CN1954540A - 多协议网络加密系统 - Google Patents
多协议网络加密系统 Download PDFInfo
- Publication number
- CN1954540A CN1954540A CNA2005800041975A CN200580004197A CN1954540A CN 1954540 A CN1954540 A CN 1954540A CN A2005800041975 A CNA2005800041975 A CN A2005800041975A CN 200580004197 A CN200580004197 A CN 200580004197A CN 1954540 A CN1954540 A CN 1954540A
- Authority
- CN
- China
- Prior art keywords
- network
- encryption
- header
- password
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Abstract
一种用于网络的加密管理系统。该系统连接在受保护网络和不受保护网络之间,并管理在网络之间传送的有效载荷的加密和解密。加密和解密使用不同的密码系统,它们被最优化用于不同类型的加密和解密。例如,一种系统使用硬接线的加密机,而其它系统可使用软件加密机。签名密钥储存在单独管理单元中,该管理单元经单独网络接口与主加密机相连、并使用简单网络管理协议与主处理器通信。
Description
背景技术
许多不同公用网络是众所周知的,诸如所谓SONET/SDH、ATM、帧中继网络、在许多这些网络中,网络上的数据可表示任何东西。数据被分成不同的块或帧、单元或分组。每个帧、单元或分组都具有它自己的附加部分(overhead portion)集,它们可表示数据的目标和其它信息。网络基于帧或分组的包络部分(envelopeportion)中所包含的编址来处理帧、单元或分组。
通常,网络经由交换机将数据从一个目标发送到另一个目标。
这些网络上的安全非常重要。
发明内容
本申请描述一种加密机系统,它加密SONET/SDH帧、ATM单元、帧中继帧、或IP分组的有效载荷。该加密机连接到本地交换机/路由器与数据网络之间的路径中。加密机以不同方式运行以加密不同部分,并包括密钥和远程操作的管理功能。附加保持为不作加密,从而帧、单元或分组可由交换机沿着数据路径进行适当的处理。
附图说明
这些和其它方面将参照附图进行详细地描述,在附图中:
图1示出系统及其连接的基本框图;以及
图2示出内部体系结构的示图。
具体实施方式
系统的基本框图如图1所示。CypherNet 100连接在不受保护网络105和受保护网络110之间。加密有效负载110用不经加密的附加部分111发送。附加部分111包括网络用于路由其通信所必需的编址和其它信息。
如本文中所述,系统提供对SONET/SDH、ATM、帧中继和其它类似连接的透明加密。各数据流可加密或不作改变地通过,如连接表格中所定义。根据本系统,“有效载荷”包括各部分数据,诸如数据分组和/或数据帧。
根据本系统,公开了用于公用网络的特定加密机单元。该加密机单元可用于保护任何数量的诸如同步光学网络(SONET)、同步数字分层结构网络(SDH)、异步传输模式网络(ATM)、帧中继网络(FR)和其它类似网络的类似格式网络上的信息。这些网络可以众多不同速度的任一速度运行。本文中称为CypherNet标示为100的设备连接在不受保护网络105和受保护网络110之间。
根据本文公开的各个方面,特定的CypherManager可用于安全和远程地管理加密机。图形用户界面被用来设置和监视CypherNet内部配置参数。该管理器使用现有的网络命令协议(在此为SNMPv3)与真正的硬件单元相连,并在以太网网络上发出命令。这允许管理器被作为CypherNet的网络部分之一的子系统来对待。
CypherNet 100的图2包括解密和加密组件。解密组件120用于解密从不受保护网络105发送到受保护网络110的信息。相反,加密部分加密从受保护网络110发送到不受保护的公共网络105的信息。
各路径120、130包括两个被加密或解密引擎所包围的网络接口。解密路径120包括第一网络接口121、第二网络接口122、以及解密引擎125。如本文所述的解密引擎包括用于不同类型信息的三个独立部分。高速解密部分可用于加密的最高速/数据最密集使用的部分。低速解密127可用于低速解密,而软件解密128可用于不太需要解密的其它部分。
类似地,加密层包括两个网络接口:高速加密、低速加密和软件加密部分。
图2示出加密的更详细体系结构,包括连接为该单元的一个方面的CypherManager子系统250。该CypherManager使用常规SNMPv3通信来控制处理器和管理子系统140的操作。
如图2所示,与众多不同子系统的接口是可能的。第一接口可连接到SONET/SDH子系统。例如,接口200可以是连接到SONET SDH或ATM本地接口子系统的物理接口。这连接到SONET/SDH/ATM处理器,它用来处理网络消息的比特。ATM处理器接收所接收的ATM单元并处理报头。通常,系统会去除校验和字节,然后将该单元转发给高速密码系统210。该高速密码系统还包括单元处理器211,它将一加密的32位密码参数字段添加到该单元的开始处。密码参数从分别定义VPI/VCI地址的连接表中生成。然后,这些密码参数由加密引擎220和解密引擎221用来选择用于虚拟电路的密钥,并设置密码引擎的模式。
在完成密码处理之后,密码参数被去除,且报头校验和字节被重新计算并重新插入到单元报头内。然后,该单元被转发给用于其它接口子系统的处理器(在此示为212),并被返回给处理器203和物理接口204。
ATM接口子系统也通过类似结构形成。ATM处理器处理ATM单元并再次去除校验和字节。然后,单元被转发给处理器211,该处理器211基于表格再次计算地址的密码参数字段。再一次,密码参数在处理之后去除,并重新计算和重新插入报头校验和字节。
然而,如果ATM虚拟电路已被配置成用于基于帧或IP的加密,则密码参数将被设置成表示帧或IP加密。高速ATM密码子系统将单元切换到处理器系统140上的ATM端口,比如端口232。这允许处理器重新组装来自接收单元系统的帧或分组。在处理整个帧或分组之后,处理器处理该帧并确定其操作。
如果被配置成用于帧中继,则帧由管理系统内所包含的低速密码系统240加密或解密。
操作还预期使用一串行接口子系统。串行接收的比特流可由低速密码系统240、或由管理子系统140内所包含的软件密码系统解密。
管理系统140包括处理器241,具有众多处理器的相关联子部分。例如,管理系统140可包括以太网接口,用于与包括CypherManager子系统的其它网络相连。它还可包括RS-232接口243,以及可包括状态和显示并保存之的用户接口244。USB端口可用于附加存储或更新软件/固件。此外,噪音源246和实时时钟247被包括为子系统的一部分。
重要的操作部分通过由CypherManager子系统250监视的管理来实现。该管理启用安全远程管理。CypherManager实际上执行某些密钥的存储并因此包括一安全存储251。在本实施例中,CypherManager储存一CA私钥,它用于对允许校验CypherNet加密机的身份的X.509证书签名。用于对加密机间数据加密的所有密钥在各个加密机内部生成,并在开始时使用RSA公钥加密、然后使用X.509证书进行验证而在加密机之间交换。
当加密机掉电或者它被篡改时,所有这些密钥都被销毁。加密机私钥通常保持多个电源周期,但会在单元被篡改时被销毁。
存储包括具有两个内部表格的数据库。第一个表格用于储存X.509私钥。该私钥使用诸如AES(使用根据密码生成的256位密钥)的加密方案加密。该数据库还储存发现用于每个CypherManager(密码管理器)用户的CypherNet加密机的IP地址。这样,数据库可用于在用户登录时检索所发现加密机的列表,并检索经加密的私钥以对诸如X.509证书的证书签名。但是,除非用户输入正确的密码,才能对证书签名。
CypherManager使用众多的互连软件模块来允许用户登录、密码输入、签名和确认,以及各种表格和操作的创建和维护。用户使用图形用户界面登录,并输入与储存在CypherNet单元中的密码相匹配的适当密码。这使用户能访问各种功能,并籍此管理各种操作。
本系统提供多个不同密码子系统的使用,以便于处理不同类型的信息。四种基本的密码子系统包括:软件密码系统、低速密码系统、高速SONET/SDH系统和高速ATM系统。这样划分元件的优点是通过使用不同的系统功能来加密和解密不同类型的信息可得到更佳效率。例如,在一实施例中,高速密码系统是专用的硬件模块,它们专用于特定格式和类型的消息的加密和/或解密。例如,加密引擎220可以是用硬件构成的SONET/SDH加密引擎。这可以是插入高速密码系统210内的底板的卡。硬件单元被最优化以用于特定功能(在此为加密SONET/SDH),并可产生用于该特定操作的极高处理能力。然而,该引擎也可仅执行其一个约定任务的处理。可添加众多卡以增加或减少系统的功能。然而,高速密码系统包括极高专用化设备。也可将较快的卡或附加卡添加到系统中,以增加处理能力。
诸如240的低速密码系统可以是不太专用化的,但是它仍然包括它自己的用于执行解密的专用处理器。这样,除仅仅加密或解密流之外,低速密码处理器还可实现众多功能。例如,可将RSA用于在它自己的专用处理器中进行处理。
全部其它功能由软件密码系统执行。尽管任何加密或解密都可通过简单地写入程序来用软件实现,但这可能是不同系统中最慢的一种。
软件密码子系统用于处理低速产品中的ATM单元、FR帧、IPSec分组和比特流。它还提供密钥生成、RSA、Diffie-Hellman、MD5和SHA-1服务。
低速密码子系统使用两个安全处理器来处理ATM单元、FR帧、IPSec分组和比特流,并用于中速产品。低速密码子系统用处理器设备替换软件密码子系统中的密码功能。它还提供RSA、Diffie-Hellman、MD5和SHA-1服务。
高速SONET/SDH密码模块被用于处理SONET/SDH帧。高速SONET/SDH密码子系统有2.4Gbps版本和10Gbps版本。两个版本之间SONET/SDH帧的处理并无差异,因此为简便起见将它们作为一个子系统对待。
高速ATM密码模块被用于处理ATM单元。高速ATM密码子系统可使用155Mbps卡或622Mbps卡。两个版本之间单元的处理并无差异,因此为简便起见将它们作为一个子系统对待。
高速IPSec密码子系统被用于处理IP分组。
在本地端口上接收的来自受保护网络的单元、帧、分组或比特流通过加密子系统进行处理和传送,然后转发给不受保护的网络。
在网络端口上接收的来自不受保护网络的单元、帧、分组或比特流通过解密子系统进行处理和传送,然后转发给受保护的网络。
以下是有关子系统的更多细节。
软件密码子系统提供所有的密码功能,包括软件形式的CypherNet所需的密钥生成和密钥管理。
在软件密码子系统中没有速度硬件组件。然而,管理子系统上的硬件噪音源246为密钥生成过程提供随机种子。
软件密码子系统使用以下软件模块。
1.AES加密/解密
2.DES加密/解密
3.MD5散列生成
4.SHA-1散列生成
5.RSA加密/解密服务
6.经签名的X.509证书的验证
7.RSA私钥和用户密码的安全存储
8.密码密钥的生成
9.RSA公钥和私钥的创建
10.RSA加密/解密服务
11.Diffie-HeHman密钥的创建
低速密码子系统连接到管理子系统。该子系统提供低速的AES/DES加密/解密,辅助RSA加密/解密和MD5/SHA-1散列计算,并执行IPSec变换以及加密和解密功能。
低速密码子系统使用两个AES/DES/RSA/MD5/SHA-1/IPSec安全处理器。
低速密码子系统可连接到管理子系统,以提供管理子系统微处理器和两个安全处理器之间的通信。该接口用于:
·初始化安全处理器,以及
·从安全处理器往返传送数据。它也用于测试安全处理器的正确操作。
当运行诊断测试时,微处理器将已知密钥载入AES/DES/RSA/IPSec/MD5/SHA-1算法,然后载入测试消息。该消息由微处理器处理、读回并与期望结果作比较。如果检测到差错,则生成一音频输入。
高速SONET/SDH密码子系统连接到管理子系统以及本地和网络子系统。
它加密在本地端口上接收的SONET/SDH帧的有效载荷,并解密在网络接口上接收的SONET/SDH帧。经加密的帧被转发给网络接口子系统,用于传送给不受保护网络。经解密的帧被转发给本地接口子系统,用于传送给受保护网络。扇区、线路和路径附加字节经加密地、未经更改地、或经补零地通过加密子系统传送。加密机可被配置为线路加密机或路径加密机。当被配置为线路加密机时,加密完整的有效载荷,包括路径附加字节。当被配置为路径加密机时,各路径使用不同的密钥加密,且不加密路径附加字节。
高速SONET-SDH密码子系统使用以下硬件组件:
1.加密/解密SONBT/SDH FPGA
2.用于储存连接表的SDRAM
3.控制CPLD
4.用于保存FPGA定义的闪存
加密/解密FPGA用于确定网络接口上接收的有效载荷是否被解密、未经改变地传送、或被补零。这可通过检查连接表是否有条目来实现。如果有一连接表条目,则向解密引擎转发该帧。如果没有条目,则对该帧的有效载荷补零。
当解密引擎接收到帧时,它根据连接表中所包含的信息确定要采取的动作。如果要解密有效载荷,则连接表中所包含的信息被用于将该特定连接的密钥等载入AES引擎。然后解密该帧的有效载荷。然后将具有经解密的、未经改变的或经补零的有效载荷的帧转发给本地接口子系统。
加密/解密FPGA用于确定在本地接口上接收到的有效载荷是经加密的、未经改变地传送的、还是经补零的。这是通过检查连接表是否有条目来实现的。如果有一连接表条目,则向解密引擎转发该帧。如果没有条目,则对该帧的有效载荷补零。
当加密引擎接收到帧时,它根据连接表中所包含的信息确定要采取的动作。如果要解密有效载荷,则连接表中所包含的信息被用于将该特定连接的密钥等载入AES引擎。然后加密该帧的有效载荷。然后将具有经加密的、未经改变的或经补零的有效载荷的帧转发给网络接口子系统。
连接表根据从处理器子系统中获得的CAT表产生。
管理子系统微处理器为连接表中的每个条目生成主密钥和初始对话密钥。在已将条目添加到连接表之后,微处理器使用RSA服务加密主密钥和初始对话密钥,并将它们插入网络接口上的引出管理通道。密钥交换机制在ATM论坛安全规范V1.1中定义。初始对话密钥也被储存在加密SDRAM中。
网络接口还接收来自远端加密机的经加密主/初始对话密钥,并使用RSA服务来解密密钥。初始对话密钥被存储在解密SDRAM中。主密钥用于解密从远端加密机接收的周期性引入对话密钥更新。该周期性引入对话密钥更新解密SDRAM中所包含的密钥内容。
高速ATM密码子系统连接到管理子系统以及本地和网络子系统,并与高速SONET系统类似地工作,以加密在本地端口上接收的ATM单元的有效载荷,并解密在网络接口上接收的单元。经加密的单元被转发给网络接口子系统,用于传送给未受保护的网络。经解密的单元被转发给本地接口子系统,用于传送给受保护的网络。除了与密钥更新相关联的OAM单元外,网络管理OAM单元总是未经更改地通过加密子系统。
高速ATM密码子系统可使用:
5.进入单元处理器
6.外出单元处理器
7.用于储存进入连接表的SDRAM
8.用于储存外出连接表的SDRAM
9.进入CAM
10.外出CAM
11.加密引擎FPGA
12.解密引擎FPGA
13.用于储存每个活动连接的加密密钥和IV的SDRAM
14.用于储存每个活动连接的解密密钥和IV的SDRAM
15.控制CPLD
16.用于保存FPGA定义的SDRAM
17.高速IPSec处理器
进入单元处理器用于确定网络接口上接收的单元是经解密的、未经改变地传送的、被去除的、还是传送更高层协议的。这通过从ATM单元报头提取VPI/VCI地址、然后检查该地址的连接表是否具有一条目来实现。如果有一连接表条目,则向解密引擎转发该单元与包含如何处理该单元的信息的扩展报头。如果没有条目,则去除该单元。
当解密引擎接收到该单元时,它根据扩展报头中所包含的信息确定要采取的动作。如果要解密该单元,则扩展报头中所包含的地址信息被用于将该特定虚拟电路的密钥和IV载入AES或DES引擎。然后解密该单元的有效载荷,并将IV保存在解密SDRAM中。然后将具有经解密或未经改变有效载荷的单元转发给外出单元处理器,它将在移除经扩展报头之后将单元转发给网络接口子系统。
外出单元处理器用于确定本地接口上接收的单元是经解密的、未经改变地传送的、被去除的、还是传送更高层协议的。这通过从ATM单元报头提取VPINCI地址、然后检查该地址的连接表是否具有一条目来实现。如果有一连接表条目,则向加密引擎转发该单元与包含如何处理该单元的信息的扩展报头。如果没有条目,则去除该单元。
当加密引擎接收到该单元时,它根据扩展报头中所包含的信息确定要采取的动作。如果要加密该单元,则扩展报头中所包含的地址信息被用于将该特定虚拟电路的密钥和IV载入AES或DES引擎。然后加密该单元的有效载荷,并将IV保存在解密SDRAM中。然后将具有经加密或未经改变有效载荷的单元转发给进入单元处理器,它将在移除经扩展报头之后将单元转发给本地接口子系统。
连接表根据从处理器子系统中获得的CAT表产生。对于大量的连接表条目,内容可寻址存储器(CAM)设备用于加速连接查找。VPI/VCI地址被提供给CAM,该VPL/VCI地址响应于指向连接表中相关条目的指针。
管理子系统微处理器为连接表中的每个条目生成主密钥和初始对话密钥。在已将条目添加到连接表之后,微处理器使用RSA服务加密主密钥和初始对话密钥,并将它们插入网络接口上的引出单元流。密钥交换机制在ATM论坛安全规范V1.1中定义。初始对话密钥也被储存在加密SDRAM中。
网络接口还接收来自远端加密机的经加密主/初始对话密钥,并使用RSA服务来解密密钥。初始对话密钥被存储在解密SDRAM中。主密钥用于解密从远端加密机接收的周期性引入对话密钥更新。该周期性引入对话密钥更新解密SDRAM4中所包含的密钥内容。
类似地,本地接口子系统直接从未受保护网络中接收单元202、206,并将它们直接转发给处理器系统。该处理器241可直接处理这些单元,或分配给低速密码系统。
该系统的另一方面是它的防篡改。当激活系统互锁时可实现自动的存储器擦除。
尽管以上仅描述了若干实施例,其它更改是可能的。例如,尽管以上仅引用了一些网络协议和格式,但是当然可预期其它协议和格式。
Claims (23)
1.一种网络加密系统,包括:
第一网络接口,适于连接到受保护网络;
第二网络接口,适于连接到不受保护网络;
处理部件,管理要发送到不受保护网络的信息有效载荷的加密、以及从不受保护网络接收的信息有效载荷的解密,且所述处理部件包括在其中的微处理器;以及
加密和解密系统,包括:第一高速密码系统,它使用用于密码加密和解密的专用硬件组件进行操作;以及第二低速密码系统,它完成所述密码操作而不使用专用硬件组件。
2.如权利要求1所述的系统,其特征在于,所述第一高速密码系统使用被配置为实现特定加密或解密操作的现场可编程门阵列。
3.如权利要求1所述的系统,其特征在于,所述第一低速密码系统包括使用密码处理器的第一部分,以及使用运行于通用处理器上的软件的第二密码部分。
4.如权利要求1所述的系统,其特征在于,还包括密钥管理子系统,它经由网络接口与所述处理部件相连并使用网络管理协议进行通信,所述密钥管理子系统在其中储存经加密的软件密钥。
5.如权利要求4所述的系统,其特征在于,所述密钥管理子系统和所述处理部件经由简单网络管理协议进行通信。
6.如权利要求4所述的系统,其特征在于,所述密钥管理子系统通过使用加密密码加密所述密钥来储存至少一个私钥。
7.如权利要求4所述的系统,其特征在于,所述密钥管理系统保存其它密钥管理系统的地址。
8.如权利要求1所述的系统,其特征在于,所述第一高速密码系统包括至少一个卡。
9.如权利要求8所述的系统,其特征在于,所述高速密码系统包括最优化用于SONET帧的加密的第一卡,以及最优化用于ATM单元的加密的第二卡。
10.如权利要求4所述的系统,其特征在于,还包括所述密钥管理子系统上的安全互锁,以及当安全互锁被破坏时擦除所述存储器的存储器擦除功能。
11.如权利要求1所述的系统,其特征在于,所述加密和解密系统包括去除与所述网络接口相关联的报头、用密码报头替换所述报头、使用密码报头处理所述消息、然后产生与所述网络接口相关联的新报头的部分。
12.一种系统,包括:
第一网络接口,适于连接到受保护网络;
第二网络接口,适于连接到不受保护网络;
包括第三网络接口的处理部件,所述处理部件管理来自所述不受保护网络的数据的加密、并将所述数据发送到所述受保护网络,并且管理来自所述受保护网络的数据的解密,并以特定形式将所述数据发送到所述不受保护网络;以及
密钥管理子系统,在其中储存在所述处理部件的解密中使用的经加密密钥,所述密钥管理子系统通过网络协议与所述处理部件相连,并与所述第三网络接口相连。
13.如权利要求12所述的系统,其特征在于,所述第三网络接口的网络协议是SNMPV3。
14.如权利要求12所述的系统,其特征在于,所述不受保护网络是SONET网络。
15.如权利要求12所述的系统,其特征在于,所述不受保护网络是ATM网络。
16.如权利要求12所述的系统,其特征在于,所述不受保护网络是帧中继网络。
17.如权利要求12所述的系统,其特征在于,所述不受保护网络是IP网络。
18.如权利要求12所述的系统,其特征在于,所述处理部件包括加密和解密系统,所述加密和解密系统包括由硬件加密部件构成的高速密码系统以及使用密码处理器操作的低速密码系统。
19.如权利要求18所述的系统,其特征在于,所述低速密码系统包括用软件操作的第一部件,以及使用密码处理器操作的第二部件。
20.如权利要求18所述的系统,其特征在于,所述高速密码系统由现场可编程门阵列构成。
21.如权利要求18所述的系统,其特征在于,所述加密和解密系统用来移除与所述不受保护网络的网络协议相关联的报头、以及与密码功能相关联的报头,使用与密码功能相关联的所述报头处理消息部分,然后重新生成与所述网络协议相关联的报头。
22.一种方法,包括:
连接到作为受保护网络的第一网络以及作为不受保护网络的第二网络;
加密从所述第一网络发送到所述第二网络的数据,并解密从所述第二网络发送到所述第一网络的数据;以及
在不同于完成加密的单元的一单独单元中储存和管理至少一个签名密钥,并在不同于所述第一和第二网络的一独立网络上与所述单独单元进行通信。
23.如权利要求22所述的方法,其特征在于,所述加密包括:
移除与所述第二网络的网络协议相关联的报头;
从所述单独单元中获取密钥信息,基于所述密钥信息形成一加密报头,并使所述加密报头与一消息片段相关联;
使用所述加密报头来加密所述消息片段;以及
重新生成与所述网络协议相关联的报头。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/773,763 US20050177713A1 (en) | 2004-02-05 | 2004-02-05 | Multi-protocol network encryption system |
| US10/773,763 | 2004-02-05 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1954540A true CN1954540A (zh) | 2007-04-25 |
Family
ID=34826831
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800041975A Pending CN1954540A (zh) | 2004-02-05 | 2005-01-31 | 多协议网络加密系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20050177713A1 (zh) |
| EP (1) | EP1714421A4 (zh) |
| CN (1) | CN1954540A (zh) |
| AU (3) | AU2005213327B2 (zh) |
| IL (1) | IL177178A0 (zh) |
| TW (1) | TWI278210B (zh) |
| WO (1) | WO2005076846A2 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101840391A (zh) * | 2010-05-17 | 2010-09-22 | 深圳视融达科技有限公司 | 一种电子支付系统双处理器子系统间通信及其调用方法 |
| CN101897211B (zh) * | 2007-12-17 | 2013-08-21 | 微软公司 | 计算机秘密的迁移 |
| CN105429759A (zh) * | 2015-11-05 | 2016-03-23 | 天津津航计算技术研究所 | 用于无人机机载数据记录仪数据加密的密钥管理方法 |
| CN107710716A (zh) * | 2015-07-20 | 2018-02-16 | 施瓦哲工程实验有限公司 | 用于实现在软件定义网络中选择性加密的通信设备 |
| CN108270739A (zh) * | 2016-12-30 | 2018-07-10 | 华为技术有限公司 | 一种管理加密信息的方法及装置 |
| CN110417813A (zh) * | 2019-08-23 | 2019-11-05 | 北京无极芯动科技有限公司 | 出栈网络处理器及网络数据出栈处理方法 |
| CN113144636A (zh) * | 2016-03-31 | 2021-07-23 | 贝尔合控(深圳)科技有限责任公司 | 模块化组件系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1440539A4 (en) | 2001-09-27 | 2009-08-26 | Broadcom Corp | STRONG INTEGRATED MEDIA ACCESS CONTROL |
| US9003199B2 (en) * | 2004-03-23 | 2015-04-07 | Harris Corporation | Modular cryptographic device providing multi-mode wireless LAN operation features and related methods |
| US7657755B2 (en) * | 2004-03-23 | 2010-02-02 | Harris Corporation | Modular cryptographic device providing status determining features and related methods |
| JP2006339988A (ja) * | 2005-06-01 | 2006-12-14 | Sony Corp | ストリーム制御装置、ストリーム暗号化/復号化装置、および、ストリーム暗号化/復号化方法 |
| US7562211B2 (en) * | 2005-10-27 | 2009-07-14 | Microsoft Corporation | Inspecting encrypted communications with end-to-end integrity |
| US20120054489A1 (en) * | 2010-08-25 | 2012-03-01 | University Bank | Method and system for database encryption |
| US9305172B2 (en) | 2013-03-15 | 2016-04-05 | Mcafee, Inc. | Multi-ring encryption approach to securing a payload using hardware modules |
| EP2833572B1 (en) * | 2013-07-29 | 2019-12-25 | Alcatel Lucent | Adaptive traffic encryption for optical networks |
| US11847237B1 (en) * | 2015-04-28 | 2023-12-19 | Sequitur Labs, Inc. | Secure data protection and encryption techniques for computing devices and information storage |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5870474A (en) * | 1995-12-04 | 1999-02-09 | Scientific-Atlanta, Inc. | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers |
| US5796836A (en) * | 1995-04-17 | 1998-08-18 | Secure Computing Corporation | Scalable key agile cryptography |
| US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US6426706B1 (en) * | 1998-11-19 | 2002-07-30 | Lear Automotive Dearborn, Inc. | Safety warning transceiver |
| US6477646B1 (en) * | 1999-07-08 | 2002-11-05 | Broadcom Corporation | Security chip architecture and implementations for cryptography acceleration |
| US7600131B1 (en) * | 1999-07-08 | 2009-10-06 | Broadcom Corporation | Distributed processing in a cryptography acceleration chip |
| JP2001308843A (ja) * | 2000-04-19 | 2001-11-02 | Nec Commun Syst Ltd | 暗号復号化装置 |
| GB2365717B (en) * | 2000-05-24 | 2004-01-21 | Ericsson Telefon Ab L M | IPsec processing |
| EP1209934A1 (en) * | 2000-11-27 | 2002-05-29 | Siemens Aktiengesellschaft | Method and apparatus to counter the rogue shell threat by means of local key derivation |
| US6959346B2 (en) * | 2000-12-22 | 2005-10-25 | Mosaid Technologies, Inc. | Method and system for packet encryption |
| US7246245B2 (en) * | 2002-01-10 | 2007-07-17 | Broadcom Corporation | System on a chip for network storage devices |
| US7106680B2 (en) * | 2002-05-10 | 2006-09-12 | Ricoh Company, Ltd. | Device and method for recording data to optical disk using multi-pulse to enhance power pulse |
| US7773754B2 (en) * | 2002-07-08 | 2010-08-10 | Broadcom Corporation | Key management system and method |
| US7454785B2 (en) * | 2002-12-19 | 2008-11-18 | Avocent Huntsville Corporation | Proxy method and system for secure wireless administration of managed entities |
| US7567510B2 (en) * | 2003-02-13 | 2009-07-28 | Cisco Technology, Inc. | Security groups |
-
2004
- 2004-02-05 US US10/773,763 patent/US20050177713A1/en not_active Abandoned
-
2005
- 2005-01-31 CN CNA2005800041975A patent/CN1954540A/zh active Pending
- 2005-01-31 AU AU2005213327A patent/AU2005213327B2/en active Active
- 2005-01-31 EP EP05722626A patent/EP1714421A4/en not_active Withdrawn
- 2005-01-31 WO PCT/US2005/002901 patent/WO2005076846A2/en active Application Filing
- 2005-02-04 TW TW094103764A patent/TWI278210B/zh active
-
2006
- 2006-07-31 IL IL177178A patent/IL177178A0/en unknown
-
2009
- 2009-02-20 AU AU2009200695A patent/AU2009200695A1/en not_active Abandoned
- 2009-06-26 AU AU2009202573A patent/AU2009202573A1/en not_active Abandoned
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101897211B (zh) * | 2007-12-17 | 2013-08-21 | 微软公司 | 计算机秘密的迁移 |
| CN101840391A (zh) * | 2010-05-17 | 2010-09-22 | 深圳视融达科技有限公司 | 一种电子支付系统双处理器子系统间通信及其调用方法 |
| CN107710716A (zh) * | 2015-07-20 | 2018-02-16 | 施瓦哲工程实验有限公司 | 用于实现在软件定义网络中选择性加密的通信设备 |
| CN105429759A (zh) * | 2015-11-05 | 2016-03-23 | 天津津航计算技术研究所 | 用于无人机机载数据记录仪数据加密的密钥管理方法 |
| CN113144636A (zh) * | 2016-03-31 | 2021-07-23 | 贝尔合控(深圳)科技有限责任公司 | 模块化组件系统 |
| CN113144636B (zh) * | 2016-03-31 | 2023-04-28 | 贝尔合控(深圳)科技有限责任公司 | 模块化组件系统 |
| CN108270739A (zh) * | 2016-12-30 | 2018-07-10 | 华为技术有限公司 | 一种管理加密信息的方法及装置 |
| CN110417813A (zh) * | 2019-08-23 | 2019-11-05 | 北京无极芯动科技有限公司 | 出栈网络处理器及网络数据出栈处理方法 |
| CN110417813B (zh) * | 2019-08-23 | 2021-08-27 | 极芯通讯技术(南京)有限公司 | 出栈网络处理器及网络数据出栈处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050177713A1 (en) | 2005-08-11 |
| EP1714421A2 (en) | 2006-10-25 |
| AU2009202573A1 (en) | 2009-07-16 |
| WO2005076846A2 (en) | 2005-08-25 |
| IL177178A0 (en) | 2006-12-10 |
| AU2005213327B2 (en) | 2009-03-26 |
| WO2005076846A3 (en) | 2006-09-08 |
| EP1714421A4 (en) | 2011-08-17 |
| TWI278210B (en) | 2007-04-01 |
| AU2009200695A1 (en) | 2009-03-12 |
| TW200605590A (en) | 2006-02-01 |
| AU2005213327A1 (en) | 2005-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1954540A (zh) | 多协议网络加密系统 | |
| EP2697931B1 (en) | Qkd key management system | |
| EP1387236B1 (en) | Key management system and method for secure data transmission | |
| CN1964251B (zh) | 分组加密系统和方法 | |
| EP0292790B1 (en) | Controlling the use of cryptographic keys via generating station established control values | |
| EP0576224B1 (en) | Cryptographic key management apparatus and method | |
| CN101478548B (zh) | 数据传输的加密和完整性校验方法 | |
| CN100580652C (zh) | 用于光纤信道公共传输的机密性保护的方法和装置 | |
| CN1938980A (zh) | 用于密码加密处理数据的方法和设备 | |
| CN107135070A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN107104795A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| KR20160020866A (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
| Maurer et al. | A calculus for security boots trapping in distributed systems | |
| CN116567624B (zh) | 一种5g馈线终端通信安全防护方法、装置及存储介质 | |
| US7069448B2 (en) | Context oriented crypto processing on a parallel processor array | |
| Pépin et al. | Risk Assessment of the 3Des in ERTMS | |
| CN116633530A (zh) | 量子密钥传输方法、装置及系统 | |
| JPH11187008A (ja) | 暗号鍵の配送方法 | |
| CN110135187A (zh) | 一种基于puf的文件加解密系统及加解密方法 | |
| KR102571495B1 (ko) | 광 전송 설비용 보안 시스템 및 방법 | |
| CN111064753B (zh) | 一种基于One-Time Pad的密码管理器实现方法 | |
| Adamović | Development of a Cryptographic Solution Based on Kerberos for Database Security | |
| JP2022545696A (ja) | ネットワーク内の複数のエンティティ間の対称鍵生成、認証および通信 | |
| CN116506353A (zh) | 基于SoC的高带宽量子保密通信路由器、系统及通信方法 | |
| ING et al. | See NUCLEUS. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070425 |