公开(公告)号：US20110142044A1

公开(公告)日：2011-06-16

申请号：US13059515

申请日：2008-08-22

申请人： Andras Csaszar ,  Lars Westberg ,  Mats Naslund ,  Lars G. Magnusson

发明人： Andras Csaszar ,  Lars Westberg ,  Mats Naslund ,  Lars G. Magnusson

IPC分类号： H04L12/56

CPC分类号： H04L45/00 ,  H04L9/083 ,  H04L29/12066 ,  H04L29/12207 ,  H04L45/50 ,  H04L61/1511 ,  H04L61/20 ,  H04L63/08 ,  H04L63/14

摘要： Method and apparatus for controlling transmission of data packets in a packet-switched network. When a first end-host (A) sends an address query to a DNS system (300) for a second end-host, the DNS system responds by providing a sender key created from a destination key registered for the second end-host, if the first end-host is authorised to send packets to the second end-host. Thereby, the first end-host, if authorised, is able to get across data packets to the second end-host by attaching a sender tag (TAG) generated from the sender key, as ingress tag to each transmitted data packet. A router (302) in the network matches an ingress tag in a received packet with entries in a forwarding table and sends out the packet on an output port (X) according to a matching entry. Otherwise, the router discards the packet if no matching entry is found in the table.

摘要翻译： 用于控制分组交换网络中数据分组传输的方法和装置。 当第一终端主机（A）向第二终端主机的DNS系统（300）发送地址查询时，DNS系统通过提供从为第二终端主机注册的目的地密钥创建的发送者密钥进行响应，如果 第一个终端主机被授权将数据包发送到第二个终端主机。 因此，如果授权，第一终端主机能够通过将从发送方密钥生成的发送者标签（TAG）作为入口标签附加到每个发送的数据分组，来跨越数据分组到达第二终端主机。 网络中的路由器（302）将接收到的分组中的入口标签与转发表中的条目匹配，并根据匹配条目在输出端口（X）上发送分组。 否则，如果表中没有匹配的条目，路由器将丢弃该数据包。

公开(公告)号：US20110064085A1

公开(公告)日：2011-03-17

申请号：US12993674

申请日：2008-05-22

申请人： Lars Westberg ,  Andras Csaszar ,  Mats Naslund

发明人： Lars Westberg ,  Andras Csaszar ,  Mats Naslund

IPC分类号： H04L12/56

CPC分类号： H04L45/00 ,  H04L47/20 ,  H04L61/1511 ,  H04L63/0227 ,  H04L63/0428 ,  H04L63/104

摘要： Method and apparatus for controlling the routing of data packets in an IP network (200). A DNS system (202) stores a packet admission policy configured for a first end-host (B) that dictates conditions for allowing other end-hosts to get across data packets to the first end-host or not. A routing voucher is defined which is required for routing data packets to the first end-host. The routing voucher is distributed to routers (R) in the IP network. When an address query is received at the DNS system (202) from a second end-host, the voucher is supplied to the second end-host if the configured policy allows the second end-host to convey data packets. Otherwise, the voucher is not supplied. If allowed, the second end-host will add the routing voucher to any data packets directed to the first end-host. When a valid routing voucher is present in a packet at a router (204) in the network, the packet will be forwarded to the next router in the IP network. The router will otherwise discard the packet.

摘要翻译： 控制IP网络中数据分组路由的方法和装置（200）。 DNS系统（202）存储为第一终端主机（B）配置的分组准入策略，其指示允许其他终端主机跨数据分组到达第一终端主机的条件。 定义了路由凭证，用于将数据包路由到第一个终端主机。 路由凭证分配给IP网络中的路由器（R）。 当从第二终端主机在DNS系统（202）处接收到地址查询时，如果所配置的策略允许第二终端主机传送数据分组，则将凭证提供给第二终端主机。 否则，不提供凭证。 如果允许，则第二个终端主机会将路由凭证添加到指向第一个终端主机的任何数据包。 当在网络中的路由器（204）的分组中存在有效的路由凭证时，分组将被转发到IP网络中的下一个路由器。 否则路由器将丢弃该数据包。

公开(公告)号：US20110274112A1

公开(公告)日：2011-11-10

申请号：US13128012

申请日：2008-11-07

申请人： Andras Czaszar ,  Lars G. Magnusson ,  Mats Naslund ,  Lars Westberg

发明人： Andras Czaszar ,  Lars G. Magnusson ,  Mats Naslund ,  Lars Westberg

IPC分类号： H04L12/56

CPC分类号： H04L45/00 ,  H04L63/0227

摘要： Method and apparatus for supporting the forwarding of received data packets in a router (402,702) of a packet-switched network. A forwarding table (706a) is configured in the router based on aggregating router keys and associated aggregation related instructions received from a key manager (400,700). Each aggregating router key represents a set of destinations. When a data packet (P) is received comprising an ingress tag derived from a sender key or router key, the ingress tag is matched with entries in the forwarding table. An outgoing port is selected for the packet according to a found matching table entry that further comprises an associated aggregation related instruction. An egress tag is then created according to the aggregation related instruction, and the packet with the created egress tag attached is sent from the selected outgoing port to a next hop router.

摘要翻译： 用于支持在分组交换网络的路由器（402,702）中转发所接收的数据分组的方法和装置。 基于从密钥管理器（400,700）接收的聚合路由器密钥和相关联的聚合相关指令，在路由器中配置转发表（706a）。 每个聚合路由器密钥代表一组目的地。 当接收到包含从发送方密钥或路由器密钥导出的入口标签的数据分组（P）时，入口标签与转发表中的条目匹配。 根据发现的匹配表条目，为分组选择输出端口，进一步包括相关联的聚合相关指令。 然后根据聚合相关指令创建出口标签，并将附加了创建的出口标签的数据包从所选出口端口发送到下一跳路由器。

公开(公告)号：US08649378B2

公开(公告)日：2014-02-11

申请号：US12993674

申请日：2008-05-22

申请人： Lars Westberg ,  Andras Csaszar ,  Mats Naslund

发明人： Lars Westberg ,  Andras Csaszar ,  Mats Naslund

IPC分类号： H04L12/28 ,  H04L12/56

CPC分类号： H04L45/00 ,  H04L47/20 ,  H04L61/1511 ,  H04L63/0227 ,  H04L63/0428 ,  H04L63/104

摘要： Method and apparatus for controlling the routing of data packets in an IP network (200). A DNS system (202) stores a packet admission policy configured for a first end-host (B) that dictates conditions for allowing other end-hosts to get across data packets to the first end-host or not. A routing voucher is defined which is required for routing data packets to the first end-host. The routing voucher is distributed to routers (R) in the IP network. When an address query is received at the DNS system (202) from a second end-host, the voucher is supplied to the second end-host if the configured policy allows the second end-host to convey data packets. Otherwise, the voucher is not supplied. If allowed, the second end-host will add the routing voucher to any data packets directed to the first end-host. When a valid routing voucher is present in a packet at a router (204) in the network, the packet will be forwarded to the next router in the IP network. The router will otherwise discard the packet.

摘要翻译： 控制IP网络中数据分组路由的方法和装置（200）。 DNS系统（202）存储为第一终端主机（B）配置的分组准入策略，其指示允许其他终端主机跨数据分组到达第一终端主机的条件。 定义了路由凭证，用于将数据包路由到第一个终端主机。 路由凭证分配给IP网络中的路由器（R）。 当从第二终端主机在DNS系统（202）处接收到地址查询时，如果所配置的策略允许第二终端主机传送数据分组，则将凭证提供给第二终端主机。 否则，不提供凭证。 如果允许，则第二个终端主机会将路由凭证添加到指向第一个终端主机的任何数据包。 当在网络中的路由器（204）的分组中存在有效的路由凭证时，分组将被转发到IP网络中的下一个路由器。 否则路由器将丢弃该数据包。

公开(公告)号：US08181014B2

公开(公告)日：2012-05-15

申请号：US12599472

申请日：2008-05-09

申请人： Andras Csaszar ,  Lars Westberg ,  Mats Naslund

发明人： Andras Csaszar ,  Lars Westberg ,  Mats Naslund

IPC分类号： H04L29/06

CPC分类号： H04L45/00 ,  H04L29/12066 ,  H04L61/1511 ,  H04L63/0428 ,  H04L63/08 ,  H04L69/22

摘要： A method and apparatus for protecting the routing of data packets in a packet data network. When a first end-host sends an address query to a DNS server system regarding a second end-host, the DNS server system responds by providing a destination parameter containing an encrypted destination address associated with the second end-host. Thereby, the first end-host is able to get across data packets to the second end-host by attaching the destination parameter to each transmitted data packet. A router in the packet data network admits a received packet if a destination parameter is attached to the packet including a valid destination address encrypted by a key dependent on a distributed master encryption key. Otherwise, the router discards the packet if no such valid destination address can be derived from the packet by applying decryption to the destination parameter.

摘要翻译： 一种用于保护分组数据网络中的数据分组的路由的方法和装置。 当第一终端主机向DNS服务器系统发送关于第二终端主机的地址查询时，DNS服务器系统通过提供包含与第二终端主机相关联的加密目的地地址的目的地参数进行响应。 因此，通过将目的参数附加到每个发送的数据分组，第一终端主机能够跨数据分组到达第二终端主机。 分组数据网络中的路由器如果目的地参数附加到包括由依赖于分布式主加密密钥的密钥加密的有效目的地地址的分组，则承认接收到的分组。 否则，如果通过向目的参数应用解密，则不能从分组导出这样有效的目的地址，则路由器丢弃该分组。

公开(公告)号：US20100250930A1

公开(公告)日：2010-09-30

申请号：US12599472

申请日：2008-05-09

申请人： Andras Csaszar ,  Lars Westberg ,  Mats Naslund

发明人： Andras Csaszar ,  Lars Westberg ,  Mats Naslund

IPC分类号： H04L9/32

CPC分类号： H04L45/00 ,  H04L29/12066 ,  H04L61/1511 ,  H04L63/0428 ,  H04L63/08 ,  H04L69/22

摘要： A method and apparatus for protecting the routing of data packets in a packet data network. When a first end-host sends an address query to a DNS server system regarding a second end-host, the DNS server system responds by providing a destination parameter containing an encrypted destination address associated with the second end-host. Thereby, the first end-host is able to get across data packets to the second end-host by attaching the destination parameter to each transmitted data packet. A router in the packet data network admits a received packet if a destination parameter is attached to the pocket including a valid destination address encrypted by a key dependent on a distributed master encryption key. Otherwise, the router discards the packet if no such valid destination address can be derived from the packet by applying decryption to the destination parameter.

摘要翻译： 一种用于保护分组数据网络中的数据分组的路由的方法和装置。 当第一终端主机向DNS服务器系统发送关于第二终端主机的地址查询时，DNS服务器系统通过提供包含与第二终端主机相关联的加密目的地地址的目的地参数进行响应。 因此，通过将目的参数附加到每个发送的数据分组，第一终端主机能够跨数据分组到达第二终端主机。 分组数据网络中的路由器如果目的地参数附加到口袋，则允许接收到的分组包括由依赖于分布式主加密密钥的密钥加密的有效目的地地址。 否则，如果通过向目的参数应用解密，则不能从分组导出这样有效的目的地址，则路由器丢弃该分组。

公开(公告)号：US08665874B2

公开(公告)日：2014-03-04

申请号：US13128012

申请日：2008-11-07

申请人： Andras Czaszar ,  Lars G. Magnusson ,  Mats Naslund ,  Lars Westberg

发明人： Andras Czaszar ,  Lars G. Magnusson ,  Mats Naslund ,  Lars Westberg

IPC分类号： H04L12/28 ,  H04L12/56

CPC分类号： H04L45/00 ,  H04L63/0227

摘要： Method and apparatus for supporting the forwarding of received data packets in a router (402,702) of a packet-switched network. A forwarding table (706a) is configured in the router based on aggregating router keys and associated aggregation related instructions received from a key manager (400,700). Each aggregating router key represents a set of destinations. When a data packet (P) is received comprising an ingress tag derived from a sender key or router key, the ingress tag is matched with entries in the forwarding table. An outgoing port is selected for the packet according to a found matching table entry that further comprises an associated aggregation related instruction. An egress tag is then created according to the aggregation related instruction, and the packet with the created egress tag attached is sent from the selected outgoing port to a next hop router.

摘要翻译： 用于支持在分组交换网络的路由器（402,702）中转发所接收的数据分组的方法和装置。 基于从密钥管理器（400,700）接收的聚合路由器密钥和相关联的聚合相关指令，在路由器中配置转发表（706a）。 每个聚合路由器密钥代表一组目的地。 当接收到包含从发送方密钥或路由器密钥导出的入口标签的数据分组（P）时，入口标签与转发表中的条目匹配。 根据发现的匹配表条目，为分组选择输出端口，进一步包括相关联的聚合相关指令。 然后根据聚合相关指令创建出口标签，并将附加了创建的出口标签的数据包从所选出口端口发送到下一跳路由器。

公开(公告)号：US08929543B2

公开(公告)日：2015-01-06

申请号：US13634920

申请日：2011-03-16

申请人： Karl Norrman ,  Tomas Hedberg ,  Mats Naslund

发明人： Karl Norrman ,  Tomas Hedberg ,  Mats Naslund

IPC分类号： H04L9/00 ,  H04W36/00 ,  H04W12/04

CPC分类号： H04L9/08 ,  H04L63/06 ,  H04W12/04 ,  H04W12/08 ,  H04W36/0038 ,  H04W36/12

摘要： A method comprises maintaining, in a first node serving a mobile terminal over a connection protected by at least one first key, said first key and information about the key management capabilities of the mobile terminal. Upon relocation of the mobile terminal to a second node the method includes: if, and only if, said key management capabilities indicate an enhanced key management capability supported by the mobile terminal, modifying, by said first node, the first key, thereby creating a second key, sending, from the first node to the second node, the second key, and transmitting to the second node the information about the key management capabilities of the mobile terminal.

摘要翻译： 一种方法包括在通过由至少一个第一密钥保护的连接上为移动终端服务的第一节点中保留所述第一密钥和关于移动终端的密钥管理能力的信息。 在将移动终端重新定位到第二节点时，该方法包括：如果并且仅当所述密钥管理能力指示由移动终端支持的增强密钥管理能力时，由所述第一节点修改第一密钥，从而创建 第二密钥，从第一节点向第二节点发送第二密钥，并向第二节点发送关于移动终端的密钥管理能力的信息。

公开(公告)号：US08887246B2

公开(公告)日：2014-11-11

申请号：US13806119

申请日：2010-06-22

申请人： Mats Naslund ,  Tereza Cristina Carvalho ,  Cristina Dominicini ,  Makan Pourzandi ,  Rony Sakuragui ,  Marcos Antonio Simplicio Junior

发明人： Mats Naslund ,  Tereza Cristina Carvalho ,  Cristina Dominicini ,  Makan Pourzandi ,  Rony Sakuragui ,  Marcos Antonio Simplicio Junior

IPC分类号： H04L29/06 ,  H04L9/32 ,  H04L9/08 ,  H04W12/02

CPC分类号： H04L63/08 ,  H04L9/0841 ,  H04L9/321 ,  H04L63/0407 ,  H04L63/062 ,  H04L63/0815 ,  H04L2209/80 ,  H04W12/02 ,  H04W12/04

摘要： A method for preserving privacy during authorization in pervasive environments is described. The method includes an authorization phase in which the user is provided with a reusable credential associated with verifiable constraints, and an operation phase where the service provider verifies the reusable credential before authorizing the user. Third parties cannot link plural uses of the credential to each other, and the service provider cannot link plural uses of said credential to each other.

摘要翻译： 描述了在普及环境中授权期间保护隐私的方法。 该方法包括向用户提供与可验证约束相关联的可重用证书的授权阶段，以及服务提供商在授权用户之前验证可重用凭证的操作阶段。 第三方不能将凭证的复用用途彼此链接，并且服务提供者不能将所述证书的复数用法彼此链接起来。

公开(公告)号：US20110179277A1

公开(公告)日：2011-07-21

申请号：US13120679

申请日：2008-09-24

申请人： Wassim Haddad ,  Mats Naslund

发明人： Wassim Haddad ,  Mats Naslund

IPC分类号： H04L9/08 ,  H04L9/32 ,  H04L12/56

CPC分类号： H04L9/0827 ,  H04L9/0844 ,  H04L45/60 ,  H04L63/062

摘要： Before actually communicating information/data between two endpoints (C, S) connected to a network a secure and confidential distribution of a special key (K h) is performed to nodes (R j) along a path in the network. This is allowed by performing a path handshaking procedure in which first a hint token is forwarded along the path in a first direction and then a disclosure token is forwarded in the opposite direction. In forwarding the disclosure token it is verified in the nodes against the already received hint token. This assures that only nodes on the particular path will receive the special key or possibly some other information related thereto.

摘要翻译： 在连接到网络的两个端点（C，S）上实际传达信息/数据之前，沿着网络中的路径对节点（R j）执行特殊密钥（Kh）的安全和机密分发。 这是通过执行路径握手过程来允许的，其中首先沿第一方向沿着路径转发提示令牌，然后以相反的方向转发公开令牌。 在转发公开令牌时，它在节点中针对已经接收的提示令牌进行验证。 这确保只有特定路径上的节点才能接收到特殊密钥或可能与其相关的某些其他信息。