CN101155183B - 处理巢状网际网络安全协议信道的方法及网络装置 - Google Patents
处理巢状网际网络安全协议信道的方法及网络装置 Download PDFInfo
- Publication number
- CN101155183B CN101155183B CN200610141464XA CN200610141464A CN101155183B CN 101155183 B CN101155183 B CN 101155183B CN 200610141464X A CN200610141464X A CN 200610141464XA CN 200610141464 A CN200610141464 A CN 200610141464A CN 101155183 B CN101155183 B CN 101155183B
- Authority
- CN
- China
- Prior art keywords
- package
- security protocol
- internet security
- header
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 5
- 238000007789 sealing Methods 0.000 claims 3
- 230000004224 protection Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种处理巢状网际网络安全协议信道的方法及网络装置,用以处理经该网络装置流入的多个出站封包及流出的多个入站封包。该网络装置包含网络接口单元、安全关系数据库,及包括选择性加密模块与选择性解密模块的网际网络安全协议处理单元。该网际网络安全协议处理单元用于将判断为网际网络安全协议封包的出站封包,经过该选择性加密模块并产生新的网际网络安全协议封包,及将判断为已经过选择性加密模块处理的入站封包经过该选择性解密模块得到明文。
Description
技术领域
本发明涉及一种处理网际网络安全协议(Internet ProtocolSecurity,以下简称IPSec)信道(Tunnel)的方法及网络装置,特别是指一种处理巢状(Nested)IPSec信道的方法及网络装置。本发明是有关一种处理网际网络安全协议(Internet Protocol Security,以下简称IPSec)信道(Tunnel)的方法及网络装置,特别是指一种处理巢状(Nested)IPSec信道的方法及网络装置。
背景技术
在网际网络通信上,IPSec已经被广泛地用于提供对等式网络(Peer toPeer)间的网际网络协议(Internet Protocol,以下简称IP)层的安全服务。藉由在两个网络装置之间建立IPSec信道并对在其间传送的封包进行加密,可以保护该网络装置之间的网络传输。但是,在该网络装置间,可能有其它的网络装置,如网关器等,会在该原本的IPSec信道上建立另一IPSec信道,而造成巢状IPSec信道。
参阅图1,描述了巢状IPSec信道的范例:在第一主机11与第二主机12之间存在已建立的第一IPSec信道13,且在该第一IPSec信道13上,存在另一个在第一网关器14与第二二网关器15之间的已建立的第二IPSec信道16。
在该第一主机11与第二主机12之间传递的多个封包会经由该第一网关器14与第二网关器15,并同时由该第一IPSec信道13及第二IPSec信道16加密保护。如图2所示,即为同时由该第一IPSec信道13及第二IPSec信道16加密保护的封包。其中已加密数据21由该第一IPSec信道13加密保护,已加密数据22由该第二IPSec信道16加密保护。该已加密资料21被重复加密,会造成接收该封包的对方网络装置解密上的额外负担。
一种已知的改进方法如2005年8月的网际网络工程任务编组草案(IETF Draft)“Terminology for Benchmarking IPSec Devices”中所描述,可利用限制巢状的程度来解决巢状IPSec信道的问题。以图1所示的范例来说明,当该第一网关器14收到来自第一主机11的封包,并发现是IPSec封包时,则不再对该IPSec封包加密。此种限制巢状的程度的方法,确实可避免巢状IPSec信道的重复加密产生,并降低解密上的额外负担;但是,图2的IP标头23及包封安全有效负载(Encapsulating Security Payload,以下简称ESP)标头24并未加密保护,容易有安全考量上的问题。
另一个已知的改进方法如2000年11月的第三代行动电话合作项目技术规格群组服务及系统观点第三工作组安全(3GPP TSG SA WG3 Security,Nov.,2000)的一篇报告“Simplifying Assumption for The Use of IPSec inUMTS”中所描述,可利用链接信道(Chained-tunnel),来解决巢状IPSec信道的问题。以图1的范例来说明,首先,该第一网关器14对由第一主机11加密的封包进行解密,再由该第一网关器14对该封包进行加密。接着,该第二网关器15对由第一网关器14加密的封包进行解密,再由该第二网关器15对该封包进行加密。此种链接信道的方法,亦可避免巢状IPSec信道的重复加密产生;但是,每一个中间经过的网关器(如第一网关器14及第二网关器15),都必须先对该封包进行解密后再加密,造成每一个中间经过的网关器在处理时间上的增加。
所以,有必要寻求一种解决方案,以避免巢状IPSec信道的重复加密,并兼顾安全与处理时间上的考量。
发明内容
因此,本发明的目的是提供一种处理出站(Outbound)巢状网际网络安全协议信道的方法,适用于处理多个经网络装置流入该网际网络安全协议信道的出站封包,每一个出站封包具有标头(Header)及有效负载(Payload),该网际网络安全协议信道存在安全关联。
于是,本发明处理出站巢状网际网络安全协议信道的方法包含下列步骤。(a)判断每一个出站封包是否为网际网络安全协议封包。(b)对该网际网络安全协议封包进行选择性加密,以得到密文。(c)产生新的网际网络安全协议封包,该新的网际网络安全协议封包之有效负载具有该密文,且其标头具有用于指出是否经过该选择性加密的标示元。
本发明的另一个目的,即在提供一种处理入站(Inbound)巢状网际网络安全协议信道的方法,适用于处理多个经网络装置流出该网际网络安全协议信道的入站封包,每一个入站封包具有标头及有效负载,该网际网络安全协议信道存在安全关联。
于是,本发明处理入站巢状网际网络安全协议信道的方法包含下列步骤。(a)判断每一个入站封包是否已经过选择性加密。(b)对已经过该选择性加密的入站封包进行选择性解密,以得到一明文。
本发明之再一目的,即在提供一种处理巢状网际网络安全协议信道的网络装置,用以处理经该网络装置流入的多个出站封包及流出的多个入站封包,每一个出站封包及入站封包各具有标头及有效负载。
于是,本发明处理巢状网际网络安全协议信道网络装置包含网络接口单元、安全关系数据库,及网际网络安全协议处理单元。该网络接口单元用于接收该出站封包及入站封包。该安全关系数据库用于储存包括加密算法及解密算法的安全关联。该网际网络安全协议处理单元包括选择性加密模块及选择性解密模块。当处理每一个出站封包时,该网际网络安全协议处理单元用于先判断该出站封包是否为网际网络安全协议封包,如果是,则将该出站封包经过该选择性加密模块得到密文,继而产生新的网际网络安全协议封包,且其有效负载及其标头分别具有该密文及用于指出是否经过该选择性加密模块处理的标示元。当处理每一个入站封包时,该网际网络安全协议处理单元用于先判断该入站封包是否已经过选择性加密模块处理,如果是,则将该入站封包经过该选择性解密模块得到明文。
本发明藉由该选择性加密及选择性解密,可避免巢状IPSec信道的重复加密,并兼顾安全与处理时间上的考量,的确能达到本发明的目的。
附图说明
图1是说明巢状IPSec信道的范例的示意图,;
图2是说明现有技术的重复加密的封包的示意图;
图3是说明本发明处理巢状IPSec信道的网络装置的优选实施例的系统方块图;
图4是说明本发明处理出站巢状IPSec信道的方法的优选实施例的流程图;
图5是说明本发明处理入站巢状IPSec信道的方法的优选实施例的流程图;及
图6是说明经本发明的选择性加密的封包的示意图。
具体实施方式
有关本发明的前述及其它技术内容、特点与功效,在以下配合参考图式的一个优选实施例的详细说明中,将可清楚的呈现。
参阅图3,本发明处理巢状网际网络安全协议(以下简称IPSec)信道的网络装置3的优选实施例,用以处理经该网络装置3流入的多个出站封包及流出的多个入站封包,每一个出站封包及入站封包各具有标头及有效负载。该网络装置3包含网络接口单元31、网际网络密钥交换(Internet KeyExchange,以下简称IKE)处理单元32、安全关系数据库(Security AssociationDatabase)33、IPSec处理单元34、信道检测(Tunnel Detection)单元35、策略(Policy)处理单元36,及安全策略数据库(Security Policy Database)37。该安全关系数据库33,用于储存包括加密算法及解密算法的安全关联(Security Association,以下简称SA)。该IPSec处理单元34包括选择性加密模块341及选择性解密模块342。其中,该网络装置3可为网关器等类似的装置。
参阅图3、图4,并配合图1的范例。本发明处理出站巢状IPSec信道的方法,适用于处理经该网络装置3(例如,图1的第一网关器14)流入该IPSec信道(例如,图1的第二IPSec信道16)的该出站封包,该方法包括下列步骤。
在步骤41中,该网络接口单元31用于接收该出站封包。
在步骤42中,该IKE处理单元32查询该安全关系数据库33,且该策略处理单元36查询该安全策略数据库37,决定触发该IKE处理单元32的密钥交换程序,以设定通信双方共享的该SA并继续进行IPSec的处理。
在步骤43中,该IPSec处理单元34藉由检查每一个出站封包的标头是否具有ESP标头,来判断其是否为IPSec封包。如果是,则继续步骤44的处理;否则,进行步骤48的处理,由该IPSec处理单元34对该出站封包进行原本的IPSec处理。
在步骤44中,该信道检测单元35根据预设的协议方式,判断接收该出站封包的对方网络装置(例如,图1的第二网关器15)是否支持选择性解密。如果是,继续步骤45的处理;否则,进行步骤48的处理,由该IPSec处理单元34对该多个出站封包进行该原本的IPSec处理。其中该预设的协议方式,可藉由发出询问信号给该对方网络装置,并等待支持选择性解密的确认信号(ACK)。
在步骤45中,该IPSec处理单元34的选择性加密模块341对该出站封包进行选择性加密,以得到密文。该选择性加密是依该SA的加密算法进行处理。如图6所示,其中该选择性加密模块341可对内层IPSec封包的IP标头61及ESP标头62加密以产生该密文(即,已加密资料71);或对该内层IPSec封包的IP标头61、ESP标头62,及ESP结尾(Trailer)的认证资料(Authentication)63加密以产生该密文(即,该已加密资料71加上已加密资料72)。
在步骤46中,产生新的IPSec封包(如图6所示),该新的IPSec封包有效负载具有该密文,该新的IPSec封包的标头具有用于指出是否经过该选择性加密的标示元。在本优选实施例中,该标示元具有两位,一位用于指出是否经过该选择性加密;另一位用于指出该选择性加密的范围为:该已加密资料71(如图6所示),或该已加密资料71加上已加密资料72(如图6所示)。
在步骤47中,该IPSec处理单元34进行IPSec的认证处理。
参阅图3、图5,并配合图1的范例。本发明处理入站巢状IPSec信道的方法,适用于处理经该网络装置(如图1的第二网关器15)流出该IPSec信道(如图1的第二IPSec信道16)的该多个入站封包,该方法包括下列步骤。
在步骤51中,该网络接口单元31用以接收该多个入站封包。
在步骤52中,该IKE处理单元32查询该安全关系数据库33,且该策略处理单元36查询该安全策略数据库37,以继续进行IPSec的处理。
在步骤53中,该IPSec处理单元34进行IPSec的认证处理。
在步骤54中,该IPSec处理单元34藉由检查每一个入站封包的标头是否具有用于指出已经过该选择性加密的标示元,以判断是否已经过该选择性加密。如果是,则进行步骤56的处理;否则,进行步骤55的处理。
在该步骤55中,该IPSec处理单元34对该多个入站封包进行原本的IPSec处理。
在该步骤56中,该IPSec处理单元34的选择性解密模块342对该多个入站封包进行选择性解密,以得到明文。该选择性解密是依该SA的解密算法进行处理。其中依据该标示元,可得知该明文的范围为:该已加密资料71(如图6所示),或该已加密资料71加上已加密资料72(如图6所示)。
综上所述,如图6所示,本发明藉由该选择性加密及选择性解密,该内层IPSec封包的加密资料73不会被重复加密,可解决巢状IPSec信道的问题;且,其IP标头61及ESP标头62,依然受到加密保护,不太容易出现安全考量上的问题;又,该网络装置3是选择性地对该多个出站/入站封包进行加密/解密,而皆非须先经过解密再加密,可节省处理时间。所以,的确可以达到本发明的目的。
以上所说明的仅是本发明的优选实施例,而不能以此限定本发明实施的范围,本领域技术人员在不脱离所附权利要求所限定的精神和范围的情况下对本发明内容所作的简单的等效变化与修饰,皆属于本发明涵盖的范围。
Claims (21)
1.一种处理出站巢状网际网络安全协议信道的方法,适用于处理多个经网络装置流入该网际网络安全协议信道的出站封包,每一个出站封包具有标头及有效负载,该网际网络安全协议信道存在安全关联,该方法包含下列步骤:
(a)判断每一个出站封包是否为网际网络安全协议封包;
(b)对该网际网络安全协议封包进行选择性加密,以得到密文;及
(c)产生新的网际网络安全协议封包,该新的网际网络安全协议封包的有效负载具有该密文,且其标头具有用于指出是否经过该选择性加密的标示元,
其中该步骤(b)的选择性加密是对该网际网络安全协议封包的网际网络协议标头、包封安全有效负载标头,及包封安全有效负载结尾的认证资料加密以产生该密文,或者
该步骤(b)的选择性加密是对该网际网络安全协议封包的网际网络协议标头、包封安全有效负载标头,及包封安全有效负载结尾的认证资料加密以产生该密文。
2.根据权利要求1所述的处理出站巢状网际网络安全协议信道的方法,其中该步骤(a)是藉由检查该出站封包的标头是否具有包封安全有效负载标头,以判断每一个出站封包是否为网际网络安全协议封包。
3.根据权利要求1所述的处理出站巢状网际网络安全协议信道的方法,该步骤(a)与(b)之间还包含步骤(d):
(d)根据预设的协议方式,判断接收该新的网际网络安全协议封包的对方网络装置是否支持选择性解密,如果是,则继续进行该步骤(b)与(c)的处理。
4.根据权利要求1所述的处理出站巢状网际网络安全协议信道方法,其中该步骤(b)的选择性加密是依该安全关联的加密算法以产生该密文。
5.根据权利要求1所述的处理出站巢状网际网络安全协议信道方法,其中该步骤(c)的该新的网际网络安全协议封包的标头的标示元,还进一步指出该选择性加密的范围。
6.一种处理入站巢状网际网络安全协议信道的方法,适用于处理多个经网络装置流出该网际网络安全协议信道的入站封包,每一个入站封包具有标头及有效负载,该网际网络安全协议信道存在安全关联,该方法包含下列步骤:
(a)判断每一个入站封包是否已经过选择性加密;及
(b)对已经过该选择性加密的入站封包进行选择性解密,以得到明文,
其中该步骤(b)的选择性解密所解出的明文包括网际网络协议标头及包封安全有效负载标头,或者
该步骤(b)的选择性解密所解出的明文包括网际网络协议标头、包封安全有效负载标头,及包封安全有效负载结尾的认证资料。
7.根据权利要求6所述的处理入站巢状网际网络安全协议信道的方法,其中该步骤(a)是藉由检查该入站封包的标头是否具有用以指出已经过该选择性加密的标示元,以判断每一个入站封包是否已经过选择性加密。
8.根据权利要求7所述的处理入站巢状网际网络安全协议信道的方法,其中该标示元还进一步指出该选择性加密的范围。
9.根据权利要求6所述的处理入站巢状网际网络安全协议信道的方法,其中该步骤(b)的选择性解密是依该安全关联的解密算法以解出该明文。
10.一种处理巢状网际网络安全协议信道的网络装置,用以处理经该网络装置流入的多个出站封包及流出的多个入站封包,每一个出站封包及入站封包各具有标头及有效负载,该网络装置包含:
网络接口单元,用于接收该多个出站封包及入站封包;
安全关系数据库,用于储存包括加密算法及解密算法的安全关联;及
网际网络安全协议处理单元,包括选择性加密模块及选择性解密模块,当处理每一个出站封包时,用以先判断该出站封包是否为网际网络安全协议封包,如果是,则将该出站封包经过该选择性加密模块得到密文,继而产生新的网际网络安全协议封包,且其有效负载及其标头分别具有该密文及用于指出是否经过该选择性加密模块处理的标示元,当处理每一个入站封包时,用以先判断该入站封包是否已经过选择性加密模块处理,如果是,则将该入站封包经过该选择性解密模块得到明文,
其中该选择性加密模块是对该网际网络安全协议封包的网际网络协议标头及包封安全有效负载标头加密,以产生该密文,或者
该选择性加密模块是对该网际网络安全协议封包的网际网络协议标头、包封安全有效负载标头,及包封安全有效负载结尾的认证资料加密,以产生该密文。
11.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,该网际网络安全协议处理单元是藉由检查该出站封包的标头是否具有包封安全有效负载标头,以判断是否为网际网络安全协议封包。
12.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,还包含信道检测单元,用以根据预设的协议方式确认接收该新的网际网络安全协议封包的对方网络装置是否包括该选择性解密模块,如果是,则进行该选择性加密模块的处理。
13.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,其中该选择性加密模块是依该安全关联的加密算法以产生该密文。
14.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,其中该新的网际网络安全协议封包之标头的标示元,更进一步指出该选择性加密模块处理之范围。
15.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,该网际网络安全协议处理单元是藉由检查该入站封包的标头是否具有用以指出已经过该选择性加密模块处理的标示元,以判断该入站封包是否已经过选择性加密模块的处理。
16.根据权利要求15所述的处理巢状网际网络安全协议信道的网络装置,其中该入站封包的标头的标示元进一步指出已经过该选择性加密模块处理的范围。
17.根据权利要求10所述的处理巢状网际网络安全协议信道网络装置,还包含信道检测单元,用以根据预设的协议方式来通知接收该新的网际网络安全协议封包的对方网络装置,该网络装置是否包括该选择性解密模块。
18.根据权利要求10所述的处理巢状网际网络安全协议信道网络装置,其中该选择性解密模块所解出的明文包括网际网络协议标头及包封安全有效负载标头。
19.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,其中该选择性解密模块所解出的明文包括网际网络协议标头、包封安全有效负载标头,及包封安全有效负载结尾的认证资料。
20.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,其中该选择性解密模块是依该安全关联的解密算法以解出该明文。
21.根据权利要求10所述的处理巢状网际网络安全协议信道的网络装置,还包含网际网络密钥交换处理单元,用于设定通信双方的多个这种网络装置共享的安全关联。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610141464XA CN101155183B (zh) | 2006-09-29 | 2006-09-29 | 处理巢状网际网络安全协议信道的方法及网络装置 |
| JP2009505661A JP2010505284A (ja) | 2006-09-29 | 2007-09-27 | 入れ子状のインターネットプロトコルセキュリティトンネルを処理するための方法およびネットワーク装置 |
| US12/376,879 US20100191958A1 (en) | 2006-09-29 | 2007-09-27 | Method and network device for processing nested internet protocol security tunnels |
| PCT/JP2007/069400 WO2008044581A1 (en) | 2006-09-29 | 2007-09-27 | Method and network device for processing nested internet protocol security tunnels |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610141464XA CN101155183B (zh) | 2006-09-29 | 2006-09-29 | 处理巢状网际网络安全协议信道的方法及网络装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101155183A CN101155183A (zh) | 2008-04-02 |
| CN101155183B true CN101155183B (zh) | 2012-02-08 |
Family
ID=38895606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610141464XA Expired - Fee Related CN101155183B (zh) | 2006-09-29 | 2006-09-29 | 处理巢状网际网络安全协议信道的方法及网络装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100191958A1 (zh) |
| JP (1) | JP2010505284A (zh) |
| CN (1) | CN101155183B (zh) |
| WO (1) | WO2008044581A1 (zh) |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2922200A1 (en) | 2004-10-25 | 2006-05-04 | Security First Corp. | Secure data parser method and system |
| CN105978683A (zh) | 2005-11-18 | 2016-09-28 | 安全第公司 | 安全数据解析方法和系统 |
| CA2781872A1 (en) * | 2009-11-25 | 2011-06-09 | Security First Corp. | Systems and methods for securing data in motion |
| CA2800809A1 (en) | 2010-05-28 | 2011-12-01 | Lawrence A. Laurich | Accelerator system for use with secure data storage |
| US8397288B2 (en) | 2010-08-25 | 2013-03-12 | Itron, Inc. | System and method for operation of open connections for secure network communications |
| GB201015324D0 (en) * | 2010-09-14 | 2010-10-27 | Vodafone Ip Licensing Ltd | Secure association |
| GB2485139A (en) | 2010-10-22 | 2012-05-09 | Vodafone Ip Licensing Ltd | Analysing and securing mobile based transactions |
| CN102075427A (zh) * | 2011-01-18 | 2011-05-25 | 中兴通讯股份有限公司 | 基于安全联盟的IPSec报文处理方法及装置 |
| US9356844B2 (en) * | 2012-05-03 | 2016-05-31 | Intel Corporation | Efficient application recognition in network traffic |
| US9268881B2 (en) | 2012-10-19 | 2016-02-23 | Intel Corporation | Child state pre-fetch in NFAs |
| US9117170B2 (en) | 2012-11-19 | 2015-08-25 | Intel Corporation | Complex NFA state matching method that matches input symbols against character classes (CCLs), and compares sequence CCLs in parallel |
| US9665664B2 (en) | 2012-11-26 | 2017-05-30 | Intel Corporation | DFA-NFA hybrid |
| US9304768B2 (en) | 2012-12-18 | 2016-04-05 | Intel Corporation | Cache prefetch for deterministic finite automaton instructions |
| US9268570B2 (en) | 2013-01-23 | 2016-02-23 | Intel Corporation | DFA compression and execution |
| US9288215B2 (en) | 2013-03-08 | 2016-03-15 | Itron, Inc. | Utilizing routing for secure transactions |
| CN103220273B (zh) * | 2013-03-19 | 2016-01-06 | 汉柏科技有限公司 | 一种cpu快速转发报文的方法及系统 |
| WO2015084878A1 (en) * | 2013-12-02 | 2015-06-11 | Akamai Technologies, Inc. | Virtual private network (vpn)-as-a-service with delivery optimizations while maintaining end-to-end data security |
| CN103929428B (zh) * | 2014-04-24 | 2017-10-10 | 吴刚 | 一种实现车载电子信息系统通信安全的方法 |
| CN107342979A (zh) * | 2017-06-02 | 2017-11-10 | 华为技术有限公司 | 处理封包的方法和终端设备 |
| CN107864129B (zh) * | 2017-10-31 | 2021-04-16 | 北信源系统集成有限公司 | 一种保证网络数据安全的方法和装置 |
| CN107819775A (zh) * | 2017-11-16 | 2018-03-20 | 深圳市风云实业有限公司 | 网关设备及数据传输方法 |
| US11095617B2 (en) | 2017-12-04 | 2021-08-17 | Nicira, Inc. | Scaling gateway to gateway traffic using flow hash |
| US11075888B2 (en) * | 2017-12-04 | 2021-07-27 | Nicira, Inc. | Scaling gateway to gateway traffic using flow hash |
| US11102186B2 (en) * | 2018-04-26 | 2021-08-24 | Vmware, Inc. | Packet capture in software-defined networking (SDN) environments |
| US11347561B1 (en) | 2018-04-30 | 2022-05-31 | Vmware, Inc. | Core to resource mapping and resource to core mapping |
| US10979542B2 (en) | 2018-08-28 | 2021-04-13 | Vmware, Inc. | Flow cache support for crypto operations and offload |
| CN111917690A (zh) * | 2019-05-09 | 2020-11-10 | 库柏资讯软件股份有限公司 | 可跨网传送的网络封包侧录装置及其数据处理方法 |
| US11277343B2 (en) | 2019-07-17 | 2022-03-15 | Vmware, Inc. | Using VTI teaming to achieve load balance and redundancy |
| US11509638B2 (en) | 2019-12-16 | 2022-11-22 | Vmware, Inc. | Receive-side processing for encapsulated encrypted packets |
| US12107834B2 (en) | 2021-06-07 | 2024-10-01 | VMware LLC | Multi-uplink path quality aware IPsec |
| US12113773B2 (en) | 2021-06-07 | 2024-10-08 | VMware LLC | Dynamic path selection of VPN endpoint |
| WO2022256866A1 (en) * | 2021-06-09 | 2022-12-15 | Internet 2.0 Pty Limited | Systems, methods and devices for secure communication |
| US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
| US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1332552A (zh) * | 2000-03-03 | 2002-01-23 | 尼克斯兰德公司 | 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6970941B1 (en) * | 1999-12-10 | 2005-11-29 | Sun Microsystems, Inc. | System and method for separating addresses from the delivery scheme in a virtual private network |
| US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
| US7587587B2 (en) * | 2002-12-05 | 2009-09-08 | Broadcom Corporation | Data path security processing |
| US7958255B1 (en) * | 2003-11-04 | 2011-06-07 | Advanced Micro Devices, Inc. | Partial coalescing of transmit buffers |
| EP1689201A1 (en) * | 2003-11-20 | 2006-08-09 | NEC Corporation | Mobile communication system using private network, relay node, and radio base control station |
| JP2006050267A (ja) * | 2004-08-04 | 2006-02-16 | Matsushita Electric Ind Co Ltd | IPsec通信方法及び通信制御装置並びにネットワークカメラ |
| WO2006079139A1 (en) * | 2004-10-12 | 2006-08-03 | Canon Kabushiki Kaisha | Concurrent ipsec processing system and method |
-
2006
- 2006-09-29 CN CN200610141464XA patent/CN101155183B/zh not_active Expired - Fee Related
-
2007
- 2007-09-27 WO PCT/JP2007/069400 patent/WO2008044581A1/en active Application Filing
- 2007-09-27 JP JP2009505661A patent/JP2010505284A/ja active Pending
- 2007-09-27 US US12/376,879 patent/US20100191958A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1332552A (zh) * | 2000-03-03 | 2002-01-23 | 尼克斯兰德公司 | 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关 |
Non-Patent Citations (2)
| Title |
|---|
| Alwyn Goodloe等.L3A: A Protocol for Layer Three Accounting.《Workshop on Secure Network Protocols》.2005,1-7. * |
| Randall Atkinson.Security Architecture for the Internet Protocol.《Network Working Group Internet Draft draft-ietf-ipsec-arch-01.txt》.1995,3-12,17-18. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101155183A (zh) | 2008-04-02 |
| US20100191958A1 (en) | 2010-07-29 |
| WO2008044581A1 (en) | 2008-04-17 |
| JP2010505284A (ja) | 2010-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101155183B (zh) | 处理巢状网际网络安全协议信道的方法及网络装置 | |
| US8639936B2 (en) | Methods and entities using IPSec ESP to support security functionality for UDP-based traffic | |
| CN103428221B (zh) | 对移动应用的安全登录方法、系统和装置 | |
| CN102685119A (zh) | 数据发送/接收方法及装置、传输方法及系统、服务器 | |
| CN102882789A (zh) | 一种数据报文处理方法、系统及设备 | |
| CN101436933B (zh) | 一种https加密访问方法、系统及装置 | |
| US10812454B2 (en) | Methods and apparatuses for providing security in a roaming environment | |
| CN104702611A (zh) | 一种保护安全套接层会话密钥的设备及方法 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| KR20110119785A (ko) | 비-암호화 망 동작 해결책 | |
| CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
| CN102035845A (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| CN102891848A (zh) | 利用IPSec安全联盟进行加密解密的方法 | |
| JP2012010254A (ja) | 通信装置、通信方法及び通信システム | |
| CN106254231A (zh) | 一种基于状态的工业安全加密网关及其实现方法 | |
| CN102355353A (zh) | 一种加密输入法及加密通信方法和装置 | |
| CN101861712A (zh) | 基于移动因特网协议的服务器的安全方法 | |
| US11368485B2 (en) | Method, apparatuses and computer program product for monitoring an encrypted connection in a network | |
| CN108966217B (zh) | 一种保密通信方法、移动终端及保密网关 | |
| CN101052029B (zh) | 用于传输包括可扩展标记语言信息的消息的方法 | |
| CN102868523B (zh) | 一种ike协商方法 | |
| CN102170434A (zh) | 一种基于多核处理器实现ipsec的方法及其装置 | |
| EP3589028B1 (en) | Management frame encryption and decryption | |
| CN116938642A (zh) | 一种高性能边缘安全网关实现方法 | |
| CN103701819A (zh) | 超文本传输协议解密的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120208 Termination date: 20200929 |