FI109436B - Tietojenkäsittely yhteydenottosolmussa - Google Patents

Tietojenkäsittely yhteydenottosolmussa Download PDF

Info

Publication number
FI109436B
FI109436B FI990858A FI990858A FI109436B FI 109436 B FI109436 B FI 109436B FI 990858 A FI990858 A FI 990858A FI 990858 A FI990858 A FI 990858A FI 109436 B FI109436 B FI 109436B
Authority
FI
Finland
Prior art keywords
subprocessor
decryption
message
access node
modem
Prior art date
Application number
FI990858A
Other languages
English (en)
Swedish (sv)
Other versions
FI990858A0 (fi
FI990858A (fi
Inventor
Jari Arkko
Original Assignee
Ericsson Telefon Ab L M
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ericsson Telefon Ab L M filed Critical Ericsson Telefon Ab L M
Priority to FI990858A priority Critical patent/FI109436B/fi
Publication of FI990858A0 publication Critical patent/FI990858A0/fi
Priority to PCT/FI2000/000325 priority patent/WO2000064117A1/en
Priority to AU39699/00A priority patent/AU3969900A/en
Publication of FI990858A publication Critical patent/FI990858A/fi
Application granted granted Critical
Publication of FI109436B publication Critical patent/FI109436B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

109436
Tietojenkäsittely yhteydenottosolmussa Databehandling i en accessnod
Keksinnön ala
Keksintö liittyy menetelmään sanomien salakirjoittamisek-si/salakirjoituksen purkamiseksi viestintäjärjestelmän solmussa. Keksintö liittyy lisäksi järjestelyyn salakirjoitus-toiminto j en/salakirj oituksen purkutoimintojen suorittamiseksi ja myös viestintäjärjestelmien yhteydenottopalvelimeen.
Keksinnön tausta
Viestintäjärjestelmä saattaa käsittää monta tyypiltään erilaista verkkoa. Järjestelmän verkot voivat olla piirikytkentäisiä verkkoja, kuten yleinen puhelinverkko (PSTN, engl.
Public Switched Telephone Network) tai yleinen matkaviestinverkko (PLMN, engl. Public Land Mobile Network, esim. GSM, NMT, AMPS, D-AMPS, CDMA, WCDMA, PDC, UMTS tms. solukkoverk-.V: ko) , tai pakettikytkentäisiä verkkoja, kuten X.25 tai Inter- : net tai intranet-verkkosovelluksia. Nykyään piirikytkentäiset : : puhelinverkot kuljettavat valtaosan kahden tilaajan välisistä • · · : : tavallisista puheluista. Kuitenkin, vaikka PSTN on vanhin ja V ' tähän asti laajin olemassa oleva televerkko, on jotakin eri • · · ' ·' PLMN:ää käyttävien matkapuhelinkäyttä j ien lukumäärä kasvanut tasaisesti. Muita kantajaverkkoja puhelujen siirtoon ovat * · sellaiset järjestelyt, kuten digitaalinen monipalveluverkko • · * '...· (ISDN, engl. integrated services digital network), asynkroninen pakettivälitys (ATM, engl. asynchronous transfer ·;··· mode), frame relay ja Internet.
.··*. Perinteisen puheliikenteen lisäksi nykypäivän viestintäverkot » · pystyvät siirtämään myös dataa. Useimmiten tämä on aikaan- 2 109436 saatu pakettikytkentäisten dataverkkojen avulla, jotka välittävät tiedot datapakettien muodossa. Tässä mainittakoon esimerkkeinä pakettikytkentäisistä dataverkoista X.25-yhteyskäy-täntöön perustuvat dataverkot (esim. PSPDN, yleinen pakettivälitteinen datasiirtoverkko, engl. packet switched public data network) tai Internet tai Intranet.
Näistä Internet voidaan määritellä globaalisena verkkona, joka käyttää pakettikytkentäistä, yhteydetöntä siirtomuotoa ja joka on muodostunut kytkemällä toisiinsa tuhansia aliverkkoja (esim. erilaisia paikallisia tai alueellisia verkkoja; LANreja, MANreja jne.), jotka käyttävät TCP/IP-yhteyskäytäntösarjaa (engl. transmission control proto-col/Internet protocol protocol suite) ja yhteistä osoite-rakennetta. Päinvastoin kuin X.25:n, frame relayn ja suurimman osan ATM-sovelluksista kaltaiset siirtotekniikat, on Internet päästä-päähän-sovellus, joka ulottuu perille käyttäjän päätteelle asti.
. : : Datan lisäksi pakettikytkentäisiä verkkoja voidaan myös käytti : tää siirtämään ääntä, kuten puhetta, kahden viestivän osapuo- : : Ien välillä. Kun dataverkossa siirretään ääntä, ääni digitoi- ·...· daan ja siirretään digitoidussa muodossa datapaketteina. Di- V : gitoitu ääni muunnetaan sitten takaisin analogiseen muotoon ·.· · ja esitetään vastaanottopään kuuntelijalle.
·...· Viestintäjärjestelmä voi myös käsittää yhden tai useamman, ...· erilaisten verkkojen välisen rajapinta- tai yhdyskäytävälait- teen, siis yhteydenottosolmuja (AN, engl. access node), esim.
·:·: yhteydenottopalvelimia (AS, engl. access server). Yhteyden- . .·. ottosolmu voidaan tavallisesti selittää laitteena, joka toi- .···. mii rajapintana pakettiverkon ja muiden verkkojen välillä ja sallii yhteydenoton pakettiverkkoon, siis järjestelmänä, joka 3 109436 muuntaa jotakin yhteysmediaa (esim. modeemipuhelua PSTN:n kautta) IP-verkkoliikenteeksi.
On olemassa selviä osoituksia siitä, että yhteydenottosolmut alkavat olla joidenkin turvallisuutta suojaavien toimintojen tarpeessa, jotta ne voisivat todentaa ja/tai salata yhteyden-ottosolmun ohjausliikenteen. Tämä koskee myös sitä hyöty-liikennettä, jota yhteydenottosolmu on järjestetty välittämään. Saattaa esimerkiksi olla tarpeen, että yhteydenotto-solmu on IPSec-istunnon (engl. Internet Protocol Security session) päätepisteenä, jolloin yhteydenottosolmu käyttää esimerkiksi niin sanottua 3DES-salakirjoituksen purkualgorit-mia useisiin tuhansiin puheluihin silloin, kun puheluiden kutsuvien päiden PC-päätteet salakirjoittavat IPSec/3DES:llä.
Mainittu 3DES on oleellisen raskas algoritmi ja se vaatii huomattavasti käsittelytehoa jopa laitteelta, joka palvelee vain yhtä viestintälinkkiä. Käytännössä linkkejä olisi kuitenkin tuhansia, mikä nostaa käsittelytehovaatimukset ylivoi-: maisen korkeiksi.
'·/· · Toisen skenaarion mukaan voidaan käyttää yhteydenottosolmua « φ · ’· "' suojaamattoman puhelun salakirjoittamiseen, jotta puhelu voi-V * täisiin lähettää tunneliin suojaamattoman, avoimen Internetin : kautta.
·...· Yhteydenottosolmut käyttävät yleensä yleiskeskusyksiköitä (CPUs, engl. Central Processing Units) tai joitakin erikois-laitteistoja salakirjoitusprosessien suorittamiseen. On li-·:**: säksi mahdollista käyttää yhteydenottosolmun ympäristössä . ,·. olevia vapaita digitaalisia signaalisuoritinresursseja (DSP-.··. resursseja; engl. Digital Signal Processor resources) silloin, kun suuri määrä DSP:itä on käytettävissä. DSP:t ovat 4 109436 kuitenkin vaikeita ohjelmoida, eikä niiden uskota olevan oikeanlaisia välineitä joitakin monimutkaisempia prosesseja varten, joita esiintyy esim. turvallisen yhteyden muodostamisen neuvotteluvaiheiden aikana.
Keksinnön yhteenveto
Ei ole ollut olemassa kunnollista ratkaisua sille, kuinka DSP:itä tai muita alisuorittimia käytettäisiin tehokkaasti arkkitehtuurissa, jossa käytetään ohjaussuorittimeen tai CPU:hun tarkoituksenmukaisen nopean väylän avulla liitettyä joukkoa käsittelyresursseja (esim. ohjaussuorittimia, DSPritä, rajapinta-S/T-kortteja (engl. interface I/O cards)). Tämänlaisessa järjestelyssä käytettävän yhteyskäytäntöpinon luonteen vuoksi (siis IP IPSecrn päällä, PPP:n (kaksipiste, engl. point-to-point,) päällä, modeemin päällä) voisi mahdollinen toteutusmekanismi olla IPSec-kerroksen suorittaminen jossakin siinä ohjaussuorittimessa, joka on sovitettu suorittamaan myös IP-välitys. Tämä uskotaan olevan tarkoituksen-mukainen ratkaisu sen vuoksi, että tarvittavat osoitetaulukot ja PPP-kapseloinnin purku tyypillisesti myös sijaitsevat oh-·.*.· jaussuorittimessa. Pystyäkseen käyttämään DSPriden käsittely- ·...’ tehoa salakirjoitusprosessiin ohjaussuorittimen täytyisi lä- i t » V ’ hettää kapseloimaton PPP/IP-paketti käsiteltäväksi erillises- ·’ ' sä DSP:ssä nopean väylän kautta ja sitten takaisin samaa tietä lisäkäsittelyyn, kuten välitykseen ohjaussuorittimes- '···’ sa. Tämä kuitenkin johtaa kahteen lisämatkaan edestakaisin • · · ·;·* väylää pitkin koko sille kaistanleveydelle, joka kulkee yh-• · » ·..,· teydenottosolmun kautta. Tätä voidaan kuvata seuraavalla kaa-violla: puhelu ->· DSP -> CPU -» DSP -> CPU -> rajapinta 5 109436 Tämänkaltainen liikenne kuormittaa CPU:n ja DSP:n tai senkaltaisen alisuoritinvälineen välistä väylää ja kuluttaa järjestelmän kapasiteettia. Edestakainen liikenne voi myös aiheuttaa joitakin viiveitä ja/tai kasvattaa käsittelyn aikaista virheriskiä.
On myös ehdotettu, että jokainen alisuoritin ohjaa itse itseään, siis toteutus on sellainen, etteivät alisuorittimet tarvitse mitään ohjauskomentoja miltään keskussuorittimelta.
Tämä kuitenkin nostaa huomattavissa määrin yksittäiselle ali-suorittimelle asetettavia vaatimuksia, sen monimutkaisuutta ja kustannuksia, ja tämä saattaa vähentää solmun ohjattavuutta kokonaisuutena. Tämänlainen toteutus voi jopa olla mahdoton sellaisiin prosesseihin ja käyttöön, joissa vaaditaan monimutkaisempaa (ja monessa tapauksessa keskitettyä) ohjaus-käsittelyä .
Keksinnön tavoite on ratkaista edellä todetut ongelmat ja tarjota uudentyyppinen ratkaisu sanomien käsittelyyn yhtey-. : : denottosolmussa. Keksinnön tavoite on lisäksi tarjota mene- : : | telmä ja järjestely, minkä avulla tehostetaan yhteydenotto- solmun käsittelykapasiteetin käyttöä ja vähennetään solmun eri komponenttien välisen turhan liikenteen määrää.
v ’ Tavoitteet saavutetaan menetelmällä sanoman salakirjoituksen purkamiseksi/salakirjoittamiseksi viestintäj ärj estelmässä, joka käsittää pakettikytkentäisen dataverkon ja käyttäjän * ♦ » päätteen ja dataverkon välisen yhteydenottosolmun, mainitun ; yhteydenottosolmun ollessa varustettu ohjaussuorittimella ja vähintään yhdellä alisuorittimella, ohj aussuorittimen ohja-. .·. tessa vähintään yhtä alisuoritinta, menetelmän käsittäessä .···. vaiheet vastaanottaa sanoma yhteydenottosolmussa, reitittää sanoma yhteydenottosolmun alisuorittimelle ennen yhteyden- 6 109436 ottosolmun ohjaussuoritinta, tunnistaa salakirjoituksen purku-/salakirjoitustoimintojen tarve, purkaa sanoma sala-kirjoituksesta/salakirjoittaa sanoma alisuorittimessa ja välittää salakirjoituksen purettu/salakirjoitettu sanoma kes-kussuorittimeen alisuorittimen ja keskussuorittimen välisen väylän kautta.
Toisen piirteen mukaan tarjotaan järjestely viestintäjärjestelmässä, järjestelyn käsittäessä pakettikytkentäisen dataverkon, dataverkkoliitäntänä toimivan yhteydenottosolmun, yh-teydenottosolmun ohjaussuorittimen, yhteydenottosolmun alisuorittimen, joka käsittää välineet aliprosessoriin saadun sanoman salakirjoituksen purkamis-/salakirjoittamisen käsittelyn tarpeen tunnistamiseen, jolloin ohjaussuoritin on sovitettu huolehtimaan alisuorittimen ohjauksesta, välineet sanoman salakirjoituksen purkamiseen/salakirjoittamiseen alisuorittimessa tunnistamisen jälkeen ja väylän sanoman lähettämiseen alisuorittimesta ohjaussuorittimeen käsittelyn jälkeen.
j Vielä toinen piirre tarjoaa viestintäjärjestelmää varten yh-teydenottopalvelimen, käsittäen ohj aussuorittimen, alisuorit- ·...· timen, joka käsittää välineet alisuorittimeen saadun sanoman • · · ·.* · salakirjoituksen purkamis-/salakirjoittamisen käsittelyn tar-* · · v : peen tunnistamiseen, jolloin ohjaussuoritin on järjestetty huolehtimaan alisuorittimen ohjauksesta, välineet sanoman sa-lakir j oituksen purkamiseen/salakir joittamiseen aliprosesso- » · rissa tunnistamisen jälkeen ja väylän sanoman lähettämiseen alisuorittimesta ohjaussuorittimeen käsittelyn jälkeen.
. .·. Tarkemman piirteen mukaan alisuoritin voi olla modeemipuhelun päätepisteenä ja sitä käytetään yhteydenottosolmun sekä mo-deemidekoodaus-/modeemikoodaustoimintoihin että salakirjoi- 7 109436 tuksen purku-/salakirjoitustoimintoihin. Alisuoritin voi olla digitaalinen signaalisuoritin (DSP) tai, yhden vaihtoehdon mukaan, alisuoritin on liitäntäkortti.
Keksinnön avulla saavutetaan lukuisia etuja, koska ratkaisu tarjoaa yksinkertaisen, luotettavan ja hallittavan tavan parantaa yhteydenottosolmun käsittelytehoa. Ratkaisu vähentää liikenteen määrää yhteydenottosolmun ohjaussuorittimen ja alisuorittimien välillä, jolloin suorituskyky kasvaa ja siirtovirhe- ja ylikuormittumisriskit vähenevät.
Seuraavassa selitetään keksintö ja sen muut tavoitteet ja edut esimerkkien muodossa viitaten oheisiin piirroksiin, joissa viitataan samankaltaisiin piirteisiin samankaltaisilla viittausmerkeillä kauttaaltaan eri kuvioissa.
Piirrosten lyhyt selitys
Kuvio 1 on yhteydenottopalvelimen sisältävän verkkojärjestel-män yleinen kaavioesitys;
Kuvio 2 on yhteydenottopalvelinalustan kaavioesitys; • I · • · · : Kuvio 3 on keksinnön perussuoritusmuodon mukaisen yhden mah- V * dollisen merkinantovuon kaavioesitys; ' I · '··. Kuvio 4 on vielä toisen suoritusmuodon mukaisen yhden mahdol- i · · ···’ lisen merkinantovuon kaavioesitys; ja
• t I
Kuvio 5 on yhden suoritusmuodon vuokaavio.
.·”. Suoritusmuotojen yksityiskohtainen selitys 8 109436 Tässä viitataan kuvioon 1, jossa kuvataan joitakin Internet-yhteydenottojärjestelyjä ja jossa Internet on merkitty viit-tausnumerolla 1. Internetin 1 kautta solmitut kaksipiste-yhteydet (siis loogiset yhteydet) on merkitty katkoviivoin, kun taas fyysiset yhteydet on merkitty kokonaisin viivoin.
Pääte (esim. henkilökohtainen tietokone, työasema tai senkaltainen tietojenkäsittelylaite) 2 on yleisen puhelinverkon (PSTN) 3 tilaaja ja on siihen liitetty modeemilla (ei näy) ja tilaajajohdolla 4. Tästä PSTN:stä 3 käytetään usein nimitystä tilaajapäätteen 2 "kotiverkko" (engl. "home" network).
Soittamalla ennalta määriteltyyn yhteydenottonumeroon (B-nu-mero) tilaajapääte 2 pystyy saamaan yhteyden Internetiin 1 yhteydenottosolmun 5, kuten yhteydenottopalvelimen (AS) tai Internet yhteydenottojärjestelmän (IAS), kautta. Yhteyden-ottosolmua hallitsee yleensä PSTN:n 3 operaattori. Edelläole-vat esimerkit yhteydenottosolmuista, siis AS tai IAS, voidaan määritellä solmuina, jotka on integroitu keskukseen ja joiden tarkoitus on muodostaa soittoyhteyksiä dataverkkoon, kuten •.V Internetiin tai Intranetiin. Yhteydenottosolmu tarjoaa tar- :.: : koituksenmukaisia yhteyskäytäntömuunnoksia (siis piirikytken- täisen ja pakettikytkentäisen tiedonsiirron välillä) dataver-kon 1 ja tilaajapäätteen 2 väliseen tiedonsiirtoon.
'·* * On todettava, että keksintö ei ole tarkoitettu rajoittuvan käytettäväksi ainoastaan silloin, kun käyttäjäliitännät tai päätteet on liitetty PSTN:ään, vaan että voidaan käyttää myös ·;·’ muun tyyppisiä televerkkoja, jotka pystyvät tarjoamaan vies-tintää päätteen ja pakettivälitteisten dataverkkojen välillä, *"· kuten erityyppisiä yleisiä matkaviestinverkkoja (PLMN:iä).
; Jotta esitettäisiin PSTN:n 3 lisäksi vaihtoehtoinen tapa saada Internet-yhteys, näkyy kuviossa 1 myös pääte 8, jolla on yhteys lähiverkon kautta. Pääte voi olla LAN:iin (engl.
9 109436
Local Area Network) liitettynä, joka vuorostaan on liitetty xDSL-modeemiparin kautta maailmanlaajuiseen Internetiin 1.
Kuviossa 2 näkyy yhteydenottosolmualusta (esim.) 24 yksityiskohtaisemmin. Alusta sisältää ohjaussuorittimen 20 (siis keskusyksikkö, CPU (engl. Central Processing Unit) kuviossa 2) ja lukuisia alisuorittimia (siis digitaalisia signaalisuorit-timia (DSP:itä) 22 ja liitäntäkortteja 23 kuviossa 2) hierarkkisesti järjestetty ohjaussuorittimen alle, jotta se voi niitä ohjata, ja toisiinsa yhdistetty väylän 21 avulla. Alisuorittimia, kuten DSP:itä tai liitäntäkortteja, käytetään toimimaan tilaajilta tulevien modeemipuheluiden päätepisteinä. Yksi esimerkki DSP:istä on Texas Instrumentsiin 200 MHz:n C62Q1, mutta voidaan myös käyttää erilaisia muun tyyppisiä alisuorittimia. Alisuorittimet 22, 23 on sovitettu aikaansaamaan vähemmän älykkyyttä vaativia tehtäviä, kuten modeemi-algoritmien suorittaminen. CPU:n 20 ja DSPriden 22 ja liitäntäkorttien 23 väliset yhteydet on järjestetty nopean väylän 21 avulla.
• * ·.· · Ohjaava keskussuoritin pystyy esimerkiksi määrittämään sen, pystyykö tietty solmun aliprosessori suorittamaan vaadittavat * « * *...· salakirjoitus-/salakirjoituksen purkutoiminnot, ja se pystyy * * · » * · * myös lataamaan tarvittavan ohjelmiston aliprosessoriin.
i » · v ’ Toisin sanoen keskeinen ohjaussuoritin on sovitettu määrittämään mahdollisuudet ja tarpeet salakirjoittamisel- ’···* le/salakirj oituksen purkamiselle tietyn alisuorittimen ;·’ (tiettyjen alisuorittimien) kohdalta ja viestimään tämä in- formaatio ja mahdollisesti lisäohjelmistoa keskussuorittimes-ta alisuorittimeen (alisuorittimiin).
I t i » I »
Kuvioon 3 viitaten selitetään nyt yksityiskohtaisemmin mah-
Ml dollinen tapa käyttää tehokkaammin DSP-resursseja tai muiden 109436 10 avustavien lisäsuorittimien vastaavia resursseja. Keksinnön perusperiaatteiden valossa on oleellista todeta, että jokaista puhelua kohti kaikki tieto kulkee joka tapauksessa DSP:n, liitäntäkortin tai senkaltaisen alisuorittimen kautta vähintään kerran. Toisin sanoen lähtevän datan kohdalta DSP suorittaa modeemidekoodausta ja datan pakkaamista, ja saapuvan datan kohdalta DSP suorittaa modeemikoodausta ja datapakettien purkamista. Mitä tässä on löydetty, on se, että on mahdollista välttää datan kaksisuuntainen väyläsiirtely CPU:n ja DSP:n välillä varustamalla DSP (tai mikä tahansa muu tietojenkäsittelyyn käytetty mahdollinen alisuoritin) ohjelmistolla, joka on sovitettu tunnistamaan datan salakirjoitus-/salakirjoituksen purkuprosessien tarpeen.
Sellaiset tilanteet tai datasiirrot, joissa tunnistetaan tarve salakirjoittaa/purkaa salakirjoituksesta, voidaan kutsua "pikareitti"-tapauksiksi (engl. "fastpath" cases).
Tunnetun tekniikan mukaiset järjestelyt ovat olleet sellaisia, että data kulkee aliprosessorin kautta ja vain ohjaussuoritin tunnistaa mahdolliset IP-tason toimintojen ·/*.·' tarpeen, kuten salakirjoituksen purkaminen/salakirjoitta- ·,* j minen. Tämä liikenne on nyt vältettävissä esitetyn :,V järjestelyn avulla.
I · « » · « V * Tunnistaminen suoritetaan datapaketin ominaisuuksien perus-
I I I
V* teella. Tarkemmin sanottuna on mahdollista tunnistaa saapuvat datapaketit IP-otsikon (src- ja dst- osoiteyhteyskäytännön) * · · ja turvayhteysluvun numeron perusteella (suo j ausparametri-···’ indeksi, SPI, engl. Security Parameter Index) ennen salakir- ξ joituksesta purkua. Salakirjoitettavat, lähtevät paketit voi- daan tunnistaa käyttämällä kaikkea pakettia koskevaa infor-. maatiota (porttinumerolta, src- ja dst-osoiteyhteyskäytäntöä, • I i mutta ei kuitenkaan SPI:tä).
»I» 11 109436
Jotta aliprosessorin olisi mahdollista suorittaa edellä mainittu tunnistaminen, on ohjaavan keskussuorittimen ja alisuo-rittimen neuvoteltava yhteyden muodostamisvaiheen aikana siten, että keskussuoritin voi antaa tarvittavan ohjausinformaation tai ohjeet alisuorittimille. Yhden tämän muunnelman mukaan neuvottelua ei käydä yhteyden muodostamisvaiheen aikana, vaan adaptiivisesti sen jälkeen, kun ohjaava keskussuoritin tunnistaa, että tulee olemaan oleellisen paljon tietyn tyyppisiä salakirjoitus-/salakirjoituksen purkutoimintoja. i
Pikareittitapauksessa vaaditaan, että alisuorittimet pystyvät käsittelemään PPP-paketinmuotoilemisen yksinkertaisempia osuuksia, IPSec-otsikoita, ja että alisuorittimet edullisesti myös pystyvät tunnistamaan sellaiset tapaukset, joissa itse ohjaussuoritin on otettava mukaan suorittamaan joitakin suurempaa älykkyyttä vaativia tehtäviä, kuten avainneuvottelui-ta. Tätä mahdollisuutta kuvataan kuvion 4 kaavamaisessa mer-kinantokaaviossa.
.V: Kuviossa 5 esitetään yhden mahdollisen suoritusmuodon vuokaa- • · * vio, alkaen edellä mainitusta neuvotteluvaiheesta. Sen jäi- t · · · keen, kun on määritetty, onko ohjaava keskussuoritin antanut mitään informaatiota alisuorittimelle vai ei, on seuraava ίί : vaihe määrittää, onko alisuorittimeen tuleva datapaketti saa- « * # '/ > puva datapaketti vai lähtevä datapaketti. Tarkistettuaan, sopiiko datapaketti tiettyyn edeltä määriteltyyn kaavaan vai
f I I
ei, alisuoritin purkaa paketin salakir joitukses- ta/salakir joittaa paketin riippuen paketin siirtosuunnasta.
Salakirjoituksen purku-/salakirjoitustoimintojen suoritta- ·;··! misen jälkeen proseduuri palaa siihen vaiheeseen, missä ali- X suoritin odottaa mahdollisia ohjeita keskussuorittimelta * * · ,·*·, ja/tai uusien datapakettien saapumista alisuorittimeen.
I I t 12 109436
Edellä mainitun lisäksi on mahdollista käyttää modeemiyhteys-käytännössä toteutettua vuonohjausmekanismia salakirjoitus-/salakirjoituksen purkuprosesseissa mahdollisesti esiintyvien ylikuormitustilanteiden signaloimiseksi, silloin kun samaa alisuoritinta käytetään sekä modeemitarkoituksiin että salakirjoitus-/salakirjoituksen purkutarkoituksiin.
Järjestelmässä, joka käyttää vain virtuaalilaitteita (siis mitään varsinaisia modeemeja ei käytetä, vaan liikenne koostuu niin sanotusta tunnelipäätteisestä liikenteestä) liikenne ei normaalisti kulkisi DSP:iden tai muiden alisuorittimien kautta. Jos alisuoritinresursseja halutaan käyttää salakir-joitus-/salakirjoituksen purkuresursseina, on järjestettävä niin, että sanomat siirretään niiden kautta. Vaikka tämä onkin lisäpiste sanomapolkuun, ei edelleenkään ole tarvetta lähettää sanomaa edestakaisin väylää pitkin keskusohjaussuorit-timen ja alisuorittimen välillä, koska datapaketit voidaan myös järjestää kulkemaan suoraan ulos liitäntäkortista salakir joitus-/salakirjoituksen purkuprosessien jälkeen. Tällöin • · • t·'^ ohj aussuorittimen on annettava otsikkotiedot alisuorit- • » ·,· j timelle, jotta alisuoritin pystyy lisäämään oikean otsikon
1 I
•*,V (tunneliin menevän) datapaketin eteen tai tietämään minne lähettää pelkkä (tunnelista tullut) datapaketti.
i * · * · t • · » V * Keksinnössä näin ollen tarjotaan laite ja menetelmä, jolla voidaan saavuttaa merkittävä parannus datan ja/tai sanomien i · > • * salakir j oittamisen/salakirj oituksen purkamisen alueella.
I ft · * » >··' Esitetty ratkaisu antaa mahdollisuuden integroida salakir- * · * : <t>: j oittamisen/salakirj oituksen purkamisen ja modeemikäsittelyn '!“·* tehokkaammalla tavalla. Keksinnön mukainen järjestely on . helposti ja taloudellisesti toteutettavissa sinänsä tunne- tuilla komponenteilla ja se on käytössä luotettava. On myös > t t todettava, että edellä olevat esimerkit ei ole tarkoitettu 13 109436 rajoittamaan keksinnön piiriä edellä esitettyihin erityisiin muotoihin vaan keksintö on pikemminkin tarkoitettu kattamaan kaikki muutokset, samankaltaisuudet ja vaihtoehdot, jotka sisältyvät oheisissa patenttivaatimuksissa määriteltyyn keksinnön henkeen ja piiriin.
ψ · * 4 i « · » · > · < · · t * * I I · · t · ! t · ^ · · I * I I » i · t * I I · t I » 6 * » * » · i » * * · 4 * · « » > e » * * * * » i f Φ t · • k ·
I ( I
» » · $ I » il· I I * I I I t > ! · ill

Claims (10)

1. Menetelmä sanoman salakirjoituksen purkamisek-si/salakirjoittamiseksi viestintäjärjestelmässä, joka käsittää pakettikytkentäisen dataverkon ja yhteydenottosolmun käyttäjän päätteen ja dataverkon välillä, mainitun yhteydenottosolmun ollessa varustettu ohjaussuo.rittimellä ja vähintään yhdellä alisuorittimella, mainitun ohjaussuorittimen ohjatessa mainitun vähintään yhden alisuorittimen toimintaa, käsittäen: sanoman vastaanottamisen yhteydenottosolmussa; sanoman reitittämisen yhteydenottosolmun alisuorittimeen ennen yhteydenottosolmun ohjaussuoritinta; sen tunnistamisen, että tarvitaan salakirjoituksen purku-/salakirjoitustoimintoja; sanoman salakirjoituksen purkamisen/salakirjoittamisen alisuorittimessa; ja salakirjoituksen puretun/salakirjoitetun sanoman välittämisen keskussuorittimeen alisuorittimen ja keskussuo-rittimen välisen väylän kautta.
2. Patenttivaatimuksen 1 mukainen menetelmä, jolloin alisuoritin on modeemipuhelujen päätepisteenä ja sitä käyte- V * tään yhteydenottosolmun sekä modeemidekoodaus- V ' /modeemikoodaustoimintoihin että salakirjoituksen purku- /salakirjoitustoimintoihin.
···’ 3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, jolloin : _ alisuoritin on digitaalinen signaalisuoritin (DSP, engl. di- gital signalling processor).
4. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, jolloin alisuoritin on liitäntäkortti. 109436
5. Minkä tahansa edellä olevista patenttivaatimuksista mukainen menetelmä, jolloin ohjausvaihe suoritetaan adaptiivisesta yhteyden muodostusvaiheen jälkeen ja sen jälkeen kun ohjaussuoritin tunnistaa, että tulee olemaan tuntuvissa määrin tietyn typpisiä salakirjoitus-/salakirjoituksen purku-toimintoja.
6. Järjestely viestintäjärjestelmässä, joka käsittää pakettikytkentäisen dataverkon; yhteydenottosolmun rajapintana dataverkkoon; yhteydenottosolmun ohjaussuorittimen; yhteydenottosolmun alisuorittimen, käsittäen välineet alisuorittimeen saapuneen sanoman salakirjoituksen purkamis-/salakirjoittamiskäsittelytarpeen tunnistamiseen, jolloin ohjaussuoritin on sovitettu huolehtimaan alisuorittimen ohjauksesta; välineet sanoman salakirjoituksen purkami- seen/salakirjoittamiseen alisuorittimessa tunnistamisen jäl-. keen; ja I · : : : väylän sanoman lähettämiseen alisuorittimesta ohjaussuo- : :: rittimeen käsittelyn jälkeen.
·,· : 7. Patenttivaatimuksen 6 mukainen järjestely, jolloin ali- ν' · suoritin on sovitettu olemaan modeemipuheluiden päätepistee nä, ja käsittäen välineet sekä modeemidekoodaus-·...· /modeemikoodaustoimintojen että salakirjoituksen purku- ...’ /salakirjoitustoimintojen toteuttamiseen.
·;··: 8. Patenttivaatimuksen 6 tai 7 mukainen järjestely, jol- . .·. loin alisuoritin on digitaalinen signaalisuoritin (DSP) tai • « · .·“. liitäntäkortti. 109436
9. Yhteydenottopalvelin viestintäjärjestelmää varten käsittäen: ohj aussuorittimen; alisuorittimen, joka käsittää välineet aliprosessoriin saapuneen sanoman salakirjoituksen purku- /salakirjoituskäsittelyn tarpeen tunnistamiseen, jolloin oh-jaussuoritin on sovitettu huolehtimaan alisuorittimen ohjauksesta; välineet sanoman salakirjoituksen purkami- seen/salakirjoittamiseen alisuorittimessa tunnistamisen jälkeen; ja väylän sanoman lähettämiseen alisuorittimesta ohjaussuo-rittimeen käsittelyn jälkeen.
10. Patenttivaatimuksen 9 mukainen yhteydenottopalvelin, jolloin alisuoritin on sovitettu olemaan modeemipuhelujen päätepisteenä, ja . käsittäen välineet sekä modeemidekoodaus-/modeemikoodaustoimintojen että salakirjoituksen purku-/salakirjoitustoimintojen toteuttamiseen. • · • « · * t · » · · » * · I 17 109436
FI990858A 1999-04-16 1999-04-16 Tietojenkäsittely yhteydenottosolmussa FI109436B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI990858A FI109436B (fi) 1999-04-16 1999-04-16 Tietojenkäsittely yhteydenottosolmussa
PCT/FI2000/000325 WO2000064117A1 (en) 1999-04-16 2000-04-14 Data processing in an access node
AU39699/00A AU3969900A (en) 1999-04-16 2000-04-14 Data processing in an access node

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI990858 1999-04-16
FI990858A FI109436B (fi) 1999-04-16 1999-04-16 Tietojenkäsittely yhteydenottosolmussa

Publications (3)

Publication Number Publication Date
FI990858A0 FI990858A0 (fi) 1999-04-16
FI990858A FI990858A (fi) 2000-10-17
FI109436B true FI109436B (fi) 2002-07-31

Family

ID=8554449

Family Applications (1)

Application Number Title Priority Date Filing Date
FI990858A FI109436B (fi) 1999-04-16 1999-04-16 Tietojenkäsittely yhteydenottosolmussa

Country Status (3)

Country Link
AU (1) AU3969900A (fi)
FI (1) FI109436B (fi)
WO (1) WO2000064117A1 (fi)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2385951A (en) * 2001-09-21 2003-09-03 Sun Microsystems Inc Data encryption and decryption
JP2005268847A (ja) * 2004-03-16 2005-09-29 Olympus Corp 画像生成装置、画像生成方法、および画像生成プログラム
CN102542364B (zh) * 2010-12-08 2015-05-20 金蝶软件(中国)有限公司 物料需求计划中平衡替代物料的方法和系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4085449A (en) * 1976-11-26 1978-04-18 Paradyne Corporation Digital modem
JP2989263B2 (ja) * 1989-03-31 1999-12-13 キアッパ,ジェイ.ノエル 高速データパケットスイッチング回路および方法
SE465006B (sv) * 1989-06-16 1991-07-08 Televerket Foerfarande och anordning foer kryptering vid datakommunikation mellan dataterminaler
NL9301841A (nl) * 1993-10-25 1995-05-16 Nederland Ptt Inrichting voor het bewerken van datapakketten.

Also Published As

Publication number Publication date
WO2000064117A1 (en) 2000-10-26
AU3969900A (en) 2000-11-02
FI990858A0 (fi) 1999-04-16
FI990858A (fi) 2000-10-17

Similar Documents

Publication Publication Date Title
US6542992B1 (en) Control and coordination of encryption and compression between network entities
US11659385B2 (en) Method and system for peer-to-peer enforcement
US8180901B2 (en) Layers 4-7 service gateway for converged datacenter fabric
US8250214B2 (en) System, method and computer program product for communicating with a private network
US7278157B2 (en) Efficient transmission of IP data using multichannel SOCKS server proxy
US7441262B2 (en) Integrated VPN/firewall system
US6708218B1 (en) IpSec performance enhancement using a hardware-based parallel process
US6892240B1 (en) Bidirectional communication system and method
US20020191604A1 (en) Application-specific information-processing method, system, and apparatus
JP2004524768A (ja) ネットワークアプリケーション用に保護処理機能を分配するシステム及び方法
US6983382B1 (en) Method and circuit to accelerate secure socket layer (SSL) process
JP2005503691A (ja) 移動装置への又は移動装置からのデータトラフィック用ネットワークインフラストラクチャ装置
EP1977550A2 (en) Digital object title authentication
KR20040075380A (ko) 억세스 가상 사설망의 데이터 암호화 방법
US7203195B2 (en) Method for packet transferring and apparatus for packet transferring
WO2007067915A2 (en) Digital object title and transmission information
FI109436B (fi) Tietojenkäsittely yhteydenottosolmussa
US20040117488A1 (en) Dynamic callback packet filtering gateway
Hohendorf et al. Secure End-to-End Transport Over SCTP.
JP3603830B2 (ja) セキュリティゲートウェイ装置
Georgopoulos et al. A protocol processing architecture backing TCP/IP-based security applications in high speed networks
KR20010056418A (ko) 왑 상에서의 종단 간의 보안 방법
KR100628320B1 (ko) VPN IPsec 가속 장치
CN116010077A (zh) 一种家庭智能网关多核cpu处理器的控制方法及装置
JP2024530911A (ja) アクセス制御方法、クライアントプロキシ装置、ゲートウェイデバイス、および関連するシステム