公开(公告)号：US08635448B2

公开(公告)日：2014-01-21

申请号：US13311976

申请日：2011-12-06

申请人： Fabio Maino ,  Vina Ermagan ,  Alberto Cabellos Aparicio

发明人： Fabio Maino ,  Vina Ermagan ,  Alberto Cabellos Aparicio

IPC分类号： H04L9/00

CPC分类号： H04L61/103 ,  H04L61/1588 ,  H04L61/2084 ,  H04L63/0428 ,  H04L63/0823 ,  H04W40/20

摘要： In one embodiment, a first router associated with a first network node sends a first map lookup that includes a particular device identifier associated with a second network node to a mapping service that maintains a plurality of mappings that associate device identifiers with device locations. The first router receives, from a second router associated with the second network node, a map response that includes a particular device location that corresponds to the particular device identifier for the second network node. The first router establishes a secure session with the second router, and determines, based on the secure session, whether the second router is authorized to reply for the particular device identifier associated with the second network node.

摘要翻译： 在一个实施例中，与第一网络节点相关联的第一路由器将包括与第二网络节点相关联的特定设备标识符的第一映射查找发送到维护将设备标识符与设备位置相关联的多个映射的映射服务。 第一路由器从与第二网络节点相关联的第二路由器接收包括对应于第二网络节点的特定设备标识符的特定设备位置的地图响应。 第一路由器与第二路由器建立安全会话，并且基于安全会话确定第二路由器是否被授权回复与第二网络节点相关联的特定设备标识符。

公开(公告)号：US07992193B2

公开(公告)日：2011-08-02

申请号：US11083855

申请日：2005-03-17

申请人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Arthur Zavalkovsky

发明人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Arthur Zavalkovsky

IPC分类号： G06F7/04 ,  H04L9/32 ,  H04L9/00

CPC分类号： H04L63/0428 ,  H04L9/0841 ,  H04L9/321 ,  H04L9/3273 ,  H04L63/08 ,  H04L63/12 ,  H04L63/20

摘要： A method and an apparatus are disclosed for securing authentication, authorization and accounting (AAA) protocol messages. An encryption key, a device identifier value, and verification data are received and stored at a network device. The verification data comprises in part a copy the encryption key and the device identifier value, and has been encrypted using a private key of a server. A shared secret is generated by applying a computational function to the encryption key and the device identifier value. Based on the shared secret, a first message integrity check value for a message is generated. The message, the first integrity check value, and the verification data are sent to the server. The server decrypts the verification data using the private key, extracts the encryption key and the device identifier value, and generates the same shared secret by applying the same computational function to the extracted encryption key and device identifier value. Based on this generated shared secret, a second message integrity check value is generated and compared to the received first message integrity check value.

摘要翻译： 公开了一种用于保护认证，授权和计费（AAA）协议消息的方法和装置。 加密密钥，设备标识符值和验证数据被接收并存储在网络设备中。 验证数据部分地部分地复制加密密钥和设备标识符值，并且已经使用服务器的专用密钥加密。 通过将计算功能应用于加密密钥和设备标识符值来生成共享秘密。 基于共享密钥，生成消息的第一消息完整性检查值。 消息，第一个完整性检查值和验证数据被发送到服务器。 服务器使用私钥解密验证数据，提取加密密钥和设备标识符值，并通过对提取的加密密钥和设备标识符值应用相同的计算功能来生成相同的共享密钥。 基于此生成的共享密钥，生成第二消息完整性检查值并将其与接收的第一消息完整性校验值进行比较。

公开(公告)号：US20140044262A1

公开(公告)日：2014-02-13

申请号：US13570579

申请日：2012-08-09

申请人： Gilberto Loprieno ,  David McGrew ,  Fabio Maino ,  Scott Fluhrer

发明人： Gilberto Loprieno ,  David McGrew ,  Fabio Maino ,  Scott Fluhrer

IPC分类号： H04L9/28

CPC分类号： H04L9/0637 ,  H04L9/3242 ,  H04L63/123

摘要： Data to be transmitted across an Optical Transport Network (OTN) is encrypted with a non-malleable encryption algorithm. An authentication code configured to allow authentication of the data with a low latency encryption algorithm is generated. A packet is generated which is configured to be transferred across the OTN and contains the encrypted data and the authentication code. The packet is transmitted across the OTN. Non-malleable encryption, origin authentication, data integrity and anti-replay protection are provided for OTNs over Dense Wavelength Division Multiplexed (DWDM) links. In one example, XTS-AES encryption and GMAC authentication techniques are combined to secure OTN frames.

摘要翻译： 要通过光传输网络（OTN）传输的数据用非可延展的加密算法进行加密。 生成用于允许用低延迟加密算法认证数据的认证码。 生成分组，其被配置为跨越OTN传送并包含加密数据和认证码。 数据包通过OTN传输。 通过密集波分复用（DWDM）链路为OTN提供不可延展的加密，源认证，数据完整性和反重放保护。 在一个示例中，XTS-AES加密和GMAC认证技术被组合以保护OTN帧。

公开(公告)号：US08274993B2

公开(公告)日：2012-09-25

申请号：US11454239

申请日：2006-06-16

申请人： Samar Sharma ,  Chandan Mishra ,  Fabio Maino

发明人： Samar Sharma ,  Chandan Mishra ,  Fabio Maino

IPC分类号： H04J3/16

CPC分类号： H04L41/0806 ,  H04L41/06 ,  H04L41/082 ,  H04L41/0886 ,  H04L67/1097

摘要： Zone information is automatically and dynamically configured and managed in a fiber channel storage area network upon detection of network events. Some examples of events that trigger automatic dynamic zone updates include virtual port creation, intrusion/anomaly detection, arbitration decision completion, misconfiguration detection, and device malfunction. The newly created/updated zones are propagated through the fiber channel fabric and provide access control.

摘要翻译： 检测到网络事件后，区域信息在光纤通道存储区域网络中自动和动态地配置和管理。 触发自动动态区域更新的事件的一些示例包括虚拟端口创建，入侵/异常检测，仲裁决定完成，配置错误检测和设备故障。 新创建/更新的区域通过光纤通道结构传播，并提供访问控制。

公开(公告)号：US20070291785A1

公开(公告)日：2007-12-20

申请号：US11454239

申请日：2006-06-16

申请人： Samar Sharma ,  Chandan Mishra ,  Fabio Maino

发明人： Samar Sharma ,  Chandan Mishra ,  Fabio Maino

IPC分类号： H04J15/00

CPC分类号： H04L41/0806 ,  H04L41/06 ,  H04L41/082 ,  H04L41/0886 ,  H04L67/1097

摘要： Zone information is automatically and dynamically configured and managed in a fibre channel storage area network upon detection of network events. Some examples of events that trigger automatic dynamic zone updates include virtual port creation, intrusion/anomaly detection, arbitration decision completion, misconfiguration detection, and device malfunction. The newly created/updated zones are propagated through the fibre channel fabric and provide access control.

摘要翻译： 检测到网络事件后，区域信息在光纤通道存储区域网络中自动和动态地配置和管理。 触发自动动态区域更新的事件的一些示例包括虚拟端口创建，入侵/异常检测，仲裁决定完成，配置错误检测和设备故障。 新创建/更新的区域通过光纤通道结构传播，并提供访问控制。

公开(公告)号：US08462784B2

公开(公告)日：2013-06-11

申请号：US11796362

申请日：2007-04-27

申请人： Gilberto Loprieno ,  Fabio Maino

发明人： Gilberto Loprieno ,  Fabio Maino

IPC分类号： H04L12/28

CPC分类号： H04L9/0631 ,  H04L9/0838 ,  H04L9/0891 ,  H04L63/0428 ,  H04L63/0478

摘要： An apparatus comprising encryption logic that provides security for fiber-based communications may be implemented in accordance with an embodiment of the present invention. A data super frame is created by the encryption logic to comprise two or more data frames. Each of the data frames contains a payload portion. The encryption logic may receive one or more data payloads that are associated with a client signal. Using a single set of security control parameters, the encryption logic encrypts and stores a different encrypted payload in a payload portion of a different frame of the data frames in the data super frame. Instead of storing the set of security control parameters in a single data frame, the encryption logic stores the set of security control parameters in different sets of unused bytes associated with at least two different frames of the data frames.

摘要翻译： 可以根据本发明的实施例来实现包括为基于光纤的通信提供安全性的加密逻辑的装置。 由加密逻辑创建数据超帧以包括两个或多个数据帧。 每个数据帧包含有效载荷部分。 加密逻辑可以接收与客户端信号相关联的一个或多个数据有效载荷。 使用一组安全控制参数，加密逻辑在数据超帧中的数据帧的不同帧的有效载荷部分中加密并存储不同的加密有效载荷。 加密逻辑不是将安全控制参数集合存储在单个数据帧中，而是将安全控制参数集合存储在与数据帧的至少两个不同帧相关联的不同的未使用字节集合中。

公开(公告)号：US07793138B2

公开(公告)日：2010-09-07

申请号：US11316026

申请日：2005-12-21

申请人： Gaurav Rastogi ,  Rajesh Bhandari ,  Samar Sharma ,  Fabio Maino

发明人： Gaurav Rastogi ,  Rajesh Bhandari ,  Samar Sharma ,  Fabio Maino

IPC分类号： G06F11/00

CPC分类号： H04L63/1458 ,  G06F11/3409 ,  H04L63/101 ,  H04L67/1097

摘要： Disclosed are methods and apparatus for detecting anomalies in a storage area network (SAN). Provided are one or more anomaly type(s) and corresponding actions to be performed when the one or more anomaly types are detected. Traffic in the SAN is then inspected in order to detect the one or more provided anomaly type(s). When a one of the provided one or more anomaly type(s) is detected, one or more of the corresponding action(s) is performed. The provided anomaly type(s) may include one or more of the following: a read or write access pattern anomaly, excessive login or control requests, a bandwidth usage anomaly, a configuration anomaly, and a hardware anomaly. The provided corresponding actions may include logging and/or publishing the detected anomaly, enabling capture of the detected anomaly by an analysis device, re-authentication of a host that is responsible for the anomaly, disable access control for a host that is responsible for the anomaly, rate control of an anomalous link, and shut down of an anomalous link.

摘要翻译： 公开了用于检测存储区域网络（SAN）中的异常的方法和装置。 提供当检测到一个或多个异常类型时要执行的一个或多个异常类型和相应的动作。 然后检查SAN中的流量，以便检测一个或多个所提供的异常类型。 当检测到所提供的一个或多个异常类型中的一个时，执行相应动作中的一个或多个。 所提供的异常类型可以包括以下中的一个或多个：读取或写入访问模式异常，过度登录或控制请求，带宽使用异常，配置异常和硬件异常。 所提供的相应动作可以包括记录和/或发布检测到的异常，从而能够通过分析设备捕获检测到的异常，对负责异常的主机进行重新认证，禁止负责该异常的主机的访问控制 异常链路的异常速率控制，异常链路的关闭。

公开(公告)号：US20080270785A1

公开(公告)日：2008-10-30

申请号：US11796362

申请日：2007-04-27

申请人： Gilberto Loprieno ,  Fabio Maino

发明人： Gilberto Loprieno ,  Fabio Maino

IPC分类号： H04L9/00

CPC分类号： H04L9/0631 ,  H04L9/0838 ,  H04L9/0891 ,  H04L63/0428 ,  H04L63/0478

摘要： An apparatus comprising encryption logic that provides security for fiber-based communications may be implemented in accordance with an embodiment of the present invention. A data super frame is created by the encryption logic to comprise two or more data frames. Each of the data frames contains a payload portion. The encryption logic may receive one or more data payloads that are associated with a client signal. Using a single set of security control parameters, the encryption logic encrypts and stores a different encrypted payload in a payload portion of a different frame of the data frames in the data super frame. Instead of storing the set of security control parameters in a single data frame, the encryption logic stores the set of security control parameters in different sets of unused bytes associated with at least two different frames of the data frames.

摘要翻译： 可以根据本发明的实施例来实现包括为基于光纤的通信提供安全性的加密逻辑的装置。 由加密逻辑创建数据超帧以包括两个或多个数据帧。 每个数据帧包含有效载荷部分。 加密逻辑可以接收与客户端信号相关联的一个或多个数据有效载荷。 使用一组安全控制参数，加密逻辑在数据超帧中的数据帧的不同帧的有效载荷部分中加密并存储不同的加密有效载荷。 加密逻辑不是将安全控制参数集合存储在单个数据帧中，而是将安全控制参数集合存储在与数据帧的至少两个不同帧相关联的不同的未使用字节集合中。

公开(公告)号：US20070106911A1

公开(公告)日：2007-05-10

申请号：US11270155

申请日：2005-11-09

申请人： Chandan Mishra ,  Fabio Maino ,  Anand Hariharan

发明人： Chandan Mishra ,  Fabio Maino ,  Anand Hariharan

IPC分类号： H04L9/00 ,  G06F12/14 ,  H04L9/32 ,  G06F11/30

CPC分类号： G06F21/6218 ,  H04L9/0897 ,  H04L9/14

摘要： A method and apparatus for secure storage of data by using redundant keys is provided. The method includes encrypting a data set by using a master key, which can be encrypted by different sync keys. Sync keys can be generated by different supervisor cards. Thereafter, the encrypted master key and the encrypted data set can be stored in a memory. Further, credentials stored in one of the supervisor cards can be encrypted and transferred to other supervisor cards, to provide redundancy of supervisor cards.

摘要翻译： 提供了一种通过使用冗余密钥来安全存储数据的方法和装置。 该方法包括通过使用主密钥来加密数据集，该主密钥可以由不同的同步密钥加密。 同步键可以由不同的主管卡生成。 此后，加密的主密钥和加密数据集可以存储在存储器中。 此外，存储在其中一个管理卡中的凭证可被加密并传送到其他管理卡，以提供管理卡的冗余。

公开(公告)号：US20060259759A1

公开(公告)日：2006-11-16

申请号：US11130654

申请日：2005-05-16

申请人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Wilson Kok

发明人： Fabio Maino ,  Michael Fine ,  Irene Kuffel ,  Wilson Kok

IPC分类号： H04L9/00

CPC分类号： H04L63/162 ,  H04L63/08 ,  H04L63/0892

摘要： A method of securely extending a protected network through secure relay of AAA information, when an isolated device lacks Layer 3 connectivity to an AAA infrastructure of the protected network, comprises receiving a first authentication message, from an isolated first network device, wherein the first authentication message is encapsulated in a first Layer 2 message, wherein the first authentication message seeks to authenticate a second network device using an authentication server, and wherein the second network device and the authentication server are within a protected network; extracting the first authentication message from the first Layer 2 message; forming a packet that includes the first authentication message; sending the packet with the extracted authentication message over a Layer 3 link to the authentication server, without modifying the extracted authentication message. Thus a network node within a protected network can relay AAA requests and responses between an isolated AAA client, encapsulated in Layer 2 messages, and an AAA server, in Layer 3 messages.

摘要翻译： 一种当隔离设备缺少到受保护网络的AAA基础设施的第3层连接时，通过AAA信息的安全中继来安全地扩展受保护网络的方法包括从隔离的第一网络设备接收第一认证消息，其中第一认证 消息被封装在第一层2消息中，其中所述第一认证消息试图使用认证服务器认证第二网络设备，并且其中所述第二网络设备和所述认证服务器在受保护网络内; 从所述第一层2消息中提取所述第一认证消息; 形成包括所述第一认证消息的分组; 通过三层链路将提取的认证消息发送给认证服务器，而不修改提取的认证消息。 因此，受保护网络中的网络节点可以在层3消息中中继AAA请求和响应之间隔离的AAA客户端，封装在二层消息中，AAA服务器之间。