DE69631339T2 - Verwaltung kryptographischer schlüssel - Google Patents

Verwaltung kryptographischer schlüssel Download PDF

Info

Publication number
DE69631339T2
DE69631339T2 DE69631339T DE69631339T DE69631339T2 DE 69631339 T2 DE69631339 T2 DE 69631339T2 DE 69631339 T DE69631339 T DE 69631339T DE 69631339 T DE69631339 T DE 69631339T DE 69631339 T2 DE69631339 T2 DE 69631339T2
Authority
DE
Germany
Prior art keywords
data
cryptographic key
transmitted
key
atm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69631339T
Other languages
English (en)
Other versions
DE69631339D1 (de
Inventor
John Richard Wimborne PROCTOR
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ericsson AB
Original Assignee
Marconi UK Intellectual Property Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Marconi UK Intellectual Property Ltd filed Critical Marconi UK Intellectual Property Ltd
Publication of DE69631339D1 publication Critical patent/DE69631339D1/de
Application granted granted Critical
Publication of DE69631339T2 publication Critical patent/DE69631339T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • H04Q11/0478Provisions for broadband connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5687Security aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf die Aktualisierung von kryptografischen Schlüsseln innerhalb eines Systems mit asynchroner Übermittlung (ATM) beispielsweise unter Verwendung von virtuellen ATM-Pfaden oder virtuellen Schaltungen, die sehr einfache Möglichkeiten bieten, kryptografische Schlüssel ohne das gewöhnliche Problem von Synchronisationsveränderungen zwischen den Sendern und Empfängern von Information zu aktualisieren und zu verwalten.
  • Wenn Daten verschlüsselt über ein System gesendet und dann auf der anderen Seite wie in 1 entschlüsselt werden, ist dies einfach, wenn die kryptografischen Schlüssel unveränderlich sind. In einem System, das für einige Zeit betrieben werden muß, wird es jedoch ein Bestreben geben, den Schlüssel von Zeit zu Zeit zu ändern. In Systemen aus dem Stand der Technik wurde das getan, indem ein neuer Schlüssel über das System gesendet wurde, der zweite Schlüssel bei dem Ziel vorgeladen wurde und eine Art Wechselsignal gegeben wurde. Der Empfänger muß dann fähig sein, zwei Schlüssel zu speichern und zwischen diesen auf eine vorsichtig gesteuerte Art ohne Datenverlust sehr schnell zu wechseln. Das wirkliche Problem besteht in der Synchronisation des Wechsels zwischen den zwei Enden.
  • Das Dokument "Proceedings of the Symposium of Network and Distributed System Security, San Diego, USA, Feb. 1995, Seiten 17–30" beschreibt ein bewegliches experimentelles kryptografisches Schlüsselsystem im Entwurf bei MCNC. Das System ist mit lokalen und überregionalen ATM-Netzen kompatibel. Das System stellt sichere Verbindungen zwischen Rechnern auf eine Weise her, die für die Endbenutzer nach vollziehbar ist und mit vorhandenen öffentlichen Netzstandards kompatibel ist, und verwaltet diese.
  • Eine kryptografische Einheit unterstützt die Hardwareverschlüsselung und -entschlüsselung bei der ATM-Protokollschicht. Das System ist SONET-kompatibel und arbeitet vollkommen im Duplex-Betrieb bei Geschwindigkeiten von 0C–12c (622 Mbps). Getrennte kryptografische Schlüssel werden für jede sichere Verbindung ausgehandelt. Jede kryptografische Einheit kann mehr als 65.000 aktive sichere Verbindungen verwalten. Die kryptografische Einheit kann entweder in einem Modus für Sicherheits-Gateways der als "Delle-in-der-Faser" bezeichnet wird, oder als eine direkte ATM-Rechner-Schnittstelle verbunden sein. Die Authentifizierung und Zugangs-Steuerung sind durch ein auf Zertifikate basierendes System implementiert.
  • Erfindungsgemäß wird ein Verfahren zur Aktualisierung eines kryptografischen Schlüssels geschaffen, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, welches mehrere virtuelle Pfade aufweist, wobei die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen ersten von mehreren virtuellen Pfaden übertragen werden, und wobei eine Verbindung durch einen zweiten von mehreren virtuellen Pfaden hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über den zweiten von mehreren virtuellen Pfaden übertragen werden.
  • Erfindungsgemäß wird außerdem ein Verfahren zur Aktualisierung eines kryptografischen Schlüssels geschaffen, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, das mehrere virtuelle Schaltungen aufweist, wobei die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen erste von mehreren virtuellen Schaltungen übertragen werden, und wobei eine Verbindung durch eine zweite von mehreren virtuellen Schaltungen hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über die zweite von mehreren virtuellen Schaltungen übertragen werden.
  • In einem ATM-Netz ist es möglich, mehrere virtuelle Pfade (VPs) oder virtuelle Schaltungen (VCs) herzustellen, die, außer wenn sie tatsächlich verwendet werden, keine Netzresourcen benötigen. Eher als die Komplexität von zwei Schlüsseln und einen vorsichtig gesteuerten Wechsel zu haben, ist es die grundlegende Idee, einen zweiten VP/VC mit dem neuen Schlüssel zu erzeugen und auf Wahl des Senders das Senden der Daten auf dem neuen VP/VC zu starten, wenn er bereit ist. Kein komplexer Wechselmechanismus ist erforderlich, wenn der neue VP/VC verwendet wird, kann der alte einfach entfernt werden.
  • Die Betriebssequenz ist in 2 gezeigt.
  • In diesem Beispiel wird ein VP zu einem Kunden (Vpy) verschlüsselt, der ursprünglich bei Vpx1 entlang der ATM-Übertragung hergestellt ist und mit dem Schlüssel k1 verschlüsselt ist. Später, wenn der Schlüssel aktualisiert werden muß, wird eine zweite Verbindung unter Verwendung von Vpx2 und dem Schlüssel k2 hergestellt. Wenn diese hergestellt wurde, kann der Sender, wenn er dies wählt, einfach beginnen, die Daten über den neuen VP zu senden, später kann der alte VP unterbrochen werden. In diesem Bei spiel werden VPs verschlüsselt, die Architektur für eine virtuelle Schaltung wäre die gleiche.
  • Dieses Verfahren kann auf einen Fall mit zwei Richtungen wie folgt erweitert werden, wenn die Quelle den verwendeten Schlüssel ändern will, baut sie ihre Datenverarbeitungseinrichtung zum Verarbeiten des neuen Schlüssels auf dem neuen VP auf und sagt es dann dem Empfänger, wenn dieser die Wechselnachricht erhält, startet er den neuen VP, wenn er bereit ist, das Kopfende beginnt einfach die Daten auf dem neuen VP mit dem neuen Schlüssel zu empfangen, wenn sie ankommen.
  • Wenn die ATM-Übertragung in einem geschlossenen System stattfindet wie einem Zugangsnetzwerk, ist das obige Verfahren angemessen. In einem offenen Netz gibt es zwei andere Angelegenheiten, die betrachtet werden müssen:
    Das Netz müßte entweder beide Schaltungen mit ihren vollen Erfordernissen an die Bandbreite einrichten (und überwachen) und daher das Netzwerk überversorgen oder die Summe des Verkehrs von beiden Schaltungen zusammen überwachen. Keine Option ist besonders kompliziert.
  • Der grundlegende Mechanismus geht in Ordnung, solange die Integrität der Zellfolge zwischen den zwei Schaltungen gewährleistet ist. Wenn die Integrität der Zellfolge nicht möglich ist, können andere Verfahren anwendbar sein wie zum Beispiel eines, bei dem der Verkehr von der Verschlüsselungseinrichtung für eine Wechselzeit gehalten wird, die ausreicht, den schlimmsten Fall der Variation zu erlauben.
  • Dieses Verfahren der Schlüsselsteuerung ist tatsächlich in jedem Paketnetz anwendbar. Insbesondere ist dies eine sehr realistische Art für häufige Aktualisierungen von Schlüsseln ohne ein komplexes Wechselprotokoll oder andere Kom plexität zu sorgen. Dies ist für ein Zugangssystem geeignet, das sichere Programme zu einer ausgewählten Anzahl von Nutzern liefern soll, wobei diese Nutzer, die das Programm abonniert haben, die Schlüssel haben, um es zu entziffern. In solch einer Umgebung kann es nun wünschenswert sein, den Schlüssel häufig zu wechseln. Dieser Mechanismus erlaubt es, den Schlüssel einfach zu wechseln.

Claims (2)

  1. Verfahren zur Aktualisierung eines kryptografischen Schlüssels, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, welches mehrere virtuelle Pfade aufweist, dadurch gekennzeichnet, daß die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen ersten von mehreren virtuellen Pfaden übertragen werden, und daß eine Verbindung durch einen zweiten von mehreren virtuellen Pfaden hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über den zweiten von mehreren virtuellen Pfaden übertragen werden.
  2. Verfahren zur Aktualisierung eines kryptografischen Schlüssels, der auf Daten angewandt wird, die zwischen einer Quelle und einem Empfänger in einem Telekommunikationsnetz mit asynchroner Übermittlung (ATM) übertragen werden, das mehrere virtuelle Schaltungen aufweist, dadurch gekennzeichnet, daß die Daten zuerst unter Verwendung eines ersten kryptografischen Schlüssels über einen erste von mehreren virtuellen Schaltungen übertragen werden, und daß eine Verbindung durch eine zweite von mehreren virtuellen Schaltungen hergestellt wird, wobei über die Verbindung ein zweiter kryptografischer Schlüssel von der Quelle zu dem Empfänger geschickt wird, und daraufhin die Daten unter Verwendung des zweiten kryptografischen Schlüssels über die zweite von mehreren virtuellen Schaltungen übertragen werden.
DE69631339T 1995-11-04 1996-10-24 Verwaltung kryptographischer schlüssel Expired - Lifetime DE69631339T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GBGB9522639.5A GB9522639D0 (en) 1995-11-04 1995-11-04 Encryption key management
GB9522639 1995-11-04
PCT/GB1996/002597 WO1997017781A1 (en) 1995-11-04 1996-10-24 Encryption key management

Publications (2)

Publication Number Publication Date
DE69631339D1 DE69631339D1 (de) 2004-02-19
DE69631339T2 true DE69631339T2 (de) 2004-06-24

Family

ID=10783402

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69631339T Expired - Lifetime DE69631339T2 (de) 1995-11-04 1996-10-24 Verwaltung kryptographischer schlüssel

Country Status (9)

Country Link
US (1) US6480608B2 (de)
EP (1) EP0862823B1 (de)
JP (1) JP4094058B2 (de)
CN (1) CN1097904C (de)
AU (1) AU719416B2 (de)
DE (1) DE69631339T2 (de)
GB (2) GB9522639D0 (de)
NO (1) NO982018D0 (de)
WO (1) WO1997017781A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19726003A1 (de) * 1997-06-19 1998-12-24 Alsthom Cge Alcatel Verfahren zum Übermitteln verschlüsselter Signale, sowie Sendeeinrichtung und Empfangseinrichtung dafür
US20040148356A1 (en) * 2002-11-04 2004-07-29 Bishop James William System and method for private messaging
BRPI0412722B1 (pt) * 2003-07-29 2017-10-24 Thomson Licensing Key synchronization for wireless lan (wlan)
US8050410B2 (en) * 2006-12-08 2011-11-01 Uti Limited Partnership Distributed encryption methods and systems
US20080144836A1 (en) * 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
DE102007033667A1 (de) * 2007-07-17 2009-01-22 GSMK Gesellschaft für sichere mobile Kommunikation mbH Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5016243A (en) * 1989-11-06 1991-05-14 At&T Bell Laboratories Automatic fault recovery in a packet network
NZ237080A (en) * 1990-03-07 1993-05-26 Ericsson Telefon Ab L M Continuous synchronisation for duplex encrypted digital cellular telephony
JPH04154242A (ja) * 1990-10-17 1992-05-27 Nec Corp ネットワーク障害回復方式
US5412376A (en) * 1990-11-09 1995-05-02 Fujitsu Limited Method for structuring communications network based on asynchronous transfer mode
US5442702A (en) * 1993-11-30 1995-08-15 At&T Corp. Method and apparatus for privacy of traffic behavior on a shared medium network
US5455826A (en) * 1994-06-28 1995-10-03 Oezveren; Cueneyt M. Method and apparatus for rate based flow control
JPH08195745A (ja) * 1995-01-13 1996-07-30 Fujitsu Ltd パス切替装置およびパス切替方法
FR2742616B1 (fr) * 1995-12-18 1998-01-09 Cit Alcatel Dispositif de chiffrement et dispositif de dechiffrement d'informations transportees par des cellules a mode de transfert asynchrone
US5805705A (en) * 1996-01-29 1998-09-08 International Business Machines Corporation Synchronization of encryption/decryption keys in a data communication network
DE19726003A1 (de) * 1997-06-19 1998-12-24 Alsthom Cge Alcatel Verfahren zum Übermitteln verschlüsselter Signale, sowie Sendeeinrichtung und Empfangseinrichtung dafür

Also Published As

Publication number Publication date
JP4094058B2 (ja) 2008-06-04
CN1201570A (zh) 1998-12-09
NO982018L (no) 1998-05-04
NO982018D0 (no) 1998-05-04
US6480608B2 (en) 2002-11-12
DE69631339D1 (de) 2004-02-19
AU719416B2 (en) 2000-05-11
CN1097904C (zh) 2003-01-01
EP0862823A1 (de) 1998-09-09
WO1997017781A1 (en) 1997-05-15
AU2468697A (en) 1997-05-29
US20010040967A1 (en) 2001-11-15
JP2000500301A (ja) 2000-01-11
EP0862823B1 (de) 2004-01-14
GB9522639D0 (en) 1996-01-03
GB2307153A (en) 1997-05-14
GB2307153B (en) 1999-10-06
GB9619904D0 (en) 1996-11-06

Similar Documents

Publication Publication Date Title
DE60116501T2 (de) Mehrfach-dienst-benutzung der netzverbindungsfähigkeit unter benutzer-zu-netzwerk-schnittstellenzeichengabe
DE69231285T2 (de) System zum Zuführen verschiedener ATM-Zellen
DE69126801T2 (de) Multimedianetzwerksystem
DE69128981T2 (de) Geheimübertragungsverfahren und Geheimübertragungseinrichtung
DE69533533T2 (de) Kommunikationssystem, Server und Verfahren zur Adressenverwaltung
DE69835102T2 (de) Verfahren und vorrichtung zur gesicherten übertragung eines datensatzes
DE69010011T2 (de) Kommunikationssystem.
DE69227487T2 (de) Verfahren zum Senden und Empfangen von personalisierten Programmen
DE69334078T2 (de) Signalisierungsverfahren und -system für Paketnetz
DE69333188T2 (de) Identifikation von datenpaketen
EP0744867B1 (de) Verfahren zur Verbindungssteuerung für interaktive Dienste
DE69631339T2 (de) Verwaltung kryptographischer schlüssel
DE60108905T2 (de) Anti-kloning-verfahren
DE19531611C1 (de) Verfahren und Anordnung zum Anpassen der Übertragungsbitrate einer nach dem asynchronen Transfermodus arbeitenden Datenmultiplexeinrichtung
EP0784891A1 (de) Verfahren zur datensicherung in einem bidirektional betreibbaren teilnehmeranschlussnetz
EP0632616B1 (de) Verfahren zur Datensicherung in einem B-ISDN Telekommunikationssystem
EP0740439B1 (de) Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen
DE3041566C2 (de) Verfahren und Schaltungsanordnung zum Übertragen von Datensignalen zwischen Datenvermittlungseinrichtungen einer Datenvermittlungsanlage
EP0639931A2 (de) Verfahren zum Austausch von Informationen zwischen ISDN-Endeinrichtungen
AT390857B (de) Schaltungsanordnung zum vermitteln von datensignalen unterschiedlicher datensignalraten in einer datenvermittlungsanlage
EP0751647B1 (de) Verfahren zum Verschlüsseln von Informationen in ATM-Systemen
DE3816747A1 (de) Leistungsvermittelnde paket-vermittlungseinrichtung
DE2828602B1 (de) Verfahren zum UEbertragen von Daten in einem synchronen Datennetz
WO1998002991A1 (de) Verfahren zur schlüsselverteilung zwischen zwei einheiten in einer isdn/internet verbindung
DE4405460C1 (de) Anschlußleitungsnetz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: ERICSSON AB, STOCKHOLM, SE

8328 Change in the person/name/address of the agent

Representative=s name: 2K PATENTANWAELTE BLASBERG KEWITZ & REICHEL, PARTN