技術領域

本發明涉及用于增強應用層的安全的加密處理方法和加密處理裝置。

背景技術

專利文獻1提出了增強與應用層安全協議對應的處理性能的方法。在專利文獻1中，公開了為了增強處理性能，加密加速器從CPU去除加密處理的負荷。但是，在專利文獻1所公開的方法中，對每個輸入消息或輸出消息，在用戶空間與內核空間(kernel?space)之間發生兩次內存復制(memory?copy)動作，因此，招致較大的開銷。

于是，為了應對應用層安全協議中用戶-內核空間的內存復制的開銷，提出了以下的發明(專利文獻2)。

專利文獻2提出了使網絡協議卸載芯片負擔加密處理和網絡協議棧處理這兩者的負荷，從而減輕內存復制的開銷的方法，所述網絡協議卸載芯片由加密加速器、以及網絡協議棧處理器構成。但是，為了實現該方法，需要特定的網絡硬件結構，因此，不符合于已嵌入裝置中的基于軟件的TCP/IP棧。

專利文獻1：美國專利申請第7,047,405號說明書

專利文獻2：美國專利申請第6,983,382號說明書

發明內容

發明需要解決的問題

但是，在專利文獻1中，產生如下的問題：在進行應用層安全協議時，對每個輸入消息或輸出消息，在用戶空間與內核空間之間將各個多媒體有效載荷多次復制到存儲器中，因此，加密處理性能較差。這里，所謂有效載荷是指，從數據塊中去除了報頭(header)等的數據本身。在處理音頻視頻等的大小較大的有效載荷時，加密處理性能更加惡化。

在專利文獻2中，即使能夠避免內存復制的開銷，也在連續地處理大小較大的有效載荷被分段的部分時，由于不存在有關用于使連續的兩個段關聯對應的加密的信息，因此，在適用應用層安全協議時，在對各個段個別地進行CBC(Cipher?Block?Chaining，密碼分組鏈接)模式或計數器模式的加密和認證處理時產生困難。

本發明鑒于上述各點而完成，其目的在于，提供有效地增強安全多媒體通信的加密解密處理性能或認證處理性能的加密處理方法和加密處理裝置。

解決問題的方案

本發明的加密處理方法的一個形態為，用于增強對于通過安全協議進行了安全處理的多媒體通信的加密解密處理或認證處理，其包括以下步驟：在開始所述多媒體通信時，存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息；將明文的多媒體分組發送到虛擬網絡接口；基于所述安全處理信息中包含的所述識別條件，在網絡協議棧內對所述明文的多媒體分組進行過濾；在所述明文的多媒體分組被過濾時，在所述明文的多媒體分組符合所述安全處理信息中包含的所述識別條件的情況下，對所述明文的多媒體分組進行加密處理或認證處理，修改所述安全多媒體分組的有效載荷以符合安全協議；將發往所述虛擬網絡接口的所述安全多媒體分組轉發到原來的網絡接口；以及從所述原來的網絡接口輸出所述安全多媒體分組。

本發明的加密處理裝置的一個形態為，用于增強對于通過安全協議進行了安全處理的多媒體通信的加密解密處理或認證處理，其所采用的結構包括：存儲單元，存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息；發送單元，將明文的多媒體分組發送到虛擬網絡接口；修改單元，判斷所述明文的多媒體分組是否符合所述安全處理信息中包含的所述識別條件，在符合所述識別條件時，對所述明文的多媒體分組進行加密處理或認證處理，修改所述安全多媒體分組的有效載荷以符合安全協議；置換單元，將發往所述虛擬網絡接口的所述安全多媒體分組轉發到原來的網絡接口；以及輸出單元，從所述原來的網絡接口輸出所述安全多媒體分組。

本發明的加密處理方法的一個形態為，用于增強對于通過安全協議進行了安全處理的多媒體通信的加密解密處理或認證處理，其包括以下步驟：在開始所述多媒體通信時，存儲包含用于識別需要加密解密處理或認證處理的分組的識別條件的安全處理信息；基于所述安全處理信息中包含的所述識別條件，在網絡協議棧內對所輸入的安全多媒體分組進行過濾；在所述安全多媒體分組被過濾時，在所述安全多媒體分組符合所述安全處理信息中包含的所述識別條件的情況下，對所述安全多媒體分組進行解密處理或認證處理，將所述安全多媒體分組的有效載荷修改為明文有效載荷；以及將明文的多媒體分組發送到所述輸入多媒體通信的應用層。