ES2247582T3 - Metodo, aparato y dispositivo de encriptacion de mensajes transmitidos entre redes interconectadas. - Google Patents
Metodo, aparato y dispositivo de encriptacion de mensajes transmitidos entre redes interconectadas.Info
- Publication number
- ES2247582T3 ES2247582T3 ES93400220T ES93400220T ES2247582T3 ES 2247582 T3 ES2247582 T3 ES 2247582T3 ES 93400220 T ES93400220 T ES 93400220T ES 93400220 T ES93400220 T ES 93400220T ES 2247582 T3 ES2247582 T3 ES 2247582T3
- Authority
- ES
- Spain
- Prior art keywords
- messages
- protocol
- encrypted
- accordance
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Reduction Or Emphasis Of Bandwidth Of Signals (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Telephone Function (AREA)
Abstract
SE TRATA DE UN PROCESO DE CIFRADO DE MENSAJES TRANSMITIDOS ENTRE REDES INTERCONECTADAS (2,8) A TRAVES DE PASARELAS (6) QUE UTILIZAN UN PROTOCOLO DE RED DETERMINADO, PARTICULARMENTE Y POR EJEMPLO EL PROTOCOLO INTERNET (IP), DE UN DISPOSITIVO DE COMUNICACION DE DATOS CIFRADOS ENTRE AL MENOS DOS EQUIPOS (3,9) QUE PERTENECEN A DOS REDES DIFERENTES INTERCONECTADAS A TRAVES DE LAS PASARELAS QUE UTILIZAN EL PROTOCOLO DE RED DETERMINADO, Y DE UN APARATO DE CIFRADO QUE APLICA DICHO PROCESO. EL PROCESO SE CARACTERIZA EN QUE SE CIFRAN LOS MENSAJES CONSERVANDO SIN CIFRAR LA PARTE DE ENCABEZAMIENTO DEL MENSAJE QUE PERMITE SU ENCAMINAMIENTO A TRAVES DE LAS PASARELAS.
Description
Método, aparato y dispositivo de encriptación de
mensajes transmitidos entre redes interconectadas.
La presente invención hace referencia a un
procedimiento de encriptación de mensajes transmitidos entre redes
interconectadas a través de plataformas que utilizan un protocolo de
red determinado, de forma específica y por ejemplo el protocolo
Internet (IP), a un dispositivo de comunicación de datos cifrados
entre al menos dos equipos que pertenecen a dos redes diferentes
interconectadas a través de plataformas que utilizan el protocolo de
red determinado, y a un aparato de encriptación que aplica el
citado procedimiento.
Por plataforma se entiende una red o un soporte
intermedio que permite transmitir los mensajes. El documento
WO-A-89/10666 describe un
dispositivo de comunicación de datos por medio de plataformas.
Se debe recordar asimismo que un protocolo es un
conjunto de convenciones o de reglas que definen de forma específica
el formato, las secuencias, el algoritmo de detección de los errores
de transmisión de los datos transferidos, etc.
El protocolo de red se corresponde por su parte
con la capa de red de nivel 3 de la arquitectura de capas OSI
(Norma X200) propuesta por la ISO (iniciales anglosajonas de la
International Standardisation Organisation). Recordemos asimismo que
la capa de red tiene la función de proporcionar los procedimientos y
los medios funcionales necesarios para el intercambio de las
informaciones suministradas por la capa de transporte OSI.
Los paquetes de datos son transmitidos en forma
de mensajes que incluyen unos "encabezamientos" adjuntados a
los datos y que están constituidos por varios segmentos que indican
de forma específica la dirección del emisor y del receptor.
La presente invención encuentra una aplicación
especialmente importante aunque no exclusiva dentro del ámbito de la
protección de los accesos a los servidores de las redes
telemáticas.
Ya se conocen dispositivos que permiten encriptar
los datos transferidos en serie sobre una línea de baja velocidad,
por ejemplo, de acuerdo con la recomendación CCITT V24 (enlace de
serie RS 232 con dos hilos). Este tipo de dispositivos lleva a cabo
una encriptación integral de los mensajes de datos transmitidos y de
sus encabezamientos, sin necesidad de protocolo. Este tipo de
dispositivo, desarrollado de forma específica en el ámbito bancario,
funciona asimismo con tarjetas con microprocesadores.
Dicho dispositivo presenta desventajas. En
efecto, su alcance es limitado y no permite, particularmente, la
interconexión y la comunicación de datos entre dos redes con total
seguridad, a través de plataformas no vigiladas.
La presente invención tiene el objetivo de
proporcionar un procedimiento de encriptación de los mensajes
transmitidos entre redes interconectadas, y un aparato y un
dispositivo que aplican dicho procedimiento y que responden mejor
que la tecnología anterior a las exigencias de la práctica, sobre
todo porque permite una transferencia de datos entre equipos
conectados a dichas redes, de forma cifrada, con total seguridad, al
tiempo que aplica un procedimiento sencillo y fácilmente adaptable
a los protocolos y a los equipos existentes.
Con este fin, la presente invención propone de
forma específica un procedimiento de encriptación de los mensajes
transmitidos entre redes interconectadas a través de plataformas que
utilizan un protocolo de red determinado, caracterizado porque se
encriptan los mensajes al tiempo que se conserva de manera clara la
parte de "encabezamiento" del mensaje, lo que permite su
transmisión a través de dichas plataformas.
Este tipo de encriptación permite garantizar la
transferencia de datos al tiempo que se protege su confidencialidad,
en las partes de la red o en las plataformas consideradas como no
seguras y situadas entre las redes relevantes.
De forma ventajosa, el protocolo de red utilizado
es el protocolo Internet (IP), y el procedimiento de encriptación se
caracteriza porque se encriptan los mensajes conservando de manera
clara los encabezamientos IP y porque al mismo tiempo que se
encriptan los mensajes también se encripta al menos una parte de los
encabezamientos correspondientes a los protocolos de transporte TCP
o UDP que se hayan utilizado.
Con fines descriptivos, el protocolo IP es una
subcapa de la capa de red (capa 3) de la arquitectura de capas OSI.
La capa Internet convierte cualquier servicio de red en un servicio
"datagrama" y uniformiza de este modo las redes para la capa de
transporte (capa 4 de la arquitectura ISO).
Los protocolos TCP y UDP son protocolos de la
capa de transporte: el TCP (iniciales anglosajonas de Transmission
Control Protocol) proporciona un servicio denominado de circuito
virtual y utiliza un sistema de validación para el control de
errores; el UDP (iniciales anglosajonas de User Datagram Protocol)
proporciona por su parte un soporte para protocolos transaccionales
que no requieren los mismos controles que el TCP.
En una materialización preferente, el
criptosistema utilizado para la encriptación de los mensajes es el
sistema DES (iniciales anglosajonas de Data Encryption Standard). Se
trata de un criptosistema que se corresponde con una norma americana
y que utiliza una clave de 56 bits.
De forma ventajosa, el sistema DES se utiliza en
modo CBC.
El DES (Data Encryption Standard) y su modo de
funcionamiento CBC (Cipher Block Chaining) se describen en la
siguientes normativas:
- "Data Encryption Standard", Federal
Information Processing Standards Publication 46, National Bureau of
Standards, U. S. Department of Commerce, Enero de 1977;
- "DES Modes of Operation", Federal
Information Processing Standards Publication 81, National Bureau of
Standards, U. S. Department of Commerce, Diciembre de 1980.
El interés del modo CBC reside esencialmente en
el hecho de que, si se encripta una secuencia de valores idénticos,
los resultados encriptados para cada valor idéntico no serán los
mismos.
De forma igualmente ventajosa, se encripta la
integridad del mensaje de datos, al igual que la parte, total o
parcial, del encabezamiento TCP o UDP correspondiente, con el fin de
obtener una cadena de bits con una longitud divisible por 64.
En otra materialización específica, el
procedimiento se caracteriza porque la parte del encabezamiento TCP
o UDP encriptada incluye la parte denominada "checksum".
La "checksum" TCP/UDP es una suma de control
calculada por el emisor del mensaje de acuerdo con el algoritmo
descrito en la norma RFC793 en función de los datos a transmitir y
que es insertada en el mensaje. Los RFC (iniciales anglosajonas de
Request for Comments) son documentos editados por el Internet
Activities Board que implican de forma general una función de
normativa y que se pueden obtener en Government Systems, Inc.;
Network Information Center, 14200 Park Meadow Drive, Suite 200,
Chantilly, VA 22021, Estados Unidos.
El receptor vuelve a calcular dicha suma de
control en función de los datos recibidos. Si el valor obtenido es
diferente del transmitido en el mensaje, el receptor concluye que el
mensaje recibido no es válido. Por lo tanto, se trata de un control
de la integridad. El aparato encriptador cifra y descifra de forma
ventajosa esta suma de control con el fin de imposibilitar la
alteración malintencionada del mensaje gracias al nuevo cálculo de
una suma de control correcta en relación con el mensaje modificado
fraudulentamente de este modo. En dicho caso, el desciframiento
(inevitable) de la suma de control hace que el valor de ésta sea
incorrecto y provoca el rechazo del mensaje por parte del
receptor.
Por lo tanto, dicho procedimiento garantiza la
integridad de los mensajes frente a los riesgos de actuaciones
malintencionadas.
La presente invención proporciona asimismo un
procedimiento de tratamiento de los mensajes transmitidos entre
equipos que pertenecen al menos a dos redes interconectadas que
incluyen cada una de ellas al menos un equipo autorizado para emitir
y recibir mensajes encriptados mediante el procedimiento de
encriptación citado con anterioridad, caracterizado porque el
tratamiento de un mensaje engloba las siguientes etapas:
- Verificación de la presencia de una tarjeta de
memoria de autenticación del operador del primer equipo.
- Verificación del protocolo utilizado entre los
dos equipos, y si el protocolo es el protocolo de red determinado
(por ejemplo, el protocolo TCP/IP o UDP/IP), búsqueda de una clave
asociada al equipo emisor y de una clave asociada al equipo
receptor.
- Si las claves existen, encriptación del mensaje
a enviar, y transmisión del mensaje; en caso contrario, rechazo del
mensaje.
- Verificación de la presencia de una tarjeta de
memoria de autenticación del operador del segundo equipo.
- Verificación del protocolo utilizado entre los
dos equipos, y si el protocolo es el protocolo de red determinado
(por ejemplo, el protocolo TCP/IP o UDP/IP), búsqueda de una clave
asociada al equipo emisor y de una clave asociada al equipo
receptor.
- Si las dos claves existen, desciframiento del
mensaje recibido; en caso contrario, rechazo del mensaje.
Por clave se entiende un grupo de datos
específicos predeterminados o calculables mediante un algoritmo
predeterminado, establecido para los únicos usuarios
autorizados.
Las etapas de encriptación y de desciframiento
utilizan cada una de ellas una clave. Para que el desciframiento se
lleve a cabo con éxito, se debe utilizar una clave de
desciframiento asociada a la clave de encriptación que se ha
utilizado.
En caso de que exista un algoritmo de
encriptación denominado simétrico, como el DES, las claves de
encriptación y de desciframiento deben ser idénticas. Se utiliza una
convención que permite deducir esta clave del par de claves (la
clave asociada al equipo emisor y la clave asociada al equipo
receptor); dicha convención puede consistir, por ejemplo, en la
elección de la clave asociada al equipo emisor, o incluso en la
utilización del resultado de una función matemática del par de
claves.
En caso de que exista un algoritmo de
encriptación denominado asimétrico, las claves de encriptación y de
desciframiento son diferentes, aunque dependen una de otra. La
convención permite deducir la clave de encriptación del par de
claves (la clave asociada al equipo emisor y la clave asociada al
equipo receptor), que es diferente del primero, de acuerdo con la
misma convención.
La presente invención proporciona asimismo un
dispositivo de comunicación de mensajes de datos entre al menos dos
equipos asociados a dos redes diferentes interconectadas a través de
al menos una plataforma que utiliza un protocolo de red determinado
(por ejemplo, el protocolo Internet (IP), caracterizado porque el
dispositivo incluye, para cada red o su equipo asociado, unos medios
de lectura de una tarjeta de memoria y un aparato interfaz que
cuenta con:
- Unos medios de encriptación de los mensajes a
transmitir con el fin de encriptar los datos y al menos parcialmente
los encabezamientos correspondientes al protocolo de transporte (por
ejemplo, TCP o UDP) de dichos mensajes, y unos medios de
transferencia de dichos mensajes encriptados, conservando de manera
clara los encabezamientos de dichos mensajes encriptados, lo que
permite su transmisión a través de la citada plataforma.
- Unos medios de identificación de las redes o de
los equipos autorizados asociados a dichos aparatos de interfaz.
- Y unos medios para descifrar los mensajes
encriptados, en respuesta a las señales generadas por los medios de
lectura de la tarjeta de memoria y por los medios de identificación
de dichas redes o equipos.
El aparato interfaz se puede asociar de forma
directa o a través de una red protegida bien a un equipo tipo
puesto de trabajo o bien a un equipo tipo servidor.
Un equipo tipo puesto de trabajo es por ejemplo
un microordenador PC equipado con una tarjeta ETHERNET o una
estación de trabajo UNIX. En este caso, el dispositivo sólo autoriza
la comunicación en modo encriptado de dicho puesto de trabajo con el
servidor o servidores o con los puestos de trabajo autorizados cuyas
referencias han sido introducidas en el aparato interfaz.
Por el contrario, un aparato interfaz asociado a
un equipo tipo servidor permite a dicho servidor comunicarse en modo
encriptado con los puestos de trabajo u otros servidores registrados
en dicho aparato interfaz, y en modo no encriptado por ejemplo con
cualquier otro equipo.
En una materialización específica, esta última
posibilidad se puede inhibir mediante una configuración específica
del dispositivo.
La presente invención proporciona asimismo un
aparato interfaz para un dispositivo de comunicación de mensajes de
datos del tipo descrito con anterioridad que incluye:
- Unos medios de encriptación de los mensajes a
transmitir con el fin de encriptar los datos y al menos parcialmente
los encabezamientos correspondientes al protocolo de transporte (por
ejemplo, TCP o UDP) de dichos mensajes.
- Unos medios de transferencia de dichos mensajes
encriptados, conservando de manera clara los encabezamientos (por
ejemplo, IP) de dichos mensajes encriptados, lo que permite su
transmisión a través de la citada plataforma.
- Unos medios de identificación de las redes o de
los equipos autorizados asociados a dichos aparatos de interfaz.
- Y unos medios para descifrar los mensajes
encriptados, en respuesta a las señales generadas por los medios de
lectura de la tarjeta de memoria y por los medios de identificación
de dichas redes o equipos.
De forma ventajosa, el aparato se encuentra
especialmente adaptado para ser asociado a un equipo tipo
servidor.
La presente invención se comprenderá mejor a
partir de la descripción que aparece a continuación de las
materializaciones específicas que se reseñan a título de ejemplo no
restrictivo.
La descripción hace referencia a las Figuras
adjuntas, en las que:
La Figura 1 ilustra un dispositivo de
comunicación entre equipos que pertenecen a diversas redes
diferentes, que están interconectadas a través de plataformas que
utilizan el protocolo Internet, de acuerdo con una materialización
de la invención.
La Figura 2 representa un gráfico de bloques de
un aparato interfaz realizado de conformidad con la materialización
de la presente invención que se describe de forma más detallada en
este documento.
La Figura 3 ilustra a título complementario un
puesto de trabajo que permite la programación de tarjetas de memoria
que se pueden utilizar con la presente invención.
Las Figuras 4 y 5 ilustran el principio conocido
utilizado en el criptosistema DES y aplicado en el procedimiento de
la presente invención que se describe de forma más detallada en este
documento.
Las Figuras 6, 7, 8, 9, 10 y 11 representan la
constitución de una trama Ethernet IP/TCP o IP/UDP (Figura 6), del
encabezamiento Ethernet (Figura 7), del encabezamiento ISO (Figura
8), del encabezamiento IP (Figura 9), del encabezamiento TCP (Figura
10), y del encabezamiento UDP (Figura 11).
En la Figura 1 se ha representado un dispositivo
(1) de comunicación, realizado de acuerdo con una materialización
específica de la presente invención, entre equipos pertenecientes a
diversas redes.
Una primera red (2) calificada como red segura
incluye, por ejemplo, un primer servidor protegido (3), un segundo
servidor protegido (4), y un puesto de trabajo denominado puesto de
trabajo preferente (5).
Existe un primer aparato interfaz (6) conectado a
la red (2) por medio de un enlace Ethernet (7). Su función consiste
en filtrar los mensajes destinados a los servidores protegidos (3 y
4) que llegan desde la red no segura (8), y autorizar el acceso a
dichos servidores protegidos a los puestos de trabajo preferentes (9
y 10).
El aparato (6) está conectado con una red no
segura (8) también por medio de un enlace Ethernet (11), por
ejemplo, a través de un router (12), o mediante cualquier otro
equipo que disponga de un interfaz Ethernet del tipo DTE (de acuerdo
con el sentido de la norma ISO 8802.3).
El sistema de conexión presenta una estructura de
puente, y se proporciona un adaptador MAU/MAU (que no se ilustra)
junto con el aparato interfaz (6), el cual se coloca, por lo tanto,
de acuerdo con una configuración de corte en el cable de descenso
Ethernet.
El adaptador MAU (iniciales anglosajonas de
Medium Access Unit) es conocido por sí mismo y lleva a cabo de forma
específica las funciones de codificación y descodificación de los
datos, y de sincronización y de reconocimiento de las tramas.
La red no segura (8) incluye por ejemplo un
servidor no protegido (13) y un puesto de trabajo no preferente
(14). Dicha red está conectada a través de unos routers (15 y 16) a
dos redes (17 y 18).
La primera red (17) está protegida. Dicha red
está equipada con un segundo aparato interfaz (19) conectado a la
red (17) mediante enlace Ethernet de forma similar a la mencionada
con anterioridad. La red (17) incluye de forma específica el puesto
de trabajo preferente (9). En este caso, por lo tanto, el aparato
(19) se encuentra asociado a toda una red (la red (17)) que puede
ser preferente.
La red (18) está conectada con la red (8) por
medio del router (16) a través del enlace Ethernet (21), tal y como
se ha descrito.
Dicha red incluye el puesto de trabajo (10)
conectado mediante un interfaz con el resto de la red (18) a través
de un aparato interfaz (22). Por lo tanto, en este caso únicamente
el puesto de trabajo (10) es preferente.
Por otra parte se proporcionan unas tarjetas de
memoria (23, 24, 25) con el fin de validar los aparatos interfaz (6,
9 y 22).
Se realizan asimismo las siguientes observaciones
en relación con la Figura 1:
- El puesto de trabajo (5) puede acceder a los
servidores protegidos (3 y 4) puesto que no los separa ningún
aparato interfaz. Por el contrario, dicho puesto no puede acceder al
servidor (13) (si éste se encuentra activo).
- El aparato interfaz (6) otorga seguridad al
acceso a los dos servidores protegidos (3 y 4) en relación con los
puestos de trabajo (14, 9 y 10).
- El aparato interfaz (19) (respectivamente (22))
permite al puesto de trabajo (9) (respectivamente (10)) el acceso a
los servidores (3 y/o 4) si éste conoce la clave de los servidores
(3 y/o 4).
Ahora vamos a describir un aparato interfaz
realizado de conformidad con la materialización de la invención que
se describe con mayor detalle en este documento.
Como ya se ha visto, los aparatos interfaz son,
por lo tanto, en este caso, equipos añadidos a la red para conferir
seguridad a uno o a varios servidores.
Cada aparato interfaz incluye un lector de
tarjeta con microprocesador, un interfaz operador compuesto por un
teclado de dieciséis teclas y una pantalla, y dos interfaces
Ethernet del tipo DTE (de acuerdo con el sentido de la norma ISO
8802.3). Una caja de adaptación MAU/MAU permite colocar el aparato
interfaz de acuerdo con una configuración de corte en el cable de
descenso (cable azul Ethernet).
En la materialización de la presente invención
que se describe con mayor detalle, el papel del aparato interfaz es
garantizar la integridad y la confidencialidad de las comunicaciones
que utilizan los protocolos DoD IP/TCP y IP/UDP descritos en las
normativas RFC 791, RFC 768, RFC 1122, RFC 1166, RFC 1042 (RFC son
las iniciales anglosajonas de Request for Comments), si y sólo si se
ha ejecutado correctamente un procedimiento de habilitación
utilizando una tarjeta con microprocesador, y si la tarjeta se
encuentra en el lector del aparato interfaz. Una tabla interna del
aparato interfaz, protegida, incluye las claves DES asociadas a las
direcciones IP de los emisores.
El principio de tratamiento de las tramas en el
aparato interfaz, cuando el procedimiento de habilitación es
correcto, se describe a continuación:
- Cuando se recibe un datagrama IP que transporta
un protocolo TCP o UDP (normalmente de forma clara) en el interfaz
(30) (Ver Figura 1), y si se encuentran las claves asociadas a las
direcciones IP del emisor y del receptor, una parte de los datos de
usuario de este datagrama es encriptada con un algoritmo DES
utilizando una clave asociada a la dirección IP del emisor. A
continuación se emite el datagrama en el interfaz (31).
- Cuando se recibe un datagrama IP que transporta
un protocolo TCP o UDP (normalmente encriptado) en el interfaz (31),
y si se encuentran las claves asociadas a las direcciones IP del
emisor y del receptor, una parte de los datos de usuario de este
datagrama es descifrada con un algoritmo DES utilizando una clave
asociada a la dirección IP del emisor (la misma clave que sirvió
para la encripción). A continuación se emite el datagrama en el
interfaz (30).
- Los datagramas IP/TCP o IP/UDP recibidos en uno
u otro de los interfaces (30 o 31) que tengan una dirección IP de
emisor o una dirección IP de receptor en relación con las cuales no
se pueda encontrar ninguna clave, son rechazados o retransmitidos en
función de un parámetro de configuración "X".
- Los otros datagramas (no IP/TCP ni IP/UDP)
recibidos en uno u otro de los interfaces (30 o 31) son
retransmitidos en el otro interfaz sin tratamiento.
En caso de no ejecutarse correctamente el
procedimiento de habilitación o si no existe ninguna tarjeta
presente en el lector, un parámetro de configuración "Y"
decide:
- La retransmisión sin tratamiento de todas las
tramas recibidas de un interfaz al otro (modo denominado puesto de
trabajo).
- El rechazo de todas las tramas IP/TCP y IP/UDP
recibidas (modo denominado servidor). Las otras tramas se
retransmiten sin tratamiento.
Por lo tanto, el aparato interfaz debe:
- Garantizar las funciones de seguridad.
- Conectarse mediante interfaz con el
entorno.
- Ser inicializado con motivo de la
instalación.
- Garantizar la modificación de determinados
datos (administración).
La Figura 2 representa un diagrama de bloques del
aparato interfaz (6, 19 o 22) que se describe aquí con mayor
detalle, de manera no restrictiva.
Dicho aparato incluye una caja (32), por ejemplo
metálica, dos interfaces Ethernet (33 y 34) de tipo DTE, con dos
conectores de quince puntas hembra (35 y 36) (con las referencias 30
y 31 en la Figura 1), una alimentación de 220 V 50 Hz (con la
referencia 37 en la Figura 2), con interruptor y fusible (que no se
ilustran), un teclado de dieciséis teclas (38), una pantalla de dos
líneas de veinte caracteres (39), un conector (40) de tarjeta con
microprocesador, un cable de conexión a la red (que no se ilustra),
un cable de quince hilos de conexión Ethernet de conformidad con la
norma ISO 8802.3 (que no se ilustra) y uno o varios procesadores o
coprocesadores con su memoria y los periféricos asociados (con las
referencias 41 a 52 en la Figura 2).
La tarjeta con microprocesador es, por ejemplo,
la tarjeta fabricada por la empresa francesa BULL con la referencia
de catálogo BULL CAM CP8 masque 4.
Igualmente y a título de ejemplo, el aparato
interfaz incluye un microprocesador (41) del tipo INTEL 80960CA
utilizado para gestionar los dos interfaces Ethernet (33 y 34) y un
microprocesador (42) del tipo INTEL 80C186 empleado para gestionar
los interfaces usuarios (43 y 44).
Se proporcionan dos coprocesadores DES (45 y 46)
del tipo CRYPTECH CRY12C102P, fabricado por la empresa belga
CRYPTECH, 510 - 512 Chaussée de Louvain, Boîte 18, B - 1930
ZAVENTEM, BÉLGICA, con el fin de encriptar y descifrar los mensajes.
Cada uno de los coprocesadores está directamente conectado con el
bus del procesador 80960CA y es considerado como un periférico.
Dos coprocesadores suplementarios (que no se
ilustran) del tipo INTEL 82596CA están asociados al procesador INTEL
80960CA con el fin de gestionar los interfaces (33 y 34).
El diálogo entre un coprocesador y el procesador
80960CA se lleva a cabo por medio de una memoria compartida (47).
Por último, se proporcionan unas memorias vivas (RAM) (48, 49) y
muertas (EPROM) (50, 51), así como un módulo horario (52).
Una pila (53) y un dispositivo (54) de detección
de apertura de la caja (32) completan el aparato interfaz de
acuerdo con la materialización de la invención que se describe con
mayor detalle en este documento.
La Figura 3 muestra a título complementario un
puesto de trabajo que permite la programación de tarjetas de memoria
en una forma conocida por sí misma.
El puesto de trabajo incluye un microordenador
(60) compatible IBM PC/AT al que están conectados dos
lectores/codificadores (61 y 62) de tarjetas con microprocesador,
por ejemplo, del tipo fabricado por la empresa francesa BULL con la
referencia de catálogo TLP 224 BULL CP8, y una impresora (63).
Ahora vamos a describir el funcionamiento del
dispositivo realizado de conformidad con la invención haciendo
referencia específica a las Figuras 1 a 3 y de forma más específica
a la Figura 1 y a las comunicaciones entre la red (18) y la red
(2).
El usuario del puesto de trabajo (10) (red 18) es
identificado mediante su tarjeta con microprocesador (25). Los
parámetros verificados son los siguientes:
- La identificación del titular.
- El tipo de tarjeta.
La identificación del titular se busca, por
ejemplo, entre una lista de 100 identificadores introducida con
motivo de la instalación. Dicha lista puede ser modificada por un
operador autorizado del aparato interfaz (22).
La fecha de validez leída en la tarjeta (25) se
compara con la fecha del aparato interfaz (22). De forma ventajosa,
y con el fin de evitar la necesidad de poner en hora el aparato
cada vez que existan bajadas de tensión, el aparato interfaz cuenta
con un módulo horario (52) protegido mediante pila (53).
La fecha de validez de la tarjeta es introducida
por el lector/codificador (por ejemplo, 61) con motivo de la
creación de la tarjeta.
El usuario es entonces autenticado por medio de
su código presente en la tarjeta con microprocesador (25).
La identificación y la autenticación se realizan
localmente en el aparato interfaz (22). En caso de éxito, el aparato
interfaz se convierte en activo hasta la extracción de la tarjeta.
Si un solo parámetro no es válido, entonces el aparato interfaz
permanece inactivo.
El aparato interfaz (6) asociado a los servidores
(3 y 4) identifica a continuación el puesto de trabajo (10) gracias
a su dirección IP. En efecto, esta dirección es única.
El mismo aparato interfaz (6) autentica el puesto
de trabajo (10) descifrando el mensaje recibido.
La clave de desciframiento se encuentra en una
tabla a partir de la dirección IP del emisor (en este caso, el
puesto de trabajo (10)). Por lo tanto, el aparato interfaz (6)
asociado a los servidores (3 y 4) posee tantos casos de
desciframiento como puestos de trabajo autorizados a acceder a los
servidores asociados. Las citadas claves y las citadas direcciones
se introducen con motivo de la instalación del aparato interfaz
(6).
La clave de desciframiento se encuentra en una
tabla a partir de la dirección IP del emisor (en este caso, el
servidor (3 o 4)). Por lo tanto, el aparato interfaz (6) asociado a
los servidores (3 y 4) posee tantos casos de desciframiento como
servidores asociados a dicho aparato interfaz. Las citadas claves y
las citadas direcciones se introducen asimismo con motivo de la
instalación del aparato interfaz (6).
El algoritmo de tratamiento de las tramas
recibidas se reseña en la siguiente tabla:
Se puede proporcionar una protección de una a
tres claves en la forma conocida con el fin de evitar las búsquedas
inútiles cuando llegan consecutivamente varios datagramas con las
mismas direcciones.
La identificación y la autenticación del servidor
se llevan a cabo de manera similar a la descrita con anterioridad
en el caso de la identificación y la autenticación del puesto de
trabajo.
El aparato interfaz (22) asociado al puesto de
trabajo (10) identifica el servidor (3 o 4) gracias a su dirección
IP; dicha dirección es única.
El mismo aparato interfaz (22) autentica el
servidor descifrando el mensaje recibido.
La clave de desciframiento se encuentra en una
tabla a partir de la dirección IP del servidor emisor (3 o 4). Por
lo tanto, el aparato interfaz (22) asociado al puesto de trabajo
(10) posee tantas claves de desciframiento como servidores
protegidos a los cuales éste puede acceder (en este caso, dos). Las
citadas claves y las citadas direcciones se introducen asimismo con
motivo de la instalación del aparato interfaz (22).
El algoritmo es el mismo que el descrito con
anterioridad.
Se puede proporcionar asimismo una protección de
una a tres claves con el fin de evitar las búsquedas inútiles cuando
llegan consecutivamente varios datagramas con las mismas
direcciones.
En relación con la confidencialidad de los
mensajes, ésta queda garantizada por la encriptación en la emisión y
el desciframiento en la recepción utilizando el algoritmo DES (Data
Encryption Standard) en modo CBC.
El algoritmo DES es simétrico con claves
secretas. La clave utilizada para encriptar una trama está asociada
a la dirección IP del emisor.
Como ya se ha visto, una de las ventajas del modo
CBC reside en el hecho de que dos series idénticas consecutivas
emitidas de valores no proporcionan dos series idénticas de valores
encriptados.
Para evitar la manipulación fraudulenta
("replay" en terminología anglosajona) de un intercambio de
mensaje encriptado capturado mediante escucha pasiva, se proporciona
de forma ventajosa una cronodatación del vector inicial de
encriptación y de desciframiento, vector requerido por el modo CBC.
La cronodatación es garantizada por un dispositivo de reloj que está
presente en cada equipo.
Dicho de otro modo, el vector inicial varía en
función del tiempo.
Con fines descriptivos, el principio de
encriptación de un mensaje que utiliza el algoritmo DES se reseña a
continuación en referencia a las Figuras 4 y 5.
Sea P un mensaje claro. El emisor comienza por
transcribir el mensaje P en forma binaria, utilizando para ello
cualquier alfabeto binario. A continuación corta su mensaje en
bloques de 64 bits y efectúa la misma operación en cada bloque tal y
como ilustra la Figura 4. Cada transposición es una "mezcla"
sencilla de 64 bits.
El principio de las dieciséis iteraciones
empleado en la encriptación DES se representa en la Figura 5. Los 32
bits de derecha Di+1 se obtienen añadiendo (operación o exclusivo)
los 32 bits de izquierda Gi calculados a partir de la clave Ki y de
los 32 bits Di.
El receptor debe conocer la clave K de 56 bits y
utiliza exactamente el mismo algoritmo a partir del bloque
encriptado para descifrarlo. Él obtiene entonces el mensaje
claro.
La encriptación (desciframiento) se realiza sobre
el campo de datos así como sobre una parte del encabezamiento TCP o
UDP. Los campos del encabezamiento utilizados dependen del tamaño
del campo de datos, puesto que el algoritmo DES en modo CBC trabaja
sobre palabras de 64 bits.
Con fines descriptivos se han representado en las
Figuras 6 a 11 los elementos constitutivos de una trama
Ethernet/IP/TCP o UDP.
La Figura 6 ilustra el formato general (70) de
una trama Ethernet.
Dicha trama incluye esencialmente un preámbulo
(71), un campo SFD (iniciales anglosajonas de Start Frame Delimiter)
(72), un encabezamiento Ethernet (73), un encabezamiento ISO 8802.2
(referencia 74), un encabezamiento IP (75), un encabezamiento TCP o
UDP (76), los datos (77), y un campo FCS (iniciales anglosajonas de
Frame Check Sequence) (78).
El encabezamiento ISO (74) no está
obligatoriamente presente; en efecto, éste desaparece si el valor
del contenido del campo "tipo o longitud" del encabezamiento
Ethernet (73) es superior al valor 1518 en modo decimal.
La Figura 7 ilustra el encabezamiento Ethernet
(73) propiamente dicho y la Figura 8 ilustra el encabezamiento ISO
8802.2 (referencia 74). El encabezamiento IP (75) se representa en
la Figura 9. Los encabezamientos de las Figuras 7, 8 y 9 se
transmiten de forma clara en el procedimiento aplicado de
conformidad con la invención. Las Figuras 10 y 11 muestran
respectivamente los encabezamientos TCP (80) y UDP (81).
Únicamente se encriptan las partes inferiores
respectivamente (82 y 83) de dichos encabezamientos, y de forma
ventajosa las partes denominadas "checksum" (84 y 85) de
éstas.
Tal y como se establece y como se deriva de la
descripción anterior, la presente invención hace referencia asimismo
a todas las variantes de los procedimientos y de los dispositivos
descritos que se engloban dentro del cuadro de equivalencias.
En especial, el procedimiento básico, que
consiste en encriptar la parte de "datos" de un mensaje al
tiempo que se mantiene de forma clara la parte de
"encabezamiento" del mensaje permitiendo su transmisión, se
puede utilizar con otros tipos de protocolos, y de forma específica
con el protocolo de red especificado por la normativa internacional
"Connectionless Network Protocol" ISO 8473. Con este fin se
toma en consideración la longitud de los campos de encabezamiento
IEEE8802.2 y CLNS ISO 8473 con el fin de determinar el inicio de la
zona de encriptación/desciframiento en cada mensaje utilizando el
protocolo ISO 8473.
Claims (15)
1. Un procedimiento de encriptación de los
mensajes transmitidos entre redes interconectadas a través de
plataformas que utilizan un protocolo de red determinado, de acuerdo
con el cual se encriptan los mensajes, caracterizado
porque:
el protocolo de red determinado es el protocolo
Internet (IP);
y porque, para permitir la transmisión de los
mensajes a través de dichas plataformas, se encriptan los mensajes
conservando de manera clara los encabezamientos IP (75), y se
encripta al mismo tiempo que los datos (77) al menos una parte (82,
83, 84, 85) de los encabezamientos (76, 80, 81) correspondientes a
los protocolos de transporte TCP o UDP utilizados.
2. Un procedimiento realizado de conformidad con
la 1ª reivindicación, caracterizado porque el criptosistema
empleado para la encriptación de los mensajes es el sistema DES, y
porque se encripta la integridad de los datos así como la parte,
total o parcial, del encabezamiento correspondiente TCP o UDP, con
el fin de obtener una cadena de bits con una longitud divisible por
64.
3. Un procedimiento realizado de conformidad con
la 2ª reivindicación, caracterizado porque el sistema DES se
utiliza en modo CBC, y el vector inicial requerido por dicho modo
se modifica en función del tiempo con el fin de evitar la
manipulación fraudulenta ("replay").
4. Un procedimiento realizado de conformidad con
cualquiera de las reivindicaciones 2ª y 3ª, caracterizado
porque la parte (82, 83) del encabezamiento TCP o UDP encriptada
incluye la parte denominada "checksum" (84, 85).
5. Un procedimiento de tratamiento de los
mensajes transmitidos entre equipos (3, 4, 9, 10) pertenecientes a
al menos dos redes interconectadas (2, 17, 18) que incluyen cada
una de ellas al menos un equipo autorizado a emitir y recibir
mensajes encriptados mediante el procedimiento de encriptación
realizado de conformidad con cualquiera de las reivindicaciones
precedentes; y el tratamiento de los mensajes engloba las siguientes
etapas:
- La verificación de la presencia de una tarjeta
de memoria (23, 24, 25) para autenticar al operador del primer
equipo (3, 4; 9, 10).
- La verificación del protocolo utilizado entre
los dos equipos, y si el protocolo es el citado protocolo
determinado, la búsqueda de una clave asociada al equipo emisor y de
una clave asociada al equipo receptor.
- Si las dos claves existen, la encriptación del
mensaje a enviar, y la transmisión del mensaje; en caso contrario,
el rechazo del mensaje.
- La verificación de la presencia de una tarjeta
de memoria para autenticar al operador del segundo equipo.
- La verificación del protocolo utilizado entre
los dos equipos, y si el protocolo es el citado protocolo
determinado, la búsqueda de una clave asociada al equipo emisor y de
una clave asociada al equipo receptor.
- Si las dos claves existen, el desciframiento
del mensaje recibido; en caso contrario, el rechazo del
mensaje.
6. La aplicación del procedimiento realizado de
conformidad con cualquiera de las reivindicaciones precedentes a la
protección del acceso a servidores (3, 4) de redes telemáticas.
7. Un dispositivo (1) de comunicación de mensajes
de datos entre al menos dos equipos (3, 4; 9, 10) asociados a dos
redes diferentes (2; 17, 18) interconectadas a través de al menos
una plataforma (8) y que utilizan un protocolo de red determinado,
caracterizado porque el dispositivo incluye, para cada red
(2, 17) o su equipo asociado (10), un aparato interfaz (16, 19, 22)
que cuenta con:
- Unos medios (41, 42, 45, 46) de encriptación de
los mensajes a transmitir con el fin de encriptar los datos y al
menos parcialmente los encabezamientos correspondientes al protocolo
de transporte de dichos mensajes.
- Unos medios (41, 42, 33, 34) de transferencia
de dichos mensajes encriptados, conservando de manera clara los
encabezamientos de dichos mensajes encriptados y permitiendo su
transmisión a través de la citada plataforma.
- Unos medios (41, 42, 48, 49, 50, 51) de
identificación de las redes o los equipos autorizados asociados a
dichos aparatos interfaz.
8. Un dispositivo realizado de conformidad con la
7ª reivindicación, caracterizado porque incluye asimismo unos
medios (41, 42, 45, 46) para descifrar los mensajes encriptados, en
respuesta a las señales generadas por los medios de lectura de la
tarjeta de memoria y por los medios de identificación de dichas
redes o equipos.
9. Un dispositivo realizado de conformidad con
cualquiera de las reivindicaciones 7ª o 8ª, caracterizado
porque incluye asimismo unos medios (61, 62) de lectura de una
tarjeta de memoria (23, 24, 25).
10. Un dispositivo realizado de conformidad con
cualquiera de las reivindicaciones 7ª a 9ª, caracterizado
porque el protocolo de red determinado es el protocolo Internet
(IP), y porque los encabezamientos al menos parcialmente encriptados
junto con los datos se corresponden con el protocolo de transporte
TCP o UDP de los citados mensajes.
11. Un dispositivo realizado de conformidad con
cualquiera de las reivindicaciones 7ª a 9ª, caracterizado
porque el aparato interfaz está destinado a asociarse de forma
directa o a través de una red protegida bien a un equipo tipo puesto
de trabajo o bien a un equipo tipo servidor.
12. Un dispositivo realizado de conformidad con
cualquiera de las reivindicaciones 7ª a 11ª, caracterizado
porque el aparato interfaz está destinado bien a autorizar o bien a
inhibir la citada asociación.
13. Un aparato interfaz (6, 19, 22) para un
dispositivo de comunicación de mensajes de datos entre al menos dos
equipos asociados a dos redes diferentes interconectadas a través de
al menos una plataforma que utiliza un protocolo de red determinado,
y dicho dispositivo incluye, para cada red o equipo asociado, unos
medios de lectura de una tarjeta de memoria, caracterizado
porque dicho aparato cuenta con:
- Unos medios (41, 42, 45, 46) de encriptación de
los mensajes a transmitir con el fin de encriptar los datos y al
menos parcialmente los encabezamientos correspondientes al protocolo
de transporte de dichos mensajes.
- Unos medios (41, 42, 33, 34) de transferencia
de dichos mensajes encriptados, conservando de manera clara los
encabezamientos de dichos mensajes encriptados y permitiendo su
transmisión a través de la citada plataforma.
- Unos medios (41, 42, 48, 49, 50, 51) de
identificación de las redes o los equipos autorizados asociados a
dichos aparatos interfaz.
- Y unos medios (41, 42, 45, 46) para descifrar
los mensajes encriptados, en respuesta a las señales generadas por
los medios (61, 62) de lectura de la tarjeta de memoria y por los
medios de identificación de dichas redes o equipos.
14. Un aparato realizado de conformidad con la
13ª reivindicación, caracterizado porque dicho aparato está
destinado a asociarse a un equipo de tipo servidor.
15. Una aplicación del aparato interfaz de
conformidad con cualquiera de las reivindicaciones 13ª y 14ª a una
red de comunicación que utiliza el protocolo Internet (IP).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR9200881 | 1992-01-28 | ||
FR9200881A FR2686755A1 (fr) | 1992-01-28 | 1992-01-28 | Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede. |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2247582T3 true ES2247582T3 (es) | 2006-03-01 |
Family
ID=9426040
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES93400220T Expired - Lifetime ES2247582T3 (es) | 1992-01-28 | 1993-01-28 | Metodo, aparato y dispositivo de encriptacion de mensajes transmitidos entre redes interconectadas. |
Country Status (11)
Country | Link |
---|---|
US (1) | US5583940A (es) |
EP (1) | EP0554182B1 (es) |
JP (1) | JPH07503347A (es) |
AT (1) | ATE301901T1 (es) |
DE (1) | DE69333852T2 (es) |
ES (1) | ES2247582T3 (es) |
FI (1) | FI113325B (es) |
FR (1) | FR2686755A1 (es) |
IL (1) | IL104555A (es) |
NO (1) | NO316150B1 (es) |
WO (1) | WO1993015581A1 (es) |
Families Citing this family (77)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2709847B1 (fr) * | 1993-09-07 | 1995-11-10 | Sagem | Réseau de transmission de données pour au moins deux terminaux. |
US5479514A (en) * | 1994-02-23 | 1995-12-26 | International Business Machines Corporation | Method and apparatus for encrypted communication in data networks |
FR2717334B1 (fr) * | 1994-03-11 | 1996-04-19 | Pierre Rolin | Vérification d'intégrité de données échangées entre deux stations de réseau de télécommunications. |
EP0693836A1 (en) * | 1994-06-10 | 1996-01-24 | Sun Microsystems, Inc. | Method and apparatus for a key-management scheme for internet protocols. |
US5588060A (en) * | 1994-06-10 | 1996-12-24 | Sun Microsystems, Inc. | Method and apparatus for a key-management scheme for internet protocols |
US5864683A (en) * | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
FR2727269B1 (fr) * | 1994-11-21 | 1997-01-17 | Allegre Francois | Systeme de controle d'acces a des machines informatiques connectees en reseau prive |
FR2730326B1 (fr) * | 1995-02-08 | 1999-02-12 | Ercom Sarl | Dispositif de protection des communications sur reseaux informatiques |
US5867660A (en) * | 1995-05-11 | 1999-02-02 | Bay Networks, Inc. | Method and apparatus for communicating between a network workstation and an internet |
US5742845A (en) | 1995-06-22 | 1998-04-21 | Datascape, Inc. | System for extending present open network communication protocols to communicate with non-standard I/O devices directly coupled to an open network |
JPH0950465A (ja) * | 1995-08-04 | 1997-02-18 | Hitachi Ltd | 電子ショッピング方法、電子ショッピングシステムおよび文書認証方法 |
US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
US5913024A (en) | 1996-02-09 | 1999-06-15 | Secure Computing Corporation | Secure server utilizing separate protocol stacks |
US5918018A (en) * | 1996-02-09 | 1999-06-29 | Secure Computing Corporation | System and method for achieving network separation |
US5867647A (en) * | 1996-02-09 | 1999-02-02 | Secure Computing Corporation | System and method for securing compiled program code |
FR2745967B1 (fr) * | 1996-03-07 | 1998-04-17 | Bull Cp8 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
US5768526A (en) * | 1996-03-08 | 1998-06-16 | Glenayre Electronics, Inc. | Method and apparatus for validating data packets in a paging system |
FI112419B (fi) * | 1996-06-06 | 2003-11-28 | Nokia Corp | Menetelmä tiedonsiirron salaamiseksi |
DE69734179T2 (de) * | 1996-07-15 | 2006-06-29 | At & T Corp. | Verfahren und Vorrichtung zum Begrenzen des Zugriffs auf private Information in Domain Name Systemen durch Informationsfilterung |
US5872847A (en) * | 1996-07-30 | 1999-02-16 | Itt Industries, Inc. | Using trusted associations to establish trust in a computer network |
US6003084A (en) * | 1996-09-13 | 1999-12-14 | Secure Computing Corporation | Secure network proxy for connecting entities |
US5950195A (en) * | 1996-09-18 | 1999-09-07 | Secure Computing Corporation | Generalized security policy management system and method |
US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
US6081827A (en) * | 1996-09-23 | 2000-06-27 | Motorola, Inc. | Network navigation methods and systems using an article of mail |
US5940595A (en) * | 1996-09-23 | 1999-08-17 | Motorola, Inc. | Electronic network navigation device and method for linking to an electronic address therewith |
US5938726A (en) * | 1996-10-04 | 1999-08-17 | Motorola, Inc. | Apparatus for reading an electronic network navigation device and a peripheral for use therewith |
US6138151A (en) * | 1996-09-23 | 2000-10-24 | Motorola, Inc. | Network navigation method for printed articles by using embedded codes for article-associated links |
US5915087A (en) * | 1996-12-12 | 1999-06-22 | Secure Computing Corporation | Transparent security proxy for unreliable message exchange protocols |
JP2001508627A (ja) | 1997-01-03 | 2001-06-26 | フォートレス テクノロジーズ インコーポレイテッド | 改良されたネットワークセキュリティ装置 |
US5968133A (en) * | 1997-01-10 | 1999-10-19 | Secure Computing Corporation | Enhanced security network time synchronization device and method |
WO1998031124A1 (en) * | 1997-01-10 | 1998-07-16 | Hanson Gordon L | Reverse proxy server |
US6002946A (en) | 1997-04-14 | 1999-12-14 | Motorola, Inc. | Handheld device having an optical data reader |
US7251784B2 (en) * | 1997-04-25 | 2007-07-31 | Winslowhouse International, Inc. | Supplying supplementary information for printed books |
US6212636B1 (en) | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
US6137654A (en) * | 1997-06-23 | 2000-10-24 | Motorola, Inc. | Device having a diskette-like housing and a wireless transceiver and methods therefor |
US8255680B1 (en) * | 1997-06-26 | 2012-08-28 | Oracle America, Inc. | Layer-independent security for communication channels |
US6052629A (en) * | 1997-07-18 | 2000-04-18 | Gilbarco Inc. | Internet capable browser dispenser architecture |
US7055173B1 (en) | 1997-12-19 | 2006-05-30 | Avaya Technology Corp. | Firewall pooling in a network flowswitch |
US6266335B1 (en) | 1997-12-19 | 2001-07-24 | Cyberiq Systems | Cross-platform server clustering using a network flow switch |
FI108827B (fi) * | 1998-01-08 | 2002-03-28 | Nokia Corp | Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa |
US5980090A (en) * | 1998-02-10 | 1999-11-09 | Gilbarco., Inc. | Internet asset management system for a fuel dispensing environment |
US6144950A (en) * | 1998-02-27 | 2000-11-07 | Pitney Bowes Inc. | Postage printing system including prevention of tampering with print data sent from a postage meter to a printer |
US6321336B1 (en) | 1998-03-13 | 2001-11-20 | Secure Computing Corporation | System and method for redirecting network traffic to provide secure communication |
US6182226B1 (en) | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6453419B1 (en) | 1998-03-18 | 2002-09-17 | Secure Computing Corporation | System and method for implementing a security policy |
US6112992A (en) * | 1998-06-17 | 2000-09-05 | Motorola, Inc. | Optical code reader and methods and articles therefor |
US6154839A (en) * | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
US6126075A (en) | 1998-06-04 | 2000-10-03 | Motorola, Inc. | Optical code reader including circuitry for processing the read symbology |
US6260760B1 (en) | 1998-06-17 | 2001-07-17 | Motorola, Inc. | Optical code reader including circuitry for processing the symbology |
FI106417B (fi) * | 1998-12-08 | 2001-01-31 | Nokia Mobile Phones Ltd | Menetelmä tiedonsiirron optimoimiseksi |
US6442592B1 (en) | 1998-12-11 | 2002-08-27 | Micro Computer Systems, Inc. | Message center system |
US6176421B1 (en) | 1999-02-04 | 2001-01-23 | Marconi Commerce Systems Inc. | Fuel dispenser architecture having server |
US6356951B1 (en) | 1999-03-01 | 2002-03-12 | Sun Microsystems, Inc. | System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction |
US6650640B1 (en) | 1999-03-01 | 2003-11-18 | Sun Microsystems, Inc. | Method and apparatus for managing a network flow in a high performance network interface |
US6483804B1 (en) | 1999-03-01 | 2002-11-19 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet batching with a high performance network interface |
US6389468B1 (en) | 1999-03-01 | 2002-05-14 | Sun Microsystems, Inc. | Method and apparatus for distributing network traffic processing on a multiprocessor computer |
WO2000052869A2 (en) * | 1999-03-01 | 2000-09-08 | Sun Microsystems, Inc. | Method and apparatus for identifying and classifying network traffic in a high performance network interface |
US6606301B1 (en) | 1999-03-01 | 2003-08-12 | Sun Microsystems, Inc. | Method and apparatus for early random discard of packets |
US6453360B1 (en) | 1999-03-01 | 2002-09-17 | Sun Microsystems, Inc. | High performance network interface |
US7174452B2 (en) * | 2001-01-24 | 2007-02-06 | Broadcom Corporation | Method for processing multiple security policies applied to a data packet structure |
US6418325B1 (en) | 1999-07-12 | 2002-07-09 | Motorola, Inc. | Handheld device having an optical data reader |
JP3259724B2 (ja) * | 1999-11-26 | 2002-02-25 | 三菱電機株式会社 | 暗号装置、暗号化器および復号器 |
US6779039B1 (en) | 2000-03-31 | 2004-08-17 | Avaya Technology Corp. | System and method for routing message traffic using a cluster of routers sharing a single logical IP address distinct from unique IP addresses of the routers |
US6880089B1 (en) | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
US20040073617A1 (en) | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
US6772226B1 (en) | 2000-08-15 | 2004-08-03 | Avaya Technology Corp. | VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster |
JP2003204323A (ja) * | 2000-12-21 | 2003-07-18 | Yasumasa Uyama | 秘密通信方法 |
US20030084020A1 (en) * | 2000-12-22 | 2003-05-01 | Li Shu | Distributed fault tolerant and secure storage |
US20020104016A1 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Network router |
US7353380B2 (en) * | 2001-02-12 | 2008-04-01 | Aventail, Llc, A Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
US7360075B2 (en) | 2001-02-12 | 2008-04-15 | Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
US7383329B2 (en) | 2001-02-13 | 2008-06-03 | Aventail, Llc | Distributed cache for state transfer operations |
US7171493B2 (en) * | 2001-12-19 | 2007-01-30 | The Charles Stark Draper Laboratory | Camouflage of network traffic to resist attack |
JP2007528160A (ja) * | 2004-03-02 | 2007-10-04 | ノボ・ノルデイスク・エー/エス | ヘッダ認証を改良した送信データパケット構成 |
US8499337B1 (en) | 2004-10-06 | 2013-07-30 | Mcafee, Inc. | Systems and methods for delegation and notification of administration of internet access |
WO2006039941A1 (en) * | 2004-10-15 | 2006-04-20 | Pirelli & C. S.P.A. | Method for secure signal transmission in a telecommunication network, in particular in a local area network |
GB2422752A (en) * | 2005-02-01 | 2006-08-02 | 3Com Corp | Deciphering encapsulated and enciphered UDP datagrams |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4203166A (en) * | 1977-12-05 | 1980-05-13 | International Business Machines Corporation | Cryptographic file security for multiple domain networks |
US4227253A (en) * | 1977-12-05 | 1980-10-07 | International Business Machines Corporation | Cryptographic communication security for multiple domain networks |
US4980913A (en) * | 1988-04-19 | 1990-12-25 | Vindicator Corporation | Security system network |
US5070528A (en) * | 1990-06-29 | 1991-12-03 | Digital Equipment Corporation | Generic encryption technique for communication networks |
US5309437A (en) * | 1990-06-29 | 1994-05-03 | Digital Equipment Corporation | Bridge-like internet protocol router |
-
1992
- 1992-01-28 FR FR9200881A patent/FR2686755A1/fr active Granted
-
1993
- 1993-01-28 JP JP5512991A patent/JPH07503347A/ja active Pending
- 1993-01-28 ES ES93400220T patent/ES2247582T3/es not_active Expired - Lifetime
- 1993-01-28 WO PCT/FR1993/000092 patent/WO1993015581A1/fr active IP Right Grant
- 1993-01-28 DE DE69333852T patent/DE69333852T2/de not_active Expired - Fee Related
- 1993-01-28 US US08/256,509 patent/US5583940A/en not_active Expired - Fee Related
- 1993-01-28 EP EP93400220A patent/EP0554182B1/fr not_active Expired - Lifetime
- 1993-01-28 IL IL10455593A patent/IL104555A/en not_active IP Right Cessation
- 1993-01-28 AT AT93400220T patent/ATE301901T1/de not_active IP Right Cessation
-
1994
- 1994-07-14 NO NO19942657A patent/NO316150B1/no unknown
- 1994-07-27 FI FI943530A patent/FI113325B/fi not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
NO942657D0 (no) | 1994-07-14 |
FI943530A0 (fi) | 1994-07-27 |
US5583940A (en) | 1996-12-10 |
FR2686755B1 (es) | 1995-02-03 |
IL104555A (en) | 1996-07-23 |
WO1993015581A1 (fr) | 1993-08-05 |
FI113325B (fi) | 2004-03-31 |
JPH07503347A (ja) | 1995-04-06 |
DE69333852D1 (de) | 2005-09-15 |
DE69333852T2 (de) | 2006-05-18 |
ATE301901T1 (de) | 2005-08-15 |
IL104555A0 (en) | 1993-05-13 |
NO942657L (no) | 1994-09-12 |
FR2686755A1 (fr) | 1993-07-30 |
EP0554182A1 (fr) | 1993-08-04 |
NO316150B1 (no) | 2003-12-15 |
EP0554182B1 (fr) | 2005-08-10 |
FI943530A (fi) | 1994-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2247582T3 (es) | Metodo, aparato y dispositivo de encriptacion de mensajes transmitidos entre redes interconectadas. | |
US4326098A (en) | High security system for electronic signature verification | |
US5319710A (en) | Method and means for combining and managing personal verification and message authentication encrytions for network transmission | |
US20080109654A1 (en) | System and method for RFID transfer of MAC, keys | |
ES2388216T3 (es) | Mensajería universal segura para testigos de seguridad remotos | |
RU2451398C2 (ru) | Способы аутентификации, шифрования и декодирования идентификатора клиентского терминала и устройства для их реализации | |
CN1148035C (zh) | 连接到互联网的移动通信系统中用户信息保密装置及方法 | |
CN101507228A (zh) | 用于位于线缆网络中的装置的改善的认证 | |
CN109845214A (zh) | 一种传输数据的方法、装置和系统 | |
EP2611066B1 (en) | Method and system for entity authentication in resource-limited network | |
KR20220149659A (ko) | 에어 갭핑 하드웨어 프로토콜을 사용한 보안 데이터 전달을 위한 시스템 및 방법 | |
KR100538245B1 (ko) | 네트워크 프린터에서 인증 프로토콜을 이용한 데이터 보안인쇄 방법 및 시스템 | |
ES2758706T3 (es) | Métodos y sistemas para la transmisión segura de información de identificación a través de redes públicas | |
US8880870B2 (en) | Bridging system, bridge, and bridging method | |
JP2001203761A (ja) | 中継装置、および同装置を備えたネットワークシステム | |
CN114124549A (zh) | 一种基于可见光系统的安全访问邮件的方法、系统和装置 | |
US20120084849A1 (en) | Device and method for secure access to a remote server | |
Thomson et al. | Using TLS to Secure QUIC–draft-ietf-quic-tls-29 | |
CN106487740A (zh) | 一种基于icmp协议的文件安全传输方法 | |
US20170310646A1 (en) | Method to detect an ota (over the air) standard message affected by an error | |
JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
KR20210101304A (ko) | 통신 모듈 | |
KR100381710B1 (ko) | 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템 | |
US11973700B2 (en) | Trusted remote management unit | |
JPS6181043A (ja) | パケツト通信における暗号処理方式 |