专利名称:通信网络中分配和改变链路级地址的方法和系统的制作方法
技术领域:
本发明涉及改变通信网络中的实体的地址。
背景技术:
当通过通信网络传送数据时,通常重要的是避免数据被未经授权者访问。通常数据被加密,以便保护数据免被不具有对加密数据解密的密钥的某人读取。对其它用户的数据的这种敌对窃用也可称为探听或偷听。但是除了数据本身之外,还存在对可以进入网络的未经授权者来说有用的其它辅助信息。这可包括和发送给网络中的特定实体的通信的类型、定时或数量相关的信息;它可给出可帮助黑客突破网络安全性的线索,或者在商业网络中,它可暴露与网络被利用的层级相关的敏感商业信息。
在共享媒体网络中,避免对数据和辅助信息的访问的问题特别严重。在共享媒体网络中,许多实体通过公用数据链路相互连接,通过链路广播预定给一个或多个实体的数据。如果打算只有一个实体应接收某些数据,那么可使用广播和选择方案。为了实现该方案,每个实体具有网络中的链路级地址,数据和数据预定提供给的实体的链路级地址一起被传送。当实体发现其链路级地址和一定量的数据一起被传送时,它对该数据解码。
US 6028933描述一种通过共享媒体多址访问网络,对数据加密的方法。该文献建议通过所有下游位的完全加密,提高安全性。
共享媒体网络提供一种成本低廉的实现向许多节点提供对资源的访问的网络,例如因特网的方法。在这种情况下,网络可包括接入节点或集线器中的单个高速收发器,接入节点或集线器能够与位于用户房屋的许多节点通信。单个共享高速总线连接集线器和用户节点(也称为卫星节点)。卫星节点需要高速接口来通过链路接收信息,但是位于卫星节点的其余电子设备能够较慢,于是相对低廉。网络能够采用任意适当的布局(topology),例如星形、树形、环形、回路或线形。由于所有节点都与相同的高速总线连接,因此它们能够监听不是计划给它们的通信。即使数据被加密,监听节点也能够检测可能有价值的辅助信息;例如,它可识别有多少数据被发送给每个其它实体,以及数据何时被发送。另外,如果监听者想要读取对特定节点的通信,他可截取并保存发送给该节点的传输,以便稍后利用计算能力强大的计算机对其解密。
无线共享媒体网络尤其冒着这种形式的监视的危险,因为难以阻止对数据信道的物理访问。例如,在IEEE802.11b无线LAN网络中,集线器的范围内的任意兼容接收器能够监听计划给网络中的其它实体的传输。
这些问题的一种解决方案是关心保密性(privacy)的用户或网络操作员使用集线器和每个节点之间的专用链路。但是,这样做的成本很高。
于是,需要通过使监听者更难以获得和网络使用有关的辅助数据来改进网络的安全性。
发明内容
根据本发明的一个方面,提供一种通信系统,包括由数据链路连接的多个通信节点;向通信节点分配链路级地址的通信控制器,从而可针对链路上的通信,识别节点;通信控制器被安排成随时间改变分配给每个通信节点的地址,并把新分配的地址以加密形式传送给相应的节点。
更具体地说,通信控制器被安排成在通过数据链路,正在发生与节点的通信的期间,随时间改变分配给每个通信节点的地址。这种通信可以是不连续的,最好是基于分组的通信。适宜的是,这种通信是通信控制器和该节点或每个节点之间的业务量(traffic)数据通信。
数据链路最好是共享数据链路。共享数据链路在节点之间被共享,从而与数据链路连接的任意节点可以访问链路上的通信。适宜的是,每个节点被安排成只截取节点上发送给它的通信。数据链路可采取任意适当的布局。例如,数据链路可以是电缆链路或无线链路。
从属权利要求中陈述了本发明的其它方面。
下面将参考附图,举例说明本发明。
图1是数据传输系统的示意图,详细表示了集线器和终端的各个组件。
具体实施例方式
在图1的数据传输系统中,存在其中实现各种程序,以禁止监听者访问和网络使用有关的辅助数据的网络。网络中的接收设备被分配链路级地址,供在网络中使用,并且链路线地址随时间被改变,从而监听者难以确定哪些实体具有哪些地址。这意味着监听者难以得到和网络的使用相关的辅助信息。下面更详细说明的其它程序也被用于补充该程序的安全性。
图1中,网络1包括集线器2和一组卫星节点3。相对于其它卫星节点,更详细地表示了一个卫星节点3a。卫星节点通过共享高速数据总线4,与集线器连接。集线器2还与其它数据资源,例如本地数据存储库5和因特网6连接。
实际上,卫星节点可以是,例如安排成从数据总线接收数据的个人计算机或机顶盒。数据总线可以是安装到用户房屋的光纤链路。代替数据总线,共享媒体可以包括诸如无线电或光学接口之类的无线接口。
图1中,更详细地表示了集线器2和节点之一3a的组件。集线器包括接口10和接口11,集线器通过接口10,与上游数据资源5,6连接;通过接口11,与数据总线4连接。接口10可以是以太网交换机或IP路由器。接口11可以是光学收发器。在接口11和11之间传递的数据通过转换器12,转换器12在链路控制器13的控制下工作。链路控制器具有存储库14,链路控制器13把在网络内与每个节点3通信所需的信息的记录保存在存储库14中。所述信息的记录包括每个节点3的一个列表分配给该节点的网络1中的链路级地址,和分配给该节点的加密/解密密钥。还可保存其它信息,以便支持另外的保密协议,例如各个节点的MAC地址。
集线器2可进行地址转换,从而借助集线器的地址向上游资源表现节点3。
当来自接口10的数据将被发送给卫星节点之一时,所述数据被传送给在链路控制器13的控制下工作的转换器12,从而形成用于通过链路4传输的消息。链路控制器把目的地节点的链路级地址和加密密钥提供给转换器,以便对该节点进行传输。转换器利用加密密钥对数据加密,形成消息,以便被发送给节点的地址。消息随后被传送给接口11。
当来自接口11的数据将被发送给上游资源时,该数据被传递给在链路控制器13的控制下工作的转换器12,形成上游传输用消息。转换器把发出数据的链路级地址通知链路控制器。链路控制器从存储库14取回恰当的解密密钥,并把解密密钥提供给转换器。转换器随后利用解密密钥对数据解密,并把数据传递给接口11。
在每个卫星节点3,存在一个收发器控制器16。收发器控制器16包括保存分配给该节点的链路线地址和加密/解密密钥的存储库16。收发器控制器与数据选择器18和加密/解密单元19连接。收发器控制器16把分配给该节点的地址通知数据选择器18。数据选择器关于发送给该节点的消息,监视链路4上的数据。任意这样的消息被传送给加密/解密单元19。加密/解密单元19利用收发器控制器16提供给它的解密密钥,对消息解密,随后传递所述数据供本地使用(参见链路20)。当在链路20上收到用于通过链路4传送的数据时,该数据被传送给加密/解密单元19,加密/解密单元19利用节点的加密密钥(由收发器控制器16提供),对数据加密,随后通过链路4把该数据传送给集线器2。
集线器1还包括链路安全控制器15。链路安全控制器修改数据总线4上网络的操作。
链路安全控制器控制对节点3的链路线地址的分配。链路安全控制器具有它可采用的地址池,并保存已被分配给节点3的那些地址的记录。当新节点连接到网络时,它被分配地址池中的未分配地址之一。另外,链路安全控制器随着时间改变分配给节点的地址。这是通过从地址池选择另一未分配的地址,将其传送给其地址将被改变的节点,随后把该地址保存为被分配,并把先前分配给该节点的地址保存为未被分配来实现的。当某一地址被分配给一个节点时,该节点把该地址保存在存储库17中,随后如上所述使用该地址。
当链路安全控制器15把某一地址分配给一个节点时,它借助先前建立的加密系统利用单元11和18,以加密形式把该地址传送给该节点。从而,监听链路4的节点不能确定分配给该节点的新地址。当节点首次被分配一个地址时,这是不可能的,因为在该阶段,可能还未针对该节点建立加密系统。这种情况下,安全控制器在明文传输中,分配该节点的初始地址,随后,一旦加密系统被建立,就通过加密信道分配另一地址。
链路安全控制器确定何时改变分配给节点的地址。它可随机或伪随机地,或者定期地改变分配给节点的地址。更可取的是,链路安全控制器按照随机间隔逐个改变节点的地址。可便利地选择地址改变之间的时间,以便均衡由于地址改变而产生的安全性的提高,和地址改变中涉及的额外通信和处理。这将取决于网络条件。
链路安全控制器从地址池中,随机地或者伪随机地选择新地址。
作为这些特征的结果,监听链路4的某人不能容易地跟踪哪个地址被分配给哪个节点。于是,他不能监听多大的业务量被传送给哪个节点。
当某一地址被改变时,存储库14被更新。存在两种选择。如果其地址被改变的节点将保持和它先前具有的加密密钥相同的加密密钥,那么更新存储库14中的列表,使该节点的新地址和其先前的密钥或密钥对联系起来。另一方面,当改变节点的地址时,可同时改变其加密密钥。这种情况下,删除存储库14中保存的关于在先地址的记录,添加新记录,使新地址和新密钥或密钥对相联系。
为了进一步提供安全性,集线器2可被安排成按照随机或者伪随机顺序,向节点传送数据。以离散单元,例如帧或分组的形式,把数据发送给节点。当这样的数据将被发传送给节点时,集线器2随机地(或者伪随机地)确定发送这些离散单元的顺序。从而,对于链路上的监听者来说,节点被寻址的顺序实质上是不可预测的。这提供额外的安全性。
网络具有另一安全性特征。业务量发生器21能够产生可通过链路4传送的乱真业务量。在链路不然会空闲的时间内,通信发生器21产生乱真业务量。乱真业务量可具有任意内容,不过便利的是,乱真通信是随机的或者伪随机的。乱真通信被形成为寻址消息,如同链路上的其它业务量一样,但是被发送给未被分配的地址,从而它不会被任意节点拾取。其结果是链路上的监听者不能知道链路上存在多少业务量,因为链路好像始终被完全或者几乎完全地使用。
最便利的是,在分组交换网络中实现上述系统,不过上述系统也可用在其它类型的网络中。
实现上述系统的一种恰当平台是目前正在IEEE802.3ahEthernet First Mile(EFM)任务组中标准化的Ethernet PassiveOptical Network(EPON)。
Ethernet PON是一种用于发送以太网帧的点对多点网络。计划把广播和选择方法用于下游通信,把时分多址方法用于上游通信。存在一个PHY ID地址,该PHY ID地址将用来向目的地节点广播以太网帧,从而目的地节点能够选择它们应译解的帧。PHY ID将包含在以太网帧的起点。从而,以太网帧的结构将是
PHI IDMAC地址-字段--数据--其它字段-除了PHY ID之外的所有信息将被加密。PHY ID是识别哪个节点将接收该帧的标识符。从而,PHY ID还指示哪些加密和解密密钥将被用于该帧。
在这种类型的系统中,改变PHY ID,从而实现如上所述的安全控制器15的地址改变功能的过程是1.向其地址将被改变的目的地节点发送“新PHY ID”命令。在利用节点的当前(旧)PHY ID寻址并利用适合于该节点的加密密钥加密的帧中发送该命令。在帧的加密部分中,该命令包括节点的新PHYID。该新的PHY ID与现有的加密密钥链接,不过密钥也可同时被改变(在指令节点改变地址的相同命令中),以便进一步提高安全性。
2.在目的地节点,命令被识别成被发送给该目的地节点,并被解密和解释。目的地节点随后采用新的PHY ID和新的加密密钥(如果存在)。
最好通过共享数据链路实现本发明,因为这种情况下,它可提供额外的优点,不过也可通过其它类型的链路实现本发明。数据链路可以是任意适当形式的数据信道。
就鉴于本领域的技术人员的常识,整体根据本说明书,能够实现这里公开的特征或特征的组合来说,申请人孤立地公开了这里描述的每个独立特征,和两个或更多这种特征的任意组合,而不管这样的特征或特征的组合是否解决这里公开的问题,所公开的特征或特征的组合并不是对权利要求范围的限制。申请人指出本发明的各个方面可由任意这种独立特征或特征的组合组成。鉴于前述说明,本领域的技术人员显然可在本发明的范围内做出各种修改。
权利要求
1.一种通信系统,包括由数据链路连接的多个通信节点;向通信节点分配链路级地址的通信控制器,由此可针对链路上的通信来识别节点;通信控制器被安排成随时间改变分配给每个通信节点的地址,并把新分配的地址以加密形式传送给相应的节点。
2.按照权利要求1所述的通信系统,其中链路上的通信包括地址部分和有效负载部分,所述地址部分指示相应的通信送往的节点之一的地址。
3.按照权利要求2所述的通信系统,其中地址部分不被加密。
4.按照权利要求2或3所述的通信系统,其中有效负载部分被加密。
5.按照前述任意权利要求所述的通信系统,其中链路上的通信采取数据分组的形式。
6.按照前述任意权利要求所述的通信系统,其中通信系统包括连接在数据链路和至少一个外部数据源之间的数据分配单元,用于通过数据链路,把数据从数据源转发给节点。
7.按照权利要求6所述的通信系统,其中数据分配单元被安排成按照随机或者伪随机的顺序,把数据转发给节点。
8.按照权利要求6或7所述的通信系统,其中数据分配单元被安排成在当其否则不向节点传送数据的至少一些时间,通过链路传送发往未被分配给任何节点的某一地址的通信。
9.按照前述任意权利要求所述的通信系统,其中节点被安排成保存分配给它的地址,忽略数据信道上发往除该地址之外的其它地址的通信。
10.按照前述任意权利要求所述的通信系统,其中链路是以太网链路。
11.按照权利要求10所述的通信系统,其中链路级地址是以太网PHY ID地址。
12.一种在通信系统中传送数据的方法,所述通信系统包括由数据链路连接的多个通信节点和一个通信控制器,所述方法包括通信控制器向通信节点分配链路级地址,由此可针对链路上的通信来识别节点;通信控制器随时间改变分配给每个通信节点的地址,并把新分配的地址以加密形式传送给相应的节点。
13.一种和这里参考
的通信系统基本相同的通信系统。
14.一种和这里参考
的数据通信方法基本相同的数据通信方法。
全文摘要
一种通信系统,包括由数据链路连接的多个通信节点;向通信节点分配链路级地址的通信控制器,由此可针对链路上的通信来识别节点;通信控制器被安排成随时间改变分配给每个通信节点的地址,并把新分配的地址以加密形式传送给相应的节点。
文档编号H04L9/00GK1623294SQ02828553
公开日2005年6月1日 申请日期2002年5月3日 优先权日2002年5月3日
发明者安蒂·皮耶蒂赖宁, 奥利-派克·希罗宁 申请人:诺基亚公司