專利名稱:用于光纖信道公共傳輸?shù)臋C密性保護的方法和裝置的制作方法
技術領域:
本發(fā)明涉及光纖信道安全性�。更具體而言,本發(fā)明涉及用于為封裝在公共傳輸信息單元(Common Transport Information Units)中的光纖信道控制消息提供機密性的方法和裝置����。
背景技術:
光纖信道網(wǎng)絡的安全性非常有限。光纖信道網(wǎng)絡的安全性的一種形式是物理安全性�。諸如交換機、盤�、磁帶庫、盤陣列和服務器等所有光纖信道網(wǎng)絡實體都必須位于安全和可信環(huán)境中����。在光纖信道架構上可以限制訪問和維護嚴格的控制。但是�����,將每個光纖信道網(wǎng)絡實體都定位在安全環(huán)境中并不總是可行的����。
一些安全性方案更加關注安全鏈路���。當新的光纖信道網(wǎng)絡實體被引入光纖信道架構時,直接相鄰的節(jié)點檢查新引入的實體���,以確定新引入的實體是否被授權連接到該架構���。但是,該檢查僅由一些直接相鄰的節(jié)點進行一次�。其他較遠的節(jié)點不能執(zhí)行任何檢查。此外��,一旦鏈路被建立����,就不再提供進一步的安全性。即使光纖信道架構仍然易受某些攻擊(例如哄騙(spoof)��、劫持(hijack)或假冒)的影響���,但是該架構還是被視為可信的。
因此�����,希望提供用于改善光纖信道網(wǎng)絡中的安全性的方法和裝置,具體而言�,其用于改善光纖信道架構中就上述部分或全部限制而言的認證、機密性����、消息完整性保護和反重放(anti-replay)保護。
第三代光纖信道通用服務(“FC-GS-3”)標準(以前是ANSI NCITS348-2001)定義了可被用來提供反重放和完整性保護以便控制流量的CT_Authentication���,一種光纖信道公共傳輸信息單元的安全性變換����。但是�����,當前對于提供機密性以便控制流量還沒有規(guī)定��,雖然很需要這樣的機密性����。沒有機密性,公共傳輸就不能被用來傳輸例如口令或秘密等非常有價值的控制信息子集這樣的敏感數(shù)據(jù)�����。
發(fā)明內容
本發(fā)明提供了用于改善光纖信道網(wǎng)絡中的控制流量機密性的方法和裝置?��?墒褂迷谡J證序列期間提供的信息來加密在光纖信道網(wǎng)絡實體之間傳遞的消息��。所述方法和裝置可與已有的光纖信道公共傳輸認證服務結合��,以便提供一組完整的安全性服務�����,例如逐個消息的認證�����、機密性�����、完整性保護和反重放保護��。
根據(jù)各個實施例���,提供了一種用于處理具有第一網(wǎng)絡實體和第二網(wǎng)絡實體的光纖信道網(wǎng)絡中的公共傳輸信息單元的方法��。在光纖信道網(wǎng)絡中,在第一網(wǎng)絡實體處接收來自第二網(wǎng)絡實體的CT_IU�。識別來自所述第二網(wǎng)絡實體的CT_IU中的安全性控制指示符。確定與所述公共傳輸信息單元相關聯(lián)并與安全性數(shù)據(jù)庫中的條目相對應的安全性關聯(lián)標識符�����。通過使用所述安全性數(shù)據(jù)庫中的所述條目包含的算法信息來解密所述CT_IU的一部分��。
在另一實施例中���,提供了一種用于在具有第一網(wǎng)絡實體和第二網(wǎng)絡實體的光纖信道網(wǎng)絡中發(fā)送加密的公共傳輸信息單元的方法�。識別具有對應于所述第一網(wǎng)絡實體的源和對應于所述第二網(wǎng)絡實體的目的地的CT_IU�。確定所述CT_IU是否對應于安全性數(shù)據(jù)庫中的條目的選擇器。使用與所述安全性數(shù)據(jù)庫中的所述條目相關聯(lián)的秘鑰和算法信息來加密所述CT_IU的一部分��。發(fā)送所述公共傳輸信息單元到所述第二網(wǎng)絡實體�����。
在下面通過示例示出了本發(fā)明的原理的本發(fā)明的說明書和附圖中���,更加詳細地描述了本發(fā)明的這些和其他特征和優(yōu)點�。
結合附圖并參考下面的說明,可以更好地理解本發(fā)明��,附圖示出了本發(fā)明的特定實施例���。
圖1是可使用本發(fā)明的技術的網(wǎng)絡的示意圖����。
圖2是安全性數(shù)據(jù)庫的示意圖�����。
圖3是在光纖信道上傳送的安全公共傳輸信息單元的示意圖�。
圖4是示出了安全公共傳輸信息單元的生成的處理流程圖。
圖5是示出了安全公共傳輸信息單元的接收和處理的處理流程圖���。
圖6是可被配置為實現(xiàn)本發(fā)明的一些方面的的網(wǎng)絡設備�。
具體實施例方式
本發(fā)明涉及光纖信道架構中的安全性�����。更具體而言���,本發(fā)明涉及用于為封裝在公共傳輸信息單元中的光纖信道控制消息提供機密性的方法和裝置��。
現(xiàn)在詳細參考本發(fā)明的一些具體實施例���,包括用于實現(xiàn)本發(fā)明的最佳方式�����。附圖中示出了這些具體實施例的示例。雖然結合這些具體實施例來描述本發(fā)明�,但是應當理解,本發(fā)明并不限于所述實施例���。相反�����,本發(fā)明將覆蓋可能包括在由所附權利要求限定的本發(fā)明的精神和范圍中的替換�����、修改和等同物���。
例如,將在存儲區(qū)域網(wǎng)絡中使用的光纖信道公共傳輸?shù)纳舷挛闹忻枋霰景l(fā)明的技術��。但是應當注意,本發(fā)明的技術可以應用于多種不同協(xié)議和網(wǎng)絡����。在以下描述中列出了很多具體細節(jié),以便提供對本發(fā)明的全面理解���。本發(fā)明可以在沒有這些具體細節(jié)中的一些或全部的情況下被實施���。此外,沒有詳細描述公知的處理操作���,以免不必要地模糊本發(fā)明�。
本發(fā)明的方法和裝置提供了光纖信道網(wǎng)絡中的安全性�。本發(fā)明的技術覆蓋了基于消息的安全性。提供了用于加密在光纖信道網(wǎng)絡實體間傳遞的公共傳輸信息單元的機制���。
Maino�,Di Benedetto和DeSanti提交的題為“Methods and Apparatus forSecurity over Fibre Channel”的美國專利申請10/034,367(律師卷號ANDIP004)改善了光纖信道架構中的認證�����、機密性、消息完整性保護和反重放保護����。該方法改善了FC-2層的光纖信道幀的安全性,但是有時有必要僅對整個光纖信道流量的一個子集應用安全性��,例如作為公共傳輸信息單元(也稱為CT_IU)傳輸?shù)目刂屏髁俊?br>
但是���,對在幀級別封裝在CT_IU中的控制流量應用安全性可能需要保持與屬于同一CT_IU的幀相關聯(lián)的某些狀態(tài)信息�,這使得實現(xiàn)變得復雜��。根據(jù)本發(fā)明的方法向公共傳輸信息單元直接提供安全性不需要保持逐幀的狀態(tài)信息��,因此是有優(yōu)點的��。
圖1是可使用本發(fā)明的技術的網(wǎng)絡示意圖���。光纖信道架構131可包括若干網(wǎng)絡實體,例如交換機111和113�����,以及可以是另一交換機的通用服務提供者115���。這些交換機可被用來互連節(jié)點101���、103�����、105和107�。節(jié)點101���、103�����、105和107可以是諸如服務器�����、磁帶庫���、盤陣列、和/或簡單盤捆綁(JBOD)等實體�����。圖1中的光纖信道體系結構是基于交換機的體系結構。但是應當注意��,可以使用諸如仲裁環(huán)和點到點連接等多種不同拓撲來實現(xiàn)光纖信道網(wǎng)絡�。
光纖信道網(wǎng)絡131可以通過例如光纖信道到IP網(wǎng)關121這樣的設備連接到傳統(tǒng)IP網(wǎng)絡141。傳統(tǒng)TCP/IP網(wǎng)絡中存在多種認證和加密方案�。但是,光纖信道網(wǎng)絡中的安全性受到了限制��,這主要是因為一般可向光纖信道網(wǎng)絡提供物理安全性�。在傳統(tǒng)光纖信道網(wǎng)絡中,諸如盤陣列�����、磁帶庫����、服務器�、交換機和通用服務提供者等所有不同網(wǎng)絡實體都可置于諸如安全的辦公室空間或服務器房間等受控和可信環(huán)境中。但是���,本發(fā)明的技術認識到����,并不總能提供物理安全性。
傳統(tǒng)的光纖信道安全性機制受限于容量和范圍���。一種光纖信道認證機制提供有限的基于鏈路的安全性�。當新的網(wǎng)絡實體被引入光纖信道網(wǎng)絡時���,直接鄰居認證該新的網(wǎng)絡實體并對鏈路應用安全性�。在對鏈路應用安全性之后�,網(wǎng)絡被認為是可信的,并且不需要其他安全性機制����。但是,基于鏈路的安全性不能防止某些類型的攻擊�。在一個示例中,網(wǎng)絡入侵者可能“哄騙”在網(wǎng)絡上發(fā)送的機密信息�����,捕獲可能被進一步用于危害網(wǎng)絡的敏感信息�����。在沒有逐個消息的機密性的情況下���,兩個FC實體之間的攻擊者可以很容易地轉發(fā)兩個實體交換的信息單元��,并且可觀察定向到受攻擊實體的所有流量���。當具有逐個消息的機密性時��,攻擊者捕獲的消息將僅對具有用于解密受保護信息單元的適當秘鑰的接收者來說是可理解的��。
現(xiàn)有的光纖信道安全性機制提供了公共傳輸信息單元的完整性驗證�。當前在向CT_IU提供機密性方面還沒有規(guī)定���。因此���,提供了方法和裝置來實現(xiàn)用于公共傳輸信息單元的高效的基于消息的加密機制。
公共傳輸信息單元被用來訪問光纖信道實體和向其提供通用服務����。如FC-GS-3中定義的那樣�,CT_IU本身在內部攜帶的一些參數(shù)指定了要被訪問的服務。具體而言����,GS_Type參數(shù)確定了感興趣的通用服務�����,而GS_Subtype參數(shù)選擇了指定服務下的特定子服務器�。例如���,攜帶等于“FCh”的GS_Type和等于“02h”的GS_Subtype的CT_IU將意圖訪問目錄服務(GS_Type=“FCh”)下的名稱服務器子服務器(GS_Subtype=“02h”)�。相反��,攜帶等于“FAh”的GS_Type和等于“03h”的GS_Subtype的CT_IU將意圖訪問管理服務(GS_Type=“FAh”)下的架構分區(qū)(Fabric Zone)服務器子服務器(GS_Subtype=“03h”)�。
現(xiàn)有的認證和秘鑰交換序列向兩個光纖信道實體提供了公共秘鑰(common key),其可被調節(jié)以提供逐個消息的安全性����。使用該公共秘鑰,在兩個被認證實體之間交換的每個光纖信道消息都可以這樣的方式被密碼化����,所述方式使得接收者可以驗證消息的若干特性,例如源自于發(fā)送者的消息����、消息被發(fā)送后未被篡改,和/或消息不能由沒有公共秘鑰者解密��。
在兩個被認證實體之間交換的每類流量可被提供以不同的安全性服務。一些用于控制和流量消息的安全性服務包括認證����、篡改保護和加密。向在兩個光纖信道端口之間傳送的流量提供安全性服務的兩個端口之間的關系在這里被稱為安全性關聯(lián)���。安全性關聯(lián)參數(shù)的示例有安全性關聯(lián)標識符�、源地址�����、目的地地址���、序列號���、秘鑰信息以及算法信息。如果傳出流量與安全性關聯(lián)的選擇器相匹配���,則該流量根據(jù)傳出安全性關聯(lián)的參數(shù)被轉換����。安全性關聯(lián)選擇器的示例有源標識符�、目的地標識符和流量類別。安全性數(shù)據(jù)庫可被用來確定公共傳輸信息單元是否應當基于CT_IU本身的參數(shù)(例如源和目的地地址和標識流量類別的GS_Type和GS_Subtype參數(shù))被加密和認證��。安全性可以是連續(xù)的和不中斷的���,并且可應用于封裝在兩個網(wǎng)絡實體之間交換的CT_IU內的任何類型的數(shù)據(jù)�。
圖2是例如安全性關聯(lián)數(shù)據(jù)庫這樣的安全性數(shù)據(jù)庫的示意圖�����。在一個實施例中�,數(shù)據(jù)庫的前三列包含安全性關聯(lián)選擇器,所述安全性關聯(lián)選擇器根據(jù)在安全性關聯(lián)中指定的參數(shù)來確定將對哪些公共傳輸信息單元應用安全性����。選擇器可以是目的地地址203,以及被表達為GS_Type 209和GS_Subtype 211的流量類別���。安全性關聯(lián)數(shù)據(jù)庫可以包含可被用來識別安全性數(shù)據(jù)庫中條目的諸如安全性關聯(lián)標識符SAID 201這樣的索引�����。安全性關聯(lián)標識符(SAID)列201給出了用于確定公共傳輸信息單元是否應被解密和在接收CT_IU期間驗證的認證的信息���。安全性數(shù)據(jù)庫還可包含秘鑰信息205���。秘鑰信息205可包括會話秘鑰以及用于加密、解密或認證消息的信息��。安全性數(shù)據(jù)庫還可包含與用于加密或認證的算法有關的信息207��。通常用于加密的算法包括3DES/DES和AES���,而通常用于認證的算法包括MD5和SHA1���。
圖3是可在光纖信道架構中的網(wǎng)絡實體之間傳送的安全公共傳輸信息單元的示意圖。每個CT_IU包含一個基本CT_IU前序�,如在FC-GS-3中定義的那樣?��;綜T_IU前序中的標志指示擴展CT_IU前序是否也是信息單元的一部分�。擴展CT_IU前序通過提供完整性服務來允許對公共傳輸信息單元應用安全性��。根據(jù)本發(fā)明的各個實施例�,可通過結合擴展CT_IU前序對CT_IU的一部分319加密,來利用機密性服務對公共傳輸信息單元應用安全性��。
擴展CT_IU前序323也可被稱為安全性頭部。安全性頭部323可包括用于標識安全性數(shù)據(jù)庫中的條目的安全性關聯(lián)ID 303����。安全性頭部323還可包括時間戳305�����,用于防止重放攻擊�。對于安全公共傳輸信息單元,可利用安全性數(shù)據(jù)庫中指示的算法和秘鑰對CT_IU凈荷數(shù)據(jù)309和凈荷填充(padding)311加密�。本領域的技術人員將理解,填充提供了加密和認證中的塊對齊�����。填充311可包括填充長度315�,用于指示解密后要調整的量。
安全公共傳輸信息單元還可包括根據(jù)FC-GS-3或其他方法的指定而計算的認證數(shù)據(jù)321�。被加密的部分是可變的。在一個示例中�����,僅有凈荷數(shù)據(jù)被加密���。
圖4是示出了如圖3所示的安全公共傳輸信息單元的生成的處理流程圖��。在401�����,識別CT_IU���。識別CT_IU可能需要定位被排隊以供發(fā)送的信息單元�����。在403�,檢查安全性數(shù)據(jù)庫�,以尋找與安全性關聯(lián)數(shù)據(jù)庫中的選擇器之一相匹配的CT_IU。如果信息單元的目的地標識符被包含在安全性數(shù)據(jù)庫的一個條目中�,則該條目可能對應于所識別出的CT_IU。在另一示例中����,可將目的地標識符、GS_Type和GS_Subtype與安全性數(shù)據(jù)庫中的條目進行比較���。如果CT_IU不與安全性數(shù)據(jù)庫中的條目相對應���,則在417發(fā)送該信息單元���,而不對其應用安全性。即�,CT_IU的一部分不被加密,并且信息單元的一部分不能被散列(hash)以允許認證�����。如果CT_IU與數(shù)據(jù)庫中的條目相對應�����,則在407��,圖3所示的擴展CT_IU前序和從選定的安全性關聯(lián)導出的參數(shù)值被添加到信息單元�,并且在基本CT_IU前序中設置指示其存在的標志�����。擴展CT_IU前序可包括安全性關聯(lián)標識符�、時間戳和認證散列塊數(shù)據(jù)。
在411�����,為了允許加密和認證,可以填充凈荷�����。在413�����,使用秘鑰信息和算法信息對公共傳輸信息單元的一部分加密�。可使用在該節(jié)點和目的地之間的認證和秘鑰交換序列期間被認同的會話秘鑰來加密CT_IU���。算法也可以是在該認證和秘鑰交換序列期間被認同的���。一般用于加密的算法包括DES/3DES和AES。在415�����,使用秘鑰信息���、算法信息和在413的修改之后得到的信息單元的一部分來計算要被包括在擴展CT_IU前序中的認證散列塊數(shù)據(jù)����。
應當注意,本發(fā)明的技術支持對光纖信道信息單元的一個子集(被稱為公共傳輸信息單元)的加密和認證��。但是��,標準FC-GS-3不提供加密或私密性保護���。
圖5是示出了光纖信道架構中的網(wǎng)絡實體接收公共傳輸信息單元的處理流程圖���。在501�����,接收CT_IU�。在503,確定信息單元是否是安全的�。表示CT_IU安全的任何指示符在這里都被稱為安全性控制指示符。應當注意����,在某些實施例中,相同的安全性控制指示符被用于確定信息單元是否具有擴展CT_IU前序���。在其他實施例中�����,可以使用廠商特定的指示符(vendor specific indicator)�。支持加密和認證的CT_IU在這里被稱為安全公共傳輸信息單元。僅支持認證的CT_IU在這里被稱為認證安全公共傳輸信息單元���。僅支持加密的CT_IU在這里被稱為加密安全公共傳輸信息單元�。
如果CT_IU不是安全的���,則使用傳統(tǒng)光纖信道規(guī)則進行處理�。如果CT_IU是安全的����,則在505,針對例如安全性關聯(lián)數(shù)據(jù)庫這樣的安全性數(shù)據(jù)庫來參考例如安全性關聯(lián)標識符這樣的標識符�����。從包含與接收到的公共傳輸信息單元相關聯(lián)的標識符或安全性關聯(lián)標識符的條目中提取秘鑰信息和算法信息����。如果CT_IU是認證安全的�,則如傳統(tǒng)CT_Authentication(CT_認證)協(xié)議那樣進行處理在507使用安全性數(shù)據(jù)庫中注明的秘鑰信息�����、算法信息和加密數(shù)據(jù)計算認證數(shù)據(jù)����。然后,將計算得到的認證數(shù)據(jù)與CT_IU中包含的認證散列塊數(shù)據(jù)相比較����。如果認證散列塊數(shù)據(jù)匹配,則發(fā)送者的身份被驗證�����。否則���,公共傳輸信息單元不被認證并被丟棄。如果CT_IU不是認證安全的��,則跳過上述認證處理���。
認證之后���,在511����,公共傳輸信息單元的加密部分可被解密�。從包含與接收到的CT_IU相關聯(lián)的安全性關聯(lián)標識符的條目中提取秘鑰信息和加密算法信息,然后將加密凈荷解密�����。去除凈荷中包含的填充����,然后使用傳統(tǒng)光纖信道規(guī)則處理CT_IU。
圖6示出了可被配置為實現(xiàn)本發(fā)明的一些方法的網(wǎng)絡設備的示例��。網(wǎng)絡設備660包括主中央處理單元(CPU)662����、接口668和總線667(例如PCI總線)。一般地���,接口668包括適于與合適的介質通信的端口669����。在一些實施例中,一個或多個接口668包括至少一個獨立處理器674���,并且在某些情形下包括易失性RAM����。獨立處理器674可以是例如ASIC或任何其他合適的處理器����。根據(jù)這樣的一些實施例,這些獨立處理器674執(zhí)行這里描述的邏輯的至少一些功能�。在一些實施例中,一個或多個接口668控制諸如媒體控制和管理等通信密集型任務�。通過提供用于通信密集型任務的獨立處理器,接口668允許主微處理器662高效地執(zhí)行其他功能�����,例如路由選擇計算�����、網(wǎng)絡診斷���、安全性功能等�����。
接口668一般被提供作為接口卡(有時稱為“線路卡”)�����。一般地��,接口668控制網(wǎng)絡上的數(shù)據(jù)分組的發(fā)送和接收����,并且有時支持與網(wǎng)絡設備660一起使用的其他外圍設備���?��?梢蕴峁┑钠渌涌谟蠪C接口、以太網(wǎng)接口�、幀中繼接口、線纜接口�、DSL接口、令牌環(huán)接口等����。此外�,可以提供各種甚高速接口����,例如快速以太網(wǎng)接口、千兆比特以太網(wǎng)接口�����、ATM接口��、HSSI接口����、POS接口、FDDI接口���、ASI接口����、DHEI接口等����。
當在合適的軟件或固件控制下動作時,在本發(fā)明的一些實現(xiàn)中��,CPU662可以負責實現(xiàn)與所需的網(wǎng)絡設備的功能相關聯(lián)的特定功能�。根據(jù)一些實施例,CPU 662在包括操作系統(tǒng)(例如Cisco SANOS���,Cisco System�,Inc.開發(fā)的私有操作系統(tǒng)等)和任何合適的應用軟件的軟件控制下完成所有這些功能����。
CPU 662可包括一個或多個處理器663,例如來自Motorola微處理器族或MIPS微處理器族的處理器���。在替換實施例中����,處理器663是專門設計的用于控制網(wǎng)絡設備660的操作的硬件���。在特定實施例中��,處理器661(例如非易失性RAM和/或ROM)也形成CPU 662的一部分��。但是��,存儲器可以以多種不同方式耦合到系統(tǒng)����。存儲器塊661可以用于各種目的,例如緩存和/或存儲數(shù)據(jù)�����、程序指令�����,等等�。
不論網(wǎng)絡設備的配置如何,它都可以采用一個或多個存儲器或存儲器模塊(例如存儲器塊665)����,其被配置為存儲數(shù)據(jù)、用于通用網(wǎng)絡操作的程序指令和/或與這里討論的功能有關的其他信息�����。程序指令可控制例如操作系統(tǒng)和/或一個或多個應用的操作���。
因為這種信息和程序指令可被用來實現(xiàn)這里討論的系統(tǒng)/方法���,因此本發(fā)明涉及包括用于執(zhí)行這里描述的各種操作的程序指令��、狀態(tài)信息等的機器可讀介質。機器可讀介質的示例包括但不限于磁介質�����,例如硬盤����、軟盤和磁帶;光介質�,例如CD-ROM盤;磁光介質�;以及被專門配置來存儲和執(zhí)行程序指令的硬件設備,例如只讀存儲器設備(ROM)和隨機訪問存儲器(ROM)�。本發(fā)明也可被實現(xiàn)在通過合適的介質傳播的載波中,例如無線電波�、光線、電線等�����。程序指令的示例包括例如由編譯器產(chǎn)生的機器代碼和包含可由計算機使用解釋器執(zhí)行的高級代碼的文件�。
雖然圖6所示的系統(tǒng)示出了本發(fā)明的一個特定網(wǎng)絡設備�,但是它絕非可實現(xiàn)本發(fā)明的唯一網(wǎng)絡設備體系結構�����。例如��,常常使用具有處理通信以及路由選擇計算等的單個處理器的體系結構�����。此外�����,其他類型的接口和介質也可與該網(wǎng)絡設備一起使用�。接口/線路卡之間的通信路徑可以是基于總線(如圖6所示)或基于交換架構(例如交叉開關)的。
雖然已經(jīng)參考特定實施例具體示出和描述了本發(fā)明��,但是本領域的技術人員應當理解���,在不脫離本發(fā)明的精神或范圍的情況下可對所公開的實施例的形式和細節(jié)作出改變�����。例如�����,本發(fā)明的實施例可用多種體系結構實現(xiàn)���。在一個實施例中�����,機密性保護可被擴展到提供請求者的匿名性的擴展CT_IU前序的請求N_Port名稱字段。因此����,本發(fā)明應被理解為包括落在本發(fā)明的真實精神和范圍內的所有變形和等同物。
權利要求
1.一種用于處理具有第一網(wǎng)絡實體和第二網(wǎng)絡實體的光纖信道網(wǎng)絡中的公共傳輸信息單元的方法�,該方法包括在光纖信道網(wǎng)絡中,在第一網(wǎng)絡實體處接收來自第二網(wǎng)絡實體的公共傳輸信息單元��;識別來自所述第二網(wǎng)絡實體的公共傳輸信息單元中的安全性控制指示符�����;確定與所述公共傳輸信息單元相關聯(lián)的安全性關聯(lián)標識符與安全性數(shù)據(jù)庫中的條目相對應���;以及通過使用所述安全性數(shù)據(jù)庫中的所述條目包含的算法信息來解密所述公共傳輸信息單元的至少第一部分�。
2.如權利要求1所述的方法,其中在所述第一和第二網(wǎng)絡實體之間執(zhí)行光纖信道認證協(xié)議之后創(chuàng)建所述安全性數(shù)據(jù)庫中的所述條目����。
3.如權利要求1所述的方法,其中使用所述安全性數(shù)據(jù)庫中的所述條目包含的秘鑰來解密所述第一部分����。
4.如權利要求1所述的方法,其中使用從由DES���、3DES和AES組成的組中選出的加密算法來加密所述第一部分���。
5.如權利要求1所述的方法,還包括辨認出所述公共傳輸信息單元的認證散列塊支持認證和機密性�;以及使用所述安全性數(shù)據(jù)庫中的所述條目包含的算法信息來認證所述公共傳輸信息單元的凈荷。
6.如權利要求1所述的方法�����,其中所述第一和第二網(wǎng)絡實體是從由域控制器���、N_Ports或FC_Ports組成的組中選出的�。
7.一種用于在具有第一網(wǎng)絡實體和第二網(wǎng)絡實體的光纖信道網(wǎng)絡中發(fā)送加密的公共傳輸信息單元的方法,該方法包括識別具有對應于所述第一網(wǎng)絡實體的源和對應于所述第二網(wǎng)絡實體的目的地的公共傳輸信息單元�����;確定所述公共傳輸信息單元是否對應于安全性數(shù)據(jù)庫中的條目的選擇器����;使用與所述安全性數(shù)據(jù)庫中的所述條目相關聯(lián)的秘鑰和算法信息來加密所述公共傳輸信息單元的第一部分;以及發(fā)送所述公共傳輸信息單元到所述第二網(wǎng)絡實體����。
8.如權利要求7所述的方法,其中在所述第一和第二網(wǎng)絡實體之間執(zhí)行光纖信道認證協(xié)議之后創(chuàng)建所述安全性數(shù)據(jù)庫中的所述條目����。
9.如權利要求7所述的方法���,其中所述公共傳輸信息單元攜帶擴展CT_IU前序�,并且通過加密CT_IU凈荷保護機密性��。
10.如權利要求7所述的方法�����,其中使用從由DES�、3DES和AES組成的組中選出的加密算法來加密所述公共傳輸信息單元的第一部分����。
11.如權利要求9所述的方法�,其中保護所述擴展CT_IU前序或基本CT_IU前序中的參數(shù)的機密性。
12.如權利要求11所述的方法�����,其中在加密所述公共傳輸信息單元的所述第一部分之前填充CT_IU凈荷�����。
13.一種用于在具有第一網(wǎng)絡實體和第二網(wǎng)絡實體的光纖信道網(wǎng)絡中發(fā)送加密的公共傳輸信息單元的裝置����,該裝置包括用于識別具有對應于所述第一網(wǎng)絡實體的源和對應于所述第二網(wǎng)絡實體的目的地的公共傳輸信息單元的裝置;用于確定所述公共傳輸信息單元是否對應于安全性數(shù)據(jù)庫中的條目的選擇器的裝置�;用于使用與所述安全性數(shù)據(jù)庫中的所述條目相關聯(lián)的秘鑰和算法信息來加密所述公共傳輸信息單元的第一部分的裝置;以及用于發(fā)送所述加密的公共傳輸信息單元到所述第二網(wǎng)絡實體的裝置�����。
14.如權利要求13所述的裝置�,其中在所述第一和第二網(wǎng)絡實體之間執(zhí)行光纖信道認證協(xié)議之后創(chuàng)建所述安全性數(shù)據(jù)庫中的所述條目。
15.一種用于在具有第一網(wǎng)絡實體和第二網(wǎng)絡實體的光纖信道網(wǎng)絡中接收加密的公共傳輸信息單元的裝置,該裝置包括用于識別所述公共傳輸信息單元已被應用安全性的裝置���;用于在安全性數(shù)據(jù)庫中查找安全性參數(shù)�����,從而允許對所述公共傳輸信息單元解封裝的裝置��;用于對加密的公共傳輸信息單元解密的裝置����;以及用于驗證加密的消息是由所聲稱的發(fā)送者發(fā)送的���,并且所述加密的消息在其傳送期間未被篡改的裝置����。
16.一種實現(xiàn)在機器可讀介質中的計算機程序����,用于處理光纖信道網(wǎng)絡中的公共傳輸信息單元����,所述計算機程序控制第一網(wǎng)絡設備執(zhí)行以下步驟接收來自所述光纖信道網(wǎng)絡中的第二網(wǎng)絡設備的公共傳輸信息單元;識別所述公共傳輸信息單元中的安全性控制指示符;確定與所述公共傳輸信息單元相關聯(lián)的安全性關聯(lián)標識符與安全性數(shù)據(jù)庫中的條目相對應����;以及通過使用所述安全性數(shù)據(jù)庫中的所述條目包含的算法信息來解密所述公共傳輸信息單元的至少第一部分。
17.一種實現(xiàn)在機器可讀介質中的計算機程序���,用于處理光纖信道網(wǎng)絡中的公共傳輸信息單元���,所述計算機程序控制第一網(wǎng)絡設備執(zhí)行以下步驟在公共傳輸信息單元中設置安全性控制指示符;設置與對應于安全性數(shù)據(jù)庫中的條目的所述公共傳輸信息單元相關聯(lián)的安全性關聯(lián)標識符�����;通過使用所述安全性數(shù)據(jù)庫中的所述條目包含的算法信息來加密所述公共傳輸信息單元的至少第一部分���;以及將所述公共傳輸信息單元發(fā)送到所述光纖信道網(wǎng)絡中的第二網(wǎng)絡設備�����。
18.一種用于接收光纖信道網(wǎng)絡中的加密的公共傳輸信息單元的網(wǎng)絡設備�����,該網(wǎng)絡設備包括多個端口���,用于與所述光纖信道網(wǎng)絡中的其他網(wǎng)絡設備通信��;以及被配置為執(zhí)行以下步驟的至少一個處理器接收來自所述光纖信道網(wǎng)絡中的第二網(wǎng)絡設備的公共傳輸信息單元�;識別所述公共傳輸信息單元中的安全性控制指示符����;確定與所述公共傳輸信息單元相關聯(lián)的安全性關聯(lián)標識符與安全性數(shù)據(jù)庫中的條目相對應;以及通過使用所述安全性數(shù)據(jù)庫中的所述條目包含的算法信息來解密所述公共傳輸信息單元的至少第一部分���。
19.一種用于在光纖信道網(wǎng)絡中發(fā)送加密的公共傳輸信息單元的網(wǎng)絡設備����,該網(wǎng)絡設備包括多個端口�,用于與所述光纖信道網(wǎng)絡中的其他網(wǎng)絡設備通信;以及被配置為執(zhí)行以下步驟的至少一個處理器在公共傳輸信息單元中設置安全性控制指示符�����;設置與對應于安全性數(shù)據(jù)庫中的條目的所述公共傳輸信息單元相關聯(lián)的安全性關聯(lián)標識符��;通過使用所述安全性數(shù)據(jù)庫中的所述條目包含的算法信息來加密所述公共傳輸信息單元的至少第一部分����;以及將所述公共傳輸信息單元發(fā)送到所述光纖信道網(wǎng)絡中的第二網(wǎng)絡設備。
全文摘要
本發(fā)明提供了用于改善光纖信道網(wǎng)絡中的基于消息的安全性的方法和裝置�。更具體而言,本發(fā)明涉及用于向封裝在公共傳輸信息單元中的光纖信道控制消息提供機密性的方法和裝置����。與光纖信道公共傳輸協(xié)議一起傳輸并在光纖信道網(wǎng)絡實體之間傳遞的控制消息可被加密,以便提供結合了由現(xiàn)有的光纖信道安全性機制提供的數(shù)據(jù)來源認證�����、完整性和反重放保護的機密性�����。
文檔編號H04L9/06GK101076792SQ200580007367
公開日2007年11月21日 申請日期2005年3月17日 優(yōu)先權日2004年3月19日
發(fā)明者法彼奧·R·麥諾, 克勞迪奧·德桑蒂 申請人:思科技術公司