CN117426070A - 在网络设备之间安全且可靠地传送消息 - Google Patents
在网络设备之间安全且可靠地传送消息 Download PDFInfo
- Publication number
- CN117426070A CN117426070A CN202280040688.9A CN202280040688A CN117426070A CN 117426070 A CN117426070 A CN 117426070A CN 202280040688 A CN202280040688 A CN 202280040688A CN 117426070 A CN117426070 A CN 117426070A
- Authority
- CN
- China
- Prior art keywords
- network packet
- packet
- network
- security
- security key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title abstract description 11
- 239000013598 vector Substances 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims description 91
- 238000000034 method Methods 0.000 claims description 20
- 230000003213 activating effect Effects 0.000 claims description 3
- 230000004913 activation Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 150000003839 salts Chemical class 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009189 diving Effects 0.000 description 1
- 238000005401 electroluminescence Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000002381 plasma Anatomy 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/34—Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及用于生成网络分组的系统,该网络分组支持计算设备之间可靠和安全的数据传送。例如,本文描述的系统涉及生成网络分组,在该网络分组中传输层和安全性层在网络分组的认证报头内被实现。来自认证报头的信息可以由接收设备使用安全性密钥来评估以计算完整性校验向量和初始化向量,以确定网络分组已经以正确顺序被提供以及相对于各种安全性威胁校验。
Description
背景技术
近年来,计算设备(例如移动设备、个人电脑、服务器设备、云计算系统)用于接收、存储、编辑、传送或以其他方式利用数字数据的使用有所增加。实际上,计算设备在有线和无线通信网络上针对各种应用高速通信数字内容现在已经很普遍了。例如,高速计算应用可以跨多个设备协同利用芯片,增加了设备之间高带宽通信的需求。然而,支持设备之间的高速通信引起了许多问题和挑战。
例如,在经由通信通道通信数据时,数据的安全性通常是一个问题。为了解决这个问题,加密和解密密钥通常分布在计算设备对之间。虽然这些加密和解密密钥提供了防止许多恶意行为者潜入数据的重要措施,但仍有许多方式可以破坏数据。例如,其中一个分组被多次提供的重放攻击可能发生。其他攻击可能涉及修改各种字段或尝试修改分组或用另一个分组替换分组。
这些和其他挑战结合在设备和其他电气硬件之间传送数据而存在。
附图说明
图1图示了根据一个或多个实施例的与一个或多个附加计算设备通信的第一计算设备的示例环境。
图2示出了包括认证报头的网络分组的示例实现,在该认证报头中实现了网络分组的安全性层和传输层。
图3图示了根据一个或多个实施例将共享安全性密钥实现在其上的示例安全性组。
图4示出了根据一个或多个实施例的发送者设备和接收者设备之间的一系列交互的示例。
图5图示了根据一个或多个实施例的用于通信和认证网络分组的一系列动作的示例。
图6示出了可以包括在计算机系统内的某些组件。
具体实施方式
本公开通常涉及经由一个或多个通信信道连接的设备之间的数据的高速传送。具体地,本公开描述了与生成和传送具有多个字段和栈的网络分组相关的特征和功能,所述特征和功能使得设备能够通信安全数据(例如,加密的有效载荷数据),同时还使得接收所述数据的设备能够快速且有效地认证其中包括的数据。如将在下面进一步详细讨论的,这涉及在网络分组的单个报头内组合传输层和安全性层字段,使得网络分组包括更少的报头比特,同时仍然允许相应设备确保加密的有效载荷的适当安全性和传输。
作为说明性示例,本公开描述了一种计算设备(例如,发送者设备)上的网络分组通信系统,该网络分组通信系统接收用于加密和/或解密要在计算设备和一个或多个附加计算设备(也在其上具有安全性密钥)之间通信的数据的第一安全性密钥。网络分组通信系统可以生成包括网络分组的相应栈或报头内的各种字段的独特网络分组。例如,在本文描述的一个或多个实施例中,网络分组包括附加或以其他方式添加到网络分组的认证报头、加密内容(例如,分组有效载荷)和安全性标签(例如,完整性校验向量(ICV))。接收者设备,在接收到网络分组后,可以计算初始化向量和ICV以认证网络分组,这可以涉及确定网络分组是否被正确地传送(例如,相对于其他网络分组有序)以及验证网络分组在通信信道上被安全地通信。
本公开包括许多实际应用,其提供益处和/或解决与在两个或更多个计算设备之间既正确且安全地传送数据相关联的问题,同时还将安全性层和传输层集成在单个报头内。本公开还包括与提高数据在相应设备之间通信的效率相关的特征和功能性。下面将进一步详细讨论这些应用和益处中的一些的示例。
例如,本文描述的一个或多个实施例涉及在网络分组的单个报头中包括对传输和安全性都有用的数据字段。特别是,通过在单个报头中组合安全性层和传输层,本文描述的网络分组的实施方式可以比传统网络分组使用更少的字节来支持数字数据的传送,在该传统网络分组中传输层和安全性层包括在单独的报头和单独的栈中。这允许比传统网络分组通信系统更有效的数据传送。
除了提高数据传送的效率之外,本文描述的一个或多个实施例支持独特网络分组的通信,而不降低数据被传输的可靠性。本文描述的网络分组的特征和功能性进一步支持通信,而不危及有效载荷内容的安全性。例如,如本文将进一步详细讨论的,发送者和接收者设备可以利用安全性密钥来基于认证报头内的值计算或以其他方式生成ICV和初始化向量,以验证数据已经在相应设备之间的通信信道上正确和安全地传输。在许多情况下,这适用于通过安全或非安全通信信道进行的通信。
除了增加数据传送的安全性和可靠性之外,一个或多个实施例还包括标识安全性组,在该安全性组内所标识的安全性组的任何设备可以以类似的方式与安全性组的任何其他设备通信,而不危及数据的安全性。此外,如将结合下面的各种示例讨论的,本文描述的系统可以分发密钥集合,使得安全性组内的任何设备能够接收和解密由任何其他设备使用对应密钥加密的数据。这提供了密钥的可扩展分发,该可扩展分发支持安全性组的设备之间的安全可靠的通信,而不要求安全性组内的每个可能的设备对具有独特密钥对。
本文描述的一个或多个实施例还包括与交换或更换密钥而不中断数据传送相关的特征。例如,在一个或多个实施例中,本文描述的系统涉及提供密钥集合,其中一个密钥是活动的,并且一个或多个附加密钥被指示为非活动的。以这种方式,当触发更换安全性凭证的一段时间已过去时,非活动密钥中的一个可以被指派为活动的,而先前活动的密钥利用新密钥被交换或被逐步停止使用。正如将在下面讨论的,这可以完成,而不中断设备之间的数据的传送,这可能是由于利用另一个新的活动密钥交换活动密钥而引起的。
如前面的讨论所示,本公开利用各种术语来描述本文的系统的特征和优点。现在提供关于一些示例术语的含义的附加细节。
如本文所用,“网络分组”可以指从第一设备(例如,计算设备、芯片)经由通信信道运送到第二设备的数据单元。在一个或多个实施例中,网络分组包括控制信息和有效载荷。有效载荷可以指在发送者设备和接收者设备之间(或在相同或不同设备上的芯片之间)传送的存储器块或存储器块的一部分的内容。控制信息可以包括任何附加信息,这些附加信息使得相关联设备上的网络控制器和/或处理器能够认证或以其他方式验证网络分组已经在相应设备之间正确且安全地传送。如下文将进一步详细讨论,控制信息可以包括一个或多个字段,包括单个报头(例如,认证报头)或栈内的传输层和安全性层(与传统网络分组中的单独栈相反)。
如本文所使用的,“密钥”或“安全性密钥”可以可互换地指分发给多个设备的加密和/或解密密钥或令牌,用于加密和/或解密设备之间通信的数据。例如,在一个或多个实施例中,第一设备可以使用密钥来加密有效载荷和控制信息的一个或多个部分。第二设备还可以接收密钥(例如,提供给第一设备的密钥的副本),该密钥使第二设备能够解密有效载荷以及验证包括在网络分组的控制信息中的一个或多个字段的值。在一个或多个实施例中,密钥指的是利用伽罗瓦/计数器模式(GCM)操作模式的具有十六个字节(128比特)的对称密钥密码化块密码。在一个或多个实施例中,密钥是指由密钥发布机构提供的密钥的副本,并且可以使用各种交换机制或其他已知的密钥分发技术来分发。
如本文所用,“安全性组”可以指利用密钥集合(例如,密钥副本集合)的设备或网络控制器组。例如,在一个或多个实施例中,安全性组指的是具有安全性密钥对的第一设备和第二设备,该安全性密钥对使得相应设备能够加密数据、传送数据以及解密接收到的加密数据。如下面将进一步详细讨论的,安全性组可以包括能访问密钥集合的任意数量的设备,所述密钥集合使得设备能够经由一个或多个通信信道彼此通信。
现在将关于描绘示例实现的说明性附图提供关于系统和设备的示例的附加细节。例如,图1示出了包括第一计算设备102和一个或多个附加计算设备104a-n的示例环境100。设备102、104a-n中的每一个可以被配置为根据本文所述的一个或多个实施例彼此通信数据。如图1中所示,计算设备102、104a-n中的每一个可以包括在其上实现的网络分组通信系统106,该网络分组通信系统106与计算环境100的设备之间的安全可靠地传送网络分组相结合提供本文所述的的特征和功能性。
计算设备102、104a-n可以指代各种计算环境中的各种计算设备。例如,在一个或多个实施例中,一个或多个设备可以指代客户端设备,诸如经由有线或无线通信网络连接的移动设备(例如,移动电话、智能电话、平板电脑、膝上型电脑)或非移动设备(例如,台式计算机、服务器设备)。在一个或多个实施例中,计算设备102、104a-n指代云计算系统的网络设备。如将结合本文中的一个或多个实现方式讨论的,在一个或多个实施例中,环境100包括具有芯片和其它硬件的互连设备,该芯片和其它硬件被连接(例如,经由后端网络)以在相应设备之间提供快速和高效的芯片到芯片通信。
现在将结合具有在其上实现的网络分组通信系统106的第一计算设备102来讨论附加的细节。可以理解的是,附加计算设备104a-n中的每一个可以具有与第一计算设备102相似的特征和功能性,并且可以具有在其上实现的对应的网络分组通信系统106。因此,可以理解,结合计算设备102和/或网络分组通信系统106描述的任何特征和功能性可以类似地应用于具有网络分组通信系统106的任何其他计算设备。此外,虽然本文描述的一个或多个实施例具体指的是在对应的计算设备上实现的网络分组通信系统106的各种组件和特征,应当理解,结合本文所述系统描述的单个组件和/或单个特征中的一个或多个可以全部或部分地跨不同设备实现。
如图1所示,网络分组通信系统106可以包括密钥管理器108。密钥管理器108可以在其上维护有一个或多个密钥110。密钥管理器108可以管理密钥110在第一计算设备102和一个或多个附加计算设备104a-n之间的收集和/或分发。例如,在一个或多个实施例中,密钥管理器108为连接第一计算设备102和每个附加计算设备104a-n的多个通信信道118a-n中的每一个维护密钥。
网络分组通信系统106可以在本文描述的发送和接收网络分组的过程中以多种方式利用密钥110。例如,在一个或多个实施例中,网络分组通信系统106可以利用密钥来加密网络分组的一个或多个部分。或者,网络分组通信系统106可以利用密钥来解密来自网络分组的加密数据。此外,并且如下面将进一步详细讨论的,网络分组通信系统106可以利用密钥来生成或以其他方式计算初始化向量,以用于支持在接收者设备上网络分组的认证。结合生成、维护和利用一个或多个密钥,附加信息将在下面进一步详细讨论。
如图1所示,网络分组通信系统106可以附加包括分组生成管理器112。在一个或多个实施例中,分组生成管理器112可以标识要传送到接收者设备的数据,并生成包括所标识的数据的一个或多个网络分组。更具体地,并且如下面将进一步详细讨论的,分组生成管理器112可以生成包括控制信息和加密的有效载荷的网络分组,并经由对应的通信信道118a-n将网络分组传送到附加计算设备104a-n中的一个或多个。
如上所述,网络分组可以包括控制数据和加密的有效载荷。如将在下面进一步详细讨论的,分组生成管理器112可以对来自计算设备102的存储系统116的标识的数据块进行加密,并使用密钥110中的一个或多个对数据进行加密。加密的数据块可以包括在网络分组的有效载荷内。在一个或多个实施例中,所标识的数据可以跨多个网络分组散布,诸如其中每个网络分组的有效载荷具有最大预定大小(例如,2千字节(KB)、4KB、8KB、16KB、32KB)。
如上所述,除了加密的有效载荷之外,网络分组还可以包括控制数据。作为示例而非限制,每个网络分组可以包括多个报头,该多个报头包括与发送和/或接收网络分组相关联的各种指令。例如,在一个或多个实施例中,网络分组包括以太网报头和既未认证也未加密的IPv4报头。此外,网络分组可以具有认证报头,该认证报头可以包括源地址和目的地地址、用户数据报协议(UDP)部分和附加的认证信息(例如,ATL部分)。在一个或多个实施例中,网络分组还可以包括附加到有效载荷的完整性校验向量(ICV)标签。有效载荷和/或控制数据的这些报头、标签以及其他元素将在下面进一步详细讨论。
如图1中进一步所示,网络分组通信系统106可以包括分组认证管理器114。分组认证管理器114可以在接收到网络分组时用于认证网络分组的内容。特别地,分组认证管理器114可以从认证报头读取信息,以确定网络分组是否被正确传输,并验证包括在网络分组内的信息已保持安全且未被更改。如上所述,在一个或多个实施例中,网络分组的传输层和安全性层被集成在单个认证报头内。因此,在一个或多个实施例中,分组认证管理器114可以既确定网络分组已经被正确传递(例如,以相对于其他网络分组的正确顺序)且验证有效载荷内的数据尚未以多种方式中的一个被损害。
如下面将进一步详细讨论的,分组认证管理器114可以通过将密钥应用于认证报头的一个或多个字段来认证网络分组,以生成或以其他方式计算针对接收到的网络分组的初始化向量和/或ICV。例如,在一个或多个实施例中,可以在认证报头和有效载荷上计算ICV。在认证报头和有效载荷上计算ICV可以包括将安全性密钥应用于认证报头和有效载荷以计算值,该值可用于验证在生成和传送网络分组之间尚未以任何方式修改有效载荷。在一个或多个实施例中,发送者设备在生成网络分组时计算ICV。此外,接收者设备可以在接收到网络分组后在报头和有效载荷上计算ICV。在报头和有效载荷上计算ICV可包括在接收到网络分组后在认证报头和有效载荷上应用密钥,并验证所计算的ICV与由发送设备生成并包括在网络分组内的ICV匹配。
分组认证管理器114可以评估来自所生成的初始化向量的一个或多个字段,并将相应字段与来自ICV和认证报头的相应字段进行比较,以认证网络分组。结合生成初始化向量、确定正确传输和验证数据安全性,附加信息将在下面进一步详细讨论。
如图1进一步所示,网络分组通信系统106可以包括存储系统116。存储系统116可以指存储器和/或存储硬件,在该存储器和/或存储硬件上网络分组通信系统106在生成网络分组和在计算环境100的设备之间通信数据时可访问任何数据。例如,存储系统116可以包括要从计算设备102上的芯片通信到其他计算设备104a-n的、可以在各种应用中使用的数据块。
如图1所示,计算环境100可以包括连接第一计算设备102与附加计算设备104a-n的多个通信信道118a-n。在一个或多个实施例中,通信信道118a-n指的是相应设备之间的有线连接。通信信道可以是具有不同的安全性级别的安全的或不安全的通信信道。在一个或多个实施例中,通信信道118a-n指的是连接相应设备的以太网线。实际上,通信信道118a-n可以指使得能够在第一计算设备102与任何附加计算设备104a-n之间通信数据的任何后端接口。
如上所述,第一计算设备102和附加计算设备104a-n中的每一个可以具有彼此相似的特征和功能性。在一个或多个实施例中,计算设备102可以充当发送者设备,而附加计算设备104a-n可以指代接收者设备。相反,附加计算设备104a-n可以指生成网络分组并向作为接收者设备的第一计算设备102提供数据的发送者设备。此外,虽然在图1中未示出,但在一个或多个实施例中,附加计算设备104a-n中的每一个可以被配置为经由连接附加计算设备104a-n中的一个或多个的附加通信信道彼此提供网络分组。
图2示出了根据一个或多个实施例的网络分组202的示例实施方式。特别地,图2示出了具有有效载荷和控制数据的网络分组202,该有效载荷和控制数据使得发送者设备(例如,计算设备102)能够将加密数据传送到一个或多个接收者设备(例如,附加计算设备104a-n)。如图2所示,网络分组202可以包括多个报头(例如,报头204-208)内的控制信息、有效载荷210和完整性校验向量(ICV)标签212。结合网络分组202的这些元素中的每一个,附加信息将在此处讨论。
如刚才提到的,网络报头202可以包括以太网报头204和IPv4报头206。如图2所示,以太网报头204和IPv4报头206可以包括26字节的文本。这些报头204-206的文本可以是清晰的,可以由计算设备访问以读取,而无需能访问加密/解密密钥。
如图2所示,以太网报头204可以包括多种大小的多个字段。在一个或多个实施例中,以太网报头204具有十四个字节的非认证和非加密文本。如图2所示,以太网报头204可以包括指示目的地接口或设备的地址的目的地存储器访问控制(DMAC)报头字段。以太网报头204还可以包括指示源接口或设备的地址的、源存储器访问控制(SMAC)报头字段。在一个或多个实施例中,以太网报头在每个分组交换跳处被替换。
如图2所示,IPv4报头206还可以包括多种大小的多个字段。在一个或多个实施例中,IPv4报头206具有十二个字节的非认证和非加密数据。作为示例,如图所示,IPv4报头206可以包括指示版本、长度、服务类型(TOS)、总长度、标识符(ID)、标志和片段偏移、生存时间(TTL)字段、协议字段和报头校验和的信息字节。在一个或多个实施例中,每个路由器跳可以在转发网络分组202之前递减TTL字段。在使用认证保护该字段的情况下,交换机可以在修改TTL字段后更新ICV标签。
如进一步所示,网络报头202可以包括认证报头208(例如,附加认证数据(AAD)),其可以包括UDP部分和ATL部分。在一个或多个实施例中,认证报头208指的是网络报头202的包括尚未加密的认证数据的部分。在该示例中,认证报头208可以具有三十二个字节的未加密的认证数据。
如图2所示,认证报头208可以包括各种字段。举例来说,认证报头208可以包括第一字段内的IPv4源地址和第二字段内的IPv4目的地地址。认证报头208可以附加包括UDP报头,该UDP报头携带源端口信息(例如,连接信息)和可以用于标识ATL报头的目的地部分信息。在一个或多个实施例中,认证报头208的UDP部分可以包括UDP源端口、目的地端口、长度和指示的校验和值。
如进一步所示,认证报头208可以包括携带初始化矢量信息以及关于隧道是否安全的信息的ATL部分。在一个或多个实施例中,认证报头208的ATL部分可以包括连接号、数据序列号和分组计数器值。连接号可以包括相应设备之间通信信道的指示。数据序列号可以指相应设备对之间通信的分组数目。分组计数器值可以指来自特定源设备的分组数目。因此,当第一设备在多个设备之间传送二十个分组时,分组计数器值可以增加值二十。替代地,当这些分组中只有十个被传送到特定的第二设备时,与该信道相关联的数据序列号可以增加值十。
如图2进一步所示,网络分组202可以包括有效载荷210。有效载荷可以包括加密数据,该加密数据仅可由具有用于加密数据的安全性密钥副本的另一个设备读取。此外,有效载荷210可以基于相应设备上的网络控制器、处理器或其他硬件的规格来具有固定大小。例如,在一个或多个实施例中,有效载荷可以具有2KB、4KB、8KB、16KB、32KB的固定大小或其他固定或其他预定大小。在接收到网络分组202并确定网络分组202已经在设备之间正确且安全地传送时,接收设备可以将密钥应用于加密的有效载荷以解密数据并以多种方式处理数据。
如进一步所示,网络分组202可以包括ICV标签212。在一个或多个实施例中,ICV标签212包括接收者设备可以用来校验网络分组202的完整性的信息。特别地,接收者设备使用密钥来计算和/或递增初始化向量的值,并确定ICV标签212的值和/或认证报头208的值是否与所计算的初始化向量匹配。如果值匹配,则接收者设备上的网络分组通信系统106可以确定网络分组202尚未被修改并且网络分组202已经被正确传输。
如图2进一步所示,网络分组可以包括以太网帧循环冗余码校验(CRC)。以太网帧CRC可以包括四个字节,可以通过设备地址和网络分组202的其他字段生成。在一个或多个实施例中,网络分组202的每一跳基于以太网帧生成新的CRC。该字段可以捕获由于线路上的错误而导致的比特翻转,并且可能符合以太网标准。
如上所述,一个或多个计算设备可以接收用于加密和/或解密在相应计算设备之间传递的数据的各种安全性密钥。如上进一步提及的,虽然本文描述的一个或多个实施例具体涉及向具有与发送者设备持有的密钥匹配的密钥的第二设备通信网络分组的第一设备,但是一个或多个实施例可以进一步涉及安全性组。
例如,图3示出了示例性安全性组300,该示例性安全性组300包括已分配给安全性组300的多个计算设备302a-d。每个计算设备302a-n可以具有在其上实现的网络分组通信系统106的实例,该网络分组通信系统106具有与本文所述的类似组件的特征和功能性。
此外,计算设备302a-d中的每个可以在其上包括对应的密钥集合304a-d。例如,第一计算设备302a可以具有第一密钥集合304a,第二计算设备302b可以具有第二密钥集合304b,第三计算设备302c可以具有第三密钥集合304c,第四计算设备302d可以具有第四密钥集合304d。相应的密钥集合304a-d中的每一个可以是彼此的副本,并且能够解密已经由对应密钥加密的数据。计算设备302a-d中的每个可以通过连接安全性组300的设备的通信信道集合306通信。其他实施方式可以包括具有更少或附加设备的安全性组。此外,在一个或多个实施例中,计算设备中的一个或多个可以是另一个安全性组的一部分,并且可以在其上具有与同一安全性组内的其他设备上的密钥匹配的一个或多个附加密钥。
在一个或多个实施例中,安全性组300的计算设备302a-d可以出于各种原因为安全性组300维护多个密钥。例如,在一个或多个实施例中,来自密钥集合304a-d的密钥中的一个可以指活动密钥,而第二密钥指非活动密钥。在该示例中,例如,第一密钥中的每一个可以被指示为活动密钥,该活动密钥使得由计算设备302a-d中任一个生成的网络分组被共享给安全性组300内的其他设备,以使用第一密钥被加密。第二密钥可以被简单维护并且不用于加密和/或解密在计算设备302a-d之间传递的数据。
在一个或多个实施例中,安全性组的计算设备302a-d可以周期性地更新密钥集合304a-d。例如,为了增强安全性,计算设备302a-d可以以预定时间间隔更新密钥集合304a-d,以防止恶意行为者获得密钥的副本并获得对设备之间传递的信息的未授权访问。网络分组通信系统106可以以多种方式刷新密钥。
例如,在一个或多个实施例中,网络分组通信系统106通过将非活动密钥指示为活动密钥以替换计算设备302a-d上的先前活动密钥,来发起再密钥(re-key)过程。因为计算设备302a-d中的每个已经在其上具有密钥对304a-d,这可能涉及简单地提供交换状态的通知,而无需重分发新密钥。在先前非活动密钥已被激活之后,在经过一时间段并且使用旧密钥的网络分组的实例已经耗尽或以其他方式过期—诸如其中使用旧密钥生成的网络分组已经被解密并且在传送到另一个设备之前需要重新加密—之后,可以丢弃旧密钥。在一个或多个实施例中,向计算设备302a-d中的每个提供新密钥以在以后激活。
虽然图3示出了在相应设备上实现密钥对的示例,但是应当理解,可以实现类似的再密钥过程,而无需在计算设备302a-d中的每个上维护多个相关联的密钥。例如,在一个或多个实施例中,再密钥过程涉及生成新的安全密钥并分发到计算设备302a-d中的每个。该新密钥可以在一时间内充当非活动密钥,直到该密钥已经针对安全性组300的每个计算设备302a-d被注册。指示可以被通信以将新密钥标记为安全性组内活动,此时网络分组通信系统106可以使用新密钥来生成和认证在设备之间传递的网络分组。在使用旧密钥的所有网络分组过期或以其他方式从使用中排出某一时间段之后,网络分组通信系统106可以将旧活动密钥改变为非活动状态,并在某一持续时间之后丢弃旧密钥。
现在将结合发送者设备和接收者设备之间的网络分组的示例传送给出附加细节。特别地,图4示出了上面图1中讨论的第一计算设备102生成网络分组并将其传送到第二计算设备104的示例实现,该第一计算设备102具有与上面结合图1讨论的附加计算设备104a-n类似的特征和功能性。在一个或多个实施例中,计算设备102-104中的每一个是其中密钥已经在两个或更多个计算设备之间分发的公共安全性组的部分。
如图4所示,第一计算设备102可以执行接收安全性密钥的动作402。如进一步所示,第二计算设备104可以执行接收相同安全性密钥(即,相同安全性密钥的副本)的动作404。与上述一个或多个实施例类似,密钥可以指被配置为向计算设备102-104中的每一个提供加密和解密能力的对称密钥。例如,在第一计算设备102上使用密钥加密的数据可以在第二计算设备104上使用相同的密钥(例如,第一计算设备102上的密钥的副本或复制)被解密。
如图4所示,计算设备102可以执行对有效载荷进行加密的动作406。特别地,计算设备102上的网络分组通信系统106可以标识要传送到接收计算设备104的数据。在一个或多个实施例中,网络分组通信系统106使用先前在动作402中接收到的密钥对有效载荷进行加密。
在标识数据和加密有效载荷之后,第一计算设备102可以执行生成网络分组的动作408。如本文一个或多个实施例所讨论的,第一计算设备102可以生成网络分组以包括与上面结合图2所讨论的类似的字段和报头。例如,网络分组可以包括以太网报头、IPv4报头、认证报头、有效载荷和ICV标签。
如上所述,网络分组可以包括集成在单个认证报头内的安全性层和传输层。例如,在一个或多个实施例中,认证报头包括其中具有数据的字段,该数据标识源地址、分组计数器值和数据序列值。如下文将进一步详细讨论的,第二计算设备104在接收到网络分组后可以使用这些值中的一些或全部,来确定分组已经被正确传送(例如,相对于其他网络分组以正确的顺序)。此外,这些相同的值可以用于验证网络分组的安全性,包括确定网络分组不是重复分组,以及确定包括在网络分组中的数据尚未在发送网络分组的第一设备和接收网络分组的第二计算设备104之间被修改。如下面将进一步详细讨论的,认证网络分组可以包括基于计算的数据序列号与来自网络分组的数据序列号的比较来验证网络分组不是重复分组。下面将结合动作412-416讨论附加信息。
如图4所示,在生成网络分组时,第一计算设备102可以执行向第二计算设备104传送或以其他方式提供网络分组的动作410。在一个或多个实施例中,网络分组经由以太网线在第一和第二计算设备102-104之间提供。在一个或多个实施例中,相应设备之间的此通信信道是能够在相应设备之间进行高速数据通信的后端有线接口。此外,在一个或多个实施例中,网络分组的一个或多个字段包括第一和第二计算设备102-104之间的特定通信信道的标识,用于由第二计算设备104认证网络分组。
如图4所示,第二计算设备可以执行计算初始化向量的动作412。在一个或多个实施例中,初始化向量由第二计算设备为第一计算设备(例如,源设备)维护。实际上,第二计算设备104可以为第二计算设备104经由通信信道通信的多个源设备中的每一个维护初始化向量。例如,虽然第二计算设备104可以为第一计算设备维护初始化向量,但第二计算设备104可以类似地为公共安全性组内的每个计算设备以及给定安全性组之外的一个或多个计算设备维护单独的初始化向量。
初始化向量可以在其中包括使计算设备能够认证网络分组的信息。例如,在一个或多个实施例中,初始化向量包括盐字段,该盐字段实际上是安全性密钥的一部分。在一个或多个实施例中,作为给定安全性组的一部分的每个计算设备都可以访问盐字段。此外,初始化向量可以包括源地址字段。该源地址字段可以独特地标识第一计算设备102,并且应该匹配网络分组内的对应字段。在一个或多个实施例中,从接收到的网络分组中提取源地址以填充初始化向量的源地址字段。
在一个或多个实施例中,初始化向量还可以包括分组计数器值字段。例如,在一个或多个实施例中,初始化向量包括分组计数器的四十八比特,该分组计数器反映第一计算设备102在一时间段内已经传送的分组的数量。在一个或多个实施例中,分组计数器值是基于网络分组内包括的分组计数器值来被计算的。分组计数器值字段可以附加到源地址字段。因此,在一个或多个实施例中,初始化向量具有包括盐字段、源地址字段和分组计数器值字段的九十六比特。
如图4所示,第二计算设备104可以附加执行认证网络分组的动作414。如上所述,认证网络分组可以包括评估单个认证报头的字段以执行传输层和安全性层功能性两者。特别地,第二计算设备104可以确定网络分组已经被正确传输并且网络分组的安全性尚未损害。
关于认证网络分组已被正确地传输,在一个或多个实施例中,第二计算设备104评估来自认证报头的数据序列号以确定网络分组已被以正确的顺序传输。如上所述,当生成网络分组时,第一计算设备102可以为传送到特定目的地设备的每个网络分组递增数据序列号。因此,第二计算设备104可以评估数据序列号以确定网络分组已以正确的顺序被传送。
关于验证网络分组已经被安全地传送,第二计算设备104可以基于认证报头内的分组计数器值来验证网络分组的安全性。例如,如上所述,第二计算设备104可以生成初始化向量以包括分组序列号。然后可以使用该计算的值来确定网络分组是否是重复分组。如果网络分组是重复分组,则第二计算设备104可以基于接收到的网络分组是重复攻击的一部分的风险来丢弃网络分组。
除了验证网络分组是否是重复分组之外,第二计算设备104可以确定网络分组的一个或多个值是否已经被修改。在一个或多个实施例中,第二计算设备104通过将计算的完整性校验向量(ICV)的值与附加到有效载荷的ICV标签进行比较来确定是否已经对网络分组进行了任何修改。如果ICV匹配,则第二计算设备104可以确定网络分组尚未被更改。替代地,如果ICV不匹配,则第二计算设备104可以丢弃分组并提供网络分组已经被损害的通知。
如图4所示,第二计算设备104可以附加执行解密有效载荷的动作416。在一个或多个实施例中,第二计算设备104解密有效载荷,同时认证块认证网络分组已经被正确且安全地传送。替代地,在一个或多个实施例中,第二计算设备104可以在认证网络分组之后解密有效载荷。在一个或多个实施例中,第二计算设备104利用安全性密钥解密有效载荷。
在认证网络分组并解密有效载荷后,第二计算设备104可以以多种方式利用解密的数据。例如,在一个或多个实施例中,第一和第二计算设备102-104可以协作地执行计算任务,诸如训练一个或多个机器学习模型。例如,安全性组可以包括其上具有机器学习模型的多个设备,该机器学习模型正在交换用于训练目的的权重梯度和其他数据。事实上,本文描述的网络分组通信系统106的特征和功能性可以应用于其中相应设备上的芯片正在协作使用并且其中高带宽通信是有益的各种高性能计算应用。
现在转到图5,该图示出了示例流程图,包括用于生成和在计算设备之间传送在其中网络分组的安全性层和传输层集成在单个报头中的网络分组的一系列动作。虽然图5示出了根据一个或多个实施例的动作,但替代实施例可以省略、添加、重新排序和/或修改图5中所示的任何动作。图5的动作可以作为方法的一部分来执行。替代地,非暂时性计算机可读介质可以包括指令,该指令在由一个或多个处理器执行时,这使计算设备(例如,服务器设备)执行图的图5的动作。在进一步的实施例中,系统可以执行图5的动作。
如上所述,图5示出了与生成和在计算设备之间通信网络分组相关的示例系列动作500,其中网络分组的安全性层和传输层集成在单个报头中。如图5所示,该系列动作500包括接收安全性密钥,该安全性密钥与加密和解密要在第一设备和第二设备之间通信的数据相关联的动作510。例如,在一个或多个实施例中,动作510涉及在第一设备处接收第一安全性密钥,该第一安全性密钥与加密和解密要在第一设备和第二设备之间通信的数据相关联。
如图5进一步所示,该系列动作500可以包括生成用于传送加密内容的网络分组的动作520,其中网络分组包括具有认证信息的认证报头、包括消息的加密内容的有效载荷、以及安全性标签。例如,在一个或多个实施例中,动作520涉及生成网络分组以用于从第一设备向第二设备传送加密内容,其中网络分组包括包含针对网络分组的认证信息(例如,数据序列号和分组计数器值)的第一认证报头、包括要向第二设备通信的消息的加密内容的有效载荷、以及在第一认证报头和有效载荷上计算的安全性标签。
如图5进一步所示,该系列动作500可以包括通过通信信道将网络分组从第一设备向第二设备传送的动作530。例如,在一个或多个实施例中,动作530包括将网络分组从第一设备向第二设备传送,使得第二设备认证网络分组。在一个或多个实施例中,传送网络分组使得能够确定网络分组已经经由通信信道成功且安全地被传送。在一个或多个实施例中,通信信道是不安全的以太网线,该以太网线是第一设备和第二设备之间的后端接口的一部分。
如图5中进一步所示,该系列动作500可以包括使得第二设备通过基于来自认证报头的认证信息确定网络分组已被成功且安全地传送来认证网络分组的动作540。例如,在一个或多个实施例中,该动作540涉及使得第二设备基于来自第一认证报头的认证信息确定网络分组已经成功且安全地经由通信信道被传送。例如,在一个或多个实施例中,从第一设备向第二设备传送网络分组使得第二设备基于来自第一认证报头的认证信息认证网络分组。在一个或多个实施方式中,认证网络分组包括基于第一认证报头来确定网络分组已经经由通信信道既成功且安全地被传送。
在一个或多个实施例中,认证网络分组包括基于标识相对于源自第一设备的一个或多个附加网络分组的、数据序列号的序列,使得第二设备确定网络分组已经以相对于一个或多个附加网络分组的正确顺序被传送。在一个或多个实施例中,认证网络分组进一步包括基于计算的数据序列号与来自网络分组的数据序列号的比较,验证网络分组不是重复分组。
在一个或多个实施例中,认证网络分组包括基于第一认证报头和有效载荷来计算完整性校验向量(ICV)。此外,在一个或多个实施例中,认证网络分组包括基于ICV与网络分组内包括的安全性标签匹配来确定网络分组尚未被修改。
在一个或多个实施例中,来自第一认证报头的信息在经由通信信道被传送时不被加密。在一个或多个实施例中,第一安全性密钥的副本被向第二设备发布。此外,初始化向量可以使用安全性密钥的副本至少部分地基于来自第一认证报头的分组计数器值来被计算。在一个或多个实施例中,初始化向量包括与第一设备相关联的源地址和分组计数器值。
在一个或多个实施例中,第一设备和第二设备是包括一个或多个附加设备的安全性组的一部分。此外,可以向一个或多个附加设备中的每一个提供安全性密钥的副本,以使一个或多个附加设备能够认证通过多个通信信道的来自第一设备的通信。在一个或多个实施例中,该系列动作500包括使得第二安全性密钥被分发给第一设备、第二设备和一个或多个附加设备中的每一个设备,第二安全性密钥被指派为非活动的。此外,在一个或多个实施例中,该系列动作500包括基于激活信号来激活第二安全性密钥,该激活信号被提供给第一设备、第二设备和一个或多个附加设备中的每一个设备。该系列动作500还可以包括使得第二安全性密钥被用于加密针对一个或多个后续网络分组的内容,该一个或多个后续网络分组由第一设备生成以向第二设备或一个或多个附加设备中的一个设备通信。在一个或多个实施例中,该系列动作500包括在一时间段内维护第一安全性密钥的活动状态,直到使用第一安全性密钥生成的网络分组已经过期。
图6示出了可以包括在计算机系统600内的某些组件。一个或多个计算机系统600可以用于实现本文描述的各种设备、组件和系统。
计算机系统600包括处理器601。处理器601可以是通用单芯片或多芯片微处理器(例如,高级RISC(精简指令集计算机)机器(ARM))、专用微处理器(例如,数字信号处理器(DSP))、微控制器、可编程门阵列等。处理器601可以被称为中央处理器(CPU)。尽管在图6的计算机系统600中仅示出了单个处理器601,但在替代配置中,可以使用处理器的组合(例如,ARM和DSP)。
计算机系统600还包括与处理器601电子通信的存储器603。存储器603可以是能够存储电子信息的任何电子部件。例如,存储器603可以体现为随机存取存储器(RAM)、只读存储器(ROM)、磁盘存储介质、光存储介质、RAM中的闪存设备、包括在处理器中的板载存储器、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)存储器、寄存器等,包括其组合。
指令605和数据607可以存储在存储器603中。指令605可以由处理器601执行以实现本文公开的一些或全部功能性。执行指令605可以涉及使用存储在存储器603中的数据607。本文描述的模块和组件的任何各种示例可以部分或全部实现为存储在存储器603中并由处理器601执行的指令605。本文描述的各种数据示例中的任一个可以是在数据607当中,该数据607存储在存储器603中并在处理器601执行指令605期间使用。
计算机系统600还可以包括一个或多个通信接口609,用于与其他电子设备通信。通信接口609可以基于有线通信技术、无线通信技术或两者。通信接口609的一些示例包括通用串行总线(USB)、以太网适配器、根据电气和电子工程师协会(IEEE)802.11无线通信协议操作的无线适配器、无线通信适配器和红外(IR)通信端口。
计算机系统600还可以包括一个或多个输入设备611和一个或多个输出设备613。输入设备611的一些示例包括键盘、鼠标、麦克风、遥控设备、按钮、操纵杆、轨迹球、触摸板和光笔。输出设备613的一些示例包括扬声器和打印机。通常包括在计算机系统600中的一种特定类型的输出设备是显示设备615。与本文公开的实施例一起使用的显示设备615可以利用任何合适的图像投影技术,诸如液晶体显示器(LCD)、发光二极管(LED)、气体等离子体、电致发光等。还可以提供显示控制器617,用于将存储在存储器603中的数据607转换为显示在显示设备615上的文本、图形和/或运动图像(适当时)。
计算机系统600的各种组件可以通过一个或多个总线耦合在一起,这些总线可以包括电源总线、控制信号总线、状态信号总线、数据总线等。为了清楚起见,各种总线在图6中示出为总线系统619。
本文描述的技术可以以硬件、软件、固件或其任意组合来实现,除非特别描述为以特定方式实现。任何被描述为模块、组件或类似物的特征也可以一起在集成逻辑器件中实现,或者单独实现为离散但可互操作的逻辑器件。如果以软件实现,则这些技术可以至少部分地由非暂时性处理器可读存储介质来实现,该存储介质包括指令,这些指令在由至少一个处理器执行时,执行本文描述的方法中的一个或多个。指令可以被组织成例程、程序、对象、组件、数据结构等,这些例程、程序、对象、组件、数据结构等可以执行特定的任务和/或实现特定的数据类型,并且在各种实施例中可以根据需要进行组合或分布。
计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是非暂时性计算机可读存储介质(设备)。携带计算机可执行指令的计算机可读介质是传送介质。因此,作为示例而非限制,本公开的实施例可以包括至少两种截然不同的计算机可读介质:非暂时性计算机可读存储介质(设备)和传送介质。
如本文所使用的,非暂时性计算机可读存储介质(设备)可以包括RAM、ROM、EEPROM、CD-ROM、固态驱动器(“SSD”)(例如,基于RAM)、闪存、相变存储器(“PCM”)、其他类型的存储器、其他光盘存储、磁盘存储或其他磁存储设备,或者可以用于以计算机可执行指令或数据结构的形式存储所需程序代码装置并且可以由通用或专用计算机访问的任何其他介质。
本文描述的方法的步骤和/或动作可以在不脱离权利要求的范围的情况下相互交换。换句话说,除非所描述的方法的正确操作需要特定的步骤或动作顺序,否则可以在不脱离权利要求的范围的情况下修改特定步骤和/或动作的顺序和/或使用。
术语“确定”涵盖了各种动作,因此,“确定”可以包括演算、计算、处理、得出、调查、查找(例如,在表、数据库或其他数据结构中查找)、查明等。此外,“确定”可以包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)等。此外,“确定”可以包括解算、选择、选取、建立等。
术语“包括”、“包含”和“具有”旨在具有包容性,并意味着除了列出的元素之外,可以存在其他元素。此外,应该理解,对本公开的“一个实施例”或“实施例”的引用不旨在被解释为排除也包含所述特征的附加实施例的存在。例如,与本文描述的实施例相关的任何元素或特征可以与本文描述的任何其他实施例的任何元素或特征相兼容。
本公开可以在不背离其精神或特征的情况下以其他特定形式实施。所描述的实施例应被认为是说明性的而不是限制性的。因此,本公开的范围由所附权利要求指示,而不是由前面的描述指示。在权利要求的等同含义和范围内的变化将被包括在其范围内。
Claims (15)
1.一种方法,包括:
在第一设备处接收第一安全性密钥,所述第一安全性密钥与加密和解密要在所述第一设备和第二设备之间通信的数据相关联;
生成用于从所述第一设备向所述第二设备传送加密内容的网络分组,其中所述网络分组包括:
第一认证报头,所述第一认证报头包括针对所述网络分组的认证信息,其中所述认证信息包括数据序列号和分组计数器值;
有效载荷,所述有效载荷包括要被通信给所述第二设备的消息的加密内容;以及
安全性标签,所述安全性标签在所述第一认证报头和所述有效载荷上被计算;以及
从所述第一设备向所述第二设备传送所述网络分组,其中传送所述网络分组使得能够确定所述网络分组已经经由通信信道被成功且安全地传送。
2.根据权利要求1所述的方法,其中从所述第一设备向所述第二设备传送所述网络分组使得所述第二设备基于来自所述第一认证报头的认证信息来认证所述网络分组,其中认证所述网络分组包括基于所述第一认证报头来确定所述网络分组已经经由所述通信信道被既成功且安全地传送。
3.根据权利要求2所述的方法,其中认证所述网络分组包括使得所述第二设备基于标识相对于源自所述第一设备的一个或多个附加网络分组的、所述数据序列号的序列,确定所述网络分组已经以相对于所述一个或多个附加网络分组的正确顺序被传送。
4.根据权利要求3所述的方法,其中认证所述网络分组进一步包括基于计算的数据序列号与来自所述网络分组的所述数据序列号的比较来验证所述网络分组不是重复分组。
5.根据权利要求3所述的方法,其中认证所述网络分组进一步包括:
基于所述第一认证报头和所述有效载荷来计算完整性校验向量(ICV);以及
基于所述ICV与所述网络分组内包括的所述安全性标签匹配来确定所述网络分组尚未被修改。
6.根据权利要求1所述的方法,其中所述第一安全性密钥的副本被向所述第二设备发布,并且其中初始化向量是使用所述安全性密钥的所述副本、至少部分地基于来自所述第一认证报头的所述分组计数器值来被计算的,其中所述初始化向量包括与所述第一设备相关联的源地址和所述分组计数器值。
7.根据权利要求1所述的方法,其中所述第一设备和所述第二设备是包括一个或多个附加设备的安全性组的一部分,并且其中所述安全性密钥的副本被提供给所述一个或多个附加设备中的每一个附加设备,以使得所述一个或多个附加设备能够认证通过多个通信信道的来自所述第一设备的通信。
8.根据权利要求7所述的方法,进一步包括:使得第二安全性密钥被分发给所述第一设备、所述第二设备和所述一个或多个附加设备中的每一个设备,所述第二安全性密钥被指派为非活动的。
9.根据权利要求8所述的方法,进一步包括:
基于激活信号来激活所述第二安全性密钥,所述激活信号被提供给所述第一设备、所述第二设备和所述一个或多个附加设备中的每一个设备;以及
使得所述第二安全性密钥被用于加密针对一个或多个后续网络分组的内容,所述一个或多个后续网络分组由所述第一设备生成以向所述第二设备或所述一个或多个附加设备中的一个设备通信。
10.一种系统,包括:
一个或多个处理器;
存储器,所述存储器与所述一个或多个处理器电子通信;以及
存储在所述存储器中的指令,所述指令能够由所述一个或多个处理器执行以:
在第一设备处接收第一安全性密钥,所述第一安全性密钥与加密和解密要在所述第一设备和第二设备之间通信的数据相关联;
生成用于从所述第一设备向所述第二设备传送加密内容的网络分组,其中所述网络分组包括:
第一认证报头,所述第一认证报头包括针对所述网络分组的认证信息,其中所述认证信息包括数据序列号和分组计数器值;
有效载荷,所述有效载荷包括要被通信给所述第二设备的消息的加密内容;以及
安全性标签,所述安全性标签在所述第一认证报头和所述有效载荷上被计算;以及
从所述第一设备向所述第二设备传送所述网络分组,其中传送所述网络分组使得能够确定所述网络分组已经经由通信信道被成功且安全地传送。
11.根据权利要求10所述的系统,其中从所述第一设备向所述第二设备传送所述网络分组使得所述第二设备基于来自所述第一认证报头的认证信息来认证所述网络分组,其中认证所述网络分组包括基于所述第一认证报头来确定所述网络分组已经经由所述通信信道被既成功且安全地传送。
12.根据权利要求11所述的系统,其中认证所述网络分组包括使得所述第二设备基于标识相对于源自所述第一设备的一个或多个附加网络分组的、所述数据序列号的序列,确定所述网络分组已经以相对于所述一个或多个附加网络分组的正确顺序被传送,并且其中认证所述网络分组进一步包括基于计算的数据序列号与来自所述网络分组的所述数据序列号的比较来验证所述网络分组不是重复分组。
13.根据权利要求10所述的系统,其中所述第一设备和所述第二设备是包括一个或多个附加设备的安全性组的一部分,其中所述安全性密钥的副本被提供给所述一个或多个附加设备中的每一个附加设备,以使得所述一个或多个附加设备能够认证通过多个通信信道的来自所述第一设备的通信,并且其中所述系统进一步包括指令。
14.根据权利要求13所述的系统,进一步包括指令,所述指令能够由所述一个或多个处理器执行以:
使得第二安全性密钥被分发给所述第一设备、所述第二设备和所述一个或多个附加设备中的每一个设备,所述第二安全性密钥被指派为非活动的;
基于激活信号来激活所述第二安全性密钥,所述激活信号被提供给所述第一设备、所述第二设备和所述一个或多个附加设备中的每一个设备;以及
使得所述第二安全性密钥被用于加密针对一个或多个后续网络分组的内容,所述一个或多个后续网络分组由所述第一设备生成以向所述第二设备或所述一个或多个附加设备中的一个设备通信。
15.一种非暂时性计算机可读介质,其上存储指令,所述指令在由一个或多个处理器执行时,使一个或多个计算设备:
在第一设备处接收第一安全性密钥,所述第一安全性密钥与加密和解密要在所述第一设备和第二设备之间通信的数据相关联;
生成用于从所述第一设备向所述第二设备传送加密内容的网络分组,其中所述网络分组包括:
第一认证报头,所述第一认证报头包括针对所述网络分组的认证信息,其中所述认证信息包括数据序列号和分组计数器值;
有效载荷,所述有效载荷包括要被通信给所述第二设备的消息的加密内容;以及
安全性标签,所述安全性标签在所述第一认证报头和所述有效载荷上被计算;以及
从所述第一设备向所述第二设备传送所述网络分组,其中传送所述网络分组使得能够确定所述网络分组已经经由通信信道被成功且安全地传送。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/341,122 US12058241B2 (en) | 2021-06-07 | 2021-06-07 | Securely and reliably transmitting messages between network devices |
| US17/341,122 | 2021-06-07 | ||
| PCT/US2022/028417 WO2022260799A1 (en) | 2021-06-07 | 2022-05-10 | Securely and reliably transmitting messages between network devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117426070A true CN117426070A (zh) | 2024-01-19 |
Family
ID=82117662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280040688.9A Pending CN117426070A (zh) | 2021-06-07 | 2022-05-10 | 在网络设备之间安全且可靠地传送消息 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US12058241B2 (zh) |
| EP (1) | EP4352918A1 (zh) |
| CN (1) | CN117426070A (zh) |
| TW (1) | TW202301837A (zh) |
| WO (1) | WO2022260799A1 (zh) |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4924513A (en) * | 1987-09-25 | 1990-05-08 | Digital Equipment Corporation | Apparatus and method for secure transmission of data over an unsecure transmission channel |
| US5081678A (en) * | 1989-06-28 | 1992-01-14 | Digital Equipment Corporation | Method for utilizing an encrypted key as a key identifier in a data packet in a computer network |
| WO2001097480A2 (en) * | 2000-06-12 | 2001-12-20 | Mediashell Corp. | System and method for controlling the access to digital works through a network |
| US20020035681A1 (en) | 2000-07-31 | 2002-03-21 | Guillermo Maturana | Strategy for handling long SSL messages |
| US6744765B1 (en) | 2000-08-24 | 2004-06-01 | Sun Microsystems, Inc. | Mechanism for completing messages in memory |
| US20030061480A1 (en) * | 2001-09-14 | 2003-03-27 | Franck Le | Method of authenticating IP paging requests as security mechanism, device and system therefor |
| JP2007041223A (ja) * | 2005-08-02 | 2007-02-15 | Mitsubishi Electric Corp | データ配信装置及びデータ通信システム |
| US9304964B2 (en) | 2006-06-30 | 2016-04-05 | Intel Corporation | Separable transport layer in cache coherent multiple component microelectronic systems |
| US8370920B2 (en) | 2009-10-28 | 2013-02-05 | Aunigma Network Security Corp. | System and method for providing unified transport and security protocols |
| US9137139B2 (en) | 2009-12-18 | 2015-09-15 | Cisco Technology, Inc. | Sender-specific counter-based anti-replay for multicast traffic |
| FR2996947B1 (fr) * | 2012-10-11 | 2015-09-04 | Openways Sas | Procede securise de commande d'ouverture de dispositifs de serrure a partir de messages mettant en oeuvre un cryptage symetrique |
| US9338172B2 (en) | 2013-03-13 | 2016-05-10 | Futurewei Technologies, Inc. | Enhanced IPsec anti-replay/anti-DDOS performance |
| US20150372808A1 (en) * | 2014-06-18 | 2015-12-24 | Palo Alto Research Center Incorporated | Private and distributed computation of probability density functions |
| TW201608864A (zh) * | 2014-08-19 | 2016-03-01 | 動信科技股份有限公司 | 通信安全系統及方法 |
| US10581874B1 (en) * | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
| US11283784B2 (en) | 2018-09-25 | 2022-03-22 | ColorTokens, Inc. | Peer to peer communication in ad-hoc and cloaked networks |
-
2021
- 2021-06-07 US US17/341,122 patent/US12058241B2/en active Active
-
2022
- 2022-05-06 TW TW111117162A patent/TW202301837A/zh unknown
- 2022-05-10 CN CN202280040688.9A patent/CN117426070A/zh active Pending
- 2022-05-10 WO PCT/US2022/028417 patent/WO2022260799A1/en active Application Filing
- 2022-05-10 EP EP22726570.9A patent/EP4352918A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022260799A1 (en) | 2022-12-15 |
| US20220393856A1 (en) | 2022-12-08 |
| TW202301837A (zh) | 2023-01-01 |
| EP4352918A1 (en) | 2024-04-17 |
| US12058241B2 (en) | 2024-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3869730B1 (en) | Confidential communication management | |
| US9838870B2 (en) | Apparatus and method for authenticating network devices | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| US11277444B2 (en) | System-on-chip for performing virtual private network function and system including the same | |
| US10680816B2 (en) | Method and system for improving the data security during a communication process | |
| US10715332B2 (en) | Encryption for transactions in a memory fabric | |
| US20220209944A1 (en) | Secure Server Digital Signature Generation For Post-Quantum Cryptography Key Encapsulations | |
| US10691619B1 (en) | Combined integrity protection, encryption and authentication | |
| US20160380770A1 (en) | System and Method for Hash-Based Data Stream Authentication | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| US10699031B2 (en) | Secure transactions in a memory fabric | |
| US20200228311A1 (en) | Lightweight encryption, authentication, and verification of data moving to and from intelligent devices | |
| CN101938500B (zh) | 源地址验证方法及系统 | |
| US11201729B2 (en) | Devices and methods for enabling portable secure communication using random cipher pad cryptography by enabling communications to be passed to the device from a host, encrypted and/or decrypted, and passed back to the host | |
| US11126567B1 (en) | Combined integrity protection, encryption and authentication | |
| KR102266654B1 (ko) | Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템 | |
| CN112703500A (zh) | 在低功率模式期间保护存储在IoT装置的存储器中的数据 | |
| US11997192B2 (en) | Technologies for establishing device locality | |
| US11496287B2 (en) | Privacy preserving fully homomorphic encryption with circuit verification | |
| US11797717B2 (en) | Bus encryption for non-volatile memories | |
| WO2024044837A1 (en) | Methods, devices and systems for securely transmitting and receiving data and for replenishing pre-shared keys | |
| US12058241B2 (en) | Securely and reliably transmitting messages between network devices | |
| US11469890B2 (en) | Derived keys for connectionless network protocols |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |