CN101411159B - 基于策略的安全证书过滤的方法和系统 - Google Patents
基于策略的安全证书过滤的方法和系统 Download PDFInfo
- Publication number
- CN101411159B CN101411159B CN2007800109498A CN200780010949A CN101411159B CN 101411159 B CN101411159 B CN 101411159B CN 2007800109498 A CN2007800109498 A CN 2007800109498A CN 200780010949 A CN200780010949 A CN 200780010949A CN 101411159 B CN101411159 B CN 101411159B
- Authority
- CN
- China
- Prior art keywords
- entity
- certificate
- safety certificate
- conclusion
- policy specification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 14
- 238000000034 method Methods 0.000 title claims description 40
- 238000004891 communication Methods 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 15
- 230000008878 coupling Effects 0.000 claims description 13
- 238000010168 coupling process Methods 0.000 claims description 13
- 238000005859 coupling reaction Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 5
- 230000006399 behavior Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 9
- 230000008569 process Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 208000037656 Respiratory Sounds Diseases 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 206010037833 rales Diseases 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
在用于解决怎样处理通信实体的数字安全证书的执行环境的安全处理中建立策略过滤服务,不需要通过认证中心("CA")链与实体相关联的根证书的局部复制。利用表示用于证书过滤条件的一组规则(或其它策略格式)来指定策略。优选地,在确定需要的根CA证书无效时,在握手过程中调用该过滤。在一个方案中,策略使用指定允许证书(即看作以获得验证来处理)的条件的规则以及指定阻挡证书(即看作没有获得验证来处理)的条件的其它规则。优选地,按照最具体到最不具体的顺序评估和执行策略规则。
Description
技术领域
本发明涉及计算机安全,尤其涉及通信网络中的安全通信交换。
背景技术
传输层安全(″TLS″)和安全套接层(″SSL″)是常用的安全工具,用于在客户端/服务器网络中结合认证和加密。TLS和SSL是设计用于因特网环境(最初不是设计为安全环境)的网络协议,并操作为TCP/IP(″传输控制协议″/″因特网协议″)层之上的协议层。然后,应用代码驻留在网络协议栈中的TLS/SSL之上。当应用(例如浏览器)产生要发往网络中另一个实体的数据以后,数据从应用层传给TLS/SSL层(在TLS/SSL层中执行各种安全程序),然后TLS/SSL层将转换后的数据传给TCP层。在连接的接收端,当TCP层收到输入数据以后,它将该数据向上传给TLS/SSL层(在TLS/SSL层中执行程序,将数据恢复为最初形式),然后恢复后的数据被传给接收应用。
发明内容
本发明限定用于基于策略的安全证书的过滤技术。在一个方面,本发明优选包括以下步骤:通过通信网络中的第一实体,接收第二实体的安全证书;以及确定所述第一实体是否将所述安全证书看作已获得认证的情况来处理。所述确定步骤优选包括步骤:查找适于解决所述确定的至少一个策略规范;以及评估所查找到的至少一个策略规范中的每一个,直到对于怎样处理所述安全证书得出结论为止。
所述查找步骤优选地还包括查找涉及该安全证书的至少一个策略规范,该策略规范可涉及(例如)所述第一实体和/或所述第二实体。
所述结论优选表示所述第一实体将所述安全证书看作已获得认证或没有获得认证的情况来处理。实施例还支持:该结论表示要求用户的输入来确定第一实体要怎样处理所述安全证书,并且在这种情况下,优选请求和使用用户的输入。
第一实体和第二实体可以是客户端装置和服务器装置,或者反过来。接收和确定步骤可以在第一实体与第二实体之间的协议握手流期间发生。优选地,响应于确定对安全证书认证所需的认证中心证书在接收证书的第一实体处无效时发生所述确定步骤。
策略规范优选按照最具体到最不具体的顺序评估。可以在评估所查找到的策略规范的第一匹配规范后得出关于第一实体要怎样处理安全证书的结论;在其它情况下,在评估所查找到的策略规范的至少两个匹配规范之后得出结论。策略规范可包括策略规则,每个策略规则包括在评估中要使用的至少一个条件以及在得出结论时要使用的行为。
在评估所查找到的策略规范的至少一个匹配规范时,得出所述第一实体将所述安全证书看作已获得认证的情况来处理的结论,其中所查找到的策略规范指定允许所述安全证书的条件。在评估所查找到的策略规范的至少一个匹配规范时,得出所述第一实体将所述安全证书看作没有获得认证的情况来处理的结论,其中所查找到的策略规范指定阻挡所述安全证书的条件。
评估优选地还包括将所述评估后的策略规范中指定的至少一个条件的每个条件与涉及所述安全证书的信息进行比较。涉及所述安全证书的信息可包括(作为实例)其发布者和/或有效期。
应用于确定第一实体要怎样处理安全证书的策略规范可包括涉及在安全证书中指定的至少一个值的、涉及第一实体的和/或涉及第二实体的策略规范。
所述方法还包括执行关于第一实体要怎样处理安全证书的结论。
本发明的实施例还可以,或者替代性地,作为系统或计算机程序产品 提供。
上述是发明内容,因此必要地包括细节的简化、概括和省略;因此,本领域技术人员能够理解,发明内容仅仅是示例性的,而不是要以任何方式限制。如所附权利要求书所限定的本发明的其它方面、创造性特点、以及优点,在下面提供的非限制性的详细描述中将变得显而易见。
附图说明
下面仅通过实例并参照附图描述本发明的优选实施例,附图中:
图1示出可用于本发明实施例的数字证书的典型格式;
图2示出在客户端认证服务器情况下的消息流;
图3示出根据本发明的一个或多个实施例的指定为规则的实例策略;
图4示出适于存储和/或执行程序代码的数据处理系统;以及
图5示出可应用本发明一个或多个实施例的典型网络环境。
具体实施方式
默认地,TLS和SSL采取服务器认证模式,在这种模式下,在协议的握手阶段,服务器向客户端发送它签名的数字证书。证书通过可信任的认证中心("CA")发布,发布特定证书的CA负责证书的数字签名,因此,通过认证(即验证)证书上CA的数字签名,可以确定证书的真实性。因此,当客户端接收服务器签名的数字证书时,该客户端负责利用服务器的证书以及通过认证中心链与该服务器相关联的一个或多个其它CA证书来认证该服务器。有时候,除了本身的证书,服务器还可以向客户端发送附加证书。如果向客户端发送附加证书,则以有序的"证书列表"来发送证书,在证书列表中,先是服务器的证书,然后是CA证书,CA证书开始是发布服务器证书的CA,然后依次上溯到根CA。
客户端知道的根证书通常驻留在一般称为"密钥环"的地方。大多数常用的数字证书满足对于公共密钥基础设施("PKI")的X.509规范中指定的标准和格式,如请求注解("RFC")2459所述。因此,这些数字证书一般称 为"X.509数字证书"或者"X.509证书"。(RFC2459由互联网工程工作小组或"IETF"公布。)
数字证书上的数字签名通过计算证书的散列摘要(hashed digest)产生,包括证书的公共密钥字段。参见图1,图1是X.509数字证书的典型格式100。(X.509数字证书格式是基于二进制的格式,并且可参照RFC2459中定义的证书结构来解释。)当计算散列摘要时利用字段110至字段170中的值。
下面更详细地描述数字证书100的这些字段的典型内容。版本号字段110指定证书的版本(采用默认值的时候可省略)。序列号字段120是CA向它发布的每个证书分配的特定整数值(因此序列号字段120与发布者字段140可确定唯一证书)。签名信息字段130表明使用哪一种算法产生数字签名,并指定该算法所使用的参数,发布者字段140确定发布该证书的CA。字段150指定证书的有效期,表明CA保证它将保持与证书状态相关信息的时间周期。所述字段150通常包括"非之前"日期和"非之后"日期,其中"非之前"日期是证书有效期开始的日期,"非之后"日期是证书有效期结束的日期。对象字段160标识服务器(或者更一般地,实体或"对象"),证书为该服务器而产生。算法字段172标识算法,存储在对象公共密钥字段174中的公共密钥使用该算法。因此,向服务器发布证书时,字段174存储服务器的公共密钥。
利用签名(即发布)CA的私有密钥将对字段110-170计算的散列摘要加密,从而产生数字签名值180。(根据字段130中标识的签名算法,用于产生证书数字签名180的散列数的大小可变。)
验证证书100时,验证器利用签名CA的公共密钥将证书的数字签名字段180解密。然后验证器对字段110-170重新计算散列,将其与字段180的解密值进行比较。如果这些值匹配,则证书获得认证,可以信任。在TLS/SSL握手期间,对于链中的每个证书都要进行验证过程,直到根CA。
当为了安全而使用SSL/TLS并且服务器未发出证书列表时,通常客户端接收服务器证书,因此在客户端密钥环上根证书无效。然后很多执行平 台向终端用户发出消息,要求终端用户亲自检查服务器证书,接收或者拒绝该证书。终端用户的响应确定TLS/SSL握手是否继续。
这种方法有一些问题。如果服务器请求安全连接,则对于可能接收的每个服务器证书,客户端装置需要在它的密钥环上具有根证书。对于客户端来说这是一个管理负担。此外,很多终端用户缺乏执行服务器证书的评估的技术知识。因此,很多终端用户不经过任何检查,简单地选择接收证书。结果,终端用户可能不知情地接收恶意服务器证书,这会导致安全措施的暴露。此外,TLS/SSL的基本设计原理是保证能够对客户端/服务器会话提供认证和加密。当客户端的终端用户任意接受服务器证书时,失去认证的意义。会话仍然被加密,在传输期间提供数据的机密性,但是没有适当的认证,客户端的终端用户不能确定他或她在服务器端通信的是什么实体。
根据本发明的优选实施例,在执行环境的安全处理中建立策略过滤服务,从而能够通过基本系统呼叫提供策略过滤。"策略"作为这里使用的术语,表示促使行为的条件。优选实施例通过一组规则(参照图3的实例更详细地描述)来指定策略,优选由负责特定操作环境中的安全的安全人员(例如网管)产生规则。
优选实施例的策略过滤设计为帮助减少存储每个证书的根的局部复制的需要,因此客户端可避免在它的密钥环上具有每个根证书,同时提供证书要求的基本水平,降低安全入侵的可能性。优选实施例还可以向安全人员提供对他们负责的系统中的行为进行更多控制的能力。这里参照操作环境中的使用描述优选实施例,操作环境包括操作系统、文件传输协议("FTP")、提供TLS/SSL功能的系统SSL、提供后端安全的资源访问控制工具
以及用于对服务器证书产生策略规则的策略代理("PAgent")部分。("z/OS"和"RACF"是IBM公司的注册商标)。使用这个操作环境作为示例,而不是限制。
下面参照图2,示出上述情况,作为客户端实现客户端在其密钥环上没有需要的根证书。作为实例,该图示通过SSL协议利用FTP消息流。 如图2所示,FTP客户端210向FTP服务器220发出连接请求230。然后交换不同的应用流240。然后交换SSL握手流250-270,SSL握手流250-270包括客户端问候250和服务器问候260,之后服务器在270发出它的数字签名证书。(该实例中,服务器在证书列表中不包括其它证书。)
在该实例情况下,在270接收服务器证书时,FTP客户端210实现了根CA证书在客户端的密钥环上无效。如上所述,如果使用现有技术,终端用户一般地负责解决这个问题。但是根据优选实施例,通过咨询策略规则来确定怎样解决这个问题。
安全人员可利用优选实施例的策略代理或"PAgent"来确定策略规则,指定怎样处理图2所示类型的未解决输入服务器证书,并且PAgent优选将规则存储在配置文件或者其它存储库中。(在替代实施例中,可以以其它方式产生和存储规则,例如利用文本编辑器。此外,本发明不限于由安全人员产生规则。替代实施例包括由终端用户指定的策略以及通过规划技术产生的策略。)
假定图2的情况下当前有效的策略规则包括规则310、320,如图3所示。该实例中,规则310是"允许"规则,指定一组条件,在这组条件下,即使根CA证书无效,也允许服务器证书(即好像已经通过验证来处理)。规则320是"阻挡"规则,指定阻挡证书(即好像无效来处理)的条件。该实例中,规则310指定如果证书具有有效时段(也就是说,当前日期/时间在证书的有效期字段150内,其中当前日期/时间在规则中指"有效时段"),则将允许未知的服务器证书,并且其发布者是"公司"。实例规则320指定要阻挡所有证书。
优选实施例中,以最具体到最不具体的顺序评估和执行策略规则。因此,如果满足规则310的条件,则允许服务器证书(优选不评估规则320)。有些情况下,根据这里提供的教导显而易见的,在遭遇匹配规则之前可评估多个规则(也就是说,满足指定条件的规则)。策略规则可以写入,因此评估多个匹配规则,以确定特定服务器证书是允许还是阻挡,如果需要,优选地操作被评估的每个匹配规则,以进一步过滤证书。
根据优选实施例,在PAgent部分进行规则的评估,通过策略执行点"PEP"进行策略的执行,策略执行点驻留在接收服务器证书的客户端(但是职责的这样安排是作为示例,而不是限制)。
如果PAgent在策略配置文件中发现匹配规则(或多个规则,只要有效),则优选通过该信息向RACF进行安全认证工具("SAF")呼叫。响应该呼叫,RACF部分优选更新它存储的信息,表示FTP客户端210允许FTP服务器220的服务器证书,而不管没有可用于验证的根CA证书。
优选实施例中,通过对RACF的SAF呼叫,像系统SSL这样的部分对于安全处理(例如提供数据加密和解密)、以及进行认证相关的处理(包括这里公开的策略过滤)起杠杆作用。因此,FTP客户端210优选将所有基于TLS/SSL的请求传给系统SSL进行处理。在图2的270处接收服务器证书后,FTP客户端210优选将服务器证书和客户端局部密钥环传给系统SSL。然后,系统SSL通过如上所述的以下方式尝试验证传入的服务器证书,即,通过解密发布者的数字签名,重新计算散列摘要,以及比较这些值。然后,系统SSL读取传入的密钥环信息,并对于根CA证书链中的每个证书执行这种数字签名处理。(在替代实施例中,可以以其它方式使密钥环对系统SSL有效,例如将密钥环存储在RACF中,以及在请求时向系统SSL提供这些密钥环。)
根据优选实施例,在确定密钥环不包括链中所有要求的证书时,系统SSL呼叫RACF观察要评估的策略规则,作为验证该证书的替代方案。根据优选实施例,使用服务器证书中的一个或多个字段来识别有效规则;附加地或替代地,可使用客户端的鉴别。例如,策略存储库可包括根据发布的CA逻辑地(或物理地)分组的规则。其它实施例中,可评估所有策略规范,直到对于该特定的服务器证书应该被允许还是被阻挡得出结论。
RACF可以以各种方式形成对系统SSL有效的规则,包括通过共享存储器或者通过返回一组规则作为参数,不偏离本发明的范围。(此外,在一个替代性实施例中,像RACF这样的SAF部分可执行策略评估,将允许/阻挡结果返回调用代码。)
如果系统SSL确定满足有效"允许"型策略规则(或多个规则,只要有效),则应允许服务器证书;否则,在优选实施例中,应阻挡服务器证书。(如图3中规则320所示,匹配"阻挡"型规则可明确地指定要阻挡证书的条件。)系统SSL优选将允许/阻挡返回代码返回到调用代码,在图2的情况下调用代码是FTP客户端210处的PEP。如果返回代码是"允许",则FTP客户端210继续FTP和SSL流(在其它事物中,可包括认证客户端);否则握手失败。
可选地,本发明的一个或多个实施例可允许终端用户指定是否应当允许服务器证书。优选地,当既未发现匹配"允许"规则也未发现匹配"阻挡"规则时使用该选择。例如,如果规则320没有在规则存储库中出现,并且规则310中的条件没有匹配,则可以询问终端用户,确定怎样继续。
本发明的技术不限于用于希望解决不能验证根CA的服务器证书的客户端,也可以替代性地(或附加地)通过进行客户端数字证书认证的服务器来使用。
虽然图3中示出少量的策略规则,但是对于本领域技术人员来说,通过这里提供的教导,显然策略存储库可包括大量的策略规则。此外,虽然样本规则310、320相对简单,使用"允许"和"阻挡"语法,但是这仅仅是作为示例:实际应用中使用的规则复杂性可变,并且可以使用替代性语法。此外,本发明的实施例并不限于指定为规则的策略:可以使用其它格式而不偏离本发明的范围。
对于这里所述的可采用替代物组件,不偏离本发明的范围。用于SAF功能的部分包括计算机联合的
("CA-ACF2"是计算机联合国际公司的注册商标)。用于PAgent功能的替代物包括任意基于策略的逻辑实现。用于PEP的替代物包括在解决怎样处理不能验证根CA的服务器证书之后适于允许或阻挡通信的任何功能。系统SSL的替代物包括用于提供认证相关处理(并且,可选为加密和/或解密)的其它机制。密钥环的替代物包括密钥管理数据结构的其它类型。
如同本领域技术人员所能够理解的,本发明的实施例可提供作为(例如) 方法、系统、和/或计算机程序产品。本发明可采用全部硬件实施、全部软件实施、或者既包括硬件又包括软件成分实施的形式。在优选实施例中,本发明实施为软件,包括(但不限于)固件、驻留软件、微代码等等。此外,本发明可采用计算机程序产品的形式,在一个或多个计算机可用的存储介质(包括但不限于磁盘存储器、CD-ROM、光存储器等等)上实现,存储介质中实现计算机可用的程序代码,计算机程序产品可由计算机或任意指令执行系统使用,或者与计算机或任意指令执行系统相结合。为了描述的目的,计算机可用或者计算机可读的介质可以是能够包含、存储、通信、传播或者传输程序的任意设备,程序由指令执行系统、设备或装置使用,或者与指令执行系统、设备或装置相结合。
介质可以是电、磁、光、电磁、红外、或半导体系统(或设备或装置)或者传播介质。计算机可读介质的实例包括半导体存储器或固态存储器、磁带、移动计算机磁盘、随机访问存储器("RAM")、只读存储器("ROM")、刚性磁盘、以及光盘。光盘的当前实例包括压缩盘只读存储器("CD-ROM")、压缩盘读/写存储器("CD-R/M")、以及DVD。
下面参照图4,数据处理系统400适于存储和/或执行程序代码,包括至少一个处理器412,处理器412直接或通过系统总线414间接连接存储器元件。存储器元件可包括局部存储器428、海量存储器430、以及缓存(未示出),局部存储器428在实际执行程序代码时采用,缓存提供至少部分程序代码的临时存储,以减少执行期间必须从体存储器取回代码的次数。
输入/输出("I/O")装置(包括但不限于键盘418、显示器424、定点装置420、其它界面装置422等等)可直接或通过中间I/O控制器或适配器(416,426)间接地连接到系统。
网络适配器也可以连接系统,从而使数据处理系统能够通过中间私有网络或公共网络(一般地如432所示),连接其它数据处理系统或者远程打印机或者存储装置。调制解调器、线缆调制解调器附件、无线适配器、以及以太网卡仅仅是网络适配器当前可用类型的一部分。
图5示出可实施本发明的数据处理网络环境500。数据处理网络环境 500可包括多个单独网络,例如无线网络542和网络544。多个无线装置510可通过无线网络542通信,多个有线装置,附图中示出为工作站511(作为示例),可通过网络544通信。此外,本领域技术人员能够理解,可包括一个或多个局域网("LAN")(未示出),其中LAN可包括多个装置与主处理器相连接。
仍然参照图5,网络542和网络544还可以包括大型计算机或服务器,例如网关计算机546或应用服务器547(可访问数据存储库548)。网关计算机546用作进入每个网络(例如网络544)的点。网关546优选通过通信链路550a连接另一网络542。网关546也可以利用通信链路550b、550c直接连接一个或多个工作站511,和/或间接连接这些装置。网关计算机546可利用从IBM购买的企业系统结构/370TM、企业系统结构/390
计算机等等实现。根据应用可采用中型计算机,例如应用系统/4007(又称为AS/4007)。("企业系统结构/370"是IBM的商标;"企业系统结构/390"、"应用系统/400"以及"AS/400"是IBM的注册商标。)
网关计算机546也可以通过549连接存储装置(例如数据存储库548)。
本领域技术人员能够理解,网关计算机546可位于距网络542较远的几何距离,类似地,无线装置510和/或工作站511可以分别位于距网络542、544一定的距离。例如,网络542可位于加州,而网关546可位于德州,一个或多个工作站511可位于佛罗里达。无线装置510可利用网络协议(例如传输控制协议/因特网协议("TCP/IP")),例如通过很多替代性连接介质(例如蜂窝电话、射频网络、卫星网络等等),连接无线网络542。无线网络542优选利用网络连接550a(例如TCP或者用户数据报协议("UDP")),通过IP、X.25、帧中继、整体复位数字网络("ISDN")、公共交换电话网络("PSDN")等等,连接网关546。工作站511可利用拨号连接550b或550c直接连接网关546。此外,通过与图5所示类似的方式,无线网络542和网络544可连接一个或多个其它网络(未示出)。
参照根据本发明实施例的流程图和/或方框图描述了本发明。应当理解,流程图和/或方框图的每个流程和/或方框、以及流程图和/或方框图的 流程和/或方框的组合,都能够通过计算机程序指令实现。这些计算机程序指令可以提供给通用计算机和专用计算机的处理器、内嵌处理器、或者其它可编程数据处理设备,以生产机器,因此,通过计算机的处理器或者其它可编程数据处理设备执行的指令产生手段,以实现流程图的流程或多个流程和/或方框图的方框或多个方框中指定的功能。
这些计算机程序指令也可以存储在计算机可读存储器中,计算机可读存储器可指引计算机或其它可编程数据处理设备以特定方式工作,因此,存储在计算机可读存储器中的指令产生包括指令装置的制造品,所述指令装置用于实现流程图的流程或多个流程和/或方框图的方框或多个方框中指定的功能。
计算机程序指令也可以载入计算机或者其它可编程数据处理设备,导致在计算机或其它可编程设备上进行一系列操作步骤,产生计算机实施过程,因此,计算机或其它可编程设备上执行的指令提供步骤,实现流程图的流程或多个流程和/或方框图的方框或多个方框中指定的功能。
虽然描述了本发明的若干个实施例,但是本领域技术人员一旦掌握了基本的创造性概念,就可以想到这些实施例的附加变化和修改。因此,希望将所附权利要求书解释为包括落入本发明精神和范围中的所有这样的变化和修改。
Claims (22)
1.一种计算机实现的基于策略的安全证书过滤方法,包括以下步骤:
由通信网络中的第一实体,接收第二实体的安全证书,所述接收在所述第一实体与所述第二实体之间的协议握手流期间发生;以及
响应于确定对所述安全证书认证所需要的认证中心证书在所述第一实体无效、因此所述安全证书不能被验证,用基于策略的安全证书过滤替代验证,确定所述第一实体是否将所述安全证书看作已获得认证的情况来处理,包括以下步骤:
查找适于解决所述确定的至少一个策略规范;以及
评估所查找到的至少一个策略规范中的每一个,直到对于怎样处理所述安全证书得出结论为止。
2.如权利要求1所述的方法,其中,所述结论表示所述第一实体将所述安全证书看作已获得认证的情况来处理。
3.如权利要求1所述的方法,其中,所述结论表示所述第一实体将所述安全证书看作没有获得认证的情况来处理。
4.如权利要求1所述的方法,其中,所述结论表示要求用户的输入来确定所述第一实体要怎样处理所述安全证书,并且还包括以下步骤:
从所述用户要求所述输入;以及
根据所述用户的输入,将所述安全证书看作已获得验证的情况或者没有获得验证的情况来处理。
5.如权利要求1所述的方法,其中,所述第一实体是客户端装置,所述第二实体是服务器装置。
6.如权利要求1所述的方法,其中,所述第一实体是服务器装置,所述第二实体是客户端装置。
7.如权利要求1所述的方法,其中,所述评估步骤在评估所查找到的策略规范的第一匹配规范之后得出结论。
8.如权利要求1所述的方法,其中,所述评估步骤在评估所查找到的策略规范的至少两个匹配规范之后得出结论。
9.如权利要求1所述的方法,其中,所述策略规范按照最具体到最不具体的顺序来评估。
10.如权利要求1所述的方法,其中,所述策略规范包括策略规则,每个策略规则包括要在所述评估中使用的至少一个条件以及要在得出所述结论中使用的行为。
11.如权利要求2所述的方法,其中,在评估所查找到的策略规范的至少一个匹配规范时,得出所述第一实体将所述安全证书看作已获得认证的情况来处理的结论,其中所查找到的策略规范指定允许所述安全证书的条件。
12.如权利要求3所述的方法,其中,在评估所查找到的策略规范的至少一个匹配规范时,得出所述第一实体将所述安全证书看作没有获得认证的情况来处理的结论,其中所查找到的策略规范指定阻挡所述安全证书的条件。
13.如权利要求1所述的方法,其中,所述评估步骤还包括将所述评估后的策略规范中指定的至少一个条件的每个条件与涉及所述安全证书的信息进行比较。
14.如权利要求13所述的方法,其中,所述涉及所述安全证书的信息包括其发布者。
15.如权利要求13所述的方法,其中,所述涉及所述安全证书的信息包括其有效期。
16.如权利要求1所述的方法,其中,所述查找步骤还包括以下步骤:查找涉及在所述安全证书中指定的至少一个值的至少一个策略规范。
17.如权利要求1所述的方法,其中,所述查找步骤还包括以下步骤:查找涉及所述第一实体的至少一个策略规范。
18.如权利要求1所述的方法,其中,所述查找步骤还包括以下步骤:查找涉及所述第二实体的至少一个策略规范。
19.如权利要求1所述的方法,还包括以下步骤:执行关于所述第一实体将怎样处理所述安全证书的结论。
20.一种用于基于策略的安全证书过滤的系统,包括:
第一实体,与通信网络中的第二实体通信连接;
策略存储库,至少临时地存储涉及在所述第一实体与所述第二实体之间的安全通信的至少一个策略规范;
所述第一实体通过所述通信网络从所述第二实体接收安全证书,所述接收在所述第一实体与所述第二实体之间的协议握手流期间发生;
装置,用于响应于确定对所接收的安全证书用密码认证所需要的至少一个安全证书没有被所述第一实体局部存储、因此所述安全证书不能被验证,在所述策略存储库中查找适于解决怎样处理所接收的安全证书的所存储的策略规范中的至少一个;
装置,用于评估所查找到的至少一个策略规范中的每一个,直到对于是否将所述安全证书看作已获得认证的情况来处理得出结论为止;以及
用于执行所述结论的装置。
21.如权利要求20所述的系统,其中,用于执行的装置还包括:装置,如果用于评估的装置得出的结论表示所接收的安全证书已获得认证,则允许在所述第一实体与所述第二实体之间的安全通信继续。
22.如权利要求20所述的系统,其中,用于执行的装置还包括:装置,如果用于评估的装置得出的结论表示所接收的安全证书没有获得认证,则阻挡在所述第一实体与所述第二实体之间的其它安全通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/405,069 US7984479B2 (en) | 2006-04-17 | 2006-04-17 | Policy-based security certificate filtering |
| US11/405,069 | 2006-04-17 | ||
| PCT/EP2007/052979 WO2007118775A1 (en) | 2006-04-17 | 2007-03-28 | Policy-based security certificate filtering |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101411159A CN101411159A (zh) | 2009-04-15 |
| CN101411159B true CN101411159B (zh) | 2012-01-18 |
Family
ID=38016930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800109498A Expired - Fee Related CN101411159B (zh) | 2006-04-17 | 2007-03-28 | 基于策略的安全证书过滤的方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US7984479B2 (zh) |
| CN (1) | CN101411159B (zh) |
| WO (1) | WO2007118775A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
| US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US8869270B2 (en) | 2008-03-26 | 2014-10-21 | Cupp Computing As | System and method for implementing content and network security inside a chip |
| US8381297B2 (en) | 2005-12-13 | 2013-02-19 | Yoggie Security Systems Ltd. | System and method for providing network security to mobile devices |
| US20080276302A1 (en) | 2005-12-13 | 2008-11-06 | Yoggie Security Systems Ltd. | System and Method for Providing Data and Device Security Between External and Host Devices |
| US7984479B2 (en) * | 2006-04-17 | 2011-07-19 | International Business Machines Corporation | Policy-based security certificate filtering |
| US8274401B2 (en) * | 2006-12-22 | 2012-09-25 | Acterna Llc | Secure data transfer in a communication system including portable meters |
| US8365272B2 (en) | 2007-05-30 | 2013-01-29 | Yoggie Security Systems Ltd. | System and method for providing network and computer firewall protection with dynamic address isolation to a device |
| CN101911645B (zh) * | 2008-01-07 | 2016-06-08 | 西门子企业通讯有限责任两合公司 | 用于验证通信关系的端点之间的密钥信息的方法和端点 |
| US8631488B2 (en) | 2008-08-04 | 2014-01-14 | Cupp Computing As | Systems and methods for providing security services during power management mode |
| US10270602B2 (en) * | 2008-10-01 | 2019-04-23 | International Business Machines Corporation | Verifying and enforcing certificate use |
| US8826006B2 (en) * | 2008-10-31 | 2014-09-02 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate |
| US8423761B2 (en) * | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
| WO2010059864A1 (en) | 2008-11-19 | 2010-05-27 | Yoggie Security Systems Ltd. | Systems and methods for providing real time access monitoring of a removable media device |
| US8949597B1 (en) * | 2009-12-22 | 2015-02-03 | Sprint Communications Company L.P. | Managing certificates on a mobile device |
| US9264235B2 (en) * | 2010-11-16 | 2016-02-16 | Blackberry Limited | Apparatus, system and method for verifying server certificates |
| US8516244B2 (en) * | 2011-06-10 | 2013-08-20 | Zeutro Llc | System, apparatus and method for decentralizing attribute-based encryption information |
| US9537899B2 (en) * | 2012-02-29 | 2017-01-03 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
| CN103716280B (zh) * | 2012-09-28 | 2018-09-04 | 腾讯科技(深圳)有限公司 | 数据传输方法、服务器及系统 |
| WO2014059037A2 (en) | 2012-10-09 | 2014-04-17 | Cupp Computing As | Transaction security systems and methods |
| US11157976B2 (en) | 2013-07-08 | 2021-10-26 | Cupp Computing As | Systems and methods for providing digital content marketplace security |
| US9762614B2 (en) | 2014-02-13 | 2017-09-12 | Cupp Computing As | Systems and methods for providing network security using a secure digital device |
| US9237129B2 (en) | 2014-05-13 | 2016-01-12 | Dell Software Inc. | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
| US9300656B2 (en) | 2014-08-21 | 2016-03-29 | International Business Machines Corporation | Secure connection certificate verification |
| US10057072B2 (en) * | 2014-12-31 | 2018-08-21 | Schneider Electric USA, Inc. | Industrial network certificate recovery by identifying secondary root certificate |
| US9537872B2 (en) | 2014-12-31 | 2017-01-03 | Dell Software Inc. | Secure neighbor discovery (SEND) using pre-shared key |
| US9998425B2 (en) | 2015-01-27 | 2018-06-12 | Sonicwall Inc. | Dynamic bypass of TLS connections matching exclusion list in DPI-SSL in a NAT deployment |
| US9948633B2 (en) * | 2015-10-28 | 2018-04-17 | Citrix Systems, Inc. | Systems and methods for policy driven fine grain validation of servers' SSL certificate for clientless SSLVPN access |
| US10080117B1 (en) * | 2017-10-20 | 2018-09-18 | International Business Machines Corporation | Controlling operation of computing devices |
| US10715338B2 (en) * | 2018-02-21 | 2020-07-14 | Microsoft Technology Licensing, Llc | Management of public key certificates within a distributed architecture |
| US20220224517A1 (en) * | 2020-07-08 | 2022-07-14 | Yanong Zhu | Method and apparatus for universal identity (UID) management system based on distributed public certificate service network |
| US11838427B2 (en) | 2021-02-04 | 2023-12-05 | International Business Machines Corporation | Usage restrictions for digital certificates |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697365A (zh) * | 2005-03-04 | 2005-11-16 | 南京邮电学院 | 一种面向移动代理的安全传输方法 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2228687A1 (en) * | 1998-02-04 | 1999-08-04 | Brett Howard | Secured virtual private networks |
| US7391865B2 (en) * | 1999-09-20 | 2008-06-24 | Security First Corporation | Secure data parser method and system |
| US7143439B2 (en) * | 2000-01-07 | 2006-11-28 | Security, Inc. | Efficient evaluation of rules |
| JP2002032216A (ja) | 2000-07-19 | 2002-01-31 | Fujitsu Ltd | アプリケーションのホスティング装置 |
| US20020131259A1 (en) * | 2001-03-15 | 2002-09-19 | Yoram Rozy | Enclosure teeth/recesses used for robust electromagnetic compatibility design |
| US20020144110A1 (en) * | 2001-03-28 | 2002-10-03 | Ramanathan Ramanathan | Method and apparatus for constructing digital certificates |
| CN100420183C (zh) | 2001-04-19 | 2008-09-17 | 株式会社Ntt都科摩 | 终端通信系统及方法 |
| US6973571B2 (en) * | 2001-07-03 | 2005-12-06 | Bank Of America Corporation | System, apparatus, and method for performing cryptographic validity services |
| US20030018890A1 (en) | 2001-07-23 | 2003-01-23 | Hale Douglas Lavell | Method of local due diligence for accepting certificates |
| US8601566B2 (en) | 2001-10-23 | 2013-12-03 | Intel Corporation | Mechanism supporting wired and wireless methods for client and server side authentication |
| US7093121B2 (en) * | 2002-01-10 | 2006-08-15 | Mcafee, Inc. | Transferring data via a secure network connection |
| KR100431210B1 (ko) * | 2002-08-08 | 2004-05-12 | 한국전자통신연구원 | 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법 |
| US7366906B2 (en) | 2003-03-19 | 2008-04-29 | Ricoh Company, Ltd. | Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium |
| TW200423677A (en) | 2003-04-01 | 2004-11-01 | Matsushita Electric Ind Co Ltd | Communication apparatus and authentication apparatus |
| WO2004114586A1 (en) * | 2003-06-24 | 2004-12-29 | International Business Machines Corporation | Method and system for authentically servers in a distributed application environment |
| JP4504099B2 (ja) | 2003-06-25 | 2010-07-14 | 株式会社リコー | デジタル証明書管理システム、デジタル証明書管理装置、デジタル証明書管理方法、更新手順決定方法およびプログラム |
| US7448080B2 (en) | 2003-06-30 | 2008-11-04 | Nokia, Inc. | Method for implementing secure corporate communication |
| US20050076201A1 (en) * | 2003-08-15 | 2005-04-07 | Imcentric, Inc. | System for discovering SSL-enabled network devices and certificates |
| KR20050064119A (ko) | 2003-12-23 | 2005-06-29 | 한국전자통신연구원 | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 |
| US8191105B2 (en) * | 2005-11-18 | 2012-05-29 | Research In Motion Limited | System and method for handling electronic messages |
| US7984479B2 (en) * | 2006-04-17 | 2011-07-19 | International Business Machines Corporation | Policy-based security certificate filtering |
| US10270602B2 (en) * | 2008-10-01 | 2019-04-23 | International Business Machines Corporation | Verifying and enforcing certificate use |
| US8423761B2 (en) * | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
| US20110238999A1 (en) * | 2010-03-26 | 2011-09-29 | The Industry & Academic Cooperation In Chungnam National University (Iac) | Internet Based E-Will Management System Using Certificate and Method Thereof |
-
2006
- 2006-04-17 US US11/405,069 patent/US7984479B2/en not_active Expired - Fee Related
-
2007
- 2007-03-28 WO PCT/EP2007/052979 patent/WO2007118775A1/en active Application Filing
- 2007-03-28 CN CN2007800109498A patent/CN101411159B/zh not_active Expired - Fee Related
-
2011
- 2011-05-19 US US13/111,907 patent/US8458768B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697365A (zh) * | 2005-03-04 | 2005-11-16 | 南京邮电学院 | 一种面向移动代理的安全传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8458768B2 (en) | 2013-06-04 |
| WO2007118775A1 (en) | 2007-10-25 |
| US20070245401A1 (en) | 2007-10-18 |
| US20110219442A1 (en) | 2011-09-08 |
| CN101411159A (zh) | 2009-04-15 |
| US7984479B2 (en) | 2011-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101411159B (zh) | 基于策略的安全证书过滤的方法和系统 | |
| US11818274B1 (en) | Systems and methods for trusted path secure communication | |
| Kaeo | Designing network security | |
| JP6545136B2 (ja) | ウェブページの暗号化送信のためのシステム及び方法 | |
| US6327660B1 (en) | Method for securing communications in a pre-boot environment | |
| JP5021215B2 (ja) | Webサービス用の信頼できる第三者認証 | |
| US20200186358A1 (en) | Persistent network device authentication | |
| Wilhelm et al. | Introducing trusted third parties to the mobile agent paradigm | |
| CN107251476A (zh) | 保密通信管理 | |
| US20200228311A1 (en) | Lightweight encryption, authentication, and verification of data moving to and from intelligent devices | |
| US7266705B2 (en) | Secure transmission of data within a distributed computer system | |
| CN110708162B (zh) | 资源的获取方法、装置、计算机可读介质及电子设备 | |
| CN110601855A (zh) | 一种根证书管理方法、装置及电子设备、存储介质 | |
| Echeverria et al. | Authentication and authorization for IoT devices in disadvantaged environments | |
| CN107347073A (zh) | 一种资源信息处理方法 | |
| US20240064137A1 (en) | Decentralized edge node authentication | |
| Haque | Web server vulnerability analysis in the context of transport layer security (tls) | |
| US20230019728A1 (en) | Dynamic tokenization table exchange | |
| US20240187221A1 (en) | Agile cryptographic deployment service | |
| Mohamed et al. | Introduction to Cyber Security | |
| Heeb et al. | Crypto Agility: Transition to post-quantum safe algorithms for secure key exchange and certificate generation | |
| Sharma | Intelligent Cipher Transfer Object for IoT Data Security | |
| Fernando et al. | Information Security | |
| Ozaif et al. | Exploration of Secured Data Transmission in Internet of Things: A Survey | |
| Khan et al. | In-Depth Analysis of Cryptographic Algorithms for Cloud-Database Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120118 |