專利名稱:用于在路由期間加密的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及網(wǎng)絡(luò)路由和加密����,并且更具體地涉及路由期間的加密。
背景技術(shù):
如今像因特網(wǎng)這樣的計算機(jī)網(wǎng)絡(luò)是眾所周知的���。這樣的網(wǎng)絡(luò)包括通信介質(zhì)����、防火墻�����、路由器���、網(wǎng)絡(luò)交換機(jī)和集線器。網(wǎng)絡(luò)常?��;ミB客戶計算機(jī)和服務(wù)器���。在通過因特網(wǎng)通信的情況下,通常在源計算機(jī)和目的計算機(jī)之間存在很多路由器和很多可能的路由路徑�。當(dāng)消息到達(dá)路由器時�,路由器對通往目的地的路徑中的下一路由器或“跳(hop)”進(jìn)行判定�����。存在很多已知的算法用于進(jìn)行該判定����,例如OSPF、RIP���、IGRP�����、EIGRP���、ISIS或BGP。通常�,路由判定試圖經(jīng)由最少的跳數(shù)將消息分組路由至目的地。
然而�,路由器還可能考慮其它因素。例如����,如果消息是敏感的��,例如含有機(jī)密數(shù)據(jù)���,并且沒有被加密,則在傳輸?shù)椒潜C芫W(wǎng)絡(luò)上之前可能需要對它進(jìn)行加密�。將未加密的消息轉(zhuǎn)發(fā)到在其中對消息進(jìn)行加密的虛擬專用網(wǎng)是已知的。然后����,將消息轉(zhuǎn)發(fā)到路由器以便基于OSPF、RIP���、IGRP����、EIGRP�、ISIS或BGP來進(jìn)行已知的、最少跳的路由判定�����。雖然路由器可以檢測到消息是否已加密�,但是確定該消息是否含有敏感數(shù)據(jù)卻較為困難����。因此�����,如果路由器接收到未加密的消息�,則它可以自動地將消息轉(zhuǎn)發(fā)到虛擬專用網(wǎng)用于加密�,而不需要考慮該消息是否含有敏感數(shù)據(jù)。在消息不含敏感數(shù)據(jù)的那些情況下��,這加重了虛擬專用網(wǎng)及其加密設(shè)備的負(fù)擔(dān)�����,并且還減慢了對消息的傳播�����。
美國專利6,732,273公開了一種消息的發(fā)送器�����,其生成消息特征碼并且在遠(yuǎn)離消息分組的主體的情況下�����,將該消息特征碼附于每個消息分組。當(dāng)路由器接收到消息分組時��,其讀取消息特征碼��。如果該碼指示消息需要保密通信(通常如果有效載荷中的數(shù)據(jù)是敏感的并且未加密)��,那么路由器以安全的方式(例如通過加密或其它的安全途徑)來傳播消息分組��。然而�����,如果該碼指示消息并不敏感(通常如果有效載荷中的數(shù)據(jù)并不敏感���,或者是敏感的但卻未加密)��,那么路由器沿最短路徑傳播消息分組���,通常通過非保密因特網(wǎng)。雖然該技術(shù)是有效的�����,但它卻要求消息的發(fā)送器生成消息特征碼。
本發(fā)明的目的是使得諸如路由器的網(wǎng)絡(luò)設(shè)備能夠在不需要上述類型的消息特征碼的情況下��,確定消息是否含有未加密的敏感數(shù)據(jù)�����。
發(fā)明內(nèi)容
本發(fā)明在于用于路由的計算機(jī)系統(tǒng)���、方法和程序。接收未加密的消息分組��。作為響應(yīng)����,讀取所述消息分組中的有效載荷以確定所述有效載荷是否含有敏感信息。如果所述有效載荷含有敏感信息����,則對所述消息分組進(jìn)行加密并且隨后將其路由至非保密通信路徑。如果所述有效載荷不含敏感信息��,則將所述消息分組路由至非保密通信路徑而不需要對所述消息分組進(jìn)行加密���。
依照本發(fā)明的特征�����,在虛擬專用網(wǎng)中對所述消息分組進(jìn)行加密�����。
依照本發(fā)明的另一特征��,讀取所述有效載荷以便通過為所述消息分組的格式確定標(biāo)準(zhǔn)���,并且基于所述標(biāo)準(zhǔn)�,確定所述消息分組內(nèi)數(shù)據(jù)的位置以及在所述位置的所述數(shù)據(jù)的類型�����,來確定所述有效載荷是否含有敏感信息��。
圖1是分布式計算機(jī)系統(tǒng)的框圖����,其包括體現(xiàn)本發(fā)明的網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備和路由管理服務(wù)器;圖2是圖1的網(wǎng)關(guān)設(shè)備內(nèi)以硬件和/或軟件實現(xiàn)的�����、基于有效載荷的路由功能的流程圖;以及圖3是圖1的路由管理服務(wù)器內(nèi)的路由管理程序的流程圖��。
具體實施例方式
現(xiàn)在將參照附圖詳細(xì)描述本發(fā)明���。圖1說明了通常標(biāo)記為10的分布式計算機(jī)系統(tǒng),其中體現(xiàn)了本發(fā)明�����。系統(tǒng)10包括客戶計算機(jī)20����、連接到非保密網(wǎng)絡(luò)34的網(wǎng)關(guān)設(shè)備22、具有加密設(shè)備37的虛擬專用網(wǎng)(“VPN”)35���,以及連接到諸如因特網(wǎng)的非保密網(wǎng)絡(luò)34的網(wǎng)絡(luò)路由器36����??蛻粲嬎銠C(jī)20可以是工作站或服務(wù)器(例如,Web服務(wù)器�����、產(chǎn)品服務(wù)器等)并且包括已知的CPU 21、操作系統(tǒng)22�����、RAM 23���、ROM 24和存儲器25�。網(wǎng)關(guān)設(shè)備22可以是已知的網(wǎng)絡(luò)交換機(jī)����、路由器或防火墻。網(wǎng)關(guān)設(shè)備22包括已知的最短路徑路由功能���,例如OSPF��、RIP�����、IGRP�����、EIGRP���、ISIS或BGP�。網(wǎng)關(guān)設(shè)備22還包括已知的CPU 41����、操作系統(tǒng)42、RAM 43和ROM44���。依照本發(fā)明,網(wǎng)關(guān)設(shè)備22還包括以硬件和/或軟件實現(xiàn)的�、基于有效載荷的路由功能29,其在大多數(shù)情況下確定它所接收到的消息分組是否需要保密通信���,例如通過加密���。同樣依照本發(fā)明,系統(tǒng)10包括具有路由管理程序59的路由管理服務(wù)器50����,在下面那些情況下,路由管理服務(wù)器50確定消息分組是否需要保密通信(例如通過加密)����,其中�����,那些情況是指網(wǎng)關(guān)設(shè)備22不能夠進(jìn)行該判定或者被配置以請求來自服務(wù)器50的確定���。服務(wù)器50還包括已知的CPI 51、操作系統(tǒng)52�����、RAM 53�����、ROM 54和存儲器55�。
網(wǎng)關(guān)設(shè)備22中的功能29包括已知的硬件和/或軟件加密檢測功能31,以便確定消息是否已加密��。通過對消息檢查加密的簽名特征��,例如消息是否含有作為加密特征的ISAKMP�����、IPSEC或ESP標(biāo)題�����,功能31確定消息是否已加密。如果消息已加密(不管它是否包括敏感信息)�����,那么可以使用非保密通信���,例如����,經(jīng)由無加密的因特網(wǎng)�。
在未加密信息的情況下����,網(wǎng)關(guān)設(shè)備22的功能29查看有效載荷內(nèi)部以確定信息的性質(zhì),即它是敏感的還是不敏感的����。基于用于通信中的數(shù)據(jù)的位置和類型的標(biāo)準(zhǔn)����,功能29知道在哪里尋找有效載荷中的數(shù)據(jù)并且��,在大多數(shù)情況下���,其知道數(shù)據(jù)是敏感的還是不敏感的。出于此目的��,功能29保存數(shù)據(jù)的敏感類型的列表以及代表它們的簽名的正文串�。如果消息未加密并且含有敏感信息,那么應(yīng)當(dāng)使用保密通信�,例如通過加密。在這樣的情況下���,網(wǎng)關(guān)設(shè)備22將消息分組轉(zhuǎn)發(fā)到虛擬專用網(wǎng)35�����,在那里由加密設(shè)備37對其進(jìn)行加密�。接下來��,加密設(shè)備37將已加密的消息分組轉(zhuǎn)發(fā)到路由器36��,路由器36基于已知的最短路徑路由算法(例如OSPF��、RIP、IGRP�����、EIGRP����、ISIS或BGP)來確定下一跳。然后��,路由器36將消息分組轉(zhuǎn)發(fā)到因特網(wǎng)中的下一跳��。如果消息并未加密但卻不含敏感信息���,那么可以使用非保密通信���,例如經(jīng)由無加密的因特網(wǎng)。在這樣的情況下�����,基于已知的路由算法���,例如OSPF、RIP���、IGRP��、EIGRP�、ISIS或BGP,網(wǎng)關(guān)設(shè)備22中已知的路由器功能47確定下一跳��,并且繼而將消息分組轉(zhuǎn)發(fā)到因特網(wǎng)中的下一跳�。網(wǎng)關(guān)設(shè)備22還包括已知的CPU 41、操作系統(tǒng)42����、RAM 43和ROM 44。如以上所指出的��,在一些情況下�,網(wǎng)關(guān)設(shè)備22不能夠確定未加密的消息是否含有敏感數(shù)據(jù)或以別的方式要求保密通信。例如�����,在一些情況下����,網(wǎng)關(guān)設(shè)備22在表35中可能不具有數(shù)據(jù)的正文串或簽名的記錄。在其它情況下,網(wǎng)關(guān)設(shè)備可以被配置(通過配置文件33)以便總是請求來自路由管理服務(wù)器50的����、對未加密的數(shù)據(jù)是否敏感的確定。
在典型的情景中����,客戶計算機(jī)20將消息發(fā)送至網(wǎng)關(guān)設(shè)備22。消息包括具有源IP地址����、目的IP地址(例如,目的設(shè)備79的)���、源端口號和目的端口號的標(biāo)題��。消息還包括分離于標(biāo)題的����、含有數(shù)據(jù)的有效載荷�。客戶計算機(jī)20內(nèi)的TCP/IP適配卡27根據(jù)OSI模型對消息進(jìn)行分組化��。網(wǎng)關(guān)設(shè)備22接收消息分組����,并且如以上所解釋的,路由功能29確定將消息分組轉(zhuǎn)發(fā)到哪里��。
圖2根據(jù)本發(fā)明���,較為詳細(xì)地說明了網(wǎng)關(guān)設(shè)備22中路由功能29的處理����。在收到各消息分組時(步驟100)��,網(wǎng)關(guān)設(shè)備22確定分組是否已加密(判定101)�。網(wǎng)關(guān)設(shè)備22通過對分組掃描加密算法的簽名特性來確定分組是否已加密。如果分組已加密(判定101���,“是”分支)�,那么網(wǎng)關(guān)設(shè)備22使用已知的路由硬件和/或軟件功能/算法47(例如OSPF����、RIP、IGRP�、EIGRP、ISIS或BGP)來確定在因特網(wǎng)中的路徑上通往目的IP地址的下一路由器/跳�����,并且然后將消息分組轉(zhuǎn)發(fā)到此下一路由器/跳(步驟102)。如果分組未加密(判定101��,“否”分支)�����,那么網(wǎng)關(guān)設(shè)備22確定其是否被配置以確定數(shù)據(jù)是否敏感(判定103)���。如果是的話(判定103����,“是”分支)�,那么網(wǎng)關(guān)設(shè)備22確定決定消息分組的格式的標(biāo)準(zhǔn),即分組的不同分段或字段的語義和位置(步驟104)��。網(wǎng)關(guān)設(shè)備22通過讀取IP標(biāo)題來確定分組的標(biāo)準(zhǔn)��。接下來���,基于對消息分組可應(yīng)用的標(biāo)準(zhǔn)��,網(wǎng)關(guān)設(shè)備22確定有效載荷中數(shù)據(jù)的位置(步驟106)�。例如,IP標(biāo)準(zhǔn)指定用于將分組分類為IP分組的數(shù)據(jù)位于分組的最初15個字節(jié)內(nèi)��。IPX標(biāo)準(zhǔn)指定用于將分組分類為IPX分組的數(shù)據(jù)位于分組的最初20個字節(jié)內(nèi)���。接下來,網(wǎng)關(guān)設(shè)備22嘗試確定數(shù)據(jù)是否敏感(假設(shè)網(wǎng)關(guān)設(shè)備被配置以嘗試該確定)(步驟108)�。基于有效載荷內(nèi)數(shù)據(jù)的簽名與表35中的條目的匹配�,網(wǎng)關(guān)設(shè)備22嘗試確定數(shù)據(jù)是否敏感。例如��,基于FTP標(biāo)準(zhǔn)��,控制分組可以攜帶指示數(shù)據(jù)(例如口令信息)敏感的口令信息�����,SMB注冊類型分組指示數(shù)據(jù)含有敏感的注冊證書��,并且FTP目錄控制指示數(shù)據(jù)含有并不敏感的文件控制信息��。如果網(wǎng)關(guān)設(shè)備能夠?qū)?shù)據(jù)的簽名與表35中的條目匹配(判定109��,“是”分支)��,那么網(wǎng)關(guān)設(shè)備基于數(shù)據(jù)的性質(zhì)以及表35中相應(yīng)的策略/規(guī)則進(jìn)行響應(yīng)。通常�,如果數(shù)據(jù)不敏感(判定110,“否”分支)��,那么網(wǎng)關(guān)設(shè)備22使用如步驟102中的已知路由功能/算法47(例如OSPF�����、RIP�����、IGRP�����、EIGRP�、ISIS或BGP)來確定在因特網(wǎng)中的路徑上通往目的IP地址的下一路由器/跳,并且然后將消息分組在不加密的情況下轉(zhuǎn)發(fā)到此下一路由器/跳(步驟112)�。通常,如果數(shù)據(jù)敏感(判定110�,“是”分支),那么網(wǎng)關(guān)設(shè)備22從其配置文件33確定含有加密設(shè)備的網(wǎng)絡(luò)的IP地址(步驟114)�。在所說明的例子中,配置文件33將VPN 35指示為含有加密設(shè)備37�。這樣�����,網(wǎng)關(guān)設(shè)備22將消息分組轉(zhuǎn)發(fā)到VPN 35(步驟120)����,在那里加密設(shè)備37對消息分組進(jìn)行加密(步驟130)���。接下來,加密設(shè)備37將已加密的消息分組轉(zhuǎn)發(fā)到具有已知的硬件和/或軟件路由功能49的路由器36(步驟134)�。路由器36中的功能49通過OSPF、RIP���、IGRP����、EIGRP���、ISIS或BGP來確定在因特網(wǎng)34中已加密的消息分組的下一跳���。接下來,路由器36將已加密的消息分組轉(zhuǎn)發(fā)到下一跳/路由器��,并且消息分組經(jīng)由其它網(wǎng)絡(luò)設(shè)備以已知的方式前進(jìn)到目的IP地址(步驟138)。
在一些情況下�����,網(wǎng)關(guān)設(shè)備22不被配置來嘗試確定未加密的數(shù)據(jù)是否敏感(判定103�,“否”分支),或者其在表35中沒有用于未加密數(shù)據(jù)的條目(判定109���,“否”分支)�����。在任何一種情況下�,網(wǎng)關(guān)設(shè)備22都請求來自路由管理服務(wù)器50的��、對未加密的數(shù)據(jù)是否是敏感的確定���,并且因此要求加密���。為了開始該過程,網(wǎng)關(guān)設(shè)備22實現(xiàn)到路由管理服務(wù)器50的TCP/IP連接����,并且提供驗證證書(例如用戶ID和口令)(步驟140)��。接下來��,如以下參照圖3所描述的����,網(wǎng)關(guān)設(shè)備22向服務(wù)器50發(fā)送消息分組的有效載荷中數(shù)據(jù)的簽名或定義串(defined string)����,從而使得服務(wù)器50能夠確定數(shù)據(jù)是否敏感(步驟144)���。
圖3較為詳細(xì)地說明了路由管理服務(wù)器50中的路由管理程序59的功能和用途���。在步驟200中,響應(yīng)于來自網(wǎng)關(guān)設(shè)備22的驗證請求�����,服務(wù)器50確定網(wǎng)關(guān)設(shè)備22是否可靠并且已授權(quán)訪問服務(wù)器50(判定202)�����。如果不是(判定202,“否”分支)����,則服務(wù)器50將錯誤通知返回給網(wǎng)關(guān)設(shè)備22(步驟204)(并且不參與路由判定)。如果網(wǎng)關(guān)設(shè)備22是可靠的并且已授權(quán)(判定202�,“是”分支),那么服務(wù)器50請求并且網(wǎng)關(guān)設(shè)備22向服務(wù)器50發(fā)送消息分組的有效載荷中數(shù)據(jù)的簽名或定義串(步驟206)�。作為響應(yīng),服務(wù)器50從局部表58確定是否存在用于數(shù)據(jù)的該簽名或定義串的條目��,以及用于該簽名或定義串的預(yù)定策略或規(guī)則(判定210)��。表58在一列中列出數(shù)據(jù)的各種簽名和定義串��,并且在下一列的相同的行中列出相應(yīng)的策略/規(guī)則��。每個策略或規(guī)則均指示數(shù)據(jù)是否敏感�,并且如果是的話,是否加密該數(shù)據(jù)���。視情況��,表58列出了VPN 35的IP地址或者加密可以在其中發(fā)生的其它網(wǎng)絡(luò)的IP地址����。另外,網(wǎng)關(guān)設(shè)備22具有VPN 35的IP地址的記錄或者加密可以在其中發(fā)生的其它網(wǎng)絡(luò)的IP地址的記錄����。(視情況,策略/規(guī)則還可以要求指定的服務(wù)質(zhì)量���,例如帶寬)�。如果不存在用于消息分組的簽名或定義串的策略/規(guī)則(判定210����,“否”分支),那么服務(wù)器50通知網(wǎng)關(guān)設(shè)備22使用標(biāo)準(zhǔn)路由算法���,例如OSPF����、RIP�����、IGRP���、EIGRP、ISIS或BGP(步驟212)。然而�����,如果存在用于來自當(dāng)前消息分組的數(shù)據(jù)的簽名或定義串的策略/規(guī)則(判定210����,“是”分支),那么服務(wù)器50通知網(wǎng)關(guān)設(shè)備22關(guān)于用于消息分組的策略/規(guī)則���,例如�����,以便將消息分組轉(zhuǎn)發(fā)到VPN 35用于加密(步驟220)���。網(wǎng)關(guān)設(shè)備22遵守來自服務(wù)器50的通知中的策略/規(guī)則(圖2的步驟150)。
圖2中所說明的網(wǎng)關(guān)設(shè)備22的功能可以以硬件和/或軟件實現(xiàn)�����。就該功能可以以軟件實現(xiàn)這點(diǎn)來說���,可以將其從計算機(jī)可讀介質(zhì)125(例如磁帶或磁盤����、光介質(zhì)、DVD�����、半導(dǎo)體介質(zhì)���、存儲棒等)加載到網(wǎng)關(guān)設(shè)備22中���,或者經(jīng)由TCP/IP適配卡127從因特網(wǎng)對其進(jìn)行下載。
圖3中所說明的服務(wù)器50的功能可以以硬件和/或軟件實現(xiàn)��。就該功能可以以軟件實現(xiàn)這點(diǎn)來說���,可以將其從計算機(jī)可讀介質(zhì)135(例如磁帶或磁盤���、光介質(zhì)、DVD���、半導(dǎo)體介質(zhì)、存儲棒等)加載到服務(wù)器50中���,或者經(jīng)由TCP/IP適配卡137從因特網(wǎng)對其進(jìn)行下載����。
基于前述,已經(jīng)公開了一種用于在路由期間加密的系統(tǒng)���、方法和程序產(chǎn)品���。然而,在不背離本發(fā)明的范圍的情況下����,可以進(jìn)行許多修改和置換。例如���,可以基于加密狀態(tài)應(yīng)用服務(wù)質(zhì)量(“QoS”)信息或其它優(yōu)先的路由處理���。因此,已經(jīng)借助于說明公開了而非限制了本發(fā)明����,并且應(yīng)當(dāng)參照下面的權(quán)利要求來確定本發(fā)明的范圍。
權(quán)利要求
1.一種用于路由的方法��,所述方法包括以下步驟接收未加密的消息分組,并且作為響應(yīng)���,讀取所述消息分組中的有效載荷以確定所述有效載荷是否含有敏感信息�,以及如果是的話��,則對所述消息分組進(jìn)行加密���,并且隨后將所述消息分組路由至非保密通信路徑��,如果不是的話��,則將所述消息分組路由至非保密通信路徑而不需要對所述消息分組進(jìn)行加密�。
2.根據(jù)權(quán)利要求1所述的方法�,其進(jìn)一步包括以下步驟接收另一已加密的消息分組,并且作為響應(yīng)��,將所述另一消息分組路由至非保密通信路徑而不需要對所述另一消息分組進(jìn)一步加密��。
3.根據(jù)權(quán)利要求1所述的方法��,其中將所述消息分組路由至非保密通信路徑的步驟包括進(jìn)行OSPF路由的步驟���。
4.根據(jù)權(quán)利要求1所述的方法�����,其中對所述消息分組進(jìn)行加密的步驟在虛擬專用網(wǎng)中進(jìn)行�����,并且如果所述有效載荷含有敏感信息���,則所述方法進(jìn)一步包括步驟將所述消息分組轉(zhuǎn)發(fā)到所述虛擬專用網(wǎng)用于加密。
5.根據(jù)權(quán)利要求1所述的方法���,其中讀取所述消息分組中的所述有效載荷以確定所述有效載荷是否含有敏感信息的步驟包括以下步驟為所述消息分組的格式確定標(biāo)準(zhǔn)�;基于所述標(biāo)準(zhǔn)���,確定所述消息分組內(nèi)數(shù)據(jù)的位置�;以及確定在所述位置的所述數(shù)據(jù)的類型�。
6.根據(jù)權(quán)利要求1所述的方法,其中所述有效載荷含有敏感信息����,并且作為響應(yīng),對所述消息分組進(jìn)行加密���,并且隨后將所述消息分組路由至非保密通信路徑��。
7.根據(jù)權(quán)利要求1所述的方法�����,其中所述有效載荷不含敏感信息����,并且作為響應(yīng),將所述消息分組路由至非保密通信路徑而不需要對所述消息分組進(jìn)行加密��。
8.根據(jù)權(quán)利要求1所述的方法�����,其進(jìn)一步包括步驟在讀取所述消息分組中的有效載荷以確定所述有效載荷是否含有敏感信息的步驟之前��,確定所述消息分組是否被加密���。
9.一種用于路由的系統(tǒng)����,所述系統(tǒng)包括接收裝置,所述接收裝置用于接收未加密的消息分組�����,并且作為響應(yīng)����,讀取所述消息分組中的有效載荷以確定所述有效載荷是否含有敏感信息���;加密裝置����,響應(yīng)于所述有效載荷含有敏感信息�,所述加密裝置用于對所述消息分組進(jìn)行加密,并且隨后將所述消息分組路由至非保密通信路徑�;以及路由裝置,響應(yīng)于所述有效載荷不含敏感信息��,所述路由裝置用于將所述消息分組路由至非保密通信路徑而不需要對所述消息分組進(jìn)行加密����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其進(jìn)一步包括用于接收另一已加密的消息分組的裝置���,并且作為響應(yīng)�,其將所述另一消息分組路由至非保密通信路徑而不需要對所述另一消息分組進(jìn)一步加密。
11.根據(jù)權(quán)利要求9所述的系統(tǒng)��,其中所述用于將所述消息分組路由至非保密通信路徑的裝置包括用于進(jìn)行OSPF路由的裝置�����。
12.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其中所述用于加密所述消息分組的裝置存在于虛擬專用網(wǎng)���,并且所述系統(tǒng)進(jìn)一步包括轉(zhuǎn)發(fā)裝置,響應(yīng)于所述有效載荷含有敏感信息��,所述轉(zhuǎn)發(fā)裝置用于將所述消息分組轉(zhuǎn)發(fā)到所述虛擬專用網(wǎng)用于加密�。
13.根據(jù)權(quán)利要求9所述的系統(tǒng),其中所述用于讀取所述消息分組中的所述有效載荷以確定所述有效載荷是否含有敏感信息的裝置包括用于為所述消息分組的格式確定標(biāo)準(zhǔn)的裝置�;用于基于所述標(biāo)準(zhǔn),確定所述消息分組內(nèi)數(shù)據(jù)的位置的裝置���;以及用于確定在所述位置的所述數(shù)據(jù)的類型的裝置��。
14.根據(jù)權(quán)利要求9所述的系統(tǒng)����,其中所述有效載荷含有敏感信息,并且所述系統(tǒng)進(jìn)一步包括響應(yīng)于所述有效載荷含有敏感信息����,用于對所述消息分組進(jìn)行加密,并且隨后將所述消息分組路由至非保密通信路徑的裝置���。
15.根據(jù)權(quán)利要求9所述的系統(tǒng),其中所述有效載荷不含敏感信息�����,并且所述系統(tǒng)進(jìn)一步包括響應(yīng)于所述有效載荷不含敏感信息���,用于將所述消息分組路由至非保密通信路徑而不需要對所述消息分組進(jìn)行加密的裝置����。
16.根據(jù)權(quán)利要求9所述的系統(tǒng)����,其進(jìn)一步包括在用于讀取所述消息分組中的有效載荷以確定所述有效載荷是否含有敏感信息的裝置之前,用于確定所述消息分組是否被加密的裝置�。
17.一種用于路由的計算機(jī)程序產(chǎn)品�����,所述計算機(jī)程序產(chǎn)品包括執(zhí)行權(quán)利要求1至8中所述方法的代碼��。
全文摘要
用于路由的計算機(jī)系統(tǒng)���、方法和程序。接收未加密的消息分組���。作為響應(yīng)�,讀取所述消息分組中的有效載荷以確定所述有效載荷是否含有敏感信息�。如果所述有效載荷含有敏感信息,則對所述消息分組進(jìn)行加密���,并且隨后將其路由至非保密通信路徑�����。如果所述有效載荷不含敏感信息�����,則將所述消息分組路由至非保密通信路徑而不需要對所述消息分組進(jìn)行加密����。可以讀取所述有效載荷����,以便通過為所述消息分組的格式確定標(biāo)準(zhǔn),并且基于所述標(biāo)準(zhǔn)����,確定所述消息分組內(nèi)數(shù)據(jù)的位置以及在所述位置的所述數(shù)據(jù)的類型,來確定所述有效載荷是否含有敏感信息�����。
文檔編號H04L12/46GK101079813SQ20071010553
公開日2007年11月28日 申請日期2007年5月25日 優(yōu)先權(quán)日2006年5月26日
發(fā)明者J·D·弗萊斯特, R·S·柯蒂斯 申請人:國際商業(yè)機(jī)器公司