NO168860B - Kommunikasjonsnettverk - Google Patents
Kommunikasjonsnettverk Download PDFInfo
- Publication number
- NO168860B NO168860B NO894506A NO894506A NO168860B NO 168860 B NO168860 B NO 168860B NO 894506 A NO894506 A NO 894506A NO 894506 A NO894506 A NO 894506A NO 168860 B NO168860 B NO 168860B
- Authority
- NO
- Norway
- Prior art keywords
- crypto
- pool
- network
- subscriber
- channel
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 42
- 230000005540 biological transmission Effects 0.000 claims abstract description 8
- 238000000034 method Methods 0.000 claims abstract description 6
- 230000003313 weakening effect Effects 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 abstract 1
- 230000000694 effects Effects 0.000 description 2
- GFRROZIJVHUSKZ-FXGMSQOLSA-N OS I Natural products C[C@@H]1O[C@@H](O[C@H]2[C@@H](O)[C@@H](CO)O[C@@H](OC[C@@H](O)[C@@H](O)[C@@H](O)CO)[C@@H]2NC(=O)C)[C@H](O)[C@H](O)[C@H]1O GFRROZIJVHUSKZ-FXGMSQOLSA-N 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/04—Selecting arrangements for multiplex systems for time-division multiplexing
- H04Q11/0428—Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q3/00—Selecting arrangements
- H04Q3/58—Arrangements providing connection between main exchange and sub-exchange or satellite
- H04Q3/62—Arrangements providing connection between main exchange and sub-exchange or satellite for connecting to private branch exchanges
- H04Q3/622—Circuit arrangements therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13095—PIN / Access code, authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13174—Data transmission, file transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13176—Common channel signaling, CCS7
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13205—Primary rate access, PRI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13209—ISDN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/1322—PBX
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13339—Ciphering, encryption, security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/13395—Permanent channel, leased line
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Astronomy & Astrophysics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Photovoltaic Devices (AREA)
- Silicon Compounds (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
Den foreliggende oppfinnelse angår et kommunikasjonsnettverk som er beregnet for sikker overføring av tale og data. Oppfinnelsen angår særlig et nettverk som omfatter forskjellige typer abonnentterminal er og svi tsjemoduler, hvor abon-nentlinjer forbinder hver abonnentterminal med en svitsjemodul, og transmisjonskanaler forbinder hver svitsjemodul med andre svi tsjemoduler i nettverket, og hvor nettverket også omfatter kryptoanordninger for å foreta kryptering og dekryp-tering av informasjon som overføres gjennom nettverket.
Rent generelt gjelder oppfinnelsen chiffrering og dechiffrering av digitale kommunikasjonsveier i data- og/eller telekommunikasjonsnettverk. Slike veier kan etableres mellom nettverksterminal er som kan være et hvilket som helst utstyr som er knyttet til nettverket på én eller annen måte.
Data- og telekommunikasjonsnettverk bygges opp v.hj.a. svitsjeutstyr som f.eks. PABX'er eller PBX'er. Svitsjeutstyret betjener kommunikasjonsveiene gjennom sett med kommunikasjonskanaler. Disse kommunikasjonskanaler er fysiske informasjons-bærere. Informasjonssignalet eller datastrømmen som overføres over kanalen, blir chiffrert når det er nødvendig med slik sikkerhet. Chiffrerte data på en kanal krever at det må være kryptoanordninger til den datastrøm som bruker kanalen, for å utføre chiffrerings- og dechiffreringsprosessen.
Slike chiffrerings- og dechiffreringsanlegg for data- og telekommunikasjonsnettverk er tidligere kjent når det er nødvendig med slik sikkerhet, og forskjellige løsninger har vært foreslått.
Blant de mest likefremme løsninger skal 1 ink-ti 1-1 ink kryptoutstyr nevnes først. Med et slikt system har hver transmisjons!ink en kryptoanordning som omfatter krypterings-og dekrypteringsanordninger i hver av endene, hvorved et slikt system bare beskytter selve transmisjonslinken. Som en annen også likefrem løsning kan nevnes den som benytter ende-til-ende kryptoutstyr når hver av de berørte abonnenter har en kryptoanordning som kan kobles inn i trafikk-kanal en etter at et anrop er gjort. I sistnevnte tilfelle vil også svitsjene i nettverket være innbefattet i den krypterte trafikk.
De nevnte løsninger er imidlertid forholdsvis kostbare og lite fleksible, da kryptoanordningene hele tiden må være knyttet til kanalene eller til de berørte abonnenter.
Fra japansk patentsøknad nr. 85-121742 er det kjent en løsning hvor hver PABX er forsynt med chi ffersamband for chiffrering og dechiffrering. Terminal enhetene kobles til det offentlige nettverket gjennom sentral samband ved vanlig kommunikasjon og gjennom chiffersamband ved chiffrert kommunikasjon.
Ifølge den japanske beskrivelse kan chiffrert kommunikasjon foretas mellom tilfeldige terminal enheter uten å ha en chiffreringskrets og en dechiffreringskrets i hver terminal-enhet. Den japanske PABX har et antall sentral samband som kan brukes for sikret så vel som ikke sikret overføring. Meldinger som skal sikres, føres gjennom én av et antall chiffersamband før meldingen overføres over offentlige nett. En sentral prosessen' ngsenhet i PABX'en styrer innkoblingen av terminal-enhetene som skal brukes for chiffrert kommunikasjon til det offentlige nett gjennom chi ffersambandene. I dette oppsett er chiffrerings- og dechiffrerings-utstyret en del av selve PABX'en.
Hovedformålet med den foreliggende oppfinnelse er å tilveiebringe en mer fleksibel løsning som er fysisk uavhengig av svi tsjeutstyret. Hovedtrekkene ved oppfinnelsen er definert i kravene.
I den foreliggende oppfinnelse er kryptomodul ene (CM) basert på chiffreringsnøkler. Disse nøkler må distribueres fra en nøkkel database. En kryptopool-styreanordning (MA), som er anbrakt i kryptopoolen , kommuniserer med nøkkel fordel ings-instansen ved hjelp av standardiserte kommunikasjonsprotokoller. Nøklene fordeles fra MA til den relevante CM gjennom kryptopoolens interne styrebuss.
Et annet formål med oppfinnelsen er å gjøre systemet kompatibelt med eksisterende systemer, samt å muliggjøre en enkel utvidelse av systemet til å omfatte andre relaterte sikkerhetstjenester. Kryptopool-utstyret kan således ifølge oppfinnelsen også gjøres tilgjengelig for andre nettverktermi-naler enn svi tsjeutstyret, om nødvendig.
Dette oppnås ved å samle et antall chiffrerings/dechiffrerings-enheter i en kryptopool, på ett eller flere sikre steder i nettverket, ved å benytte utstyr som muliggjør at autoriserte abonnenter har tilgjengelighet til en krypterings/dekrypteringsenhet for sin egen kommunikas-jonskanal, og ved å introdusere kryptostyre-enheter som også foretar nøkkel fordel ing gjennom de kryptoenheter som inngår i kryptoforbindelsen.
Systemer som ikke bruker det foreliggende kryptopool-konsept, må knytte kryptomodulene til spesielle kanaler slik at disse kanalene bare blir i stand til å overføre chiffrerte data. Oppfinnelsen anviser en måte hvorpå kryptoanordninger kan knyttes dynamisk til den kanal som trenger det. En hvilken som helst kanal kan således overføre både sikret og usikret i nformasj on.
Ende-ti1-ende chiffrert kommunikasjon krever at endesyste-mene, dvs. nettverkets brukerutstyr, er forsynt med en kryptoanordning. Oppfinnelsen gjør det mulig for ende-ti1-ende kryptosystemer som omfatter en kryptoanordning for chiffrert kommunikasjon, å kommunisere med ikke-sikrede endesystemer og vice versa. Krypomodulen i en kryptopool vil da utgjøre sikkerhetsutstyret for den ikke-sikrede endestasjon. Det ikke-sikrede endesystem trenger ikke vite at det er forbundet med et sikkert endesystem som sender sikrede data.
Ovenfor nevnte og andre formål og særtrekk ved den foreliggende oppfinnelse vil klart fremgå av den etterfølgende detaljerte beskrivelse av utførelser av oppfinnelsen sett i sammenheng med figurene, hvor
- fig. 1 viser hvordan en kryptopool ifølge oppfinnelsen kan inngå i forskjellige deler av et telekommunikasjonsnettverk , - fig. 2 viser et funksjonelt blokkdiagram for hvordan en kryptopool ifølge oppfinnelsen er konstruert, og - fig. 3 viser hvordan kryptopool-utstyr kan introduseres i et ISDN-nett.
I fig. 1 er det antydet hvordan kryptopoolkonseptet kan introduseres i et nettverk som inneholder et ISDN-basert nettverk og et analogt nettverk.
Et nettverk 1 er vist, omfattende et offentlig ISDN 2, et konvensjonelt analogt nettverk 3, to ISPABX'er 4, 5, som er knyttet direkte til ISDN-nettverket, og en PABX 6, som er forbundet direkte med den analoge del av nettverket. Tre kryptopool-anordninger 7, 8, 9 er forbundet med de viste PABX'er 4, 5, 6 og en av kryptopool-anordningene 8 er vist i større detalj. Et antall forskjellige abonnentterminal er 10-15 er også antydet.
Noen forkortelser som er benyttet i fig. 1, er:
CM kryptomodul
MA kryptopool-styreanordning
CR-pool kryptopool
AS autentiseringsanordning
TA terminal ti 1pasning.
Autentiseringsanordninger 16, 17 er forbundet med ISPABX'ene eller en offentlig ISDN for å tilby tjenester som understøtter autentisering og nøkkel utveksl ing. Abonnentutstyret trenger ikke være direkte involvert i forbindelse med AS'ene, men deres sikkerhetstjenester tilbys gjennom ISPABX'ens abonnentforbindelser.
I fig. 2 omfatter en kryptopool 20 en rekke kryptomoduler (CM'er 21, 22, 23) hvorav bare tre er vist. Disse kryptomoduler 21. 22, 23 er anordnet i en gruppe (CM-pool) 24. Innenfor kryptopoolen 20 er det også anordnet en styrebuss 25 og en kryptopool-styreanordning (MA) 26. Når det gjelder ISDN vil alle kryptomodulene 21-23 være forbundet med B-kanalene for den relaterte PABX-ti1knytningen, og kryptopool-styreanordningen 26 vil også være forbundet ved den samme PABX over D-kanalen i ISDN. Inne i kryptopoolen 20 vil både CM-pool 24, som omfatter kryptomodulene 21-23, og kryptopool-styreanordningen (MA) 26, være forbundet med den felles styrebuss 25.
Plasseringen av kryptopoolen i et data- eller telekommunikasjonsnettverk, fremgår av fig. 1. PBX'er er anordnet innenfor ISDN og det analoge system. Oppfinnelsen muliggjør at sikkerhetssystemer kan benyttes i alle digitale svitsjeutstyr uten å anskaffe noe tilleggsutstyr til svitsjen. Denne fleksibilitet er svært viktig for sikkerheten til svitsjeutstyret.
Det skal anmerkes at denne fleksible kryptopool-1øsning er fysisk atskilt fra svi tsjeutstyret. Et standardisert kommuni-kasjonsgrensesnitt (ISDN Primary Rate Access (PRA), 30 B + D) forbinder kryptopoolen med svi tsjeutstyret. Selve kryptopoolen omfatter en styreanordning 26, som styrer alle aktiviteter i kryptopoolen. Blant disse aktiviteter er styringen av kryptomodulene 21-23 og koordinering av bruken av B-kanalen eller kryptomodulen med svitsjeutstyret. D-kanalen for ISDN PRA grensesnittet er rutet til styreanordningen. All styrekommunikasjon med svitsjeutstyret utføres gjennom denne kanal. Styreanordningen og kryptopoolen er forbundet over styrebussen 25, som bare er tilgjengelig internt i kryptopoolen og brukes av styreanordningen til å styre kryptomodulene.
Kryptomodulene er forbundet med i det minste to B-kanaler hver i ISDN PRA grensesnittet. Dette betyr at det maksimalt kan være 15 kryptomoduler i en kryptopool. En kryptomodul kan utføre både chiffrering og dechiffrering av den informasjon som flyter i de tilhørende B-kanaler. Chiffrert informasjon flyter i én retning på én av B-kanalene, mens ikke-chiffrert informasjon flyter den andre veien i den andre B-kanalen. Hvilken vei den chiffrerte informasjon flyter, til eller fra kryptopoolen, er avhengig av om kryptomodulen utfører chiffrering eller dechiffrering.
I den foreliggende oppfinnelse er kryptomodulene basert på chiffreringsnøkler. Disse nøkler utveksles mellom de sammen-koblede parter gjennom en autentiseringsprosess som også involverer en autentiseringsanordning. Kommunikasjon med autentiseringsanordningen foregår ved standardiserte kommunikasjonsprotokoller. Nøklene fordeles fra styreanordningen til den angjeldende kryptomodul over styrebussen i kryptopoolen.
I fig. 3 er det skjematisk vist et offentlig ISDN-nett 30 med svitsjer (ISPABX'er) 31, 32, terminalutstyr 33-40, autentiseringsanordninger 41-43 og kryptopooler 44, 45. Noen alternative oppkoblinger vil bli beskrevet i det følgende for å vise hvordan sikkerhetsenhetene samvirker for å bevare sikkerhet og tilveiebringe sikre kommunikasjonstjenester til abonnentene. Abonnentterminal er og terminalutstyr 33-40 er her systemer som er knyttet til en ISDN-abonnentlinje (ISDN Basic Access, 2 B + D). Termi nal ti 1 pasm" nger 50, 51 med sikkerhets-moduler 52, 53, kan også inngå i terminalutstyret.
En kryptopool 44, 45 kan aktiviseres både fra et abonnentsett 35, 36, 40 uten sikkerhetsmodul og fra et abonnentsett 34, 38 med sikkerhetsmodul 46, 47. På samme måte kan den aktiveres fra et abonnentsett 39, som er forsynt med en konferansemodul 48 eller som ikke har en slik modul, og som er anbrakt inne i eller utenfor ISDN-nettverket, og dette vil være uavhengig av om sikkerhetsmodulen og konferansemodulen 49 er anbrakt i en PABX 31 i ISDN-nettverket eller ikke.
Vi skal først se på kommunikasjon mellom to sikrede abonnentterminal er 34, 38, som begge er utstyrt med sikker-hetsanordninger. Abonnentene eller abonnentutstyret må først autentiseres før kommunikasjon kan begynne. Dette utføres av en autentiseringsprotokol1 mellom de berørte abonnenter. Autentiseringsprotokol1 en CCITT X.509 er basert på abonnent-sertifikater. Slike sertifikater gis av autentiseringsanordningen 41, 43 på direkte forespørsel fra abonnentene eller indirekte gjennom ISPABX'en. Integrert i protokollene er også utveksling av chiffreringsnøkler.
Sikkerhetstjenestene er basert på at de berørte abonnenter stoler på en sertifiseringsautoritet (CA) (ikke vist) som styrer de berørte autentiseringsanordninger. I et bedriftsnett vil CA-instansen være bestemt av bedriften og kan enten innbefattes i en ISPABX eller i en av de autentiseringsanordninger som er knyttet til nettverket.
Vi skal nå se på kommunikasjon mellom ikke-sikrede abon-nenttermi nal er 35, 36, 40. Sikkerhetsprosedyrer er mest interessante når de berørte abonnenter tilhører forskjellige ISPABX'er som er sammenkoblet over et offentlig nett. Det vil nå være sambandsveien mellom de berørte PABX'er som det vil være mest interessant å beskytte. Dette vil medføre at en kryptopool 44, 45 er knyttet til hver av PABX'ene 31, 32.
Kryptopoolen vil så representere den ikke-sikrede abonnentterminal når det gjelder sikkerhetstjenester. Den sikrede kommunikasjon mellom kryptopoolene vil tilsvare kommunikasjon mellom sikrede abonnentterminal er som beskrevet ovenfor. De tilgjengelige sikkerhetstjenester vil imidlertid avhenge av de sikkerhetstjenester som tilbys av kryptopoolen.
De berørte kryptopooler vil autentisere hverandre etter at et kommunikasjonsønske er gitt. Chiffernøkler vil bli utveks-let mellom kryptopoolene, og alle abonnentdata vil bli rutet gjennom begge kryptopoolene for chiffrering og dechiffrering.
Det siste alternativet som skal betraktes er kommunikasjon mellom sikrede og ikke-sikrede terminaler. Den ikke-sikrede terminal 35 vil da være representert av kryptopoolen 44. Den sikrede terminal 38 og kryptopoolen 44 vil autentisere hverandre som nevnt ovenfor og utveksle chiffernøkler. De tilgjengelige sikkerhetstjenester vil igjen være begrenset til det felles sett med tjenester som tilbys av den berørte kryptopool og den sikrede terminal.
I dette tilfelle må den sikrede terminal 38 stole på kryptopoolen som representerer den ikke-sikrede abonnentterminal 35. Dette vil inngå som en del av den sikkerhets-policy som en privat ISDN kan være belagt med.
Sikrede talekonferansemoduler 48, 49 kan også innbefattes, men dette utgjør ikke noen del av den foreliggende oppfinnelse. En sikkerhetsmodul 54 kan, som antydet, innbefattes i terminalutstyr 39, som har en konferansemodul 48.
Kryptopoolen er en anordning som er knyttet til en ISPABX gjennom et ISDN Primary Rate Access grensesnitt (PRA), (30B+D, 2Mb/sec) (ikke vist). Hovedtjene sten som dette produkt yter, er datakonfidensial i tet ved å tilby chiffrering av n*64kb/sec kommunikasjonskanaler, hvor den maksimale verdi av n er 15. Denne tjenesten kan utbes fra den tilknyttede ISPABX eller ISPABX-abonnent, over tilsvarende terminalutstyr. ;Et par kommunikasjonskanaler (X-ch, fig. 2) som gjelder ISPABX-grensesnittet for kryptopoolen, er knyttet til en kryptomodul (CM), som mottar klartekst data og sender tilbake chiffrerte data, eller omvendt. En pool med kryptomoduler er da tilgjengelig for styreanordningen (MA) i kryptopoolen og den anropende abonnent. En kryptomodul kan også håndtere et antall B-kanaler som tilbyr konfidensialitet på n*64kbit/sec kommunikasjonskanaler. Dersom en ISDN kryptopool er forbundet med en sikret terminal, dvs. en som har en integrert kryptomodul, må terminalens kryptomodul være kompatibel med
den som brukes av kryptopoolen.
De standardiserte kommunikasjonskanaler (bærertjenester) som kan håndteres av en kryptomodul er:
B-kanal 64 kbit/sek
H0-kanal 384 kbit/sek (6 B-kanaler)
Hn-kanal 1536 kbit/sek (24 B-kanaler)
Hi2-kanal 1920 kbit/sek (30 B-kanaler).
Tjenestene styres av styreanordningen MA, som er forbundet med D-kanalen (signaleringskanalen ) D-ch, fig. 2 i ISPABX-grensesnittet. Denne kanal benyttes for å overføre informasjon når det samarbeides med de tilknyttede ISPABX-abonnenter, eller terminalbrukere, eller andre nettverk-ki1 der som er knyttet til ISPABX'en som har kryptopooltjeneste.
Funksjonene som utføres over D-kanalen omfatter:
- Utveksling av chiffreringsnøkler
- Autentisering og utveksling av sertifikater
- Identifisering av B-kanalen og kommunikasjonskanalen for tilknytning av kryptomoduler
- Håndtering av ønsker om kryptopooltjenester
- Kostnadsbelastning av tjenester. Dette er bare aktuelt overfor abonnentutstyr, da slik belastning ellers håndteres av ISPABX'en.
Fordelene ved den foreliggende oppfinnelse er:
- Den gjelder sikrede kommunikasjonsveier mellom ISPABX'er som er sammenkoblet gjennom et usikret og ikke pålitelig nett som f.eks. et offentlig nett. Ved å benytte kryptopool-tjenestene kan kommunikasjonskanaler mellom ISPABX'er benyttes til å overføre både klartekst og chiffrert informasjon. Ellers måtte spesielle kommunikasjonskanaler være fysisk forbundet med en kryptomodul og bare være dedikert for å sende chiffrert informasjon. - Usikret abonnentutstyr kan kommunisere med sikret abonnentutstyr gjennom en kryptopool uten å svekke den eksisterende sikkerhet. - Den kan på enkel måte tilpasses en hvilken som helst tilgjengelig ISPABX på markedet på grunn av det standardiserte ISPABX grensesnitt (ISDN PRA).
Kryptopoolens tjenester kan nås på tre forskjellige måter:
- Tilgjengeligheten til kryptopoolene oppnås direkte av den tilknyttede ISPABX. I dette tilfelle vil hverken abonnentene eller terminalutstyret være klar over at det brukes kryptopooler. Denne løsning tilveiebringer konfidensiell kommunikasjon mellom ISPABX'er. - Tilgjengeligheten av kryptopoolene kan oppnås direkte av en abonnent gjennom terminalutstyr. Terminalutstyret er forbundet med den samme ISPABX som den tilgjengelige kryptopool. Denne løsning benyttes når terminalutstyret er ansvarlig for ende-ti1-ende sikkerhet. Den må da ha installert en sikkerhetsmodul som utgjøres av et stykke programvare som gjør det mulig å kommunisere med styreanordningen for kryptopool. ISPABX'en trenger i dette tilfelle ikke å vite om den tilknyttede kryptopool. - Tilgjengeligheten til kryptopoolene kan foretas indirekte ved å oppnå tilgjengelighet til en ISPABX. ISPABX sikkerhetstjenester vil da oppnås ved å bruke kryptopoolens tjenester. Tjenesten er tilgjengelig for abonnenten eller terminalutstyret som en tilleggs-tjeneste gjennom D-kanalen.
Autentiseringsanordningen (AS), som er skjematisk vist i figurene 1 og 3, tilbyr en rekke sikkerhetssertifi kater. Sertifikatene brukes av abonnentene av terminalutstyret og av andre nettverkski1 der under autentiseringsprosessen når en nettverksforbindelse påbegynnes. Hver av disse nettverks-terminaler har sitt eget sertifikat.
Autentiseringsanordningen er tilgjengelig gjennom standardiserte protokoller som er basert på CCITT X500 serie med anbefalinger, de såkalte katalogtjenester. Når autentiseringsanordningen er koblet til en ISPABX, benyttes et ISDN grensesnitt for tilgjengelighet til kretsen. Hvilket grensesnitt som benyttes, ISDN Basic Access eller ISDN Primary Rate Access, er avhengig av den trafikale belastning av autentiserings-anordni ngen.
Fordelene ved autentiseringsanordningen er:
- direkte distribusjon av sertifikater
- fleksibilitet med hensyn til forandring og utveksling av
serti fi kater
- tilgjengelighet gjennom standardiserte OS I-protokol1 er som gjør ISPABX'en uavhengig av sikkerhetssystemene - mulighet for distribuerte sertifikatdatabaser som omfatter mer enn én autentiser ingsanordning. Sertifise-ringsautoriseringen (CA) innebygges i én av autentise-ringsanordningene eller den berørte ISPABX for å ta hånd om sertifikatdistribueringen.
Ovenstående detaljerte beskrivelse av noen utførelses-eksempler av foreliggende oppfinnelse skal bare betraktes som eksempler og må ikke oppfattes som begrensninger av beskyt-telsens omfang.
Claims (10)
1. Kommunikasjonsnettverk beregnet for sikker overføring av tale- og data, omfattende forskjellige typer med abonnent-terminaler (10-15) og svi tsjemoduler (4-6), hvor abonnent-linjer forbinder hver abonnentterminal med en svi tsjemodul, hvor transmisjonskanaler forbinder hver svitsjemodul med andre svitsjemoduler i nettverket, og hvor nettverket videre omfatter kryptoanordninger beregnet for chiffrering/dechiffrering av informasjon som overføres gjennom nettverket, karakterisert ved at i det minste én av kryptoanordningene utgjøres av en kryptopoolanordning (7, 8, 9) omfattende et antall kryptomoduler (CM) som er fysisk atskilt fra svitsjemodulene (4, 5, 6) og kommuniserer med svi tsjemodulene gjennom standardiserte grensesnitt og kommunikasjonsprotokoller som gjør anordningen dynamisk tilgjengelig for kanaler som trenger det, fra abonnent-terminalene, fra svi tsjemodulene eller annet nettverksutstyr, og at kryptomodulene er forbundet med i det minste to kanaler hver i grensesnittet mot svitsjeutstyret, slik at chiffrert informasjon kan flyte i én kanal, mens ikke-chiffrert informasjon kan flyte i den andre kanalen.
2. Nettverk ifølge krav 1, karakterisert ved at hver kryptopool (7, 8, 9; 20) er forsynt med en styreanordning (MA, 26) for kommunisering med en di stribusjonsinstans for chiffernøkler gjennom standardiserte kommunikasjonsprotokoller og distribuering av nøkler til de berørte kryptomoduler over en kontrollbuss (25) i kryptopoolen.
3. Nettverk ifølge krav 1 eller 2, karakterisert ved at hver kryptopool har tilgjengelighet til en autentiseringsanordning (AS, 16; 41, 43) som er en katalog over de sikkerhetssertifikater som er nødvendige i autentiseringsprosessen og for chiffernøkkelutveksl ing, når en forbindelse påbegynnes.
4. Nettverk ifølge krav 1, karakterisert ved at kryptopoolene (44, 45) er anordnet i et offentlig ISDN-system (fig.3) som omfatter et antall ISPABX-svitsjer (31,32).
5. Nettverk ifølge krav 1, karakterisert ved at kryptopoolen (44, 45) kan aktiveres både fra et abonnentsett (35, 36, 40) som ikke har sikkerhetsmodul og fra et abonnentsett (34, 38) med sikkerhetsmodul (46, 47).
6. Nettverk ifølge krav 1, karakterisert ved at kryptopoolen (44, 45) kan aktiveres direkte av den tilknyttede PABX eller ISPABX, slik at hverken abonnenten eller linjeutstyret er klar over at kryptopool brukes.
7. Nettverk ifølge krav 1, karakterisert ved at kryptopoolen (44, 45) kan aktiveres direkte av en abonnent (33, 34, 37, 38) som har sikkerhetsmodul (52, 46, 53, 47) over terminalutstyr (AS, 41, 43) som er knyttet til den samme ISPABX som den tilgjengelige kryptopool.
8. Nettverk ifølge krav 4, karakterisert ved at kryptopoolen (44, 45) kan aktiveres indirekte ved å akses-sere en ISPABX-tjeneste over en ende-ti1-ende D-kanal eller en utpekt B-kanal.
9. Nettverk ifølge krav 1, karakterisert ved at de standardiserte kommunikasjonskanaler (bærertjenester) som kan håndteres av en kryptomodul, er: B-kanal 64 kbit/sek H0-kanal 384 kbit/sek (6 B-kanaler) Hn-kanal 1536 kbit/sek (24 B-kanaler) H12-kanal 1920 kbit/sek (30 B-kanaler).
10. Nettverk ifølge krav 1, karakterisert ved at ikke-sikret abonnentutstyr (35) kan kommunisere med sikkert
abonnentutstyr (38) over en kryptopool (44) uten å svekke eksisterende sikkerhet, da den sikre terminal (38) og kryptopoolen (44) vil autentisere hverandre og utveksle chiffer-nøkler.
Priority Applications (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
NO894506A NO168860C (no) | 1989-11-13 | 1989-11-13 | Kommunikasjonsnettverk |
US07/607,912 US5115466A (en) | 1989-11-13 | 1990-10-31 | Communication network intended for secure transmission of speech and data |
AU65707/90A AU634302B2 (en) | 1989-11-13 | 1990-11-02 | Secure communication network |
ES90121567T ES2094135T3 (es) | 1989-11-13 | 1990-11-10 | Red de comunicaciones con distribucion de claves. |
AT90121567T ATE143201T1 (de) | 1989-11-13 | 1990-11-10 | Kommunikationsnetzwerk mit schlüsselverteilung |
DK90121567.3T DK0436799T3 (no) | 1989-11-13 | 1990-11-10 | |
EP90121567A EP0436799B1 (en) | 1989-11-13 | 1990-11-10 | Communication network with key distribution |
DE69028614T DE69028614T2 (de) | 1989-11-13 | 1990-11-10 | Kommunikationsnetzwerk mit Schlüsselverteilung |
JP30699490A JP3150964B2 (ja) | 1989-11-13 | 1990-11-13 | 通信回路網 |
GR960403127T GR3021732T3 (en) | 1989-11-13 | 1996-11-20 | Communication network with key distribution |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
NO894506A NO168860C (no) | 1989-11-13 | 1989-11-13 | Kommunikasjonsnettverk |
Publications (4)
Publication Number | Publication Date |
---|---|
NO894506D0 NO894506D0 (no) | 1989-11-13 |
NO894506L NO894506L (no) | 1991-05-14 |
NO168860B true NO168860B (no) | 1991-12-30 |
NO168860C NO168860C (no) | 1992-04-08 |
Family
ID=19892574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
NO894506A NO168860C (no) | 1989-11-13 | 1989-11-13 | Kommunikasjonsnettverk |
Country Status (10)
Country | Link |
---|---|
US (1) | US5115466A (no) |
EP (1) | EP0436799B1 (no) |
JP (1) | JP3150964B2 (no) |
AT (1) | ATE143201T1 (no) |
AU (1) | AU634302B2 (no) |
DE (1) | DE69028614T2 (no) |
DK (1) | DK0436799T3 (no) |
ES (1) | ES2094135T3 (no) |
GR (1) | GR3021732T3 (no) |
NO (1) | NO168860C (no) |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NO173418C (no) * | 1991-04-29 | 1993-12-08 | Alcatel Stk As | Kommunikasjonsnett |
DE59209297D1 (de) * | 1991-09-11 | 1998-05-28 | Lucent Technologies Inc | System zur Kontrolle des Zugriffs auf die Daten eines Datengerätes |
US5276444A (en) * | 1991-09-23 | 1994-01-04 | At&T Bell Laboratories | Centralized security control system |
CA2078246C (en) * | 1991-09-23 | 1998-02-03 | Randolph J. Pilc | Improved method for secure access control |
US5179591A (en) * | 1991-10-16 | 1993-01-12 | Motorola, Inc. | Method for algorithm independent cryptographic key management |
US5392357A (en) * | 1991-12-09 | 1995-02-21 | At&T Corp. | Secure telecommunications |
TW242206B (no) * | 1993-08-27 | 1995-03-01 | At & T Corp | |
FR2716323B1 (fr) * | 1994-02-14 | 1996-05-03 | France Telecom | Système sécurisé d'interconnexion de réseaux locaux via un réseau de transmission public. |
US5787172A (en) * | 1994-02-24 | 1998-07-28 | The Merdan Group, Inc. | Apparatus and method for establishing a cryptographic link between elements of a system |
DE69514908T2 (de) * | 1994-02-24 | 2000-07-20 | Merdan Group Inc | Verfahren und einrichtung zum aufbau einer kryptographischen verbindung zwischen elementen eines systems |
DE4406602C2 (de) * | 1994-03-01 | 2000-06-29 | Deutsche Telekom Ag | Sicherheitssystem zum Identifizieren und Authentisieren von Kommunikationspartnern |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
FR2721781B1 (fr) * | 1994-06-28 | 1996-07-19 | Thomson Csf | Procédé pour assurer la confidentialité d'une liaison phonique et réseau local de télécommunication mettant en Óoeuvre le procédé. |
GB2293719A (en) * | 1994-09-29 | 1996-04-03 | Northern Telecom Ltd | A secure communications system |
US5659684A (en) * | 1995-02-03 | 1997-08-19 | Isdn Systems Corporation | Methods and apparatus for interconnecting personal computers (PCs) and local area networks (LANs) using packet protocols transmitted over a digital data service (DDS) |
DE19515681A1 (de) * | 1995-04-28 | 1996-10-31 | Sel Alcatel Ag | Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen |
US5710816A (en) * | 1995-05-11 | 1998-01-20 | Ricoh Corporation | Method and apparatus for ensuring receipt of voicemail messages |
DE19521485A1 (de) * | 1995-06-13 | 1996-12-19 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Übertragung von vertraulichen Verbindungsaufbau- und Serviceinformationen zwischen teilnehmerseitigen Endeinrichtungen und einer oder mehreren digitalen Vermittlungsstellen |
FR2746566B1 (fr) * | 1996-03-21 | 1998-04-24 | Alsthom Cge Alcatel | Methode pour etablir des communications securisees et systeme de chiffrement/dechiffrement associe |
US6993582B2 (en) | 1996-07-30 | 2006-01-31 | Micron Technology Inc. | Mixed enclave operation in a computer network |
US6272538B1 (en) | 1996-07-30 | 2001-08-07 | Micron Technology, Inc. | Method and system for establishing a security perimeter in computer networks |
US6389534B1 (en) * | 1997-06-30 | 2002-05-14 | Taher Elgamal | Cryptographic policy filters and policy control method and apparatus |
FR2772531B1 (fr) | 1997-12-11 | 2000-03-10 | France Telecom | Dispositif de securisation d'une liaison telephonique entre deux postes d'abonnes |
US6349289B1 (en) | 1998-01-16 | 2002-02-19 | Ameritech Corporation | Method and system for tracking computer system usage through a remote access security device |
DE19812215A1 (de) | 1998-03-19 | 1999-09-23 | Siemens Ag | Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung |
KR100392792B1 (ko) * | 1999-08-21 | 2003-07-28 | 주식회사 다날 | 제 2접속경로를 이용한 사용자인증시스템 및 사용자인증방법 |
AT411509B (de) * | 1999-09-17 | 2004-01-26 | Telekom Austria Ag | Anordnung und verfahren zur verschlüsselten kommunikation |
US7336790B1 (en) * | 1999-12-10 | 2008-02-26 | Sun Microsystems Inc. | Decoupling access control from key management in a network |
US6977929B1 (en) | 1999-12-10 | 2005-12-20 | Sun Microsystems, Inc. | Method and system for facilitating relocation of devices on a network |
US6970941B1 (en) * | 1999-12-10 | 2005-11-29 | Sun Microsystems, Inc. | System and method for separating addresses from the delivery scheme in a virtual private network |
US7765581B1 (en) | 1999-12-10 | 2010-07-27 | Oracle America, Inc. | System and method for enabling scalable security in a virtual private network |
US8156074B1 (en) | 2000-01-26 | 2012-04-10 | Synchronoss Technologies, Inc. | Data transfer and synchronization system |
US8620286B2 (en) | 2004-02-27 | 2013-12-31 | Synchronoss Technologies, Inc. | Method and system for promoting and transferring licensed content and applications |
US6671757B1 (en) * | 2000-01-26 | 2003-12-30 | Fusionone, Inc. | Data transfer and synchronization system |
US7895334B1 (en) | 2000-07-19 | 2011-02-22 | Fusionone, Inc. | Remote access communication architecture apparatus and method |
US8073954B1 (en) | 2000-07-19 | 2011-12-06 | Synchronoss Technologies, Inc. | Method and apparatus for a secure remote access system |
US6986061B1 (en) | 2000-11-20 | 2006-01-10 | International Business Machines Corporation | Integrated system for network layer security and fine-grained identity-based access control |
US7818435B1 (en) | 2000-12-14 | 2010-10-19 | Fusionone, Inc. | Reverse proxy mechanism for retrieving electronic content associated with a local network |
US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
US20020162026A1 (en) * | 2001-02-06 | 2002-10-31 | Michael Neuman | Apparatus and method for providing secure network communication |
US8615566B1 (en) | 2001-03-23 | 2013-12-24 | Synchronoss Technologies, Inc. | Apparatus and method for operational support of remote network systems |
US20020154635A1 (en) * | 2001-04-23 | 2002-10-24 | Sun Microsystems, Inc. | System and method for extending private networks onto public infrastructure using supernets |
US6792534B2 (en) * | 2002-03-22 | 2004-09-14 | General Instrument Corporation | End-to end protection of media stream encryption keys for voice-over-IP systems |
WO2005010715A2 (en) | 2003-07-21 | 2005-02-03 | Fusionone, Inc. | Device message management system |
KR20070038462A (ko) | 2004-05-12 | 2007-04-10 | 퓨전원 인코포레이티드 | 향상된 접속 인식 시스템 |
US9542076B1 (en) | 2004-05-12 | 2017-01-10 | Synchronoss Technologies, Inc. | System for and method of updating a personal profile |
US20070053335A1 (en) * | 2005-05-19 | 2007-03-08 | Richard Onyon | Mobile device address book builder |
US8181111B1 (en) | 2007-12-31 | 2012-05-15 | Synchronoss Technologies, Inc. | System and method for providing social context to digital activity |
US8255006B1 (en) | 2009-11-10 | 2012-08-28 | Fusionone, Inc. | Event dependent notification system and method |
US8943428B2 (en) | 2010-11-01 | 2015-01-27 | Synchronoss Technologies, Inc. | System for and method of field mapping |
ES2523423B1 (es) | 2013-04-10 | 2015-11-24 | Crypto Solutions, S.L. | Dispositivo de cifrado simetrico y procedimiento empleado |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4182933A (en) * | 1969-02-14 | 1980-01-08 | The United States Of America As Represented By The Secretary Of The Army | Secure communication system with remote key setting |
SE440287B (sv) * | 1983-11-28 | 1985-07-22 | Kurt Paulsson | Anordning vid ett terminalsystem |
JPS61278256A (ja) * | 1985-06-04 | 1986-12-09 | Nec Corp | 構内電子交換機の暗号付与方式 |
FR2613565B1 (fr) * | 1987-04-03 | 1989-06-23 | Bull Cps | Procede pour acheminer des cles secretes vers des modules de securite et des cartes utilisateurs, dans un reseau de traitement d'informations |
-
1989
- 1989-11-13 NO NO894506A patent/NO168860C/no not_active IP Right Cessation
-
1990
- 1990-10-31 US US07/607,912 patent/US5115466A/en not_active Expired - Fee Related
- 1990-11-02 AU AU65707/90A patent/AU634302B2/en not_active Ceased
- 1990-11-10 DE DE69028614T patent/DE69028614T2/de not_active Expired - Fee Related
- 1990-11-10 AT AT90121567T patent/ATE143201T1/de not_active IP Right Cessation
- 1990-11-10 DK DK90121567.3T patent/DK0436799T3/da active
- 1990-11-10 ES ES90121567T patent/ES2094135T3/es not_active Expired - Lifetime
- 1990-11-10 EP EP90121567A patent/EP0436799B1/en not_active Expired - Lifetime
- 1990-11-13 JP JP30699490A patent/JP3150964B2/ja not_active Expired - Fee Related
-
1996
- 1996-11-20 GR GR960403127T patent/GR3021732T3/el unknown
Also Published As
Publication number | Publication date |
---|---|
JPH03210847A (ja) | 1991-09-13 |
ATE143201T1 (de) | 1996-10-15 |
NO894506L (no) | 1991-05-14 |
EP0436799A3 (en) | 1992-09-02 |
JP3150964B2 (ja) | 2001-03-26 |
US5115466A (en) | 1992-05-19 |
DE69028614T2 (de) | 1997-02-06 |
GR3021732T3 (en) | 1997-02-28 |
DE69028614D1 (de) | 1996-10-24 |
AU634302B2 (en) | 1993-02-18 |
NO168860C (no) | 1992-04-08 |
EP0436799B1 (en) | 1996-09-18 |
NO894506D0 (no) | 1989-11-13 |
ES2094135T3 (es) | 1997-01-16 |
EP0436799A2 (en) | 1991-07-17 |
AU6570790A (en) | 1991-05-16 |
DK0436799T3 (no) | 1997-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
NO168860B (no) | Kommunikasjonsnettverk | |
EP0869651B1 (en) | A method and apparatus for secure data communication | |
US4802220A (en) | Method and apparatus for multi-channel communication security | |
EP1161806B1 (en) | Key management for telephone calls to protect signaling and call packets between cta's | |
AU644052B2 (en) | Secure transmission of speech and data | |
EP1084542B1 (en) | System and method for secured network access | |
EP1075748B1 (en) | Method, arrangement and apparatus for authentication | |
JPH11507782A (ja) | 秘密の接続確立情報及びサービス情報を加入者のターミナルと1又はそれ以上のデジタル交換機との間で伝送するための方法及び装置 | |
CN1659897B (zh) | 通过修正呼叫处理消息在呼叫控制器之间进行通信 | |
US6584562B1 (en) | Device for securing a telephone link between two subscriber sets | |
US6005874A (en) | Method of processing messages in a secure communications system having a plurality of encryption procedures, and such a secure communication system | |
US5963644A (en) | Process and device for making secure a telephone link connecting two subscriber sets | |
KR0175458B1 (ko) | 종합정보 통신망에서의 정당한 사용자 인증을 위한 발신 및 착신측 처리 방법 | |
KR20010038851A (ko) | 보안통신 시스템에서의 암호키 분배 방식 | |
KR20010100326A (ko) | 보안통신 시스템에서의 암호키 분배 방식 | |
Sharif et al. | Providing voice privacy over public switched telephone networks | |
Presttun | Integrating Cryptography in ISDN | |
Erlandsson et al. | Information protection in the Swedish ISDN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM1K | Lapsed by not paying the annual fees |