CN104734844B - 在节点之间建立安全通信信道以允许节点之间执行的经加密通信的检查 - Google Patents
在节点之间建立安全通信信道以允许节点之间执行的经加密通信的检查 Download PDFInfo
- Publication number
- CN104734844B CN104734844B CN201510024048.0A CN201510024048A CN104734844B CN 104734844 B CN104734844 B CN 104734844B CN 201510024048 A CN201510024048 A CN 201510024048A CN 104734844 B CN104734844 B CN 104734844B
- Authority
- CN
- China
- Prior art keywords
- domain
- session
- key
- individual
- circuit system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
一个实施例可包括至少部分地在第一域内的客户机和第二域内的服务器之间至少部分地建立安全通信信道的电路。该信道可包括在第一域和第二域内的第一域会话和第二域会话。电路可产生第一域会话密钥和第二域会话密钥,这些域会话密钥至少部分地分别对第一域会话和第二域会话进行加密。第一域会话密钥可基于被分配给第一域的第一域密钥和与第一域会话关联的第一数据集而产生。第二域会话密钥可基于被分配给第二域的第二域密钥和与第二域会话关联的第二数据集而产生。
Description
本申请是PCT国际申请号为PCT/US2011/021627、国际申请日为2011年1月19日、中国国家申请号为201180007466.9、题为“至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查”的申请的分案申请。
技术领域
本公开涉及至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查。
背景技术
在一种传统配置中,企业网可包括与第二网络节点耦合的第一网络节点。第二网络节点可使企业网耦合至包括第三网络节点的外部网。第二网络接口可为企业网提供安全特征,所述安全特征涉及从企业网传至外部网(反之亦然)的分组的检查和/或分析。
在这种传统网络配置中,第一网络节点和第三网络节点可彼此交换经加密的通信。这些通信可基于由第一网络节点和第三网络节点交换的、但不对第二网络节点公开的密钥来执行。这可防止第二网络节点有能力对第一网络节点和第三网络节点之间经加密的通信内容进行有意义的检查和/或分析。不利的是,这可能危及企业网的安全性,或不利地影响企业网(例如通过将诸如病毒等引入到企业网)。
此外,相对大数量的安全连接可能越过第二网络节点。在这种传统配置中,为了执行这种有意义的检查和/或其它分析,第二网络节点将这些连接中的每一个与其相应的密钥和/或其它信息相关联。这可能在这种传统配置中引发显著的连接可扩展性问题,这种问题会显著降低这种传统配置中可处理的连接数量和这种传统配置中这种处理可执行的速度两者。另外,在这种传统配置中,这些安全连接的数量和特征随时间流逝可能不是静态的,事实上,其数量和特征在相对短的时间间隔内可能剧烈地变化。给定这些动态变化的连接,为了能执行这种有意义的检查和/或其它分析,可能要对第二网络节点施加显著数量的连接同步处理开销。
另外,在这种传统配置中,第一节点和第三节点之间的每个相应安全连接可能涉及第二节点和第三节点之间的相应安全连接。对于第二网络节点和第三网络节点之间的每个相应安全连接,第二网络节点可与第三网络节点协商相应的密钥,该密钥可用来建立相应的安全连接。假设在这种传统配置中可能存在相对大量的连接,可能会发生不合需的大量密钥协商以及关联的握手,并且在第二节点和第三节点之间可能对不合需的大量密钥作出协商。另外,这种传统配置中也可能牵涉到对不合需的大量密钥的存储和处理。
附图说明
各实施例的特征和优势将随着下面详细说明的深入和对附图的参照而变得清楚,其中相同的附图标记表示相同的部件,在附图中:
图1示出一系统实施例。
图2示出一实施例中的特征。
图3示出一实施例中的特征。
图4示出一实施例中的特征。
图5示出一实施例中的操作。
尽管下面的详细说明将参照示例性实施例而予以展开,然而其许多替代、修正和变化对本领域内技术人员而言将是清楚的。因此,所要求的主题事项应当广泛地予以审视。
具体实施方式
图1示出一系统实施例100。系统100可包括企业域51,该企业域51可通信地耦合至另一域70。域70可至少部分地位于企业域51之外,并可至少部分地包括和/或利用互联网域。企业网51可包括一个或多个客户机网络节点10,所述一个或多个客户机网络节点10可通信地耦合至一个或多个网关和/或网络设施节点120。一个或多个节点120可通信地耦合至域70和/或耦合至包含在域70中的一个或多个服务器节点30。
在该实施例中,“节点”可意指可通信地耦合在网络中或耦合至网络的实体,例如终端站、设施、海量存储器、中间站、网络接口、客户机、服务器、智能电话、其它通信设备和/或其一部分。在该实施例中,“客户机”和/或“客户机节点”可互换地使用以意指可能包括(但不是必须包括)终端站的节点。在该实施例中,终端站可包括智能电话或其它通信设备。同样在该实施例中,“中间节点”、“网关”、“网关节点”、“网络设施”和/或“网络设施节点”可互换地使用以意指可通信地耦合至多个其它节点并可(但不是必须)提供、促进和/或实现一个或多个服务和/或功能的节点,所述一个或多个服务和/或功能例如是防火墙、交换、转发、网关、入侵检测、负载平衡和/或路由服务和/或功能。在该实施例中,“服务器”和/或“服务器节点”可互换地使用以意指能提供、促进和/或实现对一个或多个客户机的一个或多个服务和/或功能的节点,所述一个或多个服务和/或功能例如是数据存储、检索和/或处理功能。在该实施例中,“网络”可以是或可以包括两个或更多个节点,这些节点可通信地耦合在一起。同样在该实施例中,如果一个节点能将一个或多个命令和/或数据例如经由一个或多个有线和/或无线通信链路发送至另一节点或接收自另一节点,则一节点“可通信地耦合”至另一节点。在该实施例中,“无线通信链路”可意指至少部分地允许至少两个节点至少部分地以无线方式通信耦合的任何形态和/或其一部分。在该实施例中,“有线通信链路”可意指至少部分地允许至少两个节点至少部分地经由非无线手段至少部分地通信耦合的任何形态和/或其一部分。同样在该实施例中,数据可以是或可以包括一个或多个命令,和/或一个或多个命令可以是或可以包含数据。
一个或多个节点120可包括电路板(CB)14。CB 14可以是或可以包括系统主板,该系统主板可包括一个或多个主处理器和/或芯片集集成电路12以及计算机可读/写存储器21。CB 14可包括一个或多个(未示出的)连接器,所述连接器可允许电路卡(CC)22电配合和机械配合于CB 14,以使CB 14中的组件(例如一个或多个集成电路12和/或存储器21)和CC22(例如包含在CC 22中的操作电路系统118)可通信地彼此耦合。
作为不脱离本实施例的替代或附加,包含在一个或多个集成电路12和/或存储器21中的一些或所有电路可包含在电路系统118中,和/或电路118中的一些或全部可包含在一个或多个集成电路12和/或存储器21中。
在该实施例中,“电路系统”可单独或以组合方式包括例如模拟电路系统、数字电路系统、硬接线电路系统、可编程电路系统、状态机电路系统和/或包含可由可编程电路系统执行的程序指令的存储器。同样在该实施例中,“集成电路”可意指半导体器件和/或微电子器件,例如半导体集成电路芯片。另外,在该实施例中,术语“主处理器”、“处理器”、“处理器核”、“核”和/或“控制器”可互换地使用以意指能够至少部分地执行一个或多个算法和/或逻辑操作的电路系统。同样在该实施例中,“芯片集”可包括能至少部分地将一个或多个处理器、存储器和/或其它电系统路可通信地耦合的电路系统。
节点10、120和/或30中的每一个可包括各自未示出的用户接口系统,所述用户接口系统可包括例如键盘、定点设备和显示系统,这些用户接口系统可允许人类用户将命令输入至每个相应的节点和/或系统100以及监视这些节点和/或系统100的操作。操作电路118可通信地耦合至一个或多个客户机10和/或一个或多个服务器30。
电路118可包括一个或多个集成电路15。一个或多个集成电路15可包括一个或多个处理器核124和/或密码化电路系统126。在该实施例中,电路118、一个或多个集成电路15、一个或多个核124和/或电路126能至少部分地执行如同由电路系统118执行的那些本文所述的密码化和/或关联的操作。
一个或多个机器可读程序指令可存储在计算机可读/写存储器21中。在一个或多个节点120操作时,这些指令可由一个或多个集成电路12、电路系统118、一个或多个集成电路15、一个或多个处理器核124和/或电路系统126访问和执行。当如此执行时,这些一个或多个指令可致使一个或多个集成电路12、电路系统118、一个或多个集成电路15、一个或多个处理器核124和/或电路系统126执行本文描述的操作,就像这些操作是由一个或多个集成电路12、电路系统118、一个或多个集成电路15、一个或多个处理器核124和/或电路系统126执行的那样。存储器21可包括下面类型的存储器中的一个或多个:半导体固件存储器、可编程存储器、非易失性存储器、只读存储器、电可编程存储器、随机存取存储器、闪存、磁盘存储器、光盘存储器和/或其它或稍晚研发出的计算机可读和/或写存储器。
在该实施例中,“域”可包括一个或多个节点以及(未示出的)域当局。在该实施例中,“域当局”可包括能够至少部分地提供、执行和/或促进全部或部分地涉及和/或关联于授权、识别和/或安全的一个或多个功能、特征、协议和/或操作的一个或多个实体。例如,域51和/或70可各自包括一个或多个相应的(未示出的)域当局,这些域当局可通信地耦合至一个或多个节点10、120和/或30。作为替代或选择,系统100中的一个或多个域当局的一些或全部的功能和/或操作可至少部分地由一个或多个节点120和/或30来实现。
电路118可根据一个或多个通信协议与一个或多个客户机10和/或一个或多个服务器30交换数据和/或命令。例如,在该实施例中,这些一个或多个协议可与例如以太网协议、传输控制协议/互联网协议(TCP/IP)协议、IP的安全性架构(IPsec)和/或传输层安全性(TLS)协议相兼容。
在系统100中可利用的以太网协议可遵循或兼容于2000年10月20日出版的电气和电子工程师协会(IEEE)标准802.3,2000版中描述的协议。在系统100中可利用的TCP/IP协议可遵循或兼容于1981年9月出版的互联网工程任务组(IETF)请求注解(RFC)791、793中描述的协议。在系统100中可利用的IPsec协议可遵循或兼容于2005年12月出版的IETF RFC4301。在系统100中可利用的TLS协议可遵循或兼容于2006年4月出版的在IETF 4346中记载的协议“传输层安全性(TLS)协议1.1版”。当然,许多不同的、附加的和/或其它的协议(例如安全相关和/或实现的协议)可用于这种数据和/或命令交换而不脱离本实施例,包括例如前述和/或其它版本的日后研发版本。
参见图5,系统100可至少部分地执行操作500。例如,在系统100操作时,电路系统118可与一个或多个客户机10和/或一个或多个服务器30交换数据和/或命令,由此可经由电路系统118和/或一个或多个未示出的非中间节点至少部分地在一个或多个客户机10与一个或多个服务器30之间至少部分地建立一个或多个安全通信信道54(见操作502)。在该实施例中,一个或多个信道54可包括域51中的一个或多个会话90和域70中的一个或多个会话92。一个或多个会话90可以是或包括域51中的一个或多个安全会话,所述安全会话可以在一个或多个客户机10和一个或多个节点120(即一个或多个节点120中的电路系统118)之间或至少部分地使两者通信耦合。一个或多个会话92可以是或包括域70中的一个或多个安全会话,所述安全会话可以在电路系统118和一个或多个服务器30之间并至少部分地使两者通信耦合。如下面讨论的那样,一个或多个会话90与一个或多个会话92如此操作以当联系在一起时提供一个或多个信道54。
在该实施例中,术语“会话”和“信道”可互换地使用,并可包括在至少两个实体之间或之中交换数据和/或命令。另外在该实施例中,“安全会话”可包括其中至少部分地对数据和/或命令的至少一部分进行加密的会话。在该实施例中,“加密”和/或“进行加密”可包括一个或多个操作,这些操作至少部分地包括、便于和/或导致从明文中产生密文。另外在该实施例中,“解密”和/或“进行解密”可包括一个或多个操作,这些操作至少部分地包括、便于和/或导致从密文中产生明文。此外,在该实施例中,“明文”可包括至少部分地被加密和/或已经历和/或当前正在经历加密和/或解密的数据。在该实施例中,“密钥”可包括可用于加密和/或解密的一个或多个码元和/或值。
例如,在该实施例中,一个或多个客户机10可将意图发起在一个或多个客户机10和一个或多个服务器30之间建立一个或多个安全信道54的一个或多个分组发送至电路系统118。至少部分地作为这一个或多个分组的响应,电路系统118可与一个或多个客户机10交换数据和/或命令,所述数据和/或命令可导致一个或多个会话90的建立。同时,在该实施例中,电路系统118可与一个或多个服务器30交换数据和/或命令,该数据和/或命令可导致一个或多个会话92的建立。
作为在电路系统118和一个或多个客户机10之间的数据和/或命令交换的一部分,电路系统118可以安全方式(例如作为TLS控制信道握手、涉及TCP和/或IP选项的带外技术和/或IPsec互联网密钥交换的一部分)将一个或多个会话密钥(SK)80发送至一个或多个客户机节点10。在将一个或多个密钥80发送至一个或多个客户机10之前,一个或多个节点120可至少部分地基于一个或多个密码化操作(例如包含一个或多个单向散列函数)至少部分地产生一个或多个密钥80,所述密码化操作至少部分地涉及将一个或多个域密钥(DK)76和一个或多个数据集(DS)78作为输入操作数。由此,可至少部分地在域51中的一个或多个节点120和一个或多个客户机10之间至少部分地产生一个或多个密钥80作为协商的结果。
可通过域51中一个或多个未示出的域当局将一个或多个密钥76分配给域51。这些一个或多个域当局可至少部分地产生一个或多个密钥76并将这些密钥分配给一个或多个节点120。然而,这一个或多个域当局和一个或多个节点120可对一个或多个客户机节点10和其它实体(例如域51之内和之外的实体)秘密地保持这一个或多个密钥76。可通过电路系统118从来自一个或多个客户机10发送至一个或多个节点120的一个或多个分组204(见图2)中至少部分地提取(或以其它方式获得)一个或多个数据集78。一个或多个数据集78可至少部分地关联于一个或多个会话90。例如,一个或多个数据集78可包括能至少部分地识别一个或多个会话90的一个或多个值202。这一个或多个值202可以是或至少部分地包括一个或多个客户机10和/或一个或多个节点120的一个或多个相应的唯一标识符的相应联系。替代地(至少部分)或附加地,一个或多个值202可至少部分地包括一个或多个服务器30的一个或多个相应的标识符。这些唯一标识符可以是或包括,例如一个或多个相应地址、IPsec安全性参数指标和/或其它值(例如会话上下文信息)。
在该实施例中,域51中的一个或多个未示出的域当局可产生一个或多个密钥76,由此使(1)一个或多个密钥76可唯一地关联于域51;和(2)一个或多个密钥76基本上是无法从一个或多个密钥80获得的(例如从实际密码化立场来看)。在一个实施例中,一个或多个密钥76可以是或包括一个或多个就密码而言强健的随机数。
使用一个或多个密钥80,每个相应的客户机10可至少部分地对其经由一个或多个会话90发送至一个或多个节点120的相应话务进行加密,并至少部分地对其经由一个或多个会话90从一个或多个节点120接收的相应话务进行解密。在该实施例中,对一个或多个节点120的这种话务可包含一个或多个分组(例如在一个或多个分组204中),其中一个或多个值202和/或数据集78作为明文发送。可选择一个或多个值202和/或一个或多个数据集78,从而当以前述方式与一个或多个密码化操作中的一个或多个密钥76结合使用以产生一个或多个密钥80时,使这一个或多个密钥80中的每一个可以是或包含用来在一个或多个网关120和一个或多个客户机10之间提供相应的独立安全会话的相应独立会话密钥。
作为在电路系统118和一个或多个服务器30之间的数据和/或命令交换的一部分,电路系统118可以安全方式(例如作为TLS控制信道握手、涉及TCP和/或IP选项的带外技术和/或IPsec互联网密钥交换的一部分)将一个或多个会话密钥82发送至一个或多个服务器30。在将一个或多个密钥82发送至一个或多个服务器30之前,一个或多个节点120可至少部分地基于一个或多个密码化操作(例如包含一个或多个单向散列函数)至少部分地产生一个或多个密钥82,所述密码化操作至少部分地涉及将一个或多个域密钥72和一个或多个数据集78作为输入操作数。由此,可至少部分地在域51中的一个或多个节点120和域70中的一个或多个服务器30之间至少部分地产生一个或多个密钥82作为协商的结果。
可通过域70中未示出的一个或多个域当局将一个或多个密钥72分配给域70。这一个或多个域当局可至少部分地产生一个或多个密钥72并将它们分配给一个或多个节点120。然而,这一个或多个域当局和一个或多个节点120可对一个或多个服务器节点30和其它实体(例如域70之内和之外的其它实体)秘密地保持这一个或多个密钥72。可通过电路系统118从来自一个或多个服务器30发送至一个或多个节点120的一个或多个分组208(见图2)中至少部分地提取(或以其它方式获得)一个或多个数据集74。一个或多个数据集74可至少部分地关联于一个或多个会话92。例如,一个或多个数据集74可包括能至少部分地识别一个或多个会话92的一个或多个值206。这一个或多个值206可以是或至少部分地包括一个或多个服务器30和/或一个或多个节点120的一个或多个相应的唯一标识符的相应联系。替代地(至少部分)或附加地,一个或多个值206可至少部分地包括一个或多个客户机10的一个或多个相应的标识符。这些唯一标识符可以是或包括,例如一个或多个相应地址、IPsec安全性参数指标和/或其它值(例如会话上下文信息)。
因此,在该实施例中,依赖于例如操作的域,一个或多个值206和/或一个或多个数据集74可以至少部分地分别类似于一个或多个值202和/或一个或多个数据集78。作为替代而不脱离该实施例的范围,依赖于例如操作的域,一个或多个值206和/或一个或多个数据集74可以至少部分地分别不同于一个或多个值202和/或一个或多个数据集78。
在该实施例中,域70中的一个或多个未示出的域当局可产生一个或多个密钥72,由此使(1)一个或多个密钥72可唯一地关联于域70;和(2)一个或多个密钥72基本上是无法从一个或多个密钥82获得的(例如从实际密码化立场来看)。在一个实施例中,一个或多个密钥72可以是或包括一个或多个就密码而言强健的随机数。
使用一个或多个密钥82,每个相应服务器30可至少部分地对其经由一个或多个会话92发送至一个或多个节点120的相应话务进行加密,并至少部分地对其经由一个或多个会话92从一个或多个节点120接收的相应话务进行解密。在该实施例中,对于一个或多个节点120的这种话务可包含一个或多个分组(例如包含在一个或多个分组208中),其中一个或多个值206和/或数据集74作为明文发送。可选择一个或多个值206和/或一个或多个数据集74,从而当以前述方式与一个或多个密码化操作中的一个或多个密钥72结合使用以产生一个或多个密钥82时,使这一个或多个密钥82中的每一个是或包含用来在一个或多个网关120和一个或多个服务器30之间提供相应的独立安全会话的相应独立会话密钥。在该实施例中,一个或多个域密钥76可以至少部分地不同于一个或多个域密钥72。
如图2所示,在该实施例中,在域51中,一个或多个客户机10可包括多个客户机220A……220N,并且一个或多个会话90可包含在客户机220A……220N和一个或多个网关节点120之间的多个安全会话230A……230N。会话230A-230N可分别将客户机220A……220N通信地耦合至一个或多个节点120。如前面阐述的那样,这些安全会话230A……230N中的每一个可至少部分地基于一个或多个会话密钥80中相应的一个密钥而产生。
现在转向图3,一个或多个会话92可包括单个安全会话302,该安全会话302可使一个或多个网关120可通信地耦合至一个或多个服务器。在这种配置中,会话302可至少部分地封装会话230A……230N(见图2)。在该实施例中,封装可包括至少部分地将第一实体纳入到第二实体的至少一部分中,和/或将第一实体的信息的至少一部分纳入到至少一部分第二实体中,例如将一个或多个分组封装到一个或多个帧中。
例如,网络话务304可经由会话230A……230N从客户机220A……220N被发送至一个或多个网关120中的电路系统118。在经由会话230A……230N被发送至电路系统118时,可至少部分地基于一个或多个会话密钥80对话务304进行加密。然而,在话务304中,一个或多个数据集78和/或一个或多个值202可作为明文发送。电路系统118可至少部分地从话务304中提取一个或多个数据集78和/或一个或多个值202。至少部分地基于如此提取的一个或多个数据集78和/或一个或多个值202以及一个或多个域密钥76,电路系统118可对每个会话230A……230N动态地重构(例如以逐个分组为基础)相应的一个或多个会话密钥80,这些会话密钥80用来至少部分地对话务304进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥80来至少部分地对话务304进行解密。电路系统118至少部分地检查至少部分如此解密的话务304。这种检查可涉及例如图案匹配、签名、校验和、有效性校验和/或其它分析技术来检测和/或正确地寻址话务304中未经授权和/或不想要的数据和/或指令的存在。
电路系统118可至少部分地基于一个或多个会话密钥82来至少部分地对未加密的话务304进行加密,并经由单个会话302将加密的话务发送至一个或多个服务器30。在这之前,电路系统118可至少部分地基于一个或多个值206和/或一个或多个数据集74以及一个或多个域密钥72动态地重构(以与之前结合一个或多个密钥80描述的相同的方式)一个或多个会话密钥82。
一个或多个服务器30可经由会话302将话务306发送至一个或多个网关120中的电路系统118。当经由单个会话302发送至电路系统118时,话务306可至少部分地基于一个或多个会话密钥82予以加密。然而,在话务306中,一个或多个数据集74和/或一个或多个值206可作为明文传输。电路系统118可从话务306中提取一个或多个数据集74和/或一个或多个值206。至少部分地基于如此提取的一个或多个数据集74和/或一个或多个值206以及一个或多个域密钥72,电路系统118可动态地重构一个或多个会话密钥82,所述会话密钥82至少部分地用来对话务306进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥82来至少部分地对话务306进行解密。电路系统118可至少部分地检查至少部分地如此解密的话务306。这种检查可涉及例如图案匹配、签名、校验和、有效性校验和/或其它分析技术来检测和/或正确地寻址话务306中未经授权和/或不想要的数据和/或指令的存在。
电路系统118可至少部分地基于一个或多个会话密钥80来至少部分地对未加密的话务306进行加密,并可经由会话230A……230N将加密的话务发送至客户机220A……220N。在这之前,电路系统118可至少部分地基于一个或多个值202和/或一个或多个数据集78以及一个或多个域密钥76动态地重构一个或多个会话密钥80。
替代地,一个或多个会话92可包括域70中的多个安全会话402A……402N(见图4),这些安全会话402A……402N可通信地耦合一个或多个网关120和一个或多个服务器30。安全会话402A……402N可分别对应于安全会话230A……230N。在该实施例中,一个或多个数据集78可包括与会话230A……230N关联的相应数据集404A……404N。例如,一个或多个相应会话密钥80可至少部分地分别基于数据集404A……404N和一个或多个域密钥76而产生,可至少部分地基于这一个或多个相应会话密钥80而对会话230A……230N进行加密。电路系统118可从分别经由会话2320A……230N从客户机220A……220N发送至电路系统118的话务304中至少部分地提取数据集404A……404N(见图5中的操作504)。至少部分地基于如此提取的数据集404A……404N以及一个或多个域密钥76,电路系统118可针对会话230A……230N中的每一个动态地重构(例如以逐个分组为基础)相应的一个或多个会话密钥80,所述会话密钥80用来至少部分地对经由相应的会话230A……230N发送的话务304进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥80至少部分地对该话务304进行解密(见图5中的操作506)。电路系统118可至少部分地以前面描述的方式检查至少部分如此解密的话务。
电路系统118可至少部分地基于一个或多个会话密钥82至少部分地对未加密的话务304进行加密,并可经由会话402A……402N将加密的话务406发送至一个或多个服务器30(见图5中的操作508)。在这之前,电路系统118可至少部分地基于一个或多个值206和/或一个或多个数据集74以及一个或多个域密钥72动态地重构(以与之前描述相同的方式)一个或多个会话密钥82。
替代地,一个或多个域密钥76可至少部分地类似于一个或多个密钥72。此外作为替代或附加,一个或多个网关120可经由一次或多次安全握手和/或协商操作将一个或多个密钥76和/或一个或多个密钥72提供给一个或多个服务器30。这允许一个或多个服务器30能够以前面结合电路系统118描述的方式动态地重构一个或多个会话密钥82和/或执行解密和/或加密操作。
较为有利地,在该实施例中,不管包含在一个或多个会话90中的各个会话的数量如何,电路系统118可执行与一个或多个服务器30的单密钥协商交易(例如导致单会话密钥82和/或单域密钥72的交换和/或协商),所述单密钥协商交易允许建立一个或多个会话92中的全部会话(例如至少部分地基于单会话密钥82和/或单域密钥72)。结果,在该实施例中,只有单次握手操作可包含在这个交易中。较为有利地,在该实施例中,这可显著地减少电路118和一个或多个服务器30之间牵涉到建立一个或多个会话92的密钥协商的次数、协商的密钥的个数以及握手次数。更有利地,这可显著减少在本实施例中使用的密钥存储的量。
在该实施例中,密钥80和/或82的产生可(至少部分地)总体根据例如(1)2007年3月30日提交且2008年10月28日公布的Durham等人的美国专利申请S/N 11/731,562、美国专利申请公布No.US 2008/0244268和/或(2)2009年3月2日提交的美国专利申请S/N 12/396,125中披露的原理来实现。当然,可使用许多其它、附加和/或替代技术以至少部分地产生一个或多个密钥80和/或一个或多个密钥82。
因此,一个实施例可包括至少部分地在第一域内的客户机和第二域内的服务器之间建立一安全通信信道的电路系统。该信道可包括处于第一域和第二域中的第一和第二域会话。该电路系统可产生第一和第二域会话密钥,该域会话密钥可至少部分地分别对第一和第二域会话进行加密。可基于被分配给第一域的第一域密钥和与第一域会话关联的第一数据集产生第一域会话密钥。可基于被分配给第二域的第二域密钥和与第二域会话关联的第二数据集产生第二域会话密钥。
在该实施例中,电路系统118能至少部分地基于至少部分地从一个或多个分组204和/或208提取的一个或多个数据集78和/或74而动态地产生一个或多个会话密钥80和/或82。较为有利地,这使电路系统118能够避免(1)必须在存储器中保持至少部分地基于这些会话密钥产生的会话和会话密钥本身之间的永久性关联,和/或(2)永久地存储大量的传输层和密码化状态信息,并对相应会话作出缓冲。较为有利地,这在本实施例中可显著地提高连接可扩展性和处理速度。
同样在该实施例中,由于能至少部分地以前述方式动态地产生一个或多个密钥80、82,电路系统118能动态地分别对发送至和/或来自电路系统118的话务进行解密和/或加密。较为有利地,这允许电路系统118和/或一个或多个节点120能对在一个或多个客户机10和一个或多个服务器30之间(例如经由一个或多个安全信道54)的加密通信的内容进行有意义的检查和/或分析。较为有利地,这可防止危及企业域51和/或系统100的安全性,并可改善企业域51和/或系统100的性能(例如通过防止病毒侵入域51和/或系统100和或从中除去病毒)。
因此,较为有利地,本实施例的特征可减少安全性、通信和/或密码化处理所花费的处理带宽量,同时又提高了这种处理执行的速度。另外较为有利地,本实施例的特征允许这种处理通过专门的传输层和/或密码化卸荷和/或加速硬件变得更容易实现。
Claims (19)
1.一种用于通信的装置,包括:
至少部分地在第一域中的至少一个客户机和第二域中的至少一个服务器之间至少部分地建立至少一个安全通信信道的电路系统,所述至少一个信道包括在所述第一域中的至少一个第一域会话和在所述第二域中的至少一个第二域会话,所述电路系统至少部分地产生至少一个第一域会话密钥和至少一个第二域会话密钥,所述至少一个第一域会话密钥和所述至少一个第二域会话密钥至少部分地分别对所述至少一个第一域会话和所述至少一个第二域会话进行加密,所述至少一个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与所述至少一个第一域会话关联的至少一个第一数据集而产生,所述至少一个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少一个第二域会话关联的至少一个第二数据集而产生,所述第一域会话密钥至少部分基于从分组中提取的客户机标识符和服务器标识符。
2.如权利要求1所述的装置,其特征在于:
所述第一域至少部分地不同于所述第二域;
被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥;
所述至少一个第一数据集包括一个或多个值,所述一个或多个值至少部分地识别所述至少一个第一域会话并至少部分地从经由所述至少一个第一域会话通信的一个或多个分组可获得;以及
所述至少一个第二数据集包括一个或多个值,所述一个或多个值至少部分地识别所述至少一个第二域会话并至少部分地从经由所述至少一个第二域会话通信的一个或多个其它分组可获得。
3.如权利要求1所述的装置,其特征在于:
所述至少一个客户机包括在所述第一域内的多个客户机;
所述至少一个第一域会话包括在至少一个网关和所述多个客户机之间的第一域内的第一多个会话;
所述至少一个第二域会话处于所述至少一个网关和所述至少一个服务器之间;
所述第一域包括企业域;以及
所述第二域密钥至少部分地在所述企业域和所述至少一个服务器之间予以协商。
4.如权利要求3所述的装置,其特征在于:
所述至少一个第二域会话包括至少部分地封装所述第一多个会话的单个会话;
所述电路至少部分地解密和至少部分地检查经由所述第一多个会话通信的第一话务;以及
所述电路至少部分地解密和至少部分地检查经由所述单个会话通信的第二话务。
5.如权利要求3所述的装置,其特征在于:
所述至少一个第二域会话包括在所述第二域内的第二多个会话;
所述至少一个第一数据集包括与所述第一多个会话关联的相应数据集;
所述电路至少部分地从经由所述第一多个会话通信的第一话务中提取所述相应的数据集;
所述电路至少部分地基于所述相应的数据集至少部分地对所述第一话务进行解密;以及
所述电路至少部分地基于所述相应的数据集至少部分地对经由所述第二多个会话通信的第二话务进行加密。
6.如权利要求1所述的装置,其特征在于:
所述电路至少部分地包括在下面的一个或多个中:
耦合至电路板的电路卡;
网络设施;以及
一个或多个集成电路,所述集成电路包括一个或多个处理器和电
路系统以执行一个或多个密码化操作。
7.如权利要求1所述的装置,其特征在于:
所述至少一个第一域会话包括多个会话;以及
所述电路系统执行与所述至少一个服务器的单密钥协商交易以对所述单密钥进行协商,所述协商涉及建立至少一个第二域会话,所述交易包括所述电路系统和所述至少一个服务器之间的单次握手。
8.一种至少部分地由电路系统执行的方法,所述方法包括:
通过所述电路系统至少部分地在第一域中的至少一个客户机和第二域中的至少一个服务器之间至少部分地建立至少一个安全通信信道,所述至少一个信道包括在所述第一域中的至少一个第一域会话和在所述第二域中的至少一个第二域会话,所述电路系统至少部分地产生至少一个第一域会话密钥和至少一个第二域会话密钥,所述至少一个第一域会话密钥和所述至少一个第二域会话密钥至少部分地分别对所述至少一个第一域会话和所述至少一个第二域会话进行加密,所述至少一个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与至少一个第一域会话关联的至少一个第一数据集而产生,所述至少一个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少一个第二域会话关联的至少一个第二数据集而产生,所述第一域会话密钥至少部分基于从分组中提取的客户机标识符和服务器标识符。
9.如权利要求8所述的方法,其特征在于:
所述第一域至少部分地不同于所述第二域;
被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥;
所述至少一个第一数据集包括一个或多个值,所述一个或多个值至少部分地识别所述至少一个第一域会话并至少部分地从经由所述至少一个第一域会话通信的一个或多个分组可获得;以及
所述至少一个第二数据集包括一个或多个值,所述一个或多个值至少部分地识别所述至少一个第二域会话并至少部分地从经由所述至少一个第二域会话通信的一个或多个其它分组可获得。
10.如权利要求8所述的方法,其特征在于:
所述至少一个客户机包括在所述第一域内的多个客户机;
所述至少一个第一域会话包括在至少一个网关和所述多个客户机之间的第一域内的第一多个会话;
所述至少一个第二域会话处于所述至少一个网关和所述至少一个服务器之间;
所述第一域包括企业域;以及
所述第二域密钥至少部分地在所述企业域和所述至少一个服务器之间予以协商。
11.如权利要求10所述的方法,其特征在于:
所述至少一个第二域会话包括至少部分地封装所述第一多个会话的单个会话;
所述电路系统至少部分地解密和至少部分地检查经由所述第一多个会话通信的第一话务;以及
所述电路系统至少部分地解密和至少部分地检查经由所述单个会话通信的第二话务。
12.如权利要求10所述的方法,其特征在于:
所述至少一个第二域会话包括在所述第二域内的第二多个会话;
所述至少一个第一数据集包括与所述第一多个会话关联的相应数据集;
通过所述电路系统至少部分地从经由所述第一多个会话通信的第一话务中提取所述相应的数据集;
通过所述电路系统至少部分地基于相应数据集至少部分地对所述第一话务进行解密;以及
通过所述电路系统至少部分地基于相应数据集至少部分地对经由所述第二多个会话通信的第二话务进行加密。
13.如权利要求8所述的方法,其特征在于:
所述电路系统至少部分地包括在下面的一个或多个中:
耦合至电路板的电路卡;
网络设施;以及
一个或多个集成电路,所述集成电路包括一个或多个处理器和电路系统以执行一个或多个密码化操作。
14.存储一个或多个指令的计算机可读存储器,当通过机器执行所述指令时导致下列操作的执行,包括:
通过电路系统至少部分地在第一域中的至少一个客户机和第二域中的至少一个服务器之间至少部分地建立至少一个安全通信信道,所述至少一个信道包括在所述第一域中的至少一个第一域会话和在所述第二域中的至少一个第二域会话,所述电路系统至少部分地产生至少一个第一域会话密钥和至少一个第二域会话密钥,所述至少一个第一域会话密钥和所述至少一个第二域会话密钥至少部分地分别对所述至少一个第一域会话和所述至少一个第二域会话进行加密,所述至少一个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与至少一个第一域会话关联的至少一个第一数据集而产生,所述至少一个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少一个第二域会话关联的至少一个第二数据集而产生,所述第一域会话密钥至少部分基于从分组中提取的客户机标识符和服务器标识符。
15.如权利要求14所述的存储器,其特征在于:
所述第一域至少部分地不同于所述第二域;
被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥;
所述至少一个第一数据集包括一个或多个值,所述一个或多个值至少部分地识别所述至少一个第一域会话并至少部分地从经由所述至少一个第一域会话通信的一个或多个分组可获得;以及
所述至少一个第二数据集包括一个或多个值,所述一个或多个值至少部分地识别所述至少一个第二域会话并至少部分地从经由所述至少一个第二域会话通信的一个或多个其它分组可获得。
16.如权利要求14所述的存储器,其特征在于:
所述至少一个客户机包括在所述第一域内的多个客户机;
所述至少一个第一域会话包括在至少一个网关和多个客户机之间的第一域内的第一多个会话;
所述至少一个第二域会话处于所述至少一个网关和所述至少一个服务器之间;
所述第一域包括企业域;以及
所述第二域密钥至少部分地在所述企业域和所述至少一个服务器之间予以协商。
17.如权利要求16所述的存储器,其特征在于:
所述至少一个第二域会话包括至少部分地封装所述第一多个会话的单个会话;
所述电路系统至少部分地解密和至少部分地检查经由所述第一多个会话通信的第一话务;以及
所述电路系统至少部分地解密和至少部分地检查经由所述单个会话通信的第二话务。
18.如权利要求16所述的存储器,其特征在于:
所述至少一个第二域会话包括在所述第二域内的第二多个会话;
所述至少一个第一数据集包括与所述第一多个会话关联的相应数据集;
通过所述电路系统至少部分地从经由所述第一多个会话通信的第一话务中提取所述相应的数据集;
通过所述电路系统至少部分地基于所述相应的数据集至少部分地对所述第一话务进行解密;以及
通过所述电路系统至少部分地基于所述相应的数据集至少部分地对经由所述第二多个会话通信的第二话务进行加密。
19.如权利要求14所述的存储器,其特征在于:
所述电路系统至少部分地包括在下面的一个或多个中:
耦合至电路板的电路卡;
网络设施;以及
一个或多个集成电路,所述集成电路包括一个或多个处理器和电路系统以执行一个或多个密码化操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/695,853 | 2010-01-28 | ||
| US12/695,853 US8873746B2 (en) | 2010-01-28 | 2010-01-28 | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes |
| CN201180007466.9A CN102725995B (zh) | 2010-01-28 | 2011-01-19 | 在节点之间建立安全通信信道的装置、设备及执行方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180007466.9A Division CN102725995B (zh) | 2010-01-28 | 2011-01-19 | 在节点之间建立安全通信信道的装置、设备及执行方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104734844A CN104734844A (zh) | 2015-06-24 |
| CN104734844B true CN104734844B (zh) | 2018-04-06 |
Family
ID=44308939
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510024048.0A Expired - Fee Related CN104734844B (zh) | 2010-01-28 | 2011-01-19 | 在节点之间建立安全通信信道以允许节点之间执行的经加密通信的检查 |
| CN201180007466.9A Expired - Fee Related CN102725995B (zh) | 2010-01-28 | 2011-01-19 | 在节点之间建立安全通信信道的装置、设备及执行方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180007466.9A Expired - Fee Related CN102725995B (zh) | 2010-01-28 | 2011-01-19 | 在节点之间建立安全通信信道的装置、设备及执行方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8873746B2 (zh) |
| EP (1) | EP2529505B1 (zh) |
| JP (1) | JP5640226B2 (zh) |
| KR (1) | KR101430851B1 (zh) |
| CN (2) | CN104734844B (zh) |
| WO (1) | WO2011094096A2 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101252549B1 (ko) * | 2008-11-21 | 2013-04-08 | 한국전자통신연구원 | 보안 도메인 환경에서의 암/복호화 프로그램 및 대칭키의 안전 배포 방법 및 이를 위한 데이터 분할 및 주입 장치 |
| US8873746B2 (en) * | 2010-01-28 | 2014-10-28 | Intel Corporation | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes |
| GB2519741A (en) * | 2013-09-15 | 2015-05-06 | Wedge It Com Ltd | Internet repeater apparatus |
| US10244000B2 (en) * | 2014-02-24 | 2019-03-26 | Honeywell International Inc. | Apparatus and method for establishing seamless secure communications between components in an industrial control and automation system |
| US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
| US9923715B2 (en) | 2015-06-09 | 2018-03-20 | Intel Corporation | System, apparatus and method for group key distribution for a network |
| US9674090B2 (en) * | 2015-06-26 | 2017-06-06 | Microsoft Technology Licensing, Llc | In-line network accelerator |
| US10038552B2 (en) | 2015-11-30 | 2018-07-31 | Honeywell International Inc. | Embedded security architecture for process control systems |
| US10855462B2 (en) | 2016-06-14 | 2020-12-01 | Honeywell International Inc. | Secure in-band upgrade using key revocation lists and certificate-less asymmetric tertiary key pairs |
| CN106330968B (zh) * | 2016-10-31 | 2021-02-26 | 杭州迪普科技股份有限公司 | 一种访问设备的身份认证方法及装置 |
| US11700258B2 (en) * | 2016-12-30 | 2023-07-11 | Ssh Communications Security Oyj | Access relationships in a computer system |
| US10389722B2 (en) | 2016-12-30 | 2019-08-20 | Ssh Communications Security Oyj | Access relationships in a computer system |
| US10587421B2 (en) * | 2017-01-12 | 2020-03-10 | Honeywell International Inc. | Techniques for genuine device assurance by establishing identity and trust using certificates |
| US10749692B2 (en) | 2017-05-05 | 2020-08-18 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
| EP3483772A1 (en) * | 2017-11-14 | 2019-05-15 | Nagravision S.A. | Integrated circuit personalisation with data encrypted with the output of a physically unclonable function |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4193131A (en) * | 1977-12-05 | 1980-03-11 | International Business Machines Corporation | Cryptographic verification of operational keys used in communication networks |
| CN102725995B (zh) * | 2010-01-28 | 2015-02-25 | 英特尔公司 | 在节点之间建立安全通信信道的装置、设备及执行方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7774484B1 (en) * | 2002-12-19 | 2010-08-10 | F5 Networks, Inc. | Method and system for managing network traffic |
| US8234699B2 (en) * | 2003-12-31 | 2012-07-31 | Citrix Systems, Inc. | Method and system for establishing the identity of an originator of computer transactions |
| WO2006130725A2 (en) * | 2005-05-31 | 2006-12-07 | Interdigital Technology Corporation | Authentication and encryption methods using shared secret randomness in a joint channel |
| EP1784016A1 (fr) | 2005-11-03 | 2007-05-09 | Nagravision S.A. | Méthode de sécurisation de données échangées entre un dispositif de traitement multimédia et un module de sécurité |
| KR20070115574A (ko) | 2006-06-01 | 2007-12-06 | 엘지전자 주식회사 | 데이터 통신 방법 |
| US20090119510A1 (en) | 2007-11-06 | 2009-05-07 | Men Long | End-to-end network security with traffic visibility |
| US20080244268A1 (en) | 2007-03-30 | 2008-10-02 | David Durham | End-to-end network security with traffic visibility |
| JP4892404B2 (ja) | 2007-05-16 | 2012-03-07 | 日本電信電話株式会社 | 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム |
| CN101325486B (zh) | 2007-06-11 | 2012-04-25 | 华为技术有限公司 | 域许可密钥的转移方法及设备 |
| US20090199287A1 (en) * | 2007-06-26 | 2009-08-06 | Luc Vantalon | Systems and methods for conditional access and digital rights management |
| KR101393012B1 (ko) | 2007-07-03 | 2014-05-12 | 삼성전자주식회사 | 라이센스 관리 시스템 및 방법 |
| NZ585054A (en) * | 2007-11-30 | 2013-08-30 | Ericsson Telefon Ab L M | Key management for secure communication |
| KR100981419B1 (ko) * | 2008-01-31 | 2010-09-10 | 주식회사 팬택 | 디지털 권한 관리를 위한 사용자 도메인 가입방법 및 그정보 교환 방법 |
| CN101946536B (zh) * | 2008-02-15 | 2015-07-15 | 艾利森电话股份有限公司 | 演进网络中的应用特定的主密钥选择 |
| US8788805B2 (en) * | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
-
2010
- 2010-01-28 US US12/695,853 patent/US8873746B2/en not_active Expired - Fee Related
-
2011
- 2011-01-19 EP EP11737451.2A patent/EP2529505B1/en not_active Not-in-force
- 2011-01-19 CN CN201510024048.0A patent/CN104734844B/zh not_active Expired - Fee Related
- 2011-01-19 KR KR1020127022407A patent/KR101430851B1/ko active IP Right Grant
- 2011-01-19 WO PCT/US2011/021627 patent/WO2011094096A2/en active Application Filing
- 2011-01-19 CN CN201180007466.9A patent/CN102725995B/zh not_active Expired - Fee Related
- 2011-01-19 JP JP2012551197A patent/JP5640226B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4193131A (en) * | 1977-12-05 | 1980-03-11 | International Business Machines Corporation | Cryptographic verification of operational keys used in communication networks |
| CN102725995B (zh) * | 2010-01-28 | 2015-02-25 | 英特尔公司 | 在节点之间建立安全通信信道的装置、设备及执行方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120127625A (ko) | 2012-11-22 |
| JP2013518522A (ja) | 2013-05-20 |
| KR101430851B1 (ko) | 2014-08-18 |
| JP5640226B2 (ja) | 2014-12-17 |
| WO2011094096A3 (en) | 2011-12-01 |
| US20110182427A1 (en) | 2011-07-28 |
| WO2011094096A2 (en) | 2011-08-04 |
| CN102725995B (zh) | 2015-02-25 |
| EP2529505A4 (en) | 2015-06-03 |
| EP2529505A2 (en) | 2012-12-05 |
| US8873746B2 (en) | 2014-10-28 |
| EP2529505B1 (en) | 2018-10-24 |
| CN104734844A (zh) | 2015-06-24 |
| CN102725995A (zh) | 2012-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104734844B (zh) | 在节点之间建立安全通信信道以允许节点之间执行的经加密通信的检查 | |
| Urien | Blockchain IoT (BIoT): A new direction for solving Internet of Things security and trust issues | |
| CN102333110B (zh) | 用于移动设备的具有动态翻译用户主页的vpn网络客户端 | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| CN102316092B (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
| CN102316153B (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| US7913261B2 (en) | Application-specific information-processing method, system, and apparatus | |
| US20060090074A1 (en) | Encryption communication system | |
| CN110020955B (zh) | 在线医保信息处理方法及装置、服务器和用户终端 | |
| KR101744747B1 (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
| CN108401011A (zh) | 内容分发网络中握手请求的加速方法、设备及边缘节点 | |
| CN111181912B (zh) | 浏览器标识的处理方法、装置、电子设备及存储介质 | |
| CN107172001B (zh) | 网站代理服务器的控制方法及装置、密钥代理服务器 | |
| CN114143117B (zh) | 数据处理方法及设备 | |
| Urien | Introducing TLS/DTLS secure access modules for IoT frameworks: concepts and experiments | |
| Urien | Cloud of secure elements perspectives for mobile and cloud applications security | |
| Urien | Innovative TLS/DTLS security modules for IoT applications: Concepts and experiments | |
| CN116980155A (zh) | 区块链网络的数据处理方法、装置、产品、设备和介质 | |
| Urien | Internet smartcard benefits for Internet security issues | |
| CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 | |
| CN111049798B (zh) | 一种信息处理方法、装置和计算机可读存储介质 | |
| Urien et al. | A new cooperative architecture for sharing services managed by secure elements controlled by android phones with IP objects | |
| Urien et al. | Security and Privacy for the next Wireless Generation | |
| CN113518105A (zh) | 数据中转的方法、装置和系统 | |
| CN111404901A (zh) | 信息验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180406 Termination date: 20200119 |