CN101488950A - 用于因特网的对称密钥分发框架 - Google Patents
用于因特网的对称密钥分发框架 Download PDFInfo
- Publication number
- CN101488950A CN101488950A CNA2008101909872A CN200810190987A CN101488950A CN 101488950 A CN101488950 A CN 101488950A CN A2008101909872 A CNA2008101909872 A CN A2008101909872A CN 200810190987 A CN200810190987 A CN 200810190987A CN 101488950 A CN101488950 A CN 101488950A
- Authority
- CN
- China
- Prior art keywords
- client computer
- grouping
- health
- server
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种方法、设备、以及系统。在一个实施例中,该方法包括在密钥分发服务器上接收来自客户机的测得健康信息。一旦接收到测得健康信息,该服务器就能够验证此测得健康信息以查看其是否真实可信。当此测得健康信息得到证实时,该服务器还能够给此客户机发送会话密钥。当此客户机接收到该会话密钥时,此客户机就能够使用该会话密钥来发起与域中的应用服务器的经加密和认证的连接。
Description
技术领域
本发明涉及从专用密钥分发服务器跨因特网向客户机持续和动态地分发对称密钥。
背景技术
万维网在根本上是运行于因特网上的客户机/服务器应用。近些年来因特网中的安全性威胁一直在呈指数增长。归类这些各色安全性威胁的方式之一是在威胁的位置的意义上归类:web服务器,客户机web浏览器,以及客户机web浏览器与服务器之间的业务。就客户机与服务器之间的业务而言,部署基于因特网工程任务组(IETF)网际协议安全性(IPSec)以及传输层安全性(TLS)的网络安全性协议是很容易的,这些协议依靠使用代价高昂的非对称密钥密码术(例如,Diffie-Hellman)在客户机与服务器之间协商会话密钥。这些服务器不得不跟踪在每会话基础上协商的好几万瞬变对称密钥。其结果是为了执行实现这些协议的密码术操作而在硬件中为安全性关联进行的存储器取数会因必须要维持的状态的量(更不要说密钥协商的成本)而变得代价高昂到令人却步。
附图说明
本发明藉由示例来说明而且并不受附图所限定,在附图中,相近的附图标记指示相似的要素,并且在其中:
图1描述了用于实现跨因特网的对称密钥分发的设备与系统。
图2是使用密钥分发服务器来分发密钥信息的过程的一个实施例的流程图。
具体实施方式
描述一种用于从服务器跨因特网向客户机分发对称密钥的方法、设备、以及系统的实施例。在以下的描述中,阐述了大量的具体细节。但是可以理解,这些实施例可以不用这些具体细节地来实现。在其他实例中,没有详细讨论众所周知的要素、规范、以及协议以避免湮没本发明。
图1描述了用于实现跨因特网的对称密钥分发的设备与系统。在许多实施例中,客户机100是通过因特网104连接到域102。因特网是世界范围的、公众可访问的系列互连的使用诸如标准网际协议(IP)来传输数据的计算机网络。更具体地来说,因特网是“由网构成的网”,它包含数以百万计的较小的家庭、学院、商务、以及政府网络,它们一起承载各种各样的信息和服务。从物理上来说,因特网包括构成供信息在其上传输的媒介的有线、光纤、以及无线网络主干。
在不同的实施例中,客户机可以是台式计算机、膝上型计算机、移动无线设备、蜂窝电话、电视机顶盒、或者任何其他类型的具有连接到因特网的能力的计算设备。客户机到因特网的连接可以通过诸如路由器、交换机、接入点及其他将个体的设备连接到因特网的机制。
在不同的实施例中,域可以是用于商务、科学机构、大学、政府办公室、个人网络域及其他等等的域。域包括一个或更多个计算机系统服务器,这些服务器执行许多允许信息能在该域内的计算机和用户与因特网之间传递的功能。每个域具有域名,其映射到具体的IP地址。
图1说明了数个服务器执行域内至关重要的功能的一个示例。在不同的实施例中,这些服务器可以是物理上分开的机器,或者它们可以是在单台机器上(例如,在该机器上的不同分区中)运行的应用。
客户机可请求获访域102以便获得服务。在许多实施例中,位于域内的应用服务器106提供客户机100想要的这些服务(例如,信息存储服务、新闻检索服务、电子邮件服务等)之中的一个或更多个。
在许多实施例中,域102有防火墙108。防火墙108是安全性的一种形式,其试图防止恶意用户和程序从因特网104进入该域。防火墙108可以是分设的服务器(图示)或者它可以是图1中其它服务器之一的一部分(未图示)。
域还包括动态主机配置协议(DHCP)服务器110。假定客户机100是经DHCP配置的,则当客户机100连接到域102时,客户机100中的DHCP客户端程序发送向DHCP服务器110请求需要的信息的广播询问。DHCP服务器110管理IP地址池以及有关客户机配置参数的信息,诸如域名,默认网关等。此外,DHCP服务器110有关于位于域102中的域名服务器(DNS)服务器112的存在与地址的信息。一旦接收到来自客户机100的有效请求,DHCP服务器110就将向客户机100指派IP地址以及其它参数。
至此已用接收自DHCP服务器110的IP地址并用DNS服务器112的地址进行配置的客户机100此时就能与DNS服务器112进行交互。DNS服务器112提供域102内的服务器和其它设备的IP地址。
回到应用服务器106,在应用服务器106上有一个或更多个处理器114。在不同的实施例中,这些处理器之中的每一个可以是单核或多核的。由此,在一些实施例中,该应用服务器是多处理器多核服务器,而在其他实施例中,该应用服务器是单处理器单核服务器,而在还有一些实施例中,该应用服务器是上面描述的单/多处理器单/多核系统的组合的某种派生。在进一步的实施例中,可以有一个以上的应用服务器来提供额外服务,或者同样的服务可以分布在多重应用服务器之间以平衡客户机负荷。由于单台服务器上的单个处理器提供了胜任的实施例来描述客户机/服务器境况,因此上面描述的处理器和服务器配置之中有许多没有在图1中示出。
进一步,应用服务器106还包括系统存储器116,用于存储诸如操作系统(OS)118之类的一个或更多个操作系统的当前实例化。在正常操作中,应用服务器106中的处理器114可以为数个来自因特网104上的诸如客户机100之类的客户机的请求提供服务。在与DHCP服务器110和DNS服务器112履行完路由程序后,客户机通常与应用服务器106交互以获访应用服务器的服务。
然而在许多实施例中,应用服务器106可具有一个或更多个它对自己与之交互的任何客户机要求的健康策略。例如,可能有要求客户机先必须超过才能被准予访问以与应用服务器106交互的最小必需健康水平。这些健康水平可以是预先确定的或者是根据环境动态确定的。如果客户机没有达到此健康水平,网络接口控制器(NIC)120可丢掉来自那个客户机的分组。NIC 120是处置和允许应用服务器106获访域内的内部计算机网络的硬件接口。
为了安全地确定客户机的健康状况,在许多实施例中,在客户机100内有Intel
积极管理技术(AMT)设备122或另一个与AMT性能相类似的独立安全性测量设备。在一些实施例中,AMT 122可以测量客户机系统的健康状况。此测量可包括诸如客户机上安装的软件、客户机上安装的操作系统、客户机上安装的反病毒软件的版本、以及客户机系统最近多久前处置过攻击以及处置过多少攻击等信息及其他信息项。AMT 122内的逻辑可搜集这些信息,或者在客户机100内别处的逻辑可搜集这些健康信息,并且AMT 122可核实这些健康信息的真实可信性。一旦搜集到这些健康信息,AMT 122就用安全数字证书签署这些健康信息。然后客户机100可将这些安全的健康信息跨因特网104发送到域102。
在许多实施例中,一旦客户机100已初始地接收到应用服务器106的IP地址,客户机100就向应用服务器106请求健康策略要求以查看什么要求是与该应用服务器106交互所必需的。在许多实施例中,运行在客户机100上的解算器程序查找该应用服务器上的所必需的客户机健康策略。此请求可直接由NIC120处置。NIC 120可存储与自己驻留其内的应用服务器106相关联的健康策略信息,并能为来自任何客户机的健康策略请求提供服务,如此便没有初始的请求负荷要求与处理器114、存储器116、或操作系统118直接交互。
除了对客户机的健康策略要求外,解算器程序在执行了在应用服务器上的客户机健康策略查找之后还可通知作出请求的客户机:域102包括密钥分发服务器(KDS)124或者多重KDS。这些信息将由解算器程序在查找期间得到。KDS 124能够验证接收自客户机的健康信息。一经证实,KDS 124就能给该客户机提供因客户机而异的会话密钥供其用于与应用服务器106进行安全交互。这里假定在域102中的KDS 124获应用服务器106信任。
可由KDS 124向应用服务器中的NIC 120提供用于会话密钥生成的主密钥。例如,一旦KDS 124已认证客户机的健康后,KDS就能为客户机100与应用服务器106之间的会话生成主密钥。KDS 124把从客户机ID信息和主密钥生成的会话密钥发送给客户机100。
在一些实施例中,会话密钥是使用安全套接字层(SSL)协议来向客户机发送的。在其他实施例中,会话密钥是使用传输层安全性(TLS)协议来向客户机发送的。TLS协议和SSL协议允许以设计成防窃听、窜改、和消息伪造的方式跨网络进行私有通信。这些协议使用密码术来提供因特网上的端点认证和通信私密性。
KDS 124还将主密钥发送给应用服务器106中的NIC 120。使用接收自KDS124的会话密钥,客户机此时就能与该应用服务器建立经加密和认证的连接。然后客户机能使用网际协议安全性(IPSec)分组格式来向应用服务器106发送经加密的分组。IPSec分组头部格式包括含有客户机ID信息的安全性参数索引(SPI)字段。
一旦NIC120接收到来自客户机100的IPSec分组,NIC 120内的逻辑就核实SPI内的客户机ID,并且使用接收自KDS 124的主密钥来通过使用诸如下面这样的密钥函数来生成对称密钥的服务器方密钥:
会话密钥=f(主密钥,客户机SPI)
一旦生成了会话密钥的NIC 120版本,NIC 120就能解密来自客户机100的分组并将经解密的分组发送到应用服务器106内的网络软件栈,如此处理器114与操作系统118就能为这些分组提供服务。
在一些在实施例中,如果对分组的解密不成功,则NIC 120能丢掉该分组。这将消除要由处理器114执行的任何额外开销,这是因为处理器114将根本不会见到该分组。
由此,利用上面描述的系统与KDS设备,KDS可执行即便不是全部也将是绝大多数的密码术密钥分发操作,从而将此显著的工作负荷从应用服务器106上移走。另外,由于NIC 120能独立解密传入的分组并一路将经解密的分组发送到驻留在应用服务器106的软件内的网络栈,因此进一步从驻留在应用服务器106上的处理器114与操作系统118上移走了解密工作。
在许多实施例中,域102中有多重分布式KDS。多重KDS可提供裨益,诸如平衡向许多客户机分发密钥的负荷、以及分布KDS的功能性如此使得对任何一个服务器的攻击将不能规避开密钥分发系统来提供更多的安全性等。可以利用任何一般的分布式服务器负荷平衡算法来在这多重KDS之间平衡其负荷。例如,客户机100内的解算器程序在通过与DNS服务器112交互来执行对KDS的DNS查找之后能对返回的KDS IP地址应用负荷平衡算法。这样可以向该域中存在的许多KDS中的任何一个发送客户机密钥请求。
进一步,在许多实施例中,当传入的客户机分组发生一种或更多种异常境况时,NIC 120可通知KDS 124。KDS 124在从NIC 120获悉此异常行为时可采取针对一个或更多个客户机的适当行动。例如,KDS 124保存密钥和/或客户机的撤回列表。这样,如果NIC 120在发现包含相同的客户机ID但IP地址不同的分组时通知KDS 124,然后KDS 124可将与该客户机ID相关联的密钥放入撤回列表中并向该客户机分发新密钥。如果NIC 120通知KDS 124此新密钥又在被多重客户机利用,则可将请求该密钥的客户机放入撤回列表中以永久地拒绝该客户机与网络上的任何服务器进一步通信。
在许多实施例中,KDS 124从客户机接收到的健康信息还可以捎带其它客户机信息,包括客户机的能力和潜在角色(即,态势信息)。KDS 124可利用这些附加信息来决定将允许该客户机与域102中的哪些服务器通信。由此,KDS124可发送用来与确定的服务器集通信的密钥集。
图2是使用密钥分发服务器分发密钥信息的过程的一个实施例的流程图。该过程可以由硬件、软件、或两者的组合来执行。该过程藉客户端机器中的处理逻辑请求域中的DHCP服务器提供该域中的DNS服务器还有该客户机的IP地址(处理版块200)开始。然后,DHCP服务器内的处理逻辑以DNS服务器与该客户机的述IP地址作答(处理版块202)。
该过程以客户机内的处理逻辑请求DNS服务器查找该域中的应用服务器的IP地址(处理版块204)来继续。然后,DNS服务器内的处理逻辑以该应用服务器的IP地址作答(处理版块206)。然后客户机解算器程序内的处理逻辑使用该应用服务器的IP地址来轮询该应用服务器以查找该应用服务器的健康验证与认证策略(处理版块208)。
对应用服务器中客户端解算器策略的查找结果随后由处理逻辑确定(处理版块210)。如果应用服务器并没有策略,则客户机内的处理逻辑以向该应用服务器提出常规HTIP请求(处理版块212)来继续前行。
否则,如果有健康验证/认证策略,则处理逻辑知道该域中有KDS服务器。由此,客户机中的处理逻辑向DNS服务器请求该KDS服务器的IP地址(处理版块214)。接下来,DNS服务器以该KDS服务器的IP地址向该客户机作答(处理版块216)。客户机内的处理逻辑随后测量客户机健康状况(处理版块218)。此健康测量可以使用AMT设备或者是另一个这样的用来核实该客户端机器是健康的且未被损及的设备来进行。客户机内的处理逻辑将这些健康信息或潜在可能还有其他态势信息提供给KDS服务器(处理版块220)。
随后KDS服务器内的处理逻辑对客户机的测得健康信息执行验证手续(处理版块222)。此验证手续可以是多种健康要求策略之中的任何一种。这将是基于对客户机要访问该域中的应用服务器所要求的安全性级别在逐服务器的基础上决定的。
此刻,处理逻辑已经确定了客户机的健康状况(处理版块224)。如果客户机被KDS服务器视为是不健康的,则KDS服务器不向该客户机发送会话密钥(处理版块226)。否则,如果客户机被KDS服务器视为是健康的,则KDS服务器向该客户机发送唯一性的会话密钥(即,导出密钥)(处理版块228)。当客户机接收到此密钥时,该客户机内的处理逻辑就以使用此唯一性会话密钥向应用服务器提出安全的请求(处理版块230)来继续。最后,应用服务器的NIC内的处理逻辑接收来自客户机的安全的请求并使用从客户机ID和自KDS提供的主密钥导出的会话密钥来解密分组(处理版块232)。一旦分组被解密出来,就可以将该分组发送到网络软件栈供在应用服务器内作进一步处理,并且本过程结束。
由此,描述了从服务器跨因特网向客户机分发对称密钥的方法、设备、和系统的实施例。这些实施例是参考其具体的示例性实施例来描述的。对于受益于本公开的人员来说显然的是,可对这些实施例进行各种修改和变换而不会脱离本文中所描述的实施例的更宽的精神和范围。说明书和附图相应地应按说明性而非限定性意义来看待。
Claims (19)
1.一种方法,包括:
密钥分发服务器接收来自客户机的测得健康信息;
所述服务器验证所述测得健康信息;
当所述测得健康信息获证实时,所述服务器向所述客户机发送会话密钥;以及
一旦接收到所述会话密钥,所述客户机就使用所述会话密钥来发起与域中的应用服务器的经加密和认证的连接。
2.如权利要求1所述的方法,其特征在于,进一步包括:
处在所述应用服务器中的网络接口控制器,用于在所述经认证的连接上接收来自所述客户机的一个或更多个经加密的分组;
所述网络接口控制器使用所述会话密钥来解密所述一个或更多个经加密的分组;以及
所述应用服务器为所述一个或更多个经解密的分组提供服务。
3.如权利要求2所述的方法,其特征在于,进一步包括:
如果所述解密不成功,则所述网络接口控制器丢掉所述一个或更多个分组。
4.如权利要求1所述的方法,其特征在于,所述密钥分发服务器是在因特网域内可寻址的。
5.如权利要求4所述的方法,其特征在于,进一步包括:
所述客户机查找所述密钥分发服务器上的客户机策略;
基于所述密钥分发服务器的客户机策略,所述客户机测量所述客户机健康信息;并且
所述客户机签署所述客户机测得健康信息。
6.如权利要求2所述的方法,其特征在于,所述一个或更多个经加密的分组是网际协议安全性(IPSec)分组。
7.一种设备,包括:
密钥分分发服务器逻辑,用来
接收来自客户机的测得健康信息;
验证所述测得健康信息;并且
当所述测得健康信息获证实时,向所述客户机发送会话密钥。
8.如权利要求7所述的设备,其特征在于,进一步包括:
应用服务器逻辑,用来
接收来自所述客户机的分组,其中所述分组是使用所述会话密钥加密的;
使用所述会话密钥来解密所述分组;以及
为所述经解密的分组提供服务。
9.如权利要求8所述的设备,其特征在于,所述应用服务器逻辑进一步可作用于在所述解密不成功的情况下丢掉所述分组。
10.如权利要求8所述的设备,其特征在于,所述设备是在因特网域内可寻址的。
11.如权利要求8所述的设备,其特征在于,所述设备进一步可作用于存储就与所述设备接口所必需的一个或更多个要求对所述客户机作出指令的客户机策略。
12.如权利要求8所述的设备,其特征在于,所述应用服务器逻辑进一步包括网络接口控制器。
13.一种系统,包括:
客户机;
密钥分发服务器,用来
接收来自所述客户机的测得健康信息;
验证所述测得健康信息;并且
当所述测得健康信息获证实时,向所述客户机发送会话密钥;以及应用服务器,用来
接收来自所述客户机的分组,其中所述分组是使用所述会话密钥加密的;
使用所述会话密钥来解密所述分组;并且
为所述经解密的分组提供服务。
14.如权利要求13所述的系统,其特征在于,所述应用服务器进一步可作用于在所述解密不成功的情况下丢掉所述分组。
15.如权利要求13所述的系统,其特征在于,进一步包括用于向所述客户机提供所述密钥分发服务器的地址的域名服务器。
16.如权利要求13所述的系统,其特征在于,所述客户机包括安全性管理组件,其可作用于
测量所述客户机的健康状况;
基于所述测量生成客户机健康信息;并且
签署所述测得的客户机健康信息。
17.如权利要求13所述的系统,其特征在于,所述应用服务器进一步包括:
用于存储操作系统的存储器;
用于执行来自所述操作系统的指令的处理器;以及
网络接口控制器,其可作用于
使用所述会话密钥和主密钥生成解密密钥;
使用所述解密密钥解密所述分组;以及
将所述经解密的分组发送给所述操作系统以供由所述处理器提供服务。
18.如权利要求17所述的系统,其特征在于,所述网络接口控制器进一步可作用于在所述解密不成功时丢掉所述分组。
19.如权利要求18所述的系统,其特征在于,当所述网络接口控制器丢掉所述分组时,所述处理器不对所述分组执行任何操作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/957,184 | 2007-12-14 | ||
| US11/957,184 US8532303B2 (en) | 2007-12-14 | 2007-12-14 | Symmetric key distribution framework for the internet |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101488950A true CN101488950A (zh) | 2009-07-22 |
| CN101488950B CN101488950B (zh) | 2013-11-13 |
Family
ID=40601194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101909872A Expired - Fee Related CN101488950B (zh) | 2007-12-14 | 2008-12-15 | 用于因特网的对称密钥分发的方法、设备和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US8532303B2 (zh) |
| EP (1) | EP2073496B1 (zh) |
| JP (2) | JP4981782B2 (zh) |
| CN (1) | CN101488950B (zh) |
| AT (1) | ATE531177T1 (zh) |
| ES (1) | ES2376143T3 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856321A (zh) * | 2012-12-07 | 2014-06-11 | 观致汽车有限公司 | 一种数据加密解密方法及其系统 |
| CN106571911A (zh) * | 2015-07-10 | 2017-04-19 | 英飞凌科技股份有限公司 | 基于设备和数据认证的数据加密和解密 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2434947B (en) * | 2006-02-02 | 2011-01-26 | Identum Ltd | Electronic data communication system |
| US8532303B2 (en) | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
| US9443084B2 (en) | 2008-11-03 | 2016-09-13 | Microsoft Technology Licensing, Llc | Authentication in a network using client health enforcement framework |
| US10348693B2 (en) | 2009-12-15 | 2019-07-09 | Microsoft Technology Licensing, Llc | Trustworthy extensible markup language for trustworthy computing and data services |
| US9537650B2 (en) | 2009-12-15 | 2017-01-03 | Microsoft Technology Licensing, Llc | Verifiable trust for data through wrapper composition |
| US8856518B2 (en) * | 2011-09-07 | 2014-10-07 | Microsoft Corporation | Secure and efficient offloading of network policies to network interface cards |
| US9419953B2 (en) | 2012-12-23 | 2016-08-16 | Mcafee, Inc. | Trusted container |
| US8850543B2 (en) | 2012-12-23 | 2014-09-30 | Mcafee, Inc. | Hardware-based device authentication |
| US8955075B2 (en) * | 2012-12-23 | 2015-02-10 | Mcafee Inc | Hardware-based device authentication |
| US10346388B2 (en) | 2013-05-03 | 2019-07-09 | Sap Se | Performance and quality optimized architecture for cloud applications |
| US10979674B2 (en) | 2013-07-22 | 2021-04-13 | Intellivision | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
| US11601620B2 (en) | 2013-07-22 | 2023-03-07 | Intellivision Technologies Corp. | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
| US9692759B1 (en) | 2014-04-14 | 2017-06-27 | Trend Micro Incorporated | Control of cloud application access for enterprise customers |
| US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
| US20220360573A1 (en) * | 2015-01-07 | 2022-11-10 | Cyph Inc. | Encrypted group communication method |
| US9801517B2 (en) | 2015-03-06 | 2017-10-31 | Wal-Mart Stores, Inc. | Shopping facility assistance object detection systems, devices and methods |
| US20180099846A1 (en) | 2015-03-06 | 2018-04-12 | Wal-Mart Stores, Inc. | Method and apparatus for transporting a plurality of stacked motorized transport units |
| WO2016142794A1 (en) | 2015-03-06 | 2016-09-15 | Wal-Mart Stores, Inc | Item monitoring system and method |
| CA2961938A1 (en) | 2016-04-01 | 2017-10-01 | Wal-Mart Stores, Inc. | Systems and methods for moving pallets via unmanned motorized unit-guided forklifts |
| CN106685906B (zh) * | 2016-06-29 | 2018-10-30 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
| US10630659B2 (en) * | 2016-09-30 | 2020-04-21 | Nicira, Inc. | Scalable security key architecture for network encryption |
| US10333930B2 (en) * | 2016-11-14 | 2019-06-25 | General Electric Company | System and method for transparent multi-factor authentication and security posture checking |
| CN108347410B (zh) * | 2017-01-24 | 2021-08-31 | 华为技术有限公司 | 安全实现方法、设备以及系统 |
| CN108418679B (zh) * | 2017-02-10 | 2021-06-29 | 阿里巴巴集团控股有限公司 | 一种多数据中心下处理密钥的方法、装置及电子设备 |
| CN107133285B (zh) * | 2017-04-18 | 2019-08-30 | 北京北信源软件股份有限公司 | 一种分布式主键生成方法与装置 |
| US10757105B2 (en) * | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
| US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
| KR101932505B1 (ko) | 2017-07-21 | 2018-12-26 | 동서대학교 산학협력단 | Sdn에서 보안성 강화를 위한 rest 액세스 파라미터 충돌회피 방법 |
| US10701046B1 (en) * | 2017-10-24 | 2020-06-30 | Verisign, Inc. | Symmetric-key infrastructure |
| US10680806B1 (en) | 2017-10-24 | 2020-06-09 | Verisign, Inc. | DNS-based symmetric-key infrastructure |
| CN111587434A (zh) * | 2018-01-02 | 2020-08-25 | 惠普发展公司,有限责任合伙企业 | 对修改的调节 |
| US11640475B1 (en) * | 2019-11-26 | 2023-05-02 | Gobeep, Inc. | Systems and processes for providing secure client controlled and managed exchange of data between parties |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703889A (zh) * | 2002-01-22 | 2005-11-30 | 通用仪器公司 | 用于多媒体内容预加密的加密、验证和密钥管理 |
| US20060047944A1 (en) * | 2004-09-01 | 2006-03-02 | Roger Kilian-Kehr | Secure booting of a computing device |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6061796A (en) * | 1997-08-26 | 2000-05-09 | V-One Corporation | Multi-access virtual private network |
| US7146505B1 (en) * | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
| ATE301895T1 (de) | 1999-06-10 | 2005-08-15 | Alcatel Internetworking Inc | System und verfahren zur automatischen erreichbarkeitsaktualisierung in virtuellen privaten netzen |
| US7162649B1 (en) * | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
| US7165175B1 (en) * | 2000-09-06 | 2007-01-16 | Widevine Technologies, Inc. | Apparatus, system and method for selectively encrypting different portions of data sent over a network |
| US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US6834301B1 (en) * | 2000-11-08 | 2004-12-21 | Networks Associates Technology, Inc. | System and method for configuration, management, and monitoring of a computer network using inheritance |
| DE10056841A1 (de) | 2000-11-16 | 2002-05-23 | Basf Ag | Verfahren und Vorrichtung zur destillativen Gewinnung von 1,3-Reinbutadien aus 1,3-Rohbutadien |
| US6965928B1 (en) * | 2001-03-09 | 2005-11-15 | Networks Associates Technology, Inc. | System and method for remote maintenance of handheld computers |
| US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
| US7234063B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US7533407B2 (en) * | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US7673326B2 (en) * | 2004-02-04 | 2010-03-02 | Microsoft Corporation | System and method utilizing clean groups for security management |
| US20050273853A1 (en) * | 2004-05-24 | 2005-12-08 | Toshiba America Research, Inc. | Quarantine networking |
| US20060010485A1 (en) * | 2004-07-12 | 2006-01-12 | Jim Gorman | Network security method |
| WO2006034201A2 (en) * | 2004-09-17 | 2006-03-30 | Hobnob, Inc. | Quarantine network |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| US7477740B2 (en) * | 2005-01-19 | 2009-01-13 | International Business Machines Corporation | Access-controlled encrypted recording system for site, interaction and process monitoring |
| JP2006253888A (ja) | 2005-03-09 | 2006-09-21 | Mitsubishi Electric Corp | 位置情報管理装置及び位置情報管理方法 |
| JP2006338587A (ja) | 2005-06-06 | 2006-12-14 | Hitachi Ltd | アクセス制御サーバ、利用者端末及び情報アクセス制御方法 |
| CN1731726B (zh) * | 2005-08-09 | 2011-04-20 | 刘津立 | 一种手机关联服务器组建的安全基础设施及增值方案 |
| US20080037775A1 (en) * | 2006-03-31 | 2008-02-14 | Avaya Technology Llc | Verifiable generation of weak symmetric keys for strong algorithms |
| EP1873668A1 (en) | 2006-06-28 | 2008-01-02 | Nokia Siemens Networks Gmbh & Co. Kg | Integration of device integrity attestation into user authentication |
| US8661249B2 (en) * | 2007-09-24 | 2014-02-25 | Microsoft Corporation | Health keyset management |
| US8532303B2 (en) | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
-
2007
- 2007-12-14 US US11/957,184 patent/US8532303B2/en not_active Expired - Fee Related
-
2008
- 2008-11-28 AT AT08253837T patent/ATE531177T1/de not_active IP Right Cessation
- 2008-11-28 EP EP20080253837 patent/EP2073496B1/en not_active Not-in-force
- 2008-11-28 ES ES08253837T patent/ES2376143T3/es active Active
- 2008-12-02 JP JP2008307458A patent/JP4981782B2/ja not_active Expired - Fee Related
- 2008-12-15 CN CN2008101909872A patent/CN101488950B/zh not_active Expired - Fee Related
-
2012
- 2012-04-20 JP JP2012096711A patent/JP5346107B2/ja not_active Expired - Fee Related
-
2013
- 2013-07-29 US US13/953,594 patent/US9015484B2/en not_active Expired - Fee Related
-
2015
- 2015-04-20 US US14/691,203 patent/US9654453B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703889A (zh) * | 2002-01-22 | 2005-11-30 | 通用仪器公司 | 用于多媒体内容预加密的加密、验证和密钥管理 |
| US20060047944A1 (en) * | 2004-09-01 | 2006-03-02 | Roger Kilian-Kehr | Secure booting of a computing device |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856321A (zh) * | 2012-12-07 | 2014-06-11 | 观致汽车有限公司 | 一种数据加密解密方法及其系统 |
| CN106571911A (zh) * | 2015-07-10 | 2017-04-19 | 英飞凌科技股份有限公司 | 基于设备和数据认证的数据加密和解密 |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE531177T1 (de) | 2011-11-15 |
| JP5346107B2 (ja) | 2013-11-20 |
| EP2073496B1 (en) | 2011-10-26 |
| EP2073496A1 (en) | 2009-06-24 |
| US20150304286A1 (en) | 2015-10-22 |
| JP4981782B2 (ja) | 2012-07-25 |
| JP2009147927A (ja) | 2009-07-02 |
| JP2012182812A (ja) | 2012-09-20 |
| US8532303B2 (en) | 2013-09-10 |
| US9654453B2 (en) | 2017-05-16 |
| CN101488950B (zh) | 2013-11-13 |
| ES2376143T3 (es) | 2012-03-09 |
| US9015484B2 (en) | 2015-04-21 |
| US20090154708A1 (en) | 2009-06-18 |
| US20130311777A1 (en) | 2013-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101488950B (zh) | 用于因特网的对称密钥分发的方法、设备和系统 | |
| Xue et al. | Private blockchain-based secure access control for smart home systems | |
| US8661252B2 (en) | Secure network address provisioning | |
| CN105917689B (zh) | 以信息为中心的网络中的安全的点对点组 | |
| US8848923B2 (en) | Key distribution scheme for networks of information | |
| US7694335B1 (en) | Server preventing attacks by generating a challenge having a computational request and a secure cookie for processing by a client | |
| US7668954B1 (en) | Unique identifier validation | |
| CN109983752A (zh) | 带有编码dns级信息的网络地址 | |
| US8301753B1 (en) | Endpoint activity logging | |
| US20060218273A1 (en) | Remote Log Repository With Access Policy | |
| CN110113364B (zh) | 域名劫持防御方法及装置、计算机装置及存储介质 | |
| US9438583B2 (en) | Certificate generation method, certificate generation apparatus, information processing apparatus, and communication device | |
| Darwish et al. | Decentralizing privacy implementation at cloud storage using blockchain-based hybrid algorithm | |
| EP2781049A1 (en) | Distributing overlay network ingress information | |
| Chunka et al. | An efficient user authentication and session key agreement in wireless sensor network using smart card | |
| Garrett et al. | On vulnerability analysis of several password authentication protocols | |
| Pereñíguez-Garcia et al. | KAMU: Providing advanced user privacy in Kerberos multi-domain scenarios | |
| Roy et al. | A Hybrid Security Framework to Preserve Multilevel Security on Public Cloud Networks | |
| Senthil Mahesh et al. | Secure and novel authentication model for protecting data centers in fog environment | |
| Granerud | Identifying TLS abnormalities in Tor | |
| CN115086069B (zh) | 一种DDoS攻击识别方法及装置 | |
| Chetioui et al. | Encryption of Query in DNS Message | |
| Jain et al. | Secure Communication Architecture for Privacy and Authentication in Ubiquitous Computing | |
| Perera et al. | Secure Dynamic Access Control Mechanism for Shared Wireless Sensor Networks | |
| Yoo et al. | The OpenWRT’s Random Number Generator Designed Like/dev/urandom and Its Vulnerability |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131113 Termination date: 20141215 |
|
| EXPY | Termination of patent right or utility model |