CN110383280B - 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 - Google Patents
用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 Download PDFInfo
- Publication number
- CN110383280B CN110383280B CN201880016613.0A CN201880016613A CN110383280B CN 110383280 B CN110383280 B CN 110383280B CN 201880016613 A CN201880016613 A CN 201880016613A CN 110383280 B CN110383280 B CN 110383280B
- Authority
- CN
- China
- Prior art keywords
- packet
- engine
- engines
- cryptographic
- cekm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 56
- 230000005540 biological transmission Effects 0.000 claims abstract description 32
- 238000004891 communication Methods 0.000 claims abstract description 6
- 238000012544 monitoring process Methods 0.000 claims description 16
- 230000036541 health Effects 0.000 claims description 8
- 230000003287 optical effect Effects 0.000 claims description 7
- 230000001902 propagating effect Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 30
- 238000010586 diagram Methods 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 11
- 235000008694 Humulus lupulus Nutrition 0.000 description 7
- 230000002457 bidirectional effect Effects 0.000 description 6
- 238000007792 addition Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 241000270295 Serpentes Species 0.000 description 3
- 241001441724 Tetraodontidae Species 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000003094 perturbing effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/22—Traffic shaping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/36—Flow control; Congestion control by determining packet size, e.g. maximum transfer unit [MTU]
- H04L47/365—Dynamic adaptation of the packet size
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3018—Input queuing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
- H04L9/0662—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- General Physics & Mathematics (AREA)
- Cardiology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Synchronisation In Digital Transmission Systems (AREA)
- Communication Control (AREA)
Abstract
为了提供通过包括执行分组处置的多个分组引擎(61‑64)的定时确定性分组网络中的端到端数据路径或端到端路径的分段的安全通信,密码引擎(71‑74)与分组引擎分开提供。密码引擎(71‑74)操作以执行至少一个网络安全性功能。密码引擎和密钥管理器(44)提供对于多个密码引擎(71‑74)的中央控制。集中式分组流路径管理器PFPM(42)可以设立分组网络的端到端数据路径的端点节点和中间传输节点。
Description
技术领域
本发明涉及分组网络中的数据传输。本发明特别地涉及用于受保护的时间感知的分组流网络中的数据业务的端到端和/或分段加密和/或认证的方法和装置。
背景技术
在诸如监测高压线路之类的任务关键系统的网络或其他工业自动化控制系统(IACS)的网络中,许多应用仍然依赖于传统的面向连接的技术。对于应用设计的更高层,发送方和接收方之间的关系能被视为直接有线数据链路。当研究像操纵高速列车、控制空中交通或高压线路自动化等应用时,作用方和反应方之间的直接确定性关系大大简化了系统设计的更高层,并有助于当今的高整体系统可靠性。
出于诸如增加的灵活性之类的各种原因,可能期望执行通过分组网络的数据传输,对于任务关键网络也是如此。在这种情况下,时分复用(TDM)网络中固有的数据完整性可能不再存在。在某种程度上,例如对于非敌对环境,多路径标签交换传送子集(MPLS-TP)允许利用面向连接的范例的一些优点。尽管如此,在过载情形和发生故障期间,端到端数据路径或链路不能被看作直接有线连接。分组网络的强大操控能力(像来往于流中删除、复制和添加分组)提供了关于网络攻击的非常重大的危险。
将期望给通过定时确定性分组网络诸如MPLS-TP之类的的端到端路径提供增强的安全性。
发明内容
本发明的目的是要提供对于分组网络中的数据传输的给予增强的安全性改进的方法、装置和系统。特别地,目的是要提供操作以提供定时确定性分组网络中的加密和/或认证数据传输同时提供对网络攻击的高鲁棒性的改进的方法、装置和系统。
根据示范性实施例,提供了用于跨复杂和网状网络拓扑确定性地传输加密和认证数据分组的方法和装置。对于这样的诸如多路径标签交换传送应用(MPLS-TP)网络之类的网络,提供了受保护的端到端路径与它们相应的网络安全冗余数据链路端点的一致关联。
出于安全性原因,两个子系统—负责通过分组网络的路径的分组交换子系统和网络安全性(或加密)子系统—可以保持强分离,但仍然同步。动态协议可用来支持从网络安全性子系统到分组交换子系统的有限信息交换。这允许两个子系统在网络操作的所有标准和异常状态期间保持同步。
在示范性实施例中,不需要分组添加,并且在加密步骤期间能保持对于所有分组的相同延迟。执行加密/解密和/或认证的密码引擎可以将控制信息添加到先前已经由与密码引擎分开的分组引擎生成的虚设分组。当需要时,分组引擎还可以扩大分组间间隙,以便避免可能以别的方式由对于加密分组的密码引擎加密信息插入需要产生的任何扰动。这增强了像多路径标签交换(MPLS)的协议或用于定时确定性分组传输的其它协议,以真正实现网络安全。
在示范性实施例中,受保护的MPLS-TP端到端服务设立可以与相应的网络安全冗余加密端点(也称为密码引擎)链接。网络安全性管理和MPLS路径管理的清晰分离以及经由硬件的设计中的约束(其可能限制MPLS和网络安全性子系统之间的信息交换)可以避免从客户端节点到密码引擎中或到网络安全性子系统的另一个组件中的任何入侵。
根据本发明的方面,提供了一种提供通过分组网络中的端到端数据路径(它们可以由MPLS隧道提供)的安全通信的方法。分组网络是定时确定性分组网络,其包括执行分组处置的多个分组引擎。该方法包括:由多个密码引擎执行至少一个网络安全性功能,其中多个密码引擎中的每个密码引擎分别与多个分组引擎中的相应分组引擎关联,并且与相应分组引擎分开提供。密码引擎中的至少一些被分别提供在与分组网络的端点节点关联的相应分组引擎和端点节点的网络面向的端口之间,或者提供在与端点节点关联的相应分组引擎和连接到端点节点的第一传输节点之间。该方法还包括由密码引擎和密钥管理器(acipher engine and key manager)CEKM集中控制多个密码引擎。
该方法可用来执行端到端加密和/或认证,或者用于沿着端到端数据路径的一个或几个分段的加密和/或认证。
控制多个密码引擎可以包括向多个密码引擎提供配置信息和/或协调网络中的多个密码引擎使用哪些密钥。
通过使用中央控制器来协调网络中所有密码引擎的操作,并且通过使用物理上与分组引擎分开的密码引擎,能获得高安全性。
分组引擎和关联的密码引擎可以分别被提供在MPLS网络的标签边缘路由器(LER)或标签交换路由器(LSR)中。
分组网络可以包括多个LER。每个LER可以包括至少两个分组引擎和至少四个密码引擎。两个分组引擎可以被分别提供用于工作路径和保护路径,这两个路径可以是通过MPLS网络的不同路径。两个密码引擎可以连接到LER的第一分组引擎,以对于沿着工作路径的两个相反的传输方向,提供沿着通过MPLS网络的工作路径的端到端或分段加密和/或认证。两个另外密码引擎可以连接到LER的第二分组引擎,以对于沿着保护路径的两个相反的传输方向,提供沿着保护路径的端到端或分段加密和/或认证。
该方法可还包括由集中式分组流路径管理器(a centralized packet flow pathmanager)PFPM设立分组网络的端到端数据路径的端点节点和中间传输节点。
PFPM可以在LER中设立分组引擎,所述分组引擎是MPLS网络中端点节点的示例。
PFPM可以在LSR中设立分组引擎,所述分组引擎是MPLS网络中中间传输节点的示例。
PFPM可以通信地连接到分组网络的所有端点节点(例如,所有LER中的分组引擎)和所有中间传输节点(例如,所有LSR中的分组引擎)。
CEKM可以在第一服务器上执行,而PFPM可以在不同于第一服务器的第二服务器上执行。通过将用于路径控制和网络安全性的控制系统分开,获得了附加的安全性益处。
该方法可还包括约束由第一服务器向第二服务器提供的信息。由此获得附加的安全性益处。
该方法可还包括:由CEKM发现多个密码引擎的硬件定义的标识符,以及由CEKM向PFPM提供硬件定义的标识符。
CEKM可以仅向PFPM提供硬件定义的标识符和警报。警报可以指示异常操作条件。
CEKM可以从PFPM接收与端到端数据路径的数据流拓扑相关的信息,以用于配置多个密码引擎。该信息可以包括隧道标识符、MPLS标签或标签堆栈以及类似的信息。
CEKM和PFPM可以经由安全信道通信。
CEKM可以通信地连接到多个密码引擎中的每一个。
CEKM可以经由安全协议与多个密码引擎中的每一个进行通信以用于配置密码引擎和/或用于通知。
该方法可还包括:由多个密码引擎中的密码引擎使用位窗口从数据分组中选择位,该位窗口是可编程的。根据可编程的位窗口选择的位可以标识将由密码引擎处理的数据分组。
位窗口在端到端数据路径的进入节点和退出节点处可以是不同的。
在CEKM和PFPM之间交换的信息可以被用于配置位窗口。
该方法可以还包括:由CEKM基于来自PFPM的信息分别配置与端到端隧道的第一端点节点关联的第一密码引擎和与第一端点节点关联的第二密码引擎。第一和第二密码引擎可以分别对于通过MPLS网络的受保护隧道的工作路径和保护路径执行诸如加密或认证之类的网络安全性功能。
该方法可还包括:由CEKM对于端到端隧道上的反向传输方向配置与第一端点关联的第三密码引擎和与第一端点节点关联的第四密码引擎。第三密码引擎和第四密码引擎可以针对通过MPLS网络的工作路径和保护路径和/或针对反向流动方向分别执行诸如加密或认证之类的网络安全性功能。
分组网络可以包括标签边缘路由器(LER)。标签边缘路由器可以包括用于多标签协议交换(MPLS)隧道的工作路径的第一密码引擎和用于为受保护隧道提供保护的保护路径的第二密码引擎。
LER可以包括用于工作路径上的反向传输方向的第三密码引擎和用于保护路径上的反向传输方向的第四密码引擎。
LER可以包括至少两个分组引擎。
分组网络可以包括标签交换路由器(LSR)。LSR可以包括至少两个分组引擎。LSR可以包括至少两个密码引擎或至少四个密码引擎。对于节加密可能需要密码引擎,并且因为一个节点能在LER和LSR混合模式下工作。
该方法可以还包括由分组引擎对进入密码引擎的数据分组流进行预成形,以确保数据分组在业务流中的位置保持不变,并且所有分组在通过密码引擎时都经历相同的延迟。
数据分组流可以被预成形,使得当数据分组离开密码引擎时,进入密码引擎的数据分组的时间戳记信息仍然有效。
对数据分组流进行预成形可以包括在数据分组流进入密码引擎之前,由分组引擎扩大分组间间隙。
对数据分组流进行预成形可以包括在数据分组流进入密码引擎之前,由分组引擎将虚设分组插入到数据分组流中。密码引擎可以使用虚设分组将控制信息插入其中。
多个分组引擎和多个密码引擎可以使用公共全局信息实体来确保属于相同业务流的数据分组的全局标识。
全局信息实体可以指示多协议标签交换MPLS路径。
数据分组可以由密码引擎紧接在离开关联的分组引擎之后加密。数据分组可以由密码引擎紧接在进入关联的分组引擎之前解密。
可以使用标准化协议或者开放协议加密或解密数据分组,特别地,标准化协议是从由AES、DES、三重DES组成的组中选择的,特别地,开放协议是从由Blowfish、Twofish、MARS、RC6、Rijndael和Serpent组成的组中选择的。
该方法可以还包括由CEKM分发用于加密和解密数据分组的密钥。
多个密码引擎可以执行消息认证。
可以使用基于散列函数的标准化协议或者开源协议执行消息认证,特别地,标准化协议是从由MD5、SHA-1、SHA-2和SHA-3组成的组中选择的。
该方法可还包括由密码引擎将业务丢失信息传播到关联的分组引擎的接口,以触发业务切换。
传播业务丢失信息可以通过由广域网WAN面向的线路接口检测到的光学数据连接的故障触发。
该方法可以还包括监测数据流的健康状况。
监测数据流的健康状况可以包括由分组引擎发送附加的数据分组流。
附加的数据分组流可以包括由密码引擎加密的监测分组,和/或保持未加密的查验(ping)和跟踪路由消息。
每个密码引擎可以分别执行诸如加密和/或认证之类的网络安全性功能,无需分组添加,并且无需由密码引擎执行的分组间间隙扩大。
多个分组引擎可以例如在分组引擎的端口处执行时间戳记。
多个分组引擎可以在时间戳记上下文之内操作,并且多个密码引擎可以在分组网络的时间戳记上下文之外操作。通过使用不知道时间戳记协议的密码引擎,能降低复杂性。
密码引擎可以独立于数据分组的时间戳记操作。
密码引擎可以是非时间感知的和非拓扑感知的密码引擎。
分组网络可以是工业自动化控制网络。
分组网络可以是用于高压线路自动化、操纵高速列车或控制空中交通的分组网络。
CEKM可以是执行密码引擎和密钥管理功能的第一服务器。
PFPM可以是执行分组流路径管理功能的第二服务器。
根据本发明的另一方面,提供有一种用于使通过具有执行分组处置的分组引擎的定时确定性分组网络中的端到端数据路径的通信安全的密码引擎和密钥管理器CEKM,所述分组网络包括配置分组网络的业务流节点的分组流路径管理器PFPM。CEKM包括:第一接口,所述第一接口用于从PFPM接收关于端到端数据路径的数据流拓扑的信息;第二接口,所述第二接口用于向多个密码引擎提供配置信息,多个密码引擎各与相应的分组引擎关联并与之分开提供,多个密码引擎被配置成执行至少一个网络安全性功能;以及至少一个处理器,所述至少一个处理器被配置成基于数据流拓扑生成配置信息。
CEKM可以被配置成发现多个密码引擎的硬件定义的标识符,并将硬件定义的标识符提供给PFPM。
CEKM可以被配置成阻止向PFPM传送除硬件定义的标识符和警报之外的信息。
CEKM可以在不同于第二服务器的第一服务器上执行,在所述第二服务器上执行PFPM。
CEKM可以操作以经由安全信道与PFPM通信。
CEKM可以操作以从PFPM接收与端到端数据路径的数据流拓扑相关的信息,以用于配置多个密码引擎。
CEKM可以经由第二接口通信地连接到多个密码引擎中的每一个。
CEKM可以操作以经由安全协议与多个密码引擎中的每一个进行通信以用于配置密码引擎和/或用于通知。
在CEKM和PFPM之间交换的信息可以被用于配置位窗口。
CEKM可操作以分别为每个密码引擎配置位窗口,其中密码引擎根据可编程的位窗口选择数据分组的位,以确定数据分组是否将由密码引擎处理。
CEKM可操作以便为不同的密码引擎以不同的方式配置位窗口。为了说明,可以为加密的端到端路径的两个端点,以不同的方式配置位窗口。
CEKM可操作以基于从PFPM接收的信息分别为多个密码引擎配置位窗口。
CEKM可操作以基于来自PFPM的信息分别配置与端到端隧道的第一端点节点关联的第一密码引擎和与第一端点节点关联的第二密码引擎。第一和第二密码引擎可以分别对于通过MPLS网络的工作路径和保护路径执行诸如加密或认证之类的网络安全性功能。
CEKM可操作以对于端到端隧道上的反向传输方向配置与第一端点节点关联的第三密码引擎和与第一端点节点关联的第四密码引擎。第三密码引擎和第四密码引擎可以针对通过MPLS网络的工作路径和保护路径和/或针对与第一和第二密码引擎相比的反向流动方向,分别执行诸如加密或认证之类的的网络安全性功能。
CEKM可操作以配置与端到端隧道的第二端点节点关联的两个或四个密码引擎。
CEKM可操作以向多个密码引擎分发用于加密和解密数据分组的密钥。
CEKM可以是执行密码引擎和密钥管理功能的第一服务器。
根据另一个实施例,提供有一种密码引擎。密码引擎包括:第一接口,所述第一接口被配置成直接连接到分组引擎,所述分组引擎执行对于定时确定性分组网络的分组处置。密码引擎包括:第二接口,所述第二接口被配置成被连接到端点节点的网络面向的端口或连接到端点节点的传输节点。密码引擎包括:第三接口,所述第三接口被配置成从密码引擎和密钥管理器CEKM接收配置信息。密码引擎操作以对通过密码引擎的业务流的数据分组执行诸如加密/解密和/或认证之类的网络安全性功能,无需改变业务流中数据分组的顺序。
密码引擎可操作以在没有分组添加的情况下并且通过对所有分组保持相同的延迟来执行网络安全性功能。
密码引擎可操作以执行安全性功能,无需具有关于数据网络拓扑的信息(即,是非拓扑感知的),并且无需使用数据分组的时间戳记信息(即,是非时间感知的)。
密码引擎可操作以紧接在数据分组离开关联的分组引擎之后对数据分组加密,或者紧接在进入关联的分组引擎之前对数据分组解密。
密码引擎可操作以使用标准化协议或者开放协议执行加密或解密,特别地,标准化协议是从由AES、DES、三重DES组成的组中选择的,特别地,开放协议是从由Blowfish、Twofish、MARS、RC6、Rijndael和Serpent组成的组中选择的。
密码引擎可操作以执行消息认证。可以使用基于散列函数的标准化协议或者开源协议执行消息认证,特别地,标准化协议是从由MD5、SHA-1、SHA-2和SHA-3组成的组中选择的。
密码引擎可操作以将业务丢失信息传播到关联的分组引擎的接口,以触发业务切换。
密码引擎可操作以响应于由广域网(WAN)面向的线路接口检测到的光学数据连接的故障而传播业务丢失信息。
密码引擎的第一接口可以经由至少一个光缆或至少一个以太网缆线直接连接到分组引擎。
根据本发明一个方面的网络包括;多个分组引擎,所述多个分组引擎在定时确定性分组网络中执行分组处置;分组流路径管理器PFPM,所述分组流路径管理器PFPM操作以向分组网络的业务流节点提供配置信息;根据实施例的多个密码引擎,所述密码引擎分别操作以从关联的分组引擎接收业务流的数据分组,或者向关联的分组引擎提供业务流的数据分组;以及根据实施例的密码引擎和密钥管理器CEKM,所述密码引擎和密钥管理器CEKM耦合到PFPM服务器和多个密码引擎。
网络可以是工业自动化控制系统(IACS)的网络。
PFPM可操作以设立分组网络的端到端数据路径的端点节点和中间传输节点。
PFPM可操作以在LER中设立分组引擎,所述分组引擎是MPLS网络中端点节点的示例。
PFPM可操作以在LSR中设立分组引擎,所述分组引擎是MPLS网络中中间传输节点的示例。
PFPM可以通信地连接到分组网络的所有端点节点(例如,所有LER中的分组引擎)和所有中间传输节点(例如,所有LSR中的分组引擎)。
PFPM可以是执行分组流路径管理功能的第二服务器。
CEKM可操作以将提供给PFPM的信息约束为多个密码引擎和警报的硬件标识符。
每个密码引擎可分别操作以使用位窗口从数据分组中选择位,所述位窗口是可编程的,其中根据可编程的位窗口选择的位来标识将由密码引擎处理的数据分组。
CEKM可操作以配置可编程的位窗口。
可编程的位窗口在端到端数据路径的进入节点和退出节点处可以是不同的。
网络可以包括标签边缘路由器(LER)。标签边缘路由器可以包括用于多标签协议交换(MPLS)隧道的工作路径的第一密码引擎和用于为工作路径提供保护的保护路径的第二密码引擎。
LER可以包括用于工作路径上的反向传输方向的第三密码引擎和用于保护路径上的反向传输方向的第四密码引擎。
LER可以包括至少两个分组引擎。
分组网络可以包括标签交换路由器(LSR)。LSR可以包括至少两个分组引擎或至少四个密码引擎。
多个分组引擎可以分别被配置成预成形进入密码引擎的数据分组流,以确保数据分组在通过密码引擎时在业务流中的位置保持不变。
分组引擎可操作以预成形数据分组流,使得当数据分组离开密码引擎时,进入密码引擎的数据分组的时间戳记信息仍然有效。
分组引擎可操作以在数据分组流进入密码引擎之前扩大分组间间隙。
分组引擎可操作以在数据分组流进入密码引擎之前将虚设分组插入到数据分组流中。
密码引擎可操作以使用虚设分组将控制信息插入其中。
多个分组引擎和多个密码引擎可操作以使用公共全局信息实体来确保属于同一业务流的数据分组的全局标识。
全局信息可以指示多协议标签交换MPLS路径。
网络可操作以执行数据流的健康状况监测。监测数据流的健康状况可以包括发送附加的数据分组流。附加的数据分组流可以包括由密码引擎加密的监测分组,和/或保持未加密的查验和跟踪路由消息。
每个密码引擎可分别操作以在没有分组添加的情况下并且通过由密码引擎对所有分组保持相同的延迟来执行诸如加密和/或认证之类的网络安全性功能。
多个分组引擎可分别操作以例如在分组引擎的端口处执行时间戳记。
多个分组引擎可以分别在时间戳记上下文之内操作,并且多个密码引擎可以在分组网络的时间戳记上下文之外操作。通过使用不知道时间戳记协议的密码引擎,能降低复杂性。
密码引擎可以独立于数据分组的时间戳记操作。
密码引擎可以是非时间感知的和非拓扑感知的密码引擎。
分组网络可以是IACS的网络。
分组网络可以是用于高压线路自动化、操纵高速列车或控制空中交通的分组网络。
根据另一实施例,提供有一种如与网络关联地解释的那样操作的PFPM。
用于跨复杂的网状分组网络拓扑传送加密和/或认证数据的方法、装置和系统为定时网络提供了增强的安全性。
本发明的实施例可以用于任务关键分组网络,例如高压线路的自动化,但不限于此。
附图说明
将参考附图中图示的优选示范性实施例更详细地解释本发明的主题,附图中:
图1是根据实施例的包括分组引擎和密码引擎的网络的示意表示。
图2是根据实施例的包括分组引擎和密码引擎的网络的示意表示。
图3是根据实施例的网络的组件的框图。
图4是图示加密操作之前和之后的数据分组的简图。
图5是图示加密和认证操作之前和之后的数据分组的简图。
图6是根据实施例的包括分组引擎和密码引擎的标签交换路由器(LSR)的框图。
图7是根据实施例的包括分组引擎和密码引擎的标签边缘路由器(LER)的框图。
图8是图示可用于确定数据分组或数据分组流是否要被处理的标签堆栈编码的简图。
图9是根据实施例的包括分组引擎和密码引擎的网络的示意表示。
图10是根据实施例的密码引擎的框图。
图11是根据实施例的方法的流程图。
图12是根据实施例的方法的流程图。
具体实施方式
将参照附图描述本发明的示范性实施例,其中相同或类似的参考符号标示相同或类似的元件。虽然将在示范性网络的上下文中描述一些实施例,例如多协议标签交换(MPLS)网络或MPLS-传送子集(MPLS-TP)网络,但是下面详细描述的方法和装置通常可以用于通过网状、复杂分组网络拓扑传送加密和认证的数据。
虽然将描述其中执行端到端加密和/或认证的实施例,但是本文公开的技术也可以用于沿着端到端路径的分段的加密和/或认证。
在本文公开的实施例中,可以建立工作路径和保护路径二者来形成双向保护隧道。如本文所使用的,根据题为“MPLS-TP Rosetta Stone”(2013年12月)的RFC 7087第3.42.1和3.42.2节以及题为“MPLS-TP Survivability Framework”(2011年9月)的RFC6372,术语“工作路径”特别地可以指的是在正常网络操作期间承载业务的路径,并且术语“保护路径”特别地可以指的是当工作路径失效时用于保护和输送业务的路径。根据题为“MPLS-TP Rosetta Stone”(2013年12月)的RFC 7087第3.42.1节,诸如沿工作路径的分组或密码引擎之类的实体是工作实体。根据题为“MPLS-TP Rosetta Stone”(2013年12月)的RFC 7087第3.42.2节,诸如沿保护路径的分组或密码引擎之类的实体是保护实体。
如本文所使用的,术语“分组”指的是分组化的数据结构。本文所使用的术语“分组”可以包括数据帧。分组可以是帧或可以包含数据帧。
如本文所描述的“密码引擎”可以被实现为密码引擎实例。密码引擎的一个硬件实现可以提供多个密码引擎实例,例如每个端口和方向一个实例。然而,密码引擎硬件在任何情况下都可以与相应的分组引擎分离。
除非另有特别指出,否则实施例的特征可以彼此组合。
图1是网络10的示意表示。网络10可以包括定时确定性分组网络。分组网络可以具有多个节点11、21、31。多个节点11、21、31可以分别经由MPLS-TP网络16、17、18以通信方式耦合。多个节点11、21、31可以包括传输路径的端点节点和中间节点(或跳)。对于MPLS-TP网络,端点节点可以是标签边缘路由器(LER),而中间节点可以是标签交换路由器(LSR)。分组网络可以是定时网络,其中时间戳记由节点11、21、31的分组引擎执行。
节点11、21、31可以分别包括分组引擎12、22、32和密码引擎14、24、34,密码引擎14、24、34在物理上与关联的分组引擎12、22、32分离。每个密码引擎14、24、34可以例如经由以太网电缆或经由光缆直接耦合到关联的分组引擎12、22、32。以太网电缆或光缆的相反端可以直接附接到分组引擎12、22、32和密码引擎14、24、34。
如本文所使用的,术语“密码引擎”指的是操作以执行加密/解密和/或认证操作的装置。密码引擎可以可选地具有诸如用于执行加密/解密和/或认证操作的物理随机数生成器之类的专用组件。
将领会的是,每个密码引擎硬件14、24、34可以具有多个密码引擎实例,这些实例可以对应于不同的端口,或者对应于在相应节点处的不同端口和分组流方向。
如本文所使用的,术语“分组引擎”指的是操作以执行分组处置的装置。分组引擎可以包括分组交换机,并且可以将虚设分组插入到数据分组流中。分组引擎是时间感知的,并且可操作以例如在分组引擎的出口端口或入口端口处执行时间戳记。
如本文所使用的,实体被“设置在”两个其他实体之间(例如密码引擎被设置在分组引擎和第一传输节点之间)的陈述描述了沿着数据流路径的布置,即,顺序,分组以所述顺序通过实体。
每个分组引擎12、22、32可以分别具有多个端口13、23、33。每个密码引擎14、24、34可以分别具有多个端口15、25、35。密码引擎14、24、34的入口端口可以分别与关联的分组引擎12、22、32的出口端口连接。密码引擎14、24、34的出口端口可以分别与关联的分组引擎12、22、32的入口端口连接。每个密码引擎14、24、34可以经由未加密的链路耦合到其关联的分组引擎12、22、32。
不同的密码引擎14、24、34可以经由加密路径(例如通过MPLS-TP网络)传送数据业务。
分组引擎12、22、32分别负责分组处置。分组引擎12、22、32可以负责分组转发和/或交换。所有分组处置、过滤和排队都在分组引擎12、22、32中完成。
密码引擎14、24、34执行加密和/或认证操作。将理解到,如本文所使用的术语“加密操作”通常包括与加密传输关联的操作,并且从而可以包括在安全端到端路径的接收端点处的解密。
密码引擎14、24、34可以分别具有诸如用于执行加密/解密和/或认证操作的物理随机数生成器之类的专用硬件。
如将在下面更详细解释,分组引擎12、22、32和密码引擎14、24、34操作以跨复杂的网状分组网络拓扑传送加密和/或认证数据,同时提供端到端或分段加密和/或认证。
分组引擎12、22、32可以由中央控制器(例如分组流路径管理器(PFPM)42)控制。密码引擎14、24、34可以由密码引擎和密钥管理器(CEKM)44控制。为了增强的安全性,可以在单独的服务器上执行PFPM 42和CEKM 44的功能。PFPM 42可以将分组引擎配置成设立MPLS路径。CEKM 44可以使用关于由PFPM 42设立的路径的信息来配置密码引擎。密码引擎14、24、34可以分别确保对于通过网络的路径的端到端或分段加密和/或认证。CEKM 44可以例如经由安全信道通信地耦合到所有密码引擎14、24、34。
由PFPM 42和多个分组引擎12、22、32形成的第一子系统负责例如通过设立流路径的分组处置。由CEKM 44和多个密码引擎14、24、34形成的第二子系统负责网络安全性功能。连接PFPM 42和多个分组引擎12、22、32的第一子系统的第一管理网络可以与连接CEKM 44和多个密码引擎14、24、34的第二子系统的第二管理网络分开。
通过使用网络中的多个密码引擎14、24、34的网络范围的中央协调,能实现端到端或分段隧道有效载荷加密和/或认证。
通过使用被提供为与相应的关联的分组引擎12、22、32分开的装置的密码引擎14、24、34,密码引擎14、24、34与负责时间戳记和交换的装置分开提供。密码引擎14、24、34不需要知道网络的拓扑和/或在其中设立的端到端路径。密码引擎14、24、34不需要知道任何时间戳记协议。可以在硬件级上防止未经授权的入侵。
因为PFPM 42和CEKM 44在单独的服务器上运行,并且使用单独的管理网络,所以能增强安全性。
图2是网络10的框图表示。网络10包括可以在不同服务器上执行的PFPM 42和CEKM44。
分组网络可以使用MPLS-TP作为数据网络技术。分组网络可以包括分别连接到客户端节点51、52的标签边缘路由器(LER)53、54。LER 53、54是加密的端到端隧道的端点。分组网络可以包括标签交换路由器(LSR)55、56、57、58。可以经由LSR 55、56在LER 53、54之间设立工作路径。可以经由LSR 57、58在LER 53、54之间设立不同的保护路径。保护路径可以为数据传输提供冗余,以保护工作路径,如例如在题为“MPLS-TP SurvivabilityFramework”的RFC 6372(2011年9月)和题为“MPLS-TP Rosetta Stone”的RFC 7087(2013年12月)第3.42.1和3.42.2节中所更详细描述的。
作为要保证安全的端到端路径的端点节点的LER 53包括至少一个分组引擎(PE)和至少一个密码引擎(CE)。如所图示的,LER 53可以包括至少两个分组引擎61、62。LER 53可以包括两个密码引擎71、72或多于两个的密码引擎。虽然图2中仅图示了两个密码引擎71、72,但是LER 53可以包括至少四个密码引擎,如将参考图7更详细地解释的。
作为要保证安全的端到端路径的另一个端点节点的LER 54包括至少一个分组引擎(PE)和至少一个密码引擎(CE)。如所图示的,LER 54可以包括至少两个分组引擎63、64。LER 53可以包括两个密码引擎73、74或多于两个的密码引擎。虽然图2中仅图示了两个密码引擎73、74,但是LER 54可以包括至少四个密码引擎(其中至少一些可以是密码引擎实例),如将参考图7更详细解释的。
每个LSR 55、56、57、58可以分别包括至少一个分组引擎和至少一个密码引擎。每个LSR 55、56、57、58可以包括至少两个分组引擎和至少四个密码引擎,如将参考图6更详细解释。
在操作中,PFPM 42可以设立分组网络的端点节点和中间节点的分组引擎。密码引擎不需要知道拓扑。而是,CEKM 44能检测所有密码引擎的硬件标识符,并将硬件标识符提供给PFPM 42。PFPM 42能提供与到CEKM 44的设立路径相关的信息。CEKM 44能在配置密码引擎时使用关于设立路径的信息。
端点节点53中的密码引擎71、72在相应的分组引擎61、62和端点节点53的网络面向的接口之间被放置在端点节点53内部。密码引擎71、72通常可以提供在分组引擎61、62和第一中间节点(称为对于MPLS-TP的第一跳)55、57之间。类似地,端点节点54中的密码引擎73、74在相应的分组引擎63、64和端点节点54的网络面向的接口之间被放置在端点节点54内部。密码引擎73、74通常可以提供在分组引擎63、64和第一中间节点(称为对于MPLS-TP的第一跳)56、58之间。第一中间节点或第一跳分别是沿着工作路径或保护路径最靠近端点节点的节点。
时间戳记由分组引擎61、62、63、64执行。为了说明,连接到密码引擎71、72、73、74的分组引擎61、62、63、64的端口可以根据精确时间协议(PTP)IEEE 15888执行时间戳记。
经由利用附加密码引擎71、72、73、74的中央控制和网络范围的协调,能利用网络安全性功能(端到端业务加密和/或分组认证)来增强定时(利用例如PTP)、受保护和确定性分组网络(如MPLS)。密码引擎71、72、73、74可以是非拓扑感知的和非时间感知的,并且可以位于分组引擎61、62、63、64和下一跳之间的时间戳记上下文之外,因此或者在分组流的端点节点(对于MPSL,例如LER 54)和分组流的第一传输节点(对于MPLS,例如LSR56、58)之间,或者在分组引擎和网络面向的端口之间的端点节点53、54之内。
为了保证分组网络中数据传输的完整性和认证安全,帧数据由密码引擎71、72、73、74加密和/或认证。因此,数据流中分组的主要部分可以由其加密和/或认证的副本替换。加密/认证在密码引擎71、72、73、74中执行,密码引擎与负责分组转发和/或交换的分组引擎61、62、63、64分开。所有分组处置、过滤和排队都可以在分组引擎61、62、63、64中完成,分组引擎还能执行PTP分组的时间戳记,其作为最终结果在每个节点处建立准确的时间/时钟。密码引擎71、72、73、74可以分别连接到中央卡的网络面向的端口,中央卡然后它自己连接到网络。
为了最大化安全性,可以减少网络安全性子系统44、71、72、73、74和分组网络子系统42、61、62、63、64之间的交互。对分组网络子系统42、61、62、63、64可用的有关密码引擎71、72、73、74的唯一信息可以被约束到单元库存信息,例如硬件定义的标识符以及可选的指示异常操作条件的警报。通过PFPM 42跨安全链路(例如跨安全SSH链路)按引擎、隧道和方向,向CEKM 44仅提供MPLS标签、隧道ID和保密简档ID。
在操作中,初始MPLS标签由LER 54设置,LER也可以被称为提供商边缘路由器。这个标记的分组能离开附接到密码引擎73、74的端口,密码引擎充当一个加密端点。随后的跳—从LSR到LSR—转发分组。
中间传输节点(即,LSR 55、56、57、58)的密码引擎由CEKM 44配置,使得当执行端到端加密时,它们不执行由LER 53、54的密码引擎输出的加密数据分组的解密或加密。为了说明,中间跳(即,LSR 55、56、57、58)的密码引擎可以具有标识路径的查找表,对于所述路径要执行加密/解密。中间跳的查找表由CEKM 44配置,使得如果要提供端到端加密,则仅仅通过LSR的MPLS端到端隧道的路径不触发解密或加密。
如下文将更详细解释的,密码引擎可以分别根据可编程的位窗口从数据分组中选择位,以确定数据分组是否要被处理。可编程的位窗口可以由CEKM 42配置。中间跳(即,LSR55、56、57、58)的密码引擎的查找表可以被设置成使得直到到达最后一跳才触发解密或加密。
如果仅对于端到端路径的分段执行加密,则LSR 55、56、57、58也可以被编程,使得解密能在分段的末端执行。
当数据分组已经到达最后一跳,即,LER 53、54中的密码引擎时,对于解密的查找是成功的。分组被解密并发送到LER路由器的分组引擎。为了使密码引擎71、72解密已经属于某个隧道的数据分组,CEKM 44可以将密码引擎71、72配置成具有查找表信息,使得在端点节点53处结束的相应隧道的数据分组被解密。
在中间节点处,即,LSR 55、56、57、58,密码引擎的配置确保有效载荷保持不受触动。将参考图4和图5更详细解释的L2-MAC地址、下一跳MPLS标签、TTL字段和FCS字段是被改变的唯一信息。
受保护的MPLS隧道与其工作路径和保护路径被视为两个加密连接。每个MPLS隧道对,有充当安全隧道的端点的四个密码引擎。标识四个密码引擎并在网络安全性子系统44、71、72、73、74和分组网络子系统42、61、62、63、64之间保持同步。
将参照图3至图12更详细地描述PFPM 42、CEKM 44、分组引擎和密码引擎的操作。
图3是网络的组件的示意框图。
PFPM 42可以是MPLS路径管理器(MPM)。PFPM 42可以由在第二服务器上执行的软件或其他计算机可读指令代码来实现。PFPM 42可以包括拓扑、路径和密码简档管理器45。PFPM 42可以包括操作和维护以及装置监测模块46。
集中式PFPM 42与中间传输点55、56、57、58一起设立数据业务端点53、54。PFPM 42可以被连接用于配置和/或通知,以控制网络中的所有节点。
为了处置分组转发,PFPM 42可以保存用于下列的信息模型
-数据转发和终止参数,如经由附接电路的MPLS标签到VLAN标签的映射、到网络端到端隧道的内部/外部标签设立/映射、服务标识符的类别,以及
-相应的网络拓扑信息,如隧道、伪线、虚拟专用网络。
CEKM 44可以经由安全协议与所有密码引擎通信以用于配置和/或通知。通过PFPM42向CEKM 44提供与数据流拓扑相关的必要信息112,其对于密码引擎的配置是必要的。
CEKM 44可以包括主密钥生成器47、密钥管理器48和路径端点管理器49。CEKM 44可以保存和管理相应的加密端点信息:
-主密钥,所述主密钥要用于生成会话密钥。
-标签信息,所述标签信息用于标识其中必须应用会话密钥的数据分组。
-引擎ID标识其中必须应用上述信息的引擎。
对于正常使用,即,一旦网络已经设立,并且如果没有执行维护或测试,用户就不能访问CEKM 44。能够访问PFPM 42的用户将无法访问来自网络安全性子系统的任何受保护信息,从而提高了解决方案的整体安全性和鲁棒性。
LER可以包括多个分组引擎,例如,用于工作(W)路径117的第一分组引擎63和用于保护(P)路径118的第二分组引擎64。分组引擎63、64可以分别包括连接到关联的密码引擎73、74的端口83、87。端口83、87可操作以执行时间戳记。端口83、87可以是知道根据PTP执行时间戳记的IEEE 1588。
分组引擎63、64可以分别包括分组交换机82、86。分组交换机82、86可操作以执行数据分组流的预成形。预成形可以包括扩大分组间间隙,以确保密码引擎73、74能将数据分组生长到分组间间隙中,并且因此对于所有分组保持相同的延迟,并且通过密码引擎73、74不改变分组顺序。预成形可以包括生成被插入到输出到密码引擎73、74的数据分组流中的虚设分组。虚设分组可以具有空节(empty section),所述空节可以由密码引擎73、74填充有控制信息。这允许由密码引擎73、74传送管理信道信息,而不需要由密码引擎73、74生成附加的分组。
分组引擎的中央处理单元81不仅可以作为虚设分组控制器(DPC)操作,而且可以分别执行附加功能,例如软件配置管理(SCM)、操作和维护(OAM)以及路径控制器。
LER的中央控制器60可以基于从PFPM 42接收的分组引擎(PE)配置信息113分别对于多个分组引擎执行控制和/或管理功能。中央控制器60可以向PFPM 42提供分组引擎(PE)通知114。中央控制器60可以将PE配置信息113运输到CPU 81、85,以用于例如路径控制和/或虚设分组生成。
用于工作路径和保护路径的密码引擎73、74可以分别包括直接连接到分组引擎的端口94、104和网络面向的端口97、107。密码引擎73、74可以分别包括用于加密95、105和/或解密96、106的组件和/或用于认证的组件。密码引擎73、74可以分别包括物理随机数生成器91,其可以是量子随机数生成器(QRNG)。密码引擎73、74可以分别包括密钥存储元件92。密码引擎73、74可以分别包括标识符存储元件93,其存储相应密码引擎的硬件标识符,例如网络中唯一的板ID。
密码引擎73、74可以使用可编程的位窗口,所述可编程的位窗口从数据分组中选择位。这种机制能从业务流中标识数据分组,这些数据分组将由密码引擎处理。密码引擎可以使用查找表并将所选位与查找表中的信息进行比较,以确定是否要处理数据分组。
在网络进入时,具有相同标识符的分组将经由相同密钥和/或过程进行加密/认证,以便属于相同的数据流。在MPLS中,这种数据流被称为双向标签交换路径对。在退出时—基于相同的机制—业务将被解密/标识。一般来说,流标识符能在每一跳改变。在MPLS中,MPLS标签能在每一跳改变。因此,位窗口和窗口内容必须被认为在进入或退出时是不同的。PFPM 42和CEKM 44经由给CEKM 44功能馈送恰当的进入和退出标识符以及可选的辅助信息112来确保这一点。
MPLS分组在分组引擎63处始发。数据分组经由数据链路117发送到密码引擎73。通过观察分组的预定义节并在本地查找表中找到模式,密码引擎73得到对于执行加密和/或认证必要的密钥和辅助信息。如果查找失败,数据分组将保持不受触动。在远程端处,密码引擎(现在处于解密模式)检查分组与其查找表的比较,以得到用于解密数据分组的相应密钥。
在相同引擎处具有相同位向量(例如,相同的板标识符)的数据分组使用相同的密钥加密,并且因而属于相同的数据流。在MPLS中,这种数据流被称为双向标签交换路径,其可属于受保护的隧道。隧道标识符(隧道ID)全局标识MPLS隧道和加密连接。
加密查找的位模式可以包含栈顶标签(路径标识符)和附加位(栈顶TTL值,栈底标签)。这可阻止对于寻址中间跳的OAM分组的匹配。这样,确保了必须不被加密的OAM分组(例如跟踪路由)在中间跳保持不加密。
用于解密查找的位模式可以包含栈顶标签(路径标识符)和附加位(栈顶S位、栈底标签),以区分加密分组与未加密OAM分组,例如跟踪路由。
下面将参考图8更详细地描述用于标签堆栈编码的示例。
CEKM 44和PFPM 42经由安全信道111、112交换信息。该信息可用于在内容和位置中设立位窗口。对于一个受保护的隧道,PFPM 42可以分别为工作路径和保护路径配置进入/加密和退出/解密引擎。对于每个业务方向都必须这样做。如果相同的密码引擎注意两个方向,则两个密码引擎在端点节点中必须配置用于每个双向隧道对。如果为两个方向提供单独的密码引擎,则四个密码引擎在一个端点节点中必须配置用于每个双向隧道对。通知接口111将警报或故障以及库存信息从CEKM 44提供给PFPM 42。
通过经由配置接口112和警报/通知接口111,对于每个密码引擎,将最小配置数据从PFPM 42发送到CEKM 44,在PFPM 42和CEKM 44处的两个信息模型保持一致。在PFPM 42执行MPLS路径管理的情况下,利用对于端点节点和/或中间传输节点的所有必要信息来准备MPLS隧道。这可能由最终用户在指定端点时触发。只有在已经接收到CEKM 44的肯定确认后,PFPM 42才在分组引擎中应用该路径。
为了在附接的密码引擎中设立一致的操作,PFPM 42可以经由实施以下步骤来控制设立加密的端到端路径的流程:
-当用户在PFPM中设立受保护的隧道时,经由选择端点并指定加密简档和中间跳约束,系统集中地自动路由最初模拟的工作和保护路径。由此,标识端点。
-对于受保护的隧道,PFPM 42提供对于配置用于工作路径和保护路径的进入/加密和退出/解密引擎所需的信息。对于每个业务方向都必须这样做。可以在每个端点节点中配置四个引擎,两个方向中的每一个配置两次。即使数据流在MPLS-TP隧道之内加密,但未加密的外部标签在每一跳也改变。隧道ID一方面能被PFPM 42和分组引擎用作隧道的全局标识符,并且另一方面能被CEKM 44和密码引擎用作隧道的全局标识符。
可以执行如下步骤:
о步骤A:为了对于受保护隧道的一条路径配置所有密码引擎,在PFPM 42和CEKM44之间交换以下元组(tupel):全局引擎地址(即,密码引擎的硬件定义的标识符);隧道ID;MPLS标签;方向;和简档ID。简档ID可以标识一组辅助信息,如应该保持不被触动的业务类型
оо步骤B:当已经验证密码引擎的配置的成功应用时,可以将预成形参数配置应用于分组引擎,以确保分组流的恰当定时和排序.
о步骤C:在已经从CEKM 44接收到成功应用上述配置的肯定确认之后,PFPM 42将该配置应用于分组引擎,以便由此设立路径;如果没有接收到肯定确认,则可以回滚(rollback)PFPM 42中的模拟,并且不应用该配置。
-记下(take down)路径涉及相同确认,其中现在该路径将按从步骤C到步骤A的相反顺序记下。
由于数据流是在端到端上下文之内(在称为隧道的MPLS-TP中)加密的,因此标签在每一跳都改变。特殊的全局信息实体被用于连接于此的PFPM和分组引擎,以及与CEKM和相应的密码引擎的端到端或分段加密或网络安全连接。在MPLS中,由安全域和操作/用户域都可以使用的全局信息实体可以标识隧道。这确保了跨跳的全局标识,意味着跨加密或网络安全性拓扑和MPLS拓扑。
PFPM 42可以利用它们的标签交换路径保存关于数据服务、伪线和隧道的信息。通过增加和减少MPLS服务,网络信息模型中的项目可以被改变,并且必须与分组引擎和密码引擎保持一致。网络信息模型能直接经由数据链路113与分组引擎保持一致。网络信息模型能经由CEKM 44与相应的密码引擎保持一致。
为了说明,CEKM 44将确保在两端上对于标识的MPLS双向隧道使用恰当的密钥以用于加密/解密。CEKM 44可以经由硬件定义的板ID发现所有引擎。这是关于对PFPM 42和CEKM 44都可用的密码引擎的唯一信息。板ID或另一个硬件定义的标识符跨网络是唯一的,并且标识网络范围的各个密码引擎。在端到端双向隧道设立期间建立的隧道ID充当用于网络安全性子系统(CEKM和密码引擎)和分组流子系统(PFPM和分组引擎)的端到端连接的标识符。通过向CEKM 44提供全局引擎地址(板-ID)和隧道-ID、每个方向的MPLS标签,PFPM 42可以操纵加密,而没有干扰,并且除了可能的硬件定义的标识符之外,无需具有关于密码引擎的任何知识。与选择一组预定义引擎参数中的一个的简档ID一起,交换板ID、隧道ID、MPLS标签和方向完全确定了网络安全性子系统(即,CEKM和密码引擎)的行为。
在CEKM 44已经经由接口112从路径管理功能接收到拓扑信息之后,密钥分发和其他必要的配置信息115可以由CEKM 44向下提供给用于工作路径或保护路径的相应密码引擎73、74。
这允许对MPLS-TP和密码引擎操作进行一致处置。CEKM和PFPM分别以集中式方式操作,而密码引擎的管理与分组引擎的管理解耦。
鉴于高可用性需求,可以提供两个密码引擎73、74,其中第一密码引擎73用于工作路径,而第二密码引擎74用于受保护隧道对的保护路径。两个接口可以连接到相应的中心卡,并且两个接口可以连接到网络的聚合层。经由专用逻辑链路115、116,密码引擎73、74连接到CEKM 44,潜在地与PFPM 42并排。此外,每个引擎的前端接口可用于初始启动(bringup)。
分组在密码引擎73、74处就在已经离开分组引擎63、64之后被加密,或者在密码引擎73、74处就在进入分组引擎63、64之前被解密。可以经由如AES、DES或三重DES的标准化的加密/解密协议或者像Blowfish、Twofish、MARS、RC6、Rijndael和Serpent的开放协议执行加密和解密。基于散列的消息认证使用标准化协议或开源计数器部分完成,标准化协议使用散列函数,如MD5、SHA-1、SHA-2、SHA-3。
为了实现线速加密的数据路径,例如,不扰动入局分组的定时或排序的线速密码引擎73、74可以为每个个体数据分组提供AES 128/256位加密和解密。
为了执行分组加密/解密,密钥可以由CEKM 44经由接口115向下分发给密码引擎73、74。关于库存、警报和故障的通知可以经由接口116从密码引擎到CEKM 44完成。
CEKM 44可以维护被管理的密码引擎的列表。CEKM 44可以以可配置的间隔调度主密钥的更新。主密钥可以由CEKM 44生成。
由CEKM 44生成密钥和/或分发密钥可以使用常规机制来执行。
密码引擎活动、警报和通知可以由CEKM 44收集,并且可以被转发到PFPM 42。
由用于工作路径或保护路径的密码引擎的WAN面向的线路接口检测到的光学数据连接的故障可以被传播到相应的节点面向的接口94、104。这将业务丢失信息传播到分组引擎63、64的接口83、87。当接收到链路丢失信号时,分组引擎63、64可以触发业务切换。
信号丢失可以由实现WAN面向的线路接口的小型可插拔(SFP)装置检测到,并且可以经由物理输入信号发信号通知给密码引擎73、74。然后可以标识朝向分组引擎63、64的匹配路径117、118,并且可以指示对应的SPF装置经由专用物理信号关闭传输信号。
为了监测数据流的健康状况,可以发送附加的分组流。附加的分组流可以与数据业务并排发送。可以使用以下两个选项:
-端到端监测分组像其他有效负载一样加密,因此它们共享相同的命运。特别地,被加密的这种监测分组可以像规则数据分组一样被处理.
-另一方面,查验和跟踪路由消息可指示在中间跳处的问题,因此它们保持未加密。
如上所述,两个上面提到的选项能由密码引擎利用恰当配置的位窗口机制来标识。在MPLS的情况下,能标识伪线ID,并且能读取“生存时间”(TTL)字节。该TTL字节的预定义值或范围可用于区分两种使用选项,即,要加密/解密的端到端监测分组和保持未加密的查验和跟踪路由消息。
在MPLS-TP中,可以以规则间隔发送附加的OAM/双向转发检测(BFD)监测分组流,以进行连续性检查。这些分组像其他有效负载一样加密,因此它们共享相同的命运。其他OAM分组(如查验和跟踪路由消息)充当用于中间节点故障的检测机制,并且保持未加密,以允许中间点发信号通知它们的可用性。
如上所述,OAM消息由密码引擎73、74利用恰当配置的位窗口机制来标识。位窗口机制可以寻找标签13(栈底标签)。经由设置特定的TTL值或范围,能区分“连续性检查”的模式和/或“调试模式”,并且密码引擎相应地知道OAM分组是否要加密。
密码引擎73、74可以是非拓扑感知的和非时间感知的。密码引擎73、74不需要具有正在设立的路径的任何知识。密码引擎73、74不需要具有时间戳记信息和/或任何时间戳记协议的任何知识。为了确保分组排序和相对定时不受由密码引擎73、74执行的(一个或多个)网络安全性功能的影响,业务可以在它离开分组引擎63、64并进入密码引擎73、74之前被预成形。由此,有可能确保,与分组进入密码引擎之前的位置相比,分组在数据流中的位置不受扰动。这确保在端口83、87处的分组的时间戳记在通过密码引擎73、74时仍然有效。
当密码引擎73、74执行加密时,向每个数据分组添加序列号,将长度例如增加了8字节,如将参考图4所解释的。当密码引擎73、74执行认证时,添加了用于消息认证码的附加16字节,如将参考图5所解释的。为了确保分组流中没有改变,分组引擎63、64保持分组间间隙中的字节数足够大。这补偿了当由密码引擎73、74将向分组添加字节时所需的分组长度的增加。预成形可以由分组引擎63、64执行,由此消除了分组的顺序和相对定时被密码引擎73、74改变的风险,所述密码引擎73、74是非时间感知的,并且其被放置在网络的时间戳记上下文之外。
图4和图5图示了密码引擎73、74当对从分组引擎63、64接收的数据分组120执行加密和/或认证操作时的操作。分组引擎63、64已经将分组间间隙129扩大到例如36字节的值。数据分组120可以是未加密的MPSL数据分组。数据分组120可以包括前导码和起始帧定界符(SFD)121。数据分组120可以包括目的地地址媒体访问控制(MAC)地址122。数据分组120可以包括源地址媒体访问控制(MAC)地址123。数据分组120可以包括MPLS标签交换路径(MPLSLSP)124。数据分组120可以包括MPLS伪线(MPLS PW)125。数据分组120包括未加密的伪线有效载荷126。数据分组120可以包括帧检查序列(FCS)127。
图4图示了加密数据分组130,其起因于密码引擎73、74当应用于数据分组120时的加密操作。加密代码131可以被添加包含在加密数据分组130中。加密数据分组130包括加密的有效载荷132,加密的有效载荷132可以从MPLS PW 125和PW有效载荷126生成。加密的有效载荷132可以定义加密的服务数据。
加密使得加密数据分组130的大小超过其未加密的副本120的大小。然而,分组间间隙129由分组引擎63、64扩大,使得与未加密数据分组120相比,加密数据分组130的大小的增加不超过扩大的分组间间隙129。密码引擎63、64将数据分组生长到扩大的分组间间隙129中,但不超过扩大的分组间间隙129。在连续加密数据分组之间可以保持有限的分组间间隙138。为了说明,当加密代码131具有8个字节时,分组间间隙138可以具有28个字节。
图5图示了具有认证的加密数据分组135,该认证起因于密码引擎73、74在应用于数据分组120时的加密操作和认证操作。认证代码133可以被包含在加密数据分组135中。加密的有效载荷132和认证代码133可以定义加密的服务数据。
加密和认证使得具有认证的加密数据分组135的大小超过其未加密的副本120的大小。然而,分组间间隙129由分组引擎63、64扩大,使得与未加密数据分组120相比,具有认证的加密数据分组135的大小的增加不超过扩大的分组间间隙129。密码引擎63、64将数据分组生长到扩大的分组间间隙129中,但不超过扩大的分组间间隙129。在具有认证的连续加密数据分组之间可以保持有限的分组间间隙139。为了说明,当认证代码133具有16个字节时,分组间间隙139可以具有12个字节。
除了增加分组间间隙大小之外,分组引擎63、64可以生成虚设分组,并且可以将虚设分组插入到提供给密码引擎73、74的数据分组流中。密码引擎73、74可以使用虚设分组将控制信息插入其中。这消除了对于密码引擎73、74生成新分组并将其插入到业务中的需要。而是,由分组引擎63生成的现有虚设分组可以由密码引擎73、74填充有控制信息,如将参考图10所解释的。
图10是密码引擎73的框图表示。关联的分组引擎可以生成虚设分组241,以便插入到数据流中。虚设分组241可以被生成,使得它们不包括有效载荷数据,而仅仅提供包括在由密码引擎73接收的预成形数据业务中的分组,密码引擎73能使用这些分组将控制数据插入其中,例如用于加密密钥交换。分组引擎63将虚设分组241插入到数据流(即,包括有效载荷数据的数据分组序列)中。虚设分组214可以是SCC分组。
流中的虚设分组241的至少一部分可以被填充并由密码引擎73用于管理信道传输。
密码引擎73可以包括装置242,所述装置242用来在密码引擎73需要生成用于诸如加密密钥交换之类的管理信道传输的控制分组时,向控制器243或其他集成半导体电路提供虚设分组241。装置242可以从入局的预成形数据业务中选择虚设分组。为此,密码引擎73可以扫描每个分组报头,并且将虚设分组与包括有效载荷数据的规则数据业务区分开来。
可以通过密码引擎73从预成形数据业务中移除对于管理信道传输不需要的虚设分组241。
控制器243可以利用管理信道相关控制数据(特别地与加密和/或认证相关的控制数据)填充虚设分组241中的至少一部分。例如,控制器63可以使用虚设分组241中的至少一些进行加密密钥交换。通过利用安全性相关管理信道控制数据填充虚设分组241中的至少一部分,生成控制分组244。装置242可以将控制分组244在虚设分组241的位置处重新插入到预成形数据业务中。
图6是LSR 160的框图,其示出了传输业务。网络10的多个LSR 55、56、57、58中的每一个都可以具有如参考图6所解释的配置。对于LSR情况,数据分组可以在LSP路径中传输四个密码引擎实例。
LSR 140可以包括第一分组引擎141和第二分组引擎142。当LSR 140是MPLS路径的中间跳时,第一分组引擎141和第二分组引擎142都可以被使用。然而,分组交换机(其通常如对于图3中的分组交换机82、86所解释的那样配置和操作)可以处于待机操作,并且可以仅充当端口转发器。
LSR 140可以包括多个密码引擎162、164、165、166。
第一分组引擎141可以具有端口A151和端口B 152。第二分组引擎142可以具有端口A 153和端口B 154。密码引擎143可以具有端口A 155和端口B 156。密码引擎146可以具有端口A 157和端口B 158。
在密码引擎146的端口A 157处接收到的来自接口109的业务可以经由密码引擎146的端口B 158流过密码引擎146到达第二分组引擎142的端口B 154。第二分组引擎142可以具有仅向第一分组引擎141转发数据分组的分组交换机。第一分组引擎141可以经由端口A151向第一密码引擎143的端口A155输出数据业务。业务流可以经由密码引擎143的端口B156输出到接口108。
应当领会,一个节点能工作在混合LER和LSR模式下。因此,在LSR的分组引擎141、142和密码引擎143、144、145、146与LER的分组引擎和密码引擎之间存在一对一的对应关系。从而,例如,当节点在LER模式下操作时,密码引擎144、145可以针对与密码引擎143、146相比的反向流向执行加密/解密和/或认证操作。
当节点在LSR模式下操作时,密码引擎143、146可以使用位窗口机制来确定加密的数据分组是否要被解密。对于加密的端到端路径,LSR 140被设立,使得密码引擎143、146不在双向数据路径的中间跳处解密加密的数据分组。用于解密查找的位模式可以包含栈顶标签(路径标识符)和附加位(栈顶S位、栈底标签),它们用来区分加密分组与未加密OAM分组,例如跟踪路由。像查验和跟踪路由消息的OAM分组可以充当用于中间节点故障的检测机制,并且保持未加密,如由适当配置的位窗口所指示的。
图7是LER 160的框图。网络10的多个路由器53、54中的每一个可以具有如参考图7所解释的配置。MPLS业务和加密会话都可以在LER 160处开始。
LER 160可以包括用于工作(w)路径的第一分组引擎(PE)161和用于保护(P)路径的第二分组引擎162。在第一分组引擎161中为工作路径提供隧道开始181。在图7中由虚线指示的保护流182可以在第一分组引擎161处开始。
LER 160可以包括多个密码引擎163、164、165、166。
LER 160可以包括线路卡168。线路卡168可以具有端口169。
第一分组引擎161可以具有端口A171和端口B 172。第二分组引擎162可以具有端口A173和端口B 174。密码引擎163可以具有端口A175和端口B 176。密码引擎166可以具有端口A 177和端口B 178。密码引擎163和166对双向隧道对执行针对第一方向的加密和/或认证。可以连接到与密码引擎163相同的第一分组引擎161的相应关联的密码引擎164和可以连接到与密码引擎166相同的第二分组引擎162的密码引擎165可以对双向隧道对执行针对与第一方向相反的第二方向的解密和/或认证。
来自线路卡168的业务可以由第一分组引擎161经由端口A 171提供给密码引擎163的端口A 175。密码引擎163可以执行加密和/或认证。每个数据分组的重要部分由其加密的副本替换。加密业务经由密码引擎163的端口B 176输出到接口108。
保护路径可以延伸通过第二分组引擎162。业务可以经由分组引擎162的端口B174输出到密码引擎166的端口B 178。密码引擎166可以执行加密和/或认证。保护路径的业务可以经由密码引擎166的端口B输出到接口109。
密码引擎163、166可以使用位窗口机制来确定哪些数据分组将被加密。用于加密查找的位模式可以包含栈顶标签(路径标识符)和附加位(栈顶TTL值,栈底标签)。
密码引擎164、165可以使用位窗口机制来确定哪些数据分组将被解密。用于解密查找的位模式可以包含栈顶标签(路径标识符)和附加位(栈顶S位、栈底标签),它们区分加密分组与未加密OAM分组,例如跟踪路由。
图8图示了表示例如根据RFC 3032的标签堆栈编码的数据190。示范性数据包括标签值、栈底位和生存时间(TTL)。密码引擎可以使用可编程的位窗口来配置,以确定数据分组是否将由相应的密码引擎处理,或者数据分组是否将保持不被触动。为了说明,用于加密查找的位模式可以包含栈顶标签(路径标识符)和附加位(栈顶TTL值,栈底标签)。用于解密查找的位模式可以包含栈顶标签(路径标识符)和附加位(栈顶S位、栈底标签),它们用来区分加密分组与未加密OAM分组,例如跟踪路由。
利用位窗口机制,能通过密码引擎标识执行业务健康状况监测的不同选项。为了说明,能标识伪线ID,并且能读取“生存时间”(TTL)字节。该TTL字节的预定义值或范围可用于区分要加密/解密的端到端监测分组和保持未加密的查验和跟踪路由消息,它们分别用于业务健康状况监测。
图9是图示用于网络10的管理功能的层级的框图。PFPM 42控制分组流。CEKM 44控制加密路径(即,网络安全路径的端点节点和中间节点处的密码引擎)并提供相应的密钥。网络10可以包括多个LER 201、202、203、204,各包括分组引擎211、212、213、214和密码引擎221、222、223、224。虽然在图9中仅图示了一个分组引擎和一个密码引擎,但是应当领会,如前所解释的,每个LER可以包括多个分组引擎和多个密码引擎。为了说明,每个LER 201、202、203、204可以分别包括用于工作路径和保护路径的两个分组引擎,以及用于工作路径和保护路径的两个方向的四个密码引擎。
CEKM 44可以从密码引擎接收硬件定义的标识符233。例如,硬件定义的标识符233可以是板标识符。每个密码引擎可以具有在网络中唯一的硬件定义的标识符。硬件定义的标识符可以经由接口232提供给PFPM 42。
可以执行如下控制步骤:
步骤A:CEKM 44和PFPM 42可以分别对于每个路径交换以下元组231、232:
i.硬件定义的标识符(即,全局引擎地址)
ii.隧道ID,
iii.MPLS标签,
iv.方向,
v.简档ID。
简档ID可以标识一组辅助信息,如应该保持不被触动的业务类型。
步骤B:当已经验证了密码引擎配置的成功应用时,PFPM应用预成形参数配置234以确保分组流的恰当定时和排序。预成形参数配置234可以被提供给分组引擎的虚设分组控制器215、216。
步骤C:在已经接收到预成形参数配置已经成功应用的肯定确认之后,PFPM 42将路径配置235应用于分组引擎。如果预成形参数配置尚未成功,则PFPM 42中的模拟可以回滚,并且该配置可以不被应用。
记下路径涉及相同的确认。该路径按从步骤C到步骤A的相反顺序被记下。
图11是根据实施例的方法250的流程图。
在步骤251处,可以使用中央CEKM来控制与相应分组引擎分开提供的多个密码引擎。控制多个密码引擎可以包括向密码引擎提供用于加密的密钥。控制多个密码引擎可以包括由CEKM依靠由PFPM设立的路径配置可编程的位窗口。
在步骤252处,与分组引擎分开提供的密码引擎可以执行至少一个网络安全性相关功能。网络安全性相关功能可以包括加密/解密。网络安全性相关功能可以包括认证。
图12是根据实施例的方法260的流程图。根据实施例,方法260可以由CEKM执行。
在步骤261处,CEKM可以向PFPM提供密码引擎的硬件标识符。CEKM可以不向PFPM提供除此该库存信息之外的关于网络安全性系统的信息。
在步骤262处,CEKM可以从PFPM接收关于路径的信息或拓扑信息。例如,关于路径的信息可以包括隧道ID、MPLS标签或标签堆栈以及方向。
在步骤263处,CEKM可以经由安全协议与所有密码引擎通信以用于配置密码引擎。配置密码引擎可以包括对由密码引擎使用的可编程的位窗口进行编程,以便确定数据分组是否要经受网络安全性功能。
在步骤264处,CEKM可以在网络操作期间从密码引擎接收通知。CEKM可以向PFPM提供警报。
根据实施例的方法、装置和系统提供了安全通信和线状确定性,即使在通过复杂网状网络传输时也是如此。
虽然已经参考附图解释了示范性实施例,但是在其他实施例中可以实现修改和变更。所述方法、装置和系统可以用于MPLS网络,而不限于此。
根据实施例的方法、装置和系统可以用于确定性地跨复杂和网状网络拓扑传输加密和认证的数据分组。对于这些诸如MPLS-TP网络之类的网络,提供了受保护的端到端隧道与它们相应的网络安全冗余数据链路端点(即,密码引擎)的一致关联。出于安全性原因,这两个子系统保持强分离,但仍然可以同步。动态协议可用于支持严格受限的信息交换。这使两个冗余系统在网络操作的所有标准和异常状态期间都彼此保持一致。
虽然将描述其中执行端到端加密和/或认证的实施例,但是本文公开的技术也可以用于沿着端到端路径的分段的加密和/或认证。
所述方法、装置和系统不需要分组添加,并且允许在加密步骤期间对于所有分组保持相同的延迟。密码引擎对于向流添加数据分组的潜在需求通过由与密码引擎分开的分组引擎添加虚设分组来规避。当需要时,能在分组引擎中扩大分组间间隙,以便避免最终来自于密码引擎控制分组交换需求的任何扰动。
本发明的实施例增强了像MPLS这样的协议,以便实现网络安全。
如本领域技术人员将理解的,本文公开的实施例是为了更好地理解而提供的,并且仅仅是示范性的。在不脱离如由权利要求书所限定的本发明范围的情况下,技术人员将会想到各种修改和变更。
Claims (27)
1.一种提供通过分组网络中的端到端数据路径的安全通信的方法,其中所述分组网络是包括执行分组处置的多个分组引擎(12,22,32;61-64;141,142;161,162;211-214)的定时确定性分组网络,所述方法包括:
由多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)执行至少一个网络安全功能,其中所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)中的每个密码引擎分别与所述多个分组引擎(12,22,32;61-64;141,142;161,162;211-214)中的相应分组引擎关联,并与所述相应分组引擎分开地提供,
其中所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)中的至少一些被分别提供在:
与所述分组网络的端点节点关联的相应分组引擎(12,22,32;61-64;141,142;161,162;211-214)和所述端点节点的网络面向的端口之间,或者
与所述端点节点关联的所述相应分组引擎(12,22,32;61-64;141,142;161,162;211-214)和连接到所述端点节点的第一传输节点(55-58)之间;并且
由密码引擎和密钥管理器CEKM(44)集中控制所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)。
2.如权利要求1所述的方法,还包括:
由集中式分组流路径管理器PFPM(42)设立所述分组网络的所述端到端数据路径的端点节点(140;53,54)和中间传输节点(160;55-58)。
3.如权利要求2所述的方法,还包括
由所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)中的密码引擎,使用位窗口从数据分组中选择位,所述位窗口是可编程的,其中根据可编程的位窗口选择的所述位来标识将由所述密码引擎处理的数据分组,其中在所述CEKM(44)和所述PFPM(42)之间交换的信息被用于配置所述位窗口。
4.如权利要求3所述的方法,其中所述位窗口在端到端数据路径的进入节点和退出节点处不同。
5.如权利要求2-4中的任一项所述的方法,其中所述PFPM(42)通信地连接到所述分组网络的所有端点节点(140;53,54)和中间传输节点(160;55-58)。
6.如权利要求2-4中的任一项所述的方法,
其中所述CEKM(44)在第一服务器上被执行,而所述PFPM(42)在不同于所述第一服务器的第二服务器上被执行。
7.如权利要求2-4中的任一项所述的方法,还包括:
约束由所述CEKM(44)向所述PFPM(42)提供的信息。
8.如权利要求6所述的方法,还包括:
由所述CEKM(44)发现所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)的硬件定义的标识符,以及
由所述CEKM(44)向所述PFPM(42)提供所述硬件定义的标识符,
其中所述CEKM(44)仅向所述PFPM(42)提供所述硬件定义的标识符和警报。
9.如权利要求2-4中的任一项所述的方法,
其中所述CEKM(44)从所述PFPM(42)接收与端到端数据路径的数据流拓扑相关的信息,以用于配置所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224),可选地,其中与所述数据流拓扑结构相关的所述信息包括隧道标识符、MPLS标签和方向。
10.如权利要求2-4中的任一项所述的方法,
其中所述CEKM(44)和所述PFPM(42)经由安全信道进行通信。
11.如权利要求2-4中的任一项所述的方法,
其中所述CEKM(44)通信地连接到所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)中的每一个,并经由用于配置所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)和/或用于通知的安全协议与所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)中的每一个进行通信。
12.如权利要求2-4中的任一项所述的方法,还包括:
由分组引擎(12,22,32;61-64;141,142;161,162;211-214)对进入密码引擎的数据分组进行预成形,以确保所述数据分组在通过所述密码引擎时在业务流中的位置保持不变,其中所述数据分组被预成形,使得当所述数据分组离开所述密码引擎时,进入所述密码引擎的所述数据分组的时间戳记信息仍然有效。
13.如权利要求12所述的方法,其中所述预成形包括在数据分组流进入所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)之前,由所述分组引擎(12,22,32;61-64;141,142;161,162;211-214)扩大分组间间隙。
14.如权利要求2-4中的任一项所述的方法,
其中所述多个分组引擎(12,22,32;61-64;141,142;161,162;211-214)和所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)使用公共全局信息身份来确保属于同一业务流的数据分组的全局标识,可选地,其中所述全局信息身份指示多协议标签交换MPLS隧道。
15.如权利要求2-4中的任一项所述的方法,
其中数据分组由密码引擎(14,24,34;71-74;163-166;221,224)紧接在离开关联的分组引擎(12,22,32;61-64;161,162;201、204)之后加密,或者其中数据分组由所述密码引擎紧接在进入关联的分组引擎(12、22、32;61-64;161,162;201,204)之前解密。
16.如权利要求2-4中的任一项所述的方法,
其中所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)执行消息认证。
17.如权利要求2-4中的任一项所述的方法,还包括:
由密码引擎(14,24,34;71-74;143-146;163-166;221-224)向所述关联的分组引擎的接口传播业务丢失信息以触发业务切换,其中传播所述业务丢失信息通过由广域网WAN面向的线路接口检测到的光学数据连接的故障触发。
18.如权利要求2-4中的任一项所述的方法,进一步包括:
监测数据流的健康状况,包括发送数据分组的附加流,其中所述数据分组的所述附加流包括:
由所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)加密的端到端监测分组;和/或
保持未加密的查验和跟踪路由消息。
19.如权利要求2-4中的任一项所述的方法,
其中所述分组引擎(12,22,32;61-64;141,142;161,162;211-214)执行时间戳记,并且所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)是不知道时间的且不知道拓扑的。
20.如权利要求2-4中的任一项所述的方法,
其中所述分组网络是用于高压线路自动化的分组网络。
21.一种密码引擎和密钥管理器CEKM(44),所述密码引擎和密钥管理器CEKM(44)用于使通过具有执行分组处置的分组引擎(12,22,32;61-64;141,142;161,162;211-214)的定时确定性分组网络中的端到端数据路径的通信安全,所述分组网络包括配置所述分组网络的业务流节点的分组流路径管理器PFPM,所述CEKM(44)包括:
第一接口,所述第一接口操作以从所述PFPM(42)接收关于端到端数据路径的数据流拓扑的信息;
第二接口,所述第二接口操作以向多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)提供配置信息,所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)中的每个与相应的分组引擎关联并与之分开地提供,所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)被配置成执行至少一个网络安全功能;以及
至少一个处理器,所述至少一个处理器操作以基于所述数据流拓扑生成所述配置信息。
22.如权利要求21所述的密码引擎和密钥管理器CEKM(44),所述CEKM(44)操作以便通过所述第一接口与所述PFPM(42)交换信息,以便设立标识要由密码引擎(14,24,34;71-74;143-146;163-166;221-224)处理的数据分组的位窗口。
23.如权利要求21或22所述的密码引擎和密钥管理器CEKM(44),
其中所述CEKM(44)操作以发现所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)的硬件定义的标识符,并且仅向所述PFPM(42)提供所述硬件定义的标识符和警报。
24.一种密码引擎,包括:
第一接口,所述第一接口操作以能直接连接到执行用于定时的确定性分组网络的分组处置的分组引擎(12,22,32;61-64;141,142;161,162;211-214);
第二接口,所述第二接口操作以能连接到端点节点的网络面向的端口或连接到所述端点节点的第一传输节点;以及
第三接口,所述第三接口操作以从密码引擎和密钥管理器CEKM(44)接收配置信息,
其中所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)操作以基于从所述CEKM(44)接收的所述配置信息对通过所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)的业务流的数据分组执行网络安全功能。
25.如权利要求24所述的密码引擎,
其中所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)操作以便使用位窗口从数据分组中选择位,所述位窗口是可编程的,其中根据可编程的位窗口选择的所述位来标识将由所述密码引擎处理的数据分组。
26.如权利要求24或25所述的密码引擎,
其中所述密码引擎(14,24,34;71-74;143-146;163-166;221-224)操作以执行所述安全功能,无需具有关于所述端到端路径的拓扑的信息,并且无需使用所述数据分组的时间戳记信息,对于所述端到端路径,执行所述安全功能。
27.一种端到端分组流网络,包括:
多个分组引擎(12,22,32;61-64;141,142;161,162;211-214),所述多个分组引擎(12,22,32;61-64;141,142;161,162;211-214)操作以执行定时确定性分组网络中的分组处置;
分组流路径管理器PFPM(42),所述分组流路径管理器PFPM(42)操作以向所述分组网络的业务流节点提供配置信息;
如权利要求21或22所述的多个密码引擎(14,24,34;71-74;143-146;163-166;221-224),所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)中的每一个操作以从关联的分组引擎(12,22,32;61-64;141,142;161,162;211-214)接收业务流的数据分组,或者向所述关联的分组引擎(12,22,32;61-64;141,142;161,162;211-214)提供所述业务流的数据分组;以及
如权利要求24或25所述的密码引擎和密钥管理器CEKM(44),所述密码引擎和密钥管理器CEKM(44)耦合到所述PFPM(42)和所述多个密码引擎(14,24,34;71-74;143-146;163-166;221-224)。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762468845P | 2017-03-08 | 2017-03-08 | |
| US201762468808P | 2017-03-08 | 2017-03-08 | |
| US62/468808 | 2017-03-08 | ||
| US62/468845 | 2017-03-08 | ||
| US201762610164P | 2017-12-23 | 2017-12-23 | |
| US62/610164 | 2017-12-23 | ||
| PCT/EP2018/055628 WO2018162565A1 (en) | 2017-03-08 | 2018-03-07 | Methods and devices for providing cyber security for time aware end-to-end packet flow networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110383280A CN110383280A (zh) | 2019-10-25 |
| CN110383280B true CN110383280B (zh) | 2023-08-29 |
Family
ID=61617010
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880016590.3A Active CN110352586B (zh) | 2017-03-08 | 2018-03-07 | 用于保留网络中的数据分组的相对定时和排序的方法和装置 |
| CN201880016613.0A Active CN110383280B (zh) | 2017-03-08 | 2018-03-07 | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880016590.3A Active CN110352586B (zh) | 2017-03-08 | 2018-03-07 | 用于保留网络中的数据分组的相对定时和排序的方法和装置 |
Country Status (9)
| Country | Link |
|---|---|
| US (2) | US11115398B2 (zh) |
| EP (3) | EP3593271A1 (zh) |
| JP (2) | JP7078633B2 (zh) |
| KR (2) | KR102537654B1 (zh) |
| CN (2) | CN110352586B (zh) |
| AU (2) | AU2018231406B2 (zh) |
| FI (1) | FI3883209T3 (zh) |
| IL (2) | IL269035B (zh) |
| WO (2) | WO2018162564A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110352586B (zh) * | 2017-03-08 | 2021-12-07 | 日立能源瑞士股份公司 | 用于保留网络中的数据分组的相对定时和排序的方法和装置 |
| US10805210B1 (en) * | 2019-09-20 | 2020-10-13 | Juniper Networks, Inc. | GRE tunneling with reduced packet encryption at intermediate routers using loose source routing |
| US11108689B1 (en) * | 2020-02-07 | 2021-08-31 | Ciena Corporation | Incorporating a generic associated channel (G-ACh) header and channel-type for connectivity fault management (CFM) packets over multi-protocol label switching (MPLS) |
| CN115242415A (zh) * | 2021-04-23 | 2022-10-25 | 伊姆西Ip控股有限责任公司 | 边缘交换机处实现的数据加密方法、电子设备和程序产品 |
| US20230362137A1 (en) * | 2022-05-09 | 2023-11-09 | Juniper Networks, Inc. | Utilizing a removable quantum random number generator for a network device |
| US11882029B2 (en) * | 2022-05-13 | 2024-01-23 | Juniper Networks, Inc. | Securing multiprotocol label switching (MPLS) payloads |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226290B1 (en) * | 1998-04-28 | 2001-05-01 | Nortel Networks Limited | Method and apparatus for adjusting an interpacket gap using a network device in a data communications network |
| WO2010045672A1 (en) * | 2008-10-20 | 2010-04-29 | Alcatel Lucent | Network security method and apparatus |
| CN102549998A (zh) * | 2009-02-25 | 2012-07-04 | 思科技术公司 | 密码引擎的聚集 |
| CN104170312A (zh) * | 2011-12-15 | 2014-11-26 | 英特尔公司 | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 |
| US9317718B1 (en) * | 2013-03-29 | 2016-04-19 | Secturion Systems, Inc. | Security device with programmable systolic-matrix cryptographic module and programmable input/output interface |
Family Cites Families (66)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4914697A (en) * | 1988-02-01 | 1990-04-03 | Motorola, Inc. | Cryptographic method and apparatus with electronically redefinable algorithm |
| US6708273B1 (en) * | 1997-09-16 | 2004-03-16 | Safenet, Inc. | Apparatus and method for implementing IPSEC transforms within an integrated circuit |
| US6272117B1 (en) * | 1998-02-20 | 2001-08-07 | Gwcom, Inc. | Digital sensing multi access protocol |
| JP2001057582A (ja) * | 1999-08-18 | 2001-02-27 | Alpine Electronics Inc | データ通信方式 |
| US20030156715A1 (en) * | 2001-06-12 | 2003-08-21 | Reeds James Alexander | Apparatus, system and method for validating integrity of transmitted data |
| EP1421494A1 (en) * | 2001-08-31 | 2004-05-26 | Adaptec, Inc. | Systems and methods for implementing host-based security in a computer network |
| US20030110302A1 (en) * | 2001-10-22 | 2003-06-12 | Telemetric Corporation | Apparatus and method for bridging network messages over wireless networks |
| US7215667B1 (en) * | 2001-11-30 | 2007-05-08 | Corrent Corporation | System and method for communicating IPSec tunnel packets with compressed inner headers |
| US7246245B2 (en) * | 2002-01-10 | 2007-07-17 | Broadcom Corporation | System on a chip for network storage devices |
| JP3925218B2 (ja) * | 2002-01-30 | 2007-06-06 | ソニー株式会社 | ストリーミングシステム及びストリーミング方法、ストリーミングサーバ及びデータ配信方法、クライアント端末及びデータ復号方法、並びにプログラム及び記録媒体 |
| JP2003283539A (ja) * | 2002-03-20 | 2003-10-03 | Canon Inc | 通信ネットワーク、端末インタフェース装置、ノード装置、伝送制御方法、記憶媒体、及びプログラム |
| US8335915B2 (en) * | 2002-05-14 | 2012-12-18 | Netapp, Inc. | Encryption based security system for network storage |
| US7349871B2 (en) * | 2002-08-08 | 2008-03-25 | Fujitsu Limited | Methods for purchasing of goods and services |
| JP4000419B2 (ja) | 2003-04-09 | 2007-10-31 | 日本電信電話株式会社 | 経路最適化システムと方法およびプログラム |
| US20080109889A1 (en) * | 2003-07-01 | 2008-05-08 | Andrew Bartels | Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications |
| CA2513346C (en) * | 2003-09-09 | 2010-11-16 | Nippon Telegraph And Telephone Corporation | Wireless packet communication method and wireless packet communication apparatus |
| EP1560368A1 (fr) * | 2004-01-30 | 2005-08-03 | France Telecom | Procédé d'établissement d'une session multimédia entre un équipement appelant et un équipement appelé d'un réseau du type à sous domaine multimédia et système de communication mettant en oeuvre ce procédé |
| US7333612B2 (en) * | 2004-03-19 | 2008-02-19 | Cisco Technology, Inc. | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport |
| US8089911B2 (en) * | 2004-05-01 | 2012-01-03 | Neocific, Inc. | Methods and apparatus for cellular broadcasting and communication system |
| JP4490182B2 (ja) * | 2004-06-17 | 2010-06-23 | 三菱電機株式会社 | 通信装置およびパケット通信方法 |
| US8631450B1 (en) * | 2004-12-02 | 2014-01-14 | Entropic Communications, Inc. | Broadband local area network |
| US20060126827A1 (en) * | 2004-12-14 | 2006-06-15 | Dan P. Milleville | Encryption methods and apparatus |
| NO322321B1 (no) * | 2005-02-07 | 2006-09-18 | Igor Aleksandrovich Semaev | Fremgangsmate ved kryptering og dekryptering |
| JP2006245733A (ja) * | 2005-03-01 | 2006-09-14 | Matsushita Electric Ind Co Ltd | 暗号化通信方法、送信端末および受信端末 |
| US7764612B2 (en) * | 2005-06-16 | 2010-07-27 | Acme Packet, Inc. | Controlling access to a host processor in a session border controller |
| US8514894B2 (en) * | 2005-08-02 | 2013-08-20 | Elliptic Technologies Inc. | Method for inserting/removal padding from packets |
| US7725927B2 (en) * | 2005-10-28 | 2010-05-25 | Yahoo! Inc. | Low code-footprint security solution |
| JP2007199890A (ja) * | 2006-01-25 | 2007-08-09 | Sony Corp | コンテンツ伝送システム、コンテンツ伝送装置及びコンテンツ伝送方法、並びにコンピュータ・プログラム |
| US20140122876A1 (en) * | 2006-01-26 | 2014-05-01 | Unisys Corporation | System and method for providing a secure book device using cryptographically secure communications across secure networks |
| JP4547339B2 (ja) * | 2006-01-30 | 2010-09-22 | アラクサラネットワークス株式会社 | 送信制御機能を備えるパケット中継装置 |
| US8667273B1 (en) * | 2006-05-30 | 2014-03-04 | Leif Olov Billstrom | Intelligent file encryption and secure backup system |
| US8099605B1 (en) * | 2006-06-05 | 2012-01-17 | InventSec AB | Intelligent storage device for backup system |
| CN1901509B (zh) * | 2006-07-26 | 2013-05-29 | 白杰 | 网络节点间同步数据的同步方法 |
| US8010801B2 (en) * | 2006-11-30 | 2011-08-30 | Broadcom Corporation | Multi-data rate security architecture for network security |
| US8744076B2 (en) * | 2007-04-04 | 2014-06-03 | Oracle International Corporation | Method and apparatus for encrypting data to facilitate resource savings and tamper detection |
| DE102007041143B4 (de) | 2007-08-30 | 2010-04-08 | Siemens Enterprise Communications Gmbh & Co. Kg | Verfahren zum Analysieren von gleichzeitig übertragenen, verschlüsselten Datenströmen in IP-Netzwerken |
| US8781003B2 (en) * | 2008-07-17 | 2014-07-15 | Cisco Technology, Inc. | Splicing of encrypted video/audio content |
| CN101567818B (zh) * | 2008-12-25 | 2011-04-20 | 中国人民解放军总参谋部第五十四研究所 | 基于硬件的大规模网络路由仿真方法 |
| US8009682B2 (en) | 2009-05-05 | 2011-08-30 | Citrix Systems, Inc. | Systems and methods for packet steering in a multi-core architecture |
| JP5326815B2 (ja) * | 2009-05-26 | 2013-10-30 | 富士通株式会社 | パケット送受信装置およびパケット送受信方法 |
| EP2443776A1 (en) * | 2009-06-16 | 2012-04-25 | Ontime Networks AS | Method on a network element for the purpose of synchronization of clocks in a network |
| WO2012019114A1 (en) * | 2010-08-06 | 2012-02-09 | Citrix Systems, Inc. | Systems and methods for a para-virtualized driver in a multi-core virtual packet engine device |
| US8918550B2 (en) * | 2010-08-27 | 2014-12-23 | Total Phase, Inc. | Real-time USB class level decoding |
| US20120172050A1 (en) * | 2010-12-29 | 2012-07-05 | Nokia Corporation | Method and apparatus for context based on spatial trails |
| KR20130135894A (ko) * | 2011-01-04 | 2013-12-11 | 나파테크 에이/에스 | 데이터를 수신 및 포워딩하기 위한 장치 및 방법 |
| US20120237024A1 (en) * | 2011-03-18 | 2012-09-20 | Wei-Ti Liu | Security System Using Physical Key for Cryptographic Processes |
| CN107743093B (zh) * | 2012-03-19 | 2020-11-03 | 英特尔公司 | 用于输入/输出虚拟化系统中分组管理的装置、方法和介质 |
| US9130754B2 (en) | 2012-08-29 | 2015-09-08 | Qualcomm Incorporated | Systems and methods for securely transmitting and receiving discovery and paging messages |
| US8923122B2 (en) * | 2012-12-19 | 2014-12-30 | Telefonaktiebolaget L M Ericsson (Publ) | Packet train generation for estimating available network bandwidth |
| US9106618B2 (en) * | 2013-01-23 | 2015-08-11 | Alcatel Lucent | Control plane encryption in IP/MPLS networks |
| EP2974121A4 (en) * | 2013-03-13 | 2016-12-07 | Jumpto Media Inc | SECURE COMMUNICATION IN NETWORK |
| KR20150019931A (ko) * | 2013-08-16 | 2015-02-25 | 삼성전자주식회사 | 디스플레이장치 및 그 제어방법 |
| US9667370B2 (en) * | 2013-09-05 | 2017-05-30 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Communication device with peer-to-peer assist to provide synchronization |
| GB2523444B (en) * | 2014-02-25 | 2016-05-18 | Qualcomm Technologies Int Ltd | Device authentication |
| US9596075B2 (en) * | 2014-06-03 | 2017-03-14 | L3 Technologies, Inc. | Transparent serial encryption |
| WO2015194393A1 (ja) * | 2014-06-20 | 2015-12-23 | ソニー株式会社 | 情報処理装置および情報処理方法 |
| TWI535328B (zh) * | 2014-07-08 | 2016-05-21 | 國立臺灣大學 | 電網閘道器及具有多個電網閘道器之電塔管理系統 |
| US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
| US9674071B2 (en) * | 2015-02-20 | 2017-06-06 | Telefonaktiebolaget Lm Ericsson (Publ) | High-precision packet train generation |
| US20160338120A1 (en) * | 2015-05-14 | 2016-11-17 | Smart Technologies, Ulc | System And Method Of Communicating Between Interactive Systems |
| US9801059B2 (en) * | 2015-07-09 | 2017-10-24 | Google Inc. | Security for wireless broadcasts |
| US10476798B1 (en) * | 2015-09-22 | 2019-11-12 | Amazon Technologies, Inc. | Network switch with deterministic longest prefix match lookup |
| EP3270321B1 (en) * | 2016-07-14 | 2020-02-19 | Kontron Modular Computers SAS | Technique for securely performing an operation in an iot environment |
| US10826876B1 (en) * | 2016-12-22 | 2020-11-03 | Amazon Technologies, Inc. | Obscuring network traffic characteristics |
| US10542039B2 (en) * | 2017-02-08 | 2020-01-21 | Nicira, Inc. | Security against side-channel attack in real-time virtualized networks |
| CN110352586B (zh) * | 2017-03-08 | 2021-12-07 | 日立能源瑞士股份公司 | 用于保留网络中的数据分组的相对定时和排序的方法和装置 |
-
2018
- 2018-03-07 CN CN201880016590.3A patent/CN110352586B/zh active Active
- 2018-03-07 IL IL269035A patent/IL269035B/en unknown
- 2018-03-07 JP JP2019548693A patent/JP7078633B2/ja active Active
- 2018-03-07 EP EP18710022.7A patent/EP3593271A1/en active Pending
- 2018-03-07 EP EP18710021.9A patent/EP3593509B1/en active Active
- 2018-03-07 EP EP21168751.2A patent/EP3883209B1/en active Active
- 2018-03-07 CN CN201880016613.0A patent/CN110383280B/zh active Active
- 2018-03-07 WO PCT/EP2018/055622 patent/WO2018162564A1/en active Search and Examination
- 2018-03-07 JP JP2019548624A patent/JP7032420B2/ja active Active
- 2018-03-07 FI FIEP21168751.2T patent/FI3883209T3/fi active
- 2018-03-07 AU AU2018231406A patent/AU2018231406B2/en active Active
- 2018-03-07 WO PCT/EP2018/055628 patent/WO2018162565A1/en active Search and Examination
- 2018-03-07 KR KR1020197029162A patent/KR102537654B1/ko active IP Right Grant
- 2018-03-07 AU AU2018231407A patent/AU2018231407B2/en active Active
- 2018-03-07 KR KR1020197029163A patent/KR102643187B1/ko active IP Right Grant
-
2019
- 2019-09-01 IL IL269033A patent/IL269033B2/en unknown
- 2019-09-09 US US16/564,555 patent/US11115398B2/en active Active
- 2019-09-09 US US16/564,353 patent/US11134066B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226290B1 (en) * | 1998-04-28 | 2001-05-01 | Nortel Networks Limited | Method and apparatus for adjusting an interpacket gap using a network device in a data communications network |
| WO2010045672A1 (en) * | 2008-10-20 | 2010-04-29 | Alcatel Lucent | Network security method and apparatus |
| CN102549998A (zh) * | 2009-02-25 | 2012-07-04 | 思科技术公司 | 密码引擎的聚集 |
| CN104170312A (zh) * | 2011-12-15 | 2014-11-26 | 英特尔公司 | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 |
| US9317718B1 (en) * | 2013-03-29 | 2016-04-19 | Secturion Systems, Inc. | Security device with programmable systolic-matrix cryptographic module and programmable input/output interface |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020510339A (ja) | 2020-04-02 |
| CN110352586B (zh) | 2021-12-07 |
| FI3883209T3 (fi) | 2023-09-12 |
| IL269033A (en) | 2019-10-31 |
| EP3593509B1 (en) | 2021-05-05 |
| AU2018231406A1 (en) | 2019-10-10 |
| KR102537654B1 (ko) | 2023-05-26 |
| EP3593271A1 (en) | 2020-01-15 |
| AU2018231407B2 (en) | 2023-02-16 |
| JP7032420B2 (ja) | 2022-03-08 |
| KR20190125413A (ko) | 2019-11-06 |
| JP2020510337A (ja) | 2020-04-02 |
| AU2018231407A1 (en) | 2019-10-10 |
| CN110352586A (zh) | 2019-10-18 |
| CN110383280A (zh) | 2019-10-25 |
| IL269035B (en) | 2022-09-01 |
| EP3883209A1 (en) | 2021-09-22 |
| JP7078633B2 (ja) | 2022-05-31 |
| EP3593509A1 (en) | 2020-01-15 |
| AU2018231406B2 (en) | 2023-02-02 |
| IL269033B2 (en) | 2023-08-01 |
| KR20190125412A (ko) | 2019-11-06 |
| US20190394180A1 (en) | 2019-12-26 |
| KR102643187B1 (ko) | 2024-03-05 |
| IL269033B1 (en) | 2023-04-01 |
| EP3883209B1 (en) | 2023-06-28 |
| US11134066B2 (en) | 2021-09-28 |
| WO2018162564A1 (en) | 2018-09-13 |
| US11115398B2 (en) | 2021-09-07 |
| WO2018162565A1 (en) | 2018-09-13 |
| US20200007517A1 (en) | 2020-01-02 |
| IL269035A (en) | 2019-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110383280B (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
| US7979693B2 (en) | Relay apparatus for encrypting and relaying a frame | |
| EP1427162B1 (en) | Security processor mirroring | |
| CN107710716A (zh) | 用于实现在软件定义网络中选择性加密的通信设备 | |
| US9948621B2 (en) | Policy based cryptographic key distribution for network group encryption | |
| CN110048986B (zh) | 一种保证环网协议运行安全的方法及装置 | |
| CN103026663B (zh) | 分布式连通性验证协议冗余 | |
| US10439993B2 (en) | Mapping system assisted key refreshing | |
| US20200076773A1 (en) | Configurable service packet engine exploiting frames properties | |
| EP3182645B1 (en) | Network protection switching method, network device and storage medium | |
| US20060143701A1 (en) | Techniques for authenticating network protocol control messages while changing authentication secrets | |
| CN107135152B (zh) | 一种分组传送网中传输关键信息的安全加固方法 | |
| CN111885430A (zh) | 一种基于以太帧的带内遥测方法及带内遥测系统 | |
| US20160094380A1 (en) | Notification Technique for Network Reconfiguration | |
| CN115473641B (zh) | 可自动组网的量子加密通信方法和系统 | |
| CN117336001A (zh) | 一种加密信息的分发方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210602 Address after: Baden, Switzerland Applicant after: ABB grid Switzerland AG Address before: Baden, Switzerland Applicant before: ABB Switzerland Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Swiss Baden Applicant after: Hitachi energy Switzerland AG Address before: Swiss Baden Applicant before: ABB grid Switzerland AG |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240117 Address after: Zurich, SUI Patentee after: Hitachi Energy Co.,Ltd. Address before: Swiss Baden Patentee before: Hitachi energy Switzerland AG |