CN110832806A - 针对面向身份的网络的基于id的数据面安全 - Google Patents

针对面向身份的网络的基于id的数据面安全 Download PDF

Info

Publication number
CN110832806A
CN110832806A CN201880041419.8A CN201880041419A CN110832806A CN 110832806 A CN110832806 A CN 110832806A CN 201880041419 A CN201880041419 A CN 201880041419A CN 110832806 A CN110832806 A CN 110832806A
Authority
CN
China
Prior art keywords
data
generating
destination
identifier
header
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880041419.8A
Other languages
English (en)
Other versions
CN110832806B (zh
Inventor
乌马·S·春都里
亚历山大·克莱姆
帕德玛德维·皮莱-埃斯诺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN110832806A publication Critical patent/CN110832806A/zh
Application granted granted Critical
Publication of CN110832806B publication Critical patent/CN110832806B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种由计算机执行的传输已加密数据的方法,包括:发起端点的一个或多个处理器访问要传输到具有相应标识符的目的端的第一数据;所述一个或多个处理器生成标识符安全包头;所述一个或多个处理器根据所述第一数据和所述标识符安全包头生成第二数据;所述一个或多个处理器加密所述第二数据;所述一个或多个处理器基于所述加密的第二数据生成认证数据;所述一个或多个处理器根据所述加密的第二数据和所述认证数据生成第三数据;所述一个或多个处理器根据对应于所述目的端的标识符和所述第三数据生成第四数据;以及所述一个或多个处理器将所述第四数据发往所述目的端。

Description

针对面向身份的网络的基于ID的数据面安全
相关申请案交叉申请
本发明要求2017年6月30日递交的发明名称为“针对面向身份的网络的基于ID的数据面安全(ID-BASED DATA PLANE SECURITY FOR IDENTITY-ORIENTED NETWORKS)的第15/640,156号美国非临时专利申请案的在先申请优先权,该在先申请的内容以引入的方式并入本文本中,如同全文再现一般。
技术领域
本发明涉及面向身份的网络(identity-oriented network,ION),在一个特定实施例中,涉及针对ION的基于身份(identity-based,ID-based)的数据面安全。
背景技术
在因特网协议(Internet Protocol,IP)网络中,数据包寻址到目的端点的IP地址。IP地址不仅标识目的端点,还是用于将数据包路由到目的端点的定位器。因此,如果目的端点改变了IP地址(例如,由于与网络断开连接并且通过不同的接入点(access point,AP)重新连接),则寻址到原IP地址的数据包将无法到达目的端点。
在ION中,数据包发往目的端点的标识符。标识符使用期较长并且与端点的身份而非与端点的位置相关联。通用弹性身份服务(Generic Resilient Identity Services,GRIDS)可以用于实现定位器到标识符的映射(例如,通过映射服务器或GRIDS-MS)。当端点改变位置时,会通知GRIDS-MS。因此,GRIDS-MS可以将更新的位置发送给希望继续与移动的端点进行通信的任何其它端点。
可以使用IPSec来保护IP流量,IPSec是因特网工程任务组(InternetEngineering Task Force,IETF)请求注解(Request for Comments,RFC)4301、4302和4303定义的IP安全协议。IPSec支持对数据包来源进行认证的认证头协议(authenticationheader,AH),以及提供保密(例如加密)和认证的封装安全载荷协议(encapsulatingsecurity payload,ESP)。
发明内容
现在描述各种示例以便简单介绍将在下文具体实施方式中进一步描述的一些概念。发明内容并非旨在标识所要求保护的主题的关键或必要特征,也不旨在限制所要求保护的主题的范围。
根据本发明的一个方面,提供了一种由计算机执行的传输已加密数据的方法,包括:发起端点的一个或多个处理器访问要传输到具有相应标识符的目的端的第一数据;所述一个或多个处理器生成标识符安全包头;所述一个或多个处理器根据所述第一数据和所述标识符安全包头生成第二数据;所述一个或多个处理器加密所述第二数据;所述一个或多个处理器基于所述加密的第二数据生成认证数据;所述一个或多个处理器根据所述加密的第二数据和所述认证数据生成第三数据;所述一个或多个处理器根据对应于所述目的端的标识符和所述第三数据生成第四数据;以及所述一个或多个处理器将所述第四数据发往所述目的端。
可选地,在任何前述方面中,所述方法还包括:生成发往所述目的端的位置的因特网协议(IP)包头;以及根据所述第四数据和所述IP包头生成第五数据,其中,所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
可选地,在任何前述方面中,所述生成标识符安全包头包括生成初始化向量。
可选地,在任何前述方面中,所述根据所述第一数据和所述标识符安全包头生成第二数据是指将所述标识符安全包头添加到所述第一数据的开始位置。
可选地,在任何前述方面中,所述方法还包括:根据所述第四数据和标识符安全协议版本号生成第五数据,其中,所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
可选地,在任何前述方面中,所述方法还包括:向映射服务器注册所述发起端点支持的一种或多种加密方法。
可选地,在任何前述方面中,所述方法还包括:从所述映射服务器接收用于与所述目的端进行通信的加密方法的标识符,所述接收的标识符对应所述注册的加密方法之一。
可选地,在任何前述方面中,所述第三数据的所述加密包括使用所述标识的加密方法加密所述第三数据。
根据本发明的一个方面,发起端点包括:包括指令的存储器;以及与所述存储器进行通信的一个或多个处理器,其中所述一个或多个处理器执行所述指令以执行以下步骤:访问要传输到具有相应标识符的目的端的第一数据;生成标识符安全包头;根据所述第一数据和所述标识符安全包头生成第二数据;加密所述第二数据;基于所述加密的第二数据生成认证数据;根据所述加密的第二数据和所述认证数据生成第三数据;根据对应于所述目的端的标识符和所述第三数据生成第四数据;以及将所述第四数据发往所述目的端。
可选地,在任何前述方面中,所述一个或多个处理器还执行:生成发往所述目的端的位置的因特网协议(IP)包头;以及根据所述第四数据和所述IP包头生成第五数据,其中,所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
可选地,在任何前述方面中,所述生成标识符安全包头包括生成初始化向量。
可选地,在任何前述方面中,所述根据所述第一数据和所述标识符安全包头生成第二数据是指将所述标识符安全包头添加到所述第一数据的开始位置。
可选地,在任何前述方面中,所述一个或多个处理器还执行:根据所述第四数据和标识符安全协议版本号生成第五数据,其中,所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
可选地,在任何前述方面中,所述一个或多个处理器还执行:向映射服务器注册所述发起端点支持的一种或多种加密方法。
可选地,在任何前述方面中,所述一个或多个处理器还执行:从所述映射服务器接收用于与所述目的端进行通信的加密方法的标识符,所述接收的标识符对应所述注册的加密方法之一。
可选地,在任何前述方面中,所述加密所述第二数据包括使用所述标识的加密方法加密所述第二数据。
根据本发明的一个方面,提供了一种存储用于传输已加密数据的计算机指令的非瞬时性计算机可读介质,当所述计算机指令由一个或多个处理器执行时,使得所述一个或多个处理器执行以下步骤:访问要传输到具有相应标识符的目的端的第一数据;生成标识符安全包头;根据所述第一数据和所述标识符安全包头生成第二数据;加密所述第二数据;基于所述加密的第二数据生成认证数据;根据所述加密的第二数据和所述认证数据生成第三数据;根据对应于所述目的端的标识符和所述第三数据生成第四数据;以及将所述第四数据发往所述目的端。
可选地,在任何前述方面中,所述一个或多个处理器还执行:生成发往所述目的端的位置的IP包头;以及根据所述第四数据和所述IP包头生成第五数据,其中,所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
可选地,在任何前述方面中,所述生成标识符安全包头包括生成初始化向量。
可选地,在任何前述方面中,所述根据所述第一数据和所述标识符安全包头生成第二数据是指将所述标识符安全包头添加到所述第一数据的开始位置。
前述示例中的任何一个都可以与其它前述示例中的任何一个或多个进行组合以创建在本发明的范围内的新实施例。
附图说明
图1示出了一些示例实施例的用于实现基于ID的数据面安全的示例网络组织。
图2为示出了一些示例实施例的适合用于实现基于ID的数据面安全的数据结构的方框图。
图3为示出了一些示例实施例的适合用于实现基于ID的数据面安全的数据结构的方框图。
图4示出了一些示例实施例的用于实现基于ID的数据面安全的示例网络组织内的示例通信流程。
图5为示出了一些示例实施例的实现算法和执行方法的客户端和服务器的电路的方框图。
图6为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法的流程图。
图7为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法的流程图。
图8为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法的流程图。
图9为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法的流程图。
具体实施方式
以下结合附图进行详细描述,所述附图是描述的一部分,并通过图解说明的方式示出可以实践的具体实施例。对这些实施例的充分详细描述使得本领域技术人员能够实践本发明主题。应该理解的是,可以利用其它实施例,并且可以在不脱离本发明的范围的情况下对结构、逻辑和电气进行更改。因此,以下示例实施例的描述并非用于限定,本发明的范围由所附权利要求书界定。
在一个实施例中,本文描述的功能或算法可以通过软件实现。软件可以由计算机可执行指令组成,这些计算机可执行指令存储在计算机可读介质或计算机可读存储设备上,例如一个或多个非瞬时性存储器或其它类型的基于硬件的存储设备,无论是本地的还是网络的。软件可以在以下设备上执行:数字信号处理器、专用集成电路(application-specific integrated circuit,ASIC)、可编程数据面芯片、现场可编程门阵列(fieldprogrammable gate array,FPGA)、微处理器或运行在计算机系统上的其它类型的处理器,例如交换机、服务器或将此类计算机系统变成专门编程过的机器的其它计算机系统。
在一些示例实施例中,ION中的两个端点安全地通信,同时还利用ION的启用了身份的网络服务。在现有技术实施方式中,使用IPSec提供安全会对ID信息进行加密。这种加密会妨碍ION中启用了身份的网络服务正常运行。为了使端点既能够安全地通信又不会妨碍启用了身份的网络服务正常运行,ID信息的至少一部分是不加密的。
图1示出了一些示例实施例的用于实现基于ID的数据面安全的示例网络组织100。示例网络组织100包括第一端点110、第二端点120、数据面170、数据包180和GRIDS网络130。GRIDS网络130包括GRIDS AP 140、GRIDS AP 160和GRIDS-MS 150。
端点110可以向发起端GRIDS AP 140注册,允许端点110通过GRIDS网络130进行通信。类似地,端点120可以向目的端GRIDS AP 160注册。为了与端点120进行通信,端点110可以从发起端GRIDS AP 140向定位器请求端点120的标识符。在一些示例实施例中,标识符是128位的值、IPv6地址或其它值。GRIDS AP 140向GRIDS-MS 150转发请求,该请求可包含将标识符映射到定位器的数据库。GRIDS-MS 150可以将端点120的定位器发送给发起端GRIDSAP 140。发起端GRIDS AP 140将收到的数据发送给端点110,然后端点110通过数据面170与端点120进行通信。
在一些示例实施例中,数据面170由IP网络的一个或多个路由器实现。例如,端点110可以向第一路由器发送寻址到端点120的IP地址(例如,响应于端点110的请求从GRIDS-MS 150检索的端点120的IP地址,该请求包括端点120的标识符)的数据包180。第一路由器在路由表中查找端点120的IP地址以检索第二路由器的IP地址,用于两个端点之间的路径中的下一跳。第一路由器向第二路由器转发数据包180。通过额外的中间路由器对剩余的跳重复该过程,直到数据包180到达连接到端点120的最终路由器。最终路由器向端点120转发数据包180,然后端点120接收并处理数据包180。端点120通过相同的过程发送响应。
图2为示出了一些示例实施例的适合用于实现基于ID的数据面安全的数据结构的方框图。图2示出数据结构200,包括IP包头205、ID包头210、传输包头215和数据220;数据结构225,包括版本230、标志235、下一包头类型240、初始化向量(initialization vector,IV)长度245、IV数据250、载荷数据220和认证数据260;以及数据结构265,包括IP包头270、ID包头275和具有安全数据载荷280的IDSec包头。数据结构200、225和265的元素也可以称为数据字段205至220、230至260、以及270至280。在一些实施例中,数据包180通过数据结构220、数据结构225或数据结构265来实现。
数据结构200可以用作IP版本4(IP version,IPv4)或IP版本6(IP version 6,IPv6)数据包。在IPv4和IPv6中,IP包头205包括源IP地址和目的IP地址。ID包头210包括数据结构200的目的端实体的标识符(称为目的ID)和数据结构200的源端实体的标识符(称为源ID)。在各种示例实施例中,ID包头210还包括附加字段。传输包头215(例如,传输控制协议(transmission control protocol,TCP)包头或用户数据报协议(user datagramprotocol,UDP)包头)包括源端口号和目的端口号。因此,使用数据结构200的数据包同时指示源位置(IP地址)和应用(端口)以及目的位置(IP地址)和应用(端口)。在基于IP地址将数据包路由至目的设备之后,目的设备的操作系统可以向目的应用提供数据结构200。
数据结构225包括封装传输包头215和数据220的IDSec包头和包尾的示例。版本230可以是IPSec包头的版本的4位标识符(例如,0x01)。标志235可以是选项标志的4位字段(例如,一位用于表示是否加密载荷数据220,一位用于表示下一包头是否遵循IV长度245或本文中任何合适的组合。)。下一包头类型240可表示以下类型的包头(例如,因特网号码分配局(Internet assigned numbers authority,IANA)认可的包头类型之一)。IV长度245可以表示IV数据250的长度,单位:字节。在一些示例实施例中,IV长度245不存在,或者仅在标志235表示载荷数据220已加密并且表示下一包头遵循IV长度245时才有效。IV数据250可以是加密过程中使用的随机序列、伪随机序列或非重复序列。载荷数据220是从源端发送到目的端的加密或未加密数据(例如,标志235中的加密标志所指示的数据)。
认证数据260可以用于证明所指示的数据结构225的源端是正确的。例如,载荷数据220的摘要和ID包头的不可变字段可以由接收系统确定。不可变字段是指在数据包通过网络传输时不会发生改变的字段。例如,源端标识符和目的端标识符为不可变字段。由于接收时可变字段的值与发送数据包时的值不同,因此在生成摘要时携带可变字段可以防止接收实体认证数据包。将计算出的摘要与认证数据260进行比较,仅当值匹配时才认为数据包可信。通过已经在通信双方之间安全地交换的密钥,生成和检查认证数据260。例如,可以使用IETF RFC 5996中定义的因特网密钥交换版本2(Internet Key Exchange version 2,IKEv2)协议进行密钥交换。在数据结构225的示例实施例中,认证数据260置于载荷数据220之后,因此可以视为IDSec包尾。
在ION中使用IPv4或IPV6传输安全数据包时,可以使用数据结构265。IP包头270表示数据包应该路由到的目的IP地址。ID包头275表示数据包寻址到的实体的标识符和发送该数据包的实体的标识符。具有安全数据载荷280的IDSec包头可以是数据结构225,可选地包括含有传输包头215和载荷数据220的加密数据。通过使用数据结构265,可以将数据包路由至正确的地点(由IP包头270中的IP地址指示)和正确的身份(由ID包头275指示)。然后,接收实体可以对数据结构225进行处理以证明数据包来自所指示的源端实体,并且可选地对传输包头215和载荷数据220进行解密。
图3为示出了一些示例实施例的适合用于实现基于ID的数据面安全的数据结构的方框图。图3示出数据结构300,是数据结构200的修改版本,包括IP包头205、ID包头210、AH310、传输包头215和数据220。图3还示出数据结构350,是数据结构200的另一个修改版本,包括IP包头205、ID包头210、ESP包头360、传输包头215、数据220、ESP包尾370以及ESP完整性校验值380。在一些实施例中,对数据结构300和350进行合并,生成包括数据字段205至220、AH 310和数据字段360至380的数据结构390。在一些实施例中,数据包180通过数据结构300、数据结构350或数据结构390来实现。
AH 310对使用数据结构300的IP数据包进行认证。认证头通过IP协议号51与IP配合使用。认证头可包括指示包头协议的8位下一包头字段、8位载荷长度字段、32位安全参数索引、32位序列号和可变长完整性校验值。完整性校验值由数据包的创建者使用散列函数进行设置,以便当数据包的接收者重新计算散列并将重新计算的值与接收的值进行比较时,能检测到数据包的任何修改。可以遵循IETF RFC 4302的指令实现AH 310,其通过引入的方式并入本文本中。
数据字段360至380对使用数据结构300的IP数据包进行认证。ESP包头360可包括32位安全参数索引和32位序列号。ESP包尾370可包括8位填充长度、8位下一包头和0至255个填充字节。ESP完整性校验值380的长度可以是可变的。与AH 310一样,完整性校验值由数据包的创建者使用散列函数进行设置,以便当数据包的接收者重新计算散列并将重新计算的值与接收的值进行比较时,能检测到数据包的任何修改。可以遵循IETF RFC 4303的指令实现ESP字段360至380,其通过引入的方式并入本文本中。
在一些示例实施例中,通过修改IETF RFC 4301中描述的安全策略数据库(security policy database,SPD)、安全关联数据库(security association database,SAD)和对端授权数据库(peer authorization database,PAD)来支持ID包头(例如,ID包头210)的引入,IETF RFC 4301的内容以引入的方式并入本文本中。
SPD选择器可包括远端ID字段而非远端IP地址字段。远端ID字段可包括一个ID范围(例如,ID 1000至5000)。传出包的目的ID字段可以用作选择器。
SPD选择器可包括本端ID字段而非本端IP地址字段。本端ID字段可包括一个ID范围(例如,ID xx000至yy000)。SPD选择器可包括本端ID字段而非本端IP地址字段。传出包的源ID字段可以用作选择器。
在IETF 4301中,SPD选择器的下一层协议字段从IPv4协议字段或IPv6下一包头字段中获取。通过使用ID包头,下一层协议字段可以从作为ID包头210的组成部分的下一包头字段240中获取。
在IETF 4301中,SPD条目的至少部分自包填充(populate from packet,PFP)标志是从IP数据包的本端IP地址、远端IP地址和下一层协议字段中导出的。通过使用ID包头,可以从ID包头210的源ID、目的ID和下一包头字段中导出PFP标志。类似地,可以修改选择器集以使用源ID、目的ID和下一包头字段,而非本端IP地址、远端IP地址和下一层协议字段。
PAD链接SPD和安全关联管理协议,例如因特网密钥交换(Internet keyexchange,IKEv2)。根据IETF RFC 4301第4.4.3.1章节,支持六种类型的标识符,包括IPv4地址(或地址范围)和IPv6地址(或地址范围)。当使用ID包头时,这两种类型的标识符可以替换为ID或ID范围,以将上述SPD修改从IP地址匹配到ID。
针对IP包头,SAD条目包括隧道包头源IP地址和隧道包头目的IP地址。针对ID包头,这些字段可更改为从ID包头210导出的隧道包头源ID和隧道包头目的ID。
图4示出了一些示例实施例的用于实现基于ID的数据面安全的示例网络组织100内的示例通信流程400。通信流程400包括通信410、420、430、440、450和470,以及操作460。
在通信410中,发起端点110向GRIDS-MS 150注册。该注册指示发起端点110的位置(例如IP地址)和发起端点110的身份。在一些示例实施例中,该注册还指示发起端点110支持的一种或多种认证方法或加密方法。例如,可以使用一组1位标志。如果支持相应的认证方法或加密方法,则将每个位设置为1;如果不支持相应的认证方法或加密方法,则将每个位设置为0。示例加密方法包括数据加密标准(data encryption standard,DES)和高级加密标准(advanced encryption standard,AES)等。示例认证方法包括安全散列算法(secure hash algorithm,SHA)-128、SHA-256和AES等。
在通信420中,目的端点120向GRIDS-MS 150注册。该注册指示目的端点120的位置(例如,IP地址)和目的端点120的身份。在一些示例实施例中,该注册表示目的端点120支持的一种或多种加密方法。
在通信430中,发起端点110向GRIDS-MS 150请求解析目的端点120的标识符的位置。GRIDS-MS 150通过通信440响应通信430,将目的端点120的位置提供给发起端点110。在一些示例实施例中,通信440包括指示用于端点110和端点120之间的通信的认证或加密方法。例如,GRIDS-MS 150可以将端点110在注册期间提供的标志与端点120在注册期间提供的标志进行比较,以识别两个端点都支持的一种或多种认证或加密方法。GRIDS-MS 150可以选择所述支持的方法之一(例如通过优先级划分方案)或在通信440中指示所有互相支持的方法。
在通信450中,发起端点110和目的端点120交换对称密钥。密钥交换可以是在离线时共同商定的,也可以是通过安全通信信道或安全密钥交换协议,例如IKEv2,实现的交换。
在操作460中,发起端点110构造安全数据包(例如,通过使用数据结构225来构造),并在通信470中将安全数据传输给目的端点120。该安全数据包包括认证信息。所述数据可以通过GRIDS-MS识别的加密方法(例如,在通信440中识别)进行加密。
图5为示出了一些示例实施例的实现算法和执行方法的电路的方框图。不需要在各种实施例中使用所有组件。例如,客户端、服务器、自动系统和云网络资源可各自使用一套不同的组件,或者例如对于服务器,可以使用更大的存储设备。
体现为计算机500(也称为计算设备500和计算机系统500)形式的一个示例计算设备可包括处理器505、存储器510、移动存储器515和非移动存储器520,全部都通过总线540连接。虽然将示例计算设备示为并描述为计算机500,但是计算设备在不同实施例中可以是不同的形式。例如,计算设备也可以是智能手机、平板电脑、智能手表或其它含有与图5中示出和描述的元件相同或类似元件的计算设备。智能手机、平板电脑和智能手表等设备一般统称为“移动设备”或“用户设备”。此外,虽然各种数据存储元件被示为计算机500的一部分,但存储器还可以或可选地包括可通过网络,例如因特网,访问的存储器,或基于服务器的存储器。第一端点110、第二端点120、GRIDS AP 140、GRIDS AP 160和GRIDS-MS 150均可实现为计算机500。此外,数据面170的路由器可实现为计算机500。
存储器510可包括易失性存储器545和非易失性存储器550,并且可以存储程序555。计算机500可包括或访问包含多个计算机可读介质的计算环境,例如易失性存储器545、非易失性存储器550、移动存储器515和非移动存储器520。计算机存储器包括随机存取存储器(random-access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmable read-only memory,EPROM)、电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、闪存或其它存储器技术、只读光盘(compact disc read-only memory,CD-ROM)、数字多功能光盘(digital versatile disc,DVD)或其它光盘存储器、磁带盒、磁带、磁盘存储器或其它磁性存储设备,或任何其它可存储计算机可读指令的介质。
计算机500可包括或访问包含输入接口525、输出接口530和通信接口535的计算环境。输出接口530可连接到或包含也可以作为输入设备的显示设备,例如触摸屏。输入接口525可连接到或包含一个或多个触摸屏、触摸板、鼠标、键盘、摄像头、一个或多个设备特有的按钮、一个或多个集成到或通过有线或无线数据连接耦合到计算机500的传感器,以及其它输入设备。计算机500可以使用通信接口535在联网环境中运行以连接到一个或多个远程计算机,例如数据库服务器。远程计算机可包括个人电脑(personal computer,PC)、服务器、路由器、网络PC、对端设备或其它常见网络节点等。通信接口535可连接到局域网(local-area network,LAN)、广域网(wide-area network,WAN)、蜂窝网络、Wi-Fi网络、蓝牙网络或其它网络。
存储在计算机可读介质上的计算机可读指令(例如,存储在存储器510上的程序555)可由计算机500的处理器505执行。硬盘驱动器、CD-ROM和RAM为包括存储设备等非瞬时性计算机可读介质的一些示例。如果认为载波是瞬时性的,则术语“计算机可读介质”和“存储设备”不包括载波。“计算机可读非瞬时性介质”包括所有类型的计算机可读介质,包括磁存储介质、光存储介质、闪存介质和固态存储介质。应理解,软件可以安装在计算机上并随计算机一起销售。或者,可以获取软件并将其加载到计算机中,包括通过物理介质或分发系统获取软件,例如,从软件创建者拥有的服务器或从软件创建者使用但并非其所拥有的服务器获取软件。例如,可以将软件存储在服务器上以通过因特网进行分发。
示出的程序555包括注册模块560、加密模块565、认证模块570和包生成模块575。本文描述的任何一个或多个模块可以通过硬件(例如,机器的处理器、ASIC、FPGA或它们的任意合适组合)来实现。此外,这些模块中的任意两个或多个可以组合成单个模块。本文描述的用于单个模块的功能可以在多个模块之间细分。此外,根据各种示例实施例,本文描述为在单个机器、数据库或设备内实现的模块可以分布于多个机器、数据库或设备上。
注册模块560向映射服务器注册端点并/或处理传入注册请求(例如,通过将注册数据存储在数据库中)。加密模块565对数据进行加密以通过网络安全传输并/或对收到的数据进行解密。认证模块570确定用于认证的完整性校验值以将其包含在要通过网络传输的数据包中并/或确定收到的数据包的完整性校验值以将其与收到的数据包中携带的值进行比较。
包生成模块575生成通过网络传输的数据包(例如,通过通信接口535传输)。包生成模块575可调用加密模块565和/或认证模块570。
图6为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法的流程图。方法600包括操作610、620、630、640、650、660、670和680。作为示例而非限制,方法600被描述为由端点110的元件执行,如上文中参考图1和图4所做的描述,以及由计算机500的元件执行,如上文中参考图5所做的描述。
在操作610中,端点110的包生成模块575访问要传输给具有相应标识符的目的端点的第一数据(例如,图2至图3中的数据220)。例如,运行在端点110上的游戏应用可能有数据要发送给运行在端点120上的该游戏的另一个实例。端点120可能已经使用标识符“SHAZAM”向GRIDS-MS 150进行了注册。包生成模块575可能已经通过之前的通信确定了目的端点的标识符。例如,可能已经联系了具有游戏应用已知的预定标识符的中央匹配服务器,并且已经将端点120的标识符提供给了端点110,以允许两个端点建立直接通信来玩游戏。
在操作620中,包生成模块575生成IDSec包头(例如,使用数据结构225的元素230至250)。IDSec包头可同时指示目的端点120的定位器(例如,IP地址)和标识符(例如,“SHAZAM”)。在一些示例实施例中,生成IDSec包头包括生成初始化向量。例如,加密模块570可生成在加解密期间使用的随机或伪随机序列。该序列携带在IDSec包头中以使接收方能够对使用序列加密的数据进行解密,但又能防止攻击者通过拦截包含类似数据的多个包来获取任何信息。
在操作630中,包生成模块575根据第一数据和IDSec包头生成第二数据。例如,可以将IDSec包头添加到待传数据的开始位置以生成第二数据。在一些示例实施例中,第二数据包括传输包头215。在这些示例实施例中,第二数据可包括图2中的元素230、235、240、245、250、215和220。
在操作640中,加密模块565对第二数据进行加密。例如,加密模块565可以使用对称密钥加密,当仅源端点110和目的端点120可以访问用于加解密的密钥时,该加密方式是安全的。加密模块565可以利用操作620中生成的初始化向量(如有)。例如,可以在初始化向量与第三数据的第一块之间应用按位异或(exclusive-or,XOR)作为加密过程的一部分。
在操作650中,认证模块570基于所述加密的第二数据生成认证数据(例如,认证数据260)。例如,可以对第一数据和IDSec包头的不可变部分使用散列算法以生成认证数据。
在操作660中,包生成模块575所述根据加密的第二数据和所述认证数据生成第三数据。例如,可以将所述认证数据添加到所述加密的第二数据中。在一些示例实施例中,第三数据是图2中具有安全数据载荷280的IDSec包头。
在操作670中,包生成模块575根据对应于目的端点的标识符和所述加密的第三数据生成第四数据。例如,标识符可以包含在添加到所述加密的第三数据的开始位置的ID包头275中。
在操作680中,包生成模块575将所述第四数据发往所述目的端点。例如,第四数据可以是使用数据结构265的完整数据包,通过数据面170发往目的端点120。
在一些示例实施例中,包生成模块575生成传输用附加数据。例如,附加数据可包括寻址到端点120的位置的IP包头270和/或IPSec版本。包生成模块575可将附加数据添加到第四数据的开始位置以生成第五数据,并在操作680中发送第五数据(包含第四数据)。
图7为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法700的流程图。方法700包括操作710、720、730、740、750、760和770。作为示例而非限制,方法700被描述为由端点110的元件执行,如上文中参考图1和图4所做的描述,以及由计算机500的元件执行,如上文中参考图5所做的描述。除了数据没有加密外,方法700与方法600相同。然而,凭借在操作740中生成的认证数据,数据仍然是安全的,如下所述。
在操作710中,端点110的包生成模块575访问要传输给具有相应标识符的目的端点的第一数据。在操作720中,包生成模块575生成IDSec包头(例如,使用数据结构225)。IDSec包头可同时指示目的端点120的定位器和标识符。
在操作730中,包生成模块575根据第一数据和IDSec包头生成第二数据。例如,可以将IDSec包头添加到待传数据的开始位置以生成第二数据。
在操作740中,认证模块570基于所述第二数据生成认证数据。例如,可以对第一数据和IDSec包头的不可变部分使用散列算法以生成认证数据。
在操作750中,包生成模块575根据所述第二数据和认证数据生成第三数据。例如,可以将所述认证数据添加到所述第二数据中。
在操作760中,包生成模块575根据对应于目的端点的标识符和非加密的第三数据生成第四数据。例如,可以将标识符添加到所述非加密的第三数据的开始位置。
在操作770中,包生成模块575将所述第四数据发往所述目的端点。例如,所述第四数据可以是使用数据结构265的完整数据包,通过数据面170发往所述目的端点120。
图8为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法800的流程图。方法800包括操作810、820、830、840、850、860、870和880。作为示例而非限制,方法800被描述为由端点120的元件执行,如上文中参考图1和图4所做的描述,以及由计算机500的元件执行,如上文中参考图5所做的描述。
在操作810中,认证模块570访问来自AH数据包的AH的安全参数索引(securityparameter index,SPI)。例如,端点120可接收数据结构300或数据结构390形式的数据包,每种数据结构都包含AH 310。所述AH 310可包含SPI。如IETF RFC 4302中所述,SPI可以是接收器用于标识与传入包绑定的安全关联的32位的值。
在操作820中,认证模块570访问来自AH数据包的ID包头的源ID和目的ID。例如,ID包头210是数据结构300和数据结构390这两者的组成部分,可包含源ID和目的ID。
在操作830中,认证模块570执行操作840至870中的一次或多次检查,在找到匹配条目时停止检查。
在操作840中,认证模块570在SAD中搜索{SPI,目的ID,源ID}的匹配条目。如果SAD中某个条目的SPI、目的ID和源ID与收到的AH数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
在操作850中,认证模块570在SAD中搜索{SPI,目的ID}的匹配条目。如果SAD中某个条目的SPI和目的ID与收到的AH数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
在操作860中,如果认证模块570为AH和ESP维持单个SPI空间,则认证模块在SAD中搜索{SPI}的匹配条目。如果SAD中某个条目的SPI与收到的AH数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
在操作870中,如果认证模块570为AH和ESP维持不同的SPI空间,则认证模块在SAD中搜索{SPI,协议}的匹配条目,其中协议是AH。如果SAD中某个条目的SPI和协议与收到的AH数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
如果在操作840至870中没有找到匹配条目,则收到的AH数据包在操作880中会被认证模块570丢弃,并记录可审计事件。可以向管理员通知该可审计事件。例如,认证模块570可以将其发送至管理员邮件地址。该通知可包括事件的日期/事件、源ID、目的ID、协议或它们的任意合适组合。
图9为示出了一些示例实施例的在ION中实现基于ID的数据面安全的方法900的流程图。方法900包括操作910、920、930、940、950、960、970和980。作为示例而非限制,方法900被描述为由端点120的元件执行,如上文中参考图1和图4所做的描述,以及由计算机500的元件执行,如上文中参考图5所做的描述。
在操作910中,认证模块570访问来自ESP数据包的ESP包头的安全参数索引(security parameter index,SPI)。例如,端点120可接收数据结构350或数据结构390形式的数据包,每种数据结构都包含ESP包头360。所述ESP包头360可包含SPI。如IETF RFC 4302中所述,SPI可以是接收器用于标识与传入包绑定的安全关联的32位的值。
在操作920中,认证模块570访问来自ESP数据包的ID包头的源ID和目的ID。例如,ID包头210是数据结构350和数据结构390这两者的组成部分,可包含源ID和目的ID。
在操作930中,认证模块570执行操作940至970中的一次或多次检查,在找到匹配条目时停止检查。
在操作940中,认证模块570在SAD中搜索{SPI,目的ID,源ID}的匹配条目。如果SAD中某个条目的SPI、目的ID和源ID与收到的ESP数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
在操作950中,认证模块570在SAD中搜索{SPI,目的ID}的匹配条目。如果SAD中某个条目的SPI和目的ID与收到的ESP数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
在操作960中,如果认证模块570为AH和ESP维持单个SPI空间,则认证模块在SAD中搜索{SPI}的匹配条目。如果SAD中某个条目的SPI与收到的ESP数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
在操作970中,如果认证模块570为AH和ESP维持不同的SPI空间,则认证模块在SAD中搜索{SPI,协议}的匹配条目,其中协议是ESP。如果SAD中某个条目的SPI和协议与收到的ESP数据包相同,则该匹配条目标识了与所述包绑定的安全关联。
如果在操作940至970中没有找到匹配条目,则收到的ESP数据包在操作980中会被认证模块570丢弃,并记录可审计事件。可以向管理员通知该可审计事件。例如,认证模块570可以将其发送至管理员邮件地址。该通知可包括事件的日期/事件、源ID、目的ID、协议或它们的任意合适组合。
本文公开的设备和方法可以减少在实现ION的基于ID的数据面安全性时所消耗的时间、处理器周期和功率。例如,本文公开的设备和方法可以在ION中实现安全通信而无需加密目的端点的标识符,从而在目的端点改变其网络位置的情况下能够更快速地恢复。通过减少发送到错误位置的数据包的数量,可以同时节省源端点和中间路由设备上的处理器周期和功耗。此外,通过不加密ID包头,数据路径中的中间节点可以对传输的数据包应用各种服务,例如防火墙、分布式拒绝服务(distributed denial of service,DDoS)保护、基于ID包头中的标识符的负载均衡。相比之下,现有的IPSec解决方案要么不加密要么加密ID包头,因此不允许加密隐私与面向ID的功能相结合。
尽管上文已经详细描述了一些实施例,但是其它修改也是可能的。例如,图中描绘的逻辑流程不需要所示出的特定顺序或相继次序来实现期望的结果。可以在所述流程中提供其它步骤或从所述流程中删除步骤,并且可以向所述系统添加其它组件或从其中移除其它组件。其它实施例可以在以下权利要求的范围内。

Claims (20)

1.一种由计算机执行的传输已加密数据的方法,其特征在于,包括:
发起端点的一个或多个处理器访问要传输到具有相应标识符的目的端的第一数据;
所述一个或多个处理器生成标识符安全包头;
所述一个或多个处理器根据所述第一数据和所述标识符安全包头生成第二数据;
所述一个或多个处理器加密所述第二数据;
所述一个或多个处理器基于所述加密的第二数据生成认证数据;
所述一个或多个处理器根据所述加密的第二数据和所述认证数据生成第三数据;
所述一个或多个处理器根据对应于所述目的端的标识符和所述第三数据生成第四数据;以及
所述一个或多个处理器将所述第四数据发往所述目的端。
2.根据权利要求1所述的由计算机执行的方法,其特征在于:
所述方法还包括:
生成发往所述目的端的位置的因特网协议(Internet protocol,IP)包头;以及
根据所述第四数据和所述IP包头生成第五数据,其中,
所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
3.根据权利要求1所述的由计算机执行的方法,其特征在于:
所述生成标识符安全包头包括生成初始化向量。
4.根据权利要求1所述的由计算机执行的方法,其特征在于:
所述根据所述第一数据和所述标识符安全包头生成第二数据是指将所述标识符安全包头添加到所述第一数据的开始位置。
5.根据权利要求1所述的由计算机执行的方法,其特征在于:
所述方法还包括:
根据所述第四数据和标识符安全协议版本号生成第五数据,其中,
所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
6.根据权利要求1所述的由计算机执行的方法,其特征在于,还包括:
向映射服务器注册所述发起端点支持的一种或多种加密方法。
7.根据权利要求6所述的由计算机执行的方法,其特征在于,还包括:
从所述映射服务器接收用于与所述目的端进行通信的加密方法的标识符,所述接收的标识符对应所述注册的加密方法之一。
8.根据权利要求7所述的由计算机执行的方法,其特征在于:
所述第三数据的所述加密包括使用所述标识的加密方法加密所述第三数据。
9.一种发起端点,其特征在于,包括:
包括指令的存储器;以及
与所述存储器通信的一个或多个处理器,其中所述一个或多个处理器执行所述指令以执行以下步骤:
访问要传输到具有相应标识符的目的端的第一数据;
生成标识符安全包头;
根据所述第一数据和所述标识符安全包头生成第二数据;
加密所述第二数据;
基于所述加密的第二数据生成认证数据;
根据所述加密的第二数据和所述认证数据生成第三数据;
根据对应于所述目的端的标识符和所述第三数据生成第四数据;以及
将所述第四数据发往所述目的端。
10.根据权利要求9所述的发起端点,其特征在于:
所述一个或多个处理器还执行以下步骤:
生成发往所述目的端的位置的因特网协议(IP)包头;以及
根据所述第四数据和所述IP包头生成第五数据,其中,
所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
11.根据权利要求9所述的发起端点,其特征在于:
所述生成标识符安全包头包括生成初始化向量。
12.根据权利要求9所述的发起端点,其特征在于:
所述根据所述第一数据和所述标识符安全包头生成第二数据是指将所述标识符安全包头添加到所述第一数据的开始位置。
13.根据权利要求9所述的发起端点,其特征在于:
所述一个或多个处理器还执行以下步骤:
根据所述第四数据和标识符安全协议版本号生成第五数据,其中,
所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
14.根据权利要求9所述的发起端点,其特征在于,所述一个或多个处理器还执行以下步骤:
向映射服务器注册所述发起端点支持的一种或多种加密方法。
15.根据权利要求14所述的发起端点,其特征在于,所述一个或多个处理器还执行以下步骤:
从所述映射服务器接收用于与所述目的端进行通信的加密方法的标识符,所述接收的标识符对应所述注册的加密方法之一。
16.根据权利要求15所述的发起端点,其特征在于:
所述加密所述第二数据包括使用所述标识的加密方法加密所述第二数据。
17.一种存储用于传输已加密数据的计算机指令的非瞬时性计算机可读介质,当所述计算机指令由一个或多个处理器执行时,使得所述一个或多个处理器执行以下步骤:
访问要传输到具有相应标识符的目的端的第一数据;
生成标识符安全包头;
根据所述第一数据和所述标识符安全包头生成第二数据;
加密所述第二数据;
基于所述加密的第二数据生成认证数据;
根据所述加密的第二数据和所述认证数据生成第三数据;
根据对应于所述目的端的标识符和所述第三数据生成第四数据;以及
将所述第四数据发送到所述目的端。
18.根据权利要求17所述的非瞬时性计算机可读介质,其特征在于:
所述一个或多个处理器还执行以下步骤:
生成发往所述目的端的位置的因特网协议(IP)包头;以及
根据所述第四数据和所述IP包头生成第五数据,其中,
所述将所述第四数据发往所述目的端是将所述第五数据发往所述目的端的一部分。
19.根据权利要求17所述的非瞬时性计算机可读介质,其特征在于:
所述生成标识符安全包头包括生成初始化向量。
20.根据权利要求17所述的非瞬时性计算机可读介质,其特征在于:
所述根据所述第一数据和所述标识符安全包头生成第二数据是指将所述标识符安全包头添加到所述第一数据的开始位置。
CN201880041419.8A 2017-06-30 2018-06-07 针对面向身份的网络的基于id的数据面安全 Active CN110832806B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/640,156 2017-06-30
US15/640,156 US10805082B2 (en) 2017-06-30 2017-06-30 ID-based data plane security for identity-oriented networks
PCT/CN2018/090193 WO2019001239A1 (en) 2017-06-30 2018-06-07 DATA PLAN SECURITY BASED ON IDENTIFIER (ID) FOR IDENTITY-ORIENTED NETWORKS

Publications (2)

Publication Number Publication Date
CN110832806A true CN110832806A (zh) 2020-02-21
CN110832806B CN110832806B (zh) 2021-08-31

Family

ID=64738367

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880041419.8A Active CN110832806B (zh) 2017-06-30 2018-06-07 针对面向身份的网络的基于id的数据面安全

Country Status (4)

Country Link
US (1) US10805082B2 (zh)
EP (1) EP3635909B1 (zh)
CN (1) CN110832806B (zh)
WO (1) WO2019001239A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3127711A1 (en) * 2019-04-25 2020-10-29 Deere & Company Systems, methods and controllers for secure communications
US10805210B1 (en) * 2019-09-20 2020-10-13 Juniper Networks, Inc. GRE tunneling with reduced packet encryption at intermediate routers using loose source routing
WO2023128723A1 (en) * 2022-01-03 2023-07-06 Samsung Electronics Co., Ltd. Method and device for selective user plane security in wireless communication system

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6292836B1 (en) * 1997-09-30 2001-09-18 Sony Corporation Communication method and communication apparatus
EP1523149A2 (en) * 2003-10-06 2005-04-13 Matsushita Electric Works, Ltd. Encryption error monitoring system and method for packet transmission
US20060262783A1 (en) * 2005-05-20 2006-11-23 Plamen Nedeltchev Approach for implementing IPsec in Performance Enhancing Proxy (PEP) environments
CN101018129A (zh) * 2006-12-31 2007-08-15 华东师范大学 公共安全播控媒体管理与识别其完整未被篡改的认证方法
CN101355422A (zh) * 2008-07-16 2009-01-28 冯振周 一种新型矢量加密认证机制
US20140208104A1 (en) * 2011-05-31 2014-07-24 Snu R&Db Foundation Id-based encryption and signature method and terminal
CN106603513A (zh) * 2016-11-30 2017-04-26 中国人民解放军理工大学 基于主机标识的资源访问控制方法以及系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US7062500B1 (en) * 1997-02-25 2006-06-13 Intertrust Technologies Corp. Techniques for defining, using and manipulating rights management data structures
US8719326B2 (en) * 2003-08-18 2014-05-06 S.F. Ip Properties 14 Llc Adaptive data transformation engine
US7280540B2 (en) 2001-01-09 2007-10-09 Stonesoft Oy Processing of data packets within a network element cluster
US8065713B1 (en) * 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7502474B2 (en) 2004-05-06 2009-03-10 Advanced Micro Devices, Inc. Network interface with security association data prefetch for high speed offloaded security processing
US20110119487A1 (en) 2009-11-13 2011-05-19 Velocite Systems, LLC System and method for encryption rekeying
US20110238985A1 (en) * 2010-03-24 2011-09-29 Nokia Corporation Method and apparatus for facilitating provision of content protected by identity-based encryption
US9886315B2 (en) * 2010-08-27 2018-02-06 Ebay Inc. Identity and semaphore-based quality of service
US9807205B2 (en) * 2015-11-02 2017-10-31 Cisco Technology, Inc. Header compression for CCN messages using dictionary
US10021222B2 (en) * 2015-11-04 2018-07-10 Cisco Technology, Inc. Bit-aligned header compression for CCN messages using dictionary

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6292836B1 (en) * 1997-09-30 2001-09-18 Sony Corporation Communication method and communication apparatus
EP1523149A2 (en) * 2003-10-06 2005-04-13 Matsushita Electric Works, Ltd. Encryption error monitoring system and method for packet transmission
US20060262783A1 (en) * 2005-05-20 2006-11-23 Plamen Nedeltchev Approach for implementing IPsec in Performance Enhancing Proxy (PEP) environments
CN101018129A (zh) * 2006-12-31 2007-08-15 华东师范大学 公共安全播控媒体管理与识别其完整未被篡改的认证方法
CN101355422A (zh) * 2008-07-16 2009-01-28 冯振周 一种新型矢量加密认证机制
US20140208104A1 (en) * 2011-05-31 2014-07-24 Snu R&Db Foundation Id-based encryption and signature method and terminal
CN106603513A (zh) * 2016-11-30 2017-04-26 中国人民解放军理工大学 基于主机标识的资源访问控制方法以及系统

Also Published As

Publication number Publication date
EP3635909A1 (en) 2020-04-15
EP3635909A4 (en) 2020-05-20
EP3635909B1 (en) 2021-02-24
US20190007211A1 (en) 2019-01-03
US10805082B2 (en) 2020-10-13
WO2019001239A1 (en) 2019-01-03
CN110832806B (zh) 2021-08-31

Similar Documents

Publication Publication Date Title
Tschofenig et al. Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things
CN105917689B (zh) 以信息为中心的网络中的安全的点对点组
JP6508688B2 (ja) エンドツーエンドサービス層認証
US8837729B2 (en) Method and apparatus for ensuring privacy in communications between parties
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
US7774594B2 (en) Method and system for providing strong security in insecure networks
US20170201382A1 (en) Secure Endpoint Devices
CN114503507A (zh) 安全的发布-订阅通信方法和设备
US20170126623A1 (en) Protected Subnet Interconnect
US12058260B2 (en) System and method for securing data
JP2017085559A (ja) 制限帯域幅を有するチャネルにおける効率的かつ強秘匿性の対称暗号化のためのシステムおよび方法
EP3442195B1 (en) Reliable and secure parsing of packets
CN110832806B (zh) 针对面向身份的网络的基于id的数据面安全
Rizzardi et al. Analysis on functionalities and security features of Internet of Things related protocols
Fossati RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things
Farinacci et al. Locator/ID separation protocol (LISP) data-plane confidentiality
CN112839062B (zh) 夹杂鉴权信号的端口隐藏方法和装置、设备
Mosko et al. Mobile sessions in content-centric networks
Hall-Andersen et al. nQUIC: Noise-based QUIC packet protection
CN114039812B (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
WO2018172776A1 (en) Secure transfer of data between internet of things devices
CN113225298A (zh) 一种报文验证方法及装置
Gerdes et al. RFC 9202: Datagram Transport Layer Security (DTLS) Profile for Authentication and Authorization for Constrained Environments (ACE)
US20240048559A1 (en) Rendering endpoint connection without authentication dark on network
US20210014054A1 (en) Cryptography system and method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant