CN101547203B - 使用网际协议安全性策略建立网络安全 - Google Patents
使用网际协议安全性策略建立网络安全 Download PDFInfo
- Publication number
- CN101547203B CN101547203B CN200910128351.XA CN200910128351A CN101547203B CN 101547203 B CN101547203 B CN 101547203B CN 200910128351 A CN200910128351 A CN 200910128351A CN 101547203 B CN101547203 B CN 101547203B
- Authority
- CN
- China
- Prior art keywords
- security
- packet flow
- equipment
- flow information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
配置网络安全的技术,包括获得非分组流信息,根据所获得的信息评价策略规则,以及根据所述评价提议安全性配置。例如,所述非分组流信息可包括在因特网密钥交换协议对话期间获得的验证信息,或从分层的服务提供者获得的信息。因此,可定义和实现诸如网际协议安全(IPsec)策略之类的策略,使得它们更精确地反映出网络的安全性要求。
Description
本申请是申请日为2001年6月7日申请号为第01811769.4号发明名称为“使用网际协议安全性策略建立网络安全”的中国专利申请的分案申请。
技术领域
本发明涉及使用网际协议安全性(IPsec)策略来建立网络安全。
背景技术
IPsec是用于通过对密钥管理过程和协议的使用,使用网际协议(IP)来实现网络上的通信的安全性的网络层安全框架。由IPsec协议以单独的IP分组的方式使IP通信流的两个端点之间的通信变得安全。连接端点处的IPsec实体有权并参与使公共连接安全的操作。
IPsec建立并使用安全关联,以识别两个端点之间的安全信道。安全关联是两个终端端点之间的单向话路。一个端点发送IP分组,而第2端点接收所述IP分组。对于安全的双向通信要求最少两个安全关联。两个端点可使用因特网密钥交换(IKE)协议,来协商相互可接受的加密算法、相关参数以及加密密钥,以保护网络通信。IKE协议支持各种验证机制,包括预共享的密钥、X.509公共密钥证书以及Kerberos票证。
基于策略的网络管理(PMNM)常用于判定谁能使用与网络相关联的资源和服务,在什么条件下使用以及何时使用。例如,安全性策略定义了一组支配加密和访问控制判决的规则。可把所述策略表示为一组规则,其中每个规则包括一判定和一个动作。换句话说,可把一规则表示为“如果满足<条件>,则执行<动作>”。
IPsec层上的示例性动作可提出具体的一组安全性算法。当前的IPsec实现一般使用诸如IP地址、协议和端口之类的分组流信息,来估计策略判决。
发明内容
根据本发明,提供一种建立网络安全的方法,包括:获得非分组流信息;根据所获得的信息评价策略规则;以及根据所述评价提议安全性配置。
根据本发明,还提供一种安全使能设备,包括:协议栈装置;策略规则的数据库装置;以及策略代理装置,配置成获得从另一设备接收的非分组流信息,根据所获得的信息评价存储于所述数据库中的策略规则,以及根据所述评价提出安全性配置以用于与所述另一设备的后续通信。
根据本发明,还提供一种通信系统,包括:第1和第2网际协议安全使能设备,其中两个设备都包括各自的协议栈装置,所述协议栈装置具有因特网密钥交换分量和网际协议安全分量;以及网络,所述第1和第2网际协议安全使能设备可通过该网络通信,其中所述第1网际协议安全使能设备进一步包括策略规则的数据库装置和策略代理装置,其中所述策略代理装置配置成获得由所述第1设备的因特网密钥交换分量从所述第2网际协议安全使能设备的因特网密钥交换分量接收的非分组流信息,根据所获得的信息评价存储于所述数据库中的策略规则,以及根据所述评价提议网际协议安全性配置,以用于在因特网密钥交换对话期中与所述第2网际协议安全使能设备的后续通信。
附图说明
图1说明了一括IPsec使能的设备的系统。
图2是建立安全关联的方法的流程图。
图3说明了基于策略的网络管理基础结构中的工作组。
图4示出了与图3中示出的工作组相关联的一组规则。
具体实施方式
图1说明了带有可通过网络16通信的IPsec使能的设备12、14的系统10。设备12、14的每一个包括分层的协议栈,协议栈具有IPsec分量18和IKE分量20。设备12还包括数据库22,它存储与用于实现设备的安全性要求的安全性策略相对应的规则。策略代理24检索由数据库22存储的规则,并解释和评价所述规则。如下面更详细描述的那样,策略代理24能够与IKE层分量20以及各种信息提供者交换信息,以增加驱动策略判决的网络流信息。
如图2所指示出的那样,当设备12试图向另一设备14发送或接收IP数据时,设备12中的IPsec层18试图发现(40)安全关联,也就是一组加密、验证和/或压缩算法和密钥,以保护通信。如果还未建立安全关联,则IPsec层18启动(42)一过程,来建立要用于与同一IP地址、端口和协议相匹配的未来通信的一个或多个安全关联。IKE协议用于协商安全关联的密钥和算法。在第1IKE阶段,设备12、14交换并验证身份信息,并建立由IKE安全关联保护的安全信道,以用于第2IKE阶段。在第2阶段期间,设备12、14对要由IPsec保护的IP通信协商安全关联。
注意到,在第1IKE阶段,设备12中的IKE层20从设备14获得(44)经验证的身份信息28。例如该身份信息可包括数字证书、用户名口令对或Kerberos票证。该身份信息能识别对等设备,并可与诸如设备14之类的某一设备或一组设备相关联。作为替代,该身份信息可与某一个体或一组个体相关联。例如,医院可把医生、护士和行政人员组织成工作组,各工作组具有特定的访问特权和安全性要求。所述身份信息可与某一组医院职员相关联。图3说明了基于策略的网络管理基础结构中的3个示例性的工作组。工作组中的各客户端(机器或用户)具有一列有序的策略对象,并且各策略对象包括一组规则,以施加于两个端点列表之间的通信流。例如,源列表可识别源工作组中的机器,而目的列表能识别目的工作组中的机器。能以安全的方式存储证书的智能卡,能够将证书与一个或多个用户而不是机器联系在一起。所述证书然后将识别所述用户或机器,作为某一工作组的一员。非分组流信息可包括同样识别用户的生物统计数据。
一旦设备12中的IKE层20获得经验证的身份信息,则由策略代理24获得(46)该身份信息。IKE层20可包括应用程序编程接口(API),以允许策略代理24能够提取经验证的身份信息。作为替代,IKE层20能把经验证的身份信息发送到策略代理。策略代理24能使用该身份信息来解释和评价(48)存储于数据库22之中以及包括涉及IKE层身份信息的条件的策略。例如,某一策略可指示出,如果身份信息包括某一数字证书,那么必须使用一组安全性参数以清楚的、拒绝的或保护的方式发送通信量。图4中示出了与图3的工作组之一相关联的规则的示例性形式。一般地,在所有工作组上,所述规则组应是对称同步的。
策略代理24还能把经验证的身份信息传送(50)到流上下文模块30,该模块可驻留于策略代理之中或可与策略代理分开。例如可以在随机存取存储器(RAM)实现的该模块30用作可流向策略代理24的信息的储存。模块30还能获得来自诸如分层的服务提供者26或其它网络拦截器之类的其它源的额外信息。然后,可把从分层的服务提供者获得的信息传送(52)到策略代理24,并用于评价(54)存储于数据库22中的IPsec策略。这允许IPsec策略可基于特定的应用程序,以及已登录的用户的身份和/或对等身份。例如,在某些实现中,分层的服务提供者26将确定某一应用程序对一特定的连接请求负责,并将把应用程序的名称通告为“应用程序=XYZ”。表示扩展信息的形式可以类似于表示身份信息的形式。因此,当把IKE层身份信息或来自分层的服务提供者26的信息结合入策略中的判定时,可使用相同的语法。诸如用户可加载的程序以及动态链接库(DLL)之类的上下文信息的某些源可要求策略评价器进行的验证,以保证它们提供的信息的可靠性。可使用双边软件验证技术来提供这样的验证。较佳的是,从诸如分层的服务提供者26之类的其它源获得信息用于增加但不覆盖从IKE层20获得的经验证的身份信息中的值。
例如通过流上下文模块30接收的非分组流信息可被看作一组属性,各属性具有一相关的值。分组流自身由若干参数识别,包括源地址、源端口、目的地址、目的端口和协议。可把这些参数添加到流上下文信息中,使得当处理数据分组时,有足够的信息来查找对应的流上下文信息,来评价策略规则。这样的技术能促进非分组流信息和分组流信息的集成。
一旦策略代理24评价了数据库22中的策略,策略代理24就把一个或多个保护组提议的一列优先化的列表传送(56)到设备12中的IKE层20。然后设备12中的IKE层20把该保护组提议的优先化列表传送(58)到设备14中的IKE层20。设备14检查(60)所述提议的保护组,并试图在所述列表上发现可接受的保护组。一旦设备12、14同意可接受的安全性配置,各设备中的IPsec层18就配置成(62)在IKE协议的第2阶段期间使用安全性配置的经协定的组。
如先前所述,可把各种类型的非分组流信息结合于IPsec策略的判定中。具体的例子包括用户身份数据、应用程序标识符、以及应用程序模式。例如,可从智能卡或生物统计设备获得用户身份数据。这样的身份数据还可包括例如当用户登录系统时输入的口令。数字证书信息可包括这样的字段,如证书序号、主题名称、主题的公共密钥、主题的替换名称、密钥标识符以及证书的截止日期。可以把这些字段中的任何一个中的信息结合于一个或多个策略规则的判定中,并且可使用接收的数字证书来评价规则。
如果第1设备中的IKE层20不能在IKE对话期间验证来自第2设备14的身份信息,那么IKE层自身可用作信息提供者。例如,IKE层20能够向策略代理24指示经验证的身份信息不能用于某一连接请求。策略代理24然后将使用该事实,来评价数据库22中的一个或多个默认策略。
在一个特定场合中,可如下使用应用程序标识符来评价IPsec策略。当它加载Winsock2时,应用程序(未示出)自动地加载分层的服务提供者DLL,以进行网络通信。分层的服务提供者散列应用程序二进制可执行文件,并在已知的应用程序的数据库中查找。然后分层的服务提供者对应用程序标识符签字,并与分组流信息(即地址、端口和协议)一起将签署的值传送给模块30。模块30建立对数据流的记录,检查应用程序标识符的有效性,并把该标识符添加到流上下文中。当策略代理24评价数据库22中的策略时,对照上下文记录中的应用程序标识符评价规定应用程序标识符的规则。
应用程序还可宣称或签署它运行的模式。例子包括在加密套接字协议层(SSL)中运行的浏览器、发送或接收消息的电子邮件(e-mail)应用程序以及访问某一域名上的web站点的浏览器。当策略代理24评价数据库22中的策略时,对照该应用程序正在运行的实际模式评价规定应用程序模式的规则。
虽然上述描述涉及对非分组流信息的使用,以在IKE对话的第1阶段期间评价策略并协商安全关联,但是在IKE对话的后续阶段也可使用非分组流信息,来评价策略和协商安全关联。
可用硬件、软件、或硬件和软件的组合来实现所述系统的各种特征。例如,可用可编程的计算机上执行的计算机程序来实现所述系统的某些方面。可用高级过程或面向对象的编程语言来实现每个程序,以与计算机系统通信。此外,可把每个这样的计算机程序存储于诸如由通用或专用可编程计算机可读的只读存储器(ROM)之类的存储媒体之中,用于当有计算机读取存储媒体时来配置和操作计算机,以执行上述功能。
其它实现处于下面的权利要求的范围之内。
Claims (33)
1.一种在第一和第二网络设备之间建立网络安全的方法,所述方法包括,在第一网络设备处:
确定与第二网络设备的安全关联是否被建立;
在第一阶段期间,当确定未建立安全关联时,从第二设备接收非分组流信息,所述非分组流信息用于实现与第二网络设备的后续通信;
根据所接收的非分组流信息评价策略规则;
在第二阶段期间,根据所述评价,将多个可选的安全性配置提议发送到第二设备;以及
将第一网络设备配置成所提议的安全配置以与第二网络设备安全地通信,其中第二网络设备也被配置成所提议的安全配置,
其中第一和第二阶段是因特网密钥交换IKE协议的阶段,
其中在同一传送中发送所述多个可选的安全性配置提议。
2.如权利要求1所述的方法,其特征在于所述非分组流信息包括对等身份信息。
3.如权利要求1所述的方法,其特征在于所述非分组流信息包括用户身份信息。
4.如权利要求3所述的方法,其特征在于包括从智能卡获得所述用户身份信息。
5.如权利要求3所述的方法,其特征在于所述非分组流信息包括生物统计数据。
6.如权利要求1所述的方法,其特征在于所述非分组流信息包括在因特网密钥交换协议对话期间获得的经验证的身份信息。
7.如权利要求6所述的方法,其特征在于所述身份信息包含于数字证书中。
8.如权利要求6所述的方法,其特征在于所述身份信息包含于Kerberos票证中。
9.如权利要求1所述的方法,其特征在于包括从网络拦截器获得所述非分组流信息。
10.如权利要求1所述的方法,其特征在于所述非分组流信息包括应用程序标识符。
11.如权利要求1所述的方法,其特征在于所述非分组流信息包括应用程序执行的模式的标识。
12.如权利要求1所述的方法,其特征在于包括根据所提议的安全性配置来配置网际协议安全层。
13.如权利要求1所述的方法,其特征在于包括将安全性配置提议的优先化列表从第一设备发送到第二设备。
14.如权利要求1所述的方法,其特征在于发送多个可选的安全性配置提议使得第二设备在所提议的可选项中选择特定的安全性配置。
15.如权利要求1所述的方法,其特征在于还包括在第二设备处在提议的可选的安全性配置中发现可接受的安全性配置。
16.如权利要求1所述的方法,其特征在于所述策略规则包括涉及因特网密钥交换层验证的身份信息的条件。
17.一种安全使能设备,包括:
协议栈;
策略规则的数据库;
策略代理,配置成:
在第一阶段期间,当确定未建立安全关联时,获得从第二设备接收的非分组流信息,所述非分组流信息用于实现与第二网络设备的后续通信,
根据所获得的信息评价存储于所述数据库中的策略规则,
在第二阶段期间,根据所述评价在单个传送中向第二设备提议多个可选的安全性配置以用于与第二设备的后续通信,
其中所述协议栈包括网际协议安全层,用于将第一网络设备配置成所提议的安全配置以与第二网络设备安全地通信,其中第二网络设备也被配置成所提议的安全配置,
其中第一和第二阶段是因特网密钥交换IKE协议的阶段。
18.如权利要求17所述的设备,其特征在于所述策略代理配置成从网络拦截器接收非分组流信息并根据所接收的信息评价存储于所述数据库中的策略规则,其中所提议的安全性配置基于所接收的非分组流信息。
19.如权利要求17所述的设备,其特征在于所述策略代理配置成如果在因特网密钥交换对话期间,第二设备同意使用所提议安全性配置,则根据所提议安全性配置来配置网际协议安全分量。
20.一种在第一和第二网络设备之间建立网络安全的方法,所述方法包括,在第一网络设备处:
确定与第二网络设备的安全关联是否被建立;
在第一阶段期间,当确定未建立安全关联时,获得来自第二设备的非分组流信息,所述非分组流信息用于实现与第二网络设备的后续通信;
根据所获得的非分组流信息评价策略规则;
在第二阶段期间,根据所述评价,在单个传送中向第二网络设备提议多个可选的安全性配置;以及
将第一网络设备配置成所提议的安全配置以与第二网络设备安全地通信,其中第二网络设备也被配置成所提议的安全配置,
其中第一和第二阶段是因特网密钥交换IKE协议的阶段。
21.如权利要求20所述的方法,其特征在于所述非分组流信息包括对等身份信息。
22.如权利要求20所述的方法,其特征在于所述非分组流信息包括用户身份信息。
23.如权利要求20所述的方法,其特征在于所述非分组流信息包括在因特网密钥交换协议对话期间获得的经验证的身份信息。
24.如权利要求23所述的方法,其特征在于所述身份信息包含于数字证书中。
25.如权利要求23所述的方法,其特征在于所述身份信息包含于Kerberos票证中。
26.如权利要求20所述的方法,其特征在于从分层的服务提供者获得所述非分组流信息。
27.如权利要求20所述的方法,其特征在于所述非分组流信息包括应用程序标识符。
28.如权利要求20所述的方法,其特征在于所述非分组流信息包括生物统计数据。
29.如权利要求20所述的方法,其特征在于所述非分组流信息包括应用程序执行的模式的标识。
30.如权利要求20所述的方法,其特征在于包括如果在因特网密钥交换对话期间,第二设备同意使用所提议安全性配置,则根据该安全性配置来配置网际协议安全层。
31.一种通信系统,包括:
第一和第二网际协议安全使能设备,其中两个设备都包括各自的协议栈,所述协议栈具有因特网密钥交换分量和网际协议安全分量;以及
网络,所述第一和第二网际协议安全使能设备可通过该网络通信,
其中所述第一网际协议安全使能设备进一步包括策略规则的数据库和策略代理,其中所述策略代理配置成:
在第一阶段期间,当确定未建立安全关联时,获得由第一网际协议安全使能设备的因特网密钥交换分量从第二网际协议安全使能设备的因特网密钥交换分量接收的非分组流信息,所述非分组流信息用于实现与第二网络设备的后续通信,
根据所获得的信息评价存储于所述数据库中的策略规则,以及
在第二阶段期间,根据所述评价在单个传送中向第二设备提议多个可选的网际协议安全性配置,以用于在因特网密钥交换对话中与第二网际协议安全使能设备的后续通信,
其中所述网际协议安全分量将第一和第二网际协议安全使能设备中的每一个配置成所提议的网际协议安全配置以相互安全地通信,其中第一和第二阶段是因特网密钥交换IKE协议的阶段。
32.如权利要求31所述的系统,其特征在于所述策略代理配置成从网络拦截器接收非分组流信息并根据所接收的信息评价存储于所述数据库中的策略规则,其中所提议的安全性配置基于所接收的非分组流信息。
33.如权利要求31述的系统,其特征在于所述策略代理配置成如果在因特网密钥交换对话期间,第二网际协议安全使能设备同意使用所提议安全性配置,则根据所提议安全性配置来配置网际协议安全分量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US60387800A | 2000-06-26 | 2000-06-26 | |
| US09/603,878 | 2000-06-26 | ||
| CN 01811769 CN100490436C (zh) | 2000-06-26 | 2001-06-07 | 使用网际协议安全性策略建立网络安全 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01811769 Division CN100490436C (zh) | 2000-06-26 | 2001-06-07 | 使用网际协议安全性策略建立网络安全 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101547203A CN101547203A (zh) | 2009-09-30 |
| CN101547203B true CN101547203B (zh) | 2015-08-05 |
Family
ID=24417297
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01811769 Expired - Fee Related CN100490436C (zh) | 2000-06-26 | 2001-06-07 | 使用网际协议安全性策略建立网络安全 |
| CN200910128351.XA Expired - Fee Related CN101547203B (zh) | 2000-06-26 | 2001-06-07 | 使用网际协议安全性策略建立网络安全 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01811769 Expired - Fee Related CN100490436C (zh) | 2000-06-26 | 2001-06-07 | 使用网际协议安全性策略建立网络安全 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8955098B2 (zh) |
| EP (1) | EP1299984B1 (zh) |
| CN (2) | CN100490436C (zh) |
| AU (1) | AU2001269774A1 (zh) |
| BR (1) | BR0111951A (zh) |
| HK (1) | HK1051274A1 (zh) |
| TW (1) | TW515182B (zh) |
| WO (1) | WO2002001827A2 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1330095B1 (en) * | 2002-01-18 | 2006-04-05 | Stonesoft Corporation | Monitoring of data flow for enhancing network security |
| JP4159328B2 (ja) * | 2002-09-11 | 2008-10-01 | Necインフロンティア株式会社 | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 |
| US7574603B2 (en) | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
| CN100518166C (zh) * | 2003-12-16 | 2009-07-22 | 鸿富锦精密工业(深圳)有限公司 | 资安护照产生及发行系统及方法 |
| CN1960559A (zh) * | 2005-11-01 | 2007-05-09 | 中兴通讯股份有限公司 | 一种在移动应用中实现隐私保护的架构及其方法 |
| US10474808B2 (en) | 2013-03-29 | 2019-11-12 | Hill-Rom Services, Inc. | Hospital bed compatibility with third party application software |
| KR20160090905A (ko) * | 2013-12-02 | 2016-08-01 | 인텔 코포레이션 | 보안 규칙 평가를 포함하는 보호 시스템 |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| CN115664646B (zh) * | 2022-09-28 | 2023-09-15 | 成都海泰方圆科技有限公司 | 一种数据备份方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5577209A (en) * | 1991-07-11 | 1996-11-19 | Itt Corporation | Apparatus and method for providing multi-level security for communication among computers and terminals on a network |
| US5950195A (en) * | 1996-09-18 | 1999-09-07 | Secure Computing Corporation | Generalized security policy management system and method |
| CA2335082A1 (en) * | 1998-06-19 | 1999-12-29 | Ssh Communications Security Ltd. | Method and arrangement for implementing ipsec policy management using filter code |
| CN1269549A (zh) * | 1999-02-23 | 2000-10-11 | 帕塞克视听公司 | 操纵计算机文件和/或程序的系统和方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5680461A (en) * | 1995-10-26 | 1997-10-21 | Sun Microsystems, Inc. | Secure network protocol system and method |
| US5784566A (en) | 1996-01-11 | 1998-07-21 | Oracle Corporation | System and method for negotiating security services and algorithms for communication across a computer network |
| US6233686B1 (en) * | 1997-01-17 | 2001-05-15 | At & T Corp. | System and method for providing peer level access control on a network |
| US5922074A (en) | 1997-02-28 | 1999-07-13 | Xcert Software, Inc. | Method of and apparatus for providing secure distributed directory services and public key infrastructure |
| US6058115A (en) | 1997-08-04 | 2000-05-02 | Motorola, Inc. | Communication method and apparatus utilizing protocol options |
| US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
| US6055236A (en) | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
| US6141686A (en) | 1998-03-13 | 2000-10-31 | Deterministic Networks, Inc. | Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control |
| US6438612B1 (en) * | 1998-09-11 | 2002-08-20 | Ssh Communications Security, Ltd. | Method and arrangement for secure tunneling of data between virtual routers |
| JP3230671B2 (ja) * | 1999-01-14 | 2001-11-19 | 日本電気株式会社 | パケット課金装置 |
| US6651168B1 (en) | 1999-01-29 | 2003-11-18 | International Business Machines, Corp. | Authentication framework for multiple authentication processes and mechanisms |
| US20040049585A1 (en) * | 2000-04-14 | 2004-03-11 | Microsoft Corporation | SERVER SIDE CONFIGURATION OF CLIENT IPSec LIFETIME SECURITY PARAMETERS |
-
2001
- 2001-06-07 BR BR0111951-6A patent/BR0111951A/pt not_active IP Right Cessation
- 2001-06-07 CN CN 01811769 patent/CN100490436C/zh not_active Expired - Fee Related
- 2001-06-07 WO PCT/US2001/018676 patent/WO2002001827A2/en active Application Filing
- 2001-06-07 EP EP01948307A patent/EP1299984B1/en not_active Expired - Lifetime
- 2001-06-07 AU AU2001269774A patent/AU2001269774A1/en not_active Abandoned
- 2001-06-07 CN CN200910128351.XA patent/CN101547203B/zh not_active Expired - Fee Related
- 2001-06-26 TW TW90115446A patent/TW515182B/zh not_active IP Right Cessation
-
2003
- 2003-05-15 HK HK03103431.8A patent/HK1051274A1/xx not_active IP Right Cessation
-
2012
- 2012-09-14 US US13/619,811 patent/US8955098B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5577209A (en) * | 1991-07-11 | 1996-11-19 | Itt Corporation | Apparatus and method for providing multi-level security for communication among computers and terminals on a network |
| US5950195A (en) * | 1996-09-18 | 1999-09-07 | Secure Computing Corporation | Generalized security policy management system and method |
| CA2335082A1 (en) * | 1998-06-19 | 1999-12-29 | Ssh Communications Security Ltd. | Method and arrangement for implementing ipsec policy management using filter code |
| CN1269549A (zh) * | 1999-02-23 | 2000-10-11 | 帕塞克视听公司 | 操纵计算机文件和/或程序的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2001269774A1 (en) | 2002-01-08 |
| US8955098B2 (en) | 2015-02-10 |
| CN1439216A (zh) | 2003-08-27 |
| TW515182B (en) | 2002-12-21 |
| EP1299984A2 (en) | 2003-04-09 |
| BR0111951A (pt) | 2003-07-29 |
| WO2002001827A2 (en) | 2002-01-03 |
| EP1299984B1 (en) | 2012-08-01 |
| WO2002001827A3 (en) | 2002-06-20 |
| CN100490436C (zh) | 2009-05-20 |
| US20130311766A1 (en) | 2013-11-21 |
| HK1051274A1 (en) | 2003-07-25 |
| CN101547203A (zh) | 2009-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Nieto et al. | Digital witness: Safeguarding digital evidence by using secure architectures in personal devices | |
| US8955098B2 (en) | Establishing network security using internet protocol security policies | |
| JP4722056B2 (ja) | 個別化およびアイデンティティ管理のための方法および装置 | |
| CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
| CN107846447A (zh) | 一种基于mqtt协议的家庭终端接入消息中间件的方法 | |
| JP4833849B2 (ja) | アイデンティティの認識のための方法およびシステム | |
| US20050114447A1 (en) | Method and system for identity exchange and recognition for groups and group members | |
| CN102104592A (zh) | 网络策略服务器之间的会话迁移 | |
| CN101183932A (zh) | 一种无线应用服务的安全认证系统及其注册和登录方法 | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN109687965A (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN104424676A (zh) | 身份信息发送方法、装置和门禁读卡器及门禁系统 | |
| CN104469736B (zh) | 一种数据处理方法、服务器及终端 | |
| CN105554018A (zh) | 网络实名验证方法 | |
| TW200425700A (en) | Policy-based connectivity | |
| CN115510492A (zh) | 一种基于智能合约的电子病历管理系统及方法 | |
| CN111383378A (zh) | 基于区块链架构的门禁识别系统信息节点互联方法 | |
| CN101364909B (zh) | 无卡设备接入个人网络的方法、装置及系统 | |
| CN117056981A (zh) | 一种数字身份管理的方法与装置 | |
| CN106254226A (zh) | 一种信息同步方法及装置 | |
| CN110572352A (zh) | 一种智能配网安全接入平台及其实现方法 | |
| CN102196428B (zh) | 无卡设备接入个人网络的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150805 Termination date: 20170607 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |