CN114402564A - 建立安全性关联和认证以保护发起方与响应方之间的通信 - Google Patents

建立安全性关联和认证以保护发起方与响应方之间的通信 Download PDF

Info

Publication number
CN114402564A
CN114402564A CN202080064359.9A CN202080064359A CN114402564A CN 114402564 A CN114402564 A CN 114402564A CN 202080064359 A CN202080064359 A CN 202080064359A CN 114402564 A CN114402564 A CN 114402564A
Authority
CN
China
Prior art keywords
initiator
responder
security association
message
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202080064359.9A
Other languages
English (en)
Other versions
CN114402564B (zh
Inventor
R·哈特霍恩
P·德里费尔
C·科隆纳
M·泽
M·W·威尔士
R·M·斯泽普岑斯基
J·弗拉纳根
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN114402564A publication Critical patent/CN114402564A/zh
Application granted granted Critical
Publication of CN114402564B publication Critical patent/CN114402564B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

提供了用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品、系统和方法实施例。响应方从发起方接收安全性关联初始化消息以建立与响应方的安全性关联,该安全性关联初始化消息包括用于生成用于安全性关联的密钥的密钥材料。在建立安全性关联之后,响应方从发起方接收认证消息以对响应方进行编程以在响应方与发起方之间建立认证。响应于该认证消息,响应方向发起方发送认证消息响应以建立与响应方的认证。响应方在发送认证消息响应之后,响应方向发起方发送认证完成消息,以使发起方激活使用安全性关联和密钥来对响应方与发起方之间的通信进行加密和解密。

Description

建立安全性关联和认证以保护发起方与响应方之间的通信
技术领域
本发明涉及用于建立安全性关联和认证以保护发起方与响应方之间的通信的计算机程序产品、系统和方法。
背景技术
在光纤通道环境中,为了提供光纤通道架构中的节点之间的安全和加密通信,使用安全性建立协议在SA_Initiator与SA_Responder之间进行安全性关联(SA)管理事务。安全性关联管理协议可以由光纤通道认证协议的认证响应方发起。发起方和响应方可以包括在光纤通道网络中的设备中的主机总线适配器中的端口。为端口处的数据发送和数据接收建立单独的安全性关联。SA建立事务的完成导致一组安全性关联和相关的密钥材料,它们被用于在所建立的安全性关联下加密/解密发起方与目标之间的数据通信。
用于保护安全性关联中的数据以便进行发送和接收的密码密钥可以作为密钥更新(rekey)操作的一部分而被周期性地刷新,密钥更新操作涉及重复安全建立协议和重新认证。安全性关联协议的一个示例是T11光纤通道安全性协议标准FC-SP-2中的安全性关联管理协议,其类似于由诸如因特网密钥交换版本2(IKEv2)之类的因特网协议标准定义的协议。该协议包括一对消息SA_Init和SA_Init Response以建立父关联,其后是一对消息SA_Auth和SA_Auth Response以执行实体的认证并建立保护实体之间传送的数据的安全性关联。
当使用重新认证来执行密钥更新操作时,在发起方和目标处维持多个安全性关联,直到删除旧的安全性关联为止。在特定实现中,为了避免在该时间期间的业务丢失,使用新的安全性关联的数据传输被一直延迟,直到从响应方接收到删除请求之后的某个时间为止。如果在用于建立新的安全性关联的消息传递中发生错误,则可能导致不一致的状态和业务丢失。
在本领域中需要用于为节点之间的数据传输建立安全性关联的改进技术。因此,在本领域中需要解决上述问题。
发明内容
从第一方面来看,本发明提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括具有在响应方处实现的计算机可读程序代码的计算机可读存储介质,所述计算机可读程序代码在被执行时执行操作,所述操作包括:从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。
从另一方面来看,本发明提供了一种用于通过网络在发起方与响应方之间进行安全通信的系统,包括:处理器:计算机可读存储介质,其具有在所述响应方处实现的计算机可读程序代码,所述计算机可读程序代码在被执行时执行操作,所述操作包括:从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。从另一方面来看,本发明提供了一种用于通过网络在发起方与响应方之间进行安全通信的系统,包括:处理器:计算机可读存储介质,其具有在所述响应方处实现的计算机可读程序代码,所述计算机可读程序代码在被执行时执行操作,所述操作包括:维持与所述发起方的第一安全性关联,所述第一安全性关联具有用于对与所述发起方传输的消息进行加密和解密的第一密钥;执行密钥更新操作以建立使用第二密钥的与所述发起方的第二安全性关联;在完成所述密钥更新操作之后,对输入/输出I/O排队以用于使用所述第二密钥进行传输;响应于激活所述第二安全性关联以用于传输,启动无效定时器,其中,在所述无效定时器启动之后期满之前,所述第一密钥和所述第二密钥两者能够被用于与所述发起方的传输;以及响应于所述无效定时器的期满,使所述第一安全性关联无效。
从另一方面来看,本发明提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,其可由处理电路读取并且存储用于由所述处理电路执行以用于执行用于执行本发明的步骤的方法的指令。
从另一方面来看,本发明提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,其可由处理电路读取并且存储用于由所述处理电路执行以用于执行用于执行本发明的步骤的方法的指令。
从另一方面来看,本发明提供了一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括具有在所述响应方处实现的计算机可读程序代码的计算机可读存储介质,所述计算机可读程序代码在被执行时执行操作,所述操作包括:从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。
提供了用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品、系统和方法实施例。所述响应方从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料。在建立所述安全性关联之后,所述响应方从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证。响应于所述认证消息,所述响应方向所述发起方发送认证消息响应以建立与所述响应方的认证。在发送所述认证消息响应之后,所述响应方向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。
上述实施例通过使响应方发送认证完成消息以向发起方确认响应方已经成功完成认证并且已经激活新的安全性关联以便立即使用(这使发起方激活安全性关联),避免了在建立节点的安全性关联和认证时由于错误而导致的不一致状态。这允许发起方在从响应方接收到认证完成消息时开始使用新的安全性关联进行传输,因为由认证完成消息向发起方确保响应方已经成功完成认证并且激活了新的安全性关联消息。
还提供了用于通过网络在发起方与响应方之间进行安全通信并执行密钥更新操作的计算机程序产品、系统和方法实施例。所述响应方维持与所述发起方的第一安全性关联,所述第一安全性关联具有用于对与所述发起方传输的消息进行加密和解密的第一密钥。所述响应方执行密钥更新操作以建立使用第二密钥的与所述发起方的第二安全性关联,在完成所述密钥更新操作之后,对输入/输出I/O排队以用于使用所述第二密钥进行传输。响应于激活所述第二安全性关联以用于传输,所述响应方启动无效定时器。在所述无效定时器启动之后期满之前,所述第一密钥和所述第二密钥两者能够被用于与所述发起方的传输。响应于所述无效定时器的期满,所述响应方使所述第一安全性关联无效。
通过上述实施例,响应方可以发起密钥更新操作以生成第二安全性关联以供在响应方处使用。在激活第二安全性关联之后,响应方启动无效定时器,以在使第一安全性关联无效之前等待,以提供时间来清仓使用第一安全性关联保护的I/O,使得在无效定时器期间能够使用第一密钥和第二密钥两者。因此,当响应方在无效定时器期满之后使第一安全性关联无效时,响应方被确保第一安全性关联对于系统中的任何未决传输是不需要的。
实施例的主题可以可选地包括响应于所述认证完成消息而从所述发起方接收接受消息的可选实施例。在发送所述认证完成消息之前,激活所述安全性关联和针对所述安全性关联生成的密钥以用于通信。响应于接收到所述接受消息,在所述发起方与所述响应方之间建立认证。
利用上述可选实施例,通过使响应方从发起方接收认证完成消息的接受消息以向响应方发信号通知发起方和响应方都已经激活安全性关联以供使用并且安全性关联现在可以被用于进一步的传输,来协调安全性关联和认证。
上述实施例的主题可以可选地包括可选实施例,即,所述接受消息包括第二接受消息。所述响应方响应于所述认证消息响应,从所述发起方接收第一接受消息。响应于所述第一接受消息,所述响应方激活所述安全性关联以使用用于所述安全性关联的密钥来加密和解密用于所述发起方的消息。所述认证完成消息是在接收到所述第一接受消息之后被发送的。利用上述可选实施例,在认证完成之后,响应方响应于认证响应消息而从发起方接收第一接受消息以使响应方激活安全性关联,然后响应方通过第一接受消息之后的认证完成消息来发信号通知它已经激活安全性关联。这允许发起方与响应方之间关于两者何时已激活安全性关联的协调。
上述实施例的主题可以可选地包括可选实施例,即,所述发起方包括主机系统,所述响应方包括向所述主机系统提供对存储资源的访问的存储控制器。针对在所述主机系统处的发起方端口和在所述存储控制器处的响应方端口,建立所述安全性关联和认证。
利用上述可选实施例,主机可以实现发起方以建立与存储控制器处的端口的安全性关联。使主机用作与存储控制器建立安全性关联中的发起方避免了必须在节点之间协商将用作发起方的节点。
上述实施例的主题可以可选地包括用于密钥更新操作的可选实施例,即,所述响应方从所述发起方接收安全性关联初始化消息以接受所述第二安全性关联,所述安全性关联初始化消息包括用于生成用于所述第二安全性关联的第二密钥的密钥材料。在所述安全性关联初始化消息之后,所述响应方从所述发起方接收认证消息以在所述响应方与所述发起方之间建立认证。在响应于所述认证消息而认证所述发起方之后,所述响应方向所述发起方发送认证响应消息。
利用上述可选实施例,在响应方发送认证完成消息以用信号通知认证已经完成并且第二密钥已经被激活以供使用的时刻,发起方对它何时启动无效定时器以使第一安全性关联无效进行协调。
附图说明
现在将参照优选实施例仅通过示例的方式描述本发明,如以下附图所示:
图1示出了网络计算环境的实施例;
图2示出了主机总线适配器的实施例;
图3示出了安全性关联的实施例;
图4示出了用于在发起方节点与响应方节点之间建立安全性关联和认证的操作的实施例;
图5示出了用于图4的操作的消息流;
图6示出了用于执行密钥更新操作以生成发起方节点与响应方节点之间的新的安全性关联和认证并删除旧的安全性关联的操作的实施例;
图7示出了用于图6的操作的消息流;
图8示出了其中可实现图1的组件的计算环境。
具体实施方式
所描述的实施例提供了对用于在网络中的发起方与响应方之间建立安全性关联的计算机技术的改进。所描述的实施例通过使响应方节点向发起方发送最终认证完成消息,避免了在建立节点的安全性关联和认证时由于错误而导致的不一致状态。响应方发送认证完成消息以向发起方确认响应方已经成功完成认证并且已经激活新的安全性关联以供立即使用。这允许响应方在完成安全性关联管理事务时开始使用新的安全性关联进行传输,而不是等待删除旧的安全性关联。在所描述的实施例中,在针对使用用于旧的安全性关联的密钥所编码的那些消息建立了新的安全性关联之后的一段时间内,针对数据的接收维持旧的安全性关联。延迟具有足够的长度,以允许在删除旧的安全性关联之前从系统中清仓使用旧的安全性来编码的所有消息。这消除了任何潜在的丢失问题,因为一旦旧的安全性关联被移除,就不能处理(解密)用旧的安全性关联加密(保护)的消息。
图1示出了网络计算环境100的实施例,其中多个主机1021、1022…102n可以通过光纤通道架构(网络)106向存储控制器104提交输入/输出(I/O)请求,以访问存储装置110中的卷108(例如,逻辑单元号、逻辑设备、逻辑子系统等)处的数据。存储控制器104包括一个或多个处理器112和I/O管理器114,以用于管理在主机1021、1022…102n与存储装置之间传送的轨道的传送。轨道可以包括在存储装置110中配置的任何数据单位,例如轨道、逻辑块地址(LBA)、存储单元、单元组(例如,列、行或单元阵列)、扇区、段等,轨道可以是更大的轨道组(例如卷、逻辑设备等)的一部分。
如关于主机102i所示,每个主机具有一个或多个主机总线适配器(HBA)200H,其具有多个端口210H1...210Hn以连接到交换机的光纤通道架构106。存储控制器140包括一个或多个主机总线适配器(HBA)200SC,其具有多个端口210SC1... 210SCn以连接到交换机的光纤通道架构106。替代地,主机端口210Hi和存储控制器端口210SCi可以经由电缆直接连接。
在一个实施例中,光纤通道架构106可以包括存储区域网络(SAN),其包括利用光纤通道拓扑实现。210Hi、210SCi可以包括连接到光纤通道架构106中的光纤通道交换机的光纤通道节点。在替代实施例中,光纤通道架构106可包括其它类型的网络,例如局域网(LAN)、广域网(WAN)、因特网以及内联网等。替代地,主机1021、1022…102n可以通过总线接口(例如,外围组件互连(PCI)总线接口和本领域公知的其它接口)连接到存储控制器104。
在所描述的实施例中,关于光纤通道协议描述了发起方端口与响应方端口之间的消息传送。在替代实施例中,替代网络协议可用于在发起建立新的安全性关联和认证的发起方节点与响应建立用于一对端口的新的安全性关联和认证的请求的响应方节点之间传输消息。
作为在此使用的术语,“发起方”是指在发起与响应方的安全性关联和认证的建立中涉及的任何设备,“响应方”是指在响应由发起方发起的安全性关联和认证的建立以提供发起方与响应方之间的安全通信中涉及的任何设备。用作发起方和响应方的元素可以被称为发起方和响应方,其也可以被称为发起方端口和响应方端口、发起方节点和响应方节点、发起方HBA和响应方HBA、发起方的源节点和响应方的目标节点、发起方的主机端口和响应方的存储控制器端口等。
光纤通道架构控制器202和安全性关联管理器206可包括加载到存储器中并由一个或多个处理器执行的程序代码。替代地,一些或所有功能可以被实现为在存储控制器104中的硬件设备中(例如在专用集成电路(ASIC)中)的微代码或固件。
存储装置110可以包括本领域已知的一个或多个存储设备,诸如由固态电子器件组成的固态存储设备(SSD)、NAND存储单元、EEPROM(电可擦除可编程只读存储器)、闪存、闪存盘、随机存取存储器(RAM)驱动器、存储级存储器(SCM)、相变存储器(PCM)、电阻随机存取存储器(RRAM)、自旋转移扭矩存储器(STM-RAM)、导电桥接RAM(CBRAM)、磁性硬盘驱动器、光盘、磁带等。存储设备还可以被配置成设备阵列,诸如简单磁盘捆绑(JBOD)、直接存取存储设备(DASD)、独立磁盘冗余阵列(RAID)、虚拟化设备等。此外,存储设备可以包括来自不同供应商或来自同一个供应商的异构存储设备。图2示出了主机总线适配器(HBA)200I(例如主机HBA 200H和存储控制器HBA 200SC)的实施例。HBA 200I包括:光纤控制器202,其实现光纤协议,例如光纤通道协议或本领域已知的其它网络协议,以初始化和认证连接并管理I/O操作;I/O队列204,其用于将与其它设备上的其它HBA端口有关的发送或接收的I/O请求排队;安全性关联索引300,其具有初始化后的安全性关联,并提供密钥以加密和解密来自另一光纤通道架构端口的数据;安全性关联管理器206,其用于与光纤通道架构106中的另一节点端口协商并建立安全性关联300i,其中一个节点处的一个端口用作发起方,以与另一节点上用作响应方的端口通信;以及无效定时器208,其用于确定在执行密钥更新操作以建立新的安全性关联和用于加密/解密的新密钥之后何时使先前的安全性关联无效。HBA200i包括一个或多个端口2101…210n,其可以用作发起方端口或响应方端口以在光纤通道架构106上通信。
安全性关联管理器206还可以实现认证协议以彼此认证发起方和响应方的身份,以作为建立用于发起方端口与响应方端口之间的安全性关联对的安全性关联的一部分。在特定实施例中,在安全性关联交换完成之后,可以交换认证消息以认证发起方端口与响应方端口以及交换标识。为了描述在发起方端口与响应方端口之间建立安全性关联和认证,参考主机HBA 200H中的发起方端口118I和存储控制器HBA 200SC中的响应方端口122R。在另外的实施例中,发起方端口和响应方端口可以在通过光纤通道架构106通信的其他类型的设备中实现。
图3示出了安全性关联索引300中的安全性关联300i的实例的实施例,并且包括:安全性关联(SA)号302;一个或多个密钥304,其用于加密和解密与另一节点的消息;角色306,其指示安全性关联中涉及的本地端口308是发起方还是响应方;远程端口310,其在安全性关联302中涉及的另一设备处,并经历与本地端口308的安全传输;安全性关联属性312,例如用于加密/解密消息的变换类型、变换属性、随机数(nonce)、以及用于作为种子和生成密钥的密钥材料;以及活动标志314,其指示安全性关联300i是否被活动地用于加密和解密消息。消息将在用于加密和解密消息的安全性关联的报头中指示安全性关联号302。图4示出了由在两个HBA 200I中实现的安全性关联管理器206执行的操作的实施例,一个HBA200I用作发起方HBA 200I,其从发起方HBA 200I中的发起方端口210I发起安全性关联管理事务,另一个HBA 200I用作响应方HBA 200R,其响应在响应方HBA 200R中的响应方端口210R处的安全性关联管理事务。在一个实现中,主机HBA 200H用作发起方,而存储控制器HBA200SC用作响应方。在另外的实施例中,设备的其它组合可以具有作为不同端口的发起方或响应方来操作的HBA。为了发起建立安全性关联300I的操作,发起方HBA 200I从发起方端口210I向响应方端口210R发送(在方块400)安全性关联初始化消息(SA_Init),以建立与响应方端口210R的安全性关联,SA_Init包括用于创建加密密钥的密钥材料。在接收到(在方块402)安全性关联初始化消息时,响应方HBA 200R向发起方端口210I发送(在方块404)安全性关联初始化消息的接受以便处理。在光纤通道协议实现中,指示对所接收消息的处理的接受消息可以采取链路服务接受消息(LS_ACC)的形式。在发送接受之后,响应方HBA 200R向发起方端口210I发送(在方块406)初始化响应消息(SA_Init_Resp)以接受安全性关联,包括用于加密/解密的所选变换方法。安全性关联初始化消息可包括多个不同的加密变换方法,响应方HBA 210R可从这些方法中进行选择以用于正在被建立的安全性关联300i。
一旦接收到发送的初始化响应消息(SA_Init Resp),发起方HBA 200I就向响应方端口210R发送(在方块408)初始化响应消息被接受以用于处理的接受(LS_ACC),然后向响应方端口210R发送(在方块410)认证消息(SA_Auth),以对响应方端口210R编程,从而在响应方与发起方之间建立认证,SA_Auth包括发起方身份信息。发起方身份信息可包括用于具有发起方端口210I的实体(例如主机102I)的证书。在接收到安全性关联认证消息(SA_Auth)后,响应方HBA 210R向发起方端口210I发送(在方块412)认证消息被接受以用于处理的接受消息(LS_ACC),然后生成(在方块414)安全性关联300I,其包括用来自发起方端口210I的消息执行解密和加密所需的一个或多个密钥304,以编程在响应方安全性关联索引300中,从而指示针对安全性关联300I生成的密钥和其它信息。在用响应方端口210R的安全性关联300I对响应方HBA 210R编程之后,响应方HBA 210R向发起方端口210I发送(在方块416)认证响应消息(SA_Auth Resp)以接受认证,SA_Auth Resp包括响应方身份信息,例如包括响应方HBA 200R的实体(例如存储控制器104)的身份。
在接收到安全性关联验证响应消息后,发起方HBA 200I生成(在框418)安全性关联300I,以编程在发起方安全性关联索引300中,以指示针对安全性关联300I生成的密钥304和其他信息。在将安全性关联300I编程到发起方索引300中之后,发起方HBA 200I向响应方端口210R发送(在方块420)认证消息被接受以用于处理的接受(LS_ACC)。在接收到接受后,响应方HBA 200R激活(在方块422)所创建的安全性关联300I,例如通过设置激活标志314,以便开始使用针对安全性关联300I生成的密钥304来向发起方端口210I传送。在激活安全性关联之后,响应方HBA 200R向发起方端口210I发送(在框424)认证完成消息(AUTH Done),其指示安全性关联初始化和认证都已完成,并且现在可以使用用于新建立的安全性关联300I的密钥304对传输进行加密和解密。在接收到认证完成消息后,发起方HBA 200I激活(在块426)所创建的安全性关联300I,例如通过设置活动标志314,以开始使用针对安全性关联300I生成的密钥304来向响应方端口210R发送。在激活安全性关联之后,发起方HBA 200I向响应方端口220R发送(在方块428)安全性关联300I被激活的接受(LS_ACC),并开始使用新的安全性关联密钥304向响应方端口210R发送(在方块430)I/O。图5提供了说明图4中的消息流和操作时序的时序图,其中传输用图4中的对应块来编号
利用图4和5的实施例,响应方HBA 200R通过发送认证完成消息来提供建立安全性关联和认证的所有步骤已经成功完成的通知(在框424)。一旦发起方HBA 200I接受在安全性关联300I已经在节点处被编程之后发生的认证完成消息,则发起方节点和响应方节点两者可以开始用新的安全性关联300I和密钥304进行传输。利用认证完成消息,响应方发信号通知利用新密钥304进行发送的能力,以及发信号通知发起方也使用新安全性关联的新密钥304开始发送。这样,通过所描述的实施例,安全性关联管理协议被与相互认证相结合,以允许发起方和响应方使用新的安全性关联开始安全传输。
此外,通过所描述的实施例,主机102i可以在与存储控制器104建立安全性关联时总是充当发起方,以避免必须在节点之间协商将充当发起方的节点。
图6示出了在发起方HBA 200I与响应方HBA 200R之间执行的操作的实施例,这些操作用于执行密钥更新操作以针对新的子密钥建立新的安全性关联,以便在根据图4和5的操作建立初始安全性关联之后用于将来传输。为了启动密钥更新操作以创建新的安全性关联300I和密钥304,发起方HBA 200I执行(在块600)在图4中的块400、408、410、418、420、426、428的操作,以建立安全性关联并对新的安全性关联执行认证。响应方HBA 200R执行(在块602)在图4中的块402、404、406、412、414、416的操作,以建立安全性关联300i并执行对密钥更新操作的认证。在接收到由发起方HBA 200I在框420发送的对认证响应消息的接受后,响应方HBA 200R在(框424)发送认证完成之前,在激活安全性关联300I(在框422)时启动(在框604)无效定时器208。一旦无效定时器208期满(在方块606),响应方HBA 200R就使任何未决的活动安全性关联300i-1无效(在方块608)。一旦使先前的安全性关联无效,响应方HBA200R将只使用作为密钥更新操作的一部分而创建的新的安全性关联300i。此外,当发起方HBA200I发送对认证完成的接受时(在框428),发起方HBA 200I还将启动(在框610)它自己的无效定时器208。在无效定时器208期满(在块612)时,使发起方HBA 200I处的先前安全性关联300I-1无效(在块614)。
图7提供了说明图6中的消息流和密钥更新操作的时序的时序图,其中传输用图6中的相应块来编号。图7中所示的来自图4的参考标号表示如关于图6中所述的第二或新安全性关联的建立而执行的图4的安全性关联初始化操作。
对于图6和7的操作的实施例,在完成密钥更新操作之后,发起方端口210I和响应方端口210R都已经开始使用新的传输密钥对I/O请求进行排队以用于传输。此外,发起方和响应方两者启动无效定时器208,其提供足够的时间以允许在使处理在新密钥激活之前发送的I/O请求所需的先前安全性关联300I-1无效之前,使用先前密钥和安全性关联300I-1发送的所排队的I/O请求被处理并从I/O队列204中被清仓。这样,到先前的安全性关联300I-1被无效时,在使用先前的安全性关联300I-1加密的I/O队列204中可能不再有I/O请求,此外,在一个实施例中,响应方HBA 200R可以在发起方HBA 200I之前启动无效定时器208,因为响应方响应于接受(在方块422)激活新的安全性关联,然后发起方响应于稍后发送的认证完成消息(在方块424)激活其新的安全性关联。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令的计算机可读存储介质(或多个介质),这些计算机可读程序指令用于使处理器执行本发明的各方面。
计算机可读存储介质可以是能够保留和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式光盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、诸如上面记录有指令的打孔卡或凹槽中的凸起结构的机械编码装置,以及上述的任何适当组合。如本文所使用的计算机可读存储介质不应被解释为暂时性信号本身,诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤线缆的光脉冲)、或通过导线传输的电信号。
本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备,或者经由网络(例如因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言(包括面向对象的编程语言,例如Java、Smalltalk、C++等)和常规过程编程语言(例如“C”编程语言或类似的编程语言)的任意组合编写的源代码或目标代码。计算机可读程序指令可以完全在用户的计算机上执行,部分在用户的计算机上执行,作为独立的软件包执行,部分在用户的计算机上并且部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络连接到用户的计算机,包括局域网(LAN)或广域网(WAN),或者可以连接到外部计算机(例如,使用因特网服务提供商通过因特网)。在一些实施例中,为了执行本发明的各方面,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化。
在此参考根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各方面。将理解,流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图的一个或多个框中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储介质中,其可以引导计算机、可编程数据处理装置和/或其他设备以特定方式工作,使得其中存储有指令的计算机可读存储介质包括制品,该制品包括实现流程图和/或框图的一个或多个框中指定的功能/动作的各方面的指令。
计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图的一个或多个框中指定的功能/动作。
附图中的流程图和框图示出了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。在这点上,流程图或框图中的每个框可以表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些替代实施方案中,框中所注明的功能可不按图中所注明的次序发生。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能。还将注意,框图和/或流程图图示的每个框以及框图和/或流程图图示中的框的组合可以由执行指定功能或动作或执行专用硬件和计算机指令的组合的专用的基于硬件的系统来实现。
图1和2的计算组件(包括主机1021、1022…102n、存储控制器104和主机总线适配器200i)可以在一个或多个计算机系统(诸如图8所示的计算机系统802)中实现。计算机系统/服务器802可以在计算机系统执行的诸如程序模块的计算机系统可执行指令的一般上下文中描述。通常,程序模块可以包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器802可以在分布式云计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。在分布式云计算环境中,程序模块可以位于包括存储器存储设备的本地和远程计算机系统存储介质中。
如图8所示,计算机系统/服务器802以通用计算设备的形式示出。计算机系统/服务器802的组件可以包括但不限于一个或多个处理器或处理单元804、系统存储器806、以及将包括系统存储器806在内的各种系统组件耦接到处理器804的总线808。总线808表示若干类型的总线结构中的任何一种的一个或多个,包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用各种总线体系结构中的任何一种的处理器或局部总线。作为示例而非限制,这些体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围组件互连(PCI)总线。
计算机系统/服务器802通常包括各种计算机系统可读介质。这样的介质可以是可由计算机系统/服务器802访问的任何可用介质,并且它包括易失性和非易失性介质、可移动和不可移动介质。
系统存储器806可包括易失性存储器形式的计算机系统可读介质,诸如随机存取存储器(RAM)810和/或高速缓存存储器812。计算机系统/服务器802还可以包括其他可移动/不可移动、易失性/非易失性计算机系统存储介质。仅作为示例,存储系统813可被提供用于从不可移动、非易失性磁介质(未示出,并且通常被称为“硬盘驱动器”)读取和向其写入。尽管未示出,但是可以提供用于从可移动、非易失性磁盘(例如,“软盘”)读取和向其写入的磁盘驱动器,以及用于从诸如CD-ROM、DVD-ROM或其它光学介质等可移动、非易失性光盘读取或向其写入的光盘驱动器。在这样的实例中,每个可以通过一个或多个数据介质接口连接到总线808。如下面将进一步描绘和描述的,存储器806可以包括至少一个程序产品,该程序产品具有一组(例如,至少一个)程序模块,该程序模块被配置成执行本发明的实施例的功能。
作为示例而非限制,具有一组(至少一个)程序模块816的程序/实用程序814以及操作系统、一个或多个应用程序、其它程序模块和程序数据可被存储在存储器806中。操作系统、一个或多个应用程序、其它程序模块和程序数据或其某种组合中的每一个可包括联网环境的实现。计算机802的组件可以被实现为程序模块816,其通常执行如在此所描述的本发明的实施例的功能和/或方法。图1的系统可以在一个或多个计算机系统802中实现,其中如果它们在多个计算机系统802中实现,则计算机系统可以通过网络通信。
计算机系统/服务器802还可与一个或多个外部设备818通信,诸如键盘、指点设备、显示器820等;一个或多个设备,其使得用户能够与计算机系统/服务器802交互;和/或使计算机系统/服务器802能够与一个或多个其它计算设备通信的任何设备(例如,网卡、调制解调器等)。这种通信可以经由输入/输出(I/O)接口822发生。此外,计算机系统/服务器802可以经由网络适配器824与诸如局域网(LAN)、通用广域网(WAN)和/或公共网络(例如,因特网)之类的一个或多个网络通信。如所描绘的,网络适配器824经由总线808与计算机系统/服务器802的其他组件通信。应当理解,尽管未示出,但是可以结合计算机系统/服务器802使用其他硬件和/或软件组件。实例包括但不限于:微码、设备驱动器、冗余处理单元、外部磁盘驱动器阵列、RAID系统、磁带驱动器、以及数据档案存储系统等。
术语“实施例”、“多个实施例”、“该实施例”、“这些实施例”、“一个或多个实施例”、“一些实施例”和“一个实施例”表示“本发明的一个或多个(但不是全部)实施例”,除非另有明确说明。
术语“包括”、“包含”、“具有”及其变体表示“包括但不限于”,除非另有明确说明。
除非另外明确规定,否则列举的项目列表并不意味着任何或所有项目是互斥的。
术语“一”、“一个”和“该”表示“一个或多个”,除非另有明确说明。
除非另外明确指出,否则彼此通信的设备不需要彼此连续通信。另外,彼此通信的设备可以直接通信或通过一个或多个中间物间接通信。
具有彼此通信的若干组件的实施例的描述并不暗示需要所有此类组件。相反,描述了各种可选组件以说明本发明的各种可能的实施例。
当在此描述单个设备或产品时,很明显,可以使用多于一个的设备/产品(无论它们是否协作)来代替单个设备/产品。类似地,在本文描述了多于一个设备或产品(无论它们是否协作)的情况下,将容易明白的是,可以使用单个设备/产品来代替多于一个设备或产品,或者可以使用不同数量的设备/产品来代替所示数量的设备或程序。设备的功能和/或特征可以替代地由一个或多个未明确描述为具有这样的功能/特征的其他设备来体现。因此,本发明的其它实施例不需要包括该设备本身。
为了说明和描述的目的,已经给出了本发明的各种实施例的上述描述。其不是穷举的,也不是要将本发明限制为所公开的精确形式。根据上述教导,许多修改和变化是可能的。本发明的范围不是由该详细描述来限定,而是由所附权利要求来限定。上述说明、示例和数据提供了对本发明的组成的制造和使用的完整描述。由于在不脱离本发明的精神和范围的情况下可以做出本发明的许多实施例,因此本发明在于所附权利要求书。

Claims (17)

1.一种用于通过网络在发起方与响应方之间进行安全通信的方法,包括:
由所述响应方维持与所述发起方的第一安全性关联,所述第一安全性关联具有用于对与所述发起方传输的消息进行加密和解密的第一密钥;
由所述响应方执行密钥更新操作以建立使用第二密钥的与所述发起方的第二安全性关联;
在完成所述密钥更新操作之后,由所述响应方对输入/输出I/0排队以用于使用所述第二密钥进行传输;
响应于激活所述第二安全性关联以用于传输,由所述响应方启动无效定时器,其中,在所述无效定时器启动之后期满之前,所述第一密钥和所述第二密钥两者能够被用于与所述发起方的传输;以及
响应于所述无效定时器的期满,由所述响应方使所述第一安全性关联无效。
2.根据权利要求1所述的方法,还包括:
由所述响应方从所述发起方接收安全性关联初始化消息以接受所述第二安全性关联,所述安全性关联初始化消息包括用于生成用于所述第二安全性关联的所述第二密钥的密钥材料;
在所述安全性关联初始化消息之后,由所述响应方从所述发起方接收认证消息以在所述响应方与所述发起方之间建立认证;以及
在响应于所述认证消息而认证所述发起方之后,由所述响应方向所述发起方发送认证响应消息。
3.根据权利要求2所述的方法,还包括:
在发送所述认证响应消息之后,由所述响应方向所述发起方发送认证完成消息,其中,所述认证完成消息使得所述发起方:激活所述第二安全性关联以使用所述第二密钥加密和解密通信;以及启动在所述发起方处的无效定时器,以响应于在所述发起方处的所述无效定时器的期满而在所述发起方处使所述第一安全性关联无效。
4.根据权利要求2或3所述的方法,还包括:
响应于来自所述发起方的所述认证消息,由所述响应方在所述响应方处对所述第二安全性关联进行编程,其中,在所述响应方处对所述第二安全性关联进行编程之后,所述认证响应消息被发送到所述发起方。
5.根据权利要求2至4中任一项所述的方法,还包括:
响应于从所述发起方接收的所述认证消息,由所述响应方向所述发起方发送包括响应方身份的认证消息响应;以及响应于所述认证消息响应,由所述响应方从所述发起方接收接受消息;以及
响应于所述接受消息,由所述响应方激活所述第二安全性关联以用于传输,以及激活在所述响应方处的无效定时器以响应于所述无效定时器期满而使所述第一安全性关联无效。
6.一种用于通过网络在发起方与响应方之间进行安全通信的系统,包括:
处理器:
计算机可读存储介质,其具有在所述响应方处实现的计算机可读程序代码,所述计算机可读程序代码在被执行时执行操作,所述操作包括:
从所述发起方接收安全性关联初始化消息以建立与所述响应方的安全性关联,所述安全性关联初始化消息包括用于生成用于所述安全性关联的密钥的密钥材料;
在建立所述安全性关联之后,从所述发起方接收认证消息以对所述响应方进行编程以在所述响应方与所述发起方之间建立认证;
响应于所述认证消息,向所述发起方发送认证消息响应以建立与所述响应方的认证;以及
在发送所述认证消息响应之后,向所述发起方发送认证完成消息,以使所述发起方激活使用所述安全性关联和所述密钥来对所述响应方与所述发起方之间的通信进行加密和解密。
7.根据权利要求6所述的系统,其中,所述操作还包括:
响应于所述认证完成消息,从所述发起方接收接受消息,其中,在发送所述认证完成消息之前,所述安全性关联和针对所述安全性关联生成的密钥被激活以用于通信,其中,响应于接收到所述接受消息,在所述发起方与所述响应方之间建立认证。
8.根据权利要求7所述的系统,其中,所述接受消息包括第二接受消息,其中,所述操作还包括:
响应于所述认证消息响应,从所述发起方接收第一接受消息;以及
响应于所述第一接受消息,激活所述安全性关联以使用用于所述安全性关联的密钥来加密和解密用于所述发起方的消息,其中,所述认证完成消息是在接收到所述第一接受消息之后被发送的。
9.根据权利要求6至8中任一项所述的系统,其中,所述发起方包括主机系统,所述响应方包括向所述主机系统提供对存储资源的访问的存储控制器,并且其中,针对在所述主机系统处的发起方端口和在所述存储控制器处的响应方端口,建立所述安全性关联和认证。
10.一种用于通过网络在发起方与响应方之间进行安全通信的系统,包括:
处理器:
计算机可读存储介质,其具有在所述响应方处实现的计算机可读程序代码,所述计算机可读程序代码在被执行时执行操作,所述操作包括:
维持与所述发起方的第一安全性关联,所述第一安全性关联具有用于对与所述发起方传输的消息进行加密和解密的第一密钥;
执行密钥更新操作以建立使用第二密钥的与所述发起方的第二安全性关联;
在完成所述密钥更新操作之后,对输入/输出I/O排队以用于使用所述第二密钥进行传输;
响应于激活所述第二安全性关联以用于传输,启动无效定时器,其中,在所述无效定时器启动之后期满之前,所述第一密钥和所述第二密钥两者能够被用于与所述发起方的传输;以及
响应于所述无效定时器的期满,使所述第一安全性关联无效。
11.根据权利要求10所述的系统,其中,所述操作还包括:
从所述发起方接收安全性关联初始化消息以接受所述第二安全性关联,所述安全性关联初始化消息包括用于生成用于所述第二安全性关联的所述第二密钥的密钥材料;
在所述安全性关联初始化消息之后,从所述发起方接收认证消息以在所述响应方与所述发起方之间建立认证;以及
在响应于所述认证消息而认证所述发起方之后,向所述发起方发送认证响应消息。
12.根据权利要求11所述的系统,其中,所述操作还包括:
在发送所述认证响应消息之后,向所述发起方发送认证完成消息,其中,所述认证完成消息使得所述发起方:激活所述第二安全性关联以使用所述第二密钥加密和解密通信;以及启动在所述发起方处的无效定时器,以响应于在所述发起方处的所述无效定时器的期满而在所述发起方处使所述第一安全性关联无效。
13.根据权利要求11或12所述的系统,其中,所述操作还包括:
响应于来自所述发起方的所述认证消息,在所述响应方处对所述第二安全性关联进行编程,其中,在所述响应方处对所述第二安全性关联进行编程之后,所述认证响应消息被发送到所述发起方。
14.根据权利要求11至13中任一项所述的系统,其中,所述操作还包括:
响应于从所述发起方接收的所述认证消息,向所述发起方发送包括响应方身份的认证消息响应;
响应于所述认证消息响应,从所述发起方接收接受消息;以及
响应于所述接受消息,激活所述第二安全性关联以用于传输,以及激活在所述响应方处的无效定时器以响应于所述无效定时器期满而使所述第一安全性关联无效。
15.根据权利要求14所述的系统,其中,用于所述发起方的无效定时器在用于所述响应方的无效定时器启动之后启动。
16.一种用于通过网络在发起方与响应方之间进行安全通信的计算机程序产品,所述计算机程序产品包括:
计算机可读存储介质,其可由处理电路读取并且存储用于由所述处理电路执行以用于执行根据权利要求1至5中任一项所述的方法的指令。
17.一种存储在计算机可读介质上并且可加载到数字计算机的内部存储器中的计算机程序,所述计算机程序包括软件代码部分,当所述程序在计算机上运行时,所述软件代码部分用于执行根据权利要求1至5中任一项所述的方法。
CN202080064359.9A 2019-09-11 2020-09-08 建立安全性关联和认证以保护发起方与响应方之间的通信 Active CN114402564B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/568,176 2019-09-11
US16/568,176 US11206144B2 (en) 2019-09-11 2019-09-11 Establishing a security association and authentication to secure communication between an initiator and a responder
PCT/IB2020/058331 WO2021048734A1 (en) 2019-09-11 2020-09-08 Establishing a security association and authentication to secure communication between an initiator and a responder

Publications (2)

Publication Number Publication Date
CN114402564A true CN114402564A (zh) 2022-04-26
CN114402564B CN114402564B (zh) 2024-04-26

Family

ID=74849817

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080064359.9A Active CN114402564B (zh) 2019-09-11 2020-09-08 建立安全性关联和认证以保护发起方与响应方之间的通信

Country Status (6)

Country Link
US (1) US11206144B2 (zh)
JP (1) JP7556647B2 (zh)
CN (1) CN114402564B (zh)
DE (1) DE112020004289T5 (zh)
GB (1) GB2603667B (zh)
WO (1) WO2021048734A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734458B2 (en) * 2019-02-26 2023-08-22 Intel Corporation Extensible layered trusted computing base for computing devices
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11546137B2 (en) * 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
US11184160B2 (en) * 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
US11405215B2 (en) * 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11652616B2 (en) 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment
US11310036B2 (en) 2020-02-26 2022-04-19 International Business Machines Corporation Generation of a secure key exchange authentication request in a computing environment
US11489821B2 (en) 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11502830B2 (en) * 2020-10-12 2022-11-15 Kyndryl, Inc. Ultrasound split key transmission for enhanced security

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162990A (zh) * 2006-10-15 2008-04-16 柏建敏 一种在网络接入认证点之间协商建立安全关联的方法
CN101217364A (zh) * 2007-12-28 2008-07-09 中国科学院计算技术研究所 媒体接入控制系统中安全上下文的组织结构和维护方法
US20080301429A1 (en) * 2007-06-01 2008-12-04 Cisco Technology, Inc. Dual Cryptographic Keying
CN107439029A (zh) * 2015-04-06 2017-12-05 高通股份有限公司 使用重新关联对象的无线网络快速认证/关联
WO2018167539A1 (en) * 2017-03-16 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Ipsec bypass in sdn network

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2982702B2 (ja) 1996-08-30 1999-11-29 日本電気株式会社 ディスク装置
JP3228182B2 (ja) 1997-05-29 2001-11-12 株式会社日立製作所 記憶システム及び記憶システムへのアクセス方法
GB2352370B (en) 1999-07-21 2003-09-03 Int Computers Ltd Migration from in-clear to encrypted working over a communications link
DE60031878T2 (de) 1999-10-05 2007-04-12 Nortel Networks Ltd., St. Laurent Schlüsselaustausch für eine netzwerkarchitektur
JP4651230B2 (ja) 2001-07-13 2011-03-16 株式会社日立製作所 記憶システム及び論理ユニットへのアクセス制御方法
US6915437B2 (en) 2000-12-20 2005-07-05 Microsoft Corporation System and method for improved network security
US7028183B2 (en) 2001-11-13 2006-04-11 Symantec Corporation Enabling secure communication in a clustered or distributed architecture
US7500102B2 (en) 2002-01-25 2009-03-03 Microsoft Corporation Method and apparatus for fragmenting and reassembling internet key exchange data packets
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service
US7565537B2 (en) 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
US6678828B1 (en) 2002-07-22 2004-01-13 Vormetric, Inc. Secure network file access control system
US7234063B1 (en) 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
US7574603B2 (en) 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US7783880B2 (en) 2004-11-12 2010-08-24 Microsoft Corporation Method and apparatus for secure internet protocol (IPSEC) offloading with integrated host protocol stack management
US7721321B2 (en) 2004-12-04 2010-05-18 Schweitzer Engineering Laboratories, Inc. Method and apparatus for reducing communication system downtime when configuring a cryptographic system of the communication system
US7917944B2 (en) 2004-12-13 2011-03-29 Alcatel Lucent Secure authentication advertisement protocol
US8126145B1 (en) * 2005-05-04 2012-02-28 Marvell International Ltd. Enhanced association for access points
JP4151978B2 (ja) 2005-05-25 2008-09-17 インターナショナル・ビジネス・マシーンズ・コーポレーション サーバ装置、管理方法およびプログラム
US20070022476A1 (en) 2005-06-16 2007-01-25 Samsung Electronics Co., Ltd. System and method for optimizing tunnel authentication procedure over a 3G-WLAN interworking system
CN100456884C (zh) 2005-11-29 2009-01-28 华为技术有限公司 无线通信系统中的重认证方法
CN100558035C (zh) 2006-08-03 2009-11-04 西安电子科技大学 一种双向认证方法及系统
US8667151B2 (en) 2007-08-09 2014-03-04 Alcatel Lucent Bootstrapping method for setting up a security association
CN101197664B (zh) 2008-01-03 2010-12-08 杭州华三通信技术有限公司 一种密钥管理协议协商的方法、系统和装置
KR101467784B1 (ko) 2008-01-09 2014-12-03 엘지전자 주식회사 이기종망간 핸드오버시 선인증 수행방법
US8479266B1 (en) 2008-11-13 2013-07-02 Sprint Communications Company L.P. Network assignment appeal architecture and process
US20100154053A1 (en) 2008-12-17 2010-06-17 David Dodgson Storage security using cryptographic splitting
US8881305B2 (en) 2009-07-13 2014-11-04 Blackberry Limited Methods and apparatus for maintaining secure connections in a wireless communication network
US8799436B2 (en) 2009-07-14 2014-08-05 International Business Machines Corporation System and method for automated configuration control, audit verification and process analytics
US7865629B1 (en) 2009-11-24 2011-01-04 Microsoft Corporation Configurable connector for system-level communication
US20110154023A1 (en) 2009-12-21 2011-06-23 Smith Ned M Protected device management
US8630416B2 (en) 2009-12-21 2014-01-14 Intel Corporation Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications
WO2011114460A1 (ja) * 2010-03-17 2011-09-22 富士通株式会社 通信装置及び方法並びに通信システム
JP2011199537A (ja) 2010-03-18 2011-10-06 Fujitsu Ltd 通信装置および通信方法
US9058191B2 (en) 2010-03-22 2015-06-16 Qualcomm Incorporated Direct transfer of executable software image to memory allocated by target processor based on transferred image header
WO2011119169A1 (en) 2010-03-26 2011-09-29 Hewlett-Packard Development Company, L.P. Storage device access authentication upon resuming from a standby mode of a computing device
US8718281B2 (en) 2010-04-08 2014-05-06 Cisco Technology, Inc. Rekey scheme on high speed links
US9141831B2 (en) 2010-07-08 2015-09-22 Texas Instruments Incorporated Scheduler, security context cache, packet processor, and authentication, encryption modules
US8448235B2 (en) 2010-08-05 2013-05-21 Motorola Solutions, Inc. Method for key identification using an internet security association and key management based protocol
CN102063583B (zh) 2010-09-16 2013-02-13 广州世安信息技术有限公司 移动储存介质的数据交换方法及其装置
US8577336B2 (en) * 2010-11-18 2013-11-05 Mobilesphere Holdings LLC System and method for transaction authentication using a mobile communication device
US8769288B2 (en) 2011-04-22 2014-07-01 Alcatel Lucent Discovery of security associations
US8649768B1 (en) 2011-08-24 2014-02-11 Cellco Partnership Method of device authentication and application registration in a push communication framework
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US9274578B2 (en) 2012-05-09 2016-03-01 Apple Inc. Enable power from an accessory to a host device based on whether the accessory is able to alter an electrical characteristic of the power path
WO2014081711A1 (en) 2012-11-20 2014-05-30 Utility Associates, Inc System and method for securely distributing legal evidence
JP5695099B2 (ja) * 2013-01-30 2015-04-01 株式会社ブリヂストン 建設車両用空気入りタイヤ
US9882713B1 (en) 2013-01-30 2018-01-30 vIPtela Inc. Method and system for key generation, distribution and management
CN103425916B (zh) 2013-05-23 2016-04-13 陈飞 以安全准则为工作流程审计标准的安全操作装置和方法
WO2015085273A1 (en) * 2013-12-06 2015-06-11 Interdigital Patent Holdings, Inc. Layered connectivity in wireless systems
US20150350906A1 (en) 2014-05-30 2015-12-03 Qualcomm Incorporated Systems and methods for selective association
JP2016015697A (ja) 2014-07-03 2016-01-28 キヤノン株式会社 通信装置、通信装置の制御方法、および、プログラム
US10558375B2 (en) 2014-11-13 2020-02-11 Netapp, Inc. Storage level access control for data grouping structures
KR101552950B1 (ko) 2014-12-29 2015-09-14 주식회사 비젯 서버 및 네트워크 장비의 직접접근 제어시스템
US20160378691A1 (en) 2015-06-25 2016-12-29 Intel Corporation System, apparatus and method for protecting a storage against an attack
US10033702B2 (en) 2015-08-05 2018-07-24 Intralinks, Inc. Systems and methods of secure data exchange
US9881184B2 (en) * 2015-10-30 2018-01-30 Intel Corporation Authenticity-assured data gathering apparatus and method
US10250578B2 (en) 2015-11-03 2019-04-02 Qualcomm Incorporated Internet key exchange (IKE) for secure association between devices
US10311245B2 (en) 2016-03-08 2019-06-04 Kalpesh S. Patel Cyber security system and method for transferring data between servers without a continuous connection
WO2018226265A1 (en) 2017-09-09 2018-12-13 Apple Inc. Implementation of biometric authentication
DE102018123103A1 (de) 2017-10-13 2019-04-18 Samsung Electronics Co., Ltd. Halbleitervorrichtung, die Sicherheitsschlüssel erzeugt, Verfahren zum Erzeugen eines Sicherheitsschlüssels und Verfahren zum Registrieren des Sicherheitsschlüssels
US10402301B2 (en) 2018-01-08 2019-09-03 Microsoft Technology Licensing, Llc Cloud validation as a service
CN209057241U (zh) 2018-12-29 2019-07-02 广东优信无限网络股份有限公司 网络安全审计系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162990A (zh) * 2006-10-15 2008-04-16 柏建敏 一种在网络接入认证点之间协商建立安全关联的方法
US20080301429A1 (en) * 2007-06-01 2008-12-04 Cisco Technology, Inc. Dual Cryptographic Keying
CN101217364A (zh) * 2007-12-28 2008-07-09 中国科学院计算技术研究所 媒体接入控制系统中安全上下文的组织结构和维护方法
CN107439029A (zh) * 2015-04-06 2017-12-05 高通股份有限公司 使用重新关联对象的无线网络快速认证/关联
WO2018167539A1 (en) * 2017-03-16 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Ipsec bypass in sdn network

Also Published As

Publication number Publication date
WO2021048734A1 (en) 2021-03-18
JP2022547932A (ja) 2022-11-16
JP7556647B2 (ja) 2024-09-26
GB202204448D0 (en) 2022-05-11
GB2603667B (en) 2023-11-22
US11206144B2 (en) 2021-12-21
GB2603667A (en) 2022-08-10
US20210075627A1 (en) 2021-03-11
CN114402564B (zh) 2024-04-26
DE112020004289T5 (de) 2022-06-23

Similar Documents

Publication Publication Date Title
CN114402564B (zh) 建立安全性关联和认证以保护发起方与响应方之间的通信
US11245521B2 (en) Reverting from a new security association to a previous security association in response to an error during a rekey operation
CN114391240B (zh) 建立安全性关联和认证以保护发起方与响应方之间的通信
US11303441B2 (en) Reverting from a new security association to a previous security association in response to an error during a rekey operation
US9735962B1 (en) Three layer key wrapping for securing encryption keys in a data storage system
AU2021225416B2 (en) Secure key exchange in a computing environment
US11405215B2 (en) Generation of a secure key exchange authentication response in a computing environment
US11310036B2 (en) Generation of a secure key exchange authentication request in a computing environment
US11502834B2 (en) Refreshing keys in a computing environment that provides secure data transfer
US11652616B2 (en) Initializing a local key manager for providing secure data transfer in a computing environment
US11546137B2 (en) Generation of a request to initiate a secure data transfer in a computing environment
US11489821B2 (en) Processing a request to initiate a secure data transfer in a computing environment
US8200972B2 (en) Encryption of security-sensitive data by re-using a connection
US11144635B2 (en) Restricted command set management in a data storage system
US11792003B2 (en) Distributed storage system and method of reusing symmetric keys for encrypted message transmissions
US20240250814A1 (en) Encrypted io user connections between io users and storage volumes
WO2024050869A1 (zh) 基于去中心化信任的公有云下tee状态连续性保护方法
JP6287282B2 (ja) 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム
WO2023146857A1 (en) Enhanced secure cryptographic communication system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant