CN101911639B - 保护双向通信信道的方法及实现该方法的装置 - Google Patents
保护双向通信信道的方法及实现该方法的装置 Download PDFInfo
- Publication number
- CN101911639B CN101911639B CN2008801235276A CN200880123527A CN101911639B CN 101911639 B CN101911639 B CN 101911639B CN 2008801235276 A CN2008801235276 A CN 2008801235276A CN 200880123527 A CN200880123527 A CN 200880123527A CN 101911639 B CN101911639 B CN 101911639B
- Authority
- CN
- China
- Prior art keywords
- data
- network
- module
- filtration step
- transferred
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
- Transceivers (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于保护位于至少网络N1和安全等级低于网络N1的网络N2之间的双向通信信道的方法,以及实现该方法的装置。该方法包括至少以下步骤:限定一种或多种被授权从N1传输到N2的数据类型;根据该数据类型,将数据引导到加密/解密模块或过滤模块。本发明特别用于在具有不同安全等级的多个网络之间建立通信。
Description
技术领域
本发明涉及一种保护双向通信信道的方法及实现该方法的装置。本发明显著地能够在具有不同安全等级的多个网络之间建立通信。
背景技术
关于具有不同安全等级的网络之间的通信的安全标准,通常造成与所述网络之间的协同工作能力的需要以及数据传输方面所需的性能相矛盾的约束。
举例来说,公司内部网络经授权从外部网络接收一定的数据,但是来自内部网络的数据不能以非加密的形式传输到外部网络。因此,例如,如果通过中间公共网络——例如互联网——通信的两个公司网络想要交换机密信息,要在这些公司网络的每一个输出端放置加密/解密装置。所有数据在发送公司网络的输出端被加密,这些数据通过接收公司网络被解密,以此方式使得没有源自公司网络的数据以非加密的形式传输到中间公共网络。
在一方面,为了能够在上行链路方向上传输数据,即从外部网络到内部公司网络,换言之,从低敏感度网络到更高敏感度等级的网络,数据传输协议通常要求在下行链路方向上传输数据,即从内部网络到外部网络。事实上,除了待传输的有用数据之外(通常称为“用户通信计划”的数据组),在通过该协议的数据传输管理中还固有地包含信令和控制数据,所述数据必须同时在上行链路和下行链路方向上传输。该信令和控制数据,对于IP(互联网协议)和以太网协议来说显著存在,其为例如接收确认或优先权标记器,从而在数据传输会话期间管理服务质量。另一方面,不论数据的类型如何,应用于该数据的处理(总加密)是一样的,这在结合了语音、数据或视频的多媒体通信信道的开发环境中,变得越来越难。
此外,为了从某些基本服务例如服务管理质量中获益,必须建立加密的双向通信信道,或者授权要在受保护网络和中间公共网络之间传输的信令和/或控制数据。
此外,缺少使数据以受保护方式在具有不同安全等级的网络之间交换的装置,也导致了设备及相关联的管理资源的重复。例如,每个网络必须包括域名服务器、全局时钟服务器或目前为非机密的但是对其操作是必要的任何其他类型的服务器。此外,不能通过加密/解密装置来对公共网络的状态进行诊断。例如,不可能向公共网络发送指示在受保护网络上出现的事件的信号来作为简单的故障警告,该信号固有地为非机密的,不能从受保护网络传输到具有更低的保护等级的网络。
可选的解决方案包括授权所选的特定类型的数据以非加密形式且不进行控制的通过公共网络进行传输,换言之,为特定类型的数据建立额外的通信信道。然而,该解决方案存在风险,因为攻击者能够利用该信道来造成信息从受保护网络泄露。
发明内容
本发明的一个目的是提出一种用于改善具有不同安全等级的网络之间的协同工作能力的手段,同时限制危及敏感数据安全的风险。为达此目的,本发明的主题是一种保护方法,用于保护至少在网络N1和安全等级低于网络N1的网络N2之间的双向通信信道,其特征在于该保护方法至少包括以下步骤:
-限定被授权从N1传输到N2的一种或多种数据类型;
-对于从N1传输到N2的数据
-如果该数据是被授权在N1和N2之间传输的类型,将该数据
路由到第一过滤步骤,否则,将给数据路由到加密步骤,
-如果该数据被路由到第一过滤步骤:
○储存与该数据相关联的内容
○对该数据应用一个或多个分析过滤器以防止建立隐藏通信信道,
-对于从N2传输到N1的数据:
-如果该数据是被授权在N1和N2之间传输的类型,将该数据路由到第二过滤步骤,否则将该数据路由到解密步骤;
-如果该数据被路由到第二过滤步骤:
○将该数据的内容与在第一过滤步骤期间储存的内容进行对比,如果内容不一致,则阻止该数据,
○否则,对该数据应用一个或多个分析过滤器。
根据一个实施例,所述过滤步骤包括数据的语法分析阶段,所述阶段根据用于传输该数据的协议检查数据的格式的有效性。
根据一个实施例,所述过滤步骤包括数据的语意分析阶段,所述阶段检查从网络N2传输到网络N1的响应相对于由网络N1传输到网络N2的请求的一致性。
根据一个实施例,所述过滤步骤包括数据的行为分析阶段,所述阶段根据这两个网络之间的互联的预定场景,评估在网络N1和网络N2之间交换的数据无害的可能性,互联场景基于数据传输协议控制器的状态来限定这些状态之间转换的期望的持续时间。
根据一个实施例,所述过滤步骤包括对由第一协议格式化的数据进行转录的阶段,从而将其重译为由第二协议格式化的数据。
本发明的主题还包括一种建立双向通信信道的装置,该双向通信信道建立在至少第一网络N1和安全等级低于第一网络N1的第二网络N2之间,该装置包括加密模块和解密模块,该装置至少包括第一路由模块、第二路由模块和过滤模块,第一路由模块将源自第一网络N1的数据包引导到加密模块或者过滤模块,第二路由模块将源自第二网络N2的数据包引导到解密模块或过滤模块,该过滤模块实现上文所述的方法。
附图说明
以下将通过非限制的示例,并且参考附图详细描述其他特征,其中:
-图1示出了通过应用根据本发明的保护方法,将数据从第一网络传输到安全等级比第一网络低的第二网络的步骤的概要图(下行链路方向);
-图2示出了通过应用根据本发明的保护方法,在与图1所示的相同网络之间以相反方向传输数据的步骤的概要图(上行链路方向);
-图3是实现根据本发明的保护方法的装置的结构示例;
-图4示出了利用根据本发明的保护装置使两个受保护网络通过中间公共网络彼此通信的概要图。
为了清楚起见,不同附图中以相同附图标记标注的元件是相同的。
具体实施方式
图1示出了通过应用根据本发明的方法,将数据从第一网络111传输第二网络112的步骤的概要图,其中第二网络112的安全等级比第一网络低。
首先,通过路由模块102接收源自第一网络111的数据101,该路由模块将所述数据101引导到加密步骤103或过滤步骤104。由路由模块102根据数据101的类型,来决定将数据传输到这两个步骤103,104中的哪一个。数据101的类型是通过由传输协议分析与数据相关联的元数据(metadata)来确定。例如,检查与OSI(开放系统互连“OpenSystem Interconnection”)模型的层3相关联的IP协议的元数据,例如发送器和/或接收器或采用的通信端口的IP地址,来确定路由模块102必须将数据101引导到步骤103和104中的哪一个。事实上,在本示例中,一些地址和/或通信端口与服务相关联,所述服务被授权通过第二网络112经由不同的通信信道传输信息,其他地址和/或通信端口用于传输敏感信息,因此需要系统化加密。
例如,由第一网络111发送到位于第二网络112中的域名服务器的请求被引导到过滤步骤104,而不引导到加密步骤103,因为包含在该请求中的数据可以不被认为是非敏感的。该示例可拓展到多个服务器——例如,带宽资源预留服务器、目录、全局时钟服务器——显著地取决于所关心的网络上施加的安全约束。因此该方法可看作具有受控的不透明性的加密方法,根据被授权通过过滤步骤104传输信息的服务部分,以及根据使用情况和相关联的威胁的等级来配置不透明性等级。对于需要高保护等级的网络,不透明性当然保持在高等级。可进一步通过不授权任何通过过滤步骤104的传输,来获得整体加密的传统情况。换言之,通过强迫路由模块102将接收到的数据系统地引导到加密步骤103。
然而,在具有不同安全等级的网络之间传输数据的授权必须伴随着保护措施。事实上,可能转移显得无害的通信从而建立隐藏的或辅助的通信信道。特别地,对于数据包序列,每个单独的数据包可能不包含敏感性信息,然而这些连续地数据包可能导致产生通信代码。例如,在将相同类型的请求序列从第一网络111传输到第二网络112时,每个请求之间出现的或多或少的长时间间隔可能构成代码,利用该代码可能导致信息泄漏到第一网络111之外。例如,在对数据包进行标记来管理所述包的路由中的服务质量的情况下,在包序列传输期间服务质量标记器的值中的异常变化也可构成隐藏的通信信道。
第二,如果将数据引导到加密步骤103,由所述步骤产生的加密数据101’被传输到第二网络112;如果数据被引导到过滤步骤104,该步骤将进行处理以取代攻击方建立隐藏通信信道的任何企图。因此该处理产生的数据101”是已经从可能发生的辅助信道被过滤和净化的数据。在本示例中,过滤步骤104的处理包括语法分析阶段、语义分析阶段和行为分析阶段。在最开始确定数据的类型从而初始化每个分析阶段的参数。
语法分析检查要传输的数据是否严格符合标准,例如RFC(意见请求“Request For Comments”)文档或采用的协议的标准,且检查没有字段转移自其对象(object)。特别地,检测字段值中的异常。例如,在DNS(域名系统“Domain Name System”)请求的情况下,应确保待解析的主机名称与RFC1034和1035描述的格式相符合。特别地,假定要解析的主机名称是大小写不敏感的,也即是,可以是小写或者大写,根据一实施例,过滤步骤104可以重写(overwrite)大写或小写请求,或通过将两者结合来减少所用排版(typography)中的隐藏信道。
语义分析实现多个功能。在一方面,检查针对给定协议的可能状态的控制器,以及所述状态的串联的一致性。另一方面,语义分析检测任何请求或对该请求的响应中潜在的隐藏含义。此外,语义分析管理连接内容,确保源自较不敏感的第二网络112的响应确实与传输自更敏感的第一网络111的激活请求相关联。
根据一个实施例,除了确保响应对应于例如可由一对(IP源地址-源端口;IP目的地地址-目的地端口)限定的激活内容之外,语义分析检查响应是否有效,也即是,响应对应于在协议方面可能的响应情况。在由第一网络111传输到第二网络112上的DNS服务器的DNS(“域名系统”)请求的例子中,第一网络111期望只有一个响应。此外,该响应必须与传输的请求一致。如果DNS请求是为了获得主机名的解析,语义分析阶段必须检查获得的响应是否与提交的请求一致(如果解析成功,必须在此获得被解析的主机的IP地址),以及例如检查获得的IP地址是否对应于实际上可联系的主机,也即是,通过简单的IP路由可访问。
行为分析优选地在上文提到的语法和语义分析阶段之后进行。行为分析阶段基于认知处理,也即是,一种用于给出信息交换处理含义的结构。为了描述这一过滤分析中的新方法,可采用互联的场景的可能示例,其中每个场景可对应于给定协议的预定使用,不仅考虑通信的连续方面(sequential aspect),也考虑暂时方面(temporal aspect)。例如可采用统计采样来检查针对选定的协议,在特定的时间周期期间第一网络111和第二网络112之间传输的数据量。然后异常高的数据量可表示为攻击。相似地,可分析从第一网络111到第二网络112的第一数据传输和所述网络之间的第二数据传输之间的时间间隔。因此,在通过协议的数据交换期间,如果协议控制器的两个状态之间的转换持续时间与期望的持续时间相比异常短或异常长,则触发攻击警报。
例如,在分析DNS请求的情况下,相同的用户通常可以接受连续发送几次DNS请求以解析多个域名,即便在非常短的时间内。相反地,如果相同的用户通过例如其IP源地址识别为在比其DNS高速缓存的持续时间短的时间内,为了解析相同DNS主机的IP地址而连续发送几次请求,那么可能被怀疑为恶意行为,因为其工作站通常应该将解析的IP地址保留限定的、用参数表示的时间内(通常几分钟)。为了限制虚假警报,建议限定可用参数表示的阈值,基于该阈值来建议触发警报。在与针对DHCP请求(动态主机配置协议“Dynamic HostConfiguration Protocol”,允许在有限的租期内分配IP地址)的行为分析相关的不同示例中,对于例如通过其MAC(以太网)地址识别的客户主机,通常可以接受每天几次发送DHCP请求以获得IP地址(考虑到,例如网络缆线的多个支路),然而服务器主机将只在更新其租期或重启时提交一次该请求。
如果检测到异常,则不将数据传输到第二网络112。在检测到异常时,可进行其他处理操作。例如,可触发警报以阻止与该包含在异常中的数据同类的数据在不同敏感度的网络之间传输。这可以通过改变路由模块102的配置来实现。
根据一不同的实施例,过滤步骤104只执行上文所述的分析阶段的一部分,例如,只执行语法分析和语义分析阶段。
根据一个实施例,过滤步骤104也实现数据转录步骤,以减少信息从第一网络111泄露的风险。因此,在由第一网络111传输的请求序列的情况下(例如SIP(会话初始协议“Session Initialization Protocol”)请求),将所述序列中的一些请求用具有相似功能的不同协议的形式重新表示(例如,SIP请求重新转换为H.323请求)以消除冗余信息和/或改变请求的格式,从而提高建立隐藏通信信道的难度。
图2示出了数据在与图1所示的相同网络之间以相反方向传输的步骤的概要图。通过应用根据本发明的保护方法,将数据201从第二网络112传输到第一网络111,其中第一网络具有比第二网络更高的安全等级。
首先,通过路由模块202接收数据201,路由模块202将数据引导到解密步骤203或内容检查步骤204。
如果数据201被加密(如果是例如通过IPSec(互联网协议安全“Internet Protocol Security”)协议传输的数据),则将该数据201引导到解密步骤203。如果正确地执行了解密,那么将从该解密步骤203得出的解密后的数据201’传输到第一网络111。
相反地,如果数据201没有被加密,则该数据被引导到内容检查步骤204。该步骤分析在过滤步骤104(图1)期间储存的内容参数方面的数据的内容。这包括,例如,对与OSI模型层3有关的字段进行检查,例如,检查用于管理服务质量的DSCP(区别服务代码点“Differentiated Services Code Point”)字段,或检查MTU(最大传输单元“Maximum Transmission Unit”)尺寸以及授权的MTU尺寸变化。也可包括应用层(OSI模型中的层7)中的检查,例如分析RSVP(源预留协议“Resource ReSerVation Protocol”)源预留请求或DNS请求。如果该内容与先前在过滤步骤104中记录的内容不一致,则阻止该数据206,并触发警报。例如,如果尽管没有请求从第一网络111传输到第二网络112(没有建立内容),仍然从第二网络112接收到了响应,则阻止该响应。否则,如果该内容与记录的内容一致,则将数据201传输到过滤步骤205,该过滤步骤执行上文参照图1所述的分析阶段。
图3示出了实现根据本发明的方法的装置的结构的示例。装置300插在机密网络331和公共网络312之间。其包括第一路由模块301、加密模块302、解密模块303、过滤模块304和第二路由模块305。
该装置300包括连接到机密网络311的第一输入端300a,连接到公共网络312的第二输入端300a’,连接到机密网络311的第一输出端300b和第二输出端300c,连接到公共网络312的第三输出端300b’和第四输出端300c’。
第一路由模块301包括输入端301a和两个输出端301b、301c,其输入端301a连接到装置300的第一输入端300a。第二路由模块305包括输入端305a和两个输出端305b、305c,其输入端305a连接到装置300的第二输入端300a’。
加密模块302包括连接到第一路由模块301的第一输出端301b的输入端302a,以及连接到装置300的第三输出端300b’的输出端302b。解密模块303包括连接到第二路由模块305的第一输出端305b的输入端303a,以及连接到装置300的第一输出端300b的输出端303b。加密模块302和解密模块303基于常规的密码技术。
过滤模块304包括两个输入端304a、304b和两个输出端304c、304d,其第一输入端304a连接到第一路由模块301的第二输出端301c,其第二输入端304b连接到第二路由模块305的第二输出端305c,其第一输出端304c连接到装置300的第二输出端300c,其第二输出端304d连接到装置300的第四输出端300c’。
过滤模块304主要基于过滤器数据库,每个过滤器对应于待检查的一类数据。每个过滤器实现过滤步骤104的一个或多个分析阶段(图1)。过滤器由例如一组参数和/或软件单元构成。一旦识别了数据类型,过滤模块304加载并执行与该类型的待检查数据相对应的参数和可能的软件单元。
例如,数据库包括用于检查DHCP请求的过滤器、用于DNS请求的过滤器、和用于采用RSVP协议(源预留协议“Resource ReSerVationProtocol”)的源预留请求的过滤器。此外,非常期望有开放和模块化的结构,这样的结构能够集成新的过滤器和/或将过滤器从数据库中移除,而不会对其他过滤器的操作产生负面影响。因此,可逐个过滤器地进行安全审批,仅通过审批的过滤器可以集成到过滤器数据库中。根据一不同的实施例,可通过电子电路,例如在可编程元件上实现一些过滤器。
此外,保护装置300优选地安装在受控空间,例如,在机密网络311中,从而物理地保护其第二输入端300a’及其第二输出端300c不受潜在的攻击。
有利地,保护装置300被物理屏蔽,以显著地避免通过辅助信道的攻击,特别是通过分析由该装置消耗的电流和该装置发射的电磁辐射。
图4示出了根据本发明的装置的应用的概要图,其用于使两个受保护网络410、402通过中间公共网络403彼此通信。
第一公司网络401必须与第二公司网络402通信。这两个网络401、402通过公共网络403通信。这两个公司网络401、402上出现的数据是机密的,这些数据不能以非加密的方式在公共网络403上传输。因此通过在公司网络401、402每个的输出端设置根据本发明的保护装置411、412来建立这两个公司网络401、402之间的受保护的链接,以此方式公司网的所有进来和出去的数据都被加密/解密411a、412a或过滤411b、412b。因此根据本发明的保护装置能够建立与常规的加密通信信道平行的通信信道,该平行的通信信道授权有在公司网络401、402和公共网络403之间的受控的互通性。
在两个公司网络401、402已经通过常规保护链接连接的情况下,该常规保护链接包括在每个公司网络401、402的输出端具有加密器,通常能够用根据本发明的保护装置替代每个加密器。因此,本发明的一个优点是其容易实现于现有的保护结构中。
根据本发明的装置包括多个优点。其使得设备能够分享,并且人力和操作程序得以简化。此外,通过实施在具有不同安全等级的网络之间的信令数据的受控交换的方案,其在负载变化或周围网络拓扑变化的情况下,使具有更高的安全等级的网络具有更高的响应性。
Claims (6)
1.一种保护方法,用于保护位于至少网络N1和安全等级低于网络N1的网络N2之间的双向通信信道,其特征在于该保护方法包括至少以下步骤:
-限定被授权从N1传输到N2的一种或多种数据类型;
-对于从N1传输到N2的数据:
-如果该数据是被授权在N1和N2之间传输的类型,则将该数据路由到第一过滤步骤(104),否则将该数据路由到加密步骤(103),
-如果该数据被路由到第一过滤步骤(104):
○储存与该数据相关联的内容,
○对该数据应用一个或多个分析过滤器以防止产生隐藏通信信道,
-对于从N2传输到N1的数据:
-如果该数据是被授权在N1和N2之间传输的类型,将该数据路由到第二过滤步骤(204,205),否则,将该数据路由到解密步骤(203);
-如果该数据被路由到第二过滤步骤(204.,205):
○将该数据的内容与在第一过滤步骤(104)中储存的内容进行对比,如果内容不一致,则阻止该数据,
○否则,对该数据应用一个或多个分析过滤器。
2.根据权利要求1所述的保护方法,其特征在于过滤步骤(104)包括数据的语法分析阶段,所述阶段根据用于传输该数据的协议检查该数据的格式的有效性。
3.根据前述权利要求中任意一项所述的保护方法,其特征在于所述过滤步骤(104)包括数据的语义分析阶段,所述阶段检查从网络N2传输到网络N1的响应相对于由网络N1传输到网络N2的请求的一致性。
4.根据权利要求1所述的保护方法,其特征在于过滤步骤(104)包括数据的行为分析阶段,所述阶段根据针对用于网络N1和网络N2之间的互联的预定场景,评估在这两个网络之间的数据交换无害的可能性,互联场景基于由数据传输协议定义的控制器的状态来限定这些状态之间的转换的期望持续时间。
5.根据权利要求1所述的保护方法,其特征在于过滤步骤(104)包括对由第一协议格式化的数据进行转录的阶段,从而将其重译为由第二协议格式化的数据。
6.一种建立双向通信信道的装置,该双向通信信道位于至少第一网络N1和安全等级低于第一网络N1的第二网络N2之间,该装置包括加密模块(302)和解密模块(303),其特征在于该装置包括至少第一路由模块(301)、第二路由模块(305)和过滤模块(304),该第一路由模块(301)将源自第一网络N1的数据包引导到加密模块(302)或过滤模块(304),第二路由模块(305)将源自第二网络N2的数据包引导到解密模块(303)或过滤模块(304),过滤模块(304)实现如前述权利要求中任意一项所述的保护方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0708397A FR2924552B1 (fr) | 2007-11-30 | 2007-11-30 | Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede |
| FR0708397 | 2007-11-30 | ||
| PCT/EP2008/066316 WO2009068603A2 (fr) | 2007-11-30 | 2008-11-27 | Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101911639A CN101911639A (zh) | 2010-12-08 |
| CN101911639B true CN101911639B (zh) | 2013-04-17 |
Family
ID=39589486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801235276A Expired - Fee Related CN101911639B (zh) | 2007-11-30 | 2008-11-27 | 保护双向通信信道的方法及实现该方法的装置 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US8443190B2 (zh) |
| EP (1) | EP2215801B1 (zh) |
| CN (1) | CN101911639B (zh) |
| AT (1) | ATE505897T1 (zh) |
| AU (1) | AU2008328833B2 (zh) |
| DE (1) | DE602008006261D1 (zh) |
| ES (1) | ES2364946T3 (zh) |
| FR (1) | FR2924552B1 (zh) |
| IL (1) | IL206067A (zh) |
| NZ (1) | NZ586270A (zh) |
| WO (1) | WO2009068603A2 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055733B (zh) * | 2009-10-30 | 2013-08-07 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| KR101630755B1 (ko) * | 2010-01-15 | 2016-06-15 | 삼성전자주식회사 | 모바일 디바이스 간 보안 통신 방법 및 장치 |
| CN102196012B (zh) * | 2010-03-17 | 2013-08-07 | 华为技术有限公司 | 服务开放方法及系统、服务开放服务器 |
| FR2962868B1 (fr) | 2010-07-13 | 2012-08-10 | Thales Sa | Procede et dispositif de securisation d'un canal de communication bidirectionnel inter-niveaux. |
| US9952909B2 (en) * | 2012-06-20 | 2018-04-24 | Paypal, Inc. | Multiple service classes in a shared cloud |
| US10756891B2 (en) | 2014-04-09 | 2020-08-25 | The Boeing Company | Secure data communication |
| US10171238B2 (en) * | 2014-04-09 | 2019-01-01 | The Boeing Company | Secure data transmission using quantum communication |
| RU2598337C2 (ru) * | 2014-12-19 | 2016-09-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выбора средств перехвата данных, передаваемых по сети |
| DE102015214993A1 (de) * | 2015-08-06 | 2017-02-09 | Siemens Aktiengesellschaft | Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| CN107295488A (zh) * | 2017-06-15 | 2017-10-24 | 合肥工业大学 | 一种基于文本重要属性标示法的短消息传输系统及其方法 |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11388072B2 (en) * | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
| US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| CN114301693B (zh) * | 2021-12-30 | 2023-03-14 | 同济大学 | 一种用于云平台数据的隐信道安全防御系统 |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| CN115118490B (zh) * | 2022-06-24 | 2024-04-30 | 北方兵装技术(辽宁)有限公司 | 一种基于物联网的数据保密性传输方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1717912A (zh) * | 2003-06-17 | 2006-01-04 | 国际商业机器公司 | 用于网络之间的通信的安全检查程序 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6993582B2 (en) * | 1996-07-30 | 2006-01-31 | Micron Technology Inc. | Mixed enclave operation in a computer network |
| US7191252B2 (en) * | 2000-11-13 | 2007-03-13 | Digital Doors, Inc. | Data security system and method adjunct to e-mail, browser or telecom program |
| US7549162B2 (en) * | 2004-12-06 | 2009-06-16 | At&T Intellectual Property I, L.P. | Methods of providing security for data distributions in a data network and related devices, networks, and computer program products |
-
2007
- 2007-11-30 FR FR0708397A patent/FR2924552B1/fr not_active Expired - Fee Related
-
2008
- 2008-11-27 DE DE602008006261T patent/DE602008006261D1/de active Active
- 2008-11-27 EP EP08853480A patent/EP2215801B1/fr not_active Not-in-force
- 2008-11-27 AU AU2008328833A patent/AU2008328833B2/en not_active Ceased
- 2008-11-27 CN CN2008801235276A patent/CN101911639B/zh not_active Expired - Fee Related
- 2008-11-27 NZ NZ586270A patent/NZ586270A/en not_active IP Right Cessation
- 2008-11-27 US US12/745,555 patent/US8443190B2/en not_active Expired - Fee Related
- 2008-11-27 ES ES08853480T patent/ES2364946T3/es active Active
- 2008-11-27 WO PCT/EP2008/066316 patent/WO2009068603A2/fr active Application Filing
- 2008-11-27 AT AT08853480T patent/ATE505897T1/de not_active IP Right Cessation
-
2010
- 2010-05-30 IL IL206067A patent/IL206067A/en not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1717912A (zh) * | 2003-06-17 | 2006-01-04 | 国际商业机器公司 | 用于网络之间的通信的安全检查程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2924552B1 (fr) | 2009-11-20 |
| FR2924552A1 (fr) | 2009-06-05 |
| AU2008328833A1 (en) | 2009-06-04 |
| US20110150220A1 (en) | 2011-06-23 |
| IL206067A (en) | 2013-11-28 |
| US8443190B2 (en) | 2013-05-14 |
| EP2215801A2 (fr) | 2010-08-11 |
| DE602008006261D1 (de) | 2011-05-26 |
| WO2009068603A2 (fr) | 2009-06-04 |
| NZ586270A (en) | 2011-12-22 |
| ES2364946T3 (es) | 2011-09-19 |
| AU2008328833B2 (en) | 2013-01-17 |
| CN101911639A (zh) | 2010-12-08 |
| IL206067A0 (en) | 2010-11-30 |
| WO2009068603A3 (fr) | 2009-08-13 |
| ATE505897T1 (de) | 2011-04-15 |
| EP2215801B1 (fr) | 2011-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101911639B (zh) | 保护双向通信信道的方法及实现该方法的装置 | |
| CN103491072B (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| CN108965215B (zh) | 一种多融合联动响应的动态安全方法与系统 | |
| CN103297437B (zh) | 一种移动智能终端安全访问服务器的方法 | |
| US20060190997A1 (en) | Method and system for transparent in-line protection of an electronic communications network | |
| CN103875207A (zh) | 网络使用者的识别与验证 | |
| CN110121159B (zh) | 车联网场景下的轻量级rfid安全认证方法、车联网通信系统 | |
| Oyler et al. | Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors | |
| Zou et al. | The study of secure CAN communication for automotive applications | |
| US8656462B2 (en) | HTTP authentication and authorization management | |
| CN107204918A (zh) | 一种云安全网关及云安全系统 | |
| JP2004220120A (ja) | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 | |
| CN205647581U (zh) | 一种云安全网关及云安全系统 | |
| CN107204917A (zh) | 一种云安全网关及云安全系统 | |
| KR102308248B1 (ko) | 양자난수 기반의 양자암호화칩이 탑재된 비화게이트웨이 및 이를 이용한 IoT디바이스간 비화통신 서비스 제공방법 | |
| CN205647582U (zh) | 一种云安全网关及云安全系统 | |
| CN102045326A (zh) | 文档安全控制方法、装置及系统 | |
| CN108282337A (zh) | 一种基于可信密码卡的路由协议加固方法 | |
| KR101578910B1 (ko) | 이종의 통신 인터페이스를 갖는 영상 감시 시스템의 2.5계층 보안 시스템 | |
| CN116074028A (zh) | 加密流量的访问控制方法、装置及系统 | |
| CN209419652U (zh) | 一种隔离网闸设备 | |
| Kleberger et al. | Securing vehicle diagnostics in repair shops | |
| CN111783158A (zh) | 一种保障电子合同安全的方法 | |
| RU2163745C2 (ru) | Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования | |
| CN108377365B (zh) | 基于视频安全接入路径的视频监控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130417 Termination date: 20181127 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |