NO316150B1 - Fremgangsmåte, apparat og innretning til chiffrering av melding mellom sammenknyttede nettverk - Google Patents
Fremgangsmåte, apparat og innretning til chiffrering av melding mellom sammenknyttede nettverk Download PDFInfo
- Publication number
- NO316150B1 NO316150B1 NO19942657A NO942657A NO316150B1 NO 316150 B1 NO316150 B1 NO 316150B1 NO 19942657 A NO19942657 A NO 19942657A NO 942657 A NO942657 A NO 942657A NO 316150 B1 NO316150 B1 NO 316150B1
- Authority
- NO
- Norway
- Prior art keywords
- messages
- protocol
- encrypted
- equipment
- networks
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000004891 communication Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 8
- 230000015654 memory Effects 0.000 claims description 6
- 238000013478 data encryption standard Methods 0.000 description 17
- 238000004422 calculation algorithm Methods 0.000 description 11
- 244000309464 bull Species 0.000 description 4
- 238000009434 installation Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 238000007620 mathematical function Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Reduction Or Emphasis Of Bandwidth Of Signals (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Telephone Function (AREA)
Description
Den foreliggende oppfinnelse vedrører en fremgangsmåte til chiffrenng av meldinger som oversendes mellom nettverk som er sammenknyttet via broer ved anvendelse av en forutbestemt nettverksprotokoll, hvori man chiffrerer meldingene mens meldingens "ledetekst"-parti bevares åpent, hvilket tillater at den sendes i vei via broen
Den foreliggende oppfinnelse vedrører også en innretning for kommunikasjon av datameldinger mellom minst to utstyrsenheter som er tilknyttet to forskjellige nettverk som er sammenknyttet via minst en bro ved anvendelse av en forutbestemt nettverksprotokoll
Den foreliggende oppfinnelse vedrører også et grensesnittapparat som skal anvendes for å kommunisere datameldinger mellom minst to forskjellige nettverk som er sammenknyttet via minst en bro ved anvendelse av en forutbestemt nettverksprotokoll, idet innretningen for hvert nettverk eller dets tilknyttede utstyr omfatter anordning for avlesning av et minnekort
Gjennom bro kan det passe å motta fra et nettverk eller en mellomliggende støttefunksjon som tillater overføring av meldingene
Bemerk også at en protokoll er et sett av konvensjoner eller regler som defi-nerer slikt som formatet, rekkefølgene, algontmen for påvisning av feil ved overføringen av de data som overføres etc
Når det gjelder dette, svarer en nettverksprotokoll til laget nettverksnivå 3 i ISO's lagkonstruksjon (standard X200) som er foreslått av ISO (engelsk språklige initialer for International Standardisation Organisation) Bemerk likeledes at nettverksnivåets rolle er å frembringe de prosedyrer og de funksjonelle midler som er nødvendige for utveksling av informasjon som leveres av transportlaget ifølge ISO Datapakkene sendes i vei i form av meldinger inneholdende "ledetekster" som er sammenføyd med de aktuelle data og utgjør flere segmenter som spesielt indikerer avsenderens og mottakerens adresser
Den foreliggende oppfinnelse finner en spesielt viktig, men ikke eksklusiv anvendelse innen området beskyttelse av tilgang til telematikknettverks-tjenestene
Det er allerede kjent innretninger som tillater å chiffrere data som overføres i sene på en lavhastighets-hnje, eksempelvis det ifølge rekomandosjonen CCITT V24 (totråds seneforbindelse RS 232) Slike innretninger forutsetter en integrert chiffrenng av de overførte datameldinger og deres ledetekster, uten hensyn til protokoll Denne type tiltak som spesielt er utviklet innen bankområdet, fungerer likeledes med microprosessorkort
Dette medfører ulemper Tiltaket er faktisk av begrenset verdi og tillater nærmere bestemt ikke sammenknytting og kommunikasjon av data mellom to nettverk i all hemmelighet, via ikke overvåkede broer
Computer Commumcation Review, Vol 19, nr 2, April 1989, New York, sider
32-48, S M Bellovm "Secunty Problems in the TCP/IP Protocol Suite" beskriver og analyserer sikkerhetsproblemer ved bruk av forskjellige protokoller relatert til TCP/IP protokollen, hvor det blant annet diskuteres bruk av kryptenngsmetoder for å sikre kommunikasjon I en av krypteringsmetodene blir det nevnt
kryptering av datadel av TCP-segment, hvor den krypterte delen blir beregnet for kontroll av datapakker
D W Davis et al "Secunty for Computer Networks", 1989, J Wiley, New York, beskriver en teori for frembringelse av krypterte meldinger, hvor det blant annet blir diskutert og gjennomgått effekten ved bruk av DESalgontme avsnitt 3 3-
WO 8910666 A1 besknver en metode for å sikre kommunikasjon i et nettverksystem Systemet omfatter et antall noder som benytter en forutbestemt nettverksprotokoll, hvor nettverksprotokollen har en pakkeformat inneholdende forskjellige felt som blant annet et mottakeradressefelt for identifisering av noder, et kontrollfelt for kontroll av pakkeformatinnhold og lengde og felter (106, 108, 114) innbefattende kryptering av data relatert til informasjonsinnhold, destinasjonsadresser og autentisenngsdata
Fremgangsmåten, innretningen og apparatet ifølge foreliggende oppfinnelsen kjennetegnes som beskrevet i de karakteriserende deler av hovedkrav 1, 7 og 12
Foretrukne utførelser av oppfinnelsen beskrives i underkravene
Den foreliggende oppfinnelse tar sikte på å frembringe en fremgangsmåte til chiffrenng av meldinger som overføres mellom sammenknytte nettverk, et apparat og en innretning som iverksetter en slik fremgangsmåte idet denne bedre enn de tidligere kjente fremgangsmåter besvarer de praktiske krav, spesielt idet den tillater en dataoverføring mellom utstyr som er forbundet med disse nettverk, på chiffrert måte, i all hemmelighet, alt ved å gjøre anvendelse av en fremgangsmåte som enkelt og med letthet kan tilpasses til eksisterende protokoller og utstyr
En slik chiffrenng tillater at dataoverføringen sikres mens hemmeligholdelsen beskyttes, på de nettverks- eller bropartier som er kjent for å være utrygge og som befinner seg mellom de to aktuelle nettverk
Idet den nettverksprotokoll som benyttes med fordel er Internett Protokollen (IP), kjennes fremgangsmåten til chiffrenng ved at man chiffrerer meldingen mens IP-ledetekstene bevares åpne og at samtidig som de aktuelle data chiffreres, chiffreres i det minste et parti av ledeteksten svarende til de anvendte TCP- eller UDP-transpotrprotokoller
Som kjent er IP-protokollen ett dellag av nettverkslaget (lag 3) i ISO's lagkonstruksjon Internettlaget konverterer enhver nettverkstjeneste til en datagramtjeneste og uniformerer således nettverkene for transportfaget (ISO-konstruksjonens lag 4)
TCP- og UDP-protokollene er protokoller for lagtransport TCP (engelsk språklige initialer for Transmission Controll Protocol) leverer en tjeneste kalt virtuell krets og benytter et frikjenningssystem for feilsøkingen UDP (engelsk språklige initialer for User Diagram Protocol) leverer når det gjelder denne en støtte til transaksjonsprotokollene og utfører ikke de samme kontroller som
TCP
I en fordelaktig utførelsesform er det kryptosystem som benyttes til chiffrenng av meldingene systemet DES (engelsk språklige initialer for Data Encryption Standard) Det dreier seg om et krypto&ystem som svarer til en amerikansk norm og benytter en nøkkel på 56 bits
Med fordel benyttes DES-systemet i CBC-modus
DES (Data Encryption Standard) og dennes funksjonsmodus CBC (Cipher Block Chaining) er beskrevet i de følgende standarder
"Data Encryption Standard", Federal Information Processing Standards Publication 46, National Bureau of Standards, U S Department of Commerce, januar 1977,
"DES Modees of Operation", Federal Information Processing Standards Publication 81, National Bureau of Standards, U S Department of Commerce, desember 1980
Interessen for CBC-modus henger i det vesentlige sammen med det faktum at dersom en rekke identiske verdier chiffreres, er ikke de chiffrerte resultater for hver identisk verdi de sammen
Likeledes fordelaktig chiffrerer man helheten av en datamelding, på samme måte som det tilsvarende TCP- eller UDP-ledetekstparti, for å oppnå en bits kjede av en lengde som er delelig med 64
I en fordelaktig utførelsesform ifølge oppfinnelsen kjennetegnes fremgangsmåten ved at det chiffrerte TCP- eller UDP-ledetekstparti omfatter det parti som kalles "checksum"
TCP-/UDP-checksum er en konrollsum som av den som sender meldingen beregnes i følge den algoritme som er beskrevet i RFC793-normen som funksjon av de data som skal overføres og som er lagt til inn i meldingen RFC (engelsk språklige initialer for Request For Comments) er dokumenter som utgitt av InternettActives Board, som hovedsakelig fungerer som en standard, og som kan anskaffes hos Government System Inc , Network Information Center, 14200 Park Meadow Drive, Suite 200, Chantilly, VA 22021 USA
Mottakeren beregner på nytt denne kontrollsum som funksjon av de mottatte data Dersom den verdi som finnes adskiller seg fra den som er overført i meldingen, konkluderer mottaket med at det mottatte budskap ikke er gyldig Det dreier seg altså om en kontroll av helheten Chiffrenngsapparatet chiffrerer og dechiffrerer med fordel denne kontrollsum for å gjøre en ondsinnet endring av budskapet umulig og dette skjer takket være den nye beregning av en korrekt kontrollsum, som således bedragers var modifisert Dersom dette var tilfelle, ville den (uunngåelig) dechiffrering av kontroll gjøres dennes verdi ukorrekt og bevirke at mottakeren forkaster meldingen
Denne fremgangsmåte garanterer altså meldingenes integritet vis-a-vis risikoen for uvilje
Oppfinnelsen foreslår likeledes en fremgangsmåte til behandling av meldinger som oversendes mellom utstyr som tilhører minst to sammenknytte nettverk som hver for seg inneholder minst en utstyrsenhet som er autorisert til å sende og motta meldinger som er chiffrert ifølge den i det foregående beskrevne fremgangsmåte til chiffrenng, idet utstyrsenheten kjennetegnes ved at behandlingen av en melding omfatter de følgende etapper verifisenng av tilstedeværelsen av et minnekort for autentifisenng av operatøren for det første utstyr,
verifisering av den protokoll som benyttes mellom de to utstyrsenheter, og hvorvidt protokollen er den forutbestemte nettverksprotokoll (eksempelvis TCP/IP-protokollen eller UDP/IP-protokollen) søking etter en nøkkel som henger sammen med senderutstyret og en nøkkel som henger sammen med mottakerutstyret,
dersom nøklene eksisterer, chiffrenng av den melding som skal sendes, og overføring av sendingen, i motsatt fall forkastelse av meldingen, verifikasjon av tilstedeværelsen av et minnekort for autentisering av operatøren på den andre utstyrsenhet,
verifikasjon av den protokoll som benyttes mellom de to utstyrsenheter, og dersom protokollen er den forutbestemte nettverksprotokoll (eksempelvis TCP/IP eller UDP/IP) søking etter en nøkkel som henger sammen med senderutstyret og en nøkkel som henger sammen med mottakerutstyret,
dersom de to nøkler eksisterer, dechiffrering av den mottatte melding, i motsatt fall forkastelse av meldingen
Det er spesielt hensiktsmessig om nøkkel anvendes for å oppfange en spesifikk datagruppe som er forutbestemt eller kan beregnes ved en forutbestemt algoritme, og som utelukkende er ment for autoriserte brukere
Hver av chiffrenngs- og dechiffrenngsetappene benytter en nøkkel For at dechiffreringen skal kunne utføres med fremgang, bør den benytte dechiffreringsnøkkel som henger sammen med den chiffrenngsnøkkel som er benyttet
I tilfellet med en såkalt symetnsk chiffrenngsalgontme, slik som DES, bør nøklene for chiffrenng og for dechiffrering være identiske Det benyttes en konvensjon som tillater deduksjon av denne parnøkkel (nøkkel tilknyttet senderutstyret, nøkkel tilknyttet mottakerutstyret) Denne konvensjonen kan eksempelvis være å velge den nøkkel som er tilknyttet senderutstyret, eller endog å benytte resultatet av en matematisk funksjon som nøkkelpar
I tilfellet med en såkalt asymmetrisk chiffrenngsalgontme, er nøklene for chiffrenng og dechiffrering altså ulike, selv om de er avhengig av hverandre Konvensjonen skal tillate deduksjon av et par chiffrenngsnøkler (nøkkel tilknyttet senderutstyret, nøkkel tilknyttet mottakerutstyret), som er forskjellig fra det første, ifølge den samme konvensjon
Ifølge oppfinnelsen foreslås likeledes en kommunikasjonsinnretning for datameldinger mellom minst to utstyrsenheter som er tilknyttet to forskjellig nettverk som er sammenknyttet via minst en bro som benytter en forutbestemt nettverksprotokoll (eksempelvis internettprotokollen (IP)) kjennetegnet ved at innretningen, for hvert nettverk eller dettes tilknyttede utstyr, omfatter anordning til avlesning av et minnekort og et grensesnittapparat omfattende meldingschiffrenngsanordning som er innrettet for å chiffrere data og i det minste delvis de ledetekster som svarer til transportprotokollen (eksempelvis TCP eller UDP) for meldingene, og overføringsanordning for de chiffrerte meldinger, idet de chiffrerte meldingers ledetekster bevares åpne hvilket tillater at de sendes i vei via broen,
anordning for identifikasjon av autonserte nett eller utstyrsenheter, som er tilknyttet grensesnittapparatet,
anordning som er innrettet for å dechiffrere chiffrerte meldinger, gi respons på signaler som genereres av avlesingsanordnmgen fra minnekortet og fra anordningen for identifikasjon av nettene eller utstyrsenhetene
Grensesnittapparatet vil kunne være tilknyttet direkte eller via et beskyttet nett, enten til utstyr av typen post eller \\\ utstyr av typen tjenestegiver
Utstyr av typen post er eksempelvis en klassisk PC-mikrodatamaskin som er utstyrt med et ETHERNET-kort eller en UNIX arbeidsstasjon Innretningen autoriserer da bare kommunikasjon i chiffrert modus fra denne post med den eller de autoriserte tjenestegivere eller poster hvis referanser er innført i grensesnittapparatet
Et grensesnittapparat som er tilknyttet en utstyrsenhet av typen tjenestegiver tillater derimot at denne tjenestegiver kommunikerer i chiffrert modus med poster eller med andre tjenestegivere som er innregistrert i grensesnittapparatet, og eksempelvis i uchiffrert modus med alt annet utstyr
I en fordelaktig utførelsesform kan denne sistnevnte mulighet hindres ved en spesifikk konfigurasjon av innretningen
Ifølge oppfinnelsen foreslås likeledes et grensesnittapparat som innretning for kommunikasjon av den i det foregående beskrevne type datameldinger idet apparatet omfatter
anordning for meldingschiffrenng som er innrettet for å chiffrere data og i det minste delvis de ledetekster som svarer til transportprotokollen (eksempelvis TCP eller UDP) for meldingene,
anordning for overføring av de chiffrerte meldinger, idet ledeteksten (eksempelvis IP) forde chiffrerte meldinger besvares åpent, hvilket tillater at de sendes i vei via broen,
anordningen for identifikasjon av de autoriserte nett eller utstyrsenheter som er knyttet til grensesnittapparatene,
anordning som er innrettet for å dechiffrere de chiffrere meldinger, gi respons til signaler som genereres avlesningsanordnigen da minnekortet og nettenes eller utstyrsenhetenes anordning for identifikasjon
Med fordel er apparatet nærmere bestemt innrettet for å være tilknyttet til en utstyrsenhet av typen tjenestegiver
Den foreliggende oppfinnelse kan lettere forstås ved gjennomlesning av den følgende beskrivelse av spesielle utførelsesformer som fremlegges som inne begrensende eksempler
Besknvelsen henviser til vedlagte tegninger hvori
Figur 1 viser en innretning for kommunikasjon mellom utstyrsenheter som tilhører flere ulike nettverk, idet nettverkene er sammenknyttet via broer som gjør anvendelse av internettprotokollen, iføge en utførelsesform av oppfinnelsen Figur 2 viser blokkdiagrammet for et grensesnittapparat ifølge den utførelsesform av oppfinnelsen som mest detaljert er beskrevet hen Figur 3 viser for fullstendighetens skyld en post som tillater programmering av minnekort som kan anvendes sammen med oppfinnelsen Figur 4-5 viser det kjente prinsipp som benyttes i kryptosystemet DES og som er iverksatt i den fremgangsmåte ifølge oppfinnelsen som er mest detaljert beskrevet hen Figur 6, 7, 8, 9,10 og 11 viser en påminnelse om oppbygningen av et IP/TCP-eller IP/UDP-Ethernetinnslag (figur 6, av en Ethernetledetekst (figur 7), av en isoledetekst (figur 8), av en IP-ledetekst (figur 9), av en TCP-ledetekst (figur 10 og av en UDP-ledetekst (figur 11)
I figur 11 er det vist en innretning 1 for kommunikasjon ifølge en spesiell utførelsesmodus av oppfinnelsen, mellom utstyr som tilhører flere nettverk
Et første nettverk 2 som kvalifiserer til sikkert nettverk, omfatter eksempelvis en første beskyttet tjenestegiver 3, en andre beskyttet tjenestegiver 4, og en arbeidspost som er kalt privilegert arbeidspost 5
Et første grensesnittapparat 6 er forbundet med nettverk 2 ved en Ethernetforbindelse 7 Dette er innrettet for å filtrere meldinger som er ment for de beskyttede tjenestegiver 3 og 4 og som ankommer fra det ikke sikre nettverk 8, og for å autorisere disse beskyttede tjenestegiverens tilgang til de privilegerte arbeidsposter 9 og 10
Apparatet 6 er likeledes forbundet med det ikke sikre nettverk 8 ved hjelp av en Ethernetforbindelse 11, eksempelvis via et rauter (un routeur) 12, eller ved hjelp av en annen utstyrsenhet som gjør seg nytte av et Ethernetgrensesnitt av typen DTE (i ISO 8802 3-standardens betydning)
En slik kopling er den for en bro, idet det med grensesnittapparatet 6 er forutsett en MAU/MAU-adapter (ikke vist) som altså er plassert innkoplet på den kabel som går ut av Ethernet
Mau-adapteren (MAU er engelskspråklige initialer for Medium Access Unit) er i seg selv kjent og utfører nærmere bestemt funksjonene med koding og dekoding av data, synkronisering og gjenkjenning av innslag
De usikre nettverk 8 omfatter eksempelvis en ubeskyttet tjenestegiver 13 og en upnviligert arbeidspost 14 Den er via routerne 15 og 16 forbundet med to nettverk 17 og 18
Det første nettverk 17 er beskyttet Det er utstyrt med et andre grensesnittapparat 19 som er forbundet med nettverket 17 ved Ethernetforbindelse på en liknende måte som det man har sett i det foregående Nettverket 17 omfatter nærmere bestemt den privilegerte arbeidspost 9 I dette tilfellet er apparatet 19 altså forbundet med et nettverk (nettverk 17) som kan være privilegert
Nettverket 18 er tilknyttet nettverk 8 via rauter 16 ved hjelp av Ethernetforbmdelsen 21, som i det foregående
Det omfatter posten 10 som er i grensesnitt med resten av nettverket 18 ved hjelp av et grensesnittapparat 22 I dette tilfellet er altså utelukkende posten 10 privilegert
Minnekortene 23, 24, 25 er for øvng forutsatt å skulle validere grensesnittapparatene 6,19 og 22
Likeledes gjøres de følgende bemerkninger under henvisning til figur 1
posten 5 kan ha tilgang til de beskyttede tjenestegivere 3 og 4 siden de ikke er separert av noe grensesnittapparat Den har derimot ikke tilgang til tjenestegiver 13 (dersom denne er aktiv)
grensesnittapparatet 6 sikrer de to beskyttede tjenestegiverens 3 og 4 tilgang vis-a-vis postene 14, 9 og 10
grensesnittapparatet 19 (hhv 22) tillater for arbeidsposten 9 (hhv 10) tilgang til tjenestegiverne 3 og/eller 4 dersom det kjenner disse tjenestegiverens 3 og/eller 4 nøkkel
Nå skal det beskrives et grensesnittapparat ifølge den heri aller mest foretrukne utførelsesform
Som man har sett det, er grensesnittapparatene altså i dette tilfellet utstyrsenheter som tilføres til nettverk for å sikre tilgangen til en eller flere tjenestegiver
Hver grensesnittapparat omfatter en kortleser for mikroprosessor, en grensesnittoperatør som er satt sammen av et tastatur med seksten taster og en meldingsgiver (affischeur), og to Ethernetgrensesnitt av typen DTE (i ISO 8802 3-standardens betydning) En MAU/MAU-adapterkasse tillater at grensesnittapparatet plasseres innkoplet på den utgående kabel (den blå Ethernetkabel)
I den utførelsesform ifølge oppfinnelsen som er mer særskilt beskrevet hen, er grensenittsapparatets rolle å sikre kommunikasjonenes integritet og konfidensialitet ved anvendelsen av protokollene DoD IP/TCP og IP/UDP som er beskrevet i standardene RFC 791, RFC 768, RFC 1122, RFC 1166, RFC 1042 (bemerk at RFC er de engelskspråklige initialer for Request For Comments) Dersom og utelukkende dersom en habilitetsprosedyre som gjør anvendelse av et mikroprosessorkort her vært utført korrekt, og dersom kortet befinner seg i grensesnittapparatets leser Et beskyttet register inne i grensesnittapparatet omfatter de DES-nøkler som henger sammen med sendernes IP-adresser
Behandlingsprinsippet for innslagene i grensesnittapparatet er, når habilitets-prosedyren er korrekt, oppgitt i det følgende
når et IP-datagram som transporterer en TCP- eller UDP-protokoll er mottatt (normalt åpen) i grensesnittet 30 (se figur 1, og dersom de nøkler som er forbundet med senderens og mottakerens IP-adresser er funnet, chiffreres et parti av dette datagrams brukerdata sammen med en DES-algontme ved
anvendelse av en nøkkel som er forbundet med senderens IP-adresse Dernest sendes datagrammet over grensesnittet 31
når et IP-datagram som transporterer en TCP- eller UDP-protokoll er mottatt (normalt chiffrert) over grensesnittet 31, og dersom senderens og mottakerens nøkler tilknyttet IP-adressene er funnet, dekrypteres et parti av dette datagrams brukerdata ved hjelp av en DES-algontme ved anvendelse av en nøkkel som er knyttet til senderens IP-adresse (den samme nøkkel som ble anvendt ved chiffrenng) Datagrammet sendes deretter over grensesnittet 30 de IP-TCP- eller IP/UDP-datagram som mottas over den ene eller den annen av grensesnittene (30 eller 31), som har en IP-senderadresse eller en IP-mottakeradresse for hvilke ingen nøkkel kan finnes, blir forkastet eller videresendt som funksjon av en konfigurasjonsparameter "X"
de øvrige datagram (hverken IP/TCP eller IP/UDP som mottas over den ene eller den andre av grensesnittene (30 eller 31 blir videresendt over det andre grensesnitt uten behandling
I det tilfellet hvor habtlitetsprosedyren ikke er korrekt utført eller dersom det ikke foreligger noe kort i leseren, vil en konfigurasjonsparameter "Y" beslutte å videresende alle innslag som er mottatt fra et grensesnitt over det annet (såkalt arbeidspostmodus) uten behandling
å forkaste alle mottatte IP/TCP- og IP/UDP-innslag De øvrige innslag blir videresendt uten behandling
Grensesnittapparatet bør altså
sikre sikkerhetsfunksjonene,
være i grensesnitt overfor omgivelsene,
være initialisert fra og med installasjonen,
sikre modifikasjon av bestemte data (administrasjon)
Figur 2 viser et blokkdiagram av grensesnittapparatet 6, 19 eller 22 som nærmere besknves hen, uten at dette skal føre til noen begrensning
Grensesnittapparatet omfatter et eksempelvis metallisk deksel 32, to Ethernetgrensesnitt 33 og 34 av typen DTE, med to femten punkters hunkontakter 35 og 36 (vist ved 30 og 31 på figur 1), en 220 V 50 Hz strømtilførsel vist ved 37 på figur 2, med avbryter og sikring (ikke vist), et seksten tasters tastatur 38, en to linjer meldingsgiver på tyve tegn 39, en kontakt 40 for mikroprosessorkort, en forgreningskabel (ikke vtst), en femtentråders Ethernet forbindelseskabel som motsvarer ISO 8802 3-standarden (ikke vist) og en eller flere prosessorer eller koprosessorer med tilhørende minne og tilknyttede penferienheter betegnet 41 til 52 på figur 2
Mikroprosessorkortet er eksempelvis det kort som fremstilles av det franske selskap Bull under kataloghenvisningen BULL CAM CP8 maske 4
Likeledes og eksempelvis omfatter grensesnittapparatet en mikroprosessor 41 av typen INTEL 80960CA som rettes for å styre de to Ethernetgrensesnitt 33 og 34 og en mikroprosessor 42 av type INTEL 80C186 som benyttes for å styre brukergrensesnittene 43 og 44
Det forutsettes to koprosessorer DES 45 og 46 av typen CRYPTECH CRY12C102P, som fabnkeres av det belgiske selskap CRYPTECH, 510-512 Chaussee de Louvain, Boks 18, B-1930 Zaventem, Belgia for chiffrenng og dechiffrering av meldingene Hver koprosessor er direkte tilknyttet til prosessorens 80960CA buss og betraktes som en perifenenhet
To supplerende koprosessorer (ikke vist) av typen INTEL 82596CA er tilknyttet INTEL-prosessoren 80960CA for å styre grensesnittene 33 og 34
Dialogen mellom en koprosessor og 80960CA-prosessoren gjennomføres ved hjelp av et felles minne 47 Endelig forutsettes likeledes korttidsminner (RAM) 48, 49 og langtidsminner (EPROM) 50, 51 og dessuten en klokkemodul 52
Et batteri 53 og en innretning 54 for påvisning av åpning av dekselet 32 fullfører grensesnittapparatet ifølge den utførelsesmodus av oppfinnelsen som er mest detaljert beskrevet hen
Figur 3 viser for fullstendighetens skyld en post som tillater programmering av minnekortene på en måte som i seg selv er kjent
Posten omfatter en IBM PC/AT-kompatibel mikrodatamaskin 30 til hvilken det er tilknyttet to mikroprosessorkotrlesere/-innkodere 61 og 62, eksempelvis av den type som fremstilles av det franske selskap Bull under kataloghenvisning TLP 224 fra BULL CP8, og en skriver 63
Det som nå skal beskrives er funksjonen for innretningen ifølge oppfinnelsen under nærmere henvisning til figurene 1 til 3 og særskilt til figur 1 samt til kommunikasjonene mellom nettverket 18 og nettverket 2
Brukeren av post 10 (nettverk 18) identifiseres ved sitt mikroprosessorkort 25 De parametre som verifiseres er de følgende
identifikasjon av bæreren
korttype
Identifikasjon av bæreren søkes eksempelvis i en liste på 100 identifikatorer, som er satt opp ved installasjonstidspunktet Denne liste kan modifiseres av en operatør som er autorisert av grensesnittapparatet 22
Den validitetsdato som leses i kortet 25 sammenliknes med grensesmttapparatets 22 dato Med fordel, for å unngå tidsinnstilling hver gang spenningen slås på, har grensesnittapparatet en klokkemodul 52 som er sikret med batteri 53
Kortets validitetsdato tas opp av leseren/innkoderen (eksempelvis 61) når kortet lages
Brukeren bir i så fall autentifisert ved dennes kode som foreligger på mikroprosessorkortet 25
Identifikasjonen og autentiseringen utføres lokalt i grensesnittapparatet 22 Hvis dette er vellykket, blir grensesnittapparatet aktivt frem til at kortet trekkes ut Dersom en eneste parameter er ugyldig, forblir grensesnittapparatet inaktivt
Grensesnittapparatet 6 som er tilknyttet tjenestegiverne 3 og 4 identifiserer deretter arbeidsposten 10 takker være dens IP-adresse Denne adresse er faktisk unik
Dette samme grensesnittapparat 6 autentifiserer arbeidsposten 10 ved at den mottatte melding dechiffreres
Dechiffrenngsnøkkelen gjenfinnes i et register utfra senderens IP-adresse (i dette tilfellet arbeidspost 10) Grensesnittsapparatet 6 som er tilknyttet til tjenestegiverne 3 og 4 har altså tilstrekkelig mange dechiffrenngstilfeller til at det finns arbeidsposter som er autorisert for å ha tilgang til tilknyttede tjenestegivere Disse nøkler og disse adresser blir tatt opp ved grensesnittapparatets 6 installasjon
Chiffrenngskoden gjenfinnes i et register utfra senderens IP-adresse (tjenestegiver 3 eller 4 i dette tilfellet) Grensesnittapparatet 6 som er tilknyttet tjenestegiverne 3 og 4 har altså tilstrekkelig med chiffrenngsnøkler til at det finns tjenestegivere tilknyttet til dette grensesnittapparat Disse nøkler og disse adresser blir likeledes satt opp ved grensesnittapparatets 6 installasjon Algoritmen for behandling av et mottatt innslag oppgis i den følgende tabell Det kan være fortsatt en hurtigbuffer på en til tre nøkler på en måte som i seg selv er kjent, for å unngå unødig søking når flere datagram med samme adresse ankommer etter hverandre
Identifikasjonen og autentiseringen av tjenestegiveren kan utføres på en måte som likner den som er beskrevet i det foregående i tilfellet med identifikasjon og autentisering av arbeidsposten
Grensesnittapparatet 22 som er tilknyttet til arbeidsposten 10 identifiserer tjenestegiveren 3 (eller 4) takket være dens IP-adresse, idet denne adresse er unik
Dette samme grensesnittapparat 22 autentiserer tjenestegiveren ved at den dechiffrerer den mottatte melding
Dechiffreringsnøkkelen gjenfinnes i et register utfra tjenestegiversenderens 3 (eller 4) IP-adresse Grensesnittapparatet 22 som er tilknyttet arbeidsposten 10 har altså tilstrekkelig med dechiffrermgsnøkler til at det fins beskyttede tjenestegivere til hvilke det kan ha tilgang (to her) Også her blir disse nøkler og disse adresser satt opp ved grensesnittapparatet 22 installasjon Algoritmen er den samme som tidligere
På samme måte kan det forutsettes en hurtigbuffer på en type nøkler for å unngå unyttig søking idet flere datagram med samme adresse ankommer etter hverandre
Når det gjelder meldingenes hemmeligholdelse, sikres denne av chiffrenng av sendingen og dechiffrering av mottakelsen ved anvendelse av DES algoritmen (Data Encryption Standard) i CBC-modus
DES algoritmen er symetnsk med hemmelige nøkler Den nøkkel som benyttes for å chiffrere et innslag er tilknyttet senderens IP-adresse
Slik det er vist bygger interessen for CBC-modus på det faktum at to påfølgende identiske verdisener ikke gir to identiske chiffrerte verdier
For å unngå forfalske omstilling (replay i engelsk språklig terminologi) av en utveksling av chiffrert melding som oppfanges ved passiv avlytting, forutsettes det med fordel en tidsdatenng av chiffreringens og dechiffreringens initialvektor, en vektor som er nødvendig for CBC-modus Tidsdatenngen sikres ved en klokkeinnretning som foreligger i hver utstyrsenhet
Anderledes uttrykt varierer initialvektoren som funksjon av tiden
Som påminnelse gjengis i det følgende under henvisning til figurene 4 og 5 prinsippet for chiffrenng av en melding ved anvendelse av DES-algontmen
Et åpent budskap P følger Senderen begynner ved å omskrive meldingen P i
binær form, hvor den for dette benytter et hvilket som helst binært alfabet Den kapper deretter meldingen i blokker på 64 bits og utfører den samme operasjon på hver blokk som figuren 4 viser Hver transponenng er en enkel "blanding" av de 64 bits
Prinsippet for de seksten gjentakelser som benyttes i DES-chiffrenng er vist i figur 5 De 32 høyrebits Di+1 oppnås ved å tilføye (operasjon eller eksklusivt), de 32 venstrebits Gi som beregnes utfra Ki-nøkkelen og de 32 Di-bits
Mottaker bør kjenne den 45-bits K-nøkkel og benytte eksakt den samme algoritme fra den krypterte blokk av for å dechiffrere dem Mottakeren oppnår da budskapet åpent
Chiffrenngen {dechiffreringen) utføres på datafeltet og likeledes på et parti av TCP- eller UDP-ledeteksten De ledetekstfelter som benyttes avhenger av størrelsen på feltet med data, siden DES-algoritmen i CBC-modus arbeider med ord på 64-bits
Som en påminnelse er på figurene 6 til 11 vist de elementer som utgjør et Ethernet/I P/TCP- eller UDP-innslag
Figur 6 viser et Ethemet-innslags generelle format 70
Dette innslag omfatter i det vesentlige et forord 71, et SFD-felt (engelsk språklige initialer for Start Frame Dehmiter) 72, en Ethernet-ledetekst 73, en ISO 8802 2-ledetekst (henvisning 74), en IP-ledetekst 75, en TCP- eller UDP-ledetekst 76, data 77 og et FCS-felt (engelsk språklige initialer for Frame Check Sequence) 78
ISO-ledeteksten 74 er ikke nødvendigvis tilstede Faktisk forsvinner den dersom verdien på feltet "type eller lengde" i Ethernet-ledeteksten 73 er større enn verdien 1518 i desimalmodus
Figur 7 viser korrekt uttrykt Ethernet-ledeteksten 73 og figur 8 viser ISO 8802 2-ledeteksten (henvisning 74) IP-ledeteksten 75 er gjengitt på figur 9 Figurenes 7, 8 og 9 ledetekster oversendes åpent i fremgangsmåten ifølge den foreliggende oppfinnelse Figurene 10 og 11 viser hhv ledetekstene TCP 80 og UDP81
Bare disse ledeteksters nedre partier, hhv 82 og 83, og med fordel de partier på de førstnevnte som kalles "checksum" 84 og 85 blir chiffrert
Slik det fremkommer av seg selv og slik det resulterer av det foregående, vedrører den foreliggende oppfinnelse likeledes alle de varianter av fremgangsmåtene og innretningene som er beskrevet og som befinner seg innen rammen av det som er ekvivalent
Nærmere bestemt kan den grunnleggende fremgangsmåte som består av å chiffrere en meldings "data"-parti mens meldingens "ledetekst"-parti forblir åpent slik at meldingen kan sendes i vei, benyttes sammen med andre protokolltyper, og spesielt med den nettverksprotokoll som er spesifisert av den internasjonale standard "Connectionless Network Protocol" IS08473 For å gjøre dette tar man i betraktning lengden på ledetekstfeltene IEEE8802 2 og CLNS IS08473 for å bestemme begynnelsen på chiffrenngs-/dechiffrenngssonen i hver melding under anvendelse av IS08473-protokollen
Claims (14)
1 Fremgangsmåte til chiffrenng av meldinger som oversendes mellom nettverk som er sammenknyttet via broer ved anvendelse av en forutbestemt nettverksprotokoll, hvori man chiffrerer meldingene mens meldingens "ledeteksf-parti bevares åpent, hvilket tillater at den sendes i vei via broen, karakterisert ved at
den forutbestemte nettverksprotokoll er tnternett(IP)-protokollen,
man chiffrerer meldingene mens IP-ledetekstene (75) bevares og samtidig som data (77) chiffreres, chiffreres mmst ett parti (82, 83, 84, 85) av de ledetekster (76, 80, 81) som svarer ti! de TCP- eller UDP-transportprotokoller som benyttes
2 Fremgangsmåte i samsvar med krav 1, karakterisert ved det cryptosystem som benyttes for chiffrenng av meldingene er DES-systemet, man chiffrerer data i sin helhet på samme måte som det tilsvarende parti, delvis eller helt, av TCP- eller UDP-ledeteksten, for oppnå en bits-kjede av en lengde som er delelig med 64
3 Fremgangsmåte i samsvar med krav 2, karakterisert ved at DES-systemet benyttes i CBC-modus, i det den initialvektor som er nødvendig for denne modus modifiseres som funksjon av tiden for å unngå forfalsket omstilling
4 Fremgangsmåte i følge krav 2 eller 3, karakterisert ved at det chiffrerte parti (82, 83) av TCP- eller UDP-ledeteksten omfatter det parti som kalles "checksum" (84, 85)
5 Fremgangsmåte til behandling av meldinger som overføres mellom utstyr (3, 4, 9,10) som tilhører minst to sammenknytte nettverk (2,17,18) som hver for seg omfatter minst en utstyrsenhet som er autonsert til å sende og motta meldinger som er chiffrert ved chiffrenngsfremgangsmåten ifølge et av de foregående krav, karakterisert ved at behandlingen av en melding omfatter de følgende etapper
venfisenng av tilstedeværelsen av et minnekort (23, 24, 25) for autentisering av operatøren på den første utstyrsenhet (3, 4, 9,10),
at den forutbestemte nettverksprotokoll er Internett (IP)-protokollen, idet de ledetekster som i det minste delvis chiffreres sammen med data svarer til meldingenes TCP- eller UDP-transportprotokoll,
verifisering av den protokoll som benyttes mellom de to utstyrsenheter, og hvor vidt protokollen er den forutbestemte protokoll, søking etter en nøkkel som er knyttet til senderutstyret og en nøkkel som er knyttet til mottakerutstyret, dersom de to nøkler eksisterer, chiffrenng av den melding som skal sendes, og overføring av meldingen, i motsatt fall forkastelse av meldingen, verifisering av tilstedeværelsen av et minnekort for autentisering av operatøren på den andre utstyrsenhet,
verifisering av den protokoll som benyttes mellom de to utstyrsenheter, og hvorvidt protokollen er den forutbestemte protokoll, søking etter en nøkkel som er tilknyttet senderutstyret og en nøkkel som er tilknyttet mottakerutstyret, dersom de to nøkler eksisterer, dechiffrering av den mottatte melding, i motsatt fall forkastelse av meldingen
6 Anvendelse av fremgangsmåten i samsvar med ett av de foregående krav til beskyttelse av tilgang til tjenestegiver (3, 4) for telematikknettverk
7 Innretning (1) for kommunikasjon av datameldinger mellom minst to utstyrsenheter (3, 4, 9,10) som er tilknyttet to forskjellige nettverk (2,17,18) som er sammenknyttet via minst en bro (8) ved anvendelse av en forutbestemt nettverksprotokoll, karakterisert ved at innretningen, for hvert nettverk {2,17) eller dets tilknyttede utstyr (10) omfatter et grensesnittapparat (16, 19, 22) omfattende
anordning (41, 42, 45, 46) for chiffrenng av meldinger idet anordningen er innretningen for å chiffrere data og i det minste delvis de ledetekster som svarer til meldingenes transportprotokoll,
anordning (41, 42, 33, 34) for overføring av de chiffrerte meldinger, mens de chiffrerte meldingers ledetekster bevares åpne, hvilket tillater at de sendes i vei ved hjelp av broen,
anordning (41, 42, 48, 49, 50, 51) for identifikasjon av autoriserte nettverk eller utstyrsenheter som er tilknyttet grensesnittapparatene,
at den forutbestemte nettverksprotokoll er lnternett(IP)-protokollen, idet de ledetekster som i det minste delvis chiffreres sammen med data svarer til meldingenes TCP- eller UDP-transpotrprotokoll
8 Innretning i samsvar med krav 7, karakterisert ved at den likeledes inneholder anordning (41, 42, 45, 46) som er innrettet for å dechiffrere de chiffrerte meldinger, gi respons på signaler som generes av leseanordningen for minnekort og av anordningen for identifikasjon av nettverkene og utstyrsenhetene
9 Innretning i samsvar med krav 7 eller 8, karakterisert ved at den likeledes omfatter anordning (61, 62) for avlesning av et minnekort (23, 24, 25)
10 Innretning i samsvar med et av kravene 7 til 9, karakterisert ved at grensesnittapparatet er innrettet for å være tilknyttet til ekte eller via et beskyttet nettverk, eller til en utstyrsenhet av typen post, eller til en utstyrsenhet av typen tjenestegiver
11 Innretning i samsvar med ett av kravene 7 til 10, karakterisert ved at grensesnittapparatet er innrettet for enten å autorisere eller inhibere tilknytningen
12 Grensesnittapparat (6,19, 22) som skal anvendes for å kommunisere datameldinger mellom minst to forskjellige nettverk som er sammenknyttet via minst en bro ved anvendelse av en forutbestemt nettverksprotokoll, idet innretningen for hvert nettverk eller dets tilknyttede utstyr omfatter anordning for avlesning av et minnekort, karakterisert ved at apparatet omfatter anordning (41, 42, 45,46) for chiffrenng av meldinger idet anordningen er innrettet for å chiffrere data og minst delvis de ledetekster som svarer til meldingenes transportprotokoll,
anordning (41, 42, 33, 34) for å overføre de chiffrerte meldinger, mens de chiffrerte meldingers ledetekster bevares åpne, hvilket tillater at de sendes i vei via broen,
anordning for å identifisere (41, 42, 48,49, 50, 51) autoriserte nettverk eller utstyrsenheter som er tilknyttet grensesnittapparatene,
anordning (41, 42, 45, 46) som er innrettet for å dechiffrere de chiffrerte meldinger, i respons til signaler som genereres av anordningen (61, 62) for avlesing av minnekortet og anordning for identifikasjon av nettverkene eller utstyrsenhetene,
at den forutbestemte nettverksprotokoll er lnternett(IP)-protokollen, idet de ledetekster som i det minste delvis chiffreres sammen med data svarer til meldingenes TCP- eller UDP-transportprotokoll
13 Apparat i samsvar med krav 12, karakterisert ved at det er innrettet for å være tilknyttet en utstyrsenhet av typen tjenestegiver
14 Anvendelse av et grensesnittapparat i samsvar med et av kravene 12 eller 13 i et kommunikasjonsnettverk som gjør anvendelse av Internett(IP)-protokollen
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9200881A FR2686755A1 (fr) | 1992-01-28 | 1992-01-28 | Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede. |
| PCT/FR1993/000092 WO1993015581A1 (fr) | 1992-01-28 | 1993-01-28 | Procede, appareil et dispositif de chiffrement de messages transmis entre reseaux interconnectes |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| NO942657D0 NO942657D0 (no) | 1994-07-14 |
| NO942657L NO942657L (no) | 1994-09-12 |
| NO316150B1 true NO316150B1 (no) | 2003-12-15 |
Family
ID=9426040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO19942657A NO316150B1 (no) | 1992-01-28 | 1994-07-14 | Fremgangsmåte, apparat og innretning til chiffrering av melding mellom sammenknyttede nettverk |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US5583940A (no) |
| EP (1) | EP0554182B1 (no) |
| JP (1) | JPH07503347A (no) |
| AT (1) | ATE301901T1 (no) |
| DE (1) | DE69333852T2 (no) |
| ES (1) | ES2247582T3 (no) |
| FI (1) | FI113325B (no) |
| FR (1) | FR2686755A1 (no) |
| IL (1) | IL104555A (no) |
| NO (1) | NO316150B1 (no) |
| WO (1) | WO1993015581A1 (no) |
Families Citing this family (77)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2709847B1 (fr) * | 1993-09-07 | 1995-11-10 | Sagem | Réseau de transmission de données pour au moins deux terminaux. |
| US5479514A (en) * | 1994-02-23 | 1995-12-26 | International Business Machines Corporation | Method and apparatus for encrypted communication in data networks |
| FR2717334B1 (fr) * | 1994-03-11 | 1996-04-19 | Pierre Rolin | Vérification d'intégrité de données échangées entre deux stations de réseau de télécommunications. |
| EP0693836A1 (en) * | 1994-06-10 | 1996-01-24 | Sun Microsystems, Inc. | Method and apparatus for a key-management scheme for internet protocols. |
| US5588060A (en) * | 1994-06-10 | 1996-12-24 | Sun Microsystems, Inc. | Method and apparatus for a key-management scheme for internet protocols |
| US5864683A (en) | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
| FR2727269B1 (fr) * | 1994-11-21 | 1997-01-17 | Allegre Francois | Systeme de controle d'acces a des machines informatiques connectees en reseau prive |
| FR2730326B1 (fr) * | 1995-02-08 | 1999-02-12 | Ercom Sarl | Dispositif de protection des communications sur reseaux informatiques |
| US5867660A (en) * | 1995-05-11 | 1999-02-02 | Bay Networks, Inc. | Method and apparatus for communicating between a network workstation and an internet |
| US5742845A (en) | 1995-06-22 | 1998-04-21 | Datascape, Inc. | System for extending present open network communication protocols to communicate with non-standard I/O devices directly coupled to an open network |
| JPH0950465A (ja) * | 1995-08-04 | 1997-02-18 | Hitachi Ltd | 電子ショッピング方法、電子ショッピングシステムおよび文書認証方法 |
| US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
| US5918018A (en) * | 1996-02-09 | 1999-06-29 | Secure Computing Corporation | System and method for achieving network separation |
| US5913024A (en) * | 1996-02-09 | 1999-06-15 | Secure Computing Corporation | Secure server utilizing separate protocol stacks |
| US5867647A (en) * | 1996-02-09 | 1999-02-02 | Secure Computing Corporation | System and method for securing compiled program code |
| FR2745967B1 (fr) * | 1996-03-07 | 1998-04-17 | Bull Cp8 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
| US5768526A (en) * | 1996-03-08 | 1998-06-16 | Glenayre Electronics, Inc. | Method and apparatus for validating data packets in a paging system |
| FI112419B (fi) * | 1996-06-06 | 2003-11-28 | Nokia Corp | Menetelmä tiedonsiirron salaamiseksi |
| EP0820176B1 (en) * | 1996-07-15 | 2005-09-14 | AT&T Corp. | A method and apparatus for restricting access to private information in domain name systems by filtering information |
| US5872847A (en) * | 1996-07-30 | 1999-02-16 | Itt Industries, Inc. | Using trusted associations to establish trust in a computer network |
| US6003084A (en) * | 1996-09-13 | 1999-12-14 | Secure Computing Corporation | Secure network proxy for connecting entities |
| US5950195A (en) * | 1996-09-18 | 1999-09-07 | Secure Computing Corporation | Generalized security policy management system and method |
| US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
| US6081827A (en) * | 1996-09-23 | 2000-06-27 | Motorola, Inc. | Network navigation methods and systems using an article of mail |
| US5938726A (en) * | 1996-10-04 | 1999-08-17 | Motorola, Inc. | Apparatus for reading an electronic network navigation device and a peripheral for use therewith |
| US6138151A (en) * | 1996-09-23 | 2000-10-24 | Motorola, Inc. | Network navigation method for printed articles by using embedded codes for article-associated links |
| US5940595A (en) * | 1996-09-23 | 1999-08-17 | Motorola, Inc. | Electronic network navigation device and method for linking to an electronic address therewith |
| US5915087A (en) * | 1996-12-12 | 1999-06-22 | Secure Computing Corporation | Transparent security proxy for unreliable message exchange protocols |
| US6240513B1 (en) | 1997-01-03 | 2001-05-29 | Fortress Technologies, Inc. | Network security device |
| WO1998031124A1 (en) * | 1997-01-10 | 1998-07-16 | Hanson Gordon L | Reverse proxy server |
| US5968133A (en) * | 1997-01-10 | 1999-10-19 | Secure Computing Corporation | Enhanced security network time synchronization device and method |
| US6002946A (en) | 1997-04-14 | 1999-12-14 | Motorola, Inc. | Handheld device having an optical data reader |
| US7251784B2 (en) * | 1997-04-25 | 2007-07-31 | Winslowhouse International, Inc. | Supplying supplementary information for printed books |
| US6212636B1 (en) | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
| US6137654A (en) * | 1997-06-23 | 2000-10-24 | Motorola, Inc. | Device having a diskette-like housing and a wireless transceiver and methods therefor |
| US8255680B1 (en) * | 1997-06-26 | 2012-08-28 | Oracle America, Inc. | Layer-independent security for communication channels |
| US6052629A (en) | 1997-07-18 | 2000-04-18 | Gilbarco Inc. | Internet capable browser dispenser architecture |
| US7055173B1 (en) | 1997-12-19 | 2006-05-30 | Avaya Technology Corp. | Firewall pooling in a network flowswitch |
| US6266335B1 (en) | 1997-12-19 | 2001-07-24 | Cyberiq Systems | Cross-platform server clustering using a network flow switch |
| FI108827B (fi) * | 1998-01-08 | 2002-03-28 | Nokia Corp | Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa |
| US5980090A (en) * | 1998-02-10 | 1999-11-09 | Gilbarco., Inc. | Internet asset management system for a fuel dispensing environment |
| US6144950A (en) * | 1998-02-27 | 2000-11-07 | Pitney Bowes Inc. | Postage printing system including prevention of tampering with print data sent from a postage meter to a printer |
| US6321336B1 (en) | 1998-03-13 | 2001-11-20 | Secure Computing Corporation | System and method for redirecting network traffic to provide secure communication |
| US6453419B1 (en) | 1998-03-18 | 2002-09-17 | Secure Computing Corporation | System and method for implementing a security policy |
| US6182226B1 (en) | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
| US6112992A (en) * | 1998-06-17 | 2000-09-05 | Motorola, Inc. | Optical code reader and methods and articles therefor |
| US6154839A (en) * | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
| US6290133B1 (en) | 1998-06-04 | 2001-09-18 | Motorola, Inc. | Optical code reader and methods and articles therefor |
| US6260760B1 (en) | 1998-06-17 | 2001-07-17 | Motorola, Inc. | Optical code reader including circuitry for processing the symbology |
| FI106417B (fi) * | 1998-12-08 | 2001-01-31 | Nokia Mobile Phones Ltd | Menetelmä tiedonsiirron optimoimiseksi |
| US6442592B1 (en) | 1998-12-11 | 2002-08-27 | Micro Computer Systems, Inc. | Message center system |
| US6176421B1 (en) | 1999-02-04 | 2001-01-23 | Marconi Commerce Systems Inc. | Fuel dispenser architecture having server |
| US6389468B1 (en) | 1999-03-01 | 2002-05-14 | Sun Microsystems, Inc. | Method and apparatus for distributing network traffic processing on a multiprocessor computer |
| US6483804B1 (en) | 1999-03-01 | 2002-11-19 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet batching with a high performance network interface |
| WO2000052869A2 (en) * | 1999-03-01 | 2000-09-08 | Sun Microsystems, Inc. | Method and apparatus for identifying and classifying network traffic in a high performance network interface |
| US6453360B1 (en) | 1999-03-01 | 2002-09-17 | Sun Microsystems, Inc. | High performance network interface |
| US6650640B1 (en) | 1999-03-01 | 2003-11-18 | Sun Microsystems, Inc. | Method and apparatus for managing a network flow in a high performance network interface |
| US6356951B1 (en) | 1999-03-01 | 2002-03-12 | Sun Microsystems, Inc. | System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction |
| US6606301B1 (en) | 1999-03-01 | 2003-08-12 | Sun Microsystems, Inc. | Method and apparatus for early random discard of packets |
| US6418325B1 (en) | 1999-07-12 | 2002-07-09 | Motorola, Inc. | Handheld device having an optical data reader |
| JP3259724B2 (ja) * | 1999-11-26 | 2002-02-25 | 三菱電機株式会社 | 暗号装置、暗号化器および復号器 |
| US6880089B1 (en) | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
| US6779039B1 (en) | 2000-03-31 | 2004-08-17 | Avaya Technology Corp. | System and method for routing message traffic using a cluster of routers sharing a single logical IP address distinct from unique IP addresses of the routers |
| US20040073617A1 (en) | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US6772226B1 (en) | 2000-08-15 | 2004-08-03 | Avaya Technology Corp. | VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster |
| JP2003204323A (ja) * | 2000-12-21 | 2003-07-18 | Yasumasa Uyama | 秘密通信方法 |
| US20030084020A1 (en) * | 2000-12-22 | 2003-05-01 | Li Shu | Distributed fault tolerant and secure storage |
| WO2002060150A2 (en) * | 2001-01-24 | 2002-08-01 | Broadcom Corporation | Method for processing multiple security policies applied to a data packet structure |
| US20020104016A1 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Network router |
| US7383329B2 (en) | 2001-02-13 | 2008-06-03 | Aventail, Llc | Distributed cache for state transfer operations |
| US7353380B2 (en) * | 2001-02-12 | 2008-04-01 | Aventail, Llc, A Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| US7360075B2 (en) * | 2001-02-12 | 2008-04-15 | Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| US7171493B2 (en) * | 2001-12-19 | 2007-01-30 | The Charles Stark Draper Laboratory | Camouflage of network traffic to resist attack |
| WO2005086450A1 (en) * | 2004-03-02 | 2005-09-15 | Novo Nordisk A/S | Transmission data packet construction for better header authentication |
| US8499337B1 (en) | 2004-10-06 | 2013-07-30 | Mcafee, Inc. | Systems and methods for delegation and notification of administration of internet access |
| WO2006039941A1 (en) * | 2004-10-15 | 2006-04-20 | Pirelli & C. S.P.A. | Method for secure signal transmission in a telecommunication network, in particular in a local area network |
| GB2422752A (en) * | 2005-02-01 | 2006-08-02 | 3Com Corp | Deciphering encapsulated and enciphered UDP datagrams |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4203166A (en) * | 1977-12-05 | 1980-05-13 | International Business Machines Corporation | Cryptographic file security for multiple domain networks |
| US4227253A (en) * | 1977-12-05 | 1980-10-07 | International Business Machines Corporation | Cryptographic communication security for multiple domain networks |
| US4980913A (en) * | 1988-04-19 | 1990-12-25 | Vindicator Corporation | Security system network |
| US5070528A (en) * | 1990-06-29 | 1991-12-03 | Digital Equipment Corporation | Generic encryption technique for communication networks |
| US5309437A (en) * | 1990-06-29 | 1994-05-03 | Digital Equipment Corporation | Bridge-like internet protocol router |
-
1992
- 1992-01-28 FR FR9200881A patent/FR2686755A1/fr active Granted
-
1993
- 1993-01-28 WO PCT/FR1993/000092 patent/WO1993015581A1/fr active IP Right Grant
- 1993-01-28 ES ES93400220T patent/ES2247582T3/es not_active Expired - Lifetime
- 1993-01-28 IL IL10455593A patent/IL104555A/en not_active IP Right Cessation
- 1993-01-28 US US08/256,509 patent/US5583940A/en not_active Expired - Fee Related
- 1993-01-28 AT AT93400220T patent/ATE301901T1/de not_active IP Right Cessation
- 1993-01-28 EP EP93400220A patent/EP0554182B1/fr not_active Expired - Lifetime
- 1993-01-28 DE DE69333852T patent/DE69333852T2/de not_active Expired - Fee Related
- 1993-01-28 JP JP5512991A patent/JPH07503347A/ja active Pending
-
1994
- 1994-07-14 NO NO19942657A patent/NO316150B1/no unknown
- 1994-07-27 FI FI943530A patent/FI113325B/fi not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| IL104555A0 (en) | 1993-05-13 |
| IL104555A (en) | 1996-07-23 |
| FI113325B (fi) | 2004-03-31 |
| NO942657L (no) | 1994-09-12 |
| FR2686755A1 (fr) | 1993-07-30 |
| FR2686755B1 (no) | 1995-02-03 |
| DE69333852D1 (de) | 2005-09-15 |
| ATE301901T1 (de) | 2005-08-15 |
| JPH07503347A (ja) | 1995-04-06 |
| WO1993015581A1 (fr) | 1993-08-05 |
| DE69333852T2 (de) | 2006-05-18 |
| FI943530A (fi) | 1994-09-27 |
| EP0554182A1 (fr) | 1993-08-04 |
| ES2247582T3 (es) | 2006-03-01 |
| EP0554182B1 (fr) | 2005-08-10 |
| US5583940A (en) | 1996-12-10 |
| FI943530A0 (fi) | 1994-07-27 |
| NO942657D0 (no) | 1994-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| NO316150B1 (no) | Fremgangsmåte, apparat og innretning til chiffrering av melding mellom sammenknyttede nettverk | |
| US4326098A (en) | High security system for electronic signature verification | |
| CN1148035C (zh) | 连接到互联网的移动通信系统中用户信息保密装置及方法 | |
| CN100479451C (zh) | 安全性关联的方法和便携式计算设备 | |
| US5086469A (en) | Encryption with selective disclosure of protocol identifiers | |
| JPH0787455B2 (ja) | 通信回線網のブートストラップ・チャンネル保全装置及び不法通信を防止する方法 | |
| US20040139339A1 (en) | Data encryption and decryption method and apparatus | |
| US6944762B1 (en) | System and method for encrypting data messages | |
| NO307120B1 (no) | Fremgangsmåte til overfoering av data, og et system for overfoering av data | |
| JPH09214556A (ja) | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 | |
| RU2201036C2 (ru) | Защищенная радиосеть для пакетной передачи данных | |
| MX2008010705A (es) | Cartucho para herramienta mecanica. | |
| CN110198320B (zh) | 一种加密信息传输方法和系统 | |
| JP2001203761A (ja) | 中継装置、および同装置を備えたネットワークシステム | |
| FI112417B (fi) | Luottamuksellisten tietojen välitys | |
| US9847958B2 (en) | Network-based service for secure electronic mail delivery on an internet protocol network | |
| JPH0677954A (ja) | 任意選択的ステータスエンコーディングを有する暗号処理装置及び方法 | |
| WO2010061443A1 (ja) | ネットワーク管理プログラム、ネットワーク管理方法及びネットワーク管理サーバ | |
| JPH04274636A (ja) | ローカルエリアネットワークにおける暗号化方式 | |
| JPH11203222A (ja) | 暗号通信方法 | |
| JP2002055930A (ja) | 電子メール暗号通信システム、これに用いる電子メール中継装置および電子メール暗号通信方法 | |
| RU16962U1 (ru) | Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий | |
| US20060015575A1 (en) | Apparatus and method for negotiating network parameters | |
| JPH0993241A (ja) | 情報通信システム及び情報通信方法 | |
| EP2235903B1 (en) | Secure communication system |