专利名称:一种数据包处理的方法和装置的制作方法
技术领域:
本发明涉及计算机网络领域的安全技术,尤其涉及一种数据包处理的方法 和装置。
背景技术:
RFC3972定义的CGA ( Cryptographically Generated Addresses,加密生 成地址)协i义是加密生成地址协议。 一个加密生成地址是一个IPv6地址,地 址长度为128位,前64位为子网前缀,后64位为接口标识符。CGA中的接 口标识符由公钥和一些附加参数通过计算单向哈希函数生成。通过对参数重新 计算哈希值并与接口标识符比较,可以验证这一由公钥及参数生成的地址与公
钥的关联性。并通过用对应于该公钥的私钥对发送的消息进行签名,以及接收 者对签名的验证过程,来达到验证源地址的目的。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺点尽管 CGA具有源地址验证的功能,但对CGA的应用大都是应用于某一种或几种应 用协议提出的,缺乏通用性,使用范围非常有限。
发明内容
本发明的实施例提供一种应用于网络层的通用的安全技术,扩展CGA协 议的使用范围。
根据本发明的一个实施例,提供一种数据包处理的方法,包括 接收来自发送方的携带CGA扩展头的IPv6报文;
在网络层,从所述IPv6报文中获得所述CGA扩展头,所述扩展头中包括 CGA参数、签名信息;
根据所述CGA参数、签名信息,对IPv6报文的源地址进行验证,输出验 证结果;
验证通过,则向上层传输去除所述CGA扩展头的IPv6报文。根据本发明的另一实施例,提供一种数据包处理的装置,包括
接收单元,用于接收来自发送方的携带CGA扩展头的IPv6报文;
CGA扩展头获取单元,用于从所述IPv6报文中获得所述CGA扩展头中 携带的发送方的CGA参数、签名信息;
验证单元,用于根据所述CGA参数、签名信息,对IPv6报文的源地址进 行验证,并输出验证结果;
传输单元,用于当验证结果为通过时,向上层传输去除所述CGA扩展头 的IPv6报文。
根据本发明实施例,通过将发送方的CGA参数、签名信息以CGA扩展 头加入到IPv6扩展头中,接收方可以利用接收到的信息在网络层实现对IPv6 报文的源地址进行验证,使得本不可靠的网络层,有了安全性保障;同时由于 在网络层实现安全机制,具有较强通用性及广泛的使用范围。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 图1为本发明提供的数据包处理方法的一个实施例的流程示意图; 图2为本发明一个实施例提供的CGA扩展头的格式示意图; 图3为本发明一个实施例提供的CGA请求选项的格式示意图; 图4为本发明一个实施例提供的CGA参数选项的格式示意图; 图5为本发明一个实施例提供的CGA签名选项的格式示意图; 图6为本发明提供的数据包处理方法的一个实施例的流程示意图; 图7为本发明实施例提供的-险-i正步骤的一个实施例的流程示意图; 图8为本发明一个实施例的应用场景;
图9为本发明提供的数据包处理的装置的一个实施例的结构示意图;图10为本发明提供的验证单元一个实施例的结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例在IP( Internet Protocol,因特网协议)报文,例如IPv6( Internet Protocol version 6,因特网协议版本6 )扩展头中增加CGA ( Cryptographically Generated Addresses,加密生成地址)扩展头,该CGA扩展头可以包括CGA Request ( CGA请求)、CGA Params ( CGA参数)、CGA Sig ( CGA签名)。CGA 扩展头用于携带CGA信息。数据包的接收方根据CGA信息对发送方的地址 进行验证。下面以IPv6报文做为实施例进行阐述,显然对于其他类型的IP报 文,只要具备扩展协议头的字段或者兼容IPv6报文,则都可以应用本发明, 本发明并不限制于IPv6报文。例如,在后续高于IPv6版本的协议下的IP报 文或者兼容IPv6的IP报文,只要该IP报文具备扩展头,都可以实施本发明。
在IPv6里,可选的网络层信息在一个独立的头部编码,;故在包中IPv6头 与上层协议头之间。 一个IPv6头可以携带零个, 一个或者更多的扩展头,每 个扩展头由前一个头中的"下一个头"字段标识。可以在IPv6扩展头中增加 CGA扩展头。例如,增加了 CGA扩展头后的IPv6扩展头排列顺序如下 IPv6 header
0 Hop-by-Hop Options header
60 Destination Options header
43 Routing header
44 Fragment header 149 CGA header
51 Authentication header
850 Encapsulating Security Payload header
其中,前面的数字是协议号,由IANA分配得来,新增加的CGA扩展头 可以使用暂未分配的协议号,例如上文中提及的149,当然还可以使用其他未 使用的协议号。
如图l所示,本发明提供的数据包处理方法的一个实施例中,当发送方发 送一个携带CGA扩展头的IPv6报文时,包括如下步骤 S101:生成一个CGA扩展头;
所述CGA扩展头中可以包括发送方公钥以及发送方数字签名;发送方 根据公钥和一些相关参数通过计算单向哈希函数生成一个IPv6源地址,利用 发送方的私钥进行数字签名,并将相关参数、数字签名填充到CGA扩展头的 相应位置。
S102:将CGA扩展头加入到IPv6报文的扩展头中,生成一个携带所述
CGA扩展头的IPv6报文;
CGA扩展头位于IPv6报文中IPv6头与上层协议头之间。
S103:向接收方发送携带CGA扩展头的IPv6报文,所述IPv6报文用于
接收方实现IPv6报文发送方的源地址验证。
本发明的一个实施例中,CGA扩展头的格式如图2所示,所述CGA扩展 头包括
下一头(NextHeader)字段,为8比特的选择符,标识该CGA扩展的下一个 头类型。
扩展头长度(HdrExtLen)字段,为8比特无符号整数。标识该CGA扩展头 的长度,计算长度时不包括前8字节,以8字节为单位。该字段长度为O,表示 一种特殊含义,即初始化CGA。当通信一方想要使用CGA保护通信时,可以 选择发出长度为O的CGA扩展;当通信一方收到长度为O的扩展头时,则向对方发出CGA请求。
预留域(Reserved)字段,长度为16比特,以备将来扩展使用。该预留域 字段设为0。
选项(Options)字段,该部分长度可变,包含了一个或者多个数据类型。
Options可以选择三种类型数据,分别是CGA请求、CGA参数、CGA 签名。CGA请求用于请求对方提供CGA参数;CGA参数用于传输CGA参 数;CGA签名是使用CGA节点的私钥对数据包负载部分的签名。CGA扩展 头如果包含CGA参数选项,则同时包含CGA签名选项,否则接收方向发送 方发送一个错误的ICMP消息至源地址,通知不可识别的选项类型。在没有收 到CGA请求的时候,发送方也可以在数据包中添加CGA扩展头;对CGA扩 展头的处理方式(认证或者忽略)由接收方决定。
发送方主^/L在网络层收到上层传下来的数据包,在封装IPv6头时就可以 将CGA扩展头同时封装进去。如果主机发送的数据包的包头中包含了 CGA请 求选项时,那么就是想验证接收方的源地址,则接收方发回的数据包中就应该 携带CGA参数和CGA签名选项,向发送方主机提供验证所需要的数据内容, 其中CGA参数选项中的Sequence Number字段为CGA请求选项中的序列号 的值加1;发送方主机也可以主动在发出的数据包中加入CGA扩展头,包含 CGA参数和CGA签名选项,为接收方提供验证发送方地址的相关数据内容, 其中CGA参数选项中的Sequence Number字段置0。
本发明实施例提出的CGA请求选项的格式如图3所示,该CGA请求选 项包括
类型(Type)字段,为8比特无符号整数,在本实施例中,当该类型字段 的数值为193时,表明该数据包为CGA请求。在其它实施例中,也可用其它 数值表明该数据包为CGA请求。
预留域(Reserved)字段,长度为24比特,以备将来扩展使用。该预留 域字段设为0。
序列号(SequenceNumber)字段,为32比特随机数,包括防止重放攻击
10的信息。
主机可以根据上层协议,主动向接受方发起CGA请求,要求接受方发送
CGA参数和CGA签名信息,对接受方进行源地址验证。
本发明实施例提出的CGA参数选项的格式如图4所示,该CGA参数选 项包括
类型(Type)字段,为8比特无符号整数。在本实施例中,当该类型字段 的数值为194时,表明该数据包为CGA参数。在其它实施例中,也可用其它 值表明该数据包为CGA参数。
长度(Length)字段,为8比特无符号整数,以字节为单位,表明整个 CGA参数的长度,为类型字段、长度字段、填充长度字段、预留域字段、序 列号字段、CGA参数字段以及填充字段等各字段长度的总和。
填充长度(Pad Length)字段,为8比特无符号整数,表示填充字段的长 度,单位为字节。
预留域(Reserved)字段,长度为8比特字段,以备将来扩展使用。该预 留域字段必须设为0。
序列号(SequenceNumber)字段,为32比特整数,包括防止重放攻击的 信息。如果该CGA参数用于响应CGA请求,该序列号字段的值为CGA请求 中的序列号的值加l;否则,将该序列号字段置为0。
参数(Parameters)字段,长度可变,包括CGA参数信息。
填充(Padding)字段,可变长度域,用于使数据包长度为8字节的整数 倍。该填充字段的内容为0。
本发明实施例提出的CGA签名选项的格式如图5所示,该CGA签名选 项包括
类型(Type)字段,为8比特无符号整数。在本实施例中,若类型字段的 数值为195时,表明该数据包为CGA签名。在其它实施例中,也可用其它数 值表明该数据包为CGA签名。
长度(Length)字段,为8比特无符号整数,以字节为单位表明整个CGA签名的长度,为类型字段、长度字段、填充长度字段、预留域字段、CGA签
名字段和填充字段等各字段长度的总和。
填充长度(Pad Length)字段,为8比特无符号整数,表示填充字段的长 度,单位为字节。
预留域(Reserved)字段,长度为8比特,以备将来扩展使用。该预留域 字段设为0。
签名(Signature)字段,为可变长度字段,包括用发送者私钥对数据包内 容的签名。
填充(Padding)字段,为可变长度字段,用于使数据包长度为8字节的 整数倍。该填充字段的内容为0。
接收方可以在收到发送方的CGA请求后,向发送方返回携带CGA参数 和CGA签名选项的数据包,提供给发送方主机验证所需要的数据内容,在这 种方式下,CGA参数选项中序列号字^殳的值为CGA请求中的序列号的值加1; 发送方也可以主动在发出的数据包中加入CGA扩展头,包含CGA参数和 CGA签名选项,为接收方提供验证自己地址的相关数据内容,在这种方式下, CGA参数选项中的Sequence Number字段置0。
CGA参数选项中携带的CGA参数字段与IPv6报文头中的源地址对应。 发送方根据公钥和一些附加参数通过计算单向哈希函数生成一个IPv6源地 址,并按照CGA协议的要求生成其他参数。
CGA签名选项中的签名使用的私钥与同一个扩展头中的CGA参数中携 带的公钥对应。
发送方生成CGA签名选项的步骤如下
主机获取下列内容,并按顺序将下列内容连接起来
从IP数据包的报头信息中获得128位源地址;
从IP数据包的报头信息中获得128位目的地址;
除了 CGA签名选项的CGA扩展头部分;
IP数据包的负载部分(传输层以及以上部分)。
然后对得到的数据使用私钥进行签名,并将签名放入CGA签名选项的Digital Signature字^殳中。
如图6所示,本发明提供的一个实施例中,当接收方收到一个携带CGA 扩展头的IPv6报文,处理流程如下
S601:接收来自发送方的携带CGA扩展头的IPv6净艮文; 接收方的网络层接收下层传输来的IPv6报文。
S602:在网络层,从所述IPv6报文中获得所述CGA扩展头,所述扩展头
中包括发送方的CGA参数、签名信息;
S603:根据所述CGA扩展头携带的信息,对发送方的源地址进行验证; 根据CGA扩展头中携带的CGA参数和CGA签名选项,对IPv6报文进
行验证。
S604:如果验证通过,则向上层传输去除所述CGA扩展头的IPv6报文, 由上层对报文进行相应处理;
S605:如果验证不通过,则丟弃所述IPv6报文,并向发送方发送ICMP 错误报文。
在步骤S603之前还可以包括网络层确认需要对IPv6报文的源地址进行 验证;网络层可以根据相关的配置信息确定是否需要进行验证。所述配置信息 一般是来自上层协议,上层协议可以根据用户的输入、主机默认的配置或者上 层协议的安全性要求生成所述配置信息,并将配置信息通知给网络层。如果接 收方根据相关的配置信息确认需要验证,验证步骤的一个实施例如下
S701:验证CGA参数中序列号的值;
如果收到的IPv6报文为对CGA请求的响应,接收方首先将CGA参数选 项中的Sequence Number减1 ,与自己緩存的CGA请求中的Sequence Number 比较。如果一致,则进行下一步;否则,丟弃该IPv6报文,发送ICMP错误报文。
S702:根据CGA参数,对IPv6报文头中包含的源地址进行认证。如果认 证通过,则进行下一步;否则,丟弃该IPv6报文,发送ICMP错误报文。
S703:使用CGA参数中的公钥对CGA签名中的签名字段的内容解密, 将得到的内容和IPv6报文中部分内容串接的哈希值比较。如果内容一致,则验证通过;否则,丟弃该IPv6报文,发送ICMP错误报文。 在步骤S601之前还可以包括
生成并向发送方发送一个携带CGA扩展头的IPv6报文,所述CGA扩展 头中包含CGA请求选项,请求所述发送方发送CGA验证信息;
发送方回复携带CGA扩展头的IPv6报文,CGA扩展头中包括CGA参 数和CGA签名选项,其中CGA参数选项的Sequence Number为CGA请求 选项中Sequence Number的数值力口 1 。
生成并发送一个携带CGA扩展头的IPv6报文的步骤包括
生成一个CGA扩展头,所述CGA扩展头中包括CGA请求选项;
将CGA扩展头加入到IPv6报文的扩展头中,生成一个携带所述CGA扩 展头的IPv6寺艮文;
向接收方发送携带CGA扩展头的IPv6报文。
本发明实施例中,通过将发送方的CGA参数、签名信息以CGA扩展头 加入到IPv6扩展头中,接收方可以利用接收到的信息在网络层实现对IPv6报 文的源地址进行验证,为网络层提供源地址验证的方法,充分发挥CGA协议 源地址验证的作用,使得本不可靠的网络层,有了安全性保障;同时,由于在 网络层进行安全验证,该安全机制不限于某一种或几种上层应用协议,具有应 用范围广泛、通用性强的特性。
显然,本发明并不限制于IPv6报文。例如,在后续高于IPv6版本的协议 下的IP报文或者兼容IPv6的IP报文,只要该报文具备扩展头,都可以实施 本发明,其实施的流程与上述实施例方法类似。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算 机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。 其中,所述的存储介质可为;兹碟、光盘、只读存储记忆体(Read-OnlyMemory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
14图8所示为本发明一个实施例的应用场景,对于相互通信的两个主机,发
送方在网络层将CGA参数和签名添加到CGA扩展头中,并封装到IPv6报文 中,再将IPv6报文发送出去;接收方在网络层提取发送方的CGA参数和签名 并进行验证,如果验证成功,则向传输层传输去掉CGA扩展头的IPv6报文。 如图9所示,本发明一种数据包处理的装置的一个实施例包括 接收单元11,用于接收来自发送方的携带CGA扩展头的IPv6报文; CGA扩展头获取单元12,用于从所述IPv6报文中获得所述CGA扩展头 中携带的发送方的CGA参数、签名信息;
验证单元13,用于根据所述CGA参数、签名信息,对IPv6报文的源地 址进行验证,并输出验证结果;
传输单元14,用于当验证结果为通过时,向上层传输去除所述CGA扩展 头的IPv6才艮文;
错误处理单元15,用于当验证结果为不通过时,丢弃所述IPv6报文,并 向发送方发送错误报文。
根据本发明的一个实施例,所述数据包处理的装置还可以包括 CGA信息请求单元,生成并发送一个携带CGA扩展头的IPv6报文,所 述CGA扩展头中包含CGA请求选项,请求发送方发送CGA参数、签名信息。 在一个实施例中,所述CGA信息请求单元可以包括
扩展头生成单元,用于生成一个CGA扩展头,所述CGA扩展头中包括 CGA请求选项;
添加单元,用于将CGA扩展头加入到IPv6报文的扩展头中,生成一个携 带所述CGA扩展头的IPv6报文;
发送单元,用于发送携带所述CGA扩展头的IPv6报文。
根据本发明的一个实施例,所述数据包处理的装置还可以包括-. 验证确认单元,用于根据相关的配置信息,确认需要对IPv6报文的源地 址进行验证。所述配置信息一般是来自上层协议,上层协议可以根据用户的输入、主机 默认的配置或者上层协议的安全性要求生成所述配置信息,并将配置信息通知 给网络层。
如图IO所示,本发明实施例中验证单元13的一个实施例包括 序列号验证单元131,用于验证CGA参数中序列号的值,并在验证通过
后传输所述IPv6报文;否则,输出验证不通过的验证结果;
源地址认证单元132,用于根据CGA参数,对IPv6报文头中包含的源地
址进行认证;并在-险i正通过后传输所述IPv6才艮文;否则,输出-验证不通过的
验证结果;
签名验证单元133,用于使用CGA参数中的公钥对CGA签名中的签名 字段的内容解密,将得到的内容和IPv6报文中部分内容串接的哈希值比较, 如果内容一致,输出验证通过的验证结果;否则,输出验证不通过的验证结果。
本发明实施例中,通过将发送方的CGA参数、签名信息以CGA扩展头 加入到IPv6扩展头中,接收方可以利用接收到的信息在网络层实现对IPv6报 文的源地址进行验证,为网络层提供源地址验证的方法,充分发挥CGA协议 源地址验证的作用,使得本不可靠的网络层,有了安全性保障;同时,由于在 网络层进行安全验证,该安全机制不限于某一种或几种上层应用协议,具有应 用范围广泛、通用性强的特性。
显然,本发明装置实施例并不限制于IPv6报文。例如,在后续高于IPv6 版本的协议下的IP报文或者兼容IPv6的IP报文,只要该IP报文具备扩展头, 都可以实施本发明,其实施的方式与上述实施例的装置类似。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开 的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。
权利要求
1、一种数据包处理的方法,其特征在于,包括接收来自发送方的携带CGA扩展头的IPv6报文;在网络层,从所述IPv6报文中获得所述CGA扩展头,所述扩展头中包括CGA参数、签名信息;根据所述CGA参数、签名信息,对IPv6报文的源地址进行验证,输出验证结果;验证通过,则向上层传输去除所述CGA扩展头的IPv6报文。
2、 如权利要求1所述的方法,其特征在于,所述根据所述CGA参数、签名信息,对IPv6才艮文的源地址进行验证的步骤包括验证CGA参数中序列号的值;根据CGA参数,对IPv6报文头中包含的源地址进行认证;使用CGA参数中的公钥对CGA签名中的签名字段的内容解密,将得到的内容和IPv6报文中部分内容串接的哈希值比较。
3、 如权利要求l所述的方法,其特征在于,还包括生成并发送一个携带CGA扩展头的IPv6报文,所述CGA扩展头中包含CGA请求选项,请求所述发送方发送CGA参数、签名信息。
4、 如权利要求3所述的方法,其特征在于,生成并发送一个携带CGA扩展头的IPv6报文的步骤包括生成一个CGA扩展头,所述CGA扩展头中包括CGA请求选项;将CGA扩展头加入到IPv6报文的扩展头中,生成一个携带所述CGA扩展头的IPv6报文;向接收方发送携带CGA扩展头的IPv6报文。
5、 如权利要求l所述的方法,其特征在于,还包括网络层根据相关配置信息,确认需要对IPv6 "^艮文的源地址进行验证。
6、 如权利要求l所述的方法,其特征在于,还包括验证不通过,则丟弃所述IPv6报文,并向发送方发送错误报文。
7、 一种数据包处理的装置,其特征在于,包括接收单元,用于接收来自发送方的携带CGA扩展头的IPv6报文;CGA扩展头获取单元,用于从所述IPv6报文中获得所述CGA扩展头中携带的发送方的CGA参数、签名信息;验证单元,用于根据所述CGA参数、签名信息,对IPv6报文的源地址进4亍验证,并输出验i正结果;传输单元,用于当-睑证结果为通过时,向上层传输去除所述CGA扩展头的IPv6才艮文。
8、 如权利要求7所述的装置,其特征在于,还包括错误处理单元,用于当验证结果为不通过时,丢弃所述IPv6报文,并向发送方发送错误报文。
9、 如权利要求7或8所述的装置,其特征在于,所述验证单元包括序列号验证单元,用于验证CGA参数中序列号的值;源地址认证单元,用于根据CGA参数,对IPv6报文头中包含的源地址进行认证;签名验证单元,用于使用CGA参数中的公钥对CGA签名中的签名字段的内容解密,将得到的内容和IPv6报文中部分内容串接的哈希值比较,如果内容一致,则输出验证通过的验证结果。
10、 如权利要求7所述的装置,其特征在于,还包括验证确认单元,用于根据相关配置信息,确认需要对IPv6报文的源地址进行验证。
11、 如权利要求7所述的装置,其特征在于,还包括CGA信息请求单元,生成并发送一个携带CGA扩展头的IPv6报文,所述CGA扩展头中包含CGA请求选项,请求所述发送方发送CGA参数、签名信息。
12、 如权利要求11所述的装置,其特征在于,所述CGA信息请求单元包括扩展头生成单元,用于生成一个CGA扩展头,所述CGA扩展头中包括CGA请求选项;添加单元,用于将CGA扩展头加入到IPv6报文的扩展头中,生成一个携带所述CGA扩展头的IPv6报文;发送单元,用于发送携带所述CGA扩展头的IPv6报文。
13、 一种数据包处理的方法,其特征在于,包括接收来自发送方的携带CGA扩展头的IP报文;在网络层,从所述IP报文中获得所述CGA扩展头,所述扩展头中包括CGA参数、签名信息;根据所述CGA参数、签名信息,对IP报文的源地址进行验证,输出验证结果;验证通过,则向上层传输去除所述CGA扩展头的IP报文。
14、 如权利要求13所述的方法,其特征在于,所述根据所述CGA参数、签名信息,对IP报文的源地址进行验证的步骤包括验证CGA参数中序列号的值;根据CGA参数,对IP报文头中包含的源地址进行认证;使用CGA参数中的公钥对CGA签名中的签名字段的内容解密,将得到的内容和IP报文中部分内容串接的哈希值比较。
15、 如权利要求13所述的方法,其特征在于,还包括生成并发送一个携带CGA扩展头的IP报文,所述CGA扩展头中包含CGA请求选项,请求所述发送方发送CGA参数、签名信息。
16、 如权利要求13所述的方法,其特征在于,生成并发送一个携带CGA扩展头的IP报文的步骤包括生成一个CGA扩展头,所述CGA扩展头中包括CGA请求选项;将CGA扩展头加入到IP报文的扩展头中,生成一个携带所述CGA扩展头的IPv6报文;向接收方发送携带CGA扩展头的IP报文。
全文摘要
本发明实施例公开了一种数据包处理的方法和装置。所述方法包括接收来自发送方的携带CGA扩展头的IPv6报文;在网络层,从所述IPv6报文中获得所述CGA扩展头,所述扩展头中包括CGA参数、签名信息;根据所述CGA参数、签名信息,对IPv6报文的源地址进行验证,输出验证结果;验证通过,则向上层传输去除所述CGA扩展头的IPv6报文。
文档编号H04L12/56GK101640631SQ200810142580
公开日2010年2月3日 申请日期2008年7月28日 优先权日2008年7月28日
发明者刘利锋, 东 张 申请人:成都市华为赛门铁克科技有限公司