CN102612820B - 基于证书属性的ip安全证书交换 - Google Patents
基于证书属性的ip安全证书交换 Download PDFInfo
- Publication number
- CN102612820B CN102612820B CN201080051233.4A CN201080051233A CN102612820B CN 102612820 B CN102612820 B CN 102612820B CN 201080051233 A CN201080051233 A CN 201080051233A CN 102612820 B CN102612820 B CN 102612820B
- Authority
- CN
- China
- Prior art keywords
- certificate
- attribute
- end points
- ipsec
- district
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种体系结构提供了基于证书属性的因特网协议安全(IPsec)证书交换。IPsec端点可以通过参考证书属性来确认另一IPsec端点证书的安全上下文。通过使用证书属性、而不是单单使用证书根来促进IPsec证书交换,现在可以使用单个证书机构来构建多个隔离的网络区,而不需要每个区一个证书机构。此外,在IPsec证书交换期间使用证书属性这一能力可用于诸如QoS(服务质量)之类的更集中的通信。可以利用证书属性来标识出端点的安全上下文。IPsec证书使用可以锁定到单个或一组IP。
Description
背景
因特网协议安全(IPsec)提供了IP分组的认证和加密服务、以及通信对等体的相互认证。两个对等端点之间的IPsec通信通常包括两个阶段:相互认证和协商通信量保护参数;以及将所述保护参数应用于对等体之间的通信量(例如加密和/或认证)。在第一阶段,用于对等体彼此认证的一种技术是通过使用证书。向该连接的每个对等端点都提供了证书,该证书授权相应端点参与同其他端点的IPsec会话。为了使两个端点建立基于证书的IPsec会话,这两个机器都需要具有来自共同的可信证书机构的证书。
在一些数据中心中,建立多个隔离上下文是合乎需要的。例如,ISP(因特网服务提供商)可能具有多个顾客并且需要为每个顾客提供安全隔离区。为了利用当前基础设施实现该隔离,ISP为每个区部署证书机构。多个证书机构的部署和维护是耗时和劳动密集的过程。
概述
下面提供了简化的发明内容,以便提供对此处所描述的一些新颖实施例的基本理解。本概述不是广泛的概览,并且它不旨在标识关键/重要元素或描绘本发明的范围。其唯一目的是以简化形式呈现一些概念,作为稍后呈现的更具体实施例的序言。
所公开的体系结构提供了基于证书属性的因特网协议安全(IPsec)证书交换。这使得一个IPsec端点能够通过参考证书属性来作为证书根的补充以确认另一IPsec端点证书的安全上下文。通过使用证书属性、而不是单单使用证书根来促进IPsec证书交换,现在使用单个证书机构来构建多个隔离的网络区是可能的,而不需要每个区一个证书机构。
此外,在IPsec证书交换期间使用证书属性这一能力可用于更集中的通信。例如,可以使用QoS(服务质量)字段来向一个端点赋予比另一端点更高的优先级。
此外,可以在IPsec证书交换过程期间利用证书属性来标识出端点的安全上下文。例如,证书可以包含作为安全上下文的唯一ID(标识符)的属性。当接收IPsec端点从另一端点接收到请求时,该接收端点可以确认:安装在当前机器上的证书的安全上下文与请求者的证书的上下文的安全上下文相同。
另外,IPsec证书使用可以锁定到单个IP或一组IP。IPsec证书中的属性之一可以是其可用于的IP地址。这防止了证书被复制并重用在具有不同IP地址的另一机器上。
为了实现上述及相关目的,本文结合下面的描述和附图来描述某些说明性方面。这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。结合附图阅读下面的详细描述,其它优点和新颖特征将变得显而易见。
附图说明
图1示出根据所公开的体系结构的计算机实现的安全系统。
图2示出了包括用于在多个区上进行证书生成和管理的证书机构的安全系统。
图3示出了包括用于在单个区的子区内进行证书生成和管理的证书机构的安全系统。
图4示出了可以部署在数字证书中以用于IPsec通信的示例性证书属性。
图5示出一种计算机实现的安全方法。
图6示出图5的方法的其它方面。
图7示出了用于将IPsec证书处理成IP地址的方法。
图8示出根据所公开体系结构的可用于为IPsec通信执行属性处理的计算系统的框图。
图9示出了为IPsec通信处理证书属性的计算环境的示意框图。
详细描述
所公开的体系结构引入了基于证书属性的IPsec(因特网协议安全)证书交换。这使得每个都具有证书的两个IPsec端点能够通过参考证书属性来作为证书根的补充以确认另一方的安全上下文。多个隔离网络区的创建现在可以使用单个证书机构来实现,而不是每个区都需要一个证书机构。
现在将参考附图,全部附图中相同的附图标记用于指代相同的元素。在下面的描述中,为了进行说明,阐述了很多具体细节以便提供对本发明的全面理解。然而,显而易见,可以没有这些具体细节的情况下实施各新颖实施方式。在其他情况下,以框图形式示出了各个公知的结构和设备以便于描述本发明。本发明将涵盖落入所要求保护的主题的精神和范围内的所有修改、等效方案和替换方案。
图1示出根据所公开的体系结构的计算机实现的安全系统100。系统100包括本地端点104的通信组件102,该通信组件102从远程端点108接收数字证书106。通信组件102可以至少包括用于发送和接收数据分组的硬件和/或软件。数字证书106包括证书属性。系统100还可以包括本地端点104的安全组件110,该安全组件110处理所述证书属性中的一个或多个以确认与远程端点108的IPsec通信。
换言之,系统100使用证书属性、而不是单单基于根证书来促进IPsec期间的对等证书确认。每个对等证书都包括描述该证书的安全上下文的属性。例如,IPsec证书中的属性之一可以是顾客ID。
在端点之间的IPsec证书交换(本地端点104将自己的证书112发送给远程端点108)期间,每个端点都可以检查由对等体呈现的证书的属性并且对建立IPsec会话进行判定。在上面的示例中,如果由对等体呈现的证书包含相同的顾客ID,则允许IPsec会话。然而,两个证书(远程证书106和本地证书112)仍然需要由单个机构来签发。无论所部署的隔离上下文的数目如何,该解决方案都利用仅仅一个证书机构。
另一方面是通过将IPsec证书锁定到特定一个或多个IP地址来增加安全性的能力。例如,证书可以包括打算在上面使用该证书的物理网络IP地址(或一组地址)。当打开IPsec连接时,每个端点都将另一端点正在使用的实际IP地址与所呈现的证书中的IP地址列表相比较。如果该另一端点的IP地址在该列表上,则该连接可以继续进行。如果该地址未在该列表上,则该连接将失败,因为这可能指示劫持尝试,其中攻击者例如设法将证书从合法机器复制到了不同(未经授权)的机器。所公开的体系结构提供了检测这样的攻击的能力,由此增加了该解决方案的总体安全性。
如前面指出的那样,安全组件110还可以使用根证书来确认IPsec通信。数字证书106(以及证书112)包括定义该数字证书的安全上下文的一个或多个证书属性。附加地,该数字证书可以锁定到特定证书属性,比如特定的地址或一组地址。安全组件110可以根据属性优先级来处理证书属性。
换言之,可以向一个属性赋予比另一个属性或一组属性更高的权重。例如,可以使用QoS(服务质量)属性来向一个端点赋予比另一端点更高的优先级。属性分析过程还可以包括:将证书属性与预定的一组属性相比较,并且如果所有属性都匹配,则IPsec会话可以建立;然而,如果三个中仅有两个匹配,则该会话失败,或者以降低的通信等级进行。
所述一个或多个证书属性可以包括代理系统的IP地址,其中通过所述代理系统,端点进行通信和/或对区进行定位。注意,对等远程端点108也可以包括与本地端点104类似的用于接收和处理本地数字证书112或远程端点108从其他对等端点接收到的其他证书的组件(例如通信组件和安全组件)。
图2示出了安全系统200,其包括用于在多个区上进行证书生成和管理的证书机构202。证书机构202现在可以是被部署来为多个区上的IPsec通信生成和管理(签发)数字证书的单个(唯一的)机构。在此,系统200包括两个区:第一区(区1)和第二区(区2)(但是可以采用多得多的区)。第一区包括多个端点204(端点11、…、端点1s)(给端点204中的每个都签发了数字证书),比如第一区端点206接收和利用第一区证书208(数字证书11)。类似地,第二区包括多个端点210(端点21、…、端点2T)(给端点210中的每个都签发了数字证书),比如第二区端点212接收和利用第二区证书214(数字证书21)。
证书机构202可以是通过网络216向第一和第二区以及相关联的端点、以及还可能向网络216之外的端点和区提供证书管理的唯一证书机构。
在操作中,如果第一区端点206请求与第二区端点212的IPsec会话,则端点(206和212)通过IPsec连接交换相应的数字证书(208和214)。第一区端点206分析第二区证书214以获得一个或多个安全上下文属性、以及可能还有其他属性,第二区端点212对第一区证书208也一样。附加地,第一和第二区端点(206和212)的根证书也可以被传递和确认。如果来自两个端点的确认都成功,则IPsec会话可以在所述端点(206和212)之间建立。
图3示出了安全系统300,其包括用于在单个区的子区内进行证书生成和管理的证书机构202。证书机构202仍然可以是被部署来为多个子区(或片段)上的IPsec通信和会话生成和管理(签发)数字证书的单个(唯一的)机构。在此,系统300包括一个区的两个子区:第一子区(子区1)和第二子区(子区2)(但是可以采用多得多的子区)。第一子区包括多个端点204(端点11、…、端点1s)(给每个端点都签发了数字证书),比如第一子区端点302接收和利用第一子区证书304(数字证书11)。类似地,第二子区包括多个端点210(端点21、…、端点2T)(给每个端点都签发了数字证书),比如第二子区端点306接收和利用第二区证书308(数字证书21)。
证书机构202可以是针对所述区和子区的唯一证书机构,该证书机构通过网络216向第一和第二子区以及相关联的端点、以及还可能向网络216之外的端点和区/子区提供证书管理。
在操作中,如果第一子区端点302请求与第二子区端点306的IPsec会话,则端点(302和306)通过IPsec连接交换相应的数字证书(304和308)。第一子区端点302分析第二子区证书308以获得一个或多个安全上下文属性、以及可能还有其他属性,第二子区端点306对第一子区证书304也一样。附加地,第一和第二子区端点(302和306)的根证书也可以被传递和确认。如果来自两个端点的确认都成功,则IPsec会话可以在所述端点(302和306)之间建立。
图4示出了可以部署在数字证书402中以用于IPsec通信的示例性证书属性400。如前面所指出的那样,属性400可以包括:QoS数据;安全上下文的唯一ID;可与之获得IPsec会话的端点(物理机或虚拟机)的IP地址;可与之获得IPsec会话的一组(或多组)端点的IP地址;(例如公司的)顾客ID、区ID、环ID、代理系统的IP地址;等等。所公开的体系结构也适用于所有类别的数字证书(例如请求身份证明的个人、组织、服务器、在线业务交易、私人组织或政府等等)。
IPsec的属性处理可以处理仅仅单个属性(公司ID)或多个属性(例如公司ID和区1)。附加地,可以采用加权系统,使得例如向第一属性赋予比第三属性更大的权重。附加地或与之相组合地,可以根据预定的准则对属性进行排名,比如区属性被排名为最高优先级,然后是顾客ID被排名为次要的优先级,等等。
注意,端点可以包括多个证书,每个证书都根据属性来定义对不同区和端点的访问。
此处所包括的是一组表示用于执行所公开的体系结构的新颖方面的示例性方法的流程图。尽管出于解释简明的目的,此处例如以流程图形式示出的一个或多个方法被示出并且描述为一系列动作,但是可以理解,各方法不受动作的次序的限制,因为根据本发明,某些动作可以按与此处所示并描述的不同的次序和/或与其他动作同时发生。例如,本领域的技术人员将明白并理解,方法可被替换地表示为一系列相互相关联的状态或事件,诸如以状态图的形式。此外,并非方法中所示出的所有动作都是新颖实现所必需的。
图5示出一种计算机实现的安全方法。在500,在端点处从对等端点接收数字证书,该证书具有一个或多个证书属性。在502,在所述端点处基于所述一个或多个证书属性来确认对等端点的安全上下文。在504,基于对安全上下文的确认来建立所述端点与对等端点之间的IPsec会话。
图6示出图5的方法的其它方面。在600,从管理多个区的证书机构向端点和对等端点签发数字证书。在602,将所述证书锁定到特定属性。在604,将一属性定义成特定端点的IP地址。在606,将一属性定义成一个组的一定范围的IP地址。在608,将所述安全上下文定义成所述属性中的一个或多个。在610,将端点数字证书的属性与所述端点的安全数据相比较以向所述端点确认对等端点。
图7示出了用于将IPsec证书处理成IP地址的方法。在700,在已经锁定到特定IP地址的端点之间发起IPsec通信。在702,每个端点都将另一端点的IP地址与所呈现的证书中的IP地址的列表相比较。在704,如果该IP地址在该列表上,则流程将去往706以建立所述端点之间的IPsec会话。或者,在704,如果该IP地址未在该列表上,则流程将去往708以放弃IPsec会话的启动。
如在本申请中所使用的,术语“组件”和“系统”旨在表示计算机相关的实体,其可以是硬件、硬件和软件的组合、软件、或者执行中的软件。例如,组件可以是,但不仅限于,在处理器上运行的进程、处理器、硬盘驱动器、多个存储驱动器(光学,固态和/或磁存储介质)、对象、可执行程序、运行的线程、程序、和/或计算机。作为说明,在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在进程和/或执行的线程内,且组件可以位于一个计算机上和/或分布在两个或更多的计算机之间。词语“示例性”在此处可用于表示用作示例、实例或说明。在此被描述为“示例性”的任何方面或设计并不一定要被解释为相比其它方面或设计更优选或有利。
现在参考图8,示出了根据所公开的体系结构的可用于为IPsec通信执行属性处理的计算系统800的框图。为了提供用于其各方面的附加上下文,图8及以下讨论旨在提供对其中可实现各方面的合适的计算系统800的简要概括描述。尽管以上描述是在可在一个或多个计算机上运行的计算机可执行指令的一般上下文中进行的,但是本领域的技术人员将认识到,新颖实施例也可结合其它程序模块和/或作为硬件和软件的组合来实现。
用于实现各方面的计算系统800包括计算机802,其具有处理单元804、诸如系统存储器806等的计算机可读存储、以及系统总线808。处理单元804可以是各种市场上可买到的处理器中的任一种,诸如单处理器、多处理器、单核单元以及多核单元。此外,本领域的技术人员可以理解,各新颖方法可用其它计算机系统配置来实施,包括小型机、大型计算机、以及个人计算机(例如,台式、膝上型等)、手持式计算设备、基于微处理器的或可编程的消费电子产品等,其每一个都可在操作上耦合到一个或多个相关联的设备。
系统存储器806可包括计算机可读存储,如易失性(VOL)存储器810(例如,随机存取存储器(RAM))和非易失性存储器(NON-VOL)812(如ROM、EPROM、EEPROM等)。基本输入/输出系统(BIOS)可被存储在非易失性存储器812中,并且包括诸如在启动期间便于在计算机802内的组件之间传递数据和信号的基本例程。易失性存储器810还可包括诸如静态RAM等高速RAM来用于高速缓存数据。
系统总线808提供了用于包括,但不限于存储器子系统806的系统组件对处理单元804的接口。系统总线808可以是若干种总线结构中的任一种,这些总线结构还可使用各类可购买到的总线架构中的任一种互连到存储器总线(带有或没有存储器控制器)以及外围总线(例如,PCI、PCIe、AGP、LPC等)。
计算机802还包括机器可读存储子系统814以及用于将存储子系统814对接到系统总线808和其他所需计算机组件的存储接口816。存储子系统814可包括例如硬盘驱动器(HDD)、磁软盘驱动器(FDD)和/或光盘存储驱动器(例如,CD-ROM驱动器、DVD驱动器)中的一个或多个。存储接口816可包括诸如,例如EIDE、ATA、SATA和IEEE1394等接口技术。
一个或多个程序和数据可被存储在存储器子系统806、可移动存储器子系统818(例如,闪存驱动器形状因子技术)和/或存储子系统814(例如,光、磁、固态)中,包括操作系统820、一个或多个应用程序822、其他程序模块824以及程序数据826。
一个或多个应用程序822、其他程序模块824以及程序数据826例如可以包括例如图1的系统100的实体和组件、图2的系统200的实体和组件、图3的系统300的实体和组件、图4的证书和属性、以及图5-7的流程图所呈现的方法。
一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、方法、数据结构、其他软件组件等等。操作系统820、应用822、模块824和/或数据826的全部或部分也可被高速缓存在诸如易失性存储器810等存储器中。应该明白,所公开的体系结构可以用各种市场上可购得的操作系统或操作系统的组合(例如,作为虚拟机)来实施。
存储子系统814和存储器子系统(806和818)用作用于数据、数据结构、计算机可执行指令等的易失性和非易失性存储的计算机可读介质。计算机可读介质可以是可由计算机802访问的任何可用介质,且包括可移动和不可移动的易失性和非易失性、内部和/或外部介质。对于计算机802,介质容纳以任何合适的数字格式对数据的存储。本领域的技术人员应当理解,可使用其他类型的计算机可读介质,如zip驱动器、磁带、闪存卡、闪存驱动器、磁带盒等来存储用于执行所披露的体系结构的新颖方法的计算机可执行指令。
用户可以使用诸如键盘和鼠标等外部用户输入设备828来与计算机802、程序和数据交互。其他外部用户输入设备828可包括话筒、IR(红外)遥控器、操纵杆、游戏手柄、照相机识别系统、指示笔、触摸屏、姿势系统(例如,眼移动、头移动等)和/或类似物。在计算机802是例如便携式计算机的情况下,用户可以使用诸如触摸垫、话筒、键盘等板载用户输入设备830来与计算机802、程序和数据交互。这些和其它输入设备通过输入/输出(I/O)设备接口832经由系统总线804连接到处理单元808,但也可通过其它接口连接,如并行端口、IEEE1394串行端口、游戏端口、USB端口、IR接口等。I/O设备接口832也便于输出外围设备834的使用,如打印机、音频设备、摄像设备等,如声卡和/或板载音频处理能力。
一个或多个图形接口836(通常也称为图形处理单元(GPU))提供计算机802和外部显示器838(例如,LCD、等离子)和/或板载显示器840(例如,对于便携式计算机)之间的图形和视频信号。图形接口836也可作为计算机系统板的一部分来制造。
计算机802可以使用经由有线/无线通信子系统842到一个或多个网络和/或其他计算机的逻辑连接在联网环境(例如,基于IP的)中操作。其他计算机可包括工作站、服务器、路由器、个人计算机、基于微处理器的娱乐设备、对等设备或其他常见的网络节点,并且通常包括以上相对于计算机802描述的许多或所有元件。逻辑连接可包括到局域网(LAN)、广域网(WAN)热点等的有线/无线连接。LAN和WAN联网环境常见于办公室和公司,并且方便了诸如内联网等企业范围计算机网络,所有这些都可连接到例如因特网等全球通信网络。
当在联网环境中使用时,计算机802经由有线/无线通信子系统842(例如,网络接口适配器、板载收发机子系统等)连接到网络来与有线/无线网络、有线/无线打印机、有线/无线输入设备844等通信。计算机802可包括用于通过网络建立通信的调制解调器或其他装置。在联网环境中,相对于计算机802的程序和数据可被存储在远程存储器/存储设备中,如与分布式系统相关联。应该理解,所示网络连接是示例性的,并且可以使用在计算机之间建立通信链路的其他手段。
计算机802可用于使用诸如IEEE802.xx标准家族等无线电技术来与有线/无线设备或实体通信,例如在操作上安置在与例如打印机、扫描仪、台式和/或便携式计算机、个人数字助理(PDA)、通信卫星、任何一件与无线可检测标签相关联的设备或位置(例如,电话亭、报亭、休息室)以及电话的无线通信(例如,IEEE802.11空中调制技术)中的无线设备。这至少包括对于热点的Wi-Fi(或无线保真)、WiMax,以及BluetoothTM无线技术。由此,通信可以是如对于常规网络那样的预定义结构,或者仅仅是至少两个设备之间的自组织(adhoc)通信。Wi-Fi网络使用称为IEEE802.11x(a、b、g等)的无线电技术来提供安全、可靠、快速的无线连接。Wi-Fi网络可用于将计算机彼此连接、连接到因特网以及连接到有线网络(使用IEEE802.3相关的介质和功能)。
所示各方面也可以在其中某些任务由通过通信网络链接的远程处理设备来执行的分布式计算环境中实践。在分布式计算环境中,程序模块可以位于本地和/或远程系统和/或存储系统中。
现在参考图9,示出了为IPsec通信处理证书属性的计算环境900的示意框图。环境900包括一个或多个客户端902。客户端902可以是硬件和/或软件(例如,线程、进程、计算设备)。例如,客户端902可以容纳cookie和/或相关联的上下文信息。
环境900还包括一个或多个服务器904。服务器904也可以是硬件和/或软件(例如,线程、进程、计算设备)。服务器904可以例如通过使用本体系结构来容纳线程以执行变换。客户端902和服务器904之间的一种可能的通信可以是以适用于在两个或更多计算机进程之间传输的数据包的形式。例如,数据包可以包括cookie和/或相关联的上下文信息。环境900包括可以用来促进客户端906和服务器902之间通信的通信框架904(例如,诸如因特网等全球通信网络)。
通信可以经由有线(包括光纤)和/或无线技术来促进。客户端902可操作地连接到一个或多个客户端数据存储908,可以使用这些客户端数据存储来存储客户端902本地的信息(例如,cookie和/或相关联的上下文信息)。同样地,服务器904可以在操作上连接到可以用来存储服务器910本地的信息的一个或多个服务器数据存储904。
上面描述的包括所公开的体系结构的各示例。当然,描述每一个可以想到的组件和/或方法的组合是不可能的,但本领域内的普通技术人员应该认识到,许多其他组合和排列都是可能的。因此,该新颖体系结构旨在涵盖所有这些落入所附权利要求书的精神和范围内的更改、修改和变化。此外,就在详细描述或权利要求书中使用术语“包括”而言,这一术语旨在以与术语“包含”在被用作权利要求书中的过渡词时所解释的相似的方式为包含性的。
Claims (13)
1.一种计算机实现的安全系统,包括:
本地端点的通信组件,所述通信组件从远程端点接收数字证书,所述数字证书由管理多个区的单个证书机构签发并且具有定义所述数字证书的安全上下文的一个或多个证书属性;以及
所述本地端点的安全组件,所述安全组件处理所述证书属性中的一个或多个以通过参考所述证书属性确认与所述远程端点的因特网协议安全(IPsec)通信。
2.如权利要求1所述的系统,其特征在于,所述安全组件还使用根证书来确认所述通信。
3.如权利要求1所述的系统,其特征在于,所述数字证书锁定到特定证书属性。
4.如权利要求1所述的系统,其特征在于,所述数字证书锁定到特定的地址或一组地址。
5.如权利要求1所述的系统,其特征在于,所述证书机构为多个区上的IPsec通信签发所述数字证书和其他数字证书。
6.如权利要求1所述的系统,其特征在于,所述安全组件根据属性优先级来处理证书属性。
7.如权利要求1所述的系统,其特征在于,所述一个或多个证书属性包括代理系统的IP地址和区。
8.一种计算机实现的安全方法,包括:
在端点处从对等端点接收数字证书,所述证书由管理多个区的单个证书机构签发并且具有一个或多个证书属性;
在所述端点处通过参考所述一个或多个证书属性确认所述对等端点的安全上下文;以及
基于对所述安全上下文的确认来建立所述端点与所述对等端点之间的IPsec会话。
9.如权利要求8所述的方法,其特征在于,还包括:将所述证书锁定到特定属性。
10.如权利要求8所述的方法,其特征在于,还包括:将一属性定义成特定端点的IP地址。
11.如权利要求8所述的方法,其特征在于,还包括:将一属性定义成一个组的一定范围的IP地址。
12.如权利要求8所述的方法,其特征在于,还包括:将所述安全上下文定义成所述属性中的一个或多个。
13.如权利要求8所述的方法,其特征在于,还包括:将端点数字证书的属性与所述端点的安全数据相比较以向所述端点确认所述对等端点。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/616,789 US9912654B2 (en) | 2009-11-12 | 2009-11-12 | IP security certificate exchange based on certificate attributes |
| US12/616,789 | 2009-11-12 | ||
| PCT/US2010/054573 WO2011059774A2 (en) | 2009-11-12 | 2010-10-28 | Ip security certificate exchange based on certificate attributes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102612820A CN102612820A (zh) | 2012-07-25 |
| CN102612820B true CN102612820B (zh) | 2016-03-02 |
Family
ID=43975149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080051233.4A Active CN102612820B (zh) | 2009-11-12 | 2010-10-28 | 基于证书属性的ip安全证书交换 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9912654B2 (zh) |
| EP (1) | EP2499778B1 (zh) |
| JP (1) | JP5714596B2 (zh) |
| KR (1) | KR101791708B1 (zh) |
| CN (1) | CN102612820B (zh) |
| WO (1) | WO2011059774A2 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102010044518A1 (de) * | 2010-09-07 | 2012-03-08 | Siemens Aktiengesellschaft | Verfahren zur Zertifikats-basierten Authentisierung |
| JP5880401B2 (ja) * | 2012-11-15 | 2016-03-09 | 富士ゼロックス株式会社 | 通信装置及びプログラム |
| US20160366124A1 (en) * | 2015-06-15 | 2016-12-15 | Qualcomm Incorporated | Configuration and authentication of wireless devices |
| KR102210897B1 (ko) * | 2015-08-24 | 2021-02-01 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 보안 인증 방법, 구성 방법 및 관련 기기 |
| KR102250081B1 (ko) * | 2019-02-22 | 2021-05-10 | 데이터얼라이언스 주식회사 | 공개 원장 기반 크리덴셜 자율적 운영 시스템 및 방법 |
| US11783062B2 (en) | 2021-02-16 | 2023-10-10 | Microsoft Technology Licensing, Llc | Risk-based access to computing environment secrets |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770769A (zh) * | 2004-10-14 | 2006-05-10 | 微软公司 | 使用IPsec提供网络隔离的系统和方法 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
| US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
| CA2228687A1 (en) * | 1998-02-04 | 1999-08-04 | Brett Howard | Secured virtual private networks |
| US7461250B1 (en) * | 1999-07-22 | 2008-12-02 | Rsa Security, Inc. | System and method for certificate exchange |
| GB2357226B (en) * | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Security protocol |
| WO2001095555A1 (en) * | 2000-06-06 | 2001-12-13 | Bex.Com Pte. Ltd. | Method and apparatus for establishing global trust bridge for multiple trust authorities |
| US7113996B2 (en) * | 2000-07-21 | 2006-09-26 | Sandy Craig Kronenberg | Method and system for secured transport and storage of data on a network |
| EP1325599A1 (en) * | 2000-09-08 | 2003-07-09 | Guy S. Tallent | System and method for providing authorization and other services |
| US6915437B2 (en) * | 2000-12-20 | 2005-07-05 | Microsoft Corporation | System and method for improved network security |
| US7073055B1 (en) * | 2001-02-22 | 2006-07-04 | 3Com Corporation | System and method for providing distributed and dynamic network services for remote access server users |
| US7272714B2 (en) * | 2002-05-31 | 2007-09-18 | International Business Machines Corporation | Method, apparatus, and program for automated trust zone partitioning |
| US7185199B2 (en) * | 2002-08-30 | 2007-02-27 | Xerox Corporation | Apparatus and methods for providing secured communication |
| US20040093492A1 (en) * | 2002-11-13 | 2004-05-13 | Olivier Daude | Virtual private network management with certificates |
| JP4352728B2 (ja) | 2003-03-11 | 2009-10-28 | 株式会社日立製作所 | サーバ装置、端末制御装置及び端末認証方法 |
| WO2004081756A2 (en) * | 2003-03-12 | 2004-09-23 | Nationwide Mutual Insurance Co | Trust governance framework |
| US7308711B2 (en) | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US20050086468A1 (en) * | 2003-10-17 | 2005-04-21 | Branislav Meandzija | Digital certificate related to user terminal hardware in a wireless network |
| WO2005101270A1 (en) * | 2004-04-12 | 2005-10-27 | Intercomputer Corporation | Secure messaging system |
| US20060085850A1 (en) | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| KR100759489B1 (ko) | 2004-11-18 | 2007-09-18 | 삼성전자주식회사 | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 |
| US20060174125A1 (en) * | 2005-01-31 | 2006-08-03 | Brookner George M | Multiple cryptographic key security device |
| US20080022392A1 (en) * | 2006-07-05 | 2008-01-24 | Cisco Technology, Inc. | Resolution of attribute overlap on authentication, authorization, and accounting servers |
| US20090025080A1 (en) * | 2006-09-27 | 2009-01-22 | Craig Lund | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access |
| US8429734B2 (en) * | 2007-07-31 | 2013-04-23 | Symantec Corporation | Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes |
| JP5513410B2 (ja) * | 2008-01-18 | 2014-06-04 | アイデントラスト, インコーポレイテッド | 複数の信頼ドメインへのデジタル証明書のバインディング |
| US20100318788A1 (en) * | 2009-06-12 | 2010-12-16 | Alexandro Salvarani | Method of managing secure communications |
| US8250866B2 (en) | 2009-07-30 | 2012-08-28 | Ford Global Technologies, Llc | EGR extraction immediately downstream pre-turbo catalyst |
-
2009
- 2009-11-12 US US12/616,789 patent/US9912654B2/en active Active
-
2010
- 2010-10-28 CN CN201080051233.4A patent/CN102612820B/zh active Active
- 2010-10-28 EP EP10830474.2A patent/EP2499778B1/en active Active
- 2010-10-28 KR KR1020127012090A patent/KR101791708B1/ko active IP Right Grant
- 2010-10-28 JP JP2012538846A patent/JP5714596B2/ja active Active
- 2010-10-28 WO PCT/US2010/054573 patent/WO2011059774A2/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770769A (zh) * | 2004-10-14 | 2006-05-10 | 微软公司 | 使用IPsec提供网络隔离的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011059774A3 (en) | 2011-09-29 |
| JP2013511209A (ja) | 2013-03-28 |
| KR20120094926A (ko) | 2012-08-27 |
| JP5714596B2 (ja) | 2015-05-07 |
| WO2011059774A2 (en) | 2011-05-19 |
| US20110113481A1 (en) | 2011-05-12 |
| CN102612820A (zh) | 2012-07-25 |
| KR101791708B1 (ko) | 2017-11-20 |
| EP2499778A2 (en) | 2012-09-19 |
| EP2499778A4 (en) | 2017-01-04 |
| US9912654B2 (en) | 2018-03-06 |
| EP2499778B1 (en) | 2019-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112733107B (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| CN102804679B (zh) | 使用客户机信任级别对安全的应用特征的访问控制 | |
| CN102612820B (zh) | 基于证书属性的ip安全证书交换 | |
| CN110493220A (zh) | 一种基于区块链的数据共享方法、设备及存储介质 | |
| CN101689991A (zh) | 通过非安全网络的设备供应和域加入仿真 | |
| CN104144424B (zh) | 一种设备之间建立连接的方法、配置设备和无线设备 | |
| CN101297517B (zh) | 用于总体交换会话安全的方法和系统 | |
| JP5464794B2 (ja) | ネットワーク管理方法およびネットワーク管理システム | |
| CN109146679A (zh) | 基于区块链的智能合约调用方法及装置、电子设备 | |
| EP3997606B1 (en) | Cryptoasset custodial system with custom logic | |
| CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
| CN107528688A (zh) | 一种基于加密委托技术的区块链密钥保管及恢复方法、装置 | |
| CN101669128A (zh) | 级联认证系统 | |
| CN109756329A (zh) | 基于私钥池的抗量子计算共享密钥协商方法和系统 | |
| KR20030036069A (ko) | 네트워크를 통해 이용자와 컴퓨터의 인증과 보증을수행하기 위한 방법 및 장치 | |
| CN1608362A (zh) | 认证方法 | |
| CN110024347A (zh) | 安全构建网络结构 | |
| CN100550030C (zh) | 在便携式终端主机上添加可信平台的方法 | |
| CN109194651A (zh) | 一种身份认证方法、装置、设备及存储介质 | |
| JP2022528359A (ja) | ブロックチェーン及びDICE-RIoTを使用したデバイスのリモート管理 | |
| CN1601954A (zh) | 不中断服务地横跨安全边界移动主体 | |
| Meng et al. | Data sharing mechanism of sensors and actuators of industrial IoT based on blockchain-assisted identity-based cryptography | |
| US20220131695A1 (en) | Distributed secure communication system | |
| CN102752308A (zh) | 通过网络提供数字证书综合业务系统及其实现方法 | |
| CN110493008A (zh) | 一种区块链认证方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150717 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150717 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |