[发明专利]用于安全分组传输的加密方法

权利要求书

1.一种方法，包括：

建立端到端密钥以用于通过网络将分组从第一端点安全传输到第二端 点；以及

将分组从第一端点传送到第二端点；

其中建立端到端密钥包括：在两个或更多逐跳安全关联的保护下通过 网络将信息从第一端点传送到第二端点，其中端到端密钥是分组特定加密 密钥，并且使用与位于第一和第二端点中间的网络节点共享的完整性密钥 来计算分组特定加密密钥的签名。

2.根据权利要求1所述的方法，其中建立端到端密钥包括将会话加密 密钥从第一端点传送到第二端点，以使得能够根据会话加密密钥和分组特 定信息来计算分组特定加密密钥。

3.根据权利要求1所述的方法，其中建立端到端密钥包括：将信息作 为业务分组的一部分通过网络进行传送。

4.根据权利要求1所述的方法，其中所述方法进一步包括：

经由中间节点将分组从第一端点传送到第二端点；以及

将签名传送到与所传送的分组相关联的中间节点。

5.一种要在网络节点处执行的方法，包括：

在与网络的在先节点的安全关联的保护下，从所述在先节点接收会话 加密密钥；

从所述在先节点接收被转发的分组，其中所述被转发的分组具有利用 分组特定加密密钥而加密的有效载荷部分；以及

在本地根据包含会话加密密钥和特定于被转发分组的信息的输入来计 算分组特定加密密钥；

其中，通过使用与另一个网络节点共享的完整性密钥来在本地计算分 组特定加密密钥的签名。

6.根据权利要求5所述的方法，进一步包括：使用在本地计算的分组 特定加密密钥来对分组进行解密。

7.根据权利要求5所述的方法，其中完整性密钥是与所述在先节点共 享的，并且所述方法进一步包括：将在本地计算的分组特定加密密钥签名 与关联于分组的接收的分组特定加密密钥签名相比较，由此验证分组。

8.根据权利要求5所述的方法，其中完整性密钥是与后续网络节点共 享的，并且所述方法进一步包括：

将分组转发到后续节点；以及

将在本地计算的分组特定加密密钥签名传送到与分组相关联的后续节 点，由此向后续节点验证所述分组。

9.一种用于在网络中处理分组的方法，其中所述网络包括共享完整性 密钥的第一节点和第二节点，所述方法包括：

将分组从第一节点传送到第二节点，以使得至少所述分组的有效载荷 部分是利用分组特定加密密钥来加密的；

计算将被用于验证分组的分组特定加密密钥的签名，其中所述签名计 算是通过使用完整性密钥来执行的；以及

将分组特定加密密钥签名传送到与分组相关联的第二节点。

10.一种用于在网络中处理分组的方法，其中所述网络包括共享完整 性密钥的第一节点和第二节点，所述方法包括，在第二节点处：

从第一节点接收分组，以使得至少所述分组的有效载荷部分是利用分 组特定加密密钥来加密的；

从第一节点接收分组特定加密密钥的签名；

计算分组特定加密密钥的签名，其中所述计算是使用完整性密钥来执 行的；

将所计算的密钥签名与所接收的密钥签名相比较；以及

如果所计算的密钥签名与所接收的密钥签名相一致，则认为所述分组 是已验证的。

11.根据权利要求10所述的方法，进一步包括：使用分组特定加密密 钥来对分组进行解密。

12.根据权利要求10所述的方法，进一步包括：如果认为分组是已验 证的，则将分组转发到目的地。