合、確認は失敗しパケットを破棄する。そうではなく、これらのタグが一致する場合、セキュアマルチメディアパケットが本当に信頼できるものであり、通信相手によって真正に送信されていることを意味する。
暗号処理ユニット168は、暗号ユニット1682とメッセージ認証ユニット1684とを含む。暗号ユニット1682は、CBCまたはカウンターモードを含むDES、3DES、AES、AES192、AES256などの暗号化と復号化をサポートする。
メッセージ認証ユニット1684は、たとえば、HMAC−SHA1、HMAC−MD5、DES−XCBC−MAC、3DES−XCBC−MAC、およびAES−XCBC−MACのメッセージ認証処理をサポートする。
図5は、本発明の実施の形態による大きいサイズのセキュリティマルチメディアペイロードの構成図である。
セキュアマルチメディアアプリケーション112は、マルチメディアコンテンツを送信するためにリアルタイムトランスポートプロトコル(RTP)を使用し、RTPヘッダー412と大きいサイズのペイロード414を含む平文のマルチメディアパケット410を生成する。
ネットワーク層の平文のマルチメディアパケット420は、ソケットバッファ構造体(Sk_buff構造体)422、IPヘッダー424、UDPヘッダー426、RTPヘッダー412、および大きいサイズのペイロード414を含む。
アプリケーション層セキュリティプロトコルに適合するカーネルレベル暗号処理後、ネットワーク層の平文のマルチメディアパケット420はネットワーク層のセキュアマルチメディアパケット430になる。
ネットワーク層のセキュアマルチメディアパケット430は、 ソケットバッファ構造体422、IPヘッダー424、UDPヘッダー426、RTPヘッダー412、暗号化された大きいサイズのペイロード432、およびメッセージ認証コード434を含む。
ネットワークプロトコルスタック130は、ネットワークインタフェース150のMTUに応じて、大きいサイズのネットワーク層のセキュアマルチメディアパケット430のセグメント分割処理を実行する。
ネットワーク層のセキュアマルチメディアパケットのネットワークプロトコルスタック130によるセグメント分割処理後、ネットワーク層のセキュアマルチメディアパケット430は、一連のセグメント化されたセキュアマルチメディアパケット440になる。一連のセグメント化されたセキュアマルチメディアパケット440は、第1のセグメント化されたセキュアマルチメディアパケット442、第1のセグメント化されたセキュアマルチメディアパケット444、および第nのセグメント化されたセキュアマルチメディアパケット446を含む。
第1のセグメント化されたセキュアマルチメディアパケット442は、ソケットバッファ構造体422、IPヘッダー424、UDPヘッダー426、RTPヘッダー412、および第1のセグメント化された暗号化ペイロード4422を含む。第2のセグメント化されたセキュアマルチメディアパケット444は、ソケットバッファ構造422、IPヘッダー424、および第2のセグメント化された暗号化ペイロード4442を含む。第nのセグメント化されたセキュアマルチメディアパケット446は、ソケットバッファ構造422、IPヘッダー424、および第nのセグメント化した暗号化ペイロード4462を含む。
図6は、本発明の実施の形態に係る出力処理において様々に形態が変わるマルチメディアパケットを処理する暗号処理通信システムの一例を示す構成図である。
セキュアマルチメディアアプリケーション112は、平文のマルチメディアパケット410を生成し、平文のマルチメディアパケット410を、ソケット114を介して、仮想ネットワークインタフェース140のネットワークプロトコルスタック130へ送信する。
平文のマルチメディアパケット410がいったんネットワークプロトコルスタック130へ入力されると、ネットワーク層のパケットフォーマットの形態をとり、ネットワーク層の平文のマルチメディアパケット420になる。
出力フィルタ132は、ネットワーク層の平文のマルチメディアパケット420を選別し、カーネルレベル暗号モジュール160を起動して、アプリケーション層セキュリティプロトコルを実行させる。これにより、ネットワーク層の平文のマルチメディアパケット420はネットワーク層のセキュアマルチメディアパケット430になる。
ネットワーク層のセキュアマルチメディアパケット430は、仮想ネットワークインタフェース140に属する。
ネットワーク層のセキュアマルチメディアパケット430のIPヘッダー424中の仮想ネットワークインタフェース140への宛先アドレスを実際の送信先アドレスに置き換えた後、ネットワーク層のセキュアマルチメディアパケット430はネットワークインタフェース150のネットワークプロトコルスタック130へ送信される。
ネットワークインタフェース150のネットワークプロトコルスタック130へ到着すると、ネットワーク層のセキュアマルチメディアパケット430のセグメント分割が行われる。
最後に、一連のセグメント化したセキュアマルチメディアパケット440がネットワークインタフェース150から送出される。すなわち、第1のセグメント化されたセキュアマルチメディアパケット442、第2のセグメント化されたセキュアマルチメディアパケット444、第nのセグメント化されたセキュアマルチメディアパケット446は、ネットワークインタフェース150から送出される。
図7は、本発明の実施の形態による入力処理において様々に形態が変わるマルチメディアパケットを処理する暗号処理通信システムを示す構成図である。
一連のセグメント化されたセキュアマルチメディアパケット440またはネットワーク層のセキュアマルチメディアパケット430のいずれかがネットワーク150によって受信される。
大きいサイズのセキュアマルチメディアペイロードの場合は,第1のセグメント化されたセキュアマルチメディアパケット442、第2のセグメント化されたセキュアマルチメディアパケット444、第nのセグメント化されたセキュアマルチメディアパケット446を含む、一連のセグメント化されたセキュアマルチメディアパケット440がネットワーク150によって受信される。そうでない場合には場合は、ネットワーク層のセキュアマルチメディアパケット430がネットワーク150によって受信される。
ネットワークプロトコルスタック130にいったんパケットが到着すると、一連のセグメント化されたセキュアマルチメディアパケット440のネットワークプロトコルスタックによる復元処理が行われる。一連のセグメント化したセキュアマルチメディアパケット440は、ネットワーク層のセキュアマルチメディアパケット430に再組立てされる。
入力フィルタ134は、ネットワーク層のセキュアマルチメディアパケット430を選別し、カーネルレベル暗号モジュール160を起動し、復号化やメッセージ認証確認等のアプリケーション層セキュリティプロトコルを実行させる。これにより、ネットワーク層のセキュアマルチメディアパケット430は、ネットワーク層の平文のマルチメディアパケット420になる。
ネットワーク層の平文のマルチメディアパケット420は、ソケット114を介してセキュアマルチメディアアプリケーション112へ送信される。最後に、セキュアマルチメディアアプリケーション112は、平文のマルチメディアパケット410を受信する。
図8は、出力されるセキュアマルチメディアパケットに対してカーネルレベル暗号処理を実行するための本発明の実施の形態を示すシーケンスフローである。
ステップS302において、セキュアマルチメディアアプリケーション112は、平文のマルチメディアパケット410を生成する。平文のマルチメディアパケット410は、リアルタイムトランスポートプロトコル(RTP)の形式で表わすことができる。
ステップS304において、セキュアマルチメディアアプリケーション112は、平文のマルチメディアパケット410を、ソケット114を介して、仮想ネットワークインタフェース140のネットワークプロトコルスタック130へ送信する。
ステップS306において、平文のマルチメディアパケット410がいったんネットワークプロトコルスタック130へ入力されると、ネットワーク層のパケットフォーマットの形態をとり、420のようなソケットバッファ構造体422によって表わすことができる。
ステップS308において、ネットワーク層の平文のマルチメディアパケット420は、出力フィルタリングポイント132に入力される。このフィルタリングポイントはネットフィルタのNF_IP_LOCAL_OUTであり得る。
ステップS310において、RTPヘッダー412中の3項目{SSRC ID 1621、送信先ネットワークアドレス1622、送信先トランスポートポート番号1634}がフィルタリング条件に合致するので、ネットワーク層の平文のマルチメディアパケット420は、アプリケーション層セキュア処理情報格納部162中のセキュア処理情報エントリー1620に相当するフィルタリング条件に合致するか判定する。
ステップS312において、フィルタリング条件に合致する場合(S310:YES)、ネットワーク層の平文のマルチメディアパケット420に対するカーネルレベル暗号処理が起動される。また、フィルタリング条件に合致しない場合(S310:NO)、処理を終了する。
ステップS314において、RTPヘッダー412中の3項目{SSRC ID 1621、送信先ネットワークアドレス1622、送信先トランスポートポート番号1634}が、暗号処理を実行するための指標として使用される。暗号キー1628と認証キー1629とが生成されていない場合は、または新たに受信したマスターキー1626のマスターキー再キーイングを行う場合は、暗号キー1628と認証キー1629を生成するためにマスターキー1626とマスターソルト1627が使用される。
暗号化の開始アドレスが、暗号化および復号化部分の特定部1642によって決定され、暗号化部分432に対する暗号化を実行するために暗号アルゴリズムID1624と暗号キー1628が使用される。
メッセージ認証の開始アドレスが、認証部分および認証タグの特定部1646によって決定され、認証部分432に対して認証を実行し、結果をメッセージ認証タグ434として保存するために、認証アルゴリズムID1625と認証キー1629が使用される。
認証後、認証タグ生成部1644は、認証部分432対する認証の結果であるメッセージ認証タグ434をパケットに付加する。
暗号化および認証後、カーネルレベル暗号モジュール160は、セキュアリアルタイムトランスポートプロトコル(SRTP)等のアプリケーション層セキュリティプロトコルに適合させることにより、ネットワーク層の平文のマルチメディアパケット420を、暗号化部分432とメッセージ認証コード434をもつネットワーク層のセキュアマルチメディアパケット430になるように修正する。
ステップS316において、パケットは、セキュアリアルタイムトランスポートプロトコル(SRTP)等のアプリケーション層セキュリティプロトコルの適合によって暗号化部分432とメッセージ認証コード434をもつネットワーク層のパケットフォーマット430の形態をとる。
ステップS318において、セキュアマルチメディアパケット上のネットワーク層のセキュアマルチメディアパケット430のIPヘッダー424中の宛先アドレスを実際の送信先アドレスに置き換えた後、ステップS320でネットワーク層のセキュアマルチメディアパケット430は、ネットワークインタフェース150のネットワークプロトコルスタック130へ送信される。これにより、ステップS322で、ネットワーク層のセキュアマルチメディアパケット430は出力フィルタリングポイント132を通過する。ネットワーク層のセキュアマルチメディアパケット430は、ネットワークインタフェース150のネットワークプロトコルスタック130へ入力される。
ステップS324において、ネットワーク層のセキュアマルチメディアパケット430のセグメント分割が発生するか否かの判断が行われる。ネットワーク層のセキュアマルチメディアパケット430がネットワークインタフェース150のMTUよりも大きければ、この判断状態は真である。
ステップS326へ進み、セグメント分割を行う。セグメント分割後、ネットワーク層のセキュアマルチメディアパケット430は、一連のセグメント化されたセキュアマルチメディアパケット440になる。その結果、728で、第1のセグメント化されたセキュアマルチメディアパケット442、第2のセグメント化されたセキュアマルチメディアパケット444、第nのセグメント化されたセキュアマルチメディアパケット446を含む、一連のセグメント化されたセキュアマルチメディアパケット440がネットワークインタフェース150からネットワークへ送出される。
一方、ネットワーク層のセキュアマルチメディアパケット430がネットワークインタフェース150のMTUよりも小さければ、判断状態は偽である。ステップS328へ進み、ネットワーク層のセキュアマルチメディアパケット430がネットワークインタフェース150からネットワークへ送出される。
図9は、入力されるセキュアマルチメディアパケットに対してカーネルレベル暗号処理を実行するための本発明の実施の形態を示すシーケンスフローである。
ステップS402において、ネットワークインタフェースは、セキュアマルチメディアパケット(セキュアマルチメディアパケット)を受信し、ネットワークプロトコル処理にスケジュールする。
セキュアマルチメディアパケットは、第1のセグメント化されたセキュアマルチメディアパケット442、第2のセグメント化されたセキュアマルチメディアパケット444、第nのセグメント化されたセキュアマルチメディアパケット446を含む、一連のセグメント化したセキュアマルチメディアパケット440の形態、またはネットワーク層のセキュアマルチメディアパケット430の形態のいずれかであり得る。
ステップS404で、セキュアマルチメディアパケットが一連のセグメント化されたセキュアマルチメディアパケット440の形態である場合、ネットワークインタフェース150のネットワークプロトコルスタック130は、第1のセグメント化されたセキュアマルチメディアパケット442、第2のセグメント化されたセキュアマルチメディアパケット444、第nのセグメント化されたセキュアマルチメディアパケット446を含む、一連のセグメント化したセキュアマルチメディアパケット440がネットワーク層のセキュアマルチメディアパケット430になるように復元を行う。
ステップS404の後、セキュアマルチメディアパケットは、ソケットバッファ構造422の形式によって表わされるネットワーク層のセキュアマルチメディアパケット430になる。
ステップS406において、ネットワーク層のセキュアマルチメディアパケット430は、入力フィルタリングポイント134へ入力される。このフィルタリングポイントは、ネットフィルタのNF_IP_LOCAL_INであり得る。
ステップS408において、RTPヘッダー412中の3項目{SSRC ID1621、送信先ネットワークアドレス1622、送信先トランスポートポート番号1634}がフィルタリング条件に合致するので、ネットワーク層のセキュアマルチメディアパケット430は、アプリケーション層セキュア処理情報格納部162中のセキュア処理情報エントリー1620に相当するフィルタリング条件に合致する。
ステップS410において、フィルタリング条件に合致する場合(S408:YES)、ネットワーク層のセキュアマルチメディアパケット430に対するカーネルレベル暗号処理は、起動される。フィルタリング条件に合致する場合(S408:NO)、処理を終了する。
ステップS412において、RTPヘッダー412中の3項目{SSRC ID1621、送信先ネットワークアドレス1622、送信先トランスポートポート番号1634}は、暗号処理を実行するための指標として使用される。
暗号キー1628と認証キー1629が生成されていない場合、または新たに受信したマスターキー1626のマスターキー再キーイングを行う場合は、暗号キー1628と認証キー1629を生成するためにマスターキー1626とマスターソルト1627が使用される。
復号化の開始アドレスが、暗号化および復号化部分の特定部1642によって決定され、復号化部分432に対する復号化を実行するために暗号アルゴリズムID1624と暗号キー1628が使用される。
メッセージ認証の開始アドレスが、認証部分および認証タグの特定部1646によって決定され、認証部分432に対して認証を実行するために、認証アルゴリズムID1625と認証キー1629が使用される。この結果は演算処理されたメッセージ認証という。
ステップS414において、演算処理されたメッセージ認証がメッセージ認証コード434に厳密に一致するか否かを確認するために、認証タグ確認部1648が使用される。
これらが厳密に一致する場合、ネットワーク層のセキュアマルチメディアパケット430は本当に信頼できるものであり、通信相手によって真正に送信されていることを意味する。
これらが厳密に一致しない場合、ネットワーク層のセキュアマルチメディアパケット430は偽物であることを意味し、フローはステップS416へ進み、ネットワーク層のセキュアマルチメディアパケット430を廃棄する。
これらが厳密に一致する場合、フローはステップS418へ進み、復号化部分432とメッセージ認証コード434をもつネットワーク層のセキュアマルチメディアパケット430がリアルタイムトランスポートプロトコル(RTP)に適合するネットワーク層の平文のマルチメディアパケット420になるようにセキュアマルチメディアパケット430のペイロードを修正する。
ステップS420において、ネットワーク層の平文のマルチメディアパケット420は前記入力フィルタリングポイント134を通過する。
ステップS422において、ソケットバッファ構造体422の形式によって表わされる、ネットワーク層の平文のマルチメディアパケット420は、ソケット114によってセキュアマルチメディアアプリケーション112へ送信される。
最後に、ステップS424において、平文のマルチメディアパケット410がソケット114から受信され、マルチメディアコンテンツがRTPペイロード414から取り出される。
このように、本実施の形態によれば、セグメント分割の問題を避けるために比較的大きな最大送信単位(MTU)をもつ仮想ネットワークインタフェースへ大きいサイズのペイロードを送信し、仮想ネットワークインタフェースのネットワークプロトコルスタックにいったん取り込んだ大きいサイズのペイロード全体に対して、カーネルレベルの暗号処理を起動し、セキュア化されたペイロードをネットワークインタフェースのネットワークプロトコルスタックへ送信することにより、既存のネットワークプロトコルスタックを生かしつつ、最低限のメモリコピー回数でアプリケーション層セキュアプロトコル処理を実現することが可能になる。
本発明の暗号処理装置は、セキュアマルチメディア通信の暗号処理性能を効果的に増進する暗号処理装置として有用である。
本発明の実施の形態を示す暗号処理通信システムの構成図 出力されるセキュアマルチメディアパケットに対してカーネルレベル暗号処理を実行するための本発明の実施の形態を示すフローチャート 入力されるセキュアマルチメディアパケットに対してカーネルレベル暗号処理を実行するための本発明の実施の形態を示すフローチャート セキュアマルチメディアアプリケーションの統制部、アプリケーション層セキュア処理情報、アプリケーション層セキュリティ処理ユニット、および暗号処理ユニットの構成図 本発明の実施の形態による大きいサイズのセキュリティマルチメディアペイロードの構成図 本発明の実施の形態による出力処理において様々に形態が変わるマルチメディアパケットを処理する暗号処理通信システムを示す構成図 本発明の実施の形態による入処理において様々に形態が変わるマルチメディアパケットを処理する暗号処理通信システムを示す構成図 出力されるセキュアマルチメディアパケットに対してカーネルレベル暗号処理を実行するための本発明の実施の形態を示すシーケンスフロー 入力されるセキュアマルチメディアパケットに対してカーネルレベル暗号処理を実行するための本発明の実施の形態を示すシーケンスフロー
符号の説明
110 ユーザ空間
114 ソケット
120 カーネル空間
112 セキュアマルチメディアアプリケーション
116 セキュアマルチメディアアプリケーションの統制部
1162 セキュアアプリケーションセッションの開始ユニット
1164 セキュアアプリケーションセッションの終了ユニット
118 セキュア制御インタフェース
130 ネットワークプロトコルスタック
132 セキュアマルチメディアパケットの出力フィルタ
134 セキュアマルチメディアパケットの入力フィルタ
140 仮想ネットワークインタフェース
150 ネットワークインタフェース
160 カーネルレベル暗号モジュー
162 アプリケーション層セキュア処理情報格納部
1620 セキュア処理情報のエントリー
1622 送信先ネットワークアドレス
1623 送信先トランスポートポート番号
1624 暗号アルゴリズムID
1625 認証アルゴリズムID
1626 マスターキー
1627 マスターソルト
1628 暗号キー
1629 認証キー
164 アプリケーション層セキュリティ処理ユニット
1642 暗号化および復号化部分の特定部
1644 認証タグ生成部
1646 認証部分および認証タグの特定部
1648 認証タグ確認部
168 暗号処理ユニット
1682 暗号ユニット
1684 メッセージ認証ユニット
412 RTPヘッダー
414 マルチメディアコンテンツを運ぶための大きいサイズのペイロード
424 IPヘッダー
426 UDPヘッダー
412 RTPヘッダー
432 マルチメディアコンテンツを運ぶための大きいサイズのペイロード
434 メッセージ認証コード

Claims (4)

  1. セキュリティプロトコルによってセキュア化されたマルチメディア通信に対する暗復号処理または認証処理を増進するための暗号処理装置における暗号処理方法であり、
    前記マルチメディア通信の開始時に、暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶装置またはメモリに記憶するステップと、
    平文のマルチメディアパケットを仮想ネットワークインタフェースへ送信するステップと、
    前記セキュア処理情報に含まれる前記識別条件に基づいて前記平文のマルチメディアパケットをネットワークプロトコルスタック内でフィルタリングするステップと、
    前記平文のマルチメディアパケットがフィルタリングされるときに、前記平文のマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致する場合、前記平文のマルチメディアパケットに対して暗号処理または認証処理を実行して、セキュリティプロトコルに適合するように、セキュアマルチメディアパケットのペイロードを修正するステップと、
    前記仮想ネットワークインタフェースへの宛先アドレスを、前記セキュアマルチメディアパケットの送信先アドレスに置き換えるステップと、
    前記セキュアマルチメディアパケットをネットワークインタフェースから送出するステップと、
    を有する暗号処理方法。
  2. セキュリティプロトコルによってセキュアされたマルチメディア通信に対する暗復号処理または認証処理を増進するための暗号処理装置であり、
    暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶する記憶手段と、
    平文のマルチメディアパケットを仮想ネットワークインタフェースへ送信する送信手段と、
    前記平文のマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致するか否かを判断し、前記識別条件が合致した場合に前記平文のマルチメディアパケットに対して暗号処理または認証処理を実行して、セキュリティプロトコルに適合するようにセキュアマルチメディアパケットのペイロードを修正する修正手段と、
    前記仮想ネットワークインタフェースへの宛先アドレスを、前記セキュアマルチメディアパケットの送信先アドレスに置き換える置換手段と、
    前記セキュアマルチメディアパケットをネットワークインタフェースから送出する送出手段と、
    を有する暗号処理装置。
  3. セキュリティプロトコルによってセキュアされたマルチメディア通信に対する暗復号処理または認証処理を増進するための復号処理装置における復号処理方法であり、
    前記マルチメディア通信の開始時に、暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶装置またはメモリに記憶するステップと、
    前記セキュア処理情報に含まれる前記識別条件に基づいて、入力されるセキュアマルチメディアパケットをネットワークプロトコルスタック内でフィルタリングするステップと、
    前記セキュアマルチメディアパケットがフィルタリングされるときに、前記セキュアマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致する場合、前記セキュアマルチメディアパケットに対して復号処理または認証処理を実行し、前記セキュアマルチメディアパケットのペイロードを平文ペイロードとして修正するステップと、
    平文のマルチメディアパケットを入力マルチメディア通信のアプリケーション層へ送信するステップと、
    を有する号処理方法。
  4. セキュリティプロトコルによってセキュアされた入力マルチメディア通信に対する暗復号処理または認証処理を増進するための号処理装置であり、
    暗復号処理または認証処理が必要なパケットを識別するための識別条件を含むセキュア処理情報を記憶するための記憶手段と、
    入力されるセキュアマルチメディアパケットが前記セキュア処理情報に含まれる前記識別条件と合致するか否かを判断し、前記識別条件が合致する場合に前記セキュアマルチメディアパケットに対して復号処理または認証処理を実行し、セキュアマルチメディアパケットのペイロードを平文ペイロードとして修正するための修正手段と、
    文のマルチメディアパケットを入力マルチメディア通信のアプリケーション層へ送信する送信手段と、
    を有する号処理装置。
JP2008032228A 2008-02-13 2008-02-13 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 Expired - Fee Related JP5205075B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2008032228A JP5205075B2 (ja) 2008-02-13 2008-02-13 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置
PCT/JP2009/000330 WO2009101768A1 (ja) 2008-02-13 2009-01-28 暗号処理方法および暗号処理装置
EP09710833A EP2244416A4 (en) 2008-02-13 2009-01-28 ENCRYPTION PROCESSING AND ENCODING PROCESSING DEVICE
CN2009801049008A CN101946456A (zh) 2008-02-13 2009-01-28 加密处理方法和加密处理装置
US12/864,170 US20100306540A1 (en) 2008-02-13 2009-01-28 Encryption processing method and encryption processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008032228A JP5205075B2 (ja) 2008-02-13 2008-02-13 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置

Publications (2)

Publication Number Publication Date
JP2009194559A JP2009194559A (ja) 2009-08-27
JP5205075B2 true JP5205075B2 (ja) 2013-06-05

Family

ID=40956803

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008032228A Expired - Fee Related JP5205075B2 (ja) 2008-02-13 2008-02-13 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置

Country Status (5)

Country Link
US (1) US20100306540A1 (ja)
EP (1) EP2244416A4 (ja)
JP (1) JP5205075B2 (ja)
CN (1) CN101946456A (ja)
WO (1) WO2009101768A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8335916B2 (en) * 2008-01-29 2012-12-18 International Business Machines Corporation Secure request handling using a kernel level cache
US9210140B2 (en) * 2009-08-19 2015-12-08 Solarflare Communications, Inc. Remote functionality selection
JP5587085B2 (ja) * 2010-07-27 2014-09-10 パナソニック株式会社 通信システム、制御装置及び制御プログラム
WO2012169111A1 (ja) * 2011-06-06 2012-12-13 パナソニック株式会社 コンテンツデータ再生方法、およびサムネイル画像生成方法
US9813384B2 (en) * 2012-10-31 2017-11-07 The Boeing Company Time-locked network and nodes for exchanging secure data packets
US9143512B2 (en) * 2013-10-04 2015-09-22 At&T Intellectual Property I, L.P. Communication devices, computer readable storage devices, and methods for secure multi-path communication
JP6422254B2 (ja) * 2014-07-23 2018-11-14 キヤノン株式会社 通信装置、通信装置の制御方法、および、プログラム
US9407612B2 (en) * 2014-10-31 2016-08-02 Intel Corporation Technologies for secure inter-virtual network function communication
US9954873B2 (en) * 2015-09-30 2018-04-24 The Mitre Corporation Mobile device-based intrusion prevention system
CN107026824B (zh) * 2016-02-02 2019-10-25 腾讯科技(深圳)有限公司 一种消息加密、解密方法和装置
US10284521B2 (en) * 2016-08-17 2019-05-07 Cisco Technology, Inc. Automatic security list offload with exponential timeout
CN110909368B (zh) * 2019-11-07 2023-09-05 腾讯科技(深圳)有限公司 一种数据加密方法、装置以及计算机可读存储介质
CN111523154B (zh) * 2020-03-20 2021-03-02 北京元心科技有限公司 用于取得硬件唯一标识的方法、系统及相应计算机设备

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU6077196A (en) * 1996-02-01 1997-08-07 Mitsubishi Denki Kabushiki Kaisha Multimedia information processing system
JPH10190649A (ja) * 1996-10-16 1998-07-21 Hewlett Packard Co <Hp> 双方向データストリーム伝送装置
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6160804A (en) * 1998-11-13 2000-12-12 Lucent Technologies Inc. Mobility management for a multimedia mobile network
US6751728B1 (en) * 1999-06-16 2004-06-15 Microsoft Corporation System and method of transmitting encrypted packets through a network access point
US7047405B2 (en) * 2001-04-05 2006-05-16 Qualcomm, Inc. Method and apparatus for providing secure processing and data storage for a wireless communication device
EP1246424A1 (en) * 2001-03-27 2002-10-02 STMicroelectronics Limited Searching for packet identifiers
US7171453B2 (en) * 2001-04-19 2007-01-30 Hitachi, Ltd. Virtual private volume method and system
US7747853B2 (en) * 2001-06-06 2010-06-29 Sony Corporation IP delivery of secure digital content
US7336787B2 (en) * 2001-06-06 2008-02-26 Sony Corporation Critical packet partial encryption
US6983382B1 (en) 2001-07-06 2006-01-03 Syrus Ziai Method and circuit to accelerate secure socket layer (SSL) process
US7536546B2 (en) * 2001-08-28 2009-05-19 Acme Packet, Inc. System and method for providing encryption for rerouting of real time multi-media flows
US7274684B2 (en) * 2001-10-10 2007-09-25 Bruce Fitzgerald Young Method and system for implementing and managing a multimedia access network device
US7215770B2 (en) * 2002-01-02 2007-05-08 Sony Corporation System and method for partially encrypted multimedia stream
US7376233B2 (en) * 2002-01-02 2008-05-20 Sony Corporation Video slice and active region based multiple partial encryption
US7480284B2 (en) * 2002-01-08 2009-01-20 Alcatel Lucent Secure voice and data transmission via IP telephones
US7484103B2 (en) * 2002-01-12 2009-01-27 Je-Hak Woo Method and system for the information protection of digital content
US7193996B2 (en) * 2002-02-28 2007-03-20 Acme Packet, Inc. System and method for determining a source of an internet protocol packet
US7260085B2 (en) * 2002-03-21 2007-08-21 Acme Packet, Inc. System and method for determining a destination for an internet protocol packet
US7200388B2 (en) * 2002-05-31 2007-04-03 Nokia Corporation Fragmented delivery of multimedia
JP4025784B2 (ja) * 2002-08-09 2007-12-26 富士通株式会社 仮想閉域網システム
JP4056849B2 (ja) * 2002-08-09 2008-03-05 富士通株式会社 仮想閉域網システム
JP2004199315A (ja) * 2002-12-18 2004-07-15 Toyo Commun Equip Co Ltd セキュリティ処理システム
JP2007524311A (ja) * 2004-02-23 2007-08-23 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ データストリームを暗号化する方法及び回路
US7574736B2 (en) * 2004-03-03 2009-08-11 Microsoft Corporation System and method for efficiently transferring media across firewalls
US8027335B2 (en) * 2004-05-05 2011-09-27 Prodea Systems, Inc. Multimedia access device and system employing the same
KR20060001777A (ko) * 2004-06-29 2006-01-06 삼성전자주식회사 인터넷 멀티미디어 서브시스템에서 패킷 호 서비스에관련된 제어 메시지를 송수신하는 방법 및 장치
US7656861B2 (en) * 2004-07-09 2010-02-02 Cisco Technology, Inc. Method and apparatus for interleaving text and media in a real-time transport session
JP4710267B2 (ja) * 2004-07-12 2011-06-29 株式会社日立製作所 ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置
ATE535078T1 (de) * 2004-07-23 2011-12-15 Citrix Systems Inc Verfahren und system zur sicherung von zugriff aus der ferne auf private netze
JP4322201B2 (ja) * 2004-11-29 2009-08-26 シャープ株式会社 通信装置及びゲートウェイ装置
US8549149B2 (en) * 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
GB0517304D0 (en) * 2005-08-23 2005-10-05 Netronome Systems Inc A system and method for processing and forwarding transmitted information
ATE465460T1 (de) * 2005-10-31 2010-05-15 Nero Ag Hardware-multimedia-endpunkt und personal computer
JP2007142591A (ja) * 2005-11-15 2007-06-07 Matsushita Electric Ind Co Ltd 暗号管理方法
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
FR2900750B1 (fr) * 2006-05-02 2008-11-28 Oberthur Card Syst Sa Entite electronique portable apte a recevoir un flux de donnees multimedia diffuse.
JP4912075B2 (ja) * 2006-08-11 2012-04-04 パナソニック株式会社 復号装置
US20090182668A1 (en) * 2008-01-11 2009-07-16 Nortel Networks Limited Method and apparatus to enable lawful intercept of encrypted traffic

Also Published As

Publication number Publication date
EP2244416A4 (en) 2013-02-13
EP2244416A1 (en) 2010-10-27
WO2009101768A1 (ja) 2009-08-20
JP2009194559A (ja) 2009-08-27
CN101946456A (zh) 2011-01-12
US20100306540A1 (en) 2010-12-02

Similar Documents

Publication Publication Date Title
JP5205075B2 (ja) 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置
TWI499342B (zh) 網路卸載方法與系統
US11658803B2 (en) Method and apparatus for decrypting and authenticating a data record
US7941662B2 (en) Data transfer efficiency in a cryptography accelerator system
US8468337B2 (en) Secure data transfer over a network
US8984268B2 (en) Encrypted record transmission
US7764788B2 (en) Methods and apparatus for performing authentication and decryption
US7430204B2 (en) Internet protocol tunnelling using templates
US20020078342A1 (en) E-commerce security processor alignment logic
US20090249059A1 (en) Packet encryption method, packet decryption method and decryption device
GB2424556A (en) Packet fragment deciphering with cipher state storage
US20180091483A1 (en) Method for in-line tls/ssl cleartext encryption and authentication
US8281122B2 (en) Generation and/or reception, at least in part, of packet including encrypted payload
WO2022127164A1 (zh) 接口数据传输方法、装置、电子设备及存储介质
JP5848570B2 (ja) 通信装置、受信制御方法及び送信制御方法
JP2003204326A (ja) 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム
US8793505B2 (en) Encryption processing apparatus
JP2010011122A (ja) 暗号化パケット処理システム
US20200344053A1 (en) System for securing deployed security cameras
CN111031055B (zh) 一种IPsec加速装置及实现方法
CN117560226B (zh) 一种通过虚拟专用网络vpn进行数据传输的方法及装置
JP2010057123A (ja) 暗号処理装置、暗号処理方法及びプログラム
JP7289709B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP5149863B2 (ja) 通信装置及び通信処理方法
CN107995186B (zh) 一种基于时间戳的通信加密方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130218

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160222

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees