DE69631339T2 - Verwaltung kryptographischer schlüssel - Google Patents
Verwaltung kryptographischer schlüssel Download PDFInfo
- Publication number
- DE69631339T2 DE69631339T2 DE69631339T DE69631339T DE69631339T2 DE 69631339 T2 DE69631339 T2 DE 69631339T2 DE 69631339 T DE69631339 T DE 69631339T DE 69631339 T DE69631339 T DE 69631339T DE 69631339 T2 DE69631339 T2 DE 69631339T2
- Authority
- DE
- Germany
- Prior art keywords
- data
- cryptographic key
- transmitted
- key
- atm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/04—Selecting arrangements for multiplex systems for time-division multiplexing
- H04Q11/0428—Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
- H04Q11/0478—Provisions for broadband connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5687—Security aspects
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
- Die vorliegende Erfindung bezieht sich auf die Aktualisierung von kryptografischen Schlüsseln innerhalb eines Systems mit asynchroner Übermittlung (ATM) beispielsweise unter Verwendung von virtuellen ATM-Pfaden oder virtuellen Schaltungen, die sehr einfache Möglichkeiten bieten, kryptografische Schlüssel ohne das gewöhnliche Problem von Synchronisationsveränderungen zwischen den Sendern und Empfängern von Information zu aktualisieren und zu verwalten.
- Wenn Daten verschlüsselt über ein System gesendet und dann auf der anderen Seite wie in
1 entschlüsselt werden, ist dies einfach, wenn die kryptografischen Schlüssel unveränderlich sind. In einem System, das für einige Zeit betrieben werden muß, wird es jedoch ein Bestreben geben, den Schlüssel von Zeit zu Zeit zu ändern. In Systemen aus dem Stand der Technik wurde das getan, indem ein neuer Schlüssel über das System gesendet wurde, der zweite Schlüssel bei dem Ziel vorgeladen wurde und eine Art Wechselsignal gegeben wurde. Der Empfänger muß dann fähig sein, zwei Schlüssel zu speichern und zwischen diesen auf eine vorsichtig gesteuerte Art ohne Datenverlust sehr schnell zu wechseln. Das wirkliche Problem besteht in der Synchronisation des Wechsels zwischen den zwei Enden. - Das Dokument "Proceedings of the Symposium of Network and Distributed System Security, San Diego, USA, Feb. 1995, Seiten 17–30" beschreibt ein bewegliches experimentelles kryptografisches Schlüsselsystem im Entwurf bei MCNC. Das System ist mit lokalen und überregionalen ATM-Netzen kompatibel. Das System stellt sichere Verbindungen zwischen Rechnern auf eine Weise her, die für die Endbenutzer nach vollziehbar ist und mit vorhandenen öffentlichen Netzstandards kompatibel ist, und verwaltet diese.
- Eine kryptografische Einheit unterstützt die Hardwareverschlüsselung und -entschlüsselung bei der ATM-Protokollschicht. Das System ist SONET-kompatibel und arbeitet vollkommen im Duplex-Betrieb bei Geschwindigkeiten von 0C–12c (622 Mbps). Getrennte kryptografische Schlüssel werden für jede sichere Verbindung ausgehandelt. Jede kryptografische Einheit kann mehr als 65.000 aktive sichere Verbindungen verwalten. Die kryptografische Einheit kann entweder in einem Modus für Sicherheits-Gateways der als "Delle-in-der-Faser" bezeichnet wird, oder als eine direkte ATM-Rechner-Schnittstelle verbunden sein. Die Authentifizierung und Zugangs-Steuerung sind durch ein auf Zertifikate basierendes System implementiert.
- Erfindungsgemäß wird ein Verfahren zur Aktualisierung eines kryptografischen Schlüssels geschaffen, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, welches mehrere virtuelle Pfade aufweist, wobei die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen ersten von mehreren virtuellen Pfaden übertragen werden, und wobei eine Verbindung durch einen zweiten von mehreren virtuellen Pfaden hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über den zweiten von mehreren virtuellen Pfaden übertragen werden.
- Erfindungsgemäß wird außerdem ein Verfahren zur Aktualisierung eines kryptografischen Schlüssels geschaffen, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, das mehrere virtuelle Schaltungen aufweist, wobei die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen erste von mehreren virtuellen Schaltungen übertragen werden, und wobei eine Verbindung durch eine zweite von mehreren virtuellen Schaltungen hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über die zweite von mehreren virtuellen Schaltungen übertragen werden.
- In einem ATM-Netz ist es möglich, mehrere virtuelle Pfade (VPs) oder virtuelle Schaltungen (VCs) herzustellen, die, außer wenn sie tatsächlich verwendet werden, keine Netzresourcen benötigen. Eher als die Komplexität von zwei Schlüsseln und einen vorsichtig gesteuerten Wechsel zu haben, ist es die grundlegende Idee, einen zweiten VP/VC mit dem neuen Schlüssel zu erzeugen und auf Wahl des Senders das Senden der Daten auf dem neuen VP/VC zu starten, wenn er bereit ist. Kein komplexer Wechselmechanismus ist erforderlich, wenn der neue VP/VC verwendet wird, kann der alte einfach entfernt werden.
- Die Betriebssequenz ist in
2 gezeigt. - In diesem Beispiel wird ein VP zu einem Kunden (Vpy) verschlüsselt, der ursprünglich bei Vpx1 entlang der ATM-Übertragung hergestellt ist und mit dem Schlüssel k1 verschlüsselt ist. Später, wenn der Schlüssel aktualisiert werden muß, wird eine zweite Verbindung unter Verwendung von Vpx2 und dem Schlüssel k2 hergestellt. Wenn diese hergestellt wurde, kann der Sender, wenn er dies wählt, einfach beginnen, die Daten über den neuen VP zu senden, später kann der alte VP unterbrochen werden. In diesem Bei spiel werden VPs verschlüsselt, die Architektur für eine virtuelle Schaltung wäre die gleiche.
- Dieses Verfahren kann auf einen Fall mit zwei Richtungen wie folgt erweitert werden, wenn die Quelle den verwendeten Schlüssel ändern will, baut sie ihre Datenverarbeitungseinrichtung zum Verarbeiten des neuen Schlüssels auf dem neuen VP auf und sagt es dann dem Empfänger, wenn dieser die Wechselnachricht erhält, startet er den neuen VP, wenn er bereit ist, das Kopfende beginnt einfach die Daten auf dem neuen VP mit dem neuen Schlüssel zu empfangen, wenn sie ankommen.
- Wenn die ATM-Übertragung in einem geschlossenen System stattfindet wie einem Zugangsnetzwerk, ist das obige Verfahren angemessen. In einem offenen Netz gibt es zwei andere Angelegenheiten, die betrachtet werden müssen:
Das Netz müßte entweder beide Schaltungen mit ihren vollen Erfordernissen an die Bandbreite einrichten (und überwachen) und daher das Netzwerk überversorgen oder die Summe des Verkehrs von beiden Schaltungen zusammen überwachen. Keine Option ist besonders kompliziert. - Der grundlegende Mechanismus geht in Ordnung, solange die Integrität der Zellfolge zwischen den zwei Schaltungen gewährleistet ist. Wenn die Integrität der Zellfolge nicht möglich ist, können andere Verfahren anwendbar sein wie zum Beispiel eines, bei dem der Verkehr von der Verschlüsselungseinrichtung für eine Wechselzeit gehalten wird, die ausreicht, den schlimmsten Fall der Variation zu erlauben.
- Dieses Verfahren der Schlüsselsteuerung ist tatsächlich in jedem Paketnetz anwendbar. Insbesondere ist dies eine sehr realistische Art für häufige Aktualisierungen von Schlüsseln ohne ein komplexes Wechselprotokoll oder andere Kom plexität zu sorgen. Dies ist für ein Zugangssystem geeignet, das sichere Programme zu einer ausgewählten Anzahl von Nutzern liefern soll, wobei diese Nutzer, die das Programm abonniert haben, die Schlüssel haben, um es zu entziffern. In solch einer Umgebung kann es nun wünschenswert sein, den Schlüssel häufig zu wechseln. Dieser Mechanismus erlaubt es, den Schlüssel einfach zu wechseln.
Claims (2)
- Verfahren zur Aktualisierung eines kryptografischen Schlüssels, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, welches mehrere virtuelle Pfade aufweist, dadurch gekennzeichnet, daß die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen ersten von mehreren virtuellen Pfaden übertragen werden, und daß eine Verbindung durch einen zweiten von mehreren virtuellen Pfaden hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über den zweiten von mehreren virtuellen Pfaden übertragen werden.
- Verfahren zur Aktualisierung eines kryptografischen Schlüssels, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, das mehrere virtuelle Schaltungen aufweist, dadurch gekennzeichnet, daß die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen erste von mehreren virtuellen Schaltungen übertragen werden, und daß eine Verbindung durch eine zweite von mehreren virtuellen Schaltungen hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über die zweite von mehreren virtuellen Schaltungen übertragen werden.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GBGB9522639.5A GB9522639D0 (en) | 1995-11-04 | 1995-11-04 | Encryption key management |
GB9522639 | 1995-11-04 | ||
PCT/GB1996/002597 WO1997017781A1 (en) | 1995-11-04 | 1996-10-24 | Encryption key management |
Publications (2)
Publication Number | Publication Date |
---|---|
DE69631339D1 DE69631339D1 (de) | 2004-02-19 |
DE69631339T2 true DE69631339T2 (de) | 2004-06-24 |
Family
ID=10783402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE69631339T Expired - Lifetime DE69631339T2 (de) | 1995-11-04 | 1996-10-24 | Verwaltung kryptographischer schlüssel |
Country Status (9)
Country | Link |
---|---|
US (1) | US6480608B2 (de) |
EP (1) | EP0862823B1 (de) |
JP (1) | JP4094058B2 (de) |
CN (1) | CN1097904C (de) |
AU (1) | AU719416B2 (de) |
DE (1) | DE69631339T2 (de) |
GB (2) | GB9522639D0 (de) |
NO (1) | NO982018D0 (de) |
WO (1) | WO1997017781A1 (de) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19726003A1 (de) * | 1997-06-19 | 1998-12-24 | Alsthom Cge Alcatel | Verfahren zum Übermitteln verschlüsselter Signale, sowie Sendeeinrichtung und Empfangseinrichtung dafür |
US20040148356A1 (en) * | 2002-11-04 | 2004-07-29 | Bishop James William | System and method for private messaging |
BRPI0412722B1 (pt) * | 2003-07-29 | 2017-10-24 | Thomson Licensing | Key synchronization for wireless lan (wlan) |
US8050410B2 (en) * | 2006-12-08 | 2011-11-01 | Uti Limited Partnership | Distributed encryption methods and systems |
US20080144836A1 (en) * | 2006-12-13 | 2008-06-19 | Barry Sanders | Distributed encryption authentication methods and systems |
DE102007033667A1 (de) * | 2007-07-17 | 2009-01-22 | GSMK Gesellschaft für sichere mobile Kommunikation mbH | Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4965804A (en) * | 1989-02-03 | 1990-10-23 | Racal Data Communications Inc. | Key management for encrypted packet based networks |
US5016243A (en) * | 1989-11-06 | 1991-05-14 | At&T Bell Laboratories | Automatic fault recovery in a packet network |
NZ237080A (en) * | 1990-03-07 | 1993-05-26 | Ericsson Telefon Ab L M | Continuous synchronisation for duplex encrypted digital cellular telephony |
JPH04154242A (ja) * | 1990-10-17 | 1992-05-27 | Nec Corp | ネットワーク障害回復方式 |
US5412376A (en) * | 1990-11-09 | 1995-05-02 | Fujitsu Limited | Method for structuring communications network based on asynchronous transfer mode |
US5442702A (en) * | 1993-11-30 | 1995-08-15 | At&T Corp. | Method and apparatus for privacy of traffic behavior on a shared medium network |
US5455826A (en) * | 1994-06-28 | 1995-10-03 | Oezveren; Cueneyt M. | Method and apparatus for rate based flow control |
JPH08195745A (ja) * | 1995-01-13 | 1996-07-30 | Fujitsu Ltd | パス切替装置およびパス切替方法 |
FR2742616B1 (fr) * | 1995-12-18 | 1998-01-09 | Cit Alcatel | Dispositif de chiffrement et dispositif de dechiffrement d'informations transportees par des cellules a mode de transfert asynchrone |
US5805705A (en) * | 1996-01-29 | 1998-09-08 | International Business Machines Corporation | Synchronization of encryption/decryption keys in a data communication network |
DE19726003A1 (de) * | 1997-06-19 | 1998-12-24 | Alsthom Cge Alcatel | Verfahren zum Übermitteln verschlüsselter Signale, sowie Sendeeinrichtung und Empfangseinrichtung dafür |
-
1995
- 1995-11-04 GB GBGB9522639.5A patent/GB9522639D0/en active Pending
-
1996
- 1996-09-24 GB GB9619904A patent/GB2307153B/en not_active Expired - Fee Related
- 1996-10-24 JP JP51795097A patent/JP4094058B2/ja not_active Expired - Lifetime
- 1996-10-24 AU AU24686/97A patent/AU719416B2/en not_active Ceased
- 1996-10-24 WO PCT/GB1996/002597 patent/WO1997017781A1/en active IP Right Grant
- 1996-10-24 EP EP96935071A patent/EP0862823B1/de not_active Expired - Lifetime
- 1996-10-24 US US09/051,161 patent/US6480608B2/en not_active Expired - Lifetime
- 1996-10-24 DE DE69631339T patent/DE69631339T2/de not_active Expired - Lifetime
- 1996-10-24 CN CN96197989A patent/CN1097904C/zh not_active Expired - Fee Related
-
1998
- 1998-05-04 NO NO982018A patent/NO982018D0/no not_active Application Discontinuation
Also Published As
Publication number | Publication date |
---|---|
JP4094058B2 (ja) | 2008-06-04 |
CN1201570A (zh) | 1998-12-09 |
NO982018L (no) | 1998-05-04 |
NO982018D0 (no) | 1998-05-04 |
US6480608B2 (en) | 2002-11-12 |
DE69631339D1 (de) | 2004-02-19 |
AU719416B2 (en) | 2000-05-11 |
CN1097904C (zh) | 2003-01-01 |
EP0862823A1 (de) | 1998-09-09 |
WO1997017781A1 (en) | 1997-05-15 |
AU2468697A (en) | 1997-05-29 |
US20010040967A1 (en) | 2001-11-15 |
JP2000500301A (ja) | 2000-01-11 |
EP0862823B1 (de) | 2004-01-14 |
GB9522639D0 (en) | 1996-01-03 |
GB2307153A (en) | 1997-05-14 |
GB2307153B (en) | 1999-10-06 |
GB9619904D0 (en) | 1996-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60116501T2 (de) | Mehrfach-dienst-benutzung der netzverbindungsfähigkeit unter benutzer-zu-netzwerk-schnittstellenzeichengabe | |
DE69231285T2 (de) | System zum Zuführen verschiedener ATM-Zellen | |
DE69126801T2 (de) | Multimedianetzwerksystem | |
DE69128981T2 (de) | Geheimübertragungsverfahren und Geheimübertragungseinrichtung | |
DE69533533T2 (de) | Kommunikationssystem, Server und Verfahren zur Adressenverwaltung | |
DE69835102T2 (de) | Verfahren und vorrichtung zur gesicherten übertragung eines datensatzes | |
DE69010011T2 (de) | Kommunikationssystem. | |
DE69227487T2 (de) | Verfahren zum Senden und Empfangen von personalisierten Programmen | |
DE69334078T2 (de) | Signalisierungsverfahren und -system für Paketnetz | |
DE69333188T2 (de) | Identifikation von datenpaketen | |
EP0744867B1 (de) | Verfahren zur Verbindungssteuerung für interaktive Dienste | |
DE69631339T2 (de) | Verwaltung kryptographischer schlüssel | |
DE60108905T2 (de) | Anti-kloning-verfahren | |
DE19531611C1 (de) | Verfahren und Anordnung zum Anpassen der Übertragungsbitrate einer nach dem asynchronen Transfermodus arbeitenden Datenmultiplexeinrichtung | |
EP0784891A1 (de) | Verfahren zur datensicherung in einem bidirektional betreibbaren teilnehmeranschlussnetz | |
EP0632616B1 (de) | Verfahren zur Datensicherung in einem B-ISDN Telekommunikationssystem | |
EP0740439B1 (de) | Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen | |
DE3041566C2 (de) | Verfahren und Schaltungsanordnung zum Übertragen von Datensignalen zwischen Datenvermittlungseinrichtungen einer Datenvermittlungsanlage | |
EP0639931A2 (de) | Verfahren zum Austausch von Informationen zwischen ISDN-Endeinrichtungen | |
AT390857B (de) | Schaltungsanordnung zum vermitteln von datensignalen unterschiedlicher datensignalraten in einer datenvermittlungsanlage | |
EP0751647B1 (de) | Verfahren zum Verschlüsseln von Informationen in ATM-Systemen | |
DE3816747A1 (de) | Leistungsvermittelnde paket-vermittlungseinrichtung | |
DE2828602B1 (de) | Verfahren zum UEbertragen von Daten in einem synchronen Datennetz | |
WO1998002991A1 (de) | Verfahren zur schlüsselverteilung zwischen zwei einheiten in einer isdn/internet verbindung | |
DE4405460C1 (de) | Anschlußleitungsnetz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: ERICSSON AB, STOCKHOLM, SE |
|
8328 | Change in the person/name/address of the agent |
Representative=s name: 2K PATENTANWAELTE BLASBERG KEWITZ & REICHEL, PARTN |