CN100580652C - 用于光纤信道公共传输的机密性保护的方法和装置 - Google Patents
用于光纤信道公共传输的机密性保护的方法和装置 Download PDFInfo
- Publication number
- CN100580652C CN100580652C CN200580007367A CN200580007367A CN100580652C CN 100580652 C CN100580652 C CN 100580652C CN 200580007367 A CN200580007367 A CN 200580007367A CN 200580007367 A CN200580007367 A CN 200580007367A CN 100580652 C CN100580652 C CN 100580652C
- Authority
- CN
- China
- Prior art keywords
- common transport
- information unit
- transport information
- entry
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了用于改善光纤信道网络中的基于消息的安全性的方法和装置。更具体而言,本发明涉及用于向封装在公共传输信息单元中的光纤信道控制消息提供机密性的方法和装置。与光纤信道公共传输协议一起传输并在光纤信道网络实体之间传递的控制消息可被加密,以便提供结合了由现有的光纤信道安全性机制提供的数据来源认证、完整性和反重放保护的机密性。
Description
相关申请的交叉引用
本申请涉及题为“Method and Apparatus for Security over FiberChannel”的美国专利申请10/034,367,其全部内容通过引用结合于此,以用于各种目的。
技术领域
本发明涉及光纤信道安全性。更具体而言,本发明涉及用于为封装在公共传输信息单元(Common Transport Information Units)中的光纤信道控制消息提供机密性的方法和装置。
背景技术
光纤信道网络的安全性非常有限。光纤信道网络的安全性的一种形式是物理安全性。诸如交换机、盘、磁带库、盘阵列和服务器等所有光纤信道网络实体都必须位于安全和可信环境中。在光纤信道架构上可以限制访问和维护严格的控制。但是,将每个光纤信道网络实体都定位在安全环境中并不总是可行的。
一些安全性方案更加关注安全链路。当新的光纤信道网络实体被引入光纤信道架构时,直接相邻的节点检查新引入的实体,以确定新引入的实体是否被授权连接到该架构。但是,该检查仅由一些直接相邻的节点进行一次。其他较远的节点不能执行任何检查。此外,一旦链路被建立,就不再提供进一步的安全性。即使光纤信道架构仍然易受某些攻击(例如哄骗(spoof)、劫持(hijack)或假冒)的影响,但是该架构还是被视为可信的。
因此,希望提供用于改善光纤信道网络中的安全性的方法和装置,具体而言,其用于改善光纤信道架构中就上述部分或全部限制而言的认证、机密性、消息完整性保护和反重放(anti-replay)保护。
第三代光纤信道通用服务(“FC-GS-3” )标准(以前是ANSI NCITS348-2001)定义了可被用来提供反重放和完整性保护以便控制流量的CT_Authentication,一种光纤信道公共传输信息单元的安全性变换。但是,当前对于提供机密性以便控制流量还没有规定,虽然很需要这样的机密性。没有机密性,公共传输就不能被用来传输例如口令或秘密等非常有价值的控制信息子集这样的敏感数据。
发明内容
本发明提供了用于改善光纤信道网络中的控制流量机密性的方法和装置。可使用在认证序列期间提供的信息来加密在光纤信道网络实体之间传递的消息。所述方法和装置可与已有的光纤信道公共传输认证服务结合,以便提供一组完整的安全性服务,例如逐个消息的认证、机密性、完整性保护和反重放保护。
根据各个实施例,提供了一种用于处理具有第一网络实体和第二网络实体的光纤信道网络中的公共传输信息单元的方法。在光纤信道网络中,在第一网络实体处接收来自第二网络实体的CT_IU。识别来自所述第二网络实体的CT_IU中的安全性控制指示符。确定与所述公共传输信息单元相关联并与安全性数据库中的条目相对应的安全性关联标识符。通过使用所述安全性数据库中的所述条目包含的算法信息来解密所述CT_IU的一部分。
在另一实施例中,提供了一种用于在具有第一网络实体和第二网络实体的光纤信道网络中发送加密的公共传输信息单元的方法。识别具有对应于所述第一网络实体的源和对应于所述第二网络实体的目的地的CT_IU。确定所述CT_IU是否对应于安全性数据库中的条目的选择器。使用与所述安全性数据库中的所述条目相关联的密钥和算法信息来加密所述CT_IU的一部分。发送所述公共传输信息单元到所述第二网络实体。
在下面通过示例示出了本发明的原理的本发明的说明书和附图中,更加详细地描述了本发明的这些和其他特征和优点。
附图说明
结合附图并参考下面的说明,可以更好地理解本发明,附图示出了本发明的特定实施例。
图1是可使用本发明的技术的网络的示意图。
图2是安全性数据库的示意图。
图3是在光纤信道上传送的安全公共传输信息单元的示意图。
图4是示出了安全公共传输信息单元的生成的处理流程图。
图5是示出了安全公共传输信息单元的接收和处理的处理流程图。
图6是可被配置为实现本发明的一些方面的的网络设备。
具体实施方式
本发明涉及光纤信道架构中的安全性。更具体而言,本发明涉及用于为封装在公共传输信息单元中的光纤信道控制消息提供机密性的方法和装置。
现在详细参考本发明的一些具体实施例,包括用于实现本发明的最佳方式。附图中示出了这些具体实施例的示例。虽然结合这些具体实施例来描述本发明,但是应当理解,本发明并不限于所述实施例。相反,本发明将覆盖可能包括在由所附权利要求限定的本发明的精神和范围中的替换、修改和等同物。
例如,将在存储区域网络中使用的光纤信道公共传输的上下文中描述本发明的技术。但是应当注意,本发明的技术可以应用于多种不同协议和网络。在以下描述中列出了很多具体细节,以便提供对本发明的全面理解。本发明可以在没有这些具体细节中的一些或全部的情况下被实施。此外,没有详细描述公知的处理操作,以免不必要地模糊本发明。
本发明的方法和装置提供了光纤信道网络中的安全性。本发明的技术覆盖了基于消息的安全性。提供了用于加密在光纤信道网络实体间传递的公共传输信息单元的机制。
Maino,Di Benedetto和DeSanti提交的题为“Methods and Apparatus forSecurity over Fibre Channel”的美国专利申请10/034,367(律师卷号ANDIP004)改善了光纤信道架构中的认证、机密性、消息完整性保护和反重放保护。该方法改善了FC-2层的光纤信道帧的安全性,但是有时有必要仅对整个光纤信道流量的一个子集应用安全性,例如作为公共传输信息单元(也称为CT_IU)传输的控制流量。
但是,对在帧级别封装在CT_IU中的控制流量应用安全性可能需要保持与属于同一CT_IU的帧相关联的某些状态信息,这使得实现变得复杂。根据本发明的方法向公共传输信息单元直接提供安全性不需要保持逐帧的状态信息,因此是有优点的。
图1是可使用本发明的技术的网络示意图。光纤信道架构131可包括若干网络实体,例如交换机111和113,以及可以是另一交换机的通用服务提供者115。这些交换机可被用来互连节点101、103、105和107。节点101、103、105和107可以是诸如服务器、磁带库、盘阵列、和/或简单盘捆绑(JBOD)等实体。图1中的光纤信道体系结构是基于交换机的体系结构。但是应当注意,可以使用诸如仲裁环和点到点连接等多种不同拓扑来实现光纤信道网络。
光纤信道网络131可以通过例如光纤信道到IP网关121这样的设备连接到传统IP网络141。传统TCP/IP网络中存在多种认证和加密方案。但是,光纤信道网络中的安全性受到了限制,这主要是因为一般可向光纤信道网络提供物理安全性。在传统光纤信道网络中,诸如盘阵列、磁带库、服务器、交换机和通用服务提供者等所有不同网络实体都可置于诸如安全的办公室空间或服务器房间等受控和可信环境中。但是,本发明的技术认识到,并不总能提供物理安全性。
传统的光纤信道安全性机制受限于容量和范围。一种光纤信道认证机制提供有限的基于链路的安全性。当新的网络实体被引入光纤信道网络时,直接邻居认证该新的网络实体并对链路应用安全性。在对链路应用安全性之后,网络被认为是可信的,并且不需要其他安全性机制。但是,基于链路的安全性不能防止某些类型的攻击。在一个示例中,网络入侵者可能“哄骗”在网络上发送的机密信息,捕获可能被进一步用于危害网络的敏感信息。在没有逐个消息的机密性的情况下,两个FC实体之间的攻击者可以很容易地转发两个实体交换的信息单元,并且可观察定向到受攻击实体的所有流量。当具有逐个消息的机密性时,攻击者捕获的消息将仅对具有用于解密受保护信息单元的适当密钥的接收者来说是可理解的。
现有的光纤信道安全性机制提供了公共传输信息单元的完整性验证。当前在向CT_IU提供机密性方面还没有规定。因此,提供了方法和装置来实现用于公共传输信息单元的高效的基于消息的加密机制。
公共传输信息单元被用来访问光纤信道实体和向其提供通用服务。如FC-GS-3中定义的那样,CT_IU本身在内部携带的一些参数指定了要被访问的服务。具体而言,GS_Type参数确定了感兴趣的通用服务,而GS_Subtype参数选择了指定服务下的特定子服务器。例如,携带等于“FCh”的GS_Type和等于“02h”的GS_Subtype的CT_IU将意图访问目录服务(GS_Type=“FCh”)下的名称服务器子服务器(GS_Subtype=“02h”)。相反,携带等于“FAh”的GS_Type和等于“03h”的GS_Subtype的CT_IU将意图访问管理服务(GS_Type=“FAh”)下的架构分区(Fabric Zone)服务器子服务器(GS_Subtype=“03h”)。
现有的认证和密钥交换序列向两个光纤信道实体提供了公共密钥(common key),其可被调节以提供逐个消息的安全性。使用该公共密钥,在两个被认证实体之间交换的每个光纤信道消息都可以这样的方式被密码化,所述方式使得接收者可以验证消息的若干特性,例如源自于发送者的消息、消息被发送后未被篡改,和/或消息不能由没有公共密钥者解密。
在两个被认证实体之间交换的每类流量可被提供以不同的安全性服务。一些用于控制和流量消息的安全性服务包括认证、篡改保护和加密。向在两个光纤信道端口之间传送的流量提供安全性服务的两个端口之间的关系在这里被称为安全性关联。安全性关联参数的示例有安全性关联标识符、源地址、目的地地址、序列号、密钥信息以及算法信息。如果传出流量与安全性关联的选择器相匹配,则该流量根据传出安全性关联的参数被转换。安全性关联选择器的示例有源标识符、目的地标识符和流量类别。安全性数据库可被用来确定公共传输信息单元是否应当基于CT_IU本身的参数(例如源和目的地地址和标识流量类别的GS_Type和GS_Subtype参数)被加密和认证。安全性可以是连续的和不中断的,并且可应用于封装在两个网络实体之间交换的CT_IU内的任何类型的数据。
图2是例如安全性关联数据库这样的安全性数据库的示意图。在一个实施例中,数据库的前三列包含安全性关联选择器,所述安全性关联选择器根据在安全性关联中指定的参数来确定将对哪些公共传输信息单元应用安全性。选择器可以是目的地地址203,以及被表达为GS_Type 209和GS_Subtype 211的流量类别。安全性关联数据库可以包含可被用来识别安全性数据库中条目的诸如安全性关联标识符SAID 201这样的索引。安全性关联标识符(SAID)列201给出了用于确定公共传输信息单元是否应被解密和在接收CT_IU期间验证的认证的信息。安全性数据库还可包含密钥信息205。密钥信息205可包括会话密钥以及用于加密、解密或认证消息的信息。安全性数据库还可包含与用于加密或认证的算法有关的信息207。通常用于加密的算法包括3DES/DES和AES,而通常用于认证的算法包括MD5和SHA1。
图3是可在光纤信道架构中的网络实体之间传送的安全公共传输信息单元的示意图。每个CT_IU包含一个基本CT_IU前序,如在FC-GS-3中定义的那样。基本CT_IU前序中的标志指示扩展CT_IU前序是否也是信息单元的一部分。扩展CT_IU前序通过提供完整性服务来允许对公共传输信息单元应用安全性。根据本发明的各个实施例,可通过结合扩展CT_IU前序对CT_IU的一部分319加密,来利用机密性服务对公共传输信息单元应用安全性。
扩展CT_IU前序323也可被称为安全性头部。安全性头部323可包括用于标识安全性数据库中的条目的安全性关联ID 303。安全性头部323还可包括时间戳305,用于防止重放攻击。对于安全公共传输信息单元,可利用安全性数据库中指示的算法和密钥对CT_IU净荷数据309和净荷填充(padding)311加密。本领域的技术人员将理解,填充提供了加密和认证中的块对齐。填充311可包括填充长度315,用于指示解密后要调整的量。
安全公共传输信息单元还可包括根据FC-GS-3或其他方法的指定而计算的认证数据321。被加密的部分是可变的。在一个示例中,仅有净荷数据被加密。
图4是示出了如图3所示的安全公共传输信息单元的生成的处理流程图。在401,识别CT_IU。识别CT_IU可能需要定位被排队以供发送的信息单元。在403,检查安全性数据库,以寻找与安全性关联数据库中的选择器之一相匹配的CT_IU。如果信息单元的目的地标识符被包含在安全性数据库的一个条目中,则该条目可能对应于所识别出的CT_IU。在另一示例中,可将目的地标识符、GS_Type和GS_Subtype与安全性数据库中的条目进行比较。如果CT_IU不与安全性数据库中的条目相对应,则在417发送该信息单元,而不对其应用安全性。即,CT_IU的一部分不被加密,并且信息单元的一部分不能被散列(hash)以允许认证。如果CT_IU与数据库中的条目相对应,则在407,图3所示的扩展CT_IU前序和从选定的安全性关联导出的参数值被添加到信息单元,并且在基本CT_IU前序中设置指示其存在的标志。扩展CT_IU前序可包括安全性关联标识符、时间戳和认证散列块数据。
在411,为了允许加密和认证,可以填充净荷。在413,使用密钥信息和算法信息对公共传输信息单元的一部分加密。可使用在该节点和目的地之间的认证和密钥交换序列期间被认同的会话密钥来加密CT_IU。算法也可以是在该认证和密钥交换序列期间被认同的。一般用于加密的算法包括DES/3DES和AES。在415,使用密钥信息、算法信息和在413的修改之后得到的信息单元的一部分来计算要被包括在扩展CT_IU前序中的认证散列块数据。
应当注意,本发明的技术支持对光纤信道信息单元的一个子集(被称为公共传输信息单元)的加密和认证。但是,标准FC-GS-3不提供加密或私密性保护。
图5是示出了光纤信道架构中的网络实体接收公共传输信息单元的处理流程图。在501,接收CT_IU。在503,确定信息单元是否是安全的。表示CT_IU安全的任何指示符在这里都被称为安全性控制指示符。应当注意,在某些实施例中,相同的安全性控制指示符被用于确定信息单元是否具有扩展CT_IU前序。在其他实施例中,可以使用厂商特定的指示符(vendor specific indicator)。支持加密和认证的CT_IU在这里被称为安全公共传输信息单元。仅支持认证的CT_IU在这里被称为认证安全公共传输信息单元。仅支持加密的CT_IU在这里被称为加密安全公共传输信息单元。
如果CT_IU不是安全的,则使用传统光纤信道规则进行处理。如果CT_IU是安全的,则在505,针对例如安全性关联数据库这样的安全性数据库来参考例如安全性关联标识符这样的标识符。从包含与接收到的公共传输信息单元相关联的标识符或安全性关联标识符的条目中提取密钥信息和算法信息。如果CT_IU是认证安全的,则如传统CT_Authentication(CT认证)协议那样进行处理:在507使用安全性数据库中注明的密钥信息、算法信息和加密数据计算认证数据。然后,将计算得到的认证数据与CT_IU中包含的认证散列块数据相比较。如果认证散列块数据匹配,则发送者的身份被验证。否则,公共传输信息单元不被认证并被丢弃。如果CT_IU不是认证安全的,则跳过上述认证处理。
认证之后,在511,公共传输信息单元的加密部分可被解密。从包含与接收到的CT_IU相关联的安全性关联标识符的条目中提取密钥信息和加密算法信息,然后将加密净荷解密。去除净荷中包含的填充,然后使用传统光纤信道规则处理CT_IU。
图6示出了可被配置为实现本发明的一些方法的网络设备的示例。网络设备660包括主中央处理单元(CPU)662、接口668和总线667(例如PCI总线)。一般地,接口668包括适于与合适的介质通信的端口669。在一些实施例中,一个或多个接口668包括至少一个独立处理器674,并且在某些情形下包括易失性RAM。独立处理器674可以是例如ASIC或任何其他合适的处理器。根据这样的一些实施例,这些独立处理器674执行这里描述的逻辑的至少一些功能。在一些实施例中,一个或多个接口668控制诸如媒体控制和管理等通信密集型任务。通过提供用于通信密集型任务的独立处理器,接口668允许主微处理器662高效地执行其他功能,例如路由选择计算、网络诊断、安全性功能等。
接口668一般被提供作为接口卡(有时称为“线路卡”)。一般地,接口668控制网络上的数据分组的发送和接收,并且有时支持与网络设备660一起使用的其他外围设备。可以提供的其他接口有FC接口、以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口等。此外,可以提供各种甚高速接口,例如快速以太网接口、千兆比特以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、ASI接口、DHEI接口等。
当在合适的软件或固件控制下动作时,在本发明的一些实现中,CPU662可以负责实现与所需的网络设备的功能相关联的特定功能。根据一些实施例,CPU 662在包括操作系统(例如Cisco SANOS,Cisco System,Inc.开发的私有操作系统等)和任何合适的应用软件的软件控制下完成所有这些功能。
CPU 662可包括一个或多个处理器663,例如来自Motorola微处理器族或MIPS微处理器族的处理器。在替换实施例中,处理器663是专门设计的用于控制网络设备660的操作的硬件。在特定实施例中,处理器661(例如非易失性RAM和/或ROM)也形成CPU 662的一部分。但是,存储器可以以多种不同方式耦合到系统。存储器块661可以用于各种目的,例如缓存和/或存储数据、程序指令,等等。
不论网络设备的配置如何,它都可以采用一个或多个存储器或存储器模块(例如存储器块665),其被配置为存储数据、用于通用网络操作的程序指令和/或与这里讨论的功能有关的其他信息。程序指令可控制例如操作系统和/或一个或多个应用的操作。
因为这种信息和程序指令可被用来实现这里讨论的系统/方法,因此本发明涉及包括用于执行这里描述的各种操作的程序指令、状态信息等的机器可读介质。机器可读介质的示例包括但不限于:磁介质,例如硬盘、软盘和磁带;光介质,例如CD-ROM盘;磁光介质;以及被专门配置来存储和执行程序指令的硬件设备,例如只读存储器设备(ROM)和随机访问存储器(ROM)。本发明也可被实现在通过合适的介质传播的载波中,例如无线电波、光线、电线等。程序指令的示例包括例如由编译器产生的机器代码和包含可由计算机使用解释器执行的高级代码的文件。
虽然图6所示的系统示出了本发明的一个特定网络设备,但是它绝非可实现本发明的唯一网络设备体系结构。例如,常常使用具有处理通信以及路由选择计算等的单个处理器的体系结构。此外,其他类型的接口和介质也可与该网络设备一起使用。接口/线路卡之间的通信路径可以是基于总线(如图6所示)或基于交换架构(例如交叉开关)的。
虽然已经参考特定实施例具体示出和描述了本发明,但是本领域的技术人员应当理解,在不脱离本发明的精神或范围的情况下可对所公开的实施例的形式和细节作出改变。例如,本发明的实施例可用多种体系结构实现。在一个实施例中,机密性保护可被扩展到提供请求者的匿名性的扩展CT_IU前序的请求N_Port名称字段。因此,本发明应被理解为包括落在本发明的真实精神和范围内的所有变形和等同物。
Claims (12)
1.一种用于在具有第一网络实体和第二网络实体的光纤信道网络中发送加密的公共传输信息单元的方法,该方法包括以下步骤:
识别具有对应于所述第一网络实体的源和对应于所述第二网络实体的目的地的公共传输信息单元的识别步骤;
确定所述公共传输信息单元是否对应于安全性数据库中的第一条目的选择器的确定步骤,其中确定步骤包括将所述公共传输信息单元的流量类别与所述第一条目中标识的流量类别相比较;
当确定所述公共传输信息单元与所述第一条目的选择器相对应时,
向所述公共传输信息单元分配安全性关联标识;
创建所述安全性数据库中的第二条目,所述第二条目包括所述安全性关联标识以及密钥和算法信息;使用与所述安全性数据库中的所述第二条目相关联的密钥和算法信息来加密所述公共传输信息单元的第一部分;以及发送所述公共传输信息单元到所述第二网络实体。
2.如权利要求1所述的方法,其中在所述第一和第二网络实体之间执行光纤信道认证协议之后创建所述安全性数据库中的所述第二条目。
3.如权利要求1所述的方法,其中所述公共传输信息单元携带扩展公共传输信息单元前序,并且通过加密公共传输信息单元净荷保护机密性。
4.如权利要求1所述的方法,其中使用从由DES、3DES和AES组成的组中选出的加密算法来加密所述公共传输信息单元的第一部分。
5.如权利要求3所述的方法,其中保护所述扩展公共传输信息单元前序或基本公共传输信息单元前序中的参数的机密性。
6.如权利要求5所述的方法,其中在加密所述公共传输信息单元的所述第一部分之前填充公共传输信息单元净荷。
7.如权利要求1所述的方法,其中确定步骤包括将所述公共传输信息单元的源与所述第一条目中标识的源相比较。
8.如权利要求1所述的方法,其中确定步骤包括将所述公共传输信息单元的目的地与所述第一条目中标识的目的地相比较。
9.一种用于在具有第一网络实体和第二网络实体的光纤信道网络中发送加密的公共传输信息单元的装置,该装置包括:
用于识别具有对应于所述第一网络实体的源和对应于所述第二网络实体的目的地的公共传输信息单元的装置;
用于确定所述公共传输信息单元是否对应于安全性数据库中的第一条目的选择器的装置,其中用于确定的装置包括用于将所述公共传输信息单元的流量类别与所述第一条目中标识的流量类别相比较的装置;
用于当确定所述公共传输信息单元与所述第一条目的选择器相对应时执行以下操作的装置:
向所述公共传输信息单元分配安全性关联标识;
创建所述安全性数据库中的第二条目,所述第二条目包括所述安全性关联标识以及密钥和算法信息;使用与所述安全性数据库中的所述第二条目相关联的密钥和算法信息来加密所述公共传输信息单元的第一部分;以及发送所述加密的公共传输信息单元到所述第二网络实体。
10.如权利要求9所述的装置,其中在所述第一和第二网络实体之间执行光纤信道认证协议之后创建所述安全性数据库中的所述第二条目。
11.如权利要求9所述的装置,其中用于确定的装置包括用于将所述公共传输信息单元的源与所述第一条目中标识的源相比较的装置。
12.如权利要求9所述的装置,其中用于确定的装置包括用于将所述公共传输信息单元的目的地与所述第一条目中标识的目的地相比较的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/805,111 US7333612B2 (en) | 2004-03-19 | 2004-03-19 | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport |
| US10/805,111 | 2004-03-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101076792A CN101076792A (zh) | 2007-11-21 |
| CN100580652C true CN100580652C (zh) | 2010-01-13 |
Family
ID=34986299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580007367A Expired - Fee Related CN100580652C (zh) | 2004-03-19 | 2005-03-17 | 用于光纤信道公共传输的机密性保护的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7333612B2 (zh) |
| EP (1) | EP1726112A4 (zh) |
| CN (1) | CN100580652C (zh) |
| AU (1) | AU2005226659B2 (zh) |
| WO (1) | WO2005092001A2 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7965843B1 (en) | 2001-12-27 | 2011-06-21 | Cisco Technology, Inc. | Methods and apparatus for security over fibre channel |
| US7333612B2 (en) * | 2004-03-19 | 2008-02-19 | Cisco Technology, Inc. | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport |
| US8769021B2 (en) * | 2006-01-12 | 2014-07-01 | Broadcom Corporation | Method and system for light-weight SOAP transport for web services based management |
| IL193504A (en) * | 2008-08-17 | 2013-02-28 | Michael Braiman | RF coded communication system |
| US8514856B1 (en) | 2010-06-24 | 2013-08-20 | Cisco Technology, Inc. | End-to-end fibre channel over ethernet |
| US8832331B2 (en) * | 2011-08-29 | 2014-09-09 | Ati Technologies Ulc | Data modification for device communication channel packets |
| CN102611624A (zh) * | 2012-03-16 | 2012-07-25 | 北京星网锐捷网络技术有限公司 | 一种存储网络安全访问控制方法、装置及交换设备 |
| US9407547B2 (en) | 2013-12-13 | 2016-08-02 | Cisco Technology, Inc. | Fibre channel over ethernet (FCoE) over virtual port channel (vPC) |
| CN104219057A (zh) * | 2014-09-17 | 2014-12-17 | 中国能源建设集团广东省电力设计研究院 | 一种广域保护系统数据通信网络实时加密的方法及装置 |
| WO2018162565A1 (en) * | 2017-03-08 | 2018-09-13 | Abb Schweiz Ag | Methods and devices for providing cyber security for time aware end-to-end packet flow networks |
| US20210271684A1 (en) | 2020-02-28 | 2021-09-02 | Clumio, Inc. | Retrieval of data from a time-series data lake |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4217488A (en) * | 1977-01-21 | 1980-08-12 | Bell Telephone Laboratories, Incorporated | Secure optical communication components, method, and system |
| US5070528A (en) * | 1990-06-29 | 1991-12-03 | Digital Equipment Corporation | Generic encryption technique for communication networks |
| US5764890A (en) * | 1994-12-13 | 1998-06-09 | Microsoft Corporation | Method and system for adding a secure network server to an existing computer network |
| US5959990A (en) * | 1996-03-12 | 1999-09-28 | Bay Networks, Inc. | VLAN frame format |
| US5946467A (en) * | 1996-09-20 | 1999-08-31 | Novell, Inc. | Application-level, persistent packeting apparatus and method |
| US6070243A (en) * | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
| US6061794A (en) * | 1997-09-30 | 2000-05-09 | Compaq Computer Corp. | System and method for performing secure device communications in a peer-to-peer bus architecture |
| WO1999023538A1 (en) * | 1997-10-28 | 1999-05-14 | Georgia Tech Research Corporation | Adaptive data security system and method |
| US6493825B1 (en) * | 1998-06-29 | 2002-12-10 | Emc Corporation | Authentication of a host processor requesting service in a data processing network |
| US6263445B1 (en) * | 1998-06-30 | 2001-07-17 | Emc Corporation | Method and apparatus for authenticating connections to a storage system coupled to a network |
| US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
| US6823453B1 (en) * | 2000-10-06 | 2004-11-23 | Hewlett-Packard Development Company, L.P. | Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks |
| US20020184068A1 (en) * | 2001-06-04 | 2002-12-05 | Krishnan Krish R. | Communications network-enabled system and method for determining and providing solutions to meet compliance and operational risk management standards and requirements |
| US7613699B2 (en) * | 2001-08-03 | 2009-11-03 | Itt Manufacturing Enterprises, Inc. | Apparatus and method for resolving security association database update coherency in high-speed systems having multiple security channels |
| US20030120915A1 (en) * | 2001-11-30 | 2003-06-26 | Brocade Communications Systems, Inc. | Node and port authentication in a fibre channel network |
| US7215667B1 (en) * | 2001-11-30 | 2007-05-08 | Corrent Corporation | System and method for communicating IPSec tunnel packets with compressed inner headers |
| US7965843B1 (en) * | 2001-12-27 | 2011-06-21 | Cisco Technology, Inc. | Methods and apparatus for security over fibre channel |
| US7246245B2 (en) * | 2002-01-10 | 2007-07-17 | Broadcom Corporation | System on a chip for network storage devices |
| JP2004140482A (ja) * | 2002-10-16 | 2004-05-13 | Fujitsu Ltd | 暗号通信を行うノード装置、暗号通信システムおよび方法 |
| US7587587B2 (en) * | 2002-12-05 | 2009-09-08 | Broadcom Corporation | Data path security processing |
| US9015467B2 (en) * | 2002-12-05 | 2015-04-21 | Broadcom Corporation | Tagging mechanism for data path security processing |
| US7236597B2 (en) * | 2002-12-20 | 2007-06-26 | Bbn Technologies Corp. | Key transport in quantum cryptographic networks |
| US20050102514A1 (en) * | 2003-11-10 | 2005-05-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, apparatus and system for pre-establishing secure communication channels |
| US7333612B2 (en) * | 2004-03-19 | 2008-02-19 | Cisco Technology, Inc. | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport |
| US20060274899A1 (en) * | 2005-06-03 | 2006-12-07 | Innomedia Pte Ltd. | System and method for secure messaging with network address translation firewall traversal |
-
2004
- 2004-03-19 US US10/805,111 patent/US7333612B2/en not_active Expired - Fee Related
-
2005
- 2005-03-17 EP EP05729950A patent/EP1726112A4/en not_active Ceased
- 2005-03-17 CN CN200580007367A patent/CN100580652C/zh not_active Expired - Fee Related
- 2005-03-17 AU AU2005226659A patent/AU2005226659B2/en not_active Ceased
- 2005-03-17 WO PCT/US2005/009096 patent/WO2005092001A2/en not_active Application Discontinuation
-
2007
- 2007-12-18 US US11/959,380 patent/US20080095367A1/en not_active Abandoned
Non-Patent Citations (2)
| Title |
|---|
| FIBRE CHANNEL GENERIC SERVICES-3 REV 7.01. American National Standard for Information Technology.NCITS. 2000 |
| FIBRE CHANNEL GENERIC SERVICES-3 REV 7.01. American National Standard for Information Technology.NCITS. 2000 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US7333612B2 (en) | 2008-02-19 |
| US20080095367A1 (en) | 2008-04-24 |
| EP1726112A4 (en) | 2010-12-15 |
| WO2005092001A2 (en) | 2005-10-06 |
| CN101076792A (zh) | 2007-11-21 |
| WO2005092001A3 (en) | 2007-05-31 |
| AU2005226659B2 (en) | 2009-12-10 |
| AU2005226659A1 (en) | 2005-10-06 |
| EP1726112A2 (en) | 2006-11-29 |
| US20050207579A1 (en) | 2005-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100580652C (zh) | 用于光纤信道公共传输的机密性保护的方法和装置 | |
| US10298595B2 (en) | Methods and apparatus for security over fibre channel | |
| US5638448A (en) | Network with secure communications sessions | |
| CN104023013B (zh) | 数据传输方法、服务端和客户端 | |
| JP3688830B2 (ja) | パケット転送方法及びパケット処理装置 | |
| CN101300806B (zh) | 用于处理安全传输的系统和方法 | |
| US8904178B2 (en) | System and method for secure remote access | |
| CN102804677B (zh) | 安全网络包围区的发现 | |
| EP1473869A1 (en) | Universal secure messaging for cryptographic modules | |
| US20100195824A1 (en) | Method and Apparatus for Dynamic Generation of Symmetric Encryption Keys and Exchange of Dynamic Symmetric Key Infrastructure | |
| KR101753859B1 (ko) | 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법 | |
| CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
| CN113591109B (zh) | 可信执行环境与云端通信的方法及系统 | |
| KR102413497B1 (ko) | 보안 전자 데이터 전송을 위한 시스템 및 방법 | |
| Cho et al. | Secure open fronthaul interface for 5G networks | |
| CN115001744B (zh) | 一种云平台数据完整性验证方法及系统 | |
| CN112035820B (zh) | 一种用于Kerberos加密环境下的数据解析方法 | |
| CN115150076A (zh) | 一种基于量子随机数的加密系统及方法 | |
| KR20140004703A (ko) | 제어된 보안 도메인 | |
| KR20020083551A (ko) | 멀티에이전트 기반 다단계 사용자 인증 시스템 개발과운용 방법 | |
| Mezher et al. | Secure Health Information Exchange (S-HIE) Protocol with Reduced Round-Trip Count | |
| KR0171003B1 (ko) | 정보보호 프로토콜 및 그를 이용한 정보 보호방법 | |
| JP3962050B2 (ja) | パケット暗号化方法及びパケット復号化方法 | |
| CN117439799A (zh) | 一种http请求数据防篡改的方法 | |
| JP2006121440A (ja) | 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100113 |