CN104662551A - 在网络环境中对加密的数据的检查 - Google Patents
在网络环境中对加密的数据的检查 Download PDFInfo
- Publication number
- CN104662551A CN104662551A CN201380048778.3A CN201380048778A CN104662551A CN 104662551 A CN104662551 A CN 104662551A CN 201380048778 A CN201380048778 A CN 201380048778A CN 104662551 A CN104662551 A CN 104662551A
- Authority
- CN
- China
- Prior art keywords
- network flow
- encryption
- machine
- shared key
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
在示例实施例中提供了用于分析加密的网络流的技术。所述技术包括监测位于第一节点和第二节点之间的所述加密的网络流,该网络流是从所述第一节点发起的;复制所述加密的网络流以形成所述加密的网络流的副本;使用共享密钥对所述加密的网络流的所述副本进行解密,所述共享密钥与所述第一节点和所述第二节点相关联;并且针对目标数据而扫描该网络流副本。
Description
技术领域
本公开总体上涉及网络安全领域,并且更具体地涉及在网络环境中检查加密数据。
背景技术
在当今社会中网络安全领域已变得越发重要。互联网使得全世界的不同计算机网络能够互连。然而,互联网已为恶意操作者呈现了许多机会来利用这些网络。某些类型的恶意软件(例如,bot病毒)可以被配置为一旦该软件感染了主机计算机,则可以从远程操作者接收命令。该软件可以被指示以执行任意数量的恶意行为,例如从主机计算机发送垃圾邮件或恶意邮件、从与主机计算机相关联的公司或个人盗取敏感信息、传播给其它主机计算机、和/或协助分布式拒绝服务攻击。另外,恶意操作者可以将访问卖给或另外给出到其它恶意操作者,从而使对该主机计算机的了利用升级。因此,有效地保护和维护稳定的计算机和系统的能力继续为组件制造商、系统设计者、以及网络运营商呈现重大挑战。
企业环境采用许多网络管理工具,包括防火墙、网络入侵检测/防护(NIDS/NIPS)系统、流量整形器(traffic shaper)、以及其它系统。多个这些系统依靠对网络业务的检查,以便提供各种各样的服务(包括对恶意软件传播的检测/防护)来确保公司的知识产权不被泄露到明确定义的企业边界之外,以及一般审计和网络管理功能。还可以使用诸如安全套接层(SSL)/传输层安全(TLS)的协议来加密网络业务。
附图说明
为了提供对本公开和特征以及其优点的更完整的理解,对以下说明并结合附图进行了参照,其中相似附图标记表示相似部件,在其中:
图1为根据实施例的在其中防火墙可以截获网络流的网络环境的简化框图;
图2为根据实施例的网络环境200的示例示出;
图3为根据实施例的具有SSL/TLS握手通信的网络环境的示出;
图4为根据有利的实施例的针对SSL/TLS的网络环境400的框图;
图5为根据示例性实施例的作为代理的安全模块的示出;
图6为根据实施例的数据图的示出;
图7为根据实施例的示出了使用共享库提取共享密钥的过程的简化流程图;
图8为根据实施例的示出了从存储空间提取共享密钥的过程的简化流程图;
图9为根据实施例的示出了分析加密的网络流的过程的简化流程图;
图10还示出了根据实施例的耦合到处理器的存储器;以及
图11示出了根据实施例的被布置为点对点(PtP)配置的计算系统。
具体实施方式
示例实施例
转到图1,图1为根据实施例的在其中防火墙可以截获网络流的网络环境的简化框图。在图1中示出的实施例中,网络环境100可以包括互联网102、客户端104、防火墙106、策略服务器108、邮件服务器110、以及网络服务器112。一般地,客户端104可以是网络连接中的任何类型的终端节点,包括但不限于台式计算机、服务器、膝上型计算机、移动设备、移动电话、或能够接收或与另一节点(例如,邮件服务器110或网络服务器112)建立连接的任何其它类型的设备。防火墙106可以通过阻止未授权访问而允许授权通信来控制客户端104与附接到互联网102或另一网络的其它节点之间的通信。在一些实例中,防火墙106可以耦合到入侵防护系统、网络访问控制设备、网络网关、邮件网关、移动设备、或互联网102与客户端104之间任意其它类型的网关,或者防火墙106可以与之集成。另外,在路由拓扑中防火墙106的位置与用户客户端104接近是任意的。
策略服务器108可以耦合到防火墙106或与防火墙106集成,并且可以用于管理(manage)客户端104并且掌管(administer)和分发网络策略。因此,在该示例实施例中,如果由在防火墙106中实现的并由策略服务器108管理的策略所允许,则客户端104可以通过建立经由防火墙106的连接而与附接到互联网102的服务器(例如,邮件服务器110或网络服务器112)进行通信。
图1中的每个元件可以通过简单接口或通过任意其它适合的连接(有线或无线)相互耦合,这提供了可行的通路以用于网络通信。另外,基于特定的配置需求,这些元件中的任意一个或多个可以进行组合或从架构中移除。网络环境100可以包括能够进行传输控制协议/互联网络协议(TCP/IP)通信以在网络中发送或接收分组的配置。网络环境100还可以结合用户数据报协议/IP(UDP/IP)或合适的并基于特定需求的任何其它适合的协议而运行。
为了在示例实施例中示出用于提供网络安全的技术的目的,重要的是要了解在给定网络中发生的活动。以下基础信息可以被视为可以适当地说明本公开的基础。切实地提供这样的信息仅是为了说明的目的,并且由此不应当以限制本公开及其潜在应用的广阔范围的方式而进行解释。
在组织中或由个人使用的典型网络环境包括使用互联网与其它网络电通信来例如访问在连接到互联网的服务器上托管的网页、发送或接收电子邮件(例如,email)消息、或交换文件的能力。然而,恶意用户继续开发新的战术以使用互联网来扩散恶意软件并获得对机密信息的访问。恶意软件通常包括被设计为访问和/或控制计算机而无需计算机拥有者的知情同意的软件,并且最常用作对于任何有恶意的、侵入性的、或恼人的软件(例如,计算机病毒、bot病毒、间谍软件、广告软件等)的标签。一旦被感染,恶意软件可能颠覆(subvert)主机并且使用该主机以用于恶意活动,例如发送垃圾邮件或盗取信息。恶意软件通常还包括一个或多个传播矢量,该传播矢量使得该恶意软件能够在组织的网络内扩散或跨其它网络而扩散到其它组织或个人。普通传播矢量包括利用本地网络内的主机的已知弱点,以及发送附有恶意程序的电子邮件或在电子邮件内提供恶意链接。
为了示出安全模块和提取模块的一些示例技术的目的,重要的是要了解中间人(MITM)技术。一个或多个实施例意识到并且考虑到用于在安全设备中筛选SSL(或TLS)业务的一些实施例使用MITM技术:安全设备终止使用欺骗目的地的证书的SSL连接,接着通过第二SSL连接将数据代理到目的地。用户可以看到该欺骗,并且或明确地针对每个连接而忽略该欺骗、或将他的机器设置为信任该安全设备从而使警告消失
对于安全设备来说,实施MITM是昂贵的,这是因为其需要解密并重新加密所有业务。而且,MITM需要安全设备对每个正在被筛选的连接进行昂贵的公钥加密操作。
MITM的额外问题在于用户并不得到目标网站(服务器)的真实SSL认证。这是SSL安全的关键益处,但是用户仅知道到达了该安全设备而并不知道已真正访问了网站。该缺陷可以被攻击者利用,攻击者使用钓鱼电子邮件将用户导向看起来像是可信站点的站点,但实际上试图利用这些用户。
另外,本公开的不同实施例意识到并且考虑到这样的情况,其中可信客户端与不可信服务器通信;网络设备终止并重新建立两个通信端点之间的SSL/TLS会话。这还经常被称为断-通(break-make)连接。可信客户端被提供有网络设备/域的证书并且在安全会话设置过程中接受该证书,即使该可信客户端正在与网络装置之外的端点(例如,银行网站)进行通信。实际上,该会话在网络装置处终止,该网络装置代表客户端发起到最终端点的第二个独立的会话。这个机制允许网络装置得到对TLS业务的可视性,这是由于网络装置作为安全通信信道的“中间人”。该方法导致网络装置的负担,真实由于网络装置需要针对每个客户端/会话的代理连接,因此需要管理针对所有这些代理连接的资源。这种状况给网络装置添加了巨大的开销。
另外,本公开的不同实施例意识到并且考虑到另一情况,其中不可信客户端与可信服务器通信,网络装置得到对可信服务器的证书的访问(以一些OOB方式),包括用于认证SSL/TLS会话的公钥/私钥对(例如,RSA密钥)。由于使用服务器的公钥加密了SSL/TLS操作(其中客户端向服务器发送预主密钥(pre-master secret)),因此网络装置能够捕获/解密在途中的该信息并且监听SSL/TLS握手。这允许网络装置单独地计算SSL/TLS会话密钥并在此后对两端点之间的加密通信进行解密。然而,这种情况依赖于服务器密钥的拥有权,并且不适用于这样的通常情况:组织通过提供安全设备(例如,入侵防护或防火墙)而寻求保护具有连接到互联网上的多个服务器的客户端机器的多个用户。
本公开的不同实施例意识到并且考虑到:企业迫切需要扫描SSL/TLS业务;恶意软件检查;数据丢失保护;已在使用的MITM技术;MITM仿造认证和加密;用户看到伪造的证书,信任被破坏;当用户看到针对每个连接的警告消息或从不知道信任是否是真实的时的恼人因素。
本公开的一个或多个实施例提供了新颖的方法,该方法将可视性简化成加密的网络流,并且减轻网络设备上的大开销。
图2是根据实施例的网络环境200的示例示出。在本发明的方面,网络环境200包括客户端202、防火墙204、和服务器206。网络环境200可以是图1中所示的网络环境100的一个示例。在实施例中,网络环境200可以包括在客户端202、防火墙204、和服务器206之间操作的加密协议会话208。加密协议会话208还可以包括网络流210、目标数据211、和共享密钥212。服务器206还可以包括权威证书(certificate of authority)214。防火墙204还可以包括安全模块220,安全模块220进而可以包括网络流副本222和未加密的网络流224。客户端202还可以包括信任列表216、提取模块230、共享库232、和应用234。
在本公开的实施例中,服务器206包括权威证书214。权威证书214可以是发出数字证书的实体。该数字证书通过所命名的证书的主题来证实公钥的拥有权。这允许客户端202依赖于由与经证实的公钥对应的私钥所进行的签名或声明。在该信任关系模型中,权威证书214是可信第三方,其在证书的基础上被服务器206和客户端202所信任。在客户端202上,可以持有信任列表216。信任列表216可以包括客户端202信任的数字证书。
在一个或多个实施例中,加密协议会话208在客户端202、防火墙204、和服务器206之间操作。加密协议会话208包括网络流210。网络流210是在客户端202与服务器206之间双方向中操作的数据的加密流。防火墙204可以截获网络流以用于检查和分析。在实施例中,用于加密协议会话208(安全通信)的协议可以是传输层安全(TLS)或其前身,安全套接层(SSL)。这些协议为在互联网上提供通信安全性的加密协议。在本公开中,还可以可交换地使用这些协议。使用针对密钥交换的非对称加密、针对保密性的对称加密、以及针对消息完整性的消息认证码,TLS和SSL在应用层处加密网络连接的区段以用于传输层。
客户端202和服务器206还可以持有共享密钥212(例如,密码、密钥等)以用于认证网络流210中的数据。可以在加密协议会话208期间配置共享密钥212。共享密钥212可以是在客户端202和服务器206之间共享并且已知的值。例如,在实施例中,共享密钥212可以是在SSL/TLS中使用的主密钥或会话密钥。会话密钥可以是会话上下文并且可以包括初始化矢量、正在使用的加密算法等、以及仅该会话密钥。会话上下文可以包含必要的加密信息以解封装有效载荷(例如,加密/完整性/压缩算法、相关联的密钥、密钥尺寸、初始化矢量等)。相反,公开/私有非对称密钥结构并不在客户端202和服务器206之间共享,这是因为每一方具有不同密钥。
提取模块230被配置为从客户端202提取共享密钥212。特别地,提取模块230可以提取主密钥、预主密钥、基于哈希的消息认证代码(HMAC)、和/或会话密钥。提取模块230可以被加载到客户端202上,或在其它实施例中,提取模块230可以是具有对客户端202的访问的独立模块。
在实施例中,提取模块230可以将共享库232加载到应用234中。这允许提取模块230通过应用234访问加密协议会话208以识别共享密钥212。共享库232可以是共享的库或共享的对象,其为旨在由可执行文件和进一步的共享对象文件所共享的文件。例如,共享库232可以是动态链接库(DLL)。应用234可以是通过加密协议会话208而与服务器206通信的过程。例如,应用234可以是网络浏览器。
在另一实施例中,提取模块230可以被配置为在网络层处监测网络流并且检测网络握手(例如,SSL初始握手)的进展,并因此确定应用234的存储空间在什么时间点可以包含用于正在协商的加密连接的共享密钥212。提取模块230可以被配置为例如通过使用调试系统调用来对的同一计算机系统上的目标过程的过程存储器进行访问,以打开在运行应用234的过程的存储空间231。提取模块230可以被配置为搜索存储空间231以识别共享密钥212。
提取模块230被配置为向安全模块220发送共享密钥212。向安全模块220进行传输的路径也可以是安全信道。
利用共享密钥212,安全模块220可以能够使用与客户端202和服务器206正在使用的相同的加密/解密过程来解密网络流210。安全模块220可以在不同操作模式中操作。
在一个实施例中,安全模块220可以被配置为复制网络流210以创建网络流副本222。接着,网络流副本222可以被解密而不影响网络流210创建未加密的网络流224。在一些实施例中,安全模块220可以延迟网络流210以:等待来自加密模块230的共享密钥212,有时间来解密网络流副本222,修改网络流210,检查未加密的网络流224的安全问题,或任何其它合适的延迟理由。在其它实施例中,安全模块220并不延迟网络流210并且可以仅复制网络流210。
在实施例中,安全模块220可以被配置为针对目标数据211而扫描网络流210和/或网络流副本222(一旦被解密并作为未加密的网络流224)。目标数据211可以包含安全模块220所寻找的数据,诸如例如,恶意的、侵入性的、或恼人的软件(例如,计算机病毒、bot病毒、间谍软件、广告软件)。目标数据211可以是恶意软件。
在操作术语中,以及在一个特定实施例中,TLS或SSL连接的示出可以如下而开始:在协商期间,客户端202发送消息以详细说明其支持的最高TLS协议版本、随机数、建议的密码组列表、以及建议的压缩方法。密码组是用于协商针对使用TLS或SSL网络协议的网络连接的安全设置的认证、加密、和消息认证代码(MAC)算法的命名的组合。另外,如果客户端202尝试执行恢复的握手,则客户端202可以发送会话ID。
作为响应,服务器206用包含所选择的协议版本、另一随机数、从客户端提供的选择中所选定的密码组和所选定的压缩方式来进行回应。为了确认或允许恢复的会话,服务器206可以发送相同的会话ID。为了开始新的会话,服务器206可以发送新的会话ID。另外,客户端202可以用另一消息进行回应,该另一消息可以包含预主密钥、公钥、或什么都不包含。预主密钥是使用服务器证书的公钥加密的。接着,客户端202和服务器206使用随机数和预主密钥来计算通用密钥(被称为“主密钥”)。用于该连接的所有其它密钥数据是从该主密钥得到的。该主密钥可以用于为客户端202和服务器206之间的每个通信会话制造会话密钥。预主密钥、主密钥、和会话密钥都是共享密钥212的示例。
一个或多个实施例在监测SSL/TLS连接的客户端202上提供提取模块230(也被称为可信代理),并且能够截获某些明确定义的应用程序接口(API)以直接提取主密钥、预主密钥、和/或会话密钥。客户端202上的提取模块230可以执行对共享密钥212的提取。将该信息通过安全带外(OOB)信道而安全地共享给安全模块220(一种可信并授权的网络装置)。在其它实施例中,通过非安全信道共享该信息。这允许安全模块220解密加密协议会话208、SSL/TLS通信、并且得到对网络流210的可视性。
在操作术语中,并且特定地在一个实施例中,随着建立每个加密协议会话208,在客户端202(用户工作站)上的提取模块208(特殊软件)找出共享密钥212(SSL密钥)。接着,发现协议将共享密钥212安全地传输到安全模块220。客户端202端到端地建立SSL连接(具有对目标站点的完全认证),但是安全模块220仍可以扫描该连接以保护客户端202。
另外,仅在发生公钥握手之后,共享密钥212可以与安全模块230共享,所以安全模块230可以使用每数据项的单个对称解密来解密该会话。
本公开的一个或多个实施例(1)保留端到端认证并且其可以用于到网络的被动连接,(2)减轻安全模块上的开销以存储每个单个连接的状态,其中必须构建第二个独立的SSL/TLS连接以便得到对加密业务流的可视性,并且(3)可以与SSL中客户端侧证书的用户兼容(在MITM中不支持)。
本公开的实施例提供基于客户端的方法来提取SSL/TLS主密钥和/或会话密钥并且使用单独的安全信道与授权安全模块共享这些密钥。实施例还使能扫描网络流而无需移除客户端执行端到端认证的能力,并且以对于安全设备(IPS、防火墙、安全模块)非常高效的方式来实现。
本公开的实施例提供一种用于解密加密协议会话(SSL/TLS会话)而不需要破坏客户端信任的系统。实施例提供:传递SSL握手而不改变;原始证书、原始CA信任;提取模块与安全模块功效会话密钥;密钥是短暂的证书,仅影响该会话;解密也可以比MITM块;解密也可以支持SSL相互认证、客户端侧和服务器认证;并且可以支持对业务的被动模式检查。
实施例还提供:安全设备可以在代理环境中使用,其中代理可以需要修改SSL明文;认证和信任仍然是端到端的;连接开始于“检查模式”中,其中所有数据都经过;如果代理需要改变明文(例如,修改URL、移除附件),则连接切换到“代理模式”。在实施例中的一个或多个中,在主机和服务器之间划分加密状态。将客户端解密状态复制以成为初始的服务器加密状态。将服务器解密状态复制以成为初始的客户端加密状态。安全设备使用单独的状态来解密和重新加密SSL数据。在这些步骤之间可以修改SSL明文。一旦代理修改了明文,代理内的加密状态可以在接收状态和重新加密状态之间分开(diverge)。一旦重新加密开始,其继续直到连接终止。
安全模块可以使用SSL密钥信息以解密/验证SSL会话信息,并且在其它恶意软件检测或数据丢失保护中检查SSL分组。
本公开的一个或多个实施例支持修改SSL/TLS握手以便改变可以进行协商的SSL参数。在这样的实施例中,一定还得到初始化矢量(IV)以允许对SSL/TLS结束握手消息的修改。这可以通过使用将主密钥作为共享密钥而实现。在另一实施例中,可以通过提取模块直接提取IV,并以与共享SSL/TLS会话密钥相同的方式将IV与安全模块共享。
在实施例中,握手可以被如下重写:
对于服务器问候(ServerHello)/客户端问候(ClientHello),通过:
A)将问候中的密码组列表限制为允许的列表;
B)将ClientHello中的密码组列表改为允许的列表;
C)将ServerHello中的所选定的密码组改为允许的列表中的密码组;
D)将来自客户端/服务器的随机数改为更安全的源;并且
E)通过从ClientHello移除会话而不允许会话继续。
对于客户端证书(ClientCertificate),通过:
A)提供一个或多个客户端证书;
B)替代一个或多个客户端证书;并且
C)移除一个或多个客户端证书。
对于客户端密钥交换,通过将来自客户端/服务器的随机数改为更安全的源。
在一个示例实施方式中,客户端202和/或防火墙204为网络元件,其是要包括网络装置、服务器、路由器、交换机、网关、网桥、负载平衡器、处理器、模块、或可操作以在网络环境中交换信息的任何其它合适的设备、组件、元件、或对象。网络元件可以包括促成其操作的任何合适的硬件、软件、组件、模块、或对象,以及用于在网络环境中接收、发送、和/或另外传送数据或信息的合适的接口。这可以包含允许对数据或信息的有效交换的适当算法和通信协议。然而,用户客户端202可以区别于其它网络元件,这是因为用户客户端202倾向于作为针对网络连接的终端点,与之对比的是倾向于作为网络连接中的中间点的网关或路由器。客户端202还可以代表无线网络节点,例如智能电话或其它类似的电信设备。
关于与网络环境200相关联的内部结构,客户端202和/或防火墙204中的每个可以包括用于存储要在本文中所概括的操作中所使用的信息的存储器元件。客户端202和/或防火墙204中的每个可以在任何合适的存储器元件中保持信息(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程ROM(EPROM)、电可擦可编程ROM(EEPROM)、专用集成电路(ASIC)等)、软件、硬件、或在适当的情况下并基于特定需要,可以在任何其它合适的组件、设备、元件、或对象中保持信息。本文中所讨论的存储器项(item)(例如,存储器元件250和252)应当被解释为被包含在宽泛的术语“存储器元件”内。可以将由客户端202和/或防火墙204所使用、追踪、发送、或接收的信息提供在任何数据库、寄存器、队列、表格、高速缓存、控制列表、或其它存储结构中,可以在任何合适的时间引用所有这些。任何这样的存储选项可以被包括在本文中所使用的宽泛术语“存储器元件”内。
在某些示例实施方式中,可以通过编码在一个或多个有形介质(例如,ASIC中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器执行的软件(潜在地包括对象代码和源代码)、或其它类似机器等)中的逻辑来实现本文中所概括的功能,所述有形介质可以包含非瞬时性介质。在这些事例中的一些中,存储器元件可以存储用于本文中所描述的操作的数据。这包括能够存储被执行以进行本文中所描述的活动的软件、连接、代码、或处理器指令的存储器元件。
在一个示例实施方式中,客户端202和/或防火墙204可以包括软件模块(例如,提取模块230和/或安全模块220)以实现或促进本文中概括的操作。在其它实施例中,这样的操作可以由硬件来执行、在这些元件外部实现、或被包括在一些其它网络设备中以实现所期望的功能。或者,这些元件可以包括进行协调以便实现本文中所概括的操作的软件(或往复软件)。在其它实施例中,这些设备中的一个或全部可以包括促成其操作的任何合适的算法、软件、组件、模块、接口、或对象。
另外,客户端202和/或防火墙204中的每个可以包括处理器260和262,其可以执行软件或算法以进行如本文中所讨论的活动。处理器可以执行与数据相关联的任意类型的指令以实现本文中所详述的操作。在一个示例中,处理器可以将元件或制品(例如,数据)从一个状态或物体转换为另一状态或物体。在另一示例中,可以使用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实行本文中所概括的活动,并且本文中所标识的元件可以是可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)、或包括数字逻辑、软件、代码、电子指令的ASIC、或其任意合适组合中的一些类型。本文中所描述的任何潜在的处理元件、模块、和机器应当被解释为被包含在宽泛的术语“处理器”内。
图3为根据实施例的具有SSL/TLS握手通信的网络环境的示出。网络环境300包括客户端302、防火墙304、服务器306。此外,客户端202包括提取模块308、防火墙304包括安全模块310以执行安全检查316,并且服务器306包括服务器证书312。
服务器证书312可以是图2中的权威证书214的一个示例。服务器证书312可以被传递到客户端202。客户端202可以将服务器证书312存储在真实证书权威信任314中。真实证书权威信任314可以是图2中的信任列表216的一个示例。
网络环境300还包括消息320-336。消息320-336可以是被包括作为用于SSL/TLS会话的握手的一部分的消息。SSL/TLS会话可以是图2中的加密协议会话208的一个示例。
消息320和322可以是包括ClientHello和ServerHello的初始消息。防火墙304可以允许消息320通过。即使消息320和322被分别标记,但是它们包含相同信息。
消息324和326可以是服务器306发送给客户端302的服务器证书312。防火墙304还通过这些消息。即使消息324和326被分别标记,但是它们包含相同信息。经由通过服务器证书312,客户端302可以确认该通信是来自服务器306的。
消息328和330是针对协商的结束消息。即使消息328和330被分别标记,但是它们包含相同信息。在其它实施例中,如果安全模块310想要选择密码组,则安全模块310可以改变消息328和/或330。在这种情况下,它们不可相同。
消息332可以是提取模块308何时向安全模块310发送共享密钥。消息332还可以是安全消息。
消息334和336可以代表网络流。这些消息表示通过防火墙306的数据。在一个或多个实施例中,防火墙306允许这些消息通过,在其它实施例中,防火墙306可以中介消息334和336。在后一种情况下,防火墙306可以延迟、终止、或修改消息334和336。
图4为根据有利的实施例的针对SSL/TLS的网络环境400的框图。网络环境400包括客户端402、防火墙404、和服务器406。此外,客户端202包括提取模块408并且防火墙304包括安全模块310。客户端402可以是如图2所示的客户端202的一个示例。防火墙404可以是如图2所示的防火墙204的一个示例。服务器406可以是如图2所示的服务器306的一个示例。
客户端202还包括应用412和操作系统(OS)414。应用412可以是发起与服务器406的加密协议会话的过程。可以将应用412加载到负责数据到服务器406的实际传输的操作系统414中。
提取模块408可以从操作系统414和/或应用412提取共享密钥。提取模块执行密钥共享以将共享密钥(SSL会话密钥或主密钥)发送给安全模块410。这允许安全模块执行对操作系统414与服务器406之间的网络流的解密。该网络流可以是SSL/TLS加密的业务。
图5为根据示例性实施例的作为代理的安全模块的示出。网络环境502可以包括网络流504、安全模块506、客户端解密状态508、服务器解密状态510、客户端加密状态512、和服务器加密状态514。
图5的(a)部分中的安全模块506可以是处于检查模式的代理。当处于检查模式时,安全模块506复制并解密网络流504。安全模块506使用客户端解密状态508来将来自客户端的网络流504解密,并使用服务器解密状态510来将来自服务器的网络流504解密。
在图5的(b)部分中,安全模块502转换到代理模式。安全模块506可以采用客户端解密状态508来创建服务器加密状态514,并采用服务器解密状态510来创建客户端加密状态512。除了类似于(a)部分中在检查模式中的解密之外,安全模块506还可以在(c)部分在代理模式中进行加密。
在(c)部分,安全模块506在网络流504之间。在代理模式期间,安全模块506可以通过、解密/加密、终止、和/或修改网络流504。为了修改网络流504,安全模块可以如之前在(a)部分中那样进行解密,但是接着使用客户端加密状态512和/或服务器加密状态514来加密网络流504。在实施例中,一旦安全模块开始修改网络流504,安全模块506可以在加密协议(SSL/TLS)会话的剩余时间内加密/解密剩余的网络流504。
图6为根据实施例的数据图的示出。数据图600表示典型的SSL/TLS数据结构。数据图600包括数据结构602-616。
提取模块可以使用基于API挂钩或签名的扫描来检查与目标应用存储器和地址相关的数据结构602-616。客户端可以由其它安全服务保护以在客户端经由安全OOB信道项安全模块发送敏感SSL密钥信息之前保护该敏感SSL密钥信息。
在实施例中,解密路径可以是Wininet.dll,其包括CFSM:RunworkItem、CFSM:Run、CFSM:SecureReceive、ICSECURESOCKET::RECEIVE_FSM、ICSecuresocket::DecryptData、以及ICSecuresocket::DecryptData。接着是Sspiceli.dll,其包括DecryptMessage和LsaunsealMessage。接着是Schannel.dll,其包括SpunsealMessage、SslUnsealMessageStream、TlsDecryptHandler、以及TlsDecryptMessag。接着是Ncrypt.dll,其包括SslDecryptpacke、SPSslDecryptPacket、以及TlsDecryptPacket。接着是Bcrypt.dll,其包括BcryptDecrypt。接着是Bcryptprimitives.dll,其包括MSCryptDecrypt、MSBlockDecrypt、以及AescbcDecrypt。
在实施例中,函数可以为DecryptMessage()函数。该函数可以如下使用:
SECURITY_STATUS SEC_Entry
DecryptMessage(_in PCtxtHandle phContext,_inout PSecBufferDescpMessage,_in ULONG MessageSeqNo,_out PULONG pfQOP)。
CtxtHandle可以是额外的上下文信息。
CtxtHandle可以通过CtxtHandle{Void*P_vtable;LSA_SEC_HANDLE usercontext;...}来访问LSA_SEC_HANDLE。
其中LSA_SEC_HANDLE、NCRYPT_KEY_HANDLE可以被访问。CSslContext包括Cipher ID、ReadKey、WriteKey、以及SessionID。
其中NCRYPT_KEY_HANDLE、BCRYPT_KEY_HANDLE可以被访问。SSL_KEY_HANDLE可以包括hmac_key和bcrypt_key handle。
其中BCRYPT_KEY_HANDLE,即共享密钥(会话密钥)可以被获得。MSCRYPT_SYMMKEY_HANDLE包括会话密钥和轮密钥(round key)。
图7为根据实施例的示出了使用共享库提取共享密钥的过程的简化流程图。流程700可以是在加密协议会话期间和/或在加密协议会话之前操作的过程。在710,提取模块将共享库加载到应用中。在720,提取模块在应用中识别任何加密结构。在730,提取模块将加密结构与提取函数挂钩(hook)。在740,响应于调用加密结构,执行模块执行提取函数以识别共享密钥。在750,提取模块提取共享密钥。在750之后,提取模块可以将共享密钥安全地传输到安全模块。
在操作术语中,并且具体地在一个实施例中,提取模块将DLL添加到应用(例如,网络浏览器)的过程空间中。为了做到这一点,提取模块:使用GetProcessAddress以找到LoadLibrary函数Kernel32.dll;经由VirtualAllocEx和WriteProcessMemory将具有路径的字符串置于被添加到网络浏览器过程空间中的DLL;并且调用CreateRemoteThread以在网络浏览器过程空间中使用LoadLibrary来启动线程作为线程方法,并传递在上文被分配为仅有的变量(argument)的字符串。接着,所添加的DLL:将SCHANNEL.DLL预先加载到过程空间中;找到加密数据结构的基础(base);并且将SCHANNEL.DLL的加密函数与自定义函数挂钩。接下来,当应用请求加密函数时,调用所挂钩的函数,该函数接着:调用原始SCHANNEL函数;在上述找到的数据结构中检查加密密钥材料,也可以找到主密钥;并且将由原始SCHANNEL函数返回的值返回。
图8为根据实施例的示出了从存储空间提取共享密钥的过程的简化流程图。流程800可以是在加密协议会话期间和/或在加密协议会话之前操作的过程。在810,提取模块在网络层处监测网络流。提取模块搜索加密协议会话的握手的发起。
在820,提取模块识别加密协议会话的握手的发起。在830,响应于识别出所述发起,提取模块打开发起加密的协议会话的过程的存储空间。在一个或多个实施例中,该过程可以是应用。
在840,提取模块在过程的存储空间内在加密协议会话中识别共享密钥。在850,提取模块提取共享密钥。在850之后,提取模块可以将共享密钥传输到安全模块。
在操作术语中,并且特别地在在一个实施例中,提取模块可以钩挂的TCP流中以寻找ClientHello消息。当找到ClientHello消息,并且直到找到针对该会话的密钥材料时,所有的TLS消息都被检查了。提取SessionID以用于ServerHello消息。在由所检查的过程处理每个分组之前和之后,经由EnumProcessModules and ReadProcessMemory查询该过程以:找出是否加载了SCHANNEL.DLL;在SCHANNEL.DLL中找出加密数据结构的基础;并且找出针对在ServerHello消息中找到的会话id的密钥材料,还可以找到预主密钥和/或主密钥。一旦找到密钥材料,则将该密钥材料发送到安全模块。在图7中可以扩展这个过程,以通过搜索找到适当数据结构的过程空间而找到密钥材料(包括那些静态链接的)。
图9为根据实施例的示出了分析加密的网络流的过程的简化流程图。流程900可以是在加密协议会话期间操作的过程。在902,安全模块监测位于第一节点和第二节点之间的加密的网络流,该网络流是从第一节点发起的。在实施例中,第一节点可以是客户端而第二节点可以是服务器。加密的网络流位于第一节点和第二节点之间的两个方向传播。
在904,安全模块复制加密的网络流以形成该加密的网络流的副本。在906,安全模块使用共享密钥解密该加密的网络流的副本。该共享密钥与第一节点和第二节点相关联。第一节点和第二节点都知道该共享密钥。在实施例中,第一节点提供该共享密钥。通过知道该共享密钥,安全模块可以在不干扰该网络流的情况下解密该网络流。
在908,安全模块针对目标数据而扫描该网络流副本。目标数据可以为由客户端、用户、安全模块、防火墙、安全软件、策略服务器、或其它实体所视为目标的数据。
另外,在一个或多个实施例中,在902之前,提取模块可以从第一节点提取共享密钥。另外,在一个或多个实施例中,作为902处的监测一部分,安全模块可以延迟该加密的网络流并且转发该加密的网络流。在该实施例中,安全模块会延迟进行转发以给出扫描该网络流的副本的时间。响应于在该网络流副本中识别出目标数据,安全模块可以终止该加密的网络流。
图10还根据实施例示出了耦合到处理器1000的存储器1002。存储器1002可以是对本领域技术人员已知或可用的各种存储器(包括存储器分层结构中的各个层)中的任意一种。存储器1002可以包括要由处理器1000执行的代码1004,代码1004可以为一个或多个指令。处理器1000遵循由代码1004指定的指令的程序序列。每个指令进入前端逻辑1006并且由一个或多个解码器1008进行处理。解码器可以生成诸如处于预先定义的格式的固定宽度微操作这样的微操作以作为其输出,或可以生成反映原始代码指令的其它指令、微指令、或控制信号以作为其输出。前端逻辑1006还包括寄存器重命名逻辑1010和调度逻辑1012,其总体上分配资源并且将与转换指令对应的操作排队以供执行。
所示的处理器1000包括具有一组执行单元1016-1到1016-N的执行逻辑1014。一些实施例可以包括专用于特定功能或功能组的多个执行单元。其它实施例可以仅包括一个执行单元或可以包括能够执行特定功能的一个执行单元。执行逻辑1014执行由代码指令所规定的操作。
在完成对由代码指令所规定的操作的执行之后,后端逻辑1018使代码1004的指令退出(retire)。在一个实施例中,处理器1000允许无序执行,但需要指令的有序退出。退出逻辑1020可采取如本领域中的技术人员已知的各种形式(例如,重排序缓冲器等)。以这种方式,在代码1004的执行期间,至少在由解码器所生成的输出、由寄存器重命名逻辑1010所利用的硬件寄存器和表格以及由执行逻辑1014修改的任何寄存器(未示出)方面,处理器核心1000发生变换。
虽然未在图7中示出,但是处理元件可包括在具有处理器1000的芯片上的其它元件。例如,处理元件可包括连同处理器1000的存储器控制逻辑。处理元件可包括I/O控制逻辑和/或可包括与存储器控制逻辑集成的I/O控制逻辑。处理元件还可包括一个或多个高速缓存。
图11示出了根据实施例的被布置为点对点(PtP)配置的计算系统1100。特别地,图11示出了在其中处理器、存储器和输入/输出设备通过多个点对点接口进行互连的系统。
如图11所示,系统1100包括多个处理器,为清楚起见,仅示出其中的两个处理器1102和1104。处理器1102和1104每个均包括一组内核1103和1105,以执行程序的多个过程。处理器1102和1104每个还包括集成存储器控制器逻辑(MC)1106和1108,以与存储器1110和1112进行通信。存储器1110和/或1112可以存储各种数据,例如参照存储器1112所讨论的那些数据。在替代实施例中,存储器控制器逻辑1106和1108可以独立于处理器1102和1104。
处理器1102和1104可以是诸如参照图1所讨论的处理器102的任意类型的处理器。处理器1102和1104分别经由点对点(PtP)接口1114使用PtP接口电路1116和1118而交换数据。处理器1102和1104每个均经由单个的PtP接口1122和1124使用点对点接口电路1126、1128、1130、和1132而与芯片组1120交换数据。芯片组1120还经由高性能图形接口1136使用接口电路1137(其可以为PtP接口电路)而与高性能图形电路1134交换数据。在替代实施例中,图11中示出的任何或所有PtP链路可以被实现为多点分支总线而非PtP链路。
如本文中所公开的,可以在处理器1102和1104内提供至少一个实施例。然而,其它实施例可以存在于图11的系统1100内的其它电路、逻辑单元、或设备中。此外,其它实施例可以分布遍及图11示出的几个电路、逻辑单元或设备。
芯片组1120经由PtP接口电路1141而与总线1140进行通信。总线1140可具有在其上进行通信的一个或多个设备,例如总线桥1142和I/O设备1143。总线桥1143经由总线1144而与其它设备例如键盘/鼠标1145(或其它输入设备,诸如例如触摸屏)、通信设备1146(例如,调制解调器、网络接口设备或可以通过计算机网络进行通信的其它类型的通信设备)、音频I/O设备1147、和/或数据存储设备1148进行通信。数据存储设备1148可以存储由处理器1102和/或1104执行的代码1149。在替代实施例中,总线架构的任意部分可以使用一个或多个PtP链路来实现。
图10和11中描绘的计算机系统为可以被用来实现本文中所讨论的各个实施例的计算系统的实施例的示意示出。将会意识到,图10和11中描绘的系统的各个组件可以在片上系统(SoC)架构或在任何其它合适的配置中进行组合。例如,本文中所公开的实施例可以被并入到诸如例如移动设备(例如,智能蜂窝电话、平板计算机、个人数字助理、便携式游戏设备等)的系统中。将会意识到,在至少一些实施例中,这些移动设备可以被提供有SoC架构。
应当注意在某些示例实施方式中,可以通过编码在一个或多个有形介质(例如,专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器执行的软件(潜在地包括对象代码和源代码)、或其它类似机器等)中的逻辑来实现本文中所概括的安全模块和提取模块功能。在这些实例中的一些中,存储器元件可以存储用于本文中所描述的操作的数据。这包括能够存储被执行以进行本说明书中所描述的活动的软件、连接、代码、或处理器指令的存储器元件。处理器可以执行与数据相关联的任何类型的指令,以实现在本说明书中所详细描述的操作。在一个实施例中,处理器可以将元件或制品(例如,数据)从一个状态或物体转换为另一状态或物体。在另一示例中,可以使用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实行本文中所概括的活动,并且本文中所标识的元件可以是可编程处理器、可编程数字逻辑(例如,FPGA、EPROM、EEPROM)、或包括数字逻辑、软件、代码、电子指令的ASIC、或其任意合适组合中的一些类型。
在一个示例实施方式中,安全模块和提取模块可以包括软件以便实现本文中所概括的安全活动。如本文中所讨论的,安全模块和提取模块可以包括存储器元件,该存储器元件用于存储在实现安全活动时使用的信息。另外,如在本说明书中所公开的,安全模块和提取模块可以包括执行软件或算法以进行安全活动的处理器。在适当并且基于特定需要的情况下,这些设备还可以在任何适合的存储器元件(随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等)、软件、硬件、或任何其它合适的组件、设备、元件、或对象中保留信息。另外,安全模块和提取模块可以为软件、硬件、固件或其组合。本文中所讨论的任何存储器项(例如,数据库、表格、树、高速缓存等)应当被解释为被包含在宽泛的术语“存储器元件”内。类似地,本说明书中所描述的任何潜在的处理元件、模块和机器应当被解释为被包含在宽泛的术语“处理器”内。
应当注意到,有了上文所提供的实施例,以及本文中所提供的许多其它示例,可以以两个、三个、或四个元件来描述交互。然而,这仅仅是为了清楚和示例的目的。在某些情况下,通过仅参照有限数量的元件可以更容易地描述给定的流程组的功能中的一个或多个。应当意识到,安全模块和提取模块(以及它们的研究内容(teaching))是容易伸缩的并且可以容纳大量的组件以及更复杂/精密的布置和配置。由此,所提供的示例不应限制或抑制潜在地应用于大量其它架构的安全模块和提取模块的宽泛的研究内容。
重要的是要注意到,前述流程图中的操作仅示出了可以由安全模块和提取模块执行的、或可以在安全模块和提取模块内执行的一些可能的情境和模式。在适当情况下,这些操作中的一些可以被删除或移除、或可以被显著修改或改变而不背离本公开的范围。另外,多个这些操作已被描述为与一个或多个额外操作同时执行、或与一个或多个额外操作并行执行。然而,可以显著改变这些操作的时序。已经为了示例和讨论的目的提供了前述操作流。安全模块和提取模块提供了大量的灵活性,这在于可以提供任何适合的布置、时间表、配置、和时序机制而不背离本公开的研究内容。
尽管已经参照特定布置和配置详细描述了本公开,但是这些示例配置和布置可以明显改变而不背离本公开的范围。
以下示例关于根据本说明书的实施例。一个或多个实施例可以提供用于分析加密的网络流的方法。所述方法可以包括:监测位于第一节点和第二节点之间的所述加密的网络流,该网络流是从所述第一节点发起的;复制所述加密的网络流以形成所述加密的网络流的副本;使用共享密钥对所述加密的网络流的所述副本进行加密,所述共享密钥与所述第一节点和所述第二节点相关联;并且针对目标数据而扫描该网络流副本。
实施例的示例还包括从所述第一节点提取所述共享密钥。
实施例的示例还包括延迟所述加密的网络流;并且转发所述加密的网络流。
实施例的示例还包括,响应于在该网络流副本中识别出目标数据,终止所述加密的网络流。
实施例的示例还包括,响应于在该网络流副本中识别出目标数据,在进行转发之前,使用所述共享密钥对所述加密的网络流进行解密;修改未加密的网络流以移除所述目标数据;并且使用所述共享密钥对修改的网络流进行加密;并且转发所述修改的网络流。
实施例的示例还包括,其中,从所述第一节点提取所述共享密钥包括:将共享库加载到所述第一节点上的应用中,其中,所述应用正在访问加密的协议会话,并且其中,所述共享库允许通过所述应用对加密协议会话进行访问;并且在所述加密协议会话中识别所述共享密钥。
实施例的示例还包括,其中,从所述第一节点提取所述共享密钥包括:在网络层处监测网络流;识别加密协议会话的握手的发起;响应于识别出所述发起,打开发起该加密的协议会话的过程的存储空间;并且在所述过程的所述存储空间内在所述加密协议会话中识别所述共享密钥。
实施例的示例包括所述共享密钥为主密钥、预主密钥、会话上下文中的至少一个。如在本文中所使用的,术语“中的至少一个”可以意味着该列表的任意一个或任意组合。例如,A、B和C中的至少一个可以意味着A、B、或C、或其任意组合。
实施例的示例还包括限制用于对所述第一节点和所述第二节点之间的网络流进行加密的加密方法的数量。
一个或多个实施例提供一种用于从第一节点提取共享密钥的方法、装置、和/或机器可访问存储介质。所述方法包括将共享库加载到所述第一节点上的应用中,其中,所述应用正在访问该加密的协议会话,并且其中,所述共享库允许通过所述应用对加密协议会话进行访问;并且在所述加密协议会话中识别所述共享密钥。
一个或多个实施例提供一种用于从第一节点提取共享密钥的方法、装置、和/或机器可访问存储介质。所述方法包括在网络层处监测网络流;识别加密协议会话的握手的发起;响应于识别出所述发起,打开发起该加密的协议会话的过程的存储空间;并且在所述过程的所述存储空间内在所述加密协议会话中识别所述共享密钥。
实施例的示例还包括从所述过程的所述存储空间提取所述共享密钥。
实施例的示例还包括将所述共享密钥发送到安全模块。
一个或多个实施例提供只用装置。所述装置包括安全模块,所述安全模块被配置为监测位于第一节点和第二节点之间的加密的网络流,该网络流是从所述第一节点发起的;复制所述加密的网络流以形成所述加密的网络流的副本;使用共享密钥对所述加密的网络流的所述副本进行解密,所述共享密钥与所述第一节点和所述第二节点相关联;并且针对目标数据而扫描该网络流副本。
实施例的示例还包括提取模块,所述提取模块被配置为从所述第一节点提取所述共享密钥。
实施例的示例还包括,其中,所述安全模块进一步被配置为:延迟所述加密的网络流;并且转发所述加密的网络流。
实施例的示例还包括,其中,所述安全模块进一步被配置为:响应于在该网络流副本中识别出目标数据,终止所述加密的网络流。
实施例的示例还包括,其中,所述安全模块进一步被配置为:响应于在该网络流副本中识别出目标数据,在进行转发之前,使用所述共享密钥对所述加密的网络流进行解密;修改未加密的网络流以移除所述目标数据;并且使用所述共享密钥对修改的网络流进行加密;并且转发所述修改的网络流。
实施例的示例还包括,其中,被配置为从所述第一节点提取所述共享密钥的所述提取模块包括执行下列操作的所述提取模块:将共享库加载到所述第一节点上的应用中,其中,所述应用正在访问加密的协议会话,并且其中,所述共享库允许通过所述应用对加密协议会话进行访问;并且在所述加密协议会话中识别所述共享密钥。
实施例的示例还包括,其中,被配置为从所述第一节点提取所述共享密钥的所述提取模块包括执行下列操作的所述提取模块:在网络层处监测网络流;识别加密协议会话的握手的发起;响应于识别出所述发起,打开发起该加密的协议会话的过程的存储空间;并且在所述过程的所述存储空间内在所述加密协议会话中识别所述共享密钥。
实施例的示例还包括,其中,所述共享密钥为主密钥、预主密钥、会话上下文中的至少一个。
实施例的示例还包括,其中,所述安全模块进一步被配置为:限制用于对所述第一节点和所述第二节点之间的网络流进行加密的加密方法的数量。
一个或多个实施例提供具有存储于其上的用于分析加密的网络流的指令的至少一种机器可访问存储介质,当在机器上执行所述指令时,使得所述机器:监测位于第一节点和第二节点之间的所述加密的网络流,该网络流是从所述第一节点发起的;复制所述加密的网络流以形成所述加密的网络流的副本;使用共享密钥对所述加密的网络流的所述副本进行解密,所述共享密钥与所述第一节点和所述第二节点相关联;并且针对目标数据而扫描该网络流副本。
实施例的示例还包括指令,当在所述机器上执行时,使得所述机器:从所述第一节点提取所述共享密钥。
实施例的示例还包括指令,当在所述机器上执行时,使得所述机器:延迟所述加密的网络流;并且转发所述加密的网络流。
实施例的示例还包括指令,当在所述机器上执行时,使得所述机器:响应于在该网络流副本中识别出目标数据,终止所述加密的网络流。
实施例的示例还包括指令,当在所述机器上执行时,使得所述机器:响应于在该网络流副本中识别出目标数据,在进行转发之前,使用所述共享密钥对所述加密的网络流进行解密;修改未加密的网络流以移除所述目标数据;并且使用所述共享密钥对修改的网络流进行加密;并且转发所述修改的网络流。
实施例的示例还包括,其中,当在所述机器上执行所述指令时,使得所述机器从所述第一节点提取所述共享密钥,还包括指令,当在所述机器上执行时,使得所述机器:将共享库加载到所述第一节点上的应用中,其中,所述应用正在访问加密的协议会话,并且其中,所述共享库允许通过所述应用对加密协议会话进行访问;并且在所述加密协议会话中识别所述共享密钥。
实施例的示例还包括,其中,当在所述机器上执行所述指令时,使得所述机器从所述第一节点提取所述共享密钥,还包括指令,当在所述机器上执行时,使得所述机器:在网络层处监测网络流;识别加密协议会话的握手的发起;响应于识别出所述发起,打开发起该加密的协议会话的过程的存储空间;并且在所述过程的所述存储空间内在所述加密协议会话中识别所述共享密钥。
实施例的示例还包括,其中,所述共享密钥为主密钥、预主密钥、会话上下文中的至少一个。
实施例的示例还包括指令,当在所述机器上执行时,使得所述机器限制用于对所述第一节点和所述第二节点之间的网络流进行加密的加密方法的数量。
Claims (25)
1.具有存储于其上的用于分析加密的网络流的指令的至少一种机器可访问存储介质,当在机器上执行所述指令时,使得所述机器:
监测位于第一节点和第二节点之间的所述加密的网络流,该网络流是从所述第一节点发起的;
复制所述加密的网络流以形成所述加密的网络流的副本;
使用共享密钥对所述加密的网络流的所述副本进行解密,所述共享密钥与所述第一节点和所述第二节点相关联;并且
针对目标数据扫描该网络流副本。
2.根据权利要求1所述的机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
从所述第一节点提取所述共享密钥。
3.根据权利要求2所述的机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
将共享库加载到所述第一节点上的应用中,其中,所述应用正在访问加密的协议会话,并且其中,所述共享库允许通过所述应用对加密协议会话进行访问;并且
在所述加密协议会话中识别所述共享密钥。
4.根据权利要求2所述的机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
在网络层处监测网络流;
识别加密协议会话的握手的发起;
响应于识别出所述发起,打开发起该加密的协议会话的过程的存储空间;并且
在所述过程的所述存储空间内在所述加密协议会话中识别所述共享密钥。
5.根据权利要求1所述的机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
延迟所述加密的网络流;并且
转发所述加密的网络流。
6.根据权利要求1所述的机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
响应于在所述网络流副本中识别出目标数据,终止所述加密的网络流。
7.根据权利要求1-4和6中的任意一项所述的机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
响应于在所述网络流副本中识别出目标数据,使用所述共享密钥对所述加密的网络流进行解密;
修改未加密的网络流以移除所述目标数据;
使用所述共享密钥对修改的网络流进行加密;并且
转发所述修改的网络流。
8.根据权利要求1-6中的任意一项所述的机器可访问存储介质,其中,所述共享密钥为主密钥、预主密钥、和会话上下文中的至少一个。
9.根据权利要求1-6中的任意一项所述的机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
限制用于对位于所述第一节点和所述第二节点之间的网络流进行加密的加密方法的数量。
10.一种用于分析加密的网络流的方法,包括:
监测位于第一节点和第二节点之间的所述加密的网络流,该网络流是从所述第一节点发起的;
复制所述加密的网络流以形成所述加密的网络流的副本;
使用共享密钥对所述加密的网络流的所述副本进行解密,所述共享密钥与所述第一节点和所述第二节点相关联;并且
针对目标数据扫描该网络流副本。
11.根据权利要求10所述的方法,还包括:
从所述第一节点提取所述共享密钥。
12.根据权利要求10所述的方法,还包括:
响应于在所述网络流副本中识别出目标数据,终止所述加密的网络流。
13.根据权利要求10-12中的任意一项所述的方法,还包括:
响应于在所述网络流副本中识别出目标数据,使用所述共享密钥对所述加密的网络流进行解密;
修改未加密的网络流以移除所述目标数据;
使用所述共享密钥对修改的网络流进行加密;并且
转发所述修改的网络流。
14.一种装置,包括:
安全模块,其被配置为:
监测位于第一节点和第二节点之间的加密的网络流,该网络流是从所述第一节点发起的;
复制所述加密的网络流以形成所述加密的网络流的副本;
使用共享密钥对所述加密的网络流的所述副本进行解密,所述共享密钥与所述第一节点和所述第二节点相关联;并且
针对目标数据扫描该网络流副本。
15.根据权利要求14所述的装置,还包括:
提取模块,其被配置为从所述第一节点提取所述共享密钥。
16.根据权利要求15所述的装置,其中,被配置为从所述第一节点提取所述共享密钥的所述提取模块包括被配置为执行下列操作的所述提取模块:
将共享库加载到所述第一节点上的应用中,其中,所述应用正在访问加密的协议会话,并且其中,所述共享库允许通过所述应用对加密协议会话进行访问;并且
在所述加密协议会话中识别所述共享密钥。
17.根据权利要求15所述的装置,其中,被配置为从所述第一节点提取所述共享密钥的所述提取模块包括被配置为执行下列操作的所述提取模块:
在网络层处监测网络流;
识别加密协议会话的握手的发起;
响应于识别出所述发起,打开发起该加密的协议会话的过程的存储空间;并且
在所述过程的所述存储空间内在所述加密协议会话中识别所述共享密钥。
18.根据权利要求14所述的装置,其中,所述安全模块进一步被配置为:
延迟所述加密的网络流;并且
转发所述加密的网络流。
19.根据权利要求14所述的装置,其中,所述安全模块进一步被配置为:
响应于在所述网络流副本中识别出目标数据,终止所述加密的网络流。
20.根据权利要求14-17和19中的任意一项所述的装置,其中,所述安全模块进一步被配置为:
响应于在所述网络流副本中识别出目标数据,使用所述共享密钥对所述加密的网络流进行解密;
修改未加密的网络流以移除所述目标数据;
使用所述共享密钥对修改的网络流进行加密;并且
转发所述修改的网络流。
21.根据权利要求14-19中的任意一项所述的装置,其中,所述共享密钥为主密钥、预主密钥、和会话上下文中的至少一个。
22.根据权利要求14-19中的任意一项所述的装置,其中,所述安全模块进一步被配置为:
限制用于对位于所述第一节点和所述第二节点之间的网络流进行加密的加密方法的数量。
23.具有存储于其上的用于从第一节点提取共享密钥的指令的至少一种机器可访问存储介质,当在机器上执行所述指令时,使得所述机器:
在网络层处监测网络流;
识别加密协议会话的握手的发起;
响应于识别出所述发起,打开发起该加密的协议会话的过程的存储空间;并且
在所述过程的所述存储空间内在所述加密协议会话中识别所述共享密钥。
24.根据权利要求23所述的至少一种机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
从所述过程的所述存储空间提取所述共享密钥。
25.根据权利要求23-24中的任意一项所述的至少一种机器可访问存储介质,还包括指令,当在所述机器上执行所述指令时,使得所述机器:
将所述共享密钥发送到安全模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/656,406 | 2012-10-19 | ||
| US13/656,406 US9176838B2 (en) | 2012-10-19 | 2012-10-19 | Encrypted data inspection in a network environment |
| PCT/US2013/065680 WO2014063050A1 (en) | 2012-10-19 | 2013-10-18 | Encrypted data inspection in a network environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104662551A true CN104662551A (zh) | 2015-05-27 |
| CN104662551B CN104662551B (zh) | 2017-09-15 |
Family
ID=50486636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380048778.3A Active CN104662551B (zh) | 2012-10-19 | 2013-10-18 | 在网络环境中对加密的数据的检查 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US9176838B2 (zh) |
| EP (1) | EP2909782B1 (zh) |
| JP (2) | JP6006423B2 (zh) |
| KR (1) | KR101662614B1 (zh) |
| CN (1) | CN104662551B (zh) |
| WO (1) | WO2014063050A1 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107005400A (zh) * | 2015-08-25 | 2017-08-01 | 华为技术有限公司 | 业务处理方法及装置 |
| CN108885665A (zh) * | 2016-04-04 | 2018-11-23 | 比特梵德知识产权管理有限公司 | 用于解密虚拟化环境中的网络流量的系统和方法 |
| CN109496414A (zh) * | 2016-07-28 | 2019-03-19 | 皇家飞利浦有限公司 | 识别数据将被复制到的网络节点 |
| CN110545256A (zh) * | 2019-07-15 | 2019-12-06 | 中移(杭州)信息技术有限公司 | 数据传输方法、系统、电子设备、中转服务器及存储介质 |
| CN110661766A (zh) * | 2018-06-29 | 2020-01-07 | 卡巴斯基实验室股份制公司 | 分析加密网络业务的内容的系统和方法 |
| CN110995422A (zh) * | 2019-11-29 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据分析方法、系统、设备及计算机可读存储介质 |
| CN111147134A (zh) * | 2018-11-06 | 2020-05-12 | 中国电信股份有限公司 | 数据传输装置和方法、数据测试系统以及存储介质 |
| CN111819824A (zh) * | 2017-12-23 | 2020-10-23 | 迈克菲有限责任公司 | 在无中间人代理的情况下解密传输层安全流量 |
| CN112291138A (zh) * | 2020-11-16 | 2021-01-29 | 北京北信源软件股份有限公司 | 一种邮件数据审核方法、装置、电子设备及存储介质 |
| CN113162764A (zh) * | 2021-04-20 | 2021-07-23 | 河北布数智能科技有限公司 | 一种加密的网络握手算法 |
| CN113630251A (zh) * | 2020-05-08 | 2021-11-09 | 瞻博网络公司 | 使用签名后的统一资源定位符进行网络业务监测或存储 |
| CN114143116A (zh) * | 2022-01-29 | 2022-03-04 | 奇安信科技集团股份有限公司 | 加密流量分析方法、装置、电子设备、介质及程序 |
| WO2022100002A1 (zh) * | 2020-11-10 | 2022-05-19 | 华为技术有限公司 | 网络安全防护方法以及防护设备 |
Families Citing this family (91)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8467527B2 (en) | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
| US9176838B2 (en) | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
| TW201427366A (zh) * | 2012-12-28 | 2014-07-01 | Ibm | 企業網路中為了資料外洩保護而解密檔案的方法與資訊裝置 |
| US9298911B2 (en) | 2013-03-15 | 2016-03-29 | Intel Corporation | Method, apparatus, system, and computer readable medium for providing apparatus security |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9367676B2 (en) | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
| US9961077B2 (en) | 2013-05-30 | 2018-05-01 | Nok Nok Labs, Inc. | System and method for biometric authentication with device attestation |
| WO2015128609A1 (en) | 2014-02-28 | 2015-09-03 | British Telecommunications Public Limited Company | Profiling for malicious encrypted network traffic identification |
| EP3111614B1 (en) | 2014-02-28 | 2018-04-18 | British Telecommunications public limited company | Malicious encrypted network traffic identification |
| WO2015128612A1 (en) * | 2014-02-28 | 2015-09-03 | British Telecommunications Public Limited Company | Malicious encrypted traffic inhibitor |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US9577999B1 (en) | 2014-05-02 | 2017-02-21 | Nok Nok Labs, Inc. | Enhanced security for registration of authentication devices |
| US9413533B1 (en) | 2014-05-02 | 2016-08-09 | Nok Nok Labs, Inc. | System and method for authorizing a new authenticator |
| US9584492B2 (en) * | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
| US9875347B2 (en) | 2014-07-31 | 2018-01-23 | Nok Nok Labs, Inc. | System and method for performing authentication using data analytics |
| US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
| US9749131B2 (en) | 2014-07-31 | 2017-08-29 | Nok Nok Labs, Inc. | System and method for implementing a one-time-password using asymmetric cryptography |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| US9736154B2 (en) | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| JP6369554B2 (ja) * | 2014-09-25 | 2018-08-08 | 日本電気株式会社 | 解析システム、解析方法、及び、解析プログラム |
| JP6369553B2 (ja) * | 2014-09-25 | 2018-08-08 | 日本電気株式会社 | 解析システム、解析方法、及び、解析プログラム |
| JP6850530B2 (ja) * | 2014-10-20 | 2021-03-31 | タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited | セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法 |
| US9774631B2 (en) * | 2014-10-29 | 2017-09-26 | International Business Machines Corporation | TLS connection abandoning |
| US10375112B2 (en) * | 2014-11-19 | 2019-08-06 | At&T Intellectual Property I, L.P. | Method and apparatus for decryption of encrypted SSL data from packet traces |
| CN106031097A (zh) * | 2015-01-14 | 2016-10-12 | 华为技术有限公司 | 业务处理方法及装置 |
| WO2016146610A1 (en) | 2015-03-17 | 2016-09-22 | British Telecommunications Public Limited Company | Malicious encrypted network traffic identification using fourier transform |
| CN107637041B (zh) | 2015-03-17 | 2020-09-29 | 英国电讯有限公司 | 识别恶意加密网络流量的方法与系统以及计算机程序元件 |
| US10110566B2 (en) * | 2015-07-21 | 2018-10-23 | Baffle, Inc. | Systems and processes for executing private programs on untrusted computers |
| US9942202B2 (en) * | 2015-09-08 | 2018-04-10 | Microsoft Technology Licensing, Llc | Trust status of a communication session |
| US10462116B1 (en) * | 2015-09-15 | 2019-10-29 | Amazon Technologies, Inc. | Detection of data exfiltration |
| US10218682B1 (en) * | 2016-01-19 | 2019-02-26 | Amazon Technologies, Inc. | Secure network protocol cryptographic processing |
| US10127368B2 (en) | 2016-03-01 | 2018-11-13 | Filevine, Inc. | Systems for identity validation and association |
| JP6699377B2 (ja) * | 2016-06-09 | 2020-05-27 | 富士ゼロックス株式会社 | 通信データ中継装置及びプログラム |
| US10291600B2 (en) | 2016-06-16 | 2019-05-14 | International Business Machines Corporation | Synchronizing secure session keys |
| US10291405B2 (en) | 2016-07-15 | 2019-05-14 | International Business Machines Corporation | Seamless abort and reinstatement of TLS sessions |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10079810B1 (en) * | 2016-09-30 | 2018-09-18 | EMC IP Holding Company LLC | Decryption and analysis of network traffic using key material collected from endpoint devices of a computer network |
| US10454961B2 (en) | 2016-11-02 | 2019-10-22 | Cujo LLC | Extracting encryption metadata and terminating malicious connections using machine learning |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| DE102017202002A1 (de) | 2017-02-08 | 2018-08-09 | Siemens Aktiengesellschaft | Verfahren und Computer zum kryptografischen Schützen von Steuerungskommunikation in und/oder Service-Zugang zu IT-Systemen, insbesondere im Zusammenhang mit der Diagnose und Konfiguration in einem Automatisierungs-, Steuerungs- oder Kontrollsystem |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US10819749B2 (en) | 2017-04-21 | 2020-10-27 | Netskope, Inc. | Reducing error in security enforcement by a network security system (NSS) |
| US10855694B2 (en) * | 2017-05-30 | 2020-12-01 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment |
| US10542041B2 (en) * | 2017-06-01 | 2020-01-21 | International Business Machines Corporation | Cacheless session ticket support in TLS inspection |
| US10903985B2 (en) | 2017-08-25 | 2021-01-26 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques |
| US10992652B2 (en) * | 2017-08-25 | 2021-04-27 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted network traffic flows |
| US10536268B2 (en) | 2017-08-31 | 2020-01-14 | Cisco Technology, Inc. | Passive decryption on encrypted traffic to generate more accurate machine learning training data |
| JP6869859B2 (ja) * | 2017-09-14 | 2021-05-12 | Kddi株式会社 | 解析装置、監視システム、監視方法及び解析プログラム |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10764328B2 (en) * | 2017-11-03 | 2020-09-01 | International Business Machines Corporation | Altering cipher and key within an established session |
| JP6919523B2 (ja) * | 2017-11-22 | 2021-08-18 | 大日本印刷株式会社 | セキュアエレメント、クライアント端末、情報処理方法及び情報処理プログラム |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US10979404B2 (en) * | 2018-03-29 | 2021-04-13 | Paypal, Inc. | Systems and methods for inspecting communication within an encrypted session |
| RU2706894C1 (ru) | 2018-06-29 | 2019-11-21 | Акционерное общество "Лаборатория Касперского" | Система и способ анализа содержимого зашифрованного сетевого трафика |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10893030B2 (en) | 2018-08-10 | 2021-01-12 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element |
| US11310246B2 (en) * | 2018-08-10 | 2022-04-19 | Cisco Technology, Inc. | Endpoint-assisted inspection of encrypted network traffic |
| WO2020073267A1 (en) * | 2018-10-11 | 2020-04-16 | Entit Software Llc | Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation |
| US11063921B2 (en) * | 2018-11-06 | 2021-07-13 | International Business Machines Corporation | Extracting data from passively captured web traffic that is encrypted in accordance with an anonymous key agreement protocol |
| US11025601B2 (en) * | 2018-12-04 | 2021-06-01 | Citrix Systems, Inc. | System and apparatus for enhanced QOS, steering and policy enforcement for HTTPS traffic via intelligent inline path discovery of TLS terminating node |
| US11087179B2 (en) | 2018-12-19 | 2021-08-10 | Netskope, Inc. | Multi-label classification of text documents |
| US11070363B1 (en) * | 2018-12-21 | 2021-07-20 | Mcafee, Llc | Sharing cryptographic session keys among a cluster of network security platforms monitoring network traffic flows |
| US11386207B2 (en) | 2019-01-30 | 2022-07-12 | EMC IP Holding Company LLC | Metadata-based floating code signature generation for endpoint devices of a computer network |
| US12041039B2 (en) | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| US11019044B2 (en) * | 2019-03-08 | 2021-05-25 | Gigamon Inc. | Correlating network flows through a proxy device |
| JP6821092B1 (ja) * | 2019-03-11 | 2021-01-27 | 三菱電機株式会社 | データ管理装置、データ管理システム、データ管理方法及びプログラム |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11470065B2 (en) | 2019-07-17 | 2022-10-11 | Red Hat, Inc. | Protection of private data using an enclave cluster |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
| KR102713059B1 (ko) * | 2019-12-18 | 2024-10-02 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 네트워크 구성을 위한 보안 협상 실행 |
| US11388146B2 (en) | 2020-01-10 | 2022-07-12 | Bitglass, Llc | Secure low-latency trapdoor proxy |
| US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
| US11190417B2 (en) | 2020-02-04 | 2021-11-30 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for processing network flow metadata at a network packet broker |
| US11405369B1 (en) * | 2020-03-25 | 2022-08-02 | Amazon Technologies, Inc. | Distributed encrypted session resumption |
| US11394563B2 (en) | 2020-04-30 | 2022-07-19 | Zscaler, Inc. | Encrypted traffic inspection in a cloud-based security system |
| US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| KR102460695B1 (ko) * | 2022-02-24 | 2022-10-31 | 프라이빗테크놀로지 주식회사 | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| WO2001063879A1 (en) * | 2000-02-23 | 2001-08-30 | Sun Microsystems, Inc. | Content screening with end-to-end encryption |
| US20080192930A1 (en) * | 2002-04-04 | 2008-08-14 | At&T Corporation | Method and System for Securely Scanning Network Traffic |
| US7516485B1 (en) * | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
| CN101783791A (zh) * | 2009-01-16 | 2010-07-21 | 深圳市维信联合科技有限公司 | 实现网络接入认证、传输加密、utm的系统及方法 |
| CN101795271A (zh) * | 2010-01-20 | 2010-08-04 | 西安电子科技大学 | 网络安全打印系统及打印方法 |
| CN101980500A (zh) * | 2010-11-08 | 2011-02-23 | 中国电信股份有限公司 | 基于数字签名的点对点流量控制方法与系统 |
Family Cites Families (77)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08204702A (ja) | 1995-01-30 | 1996-08-09 | Nec Corp | 暗号鍵管理装置 |
| US5974549A (en) * | 1997-03-27 | 1999-10-26 | Soliton Ltd. | Security monitor |
| US6167136A (en) | 1997-05-16 | 2000-12-26 | Software Security, Inc. | Method for preventing copying of digital video disks |
| US6754820B1 (en) | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| US6745385B1 (en) * | 1999-09-01 | 2004-06-01 | Microsoft Corporation | Fixing incompatible applications by providing stubs for APIs |
| US20080192928A1 (en) | 2000-01-06 | 2008-08-14 | Super Talent Electronics, Inc. | Portable Electronic Storage Devices with Hardware Security Based on Advanced Encryption Standard |
| US6983366B1 (en) | 2000-02-14 | 2006-01-03 | Safenet, Inc. | Packet Processor |
| US6546486B1 (en) * | 2000-02-23 | 2003-04-08 | Sun Microsystems, Inc. | Content screening with end-to-end encryption within a firewall |
| US7231517B1 (en) | 2000-03-03 | 2007-06-12 | Novell, Inc. | Apparatus and method for automatically authenticating a network client |
| JP3864675B2 (ja) | 2000-03-09 | 2007-01-10 | 株式会社日立製作所 | 共通鍵暗号装置 |
| US7093126B1 (en) | 2000-04-14 | 2006-08-15 | International Business Machines Corporation | Encryption schemes with almost free integrity awareness |
| US6963976B1 (en) | 2000-11-03 | 2005-11-08 | International Business Machines Corporation | Symmetric key authenticated encryption schemes |
| US7350076B1 (en) * | 2001-05-16 | 2008-03-25 | 3Com Corporation | Scheme for device and user authentication with key distribution in a wireless network |
| US7266703B2 (en) | 2001-06-13 | 2007-09-04 | Itt Manufacturing Enterprises, Inc. | Single-pass cryptographic processor and method |
| US7900042B2 (en) | 2001-06-26 | 2011-03-01 | Ncipher Corporation Limited | Encrypted packet inspection |
| US20030097409A1 (en) * | 2001-10-05 | 2003-05-22 | Hungchou Tsai | Systems and methods for securing computers |
| US7281128B2 (en) | 2001-10-22 | 2007-10-09 | Extended Systems, Inc. | One pass security |
| WO2003051056A1 (en) | 2001-12-10 | 2003-06-19 | International Business Machines Corporation | Access to encrypted broadcast content |
| US20030131245A1 (en) * | 2002-01-04 | 2003-07-10 | Michael Linderman | Communication security system |
| US7487365B2 (en) | 2002-04-17 | 2009-02-03 | Microsoft Corporation | Saving and retrieving data based on symmetric key encryption |
| US20030200463A1 (en) * | 2002-04-23 | 2003-10-23 | Mccabe Alan Jason | Inter-autonomous system weighstation |
| US7590844B1 (en) * | 2002-04-26 | 2009-09-15 | Mcafee, Inc. | Decryption system and method for network analyzers and security programs |
| US7007163B2 (en) | 2002-05-31 | 2006-02-28 | Broadcom Corporation | Methods and apparatus for accelerating secure session processing |
| US7475241B2 (en) | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US20040202317A1 (en) | 2002-12-20 | 2004-10-14 | Victor Demjanenko | Advanced encryption standard (AES) implementation as an instruction set extension |
| US7263614B2 (en) * | 2002-12-31 | 2007-08-28 | Aol Llc | Implicit access for communications pathway |
| US8245032B2 (en) * | 2003-03-27 | 2012-08-14 | Avaya Inc. | Method to authenticate packet payloads |
| US20040210663A1 (en) * | 2003-04-15 | 2004-10-21 | Paul Phillips | Object-aware transport-layer network processing engine |
| US7543142B2 (en) | 2003-12-19 | 2009-06-02 | Intel Corporation | Method and apparatus for performing an authentication after cipher operation in a network processor |
| US7346773B2 (en) | 2004-01-12 | 2008-03-18 | Cisco Technology, Inc. | Enabling stateless server-based pre-shared secrets |
| US7685434B2 (en) | 2004-03-02 | 2010-03-23 | Advanced Micro Devices, Inc. | Two parallel engines for high speed transmit IPsec processing |
| US7490350B1 (en) | 2004-03-12 | 2009-02-10 | Sca Technica, Inc. | Achieving high assurance connectivity on computing devices and defeating blended hacking attacks |
| US8015211B2 (en) | 2004-04-21 | 2011-09-06 | Architecture Technology Corporation | Secure peer-to-peer object storage system |
| EP1746791A1 (en) * | 2004-05-12 | 2007-01-24 | Nippon Telegraph and Telephone Corporation | Network attack combating method, network attack combating device and network attack combating program |
| US7657940B2 (en) * | 2004-10-28 | 2010-02-02 | Cisco Technology, Inc. | System for SSL re-encryption after load balance |
| US7797745B2 (en) | 2004-12-22 | 2010-09-14 | Electronics And Telecommunications Research Institute | MAC security entity for link security entity and transmitting and receiving method therefor |
| US7657737B2 (en) * | 2005-02-28 | 2010-02-02 | International Business Machines Corporation | Method for mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server |
| US20070180227A1 (en) | 2005-03-01 | 2007-08-02 | Matsushita Electric Works, Ltd. | Decryption apparatus for use in encrypted communications |
| CN100550725C (zh) | 2005-06-17 | 2009-10-14 | 中兴通讯股份有限公司 | 一种用户与应用服务器协商共享密钥的方法 |
| GB0517303D0 (en) * | 2005-08-23 | 2005-10-05 | Netronome Systems Inc | System and method for processing secure transmissions |
| JP4648148B2 (ja) * | 2005-09-30 | 2011-03-09 | 富士通株式会社 | 接続支援装置 |
| US7725719B2 (en) | 2005-11-08 | 2010-05-25 | International Business Machines Corporation | Method and system for generating ciphertext and message authentication codes utilizing shared hardware |
| DE102006008752B4 (de) | 2006-02-24 | 2012-11-29 | Smiths Medical Deutschland Gmbh | Verfahren zum Herstellen einer Komponente einer Fluiddruckmesseinheit, Verfahren zum Herstellen einer Fluiddruckmesseinheit, Komponente zum Einsatz in einer Fluiddruckmesseinheit sowie Fluiddruckmesseinheit |
| US8832449B2 (en) | 2006-03-22 | 2014-09-09 | Lg Electronics Inc. | Security considerations for the LTE of UMTS |
| US20070240212A1 (en) * | 2006-03-30 | 2007-10-11 | Check Point Software Technologies, Inc. | System and Methodology Protecting Against Key Logger Spyware |
| JP4810289B2 (ja) | 2006-04-17 | 2011-11-09 | ルネサスエレクトロニクス株式会社 | メッセージ認証子生成装置、メッセージ認証子検証装置、及びメッセージ認証システム |
| US7913084B2 (en) | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
| US8107397B1 (en) | 2006-06-05 | 2012-01-31 | Purdue Research Foundation | Protocol for secure and energy-efficient reprogramming of wireless multi-hop sensor networks |
| JP4863777B2 (ja) * | 2006-06-07 | 2012-01-25 | 富士通株式会社 | 通信処理方法及びコンピュータ・システム |
| JP4994741B2 (ja) * | 2006-08-08 | 2012-08-08 | キヤノン株式会社 | 通信暗号化処理装置 |
| US8352728B2 (en) * | 2006-08-21 | 2013-01-08 | Citrix Systems, Inc. | Systems and methods for bulk encryption and decryption of transmitted data |
| EP2115569A1 (en) * | 2007-01-26 | 2009-11-11 | Verdasys, Inc. | Ensuring trusted transactions with compromised customer machines |
| JP2008219454A (ja) | 2007-03-05 | 2008-09-18 | Hitachi Ltd | 通信内容監査支援システム |
| CN101043335A (zh) | 2007-03-12 | 2007-09-26 | 中国建设银行股份有限公司 | 一种信息安全控制系统 |
| US9209967B2 (en) | 2007-03-12 | 2015-12-08 | Exelis, Inc. | Precalculated encryption key |
| US8467527B2 (en) | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
| US20090119510A1 (en) | 2007-11-06 | 2009-05-07 | Men Long | End-to-end network security with traffic visibility |
| US20080244268A1 (en) | 2007-03-30 | 2008-10-02 | David Durham | End-to-end network security with traffic visibility |
| US9319220B2 (en) | 2007-03-30 | 2016-04-19 | Intel Corporation | Method and apparatus for secure network enclaves |
| US8549282B2 (en) * | 2007-06-22 | 2013-10-01 | Trend Micro Incorporated | Method and system for monitoring encrypted data transmissions |
| CN101335621B (zh) | 2007-06-26 | 2011-03-16 | 中国科学院声学研究所 | 一种802.11i密钥管理方法 |
| US8255931B2 (en) * | 2008-02-11 | 2012-08-28 | Blue Coat Systems, Inc. | Method for implementing ejection-safe API interception |
| US8194854B2 (en) | 2008-02-27 | 2012-06-05 | Intel Corporation | Method and apparatus for optimizing advanced encryption standard (AES) encryption and decryption in parallel modes of operation |
| US8788805B2 (en) * | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
| US20110055585A1 (en) | 2008-07-25 | 2011-03-03 | Kok-Wah Lee | Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering |
| US8051287B2 (en) | 2008-10-15 | 2011-11-01 | Adobe Systems Incorporated | Imparting real-time priority-based network communications in an encrypted communication session |
| CN101807998A (zh) | 2009-02-13 | 2010-08-18 | 英飞凌科技股份有限公司 | 认证 |
| US8914878B2 (en) * | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
| US8370920B2 (en) * | 2009-10-28 | 2013-02-05 | Aunigma Network Security Corp. | System and method for providing unified transport and security protocols |
| US8856317B2 (en) * | 2010-07-15 | 2014-10-07 | Cisco Technology, Inc. | Secure data transfer in a virtual environment |
| US8694779B2 (en) | 2010-08-13 | 2014-04-08 | Bmc Software, Inc. | Monitoring based on client perspective |
| US8649275B2 (en) * | 2011-01-19 | 2014-02-11 | Ixia | Fast SSL testing using precalculated cryptographyc data |
| JP2012213036A (ja) * | 2011-03-31 | 2012-11-01 | Panasonic Corp | 通信装置及び通信システム |
| US8763106B2 (en) * | 2011-09-08 | 2014-06-24 | Mcafee, Inc. | Application state sharing in a firewall cluster |
| US8800024B2 (en) * | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
| US9176838B2 (en) | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
-
2012
- 2012-10-19 US US13/656,406 patent/US9176838B2/en not_active Expired - Fee Related
-
2013
- 2013-10-18 CN CN201380048778.3A patent/CN104662551B/zh active Active
- 2013-10-18 KR KR1020157006915A patent/KR101662614B1/ko active IP Right Grant
- 2013-10-18 WO PCT/US2013/065680 patent/WO2014063050A1/en active Application Filing
- 2013-10-18 JP JP2015531353A patent/JP6006423B2/ja active Active
- 2013-10-18 EP EP13848035.5A patent/EP2909782B1/en active Active
-
2015
- 2015-11-02 US US14/929,476 patent/US9893897B2/en active Active
-
2016
- 2016-09-08 JP JP2016175937A patent/JP6407926B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| WO2001063879A1 (en) * | 2000-02-23 | 2001-08-30 | Sun Microsystems, Inc. | Content screening with end-to-end encryption |
| US7516485B1 (en) * | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
| US20080192930A1 (en) * | 2002-04-04 | 2008-08-14 | At&T Corporation | Method and System for Securely Scanning Network Traffic |
| CN101783791A (zh) * | 2009-01-16 | 2010-07-21 | 深圳市维信联合科技有限公司 | 实现网络接入认证、传输加密、utm的系统及方法 |
| CN101795271A (zh) * | 2010-01-20 | 2010-08-04 | 西安电子科技大学 | 网络安全打印系统及打印方法 |
| CN101980500A (zh) * | 2010-11-08 | 2011-02-23 | 中国电信股份有限公司 | 基于数字签名的点对点流量控制方法与系统 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107005400A (zh) * | 2015-08-25 | 2017-08-01 | 华为技术有限公司 | 业务处理方法及装置 |
| CN107005400B (zh) * | 2015-08-25 | 2020-08-07 | 华为技术有限公司 | 业务处理方法及装置 |
| CN108885665A (zh) * | 2016-04-04 | 2018-11-23 | 比特梵德知识产权管理有限公司 | 用于解密虚拟化环境中的网络流量的系统和方法 |
| CN108885665B (zh) * | 2016-04-04 | 2022-04-08 | 比特梵德知识产权管理有限公司 | 用于解密虚拟化环境中的网络流量的系统和方法 |
| CN109496414A (zh) * | 2016-07-28 | 2019-03-19 | 皇家飞利浦有限公司 | 识别数据将被复制到的网络节点 |
| CN109496414B (zh) * | 2016-07-28 | 2022-05-24 | 皇家飞利浦有限公司 | 识别数据将被复制到的网络节点 |
| CN111819824A (zh) * | 2017-12-23 | 2020-10-23 | 迈克菲有限责任公司 | 在无中间人代理的情况下解密传输层安全流量 |
| US11805097B2 (en) | 2017-12-23 | 2023-10-31 | Skyhigh Security Llc | Decrypting transport layer security traffic without Man-in-the-Middle proxy |
| CN110661766A (zh) * | 2018-06-29 | 2020-01-07 | 卡巴斯基实验室股份制公司 | 分析加密网络业务的内容的系统和方法 |
| CN111147134A (zh) * | 2018-11-06 | 2020-05-12 | 中国电信股份有限公司 | 数据传输装置和方法、数据测试系统以及存储介质 |
| CN111147134B (zh) * | 2018-11-06 | 2021-09-14 | 中国电信股份有限公司 | 数据传输装置和方法、数据测试系统以及存储介质 |
| CN110545256A (zh) * | 2019-07-15 | 2019-12-06 | 中移(杭州)信息技术有限公司 | 数据传输方法、系统、电子设备、中转服务器及存储介质 |
| CN110995422B (zh) * | 2019-11-29 | 2023-02-03 | 深信服科技股份有限公司 | 一种数据分析方法、系统、设备及计算机可读存储介质 |
| CN110995422A (zh) * | 2019-11-29 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据分析方法、系统、设备及计算机可读存储介质 |
| CN113630251B (zh) * | 2020-05-08 | 2024-09-06 | 瞻博网络公司 | 使用签名后的统一资源定位符进行网络业务监测或存储 |
| CN113630251A (zh) * | 2020-05-08 | 2021-11-09 | 瞻博网络公司 | 使用签名后的统一资源定位符进行网络业务监测或存储 |
| WO2022100002A1 (zh) * | 2020-11-10 | 2022-05-19 | 华为技术有限公司 | 网络安全防护方法以及防护设备 |
| CN112291138A (zh) * | 2020-11-16 | 2021-01-29 | 北京北信源软件股份有限公司 | 一种邮件数据审核方法、装置、电子设备及存储介质 |
| CN113162764A (zh) * | 2021-04-20 | 2021-07-23 | 河北布数智能科技有限公司 | 一种加密的网络握手算法 |
| CN114143116B (zh) * | 2022-01-29 | 2022-07-26 | 奇安信科技集团股份有限公司 | 加密流量分析方法、装置、电子设备、介质及程序 |
| CN114143116A (zh) * | 2022-01-29 | 2022-03-04 | 奇安信科技集团股份有限公司 | 加密流量分析方法、装置、电子设备、介质及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160173288A1 (en) | 2016-06-16 |
| KR101662614B1 (ko) | 2016-10-14 |
| JP2017022751A (ja) | 2017-01-26 |
| EP2909782A4 (en) | 2016-06-29 |
| EP2909782A1 (en) | 2015-08-26 |
| US9893897B2 (en) | 2018-02-13 |
| JP6407926B2 (ja) | 2018-10-17 |
| US9176838B2 (en) | 2015-11-03 |
| CN104662551B (zh) | 2017-09-15 |
| EP2909782B1 (en) | 2018-11-21 |
| KR20150046176A (ko) | 2015-04-29 |
| US20140115702A1 (en) | 2014-04-24 |
| JP2016500207A (ja) | 2016-01-07 |
| JP6006423B2 (ja) | 2016-10-12 |
| WO2014063050A1 (en) | 2014-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104662551B (zh) | 在网络环境中对加密的数据的检查 | |
| US20190334950A1 (en) | Private key operations | |
| US20130097692A1 (en) | System and method for host-initiated firewall discovery in a network environment | |
| JP2014511616A (ja) | 論理装置、処理方法及び処理装置 | |
| CN109600226A (zh) | 基于随机数隐式协商的tls协议会话密钥还原方法 | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| Jose et al. | Implementation of data security in cloud computing | |
| Samociuk | Secure communication between OpenFlow switches and controllers | |
| Abhiram et al. | Zero-trust security implementation using SDP over VPN | |
| CN114884647A (zh) | 网络访问管理方法及相关设备 | |
| Tutubala et al. | A hybrid framework to improve data security in cloud computing | |
| CN104811421A (zh) | 基于数字版权管理的安全通信方法及装置 | |
| Patel et al. | Security hazards attacks and its prevention techniques in cloud computing: A detail review | |
| Brooks et al. | Conceptualizing a secure wireless cloud | |
| Majhi et al. | An authentication framework for securing virtual machine migration | |
| Selvaraj et al. | EAM: Enhanced authentication method to ensure the authenticity and integrity of the data in VM migration to the cloud environment | |
| Brooks | CLOUD TO EDGEWARE: Wireless Grid Applications, Architecture and Security for the Internet of Things | |
| Mishra | Supervising data transmission services using secure cloud based validation and admittance control mechanism | |
| Nandhini et al. | VPN blocker and recognizing the pattern of IP address | |
| US12120104B2 (en) | Decentralized edge node authentication | |
| Kumar et al. | Different Security Threats and its Prevention in Computer Network. | |
| Gaur et al. | Cryptographic Analysis of DES and RSA Algorithm Using the AVISPA Tool and WSN | |
| Liguori et al. | Mitigating cyber-security risks using MILS | |
| CN105162796A (zh) | 一种数据传输的方法与设备 | |
| Leung | eBPF TRAFFIC CONTROL ENCRYPTION |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |