利用多媒體會話信息的網絡安全處理方法及其系統的製作方法

2023-10-05 14:03:59

專利名稱：利用多媒體會話信息的網絡安全處理方法及其系統的製作方法
技術領域：
本發明涉及一種網絡安全處理方法及其系統，特別是指一種利用多媒 體會話信息來選擇軟體或硬體密碼模塊的網絡安全處理方法及其系統。
背景技術：
在網絡消費者電子裝置上使用高效能的網際網絡安全協議(IP
security, IPsec)傳送加密圖像、視頻及音樂媒體串流是有其強烈需求 的。目前， 一般現有的做法是利用加解密的加速器或硬體執行網際網絡安 全協議時的卸載(Offload)。
然而，根據2003年出版的Usenix年度技術會議(Usenix Annual Technical Conference)上發表的題為"The Design of the OpenBSD Cryptographic Framework"的論文中，指出使用加解密的加速器或硬體 所產生的問題。該問題是，與沒有使用硬體的密碼加速器相比，小數據包
(Small Packet)傳輸花費較長的密碼處理時間。其原因在於作業系統核 心(OS Kernel)及數據總線(Data Bus)和密碼處理硬體的額外開銷
(0verhead)。更具體地講，小數據包和一般大小的數據包相同，都有過 度負載，但是對小數據包而言，整體系統在單位時間內必須處理更多的額 外開銷。因此，需要付出較高的代價來處理小數據包傳輸，即使利用密碼 處理硬體，亦無法有效地縮短密碼加解密的處理時間。
標題為加密設備和加密/解密處理方法(Encryption Device and Encryption/Decryption Processing Method ) 的日本專利公開 JP2003069555描述了一種方法與裝置用以解決上述問題的方案。在方案 中，檢驗每個數據包的長度來決定是由硬體密碼模塊還是由軟體密碼模塊 來進行密碼處理。如果是小數據包則由軟體密碼模塊進行密碼處理，如果 是大數據包則由硬體密碼模塊進行密碼處理。 然而，上述選擇使用軟體或硬體密碼模塊的處理電路必須需要對每個 數據包進行檢査，因此對於需要注重傳輸速率的影音串流而言效率非常 低。另外，該處理電路也沒有考慮在中央處理器或系統負載高時，無條件 地將小數據包交由軟體密碼模塊處理，將導致整體系統效能的低落。因此 有必要尋求解決的道。

發明內容
因此，本發明的目的是提供一種利用多媒體會話信息用以選擇軟體或 硬體密碼模塊的網絡安全處理方法。
於是，本發明利用多媒體會話信息來選擇軟體或硬體密碼模塊的網絡 安全處理方法包含下列步驟。首先，信令處理多媒體會話的多個數據包並 獲得內含在該多媒體會話中的多媒體會話信息。接著，將該多媒體會話進 行網絡金鑰認證協商。然後，根據該多媒體會話信息，決定致能硬體密碼 模塊或軟體密碼模塊，如果該硬體密碼模塊被致能，則由該硬體密碼模塊 對該多媒體會話的數據包執行網絡安全處理，如果該軟體密碼模塊被致 能，則由該軟體密碼模塊對該多媒體會話的數據包執行該網絡安全處理。
此外，本發明的另一個目的是提供一種利用多媒體會話信息來選擇軟 件或硬體密碼模塊的系統。
於是，本發明利用多媒體會話信息來選擇軟體或硬體密碼模塊的系統 包括信息解析單元、網絡安全處理單元，及軟硬體決定單元。
該信息解析單元用於信令處理多媒體會話，以獲得其中的多媒體會話 信息。該網絡安全處理單元用於執行網絡安全處理，該網絡安全處理單元 包括對該多媒體會話進行網絡金鑰認證協商的網絡金鑰認證子單元，及具 有硬體密碼模塊與軟體密碼模塊的密碼處理子單元。該軟硬體決定單元用 於根據該多媒體會話信息來決定執行該網絡安全處理的硬體密碼模塊或 軟體密碼模塊，該軟硬體決定單元包括可選擇使用該硬體密碼模塊或該軟 件密碼模塊的密碼模塊決定子單元，及與該密碼模塊決定子單元聯機的密 碼模塊決定資料庫。
本發明的功效在於可適當地選擇軟體密碼模塊或硬體密碼模塊來執 行網際網絡安全處理，在應用於密碼影音傳輸時具有最高的執行效率。


圖1是說明本發明利用多媒體東信期信息來選擇軟體或硬體密碼模塊 的網絡安全處理方法及其系統的第一優選實施例的系統方框圖2是說明該第一優選實施例的網絡安全處理單元及軟硬體決定單元
的功能方框圖3是說明該第一優選實施例的安全關聯資料庫的內容的資料庫示意
圖4是說明該第一優選實施例的密碼模塊決定資料庫的內容的資料庫 示意圖5是說明該第一優選實施例的產生安全關聯的流程的流程圖6是說明在該第一優選實施例中，將多個網際網絡數據包轉換為多 個網際網絡安全協議數據包的流程圖7是說明在該第一優選實施例中，將該網際網絡安全協議數據包轉 換為網際網絡數據包的流程圖8是說明該第一優選實施例中，用於多個手機及網絡媒體伺服器間 的加密傳輸的應用示意圖9是說明在該第一優選實施例中，第一手機與第二手機之間建立網 際網絡安全協議信道的網絡通信示意圖10是說明在該第一優選實施例中，該第一手機與該網絡媒體服務 器之間建立網際網絡安全協議信道的網絡通信示意圖11是說明在該第一優選實施例中，處於高系統負載情況下的第一 手機與該第二手機之間建立網際網絡安全協議信道的網絡通信示意圖12是說明本發明的第二優選實施例的系統方框圖13是說明該第二優選實施例的會話狀態資料庫的內容的資料庫示 意圖；及
圖14是說明該第二優選實施例的第一手機與第二手機之間建立保全 插座層信道的網絡通信示意圖。
具體實施例方式
有關本發明的前述及其它技術內容、特點與功效，在以下配合參考圖 式的兩個優選實施例的詳細說明中，將可清楚的呈現。
在詳細描述本發明之前，應該需要指出的是，在以下的說明內容中， 類似的組件是以相同的編號來表示。
參閱圖1、 2，本發明利用多媒體會話信息來選擇軟體或硬體密碼模塊 的系統的第一優選實施例，採用網際網絡安全協議(IP Security, IPsec) 作為保護網際網絡(Internet)信息安全通信的標準，並可以設計需要以 加密方式傳送多媒體內容的多媒體設備。該系統包含信息解析單元ll、網 絡安全處理單元12、軟硬體決定單元13、系統統計單元14、軟硬體密碼 設定單元15、傳輸接口'16、網際網絡堆棧單元17及網絡接口 18。
該信息解析單元ll用以信令(Signaling)處理在網際網絡中傳送的 多媒體會話(Multimedia Session),以獲得其中之一具有媒體類型(Media Type)及編碼類型(Codec Type)的多媒體會話信息。其中，該媒體類型 是指該多媒體內容的格式，如音頻、視頻或聲音。而該編碼類型則是該多 媒體內容的媒體編碼配列(Media Encoding Schema),如G. 723、 G. 729 及G.711是網絡電話(Voice over IP, VoIP)所使用的編碼類型。此外， 在本第一優選實施例中，該信息解析單元11為對話啟始協議(Session Initial Protocol, SIP)處理單元或實時串流協議(Real Time Streaming Protocol)處理單元。
該網絡安全處理單元12用於執行網絡安全處理。該網絡安全處理單 元12包括對該多媒體會話進行網絡金鑰認證協商的網絡金鑰認證子單元 121，及具有硬體密碼模塊1221與軟體密碼模塊1222的密碼處理子單元 122、安全關聯處理子單元125、與該安全關聯處理子單元125連接的安全 關聯資料庫126、與該網際網絡堆棧單元17及網絡接口 18連接的輸入子 單元128、與該網際網絡堆棧單元17及網絡接口18連接的輸出子單元129、 與該輸入子單元128連接的輸出轉換子單元123、與該輸入子單元128 連接的輸入轉換子單元124，及金鑰搜尋子單元120。其中，該網絡安全 處理單元12的密碼處理子單元122使用該網際網絡安全協議來執行該網 絡安全處理。另外，該網絡安全處理單元12的網絡金鑰認證子單元121 使用網際網絡金鑰交換(Internet Key Exchange)以產生安全關聯
(Security Association),當該安全關聯產生於通信中的其中一方，另 一方即通過該金鑰搜尋子單元120搜尋對應的安全關聯，作為加密解密的 依據。參閱圖3，該安全處理單元12的安全關聯資料庫126具有多個金鑰 列127，每一個金鑰列具有多個信息欄1271。
參閱圖l、 2，該軟硬體決定單元13用以根據該多媒體會話信息來決 定執行該網絡安全處理的硬體密碼模塊1221或軟體密碼模塊1222。該軟 硬體決定單元13包括可選擇使用該硬體密碼模塊1221或該軟體密碼模塊 1222的密碼模塊決定子單元131，及與該密碼模塊決定子單元131聯機的 密碼模塊決定資料庫132。其中，該密碼模塊決定資料庫132的資料內容 如圖4所示。如果該軟硬體決定單元13決定為該硬體密碼模塊1221時， 由該安全關聯處理子單元125記錄該安全關聯及對應於該硬體密碼模塊 1221的旗標及識別信息在該安全關聯資料庫126的每一個金鑰列127的該 信息欄1271。其中如果該軟硬體決定單元13決定為該軟體密碼模塊1222 時，由該安全關聯處理子單元125記錄該安全關聯及對應於該軟體密碼模 塊1222的旗標及函數指針在該安全關聯資料庫126的每一個金鑰列127 該信息欄1271。
該系統統計單元14用於紀錄系統統計值。該系統統計值為中央處理 器使用率或系統負載值。當該系統統計值高於門限值時，由該軟硬體決定 單元13選擇該硬體密碼模塊1221針對該多媒體會話執行該網絡安全處 理，其目的是為了減輕中央處理器在已經過高的負載下，還要額外執行加 解密的動作。
該軟硬體密碼設定單元15用以連接該軟硬體決定單元13的密碼模塊 決定資料庫132，並將多個選擇使用該硬體密碼模塊1221或該軟體密碼模 塊1222的預設條件輸入該密碼模塊決定資料庫132，以產生如圖4所示， 該多個編碼類型對應地使用該硬體密碼模塊1221或該軟體密碼模塊1222 的資料庫內容。
該傳輸接口 16設於網際網絡的網絡層(Network Layer)及應用層 (Application Layer)間，該傳輸接口 16分別連接該網絡安全處理單元 12的安全關聯處理子單元125及該軟硬體決定單元13的密碼模塊決定數 據庫132。其目的是用以溝通該網絡層及應用層間的信息。
本發明利用多媒體會話信息來選擇軟體或硬體密碼模塊的網絡安全
處理方法的第一優選實施例，採用網際網絡安全協議(IP Security, IPsec) 作為保護網際網絡(Internet)信息安全通信的標準，包含下列步驟
參閱圖1、 2、 5，首先，如步驟S01所示，信令處理該多媒體會話的 多個數據包並獲得該內含於該多媒體會話中的多媒體會話信息，該多媒體 會話信息具有該媒體類型及該編碼類型。
接著，如步驟S02所示，將該多媒體會話進行該網絡金鑰認證協商。 在本第一優選實施例中，該網絡金鑰認證協商是使用該網際網絡金鑰交 換。該網絡金鑰認證協商將產生該對應於該多媒體會話的安全關聯。
然後，如步驟S03所示，安全關聯產生，並由該傳輸接口 16將該安 全關聯輸入該網絡安全處理單元12中。
接著，如步驟S04所示，根據該媒體類型或編碼類型，由軟硬體決定 單元13的密碼模塊決定子單元131在該密碼模塊決定資料庫132尋找應 該對應執行的是硬體密碼模塊1221還是軟體密碼模塊1222。
然後，如步驟S05所示，根據利用該多媒體會話信息的媒體類型及編 碼類型搜尋該軟硬體密碼決定資料庫132後，決定是否致能該硬體密碼模 塊1221。如果該硬體密碼模塊1221被致能，則如步驟S06及S07所示， 應於該硬體密碼模塊1221的該旗標及該識別信息與該安全關聯建立連結 關係，並如圖3所示的該網絡安全處理單元12的安全關聯資料庫126的 資料庫內容，分別在該安全關聯資料庫126的金鑰列127的信息欄1271 中順序存放該安全關聯、該旗標及該識別信息。如此，即完成要傳輸該多 媒體會話時該安全關聯的產生，並指定由該硬體密碼模塊1221加解密。
如步驟S05所示，如果該軟體密碼模塊1222被致能，必須先如步驟 S08所示，先驗證是否該系統統計值高於該預設的門限值，如果是，則該 多媒體會話的數據包由該硬體密碼模塊1221執行該網絡安全處理，以減 輕運算負擔。如果否，則如步驟S09及S10所示，對應於該軟體密碼模塊 1222的該旗標及該函數指針與該安全關聯建立連結關係，並如圖3所示的 該網絡安全處理單元12的安全關聯資料庫126的資料庫內容，分別於該 安全關聯資料庫126的金鑰列127的信息欄1271中順序存放該安全關聯、 該旗標及該函數指針。如此，即完成要傳輸該多媒體會話時該安全關聯的
產生，並指定由該軟體密碼模塊1222加解密。
參閱圖6，當有屬於網際網絡數據包輸出且需加密成網際網絡安全協 議的數據包時，採用本發明的第一優選實施例的裝置會採取以下步驟
首先，如步驟S11所示，多個網際網絡數據包要求進行輸出處理。接 著，如步驟S12所示，在該網絡安全處理單元12的安全關聯資料庫126 內搜尋安全關聯。然後，如步驟S13所示，執行對應於該安全關聯的該識 別信息(當使用硬體密碼模塊1221時)或函數指針(當使用軟體密碼模 塊1222時)進行加密的動作。最後，如S14所示，網際網絡數據包變成 網際網絡安全協議數據包。
參閱圖7,當有屬於網際網絡安全協議的數據包輸入且需解密成網際 網絡數據包時，採用本發明的第一優選實施例的裝置會採取以下步驟-
首先，如步驟S21所示，多個網際網絡安全協議的數據包要求進行輸 入處理。接著，如步驟S22所示，在該網絡安全處理單元12的安全關聯 資料庫126內搜尋安全關聯。然後，如步驟S23所示，執行對應於該安全 關聯的該識別信息或函數指針進行解密的動作。最後如步驟S24所示，網 際網絡安全協議數據包變成網際網絡數據包。
參閱圖8，在日常生活的應用上，以加密方式傳輸多媒體內容，可以 保證傳輸過程中的安全性。另外，採用本發明所揭示的方法，可以實時地 傳輸影音內容。在本發明的第一優選實施例的通信應用示範中，第一手機 3可以與網絡媒體伺服器4進行視頻串流傳輸，該第一手機3並可以與第 二手機5進行音頻串流傳輸。
參閱圖2、 8、 9，該第一手機3和該第二手機5進行該音頻串流傳輸 時，首先，如步驟401所示，信令處理該音頻串流。接著，如步驟402所 示，該第一手機3獲得該音頻串流的編碼類型，在本第一優選實施例的應 用示範中為G.711。接著，如步驟403所示，使用網際網絡金鑰交換用以 產生安全關聯來保護該音頻串流。接著，如步驟404所示，利用該傳輸接 口 16將安全關聯與G. 711等信息一起傳入該網絡安全處理單元12中。接 著，如步驟405所示，根據G.711的資料，在該軟硬體決定單元13的密 碼模塊決定資料庫132中尋找應對應使用硬體解碼模塊123或軟體解碼模 塊124。接著，如步驟406所示，該軟硬體決定單元13査詢到編碼類型
G. 711應使用軟體密碼模塊1222。接著，如步驟407所示，將安全關聯及 對應於該軟體密碼模塊1222的該旗標及該函數指針插入該網絡安全處理 單元12的安全關聯資料庫126中。最後，如步驟408所示，將安全關聯 儲存於該安全關聯資料庫126中。經過上述步驟即可建立可以保護音頻串 流傳輸並由軟體密碼模塊執行的網際網絡安全協議信道。
參閱圖2、 8、 10，該第一手機3和該網絡媒體伺服器4進行該視頻串
流傳輸時，首先，如步驟501所示，信令處理該視頻串流。接著，如步驟 502所示，該第一手機3獲得該視頻串流的編碼類型，在本第一優選實施 例的應用示範中為H.264。接著，如步驟503所示，使用網際網絡金鑰交 換用以產生安全關聯來保護該視頻串流。接著，如步驟504所示，利用該 傳輸接口 16將安全關聯與H. 264等信息一起傳入該網絡安全處理單元12 中。接著，如步驟505所示，根據化264的資料，在該軟硬體決定單元13 的密碼模塊決定資料庫132中尋找應對應使用硬體解碼模塊1221或軟體 解碼模塊1222。接著，如步驟506所示，該軟硬體決定單元13決定為使 用硬體密碼模塊1221。接著，如步驟507所示，將安全關聯及對應於該硬 件密碼模塊1221的該旗標及該識別信息插入該安全關聯資料庫126中。 最後，如步驟508所示，將該安全關聯儲存於該安全關聯資料庫126中。
經過上述步驟即可建立可以保護視頻串流傳輸並由硬體密碼模塊執行的 網際網絡安全協議信道。
參閱圖2、 8、 11，該第一手機3和該第二手機5進行該音頻串流傳輸 時，首先，如步驟601所示，信令處理該音頻串流。接著，如步驟602所 示，該第一手機3獲得該音頻串流的編碼類型，在本第一優選實施例的應 用示範中為G.711。接著，如步驟603所示，使用網際網絡金鑰交換用以 產生該安全關聯來保護該音頻串流。接著，如步驟604所示，利用該傳輸 接口將該安全關聯與G.711等信息一起傳入該網絡安全處理單元12中。 接著，如步驟605所示，根據G. 711的資料，在該軟硬體決定單元13的 密碼模塊決定資料庫132中尋找應對應使用硬體解碼模塊1221或軟體譯 碼模塊1222。接著，如步驟606所示，由於此時該第一手機3的系統統計 值高於該預設的門限值，所以該軟硬體決定單元13的密碼模塊決定子單 元131決定使用該硬體密碼模塊1221。接著，如步驟607所示，將該安全
關聯及對應於該硬體密碼模塊1221的該旗標及該識別信息插入該安全關 聯資料庫126中。最後，如步驟608所示，將該安全關聯儲存進入該安全 關聯資料庫126中。經過上述步驟即可建立可以保護音頻串流傳輸並由硬 件密碼模塊執行的網際網絡安全協議信道。
參閱圖12，本發明利用多媒體會話信息來選擇軟體或硬體密碼模塊的 系統的第二優選實施例，是適用於採用保全插座層(Secure Socket Layer, SSL)、傳輸層安全(Transport Layer Security, TLS)或數據報傳輸層 安全(Datagram Transport Layer Security, DTLS)作為加解密的機制， 本第二優選實施例的系統和第一優選實施例的大致相同，包含信息解析 單元ll、網絡安全處理單元12、軟硬體決定單元13、系統統計單元14、 軟硬體密碼設定單元15、傳輸接口 16及網絡接口 18，其中本第二優選實 施例的運作機制與第一優選實施例的運作機制不同，因此無如圖1所示網 際網絡堆棧單元17。
另外和第一優選實施例不同的是，該網絡安全處理單元12用以執行 一網絡安全處理。該網絡安全處理單元12包括對該多媒體會話進行網絡 金鑰認證協商的網絡金鑰認證子單元121，及具有硬體密碼模塊1221與軟 件密碼模塊1222的密碼處理子單元122、會話狀態處理子單元225,及與 該會話狀態處理子單元225連接的會話狀態資料庫226。該會話狀態數據 庫226也可以實施為只紀錄一筆數據的會話狀態數據項。其中，該網絡安 全處理單元12的密碼處理子單元122使用該保全插座層來執行該網絡安 全處理。另外，該網絡安全處理單元12的網絡金鑰認證子單元121為保 全插座層握手(SSL Handshake)以產生會話狀態(Session Statement), 該會話狀態同時產生於通信中的兩方，做為加密解密的依據。參閱圖13， 該會話狀態資料庫226具有多個金鑰列127，每一金鑰列具有多個數據域 2271。
由於採用保全插座層，使得網絡安全處理單元12與第一優選實施例 略有不同，因此該軟硬體決定單元13也有部分的改變。該軟硬體決定單 元13用以根據該多媒體會話信息來決定執行該網絡安全處理的硬體密碼 模塊1221或軟體密碼模塊1222。該軟硬體決定單元13包括可選擇使用該 硬體密碼模塊1221或該軟體密碼模塊1222的密碼模塊決定子單元131， 及與該密碼模塊決定子單元131聯機的密碼模塊決定資料庫132。其中如 果該軟硬體決定單元13決定為該硬體密碼模塊1221時，由該會話狀態處 理子單元225記錄該會話狀態及對應於該硬體密碼模塊1221的旗標及識 別信息於該會話狀態資料庫226的每一個金鑰列127的該數據域2271 。其 中如果該軟硬體決定單元13決定為該軟體密碼模塊1222時，由該會話狀 態處理子單元225記錄該會話狀態及對應於該軟體密碼模塊1222的旗標 及函數指針於該會話狀態資料庫226的每一個金鑰列127的該數據域 2271。
參閱圖8、 14，其中圖14顯示在第二優選實施例中，該第一手機3和 該第二手機5進行該音頻串流傳輸時，採用保全插座層進行保護的情況。 首先，如步驟701所示，信令處理該音頻串流。接著，如步驟702所示， 該第一手機3獲得該音頻串流的編碼類型，在本第二優選實施例中為 G.711。接著，如步驟703所示，使用該保全插座層握手用以產生該會話 狀態來保護該音頻串流。接著，如步驟704所示，利用該傳輸接口 16將 該會話狀態與G. 711等信息一起傳入該網絡安全處理單元12。接著，如步 驟705所示，根據G. 711的資料，進入該軟硬體決定單元13的密碼模塊 決定資料庫132尋找應對應使用硬體解碼模塊1221或軟體解碼模塊1222。 接著，如步驟706所示，該軟硬體決定單元13的密碼模塊決定子單元131 決定為使用軟體密碼模塊1222。最後，如步驟707所示，將該會話狀態及 對應於該軟體密碼模塊1222的該旗標及該函數指針更新至該會話狀態數 據庫中。經過上述步驟即可建立可以保護音頻串流傳輸並由軟體密碼模塊 執行的保全插座層信道。此外，該第一手機3與該網絡媒體伺服器4的視 頻串流保護也可依上述說明類推。
綜上所述，利用本發明以多媒體會話信息來選擇使用軟體或硬體來進 行加解密的動作，可以有效地應用於需要實時傳送加密影音串流的環境， 確實達到提高效率的功效。
以上所說明的僅是本發明的優選實施例，而不能以此限定本發明實施 的範圍，本領域技術人員在不脫離所附權利要求所限定的精神和範圍的情 況下對本發明內容所作的簡單的等效變化與修飾，皆屬於本發明涵蓋的範 圍。
權利要求
1.一種利用多媒體會話信息來選擇軟體或硬體密碼模塊的網絡安全處理方法，包含下列步驟(a)信令處理多媒體會話的多個數據包並獲得內含於該多媒體會話中的多媒體會話信息；(b)將該多媒體會話進行網絡金鑰認證協商；及(c)根據該多媒體會話信息，決定致能硬體密碼模塊或軟體密碼模塊，如果該硬體密碼模塊被致能，則由該硬體密碼模塊對該多媒體會話的數據包執行網絡安全處理，如果該軟體密碼模塊被致能，則由該軟體密碼模塊對該多媒體會話的數據包執行該網絡安全處理。
2. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中在所述(a)步驟中，所述多媒體會話信息具 有媒體類型。
3. 根據權利要求2所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中在所述(c)步驟中，所述硬體密碼模塊或軟 件密碼模塊的致能決定是基於所述多媒體會話信息的媒體類型的。
4. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中在所述(a)步驟中，所述多媒體會話信息具 有編碼類型。
5. 根據權利要求4所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中在所述(c)步驟中，所述硬體密碼模塊或軟 件密碼模塊的致能決定是基於所述多媒體會話信息的編碼類型的。
6. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中所述(c)步驟包括子步驟，如果系統統計值 高於門限值，則所述多媒體會話的數據包由該硬體密碼模塊執行該網絡安 全處理。
7. 根據權利要求6所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中所述系統統計值為中央處理器使用率。
8. 根據權利要求6所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中所述系統統計值為系統負載值。
9. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密碼 模塊的網絡安全處理方法，其中在所述(b)步驟中，所述網絡金鑰認證協 商產生對應於所述多媒體會話的安全關聯。
10. 根據權利要求9所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述(c)步驟包括子步驟，將對應於所 述硬體密碼模塊的旗標及的識別信息與所述安全關聯建立連結關係。
11. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述(c)步驟包括子步驟，將對應於所 述軟體密碼模塊的旗標及函數指針與所述安全關聯建立連結關係。
12. 根據權利要求9所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述網絡安全處理為網際網絡安全協 議。
13. 根據權利要求9所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述網絡金鑰認證協商為網際網絡金鑰 交換。
14. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中在所述(b)步驟中，所述網絡金鑰認證協 商產生對應於所述多媒體會話的會話狀態。
15. 根據權利要求14所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述(c)步驟包括子步驟，將對應於所述 硬體密碼模塊的旗標及識別信息與該會話狀態建立連結關係。
16. 根據權利要求14所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述(c)步驟包括子步驟，將對應於所述 軟體密碼模塊旗標及函數指針與該會話狀態建立連結關係。
17. 根據權利要求14所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述網絡安全處理為保全插座層。
18. 根據權利要求14所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述網絡金鑰認證協商為保全插座層握 手。
19. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述多媒體會話信息能夠通過對話啟始 協議獲得。
20. 根據權利要求1所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的網絡安全處理方法，其中所述多媒體會話信息能夠通過實時串流 協議獲得。
21. —種利用多媒體會話信息來選擇軟體或硬體密碼模塊的系統，包括信息解析單元，用於信令處理多媒體會話，以獲得其中的多媒體會話信息；網絡安全處理單元，用於執行網絡安全處理，所述網絡安全處理單元 包括對所述多媒體會話進行網絡金鑰認證協商的網絡金鑰認證子單元，及 具有硬體密碼模塊與軟體密碼模塊的密碼處理子單元；及軟硬體決定單元，用以根據所述多媒體會話信息來決定執行所述網絡 安全處理的硬體密碼模塊或軟體密碼模塊，所述軟硬體決定單元包括能夠 選擇使用所述硬體密碼模塊或所述軟體密碼模塊的密碼模塊決定子單元， 及與所述密碼模塊決定子單元聯機的密碼模塊決定資料庫。
22. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體 密碼模塊的系統，其中所述多媒體會話信息具有媒體類型。
23. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體 密碼模塊的系統，其中所述多媒體會話信息具有編碼類型。
24. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體 密碼模塊的系統，還包括系統統計單元，用於紀錄系統統計值，並在所述 系統統計值高於門限值時，由所述軟硬體決定單元選擇所述硬體密碼模塊 針對所述多媒體會話執行所述網絡安全處理。
25. 根據權利要求24所述的利用多媒體會話信息來選擇軟體或硬體 密碼模塊的系統，其中所述系統統計值為中央處理器使用率。
26. 根據權利要求24所述的利用多媒體會話信息來選擇軟體或硬體 密碼模塊的系統，其中所述系統統計值為系統負載值。
27. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，還包括軟硬體密碼設定單元，用於連接所述軟硬體決定單 元的密碼模塊決定資料庫，並將多個選擇使用所述硬體密碼模塊或所述軟 件密碼模塊的預設條件輸入所述密碼模塊決定資料庫。
28. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中所述網絡安全處理單元的網絡金鑰認證子單元使用網 際網絡金鑰交換以產生安全關聯。
29. 根據權利要求28所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中所述網絡安全處理單元還包括安全關聯處理子單元及 與所述安全關聯處理子單元連接的安全關聯資料庫，其中所述安全關聯數 據庫具有多個金鑰列，每一個金鑰列具有多個信息欄。
30. 根據權利要求29所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中如果所述軟硬體決定單元決定為所述硬體密碼模塊 時，由所述安全關聯處理子單元記錄所述安全關聯及對應於所述硬體密碼 模塊的旗標及識別信息於所述安全關聯資料庫的每一個金鑰列的所述信 息欄。
31. 根據權利要求29所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中如果所述軟硬體決定單元決定為所述軟體密碼模塊 時，由所述安全關聯處理子單元記錄該安全關聯及對應於所述軟體密碼模 塊的旗標及函數指針於所述安全關聯資料庫的每一個金鑰列的所述信息 欄。
32. 根據權利要求28所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中所述網絡安全處理單元的密碼處理子單元使用網際網 絡安全協議來執行該網絡安全處理。
33. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中所述網絡安全處理單元的網絡金鑰認證子單元使用保 全插座層握手來產生會話狀態。
34. 根據權利要求33所述的利用多媒體會話信息來選擇軟體或硬體密碼模塊的系統，其中所述網絡安全處理單元還包括會話狀態處理子單元及 與所述會話狀態處理子單元連接的會話狀態資料庫，其中所述會話狀態數 據庫具有多個金鑰列，每一個金鑰列具有多個數據域。
35. 根據權利要求34所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中如果所述軟硬體決定單元決定為所述硬體密碼模塊 時，由所述會話狀態處理子單元記錄所述會話狀態及對應於所述硬體密碼 模塊的旗標及識別信息於所述會話狀態資料庫的每一個金鑰列的所述數 據域。
36. 根據權利要求34所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中如果所述軟硬體決定單元決定為所述軟體密碼模塊 時，由所述會話狀態處理子單元記錄所述會話狀態及對應於所述軟體密碼 模塊的旗標及函數指針於所述會話狀態資料庫的每一個金鑰列的所述數 據域。
37. 根據權利要求33所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中所述網絡安全處理單元的密碼處理子單元使用保全插 座層來執行所述網絡安全處理。
38. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體密 碼模塊的系統，其中所述信息解析單元為對話啟始協議處理單元。
39. 根據權利要求21所述的利用多媒體會話信息來選擇軟體或硬體密碼模塊的系統，其中所述信息解析單元為實時串流協議處理單元。
全文摘要
一種利用多媒體會話信息來選擇軟體或硬體密碼模塊的網絡安全處理方法及系統，該方法包含下列步驟首先，信令處理多媒體會話的多個數據包並獲得內含於該多媒體會話中的多媒體會話信息。接著，將該多媒體會話進行網絡金鑰認證協商。然後，根據該多媒體會話信息，決定致能硬體密碼模塊或軟體密碼模塊，如果該硬體密碼模塊被致能，則由該硬體密碼模塊對該多媒體會話之數據包執行網絡安全處理，如果該軟體密碼模塊被致能，則由該軟體密碼模塊對該多媒體會話的數據包執行該網絡安全處理。
文檔編號H04L29/06GK101166180SQ20061013551
公開日2008年4月23日 申請日期2006年10月16日 優先權日2006年10月16日
發明者劉學燈 申請人:松下電器產業株式會社