專利名稱:處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方法及網(wǎng)絡(luò)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種處理網(wǎng)際網(wǎng)絡(luò)安全協(xié)議(Internet Protocol Security,以下簡(jiǎn)稱IPSec)信道(Turmel)的方法及網(wǎng)絡(luò)裝置����,特別是指一 種處理巢狀(Nested)IPSec信道的方法及網(wǎng)絡(luò)裝置。本發(fā)明是有關(guān)一種處 理網(wǎng)際網(wǎng)絡(luò)安全協(xié)議(Internet Protocol Security,以下簡(jiǎn)稱IPSec)信 道(Tunnel)的方法及網(wǎng)絡(luò)裝置�,特別是指一種處理巢狀(Nested) IPSec信 道的方法及網(wǎng)絡(luò)裝置。
背景技術(shù):
在網(wǎng)際網(wǎng)絡(luò)通信上�,IPSec已經(jīng)被廣泛地用于提供對(duì)等式網(wǎng)絡(luò)(Peer to Peer)間的網(wǎng)際網(wǎng)絡(luò)協(xié)議(Intemet Protocol,以下簡(jiǎn)稱IP)層的安全服務(wù)。藉 由在兩個(gè)網(wǎng)絡(luò)裝置之間建立IPSec信道并對(duì)在其間傳送的封包進(jìn)行加密��, 可以保護(hù)該網(wǎng)絡(luò)裝置之間的網(wǎng)絡(luò)傳輸���。但是��,在該網(wǎng)絡(luò)裝置間��,可能有其 它的網(wǎng)絡(luò)裝置��,如網(wǎng)關(guān)器等�����,會(huì)在該原本的IPSec信道上建立另一 IPSec 信道�����,而造成巢狀I(lǐng)PSec信道�。參閱圖l,描述了巢狀I(lǐng)PSec信道的范例在第一主機(jī)ll與第二主機(jī) 12之間存在已建立的第一 IPSec信道13�����,且在該第一 IPSec信道13上�, 存在另一個(gè)在第一網(wǎng)關(guān)器14與第二網(wǎng)關(guān)器15之間的已建立的第二 IPSec 信道16。在該第一主機(jī)11與第二主機(jī)12之間傳遞的多個(gè)封包會(huì)經(jīng)由該第一網(wǎng) 關(guān)器14與第二網(wǎng)關(guān)器15��,并同時(shí)由該第一 IPSec信道13及第二 IPSec信 道16加密保護(hù)���。如圖2所示�����,即為同時(shí)由該第一 IPSec信道13及第二 IPSec 信道16加密保護(hù)的封包。其中己加密數(shù)據(jù)21由該第一 IPSec信道13加密 保護(hù)�,已加密數(shù)據(jù)22由該第二 IPSec信道16加密保護(hù)。該已加密資料21 被重復(fù)加密���,會(huì)造成接收該封包的對(duì)方網(wǎng)絡(luò)裝置解密上的額外負(fù)擔(dān)�����。
一種已知的改進(jìn)方法如2005年8月的網(wǎng)際網(wǎng)絡(luò)工程任務(wù)編組草案(IETF Draft) "Terminology for Benchmarking IPSec Devices"中所描述�,可 利用限制巢狀的程度來(lái)解決巢狀I(lǐng)PSec信道的問(wèn)題。以圖1所示的范例來(lái) 說(shuō)明��,當(dāng)該第一網(wǎng)關(guān)器14收到來(lái)自第一主機(jī)11的封包�,并發(fā)現(xiàn)是IPSec 封包時(shí),則不再對(duì)該IPSec封包加密����。此種限制巢狀的程度的方法,確實(shí) 可避免巢狀I(lǐng)PSec信道的重復(fù)加密產(chǎn)生��,并降低解密上的額外負(fù)擔(dān)�����;但是��, 圖2的IP標(biāo)頭23及包封安全有效負(fù)載(Encapsulating Security Payload��,以 下簡(jiǎn)稱ESP)標(biāo)頭24并未加密保護(hù)��,容易有安全考量上的問(wèn)題。另一個(gè)已知的改進(jìn)方法如2000年11月的第三代行動(dòng)電話合作項(xiàng)目技 術(shù)規(guī)格群組服務(wù)及系統(tǒng)觀點(diǎn)第三工作組安全(3GPPTSG SA WG3 Security, Nov., 2000)的一篇報(bào)告"Simplifying Assumption for The Use of IPSec in UMTS"中所描述���,可利用鏈接信道(Chained-tunnel)��,來(lái)解決巢狀I(lǐng)PSec 信道的問(wèn)題���。以圖1的范例來(lái)說(shuō)明,首先����,該第一網(wǎng)關(guān)器14對(duì)由第一主 機(jī)ll加密的封包進(jìn)行解密,再由該第一網(wǎng)關(guān)器14對(duì)該封包進(jìn)行加密�。接 著,該第二網(wǎng)關(guān)器15對(duì)由第一網(wǎng)關(guān)器14加密的封包進(jìn)行解密���,再由該第 二網(wǎng)關(guān)器15對(duì)該封包進(jìn)行加密��。此種鏈接信道的方法�,亦可避免巢狀I(lǐng)PSec 信道的重復(fù)加密產(chǎn)生����;但是,每一個(gè)中間經(jīng)過(guò)的網(wǎng)關(guān)器(如第一網(wǎng)關(guān)器14 及第二網(wǎng)關(guān)器15)���,都必須先對(duì)該封包進(jìn)行解密后再加密�����,造成每一個(gè)中 間經(jīng)過(guò)的網(wǎng)關(guān)器在處理時(shí)間上的增加����。所以���,有必要尋求一種解決方案���,以避免巢狀I(lǐng)PSec信道的重復(fù)加密, 并兼顧安全與處理時(shí)間上的考量�����。發(fā)明內(nèi)容因此�����,本發(fā)明的目的是提供一種處理出站(Outbound)巢狀網(wǎng)際網(wǎng)絡(luò)安 全協(xié)議信道的方法����,適用于處理多個(gè)經(jīng)網(wǎng)絡(luò)裝置流入該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議 信道的出站封包��,每一個(gè)出站封包具有標(biāo)頭(Header)及有效負(fù)載(Payload)�,該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道存在安全關(guān)聯(lián)�。于是,本發(fā)明處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方法包含下列步 驟�。(a)判斷每一個(gè)出站封包是否為網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包。(b)對(duì)該網(wǎng)際網(wǎng) 絡(luò)安全協(xié)議封包進(jìn)行選擇性加密���,以得到密文����。(c)產(chǎn)生新的網(wǎng)際網(wǎng)絡(luò)安全 協(xié)議封包�����,該新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包之有效負(fù)載具有該密文�,且其標(biāo)頭具有用于指出是否經(jīng)過(guò)該選擇性加密的標(biāo)示元。本發(fā)明的另一個(gè)目的����,即在提供一種處理入站(Inbound)巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方法,適用于處理多個(gè)經(jīng)網(wǎng)絡(luò)裝置流出該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的入站封包�,每一個(gè)入站封包具有標(biāo)頭及有效負(fù)載,該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道存在安全關(guān)聯(lián)����。于是�,本發(fā)明處理入站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方法包含下列步驟����。(a)判斷每一個(gè)入站封包是否已經(jīng)過(guò)選擇性加密�����。(b)對(duì)已經(jīng)過(guò)該選擇性加密的入站封包進(jìn)行選擇性解密�����,以得到一明文����。本發(fā)明之再一目的,即在提供一種處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的 網(wǎng)絡(luò)裝置�,用以處理經(jīng)該網(wǎng)絡(luò)裝置流入的多個(gè)出站封包及流出的多個(gè)入站封包,每一個(gè)出站封包及入站封包各具有標(biāo)頭及有效負(fù)載��。于是�����,本發(fā)明處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道網(wǎng)絡(luò)裝置包含網(wǎng)絡(luò)接口 單元、安全關(guān)系數(shù)據(jù)庫(kù)���,及網(wǎng)際網(wǎng)絡(luò)安全協(xié)議處理單元�����。該網(wǎng)絡(luò)接口單元 用于接收該出站封包及入站封包�。該安全關(guān)系數(shù)據(jù)庫(kù)用于儲(chǔ)存包括加密算 法及解密算法的安全關(guān)聯(lián)�。該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議處理單元包括選擇性加密 模塊及選擇性解密模塊。當(dāng)處理每一個(gè)出站封包時(shí)�,該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議 處理單元用于先判斷該出站封包是否為網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包,如果是���, 則將該出站封包經(jīng)過(guò)該選擇性加密模塊得到密文����,繼而產(chǎn)生新的網(wǎng)際網(wǎng)絡(luò) 安全協(xié)議封包�,且其有效負(fù)載及其標(biāo)頭分別具有該密文及用于指出是否經(jīng) 過(guò)該選擇性加密模塊處理的標(biāo)示元。當(dāng)處理每一個(gè)入站封包時(shí)����,該網(wǎng)際網(wǎng) 絡(luò)安全協(xié)議處理單元用于先判斷該入站封包是否已經(jīng)過(guò)選擇性加密模塊 處理,如果是,則將該入站封包經(jīng)過(guò)該選擇性解密模塊得到明文�����。本發(fā)明藉由該選擇性加密及選擇性解密��,可避免巢狀I(lǐng)PSec信道的重 復(fù)加密���,并兼顧安全與處理時(shí)間上的考量,的確能達(dá)到本發(fā)明的目的��。
圖1是說(shuō)明巢狀I(lǐng)PSec信道的范例的示意圖�����,�����;圖2是說(shuō)明現(xiàn)有技術(shù)的重復(fù)加密的封包的示意圖����;圖3是說(shuō)明本發(fā)明處理巢狀I(lǐng)PSec信道的網(wǎng)絡(luò)裝置的優(yōu)選實(shí)施例的系 統(tǒng)方塊圖;圖4是說(shuō)明本發(fā)明處理出站巢狀I(lǐng)PSec信道的方法的優(yōu)選實(shí)施例的流 程圖��;圖5是說(shuō)明本發(fā)明處理入站巢狀I(lǐng)PSec信道的方法的優(yōu)選實(shí)施例的流 程圖;及圖6是說(shuō)明經(jīng)本發(fā)明的選擇性加密的封包的示意圖�����。
具體實(shí)施方式
有關(guān)本發(fā)明的前述及其它技術(shù)內(nèi)容���、特點(diǎn)與功效���,在以下配合參考圖 式的一個(gè)優(yōu)選實(shí)施例的詳細(xì)說(shuō)明中,將可清楚的呈現(xiàn)��。參閱圖3�����,本發(fā)明處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議(以下簡(jiǎn)稱IPSec)信道的 網(wǎng)絡(luò)裝置3的優(yōu)選實(shí)施例���,用以處理經(jīng)該網(wǎng)絡(luò)裝置3流入的多個(gè)出站封包 及流出的多個(gè)入站封包���,每一個(gè)出站封包及入站封包各具有標(biāo)頭及有效負(fù) 載。該網(wǎng)絡(luò)裝置3包含網(wǎng)絡(luò)接口單元31�����、網(wǎng)際網(wǎng)絡(luò)密鑰交換(Intemet Key Exchange,以下簡(jiǎn)稱IKE)處理單元32、安全關(guān)系數(shù)據(jù)庫(kù)(Security Association Database)33��、 IPSec處理單元34�����、信道檢湖IJ(Tunnel Detection)單元35��、策 略(Policy)處理單元36���,及安全策略數(shù)據(jù)庫(kù)(Security Policy Database)37����。該 安全關(guān)系數(shù)據(jù)庫(kù)33���,用于儲(chǔ)存包括加密算法及解密算法的安全關(guān)聯(lián) (Security Association,以下簡(jiǎn)稱SA)。該IPSec處理單元34包括選擇性加 密模塊341及選擇性解密模塊342���。其中�����,該網(wǎng)絡(luò)裝置3可為網(wǎng)關(guān)器等類 似的裝置�����。參閱圖3��、圖4����,并配合圖l的范例。本發(fā)明處理出站巢狀I(lǐng)PSec信道 的方法�,適用于處理經(jīng)該網(wǎng)絡(luò)裝置3(例如,圖1的第一網(wǎng)關(guān)器14)流入該 IPSec信道(例如�����,圖1的第二IPSec信道16)的該出站封包����,該方法包括下 列步驟。在步驟41中�����,該網(wǎng)絡(luò)接口單元31用于接收該出站封包�����。 在步驟42中,該IKE處理單元32查詢?cè)摪踩P(guān)系數(shù)據(jù)庫(kù)33 ��,且該策 略處理單元36査詢?cè)摪踩呗詳?shù)據(jù)庫(kù)37�����,決定觸發(fā)該IKE處理單元32 的密鑰交換程序���,以設(shè)定通信雙方共享的該SA并繼續(xù)進(jìn)行IPSec的處理�。 在步驟43中�,該IPSec處理單元34藉由檢查每一個(gè)出站封包的標(biāo)頭 是否具有ESP標(biāo)頭,來(lái)判斷其是否為IPSec封包��。如果是��,則繼續(xù)步驟44 的處理�;否則���,進(jìn)行步驟48的處理���,由該IPSec處理單元34對(duì)該出站封 包進(jìn)行原本的IPSec處理。在步驟44中��,該信道檢測(cè)單元35根據(jù)預(yù)設(shè)的協(xié)議方式,判斷接收該 出站封包的對(duì)方網(wǎng)絡(luò)裝置(例如���,圖1的第二網(wǎng)關(guān)器15)是否支持選擇性解 密�����。如果是��,繼續(xù)步驟45的處理�;否則����,進(jìn)行步驟48的處理,由該IPSec 處理單元34對(duì)該多個(gè)出站封包進(jìn)行該原本的IPSec處理�����。其中該預(yù)設(shè)的協(xié) 議方式�����,可藉由發(fā)出詢問(wèn)信號(hào)給該對(duì)方網(wǎng)絡(luò)裝置�����,并等待支持選擇性解密 的確認(rèn)信號(hào)(ACK)。在步驟45中�,該IPSec處理單元34的選擇性加密模塊341對(duì)該出站 封包進(jìn)行選擇性加密,以得到密文�。該選擇性加密是依該SA的加密算法 進(jìn)行處理。如圖6所示�����,其中該選擇性加密模塊341可對(duì)內(nèi)層IPSec封包 的IP標(biāo)頭61及ESP標(biāo)頭62加密以產(chǎn)生該密文(S卩����,已加密資料71);或 對(duì)該內(nèi)層IPSec封包的IP標(biāo)頭61、 ESP標(biāo)頭62�,及ESP結(jié)尾(Trailer)的認(rèn) 證資料(Authentication)63加密以產(chǎn)生該密文(即,該已加密資料71加上 己加密資料72)���。在步驟46中��,產(chǎn)生新的IPSec封包(如圖6所示)�����,該新的IPSec封包 有效負(fù)載具有該密文,該新的IPSec封包的標(biāo)頭具有用于指出是否經(jīng)過(guò)該 選擇性加密的標(biāo)示元��。在本優(yōu)選實(shí)施例中,該標(biāo)示元具有兩位����, 一位用于 指出是否經(jīng)過(guò)該選擇性加密;另一位用于指出該選擇性加密的范圍為該 己加密資料71(如圖6所示)�����,或該己加密資料71加上已加密資料72(如圖 6所示)�����。在步驟47中�,該IPSec處理單元34進(jìn)行IPSec的認(rèn)證處理。 參閱圖3���、圖5�����,并配合圖1的范例�。本發(fā)明處理入站巢狀I(lǐng)PSec信道 的方法���,適用于處理經(jīng)該網(wǎng)絡(luò)裝置(如圖1的第二網(wǎng)關(guān)器15)流出該IPSec 信道(如圖1的第二IPSec信道16)的該多個(gè)入站封包�����,該方法包括下列步 驟����。在步驟51中,該網(wǎng)絡(luò)接口單元31用以接收該多個(gè)入站封包�����。 在步驟52中���,該IKE處理單元32査詢?cè)摪踩P(guān)系數(shù)據(jù)庫(kù)33 ��,且該策 略處理單元36査詢?cè)摪踩呗詳?shù)據(jù)庫(kù)37�����,以繼續(xù)進(jìn)行IPSec的處理���。在步驟53中,該IPSec處理單元34進(jìn)行IPSec的認(rèn)證處理�。 在步驟54中,該IPSec處理單元34藉由檢查每一個(gè)入站封包的標(biāo)頭 是否具有用于指出己經(jīng)過(guò)該選擇性加密的標(biāo)示元,以判斷是否已經(jīng)過(guò)該選 擇性加密���。如果是,則進(jìn)行步驟56的處理�;否則,進(jìn)行步驟55的處理�����。 在該步驟55中����,該IPSec處理單元34對(duì)該多個(gè)入站封包進(jìn)行原本的 IPSec處理。在該步驟56中����,該IPSec處理單元34的選擇性解密模塊342對(duì)該多 個(gè)入站封包進(jìn)行選擇性解密,以得到明文���。該選擇性解密是依該SA的解 密算法進(jìn)行處理�����。其中依據(jù)該標(biāo)示元��,可得知該明文的范圍為該已加密 資料71(如圖6所示)���,或該已加密資料71加上已加密資料72(如圖6所示)�����。綜上所述�����,如圖6所示�,本發(fā)明藉由該選擇性加密及選擇性解密�,該 內(nèi)層IPSec封包的加密資料73不會(huì)被重復(fù)加密,可解決巢狀I(lǐng)PSec信道的 問(wèn)題���;且����,其IP標(biāo)頭61及ESP標(biāo)頭62���,依然受到加密保護(hù)���,不太容易 出現(xiàn)安全考量上的問(wèn)題�;又�,該網(wǎng)絡(luò)裝置3是選擇性地對(duì)該多個(gè)出站/入站 封包進(jìn)行加密/解密,而皆非須先經(jīng)過(guò)解密再加密�,可節(jié)省處理時(shí)間。所以���, 的確可以達(dá)到本發(fā)明的目的。以上所說(shuō)明的僅是本發(fā)明的優(yōu)選實(shí)施例��,而不能以此限定本發(fā)明實(shí)施 的范圍���,本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求所限定的精神和范圍的情 況下對(duì)本發(fā)明內(nèi)容所作的簡(jiǎn)單的等效變化與修飾��,皆屬于本發(fā)明涵蓋的范 圍�����。
權(quán)利要求
1.一種處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方法�����,適用于處理多個(gè)經(jīng)網(wǎng)絡(luò)裝置流入該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的出站封包��,每一個(gè)出站封包具有標(biāo)頭及有效負(fù)載��,該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道存在安全關(guān)聯(lián)��,該方法包含下列步驟(a)判斷每一個(gè)出站封包是否為網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包��;(b)對(duì)該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包進(jìn)行選擇性加密�����,以得到密文���;及(c)產(chǎn)生新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包����,該新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的有效負(fù)載具有該密文��,且其標(biāo)頭具有用于指出是否經(jīng)過(guò)該選擇性加密的標(biāo)示元��。
2. 根據(jù)權(quán)利要求1所述的處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法����,其中該步驟(a)是藉由檢查該出站封包的標(biāo)頭是否具有包封安全有效負(fù) 載標(biāo)頭,以判斷是否為該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包�。
3. 根據(jù)權(quán)利要求1所述的處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法,該步驟(a)與(b)之間還包含步驟(d):(d)根據(jù)預(yù)設(shè)的協(xié)議方式����,判斷接收該新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的對(duì) 方網(wǎng)絡(luò)裝置是否支持選擇性解密�,如果是����,則繼續(xù)進(jìn)行該步驟(b)與(c)的處 理。
4. 根據(jù)權(quán)利要求1所述的處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法�����,其中該步驟(b)的選擇性加密是對(duì)該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的網(wǎng)際網(wǎng)絡(luò) 協(xié)議標(biāo)頭及包封安全有效負(fù)載標(biāo)頭加密以產(chǎn)生該密文�����。
5. 根據(jù)權(quán)利要求1所述的處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道方法��, 其中該步驟(b)的選擇性加密是對(duì)該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的網(wǎng)際網(wǎng)絡(luò)協(xié) 議標(biāo)頭����、包封安全有效負(fù)載標(biāo)頭����,及包封安全有效負(fù)載結(jié)尾的認(rèn)證資料加 密以產(chǎn)生該密文。
6. 根據(jù)權(quán)利要求1所述的處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道方法��, 其中該步驟(b)的選擇性加密是依該安全關(guān)聯(lián)的加密算法以產(chǎn)生該密文。
7. 根據(jù)權(quán)利要求1所述的處理出站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道方法����,其中該步驟(C)的該新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的標(biāo)頭的標(biāo)示元,還進(jìn)一步 指出該選擇性加密的范圍���。
8. —種處理入站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方法���,適用于處理多個(gè) 經(jīng)網(wǎng)絡(luò)裝置流出該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的入站封包,每一個(gè)入站封包具 有標(biāo)頭及有效負(fù)載����,該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道存在安全關(guān)聯(lián),該方法包含 下列步驟(a) 判斷每一個(gè)入站封包是否已經(jīng)過(guò)選擇性加密�����;及(b) 對(duì)已經(jīng)過(guò)該選擇性加密的入站封包進(jìn)行選擇性解密�,以得到明文。
9. 根據(jù)權(quán)利要求8所述的處理入站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法�,其中該步驟(a)是藉由檢查該入站封包的標(biāo)頭是否具有用以指出已經(jīng)過(guò) 該選擇性加密的標(biāo)示元。
10. 根據(jù)權(quán)利要求9所述的處理入站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法�,其中該標(biāo)示元還進(jìn)一步指出該選擇性加密的范圍。
11. 根據(jù)權(quán)利要求8所述的處理入站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法��,其中該步驟(b)的選擇性解密所解出的明文包括網(wǎng)際網(wǎng)絡(luò)協(xié)議標(biāo)頭及包封安全有效負(fù)載標(biāo)頭。
12. 根據(jù)權(quán)利要求8所述的處理入站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法��,其中該步驟(b)的選擇性解密所解出的明文包括網(wǎng)際網(wǎng)絡(luò)協(xié)議標(biāo)頭���、包 封安全有效負(fù)載標(biāo)頭��,及包封安全有效負(fù)載結(jié)尾的認(rèn)證資料����。
13. 根據(jù)權(quán)利要求8所述的處理入站巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方 法�,其中該步驟(b)的選擇性解密是依該安全關(guān)聯(lián)的解密算法以解出該明 文。
14. 一種處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝置�����,用以處理經(jīng)該 網(wǎng)絡(luò)裝置流入的多個(gè)出站封包及流出的多個(gè)入站封包�,每一個(gè)出站封包及 入站封包各具有標(biāo)頭及有效負(fù)載���,該網(wǎng)絡(luò)裝置包含網(wǎng)絡(luò)接口單元�,用于接收該多個(gè)出站封包及入站封包����; 安全關(guān)系數(shù)據(jù)庫(kù)�����,用于儲(chǔ)存包括加密算法及解密算法的安全關(guān)聯(lián)��;及 網(wǎng)際網(wǎng)絡(luò)安全協(xié)議處理單元,包括選擇性加密模塊及選擇性解密模 塊���,當(dāng)處理每一個(gè)出站封包時(shí)�,用以先判斷該出站封包是否為網(wǎng)際網(wǎng)絡(luò)安 全協(xié)議封包�����,如果是�����,則將該出站封包經(jīng)過(guò)該選擇性加密模塊得到密文���,繼而產(chǎn)生新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包���,且其有效負(fù)載及其標(biāo)頭分別具有該 密文及用于指出是否經(jīng)過(guò)該選擇性加密模塊處理的標(biāo)示元,當(dāng)處理每一個(gè) 入站封包時(shí)���,用以先判斷該入站封包是否已經(jīng)過(guò)選擇性加密模塊處理��,如 果是����,則將該入站封包經(jīng)過(guò)該選擇性解密模塊得到明文。
15. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置�����,該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議處理單元是藉由檢查該出站封包的標(biāo)頭是否具有 包封安全有效負(fù)載標(biāo)頭�����,以判斷是否為網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包���。
16. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝置�,還包含信道檢測(cè)單元��,用以根據(jù)預(yù)設(shè)的協(xié)議方式確認(rèn)接收該新的網(wǎng)際 網(wǎng)絡(luò)安全協(xié)議封包的對(duì)方網(wǎng)絡(luò)裝置是否包括該選擇性解密模塊�,如果是�, 則進(jìn)行該選擇性加密模塊的處理。
17. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置�����,其中該選擇性加密模塊是對(duì)該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的網(wǎng)際網(wǎng)絡(luò)協(xié)議 標(biāo)頭及包封安全有效負(fù)載標(biāo)頭加密,以產(chǎn)生該密文���。
18. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置��,其中該選擇性加密模塊是對(duì)該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的網(wǎng)際網(wǎng)絡(luò)協(xié)議 標(biāo)頭�、包封安全有效負(fù)載標(biāo)頭����,及包封安全有效負(fù)載結(jié)尾的認(rèn)證資料加密, 以產(chǎn)生該密文����。
19. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置,其中該選擇性加密模塊是依該安全關(guān)聯(lián)的加密算法以產(chǎn)生該密文��。
20. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置�����,其中該新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包之標(biāo)頭的標(biāo)示元��,更進(jìn)一步指出該 選擇性加密模塊處理之范圍。
21. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置����,該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議處理單元是藉由檢查該入站封包的標(biāo)頭是否具有 用以指出已經(jīng)過(guò)該選擇性加密模塊處理的標(biāo)示元。
22. 根據(jù)權(quán)利要求21所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置����,其中該入站封包的標(biāo)頭的標(biāo)示元進(jìn)一步指出已經(jīng)過(guò)該選擇性加密模塊 處理的范圍。
23. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)繪安全協(xié)議信道網(wǎng)絡(luò)裝 置�,還包含信道檢測(cè)單元,用以根據(jù)預(yù)設(shè)的協(xié)議方式來(lái)通知對(duì)方網(wǎng)絡(luò)裝置���, 該網(wǎng)絡(luò)裝置是否包括該選擇性解密模塊�����。
24. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道網(wǎng)絡(luò)裝 置���,其中該選擇性解密模塊所解出的明文包括網(wǎng)際網(wǎng)絡(luò)協(xié)議標(biāo)頭及包封安 全有效負(fù)載標(biāo)頭。
25. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置�,其中該選擇性解密模塊所解出的明文包括網(wǎng)際網(wǎng)絡(luò)協(xié)議標(biāo)頭、包封安 全有效負(fù)載標(biāo)頭��,及包封安全有效負(fù)載結(jié)尾的認(rèn)證資料加密�����。
26. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置�,其中該選擇性解密模塊是依該安全關(guān)聯(lián)的解密算法以解出該明文。
27. 根據(jù)權(quán)利要求14所述的處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的網(wǎng)絡(luò)裝 置�����,還包含網(wǎng)際網(wǎng)絡(luò)密鑰交換處理單元�����,用于設(shè)定通信雙方的該多個(gè)網(wǎng)絡(luò) 裝置共享的該安全關(guān)聯(lián)�����。
全文摘要
一種處理巢狀網(wǎng)際網(wǎng)絡(luò)安全協(xié)議信道的方法及網(wǎng)絡(luò)裝置�,用以處理經(jīng)該網(wǎng)絡(luò)裝置流入的多個(gè)出站封包及流出的多個(gè)入站封包。該網(wǎng)絡(luò)裝置包含網(wǎng)絡(luò)接口單元�����、安全關(guān)系數(shù)據(jù)庫(kù)���,及包括選擇性加密模塊與選擇性解密模塊的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議處理單元��。該網(wǎng)際網(wǎng)絡(luò)安全協(xié)議處理單元用于將判斷為網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包的出站封包����,經(jīng)過(guò)該選擇性加密模塊并產(chǎn)生新的網(wǎng)際網(wǎng)絡(luò)安全協(xié)議封包,及將判斷為已經(jīng)過(guò)選擇性加密模塊處理的入站封包經(jīng)過(guò)該選擇性解密模塊得到明文�����。
文檔編號(hào)H04L29/06GK101155183SQ20061014146
公開日2008年4月2日 申請(qǐng)日期2006年9月29日 優(yōu)先權(quán)日2006年9月29日
發(fā)明者陳柏飛 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社