NO168860B - Kommunikasjonsnettverk - Google Patents

Kommunikasjonsnettverk Download PDF

Info

Publication number
NO168860B
NO168860B NO894506A NO894506A NO168860B NO 168860 B NO168860 B NO 168860B NO 894506 A NO894506 A NO 894506A NO 894506 A NO894506 A NO 894506A NO 168860 B NO168860 B NO 168860B
Authority
NO
Norway
Prior art keywords
crypto
pool
network
subscriber
channel
Prior art date
Application number
NO894506A
Other languages
English (en)
Other versions
NO894506L (no
NO168860C (no
NO894506D0 (no
Inventor
Kaare Presttun
Original Assignee
Alcatel Stk As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Stk As filed Critical Alcatel Stk As
Priority to NO894506A priority Critical patent/NO168860C/no
Publication of NO894506D0 publication Critical patent/NO894506D0/no
Priority to US07/607,912 priority patent/US5115466A/en
Priority to AU65707/90A priority patent/AU634302B2/en
Priority to DK90121567.3T priority patent/DK0436799T3/da
Priority to AT90121567T priority patent/ATE143201T1/de
Priority to EP90121567A priority patent/EP0436799B1/en
Priority to DE69028614T priority patent/DE69028614T2/de
Priority to ES90121567T priority patent/ES2094135T3/es
Priority to JP30699490A priority patent/JP3150964B2/ja
Publication of NO894506L publication Critical patent/NO894506L/no
Publication of NO168860B publication Critical patent/NO168860B/no
Publication of NO168860C publication Critical patent/NO168860C/no
Priority to GR960403127T priority patent/GR3021732T3/el

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q3/00Selecting arrangements
    • H04Q3/58Arrangements providing connection between main exchange and sub-exchange or satellite
    • H04Q3/62Arrangements providing connection between main exchange and sub-exchange or satellite for connecting to private branch exchanges
    • H04Q3/622Circuit arrangements therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13095PIN / Access code, authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13174Data transmission, file transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13176Common channel signaling, CCS7
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13205Primary rate access, PRI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13209ISDN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/1322PBX
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13339Ciphering, encryption, security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13395Permanent channel, leased line

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Astronomy & Astrophysics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Photovoltaic Devices (AREA)
  • Silicon Compounds (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

Den foreliggende oppfinnelse angår et kommunikasjonsnettverk som er beregnet for sikker overføring av tale og data. Oppfinnelsen angår særlig et nettverk som omfatter forskjellige typer abonnentterminal er og svi tsjemoduler, hvor abon-nentlinjer forbinder hver abonnentterminal med en svitsjemodul, og transmisjonskanaler forbinder hver svitsjemodul med andre svi tsjemoduler i nettverket, og hvor nettverket også omfatter kryptoanordninger for å foreta kryptering og dekryp-tering av informasjon som overføres gjennom nettverket.
Rent generelt gjelder oppfinnelsen chiffrering og dechiffrering av digitale kommunikasjonsveier i data- og/eller telekommunikasjonsnettverk. Slike veier kan etableres mellom nettverksterminal er som kan være et hvilket som helst utstyr som er knyttet til nettverket på én eller annen måte.
Data- og telekommunikasjonsnettverk bygges opp v.hj.a. svitsjeutstyr som f.eks. PABX'er eller PBX'er. Svitsjeutstyret betjener kommunikasjonsveiene gjennom sett med kommunikasjonskanaler. Disse kommunikasjonskanaler er fysiske informasjons-bærere. Informasjonssignalet eller datastrømmen som overføres over kanalen, blir chiffrert når det er nødvendig med slik sikkerhet. Chiffrerte data på en kanal krever at det må være kryptoanordninger til den datastrøm som bruker kanalen, for å utføre chiffrerings- og dechiffreringsprosessen.
Slike chiffrerings- og dechiffreringsanlegg for data- og telekommunikasjonsnettverk er tidligere kjent når det er nødvendig med slik sikkerhet, og forskjellige løsninger har vært foreslått.
Blant de mest likefremme løsninger skal 1 ink-ti 1-1 ink kryptoutstyr nevnes først. Med et slikt system har hver transmisjons!ink en kryptoanordning som omfatter krypterings-og dekrypteringsanordninger i hver av endene, hvorved et slikt system bare beskytter selve transmisjonslinken. Som en annen også likefrem løsning kan nevnes den som benytter ende-til-ende kryptoutstyr når hver av de berørte abonnenter har en kryptoanordning som kan kobles inn i trafikk-kanal en etter at et anrop er gjort. I sistnevnte tilfelle vil også svitsjene i nettverket være innbefattet i den krypterte trafikk.
De nevnte løsninger er imidlertid forholdsvis kostbare og lite fleksible, da kryptoanordningene hele tiden må være knyttet til kanalene eller til de berørte abonnenter.
Fra japansk patentsøknad nr. 85-121742 er det kjent en løsning hvor hver PABX er forsynt med chi ffersamband for chiffrering og dechiffrering. Terminal enhetene kobles til det offentlige nettverket gjennom sentral samband ved vanlig kommunikasjon og gjennom chiffersamband ved chiffrert kommunikasjon.
Ifølge den japanske beskrivelse kan chiffrert kommunikasjon foretas mellom tilfeldige terminal enheter uten å ha en chiffreringskrets og en dechiffreringskrets i hver terminal-enhet. Den japanske PABX har et antall sentral samband som kan brukes for sikret så vel som ikke sikret overføring. Meldinger som skal sikres, føres gjennom én av et antall chiffersamband før meldingen overføres over offentlige nett. En sentral prosessen' ngsenhet i PABX'en styrer innkoblingen av terminal-enhetene som skal brukes for chiffrert kommunikasjon til det offentlige nett gjennom chi ffersambandene. I dette oppsett er chiffrerings- og dechiffrerings-utstyret en del av selve PABX'en.
Hovedformålet med den foreliggende oppfinnelse er å tilveiebringe en mer fleksibel løsning som er fysisk uavhengig av svi tsjeutstyret. Hovedtrekkene ved oppfinnelsen er definert i kravene.
I den foreliggende oppfinnelse er kryptomodul ene (CM) basert på chiffreringsnøkler. Disse nøkler må distribueres fra en nøkkel database. En kryptopool-styreanordning (MA), som er anbrakt i kryptopoolen , kommuniserer med nøkkel fordel ings-instansen ved hjelp av standardiserte kommunikasjonsprotokoller. Nøklene fordeles fra MA til den relevante CM gjennom kryptopoolens interne styrebuss.
Et annet formål med oppfinnelsen er å gjøre systemet kompatibelt med eksisterende systemer, samt å muliggjøre en enkel utvidelse av systemet til å omfatte andre relaterte sikkerhetstjenester. Kryptopool-utstyret kan således ifølge oppfinnelsen også gjøres tilgjengelig for andre nettverktermi-naler enn svi tsjeutstyret, om nødvendig.
Dette oppnås ved å samle et antall chiffrerings/dechiffrerings-enheter i en kryptopool, på ett eller flere sikre steder i nettverket, ved å benytte utstyr som muliggjør at autoriserte abonnenter har tilgjengelighet til en krypterings/dekrypteringsenhet for sin egen kommunikas-jonskanal, og ved å introdusere kryptostyre-enheter som også foretar nøkkel fordel ing gjennom de kryptoenheter som inngår i kryptoforbindelsen.
Systemer som ikke bruker det foreliggende kryptopool-konsept, må knytte kryptomodulene til spesielle kanaler slik at disse kanalene bare blir i stand til å overføre chiffrerte data. Oppfinnelsen anviser en måte hvorpå kryptoanordninger kan knyttes dynamisk til den kanal som trenger det. En hvilken som helst kanal kan således overføre både sikret og usikret i nformasj on.
Ende-ti1-ende chiffrert kommunikasjon krever at endesyste-mene, dvs. nettverkets brukerutstyr, er forsynt med en kryptoanordning. Oppfinnelsen gjør det mulig for ende-ti1-ende kryptosystemer som omfatter en kryptoanordning for chiffrert kommunikasjon, å kommunisere med ikke-sikrede endesystemer og vice versa. Krypomodulen i en kryptopool vil da utgjøre sikkerhetsutstyret for den ikke-sikrede endestasjon. Det ikke-sikrede endesystem trenger ikke vite at det er forbundet med et sikkert endesystem som sender sikrede data.
Ovenfor nevnte og andre formål og særtrekk ved den foreliggende oppfinnelse vil klart fremgå av den etterfølgende detaljerte beskrivelse av utførelser av oppfinnelsen sett i sammenheng med figurene, hvor
- fig. 1 viser hvordan en kryptopool ifølge oppfinnelsen kan inngå i forskjellige deler av et telekommunikasjonsnettverk , - fig. 2 viser et funksjonelt blokkdiagram for hvordan en kryptopool ifølge oppfinnelsen er konstruert, og - fig. 3 viser hvordan kryptopool-utstyr kan introduseres i et ISDN-nett.
I fig. 1 er det antydet hvordan kryptopoolkonseptet kan introduseres i et nettverk som inneholder et ISDN-basert nettverk og et analogt nettverk.
Et nettverk 1 er vist, omfattende et offentlig ISDN 2, et konvensjonelt analogt nettverk 3, to ISPABX'er 4, 5, som er knyttet direkte til ISDN-nettverket, og en PABX 6, som er forbundet direkte med den analoge del av nettverket. Tre kryptopool-anordninger 7, 8, 9 er forbundet med de viste PABX'er 4, 5, 6 og en av kryptopool-anordningene 8 er vist i større detalj. Et antall forskjellige abonnentterminal er 10-15 er også antydet.
Noen forkortelser som er benyttet i fig. 1, er:
CM kryptomodul
MA kryptopool-styreanordning
CR-pool kryptopool
AS autentiseringsanordning
TA terminal ti 1pasning.
Autentiseringsanordninger 16, 17 er forbundet med ISPABX'ene eller en offentlig ISDN for å tilby tjenester som understøtter autentisering og nøkkel utveksl ing. Abonnentutstyret trenger ikke være direkte involvert i forbindelse med AS'ene, men deres sikkerhetstjenester tilbys gjennom ISPABX'ens abonnentforbindelser.
I fig. 2 omfatter en kryptopool 20 en rekke kryptomoduler (CM'er 21, 22, 23) hvorav bare tre er vist. Disse kryptomoduler 21. 22, 23 er anordnet i en gruppe (CM-pool) 24. Innenfor kryptopoolen 20 er det også anordnet en styrebuss 25 og en kryptopool-styreanordning (MA) 26. Når det gjelder ISDN vil alle kryptomodulene 21-23 være forbundet med B-kanalene for den relaterte PABX-ti1knytningen, og kryptopool-styreanordningen 26 vil også være forbundet ved den samme PABX over D-kanalen i ISDN. Inne i kryptopoolen 20 vil både CM-pool 24, som omfatter kryptomodulene 21-23, og kryptopool-styreanordningen (MA) 26, være forbundet med den felles styrebuss 25.
Plasseringen av kryptopoolen i et data- eller telekommunikasjonsnettverk, fremgår av fig. 1. PBX'er er anordnet innenfor ISDN og det analoge system. Oppfinnelsen muliggjør at sikkerhetssystemer kan benyttes i alle digitale svitsjeutstyr uten å anskaffe noe tilleggsutstyr til svitsjen. Denne fleksibilitet er svært viktig for sikkerheten til svitsjeutstyret.
Det skal anmerkes at denne fleksible kryptopool-1øsning er fysisk atskilt fra svi tsjeutstyret. Et standardisert kommuni-kasjonsgrensesnitt (ISDN Primary Rate Access (PRA), 30 B + D) forbinder kryptopoolen med svi tsjeutstyret. Selve kryptopoolen omfatter en styreanordning 26, som styrer alle aktiviteter i kryptopoolen. Blant disse aktiviteter er styringen av kryptomodulene 21-23 og koordinering av bruken av B-kanalen eller kryptomodulen med svitsjeutstyret. D-kanalen for ISDN PRA grensesnittet er rutet til styreanordningen. All styrekommunikasjon med svitsjeutstyret utføres gjennom denne kanal. Styreanordningen og kryptopoolen er forbundet over styrebussen 25, som bare er tilgjengelig internt i kryptopoolen og brukes av styreanordningen til å styre kryptomodulene.
Kryptomodulene er forbundet med i det minste to B-kanaler hver i ISDN PRA grensesnittet. Dette betyr at det maksimalt kan være 15 kryptomoduler i en kryptopool. En kryptomodul kan utføre både chiffrering og dechiffrering av den informasjon som flyter i de tilhørende B-kanaler. Chiffrert informasjon flyter i én retning på én av B-kanalene, mens ikke-chiffrert informasjon flyter den andre veien i den andre B-kanalen. Hvilken vei den chiffrerte informasjon flyter, til eller fra kryptopoolen, er avhengig av om kryptomodulen utfører chiffrering eller dechiffrering.
I den foreliggende oppfinnelse er kryptomodulene basert på chiffreringsnøkler. Disse nøkler utveksles mellom de sammen-koblede parter gjennom en autentiseringsprosess som også involverer en autentiseringsanordning. Kommunikasjon med autentiseringsanordningen foregår ved standardiserte kommunikasjonsprotokoller. Nøklene fordeles fra styreanordningen til den angjeldende kryptomodul over styrebussen i kryptopoolen.
I fig. 3 er det skjematisk vist et offentlig ISDN-nett 30 med svitsjer (ISPABX'er) 31, 32, terminalutstyr 33-40, autentiseringsanordninger 41-43 og kryptopooler 44, 45. Noen alternative oppkoblinger vil bli beskrevet i det følgende for å vise hvordan sikkerhetsenhetene samvirker for å bevare sikkerhet og tilveiebringe sikre kommunikasjonstjenester til abonnentene. Abonnentterminal er og terminalutstyr 33-40 er her systemer som er knyttet til en ISDN-abonnentlinje (ISDN Basic Access, 2 B + D). Termi nal ti 1 pasm" nger 50, 51 med sikkerhets-moduler 52, 53, kan også inngå i terminalutstyret.
En kryptopool 44, 45 kan aktiviseres både fra et abonnentsett 35, 36, 40 uten sikkerhetsmodul og fra et abonnentsett 34, 38 med sikkerhetsmodul 46, 47. På samme måte kan den aktiveres fra et abonnentsett 39, som er forsynt med en konferansemodul 48 eller som ikke har en slik modul, og som er anbrakt inne i eller utenfor ISDN-nettverket, og dette vil være uavhengig av om sikkerhetsmodulen og konferansemodulen 49 er anbrakt i en PABX 31 i ISDN-nettverket eller ikke.
Vi skal først se på kommunikasjon mellom to sikrede abonnentterminal er 34, 38, som begge er utstyrt med sikker-hetsanordninger. Abonnentene eller abonnentutstyret må først autentiseres før kommunikasjon kan begynne. Dette utføres av en autentiseringsprotokol1 mellom de berørte abonnenter. Autentiseringsprotokol1 en CCITT X.509 er basert på abonnent-sertifikater. Slike sertifikater gis av autentiseringsanordningen 41, 43 på direkte forespørsel fra abonnentene eller indirekte gjennom ISPABX'en. Integrert i protokollene er også utveksling av chiffreringsnøkler.
Sikkerhetstjenestene er basert på at de berørte abonnenter stoler på en sertifiseringsautoritet (CA) (ikke vist) som styrer de berørte autentiseringsanordninger. I et bedriftsnett vil CA-instansen være bestemt av bedriften og kan enten innbefattes i en ISPABX eller i en av de autentiseringsanordninger som er knyttet til nettverket.
Vi skal nå se på kommunikasjon mellom ikke-sikrede abon-nenttermi nal er 35, 36, 40. Sikkerhetsprosedyrer er mest interessante når de berørte abonnenter tilhører forskjellige ISPABX'er som er sammenkoblet over et offentlig nett. Det vil nå være sambandsveien mellom de berørte PABX'er som det vil være mest interessant å beskytte. Dette vil medføre at en kryptopool 44, 45 er knyttet til hver av PABX'ene 31, 32.
Kryptopoolen vil så representere den ikke-sikrede abonnentterminal når det gjelder sikkerhetstjenester. Den sikrede kommunikasjon mellom kryptopoolene vil tilsvare kommunikasjon mellom sikrede abonnentterminal er som beskrevet ovenfor. De tilgjengelige sikkerhetstjenester vil imidlertid avhenge av de sikkerhetstjenester som tilbys av kryptopoolen.
De berørte kryptopooler vil autentisere hverandre etter at et kommunikasjonsønske er gitt. Chiffernøkler vil bli utveks-let mellom kryptopoolene, og alle abonnentdata vil bli rutet gjennom begge kryptopoolene for chiffrering og dechiffrering.
Det siste alternativet som skal betraktes er kommunikasjon mellom sikrede og ikke-sikrede terminaler. Den ikke-sikrede terminal 35 vil da være representert av kryptopoolen 44. Den sikrede terminal 38 og kryptopoolen 44 vil autentisere hverandre som nevnt ovenfor og utveksle chiffernøkler. De tilgjengelige sikkerhetstjenester vil igjen være begrenset til det felles sett med tjenester som tilbys av den berørte kryptopool og den sikrede terminal.
I dette tilfelle må den sikrede terminal 38 stole på kryptopoolen som representerer den ikke-sikrede abonnentterminal 35. Dette vil inngå som en del av den sikkerhets-policy som en privat ISDN kan være belagt med.
Sikrede talekonferansemoduler 48, 49 kan også innbefattes, men dette utgjør ikke noen del av den foreliggende oppfinnelse. En sikkerhetsmodul 54 kan, som antydet, innbefattes i terminalutstyr 39, som har en konferansemodul 48.
Kryptopoolen er en anordning som er knyttet til en ISPABX gjennom et ISDN Primary Rate Access grensesnitt (PRA), (30B+D, 2Mb/sec) (ikke vist). Hovedtjene sten som dette produkt yter, er datakonfidensial i tet ved å tilby chiffrering av n*64kb/sec kommunikasjonskanaler, hvor den maksimale verdi av n er 15. Denne tjenesten kan utbes fra den tilknyttede ISPABX eller ISPABX-abonnent, over tilsvarende terminalutstyr. ;Et par kommunikasjonskanaler (X-ch, fig. 2) som gjelder ISPABX-grensesnittet for kryptopoolen, er knyttet til en kryptomodul (CM), som mottar klartekst data og sender tilbake chiffrerte data, eller omvendt. En pool med kryptomoduler er da tilgjengelig for styreanordningen (MA) i kryptopoolen og den anropende abonnent. En kryptomodul kan også håndtere et antall B-kanaler som tilbyr konfidensialitet på n*64kbit/sec kommunikasjonskanaler. Dersom en ISDN kryptopool er forbundet med en sikret terminal, dvs. en som har en integrert kryptomodul, må terminalens kryptomodul være kompatibel med
den som brukes av kryptopoolen.
De standardiserte kommunikasjonskanaler (bærertjenester) som kan håndteres av en kryptomodul er:
B-kanal 64 kbit/sek
H0-kanal 384 kbit/sek (6 B-kanaler)
Hn-kanal 1536 kbit/sek (24 B-kanaler)
Hi2-kanal 1920 kbit/sek (30 B-kanaler).
Tjenestene styres av styreanordningen MA, som er forbundet med D-kanalen (signaleringskanalen ) D-ch, fig. 2 i ISPABX-grensesnittet. Denne kanal benyttes for å overføre informasjon når det samarbeides med de tilknyttede ISPABX-abonnenter, eller terminalbrukere, eller andre nettverk-ki1 der som er knyttet til ISPABX'en som har kryptopooltjeneste.
Funksjonene som utføres over D-kanalen omfatter:
- Utveksling av chiffreringsnøkler
- Autentisering og utveksling av sertifikater
- Identifisering av B-kanalen og kommunikasjonskanalen for tilknytning av kryptomoduler
- Håndtering av ønsker om kryptopooltjenester
- Kostnadsbelastning av tjenester. Dette er bare aktuelt overfor abonnentutstyr, da slik belastning ellers håndteres av ISPABX'en.
Fordelene ved den foreliggende oppfinnelse er:
- Den gjelder sikrede kommunikasjonsveier mellom ISPABX'er som er sammenkoblet gjennom et usikret og ikke pålitelig nett som f.eks. et offentlig nett. Ved å benytte kryptopool-tjenestene kan kommunikasjonskanaler mellom ISPABX'er benyttes til å overføre både klartekst og chiffrert informasjon. Ellers måtte spesielle kommunikasjonskanaler være fysisk forbundet med en kryptomodul og bare være dedikert for å sende chiffrert informasjon. - Usikret abonnentutstyr kan kommunisere med sikret abonnentutstyr gjennom en kryptopool uten å svekke den eksisterende sikkerhet. - Den kan på enkel måte tilpasses en hvilken som helst tilgjengelig ISPABX på markedet på grunn av det standardiserte ISPABX grensesnitt (ISDN PRA).
Kryptopoolens tjenester kan nås på tre forskjellige måter:
- Tilgjengeligheten til kryptopoolene oppnås direkte av den tilknyttede ISPABX. I dette tilfelle vil hverken abonnentene eller terminalutstyret være klar over at det brukes kryptopooler. Denne løsning tilveiebringer konfidensiell kommunikasjon mellom ISPABX'er. - Tilgjengeligheten av kryptopoolene kan oppnås direkte av en abonnent gjennom terminalutstyr. Terminalutstyret er forbundet med den samme ISPABX som den tilgjengelige kryptopool. Denne løsning benyttes når terminalutstyret er ansvarlig for ende-ti1-ende sikkerhet. Den må da ha installert en sikkerhetsmodul som utgjøres av et stykke programvare som gjør det mulig å kommunisere med styreanordningen for kryptopool. ISPABX'en trenger i dette tilfelle ikke å vite om den tilknyttede kryptopool. - Tilgjengeligheten til kryptopoolene kan foretas indirekte ved å oppnå tilgjengelighet til en ISPABX. ISPABX sikkerhetstjenester vil da oppnås ved å bruke kryptopoolens tjenester. Tjenesten er tilgjengelig for abonnenten eller terminalutstyret som en tilleggs-tjeneste gjennom D-kanalen.
Autentiseringsanordningen (AS), som er skjematisk vist i figurene 1 og 3, tilbyr en rekke sikkerhetssertifi kater. Sertifikatene brukes av abonnentene av terminalutstyret og av andre nettverkski1 der under autentiseringsprosessen når en nettverksforbindelse påbegynnes. Hver av disse nettverks-terminaler har sitt eget sertifikat.
Autentiseringsanordningen er tilgjengelig gjennom standardiserte protokoller som er basert på CCITT X500 serie med anbefalinger, de såkalte katalogtjenester. Når autentiseringsanordningen er koblet til en ISPABX, benyttes et ISDN grensesnitt for tilgjengelighet til kretsen. Hvilket grensesnitt som benyttes, ISDN Basic Access eller ISDN Primary Rate Access, er avhengig av den trafikale belastning av autentiserings-anordni ngen.
Fordelene ved autentiseringsanordningen er:
- direkte distribusjon av sertifikater
- fleksibilitet med hensyn til forandring og utveksling av
serti fi kater
- tilgjengelighet gjennom standardiserte OS I-protokol1 er som gjør ISPABX'en uavhengig av sikkerhetssystemene - mulighet for distribuerte sertifikatdatabaser som omfatter mer enn én autentiser ingsanordning. Sertifise-ringsautoriseringen (CA) innebygges i én av autentise-ringsanordningene eller den berørte ISPABX for å ta hånd om sertifikatdistribueringen.
Ovenstående detaljerte beskrivelse av noen utførelses-eksempler av foreliggende oppfinnelse skal bare betraktes som eksempler og må ikke oppfattes som begrensninger av beskyt-telsens omfang.

Claims (10)

1. Kommunikasjonsnettverk beregnet for sikker overføring av tale- og data, omfattende forskjellige typer med abonnent-terminaler (10-15) og svi tsjemoduler (4-6), hvor abonnent-linjer forbinder hver abonnentterminal med en svi tsjemodul, hvor transmisjonskanaler forbinder hver svitsjemodul med andre svitsjemoduler i nettverket, og hvor nettverket videre omfatter kryptoanordninger beregnet for chiffrering/dechiffrering av informasjon som overføres gjennom nettverket, karakterisert ved at i det minste én av kryptoanordningene utgjøres av en kryptopoolanordning (7, 8, 9) omfattende et antall kryptomoduler (CM) som er fysisk atskilt fra svitsjemodulene (4, 5, 6) og kommuniserer med svi tsjemodulene gjennom standardiserte grensesnitt og kommunikasjonsprotokoller som gjør anordningen dynamisk tilgjengelig for kanaler som trenger det, fra abonnent-terminalene, fra svi tsjemodulene eller annet nettverksutstyr, og at kryptomodulene er forbundet med i det minste to kanaler hver i grensesnittet mot svitsjeutstyret, slik at chiffrert informasjon kan flyte i én kanal, mens ikke-chiffrert informasjon kan flyte i den andre kanalen.
2. Nettverk ifølge krav 1, karakterisert ved at hver kryptopool (7, 8, 9; 20) er forsynt med en styreanordning (MA, 26) for kommunisering med en di stribusjonsinstans for chiffernøkler gjennom standardiserte kommunikasjonsprotokoller og distribuering av nøkler til de berørte kryptomoduler over en kontrollbuss (25) i kryptopoolen.
3. Nettverk ifølge krav 1 eller 2, karakterisert ved at hver kryptopool har tilgjengelighet til en autentiseringsanordning (AS, 16; 41, 43) som er en katalog over de sikkerhetssertifikater som er nødvendige i autentiseringsprosessen og for chiffernøkkelutveksl ing, når en forbindelse påbegynnes.
4. Nettverk ifølge krav 1, karakterisert ved at kryptopoolene (44, 45) er anordnet i et offentlig ISDN-system (fig.3) som omfatter et antall ISPABX-svitsjer (31,32).
5. Nettverk ifølge krav 1, karakterisert ved at kryptopoolen (44, 45) kan aktiveres både fra et abonnentsett (35, 36, 40) som ikke har sikkerhetsmodul og fra et abonnentsett (34, 38) med sikkerhetsmodul (46, 47).
6. Nettverk ifølge krav 1, karakterisert ved at kryptopoolen (44, 45) kan aktiveres direkte av den tilknyttede PABX eller ISPABX, slik at hverken abonnenten eller linjeutstyret er klar over at kryptopool brukes.
7. Nettverk ifølge krav 1, karakterisert ved at kryptopoolen (44, 45) kan aktiveres direkte av en abonnent (33, 34, 37, 38) som har sikkerhetsmodul (52, 46, 53, 47) over terminalutstyr (AS, 41, 43) som er knyttet til den samme ISPABX som den tilgjengelige kryptopool.
8. Nettverk ifølge krav 4, karakterisert ved at kryptopoolen (44, 45) kan aktiveres indirekte ved å akses-sere en ISPABX-tjeneste over en ende-ti1-ende D-kanal eller en utpekt B-kanal.
9. Nettverk ifølge krav 1, karakterisert ved at de standardiserte kommunikasjonskanaler (bærertjenester) som kan håndteres av en kryptomodul, er: B-kanal 64 kbit/sek H0-kanal 384 kbit/sek (6 B-kanaler) Hn-kanal 1536 kbit/sek (24 B-kanaler) H12-kanal 1920 kbit/sek (30 B-kanaler).
10. Nettverk ifølge krav 1, karakterisert ved at ikke-sikret abonnentutstyr (35) kan kommunisere med sikkert abonnentutstyr (38) over en kryptopool (44) uten å svekke eksisterende sikkerhet, da den sikre terminal (38) og kryptopoolen (44) vil autentisere hverandre og utveksle chiffer-nøkler.
NO894506A 1989-11-13 1989-11-13 Kommunikasjonsnettverk NO168860C (no)

Priority Applications (10)

Application Number Priority Date Filing Date Title
NO894506A NO168860C (no) 1989-11-13 1989-11-13 Kommunikasjonsnettverk
US07/607,912 US5115466A (en) 1989-11-13 1990-10-31 Communication network intended for secure transmission of speech and data
AU65707/90A AU634302B2 (en) 1989-11-13 1990-11-02 Secure communication network
ES90121567T ES2094135T3 (es) 1989-11-13 1990-11-10 Red de comunicaciones con distribucion de claves.
AT90121567T ATE143201T1 (de) 1989-11-13 1990-11-10 Kommunikationsnetzwerk mit schlüsselverteilung
DK90121567.3T DK0436799T3 (no) 1989-11-13 1990-11-10
EP90121567A EP0436799B1 (en) 1989-11-13 1990-11-10 Communication network with key distribution
DE69028614T DE69028614T2 (de) 1989-11-13 1990-11-10 Kommunikationsnetzwerk mit Schlüsselverteilung
JP30699490A JP3150964B2 (ja) 1989-11-13 1990-11-13 通信回路網
GR960403127T GR3021732T3 (en) 1989-11-13 1996-11-20 Communication network with key distribution

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
NO894506A NO168860C (no) 1989-11-13 1989-11-13 Kommunikasjonsnettverk

Publications (4)

Publication Number Publication Date
NO894506D0 NO894506D0 (no) 1989-11-13
NO894506L NO894506L (no) 1991-05-14
NO168860B true NO168860B (no) 1991-12-30
NO168860C NO168860C (no) 1992-04-08

Family

ID=19892574

Family Applications (1)

Application Number Title Priority Date Filing Date
NO894506A NO168860C (no) 1989-11-13 1989-11-13 Kommunikasjonsnettverk

Country Status (10)

Country Link
US (1) US5115466A (no)
EP (1) EP0436799B1 (no)
JP (1) JP3150964B2 (no)
AT (1) ATE143201T1 (no)
AU (1) AU634302B2 (no)
DE (1) DE69028614T2 (no)
DK (1) DK0436799T3 (no)
ES (1) ES2094135T3 (no)
GR (1) GR3021732T3 (no)
NO (1) NO168860C (no)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO173418C (no) * 1991-04-29 1993-12-08 Alcatel Stk As Kommunikasjonsnett
DE59209297D1 (de) * 1991-09-11 1998-05-28 Lucent Technologies Inc System zur Kontrolle des Zugriffs auf die Daten eines Datengerätes
US5276444A (en) * 1991-09-23 1994-01-04 At&T Bell Laboratories Centralized security control system
CA2078246C (en) * 1991-09-23 1998-02-03 Randolph J. Pilc Improved method for secure access control
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US5392357A (en) * 1991-12-09 1995-02-21 At&T Corp. Secure telecommunications
TW242206B (no) * 1993-08-27 1995-03-01 At & T Corp
FR2716323B1 (fr) * 1994-02-14 1996-05-03 France Telecom Système sécurisé d'interconnexion de réseaux locaux via un réseau de transmission public.
US5787172A (en) * 1994-02-24 1998-07-28 The Merdan Group, Inc. Apparatus and method for establishing a cryptographic link between elements of a system
DE69514908T2 (de) * 1994-02-24 2000-07-20 Merdan Group Inc Verfahren und einrichtung zum aufbau einer kryptographischen verbindung zwischen elementen eines systems
DE4406602C2 (de) * 1994-03-01 2000-06-29 Deutsche Telekom Ag Sicherheitssystem zum Identifizieren und Authentisieren von Kommunikationspartnern
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US5530758A (en) * 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
FR2721781B1 (fr) * 1994-06-28 1996-07-19 Thomson Csf Procédé pour assurer la confidentialité d'une liaison phonique et réseau local de télécommunication mettant en Óoeuvre le procédé.
GB2293719A (en) * 1994-09-29 1996-04-03 Northern Telecom Ltd A secure communications system
US5659684A (en) * 1995-02-03 1997-08-19 Isdn Systems Corporation Methods and apparatus for interconnecting personal computers (PCs) and local area networks (LANs) using packet protocols transmitted over a digital data service (DDS)
DE19515681A1 (de) * 1995-04-28 1996-10-31 Sel Alcatel Ag Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen
US5710816A (en) * 1995-05-11 1998-01-20 Ricoh Corporation Method and apparatus for ensuring receipt of voicemail messages
DE19521485A1 (de) * 1995-06-13 1996-12-19 Deutsche Telekom Ag Verfahren und Vorrichtung zur Übertragung von vertraulichen Verbindungsaufbau- und Serviceinformationen zwischen teilnehmerseitigen Endeinrichtungen und einer oder mehreren digitalen Vermittlungsstellen
FR2746566B1 (fr) * 1996-03-21 1998-04-24 Alsthom Cge Alcatel Methode pour etablir des communications securisees et systeme de chiffrement/dechiffrement associe
US6993582B2 (en) 1996-07-30 2006-01-31 Micron Technology Inc. Mixed enclave operation in a computer network
US6272538B1 (en) 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US6389534B1 (en) * 1997-06-30 2002-05-14 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
FR2772531B1 (fr) 1997-12-11 2000-03-10 France Telecom Dispositif de securisation d'une liaison telephonique entre deux postes d'abonnes
US6349289B1 (en) 1998-01-16 2002-02-19 Ameritech Corporation Method and system for tracking computer system usage through a remote access security device
DE19812215A1 (de) 1998-03-19 1999-09-23 Siemens Ag Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung
KR100392792B1 (ko) * 1999-08-21 2003-07-28 주식회사 다날 제 2접속경로를 이용한 사용자인증시스템 및 사용자인증방법
AT411509B (de) * 1999-09-17 2004-01-26 Telekom Austria Ag Anordnung und verfahren zur verschlüsselten kommunikation
US7336790B1 (en) * 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US6970941B1 (en) * 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US7765581B1 (en) 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
US8156074B1 (en) 2000-01-26 2012-04-10 Synchronoss Technologies, Inc. Data transfer and synchronization system
US8620286B2 (en) 2004-02-27 2013-12-31 Synchronoss Technologies, Inc. Method and system for promoting and transferring licensed content and applications
US6671757B1 (en) * 2000-01-26 2003-12-30 Fusionone, Inc. Data transfer and synchronization system
US7895334B1 (en) 2000-07-19 2011-02-22 Fusionone, Inc. Remote access communication architecture apparatus and method
US8073954B1 (en) 2000-07-19 2011-12-06 Synchronoss Technologies, Inc. Method and apparatus for a secure remote access system
US6986061B1 (en) 2000-11-20 2006-01-10 International Business Machines Corporation Integrated system for network layer security and fine-grained identity-based access control
US7818435B1 (en) 2000-12-14 2010-10-19 Fusionone, Inc. Reverse proxy mechanism for retrieving electronic content associated with a local network
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US20020162026A1 (en) * 2001-02-06 2002-10-31 Michael Neuman Apparatus and method for providing secure network communication
US8615566B1 (en) 2001-03-23 2013-12-24 Synchronoss Technologies, Inc. Apparatus and method for operational support of remote network systems
US20020154635A1 (en) * 2001-04-23 2002-10-24 Sun Microsystems, Inc. System and method for extending private networks onto public infrastructure using supernets
US6792534B2 (en) * 2002-03-22 2004-09-14 General Instrument Corporation End-to end protection of media stream encryption keys for voice-over-IP systems
WO2005010715A2 (en) 2003-07-21 2005-02-03 Fusionone, Inc. Device message management system
KR20070038462A (ko) 2004-05-12 2007-04-10 퓨전원 인코포레이티드 향상된 접속 인식 시스템
US9542076B1 (en) 2004-05-12 2017-01-10 Synchronoss Technologies, Inc. System for and method of updating a personal profile
US20070053335A1 (en) * 2005-05-19 2007-03-08 Richard Onyon Mobile device address book builder
US8181111B1 (en) 2007-12-31 2012-05-15 Synchronoss Technologies, Inc. System and method for providing social context to digital activity
US8255006B1 (en) 2009-11-10 2012-08-28 Fusionone, Inc. Event dependent notification system and method
US8943428B2 (en) 2010-11-01 2015-01-27 Synchronoss Technologies, Inc. System for and method of field mapping
ES2523423B1 (es) 2013-04-10 2015-11-24 Crypto Solutions, S.L. Dispositivo de cifrado simetrico y procedimiento empleado

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4182933A (en) * 1969-02-14 1980-01-08 The United States Of America As Represented By The Secretary Of The Army Secure communication system with remote key setting
SE440287B (sv) * 1983-11-28 1985-07-22 Kurt Paulsson Anordning vid ett terminalsystem
JPS61278256A (ja) * 1985-06-04 1986-12-09 Nec Corp 構内電子交換機の暗号付与方式
FR2613565B1 (fr) * 1987-04-03 1989-06-23 Bull Cps Procede pour acheminer des cles secretes vers des modules de securite et des cartes utilisateurs, dans un reseau de traitement d'informations

Also Published As

Publication number Publication date
JPH03210847A (ja) 1991-09-13
ATE143201T1 (de) 1996-10-15
NO894506L (no) 1991-05-14
EP0436799A3 (en) 1992-09-02
JP3150964B2 (ja) 2001-03-26
US5115466A (en) 1992-05-19
DE69028614T2 (de) 1997-02-06
GR3021732T3 (en) 1997-02-28
DE69028614D1 (de) 1996-10-24
AU634302B2 (en) 1993-02-18
NO168860C (no) 1992-04-08
EP0436799B1 (en) 1996-09-18
NO894506D0 (no) 1989-11-13
ES2094135T3 (es) 1997-01-16
EP0436799A2 (en) 1991-07-17
AU6570790A (en) 1991-05-16
DK0436799T3 (no) 1997-03-03

Similar Documents

Publication Publication Date Title
NO168860B (no) Kommunikasjonsnettverk
EP0869651B1 (en) A method and apparatus for secure data communication
US4802220A (en) Method and apparatus for multi-channel communication security
EP1161806B1 (en) Key management for telephone calls to protect signaling and call packets between cta's
AU644052B2 (en) Secure transmission of speech and data
EP1084542B1 (en) System and method for secured network access
EP1075748B1 (en) Method, arrangement and apparatus for authentication
JPH11507782A (ja) 秘密の接続確立情報及びサービス情報を加入者のターミナルと1又はそれ以上のデジタル交換機との間で伝送するための方法及び装置
CN1659897B (zh) 通过修正呼叫处理消息在呼叫控制器之间进行通信
US6584562B1 (en) Device for securing a telephone link between two subscriber sets
US6005874A (en) Method of processing messages in a secure communications system having a plurality of encryption procedures, and such a secure communication system
US5963644A (en) Process and device for making secure a telephone link connecting two subscriber sets
KR0175458B1 (ko) 종합정보 통신망에서의 정당한 사용자 인증을 위한 발신 및 착신측 처리 방법
KR20010038851A (ko) 보안통신 시스템에서의 암호키 분배 방식
KR20010100326A (ko) 보안통신 시스템에서의 암호키 분배 방식
Sharif et al. Providing voice privacy over public switched telephone networks
Presttun Integrating Cryptography in ISDN
Erlandsson et al. Information protection in the Swedish ISDN

Legal Events

Date Code Title Description
MM1K Lapsed by not paying the annual fees