CN108605047B - 用于安全地连接到远程服务器的设备和方法 - Google Patents
用于安全地连接到远程服务器的设备和方法 Download PDFInfo
- Publication number
- CN108605047B CN108605047B CN201780010583.8A CN201780010583A CN108605047B CN 108605047 B CN108605047 B CN 108605047B CN 201780010583 A CN201780010583 A CN 201780010583A CN 108605047 B CN108605047 B CN 108605047B
- Authority
- CN
- China
- Prior art keywords
- remote server
- dns
- domain name
- layer security
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000004044 response Effects 0.000 claims abstract description 19
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000010287 polarization Effects 0.000 description 1
- 108020001568 subdomains Proteins 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于安全地连接到远程服务器的方法,其提供改进的因特网安全性。在所述方法中,客户端接收连接到与域名相关联的远程服务器的请求。所述客户端当解析所述域名时确定所述远程服务器是否支持至少一个预定IP层安全协议。所述客户端响应于确定所述远程服务器支持所述至少一个预定IP层安全协议而执行与所述远程服务器的密匙交换协议以产生至少一个共享秘密。所述客户端使用所述IP层安全协议中的所述至少一个共享秘密连接到所述远程服务器。
Description
相关申请案的交叉参考
本申请案要求2016年2月24日在美国专利商标局申请的第15/052,736号非临时申请案的优先权及权益,所述非临时申请案的全部内容以引用的方式并入本文中。
技术领域
本发明大体上涉及因特网安全性,且更具体地说涉及基于域名解析安全地连接到远程服务器。
背景技术
大多数网页浏览器基于装置连接到的url而指示用于网页连接的http或https。用户可基于查看url中的‘https://’和指示正使用的https的图标而确定应用层连接是否安全。当使用例如端到端IPsec等其它安全协议与服务器通信时,不存在浏览器的此指示。迫使服务器强加关于如何保护和处理用户的数据和敏感信息的安全性策略也是困难的。此外,虚拟专用网络(VPN)通常需要用户在使用之前首先起始客户端软件。
因此需要用于在IP层安全地连接到远程服务器的改进的技术。
发明内容
本发明的一方面可存在于一种用于安全地连接到远程服务器的方法中,所述方法包括:由客户端接收连接到与域名相关联的远程服务器的请求;由所述客户端当解析所述域名时确定所述远程服务器是否支持至少一个预定IP层安全协议;由所述客户端响应于确定所述远程服务器支持所述至少一个预定IP层安全协议而执行与所述远程服务器的密匙交换协议以产生至少一个共享秘密;以及由所述客户端使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到所述远程服务器。
在本发明的更详细方面中,客户端可基于域名的最高层级域而确定远程服务器支持所述至少一个预定IP层安全协议。替代地,客户端可基于使用与域名系统(DNS)服务器的通信对域名的验证而确定远程服务器支持所述至少一个预定IP层安全协议。与DNS服务器的通信可使用安全DNS协议。客户端可从DNS服务器接收用于经验证域名的DNS服务记录,其包含指示远程服务器支持所述至少一个预定IP层安全协议的至少一个参数。
在本发明的其它更详细方面中,客户端可基于客户端确定域名在支持所述至少一个预定IP层安全协议的受信任域名的列表中而确定远程服务器支持所述至少一个预定IP层安全协议。另外,域名可解析到IP地址。
本发明的另一方面可存在于一种用于安全地连接到远程服务器的设备,所述设备包括:用于接收连接到与域名相关联的远程服务器的请求的装置;用于当解析所述域名时确定所述远程服务器是否支持至少一个预定IP层安全协议的装置;用于响应于确定所述远程服务器支持所述至少一个预定IP层安全协议而执行与所述远程服务器的密匙交换协议以产生至少一个共享秘密的装置;以及用于使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到所述远程服务器的装置。
本发明的另一方面可存在于一种设备中,所述设备包括处理器,所述处理器经配置以:接收连接到与域名相关联的远程服务器的请求;当解析域名时确定远程服务器是否支持至少一个预定IP层安全协议;响应于确定远程服务器支持所述至少一个预定IP层安全协议而执行与远程服务器的密匙交换协议以产生至少一个共享秘密;以及使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到远程服务器。
本发明的另一方面可存在于一种计算机可读媒体中,所述计算机可读媒体包括:用于致使计算机接收连接到与域名相关联的远程服务器的请求的代码;用于致使计算机当解析域名时确定远程服务器是否支持至少一个预定IP层安全协议的代码;用于致使计算机响应于确定远程服务器支持所述至少一个预定IP层安全协议而执行与远程服务器的密匙交换协议以产生至少一个共享秘密的代码;用于致使计算机使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到远程服务器的代码。
附图说明
图1是无线通信系统的实例的框图。
图2是根据本发明的用于安全地连接到远程服务器的方法的流程图。
图3是允许客户端安全地连接到远程服务器的系统的实施例的框图。
图4是包含处理器和存储器的计算机的框图。
图5是用于安全地连接到远程服务器的方法的框图。
图6是用于安全地连接到远程服务器的另一方法的框图。
图7是用于安全地连接到远程服务器的另一方法的框图。
具体实施方式
词语“示范性”在本文中用于意指“充当实例、例子或说明”。在本文中被描述为“示范性”的任何实施例未必被理解为比其它实施例优选或有利。
参看图2和3,本发明的方面可存在于用于安全地连接到远程服务器的方法200中。在所述方法中,客户端310接收连接到与域名相关联的远程服务器320的请求(步骤210)。客户端当解析域名时确定远程服务器是否支持至少一个预定IP层安全协议(步骤220)。客户端响应于确定远程服务器支持所述至少一个预定IP层安全协议而执行与远程服务器的密匙交换协议以产生至少一个共享秘密(步骤230)。客户端使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到远程服务器(步骤240)。
在本发明的更详细方面中,客户端310可基于域名的最高层级域而确定远程服务器支持所述至少一个预定IP层安全协议。举例来说,某些最高层级域可与支持例如IPsec等预定IP层安全协议相关联。支持最高层级域可包含.sec、.secure、.msec、.ipsec、.scom及类似物。包含域名www-dot-example-dot-sec的请求将指示与所述域名相关联的远程服务器支持例如IPsec等预定IP层安全协议。
替代地,客户端310可基于使用与域名系统(DNS)服务器330的通信对域名的验证而确定远程服务器320支持所述至少一个预定IP层安全协议。与DNS服务器的通信可使用例如DNSsec等安全DNS协议。客户端可从DNS服务器接收用于经验证域名的DNS服务记录,其包含指示远程服务器支持所述至少一个预定IP层安全协议的至少一个参数。
在本发明的其它更详细方面中,客户端310可基于客户端确定域名在支持所述至少一个预定IP层安全协议的受信任域名的列表中而确定远程服务器320支持所述至少一个预定IP层安全协议。另外,域名可解析到IP地址。
进一步参看图4,客户端310(例如,远程站102(图1))可包括计算机400,其包含处理器410、例如存储器和/或磁盘驱动器等存储媒体420、显示器430和例如小键盘440的输入,以及无线网络/因特网连接450。处理器可包含安全环境,例如受信任平台模块(TPM)。
本发明的另一方面可存在于用于安全地连接到远程服务器的设备310中,所述设备包括:用于接收连接到与域名相关联的远程服务器320的请求的装置(例如,处理器410);用于当解析域名时确定远程服务器是否支持至少一个预定IP层安全协议的装置(例如,处理器410);用于响应于确定远程服务器支持所述至少一个预定IP层安全协议而执行与远程服务器的密匙交换协议以产生至少一个共享秘密的装置(例如,处理器410);以及用于使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到远程服务器的装置(例如,处理器410)。
本发明的另一方面可存在于设备310中,所述设备包括处理器410,所述处理器经配置以:接收连接到与域名相关联的远程服务器320的请求;当解析域名时确定远程服务器是否支持至少一个预定IP层安全协议;响应于确定远程服务器支持所述至少一个预定IP层安全协议而执行与远程服务器的密匙交换协议以产生至少一个共享秘密;以及使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到远程服务器。
本发明的另一方面可存在于计算机可读媒体420中,所述计算机可读媒体包括:用于致使计算机400接收连接到与域名相关联的远程服务器320的请求的代码;用于致使计算机当解析域名时确定远程服务器是否支持至少一个预定IP层安全协议的代码;用于致使计算机响应于确定远程服务器支持所述至少一个预定IP层安全协议而执行与远程服务器的密匙交换协议以产生至少一个共享秘密的代码;用于致使计算机使用所述至少一个预定IP层安全协议中的所述至少一个共享秘密连接到远程服务器的代码。
客户端310可具有应用层、因特网/IP层和物理/链路层。在OSI模型中,层7可与应用层相关联,层3可与因特网/IP层相关联,且层1和2可与物理/链路层相关联。远程服务器320和/或DNS服务器330同样可具有应用层、因特网/IP层和物理/链路层。
本发明的技术可触发/起始例如IPsec等安全IP层协议,且基于例如域名解析而强制某些安全性策略。技术可按需要使用集成式IPv6标头和额外标头而利用具有原生IPsec的第六版因特网协议(IPv6)。技术可使用输送模式IPsec用于端点到端点通信(不是典型VPN IPsec)。输送模式IPsec可包含认证标头(AH)以确保完全的包完整性和起源真实性(ICV)且识别安全参数(SPI),并阻止重放(SQN)。囊封安全有效负载(ESP)可用以确保数据机密性。至少可使用AES-256,且因特网密钥交换(IKEv2)可用以协商密钥和参数。DNSsec可提供初始X.509凭证。客户端可通过安全密钥而具有X.509凭证。可执行迪菲-赫尔曼(Diffie-Hellman)密钥交换以产生例如会话密钥等至少一个共享秘密,且IPsec安全联盟可使用所述共享秘密。
输送模式IPsec可使用特定安全策略描述符(SPD)来实施,所述SPD建立与先前连接的服务器的某个预定义安全性关联(SA)。IPsec SA是操作系统原生的,且经由操作系统服务或例如StrongSWAN、LibreSWAN、OpenSWAN、IPsec工具及类似物等应用程序而由IKE设置。IPv6可包含原生IPsec。
在参考图5展示的实例中,客户端310通过网络浏览器或应用程序可起始与特定最高级域(TLD)的连接,例如用于网站www-dot-url-dot-sec的‘.sec’,客户端解析器将采取所述TLD,因为可能需要指示IPsec安全性关联(步骤510)。在这些TLD下方被指派的所有全限定域名将经证明以满足由TLD的所有者建立的某些安全性和隐私要求。验证且解析FQDN。客户端可要求使用DNS服务器330对TLD的DNSsec检验(步骤520和530)。客户端检查路径,且下载并验证来自远程服务器320的X.509凭证和用于所述TLD的任何根凭证颁发机构(CA)。客户端的DNS解析器可验证用于建立IPsec的条件已经满足且经检验(步骤540)。因此,客户端可使用经验证的TLD以确定‘关注的业务’且起始到与域名url.sec相关联的远程服务器320的IPsec连接(步骤550)。应注意,当解析域名时确定远程服务器是否支持至少一个预定IP层安全协议可包括请求步骤520、接收步骤530和验证步骤540。客户端可通过与远程服务器起始IKE或IKEv2而建立IPsec连接。IKEv2握手可用以产生一或多个共享秘密以建立客户端与远程服务器之间的端到端安全连接。双方通过使用TLD而商定至少一个预定IPsec/ISAKMP配置和协议,进而简化设置过程。因为TLD认证强制某些策略(即,经由来自凭证颁发机构的认证),所以用户知道客户端安全地连接,且传送的数据将由远程服务器根据认证所需要的策略进行处置。如果经签署凭证包含同一根CA,那么相似技术可应用于子域(sec.domain.com)。
在参考图6展示的另一实例中,客户端310可使用典型URL起始从浏览器或应用程序到受信任远程服务器320的连接(步骤610)。以DNS服务器330的DNS解析可含有IP地址(IPv6)、DNSsec检验、DANE X.509凭证,以及指示远程服务器支持例如IKE和IPsec等某一安全协议的DNS服务记录(SRV服务记录)(步骤620和630)。客户端的DNS解析器可验证用于建立IPsec的条件已经满足且经检验(步骤640)。客户端和远程服务器两者通过使用服务记录而商定一些预定义IKE/IPsec配置和协议,进而简化设置过程。因为服务记录和根CA强制某些策略,所以客户端安全地连接,且用户数据将由远程服务器根据认证所需要的策略进行处置(步骤650)。客户端可通过与远程服务器起始IKE或IKEv2而建立IPsec连接。
在参考图7展示的另一实例中,客户端310可基于受信任服务器320的url而起始连接(步骤710)。url(即,FQDN)经验证且解析到IP地址。所支持FQDN的列表经预配置以指示哪些远程服务器商定一些预定义IKE/IPsec配置和协议,进而简化设置过程。DNS请求和响应检验IP地址匹配预存储的值(步骤720和730)。FQDN匹配列表中的所支持FQDN。客户端可验证用于建立IPsec的条件已经满足且经检验(步骤740)。因为这些预定义FQDN列表和根CA验证需要/强制某些策略,所以客户端安全地连接,且用户数据将由服务器根据认证所需要的策略进行处置(步骤750)。客户端可通过与远程服务器起始IKE或IKEv2而建立IPsec连接。
不同于应用层连接安全性,例如当网络浏览器使用https时的SSL或TLS,IP层安全协议可提供IP层安全性保护。并且,不同于应用层虚拟专用网络(VPN),IP层安全协议可针对远程服务器320自动触发而不需要用户干预或起始。实际上,可响应于当解析域名时客户端310确定远程服务器320支持IP层安全协议而触发IP层安全协议。
参看图1,无线远程站(RS)102(例如,移动台MS)可与无线通信系统100的一或多个基站(BS)104通信。无线通信系统100可进一步包含一或多个基站控制器(BSC)106,以及核心网络108。核心网络可以经由合适的回程连接到因特网110和公共交换电话网络(PSTN)112。典型的无线移动台可包含手持式电话或膝上型计算机。无线通信系统100可以使用若干多址技术中的任一者,所述多址技术例如为码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空分多址(SDMA)、极分多址(PDMA)或此项技术中已知的其它调制技术。
本领域技术人员将理解,可使用多种不同技术及技艺中的任一者来表示信息及信号。举例来说,可通过电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在整个上文描述中可能参考的数据、指令、命令、信息、信号、位、符号和码片。
所属领域的技术人员将进一步了解,结合本文中所揭示的实施例描述的各种说明性逻辑块、模块、电路和算法步骤可实施为电子硬件、计算机软件或两者的组合。为清晰地说明硬件与软件的此可互换性,上文已大体就各种说明性组件、块、模块、电路和步骤的功能性加以描述。此类功能性是实施为硬件还是软件取决于特定应用及强加于整个系统的设计约束。本领域技术人员可针对每一特定应用以不同方式来实施所描述的功能性,但这样的实施决策不应被解释为会引起脱离本发明的范围。
可使用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或经设计以执行本文所描述的功能的其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行结合本文中所揭示的实施例而描述的各种说明性逻辑块、模块和电路。通用处理器可以是微处理器,但在替代方案中,处理器可以是任何的常规处理器、控制器、微控制器或状态机。处理器也可实施为计算装置的组合,例如DSP和微处理器的组合、多个微处理器、与DSP核心结合的一或多个微处理器,或任何其它此类配置。
结合本文中所揭示的实施例描述的方法或算法的步骤可直接体现于硬件、由处理器执行的软件模块或两者的组合中。软件模块可驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动的磁盘、CD-ROM,或此项技术中已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器,使得处理器可以从存储媒体读取信息以及将信息写入到存储媒体。在替代例中,存储媒体可与处理器成一体式。处理器及存储媒体可驻留在ASIC中。ASIC可驻留于用户终端中。在替代例中,处理器及存储媒体可作为离散组件驻留于用户终端中。
在一或多个示范性实施例中,所描述的功能可实施在硬件、软件、固件或其任何组合中。如果以软件实施为计算机程序产品,那么可将功能作为一或多个指令或代码存储于计算机可读媒体上或经由计算机可读媒体予以传输。计算机可读媒体包含非暂时性计算机可读存储媒体和通信媒体两者,通信媒体包含促进将计算机程序从一处传送到另一处的任何媒体。存储媒体可以是可以由计算机存取的任何可供使用的媒体。借助于实例而非限制,此类计算机可读媒体可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置,或可用于携带或存储呈指令或数据结构的形式的所需程序代码且可由计算机存取的任何其它媒体。并且,适当地将任何连接称作计算机可读媒体。举例来说,如果使用同轴电缆、光纤电缆、双绞线、数字订户线路(DSL)或无线技术(例如,红外线、无线电及微波)从网站、服务器或其它远程源传输软件,则同轴电缆、光纤电缆、双绞线、DSL或无线技术(例如,红外线、无线电及微波)包含在传输媒体的定义中。如本文中所使用,磁盘和光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软性磁盘及蓝光光盘,其中磁盘通常以磁性方式再现数据,而光盘用激光以光学方式再现数据。以上各项的组合也应包含于计算机可读媒体的范围内。
提供对所公开的实施例的先前描述以使所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将容易明白对这些实施例的各种修改,且在不脱离本发明的精神或范围的情况下,本文所界定的一般原理可应用于其它实施例。因此,本发明并不既定限于本文中所展示的实施例,而应被赋予与本文中所揭示的原理和新颖特征相一致的最广泛范围。
Claims (12)
1.一种用于安全地连接到远程服务器的方法,其包括:
由客户端接收连接到与域名相关联的远程服务器的请求;
响应于接收到连接到与所述域名相关联的所述远程服务器的所述请求,从域名系统DNS服务器获得域名系统DNS解析,从所述DNS服务器获得的所述DNS解析包括所述远程服务器的互联网协议IP地址,从所述DNS服务器获得的所述DNS解析进一步包括服务SRV记录,从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录包括至少一个参数,所述至少一个参数指示所述远程服务器支持至少一个经定义的IP层安全协议;
基于在从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录中包括的所述至少一个参数指示所述远程服务器支持所述至少一个经定义的IP层安全协议,由所述客户端确定所述远程服务器支持所述至少一个经定义的IP层安全协议;由所述客户端响应于确定所述远程服务器支持所述至少一个经定义的IP层安全协议而执行与所述远程服务器的密匙交换协议以产生至少一个共享秘密;以及
由所述客户端使用所述至少一个经定义的IP层安全协议中的所述至少一个共享秘密连接到所述远程服务器。
2.根据权利要求1所述的方法,其中使用安全DNS协议从所述DNS服务器获得所述DNS解析。
3.根据权利要求1所述的方法,其中连接到与所述域名相关联的所述远程服务器的所述请求为来自浏览器的使用统一资源定位符URL的请求,所述URL包括与所述远程服务器相关联的所述域名。
4.一种用于安全地连接到远程服务器的设备,其包括:
用于接收连接到与域名相关联的远程服务器的请求的装置;
用于响应于接收到连接到与所述域名相关联的所述远程服务器的所述请求,从域名系统DNS服务器获得域名系统DNS解析的装置,从所述DNS服务器获得的所述DNS解析包括所述远程服务器的互联网协议IP地址,从所述DNS服务器获得的所述DNS解析进一步包括服务SRV记录,从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录包括至少一个参数,所述至少一个参数指示所述远程服务器支持至少一个经定义的IP层安全协议;
用于基于在从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录中包括的所述至少一个参数指示所述远程服务器支持所述至少一个经定义的IP层安全协议,当解析所述域名时确定所述远程服务器支持所述至少一个经定义的IP层安全协议的装置;
用于响应于确定所述远程服务器支持所述至少一个经定义的IP层安全协议而执行与所述远程服务器的密匙交换协议以产生至少一个共享秘密的装置;以及
用于使用所述至少一个经定义的IP层安全协议中的所述至少一个共享秘密连接到所述远程服务器的装置。
5.根据权利要求4所述的设备,其中使用安全DNS协议从所述DNS服务器获得所述DNS解析。
6.根据权利要求4所述的设备,其中连接到与所述域名相关联的所述远程服务器的所述请求为来自浏览器的使用统一资源定位符URL的请求,所述URL包括与所述远程服务器相关联的所述域名。
7.一种用于安全地连接到远程服务器的设备,其包括:
处理器,其经配置以:
接收连接到与域名相关联的远程服务器的请求;
响应于接收到连接到与所述域名相关联的所述远程服务器的所述请求,从域名系统DNS服务器获得域名系统DNS解析,从所述DNS服务器获得的所述DNS解析包括所述远程服务器的互联网协议IP地址,从所述DNS服务器获得的所述DNS解析进一步包括服务SRV记录,从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录包括至少一个参数,所述至少一个参数指示所述远程服务器支持至少一个经定义的IP层安全协议;
基于在从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录中包括的所述至少一个参数指示所述远程服务器支持所述至少一个经定义的IP层安全协议,当解析所述域名时确定所述远程服务器支持所述至少一个经定义的IP层安全协议;
响应于确定所述远程服务器支持所述至少一个经定义的IP层安全协议而执行与所述远程服务器的密匙交换协议以产生至少一个共享秘密;以及
使用所述至少一个经定义的IP层安全协议中的所述至少一个共享秘密连接到所述远程服务器。
8.根据权利要求7所述的设备,其中使用安全DNS协议从所述DNS服务器获得所述DNS解析。
9.根据权利要求7所述的设备,其中连接到与所述域名相关联的所述远程服务器的所述请求为来自浏览器的使用统一资源定位符URL的请求,所述URL包括与所述远程服务器相关联的所述域名。
10.一种非暂时性计算机可读介质,其包括:
用于致使计算机接收连接到与域名相关联的远程服务器的请求的代码;
用于致使计算机响应于接收到连接到与所述域名相关联的所述远程服务器的所述请求,从域名系统DNS服务器获得域名系统DNS解析的代码,从所述DNS服务器获得的所述DNS解析包括所述远程服务器的互联网协议IP地址,从所述DNS服务器获得的所述DNS解析进一步包括服务SRV记录,从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录包括至少一个参数,所述至少一个参数指示所述远程服务器支持至少一个经定义的IP层安全协议;
用于致使所述计算机基于在从所述DNS服务器获得的所述DNS解析中包括的所述SRV记录中包括的所述至少一个参数指示所述远程服务器支持所述至少一个经定义的IP层安全协议,当解析所述域名时确定所述远程服务器支持所述至少一个经定义的IP层安全协议的代码;
用于致使所述计算机响应于确定所述远程服务器支持所述至少一个经定义的IP层安全协议而执行与所述远程服务器的密匙交换协议以产生至少一个共享秘密的代码;以及
用于致使所述计算机使用所述至少一个经定义的IP层安全协议中的所述至少一个共享秘密连接到所述远程服务器的代码。
11.根据权利要求10所述的非暂时性计算机可读介质,其中使用安全DNS协议从所述DNS服务器获得所述DNS解析。
12.根据权利要求10所述的非暂时性计算机可读介质,其中连接到与所述域名相关联的所述远程服务器的所述请求为来自浏览器的使用统一资源定位符URL的请求,所述URL包括与所述远程服务器相关联的所述域名。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/052,736 | 2016-02-24 | ||
| US15/052,736 US10091243B2 (en) | 2016-02-24 | 2016-02-24 | Apparatus and method for securely connecting to a remote server |
| PCT/US2017/016550 WO2017146891A1 (en) | 2016-02-24 | 2017-02-03 | Apparatus and method for securely connecting to a remote server |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108605047A CN108605047A (zh) | 2018-09-28 |
| CN108605047B true CN108605047B (zh) | 2021-03-02 |
Family
ID=58057291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780010583.8A Active CN108605047B (zh) | 2016-02-24 | 2017-02-03 | 用于安全地连接到远程服务器的设备和方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (3) | US10091243B2 (zh) |
| EP (1) | EP3420696B1 (zh) |
| JP (1) | JP2019512187A (zh) |
| KR (1) | KR20180115271A (zh) |
| CN (1) | CN108605047B (zh) |
| BR (1) | BR112018017290A2 (zh) |
| CA (1) | CA3011816A1 (zh) |
| ES (1) | ES2844975T3 (zh) |
| WO (1) | WO2017146891A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10091243B2 (en) | 2016-02-24 | 2018-10-02 | Qualcomm Incorporated | Apparatus and method for securely connecting to a remote server |
| US11283758B2 (en) * | 2020-03-12 | 2022-03-22 | Cisco Technology, Inc. | Techniques to facilitate openroaming integration into a wireless roaming intermediary exchange data-clearing and financial-settlement architecture |
| US11863565B2 (en) * | 2020-03-20 | 2024-01-02 | Tactika.Com Inc. | System and method for securing access to network assets |
| CN112491910B (zh) * | 2020-12-01 | 2023-09-05 | 三六零数字安全科技集团有限公司 | 基于dot协议的流量标识方法、装置、设备及存储介质 |
| KR102500080B1 (ko) * | 2022-05-25 | 2023-02-16 | 오선화 | 공동 주택 단지에서의 앱 보안 처리 방법 및 시스템 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132326A (zh) * | 2006-08-24 | 2008-02-27 | 华为技术有限公司 | 一种自动配置的方法及系统及设备 |
| CN101719938A (zh) * | 2009-12-01 | 2010-06-02 | 中国建设银行股份有限公司 | 获取内容对象的方法和保存内容对象的方法及相应系统 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US898818A (en) * | 1907-04-25 | 1908-09-15 | John F Lewis | Blast-furnace-charging apparatus. |
| DE3447597C1 (de) * | 1984-12-28 | 1986-08-28 | Karl 7298 Loßburg Hehl | Spritzgiesseinheit fuer eine Kunststoff-Spritzgiessmaschine |
| US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US6289382B1 (en) * | 1999-08-31 | 2001-09-11 | Andersen Consulting, Llp | System, method and article of manufacture for a globally addressable interface in a communication services patterns environment |
| US7209479B2 (en) * | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
| US7296155B1 (en) | 2001-06-08 | 2007-11-13 | Cisco Technology, Inc. | Process and system providing internet protocol security without secure domain resolution |
| GB0216000D0 (en) * | 2002-07-10 | 2002-08-21 | Nokia Corp | A method for setting up a security association |
| US8700729B2 (en) * | 2005-01-21 | 2014-04-15 | Robin Dua | Method and apparatus for managing credentials through a wireless network |
| WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| EP2091204A1 (en) * | 2008-02-18 | 2009-08-19 | Panasonic Corporation | Home agent discovery upon changing the mobility management scheme |
| US20100192170A1 (en) * | 2009-01-28 | 2010-07-29 | Gregory G. Raleigh | Device assisted service profile management with user preference, adaptive policy, network neutrality, and user privacy |
| US8316228B2 (en) * | 2008-12-17 | 2012-11-20 | L-3 Communications Corporation | Trusted bypass for secure communication |
| US20140289794A1 (en) * | 2009-01-28 | 2014-09-25 | Headwater Partners I Llc | Communications device with secure data path processing agents |
| CN101820351B (zh) * | 2009-02-27 | 2013-08-07 | 华为技术有限公司 | 一种用于发现p2p流量优化服务的方法、装置和系统 |
| US8467386B2 (en) | 2009-05-19 | 2013-06-18 | Futurewei Technologies, Inc. | System and apparatus for local mobility anchor discovery by service name using domain name service |
| US8953798B2 (en) | 2010-10-29 | 2015-02-10 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol |
| US9515999B2 (en) * | 2011-12-21 | 2016-12-06 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| WO2013111192A1 (en) * | 2012-01-26 | 2013-08-01 | National Institute Of Information And Communications Technology | Method for securing name registries, network access and data communication in id/locator split-base networks |
| WO2015028057A1 (en) | 2013-08-29 | 2015-03-05 | Nokia Solutions And Networks Oy | Packet processing in communications |
| US9485099B2 (en) | 2013-10-25 | 2016-11-01 | Cliqr Technologies, Inc. | Apparatus, systems and methods for agile enablement of secure communications for cloud based applications |
| EP2933984A1 (en) | 2014-04-15 | 2015-10-21 | Giesecke & Devrient GmbH | SIM/UICC DNS client for DNS resolution |
| US10205593B2 (en) * | 2014-07-17 | 2019-02-12 | Venafi, Inc. | Assisted improvement of security reliance scores |
| US10091243B2 (en) | 2016-02-24 | 2018-10-02 | Qualcomm Incorporated | Apparatus and method for securely connecting to a remote server |
-
2016
- 2016-02-24 US US15/052,736 patent/US10091243B2/en active Active
-
2017
- 2017-02-03 KR KR1020187023739A patent/KR20180115271A/ko unknown
- 2017-02-03 CA CA3011816A patent/CA3011816A1/en not_active Abandoned
- 2017-02-03 CN CN201780010583.8A patent/CN108605047B/zh active Active
- 2017-02-03 BR BR112018017290A patent/BR112018017290A2/pt not_active IP Right Cessation
- 2017-02-03 EP EP17706056.3A patent/EP3420696B1/en active Active
- 2017-02-03 WO PCT/US2017/016550 patent/WO2017146891A1/en active Application Filing
- 2017-02-03 JP JP2018543331A patent/JP2019512187A/ja active Pending
- 2017-02-03 ES ES17706056T patent/ES2844975T3/es active Active
-
2018
- 2018-10-02 US US16/150,122 patent/US10375117B2/en active Active
-
2019
- 2019-06-19 US US16/445,957 patent/US10880334B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132326A (zh) * | 2006-08-24 | 2008-02-27 | 华为技术有限公司 | 一种自动配置的方法及系统及设备 |
| CN101719938A (zh) * | 2009-12-01 | 2010-06-02 | 中国建设银行股份有限公司 | 获取内容对象的方法和保存内容对象的方法及相应系统 |
Non-Patent Citations (1)
| Title |
|---|
| the Internet exchange;Cisco;《IETF》;19981130;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US10375117B2 (en) | 2019-08-06 |
| US10880334B2 (en) | 2020-12-29 |
| KR20180115271A (ko) | 2018-10-22 |
| BR112018017290A2 (pt) | 2019-01-15 |
| US20190036976A1 (en) | 2019-01-31 |
| WO2017146891A1 (en) | 2017-08-31 |
| EP3420696A1 (en) | 2019-01-02 |
| CN108605047A (zh) | 2018-09-28 |
| CA3011816A1 (en) | 2017-08-31 |
| ES2844975T3 (es) | 2021-07-23 |
| US10091243B2 (en) | 2018-10-02 |
| JP2019512187A (ja) | 2019-05-09 |
| EP3420696B1 (en) | 2020-10-21 |
| US20190306199A1 (en) | 2019-10-03 |
| US20170244758A1 (en) | 2017-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10880334B2 (en) | Apparatus and method for securely connecting to a remote server | |
| US9432359B2 (en) | Registration and network access control | |
| EP1255392B1 (en) | Computer network security system employing portable storage device | |
| EP3120591B1 (en) | User identifier based device, identity and activity management system | |
| KR101966574B1 (ko) | 멀티-터널링 가상 네트워크 어댑터 | |
| TWI654866B (zh) | 閘道器、用戶端裝置及用於促進用戶端裝置與應用伺服器間之通信之方法 | |
| US11777718B2 (en) | Unification of data flows over network links with different internet protocol (IP) addresses | |
| US20090319776A1 (en) | Techniques for secure network communication | |
| EP3466012B1 (en) | Network application function registration | |
| WO2013177069A1 (en) | System and method for enabling unconfigured devices to join an autonomic network in a secure manner | |
| TW201345217A (zh) | 具區域功能性身份管理 | |
| US20160261576A1 (en) | Method, an apparatus, a computer program product and a server for secure access to an information management system | |
| TW201739284A (zh) | 網路級智慧型居家保全系統及方法 | |
| US11863530B1 (en) | Systems and methods for virtual private network authentication | |
| TW201310955A (zh) | 處理網路通訊之會話的方法與資訊裝置 | |
| TWI795148B (zh) | 處理存取控制的裝置、方法及系統 | |
| Mortágua | Authentication in VPNs and 802.1 x Networks With Identity Providers | |
| Huang et al. | SSL Remote Access VPNs (Network Security) | |
| Matei | CCNP Security VPN 642-648 Quick Reference | |
| Stakenburg | Managing the Client-side Risks of IEEE 802.11 Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |