DE112021001678T5 - Macsec-authentifizierung mit niedriger latenz - Google Patents

Macsec-authentifizierung mit niedriger latenz Download PDF

Info

Publication number
DE112021001678T5
DE112021001678T5 DE112021001678.4T DE112021001678T DE112021001678T5 DE 112021001678 T5 DE112021001678 T5 DE 112021001678T5 DE 112021001678 T DE112021001678 T DE 112021001678T DE 112021001678 T5 DE112021001678 T5 DE 112021001678T5
Authority
DE
Germany
Prior art keywords
data packet
authentication
incoming data
engine
given incoming
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112021001678.4T
Other languages
English (en)
Inventor
Brian Branscomb
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microchip Technology Inc
Original Assignee
Microchip Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microchip Technology Inc filed Critical Microchip Technology Inc
Publication of DE112021001678T5 publication Critical patent/DE112021001678T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/56Routing software
    • H04L45/566Routing instructions carried by the data packet, e.g. active networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Eine Vorrichtung kann eine zum Verarbeiten von Datenpaketen ausgebildete Pipeline-Schaltung und eine Authentifizierungsmaschine aufweisen, die ausgebildet ist zum Authentifizieren von Datenpaketen und zum Bereitstellen eines Authentifizierungssignals für die Pipeline-Schaltung basierend darauf, ob Datenpakete authentifiziert wurden. Die Vorrichtung kann weiterhin eine Steuerschaltung aufweisen, die dazu ausgebildet ist, ein gegebenes eingehendes Datenpaket sowohl an die Authentifizierungsmaschine als auch an einen Bypass-Pfad zu leiten. Der Bypass-Pfad kann so ausgebildet sein, dass er eine Kopie des gegebenen eingehenden Datenpakets an die Pipeline-Schaltung bereitstellt, um die Authentifizierungsmaschine zu umgehen.

Description

  • PRIORITÄT
  • Diese Anmeldung beansprucht die Priorität vor der vorläufigen US-Patentanmeldung Nr. 62/990,003 , eingereicht am 16. März 2020, deren Inhalt hiermit in ihrer Gesamtheit aufgenommen wird.
  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung bezieht sich auf elektronische Vernetzung und Kommunikation und insbesondere auf ein System und Verfahren zur MACsec-Authentifizierung mit niedriger Latenz.
  • HINTERGRUND
  • IEEE 802.1AE ist der IEEE Sicherheitsstandard Media Access Control (MAC) und auch als MACsec bekannt. MACsec kann Datenvertraulichkeit und -integrität für Layer-2-Medienzugriffsprotokolle wie Ethernet definieren.
  • MACsec verwendet Verschlüsselungsprotokolle, um Integrität und optionale Vertraulichkeit bei Datenübertragungen bereitzustellen. MACsec kann native Sicherheit auf Layer-2 für Protokolle höherer Schichten wie TCP/IP bieten. Daten, die durch MACsec gesichert werden sollen, werden als MACsec-Datenpaket oder -Frame übertragen. Ein MACsec-Datenpaket kann einen Header wie etwa einen Ethernet-Header beinhalten. Dem MACsec-Paketheader kann gegebenenfalls eine MACsec-Sicherheitskennzeichnung folgen, die Informationen enthält, um gegebenenfalls verwendete Verschlüsselung und Entschlüsselung zu identifizieren. Informationen können beinhaltet sein, um eine Paketnummer zu identifizieren. Das MACsec-Datenpaket kann eine Nutzlast beinhalten, die verschlüsselt sein kann. Das MACsec-Datenpaket kann einen Integritätsprüfwert (Integrity Check Value, ICV) zur Authentifizierung beinhalten, der angeben kann, dass das MACsec-Datenpaket von einem Knoten erstellt wurde oder von einem Knoten stammt, der im Besitz des designierten kryptografischen Schlüssels war, und dass die MACsec-Nutzdaten während der Übertragung nicht modifiziert wurden.
  • Erfinder der vorliegenden Offenbarung haben Probleme in verschiedenen Standards und Techniken entdeckt, da MACsec und andere spezialisierte Verschlüsselungs- und Authentifizierungsstandards Standard-Ethernet-Implementierungen ersetzen oder zu diesen hinzufügen können. Erfinder der vorliegenden Offenbarung haben entdeckt, dass diese eine erhebliche Latenz aufweisen können. Dementsprechend haben die Erfinder der vorliegenden Offenbarung Ausführungsformen entwickelt, um einen oder mehrere dieser Bedürfnisse anzusprechen, die sowohl Sicherheit als auch niedrige Latenzzeiten bereitstellen können. Diese Ausführungsformen können auf MACsec und andere Sicherheitsprotokolle und - anwendungen anwendbar sein.
  • Figurenliste
    • 1 ist eine Veranschaulichung eines Systems zur MACsec-Authentifizierung mit niedriger Latenz gemäß Ausführungsformen der vorliegenden Offenbarung.
    • 2 ist eine detailliertere Darstellung einer Instanz einer Vorrichtung für eine MACsec-Authentifizierung mit niedriger Latenz, einschließlich einer Konfiguration der Vorrichtung, um in Modi mit Verschlüsselung/Entschlüsselung und mit oder ohne Authentifizierung von Datenpaketen zu arbeiten, die zwischen Vorrichtungen übertragen werden.
    • 3 ist eine Veranschaulichung eines Verfahrens zur MACsec-Authentifizierung mit niedriger Latenz gemäß Ausführungsformen der vorliegenden Offenbarung.
    • 4 ist eine Veranschaulichung eines weiteren Verfahrens zur MACsec-Authentifizierung mit niedriger Latenz gemäß Ausführungsformen der vorliegenden Offenbarung.
  • ZUSAMMENFAS SUNG
  • Ausführungsformen der vorliegenden Offenbarung weisen eine Vorrichtung auf. Die Vorrichtung kann eine Pipeline-Schaltung aufweisen, die zum Verarbeiten von Datenpaketen ausgebildet ist, und eine Authentifizierungsmaschine, die ausgebildet ist zum Authentifizieren von Datenpaketen und zum Bereitstellen eines Authentifizierungssignals für die Pipeline-Schaltung basierend darauf, ob Datenpakete authentifiziert wurden. Die Vorrichtung kann weiterhin eine Steuerschaltung aufweisen, die ausgebildet ist, um ein gegebenes eingehendes Datenpaket sowohl an die Authentifizierungsmaschine als auch an einen Bypass-Pfad zu leiten. Der Bypass-Pfad kann so ausgebildet sein, dass er eine Kopie des gegebenen eingehenden Datenpakets an die Pipeline-Schaltung bereitstellt, um die Authentifizierungsmaschine zu umgehen.
  • Ausführungsformen der vorliegenden Offenbarung können ein Verfahren beinhalten. Das Verfahren kann das Empfangen eines gegebenen eingehenden Datenpakets an einer Vorrichtung und das Weiterleiten des gegebenen eingehenden Datenpakets zu sowohl einem Bypass-Pfad als auch einer Authentifizierungsmaschine der Vorrichtung beinhalten. Das Verfahren kann weiterhin an der Authentifizierungsmaschine das Authentifizieren des gegebenen eingehenden Datenpakets und das Bereitstellen eines Authentifizierungssignals an die Pipeline-Schaltung basierend darauf aufweisen, ob Datenpakete authentifiziert wurden. Das Weiterleiten des gegebenen eingehenden Datenpakets an den Bypass-Pfad kann das Bereitstellen einer Kopie des gegebenen eingehenden Datenpakets an die Pipeline-Schaltung aufweisen, um die Authentifizierungsmaschine zu umgehen.
  • Ausführungsformen der vorliegenden Offenbarung können einen Fertigungsartikel aufweisen. Der Fertigungsartikel kann Anweisungen auf einem nichtflüchtigen maschinenlesbaren Medium beinhalten. Die Anweisungen können, wenn sie von einem Prozessor gelesen und geladen werden, bewirken, dass der Prozessor ein gegebenes eingehendes Datenpaket an einer Vorrichtung empfängt und das gegebene eingehende Datenpaket sowohl an einen Bypass-Pfad als auch an eine Authentifizierungsmaschine der Vorrichtung weiterleitet. Die Anweisungen können weiterhin darin bestehen, den Prozessor zu veranlassen, an der Authentifizierungsmaschine das gegebene eingehende Datenpaket zu authentifizieren und ein Authentifizierungssignal an die Pipeline-Schaltung bereitzustellen, basierend darauf, ob Datenpakete authentifiziert wurden. Das Weiterleiten des gegebenen eingehenden Datenpakets an den Bypass-Pfad kann das Bereitstellen einer Kopie des gegebenen eingehenden Datenpakets an die Pipeline-Schaltung aufweisen, um die Authentifizierungsmaschine zu umgehen.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Ausführungsformen der vorliegenden Offenbarung können Übertragungstechniken aufweisen, die MACsec verwenden, können aber auf andere Datensicherheitsprotokolle anwendbar sein.
  • Die Verwendung von MACsec kann die Paketübertragung und die Verarbeitungslatenz erhöhen. MACsec basiert auf Ethernet, und daher kann der Gesamtdurchsatz extrem hoch sein. Allerdings kann sich die Latenz in Form einer Zeitverzögerung zwischen der ursprünglichen Anfrage zum Senden oder Empfangen von Informationen und der tatsächlichen Übertragung dieser Informationen aufgrund von MACsec erhöhen. Die Latenz kann eine Umlauflatenz sein, was bedeutet, dass sowohl ein Sender als auch ein Empfänger einer MACsec-Verbindung dieselben oder ähnliche Latenzen erfahren. Die Gesamtlatenz in einer einzelnen Übertragungsrichtung kann die Summe von Latenzen aufweisen, die sich aus internen Verzögerungen wie Ethernet-MAC- und PHY-Funktionen, Kabelverzögerungen, die eine Funktion der Kabellänge und darin enthaltener Materialien sein können, internem Routing, Switching und Warteschlangenverzögerungen ergeben, wie etwa Verzögerungen der Eingabe und Ausgabe des Frame-Speichers und MACsec-spezifische Latenzen. Die MACsec-spezifischen Latenzen können Latenzen aufweisen, die sich aus MACsec-Funktionen wie Verschlüsselungen, Entschlüsselungen und Authentifizierungen der Übertragung ergeben.
  • Ausführungsformen der vorliegenden Offenbarung können eine Vorrichtung aufweisen. Die Vorrichtung kann eine Pipeline-Schaltung beinhalten, die zum Verarbeiten von Datenpaketen ausgebildet ist. Die Datenpakete können jede geeignete Netzwerkverkehrsstruktur aufweisen, wie etwa MACsec-Datenpakete. Die Datenpakete können Zwischenpakete sein, die ansonsten von der Vorrichtung verarbeitet werden. Die Vorrichtung kann eine Authentifizierungsmaschine aufweisen, die dazu ausgebildet ist, Datenpakete zu authentifizieren und ein Authentifizierungssignal an die Pipeline-Schaltung bereitzustellen, basierend darauf, ob Datenpakete authentifiziert wurden. Das Authentifizierungssignal kann ein beliebiges geeignetes Signal sein, wie etwa ein Datenpaket, ein einzelnes Bit oder andere Informationen, um ein Ergebnis der Authentifizierung anzuzeigen. Die Vorrichtung kann eine Steuerschaltung beinhalten, die ausgebildet ist, um ein gegebenes eingehendes Datenpaket sowohl an die Authentifizierungsmaschine als auch an einen Bypass-Pfad zu leiten. Der Bypass-Pfad kann so ausgebildet sein, dass er eine Kopie des gegebenen eingehenden Datenpakets an die Pipeline-Schaltung bereitstellt, um die Authentifizierungsmaschine zu umgehen.
  • In Kombination mit einer der obigen Ausführungsformen kann die Vorrichtung weiterhin eine Verschlüsselungs- und Entschlüsselungsmaschine beinhalten. Die Authentifizierungsmaschine, die Verschlüsselungs- und Entschlüsselungsmaschine und die Pipeline-Schaltung können auf jede geeignete Weise implementiert werden, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor, der die Funktionalität hierin ausführt, oder jeder geeigneten Kombination davon.
  • Die Steuerschaltung kann so ausgebildet sein, dass sie eingehende Datenpakete auf jede geeignete Weise weiterleitet. Beispielsweise kann die Steuerschaltung so ausgebildet sein, dass sie Demultiplexer, Multiplexer, Switches oder Switch-Fabric steuert, die die Authentifizierungsmaschine, die Verschlüsselungs- und Entschlüsselungsmaschine und die Pipeline-Schaltung auf geeignete Weise miteinander verbinden. Das Routing von Datenpaketen in der Vorrichtung kann durch einen Betriebsmodus bestimmt werden, der auf jede geeignete Weise bestimmt wird, wie etwa durch in einem Register gespeicherte Benutzer- oder Systempräferenzen oder -befehle. Die Steuerschaltung kann so ausgebildet sein, dass sie die Konfiguration liest und das Routing von Datenpaketen wie hierin beschrieben anwendet oder veranlasst.
  • In Kombination mit irgendeiner der obigen Ausführungsformen kann ein erstes Datenpaket an der Vorrichtung ankommen. Die Steuerschaltung kann so ausgebildet sein, dass sie das erste Datenpaket selektiv an die Authentifizierungsmaschine, die Verschlüsselungs- und Entschlüsselungsmaschine und die Pipeline-Schaltung weiterleitet. Das erste Datenpaket kann parallel zur Authentifizierungsmaschine und zu einer Teilschaltung geleitet werden. Die Teilschaltung kann die Verschlüsselungs- und Entschlüsselungsmaschine parallel zu einem Bypass-Pfad beinhalten. Die Ausgabe der Teilschaltung kann an die Pipeline-Schaltung erfolgen. Die Verschlüsselungs- und Entschlüsselungsmaschine kann so ausgebildet sein, dass sie Datenpakete verschlüsselt oder entschlüsselt und resultierende verschlüsselte oder entschlüsselte Datenpakete an die Pipeline-Schaltung bereitstellt. In Kombination mit einer der obigen Ausführungsformen kann die Steuerschaltung weiterhin so ausgebildet sein, dass sie das gegebene eingehende Datenpaket selektiv entweder zu dem Bypass-Pfad oder zu der Verschlüsselungs- und Entschlüsselungsmaschine innerhalb der Teilschaltung leitet. Das Routing des gegebenen eingehenden Datenpakets zu dem Bypass-Pfad kann die Operationen der Verschlüsselungs- und Entschlüsselungsmaschine umgehen. Somit kann ein erstes Datenpaket, das durch den Bypass-Pfad geleitet wird, ein zweites Datenpaket ergeben, das zu der Pipeline-Schaltung geleitet wird, das gegenüber dem ersten Datenpaket unverändert ist. Ein erstes Datenpaket, das durch die Verschlüsselungs- und Entschlüsselungsmaschine geleitet wird, kann ein zweites Datenpaket ergeben, das eine entschlüsselte oder verschlüsselte Version des ersten Datenpakets ist.
  • In Kombination mit einer der obigen Ausführungsformen kann die Steuerschaltung weiterhin so ausgebildet sein, dass sie das gegebene eingehende Datenpaket basierend auf einer Bestimmung, dass die eingehenden Datenpakete zu authentifizieren, aber nicht zu entschlüsseln sind, selektiv an die Authentifizierungsmaschine und an den Bypass-Pfad weiterleitet oder verschlüsselt. Das gegebene eingehende Datenpaket wird möglicherweise nicht an die Verschlüsselungs- und Entschlüsselungs-Maschine weitergeleitet.
  • In Kombination mit einer der obigen Ausführungsformen kann die Steuerschaltung weiterhin ausgebildet sein, um das gegebene eingehende Datenpaket basierend auf einer Bestimmung, dass die eingehenden Datenpakete zu verschlüsseln oder zu entschlüsseln sind, selektiv zu der Verschlüsselungs- und Entschlüsselungsmaschine zu leiten. Das gegebene eingehende Datenpaket wird möglicherweise nicht an den Bypass-Pfad weitergeleitet.
  • In Kombination mit einer der obigen Ausführungsformen kann die Steuerschaltung weiterhin so ausgebildet sein, dass sie Kopien des gegebenen eingehenden Datenpakets durch den Bypass-Pfad parallel an die Authentifizierungsmaschine und an die Pipeline-Schaltung leitet. Dies kann basierend auf einer Bestimmung durchgeführt werden, dass die eingehenden Datenpakete nicht zu verschlüsseln oder zu entschlüsseln, sondern zu authentifizieren sind.
  • In Kombination mit irgendeiner der obigen Ausführungsformen kann die Pipeline-Schaltung weiterhin so ausgebildet sein, dass sie das gegebene eingehende Datenpaket empfängt. Dies kann über den Bypass-Pfad empfangen werden. Die Pipeline-Schaltung kann weiterhin so ausgebildet sein, dass sie das Authentifizierungssignal empfängt und zwischen dem Empfang des gegebenen eingehenden Datenpakets und dem Authentifizierungssignal das gegebene eingehende Datenpaket verarbeitet, um ein Ausgangsdatenpaket zu erzeugen.
  • In Kombination mit irgendeiner der obigen Ausführungsformen kann die Pipeline-Schaltung weiterhin ausgebildet sein, um basierend auf einer Angabe in dem Authentifizierungssignal, dass die Authentifizierung des gegebenen eingehenden Datenpakets fehlgeschlagen ist, eine Korrekturmaßnahme zu ergreifen. In Kombination mit irgendeiner der obigen Ausführungsformen kann die Pipeline-Schaltung weiterhin so ausgebildet sein, dass sie basierend auf einer Angabe in dem Authentifizierungssignal, dass das gegebene eingehende Datenpaket authentifiziert wurde, das Ausgangsdatenpaket ausgibt.
  • 1 ist eine Veranschaulichung eines Systems 100 für eine MACsec-Authentifizierung mit niedriger Latenz gemäß Ausführungsformen der vorliegenden Offenbarung.
  • Das System 100 kann ein oder mehrere Vorrichtungen 102 beinhalten. Die Vorrichtungen 102 können durch eine beliebige geeignete elektronische Vorrichtung oder einen Teil davon implementiert werden. Die Vorrichtungen 102 können beispielsweise ein Kommunikationsmodul einer elektronischen Vorrichtung, eine PHY, eine Netzwerkschnittstellenkarte (NIC), einen Netzwerk-Switch, einen Netzwerk-Router oder irgendeinen Teil davon aufweisen. Die Vorrichtungen 102 können auf jede geeignete Weise implementiert werden, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor (wie z. B.
  • Prozessor 108), der die Funktionalität der Vorrichtungen 102 wie hierin beschrieben ausführt, oder einer beliebigen Kombination davon. Die Vorrichtungen 102 können ausgebildet sein, um eine Kommunikation basierend auf MACsec oder anderen geeigneten Protokollen durchzuführen. Obwohl in dem Beispiel des Systems 100 in 1 zwei Vorrichtungen 102A, 102B gezeigt sind, kann das System 100 jede geeignete Anzahl und Art von Vorrichtungen 102 beinhalten.
  • Die Vorrichtungen 102 können ausgebildet sein, um Netzwerkverkehr zu empfangen oder zu erzeugen. Der Netzwerkverkehr kann an andere elektronische Vorrichtungen gesendet werden, wie z. B. andere Instanzen der Vorrichtung 102. In einigen Fällen kann der Netzwerkverkehr dazu bestimmt sein, an einer Instanz der Vorrichtung 102 als Endziel empfangen zu werden. Der Netzwerkverkehr kann beispielsweise in Datenpakete unterteilt werden. In dem Beispiel von 1 sind verschiedene Datenpakete in verschiedenen Übertragungsstadien gezeigt, wie etwa die Datenpakete 120, 122, 126, 130, 134.
  • Das Datenpaket 120 kann an der Vorrichtung 102A empfangen oder von dieser erzeugt werden. Das Datenpaket 120 kann von einer beliebigen geeigneten Quelle stammen, wie etwa einer anderen elektronischen Vorrichtung (nicht gezeigt), die kommunikativ mit der Vorrichtung 102A gekoppelt ist, oder von einer Quelle innerhalb der Vorrichtung 102A, wie etwa einer Anwendung (nicht gezeigt), die auf einem Prozessor 108 unter Verwendung von auf einem nicht-flüchtigen maschinenlesbares Medium, wie z. B. Speicher 110, gespeicherten Anweisungen ausgeführt wird. Datenpaket 122 kann während der Verarbeitung intern innerhalb der Vorrichtung 102A erzeugt werden. Nach der Verarbeitung in der Vorrichtung 102A kann das Datenpaket 126 erzeugt werden.
  • Die Vorrichtungen 102 können dazu ausgebildet sein, Netzwerkverkehr an andere elektronische Vorrichtungen oder an Subsysteme innerhalb der Vorrichtungen 102 oder mit diesen kommunikativ gekoppelt Subsysteme zu senden. Zum Beispiel kann die Vorrichtung 102A dazu ausgebildet sein, Netzwerkverkehr in Form des Datenpakets 126 durch das Netzwerk 128 an die Vorrichtung 102B zu senden. Das Netzwerk 128 kann ein beliebiges geeignetes Netzwerk aufweisen, einschließlich drahtloser oder drahtgebundener Netzwerke. Die Vorrichtung 102B wiederum kann so ausgebildet sein, dass sie Verkehr für Anwendungen (nicht gezeigt) bereitstellt, die auf dem Prozessor 108B laufen, oder Verkehr an noch andere elektronische Vorrichtungen (nicht gezeigt) weiterleitet. Beispielsweise kann das Datenpaket 130 während der Verarbeitung intern innerhalb der Vorrichtung 102B erzeugt werden. Nach der Verarbeitung in der Vorrichtung 102B kann das Datenpaket 134 erzeugt werden.
  • Das Datenpaket 126 kann auf dem Datenpaket 122 basieren. Das Datenpaket 122 wiederum kann auf dem Datenpaket 120 basieren und somit kann das Datenpaket 126 auf dem Datenpaket 120 basieren. Die Vorrichtung 102A kann dazu ausgebildet sein, das Datenpaket 126 basierend auf der Eingabe oder Erzeugung des Datenpakets 120 auszugeben. In einer Ausführungsform kann das Datenpaket 126 dieselbe Nutzlast wie das Datenpaket 120 beinhalten. In einer anderen Ausführungsform kann das Datenpaket 126 eine Nutzlast beinhalten, die die gleiche Nutzlast wie in dem Datenpaket 120 ist, aber verschlüsselt ist. In noch einer anderen Ausführungsform kann das Datenpaket 126 eine Nutzlast beinhalten, die dieselbe Nutzlast wie in Datenpaket 120 ist, aber entschlüsselt ist. In einer anderen Ausführungsform kann das Datenpaket 126 zusätzliche Informationen beinhalten, die über die Informationen hinausgehen, die im Datenpaket 120 beinhaltet sind. Solche zusätzlichen Informationen können Authentifizierungsinformationen, wie z. B. ein ICV, oder zusätzliche Routing- oder Übertragungsinformationen beinhalten. Wenn das Datenpaket 126 dem MACsec-Protokoll entspricht, kann ein solches Datenpaket immer so ausgebildet werden, dass es authentifiziert wird. Unter dem MACsec-Protokoll kann die Nutzlast des Datenpakets 126 jedoch verschlüsselt sein oder nicht.
  • Ähnlich kann das Datenpaket 134 auf dem Datenpaket 130 basieren. Das Datenpaket 130 wiederum kann auf dem Datenpaket 126 und somit das Datenpaket 134 auf dem Datenpaket 126 basieren. Die Vorrichtung 102B kann ausgebildet sein, um das Datenpaket 134 basierend auf der Eingabe des Datenpakets 126 auszugeben Bei einer anderen Ausführungsform kann das Datenpaket 134 dieselbe Nutzlast wie das Datenpaket 126 beinhalten. Bei einer anderen Ausführungsform kann das Datenpaket 134 eine Nutzlast beinhalten, die die gleiche Nutzlast wie das Datenpaket 126 ist, aber verschlüsselt ist. In noch einer anderen Ausführungsform kann das Datenpaket 134 eine Nutzlast beinhalten, die dieselbe Nutzlast wie in Datenpaket 126 ist, aber entschlüsselt ist. In einer anderen Ausführungsform kann das Datenpaket 134 zusätzliche Informationen beinhalten, die über die Informationen hinausgehen, die im Datenpaket 126 beinhaltet sind. Solche zusätzlichen Informationen können Authentifizierungsinformationen beinhalten, wie z. B. einen ICV, eine Prüfsumme, einen Validierungscode oder zusätzliche Routing- oder Übertragungsinformationen.
  • Die Vorrichtungen 102 können jeweils eine Schaltung 104 aufweisen. Die Schaltungen 104 können auf jede geeignete Weise implementiert sein, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor (wie z. B. Prozessor 108), der die Funktionalität hierin durchführt, oder einer beliebigen Kombination davon. Die Schaltungen 104 können jeweils eine Steuerschaltung 114, ein oder mehrere Register 116 und eine Maschine 118 beinhalten.
  • Die Steuerschaltung 114 kann dazu ausgebildet sein, Einstellungen zu lesen, um den Betrieb der Schaltung 104 festzulegen. Die Steuerschaltung 114 kann dazu ausgebildet sein, Datenpakete gemäß solchen Einstellungen und den Paketinhalten, wie z.B. Ethernet-Header und Sicherheitskennungsinhalten, weiterzuleiten. Die Steuerschaltung 114 kann auf jede geeignete Weise implementiert werden, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor (wie z. B. Prozessor 108), der die Funktionalität hierin ausführt, oder einer beliebigen Kombination davon. Die Steuerschaltung 114 kann eine Schaltlogik (nicht gezeigt) beinhalten, um Eingangspakete zu leiten, wie beispielsweise das Datenpaket 120 (für die Vorrichtung 102A) oder das Datenpaket 126 (für die Vorrichtung 102B). Die Schaltlogik kann ausgebildet sein, um Zwischenpakete zu leiten, die von der Steuerschaltung 114 verarbeitet werden, wie etwa Datenpaket 122 (für Vorrichtung 102A) oder Datenpaket 130 (für Vorrichtung 102B). Die Schaltlogik kann so ausgebildet sein, dass sie Ausgangsdatenpakete wie etwa Datenpaket 126 (für Vorrichtung 102A) oder Datenpaket 134 (für Vorrichtung 102B) weiterleitet. In einer Ausführungsform kann die Schaltlogik so ausgebildet sein, dass sie das Routing von Datenpaketen durch jeweilige Maschinen 118 oder Teile davon selektiv umgeht.
  • Die Vorrichtungen 102 können jeweils eine Instanz von Registern 116 aufweisen. Die Register 116 können auf jede geeignete Weise implementiert sein, wie etwa als Speicherort, und können ausgebildet sein, um beliebige geeignete Informationen zu speichern. Beispielsweise können die Register 116 eine oder mehrere Nachschlagetabellen oder Konfigurationsregister beinhalten.
  • Wie oben erörtert, kann die Steuerschaltung 114 zum Lesen von Einstellungen ausgebildet sein. Die Vorrichtungen 102 können diese Einstellungen beinhalten oder kommunikativ mit diesen gekoppelt sein, die den Betrieb der Vorrichtungen 102 definieren, um bestimmte Implementierungen von Ausgabedatenpaketen wie Datenpaket 126 (für Vorrichtung 102A) oder Datenpaket 134 (für Vorrichtung 102B) basierend auf Eingabedatenpaketen wie Datenpaket 120 (für Vorrichtung 102A) oder Datenpaket 126 (für Vorrichtung 102B) zu erzeugen. Solche Einstellungen können auf jede geeignete Weise implementiert werden, wie beispielsweise durch Register 116 in jeweiligen Vorrichtungen 102. Die Einstellungen können von einem Benutzer oder einem Hersteller von Vorrichtungen 102 programmiert werden oder können programmgesteuert durch andere Elemente (nicht gezeigt) geändert werden. In einigen Beispielen können einige oder alle Einstellungen in Datenpaket-Headern oder an anderer Stelle in Datenpaketen beinhaltet sein.
  • Die Vorrichtungen 102 können jeweils eine Instanz der Maschine 118 beinhalten. Die Maschine 118 kann als eine Verschlüsselungs-, Entschlüsselungs- oder Authentifizierungs-Maschine ausgebildet sein und kann auf jede geeignete Weise implementiert sein, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor (wie z. B. Prozessor 108), der die Funktionalität hierin ausführt, oder eine beliebige Kombination davon. Die Maschine 118 kann so ausgebildet sein, dass sie selektiv Verschlüsselung, Entschlüsselung oder Authentifizierung von Eingangsdatenpaketen anwendet.
  • Die Vorrichtungen 102 können jeweils zusätzliche Pipeline-Schaltungen 106 beinhalten. Die Pipeline-Schaltungen 106 können auf jede geeignete Weise implementiert sein, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor (wie etwa Prozessor 108), der die Funktionalität hierin durchführt, oder jede Kombination davon. Die Pipeline-Schaltung 106 kann so ausgebildet sein, dass sie eine zusätzliche Verarbeitung an Datenpaketen für verschiedene Funktionalitäten, Protokolle oder anwendungsspezifische Zwecke durchführt, wie z. B. Zeitstempel, andere Nicht-MACsec-Anwendungsverarbeitung oder andere MACsec-Verarbeitung.
  • Die Steuerschaltung 114A kann ausgebildet sein, um das Datenpaket 120 zu empfangen. In einer Ausführungsform kann die Steuerschaltung 114A basierend auf Einstellungen in den Registern 116A zum Verschlüsseln, Entschlüsseln oder Authentifizieren von Inhalten von Datenpaketen während der Übertragung im System 100 ausgebildet sein, um das Datenpaket 120 an die Maschine 118A zu leiten.
  • Wenn die Einstellungen angeben, dass die Inhalte der Datenpakete nicht verschlüsselt, entschlüsselt oder authentifiziert werden sollen, kann die Steuerschaltung 114A in einer anderen Ausführungsform so ausgebildet sein, dass sie die Weiterleitung des Datenpakets 120 an die Maschine 118A oder Teile davon umgeht oder die Maschine 118A anweist, solche Operationen zu umgehen.
  • Wenn die Einstellungen angeben, dass die Inhalte von Datenpaketen nicht verschlüsselt oder entschlüsselt werden sollen, sondern authentifiziert werden sollen, kann die Steuerschaltung 114A in noch einer anderen Ausführungsform so ausgebildet sein, dass sie das Datenpaket 120 zur Verarbeitung an die Maschine 118A leitet. Die Steuerschaltung 114A kann so ausgebildet sein, dass sie eine Kopie des Datenpakets 120 an die Pipeline-Schaltung 106A leitet, während sie einen Teil der Maschine 118A zur Verschlüsselung und Entschlüsselung umgeht. Außerdem kann die Steuerschaltung 114A ausgebildet sein, um zu bewirken, dass eine weitere Kopie des Datenpakets 120 zur Authentifizierung an einen Teil der Maschine 118A gesendet wird.
  • Die Maschine 118A kann dazu ausgebildet sein, die Nutzlast des Datenpakets 120 zu verschlüsseln oder zu entschlüsseln. Die resultierende verschlüsselte oder entschlüsselte Nutzlast kann in Datenpaket 122 beinhaltet sein. Die Maschine 118A kann dazu ausgebildet sein, Datenpaket 122 an Pipeline-Schaltung 106A bereitzustellen, um zusätzliche Verarbeitung auf Datenpaket 122 anzuwenden, wie zum Beispiel Zeitstempeln, oder andere Nicht-MACsec-Anwendungsverarbeitung oder andere MACsec-Verarbeitung.
  • Die Maschine 118A kann ausgebildet sein, um eine Authentifizierung des Datenpakets 120 durchzuführen. Eine solche Authentifizierung kann das Prüfen eines ICV-Werts aufweisen, der in dem Datenpaket 120 beinhaltet ist, das von einer Entität erstellt wurde, die das Datenpaket 120 an die Vorrichtung 102A gesendet hat. In einer Ausführungsform kann die Maschine 118A dazu ausgebildet sein, die Authentifizierung zusätzlich zu einer aktivierten Verschlüsselungs- oder Entschlüsselungsfunktion, die von der Maschine 118A auszuführen ist, selektiv durchzuführen. In einer solchen Ausführungsform kann die Maschine 118A so ausgebildet sein, dass sie die Ergebnisse der Authentifizierungsinformationen in Datenpaket 122 an einer Stelle nach der verschlüsselten/entschlüsselten Nutzlast in Datenpaket 122 an die Pipeline-Schaltung 106A bereitstellt. In einer anderen Ausführungsform kann die Maschine 118A so ausgebildet sein, dass sie die Authentifizierung selektiv in Abwesenheit oder separat von einer aktivierten Verschlüsselungs- oder Entschlüsselungsfunktion durchführt, die von der Maschine 118A durchgeführt werden soll. In einer solchen Ausführungsform kann die Maschine 118A dazu ausgebildet sein, die Ergebnisse der Authentifizierungsinformationen in Datenpaket 122 bereitzustellen. In verschiedenen Ausführungsformen kann die Maschine 118A so ausgebildet sein, dass sie Ergebnisse der Authentifizierung durch ein beliebiges geeignetes Signal oder Informationen an die Pipeline-Schaltung 106A bereitstellt. Die Maschine 118A kann Datenpakete oder andere Informationen an die Pipeline-Schaltung 106A über den Pfad 124A liefern. Der Pfad 124A kann auf jede geeignete Weise zum Kommunizieren von Informationen zwischen der Maschine 118A und der Pipeline-Schaltung 106A implementiert werden, wie zum Beispiel gemeinsam genutzte Speicherorte oder ein anderes geeignetes Signal.
  • Die Pipeline-Schaltung 106A kann so ausgebildet sein, dass sie das Datenpaket 122 und alle auf dem Pfad 124A bereitgestellten Informationen empfängt. Die Pipeline-Schaltung 106A kann so ausgebildet sein, dass sie verschiedene Aufgaben zum Vorbereiten des Datenpakets 122 zum Senden an andere Vorrichtungen unter Verwendung des MACsec-Protokolls ausführt, wie z. B. Zeitstempeln oder andere MACsec- oder Nicht-MACsec-Anwendungsverarbeitung. In einer Ausführungsform kann die Pipeline-Schaltung 106A ausgebildet sein, um zu bestimmen, ob die auf dem Pfad 124A empfangene Information anzeigt, dass das Datenpaket 120 eine von der Maschine 118A durchgeführte Authentifizierungsbewertung bestanden hat. Wenn das Datenpaket 120 die Authentifizierungsbewertung durch die Maschine 118A bestanden hat, kann die Pipeline-Schaltung 106A mit der Verarbeitung des Datenpakets 122 fortfahren. Andernfalls, wenn das Datenpaket 120 die Authentifizierungsbewertung durch die Maschine 118A nicht bestanden hat, kann die Pipeline-Schaltung 106A oder die Vorrichtung 102A jede geeignete Korrekturmaßnahme ergreifen. Beispielsweise kann die Vorrichtung 102A einen Benutzer warnen, das erneute Senden des Datenpakets 120 anfordern oder die Verarbeitung des Datenpakets 120 unterbrechen. In einer Ausführungsform kann die Pipeline-Schaltung 106A die Verarbeitung des Datenpakets 122 einleiten, während die Maschine 118A immer noch eine Authentifizierungsbewertung des Datenpakets 120 durchführt. Auf diese Weise kann die durch die Authentifizierungsauswertung verursachte Latenzzeit minimiert werden.
  • In einer Ausführungsform muss die von der Maschine 118A durchgeführte Authentifizierungsbewertung möglicherweise abgeschlossen werden, bevor alle Modifikationen des Datenpakets 122 abgeschlossen sind und das resultierende Datenpaket 126 gesendet wird.
  • Auf ähnliche Weise kann die Vorrichtung 102B das Datenpaket 126 verarbeiten, um das Datenpaket 134 zu ergeben, einschließlich des Erzeugens des Zwischenpakets 130. Beispielsweise kann die Steuerschaltung 114B in der Vorrichtung 102B ausgebildet sein, um das Datenpaket 126 zu empfangen oder Inhalte von Datenpaketen während der Übertragung im System 100 authentifizieren, die Steuerschaltung 114B kann so ausgebildet sein, dass sie das Datenpaket 126 an die Maschine 118B leitet.
  • Wenn die Einstellungen angeben, dass die Inhalte der Datenpakete nicht verschlüsselt, entschlüsselt oder authentifiziert werden sollen, kann die Steuerschaltung 114B in einer anderen Ausführungsform so ausgebildet sein, dass sie das Routing des Datenpakets 126 an die Maschine 118B oder Teile davon umgeht oder die Maschine 118B anweist, diese Operationen zu umgehen.
  • Wenn die Einstellungen angeben, dass die Inhalte von Datenpaketen nicht zu verschlüsseln oder zu entschlüsseln, sondern zu authentifizieren sind, kann die Steuerschaltung 114B in noch einer anderen Ausführungsform so ausgebildet sein, dass sie das Datenpaket 126 zur Verarbeitung an die Maschine 118B weiterleitet. Die Steuerschaltung 114B kann ausgebildet sein, um eine Kopie des Datenpakets 126 an die Pipeline-Schaltung zu leiten, während ein Teil der Maschine 118B zur Verschlüsselung und Entschlüsselung umgangen wird. Darüber hinaus kann die Steuerschaltung 114B so ausgebildet sein, dass sie bewirkt, dass eine weitere Kopie des Datenpakets 126 zur Authentifizierung an einen Teil der Maschine 118B gesendet wird.
  • Die Maschine 118B kann ausgebildet sein, um die Nutzlast des Datenpakets 126 zu verschlüsseln, zu entschlüsseln oder zu authentifizieren. Die resultierende verschlüsselte oder entschlüsselte Nutzlast kann in dem Datenpaket 130 beinhalten sein. Die Maschine 118B kann ausgebildet sein, um das Datenpaket 130 der Pipeline-Schaltung 106B bereitzustellen, um eine zusätzliche Verarbeitung des Datenpakets 130 durchzuführen, wie z. B. Zeitstempeln, andere Nicht-MACsec-Anwendungsverarbeitung oder andere MACsec-Verarbeitung.
  • Die Maschine 118B kann ausgebildet sein, um eine Authentifizierung des Datenpakets 126 durchzuführen. Eine solche Authentifizierung kann das Prüfen eines ICV-Werts beinhalten, der in dem Datenpaket 126 beinhaltet ist, das von einer Entität erstellt wurde, die das Datenpaket 126 an die Vorrichtung 102B gesendet hat, entweder direkt oder durch die Vorrichtung 102A. In einer Ausführungsform kann die Maschine 118B so ausgebildet sein, dass sie die Authentifizierung zusätzlich zu einer aktivierten Verschlüsselungs- oder Entschlüsselungsfunktion, die von der Maschine 118B auszuführen ist, selektiv durchführt. In einer solchen Ausführungsform kann die Maschine 118B so ausgebildet sein, dass sie die Ergebnisse der Authentifizierungsinformationen nach der verschlüsselten/entschlüsselten Nutzlast im Datenpaket 130 an die Pipeline-Schaltung 106B bereitstellt. In einer anderen Ausführungsform kann die Maschine 118B so ausgebildet sein, dass sie die Authentifizierung selektiv in Abwesenheit einer aktivierten Verschlüsselungs- oder Entschlüsselungsfunktion durchführt, die von der Maschine 118B durchgeführt werden soll. In einer solchen Ausführungsform kann die Maschine 118B so ausgebildet sein, dass sie die Ergebnisse der Authentifizierungsinformationen in einem Datenpaket oder einem anderen geeigneten Signal wie etwa einem Datenpaket 130bereitstellt. Die Maschine 118B kann ausgebildet sein, um das Datenpaket 130 über den Pfad 124B an die Pipeline-Schaltung 106B bereitzustellen. Der Pfad 124B kann auf jede geeignete Weise zum Kommunizieren von Informationen zwischen der Maschine 118B und der Pipeline-Schaltung 106B implementiert werden.
  • In einer solchen Ausführungsform kann die Maschine 118B ausgebildet sein, um die Ergebnisse der Authentifizierungsinformationen in Datenpaket 130 bereitzustellen. In verschiedenen Ausführungsformen kann die Maschine 118B ausgebildet sein, Ergebnisse der Authentifizierung durch jedes geeignete Signal oder jede geeignete Information an die Pipeline-Schaltung 106B bereitzustellen. Die Maschine 118B kann Datenpakete oder andere Informationen über den Pfad 124B an die Pipeline-Schaltung 106B bereitstellen. Der Pfad 124B kann auf jede geeignete Weise zum Kommunizieren von Informationen zwischen der Maschine 118B und der Pipeline-Schaltung 106B implementiert werden, wie zum Beispiel gemeinsam genutzte Speicherstellen oder ein anderes geeignetes Signal.
  • Die Pipeline-Schaltung 106B kann so ausgebildet sein, dass sie das Datenpaket 130 und alle auf dem Pfad 124B bereitgestellten Informationen empfängt. Die Pipeline-Schaltung 106B kann so ausgebildet sein, dass sie verschiedene Aufgaben zum Vorbereiten des Datenpakets 130 zum Senden an andere Vorrichtungen unter Verwendung des MACsec-Protokolls ausführt, wie z. B. Zeitstempeln oder andere Nicht-MACsec-Anwendungsverarbeitung. In einer Ausführungsform kann die Pipeline-Schaltung 106B ausgebildet sein, um zu bestimmen, ob die auf dem Pfad 124B empfangenen Informationen angeben, dass das Datenpaket 126 eine von der Maschine 118B durchgeführte Authentifizierungsbewertung bestanden hat. Wenn das Datenpaket 126 die Authentifizierungsbewertung durch die Maschine 118B bestanden hat und als dasselbe Datenpaket 126 authentifiziert wird, das ursprünglich im System 100 gesendet wurde, kann die Pipeline-Schaltung 106B mit der Verarbeitung des Datenpakets 130 fortfahren. Wenn andernfalls Datenpaket 126 die Authentifizierungsbewertung durch die Maschine 118B nicht bestanden hat und somit nicht als dasselbe Datenpaket 126 authentifiziert wird, das ursprünglich im System 100 gesendet wurde, dann kann die Pipeline-Schaltung 106B oder die Vorrichtung 102B jede geeignete Korrekturmaßnahme ergreifen. Beispielsweise kann die Vorrichtung 102B einen Benutzer warnen, das erneute Senden des Datenpakets 126 anfordern oder die Verarbeitung des Datenpakets 126 unterbrechen und dieses verwerfen. In einer Ausführungsform kann die Pipeline-Schaltung 106B die Verarbeitung des Datenpakets 130 einleiten, während die Maschine 118B immer noch eine Authentifizierungsbewertung des Datenpakets 120 durchführt. Somit kann die durch die Authentifizierungsbewertung verursachte Latenzzeit minimiert werden.
  • In einer Ausführungsform muss die Authentifizierungsbewertung möglicherweise abgeschlossen werden, bevor alle Modifikationen des Datenpakets 130 abgeschlossen sind und das resultierende Datenpaket 134 gesendet wird.
  • Die Einstellungen der Register 116 können Betriebsmodi für die Vorrichtungen 102 wie oben erörtert definieren. Die Einstellungen können beispielsweise durch Software, Hersteller der Vorrichtungen 102 oder Benutzer der Vorrichtungen 102 definiert werden. Die Betriebsmodi können aufweisen:
    • [A]: ein Modus mit Verschlüsselung/Entschlüsselung, aber ohne Authentifizierung von Datenpaketen, die zwischen Vorrichtungen 102 übertragen werden;
    • [B]: ein Modus mit Verschlüsselung/Entschlüsselung und Authentifizierung von Datenpaketen, die zwischen Vorrichtungen 102 übertragen werden.
    • [C]: ein Modus ohne Verschlüsselung/Entschlüsselung oder Authentifizierung von Datenpaketen, die zwischen Vorrichtungen 102 übertragen werden; und
    • [D]: ein Modus ohne Verschlüsselung/Entschlüsselung, aber mit Authentifizierung von Datenpaketen, die zwischen Vorrichtungen 102 übertragen werden.
  • Diese Betriebsmodi sind in 2-4 gezeigt. In jeder dieser Figuren kann der Betrieb durch Instanzen der Steuerschaltung 114 durch irgendeinen geeigneten Mechanismus, wie z. B. eine Vermittlungsstruktur oder andere Routing-Mechanismen (nicht gezeigt), geleitet werden. Datenpakete können unter der Steuerung der Steuerschaltung 114 zu Instanzen der Maschine 118 geleitet werden, von Instanzen der Maschine 118 zu Instanzen der Pipeline-Schaltung 106 oder unter Umgehung von Instanzen oder Teilen der Maschine 118 und direkt an Instanzen der Pipeline-Schaltung 106 bereitstellt werden. Darüber hinaus können bei Bedarf zusätzliche Informationen über Instanzen des Pfads 124 an die Pipeline-Schaltung 106 bereitgestellt werden.
  • Der Modus [A] entspricht möglicherweise nicht dem MACsec-Protokoll, kann aber dennoch für jedes geeignete Protokoll verwendet werden.
  • Modus [B] könnte dem MACsec-Protokoll entsprechen und kann auch für jedes andere geeignete Protokoll verwendet werden. Modus [B] kann eine allgemein verwendete Art von MACsec-Operation darstellen.
  • Der Modus [C] entspricht möglicherweise nicht dem MACsec-Protokoll, kann aber dennoch für jedes geeignete Protokoll verwendet werden. Darüber hinaus könnte Modus [C] von ansonsten MACsec-kompatiblen Vorrichtungen verwendet werden, wobei die MACsec-Verarbeitung im Wesentlichen deaktiviert ist oder wobei Datenpakete nicht MACsecgesichert sind.
  • Der Modus [D] könnte dem MACsec-Protokoll entsprechen und kann auch für jedes andere geeignete Protokoll verwendet werden. Ausführungsformen der vorliegenden Offenbarung können die beim Betrieb in diesem Modus erfahrene Latenz reduzieren, wobei die Authentifizierung immer noch die MACsec-Nutzlasten der Datenpakete sichert, aber eine weitere Verarbeitung des MACsec-Datenpakets parallel erfolgen kann.
  • 2 ist eine detailliertere Darstellung einer Instanz der Vorrichtung 102 gemäß Ausführungsformen der vorliegenden Offenbarung.
  • Das gezeigte Beispiel kann jede geeignete Instanz von Vorrichtung 102, wie etwa Vorrichtung 102A oder Vorrichtung 102B, implementieren. Ein Eingangsdatenpaket 202 kann das Datenpaket 120 für eine Instanz der Vorrichtung 102A oder das Datenpaket 126 für eine Instanz der Vorrichtung 102B implementieren. Ein Datenpaket, das innerhalb der Vorrichtung 102 als Ausgabe einer Entschlüsselungs- oder Verschlüsselungsmaschine verwendet wird, kann das Datenpaket 202' aufweisen. Ein Datenpaket, das innerhalb der Vorrichtung 102 als Ausgabe der Maschine 118 verwendet wird, kann das Datenpaket 204 aufweisen. Das Datenpaket 204 kann das Datenpaket 122 für eine Instanz der Vorrichtung 102A oder das Datenpaket 130 für eine Instanz der Vorrichtung 102B implementieren.
  • Die Vorrichtung 102 kann so ausgebildet sein, dass sie in Modi arbeitet, in denen Datenpakete unter selektiver Verwendung von Verschlüsselung übertragen werden. Zum Beispiel kann die Vorrichtung 102 das Datenpaket 202 in verschlüsselter Form von einer anderen Vorrichtung empfangen und kann dazu ausgebildet sein, das Datenpaket 202 zu entschlüsseln. In einem solchen Beispiel kann die Vorrichtung 102 dazu ausgebildet sein, alle Datenpakete zu verschlüsseln, die als Ausgabe von der Pipeline-Schaltung 106 an andere Vorrichtungen gesendet werden sollen, obwohl dies in der Figur nicht dargestellt ist. Verschlüsselung und Entschlüsselung können von der Maschine 118 durchgeführt werden. Weiterhin können Verschlüsselung und Entschlüsselung selektiv von der Maschine 118 durchgeführt werden. Jeder geeignete Mechanismus kann verwendet werden, so dass die Maschine 118 selektiv Verschlüsselung und Entschlüsselung durchführen kann.
  • Beispielsweise kann die Maschine 118 eine Verschlüsselungs- und Entschlüsselungs-Maschine 208 aufweisen. Obwohl als Verschlüsselungs- und Entschlüsselungs-Maschine 208 bezeichnet, kann die Verschlüsselungs- und Entschlüsselungs-Maschine 208 ausgebildet sein, nur Datenpakete zu verschlüsseln, nur Datenpakete zu entschlüsseln, Datenpakete zu entschlüsseln und zu verschlüsseln oder jede dieser Aufgaben selektiv durchzuführen. Die Verschlüsselungs- und Entschlüsselungsmaschine 208 kann auf jede geeignete Weise implementiert werden, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor oder einer beliebigen Kombination davon. Der Betrieb der Verschlüsselungs- und Entschlüsselungsmaschine 208 kann durch Signale (nicht gezeigt) von der Steuerschaltung 114, im Speicher gespeicherte Einstellungen oder jede andere geeignete Quelle gesteuert werden. In dem Beispiel von 2 kann die Verschlüsselungs- und Entschlüsselungsmaschine 208 ausgebildet sein, um eine Entschlüsselung an beliebigen Inhalten auszuführen, die an der Verschlüsselungs- und Entschlüsselungsmaschine 208 empfangen werden. Dementsprechend kann die Maschine 118 ausgebildet sein, um Daten selektiv für die Verschlüsselungs- und Entschlüsselungsmaschine weiterzuleiten, um selektiv eine Entschlüsselung durchzuführen. Beispielsweise kann die Maschine 118 einen Demultiplexer 206 aufweisen. Obwohl ein Demultiplexer 206 gezeigt ist, kann jeder geeignete Schalter oder andere Mechanismus verwendet werden.
  • Der Demultiplexer 206 kann dazu ausgebildet sein, eingehende Daten, wie z. B. das Datenpaket 202, selektiv zu der Verschlüsselungs- und Entschlüsselungsmaschine 208 auf einem Verschlüsselungs- oder Entschlüsselungs- (EID-) Pfad oder zu einem Bypass-Pfad zu leiten, der die Verschlüsselungs- und Entschlüsselungsmaschine 208 vermeidet. Der Demultiplexer 206 kann durch Steuersignale von der Steuerschaltung 114 gesteuert werden. Die Steuerschaltung 114 kann somit so ausgebildet sein, dass sie ein gegebenes eingehendes Datenpaket selektiv entweder zu dem Bypass-Pfad oder zu der Verschlüsselungs- und Entschlüsselungsmaschine 208 leitet.
  • Die Ausgabe der Verschlüsselungs- und Entschlüsselungsmaschine 208 kann ein modifiziertes Datenpaket sein, das als Datenpaket 202' bezeichnet wird, das gemäß der Funktion der Verschlüsselungs- und Entschlüsselungsmaschine 208entschlüsselt oder verschlüsselt wurde. Der Bypass-Pfad kann eine Kopie des Datenpakets 202 bereitstellen. Die Maschine 118 kann ausgebildet sein, eines dieser Datenpakete selektiv als Ausgabe auszugeben. Dies kann auf jede geeignete Weise durchgeführt werden, wie beispielsweise mit einem Multiplexer 212. Der Multiplexer 212 kann durch Signale von der Steuerschaltung 114 gesteuert werden.
  • Die Vorrichtung 102 kann so ausgebildet sein, dass sie in Modi arbeitet, in denen Datenpakete mit selektiver Verwendung von Authentifizierung übertragen werden. Beispielsweise kann die Vorrichtung 102 das Datenpaket 202 von einer anderen Vorrichtung empfangen und kann ausgebildet sein, um den Inhalt oder die Quelle des Datenpakets 202 zu authentifizieren. Die Authentifizierung kann durch die Maschine 118 durchgeführt werden. Die Maschine 118 kann beliebige geeignete Komponenten zum Durchführen der Authentifizierung aufweisen.
  • Beispielsweise kann die Maschine 118 eine Authentifizierungs-Maschine 210 beinhalten. Die Authentifizierungs-Maschine 210 kann auf jede geeignete Weise implementiert werden, einschließlich analoger Schaltungen, digitaler Schaltungen, konfigurierbarer Logik, Anweisungen zur Ausführung durch einen Prozessor oder einer beliebigen Kombination davon. Der Betrieb der Authentifizierungsmaschine 210 kann durch Signale von der Steuerschaltung 114, im Speicher gespeicherte Einstellungen oder jede andere geeignete Quelle gesteuert werden. In dem Beispiel von 2 kann die Authentifizierungsmaschine 210 ausgebildet sein, um eine Authentifizierung an beliebigen Inhalten durchzuführen, die bei der Authentifizierungsmaschine 210 empfangen werden. In einer Ausführungsform kann die Authentifizierung selektiv durch die Authentifizierungsmaschine 210 durchgeführt werden. Die Authentifizierungsmaschine 210 kann die Authentifizierung selektiv basierend auf Steuersignalen von der Steuerschaltung 114 durchführen. In anderen nicht gezeigten Beispielen kann die Maschine 118 selektiv eine Authentifizierung durchführen, indem sie das Datenpaket 202 selektiv leitet, um die Authentifizierungsmaschine 210 zu umgehen. Die Ausgabe der Authentifizierungsmaschine 210 kann ein beliebiges geeignetes Signal sein, wie z.B. ein Datenpaket, ein einzelnes Bit, oder andere Informationen, um ein Ergebnis der Authentifizierung anzugeben. Somit kann die Authentifizierungsmaschine 210 dazu ausgebildet sein, an sie empfangene Datenpakete zu authentifizieren und ein Authentifizierungssignal an die Pipeline-Schaltung bereitzustellen, basierend darauf, ob Datenpakete authentifiziert wurden.
  • Die Ausgänge der Maschine 208, 210 und der Bypass-Pfad können der Pipeline-Schaltung 106 auf jede geeignete Weise bereitgestellt werden. Beispielsweise können die Ausgabe der Authentifizierungsmaschine 210 und die Ausgabe des Multiplexers 212 beide auf dem Pfad 124 bereitgestellt werden. In einem anderen, nicht gezeigten Beispiel können die Ausgabe der Authentifizierungsmaschine 210 und die Ausgabe des Multiplexers 212 auf getrennten Pfaden bereitgestellt werden. In noch einem weiteren, nicht gezeigten Beispiel kann die Ausgabe der Authentifizierungsmaschine 210 als zusätzliche Eingabe in den Multiplexer 212 geleitet werden, um selektiv auf dem Pfad 124 bereitgestellt zu werden.
  • Das Datenpaket 202 kann an der Vorrichtung 102, der Schaltung 104 oder der Steuerschaltung 114 empfangen werden. Das Datenpaket 202 kann durch eine andere Vorrichtung oder innerhalb der Vorrichtung 102 beispielsweise durch Software erzeugt worden sein. Die Steuerschaltung 114 kann auf Einstellungen in den Registern 116 oder innerhalb des Datenpakets 202 zugreifen, um zu bestimmen, dass der Betriebsmodus für die Vorrichtung 102 Verschlüsselung/Entschlüsselung beinhalten soll. Außerdem kann die Steuerschaltung 114 bestimmen, ob der Betriebsmodus für die Vorrichtung 102 die Authentifizierung von Datenpaketen aufweisen soll. Die Steuerschaltung 114 kann Steuersignale an den Motor 118 ausgeben, die den Betriebsmodus angeben. Diese Steuersignale können beispielsweise dem Demultiplexer 206, dem Multiplexer 212 und der Authentifizierungsmaschine 210 bereitgestellt werden.
  • Die Steuerschaltung 114 kann ausgebildet sein, um das Datenpaket 202 für die Maschine 118 für eine selektive Entschlüsselung/Verschlüsselung und Authentifizierung zu leiten. Die Maschine 118 kann dazu ausgebildet sein, das Datenpaket 202 zu entschlüsseln und das fertige Datenpaket als Datenpaket 204 über den Pfad 124 an die Pipeline-Schaltung 106 bereitzustellen. Darüber hinaus kann die Maschine 118 bei entsprechender Konfiguration dazu ausgebildet sein, eine Authentifizierung des Datenpakets 202 durchzuführen und die Ergebnisse in dem oder zusätzlich zu dem zum Datenpaket 204 über den Pfad 124 zur Pipeline-Schaltung 106 bereitzustellen. Die Pipeline-Schaltung kann das Datenpaket 204 empfangen, eine Verarbeitung des Datenpakets 204 durchführen und ein resultierendes Datenpaket ausgeben.
  • In Betriebsmodi wie den oben beschriebenen Modi [A] oder [B] kann die Maschine 118 so ausgebildet sein, dass sie eine Verschlüsselung/Entschlüsselung durchführt. In solchen Fällen kann die Steuerschaltung 114 bewirken, dass das Datenpaket 202 durch den Demultiplexer 206 zu der Verschlüsselungs- und Entschlüsselungsmaschine 208 geleitet wird. Der Bypass-Pfad wird möglicherweise nicht verwendet. Die Verschlüsselungs- und Entschlüsselungsmaschine 208 kann ausgebildet sein, um das Datenpaket 202' zu erzeugen. Das Datenpaket 202' kann beispielsweise eine entschlüsselte Version des Datenpakets 202 sein. Das Datenpaket 202' kann zum Multiplexer 212 geleitet werden. Die Steuerschaltung 114 kann bewirken, dass das Datenpaket 202' vom Multiplexer 212 als Datenpaket 204 auf dem Pfad 124 zur Pipeline-Schaltung 106 geleitet wird. Somit kann die Verschlüsselungs- und Entschlüsselungsmaschine 208 so ausgebildet sein, dass sie Datenpakete (wie das Datenpaket 202) verschlüsselt oder entschlüsselt und die resultierenden verschlüsselten oder entschlüsselten Datenpakete (wie das Datenpaket 202') an die Pipeline-Schaltung 106 bereitstellt. Die Steuerschaltung 114 kann ausgebildet sein, Weiterleiten ein gegebenes eingehendes Datenpaket selektiv an die Verschlüsselungs- und Entschlüsselungsmaschine 208 zu leiten, basierend auf einer Feststellung, dass die eingehenden Datenpakete zu verschlüsseln oder zu entschlüsseln sind.
  • In Betriebsmodi wie dem oben beschriebenen Modus [A] ist die Maschine 118 möglicherweise nicht konfiguriert, um eine Authentifizierung durchzuführen. In solchen Fällen kann die Steuerschaltung 114 die Authentifizierungsmaschine 210 deaktivieren. Ein Authentifizierungsergebnis wird möglicherweise nicht an die Pipeline-Schaltung 106 gesendet.
  • In Betriebsmodi wie dem oben beschriebenen Modus [B] könnte die Maschine 118 ausgebildet sein, um eine Authentifizierung durchzuführen. In solchen Fällen kann die Steuerschaltung 114 die Authentifizierungsmaschine 210 aktivieren. Das Datenpaket 202 kann zur Authentifizierungsmaschine 210 geleitet werden. Die Authentifizierungsmaschine 210 kann ausgebildet sein, um die Quelle oder den Inhalt des Datenpakets 202 zu authentifizieren und ein Authentifizierungsergebnis zurückzugeben. Das Authentifizierungsergebnis könnte an die Pipeline-Schaltung 106 gesendet werden.
  • In Betriebsmodi wie Modus [C], wie oben beschrieben, führt die Maschine 118 möglicherweise keine Verschlüsselung/Entschlüsselung durch. In solchen Fällen kann die Steuerschaltung 114 bewirken, dass das Datenpaket 202 durch den Demultiplexer 206 geleitet wird, um die Verschlüsselungs- und Entschlüsselungsmaschine 208 auf dem E | D-Pfad zu umgehen. Der Bypass-Pfad kann verwendet werden. Das Datenpaket 202 kann an den Multiplexer 212 geleitet werden. Die Steuerschaltung 114 kann bewirken, dass das Datenpaket 202 durch den Multiplexer 212 als Datenpaket 204 auf dem Pfad 124 an die Pipeline-Schaltung 106 geleitet wird. Die Maschine 118 ist möglicherweise nicht ausgebildet, um eine Authentifizierung durchzuführen. In solchen Fällen kann die Steuerschaltung 114 die Authentifizierungsmaschine 210 deaktivieren. Ein Authentifizierungsergebnis wird möglicherweise nicht an die Pipeline-Schaltung 106 gesendet.
  • In Betriebsmodi wie Modus [D], wie oben beschrieben, führt die Maschine 118 möglicherweise keine Verschlüsselung/Entschlüsselung durch. In solchen Fällen kann die Steuerschaltung 114 bewirken, dass das Datenpaket 202 durch den Demultiplexer 206 geleitet wird, um die Verschlüsselungs- und Entschlüsselungsmaschine 208 zu umgehen. Der Bypass-Pfad könnte verwendet werden. Das Datenpaket 202 kann an den Multiplexer 212 geleitet werden. Die Steuerschaltung 114 kann bewirken, dass das Datenpaket 202 durch den Multiplexer 212 als Datenpaket 204 auf dem Pfad 124 an die Pipeline-Schaltung 106 geleitet wird. Die Maschine 118 könnte so ausgebildet sein, dass sie eine Authentifizierung durchführt. In solchen Fällen kann die Steuerschaltung 114 die Authentifizierungsmaschine 210 aktivieren. Das Datenpaket 202 kann zur Authentifizierungsmaschine 210 geleitet werden. Die Authentifizierungsmaschine 210 kann ausgebildet sein, um die Quelle oder den Inhalt des Datenpakets 202 zu authentifizieren und ein Authentifizierungsergebnis zurückzugeben. Das Authentifizierungsergebnis könnte an die Pipeline-Schaltung 106 gesendet werden. Die Steuerschaltung 114 kann ausgebildet sein, um ein bestimmtes eingehendes Datenpaket selektiv an die Authentifizierungsmaschine 210 und an den Bypass-Pfad zu leiten, basierend auf einer Bestimmung, dass die eingehenden Datenpakete authentifiziert, aber nicht entschlüsselt werden sollen. Darüber hinaus kann die Steuerschaltung 114 so ausgebildet sein, dass sie parallel Kopien eines gegebenen eingehenden Datenpakets zur Authentifizierungsmaschine und zur Pipeline-Schaltung durch den Bypass-Pfad leitet.
  • Darüber hinaus kann die Steuerschaltung 114 in Betriebsmodi wie Modus [D] basierend auf der Bestimmung, dass keine Entschlüsselung oder Verschlüsselung durchgeführt werden soll, bestimmen, dass die notwendigen Informationen für die Pipeline-Schaltung 106 verfügbar sein können, um mit der Verarbeitung des Datenpakets 202 zu beginnen. Jedoch kann das Datenpaket 202 immer noch zur Authentifizierung bestimmt werden, bevor ein resultierendes Datenpaket von der Vorrichtung 102 ausgegeben wird. Diese Authentifizierung wird eine bestimmte Zeitdauer in Anspruch nehmen, was andernfalls eine Verzögerung verursachen könnte, bevor die Verarbeitung durch die Pipeline-Schaltung 106 beginnen kann. Dementsprechend kann die Steuerschaltung 114 in einer Ausführungsform basierend auf einer Bestimmung, dass keine Entschlüsselung oder Verschlüsselung durchgeführt werden soll und dass eine Authentifizierung durchgeführt werden soll, eine Weiterleitung einer Kopie des Datenpakets 202 veranlassen, die den durch die Maschine 118 durchzuführenden Verschlüsselungs- und Entschlüsselungsprozess umgeht. Dies kann auf jede geeignete Weise durchgeführt werden, wie etwa durch direktes Weiterleiten des Datenpakets 202 zur Pipeline-Schaltung über den Bypass-Pfad und Auswählen des Bypass-Pfads zum Weiterleiten durch den Multiplexer 212. Die Steuerschaltung 114 kann somit ausgebildet sein, um ein gegebenes eingehendes Datenpaket sowohl an die Authentifizierungsmaschine 210 als auch an den Bypass-Pfad zu leiten, wobei der Bypass-Pfad dazu ausgebildet ist, eine Kopie des eingehenden Datenpakets an die Pipeline-Schaltung 106 bereitzustellen, um die Authentifizierungsmaschine 210 zu umgehen.
  • Nach dem Empfang des Datenpakets 202 auf dem Pfad 124 über den Bypass-Pfad kann die Pipeline-Schaltung 106 so ausgebildet werden, dass sie dessen Inhalte verarbeitet. Gleichzeitig kann die Maschine 118 ausgebildet sein, um beispielsweise unter Verwendung der Authentifizierungs-Maschine 210 eine Authentifizierung an dem Datenpaket 202 durchzuführen. Basierend auf den Ergebnissen der Authentifizierung kann die Authentifizierungs-Maschine 210 über den Pfad 124 irgendein geeignetes Signal an die Pipeline-Schaltung 106 bereitstellen, um ein Authentifizierungsergebnis anzuzeigen.
  • Beim Empfang des Datenpakets 204 oder eines Authentifizierungsergebnisses kann die Pipeline-Schaltung 106 ausgebildet sein, um auszuwerten, ob das Signal anzeigt, dass der Inhalt des Datenpakets 202 authentifiziert wurde. Wenn der Inhalt des Datenpakets 202 nicht authentifiziert wurde, kann die Pipeline-Schaltung 106 jede geeignete Korrekturmaßnahme ergreifen, wie beispielsweise einen Benutzer oder ein anderes Element des Systems warnen, ein erneutes Senden des Datenpakets anfordern oder die Verarbeitung des Datenpakets unterbrechen. Die Pipeline-Schaltung 106 kann somit so ausgebildet sein, dass sie ein gegebenes eingehendes Datenpaket (wie z. B. Datenpaket 204) empfängt und ein Authentifizierungssignal empfängt und zwischen dem Empfang des gegebenen eingehenden Datenpakets und dem Authentifizierungssignal das gegebene eingehende Datenpaket verarbeitet, um ein Ausgangsdatenpaket zu erzeugen (wie das Datenpaket 134).
  • Die Pipeline-Schaltung 106 kann so ausgebildet sein, dass sie das Senden ihres Ausgangsdatenpakets (nicht gezeigt) zurückhält, bis das Datenpaket 202 von der Maschine 118 authentifiziert wurde oder nicht. Die Pipeline-Schaltung 106 kann so ausgebildet sein, dass sie das Senden ihres Ausgangsdatenpakets auf jeder geeigneten Grundlage zurückhält. In einer Ausführungsform kann die Pipeline-Schaltung 106 ausgebildet sein, um das Datenpaket 204 zu empfangen und sofort mit der Verarbeitung zu beginnen, aber anhand des Datenpakets 204 zu bestimmen, dass es noch nicht authentifiziert wurde, und somit ein nachfolgendes Authentifizierungssignal zu erwarten, bevor ihr Ausgangsdatenpaket (nicht gezeigt) ausgegeben wird. In einer solchen Ausführungsform kann die Pipeline-Schaltung 106 so ausgebildet sein, dass sie eine festgelegte Zeit auf die Ankunft des Authentifizierungssignals wartet, bevor sie entweder ihr eigenes Ausgangsdatenpaket weiterleitet (und implizit annimmt, dass das Datenpaket authentifiziert wurde) oder eine Korrekturmaßnahme ergreift (und implizit annimmt dass das Datenpaket nicht authentifiziert wurde). Die festgelegte Zeit kann eine ausreichende Zeit für die Maschine 118 sein, um die Authentifizierung des Datenpakets 202 durchzuführen. In einer anderen Ausführungsform kann die Pipeline-Schaltung 106 ausgebildet sein, um das Datenpaket 204 zu empfangen und sofort mit der Verarbeitung zu beginnen, aber ohne eine Erwartung, ob ein Folgeauthentifizierungsergebnis gesendet werden soll oder nicht. In einer solchen Ausführungsform kann die Pipeline-Schaltung 106 so ausgebildet sein, dass sie die festgelegte Zeit auf die Ankunft des Datenpakets 204 wartet und, wenn es nicht empfangen wird, das Ausgangsdatenpaket weiterleitet. Somit kann die Pipeline-Schaltung 106 ausgebildet sein, basierend auf einer Angabe in einem Authentifizierungssignal, dass die Authentifizierung bei einem gegebenen eingehenden Datenpaket (wie etwa dem Datenpaket 202, auf dem das Datenpaket 204 basiert) fehlgeschlagen ist, eine Korrekturmaßnahme zu ergreifen. Darüber hinaus kann die Pipeline-Schaltung 106 ausgebildet sein, basierend auf einer Angabe in einem Authentifizierungssignal, dass ein gegebenes eingehendes Datenpaket (wie etwa das Datenpaket 202, auf dem das Datenpaket 204 basiert) die Authentifizierung bestanden hat, ein auf dem eingehenden Datenpaket basierendes Ausgangsdatenpaket (wie etwa das Datenpaket 134) auszugeben.
  • In einer Ausführungsform könnte die Steuerschaltung 114 in der beispielhaften Operation von 2 nicht bestimmen, dass eine Entschlüsselung oder Verschlüsselung nicht durchgeführt werden soll, sondern stattdessen bestimmen, dass eine Entschlüsselung oder Verschlüsselung bereits durchgeführt wurde, möglicherweise nicht notwendigerweise durchgeführt werden muss oder parallel zur Authentifizierung durchgeführt werden kann. In solchen Fällen kann die Steuerschaltung 114 die Verarbeitung des Datenpakets 202 gemäß den oben beschriebenen Konfigurationen handhaben, wobei die Entschlüsselung oder Verschlüsselung nicht durchgeführt werden sollen.
  • In verschiedenen Ausführungsformen können die Maschinen 208, 210 separat oder kombiniert implementiert werden. Darüber hinaus könnten die Maschinen 208, 210 verschiedene Ressourcen gemeinsam nutzen. Beispielsweise könnten die Maschinen 208, 210 zu einer einzigen Maschine (nicht gezeigt) kombiniert werden. In einem solchen Fall kann die kombinierte Maschine (nicht gezeigt) dort platziert werden, wo die Verschlüsselungs- und Entschlüsselungsmaschine 208 in 2 gezeigt ist. Das Datenpaket 202 kann selektiv zu der kombinierten Maschine auf einem Verschlüsselungs-, Entschlüsselungs- oder Authentifizierungspfad (E | D | A) geleitet werden (nicht gezeigt), wo der E | D-Pfad in 2 gezeigt ist. Die kombinierte Maschine könnte durch Steuersignale von der Steuerschaltung 114 gesteuert werden. Im Modus [A] könnte die Steuerschaltung 114 bewirken, dass das Datenpaket 202 selektiv auf dem E | D | A -Pfad, aber nicht auf dem Bypass-Pfad an die kombinierte Maschine gesendet wird. Im Modus [B] könnte die Steuerschaltung 114 bewirken, dass das Datenpaket 202 selektiv auf dem E | D | A -Pfad, aber nicht auf dem Bypass-Pfad an die kombinierte Maschine gesendet wird. Im Modus [C] könnte die Steuerschaltung 114 bewirken, dass das Datenpaket 202 selektiv auf dem Bypass-Pfad zu der Pipeline-Schaltung 106 gesendet wird, aber nicht auf dem E | D | A -Pfad zu der kombinierten Maschine. Im Modus [D] könnte die Steuerschaltung 114 bewirken, dass das Datenpaket 202 selektiv sowohl auf dem E | D | A -Pfad an die kombinierte Maschine als auch auf dem Bypass-Pfad zu der Pipeline-Schaltung 106 gesendet wird. Das Authentifizierungsergebnis könnte auf dem Pfad 124 zu der Pipeline-Schaltung 106 gesendet werden.
  • 3 veranschaulicht ein beispielhaftes Verfahren 300 für eine MACsec-Authentifizierung mit niedriger Latenz gemäß Ausführungsformen der vorliegenden Offenbarung. Das Verfahren 300 kann von jeder geeigneten Vorrichtung durchgeführt werden, wie z. B. Elementen des Systems 100. Insbesondere kann das Verfahren 300 von einem oder mehreren der Vorrichtung 102, der Schaltung 104, der Steuerschaltung 114 oder dem Motor 118 durchgeführt werden. Zum Beispiel kann das Verfahren 300 durch eine Kombination aus der Steuerschaltung 114 und der Maschine 118 durchgeführt werden, um ein Datenpaket zu erzeugen, das dann beispielsweise durch die Pipeline-Schaltung 106 gehandhabt werden kann, wie in 4 dargestellt.
  • Das Verfahren 300 kann mehr oder weniger Schritte als die in 3 veranschaulichten aufweisen. Verschiedene Schritte des Verfahrens 300 können wiederholt, weggelassen, rekursiv durchgeführt oder in einer anderen Reihenfolge durchgeführt werden. Das Verfahren 300 kann bei beliebigen geeigneten Kriterien initiiert werden, kann sich wiederholen und kann bei beliebigen geeigneten Kriterien enden. Das Verfahren 300 kann mit jedem geeigneten Schritt beginnen, wie etwa Schritt 305.
  • Bei Schritt 305 kann ein Datenpaket empfangen werden. Das Datenpaket wurde möglicherweise von einer anderen Vorrichtung oder innerhalb der betreffenden Vorrichtung generiert.
  • Bei Schritt 310 können an dem Datenpaket durchzuführende Operationen bestimmt werden. Die Operationen können beispielsweise Verschlüsselung/Entschlüsselung oder Authentifizierung aufweisen.
  • Bei Schritt 315 kann bestimmt werden, ob eine Verschlüsselung oder Entschlüsselung durchzuführen ist. Wenn dies der Fall ist, kann das Verfahren 300 mit Schritt 320 fortfahren. Andernfalls kann das Verfahren 300 mit Schritt 335 fortfahren.
  • Bei Schritt 320 kann eine Entschlüsselung oder Verschlüsselung gemäß den Bestimmungen von Schritt 310 durchgeführt werden. Wenn beendet, kann das resultierende Datenpaket an die Pipeline-Schaltung gesendet werden. Das Verfahren 300 kann mit Schritt 325 fortfahren.
  • Bei Schritt 325 kann bestimmt werden, ob eine Authentifizierung an dem Datenpaket durchzuführen ist. Wenn nicht, kann das Verfahren 300 mit Schritt 355 fortfahren. Wenn es der Fall ist, kann das Verfahren 300 mit Schritt 330 fortfahren. In einer Ausführungsform können die Schritte 325 - 330 parallel zur Durchführung der Verschlüsselung oder Entschlüsselung in Schritt 320 durchgeführt werden.
  • Bei Schritt 330 kann das Datenpaket kann an eine Authentifizierungsmaschine gesendet werden. Nach Abschluss der Authentifizierung kann ein Authentifizierungssignal an die Pipeline-Schaltung gesendet werden. Das Verfahren 300 kann mit Schritt 355 fortfahren.
  • Bei Schritt 335 kann bestimmt werden, ob eine Authentifizierung an dem Datenpaket durchzuführen ist. Wenn nicht, kann das Verfahren 300 mit Schritt 350 fortfahren. Wenn es der Fall ist, kann das Verfahren 300 mit Schritt 340 fortfahren.
  • Bei Schritt 340 kann das Datenpaket über einen Bypass-Pfad, der Entschlüsselungs- und Verschlüsselungs-Maschinen umgeht, an die Pipeline-Schaltung gesendet werden. Darüber hinaus kann der Bypass-Pfad auch die Authentifizierungs-Maschine umgehen. Das Datenpaket kann parallel zur Authentifizierungsmaschine gesendet werden. Das Verfahren 300 kann mit Schritt 345 fortfahren.
  • Bei Schritt 345 kann ein Authentifizierungssignal an die Pipeline-Schaltung gesendet werden, wenn der Authentifizierungsprozess abgeschlossen ist. Das Authentifizierungssignal kann angeben, ob das Datenpaket authentifiziert wurde oder nicht. Das Verfahren 300 kann mit Schritt 355 fortfahren.
  • Bei Schritt 350 kann das Datenpaket über einen Bypass-Pfad, der Entschlüsselungs- und Verschlüsselungsmaschinen umgeht, an die Pipeline-Schaltung gesendet werden. Darüber hinaus kann der Bypass-Pfad auch die Authentifizierungs-Maschine umgehen. Das Verfahren 300 kann mit Schritt 355 fortfahren.
  • Bei Schritt 355 kann das Verfahren enden.
  • 4 veranschaulicht ein weiteres beispielhaftes Verfahren 400 für eine MACsec-Authentifizierung mit niedriger Latenz gemäß Ausführungsformen der vorliegenden Offenbarung. Das Verfahren 400 kann von jeder geeigneten Vorrichtung durchgeführt werden, wie z. B. Elementen des Systems 100. Insbesondere kann das Verfahren 400 von einer oder mehreren der Vorrichtung 102, Schaltung 104 oder Pipeline-Schaltung 106 durchgeführt werden. Zum Beispiel kann Verfahren 400 von Pipeline-Schaltung 106 für ein Datenpaket durchgeführt werden, das zum Beispiel von einer Kombination aus Steuerschaltung 114 und Maschine 118 erzeugt wird.
  • Das Verfahren 400 kann mehr oder weniger Schritte als die in 4 veranschaulichten aufweisen. Verschiedene Schritte des Verfahrens 400 können wiederholt, weggelassen, rekursiv durchgeführt oder in einer anderen Reihenfolge durchgeführt werden. Beispielsweise können durch das Verfahren 400 mehrere Datenpakete gleichzeitig verarbeitet werden. Das Verfahren 400 kann bei beliebigen geeigneten Kriterien initiiert werden, kann sich wiederholen und kann bei beliebigen geeigneten Kriterien enden. Das Verfahren 400 kann mit jedem geeigneten Schritt beginnen, wie etwa Schritt 405.
  • Bei Schritt 405 kann ein Datenpaket von einem anderen Teil der Vorrichtung empfangen werden, wie etwa der Maschine oder der Steuerschaltung. Bei Schritt 410 kann die Verarbeitung des Datenpakets beginnen.
  • Bei Schritt 415 kann bestimmt werden, ob eine Authentifizierung für das empfangene Datenpaket erforderlich ist. Wenn bekannt ist, dass eine Authentifizierung nicht erforderlich ist, kann das Verfahren 400 mit Schritt 445 fortfahren. Wenn bekannt ist, dass eine Authentifizierung erforderlich ist, kann das Verfahren 400 mit Schritt 430 fortfahren. Wenn unbekannt ist, ob eine Authentifizierung erforderlich ist, oder wenn eine Authentifizierung optional ist, kann das Verfahren 400 mit Schritt 420 fortfahren.
  • Bei Schritt 420 kann bestimmt werden, ob ein Authentifizierungssignal empfangen wurde. Wenn nicht, kann das Verfahren 400 mit Schritt 425 fortfahren. Wenn dies der Fall ist, kann das Verfahren 400 mit Schritt 440 fortfahren.
  • Bei Schritt 425 kann bestimmt werden, ob eine festgelegte Zeit abgelaufen ist. Die festgelegte Zeit kann eine Zeitspanne spezifizieren, die gewartet werden soll, seit das Datenpaket empfangen wurde. Die festgelegte Zeit kann eine Zeitdauer sein, die ausreicht, dass ein Authentifizierungssignal empfangen werden sollte. Die festgelegte Zeit kann eine Zeit sein, die benötigt wird, um das Datenpaket anderweitig zu verarbeiten. Wenn die festgelegte Zeit abgelaufen ist, kann das Verfahren 400 zu Schritt 445 weitergehen. Andernfalls kann das Verfahren 400 zu Schritt 420 zurückkehren.
  • Bei Schritt 430 kann bestimmt werden, ob ein Authentifizierungssignal empfangen wurde. Wenn nicht, kann das Verfahren 400 mit Schritt 435 fortfahren. Wenn dies der Fall ist, kann das Verfahren 400 mit Schritt 440 fortfahren.
  • Bei Schritt 435 kann bestimmt werden, ob eine festgelegte Zeit abgelaufen ist. Die festgelegte Zeit kann eine Zeitspanne spezifizieren, die gewartet werden soll, seit das Datenpaket empfangen wurde. Die festgelegte Zeit kann eine Zeitdauer sein, die ausreicht, dass ein Authentifizierungssignal empfangen werden sollte. Die festgelegte Zeit kann eine Zeit sein, die benötigt wird, um das Datenpaket anderweitig zu verarbeiten. Wenn die festgelegte Zeit abgelaufen ist, kann das Verfahren 400 zu Schritt 450 weitergehen. Andernfalls kann das Verfahren 400 zu Schritt 430 zurückkehren.
  • Bei Schritt 440 kann bestimmt werden, ob ein empfangenes Authentifizierungssignal anzeigt, dass das Datenpaket authentifiziert ist. Wenn das Datenpaket authentifiziert ist, kann das Verfahren 400 mit Schritt 445 fortfahren. Wenn das Datenpaket nicht authentifiziert ist, kann das Verfahren 400 mit Schritt 450 fortfahren.
  • Bei Schritt 445 kann das anderweitig verarbeitete Datenpaket als Ausgangsdatenpaket ausgegeben werden. Das Verfahren 400 kann mit Schritt 455 fortfahren.
  • Bei Schritt 450 kann für das nicht authentifizierte Datenpaket jede geeignete Korrekturmaßnahme ergriffen werden. Das Verfahren 400 kann mit Schritt 455 fortfahren.
  • Bei Schritt 445 kann das Verfahren 400 enden.
  • Obwohl oben beispielhafte Ausführungsformen beschrieben worden sind, können andere Variationen und Ausführungsformen von dieser Offenbarung abgeleitet werden, ohne vom Geist und Schutzumfang dieser Ausführungsformen abzuweichen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 62990003 [0001]

Claims (15)

  1. Vorrichtung, die aufweist: eine Pipeline-Schaltung, die zum Verarbeiten von Datenpaketen ausgebildet ist; und eine Authentifizierungsmaschine, die dazu ausgebildet ist, Datenpakete zu authentifizieren und basierend darauf, ob Datenpakete authentifiziert wurden, ein Authentifizierungssignal an die Pipeline-Schaltung bereitzustellen; und eine Steuerschaltung, die dazu ausgebildet ist, ein gegebenes eingehendes Datenpaket sowohl an die Authentifizierungsmaschine als auch an einen Bypass-Pfad zu leiten, wobei der Bypass-Pfad dazu ausgebildet ist, eine Kopie des gegebenen eingehenden Datenpakets an die Pipeline-Schaltung bereitzustellen, um die Authentifizierungsmaschine zu umgehen.
  2. Vorrichtung nach Anspruch 1, die weiterhin eine Verschlüsselungs- und Entschlüsselungsmaschine aufweist, die ausgebildet ist, um Datenpakete zu verschlüsseln oder zu entschlüsseln und resultierende verschlüsselte oder entschlüsselte Datenpakete an die Pipeline-Schaltung bereitzustellen, wobei die Steuerschaltung weiterhin ausgebildet ist, um das gegebene eingehende Datenpaket selektiv entweder an den Bypass-Pfad oder an die Verschlüsselungs- und Entschlüsselungs-Maschine zu leiten.
  3. Vorrichtung nach einem der Ansprüche 1 bis 2, wobei die Steuerschaltung weiterhin ausgebildet ist, um das gegebene eingehende Datenpaket selektiv an die Authentifizierungsmaschine und an den Bypass-Pfad zu leiten basierend auf einer Bestimmung, dass die eingehenden Datenpakete zu authentifizieren sind, aber nicht zu entschlüsseln sind.
  4. Vorrichtung nach einem der Ansprüche 1 bis 3, wobei die Steuerschaltung weiterhin ausgebildet ist, um das gegebene eingehende Datenpaket selektiv an die Verschlüsselungs- und Entschlüsselungsmaschine zu leiten basierend auf einer Bestimmung, dass die eingehenden Datenpakete zu verschlüsseln oder zu entschlüsseln sind.
  5. Vorrichtung nach einem der Ansprüche 1 bis 4, wobei die Steuerschaltung weiterhin ausgebildet ist, parallel Kopien des gegebenen eingehenden Datenpakets an die Authentifizierungsmaschine und an die Pipeline-Schaltung durch den Bypass-Pfad zu leiten.
  6. Vorrichtung nach einem der Ansprüche 1 bis 5, wobei die Pipeline-Schaltung weiterhin ausgebildet ist: das gegebene eingehende Datenpaket zu empfangen; das Authentifizierungssignal zu empfangen; und zwischen dem Empfang des gegebenen eingehenden Datenpakets und dem Authentifizierungssignal das gegebene eingehende Datenpaket zu verarbeiten, um ein Ausgangsdatenpaket zu erzeugen.
  7. Vorrichtung nach Anspruch 6, wobei die Pipeline-Schaltung weiterhin ausgebildet ist: basierend auf einer Angabe in dem Authentifizierungssignal, dass die Authentifizierung des gegebenen eingehenden Datenpakets fehlgeschlagen ist, eine Korrekturmaßnahme zu ergreifen; und basierend auf einer Angabe in dem Authentifizierungssignal, dass das gegebene eingehende Datenpaket authentifiziert wurde, das Ausgangsdatenpaket auszugeben.
  8. Verfahren, das aufweist: Empfangen eines gegebenen eingehenden Datenpakets an einer Vorrichtung; Weiterleiten des gegebenen eingehenden Datenpakets sowohl zu einem Bypass-Pfad als auch zu einer Authentifizierungsmaschine der Vorrichtung; an der Authentifizierungsmaschine, Authentifizieren des gegebenen eingehenden Datenpakets und Bereitstellen eines Authentifizierungssignals an die Pipeline-Schaltung basierend darauf, ob Datenpakete authentifiziert wurden; und wobei das Weiterleiten des gegebenen eingehenden Datenpakets an den Bypass-Pfad das Bereitstellen einer Kopie des gegebenen eingehenden Datenpakets an die Pipeline-Schaltung aufweist, um die Authentifizierungsmaschine zu umgehen.
  9. Verfahren nach Anspruch 8, das weiterhin das Weiterleiten des gegebenen eingehenden Datenpakets selektiv zu entweder dem Bypass-Pfad oder zu einer Verschlüsselungs- und Entschlüsselungsmaschine der Vorrichtung aufweist.
  10. Verfahren nach einem der Ansprüche 8 bis 9, das weiterhin das selektive Weiterleiten des gegebenen eingehenden Datenpakets an die Authentifizierungsmaschine und an den Bypass-Pfad aufweist basierend auf einer Bestimmung, dass die eingehenden Datenpakete zu authentifizieren, aber nicht zu entschlüsseln sind.
  11. Verfahren nach einem der Ansprüche 8 bis 10, das weiterhin das selektive Weiterleiten des gegebenen eingehenden Datenpakets zu einer Verschlüsselungs- und Entschlüsselungsmaschine der Vorrichtung aufweist basierend auf einer Bestimmung, dass die eingehenden Datenpakete zu verschlüsseln oder zu entschlüsseln sind.
  12. Verfahren nach einem der Ansprüche 8 bis 11, das weiterhin das parallele Weiterleiten von Kopien des gegebenen eingehenden Datenpakets an die Authentifizierungsmaschine und an die Pipeline-Schaltung durch den Bypass-Pfad aufweist.
  13. Verfahren nach einem der Ansprüche 8 bis 12, das weiterhin an der Pipeline-Schaltung aufweist: Empfangen des gegebenen eingehenden Datenpakets; Empfangen eines Authentifizierungssignals von der Authentifizierungsmaschine, und zwischen dem Empfang des gegebenen eingehenden Datenpakets und dem Authentifizierungssignal, Verarbeiten des gegebenen eingehenden Datenpakets, um ein Ausgangsdatenpaket zu erzeugen.
  14. Verfahren nach einem der Ansprüche 8 bis 13, das weiterhin an der Pipeline-Schaltung aufweist: basierend auf einer Angabe in dem Authentifizierungssignal, dass das gegebene eingehende Datenpaket die Authentifizierung nicht bestanden hat, Vornehmen einer Korrekturmaßnahme; und basierend auf einer Angabe in dem Authentifizierungssignal, dass das gegebene eingehende Datenpaket authentifiziert wurde, Ausgeben des Ausgangsdatenpakets.
  15. Fertigungsartikel, der Anweisungen auf einem nichtflüchtigen maschinenlesbaren Medium aufweist, wobei die Anweisungen, wenn sie von einem Prozessor gelesen und geladen werden, den Prozessor veranlassen, eines der Verfahren der Ansprüche 8 bis 14 auszuführen.
DE112021001678.4T 2020-03-16 2021-03-12 Macsec-authentifizierung mit niedriger latenz Pending DE112021001678T5 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202062990003P 2020-03-16 2020-03-16
US62/990,003 2020-03-16
US17/193,172 2021-03-05
US17/193,172 US11677727B2 (en) 2020-03-16 2021-03-05 Low-latency MACsec authentication
PCT/US2021/022065 WO2021188372A1 (en) 2020-03-16 2021-03-12 Low-latency macsec authentication

Publications (1)

Publication Number Publication Date
DE112021001678T5 true DE112021001678T5 (de) 2023-01-19

Family

ID=77665464

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112021001678.4T Pending DE112021001678T5 (de) 2020-03-16 2021-03-12 Macsec-authentifizierung mit niedriger latenz

Country Status (4)

Country Link
US (1) US11677727B2 (de)
DE (1) DE112021001678T5 (de)
TW (1) TW202207682A (de)
WO (1) WO2021188372A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11956160B2 (en) * 2021-06-01 2024-04-09 Mellanox Technologies, Ltd. End-to-end flow control with intermediate media access control security devices

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6725371B1 (en) 1999-06-30 2004-04-20 Intel Corporation Secure packet processor
US7818563B1 (en) 2004-06-04 2010-10-19 Advanced Micro Devices, Inc. Method to maximize hardware utilization in flow-thru IPsec processing
US8010801B2 (en) 2006-11-30 2011-08-30 Broadcom Corporation Multi-data rate security architecture for network security
US9001846B2 (en) * 2009-06-09 2015-04-07 Broadcom Corporation Physical layer device with dual medium access controller path
US9374344B1 (en) * 2013-03-29 2016-06-21 Secturion Systems, Inc. Secure end-to-end communication system
JP2017011392A (ja) * 2015-06-18 2017-01-12 株式会社リコー 復号回路、これを用いた通信装置、及び通信システム
US10826876B1 (en) * 2016-12-22 2020-11-03 Amazon Technologies, Inc. Obscuring network traffic characteristics
US10560476B2 (en) * 2017-02-22 2020-02-11 International Business Machines Corporation Secure data storage system
US11177964B2 (en) * 2019-01-25 2021-11-16 International Business Machines Corporation Blockchain based authentication

Also Published As

Publication number Publication date
US11677727B2 (en) 2023-06-13
CN114731292A (zh) 2022-07-08
US20210288945A1 (en) 2021-09-16
WO2021188372A1 (en) 2021-09-23
TW202207682A (zh) 2022-02-16

Similar Documents

Publication Publication Date Title
DE60305775T2 (de) Verfahren und Gerät zur Berechnung von Haschwerten in einem kryptographischen Koprozessor
DE112005000523B4 (de) Zwei parallele Maschinen für Hochgeschwindigkeitssende-IPSEC-Verarbeitung
DE69533147T2 (de) Kryptografische Datenverarbeitung unter Verwendung einer Kaskadierung kryptografischer Elemente in einer Rückkoppelung
DE60121284T2 (de) Verfahren und Vorrichtung zur Ausführung einer kryptographischen Funktion
DE102007052656B4 (de) Digital-Verschlüsselungs-Hardware-Beschleuniger
DE102020101358A1 (de) Selektive Echtzeit-Kryptographie in einem Fahrzeugkommunikationsnetz
DE202015009800U1 (de) Sicherheits-Plug-In für eine System-on-a-Chip-Plattform
DE112004000015T5 (de) Verfahren und Systeme zum effizienten Integrieren eines kryptografischen Koprozessors
DE60133175T2 (de) Kommunikationsnetz
EP3304802B1 (de) Verfahren zur sicherstellung der informationssicherheit von über einen datenbus übertragenen daten sowie datenbussystem
WO2016188707A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
DE112021001678T5 (de) Macsec-authentifizierung mit niedriger latenz
DE69834296T2 (de) Verschlüsselungsvorrichtung und rechnerlesbares Aufzeichnungsmedium mit Ausführungsprogramm
DE102019005608A1 (de) Transportschichtauthentizität und Sicherheit für Automobilkommunikation
DE102022100111A1 (de) Netzwerkschnittstelle mit Datenschutz
DE112016001193T5 (de) Protokollunabhängiger, programmierbarer Schalter für durch Software definierte Datenzentrumsnetzwerke
DE102021111882A1 (de) Einarmiger Inline-Entschlüsselungs-/Verschlüsselungsproxy, der im Modus einer transparenten Bridge arbeitet
DE10393986B4 (de) Datenverarbeitungsvorrichtung einer Komponente eines Funktelekommunikationssystems und Verwendung
EP4014424B1 (de) Verfahren zum verarbeiten von telegrammen in einem automatisierungsnetzwerk, automatisierungsnetzwerk, masterteilnehmer und slaveteilnehmer
EP2830277B1 (de) Verfahren und system zur manipulationssicheren übertragung von datenpaketen
CN114731292B (zh) 低延迟介质访问控制安全认证
DE102017203725A1 (de) Vorrichtung zum Verarbeiten von Nutzdaten in einem Steuergerät
WO2017064027A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
DE102019004790A1 (de) Authentizität und Sicherheit auf der Sicherungsschicht für Fahrzeugkommunikationssystem
DE102016110148A1 (de) Endsystemeinrichtung mit integrierter Schalteinrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed