CN1700659A - 具有嵌入的可移动的安全装置的网络设备 - Google Patents
具有嵌入的可移动的安全装置的网络设备 Download PDFInfo
- Publication number
- CN1700659A CN1700659A CNA200510079204XA CN200510079204A CN1700659A CN 1700659 A CN1700659 A CN 1700659A CN A200510079204X A CNA200510079204X A CN A200510079204XA CN 200510079204 A CN200510079204 A CN 200510079204A CN 1700659 A CN1700659 A CN 1700659A
- Authority
- CN
- China
- Prior art keywords
- final controlling
- network element
- function
- safety
- controlling element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Lock And Its Accessories (AREA)
Abstract
描述了一种用于在通信网络中提高网络元件的管理和控制功能的安全的系统。网络元件的控制卡被配置为结合如智能卡的执行装置运行。执行装置已被嵌入在一个或多个处理器上,每一个都实现与特定安全相关的操作。这限制了对网络元件的访问,从而使对敏感和机密信息的访问最小化。
Description
技术领域
本发明涉及数字通信网络,更具体而言,涉及在通信网络中提供网络元件的安全管理和控制的系统和方法。
背景技术
通信网络,包括因特网,正快速扩展并发展到全球范围,以提供对范围不断增大的业务的访问。为提供适应性和广泛性,开放的协议标准正在发展和采用。但是不幸地,这些开放的标准趋向于使网络更加容易受到与安全相关的攻击。结果,攻击者可能获得对远程网络元件上的敏感和机密信息的访问。
为了在这个开放的环境下达到更强的安全,遵循网络元件需要提供更安全的管理和控制,包括支持诸如运营者和装置鉴权、配置密封、密码支持等功能。
采用目前用于实现安全管理和控制的方法,所有的应用程序,包括处理敏感和机密数据的应用程序,都共享同一个执行环境。敏感和机密数据与每个产品有关,而且代表对网络元件的正确执行至关重要的信息,或者它的公开对网络元件是关键性的,或者它的公开对网络元件或运营者是关键性的。这样实现的结果是对一个易受攻击软件的任何攻击均可能使网络元件上的敏感和机密数据可以被访问。从这一点,网络元件受到危害,安全管理和控制功能不再是可行的。而且,很可能这样一个情况会保持不被网络管理系统检测到,直到某个异常检测系统向网络运营者告警。
这种简单的但可能大有损害的情况是基于利用系统中最不稳固的链路的过程。本发明描述了使用传统内存和存储器的系统固有的弱点,即传统内存和存储器不允许隔离和限制访问敏感机密数据。为了更好的安全性,敏感和机密数据在应用程序的环境之外应当不可访问。
发明内容
因此,需要提高通信系统中网络元件的安全。
本发明提出的解决方案采用与网络元件的控制卡相关联的安全执行装置以执行安全管理和控制功能。这些功能的执行与控制卡上运行的其他过程隔离并受到保护,因此这些功能不容易被破坏过程危害。
为了达到在开放环境下提高安全性,网络元件已嵌入到控制卡的一个或多个通用处理器上,这些通用处理器与标准内存或存储器装置相关联,如DRAM或闪存卡,以存储用于管理或控制例如鉴权SNMP、BGP和OSPF的操作的配置或安全元件。
因此,根据本发明的第一方面,提供一种用于在数字通信网络中执行网络元件的安全管理和控制功能的系统,网络元件具有控制卡以控制网络元件的安全功能。根据本发明,该系统包括与控制卡连接的接口装置,和与接口装置相关联的执行装置,用于执行选择的安全管理和控制功能。
根据本发明的第二方面,提供一种用于在数字通信网络的网络元件中执行安全管理和控制功能的方法,网络元件具有控制卡以控制网络元件的安全功能,该方法包括:提供与控制卡连接的接口装置;以及提供与接口装置相关联的执行装置,用于执行选择的安全管理和控制功能。
附图说明
现在参考附图更详细地描述本发明,其中:
图1描述了控制卡的接口连接器在闭合和打开位置的示例;
图2描述了终端和元件安全的一致性。
具体实施方式
根据本发明,安全包括支持诸如运营者和装置鉴权的功能,由与控制卡相关联的执行装置提供,在该控制卡上已嵌入一个或多个与标准内存或存储器装置相关联的通用处理器。该内存或存储器装置包括DRAM或闪存卡,存储用于管理或控制操作的配置或安全元件。
为了在网络元件上实现安全管理和控制功能,本发明提供一种安全系统,其允许受控和安全地访问敏感和机密数据。进一步地,本发明提供一种允许隔离的安全系统,其中隔离是使某个过程可以在完整的和独立于其他过程的环境下运行的属性。另外,该系统允许随时间推移通过软件更新进行重大的功能发展和改变而不会影响硬件结构。在这里,“重大”意味着该系统能被完全改变而不修改现有的硬件。该改变和功能发展不会影响安全访问和隔离特性。
为实现这三个方面,网络元件上的控制卡配备有接口装置,其允许接入执行装置,以存储用于网络元件的管理或控制操作的配置或安全元件。
接口装置可以是连接器,如与智能卡一起使用的SIMLOCK。执行装置可以是各种类型的智能卡之一,包括但不限于JavaCard。
显然,对于本领域技术人员来说,为了安全目的,这种执行装置用于电话结构和财务应用程序中。但相信这样的实现在以前没有用于结合网络元件控制卡使用的网络管理环境中。
如下提供本发明的上述各方面。诸如JavaCard的执行装置作为安全执行装置是已知的。在Java中已建立包括面向安全沙箱的域(security sandbox orienteddomains)和签名软件升级的安全属性。安全完全采用JavaCard保护特征文档中的ISO 15408公用准则标准定义。
JavaCard在实现过程执行中的孤立原理的智能卡上实现。该卡还具有专门的目录,用于存储不能在该卡之外被逻辑或物理访问的秘密数据。该特性可用于存储所有的安全参数,这些安全参数必须被保密并且仅由嵌入卡中的安全管理和控制软件使用。这样,网络元件仅在如果检测到执行装置时激活。这有效地使敏感和关键信息的泄露窗口最小化。
可以理解,执行装置可容易地被拆除,并用新的完全更新的版本改变,或者通过使用各种机制,新的更新能够使用更新的软件以安全的方式下载。因此,初始化和配置能由终端用户在卡持有者的情况下,以用户规定的安全级别进行,而硬件/软件装配最小。
智能卡的使用当前用于诸如移动电话的终端中。通过本发明,从终端到网络元件的安全级别可用于无缝地实现端到端的安全解决方案。这如图2所示。在网络元件中结合智能卡类型的执行装置提供安全级别,其通过直接在线路/控制卡上装有安全芯片可行,但是具有更大的灵活性和升级安全特性的能力。
在本发明的整个范围内,将执行装置的多个实例结合到控制卡中。因此,可以使用多个智能卡分别处理不同的安全方面,每个智能卡处理不同的方面。还可以配置多个不同的实例由超过一个的运营者使用,而激活依赖于可用的执行装置。多个实例可提高安全程序的可靠性。
在执行装置的多个或几个实例的情况下,可要求实时同步。在本发明的范围内也提供这样的同步,以便保护存储在各个特定装置之间的敏感和机密数据。
虽然本发明的特定实施例已被描述和示出,但对于本领域技术人员来说,显然可以在不脱离基本原理的情况下进行多种改变。然而,应当理解,这些改变将落入如所附权利要求定义的本发明的整个范围之内。
Claims (18)
1.一种用于在数字通信网络中执行网络元件的安全管理和控制功能的系统,所述网络元件具有控制卡以控制所述网络元件的安全功能,所述系统包括:与所述控制卡连接的接口装置;与所述接口装置相关联的执行装置,用于执行选择的安全管理和控制功能。
2.如权利要求1所述的系统,其中,提供多个执行装置,用于执行多个选择的管理和控制功能。
3.如权利要求2所述的系统,还具有:用于在所述多个执行装置之间同步状态的装置。
4.如权利要求1所述的系统,用于提供对敏感和机密数据的安全访问。
5.如权利要求1所述的系统,提供隔离,以允许某个过程在完整的和独立于其他过程的环境下运行。
6.如权利要求1所述的系统,用于允许功能发展和改变,而不影响硬件结构。
7.如权利要求6所述的系统,其中,所述功能发展通过软件更新实现。
8.如权利要求1所述的系统,其中,所述执行装置具有专门的目录,用于存储不能在所述装置之外被逻辑或物理访问的秘密数据。
9.如权利要求1所述的系统,其中,所述执行装置具有安全参数,由嵌入在所述执行装置中的安全管理和控制软件使用。
10.一种用于在数字通信网络的网络元件中执行安全管理和控制功能的方法,所述网络元件具有控制卡以控制所述网络元件的安全功能,所述方法包括:
提供与所述控制卡连接的接口装置;以及
提供与所述接口装置相关联的执行装置,用于执行选择的安全管理和控制功能。
11.如权利要求10所述的方法,其中,提供多个执行装置,用于执行多个选择的管理和控制功能。
12.如权利要求11所述的方法,还具有:用于在所述多个执行装置之间同步状态的装置。
13.如权利要求10所述的方法,用于提供对敏感和机密数据的安全访问。
14.如权利要求10所述的方法,用于提供隔离,以允许某个过程在完整的和独立于其他过程的环境下运行。
15.如权利要求10所述的方法,用于允许功能发展和改变,而不影响硬件结构。
16.如权利要求15所述的方法,其中,所述功能发展通过软件更新实现。
17.如权利要求10所述的方法,其中,所述执行装置具有专门的目录,用于存储不能在所述装置之外被逻辑或物理访问的秘密数据。
18.如权利要求10所述的方法,其中,所述执行装置具有安全参数,由嵌入在所述执行装置中的安全管理和控制软件使用。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/846,542 US20050257047A1 (en) | 2004-05-17 | 2004-05-17 | Network equipment with embedded movable secure devices |
| US10/846,542 | 2004-05-17 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1700659A true CN1700659A (zh) | 2005-11-23 |
Family
ID=34942608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200510079204XA Pending CN1700659A (zh) | 2004-05-17 | 2005-05-17 | 具有嵌入的可移动的安全装置的网络设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20050257047A1 (zh) |
| EP (1) | EP1599019A3 (zh) |
| CN (1) | CN1700659A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2932937B1 (fr) * | 2008-06-24 | 2011-02-11 | Alcatel Lucent | Routeur associe a un dispositif securise. |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5742680A (en) * | 1995-11-13 | 1998-04-21 | E Star, Inc. | Set top box for receiving and decryption and descrambling a plurality of satellite television signals |
| US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
| US7055041B1 (en) * | 1999-09-24 | 2006-05-30 | International Business Machines Corporation | Controlled use of devices |
| US7085875B1 (en) * | 2000-04-06 | 2006-08-01 | Avaya Communication Israel Ltd. | Modular switch with dynamic bus |
| FR2812992B1 (fr) * | 2000-08-10 | 2003-01-17 | Sagem | Routeur a carte a microprocesseur |
| EP1204064B1 (en) * | 2000-11-03 | 2008-10-15 | AMPHENOL-TUCHEL ELECTRONICS GmbH | Smart card connector for two smart cards |
| US7313819B2 (en) * | 2001-07-20 | 2007-12-25 | Intel Corporation | Automated establishment of addressability of a network device for a target network environment |
| US7305704B2 (en) * | 2002-03-16 | 2007-12-04 | Trustedflow Systems, Inc. | Management of trusted flow system |
-
2004
- 2004-05-17 US US10/846,542 patent/US20050257047A1/en not_active Abandoned
-
2005
- 2005-05-16 EP EP05300376A patent/EP1599019A3/en not_active Withdrawn
- 2005-05-17 CN CNA200510079204XA patent/CN1700659A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP1599019A3 (en) | 2006-01-18 |
| EP1599019A2 (en) | 2005-11-23 |
| US20050257047A1 (en) | 2005-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2922269B1 (fr) | Routage NFC sécurisé | |
| CN102630320B (zh) | 信息处理装置以及应用程序不正当协作防止方法 | |
| CN105446713B (zh) | 安全存储方法及设备 | |
| CN103620606B (zh) | 存储检测装置、系统及存储检测方法 | |
| CN109117664B (zh) | 应用程序的访问控制方法和装置 | |
| JP2007526573A (ja) | リトリーブ可能なトークン(例えば、スマートカード)内の独立した実行環境におけるアプリケーション間のセキュリティで保護されたリソース共有 | |
| CN103577773A (zh) | 基于Android的移动设备安全保护方法和装置 | |
| CN101047701B (zh) | 保证应用程序安全运行的系统和方法 | |
| US7409563B2 (en) | Method and apparatus for preventing un-authorized attachment of computer peripherals | |
| CN107832105A (zh) | 一种应用程序启动方法、启动装置及计算机可读存储介质 | |
| EP1194845B1 (en) | Device for processing data and corresponding method | |
| CN109657490B (zh) | 一种办公文件透明加解密方法及系统 | |
| KR101834808B1 (ko) | 파일 암호화 방지 장치 및 방법 | |
| CN104955043B (zh) | 一种智能终端安全防护系统 | |
| CN106453057B (zh) | 一种防止短信被窃取的方法及终端 | |
| CN108334788B (zh) | 文件防篡改方法及装置 | |
| Altayaran et al. | Security threats of application programming interface (API's) in internet of things (IoT) communications | |
| US20240163264A1 (en) | Real-time data encryption/decryption security system and method for network-based storage | |
| CN1700659A (zh) | 具有嵌入的可移动的安全装置的网络设备 | |
| CN111800390A (zh) | 异常访问检测方法、装置、网关设备及存储介质 | |
| EP3244375B1 (fr) | Microcontrôleur pour démarrage sécurisé avec pare-feu | |
| CN101227682A (zh) | 一种保护终端中数据安全的方法及装置 | |
| CN107679858B (zh) | 移动终端及移动支付方法 | |
| CN112637191A (zh) | 一种网络信息安全管理系统 | |
| CN111753263A (zh) | 一种基于macOS系统的无感加解密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |