[发明专利]用于光纤信道公共传输的机密性保护的方法和装置

说明书

相关申请的交叉引用

本申请涉及题为“Method and Apparatus for Security over FiberChannel”的美国专利申请10/034,367，其全部内容通过引用结合于此，以用于各种目的。

技术领域

本发明涉及光纤信道安全性。更具体而言，本发明涉及用于为封装在公共传输信息单元(Common Transport Information Units)中的光纤信道控制消息提供机密性的方法和装置。

背景技术

光纤信道网络的安全性非常有限。光纤信道网络的安全性的一种形式是物理安全性。诸如交换机、盘、磁带库、盘阵列和服务器等所有光纤信道网络实体都必须位于安全和可信环境中。在光纤信道架构上可以限制访问和维护严格的控制。但是，将每个光纤信道网络实体都定位在安全环境中并不总是可行的。

一些安全性方案更加关注安全链路。当新的光纤信道网络实体被引入光纤信道架构时，直接相邻的节点检查新引入的实体，以确定新引入的实体是否被授权连接到该架构。但是，该检查仅由一些直接相邻的节点进行一次。其他较远的节点不能执行任何检查。此外，一旦链路被建立，就不再提供进一步的安全性。即使光纤信道架构仍然易受某些攻击(例如哄骗(spoof)、劫持(hijack)或假冒)的影响，但是该架构还是被视为可信的。

因此，希望提供用于改善光纤信道网络中的安全性的方法和装置，具体而言，其用于改善光纤信道架构中就上述部分或全部限制而言的认证、机密性、消息完整性保护和反重放(anti-replay)保护。

第三代光纤信道通用服务(“FC-GS-3” )标准(以前是ANSI NCITS348-2001)定义了可被用来提供反重放和完整性保护以便控制流量的CT_Authentication，一种光纤信道公共传输信息单元的安全性变换。但是，当前对于提供机密性以便控制流量还没有规定，虽然很需要这样的机密性。没有机密性，公共传输就不能被用来传输例如口令或秘密等非常有价值的控制信息子集这样的敏感数据。

发明内容

本发明提供了用于改善光纤信道网络中的控制流量机密性的方法和装置。可使用在认证序列期间提供的信息来加密在光纤信道网络实体之间传递的消息。所述方法和装置可与已有的光纤信道公共传输认证服务结合，以便提供一组完整的安全性服务，例如逐个消息的认证、机密性、完整性保护和反重放保护。

根据各个实施例，提供了一种用于处理具有第一网络实体和第二网络实体的光纤信道网络中的公共传输信息单元的方法。在光纤信道网络中，在第一网络实体处接收来自第二网络实体的CT_IU。识别来自所述第二网络实体的CT_IU中的安全性控制指示符。确定与所述公共传输信息单元相关联并与安全性数据库中的条目相对应的安全性关联标识符。通过使用所述安全性数据库中的所述条目包含的算法信息来解密所述CT_IU的一部分。

在另一实施例中，提供了一种用于在具有第一网络实体和第二网络实体的光纤信道网络中发送加密的公共传输信息单元的方法。识别具有对应于所述第一网络实体的源和对应于所述第二网络实体的目的地的CT_IU。确定所述CT_IU是否对应于安全性数据库中的条目的选择器。使用与所述安全性数据库中的所述条目相关联的密钥和算法信息来加密所述CT_IU的一部分。发送所述公共传输信息单元到所述第二网络实体。

在下面通过示例示出了本发明的原理的本发明的说明书和附图中，更加详细地描述了本发明的这些和其他特征和优点。

附图说明

结合附图并参考下面的说明，可以更好地理解本发明，附图示出了本发明的特定实施例。

图1是可使用本发明的技术的网络的示意图。

图2是安全性数据库的示意图。

图3是在光纤信道上传送的安全公共传输信息单元的示意图。

图4是示出了安全公共传输信息单元的生成的处理流程图。

图5是示出了安全公共传输信息单元的接收和处理的处理流程图。

图6是可被配置为实现本发明的一些方面的的网络设备。

具体实施方式

本发明涉及光纤信道架构中的安全性。更具体而言，本发明涉及用于为封装在公共传输信息单元中的光纤信道控制消息提供机密性的方法和装置。