利用多媒体会话信息的网络安全处理方法及其系统的制作方法

专利名称：利用多媒体会话信息的网络安全处理方法及其系统的制作方法
技术领域：
本发明涉及一种网络安全处理方法及其系统，特别是指一种利用多媒 体会话信息来选择软件或硬件密码模块的网络安全处理方法及其系统。
背景技术：
在网络消费者电子装置上使用高效能的网际网络安全协议(IP
security, IPsec)传送加密图像、视频及音乐媒体串流是有其强烈需求 的。目前， 一般现有的做法是利用加解密的加速器或硬件执行网际网络安 全协议时的卸载(Offload)。
然而，根据2003年出版的Usenix年度技术会议(Usenix Annual Technical Conference)上发表的题为"The Design of the OpenBSD Cryptographic Framework"的论文中，指出使用加解密的加速器或硬件 所产生的问题。该问题是，与没有使用硬件的密码加速器相比，小数据包
(Small Packet)传输花费较长的密码处理时间。其原因在于操作系统核 心(OS Kernel)及数据总线(Data Bus)和密码处理硬件的额外开销
(0verhead)。更具体地讲，小数据包和一般大小的数据包相同，都有过 度负载，但是对小数据包而言，整体系统在单位时间内必须处理更多的额 外开销。因此，需要付出较高的代价来处理小数据包传输，即使利用密码 处理硬件，亦无法有效地縮短密码加解密的处理时间。
标题为加密设备和加密/解密处理方法(Encryption Device and Encryption/Decryption Processing Method ) 的日本专利公开 JP2003069555描述了一种方法与装置用以解决上述问题的方案。在方案 中，检验每个数据包的长度来决定是由硬件密码模块还是由软件密码模块 来进行密码处理。如果是小数据包则由软件密码模块进行密码处理，如果 是大数据包则由硬件密码模块进行密码处理。 然而，上述选择使用软件或硬件密码模块的处理电路必须需要对每个 数据包进行检査，因此对于需要注重传输速率的影音串流而言效率非常 低。另外，该处理电路也没有考虑在中央处理器或系统负载高时，无条件 地将小数据包交由软件密码模块处理，将导致整体系统效能的低落。因此 有必要寻求解决的道。

发明内容
因此，本发明的目的是提供一种利用多媒体会话信息用以选择软件或 硬件密码模块的网络安全处理方法。
于是，本发明利用多媒体会话信息来选择软件或硬件密码模块的网络 安全处理方法包含下列步骤。首先，信令处理多媒体会话的多个数据包并 获得内含在该多媒体会话中的多媒体会话信息。接着，将该多媒体会话进 行网络金钥认证协商。然后，根据该多媒体会话信息，决定致能硬件密码 模块或软件密码模块，如果该硬件密码模块被致能，则由该硬件密码模块 对该多媒体会话的数据包执行网络安全处理，如果该软件密码模块被致 能，则由该软件密码模块对该多媒体会话的数据包执行该网络安全处理。
此外，本发明的另一个目的是提供一种利用多媒体会话信息来选择软 件或硬件密码模块的系统。
于是，本发明利用多媒体会话信息来选择软件或硬件密码模块的系统 包括信息解析单元、网络安全处理单元，及软硬件决定单元。
该信息解析单元用于信令处理多媒体会话，以获得其中的多媒体会话 信息。该网络安全处理单元用于执行网络安全处理，该网络安全处理单元 包括对该多媒体会话进行网络金钥认证协商的网络金钥认证子单元，及具 有硬件密码模块与软件密码模块的密码处理子单元。该软硬件决定单元用 于根据该多媒体会话信息来决定执行该网络安全处理的硬件密码模块或 软件密码模块，该软硬件决定单元包括可选择使用该硬件密码模块或该软 件密码模块的密码模块决定子单元，及与该密码模块决定子单元联机的密 码模块决定数据库。
本发明的功效在于可适当地选择软件密码模块或硬件密码模块来执 行网际网络安全处理，在应用于密码影音传输时具有最高的执行效率。


图1是说明本发明利用多媒体东信期信息来选择软件或硬件密码模块 的网络安全处理方法及其系统的第一优选实施例的系统方框图2是说明该第一优选实施例的网络安全处理单元及软硬件决定单元
的功能方框图3是说明该第一优选实施例的安全关联数据库的内容的数据库示意
图4是说明该第一优选实施例的密码模块决定数据库的内容的数据库 示意图5是说明该第一优选实施例的产生安全关联的流程的流程图6是说明在该第一优选实施例中，将多个网际网络数据包转换为多 个网际网络安全协议数据包的流程图7是说明在该第一优选实施例中，将该网际网络安全协议数据包转 换为网际网络数据包的流程图8是说明该第一优选实施例中，用于多个手机及网络媒体服务器间 的加密传输的应用示意图9是说明在该第一优选实施例中，第一手机与第二手机之间建立网 际网络安全协议信道的网络通信示意图10是说明在该第一优选实施例中，该第一手机与该网络媒体服务 器之间建立网际网络安全协议信道的网络通信示意图11是说明在该第一优选实施例中，处于高系统负载情况下的第一 手机与该第二手机之间建立网际网络安全协议信道的网络通信示意图12是说明本发明的第二优选实施例的系统方框图13是说明该第二优选实施例的会话状态数据库的内容的数据库示 意图；及
图14是说明该第二优选实施例的第一手机与第二手机之间建立保全 插座层信道的网络通信示意图。
具体实施例方式
有关本发明的前述及其它技术内容、特点与功效，在以下配合参考图 式的两个优选实施例的详细说明中，将可清楚的呈现。
在详细描述本发明之前，应该需要指出的是，在以下的说明内容中， 类似的组件是以相同的编号来表示。
参阅图1、 2，本发明利用多媒体会话信息来选择软件或硬件密码模块 的系统的第一优选实施例，采用网际网络安全协议(IP Security, IPsec) 作为保护网际网络(Internet)信息安全通信的标准，并可以设计需要以 加密方式传送多媒体内容的多媒体设备。该系统包含信息解析单元ll、网 络安全处理单元12、软硬件决定单元13、系统统计单元14、软硬件密码 设定单元15、传输接口'16、网际网络堆栈单元17及网络接口 18。
该信息解析单元ll用以信令(Signaling)处理在网际网络中传送的 多媒体会话(Multimedia Session),以获得其中之一具有媒体类型(Media Type)及编码类型(Codec Type)的多媒体会话信息。其中，该媒体类型 是指该多媒体内容的格式，如音频、视频或声音。而该编码类型则是该多 媒体内容的媒体编码配列(Media Encoding Schema),如G. 723、 G. 729 及G.711是网络电话(Voice over IP, VoIP)所使用的编码类型。此外， 在本第一优选实施例中，该信息解析单元11为对话启始协议(Session Initial Protocol, SIP)处理单元或实时串流协议(Real Time Streaming Protocol)处理单元。
该网络安全处理单元12用于执行网络安全处理。该网络安全处理单 元12包括对该多媒体会话进行网络金钥认证协商的网络金钥认证子单元 121，及具有硬件密码模块1221与软件密码模块1222的密码处理子单元 122、安全关联处理子单元125、与该安全关联处理子单元125连接的安全 关联数据库126、与该网际网络堆栈单元17及网络接口 18连接的输入子 单元128、与该网际网络堆栈单元17及网络接口18连接的输出子单元129、 与该输入子单元128连接的输出转换子单元123、与该输入子单元128 连接的输入转换子单元124，及金钥搜寻子单元120。其中，该网络安全 处理单元12的密码处理子单元122使用该网际网络安全协议来执行该网 络安全处理。另外，该网络安全处理单元12的网络金钥认证子单元121 使用网际网络金钥交换(Internet Key Exchange)以产生安全关联
(Security Association),当该安全关联产生于通信中的其中一方，另 一方即通过该金钥搜寻子单元120搜寻对应的安全关联，作为加密解密的 依据。参阅图3，该安全处理单元12的安全关联数据库126具有多个金钥 列127，每一个金钥列具有多个信息栏1271。
参阅图l、 2，该软硬件决定单元13用以根据该多媒体会话信息来决 定执行该网络安全处理的硬件密码模块1221或软件密码模块1222。该软 硬件决定单元13包括可选择使用该硬件密码模块1221或该软件密码模块 1222的密码模块决定子单元131，及与该密码模块决定子单元131联机的 密码模块决定数据库132。其中，该密码模块决定数据库132的资料内容 如图4所示。如果该软硬件决定单元13决定为该硬件密码模块1221时， 由该安全关联处理子单元125记录该安全关联及对应于该硬件密码模块 1221的旗标及识别信息在该安全关联数据库126的每一个金钥列127的该 信息栏1271。其中如果该软硬件决定单元13决定为该软件密码模块1222 时，由该安全关联处理子单元125记录该安全关联及对应于该软件密码模 块1222的旗标及函数指针在该安全关联数据库126的每一个金钥列127 该信息栏1271。
该系统统计单元14用于纪录系统统计值。该系统统计值为中央处理 器使用率或系统负载值。当该系统统计值高于门限值时，由该软硬件决定 单元13选择该硬件密码模块1221针对该多媒体会话执行该网络安全处 理，其目的是为了减轻中央处理器在已经过高的负载下，还要额外执行加 解密的动作。
该软硬件密码设定单元15用以连接该软硬件决定单元13的密码模块 决定数据库132，并将多个选择使用该硬件密码模块1221或该软件密码模 块1222的预设条件输入该密码模块决定数据库132，以产生如图4所示， 该多个编码类型对应地使用该硬件密码模块1221或该软件密码模块1222 的数据库内容。
该传输接口 16设于网际网络的网络层(Network Layer)及应用层 (Application Layer)间，该传输接口 16分别连接该网络安全处理单元 12的安全关联处理子单元125及该软硬件决定单元13的密码模块决定数 据库132。其目的是用以沟通该网络层及应用层间的信息。
本发明利用多媒体会话信息来选择软件或硬件密码模块的网络安全
处理方法的第一优选实施例，采用网际网络安全协议(IP Security, IPsec) 作为保护网际网络(Internet)信息安全通信的标准，包含下列步骤
参阅图1、 2、 5，首先，如步骤S01所示，信令处理该多媒体会话的 多个数据包并获得该内含于该多媒体会话中的多媒体会话信息，该多媒体 会话信息具有该媒体类型及该编码类型。
接着，如步骤S02所示，将该多媒体会话进行该网络金钥认证协商。 在本第一优选实施例中，该网络金钥认证协商是使用该网际网络金钥交 换。该网络金钥认证协商将产生该对应于该多媒体会话的安全关联。
然后，如步骤S03所示，安全关联产生，并由该传输接口 16将该安 全关联输入该网络安全处理单元12中。
接着，如步骤S04所示，根据该媒体类型或编码类型，由软硬件决定 单元13的密码模块决定子单元131在该密码模块决定数据库132寻找应 该对应执行的是硬件密码模块1221还是软件密码模块1222。
然后，如步骤S05所示，根据利用该多媒体会话信息的媒体类型及编 码类型搜寻该软硬件密码决定数据库132后，决定是否致能该硬件密码模 块1221。如果该硬件密码模块1221被致能，则如步骤S06及S07所示， 应于该硬件密码模块1221的该旗标及该识别信息与该安全关联建立连结 关系，并如图3所示的该网络安全处理单元12的安全关联数据库126的 数据库内容，分别在该安全关联数据库126的金钥列127的信息栏1271 中顺序存放该安全关联、该旗标及该识别信息。如此，即完成要传输该多 媒体会话时该安全关联的产生，并指定由该硬件密码模块1221加解密。
如步骤S05所示，如果该软件密码模块1222被致能，必须先如步骤 S08所示，先验证是否该系统统计值高于该预设的门限值，如果是，则该 多媒体会话的数据包由该硬件密码模块1221执行该网络安全处理，以减 轻运算负担。如果否，则如步骤S09及S10所示，对应于该软件密码模块 1222的该旗标及该函数指针与该安全关联建立连结关系，并如图3所示的 该网络安全处理单元12的安全关联数据库126的数据库内容，分别于该 安全关联数据库126的金钥列127的信息栏1271中顺序存放该安全关联、 该旗标及该函数指针。如此，即完成要传输该多媒体会话时该安全关联的
产生，并指定由该软件密码模块1222加解密。
参阅图6，当有属于网际网络数据包输出且需加密成网际网络安全协 议的数据包时，采用本发明的第一优选实施例的装置会采取以下步骤
首先，如步骤S11所示，多个网际网络数据包要求进行输出处理。接 着，如步骤S12所示，在该网络安全处理单元12的安全关联数据库126 内搜寻安全关联。然后，如步骤S13所示，执行对应于该安全关联的该识 别信息(当使用硬件密码模块1221时)或函数指针(当使用软件密码模 块1222时)进行加密的动作。最后，如S14所示，网际网络数据包变成 网际网络安全协议数据包。
参阅图7,当有属于网际网络安全协议的数据包输入且需解密成网际 网络数据包时，采用本发明的第一优选实施例的装置会采取以下步骤-
首先，如步骤S21所示，多个网际网络安全协议的数据包要求进行输 入处理。接着，如步骤S22所示，在该网络安全处理单元12的安全关联 数据库126内搜寻安全关联。然后，如步骤S23所示，执行对应于该安全 关联的该识别信息或函数指针进行解密的动作。最后如步骤S24所示，网 际网络安全协议数据包变成网际网络数据包。
参阅图8，在日常生活的应用上，以加密方式传输多媒体内容，可以 保证传输过程中的安全性。另外，采用本发明所揭示的方法，可以实时地 传输影音内容。在本发明的第一优选实施例的通信应用示范中，第一手机 3可以与网络媒体服务器4进行视频串流传输，该第一手机3并可以与第 二手机5进行音频串流传输。
参阅图2、 8、 9，该第一手机3和该第二手机5进行该音频串流传输 时，首先，如步骤401所示，信令处理该音频串流。接着，如步骤402所 示，该第一手机3获得该音频串流的编码类型，在本第一优选实施例的应 用示范中为G.711。接着，如步骤403所示，使用网际网络金钥交换用以 产生安全关联来保护该音频串流。接着，如步骤404所示，利用该传输接 口 16将安全关联与G. 711等信息一起传入该网络安全处理单元12中。接 着，如步骤405所示，根据G.711的资料，在该软硬件决定单元13的密 码模块决定数据库132中寻找应对应使用硬件译码模块123或软件译码模 块124。接着，如步骤406所示，该软硬件决定单元13査询到编码类型
G. 711应使用软件密码模块1222。接着，如步骤407所示，将安全关联及 对应于该软件密码模块1222的该旗标及该函数指针插入该网络安全处理 单元12的安全关联数据库126中。最后，如步骤408所示，将安全关联 储存于该安全关联数据库126中。经过上述步骤即可建立可以保护音频串 流传输并由软件密码模块执行的网际网络安全协议信道。
参阅图2、 8、 10，该第一手机3和该网络媒体服务器4进行该视频串
流传输时，首先，如步骤501所示，信令处理该视频串流。接着，如步骤 502所示，该第一手机3获得该视频串流的编码类型，在本第一优选实施 例的应用示范中为H.264。接着，如步骤503所示，使用网际网络金钥交 换用以产生安全关联来保护该视频串流。接着，如步骤504所示，利用该 传输接口 16将安全关联与H. 264等信息一起传入该网络安全处理单元12 中。接着，如步骤505所示，根据化264的资料，在该软硬件决定单元13 的密码模块决定数据库132中寻找应对应使用硬件译码模块1221或软件 译码模块1222。接着，如步骤506所示，该软硬件决定单元13决定为使 用硬件密码模块1221。接着，如步骤507所示，将安全关联及对应于该硬 件密码模块1221的该旗标及该识别信息插入该安全关联数据库126中。 最后，如步骤508所示，将该安全关联储存于该安全关联数据库126中。
经过上述步骤即可建立可以保护视频串流传输并由硬件密码模块执行的 网际网络安全协议信道。
参阅图2、 8、 11，该第一手机3和该第二手机5进行该音频串流传输 时，首先，如步骤601所示，信令处理该音频串流。接着，如步骤602所 示，该第一手机3获得该音频串流的编码类型，在本第一优选实施例的应 用示范中为G.711。接着，如步骤603所示，使用网际网络金钥交换用以 产生该安全关联来保护该音频串流。接着，如步骤604所示，利用该传输 接口将该安全关联与G.711等信息一起传入该网络安全处理单元12中。 接着，如步骤605所示，根据G. 711的资料，在该软硬件决定单元13的 密码模块决定数据库132中寻找应对应使用硬件译码模块1221或软件译 码模块1222。接着，如步骤606所示，由于此时该第一手机3的系统统计 值高于该预设的门限值，所以该软硬件决定单元13的密码模块决定子单 元131决定使用该硬件密码模块1221。接着，如步骤607所示，将该安全
关联及对应于该硬件密码模块1221的该旗标及该识别信息插入该安全关 联数据库126中。最后，如步骤608所示，将该安全关联储存进入该安全 关联数据库126中。经过上述步骤即可建立可以保护音频串流传输并由硬 件密码模块执行的网际网络安全协议信道。
参阅图12，本发明利用多媒体会话信息来选择软件或硬件密码模块的 系统的第二优选实施例，是适用于采用保全插座层(Secure Socket Layer, SSL)、传输层安全(Transport Layer Security, TLS)或数据报传输层 安全(Datagram Transport Layer Security, DTLS)作为加解密的机制， 本第二优选实施例的系统和第一优选实施例的大致相同，包含信息解析 单元ll、网络安全处理单元12、软硬件决定单元13、系统统计单元14、 软硬件密码设定单元15、传输接口 16及网络接口 18，其中本第二优选实 施例的运作机制与第一优选实施例的运作机制不同，因此无如图1所示网 际网络堆栈单元17。
另外和第一优选实施例不同的是，该网络安全处理单元12用以执行 一网络安全处理。该网络安全处理单元12包括对该多媒体会话进行网络 金钥认证协商的网络金钥认证子单元121，及具有硬件密码模块1221与软 件密码模块1222的密码处理子单元122、会话状态处理子单元225,及与 该会话状态处理子单元225连接的会话状态数据库226。该会话状态数据 库226也可以实施为只纪录一笔数据的会话状态数据项。其中，该网络安 全处理单元12的密码处理子单元122使用该保全插座层来执行该网络安 全处理。另外，该网络安全处理单元12的网络金钥认证子单元121为保 全插座层握手(SSL Handshake)以产生会话状态(Session Statement), 该会话状态同时产生于通信中的两方，做为加密解密的依据。参阅图13， 该会话状态数据库226具有多个金钥列127，每一金钥列具有多个数据域 2271。
由于采用保全插座层，使得网络安全处理单元12与第一优选实施例 略有不同，因此该软硬件决定单元13也有部分的改变。该软硬件决定单 元13用以根据该多媒体会话信息来决定执行该网络安全处理的硬件密码 模块1221或软件密码模块1222。该软硬件决定单元13包括可选择使用该 硬件密码模块1221或该软件密码模块1222的密码模块决定子单元131， 及与该密码模块决定子单元131联机的密码模块决定数据库132。其中如 果该软硬件决定单元13决定为该硬件密码模块1221时，由该会话状态处 理子单元225记录该会话状态及对应于该硬件密码模块1221的旗标及识 别信息于该会话状态数据库226的每一个金钥列127的该数据域2271 。其 中如果该软硬件决定单元13决定为该软件密码模块1222时，由该会话状 态处理子单元225记录该会话状态及对应于该软件密码模块1222的旗标 及函数指针于该会话状态数据库226的每一个金钥列127的该数据域 2271。
参阅图8、 14，其中图14显示在第二优选实施例中，该第一手机3和 该第二手机5进行该音频串流传输时，采用保全插座层进行保护的情况。 首先，如步骤701所示，信令处理该音频串流。接着，如步骤702所示， 该第一手机3获得该音频串流的编码类型，在本第二优选实施例中为 G.711。接着，如步骤703所示，使用该保全插座层握手用以产生该会话 状态来保护该音频串流。接着，如步骤704所示，利用该传输接口 16将 该会话状态与G. 711等信息一起传入该网络安全处理单元12。接着，如步 骤705所示，根据G. 711的资料，进入该软硬件决定单元13的密码模块 决定数据库132寻找应对应使用硬件译码模块1221或软件译码模块1222。 接着，如步骤706所示，该软硬件决定单元13的密码模块决定子单元131 决定为使用软件密码模块1222。最后，如步骤707所示，将该会话状态及 对应于该软件密码模块1222的该旗标及该函数指针更新至该会话状态数 据库中。经过上述步骤即可建立可以保护音频串流传输并由软件密码模块 执行的保全插座层信道。此外，该第一手机3与该网络媒体服务器4的视 频串流保护也可依上述说明类推。
综上所述，利用本发明以多媒体会话信息来选择使用软件或硬件来进 行加解密的动作，可以有效地应用于需要实时传送加密影音串流的环境， 确实达到提高效率的功效。
以上所说明的仅是本发明的优选实施例，而不能以此限定本发明实施 的范围，本领域技术人员在不脱离所附权利要求所限定的精神和范围的情 况下对本发明内容所作的简单的等效变化与修饰，皆属于本发明涵盖的范 围。
权利要求
1.一种利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法，包含下列步骤(a)信令处理多媒体会话的多个数据包并获得内含于该多媒体会话中的多媒体会话信息；(b)将该多媒体会话进行网络金钥认证协商；及(c)根据该多媒体会话信息，决定致能硬件密码模块或软件密码模块，如果该硬件密码模块被致能，则由该硬件密码模块对该多媒体会话的数据包执行网络安全处理，如果该软件密码模块被致能，则由该软件密码模块对该多媒体会话的数据包执行该网络安全处理。
2. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中在所述(a)步骤中，所述多媒体会话信息具 有媒体类型。
3. 根据权利要求2所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中在所述(c)步骤中，所述硬件密码模块或软 件密码模块的致能决定是基于所述多媒体会话信息的媒体类型的。
4. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中在所述(a)步骤中，所述多媒体会话信息具 有编码类型。
5. 根据权利要求4所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中在所述(c)步骤中，所述硬件密码模块或软 件密码模块的致能决定是基于所述多媒体会话信息的编码类型的。
6. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中所述(c)步骤包括子步骤，如果系统统计值 高于门限值，则所述多媒体会话的数据包由该硬件密码模块执行该网络安 全处理。
7. 根据权利要求6所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中所述系统统计值为中央处理器使用率。
8. 根据权利要求6所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中所述系统统计值为系统负载值。
9. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密码 模块的网络安全处理方法，其中在所述(b)步骤中，所述网络金钥认证协 商产生对应于所述多媒体会话的安全关联。
10. 根据权利要求9所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述(c)步骤包括子步骤，将对应于所 述硬件密码模块的旗标及的识别信息与所述安全关联建立连结关系。
11. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述(c)步骤包括子步骤，将对应于所 述软件密码模块的旗标及函数指针与所述安全关联建立连结关系。
12. 根据权利要求9所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述网络安全处理为网际网络安全协 议。
13. 根据权利要求9所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述网络金钥认证协商为网际网络金钥 交换。
14. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中在所述(b)步骤中，所述网络金钥认证协 商产生对应于所述多媒体会话的会话状态。
15. 根据权利要求14所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述(c)步骤包括子步骤，将对应于所述 硬件密码模块的旗标及识别信息与该会话状态建立连结关系。
16. 根据权利要求14所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述(c)步骤包括子步骤，将对应于所述 软件密码模块旗标及函数指针与该会话状态建立连结关系。
17. 根据权利要求14所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述网络安全处理为保全插座层。
18. 根据权利要求14所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述网络金钥认证协商为保全插座层握 手。
19. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述多媒体会话信息能够通过对话启始 协议获得。
20. 根据权利要求1所述的利用多媒体会话信息来选择软件或硬件密 码模块的网络安全处理方法，其中所述多媒体会话信息能够通过实时串流 协议获得。
21. —种利用多媒体会话信息来选择软件或硬件密码模块的系统，包括信息解析单元，用于信令处理多媒体会话，以获得其中的多媒体会话信息；网络安全处理单元，用于执行网络安全处理，所述网络安全处理单元 包括对所述多媒体会话进行网络金钥认证协商的网络金钥认证子单元，及 具有硬件密码模块与软件密码模块的密码处理子单元；及软硬件决定单元，用以根据所述多媒体会话信息来决定执行所述网络 安全处理的硬件密码模块或软件密码模块，所述软硬件决定单元包括能够 选择使用所述硬件密码模块或所述软件密码模块的密码模块决定子单元， 及与所述密码模块决定子单元联机的密码模块决定数据库。
22. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件 密码模块的系统，其中所述多媒体会话信息具有媒体类型。
23. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件 密码模块的系统，其中所述多媒体会话信息具有编码类型。
24. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件 密码模块的系统，还包括系统统计单元，用于纪录系统统计值，并在所述 系统统计值高于门限值时，由所述软硬件决定单元选择所述硬件密码模块 针对所述多媒体会话执行所述网络安全处理。
25. 根据权利要求24所述的利用多媒体会话信息来选择软件或硬件 密码模块的系统，其中所述系统统计值为中央处理器使用率。
26. 根据权利要求24所述的利用多媒体会话信息来选择软件或硬件 密码模块的系统，其中所述系统统计值为系统负载值。
27. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，还包括软硬件密码设定单元，用于连接所述软硬件决定单 元的密码模块决定数据库，并将多个选择使用所述硬件密码模块或所述软 件密码模块的预设条件输入所述密码模块决定数据库。
28. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中所述网络安全处理单元的网络金钥认证子单元使用网 际网络金钥交换以产生安全关联。
29. 根据权利要求28所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中所述网络安全处理单元还包括安全关联处理子单元及 与所述安全关联处理子单元连接的安全关联数据库，其中所述安全关联数 据库具有多个金钥列，每一个金钥列具有多个信息栏。
30. 根据权利要求29所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中如果所述软硬件决定单元决定为所述硬件密码模块 时，由所述安全关联处理子单元记录所述安全关联及对应于所述硬件密码 模块的旗标及识别信息于所述安全关联数据库的每一个金钥列的所述信 息栏。
31. 根据权利要求29所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中如果所述软硬件决定单元决定为所述软件密码模块 时，由所述安全关联处理子单元记录该安全关联及对应于所述软件密码模 块的旗标及函数指针于所述安全关联数据库的每一个金钥列的所述信息 栏。
32. 根据权利要求28所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中所述网络安全处理单元的密码处理子单元使用网际网 络安全协议来执行该网络安全处理。
33. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中所述网络安全处理单元的网络金钥认证子单元使用保 全插座层握手来产生会话状态。
34. 根据权利要求33所述的利用多媒体会话信息来选择软件或硬件密码模块的系统，其中所述网络安全处理单元还包括会话状态处理子单元及 与所述会话状态处理子单元连接的会话状态数据库，其中所述会话状态数 据库具有多个金钥列，每一个金钥列具有多个数据域。
35. 根据权利要求34所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中如果所述软硬件决定单元决定为所述硬件密码模块 时，由所述会话状态处理子单元记录所述会话状态及对应于所述硬件密码 模块的旗标及识别信息于所述会话状态数据库的每一个金钥列的所述数 据域。
36. 根据权利要求34所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中如果所述软硬件决定单元决定为所述软件密码模块 时，由所述会话状态处理子单元记录所述会话状态及对应于所述软件密码 模块的旗标及函数指针于所述会话状态数据库的每一个金钥列的所述数 据域。
37. 根据权利要求33所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中所述网络安全处理单元的密码处理子单元使用保全插 座层来执行所述网络安全处理。
38. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件密 码模块的系统，其中所述信息解析单元为对话启始协议处理单元。
39. 根据权利要求21所述的利用多媒体会话信息来选择软件或硬件密码模块的系统，其中所述信息解析单元为实时串流协议处理单元。
全文摘要
一种利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法及系统，该方法包含下列步骤首先，信令处理多媒体会话的多个数据包并获得内含于该多媒体会话中的多媒体会话信息。接着，将该多媒体会话进行网络金钥认证协商。然后，根据该多媒体会话信息，决定致能硬件密码模块或软件密码模块，如果该硬件密码模块被致能，则由该硬件密码模块对该多媒体会话之数据包执行网络安全处理，如果该软件密码模块被致能，则由该软件密码模块对该多媒体会话的数据包执行该网络安全处理。
文档编号H04L29/06GK101166180SQ20061013551
公开日2008年4月23日 申请日期2006年10月16日 优先权日2006年10月16日
发明者刘学灯 申请人:松下电器产业株式会社