[发明专利]利用多媒体会话信息的网络安全处理方法及其系统

说明书

技术领域

本发明涉及一种网络安全处理方法及其系统，特别是指一种利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法及其系统。

背景技术

在网络消费者电子装置上使用高效能的网际网络安全协议(IPsecurity，IPsec)传送加密图像、视频及音乐媒体串流是有其强烈需求的。目前，一般现有的做法是利用加解密的加速器或硬件执行网际网络安全协议时的卸载(Offload)。

然而，根据2003年出版的Usenix年度技术会议(Usenix AnnualTechnical Conference)上发表的题为“The Design of the OpenBSDCryptographic Framework”的论文中，指出使用加解密的加速器或硬件所产生的问题。该问题是，与没有使用硬件的密码加速器相比，小数据包(Small Packet)传输花费较长的密码处理时间。其原因在于操作系统核心(OS Kernel)及数据总线(Data Bus)和密码处理硬件的额外开销(Overhead)。更具体地讲，小数据包和一般大小的数据包相同，都有过度负载，但是对小数据包而言，整体系统在单位时间内必须处理更多的额外开销。因此，需要付出较高的代价来处理小数据包传输，即使利用密码处理硬件，亦无法有效地缩短密码加解密的处理时间。

标题为加密设备和加密/解密处理方法(Encryption Device andEncryption/Decryption Processing Method)的日本专利公开JP2003069555描述了一种方法与装置用以解决上述问题的方案。在方案中，检验每个数据包的长度来决定是由硬件密码模块还是由软件密码模块来进行密码处理。如果是小数据包则由软件密码模块进行密码处理，如果是大数据包则由硬件密码模块进行密码处理。

然而，上述选择使用软件或硬件密码模块的处理电路必须需要对每个数据包进行检查，因此对于需要注重传输速率的影音串流而言效率非常低。另外，该处理电路也没有考虑在中央处理器或系统负载高时，无条件地将小数据包交由软件密码模块处理，将导致整体系统效能的低落。因此有必要寻求解决的道。

发明内容

因此，本发明的目的是提供一种利用多媒体会话信息用以选择软件或硬件密码模块的网络安全处理方法。

于是，本发明利用多媒体会话信息来选择软件或硬件密码模块的网络安全处理方法包含下列步骤。首先，信令处理多媒体会话的多个数据包并获得内含在该多媒体会话中的多媒体会话信息。接着，将该多媒体会话进行网络金钥认证协商。然后，根据该多媒体会话信息，决定致能硬件密码模块或软件密码模块，如果该硬件密码模块被致能，则由该硬件密码模块对该多媒体会话的数据包执行网络安全处理，如果该软件密码模块被致能，则由该软件密码模块对该多媒体会话的数据包执行该网络安全处理。

此外，本发明的另一个目的是提供一种利用多媒体会话信息来选择软件或硬件密码模块的系统。

于是，本发明利用多媒体会话信息来选择软件或硬件密码模块的系统包括：信息解析单元、网络安全处理单元，及软硬件决定单元。

该信息解析单元用于信令处理多媒体会话，以获得其中的多媒体会话信息。该网络安全处理单元用于执行网络安全处理，该网络安全处理单元包括对该多媒体会话进行网络金钥认证协商的网络金钥认证子单元，及具有硬件密码模块与软件密码模块的密码处理子单元。该软硬件决定单元用于根据该多媒体会话信息来决定执行该网络安全处理的硬件密码模块或软件密码模块，该软硬件决定单元包括可选择使用该硬件密码模块或该软件密码模块的密码模块决定子单元，及与该密码模块决定子单元联机的密码模块决定数据库。

本发明的功效在于可适当地选择软件密码模块或硬件密码模块来执行网际网络安全处理，在应用于密码影音传输时具有最高的执行效率。

附图说明

图1是说明本发明利用多媒体东信期信息来选择软件或硬件密码模块的网络安全处理方法及其系统的第一优选实施例的系统方框图；

图2是说明该第一优选实施例的网络安全处理单元及软硬件决定单元的功能方框图；

图3是说明该第一优选实施例的安全关联数据库的内容的数据库示意图；

图4是说明该第一优选实施例的密码模块决定数据库的内容的数据库示意图；

图5是说明该第一优选实施例的产生安全关联的流程的流程图；

图6是说明在该第一优选实施例中，将多个网际网络数据包转换为多个网际网络安全协议数据包的流程图；

图7是说明在该第一优选实施例中，将该网际网络安全协议数据包转换为网际网络数据包的流程图；