TWI278210B - Multi-protocol network encryption system - Google Patents

Multi-protocol network encryption system Download PDF

Info

Publication number
TWI278210B
TWI278210B TW094103764A TW94103764A TWI278210B TW I278210 B TWI278210 B TW I278210B TW 094103764 A TW094103764 A TW 094103764A TW 94103764 A TW94103764 A TW 94103764A TW I278210 B TWI278210 B TW I278210B
Authority
TW
Taiwan
Prior art keywords
network
encryption
header
decryption
key
Prior art date
Application number
TW094103764A
Other languages
English (en)
Other versions
TW200605590A (en
Inventor
Peter Sim
Original Assignee
Ctam Pty Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ctam Pty Ltd filed Critical Ctam Pty Ltd
Publication of TW200605590A publication Critical patent/TW200605590A/zh
Application granted granted Critical
Publication of TWI278210B publication Critical patent/TWI278210B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Description

1278210 九、發明說明: 【發明所屬之技術領域】 本發明揭示一種用於網路之加密管理系統。 【先前技術】 已知有許多不同的公用網路,例如所謂的 SONET/咖、ATM、訊框中繼網路。在許多此等網路 中,網路上的資料可表示任何内纟。可豸資料分成不同的 貝料塊或訊框、單元或封包。每一訊框、單元或封包具有 其自身的一組負擔部分,其可表示資料的目的地與其他資 吼。該網路根據該訊框或封包之包絡部分中所含的定址資 訊來處理訊框、單元或封包。 一般而言,該網路經由交換器將資料從一目的地傳送至 另一目的地。 此等網路上的安全性非常重要。 【發明内容】 本申請案說明一種加密系統,其加密s〇net/sdh訊 框、ATM單元、訊框中繼訊框或Ip封包之酬載。該加密器 連接到本地交換器/路由器與資料網路之間的路徑中。該 加密器可操作用來以不同方式加密不同的部分,並且包括 用於密鑰與遠端操作的管理功能。該負擔部分保持未加 密,使得交換器可沿資料路徑恰當地處理訊框、單元或封 包。 【實施方式】 圖1顯示該系統的基本方塊圖。數字網路1〇〇係連接於未 99282.doc 1278210 受保護的網路105與受保護的網路110之間。已加密的酬載 no係與未加密的負擔部分m一起傳送。負擔部分iu包 括定址與其他資訊,其對於網路用於發送通信本身係必要 •Γ 的0 : 該系統,如本文所述,提供SONET/SDH、ATM、訊框 中、’k與其他類似連接之透明加密。可將個別的資料流加穷 或不作改變地通過,如連接表中所定義。根據本系統 「酬載」包括資料之部分,例如資料封包及/或資料訊 框。 根據本系統,揭示一用於公共網路之特殊加密器單元。 可使用此加密器單元來保護許多類似格式之網路的資訊, 例如同步光學網路(S0NET)、同步數位階層網路(sdh)、 非同步傳輸模式網路(ATM)、訊框中繼網路(FR)與其他類 似的網路。此等網路可以若干不同速度之任一速度運行。 該裝置,本文中稱為數字網路,如1〇〇所示連接於未受保 φ 護的網路105與受保護的網路110之間。 根據本文所揭示的方面,可使用特殊的數字管理器來完 全並且遠端地管理加密器。可使用一圖形使用者介面來設 疋與監視數字網路内部配置參數。該管理器使用現有的網 路命令協定,此處為SNMpv3,即乙太網路上的命令,來 與貫際硬體單元連接。此允許將該管理器視為數字網路之 其中一個網路部分之一子系統。 數字網路100之圖2包括解密與加密組件。可使用解密組 件120來解密從未受保護之網路1G5傳送至受保護網路㈣ 99282.doc 1278210 勺資凡相反,加抢部分加密從受保護網路1 05傳送至未 受保護的公共網路1 〇5之資訊。 每一路徑120、130包括兩個網路介面,由-加密或解密 :引擎所包圍。解密路徑120包括第一網路介面121、第二網 :路"面122與解雄、引擎125。本文所述之解密引擎包括用 ^不同種類貝之三個單獨部分。高速解密部分可用於最 高速/所用資料最集中的加密部分。低速解密127可用於較
低速解密,並且可將軟體解密128用於不太受到此種㈣ W 影響的其他部分。 A 類似地力口松層包括兩個網路介面··高速加密、低速加 密與軟體加密部分。 圖2顯示一更詳細的加密架構,包括作為該單元一方面 而連接的數字管理器子系統25〇。數字管理器使用傳統的 SNMPv3通信來控制處理器與管理子系統丨4〇的操作。 如圖2所示,可連接至若干不同的子系統。第一介面可 φ連接至S〇NET/SDH系統。例如,介面200可為連接至 SONET SDH或ATM本地介面子系統的實體介面。此係連 接至SONET/SDH/ATM處理器,該處理器可操作以處理網 路訊息的多個位元。ATM處理器接收所接收到的atm單元 並處理標頭。一般而言,該系統捨棄總和檢查位元組,並 且接著將該單元轉遞至高速密碼系統21〇。該高速密碼系 統亦包括一單元處理器211,其將一密碼32位元密碼參數 攔位添加至單元的開始處。可從連接表產生密碼參數,並 且對於每一密碼參數,定義VPI/VCI位址。接著加密引擎 99282.doc 1278210 220與解密引擎221使用該等密碼參數來選擇用於虛擬電路 的密鑰並且設定密碼引擎的模式。 在完成密碼程序之後,移除密碼參數,並重新計算標頭 總和檢查位元組,且將其重新插入單元標頭内。接著,將 該單元轉遞至用於其他介面子系統之處理器,此處顯示為 212,並將其返回至處理器2〇3與實體介面2〇4。 /亦可藉由類似的結構來形成ATM介面子系統。ATM處理
-處理ATM單元,並再次捨棄總和檢查位元組。接著將該 單元轉遞至處理器211,其根據位址表再次計算密碼參數 攔位。再次,在處理之後移除密碼參數,接著重新計算並 重新插入標頭總和檢查位元組。 然而,如果已針對以訊框⑽為主的加密而配置atm虛 擬電路,則將已設定密碼參數,以指示訊框或ιρ加密。高 速ATM挽碼子系統將單元切換至處理器系統⑷上的人顶 阜例如琿232。此使處理器可由所接收到的單元系統重 新組合訊框或封包。在處理完整的訊框或封包之後,該處 理盗處理該訊框,並決定其操作。 如果配置用於訊框中繼,則可藉由包含於管 低速在碼系統24〇來加密或解密該訊框。 :操作亦涵蓋串列介面子系統。可藉由低速密碼“ 或错由包含於管理子系統14〇中的軟體密碼系 解欲串列所接收到的位元流。 於3系統14〇包括—處理器241,有若干相關的子部分用 …理盗。例如,該管理系統140可包括一乙太網㈣ 99282.doc 1278210 面用於連接至包括數字管理器子系統的其他網路。其亦包 括一 RS-232介面243,以及使用者介面244,其可包括狀態 與顯示鍵盤。USB埠可用於額外的儲存或升級軟體/韌體。 除此之外,還包括雜訊源246與即時時脈247作為該子系統 的部分。 可藉由管理來實施該操作的重要部分,並可藉由數字管 理益子系統250來監督該管理。此管理器可致動安全遠端 官理。數字管理器實際上實施特定密鍮之儲存並且基於此 ,目的而包括-安全健存器251。在該具體實施例中,數字 官理器儲存-CA私鑰’其係用於簽署χ 5()9證書,以允呼 驗證數字網路加密器的身份。所有用於在加密器之間加密 貧料之密鑰係針對各加密器而在内部產生,並且最初使用 隐公鑰加密在加密器之間交換,接著使用X.509證書進 時,會破壞所有此等密 斋私餘,但如果該單元
當斷開加密器的電源或其被竄改 鎗。一般透過電源循環來保持加密 被竄改,則會破壞該私輸。 邊儲存器包括具有兩個内部矣 — 卩_邛表的一資料庫。&用第 來儲存X.509私鑰。使用加密 加在方案,例如AES,並使用從 一通行碼產生的256位元密參 ^來加後、私鑰。該資料庫亦儲 存已被發現用於各數字管理器 單τ儲 、 使用者之數子網路加密器之 IP位址。以此方式,當传用本八 擷取已被發現的加密器之列表二時,可使用該資料庫來 鑰來簽署證書,例如χ·50 ’:用於擷取已加密的私 吸曰。然而,除非使用者輸入 99282.doc 1278210 適當的通行碼來簽署該證書,否則無法簽署該證書。 數字管理器使用若干互連軟體模組來允許使用者登入、 通行碼輪入、簽署與驗證,以及各種表格與操作之建立與 、、隹瘦。一使用者使用圖形使用者介面來登入,並且輸入與 — 數予網路單元中所儲存的通行碼匹配的適當通行碼。此使 得使用者可使用各種功能,藉此管理各種操作。 本系統提供多個不同密碼子系統之使用,以便處理不同 φ 種類的資訊。四個基本的密碼子系統包括軟體密碼系統、 低速密碼系統、高速SONET/SDH系統與高速ATM系統。 以此方式分割元件的優點係,可藉由使用不同的系統能力 來加密與解密不同種類的資訊而獲得更好的效率。例如, 在一具體實施例中,高速密碼系統係專用的硬體模組,其 係專用於指定格式與訊息之類型的加密及/或解密。例 如,加岔引擎220可為形成於硬體中的s〇NET/SDH加密引 擎。此可為插入南速密碼系統21 〇内一底板中的卡。該硬 φ 體單兀係針對特定的功能而最佳化,此處係加密 SONET/SDH,並且可為該特定的操作而產生非常高的通 量。然而,該引擎僅可實施其一指定任務的處理。可添加 若干卡來增加或降低該系統在此方面的能力。然而,高速 拴碼糸統包括專業化程度非常兩的設備。同樣可添加更快 的卡或額外的卡至系統,以增加處理能力。 低速密碼系統,例如240,可能不太專業化,但其仍包 括其自身的專用處理器用於實施解密。以此方式,除了簡 單地加密或解逸、資料流之外,該低速密碼處理器還可實施 99282.doc 10 1278210 若干其他功能。例如,此可在其自身的專用處理器中使用 RSA進行處理。 可藉由軟體密碼系統來實施所有其他的功能。雖然藉由 簡單地寫入該程式,任何加密或解密皆可以軟體完成,但 此可能係不同系統中最慢的方案。 可使用軟體密碼子系統來處理低速產品中的ATM單元、 FR訊框、IP Sec封包與位元流。其亦提供密输產生、 RSA、Diffie-Hellman、MD5與 SHA-1 服務。 該低速密碼子系統使用兩個安全處理器來處理ATM單 元、FR訊框、IPSec封包與位元流並且係用於中速產品。 低速密碼子系統以處理器裝置取代軟體密碼子系統中的密 碼功能。其亦提供 RSA、Diffie-Hellman、MD5與 SHA-1 服 務。 使用高速SONET/SDH密碼模組來處理SONET/SDH訊 框。高速SONET/SDH密碼子系統有2.4 Gbps版本與10 Gbps版本。對於SONET/SDH訊框的處理,兩個版本之間 無差異,因此為簡化起見,可將其視為一子系統。 使用高速ATM密碼模組來處理ATM單元。高速ATM密碼 子系統可使用155 Mbps卡或622 Mbps卡。對於單元的處 理,兩個版本之間無差異,因此為簡化起見,可將其視為 一子系統。 使用高速IPSec密碼子系統來處理IP封包。 在本地埠上從受保護網路接收到的單元、訊框、封包或 位元流係經處理並通過加密子系統,然後轉遞至未受保護 99282.doc 11 - 1278210 的網路。 在網路埠上從未受保護網路接收到的單元、訊框、封包 或位元流係經處理並通過解密子系統,然後轉遞至受保護 的網路。以下係有關子系統的進一步細節。 軟體數字子系統以軟體提供密碼網路所需要的所有密碼 功能,包括密输產生與密输管理。 在軟體密碼子系統中不存在速度硬體組件。然而,管理 子系統上的硬體雜訊源246為密鑰產生程序提供隨機種 軟體密碼子系統使用以下軟體模組。 1. AES加密/解密 2. DES加密/解密 3. MD5雜湊產生 4. SHA-1雜湊產生 5. RSA加密/解密服務 6. 已簽署X.509證書之鑑別 7. RSA私鑰與使用者通行碼之安全儲存 8. 密碼密鑰之產生 9. RSA公鑰與私鑰之建立 10. RSA加密/解密服務 11 · Diffie-Hellman密鑰之建立 低速密碼子系統連接至管理子系統。該子系統提供低速 AES/DES加密/解密,輔助RSA加密/解密與MD5/SHA-1雜 湊計算並執行IPSec變換以及加密與解密功能。 99282.doc -12- 1278210 低速始碼子系統使用者兩個AES/DES/RSA/MD5/SHA-Ι/IPSec安全處理器。 該低速密碼子系統可連接至管理子系統以在管理子系統 微處理H與該等兩個安全處理器之間提供通信。該介面係 用於 •初始化該等安全處理器,以及 、,將=貝料傳輸至該等安全處理器並從安全處理器傳輸 貝料。其亦可用於測試安全處理器的正確操作。 當運行診斷測試時,該微處理器將已知的密鑰載入 AES/DES/RSA/IPSec/MD5/SHA]演算法,然後載入一測試 訊息。該訊息係加以處理、由微處理器讀回並與預期的結 果比較。如果偵測到錯誤,則產生審計項目。 高速SONET/咖密碼子系統連接至管理子系統與本地 及網路子系統。 、其加密在本地埠上所接收到的sonet/sdh訊框之酬 載,並解密網路介面上所接收到的sonet/sdh訊框。可 將已加密的訊框轉遞至網路介面子系統以傳輸至未受保護 的網路。可將已解密的訊框轉遞至本地介面子系統以傳輸 至文保護的網路。區段、線與路徑負擔位元組係通過加密 子系統,而被加密、未修改或化零。可將該加密器配置為 線加密器或路徑加密器。當配置為線加密器時,可加密* 整的酬載,包括路徑負擔位元組。當配置為路捏加密: 時,使用不同的密鑰來加密每一路徑,路徑負擔位元_ 不予加密。 、 99282.doc 13 1278210
向速SONET/SDH密碼子系統使用下列硬體組件: 1·加密 /解密 SONET/SDHFPGA
2·用於儲存連接表之Sdram 3.控制CPLD 4·用於保存FPGA定義之快閃記憶體 使用加密/解密FPGA來衫網路介面上所接收到的酬載 是否已解密、不作改變地通過或係化零。此係藉由檢視連 接表是否具有—項目而達成。如果有—連接表項目,列將 該訊框轉遞至解密引擎。如果無項目,則將訊框的酬載化 零° 當解密引擎接收到該訊框時,其根據該連接表中所包含 =訊決定需要採取的動作。如果要解密該酬載,則將該 ==所包含的資_於㈣特定連接之密鑰等載入 AES引擎。接著解密訊框的酬载。接著,將具有已解密、 未改變或化零酬載之訊框轉遞至本地介面子系统。 B ^加密/解密FPGA來決定本地介面上所接收到的酬載 加密、不作改變地通過或係化零。此係藉由檢視連 今d:有項目而達成。如果有一連接表項目,則將 愛。 果“、、項目,則將訊框的酬載化 料㈣該純時,其根據該連接表中所包含 妾=疋需要採取的動作。如果要解密該酬載,則將該 包含的資訊用於將該特定連接之密鑰載入aes 接者加密訊框的酬載。接著,將具有已加密、未改 99282.doc ⑧ 14 1278210 變及化零酬載之訊框轉遞至網路介面子系統。 根據從處理器子系統所獲得之CAT表產生連接表。 該管理子系統微處理器為連接表中的每一項目產生主密 餘及初始會話密餘。在已將項目添加至連接表之後,該微 - 處理杰使用RS A服務加密主密鑰與初始會話密鑰,並將其 插入網路介面上的輸出管理通道。該密餘交換機制係定義 於ATM論壇安全規袼VU令。亦將初始會話密餘儲存於加 密SDRAM中。 該網路介面亦從遠端加密器接收已加密的主密鑰/初始 會話密鑰並使用RSA服務來解密該等密錄。將初始會話密 鑰儲存於解密SDRAM中。使用主密鑰來解密從遠端加= 器接收的進入週期性會話密鍮更新。進入週期性會話密鑰 對解岔SDRAM中所包含的密鑰材料進行更新。 高速ATM密碼子系統連接至管理子系統與本地及網路子 系統,並且類似於高速S〇NET系統而運作,以加密在本地 φ 埠上接收到的ATM單元之酬載並解密在網路介面上接收到 的單元。可將已加密的單元轉遞至網路介面子系統以傳輪 至未受保護的網路。可將已解密的單元轉遞至本地介面子 系統以傳輸至受保護的網路。網路管理〇AM單元,而非與 密鑰更新相關的OAM單元,係始終未經修改地通過加宓: 系統。 山 高速ATM密碼子系統可使用: 5.輸入單元處理器 6 ·輸出單元處理器 99282.doc 15 1278210
7·用於儲存輸入連接表之SDRAM
8.用於儲存輸出連接表之SDRAM 9·輸入CAM 10.輸出CAM 11·加密引擎FPGA
12. 解密引擎FPGA
13. 用於儲存各活動連接之加密密鑰與IViSDRAM
14. 用於儲存各活動連接之加密密鑰與IV2Sdram 15·控制 CPLD 16·用於保存fpga定 17·高速IPSec處理器 使用輸入單元處理器來決定網路介面上所接收到的單^ 是否被解密、不作改變地通過、捨棄或攜載一更高層私 定。此係藉由從ATM單元標頭擷取vpi/VCI位址並接^系 查該位址之連接表是否具有-項目而達成。如果有連㈣ 項目’則將該單元轉遞至解密引擎,其延伸的標頭包含女 何處理單元之資訊。如果無項目,則捨棄單元。 擎接收到該單元時’其根據該延伸標 蚊需要採取㈣作。如果要解密料元 用已延伸標頭中所包含的位址資訊將該特定虛擬電路之: 鑰與IV載入AES或DES引擎。接 在 ^早凡的酬載,好 ㈣保存於解密SDRAM中。接著將具有 2 ^ 酬載之早兀轉遞至輸出單元處 交 伸的標頭之後將該單元轉遞至該網路: 99282.doc 16 1278210 使用輪出單元處理器來決定本地介面上所接收到的單元 是否被加密、不作改變地通過、捨棄或攜載一更高層協 定。此係藉由從ATM單元標頭擷取νρι/να位址並接^檢 - ㈣位址之連接表是否具有—項目而達成。如果有連接^ / 1員目,:將該單元轉遞至加密引擎’其延伸的標頭包含如 何處理單元之資訊。如果無項目,則捨棄單元。 當力:密引擎接收到該單元時,其根據該延伸標頭中所包 籲含的資訊決定需要採取的動作。如果要加密該單元,則使 用已延伸標頭中所包含的位址資訊將該特定虛擬電路之密 鑰與IV載入AES或刪引擎。接著加密該單元的酬載,: 將以保存於解密SDRAM$。接著將具有已加密或未改變 酬載之單元轉遞至輸入單元處理器,該處理器在移除已延 伸的標頭之後將該單元轉遞至該本地介面子系統。 根據從處理器子系統所獲得之CAT表產生連接表。對於 大量的連接表項目,則使用内容可定址記憶體(cam)裝置 • 來加速連接查找表。將vpi/vci位址提供給CAM,其回應 以一指向連接表中相關項目的指標。 該管理子系統微處理器為連接表中的每—項目產生主密 矯及初始會話密鑰。在已將項目添加至連接表之後,該微 處理器使用RSA服務加密主密鑰與初始會話密输,並將其 插入網路介面上的輸出單元流。該密餘交換機制係定義: ATM論壇安全規格V1」中。亦將初始會話密鑰儲存於加密 SDRAM 中。 該網路介面亦從遠端加密器接收已加密的主密矯/初始 99282.doc 1278210 會話密鑰並使用RS A服務來解密該等密鑰。將初始會話密 鑰儲存於解密SDRAM中。使用主密鑰來解密從遠端加密 器接收的進入週期性會話密鑰更新。進入週期性會話密輪 對解您SDRAM中所包含的密餘材料進行更新。 類似地,本地介面子系統直接從未受保護的網路接收單 元202、206 ’並直接將其轉遞至處理器系統。處理器241 可直接處理此等單元,或指派給低速密碼系統。 此系統的另一方面係防竄改。當啟動系統互鎖時可實施 自動的記憶體抹除。 儘管上文僅詳述了數項具體實施例,但可作其他修改。 例如,雖然上文僅提到數個網路協定與格式,但當然涵蓋 其他協定與格式。 【圖式簡單說明】 上文已參考附圖詳細說明此等與其他方面,其中: 圖1顯示該系統及其連接之基本方塊圖;以及 圖2顯示内部架構之示意圖。 【主要元件符號說明】 d: 100 數字網路 105 未受保護的網路 110 受保護的網路/已加密的酬栽 111 未加密的負擔部分 120 路徑 121 第一網路介面 122 第二網路介面 99282.doc -18 - 解密引擎 高速解密 低速解密 軟體解密 路徑 管理子系統 介面 單元 處理器 實體介面 單元 高速密碼系統 單元處理器 處理器 加密引擎 解密引擎 埠 低速密碼系統 處理器 RS-232介面 使用者介面 雜訊源 即時時脈 數字管理器子系統 -19- 1278210 251 安全儲存器 252 圖形使用者介面
99282.doc -20

Claims (1)

1 . 1一-^冬 4 一一*:』一"一* -—·“*-· 一 〜、*·—.—一 …-‘wi StX ^ ^ 】 年月r修(更替換頁i 1278¾¾103764號專利申請案 •矛又’凊專利範圍替換本(95年10月) 十、申請專利範圍: 一種網路加密系統,其包含: 一第一網路介面,其調適成連接至一受保護網路; 一第二網路介面,其調適成連接至一未受保護網路; 一處理部分,其管理欲傳送至該未受保護網路之資訊 酬載之加密以及從該未受保護網路接收之資訊酬載之解 後’並且該處理部分中包括一微處理器;以及 一加密與解密系統,其包括一第一高速密碼系統,其 使用用於密碼加密與解密之專用硬體組件來操作,以及 第一較低速密碼系統,其無需專用硬體組件即實施該 等密碼操作。 2.如請求項丨之系統,其中該第一高速密碼系統使用場可 程式化閘極陣列,該等場可程式化閘極陣列係配置成實 施一特定的加密或解密操作。 3·如請求項1之系統,其中該第一低速密碼系統包括一使
用一密碼處理器之第一部分,以及一使用運行於一通用 處理器上之軟體之第二密碼部分。 4·如明求項1之系統,其進一步包含一密鑰管理子系統, 4也鑰官理子系統係經由一網路介面連接至該處理部分 亚使用一網路管理協定進行通信,該密鑰管理子系統中 儲存有加密的軟體密鑰。 5.:請求之系統’其中該密鑰管理子系統與該處理部 分經由簡單的網路管理協定進行通信。 6·如請求項4之系統 99282-951024.doc 1278210
用於加密之通行碼來加密該等密鑰而儲存至少一私 7. 如請求項4之系統,其中該密鑰管理系統保持其他密鑰 管理糸統之位址。 8. 如請求項1之系、、统,其中該帛一高速密碼系统包括至少 一卡。 9. 如請求項8之系統,其中該高速密碼系統包括一第一 卡,其針對SONET訊框之加密而最佳化,以及一第二 卡,其針對ATM單元之加密而最佳化。 10. 如胃’托員4之系、统’其進一纟包含一位於該密输管理子 系統上的女全互鎖’以及一記憶體抹除功能,當違反該 安全互鎖時,該記憶體抹除功能抹除該記憶體。 11 · 士《月求項1之系統,其中該加密與解密系統包括一部 分:其移除與該網路介面相關的-標頭,以-密碼標頭 取代該標頭,使用該密碼標頭處理該訊息,接著產生— 與該網路介面相關的新標頭。 12. 一種網路加密系統,其包含: Φ :第—網路介面’其調適成連接至-受保護網路; 一:二網路介面’其調適成連接至-未受保護網路; 一處理部分,豆白k 咕一 八 一第二網路介面,該處理部分管 理來自該未受保護網路 該受保護網路,並且::二送該資料至 —^ &理來自該受保護網路之資料之解 以及 K的形式傳送該資料至該未受保護網路; 一密鑰管理子系統,豆 99282-951024.doc 、T ^孖有加密的密鑰用於供該 1278210 年月U修暖)正眷: 處理部分進行解密之用,並藉 八 網路協定連接至該處 理口P刀且連接至該第三網路介面。 13·如請求項12之系統,其中 ,珩~、、,罔路介面之該網路協定 係 SNMPV3。 14.如請求項12之系統,其中該 1示邊的網路係一 SONET 網路。 護的網路係一 ATM網 15.如請求項12之系統,其中該未受保 路0 %如請求項12之系統,其中該未受保護的網路係一 繼網路。 π如請求項12之系統,其中該未受保護的網路係一_ 路。 18.如請求項12之系統,其中該處理部分包括一加密… 系統’該加密與解密系統包括—由硬體加密部分所开^ 的高速密碼系統以及-使用—密碼處理器來操作之較低 速密碼系統。 19·如請求項18之系統,其中該較低速密碼系統包括一以軟 體操作的第一部分以及一使用一密碼處理器來操人 二部分。 20. 如請求項18之系統’其中該高速密碼系統係由場可程式 化閘極陣列所形成。 二 21. 如请求項18之系統’其中該加密與解密系統可操作以移 除一與該未受保護網路之一網路協定相_的標頭以及: 碼魏相關的標頭人使用與密碼功能相關之該標頭 1278210 接著重新產生一與該網路協定相關 來處理一訊息部分 的標頭。 22· —種網路加密方法,其包含: 一:接至—第一網路與一第二網路’其中該第-網路係 叉呆護網路,而該第二網路係一未受保護網路; 加密從該第-網路傳送至該第二網路的資料,並且解 密從該第二網路傳送至該第一網路的資料;以及
在與實施該加密之單元分離的一單元中儲存與管理至 少一簽署密鑰,並透過與該第一及第二網路分離的一網 路而與該分離單元通信。 23.如明求項22之方法,其中該加密包含移除與該第二網路 之一網路協定相關的一標頭; 從該分離單元獲得密鑰資訊,並根據該密鑰資訊形成 一加岔標頭,且使該加密標頭與一訊息片斷相關; 使用該加密標頭加密該訊息片斷;以及 重新產生與該網路協定相關的該標頭。
99282-951024.doc 4-
TW094103764A 2004-02-05 2005-02-04 Multi-protocol network encryption system TWI278210B (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/773,763 US20050177713A1 (en) 2004-02-05 2004-02-05 Multi-protocol network encryption system

Publications (2)

Publication Number Publication Date
TW200605590A TW200605590A (en) 2006-02-01
TWI278210B true TWI278210B (en) 2007-04-01

Family

ID=34826831

Family Applications (1)

Application Number Title Priority Date Filing Date
TW094103764A TWI278210B (en) 2004-02-05 2005-02-04 Multi-protocol network encryption system

Country Status (7)

Country Link
US (1) US20050177713A1 (zh)
EP (1) EP1714421A4 (zh)
CN (1) CN1954540A (zh)
AU (3) AU2005213327B2 (zh)
IL (1) IL177178A0 (zh)
TW (1) TWI278210B (zh)
WO (1) WO2005076846A2 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1440539A4 (en) 2001-09-27 2009-08-26 Broadcom Corp STRONG INTEGRATED MEDIA ACCESS CONTROL
US7657755B2 (en) * 2004-03-23 2010-02-02 Harris Corporation Modular cryptographic device providing status determining features and related methods
US9003199B2 (en) * 2004-03-23 2015-04-07 Harris Corporation Modular cryptographic device providing multi-mode wireless LAN operation features and related methods
JP2006339988A (ja) * 2005-06-01 2006-12-14 Sony Corp ストリーム制御装置、ストリーム暗号化/復号化装置、および、ストリーム暗号化/復号化方法
US7562211B2 (en) * 2005-10-27 2009-07-14 Microsoft Corporation Inspecting encrypted communications with end-to-end integrity
US8208637B2 (en) * 2007-12-17 2012-06-26 Microsoft Corporation Migration of computer secrets
CN101840391B (zh) * 2010-05-17 2011-10-26 深圳视融达科技有限公司 一种电子支付系统双处理器子系统间通信及其调用方法
US20120054489A1 (en) * 2010-08-25 2012-03-01 University Bank Method and system for database encryption
US9305172B2 (en) 2013-03-15 2016-04-05 Mcafee, Inc. Multi-ring encryption approach to securing a payload using hardware modules
EP2833572B1 (en) * 2013-07-29 2019-12-25 Alcatel Lucent Adaptive traffic encryption for optical networks
US11847237B1 (en) * 2015-04-28 2023-12-19 Sequitur Labs, Inc. Secure data protection and encryption techniques for computing devices and information storage
US10341311B2 (en) * 2015-07-20 2019-07-02 Schweitzer Engineering Laboratories, Inc. Communication device for implementing selective encryption in a software defined network
CN105429759A (zh) * 2015-11-05 2016-03-23 天津津航计算技术研究所 用于无人机机载数据记录仪数据加密的密钥管理方法
CN205752715U (zh) * 2016-03-31 2016-11-30 深圳贝尔创意科教有限公司 连接结构及应用该连接结构的电子装置
CN108270739B (zh) * 2016-12-30 2021-01-29 华为技术有限公司 一种管理加密信息的方法及装置
CN110417813B (zh) * 2019-08-23 2021-08-27 极芯通讯技术(南京)有限公司 出栈网络处理器及网络数据出栈处理方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870474A (en) * 1995-12-04 1999-02-09 Scientific-Atlanta, Inc. Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers
US5796836A (en) * 1995-04-17 1998-08-18 Secure Computing Corporation Scalable key agile cryptography
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6426706B1 (en) * 1998-11-19 2002-07-30 Lear Automotive Dearborn, Inc. Safety warning transceiver
US6477646B1 (en) * 1999-07-08 2002-11-05 Broadcom Corporation Security chip architecture and implementations for cryptography acceleration
US7600131B1 (en) * 1999-07-08 2009-10-06 Broadcom Corporation Distributed processing in a cryptography acceleration chip
JP2001308843A (ja) * 2000-04-19 2001-11-02 Nec Commun Syst Ltd 暗号復号化装置
GB2365717B (en) * 2000-05-24 2004-01-21 Ericsson Telefon Ab L M IPsec processing
EP1209934A1 (en) * 2000-11-27 2002-05-29 Siemens Aktiengesellschaft Method and apparatus to counter the rogue shell threat by means of local key derivation
US6959346B2 (en) * 2000-12-22 2005-10-25 Mosaid Technologies, Inc. Method and system for packet encryption
US7246245B2 (en) * 2002-01-10 2007-07-17 Broadcom Corporation System on a chip for network storage devices
US7106680B2 (en) * 2002-05-10 2006-09-12 Ricoh Company, Ltd. Device and method for recording data to optical disk using multi-pulse to enhance power pulse
US7773754B2 (en) * 2002-07-08 2010-08-10 Broadcom Corporation Key management system and method
US7454785B2 (en) * 2002-12-19 2008-11-18 Avocent Huntsville Corporation Proxy method and system for secure wireless administration of managed entities
US7567510B2 (en) * 2003-02-13 2009-07-28 Cisco Technology, Inc. Security groups

Also Published As

Publication number Publication date
TW200605590A (en) 2006-02-01
CN1954540A (zh) 2007-04-25
AU2005213327A1 (en) 2005-08-25
EP1714421A4 (en) 2011-08-17
EP1714421A2 (en) 2006-10-25
IL177178A0 (en) 2006-12-10
WO2005076846A2 (en) 2005-08-25
AU2009202573A1 (en) 2009-07-16
US20050177713A1 (en) 2005-08-11
AU2005213327B2 (en) 2009-03-26
AU2009200695A1 (en) 2009-03-12
WO2005076846A3 (en) 2006-09-08

Similar Documents

Publication Publication Date Title
TWI278210B (en) Multi-protocol network encryption system
US8983061B2 (en) Method and apparatus for cryptographically processing data
US7774594B2 (en) Method and system for providing strong security in insecure networks
US8340299B2 (en) Key management system and method
EP1714459B1 (en) Accessing protected data on network storage from multiple devices
US6151395A (en) System and method for regenerating secret keys in diffie-hellman communication sessions
US8700894B2 (en) Method and system for securing routing information of a communication using identity-based encryption scheme
EP1635502B1 (en) Session control server and communication system
EP1282261B1 (en) Method and system for the secure transfer of cryptographic keys via a network
US20020114453A1 (en) System and method for secure cryptographic data transport and storage
EP2923458B1 (en) Method, system and device for securely transferring content between devices within a network
US6718468B1 (en) Method for associating a password with a secured public/private key pair
JP2008533910A (ja) QKDをIPSecと統合する方法
JPH10214233A (ja) 情報処理装置、情報処理システム、情報処理方法、プログラム記憶装置、及び鍵の判定方法及び判定装置
CN101262405A (zh) 基于网络处理器的高速安全虚拟专用网通道及其实现方法
US20220006793A1 (en) Methods for Communicating Data Utilizing Sessionless Dynamic Encryption
US6704868B1 (en) Method for associating a pass phase with a secured public/private key pair
Farinacci et al. Locator/ID separation protocol (LISP) data-plane confidentiality
CN116016529A (zh) IPSec VPN设备负载均衡管理方法和装置
KR20220089290A (ko) 광 전송 설비용 보안 시스템 및 방법
JPH11187008A (ja) 暗号鍵の配送方法
Neppach et al. Key Management of Quantum Generated Keys in IPsec.
CN117544951B (zh) 一种5g物联网安全网关
JP2001125481A (ja) 暗号通信端末、暗号通信センター装置及び暗号通信システム並びに記録媒体
CN118157930A (zh) 一种加密传输数据的方法、装置、设备及介质