【技术实现步骤摘要】
交换路径网络中用于中间消息认证的系统和方法相关申请的交叉引用本申请要求于2013年6月4日提交的美国临时申请61/830655、名称为“网络攻击检测和隔离”的益处和优先权,出于所有目的,通过引用将其全部并入本文。
本专利技术涉及通过交换路径网络(switched-pathnetwork)中的通信节点检测消息篡改。
技术介绍
本部分旨在向读者介绍下面描述和/或要求保护的本专利技术的各个方面可能涉及到领域的各个方面。此处讨论的内容被认为是有用的,其将背景信息提供给读者以便于更好地理解本专利技术的各个方面。因此,应当理解,从和这个角度来阅读这些陈述,而不是对现有技术的承认。当消息通过网络(例如因特网)发送时,消息会穿过一个或更多个大型通讯运营商网络。当具体运营商网络在消息从发送器传送到接收器时接收消息时,运营商网络可以通过由那些运营商网络控制的若干通信节点在交换路径上传输消息。通讯运营商的交换路径网络可以预定义通过通信节点的路径,该消息采用这种路径通过通讯运营商网络。这种交换路径网络的一个例子是光传送网络(OTN)。虽然发送器可以采用端到端加密和认证,但是单个的通信节点或者甚至整个通讯运营商网络可能试图篡改消息或表现不可靠。当消息被篡改时,消息的最终接收器可使用端对端认证以识别该消息是不可信的,从而识别所述消息在沿发送器和接收器之间的路径上的某处已经被篡改。尽管端到端认证能够使接收器识别消息是不可信的,但消息篡改源可能是未知的。事实上,在一些情况下,发送器、接收器以及通讯运营商都不能识别具体的不可信或不可靠的通信节点。
技术实现思路
下面阐述本文所公开的某些实施例的 ...
【技术保护点】
一种方法,包括:通过交换路径网络的通信节点将源自发送器的消息传递到接收器;以及当所述消息穿过所述通信节点的一个或更多个中的每个时,使用所述通信节点的认证逻辑以:认证所述消息从而识别所述消息在到达所述通信节点时是否已经被篡改或破坏;或基于所述消息生成认证标签,其中所述认证标签经配置以使第三方认证权威能够认证所述消息,从而识别所述消息在到达所述通信节点时是否已经被篡改或破坏;或它们的组合。
【技术特征摘要】
2013.06.04 US 61/830,655;2013.12.20 US 14/137,6411.一种用于认证的方法,包括:通过交换路径网络的通信节点将源自发送器的电子或光消息的第一副本传递到接收器;以及当所述电子或光消息的所述第一副本穿过所述通信节点的一个或更多个中的每个时,使用所述通信节点的认证逻辑以:基于所述电子或光消息的所述第一副本和中间认证密钥生成相应认证标签,其中所述相应认证标签经配置以使第三方认证权威能够认证所述电子或光消息的所述第一副本,从而识别所述电子或光消息的所述第一副本在到达所述通信节点时是否已经被篡改或破坏,其至少部分通过下面过程进行:从所述发送器接收所述电子或光消息的第二副本;使用所述电子或光消息的所述第二副本和所述中间认证密钥生成第二认证标签;以及比较从所述通信节点接收的所述相应认证标签和所述第二认证标签以识别所述电子或光消息的所述第一副本是否是可信的;以及独立于所述第三方认证权威,使用端到端认证密钥识别所述电子或光消息的所述第一副本是否是可信的,其中,所述电子或光消息的所述第一副本包括由所述发送器使用所述端到端认证密钥生成的端到端认证标签。2.如权利要求1所述的方法,其中所述交换路径网络包括光传送网络,即OTN。3.如权利要求1所述的方法,其中所述通信节点的所述一个或更多个中的每个使用所述端到端认证密钥认证所述电子或光消息的所述第一副本,以识别所述电子或光消息的所述第一副本在到达所述通信节点时是否已经被篡改或破坏,所述端到端认证密钥也经配置以用于在所述接收器处认证所述电子或光消息的所述第一副本。4.如权利要求1所述的方法,其中所述通信节点的所述一个或更多个中的每个使用所述中间认证密钥认证所述电子或光消息的所述第一副本,以识别所述电子或光消息的所述第一副本在到达所述通信节点时是否已经被篡改或破坏。5.如权利要求1所述的方法,其中所述通信节点的所述一个或更多个包括所述交换路径网络的所有的所述通信节点。6.如权利要求1所述的方法,其中所述通信节点的所述一个或更多个中的每个经配置以针对通过所述交换路径网络传递的每个电子或光消息来生成相应认证标签。7.如权利要求1所述的方法,其中所述通信节点的所述一个或更多个中的每个经配置以在通过所述交换路径网络传递的电子或光消息的周期、随机或统计采样间隔上生成所述相应认证标签。8.如权利要求1所述的方法,包括,使用所述一个或更多个通信节点中的至少一个或使用所述第三方认证权威,或两者,确定在所述一个或更多个通信节点中的其中一个之前的通信节点是易出故障的通信节点,在所述电子或光消息的所述第一副本到达所述一个或更多个通信节点中的所述一个时被识别为不可信时,该易出故障的通信节点已经篡改或破坏所述电子或光消息的所述第一副本。9.如权利要求8所述的方法,包括,使用所述交换路径网络的控制平面,绕过所述易出故障的通信节点路由未来消息以防止或降低对未来电子或光消息的篡改或破坏。10.一种用于认证的系统,包括:认证权威,其:从发送器接收电子或光消息的第一副本;使用所述电子或光消息的所述第一副本和第一认证密钥生成第一认证标签;以及当所述电子或光消息的第二副本穿过第一交换路径网络的多个通信节点中的其中一个时,识别所述电子或光消息的所述第二副本是否可信,其至少部分通过下面过程进行:接收由所述第一交换路径网络的所述多个通信节点中的所述其中一个通过使用所述电子或光消息的所述第二副本和所述第一认证密钥生成的第二认证标签;比较所述第一认证标签与所述第二认证标签;当所述第一认证标签匹配所述第二认证标签时,识别所述电子或光消息的所述第二副本是可信的;以及当所述第一认证标签不匹配所述第二认证标签时,识别所述电子或光消息的所述第二副本是不可信的;和所述第一交换路径网络,其中,所述第一交换路径网络包括所述多个通信节点,其中,所述多个通信节点中的所述其中一个:使用所述电子或光消息的所述第二副本和所述第一认证密钥生成所述第二认证标签;将所述第二认证标签发送至所述认证权威以使所述认证权威识别所述电子或光消息的所述第二副本是否是可信的;以及独立于所述认证权威,使用第二端到端认证密钥识别所述电子或光消息的所述第二副本是否是可信的,其中,所述电子或光消息的所述第二副本包括由所述发送器使用所述第二端到端认证密钥生成的端到端认证标签。11.如权利要求10所述的系统,其中所述认证权威:使用所述电子或光消息的所述第一副本和第三认证密钥生成第三认证标签;以及当所述电子或光消息的所述第二副本穿过第二交换路径网络的多个通信节点中的其中一个时,识别所述电子或光消息的所述第二副本是否是可信的,其至少部分通过下面过程进行:接收由所述第二交换路径网络的所述多个通信节点中的所述其中一个通过使用所述电子或光消息的所述第二副本和所述第三认证密钥生成的第四认证标签;比较所述第三认证标签与所述第四认证标签;当所述第三认证标签匹配所述第四认证标签时,识别所述电子或光消息的所述第二副本是可信的;以及当所述第三认证标签不匹配所述第四认证标签时,识别所述电子或光消息的所述第二副本是不可信的。12.如权利要求10所述的系统,其中在所述认证权威在所述电子或光消息的所述第二副本穿过所述第一交换路径网络的所述多个通信节点中的所述其中一个时识别所述电子或光消息的所述第二副本是不可信的情况下,所述认证权威确定所述多个通信节点的所述其中一个之前的通信节点已经篡改所述电子或光消息的所述第二副本。13.如权利要求10所述的系统,其中在所述认证权威在所述电子或光消息的所述第二副本穿过所述第一交换路径网络的所述多个通信节点中的所述其中一个时识别所述电子或光消息的所述第二副本是不可信的情况下,所述认证权威确定所述第一交换路径网...
【专利技术属性】
技术研发人员:M·兰德汉姆,S·D·尼科尔,W·哈斯,
申请(专利权)人:阿尔特拉公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。