CN110035047B - 用于检查数据包中的消息完整性的轻型机制 - Google Patents
用于检查数据包中的消息完整性的轻型机制 Download PDFInfo
- Publication number
- CN110035047B CN110035047B CN201811414893.9A CN201811414893A CN110035047B CN 110035047 B CN110035047 B CN 110035047B CN 201811414893 A CN201811414893 A CN 201811414893A CN 110035047 B CN110035047 B CN 110035047B
- Authority
- CN
- China
- Prior art keywords
- packet
- data frame
- data
- packet sequence
- icv
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007246 mechanism Effects 0.000 title abstract description 7
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000012545 processing Methods 0.000 claims description 39
- 238000004891 communication Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 6
- 238000003780 insertion Methods 0.000 claims description 3
- 230000037431 insertion Effects 0.000 claims description 3
- 230000015654 memory Effects 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 230000009467 reduction Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/55—Prevention, detection or correction of errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
- H04L49/9057—Arrangements for supporting packet reassembly or resequencing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请涉及用于检查数据包中的消息完整性的轻型机制。本发明提出用于将包序号和完整性检查值ICV包含到数据帧中同时维持发射字节的总数的技术。一种发射装置包含电路,所述电路产生所述ICV,将发射器包序号插入到包含数据包的所述数据帧中,所述数据包包含有效负载,所述数据包紧随报头且包间间隙IPG紧随所述数据包。所述电路也将所述ICV插入到所述数据帧中,且发射所述数据帧,其中将所述ICV插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。一种接收装置包含电路,所述电路接收所述数据帧,比较接收器包序号与所述发射器包序号,且基于所述接收器包序号确定所述发射器包序号是否有效。
Description
相关申请案的交叉参考
本申请案是基于并主张2017年11月28日申请的美国临时申请案第62/591,618的优先权,所述案的全部内容以引用的方式并入本文中。
技术领域
本发明涉及一种用于检查数据包中的消息完整性的轻型机制。
背景技术
在例如以太网的网络通信中,存在用于实施传输保密的若干方式。在数据链路层,存在用于使网络安全的两种典型方法。一种此类方法是协议IEEE 802.1X,其利用认证协议来确保仅受信任实体可连接到网络。另一方法是逐链路协议IEEE 802.1AE,也被称为媒体存取控制(MAC)保密(MACsec),其对数据包利用密码协议来认证及/或加密数据包。这会确保数据包未被篡改。
在例如汽车应用的领域中,主要保密顾虑是由黑客对以太网链路进行中间人(MITM)攻击的威胁。MITM攻击可发生在例如摄像机的客户机和例如车辆服务器的交换机之间。一旦有效客户机(摄像机)执行802.1X且连接到交换机,位于中间且能够观测所有通信的黑客就也能够在链路上发射和接收包。黑客可插入新的包,修改包,或重新发送链路上先前发射和捕获的包。
在此类情形中,用于保证数据包的完整性的唯一方式是对每一包执行检查。然而,例如MACsec的传统方法增加了大量开销(例如,有效负载)且消耗了链路带宽。因此,需要一种用于两个端点之间的轻型消息完整性检查的改进设备及方法。
发明内容
本发明涉及一种发射装置,其包含处理电路,所述处理电路经配置以:维持发射器包序列计数器;产生完整性检查值(ICV);将根据所述发射器包序列计数器的发射器包序号插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙(IPG)紧随所述数据包;将所述ICV插入到所述数据帧中;及发射所述数据帧,其中所述处理电路通过随着每一数据帧被发射将发射器包序列计数器值加一而维持所述发射器包序列计数器,且将所述ICV插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
本发明进一步涉及一种接收装置,其包含处理电路,所述处理电路经配置以:接收包含发射器包序号、完整性检查值(ICV)和数据包的数据帧,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙(IPG)紧随所述数据包;比较来自接收器包序列计数器的接收器包序号与所述发射器包序号;基于所述接收器包序号确定所述发射器包序号是否有效;响应于确定所述发射器包序号有效,确定所述ICV是否有效;及响应于确定所述ICV有效,从所述数据帧移除所述发射器包序号和所述ICV;及通过随着每一数据帧被接收将序列计数值加一而维持所述接收器包序列计数,其中所述发射器包序号和所述ICV的移除将所述数据帧的格式恢复为可由数据链路层读取的格式,且所述处理电路通过随着每一数据帧被接收将接收器包序列计数器值加一而维持所述接收器包序列计数器。
本发明进一步涉及一种由发射装置执行的方法,所述发射装置经由网络与接收装置通信,所述方法包含:维持发射器包序列计数器;产生完整性检查值(ICV);通过所述发射装置的处理电路将发射器包序号插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙(IPG)紧随所述数据包;通过所述处理电路将所述ICV插入到所述数据帧中;及发射所述数据帧,其中所述维持所述发射器包序列计数器包含随着每一数据帧被发射将发射器包序列计数器值加一,且将所述ICV插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
本发明进一步涉及一种发射装置,其包含处理电路,所述处理电路经配置以:产生完整性检查值(ICV);及将所述ICV插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙(IPG)紧随所述数据包,且将所述ICV插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
本发明进一步涉及一种发射装置,其包含处理电路,所述处理电路经配置以:维持发射器包序列计数器;将根据所述发射器包序列计数器的发射器包序号插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙(IPG)紧随所述数据包;及发射所述数据帧,其中所述处理电路通过随着每一数据帧被发射将发射器包序列计数器值加一而维持所述发射器包序列计数器,且将所述发射器包序号插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
附图说明
通过在结合附图考虑时参考下列具体实施方式,将轻易获得对本发明和其许多附带优势的更完整了解和更佳理解,其中:
图1A绘示示范性网络的框图;
图1B绘示受到黑客危害的示范性网络的框图;
图2绘示根据本发明的示范性实施方案的安全网络;
图3A绘示示范性数据帧的框图;
图3B绘示根据本发明的示范性实施方案的包含认证信息的安全数据帧的框图;
图4绘示根据本发明的示范性实施方案的针对数据帧产生认证信息且将其插入到数据帧中的方法的流程图;且
图5绘示根据本发明的示范性实施方案的认证接收到的安全数据帧的方法的流程图。
具体实施方式
下文结合附图陈述的具体实施方式希望作为所揭示的主题的各种实施方案的描述,且未必希望表示仅有的实施方案。在某些实例中,具体实施方式包含出于提供对所揭示的主题的理解的目的的特定细节。然而,对于所属领域的技术人员来说将显而易见,可在没有这些特定细节的情况下实践实施方案。在一些实例中,可以框图的形式展示公知的结构和组件,以避免混淆所揭示的主题的概念。
贯穿本说明书的对“一个实施方案”或“实施方案”的参考意味着结合实施方案描述的特定特征、结构、特性、操作或功能包含在所揭示的主题的至少一个实施方案中。因此,短语“在一个实施方案中”或“在实施方案中”在本说明书中的任何出现未必都是指同一实施方案。此外,特定特征、结构、特性、操作或功能可在一或多个实施方案中以任何合适方式组合。此外,希望所揭示的主题的实施方案可以并确实涵盖所描述的实施方案的修改和变化。
必须注意,如在本说明书和所附权利要求书中所使用,单数形式“一(a/an)”和“所述”包含多个对象,除非上下文另有明确规定。即,除非另有明确指定,否则如本文中所使用的词语“一(a/an)”等等带有“一或多个”的含义。另外,应理解,本文中可使用的例如“上部”、“下部”、“前部”、“后部”、“侧”、“内部”、“外部”等等的术语仅仅描述参考点,且未必将所揭示的主题的实施方案限制到任何特定定向或配置。此外,例如“第一”、“第二”、“第三”等等的术语仅仅识别如本文中所描述的数个部分、组件、参考点、操作及/或功能中的一者,且同样未必将所揭示的主题的实施方案限制到任何特定配置或定向。
在例如以太网的网络中,安全协议可用于在网络上初始化两个端点期间认证所述端点。例如,在利用IEEE 802.1X的汽车中,启动点火可起始例如摄像机的客户机装置和车辆中的交换机或微控制器单元(MCU)之间的认证。例如,摄像机和交换机可存储预定凭证以便经由四次握手协议执行可扩展认证协议(EAP)交换。四次握手协议可认证摄像机及交换机且允许摄像机存取交换机以呈报业务,且反之亦然。
然而,一旦认证了两个端点,就不对数据包执行连续认证以检查数据包的完整性,这是因为IEEE 802.1X的基本假设是网络是安全的。这对于例如企业网络的一些网络可能成立,但对于例如汽车网络的其它网络未必成立。例如,黑客可能会在车辆熄火及/或处于停车位置时在摄像机和交换机或MCU之间安装集线器。摄像机和交换机执行EAP交换且打开交换机入口以发送和接收数据,但黑客也能够监控业务,在稍后时间重放由摄像机发送的包,且插入恶意包。因此,需要包的连续认证来屏蔽和拒绝经篡改的包。
可通过使用例如MACsec的密码协议防止此情境发生。此类协议基于预定密码协议和共享密钥将完整性检查值(ICV)插入到由摄像机发送的每一数据包中。基于ICV和共享密钥,交换机可验证数据包是否来自摄像机。MACsec也可利用重放计数器,其允许交换机确定是否无序地接收到包,这是因为每一数据包可包含一序号。
然而,使用MACsec协议可能会对数据包增加额外开销。例如,在以太网网络上,大小为64字节的数据包可具有添加到数据包的额外32字节的安全数据。对于低带宽链路,例如每秒100兆位链路,此额外保密可消耗额外28%的带宽。因此,需要一种跨网络维持包保密同时也维持低开销的改进方法和设备。
现在参考附图,其中贯穿若干视图,类似元件符号表示相同或对应部件。
图1A绘示示范性网络100的框图。网络100可包含客户机101和交换机102。客户机101可包含客户机中央处理单元(CPU)105和客户机物理层(PHY)110,且交换机102可包含交换机PHY 120和交换机核心125,其中客户机PHY 110和交换机PHY 120可通过链路115以通信方式连接。实施开放系统互连(OSI)堆栈中的层-1的客户机PHY 110和交换机PHY 120可集成,或可为外部物理层装置和芯片。客户机PHY 110和交换机PHY 120可经配置以将物理媒体与OSI中的其它层(例如数据链路层(层-2)中的MAC层)介接。客户机PHY 110和交换机PHY 120可经配置以将MAC层通信转换为适合于在链路115上传输的格式。链路115可为客户机PHY 110和交换机PHY 120之间的有线(例如,以太网电缆)或无线通信链路。
如图1B中所绘示,黑客103可在MITM攻击中经由两个端点之间的链路115接进受危害网络110a。黑客103可在经由EAP交换进行初始化之前将集线器130(例如,以太网集线器)插入在客户机101和交换机102之间的链路115上。集线器130可包含多个端口且为例如网络集线器,且经配置以连接网络100的区段。
黑客103也可经由集线器130在链路115上发送和接收包。黑客103可插入新的包,修改包,或重新发送链路115上先前发射和捕获的包。例如,黑客103可捕获摄像机馈送,且在稍后时间将馈送重放到交换机。例如,黑客103可拦截从车辆中的制动器发射到制动器的信号接合的消息,其中更改所述消息以使制动器脱离接合或使制动器保持脱离接合。这些是非限制性实例,且本发明并不限于汽车应用。
图2绘示根据本发明的示范性实施方案的安全网络200的框图。安全网络200可包含客户机201和交换机202。客户机201可为发射装置或其它类型的装置,例如发射器,且交换机202可为接收装置或其它类型装置,例如接收器。
客户机101可包含客户机CPU 205、客户机PHY 210和客户机存储器230,且交换机102可包含交换机PHY 220、交换机核心225和交换机存储器235,其中客户机PHY 210和交换机PHY 220可通过链路215以通信方式连接。客户机CPU 205和交换机核心225可包含模块、部件、电路及/或集成电路,其中的每一者可被称为处理电路。处理电路可包含通用处理器,且处理电路可包含任何数量个处理器、控制器、微控制器或状态机。处理电路也可为计算机设备的组合,例如数字信号处理器(DSP)和微处理器的组合、多个微处理器的组合,或DSP和多个微处理器的组合。客户机201和交换机202的处理电路可单独地或联合地实施图2中所绘示的组件的每一功能性。
在一些实施方案中,处理电路可执行一些或全部功能性。处理电路可涵盖处理电路及客户机PHY 210和交换机PHY 220,及/或每一步骤可由专用处理电路执行。处理电路可为多个个别电路,或经配置以执行一些或全部步骤的处理电路。
客户机PHY 210和交换机PHY 220可为物理层装置或芯片,例如开放系统互连(OSI)堆栈中的层-1。客户机PHY 210和交换机PHY 220可经配置以将物理媒体与OSI中的其它层(例如数据链路层中的MAC层)介接。客户机PHY 210和交换机PHY 220可经配置以将MAC层通信转换为适合于在链路215上传输的格式。客户机存储器230和交换机存储器235可为易失性或非易失性存储器,且经配置以存储认证信息,例如用于EAP交换的预定认证密钥或安全凭证。链路215可为有线(例如,以太网电缆)或无线通信链路。
如先前所提及,EAP交换可发生在客户机201和交换机202之间。例如,客户机201可为摄像机,且交换机202可为服务器。替代地,客户机201可为车辆的制动器,且交换机202可为车辆中的计算机。为了防止黑客103篡改链路115上发送的数据,每一数据包可在发射之前由客户机PHY 210使用其自身的认证信息编码,且经编码的数据包可由交换机PHY 220读取和认证。
图3A绘示示范性数据帧300a的框图。数据帧300a包含数据包301,其之前是随附报头305且之后是随附包间间隙(IPG)325。数据包301包含有效负载310、循环冗余检查(CRC)315、目的地地址330、源地址335和以太类型(EtherType)340。网络100上发射的数据包301的大小可为至少64字节。
图3B绘示根据本发明的示范性实施方案的安全数据帧300b(在本文中被称为安全帧300b)的框图。安全帧300b可在格式及大小方面类似于数据帧300a,但安全帧300b包含伴随有报头305'和IPG 325'的安全包302除外,其与数据包301、报头305和IPG 325相比较具有不同大小,如稍后将描述。
在一个实施方案中,数据包301可为64字节,且随附报头305和IPG 325可将额外20字节添加到数据帧300a,其中在链路215上,报头305的大小为8字节且IPG 325的大小为12字节。因此,数据包301及随附报头305和IPG 325可花费为发射84字节的数据包所需要的发射时间。数据包301之前可为报头305,其可包含用于表示数据包301的开始的数据的已知序列。在例如IEEE 802.3的一些实施方案中,数据帧300a的开始包含7字节报头和1字节首帧定界符(SFD)(未展示)。IPG 325可具有4字节、8字节、10字节、12字节或大于12字节的大小,且经配置以表示数据帧300a的结束。在一些实施方案中,报头305和IPG 325可在所属领域中(例如在802.11中)被称为其它术语,IPG 325可被称为分布式协调功能(DCF)帧间隔(DIFS)。所属领域的其它术语可用于描述报头305和IPG 325,只要其用于相同功能即可,即,报头305在数据包301之前且发信号通知数据包301的开始,且IPG 325在数据包310之后且发信号通知数据包301的结束。
如先前所提及,MACsec可通过将消息认证码保密标记(SecTAG)和完整性检查值(ICV)插入到数据包301(未展示)中而保密有效负载310的真实性。SecTAG和ICV各自可对数据包301的大小贡献16字节,或一起可具有32字节的大小,由此将数据包301的有效大小增大32字节或50%。
因此,并不大幅增大数据帧300a的大小的用于消息认证的系统和方法可包含PHY(例如,客户机和交换机PHY 210、225)中实施的数据链路级认证方案。具体来说,所述系统和方法可调整认证数据在发射期间如何通过重新分配报头305和IPG 325而携带有数据包301及随附报头305和IPG 325以减少数据开销且最小化链路215上的数据帧300a的大小。
在一个实施方案中,发射PHY(例如客户机PHY 210)可维持供产生发射器包序号的发射器包序列计数,发射器包序列计数和发射器包序号两者可存储在客户机存储器230上或一些其它寄存器中。客户机PHY 210可随着每一安全帧300b被发射将发射器包序列计数加一。例如,可利用32位发射器包序列计数。
在另一实施方案中,客户机PHY 210可使用客户机密钥(未展示)来使用密钥散列产生轻型ICV 320。轻型ICV 320大小可为可配置的,例如2字节,或超过2字节的大小。客户机PHY 210可将轻型ICV 320在CRC 315之前插入到数据包301中,且客户机PHY210可将发射器包序号插入到报头305中(得到报头305')。在实施方案中,客户机PHY 210可将轻型ICV320和发射器包序号在任意位置处插入到数据帧300a中。
轻型ICV 320的大小可对应于IPG 325大小伴随减小到IPG 325'。例如,轻型ICV320可使用截短的密钥散列产生为具有4字节的大小且插入到数据包301中,其中IPG 325的大小从例如12字节减小到8字节。通过这么做,安全包302及随附报头305'和IPG 325'的大小在链路215上发射时与安全包301及随附报头305和IPG 325的大小相同(即,数据帧300a在链路215上发射时具有与安全帧300b相同的大小)。即使安全帧300b包含额外认证信息,链路215上的发射速度也不会减小,这是因为在先前由IPG 325的部分占据的空间中容纳额外认证信息(轻型ICV 320)的大小。值得注意的是,IPG 325大小的此减小可能不会影响其由交换机PHY 220检测、接收和读取的效力。此外,在认证之后,交换机PHY 220可移除由客户机PHY 210添加的认证信息,以在将数据帧300a发送到数据链路层之前将安全帧300b转换回为数据帧300a,因此致使所揭示的认证方法对数据链路层是基本上透明的。
另外,CRC 315可允许检测数据包301内的经篡改数据且具有4字节的大小。目的地地址330和源地址335各自可具有6字节的大小,且以太类型340可具有2字节的大小。合起来,报头305和CRC 315可具有12字节的大小,且有效负载310可具有46到1500字节的大小。
图4绘示根据本发明的示范性实施方案的由客户机201执行来保密安全帧300b的数据包认证方法S400的流程图。在一个实施方案中,数据包认证方法S400的密钥(未展示)可存储在链路215的每一端,例如在客户机存储器230上的客户机201及在交换机存储器235上的交换机202。在步骤S401中,使用预配置或例如MACsec密钥协商(MKA)协议的密钥交换机制,可首先将密钥安装在链路的每一端。可通过两个端点周期性地产生密钥。
在一个实施方案中,客户机存储器230及交换机存储器235可为非易失性存储器,或一次性可编程存储器。客户机201和交换机202可针对链路的每一相应端在存储器230、235上包含多个预编程密钥。可利用第一对密钥用于包认证,直到在安全网络200中替换客户机201。在使用新的客户机(未展示)进行替换之后,就可使第一对密钥失效,且就可将存储器230、235上的第二对预编程密钥用于新的客户机和交换机202之间。这可重复,这是因为在存储器230、235上预编程许多对密钥。例如,车辆上的摄像机可需要维护或替换,在此情况下,可使经替换摄像机上编程的第一组密钥失效,且可使用新的摄像机上由原始设备制造商(OEM)编程的第二组密钥。预定数量个密钥对可基于客户机201或交换机202的预期寿命及在安全网络200的整个操作寿命内针对任一实体的替换事件的预期数量而预编程。
周期性地产生或在一次性可编程存储器230、235上配置的密钥可包含于两个端点处的特定寄存器中,且可为PHY(客户机PHY 210、交换机PHY 220)中的网络所存取。
在一个实施方案中,发射PHY(例如,客户机PHY 210)可维持供产生发射器包序号的发射器包序列计数。在步骤S403中,客户机PHY 210可随着每一安全帧300b被发射将发射器包序列计数加一。例如,可利用32位发射器包序列计数。
客户机201可从数据链路层(例如,MAC层)接收数据包301。客户机PHY 210可使用客户机密钥(未展示)来使用密钥散列(例如,截短的密钥散列)产生轻型ICV 320。客户机PHY 210可使用从数据链路层接收的整个数据包301的截短的密钥散列来产生轻型ICV320,例如使用目的地地址330、源地址335、以太类型340、有效负载310和发射器包序号。在一个实施方案中,客户机PHY 210可使用从数据链路层接收的数据包301的部分的截短的密钥散列来产生轻型ICV 320。轻型ICV 320大小可为可配置的,例如2字节,4字节或超过4字节的大小。
在步骤S405中,客户机PHY 210可将轻型ICV 320在CRC 315之前插入到数据帧300a中,且客户机PHY 210可将发射器包序号插入到数据帧300a中,例如插入到报头305中(得到报头305'),其中轻型ICV 320的大小对应于IPG 325伴随减小到IPG 325',这得到包含安全包302及随附报头305'和IPG 325'的安全帧300b。例如,轻型ICV 320大小可为4字节,且IPG 325'可减小4字节到8字节。与305相比较,由于存在发射器包序号,将发射器包序号插入到报头305中可导致报头305'中可用的空间的量减少。将发射器包序号插入到报头305中可将数据覆写在报头305中以便维持报头305的大小。在一个实施方案中,发射器包序号的数据可分成至少两个部分且在不同位置插入到数据帧300a中。可了解,至少两个部分的大小的多次调整是可能的,以便满足数据帧300a中的特征的大小约束。例如,发射器包序号可具有4字节的大小,且报头可为8字节,其中需要6字节的特定模式。因此,发射器包序号可分成两个部分,其中每一部分具有2字节的大小,第一部分覆写报头305的2字节,且第二部分插入到数据帧300a中且将IPG 325的大小减小2字节。
在一个实施方案中,客户机PHY 210可将轻型ICV 320插入到数据帧300a中。此外,客户机PHY 210可将发射器包序号插入到数据帧300a中。可了解,存在用于将轻型ICV 320和发射器包序号插入到数据帧300a中的许多位置组合。
在S405的一个示范性实施方案中,客户机PHY 210可使用客户机密钥来产生轻型ICV 320且将轻型ICV 320插入到数据帧300a中。在此实施方案中,客户机PHY 210可在不产生和插入发射器包序号的情况下执行产生和插入。在此实施方案中,因为不插入发射器包序号,所以不执行S409。将轻型ICV 320插入到数据帧300a中会减小IPG 325的大小同时维持数据帧300a的字节的总数。
在S405的另一示范性实施方案中,客户机PHY 210可维持发射器包序列计数器且将发射器包序号插入到数据帧300a中。在此实施方案中,客户机PHY 210可在不产生和插入轻型ICV 320的情况下插入发射器包序号。将发射器包序号插入到数据帧300a中会减小IPG325的大小同时维持包含在数据帧300a中的字节的总数。
在步骤S406中,客户机PHY 210可基于具有报头305'和轻型ICV 320的数据包301的内容重新计算CRC 315。在步骤S407中,客户机201可将安全包302发射到交换机202。在一个实施方案中,安全包302及随附报头305'和IPG 325'的大小与甚至具有额外认证信息的数据包301及随附报头305和IPG 325的大小相同(即,数据帧300a具有与安全帧300b相同的大小),这是因为来自IPG 325和报头305的空间经重新分配以存储轻型ICV 320和发射器包序号(得到IPG 325'和报头305')。如先前所提及,MACsec保密信息可导致带宽消耗明显增加,例如,添加到数据包且在100兆位链路上发射的额外32字节的认证信息,因此消耗额外28%的带宽。值得注意的是,所揭示的方法可有利地用于低带宽网络/低速链路中,这是因为来自额外认证信息的开销被最小化,而有效负载信息不受影响,且认证方法对数据链路层是透明的。例如,所揭示的方法可对例如l00Mb/s BroadR-Reach或100Base-T1链路的低速链路及例如10Mb/s的未来更低速链路是尤其有效的。所述系统和方法也可适用于lGb/s链路和多千兆位链路,例如,2.5Gb/s、5Gb/s和l0Gb/s。
在步骤S409中,客户机201可针对任何随后接收的数据包301及随附报头305和IPG325将发射器包序列计数加一。在替代实施方案中,不维持发射器包序列计数且可跳过步骤S409。
图5绘示根据本发明的示范性实施方案的由接收器(例如,交换机202)执行的认证安全包302的数据包认证方法S500的流程图。如先前所提及,在步骤S501中,可首先在每一端点处安装密钥。这些密钥可静态地预配置在非易失性存储器中或每次通过密钥交换协议动态地创建。在一个实施方案中,接收PHY(例如,交换机PHY 220)可维持供产生接收器包序号的接收器包序列计数,接收器包序列计数和接收器包序号两者可存储在交换机存储器235或寄存器上。
在步骤S503中,交换机PHY 220可接收安全包302及随附报头305'和IPG 325'且从报头305'提取发射器包序号。
在步骤S505中,交换机PHY 220可随着每一安全包302被接收将接收器包序列计数加一,其中接收器包序列计数对应于发射器包序列计数。例如,可利用32位接收器包序列计数。
在步骤S507中,交换机PHY 220可基于接收器包序列计数使用预期接收器包序号来验证发射器包序号。交换机PHY 220可使用交换机密钥(未展示)来使用密钥散列(例如,截短的密钥散列)产生轻型ICV 320。交换机PHY 220可使用从客户机201接收的整个数据包301的截短的密钥散列来产生轻型ICV 320,例如使用目的地地址330、源地址335、以太类型340、有效负载310和发射器包序号。如果数据包301的部分用于在发射器PHY(客户机PHY210)处产生轻型ICV 320,那么配置可经编程使得接收器PHY(交换机PHY 220)使用数据包301的相同部分来产生轻型ICV 320。在步骤S510中,交换机PHY 220可比较由交换机PHY220产生的轻型ICV 320与和安全帧300b一起接收的轻型ICV 320(由客户机PHY 210产生和插入)。值得注意的是,安全包302的内容以及发射器包序号可使用交换机密钥进行散列以产生轻型ICV 320,由此确保需要正确的序号以供认证。
在替代实施方案中,不维持发射器包序列计数,且数据帧300a不包含发射器包序号。因此,步骤S507中的交换机PHY 220可能不使用预期接收器包序号来验证发射器包序号。在没有用于认证的发射器包序号的情况下,交换机PHY 220仍可从数据包301的全部或部分产生轻型ICV 320。
如果两个轻型ICV 320值匹配,那么交换机PHY 220可接受安全包302、报头305'和IPG 325',否则,在步骤S511中,如果两个值不匹配,这是因为失配可发信号通知安全帧300b已被黑客103篡改,那么交换机PHY 220可摒弃安全包302、报头305'和IPG325'。
对于接受的安全帧300b,交换机PHY 220可从安全帧300b移除发射器包序号和轻型ICV 320,且基于没有报头305'和轻型ICV 320的数据帧300a的内容重新计算CRC315。在步骤S515中,交换机PHY 220可重新插入CRC 315,从而得到具有有效CRC、报头305和IPG325的数据帧300a。应注意,IPG 325'可恢复为原始大小(即,IPG 325)(例如,12字节)和内容。交换机PHY 220可将呈原始、标准格式的数据帧300a(数据包301、报头305和IPG 325)发射到数据链路层(即,MAC层)。值得注意的是,数据链路层将不能够检测到前述认证步骤已发生,这是因为原始发射格式已在到达数据链路层之前被存储。在步骤S517中,交换机PHY220可针对下一接收的安全帧300b将序列计数加一。
虽然安全帧300b可包含认证形式,但跨链路215发射的信息仍可由黑客103存取和读取。在一个实施方案中,可应用加密方法来提供发射信息的秘密。
在一个实施方案中,用于产生轻型ICV 320的密钥散列可为基于散列的消息认证码(HMAC),其中散列函数F可为例如CRC、MD5、SHA-1、SHA-2等等。在一个实施方案中,使用已知的密码协议,例如,AES的变体,例如AES-GCM、AES-CCM或AES-CBC。在一个实施方案中,使用截短的密钥散列,其中使用预定数量个字节,例如最低有效4字节(插入到安全包302中),且摒弃其余部分。所属领域的技术人员可了解,无数的散列机制或加密机制可用于取决于应用和链路215带宽而调整插入到安全帧300b中的散列数据的大小,以便维持预定安全帧300b大小。
在一个实施方案中,安全帧300b的大小可扩大以容纳更大轻型ICV 320。例如,将64字节的数据散列到4字节可允许在散列之后使用相同4字节的64字节的预定数量个组合。因此,散列越大,认证方案就可越安全,使得使用相同散列的两个消息变为更低概率。用户可确定4字节太小且可代替地偏好散列到8字节。随着轻型ICV 320的大小越大,可从IPG325重新分配以适合更大的轻型ICV 320的空间就越大。例如,来自IPG325的8字节的数据可经重新分配以在插入到数据帧300a中时容纳8字节轻型ICV 320。在一个实施方案中,数据帧300a的大小可增大以容纳额外大小。例如,数据帧300a和安全帧300b大小可增大4字节,从84字节到88字节,以将IPG 325的大小保存在8字节(而不是减小8字节到4字节)。在此实施方案中,开销减小(与例如MACsec相比较)而非消除。即,对大小增加了比较小百分比的开销,例如<50%。
在一个实施方案中,重放攻击可用于在序列计数绕回到开始时插入经篡改的数据包。可通过在序列计数器绕回之前交换新的密钥防止重放攻击。
在一个实施方案中,客户机201和交换机202可在没有链路215的情况下或除了链路215之外通信。值得注意的是,可将发射器包序列计数和轻型ICV 320认证特征发射到有线或无线网络上的客户机和交换机。由于跨无线网络的发射速度减小,故用于维持消息完整性的本发明的轻型机制尤其是相关的,这是因为来自额外认证消息的开销被最小化,而有效负载信息不受影响。
有利地,所揭示的方法通过重新分配来自报头305和IPG 325的空间以便保存数据包301的大小而改进认证数据如何经由随附报头305和IPG 325被携带和隐藏在数据帧300a内。值得注意的是,轻型ICV 320的插入在大小方面小于用于其它认证或加密方案(例如MACsec)的ICV(及发射的数据帧的大小后续增大)。使用所提议的认证方法,在发射器侧和接收器侧的两个数据链路层可能不会在发射或接收数据帧300a之后就检测到任何差异,这是因为客户机PHY 210和交换机PHY 220在PHY级(层-1)执行数据帧300a的全部更改、认证和重新转换回到标准格式。此外,通过重新分配报头305和IPG 325,用于插入轻型ICV 320和发射器包序号信息、额外信息或数据开销的空间分配在发射期间基本上隐藏。即,预定发射长度(例如,84字节长度)保持在84字节。最后,虽然空间被节省且数据包大小被保留,但信息获益于认证形式以检测通过黑客103窥探链路215进行的篡改。
另外,上文关于图2到5所论述的由处理电路执行的处理可根据存储在非暂时性计算机可读记录媒体中的计算机可执行指令而执行。此外,计算机可执行指令可存储在连接到网络的外部计算机上,或可通过经由网络(有线及/或无线)下载而分布到执行设备。
已描述了数个实施方案。然而,应理解,可在不脱离本发明的精神及范围的情况下做出各种修改。例如,如果按不同序列执行所揭示的技术的步骤,如果以不同方式组合所揭示的系统中的组件,或如果通过其它组件替换或补充所述组件,那么可实现优选的结果。
所属领域的技术人员应理解,可在不脱离本发明的精神或基本特性的情况下以其它特定形式体现本发明。因此,本发明希望是说明性的,而不限制本发明的范围,以及权利要求书。包含本文中的教示的任何明白无误的变体的本发明部分地限定前述主张术语的范围,使得未向公众贡献本发明的主题。
Claims (20)
1.一种发射装置,其包括:
处理电路,其经配置以
维持发射器包序列计数器;
产生完整性检查值ICV;
将根据所述发射器包序列计数器的发射器包序号插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙IPG紧随所述数据包;
将所述ICV插入到所述数据帧中;及
发射所述数据帧,其中
所述处理电路通过随着每一数据帧被发射将发射器包序列计数器值加一而维持所述发射器包序列计数器,且
将所述ICV插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
2.根据权利要求1所述的发射装置,其中所述处理电路基于所述数据包的整体和所述发射器包序号使用截短的密钥散列来产生所述ICV。
3.根据权利要求1所述的发射装置,其中所述处理电路基于所述数据包的部分和所述发射器包序号使用截短的密钥散列来产生所述ICV。
4.根据权利要求1所述的发射装置,其中所述数据帧的大小增大小于50%。
5.根据权利要求1所述的发射装置,其中
使用密码协议来加密所述数据包的至少一部分,
将至少一个保密字段插入到所述数据帧中,且
所述至少一个保密字段的插入减小所述IPG的大小。
6.根据权利要求1所述的发射装置,其中所述处理电路将所述发射器包序号在所述报头中插入到所述数据帧中。
7.根据权利要求1所述的发射装置,其中所述处理电路将所述ICV在所述有效负载之后插入到所述数据帧中。
8.根据权利要求1所述的发射装置,其中所述发射器包序列计数器为32位。
9.一种接收装置,其包括:
处理电路,其经配置以
接收包含发射器包序号、完整性检查值ICV和数据包的数据帧,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙IPG紧随所述数据包;
比较来自接收器包序列计数器的接收器包序号与所述发射器包序号;
基于所述接收器包序号确定所述发射器包序号是否有效;
响应于确定所述发射器包序号有效,确定所述ICV是否有效;及
响应于确定所述ICV有效,
从所述数据帧移除所述发射器包序号和所述ICV;及
通过随着每一数据帧被接收将序列计数值加一而维持所述接收器包序列计数,其中
所述发射器包序号和所述ICV的移除将所述数据帧的格式恢复为可由数据链路层读取的格式,且
所述处理电路通过随着每一数据帧被接收将接收器包序列计数器值加一而维持所述接收器包序列计数器。
10.根据权利要求9所述的接收装置,其中所述处理电路经进一步配置以响应于确定所述发射器包序号无效而摒弃所述数据帧。
11.根据权利要求9所述的接收装置,其中所述处理电路经进一步配置以响应于确定所述ICV无效而摒弃所述数据帧。
12.一种由发射装置执行的方法,所述发射装置经由网络与接收装置通信,所述方法包括:
维持发射器包序列计数器;
产生完整性检查值ICV;
通过所述发射装置的处理电路将发射器包序号插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙IPG紧随所述数据包;
通过所述处理电路将所述ICV插入到所述数据帧中;及
发射所述数据帧,其中
所述维持所述发射器包序列计数器包含随着每一数据帧被发射将发射器包序列计数器值加一,且
将所述ICV插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
13.根据权利要求12所述的方法,其中产生所述ICV基于所述数据包的整体和所述发射器包序号使用截短的密钥散列。
14.根据权利要求12所述的方法,其中产生所述ICV基于所述数据包的部分和所述发射器包序号使用截短的密钥散列。
15.根据权利要求12所述的方法,其中将所述发射器包序号和ICV插入到所述数据帧中会增大所述数据帧的大小。
16.根据权利要求15所述的方法,其中所述数据帧的大小增大小于50%。
17.根据权利要求12所述的方法,其中
使用密码协议来加密所述数据包的至少一部分,
将至少一个保密字段插入到所述数据帧中,且
所述至少一个保密字段的插入减小所述IPG的大小。
18.根据权利要求12所述的方法,其中所述处理电路将所述发射器包序号在所述报头中插入到所述数据帧中。
19.一种发射装置,其包括:
处理电路,其经配置以
产生完整性检查值ICV;及
将所述ICV插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙IPG紧随所述数据包,且
将所述ICV插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
20.一种发射装置,其包括:
处理电路,其经配置以
维持发射器包序列计数器;
将根据所述发射器包序列计数器的发射器包序号插入到包含数据包的数据帧中,所述数据包包含有效负载,其中所述数据包紧随报头且包间间隙IPG紧随所述数据包;及
发射所述数据帧,其中
所述处理电路通过随着每一数据帧被发射将发射器包序列计数器值加一而维持所述发射器包序列计数器,且
将所述发射器包序号插入到所述数据帧中会减小所述IPG的大小同时维持所述数据帧中的字节的总数。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762591618P | 2017-11-28 | 2017-11-28 | |
US62/591,618 | 2017-11-28 | ||
US16/172,206 US11190528B2 (en) | 2017-11-28 | 2018-10-26 | Light-weight mechanism for checking message integrity in data packets |
US16/172,206 | 2018-10-26 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110035047A CN110035047A (zh) | 2019-07-19 |
CN110035047B true CN110035047B (zh) | 2022-12-30 |
Family
ID=64456768
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811414893.9A Active CN110035047B (zh) | 2017-11-28 | 2018-11-26 | 用于检查数据包中的消息完整性的轻型机制 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11190528B2 (zh) |
EP (3) | EP4312402A2 (zh) |
CN (1) | CN110035047B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10985847B2 (en) * | 2017-12-21 | 2021-04-20 | Cisco Technology, Inc. | Security over optical transport network beyond 100G |
US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
DE102019004790A1 (de) * | 2019-07-11 | 2021-01-14 | Infineon Technologies Ag | Authentizität und Sicherheit auf der Sicherungsschicht für Fahrzeugkommunikationssystem |
WO2021015204A1 (ja) * | 2019-07-23 | 2021-01-28 | 株式会社ソニー・インタラクティブエンタテインメント | アクセス制御装置、アクセス制御方法及びプログラム |
US11537691B2 (en) * | 2020-02-28 | 2022-12-27 | Infineon Technologies Ag | Controller area network traffic flow confidentiality |
US11956160B2 (en) * | 2021-06-01 | 2024-04-09 | Mellanox Technologies, Ltd. | End-to-end flow control with intermediate media access control security devices |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7061866B2 (en) * | 2002-01-10 | 2006-06-13 | Intel Corporation | Metered packet flow for packet switched networks |
JP2005524281A (ja) * | 2002-04-25 | 2005-08-11 | パッセイヴ リミテッド | イーサネット(登録商標)ネットワークにおける前方誤り訂正コーディング |
US7274963B2 (en) * | 2002-12-16 | 2007-09-25 | Cardiac Pacemakers, Inc. | Interconnect for implantable medical device header |
US8160089B1 (en) * | 2003-11-04 | 2012-04-17 | Advanced Micro Devices, Inc. | Dynamic inter packet gap generation system and method |
US7586948B2 (en) | 2003-12-24 | 2009-09-08 | Agere Systems Inc. | Packet sub-frame structure for selective acknowledgment |
US8467417B2 (en) * | 2007-05-03 | 2013-06-18 | Rockstar Consortium Us Lp | Method and system for synchronization between network elements |
US8335316B2 (en) * | 2008-04-21 | 2012-12-18 | Broadcom Corporation | Method and apparatus for data privacy in passive optical networks |
CN101582738B (zh) * | 2008-05-12 | 2012-09-05 | 中兴通讯股份有限公司 | 一种传输链路中误帧率的测量装置及方法 |
JP5338816B2 (ja) * | 2008-09-04 | 2013-11-13 | 富士通株式会社 | 送信装置、受信装置、送信方法および受信方法 |
US7933220B2 (en) * | 2009-09-21 | 2011-04-26 | Spirent Communications, Inc. | Methods and apparatuses for generating network test packets and parts of network test packets |
US9042366B2 (en) * | 2010-09-30 | 2015-05-26 | Vitesse Semiconductor Corporation | Timestamp predictor for packets over a synchronous protocol |
EP2777211B1 (en) * | 2011-11-07 | 2020-09-16 | Microsemi Solutions SDN. BHD. | Physical layer processing of timestamps and mac security |
US9578543B2 (en) | 2013-07-01 | 2017-02-21 | Qualcomm Incorporated | Reduced overhead for wireless communication |
JP6321151B2 (ja) * | 2013-09-30 | 2018-05-09 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 電力線通信ネットワーク内のショートパケット通信 |
US9929928B1 (en) * | 2015-12-24 | 2018-03-27 | Microsemi Solutions (U.S.), Inc. | Packet transmitter and method for timestamping packets |
US10826876B1 (en) * | 2016-12-22 | 2020-11-03 | Amazon Technologies, Inc. | Obscuring network traffic characteristics |
-
2018
- 2018-10-26 US US16/172,206 patent/US11190528B2/en active Active
- 2018-11-22 EP EP23209363.3A patent/EP4312402A2/en active Pending
- 2018-11-22 EP EP19156779.1A patent/EP3518496B1/en active Active
- 2018-11-22 EP EP18207833.7A patent/EP3490221B1/en active Active
- 2018-11-26 CN CN201811414893.9A patent/CN110035047B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
EP4312402A2 (en) | 2024-01-31 |
EP3490221A1 (en) | 2019-05-29 |
US11190528B2 (en) | 2021-11-30 |
US20190166134A1 (en) | 2019-05-30 |
EP3490221B1 (en) | 2024-01-10 |
CN110035047A (zh) | 2019-07-19 |
EP3518496A1 (en) | 2019-07-31 |
EP3518496B1 (en) | 2022-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110035047B (zh) | 用于检查数据包中的消息完整性的轻型机制 | |
US11134100B2 (en) | Network device and network system | |
Touch et al. | The TCP authentication option | |
Luk et al. | MiniSec: a secure sensor network communication architecture | |
US7502925B2 (en) | Method and apparatus for reducing TCP frame transmit latency | |
US20150033014A1 (en) | Compact and Efficient Communication Security through Combining Anti-Replay with Encryption | |
US10225239B2 (en) | Method for in-line TLS/SSL cleartext encryption and authentication | |
US8683572B1 (en) | Method and apparatus for providing continuous user verification in a packet-based network | |
US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
JP2005117246A (ja) | パケット判定装置 | |
JP2017121091A (ja) | Ecu、及び車用ネットワーク装置 | |
CN114095195B (zh) | 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质 | |
WO2016068941A1 (en) | Secure transactions in a memory fabric | |
JP2018182767A (ja) | Ecu、ネットワーク装置、及び車用ネットワーク装置 | |
EP4016936A1 (en) | Method, device, and system for secure communications over a network | |
CN113973002A (zh) | 一种数据密钥的更新方法及装置 | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
CN117560226B (zh) | 一种通过虚拟专用网络vpn进行数据传输的方法及装置 | |
CN116389169B (zh) | 一种避免国密IPSecVPN网关数据包乱序、分片的方法 | |
US20220109694A1 (en) | Communication system, communication method, and non-transitory computer readable medium storing communication program | |
JP2020141414A (ja) | Ecu、ネットワーク装置 | |
Touch et al. | RFC 5925: The TCP Authentication Option | |
CN118138275A (zh) | 远程直接内存访问方法、装置、设备及存储介质 | |
WO2012107074A1 (en) | Device and method for securing ethernet communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |