CN1856951A - 将链路层安全性集成到物理层收发器中的方法和装置 - Google Patents
将链路层安全性集成到物理层收发器中的方法和装置 Download PDFInfo
- Publication number
- CN1856951A CN1856951A CNA2004800263285A CN200480026328A CN1856951A CN 1856951 A CN1856951 A CN 1856951A CN A2004800263285 A CNA2004800263285 A CN A2004800263285A CN 200480026328 A CN200480026328 A CN 200480026328A CN 1856951 A CN1856951 A CN 1856951A
- Authority
- CN
- China
- Prior art keywords
- phy
- data
- mac
- enciphered data
- transmit leg
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04K—SECRET COMMUNICATION; JAMMING OF COMMUNICATION
- H04K1/00—Secret communication
Abstract
公开了用于在物理层收发器(PHY)中提供链路层安全性的装置。在一个实施例中,该装置可以包括被配置为与数据传输介质接口的模拟电路、被配置为与介质访问控制器(MAC)接口的数字电路以及耦合到该数字电路的密码引擎。
Description
技术领域
本发明一般地涉及链路层数据通信。
背景技术
在本领域中已经知道,物理层收发器(“PHY”)用于通过各种介质(例如铜线缆和光缆)发送和接收数据。
在接收模式中,PHY充当从介质接收数据并将数据解码成适合于接收设备的形式的设备。在发送模式中,PHY从设备(通常从介质访问控制器(“MAC”))获取数据,并将数据转换成适合于正在使用的介质的形式。
图1是典型现有技术的PHY 100的功能框图。PHY 100通常被配置为在主机设备的MAC 110和介质120之间充当接口。
PHY 100通常包括模拟电路130,该模拟电路130被配置成用于接收来自介质120的数据,并使用本领域已知技术将该数据解码成适合于主机设备的形式。PHY 100还包括数字电路140,该数字电路140被配置成用于接收来自MAC 110的数据,并将该数据转换成适合于介质120的形式。
PHY 100还包括被配置为控制PHY的操作,尤其是数字电路140的操作的存储器和控制电路150。存储器和控制电路150通常将包括用于通过总线接口160与MAC 110接口的电路。非限制性示例包括介质独立接口(“MII”)、千兆位介质独立接口(“GMII”)、十千兆位介质独立接口(“XGMII”或“XAUI”)、缩减千兆位介质独立接口(RGMII)和串行千兆位介质独立接口(SGMII)。
附图说明
图1是现有技术PHY的概念性框图。
图2是数据传输系统的概念性框图。
图3是PHY的概念性框图。
图4是用于提供链路层安全性的方法的流程图。
图5是用于利用密码引擎(crypto engine)管理分组冲突的方法的流程图。
具体实施方式
本领域普通技术人员将意识到,以下描述仅仅是示例性的,决不是限制性的。能受益于本公开的那些技术人员将容易想到其他修改和改良。在以下描述中,类似的标号始终指代类似的元件。
本公开可能涉及数据通信。各种被公开的方面可被体现在各种计算机和机器可读数据结构中。此外,可以设想,可通过计算机和机器可读介质来传输体现本公开的教导的数据结构,并且可以通过利用诸如用于实现因特网的协议之类的标准协议以及其他计算机联网标准来经由通信系统传输体现本公开的教导的数据结构。
本公开可能涉及存储有本公开的各个方面的机器可读介质。可以设想,适合于检索指令的任何介质都在本公开的范围内。例如,这样的介质可采取磁介质、光介质或半导体介质的形式,并可被配置为可由本领域已知的机器所访问。
本公开的各个方面可通过使用流程图来描述。通常,本公开的一个方面的单个实例可被示出。但是,本领域普通技术人员将意识到,这里描述的协议、过程和程序可被连续重复或按所需频率重复,以满足这里所述的需求。因此,通过使用流程图对本公开各个方面的表示不应被用于限制本公开的范围。
本公开在系统的链路层上提供了安全性。在这点上,链路层可根据OSI参考标准来定义。具体而言,I.E.E.E 802.3标准将链路层定义为存在于MAC和介质之间的设备,并且这里也如此定义。
在本公开中,在发送模式中,通过在从MAC接收到数据时并且在将数据从PHY发送出去之前,针对保密性加密数据、针对完整性认证数据或既针对保密性加密数据又针对完整性认证数据,从而来提供链路层安全性。相反,在接收模式中,在由PHY接收到数据时并在将数据提供给MAC之前,数据被解密、认证或者既被解密又被认证。
图2是根据本公开的教导配置的链路层数据传输系统205的图。系统205包括发送设备200,该发送设备通过介质240被耦合到接收设备260。
发送设备200包括被用本领域已知技术配置成充当MAC的ASIC以及诸如图1所述那样的PHY 230。
密码设备220被耦合在MAC 210和PHY 230之间。密码设备220优选地被配置为利用DES、3DES、MD5、SHA1、RC4或AES或其它类似协议来加密/认证数据分组250。
在本示例中,数据分组由密码设备220从MAC 210接收到,并且在被提供到PHY 230并被发送到介质240上之前被加密/认证。
系统205还包括与发送设备200类似配置的接收设备260,其包括MAC 270、密码设备280和PHY 290。
在接收设备中,加密后的数据分组250被PHY 290所接收并被提供到密码引擎280,在密码引擎280中,数据被解密/认证并提供到MAC270。
当然,图2所公开的操作可以工作在相反路径中。
图3是根据本公开的教导配置的PHY的另一实施例的概念性框图。
图3的实施例规定,密码设备被部署在与PHY相同的芯片上,从而提供了单芯片链路层安全性解决方案。
设备300包括MAC 310和PHY 305。PHY 305包括模拟电路330,该模拟电路330在接收模式中被配置成用于接收来自介质350的数据,并利用本领域已知技术将该数据解码成适合于主机设备的形式。在发送模式中,该模拟电路被配置为接收来自MAC 310的数据,并将其转换成适合于介质350的形式。
PHY 305还包括数字电路320,该数字电路320在发送模式中被配置成用于接收来自MAC 310的数据,并将该数据转换成适合于介质350的形式,而在接收模式中被配置成用于接收来自模拟电路330的数据,并将其转换成适合于MAC 310的格式。
PHY 305还包括被配置为控制PHY的操作,尤其是数字电路320的操作的存储器和控制电路325。存储器和控制电路325通常将包括用于通过总线接口(例如MII或GMII或XGMII或XAUI或SGMII或RGMII)与MAC 310接口的电路。
PHY 305还包括耦合到数字电路320的密码模块340。该密码模块可以包括用于密码功能操作的控制和存储器电路345。密码模块340优选地被配置为在将接收自MAC 310的数据提供到模拟电路330之前对该数据进行加密/认证,并在将接收自模拟电路330的数据提供到MAC 310之前对该数据进行解密/认证。密码模块可以采用以上公开的密码技术。
在另一实施例中,密码模块340可以利用已存在于PHY中的现有硬件来部署。将会意识到,通过重新使用已存在于PHY上的现有硬件来实现密码特征,可以大大节省设备中的不动产。
可以设想,在实现所公开的密码特征时,可以重新使用大批PHY组件。例如,密码设备可以重新使用PHY的引脚或接口布局、存储器映射、状态机的各个元素、逻辑门或甚至上述的一个或多个。类似地,存在包含多个PHY的设备,例如包含8个PHY接口的Octal PHY。在这些设备中,对已存在于PHY中的引脚和其他元件的重新使用可以减小裸芯和封装尺寸,从而使设备制造起来便宜得多。
类似地,某些芯片并入了MAC作为PHY芯片的一部分。在此情况下,或许可以利用来自MAC和PHY两者的元件。
还可以设想,由密码设备提供的附加功能可被用于其他功能或特征。例如,密码设备可被配置为执行数据压缩。
例如,在一个实施例中,图3的设备300可以包括这样的路由器,在该路由器中,MAC 310包括被配置为还充当交换结构的ASIC。在此情况下,在该设备中可以存在很多PHY,并且通过交叉利用PHY的已有结构,可以在无需附加芯片的情况下添加附加的安全性特征。
在被公开的另一实施例中,密码设备可被用于提高数据传输系统的整体性能和可靠性。
如本领域普通技术人员将意识到的,很多这样的设备利用半双工模式工作,其中常见的性能问题是数据分组的冲突。
可以设想,由密码设备提供的附加功能可以改善冲突管理。
在本实施例中,密码存储器345可被用于在分组被发送时暂时存储数据和相关的安全性信息。如果检测到冲突,则可以立即重新使用并重新发送已存储的信息,而处理器或MAC无需重新发送数据,或发送诸如安全性关联之类的新安全性信息。
正如能够受益于本公开的技术人员将意识到的,本公开的益处在于可以节省处理器周期的时间,并且还可以通过将某些处理时间从ASIC转移到PHY来改善性能。
可以设想,密码设备可以利用PHY上的存储器的某些区域。如果PHY符合某些工业标准(例如I.E.E.E 802.3),则PHY被提供有存储器中的某些为特定目的预留的寄存器,这种寄存器被称为MII管理接口。例如,寄存器11-14是预留的,而寄存器16-30是供应商专用区域。
可以设想,可指导本公开中使用的安全性关联数据库(SAD)按预定顺序被写入某些区域。例如,寄存器11中的一个比特可被用于打开或关闭密码功能。类似地,密码技术可能需要诸如密钥或安全性关联之类的数据来执行密码功能。该数据可通过寄存器12来访问。这利用了已有的存储器管理技术和结构。当然,也可使用其他寄存器。
本公开的另一益处是减少流量,这是因为PHY可被编程为丢弃或“废弃”接收到的没有通过解密模块的流量。在本示例中,没有被正确解密的数据被加注标记,以在被交换结构交换之前被随后的模块所丢弃,从而节省交换结构中的带宽以用于其他重要功能。这可以降低未经授权的用户由于拒绝服务攻击而使网络或联网设备崩溃的危险,从而增强了网络的可靠性。或者,安全性逻辑可以中断处理器以进行其他动作。
图4是在数据传输系统的链路层处加密/认证数据的方法的流程图。在动作400中,想要进行通信的PHY可以利用本领域已知的技术来自动协商链路。应该理解,也可以在链路的自动协商之前应用这里公开的加密/认证技术。
在动作410中,发送方PHY(transmitting PHY,即“TX PHY”)的MAC将想要发送的数据提供到密码引擎。在动作420中,数据被密码引擎加密,并被TX PHY放置在链接PHY的介质上。
在动作430中,接收方PHY(receiving PHY,即“RCV PHY”)接收来自链路的密码数据,并将数据提供给RCV PHY的密码引擎,在密码引擎中,数据被解密、认证或者既被解密又被认证。
在动作440中,无格式数据随后被传递到RCV PHY的MAC。
图5是利用密码引擎管理分组冲突的方法的流程图。
在动作500中,TX PHY的MAC将想要发送的数据提供到密码引擎。在动作520中,数据被密码引擎加密、认证或既被加密又被认证,并被TX PHY放置在链接PHY的介质上。如上所述,想要通信的PHY可以利用本领域已知的技术来自动协商链路,但是数据也可以在链路的自动协商前被加密。此时,经加密/认证的数据由密码引擎所存储。
在查询530中,PHY确定是否已经发生分组冲突。如果已经发生冲突,则由TX PHY重新发送已存储的分组。如果没有发生冲突,通信过程则如正常情况那样前进,并且已存储的任何数据可被冲掉,或者已使用的空间被回收。
虽然已示出和描述了本公开的实施例和应用,但是对于本领域技术人员显而易见的是,在不脱离本发明的概念的情况下,可以对上述内容执行更多修改和改良。因此,除了在所附权利要求书的精神内之外,本公开将不受限制。
Claims (20)
1.一种用于在物理层收发器(PHY)中提供链路层安全性的装置,包括:
被配置为向数据传输介质发送数据和从数据传输介质接收数据的模拟电路;
耦合到所述模拟电路的数字电路,所述数字电路被配置为向介质访问控制器(MAC)发送数据和从介质访问控制器接收数据;以及
耦合到所述数字电路的密码引擎。
2.如权利要求1所述的装置,其中所述密码引擎和所述PHY被放置在同一物理芯片上。
3.如权利要求2所述的装置,其中所述密码引擎使用所述芯片上预先存在的硬件,所述硬件是为了实现所述PHY的功能而预先存在的。
4.如权利要求2所述的装置,其中所述装置是多PHY设备的组件。
5.如权利要求2所述的装置,其中所述PHY利用串行PHY介质接口通信。
6.如权利要求3所述的装置,其中所述预先存在的硬件是从以下群组中选出的,所述群组包括:所述PHY的引脚功能、存储器映射、状态机、信号、信号总线和逻辑门。
7.如权利要求2所述的装置,其中所述密码引擎还被配置为执行第二功能。
8.如权利要求7所述的装置,其中所述第二功能包括标记不合需要的数据以待丢弃。
9.如权利要求2所述的装置,其中所述MAC包括ASIC,该ASIC还被配置为交换结构。
10.如权利要求9所述的装置,其中所述装置被放置在路由器内。
11.如权利要求10所述的装置,其中所述密码引擎还被配置为管理数据分组冲突。
12.一种在发送方PHY和接收方PHY之间提供链路层安全性的方法,所述方法包括:
通过所述发送方PHY接收来自第一MAC的数据;
通过所述发送方PHY对所述数据加密,以产生加密数据;
通过所述发送方PHY将所述加密数据发送到所述接收方PHY;
通过所述接收方PHY接收所述加密数据;
通过所述接收方PHY对所述加密数据解密;以及
将解密后的数据提供到第二MAC。
13.如权利要求12所述的方法,还包括以下动作:
通过所述发送方PHY存储所述加密数据;
确定是否发生分组冲突;以及
如果发生冲突,则重新发送所述已存储的加密数据。
14.一种可由机器读取的程序存储设备,其切实体现可由机器执行以执行以下方法的指令程序,所述方法包括:
通过所述发送方PHY接收来自第一MAC的数据;
通过所述发送方PHY对所述数据加密,以产生加密数据;
通过所述发送方PHY将所述加密数据发送到所述接收方PHY;
通过所述接收方PHY接收所述加密数据;
通过所述接收方PHY对所述加密数据解密;以及
将解密后的数据提供到第二MAC。
15.如权利要求14所述的设备,其中所述方法还包括以下动作:
通过所述发送方PHY存储所述加密数据;
确定是否发生分组冲突;以及
如果发生冲突,则重新发送所述已存储的加密数据。
16.一种用于在物理层收发器(PHY)中提供链路层安全性的装置,包括:
用于接收来自第一MAC的数据的装置;
用于对所述数据加密以产生加密数据的装置;
用于将所述加密数据发送到所述接收方PHY的装置;
用于接收所述加密数据的装置;
用于对所述加密数据解密的装置;以及
用于将解密后的数据提供到第二MAC的装置。
17.如权利要求16所述的装置,还包括:
用于存储所述加密数据的装置;
用于确定是否发生分组冲突的装置;以及
用于重新发送所述已存储的加密数据的装置。
18.如权利要求17所述的装置,其中所述密码引擎装置还被配置为执行第二功能。
19.如权利要求18所述的装置,其中所述第二功能包括数据压缩。
20.如权利要求16所述的装置,其中所述MAC还包括交换结构装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/676,390 US7313686B2 (en) | 2003-09-30 | 2003-09-30 | Method and apparatus of integrating link layer security into a physical layer transceiver |
US10/676,390 | 2003-09-30 | ||
PCT/US2004/032555 WO2005034410A2 (en) | 2003-09-30 | 2004-09-30 | Method and apparatus of integrating link layer security into a physical layer transceiver |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1856951A true CN1856951A (zh) | 2006-11-01 |
CN1856951B CN1856951B (zh) | 2011-03-23 |
Family
ID=34377381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004800263285A Active CN1856951B (zh) | 2003-09-30 | 2004-09-30 | 将链路层安全性集成到物理层收发器中的方法和装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7313686B2 (zh) |
EP (1) | EP1668807B1 (zh) |
CN (1) | CN1856951B (zh) |
CA (1) | CA2536532C (zh) |
WO (1) | WO2005034410A2 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8036202B2 (en) * | 2006-07-27 | 2011-10-11 | Cisco Technology, Inc. | Physical layer transceiver with integrated time synchronization |
US7885296B2 (en) * | 2006-07-27 | 2011-02-08 | Cisco Technology, Inc. | Maintaining consistency among multiple timestamp counters distributed among multiple devices |
US20090080660A1 (en) * | 2007-09-20 | 2009-03-26 | Shih Mo | Processorless media access control architecture for wireless communication |
US8775790B2 (en) * | 2007-10-30 | 2014-07-08 | Honeywell International Inc. | System and method for providing secure network communications |
US9544767B2 (en) * | 2014-07-21 | 2017-01-10 | Imagination Technologies Limited | Encryption key updates in wireless communication systems |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5689568A (en) * | 1995-06-29 | 1997-11-18 | Hughes Electronics | Medium access control for a mobile satellite system |
US6094439A (en) * | 1997-08-15 | 2000-07-25 | Advanced Micro Devices, Inc. | Arrangement for transmitting high speed packet data from a media access controller across multiple physical links |
US6222852B1 (en) | 1997-10-10 | 2001-04-24 | Nortel Networks Limited | Method and apparatus for transmitting dual speed ethernet information (10BASE-T and 100BASE-TX) across a physical layer device service interface |
US6324288B1 (en) * | 1999-05-17 | 2001-11-27 | Intel Corporation | Cipher core in a content protection system |
US7031267B2 (en) | 2000-12-21 | 2006-04-18 | 802 Systems Llc | PLD-based packet filtering methods with PLD configuration data update of filtering rules |
US7317732B2 (en) | 2000-09-28 | 2008-01-08 | Teridian Semiconductor, Corp. | Method and apparatus for handling link suspend pulse and silent line state transitions of a network device |
US6973566B2 (en) * | 2001-07-09 | 2005-12-06 | Advanced Micro Devices, Inc. | Software modem with privileged mode oversight of control parameters |
WO2003010940A2 (en) * | 2001-07-25 | 2003-02-06 | Xilinx, Inc. | Configurable communication integrated circuit |
US7142557B2 (en) * | 2001-12-03 | 2006-11-28 | Xilinx, Inc. | Programmable logic device for wireless local area network |
TW573259B (en) * | 2001-12-28 | 2004-01-21 | Admtek Inc | LIFM algorithm for security association database lookup in IPSec application |
US8230114B2 (en) | 2002-08-07 | 2012-07-24 | Broadcom Corporation | System and method for implementing a single chip having a multiple sub-layer PHY |
US7577129B2 (en) * | 2002-10-17 | 2009-08-18 | Broadcom Corporation | Supporting multiple logical channels in a physical interface |
-
2003
- 2003-09-30 US US10/676,390 patent/US7313686B2/en not_active Expired - Fee Related
-
2004
- 2004-09-30 WO PCT/US2004/032555 patent/WO2005034410A2/en active Application Filing
- 2004-09-30 EP EP04789506.5A patent/EP1668807B1/en active Active
- 2004-09-30 CN CN2004800263285A patent/CN1856951B/zh active Active
- 2004-09-30 CA CA2536532A patent/CA2536532C/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
WO2005034410A2 (en) | 2005-04-14 |
CA2536532A1 (en) | 2005-05-14 |
US20050071629A1 (en) | 2005-03-31 |
WO2005034410A3 (en) | 2006-03-30 |
EP1668807A4 (en) | 2012-05-09 |
EP1668807A2 (en) | 2006-06-14 |
US7313686B2 (en) | 2007-12-25 |
CN1856951B (zh) | 2011-03-23 |
CA2536532C (en) | 2011-05-31 |
EP1668807B1 (en) | 2017-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1883154B (zh) | 向物理层收发器传输安全性/加密信息的方法和装置 | |
CN100358280C (zh) | 一种网络安全装置及其实现方法 | |
CN110035047B (zh) | 用于检查数据包中的消息完整性的轻型机制 | |
US7937592B2 (en) | Network communication security processor and data processing method | |
CN1808971A (zh) | 基于单工通信原理实现计算机内、外网之间安全通信的方法及系统 | |
CN101076792A (zh) | 用于光纤信道公共传输的机密性保护的方法和装置 | |
EP1580932A2 (en) | Methods and modular cryptographic device with status determination | |
CN1856951B (zh) | 将链路层安全性集成到物理层收发器中的方法和装置 | |
US7877595B2 (en) | Modular cryptographic device and related methods | |
CN215420600U (zh) | 光量子交换机 | |
CN105721458A (zh) | 一种基于isg安全密码技术的工业以太网交换方法 | |
CN112910646B (zh) | 一种服务器密码机的数据处理方法、装置及服务器密码机 | |
US7437548B1 (en) | Network level protocol negotiation and operation | |
CN1479480A (zh) | 一种协商加密算法的方法 | |
CN1430373A (zh) | 一种网络隔离卡 | |
CN110012447A (zh) | 变电站内基于无线传感器实现网络安全控制功能的系统及方法 | |
CN1494291A (zh) | 以太网点到点协议防止拒绝服务攻击的方法 | |
CN1242345C (zh) | 一种身份证网络核查和登记系统 | |
Ene et al. | Data link layer encryption for the internet of things using elliptic curve cryptography over visible light communication channel | |
CN117714173A (zh) | 一种实现密码机红黑隔离的方法 | |
CN116680759A (zh) | 基于量子加密技术的安全移动存储系统 | |
Oliveira | LoRaWAN security survey | |
CN116405235A (zh) | 用于承载操作和叠加操作的双向加密/解密设备 | |
CN116647332A (zh) | 安全用户域的按需形成 | |
KR20060030874A (ko) | 아이이이이 802.15.4 네트워크의 확인 프레임용 장치 인증프로토콜 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |