[发明专利]基于应用的网络安全

权利要求书

1.一种方法，包括：

由网络设备从用户设备上的应用接收与分组流相关联的第一网络分组；

由所述网络设备标识所述第一网络分组的应用标识符，其中所述应用标识符标识所述用户设备上的所述应用；

由所述网络设备标识所述应用的一个或多个特性，

其中，所述应用的所述一个或多个特性指示以下的一项或多项：

所述应用在本质上是否使用加密，

所述应用的优先级度量，或

所述应用的类型，

由所述网络设备基于所述应用标识符和所述应用的一个或多个特性选择安全协议，

其中所述安全协议与认证报头(AH)或加密算法中的至少一个相关联；

由所述网络设备选择性地将所述AH或所述加密算法中的、与所述安全协议相关联的至少一个应用于与所述分组流相关联的第二网络分组，以生成受保护的网络分组；以及

由所述网络设备传输所述受保护的网络分组。

2.根据权利要求1所述的方法，其中选择所述安全协议包括：

基于所述应用标识符和一个或多个规则选择所述安全协议，其中所述一个或多个规则标识要被应用于包括所述应用标识符的多个应用标识符的AH和/或加密算法。

3.根据权利要求2所述的方法，其中所述一个或多个规则标识要被应用于应用标识符组的AH和/或加密算法，并且其中所述应用标识符组基于由所述多个应用标识符标识的应用的特性。

4.根据权利要求1所述的方法，其中应用所述安全协议以生成所述受保护的网络分组包括：

将封装安全有效负载报头、AH或用户数据报协议报头中的至少一个插入到所述第二网络分组中。

5.根据权利要求1所述的方法，其中选择所述安全协议包括：

基于所述应用标识符以及所述第一网络分组的区分的服务代码点、所述第一网络分组的层3信息或所述第一网络分组的层4信息中的至少一个选择所述安全协议。

6.根据权利要求1所述的方法，其中选择所述安全协议包括：

基于所述应用标识符和所述应用的一个或多个特性选择所述AH或所述加密算法中的至少一个。

7.根据权利要求1所述的方法，其中所述应用被设计为对所述分组流的网络分组进行加密，并且其中所述安全协议包括所述AH，但不包括所述加密算法。

8.一种设备，包括：

一个或多个存储器；以及

一个或多个处理器，用以：

从用户设备上的应用接收第一网络分组；

将第一安全协议应用于所述第一网络分组，以生成第一受保护的网络分组，其中所述第一安全协议与应用第一认证报头(AH)和/或第一加密算法相关联；

标识与所述第一网络分组相关联的应用标识符，其中所述应用标识符标识所述用户设备上的所述应用；

为所述应用标识一个或多个特性，

所述一个或多个特性指示以下的一项或多项：

所述应用在本质上是否使用加密，

所述应用的优先级度量，或

所述应用的类型，

基于所述应用标识符和所述应用的一个或多个特性选择第二安全协议，其中所述第二安全协议与应用第二AH和/或第二加密算法相关联；

传输所述第一受保护的网络分组；

从所述用户设备上的所述应用接收第二网络分组；

将所述第二安全协议应用于所述第二网络分组，以生成第二受保护的网络分组；以及

传输所述第二受保护的网络分组。

9.根据权利要求8所述的设备，其中所述一个或多个处理器在选择所述第二安全协议时用以：

基于所述应用标识符和一个或多个规则选择所述第二安全协议，其中所述一个或多个规则标识要被应用于包括所述应用标识符的多个应用标识符的AH和/或加密算法。