DE10392208T5 - Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung - Google Patents
Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung Download PDFInfo
- Publication number
- DE10392208T5 DE10392208T5 DE10392208T DE10392208T DE10392208T5 DE 10392208 T5 DE10392208 T5 DE 10392208T5 DE 10392208 T DE10392208 T DE 10392208T DE 10392208 T DE10392208 T DE 10392208T DE 10392208 T5 DE10392208 T5 DE 10392208T5
- Authority
- DE
- Germany
- Prior art keywords
- client
- server
- authentication
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Verfahren,
das folgende Schritte umfaßt:
Senden einer Nachricht von einem Client zu einem Server, wobei die Nachricht dazu bestimmt ist, eine gesicherte Verbindung aufzubauen;
Abfangen der Daten an einem Sicherheitssystem, das dem Server zugeordnet ist, um Authentifizierungsfunktionen durchzuführen; und
Ausbauen einer gesicherten Verbindung, wenn richtige Authentifizierungen durchgeführt werden.
Senden einer Nachricht von einem Client zu einem Server, wobei die Nachricht dazu bestimmt ist, eine gesicherte Verbindung aufzubauen;
Abfangen der Daten an einem Sicherheitssystem, das dem Server zugeordnet ist, um Authentifizierungsfunktionen durchzuführen; und
Ausbauen einer gesicherten Verbindung, wenn richtige Authentifizierungen durchgeführt werden.
Description
- Verwandte Anmeldungen
- Dieser Anmeldung ist eine continuation-in-part der parallelen US-Patentanmeldung Nr.
10/000.154 - Urheberrechtshinweis
- Ein Teil der Offenbarung dieser Patentunterlagen enthalten Material, welches dem Urheberrechtsschutz unterliegt. Der Inhaber des Urheberrechts hat keine Einwendungen gegen die Reproduktion der Patentunterlagen oder der Patentoffenbarung, wie sie in der Akte oder den Aufzeichnungen des Patent- und Markenamts erscheinen. Darüber hinaus sind jedoch alle Urheberrechte vorbehalten. Der folgende Hinweis bezieht sich auf die Software und die Daten, wie sie nachfolgend und den beigefügten Zeichnungen beschrieben werden: Copyright
2001 , Intel Corporation, alle Rechte vorbehalten. - Gebiet der Erfindung
- Die Erfindung bezieht sich allgemein auf das Erweitern der Möglichkeiten der Netzwerksicherheit und insbesondere auf einen Mechanismus zum Unterstützen drahtgebundener und drahtloser Architekturen für clientseitige Zertifizierungen und serverseitige Zertifizierungen.
- Hintergrund der Erfindung
- Der Bedarf an sicheren, skalierbaren und flexiblen Internetanwendungen und -dienstleistungen steigt in der drahtlosen Welt enorm an. Seit drahtlose Internetanwendungen üblich wurden, gibt es eine große Chance für Anwendungen, mit denen Authentifikationen und Verschlüsselungsmechanismen gehandhabt werden können, sowie sicherheitsbezogene Funktionen beschleunigt werden können.
- In der drahtlosen Internetwelt sorgt Wireless-Transport-Layer-Security (WTLS) für Datenschutz und Integrität für Kommunikationen unter Verwendung von Verschlüsselungs- und Authentifizierungsfunktionen. Das WTLS-Handshake-Protokoll des WAP (Wireless Access Protocol) Forum baut eine gesicherte Verbindung zwischen dem Client und dem Server auf, indem dem Server ermöglicht wird, sich selbst dem Client gegenüber durch Übersenden seines Zertifikats zu authentifizieren. Genauso kann der Client sich selbst durch Senden seines Zertifikats (oder einem Link davon) authentifizieren, wenn eine Clientauthentifizierung von dem Server angefordert wird.
- In der drahtgestützten Internetwelt kann zur Sicherheit in der Form von SSL (Secure Sockets Layer) gesorgt werden. SSL ist ein Protokoll, das Authentifizierungen des Clients und/oder des Servers sowie eine Verschlüsselung während der Kommunikationssitzung unterstützt.
- Da jede Netzwerkgeneration ausgefeilter wird, müssen Anwendungen sowohl für das drahtgestützte wie auch für das drahtlose Internet sicher sein. Bei dem aktuellen Stand der Technik des drahtlosen Internets können sicherheitsbezogene Funktionen bei einem WAP-Gateway stattfinden. Dies liefert jedoch keine End-to-End-Lösung, da bei einer Benutzeranfrage, die bei der WAP-Gateway abgefangen wird, zwar der Benutzer die Gateway autorisieren kann, nicht jedoch den Server.
- Eine Lösung dieses Problems und eine Lösung für das drahtgebundene Internet ist es, sicherheitsbezogene Funktionen auf die Server in diesem` Netzwerken abzuladen, um die sicherheitsrelevanten Dinge, einschließlich dem Verschlüsseln und Authentifizieren, zu handhaben. Dadurch verbleibt dem Server jedoch eine geringere Rechenleistung zur Datenverarbeitung und für den Inhalt, der z. B. an Clients geliefert wird.
- Obgleich einige Anbieter sicherheitsbezogene Funktionen außerhalb des Servers zur Verfügung stellen, bieten diese Lösungen nur unvollständige Sicherheitslösungen. Obgleich beispielsweise nChiper von Woburn, Massachusetts, einen Verschlüsselungsdienst außerhalb des Servers zur Verfügung stellt, bietet es keinen Authentifizierungsdienst an.
- Kurze Zusammenfassung der Zeichnungen
- Die vorliegende Erfindung wird in den Figuren und den beigefügten Zeichnungen im Wege eines Beispiels und nicht im Sinne einer Beschränkung dargestellt, wobei sich gleiche Bezugszeichen sich auf vergleichbare Elemente beziehen.
-
1 zeigt ein Sicherheitssystem mit einem Datenzentrum entsprechend einer Ausführungsform. -
2 zeigt einen WAP-Stapel gemäß einer Ausführungsform. -
3 zeigt eine Systemarchitektur gemäß einer Ausführungsform. -
4 zeigt ein Verfahren zum Betreiben eines Sicherheitssystems gemäß einer Ausführungsform. -
5 zeigt eine WTLS-Sicherheitsprotokollarchitektur gemäß einer Ausführungsform. -
6 zeigt ein WTLS-Handshake gemäß einer Ausführungsform. -
7 zeigt eine Client-Hello-Nachricht gemäß einer Ausführungsform. -
8 zeigt ein Sicherheitssystem gemäß einer Ausführungsform. -
9 zeigt eine Architektur eines Datenzentrum gemäß einer Ausführungsform. -
10 zeigt ein Sicherheitssystem gemäß einer Ausführungsform. -
11 zeigt ein Flußdiagramm, das ein Verfahren zum Aufbau eines Handshakes zwischen einem Client und einem Server entsprechend allgemeiner Ausführungsformen der Erfindung darstellt. -
12 ist ein Pseudocode zum Aufbau eines Handshakes zwischen einem Client und einem Server gemäß allgemeinen Ausführungsformen der Erfindung. -
13 stellt eine Systemarchitektur zur drahtgegebundenen und drahtlosen Authentifizierung entsprechend allgemeiner Ausführungsformen der Erfindung dar: -
14 stellt eine alternative Systemarchitektur zur drahtgebundenen und drahtlosen Authentifizierung gemäß allgemeinen Ausführungsformen der Erfindung dar. -
15 ist ein Diagramm, das einen Arbeitsablauf für eine serverseitige Zertifizierung sowohl für drahtgebundene wie auch für drahtlose Clients darstellt. -
16 ist ein Flußdiagramm, das ein Verfahren zur serverseitigen Zertifizierung gemäß allgemeinen Ausführungsformen der Erfindung darstellt. -
17 ist ein Flußdiagramm, das ein Verfahren zur serverseitigen Zertifizierung für drahtlose Clients darstellt. -
18 ist ein Flußdiagramm, das ein Verfahren zur serverseitigen Zertifizierung für drahtgebundene Clients darstellt. -
19 ist ein Diagramm, das einen Arbeitsablauf für eine clientseitige Zertifizierung für sowohl drahtgebundene wie auch drahtlose Clients darstellt. -
20 ist ein Flußdiagramm, das ein Verfahren zur clientseitigen Zertifizierung gemäß allgemeinen Ausführungsformen der Erfindung darstellt. -
21 ist ein Flußdiagramm, das ein Verfahren zur clientseitigen Zertifizierung für drahtlose Clients darstellt. -
22 ist ein Flußdiagramm, das ein Verfahren zur clientseitigen Zertifizierung für drahtgebundene Clients darstellt. -
23 ist ein Diagramm, das ein Sicherheitssystem gemäß allgemeinen Ausführungsformen der Erfindung darstellt. -
24 stellt eine Beispielkonfiguration eines Sicherheitssystems dar. - Detaillierte Beschreibung der Erfindung
- Ein Aspekt der Erfindung ist ein Verfahren zum Einbeziehen von Sicherheitsfunktionen, einschließlich Verschlüsseln und Authentifizieren, in einer einzelnen Netzwerkeinrichtung für sowohl das drahtgebundene wie auch das drahtlose Internet, so daß Server von dieser Funktion und der Notwendigkeit, auf die unterschiedlichen Sicherheitsstandards und Authentifizerungsmechanismen Rücksicht zu nehmen, befreit werden.
- Das Verfahren umfaßt das Senden einer Nachricht von einem Client zu einem Server zum Ausbauen einer sicheren Verbindung. Die Nachricht wird von einem Sicherheitssystem abgefangen, das dem Server zugeordnet ist. Das Sicherheitssystem führt Authentifizierungsfunktionen, einschließlich der Authentifizierung des Clients, sowie Unterstützungsfunktionen für die Authentifizierung des Servers durch. Wenn die Authentifizierungsfunktionen korrekt vorgenommen werden, wird anschließend eine sichere Verbindung aufgebaut.
- Der Ausdruck Internet kann, wie er hierin benutzt wird, ein internes Netzwerk, das als ein Satz von Computernetzwerken definiert ist, die verschieden sein können und mittels Gateways miteinander verbunden sind, welche die Datenübertragung und die Konvertierung von Nachrichten von den sendenden Netzwerkprotokollen zu denen des empfangenden Netzwerks durchführen; ein Internet, welches ein privates Netzwerk ist, das auf Internetprotokollen, wie TCP/IP beruht, jedoch für ein Informationsmanagement innerhalb eines Unternehmens oder einer Organisation konstruiert ist; oder das Internet, welches als eine weltweite Ansammlung von Netzwerken und Gateways definiert ist, welche den TCP/IP-Satz von Protokollen benutzt, um mit den anderen zu kommunizieren, umfassen.
- In der folgenden Beschreibung werden nur zum Zweck der Darstellung viele spezielle Details dargestellt, um ein vollständiges Verständnis der vorliegenden Erfindung zu liefern. Es wird jedoch für den Fachmann deutlich, daß die vorliegende Erfindung ohne einige dieser speziel len Details ausgeführt werden kann. In anderen Fällen werden gut bekannte Strukturen und Vorrichtungen in Form von Blockdiagrammen gezeigt.
- Die vorliegende Erfindung umfaßt verschiedene Abläufe, die nachfolgend beschrieben werden. Die Abläufe der vorliegenden Erfindung können durch Hardwarekomponenten ausgeführt werden oder in maschinenausführbaren Befehlen implementiert sein, die benutzt werden können, um die Ausführungen der Abläufe auf einem Prozessor für allgemeine Zwecke oder für Spezialzwecke oder auf einer Logikschaltung, die mit den Befehlen programmiert ist, hervorzurufen. Alternativ können die Befehle durch eine Kombination von Hardware und Software ausgeführt werden.
- Die vorliegende Erfindung kann als ein Computerprogrammprodukt zur Verfügung gestellt werden, welches ein maschinenlesbares Medium mit darauf gespeicherten Befehlen umfaßt, die benutzt werden können, um einen Computer (oder andere Elektronikeinrichtungen) zu programmieren, um ein Verfahren gemäß der vorliegenden Erfindung auszuführen. Das maschinenlesbare Medium kann Floppydisks, optische Disketten, CD-ROMs (Compact Disc-Read Only Memories) und magneto-optische Disketten, ROMs (Read Only Memories), RAMs (Random Access Memories), EPROMs (Erasable Programmable Read Only Memories), EEPROMs (Electromagnetic Erasable Programmable Read Only Memories), magnetische oder optische Karten, Flash Memory oder andere Arten von Meiden oder maschinenlesbaren Medien, die zum Speichern elektronischer Befehle geeignet sind, umfassen, wobei die Aufzählung nicht abschließend ist.
- Darüber hinaus kann die vorliegende Erfindung auch als ein Computerprogrammprodukt heruntergeladen werden, wobei das Programm von einem entfernten Computer (z. B. einem Server) zu einem anfragenden Computer (z. B. einem Client) mittels Datensignalen, die in einer Trägerwelle oder anderen Propagationsmedien eingebettet sind, über eine Kommunikationsverbindung (z. B. einem Modem oder einer Netzwerkanbindung) übertragen werden. Demgemäß soll hierin eine Trägerwelle als von einem maschinenlesbares Medium umfaßt betrachtet werden.
- Einleitung
-
1 zeigt ein vereinfachtes Blockdiagramm eines sicheren Kommunikationssystems100 . Wie hierin diskutiert, kann ein System, wie ein System zum Auswählen einer Sicherheitsformatkonvertierung, eine Vorrichtung sein, die Hardware, Software oder irgendeine Kombination von Hardware und Software zur Datenverarbeitung umfaßt. Das System100 umfaßt eine Netzwerkzugriffseinrichtung110 , die mit einem Datenzentrum150 über ein öffentliches Netzwerk120 zur Kommunikation verbunden ist, um eine Angabe (Indikation) eines sicheren Formats130 und sicherer Daten140 zu dem Datenzentrum150 zu liefern. Das Datenzentrum150 umfaßt ein Sicherheitssystem160 mit einem Auswahlsystem170 , um eine Sicherheitskonvertierung auf Grundlage der Angabe130 auszuwählen, und ein Konvertierungssystem180 , um die ausgewählte Sicherheitskonvertierung auf den sicheren Daten140 auszuführen. - Die Netzwerkzugriffseinrichtung
110 kann irgendeine elektronische Einrichtung sein, die mit einem Netzwerk120 verbunden werden kann und über dieses Daten übertragen kann. Die Zugriffseinrichtung110 kann beispielsweise eine drahtgebundene Einrichtung (z. B. ein Personalcomputer oder eine Workstation) oder eine drahtlose Einrichtung (z. B. ein Laptop, ein Personal Digital Assistant (PDA), ein Handy, ein Pager, ein Smartphone oder ein Kommunikator) sein. Typischerweise verwenden drahtgebundene Einrichtung andere Sicherheitsformate oder Protokolle als drahtlose Einrichtungen, um auf einen größeren Speicher, den Prozessor und Bandbreitenressourcen Rücksicht zu nehmen. - Das öffentliche Netzwerk
120 kann ein beliebiges Netzwerk sein, das wenigstens einen nicht privaten Teil umfaßt, den sich Einheiten teilen, die von der Netzwerkzugriffseinrichtung110 und dem Datenzentrum150 verschieden sind. Das öffentliche Netzwerk120 kann verhältnismäßig unzuverlässig, unsicher und anfälliger für Sicherheitslücken bei der Übertragung (z. B. ein Angriff durch jemanden in der Mitte (man-in-the-mittle-attack)) im Vergleich zu einem privaten Netzwerk (z. B. einem Intranet) sein, das intern innerhalb des Datenzentrums150 benutzt werden kann. Gemäß einer Ausführungsform umfaßt das öffentliche Netzwerk120 ein drahtloses Netzwerk, einen WAP-Gateway und das Internet und sorgt für eine End-to-End-Sicherheit zwischen einer drahtlosen Zugriffseinrichtung110 und einem Datenzentrum150 . - Das Datenzentrum
150 kann ein Computersystem oder mehrere Computersysteme sein, die mit dem öffentlichen Netzwerk120 verbunden sind, um sichere Daten über das öffentliche Netzwerk120 zu empfangen oder zu liefern. Das Datenzentrum150 kann z. B. mehrere privat vernetzte Computersysteme umfassen, welche solche Funktionen, wie eine Firewall, einen Server und eine Datenquelle, zur Verfügung stellen. - Die Netzwerkzugriffseinrichtung
110 überträgt die Angabe eines sicheren Protokolls130 zu dem Datenzentrum150 über das Netzwerk120 . Verschiedene Ausführungsformen der Angabe130 werden in Betracht gezogen. Gemäß einer ersten Ausführungsform umfaßt die Angabe130 Informationen, um eine Verbindung zwischen der Netzwerkzugriffseinrichtung110 und dem Datenzentrum150 aufzurufen und zu definieren. - Entsprechend einer zweiten Ausführungsform umfaßt die Angabe
130 einen Port, z. B. eine Nachricht, die einem speziellen Sicherheitsformat zugeordnet ist, das auf einem Port empfangen wird, der dafür konfiguriert ist, dieses spezielle Sicherheitsformat zu empfangen. Der Ausdruck "Port" wird benutzt, um eine logische Verknüpfung oder ein Interface zwischen Daten, die von dem Netzwerk120 empfangen werden, und einer Komponente des Datenzentrums150 , wie eine Anwendung, ein Modul oder ein Higher-Level-Protokoll zu bezeichnen. Der Port kann eine entsprechende Port-Nummer aufweisen, die der Komponente zugeordnet ist und die benutzt werden kann, um aus dem Netzwerk120 empfangende Daten mit der Komponente oder dem Dienst zu verknüpfen oder zu diesem zu leiten. Gemäß einer Ausführungsform kann der Port ein bekannter Port mit einer bekannten Port-Nummer sein. Zum Beispiel kann der Port der bekannte Port80 sein, der für HTTP-Daten benutzt wird, oder der Port kann der bekannte Port443 sein, der für SSL-Daten benutzt wird. Eine aus dem Netzwerk120 empfangene Nachricht kann eine Port-Bezeichnung umfassen, welche die Komponente bezeichnet. Gemäß einer Ausführungsform kann ein Port von einem durch ein Betriebssystem geleiteten Softwareprozess implementiert werden, der die Daten abhört, die aus dem Netzwerk120 an einem physikalischen Interface empfangen werden, wie mit einer Netzwerkinterfacekarte (NIC), die mit dem Netzwerk über eine Gigabit-Ethernet oder RJ45-Verbindung verknüpft ist, für die Port-Bezeichnung, die den Port und die Komponente bezeichnet. Die Port-Bezeichnung und eine IP-Adresse bilden zusammen einen Socket, der eine Endpunkt der Verbindung spezifiziert. Eine End-to-End-Kommunikation zwischen der Einrichtung110 und dem Datenzentrum150 kann durch einen Vierertuppel spezifiziert werden, das einen Port und eine IP-Adresse für die Einrichtung110 und einen Port und eine IP-Adresse für das Datenzentrum150 umfaßt. - Gemäß einer dritten Ausführungsform umfaßt die Angabe
130 eine Angabe eines sicheren Datenformats, das von der Netzwerkzugriffseinrichtung110 unterstützt, bevorzugt oder sowohl unterstützt als auch bevorzugt wird. Zum Beispiel kann die Angabe130 ein Sicherheitsmerkmal umfassen, das von der Zugriffseinrichtung110 unterstützt oder bevorzugt wird, die in einer Sicherheitsaushandlungsnachricht der Vordatenphase, wie einer Client-Hello-Nachricht, die während eines Sicherheits-Handshakes gesendet wird, angekündigt ist. Der Ausdruck "Sicherheitsmerkmal" wird benutzt, um in aller Breite Merkmale, Parameter und Optionen zu bezeichnen, die ein Sicherheitsformat beschreiben oder definieren, und umfaßt Sicherheitsmerkmale, die aus der Gruppe ausgewählt sind, aber nicht darauf beschränkt sind, die Versionsinformationen, Optionsinformationen (z. B. Zertifizierung oder keine Zertifizierung), Verschlüsselungsalgorithmusinformationen, Sicherheitsparameterinformationen, Verschlüsselungsparameterinformationen, Zuverlässigkeitszertifikationsinformationen und andere Sicherheitsmerkmalsinformationen umfaßt. - Gemäß einer vierten Ausführungsform umfaßt die Angabe
130 sowohl eine Angabe eines Ports, der dem Sicherheitsformat zugeordnet ist, als auch eine Angabe des Sicherheitsmerkmals, das von der Einrichtung110 unterstützt wird. Zum Beispiel umfassen beispielhafte Angaben130B ein Sicherheitsmerkmal131 , das zu einem Port190 (welches den bekannten Port443 umfassen kann) des Datenzentrums150 geliefert wird. - Gemäß einer fünften Ausführungsform umfaßt die Angabe
130 eine Sitzungsidentifikation, die einem früheren Sicherheitsformat oder -konvertierung entspricht. Entsprechend einer sechsten Ausführungsform umfaßt die Angabe130 eine Profilidentifikation (z. B. eine Benutzerkennung oder ein Paßwort), das den Zugriff auf ein Sicherheitsformat oder eine Sicherheitskonvertierung von einem Profil in dem Datenzentrum150 ermöglicht. Gemäß einer siebten Ausführungsform umfaßt die Angabe130 eine zweckgebundene eindeutige Angabe eines Sicherheitsformats, z. B. SSL-Version3.0 . Gemäß einer achten Ausführungsform umfaßt die Angabe130 eine zweckgebundene eindeutige Angabe einer Sicherheitskonvertierung, z. B. eine Logik oder ein Modul, um von SSL-Version3.0 zu Klartextdaten zu konvertieren. Viele andere Ausführungsformen der Angabe130 werden in Betracht gezogen, und eine Per son mit durchschnittlichem Fachwissen auf diesem Gebiet und den Vorteilen der vorliegenden Offenbarung wird erkennen, daß die Angabe130 breit auszulegen ist. - Wie vorhergehend diskutiert, werden verschiedene Angaben
130 in Betracht gezogen und das Auswahlsystem170 kann dementsprechend verschiedene Auswahlen vornehmen. Entsprechend einer ersten Ausführungsform basiert die Auswahl auf Informationen, die aus dem Netzwerk120 empfangen werden. Gemäß einer zweiten Ausführungsform basiert die Auswahl auf Verbindungsinformationen, die mit dem Aufbau einer Verbindung zwischen der Netzwerkzugriffseinrichtung110 und dem Datenzentrum150 verknüpft sind. Gemäß einer dritten Ausführungsform basiert die Auswahl auf Port-Informationen. Zum Beispiel kann das Auswahlsystem170 eine ersten Konvertierung auswählen, wenn eine Verbindungsinformation an einem ersten vorbestimmten konfigurierten Port empfangen wird, und eine zweite Konvertierung auswählen, wenn eine Verbindungsinformation an einem zweiten Port empfangen wird. Gemäß einer vierten Ausführungsform basiert die Auswahl auf Sicherheitsmerkmalinformationen, welche Sicherheitsformatmerkmale bezeichnen, die von der Einrichtung110 unterstützt, bevorzugt oder sowohl unterstützt als auch bevorzugt werden. Zum Beispiel kann das Auswahlsystem170 eine Konvertierung aufgrund eines unterstützten und eines bevorzugten Sicherheitsformats auswählen, das in der Client-Hello-Nachricht angekündigt ist. - Gemäß einer fünften Ausführungsform kann die Auswahl auf Port-Informationen und Sicherheitsmerkmalsinformationen beruhen. Zum Beispiel kann das Auswahlsystem
170 eine Konvertierung aus einem Sicherheitsformat aufgrund eines Ports auswählen, auf dem eine Client-Hello-Nachricht empfangen wird, und aufgrund von Sicherheitsmerkmalen, die in der Client-Hello-Nachricht als von der Clienteinrichtung110 unterstützt und bevorzugt angegeben sind. - Gemäß einer sechsten Ausführungsform kann die Auswahl auf einer Sitzungsidentifikation beruhen, die einem (einer) vorherigen Sicherheitsformat oder -konvertierung entspricht. Gemäß einer siebten Ausführungsform kann die Auswahl auf einer Profilidentifikation (z. B. einer Benutzerkennung und einem Paßwort) beruhen, die dem Auswahlsystem
170 ermöglicht, auf ein Sicherheitsformat oder eine Sicherheitsformatskonvertierung von einem Profil zuzugreifen. Gemäß einer achten Ausführungsform kann die Auswahl auf einem spezifizierten Sicherheitsformat oder einer Sicherheitsformatskonvertierung (z. B. "SSL V3.0 zu Klartextdaten) beruhen. Viele andere Auswahlen und Auswahlsysteme170 sind vorgesehen und eine Person mit durchschnittlichem Fachwissen auf diesem Gebiet und dem Vorteil der vorliegen den Offenbarung wird erkennen, daß die Auswahl und das Auswahlsystem170 breit auszulegen ist. - Die Konvertierung erfolgt von einem empfangenen Sicherheitsformat in ein anderes Format. Das andere Format kann ein einfaches Klartextdatenformat sein. Dies kann vorteilhaft sein, wenn das Datenzentrum
150 intern ausreichend gesichert ist und nur ein geringes Risiko eines unbeabsichtigten oder nicht autorisierten Datenzugriffs bietet. Dadurch kann vorteilhaft eine nachfolgende Entschlüsselung in dem Datenzentrum150 vermieden werden. Gemäß einer alternativen Ausführungsform kann das andere Format ein anderes Sicherheitsformat sein. Das heißt, das Sicherheitssystem160 kann eine Konvertierung von einem Sicherheitsformat in einen anderes Sicherheitsformat auswählen und durchführen. Zum Beispiel kann die Konvertierung zu einer IP-Security (IPSec) führen, die zur Sicherheit in einem Intranet des Datenzentrums150 gewünscht sein kann. - Die Netzwerkzugriffseinrichtung
110 überträgt sichere Daten140 zu dem Datenzentrum150 über das Netzwerk120 . Das Datenzentrum150 empfängt die sicheren Daten140 von dem Netzwerk120 . Das Konvertierungssystem180 führt die ausgewählte Sicherheitskonvertierung auf den sicheren Daten140 durch. Ohne Beschränkung können die sicheren Daten140 Transaktions- und/oder Finanzdaten sein, und das Datenzentrum150 kann die Daten verwenden und/oder auf diese antworten, wie es für eine bestimmte Anwendung gewünscht ist. - Gemäß einer Ausführungsform ist die Netzwerkzugriffseinrichtung
110 eine drahtlose Netzwerkzugriffseinrichtung, welche einen WAP-Stapel200 , der in2 gezeigt ist, benutzt, um mit der Datenzentrale150 zu kommunizieren. Der WAP-Stapel200 ist eine Sicherheitsspezifikation, die es ermöglicht, daß die drahtlose Einrichtung sicher auf Informationen über das Netzwerk120 zugreift. Der WAP-Stapel200 umfaßt eine Anwendungsschicht210 , eine Sitzungsschicht220 , eine Übertragungsschicht230 , eine Sicherheitsschicht240 , eine Transport-Schicht250 und eine Netzwerkschicht260 . Der WAP-Stapel200 ist einer Person mit durchschnittlichem Fachwissen auf diesem Gebiet gut bekannt und wird im größeren Detail in der Version1.2 und2.0 der WAP-Spezifikation beschrieben, welche über http://www.wapforum.org erhältlich ist. - Die Sicherheitsschicht
240 umfaßt das WTLS-Protokoll und kann Geheimhaltung, Datenintegrität und Client/Server-Authentifikation für WAP-fähige drahtlose Einrichtungen zur Verfü gung stellen. Das WTLS-Protokoll arbeitet oberhalb der Transportschicht250 und stellt die WAP-Schichten210 bis230 des oberen Levels mit einem sicheren Transportserviceinterface zur Verfügung, welches das Transportinterface darunter erhält und außerdem Verfahren bietet, um die Sicherheitskonvertierungen auszuführen. WTLS bezieht sich auf nicht drahtlose Protokolle, wie Secure Sockets Layer (SSL), involviert jedoch seitens der Einrichtung eine verhältnismäßig geringe Bearbeitungsleistung und Speichererfordernisse, eine niedrige Bandbreite und Datagrammverbindung. - Die Transportschicht
250 kann verschiedene Datagramm-basierende Transportschichtprotokolle, wie UDP/IP und WDP, umfassen. UDP arbeitet mit IP-Übermittlungsdiensten, während WDP mit nicht-IP-Übermittlungsdiensten arbeitet. Zum Beispiel kann WDP mit dem Short Message Service (SMS) und ähnlichen drahtlosen Übermittlungsdiensten verwendet werden, während UDP mit Circuit Swichted Data (CSD) und ähnlichen Übermittlungsdiensten benutzt werden kann. -
3 zeigt ein vereinfachtes Blockdiagramm der Systemarchitektur300 einer Ausführungsform der Erfindung. Die Systemarchitektur300 umfaßt eine drahtlose Zugriffseinrichtung305 und eine drahtgebundene Zugriffseinrichtung 320, um heterogen verschlüsselte Nachrichten über ein öffentliches Netzwerk325 zu einem Datenzentrum340 zu übertragen, das ein Sicherheitssystem345 umfaßt, um verschiedene Sicherheitskonvertierungsbearbeitungen für die empfangenen heterogen verschlüsselten Nachrichten auszuwählen und zu implementieren. - Die drahtlose Zugriffseinrichtung
305 , die in einer Ausführungsform ein WAP-Mikrobrowser-fähiges Handy ist, wird mit dem öffentlichen Netzwerk325 , das in einer Ausführungsform das Internet ist, über ein drahtloses Netzwerk310 und einem WAP-Gateway315 gekoppelt. Die drahtlose Zugriffseinrichtung305 erzeugt und überträgt eine WTLS-Client-Hello-Nachricht, die Sicherheitsmerkmalsinformationen umfaßt, welche Sicherheitsmöglichkeiten und Leistungen der Einrichtung305 entsprechen und überträgt diese zu dem drahtlosen Netzwerk310 unter Verwendung- von entweder einem UDP- oder eine WDP-Übertragungsprotokoll. Das drahtlose Netzwerk310 empfängt die Nachricht und übermittelt sie zu dem WAP-Gateway. Das WAP-Gateway konvertiert das Übertragungsprotokolhnedium entweder von LTDP oder WDP zu TCP und führt die Nachricht zu dem öffentlichen Netzwerk325 unter Verwendung von TCP. - Eine drahtgebundene Zugriffseinrichtung
320 , welche gemäß einer Ausführungsform ein Personalcomputer mit Browser ist, erzeugt eine Nachricht, die Sicherheitsmerkmalsinformationen enthält, und überträgt diese zu dem öffentlichen Netzwerk325 . Die Nachricht kann eine SSL-Client-Hello-Nachricht umfassen, die verwendet wird, μm eine Aushandlung eines Sicherheitsformats in einem SSL-Handshake zu initiieren. - Das öffentliche Netzwerk
325 ist funktionell mit der drahtlosen Zugriffseinrichtung305 , der drahtgebundenen Zugriffseinrichtung320 und dem Datenzentrum340 verbunden, um die Nachrichten von den Einrichtung305 ,320 zu empfangen und die Nachrichten zu dem Datenzentrum340 zu liefern. Gemäß einer Ausführungsform umfaßt das Netzwerk325 das Internet und kann TCP oder UDP als Protokolle für das Transportmedium benutzen. Das Netzwerk325 überträgt oder kommuniziert die Nachrichten zu dem Datenzentrum340 , wie die Angaben330 und335 . - Das Datenzentrum
340 ist mit dem öffentlichen Netzwerk325 gekoppelt, um die Nachrichten zu empfangen, die den Einrichtungen305 und320 zugeordnet sind. Das Datenzentrum340 umfaßt ein Sicherheitssystem345 , das gemäß einer Ausführungsform funktionell zwischen dem öffentlichen Netzwerk325 und einem Server390 angeordnet ist, so daß das Sicherheitssystem345 eine Sicherheitskonvertierungsauswahl und -abwicklung für den Server390 ausführen kann. - Gemäß einer Ausführungsform umfaßt das Sicherheitssystem
345 ein Netzwerkinterface350 , um Angaben und Sicherheitsdaten zu empfangen, ein Auswahlsystem360 , um eine Konvertierung aufgrund der Angaben auszuwählen, ein Konvertierungssystem370 , um die ausgewählte Konvertierung zu empfangen und die ausgewählte Konvertierung auf Sicherheitsdaten anzuwenden, die über das Netzwerkinterface350 empfangen werden, und ein zweites Netzwerkinterface380 , um die konvertierten Daten zu empfangen und um die konvertierten Daten an andere Komponenten des Datenzentrums340 , wie in einer Ausführungsform ein Server390 , zu liefern. - Das Netzwerkinterface
350 kann ein oder mehrere NIC umfassen, um die Nachrichten und die Sicherheitsdaten für das Datenzentrum340 zu empfangen. Gemäß einer Ausführungsform umfaßt das Netzwerkinterface350 wenigstens einen Port354 , um Informationen von der drahtlosen Zugriffseinrichtung305 zu empfangen, und wenigstens einen Port352 , um Infor mationen von der drahtgebundenen Zugriffseinheit320 zu empfangen. Das Netzwerkinterface350 kann z. B. einen ersten und zweiten Port354 aufweisen, um jeweils gesicherte und ungesicherte Daten von der drahtlosen Zugriffseinrichtung305 zu empfangen, und einen zweiten und dritten Port352 , um jeweils gesicherte und ungesicherte Daten von der drahtgebundenen Zugriffseinrichtung320 zu empfangen. - Das Auswahlsystem
360 ist mit dem Netzwerkinterface350 gekoppelt, um Sicherheitskonvertierungsauswahlinformationen von dem Netzwerkinterface350 zu empfangen, und um eine Sicherheitskonvertierung aufgrund der Informationen auszuwählen. Die Sicherheitskonvertierung kann eine Konvertierung von einem Sicherheitsformat, das den Information zugeordnet ist, in ein anderes Format (z. B. ein anderes geschütztes Format oder ein Klartextdatenformat) sein. Gemäß einer ersten Ausführungsform wählt das Auswahlsystem360 eine Sicherheitskonvertierung aufgrund der empfangenen Angabe des Ports aus. Das Auswahlsystem360 kann z. B. eine Angabe eines vorbestimmten Ports empfangen, der für die Verwendung von SSL-verschlüsselten Daten bekannt ist, und wählt wenigstens eine Sicherheitskonvertierung von den SSL-verschlüsselten Format in ein anderes Format aus. Gemäß einer zweiten Ausführungsform wählt das Auswahlsystem360 wenigstens eine Sicherheitskonvertierung aufgrund der empfangenen Sicherheitsmerkmalsinformationen aus. Das Auswahlsystem360 kann z. B. Sicherheitsmerkmalsinformationen empfangen, die ein Sicherheitsmerkmal oder einen Satz von Sicherheitsmerkmalen bezeichnen, die von der drahtgebundenen Zugriffseinrichtung320 unterstützt werden, und wählt eine Konvertierung von diesem Sicherheitsformat zu einem anderen Format aus. Gemäß einer dritten Ausführungsform wählt das Auswahlsystem360 eine Konvertierung aufgrund von sowohl einer Port-Information als auch einer Sicherheitsmerkmalsinformation aus. Das Auswahlsystem360 kann z. B. entweder ein WTLS-Konvertierungssystem372 auswählen mit wenigstens einer teilweisen Konvertierung von einem WTLS-Format in ein anderes Format oder ein SSL-Konvertierungssystem374 mit wenigstens einer teilweisen Konvertierung von einem SSL-Format in ein anderes Format aufgrund der Port-Information und kann entweder die teilweise WTLS- oder SSL-Konvertierung aufgrund der Sicherheitsmerkmalsinformation auswählen. - Das Auswahlsystem
360 kann eine ausgewählte Sicherheitskonvertierung zu anderen Komponenten des Systems300 zur Verfügung stellen. Gemäß einer Ausführungsform verknüpft das Auswahlsystem360 eine Sitzungsidentifikation für eine Sitzung zwischen einer Einrichtung305 oder320 und dem Datenzentrum340 mit der ausgewählten Sicherheitskonvertie rung. Dies kann ermöglichen, daß aufeinanderfolgend empfangene Daten in einem gesicherten Format mit der ausgewählten Sicherheitskonvertierung verknüpft werden. In einer Ausführungsform kann das Auswahlsystem360 dem Konvertierungssystem370 die ausgewählten Konvertierung durch Angeben eines Sicherheitskonvertierungsauswahlsignals melden. Das Auswahlsystem360 kann z. B. einen Verfahrensaufruf an das Konvertierungssystem370 , das WTLS-Konvertierungssystem372 oder das SSL-Konvertierungssystem374 , welches die ausgewählte Konvertierung übermittelt, durchführen. - Nachdem das Sicherheitsformat zwischen den Einrichtungen
305 ,320 und dem Sicherheitssystem345 ausgehandelt wurde, können die Einrichtungen305 ,320 sichere Daten zu dem Sicherheitssystem345 übertragen. Insbesondere kann die drahtlose Einrichtung305 Daten in einer vorbestimmten Version von WTLS übertragen. Das drahtlose Netzwerk310 kann die sicheren Daten empfangen und an den WAP-Gateway315 liefern. Typischerweise wird der WAP-Gateway315 eine Konvertierung von entweder UDP oder WDP zu TCP durchführen und die Daten im TCP-Format an das öffentliche Netzwerk325 liefern. - Gemäß einer Ausführungsform ist der WAP-Gateway
315 so konfiguriert, daß er die empfangenen sicheren WTLS-Daten ohne eine Sicherheitskonvertierung passieren läßt. Vorteilhafterweise kann dieser Zugang eine End-to-End-Sicherheit zwischen der drahtlosen Zugriffseinrichtung305 und dem Datenzentrum340 zur Verfügung stellen und kann die WAP-Lücke verhindern, die existiert, wenn WTLS-Daten in SSL-Daten über einen ungeschützten Klartextdatenzustand konvertiert werden, der für einen man-in-the-middle-Angriff offen ist. Verschiedene Konfigurationen werden in Erwägung gezogen, einschließlich einer, in welcher der WAP-Gateway315 so konfiguriert ist, daß alle drahtlosen Verbindungen zu dem Datenzentrum340 ohne eine Sicherheitsformatkonvertierung bleiben. Dieser Ansatz sorgt auch für eine verringerte Latenz im Vergleich zu den Ansätzen aus, dem Stand der Technik, die in1 bis3 gezeigt sind, da eine Bearbeitung einer unnötigen Sicherheitsformatkonvertierung und eine Übertragung zu dem System330 vermieden werden kann. - Die drahtgebundene Zugriffseinrichtung
320 kann Daten in einer vorbestimmten Version von SSL übertragen, die mit dem Sicherheitssystem345 ausgehandelt wurde. Die Daten können im SSL-Format unter Verwendung von TCP über das Internet325 übertragen werden. - Das Konvertierungssystem
370 ist mit dem Auswahlsystem360 gekoppelt, um die ausgewählte Sicherheitskonvertierung zu empfangen, und ist mit dem Netzwerkinterface350 gekoppelt, um die sicheren Daten von der drahtlosen Einrichtung305 und der drahtgebundenen Einrichtung320 zu empfangen. Das Konvertierungssystem370 führt die ausgewählte Konvertierung an den empfangenen sicheren Daten aus. Das Konvertierungssystem370 kann eine Logik aufweisen, welche Software, Hardware oder einige Kombinationen aus Software und Hardware umfaßt, um die empfangenen sicheren Daten (z. B. WTLS- oder SSL-verschlüsselte Daten) in ein unverschlüsseltes Klartext-Datenformat zu entschlüsseln und, falls dies gewünscht ist, wieder in ein alternatives Sicherheitsprotokollformat zu verschlüsseln. Gemäß einer Ausführungsform kann die Logik eine herkömmliche Konvertierungslogik aufweisen, die für eine Person mit durchschnittlicher Fachkenntnis und den Vorteilen der vorliegenden Offenbarung gut bekannt ist. - Wie bereits dargelegt, kann das Sicherheitssystem
345 verschiedene Konvertierungsmodule aufweisen, um die Konvertierung von einem empfangenen Sicherheitsformat in ein anderes Format durchzuführen. Gemäß einer Ausführungsform umfaßt das Konvertierungssystem370 ein WTLS-Konvertierungssystem372 und ein SSL-Konvertierungssystem374 , um WTLS- oder SSL-Sicherheitsdaten jeweils in ein anderes Sicherheitsformat zu konvertieren. Das WTLS-Konvertierungssystem372 kann mehrere Konvertierungsmodule aufweisen, z. B. ein erstes Konvertierungsmodul von einer ersten Version von WTLS mit einem ersten Sicherheitsmerkmal in Klartextdaten, ein zweites Konvertierungsmodul von einer zweiten Version von WTLS mit einem zweiten Sicherheitsmerkmal in Klartextdaten und ein drittes Konvertierungsmodul von einer dritten Version von WTLS in ein anderes Sicherheitsformat, wie SSL, IPSec oder anderen. Genauso kann das Konvertierungssystem374 mehrere Konvertierungsmodule besitzen. - Das Konvertierungssystem
370 liefert konvertierte Daten zu einem Netzwerkinterface380 , das mit dem Server390 gekoppelt ist. Das Netzwerkinterface380 kann ein NIC aufweisen. Typischerweise liefert das Netzwerkinterface380 Klartextdaten zu dem Server390 über einen Klartextdatenport, wie den Port80 , obgleich andere Ausführungsformen auch in Betracht gezogen werden. - Der Server
390 empfängt die konvertierten Daten. Wenn die konvertierten Daten in einem gesicherten Format vorliegen, kann der Server390 eine Entschlüsselung durchführen. Der Server kann ohne Einschränkung eine beliebige Bearbeitung durchführen, die für eine bestimmte Implementierung verlangt wird. Typischerweise wird die Bearbeitung ein Liefern von Antwortdaten zu den Einrichtung305 ,320 über das Sicherheitssystem345 umfassen. Gemäß einer Ausführungsform liefert der Server390 Klartextdaten an das Sicherheitssystem345 . - Das Sicherheitssystem
345 kann die Antwortdaten empfangen und eine Sicherheitsbearbeitung an den Daten vornehmen. Gemäß einer Ausführungsform bearbeitet das Sicherheitssystem345 die Antwortdaten durch im wesentlichen eine Umkehrung der anfänglichen Konvertierung. Zum Beispiel kann das Sicherheitssystem345 für Antwortdaten für die drahtlosen Einrichtung305 Klartextdaten von dem Server390 in das WTLS-Format konvertieren und liefert die Sicherheitsdaten zu der drahtlosen Einrichtung305 . Genauso kann das Sicherheitssystem345 für Antwortdaten für die drahtgebundene Einrichtung320 Klartextdaten von dem Server390 in das SSL-Format konvertieren und die gesicherten Daten zu der drahtgebundenen Einrichtung320 liefern. - Das System
300 kann eine Reihe von Vorteilen bieten. Ein erster Vorteil kann die Möglichkeit sein, von dem Server390 Sicherheitsbearbeitungsfunktionen an das Sicherheitssystem345 abzugeben. Eine Sicherheitsbearbeitung kann recht prozessor- und speicherintensiv sein und kann ohne ein solches Abgeben einen erheblichen Teile der Ressourcen des Systems390 in Anspruch nehmen. Das Abgeben kann dem Server auch erlauben, mehrere Verbindungen zu handhaben. Mit einem Sicherheitssystem345 , das eine Sicherheitskonvertierung durchführt, kann dem Server390 z. B. ermöglicht werden, die fünf- bis zehnfache Anzahl von Verbindungen zu handhaben, als ohne ein solches System. - Ein zweiter Vorteil ist die End-to-End-Sicherheit zwischen den Zugriffseinrichtungen
305 ,320 und dem Server390 . Ein dritter Vorteil ist eine einzelne Sicherheitskonvertierung zwischen den Zugriffseinrichtungen305 ,320 und dem Server390 . Dies kann für einen schnelleren Austausch von Daten aufgrund geringerer Rechenintensität und geringerer Latenz sorgen. Ein vierter Vorteil ist, daß das Sicherheitssystem345 eine Einzelpunktsicherheitslösung für sowohl drahtlose als auch für drahtgebundene Sicherheitsprotokolle zur Verfügung stellt. Ein fünfter Vorteil ist, daß es häufig einfacher ist, das Sicherheitssystem345 mit den aktuellsten Sicherheitsstandards und -konvertierungen zu aktualisieren, als den Server390 zu aktualisieren. - Das Sicherheitssystem
345 wurde in einer vereinfachten Form gezeigt, um nicht von der Erfindung abzulenken. Personen mit durchschnittlichem Fachwissen auf dem Gebiet und dem Vorteil der vorliegenden Offenbarung werden erkennen, daß andere Komponenten385 in das Sicherheitsystem345 eingebunden werden können. Häufig umfassen die anderen Komponen- ten385 ein Betriebssystem oder eine Plattform. Die anderen Komponenten385 können auch Komponenten umfassen, die für bestimmte Implementierungen gewünscht sein können, wie Komponenten, um eine XML-Transformation, eine XML-Zerlegung, eine auf Inhalte bezogene Weiterleitung und andere Klartextdatenfunktionen durchzuführen. Die anderen Komponenten385 können Komponenten umfassen, die in einem herkömmlichen zweckgebundenen Sicherheitsbeschleuniger verwendet werden, wie ein Intel(R) NetStructureTM7110 e-Commerce Accelerator,. ein 7115 e-Commerce Accelerator, ein 7140 Traffic Director, ein 7175 Traffic Director, ein 7180 e-Commerce Director, ein 7280 XML Director oder ein 7210 XML Accelerator, die alle von Intel Corporation von Santa Clara, Kalifornien, erhältlich sind. -
4 stellt ein Blockdiagramm von dem Verfahren 400 zum Betreiben eines Sicherheitssystems, wie das Sicherheitssystem160 oder345 , gemäß einer Ausführungsform dar. Das Verfahren400 kann in einer Logik implementiert sein, die Software, Hardware oder eine Kombination von Software und Hardware umfaßt. - Das Verfahren
400 beginnt mit dem Block401 und fährt anschließend mit dem Block405 fort, bei dem das Sicherheitssystem konfiguriert wird. Gemäß einer Ausführungsform kann dies das Lesen einer Konfigurationsdatei umfassen, die Systemkonfigurationsinformationen enthält. Das Sicherheitssystem kann beispielsweise, ohne einzuschränken, auf Konfigurationsinformationen zugreifen, wie sie in der folgenden Tabelle enthalten sind: Tabelle 1 - In der obigen Tabelle liefert die Map-ID eine abiträtre Kennung für eine Verbindung, die Verbindungsart liefen den Typ die Verbindung, der entweder gesichert oder ungesichert ist, die Schlüssel-ID liefert Schlüsselkennungen zur Benutzung für die gesicherten Verbindung, die Server-IP liefert eine Internetprotokolladresse, um mit Servern in dem Datenzentrum zu kommunizieren, der Netzwerkport liefert eine vorbestimmte bekannte Port-Nummer zum Empfangen von gesicherten oder ungesicherten Daten aus dem öffentlichen Netzwerk, der Serverport liefert einen bekannten vorbestimmten Port, um Klartextdaten zu dem Server in dem Datenzentrum zu übermitteln, die Chiffrier-Suites enthalten eine Angabe des Sicher-heitsmaßstabs, der für die gesicherten und ungesicherten Verbindungen benutzt wird, und die Umleitung liefert eine Option, um eine Zugriffseinrichtung auf sichere Upgraderessourcen für den Fall umzuleiten, daß die Einrichtung die benutzten Sicherheitsmerkmale nicht unterstützt.
- Die folgende beispielhafte Implementierung des Umleitungsmerkmals ist nicht als Beschränkung zu betrachten. Das Sicherheitssystem ermittelt, ob der Client den in der Konfiguration spezifizierte Sicherheitslevel erfüllt. Wenn der Client den spezifizierte Sicherheitslevel nicht erfüllt, kann das Sicherheitssystem ermitteln, ob eine Umleitungsseite als ein Uniform Resource Locator (URL) geschickt werden soll, um eine Möglichkeit zu geben, den Client auf den spezifizierten Sicherheitslevel zu aktualisieren. Wenn die Umleitungsseite nicht gesendet werden soll, kann statt dessen eine Default-Error-Nachricht gesendet werden.
- Anstelle der Benutzung von separaten Servern kann alternativ der gleiche Server benutzt werden, um sowohl HTML als auch Wireless Markup Language (WML) Inhalte in verschiedenen Netzports zu bedienen, so daß die Server-IP-Netzport-Kombination eindeutig ist. Das Sicherheitssystem kann z. B. Konfigurationsinformationen benutzen, wie sie in der folgenden Tabelle enthalten sind: Tabelle 2
- Das Verfahren
400 führt vom Block405 mit dem Block410 fort, bei dem Prozesse die konfigurierten Ports auf Aktivitäten oder Nachrichten abhören. Gemäß einer Ausführungsform hören die Prozesse eindeutige Sockets ab, die eine eindeutige Kombination einer IP-Adresse und eines Ports aufweisen. Gemäß einer Ausführungsform erzeugt das Sicherheitssystem separate Prozesse oder Teilprozesse, um die Ports abzuhören, die in der Konfigurationsdatei bezeichnet sind. Ein Prozeß kann beispielsweise den Port9208 für WTLS-bezogenen Nach-. richten abhören, ein Prozeß kann den Port443 für SSL-bezogene Nachrichten abhören und ein Prozeß kann den Port80 für ungesicherte Daten abhören. - Das Verfahren
400 kann von dem Block410 mit dem Block415 fortfahren, wenn eine Sicherheitsmerkmalsinformation an dem Port9208 empfangen wird. Gemäß einer Ausführungsform kann die Sicherheitsmerkmalsinformation eine Client-Hello-Nachricht von einer drahtlosen Zugriffseinrichtung umfassen. Die Sicherheitsmerkmalsinformation kann z. B. eine Client-Hello-Nachricht für eine existierende oder zukünftige Version von WTLS aufweisen. - Das Verfahren
400 kann von dem Block415 mit dem Block420 fortfahren, wo ein WTLS-Sicherheitsformat ausgehandelt wird. Die Aushandlung kann auf einer Sicherheitsmerkmalsinformation beruhen, die Sicherheitsmerkmale angibt, welche die drahtlose Einrichtung bevorzugt oder die es zu benutzen in der Lage ist. Die Aushandlung kann einen Rückwärts- und Vorwärtsaustausch für Sicherheitsmerkmalsmöglichkeiten und/oder -präferenzen zwischen der Zugriffseinrichtung und dem Datenzentrum umfassen, um bei einem gegenseitig unterstützten Sicherheitsformat zuzustimmen. Gemäß einer Ausführungsform umfaßt die Aushandlung beim Block420 ein WTLS-Handshake-Protokoll. Verschiedene Ausführungsformen des ausgehandelten Sicherheitsformats werden in Erwägung gezogen. Gemäß einer ersten Ausführungsform umfaßt das Sicherheitsformat eine existierende oder zukünftige Version von WTLS. Gemäß einer zweiten Ausführungsform umfaßt das Sicherheitsformat ein ausgehandeltes Sicherheitsmerkmal, wie ein Verschlüsselungsparameter, einen Verschlüsselungsalgorithmus (z. B. Data Encryption Standard (DES)), oder beide. - Das Verfahren
400 fährt vom Block420 mit dem Block425 fort, bei dem eine Konvertierung von dem ausgehandelten Sicherheitsformat in ein unverschlüsseltes Klartextdatenformat ausgewählt wird. Die Konvertierung in ein Klartextdatenformat kann in Architekturen vorteilhaft sein, bei denen das Sicherheitssystem mit einem Datenziel (z. B. einem Datenzentrumserver) über einer ausreichend vertrauenswürdigen Verbindung oder Netzwerk gekoppelt ist, da der Server dann Klartextdaten empfangen kann und keine Entschlüsselung vornehmen muß. - Gemäß einer ersten Ausführungsform wird die Konvertierung aufgrund der am Port
9208 empfangenen Informationen ausgewählt. Die Konvertierung kann z. B. aufgrund von Informationen ausgewählt werden, die dem Block415 zugeordnet sind. Gemäß einer zweiten Ausführungsform basiert die Konvertierung auf einer Sicherheitsaushandlung. Die Konvertierung kann z. B. aufgrund von Informationen ausgewählt werden, die dem Block420 zugeordnet sind. Die ausgewählte Sicherheitskonvertierung kann zu anderen Komponenten, wie einem Konvertierungssystem oder einem Konvertierungsmodul, übermittelt werden. - Das Verfahren
400 führt vom Block425 mit dem Block430 fort, bei dem die gesicherten verschlüsselten Daten empfangen werden. Die gesicherten Daten können über den Port9208 empfangen werden und können in dem ausgehandelten Sicherheitsformat von Block420 vorliegen. Das Verfahren400 fährt vom Block430 mit dem Block435 fort, bei dem die empfangenen verschlüsselten Daten in Klartextdaten konvertiert werden. Dies kann unter Verwendung herkömmlicher oder bekannter Verfahren ausgeführt werden. Die Blöcke430 und435 können unter Verwendung eines Batch-Modus oder eines kontinuierlichen Modus implementiert werden. - Das Verfahren
400 fährt vom Block410 mit dem Block440 fort, wenn eine Sicherheitsmerkmalsinformation an dem Port443 empfangen wird. Die Sicherheitsmerkmalsinformation kann z. B. mit einer Verbindung https://www.intel.com verknüpft sein, die dem Datenzentrum anzeigt, daß die Clienteinrichtung versuchen wird, sich mit dem Port443 zu verbinden. Gemäß einer Ausführungsform kann die Sicherheitsmerkmalsinformation einen Client-Hello-Nachricht von einer drahtgebundenen Zugriffseinrichtung aufweisen. Die Sicherheitsmerkmalsinformation kann z. B. eine Client-Hello-Nachricht für eine existierende oder zukünftige Version von SSL sein. - Das Verfahren
400 führt vom Block440 mit dem Block445 fort, bei dem ein SSL-Sicherheitsformat ausgehandelt wird. Die Aushandlung kann in analoger Weise ausgeführt werden, wie sie im Block420 beschrieben wurde, um ein Sicherheitsformat zu bestimmen, das auf SSL basieren kann und das einen SSL-Verschlüsselungsparameter und einen SSL-Algorithmus umfassen kann. - Das Verfahren
400 führt vom Block445 mit dem Block450 fort, bei dem eine Konvertierung von dem ausgehandelten Sicherheitsformat zu einem unverschlüsselten Klartextdatenformat ausgewählt wird. Gemäß einer ersten Ausführungsform wird die Konvertierung aufgrund am Port443 empfangenen Informationen ausgewählt. Die Konvertierung kann z. B. aufgrund von Information ausgewählt werden, die mit dem Block440 verknüpft sind. Gemäß einer zweiten Ausführungsform basiert die Konvertierung auf einer Sicherheitsaushandlung. Die Konvertierung kann z. B. aufgrund von Informationen ausgewählt werden, die mit dem Block445 verknüpft sind. - Das Verfahren
400 führt vom Block450 mit dem Block455 fort, bei dem Daten in dem ausgehandelten Sicherheitsformat am Port443 empfangen werden. Das Verfahren400 führt von dem Block455 mit dem Block460 fort, bei dem die empfangenen Daten von dem Sicherheitsformat in ein Klartextdatenformat konvertiert werden. - Das Verfahren
400 kann von dem Block410 mit dem Block465 fortfahren, wenn unverschlüsselten Klartextdaten an dem Port80 empfangen werden. - Das Verfahren
400 kann von dem Block435 ,460 oder465 mit dem Block470 fortfahren, bei dem Klartextdaten an ein gewünschtes Ziel geliefert werden. Gemäß einer Ausführungsform werden die Daten zu einem Server oder einem anderen Computersystem des Datenzentrums geliefert. Der Server kann durch eine Netzwerkadresse in der Konfigurationsinformation identifiziert werden. Gemäß einer Ausführungsform werden die Daten zu dem Server über den bekannten Port80 geliefert. Das Verfahren400 kann bei dem Block475 enden. - Alternative Ausführungsformen des Verfahrens
400 werden betrachtet. Entsprechend einer ersten alternativen Ausführungsform werden unterschiedliche Ports konfiguriert und benutzt. Typischerweise werden die Ports zum Empfangen von Sicherheitsmerkmalsinformationen und Daten mit Zielen von der Internet Assigned Numbers Authority (IANA) oder einer ähnli chen Stelle Übereinstimmen. Gemäß einer Ausführungsform kann der WTLS-Port ein Port sein, der aus der Gruppe von Ports mit den Nummern zwischen 9208 und 9282 ausgewählt werden. Gemäß einer zweiten Ausführungsform kann eine Sicherheitskonvertierung von dem ausgehandelten Format der Blöcke420 oder445 in ein anderes Sicherheitsformat anstelle eines Klartextdatenformats ausgewählt werden. Dies kann vorteilhaft sein, wenn das Datenziel mit dem Sicherheitssystem über eine Verknüpfung gekoppelt ist, die nicht ausreichend gesichert ist. Anstellte des Lieferns der Klartextdaten beim Block470 können z. B. die gesicherten Daten im WTLS-Format zu gesicherten Daten im SSL-Format konvertiert werden und zu dem Datenziel geliefert werden. Eine solche Konvertierung kann vorteilhaft sein, wenn das Datenziel nicht in der Lage ist, das Sicherheitsformat vor der Konvertierung zu entschlüsseln. -
5 zeigt eine WTLS-Sicherheitsarchitektur500 gemäß einer Ausführungsform. Die Architektur500 umfaßt ein Rekord-Protokoll550 zum Aufnehmen ungesicherter Daten aus oberen Stapel-Schichten, die übertragen werden sollen, um auf Datenintegrität und Authentisierung Rücksicht zu nehmen, und zum Anwenden von Kompressions- und Verschlüsselungsalgorithmen auf die Daten. Die Architektur500 umfaßt außerdem Vier-Protokoll-Clients, die ein Handshake-Protokoll510 , wie nachfolgend diskutiert, ein Alarm-Protokoll520 , um Möglichkeiten zum Schließen sicherer Verbindungen zu liefern, ein Anwendungsprotokoll530 , um mit den oberen Stapel-Schichten in Verbindung zu treten, und ein Austausch-Chiffrier-Spezifikationsprotokoll540 , um einen koordinierten Austausch zwischen Lese-, Schreib- und Schwebezuständen zu ermöglichen, umfassen. - Das Handshake-Protokoll
510 stellt eine Ausführungsform einer Sicherheitsaushandlung zwischen einer drahtlosen Zugriffseinrichtung und einem Datenzentrum dar. Das Handshake-Protokoll510 ermöglicht der Einrichtung und dem Datenzentrum, über Sicherheitsverfahren und -parameter, wie ein Sicherheitsprotokoll, eine Protokollversion, einen Verschlüsselungsalgorithmus, eine Authentifizierung, eine Technik mit einem öffentlichen Schlüssel und andere Sicherheitsmerkmale, zu verhandeln oder diesen zuzustimmen. -
6 zeigt ein Flußdiagramm eines WTLS-Handshakes600 gemäß einer Ausführungsform. Der Handshake600 kann benutzt werden, um ein Sicherheitsformat zwischen einem drahtlosen Zugriffseinrichtungs-Client610 und einem Datenzentrumserver670 auszuhandeln. Gemäß einer Ausführungsform umfaßt der Handshake600 Sicherheitsmerkmalsinformationen. - Der Handshake
600 beginnt bei dem Client610 mit dem Liefern einer Client-Hello-Nachricht zu dem Datenzentrum670 bei dem Block620 . Das Hello des Clients kündigt typischerweise unterstützte Sicherheitsmerkmale (z. B. Protokolle, Versionen, Optionen, Verschlüsselungsalgorithmen und vertrauenswürdige Zertifikate) an. Gemäß einer Ausführungsform gibt das Hello des Clients wenigstens ein Sicherheitsformat an. Nach dem Hello des Clients empfängt der Zugriffseinrichtungs-Client610 Nachrichten, bis der Datenzentrumserver670 eine Server-Hello-Done-Nachricht sendet. - Der Handshake
600 fährt vom Block620 mit dem Block630 fort, bei dem der Datenzentrumserver670 mit dem Handshake600 fortfährt. Der Datenzentrumsserver670 kann eine Server-Hello-Nachricht liefern, die dem Sicherheitsformatverfahren und den Parametern zustimmt oder diese neu aushandelt. Der Server670 kann auch eine Serverzertifikat-Nachricht senden, wenn eine Authentifizierung benutzt werden soll, eine Server-Schlüsselaustausch-Nachricht, um einen öffentlichen Schlüssel zu liefern, der benutzt werden kann, um einen Premaster-Sicherheitswert zu leiten oder auszutauschen, eine Zertifikatsanfragenachricht, um den Client nach einem Zertifikat oder einer Authentifizierung zu fragen, und eine Server-Hello-Done-Nachricht, um anzuzeigen, daß die Hello-Nachricht-Phase des Handshakes600 abgeschlossen ist. Der Server670 wartet anschließend auf eine Antwort von dem Client610 . - Der Handshake
600 fährt vom Block630 mit dem Block640 fort, bei dem der Zugriffseinrichtungs-Client610 mit dem Handshake600 fortfährt. Der Client610 kann eine Clientzertifizierungsnachricht senden, falls diese angefordert wurde, um sich selbst zu authentifizieren (oder einen nicht-zertifiziert-Alarm), eine Client-Schlüsselaustausch-Nachricht, die auf einem Algorithmus mit öffentlichen Schlüsseln beruht, der zwischen dem Client-Hello und dem Server-Hello ausgewählt wurde und eine Pre-Master-Sicherheitsveschlüsselung mit dem öffentlichen Schlüssel des Datenzentrumsservers umfaßt, eine digital signierte Zertifikat-Verifizierungs-Nachricht, um das Zertifikat ausdrücklich zu verifizieren, wenn der Client610 ein Zertifikat mit einer Signierungsmöglichkeit geschickt hat, eine Change-Cipher-Spec-Nachricht, um den Beginn der Benutzung der ausgehandelten Sicherheitsparamter anzuzeigen, und eine Finished-Nachricht, die eine Verifikation der vorherigen Daten umfaßt, einschließlich von Sicherheitsinformationen, die mit den neuen Algorithmen, Schlüsseln und Sicherheiten berechnet wurden. - Der Handshake
600 fährt vom Block640 mit dem Block650 fort, bei dem der Datenzentrumserver670 den Handshake600 fortsetzt. Der Datenzentrumserver670 kann mit einer Cipher-Spec-Nachricht antworten, um die Sitzung zu bestätigen und den Client610 zu informieren, die ausgehandelten Sitzungsparameter zu benutzen, und eine Finished-Nachricht, die eine Bestätigung der ausgetauschten und berechneten Informationen enthält. - Der Handshake
600 fährt vom Block650 mit dem Block660 fort, bei dem der Client610 und der Server670 gesicherte Daten unter Verwendung der aufgebauten und ausgehandelten gesicherten Verbindung austauschen. Der Handshake600 kann auch Erhaltungsinformationen über die sichere Verbindung, wie eine Sitzungsidentifikation, aufweisen, so daß ein zukünftiger gesicherter Datenaustausch auf die vorhergehend ausgetauschten Sicherheitsverfahren und Parameter gestützt werden kann. -
7 zeigt eine Client-Hello-Nachricht700 gemäß einer Ausführungsform. Die Client-Hello-Nachricht700 kann für ein SSL, WTLS oder ein andere Sicherheitsformat bestimmt sein. Gemäß einer Ausführungsform umfaßt die Client-Hello-Nachricht700 , die an einem Port empfangen wird, eine Angabe eines Sicherheitsformats. Die Client-Hello-Nachricht700 umfaßt Sicherheitsmerkmalsinformationen, wie Informationen über die Clientsicherheitsmöglichkeiten710 , Zufallsstrukturinformationen720 , Sitzungsidentifikationsinformationen730 , Informationen über die unterstützten Verschlüsselungsoptionen740 und Informationen über Kompressionsverfahren750 . - Die Informationen über die Clientsicherheitsmöglichkeiten
710 können eine Protokollversion umfassen. Die Protokollversion kann eine Version sein, die der Client zu verwenden in der Lage ist, zu verwenden bevorzugt oder beides. Die Information710 kann z. B. die SSL-Version3.0 oder andere Protokollversionen angeben. Gemäß einer Ausführungsform kann ein Sicherheitssystem in dem Datenzentrum die Clientversionsinformation benutzen, um ein Sicherheitsformat auszuhandeln, und eine entsprechende Sicherheitskonvertierung auszuwählen. Die Zufallstrukturinformation720 kann eine vom Client erzeugte Zufallsstruktur umfassen. Die Zufallsstruktur kann mehrere Bits umfassen, die auf der aktuellen Zeit und dem Datum entsprechend einer internen Uhr des Clients beruhen, und mehrere Zufallsbytes, die von einem Sicherheitszufallszahlengenerator erzeugt werden. - Die Sitzungsidentifikationsinformation
730 können eine Sitzungsidentifikation mit variabler Länge umfassen, die, sofern sie nicht leer ist, eine vorherige Sitzung zwischen dem Client und dem Server angibt, einschließlich früherer Sicherheitsverfahren und Parameter, die der Client für die aktuelle Sitzung wieder zu benutzen wünscht. Die Sitzungsidentifikation kann aus einer früheren Verbindung, dieser Verbindung oder einer anderen aktuell aktiven Verbindung sein. Der Server kann die tatsächlichen Inhalte der Sitzungsidentifikation definieren. Die Sitzungsidentifikationsinformation730 kann leer sein, wenn eine frühere Sitzung nicht verfügbar ist, oder wenn der Client wünscht, Sicherheitsverfahren und Parameter neu auszuhandeln. Gemäß einer Ausführungsform umfaßt die Sitzungsidentifikation die Angabe einer Sicherheitskonvertierung. Eine Sitzungsidentifikation kann z. B. einer früher ausgewählten Sicherheitskonvertierung entsprechen, und der Empfang der Sitzungsidentifikation ermöglicht einem Auswahlsystem, die Sicherheitskonvertierung wieder auszuwählen. - Die unterstützte Verschlüsselungsinformation
740 kann eine Angabe der Verschlüsselungsoptionen und Kombinationen umfassen, die von dem Client unterstützt werden und entsprechend der Präferenzen des Clients angepaßt sind. Dieser kann auch ähnliche Informationen aus früheren Sitzungen umfassen, die wieder benutzt werden sollen. - Die Kompressionsverfahrensinformation
750 kann eine Liste von Kompressionsalgorithmen oder Verfahren, die von dem Client unterstützt werden, und eine Angabe von Clientpräferenzen für jedes Verfahren enthalten. Wenn die Sitzungsidentifikationsinformation730 anzeigt, eine Sitzung wieder zu benutzen, kann die Kompressionsverfahrensinformation750 ein Kompressionsverfahren umfassen, das für die frühere Sitzung benutzt wurde. Gemäß einer Ausführungsform gibt die Information750 die Unterstützung von CompressionMethod.Null an. -
8 zeigt ein Auswahlsystem800 einer Ausführungsform. Das Auswahlsystem800 empfängt eine Angabe810 . Die Angabe810 ist eine Angabe, die geeignet ist, dem Auswahlsystem800 zu ermöglichen, eine Sicherheitsformatkonvertierung auszuwählen. Die gezeigte Angabe810 umfaßt eine Angabe eines Sicherheitsformats und besitzt Port-Informationen812 und Sicherheitsmerkmalsinformationen814 . - Die Port-Information
812 , die eine Angabe eines Ports umfassen kann, über den Daten (z. B. Client-Hello-Nachrichten, Sicherheitsmerkmalsinformationen, etc.) empfangen wurden, wird an eine Protokollauswahllogik820 des Auswahlsystems800 geliefert. Die Protokollauswahllogik820 ist in der Lage, zwischen unterschiedlichen Sicherheitsprotokollen aufgrund der Port-Information812 auszuwählen. Gemäß der gezeigten Ausführungsform ist die Protokollauswahllogik820 in der Lage, zwischen einem drahtlosen Protokoll, einem drahtgebundenen Protokoll und einem ungesicherten Klartextprotokoll aufgrund der Port-Information812 auszuwählen. Ohne einzuschränken, wird die folgende konzeptionelle Protokollauswahllogik820 betrachtet: wenn die Port-Information812 den Port9208 angibt, dann Auswählen eines drahtlosen Protokolls; sonst, wenn die Port-Information812 den Port443 angibt, dann Auswählen eines drahtgebundenen Protokolls; sonst, wenn die Portinformation812 den Port80 angibt, dann Auswählen eines ungesicherten Klartextprotokolls. Die Protokollauswahllogik820 bestätigt eine Protokollauswahl830 , die entweder das drahtlose Protokoll (drahtlose Auswahl), das drahtgebundene Protokoll (drahtgebundene Auswahl) oder das ungesicherte Klartextprotokoll (SS) angibt. - Das Auswahlsystem
800 umfaßt auch eine Sicherheitsmerkmalsauswahllogik840 , die mit der Protokollauswahllogik 820 zum Empfangen der Protokollauswahl830 gekoppelt ist. Die Logik840 ist in der Lage, verschiedene Sicherheitsformatkonvertierungen aufgrund der Protokollauswahl830 und aufgrund der Sicherheitsmerkmalsinformation814 auszuwählen. Die Auswahl S5 kann die Logik840 umgehen, da eine Sicherheitsformatkonvertierung üblicherweise nicht an Klartextdaten ausgeführt wird. Gemäß der gezeigten Ausführungsform ist die Logik840 in der Lage, eine von vier verschiedenen Konvertierungen (d. h. entsprechend der Auswahl S1, S2, S3 oder S4) auszuwählen, obgleich dies keine Beschränkung anderer Ausführungsformen darstellt. - Die Logik
840 umfaßt einen drahtlosen Logikabschnitt850 und einen drahtgebundenen Logikabschnitt860 , wobei beide in der Lage sind, die Sicherheitsmerkmalsinformation814 zu empfangen. Der Logikabschnitt850 ist in der Lage, eine Konvertierung auszuwählen, wenn die Protokollauswahl830 eine drahtlose Auswahl angibt. Ohne einzuschränken, werden die folgenden konzeptionellen Logikabschnitte850 betrachtet: wenn die Sicherheitsmerkmalsinformation814 einen Satz F1 von wenigstens einem Sicherheitsmerkmal angibt, dann Auswählen einer ersten Sicherheitsformatkonvertierung; sonst, wenn die Sicherheitsmerkmalsinformation814 einen Satz F2 von wenigstens einem Sicherheitsmerkmal angibt, dann Auswählen einer zweiten Sicherheitsformatkonvertierung; sonst Senden einer Umleitungs-URL, falls so konfiguriert. - Der Logikabschnitt
860 ist in der Lage, eine Konvertierung auszuwählen, wenn die Protokollauswahl830 eine drahtgebundene Auswahl angibt. Ohne einzuschränken, wird der folgende konzeptionelle Logikabschnitt860 betrachtet: wenn die Sicherheitsmerkmalsinformation814 einen Satz F3 von wenigstens einem Sicherheitsmerkmal angibt, dann Auswählen einer dritten Sicherheitsformatkonvertierung; sonst, wenn die Sicherheitsmerkmalsinformation814 einen Satz F4 von wenigstens einem Sicherheitsmerkmal angibt, dann Auswählen einer fünften Sicherheitsformatkonvertierung; sonst Senden einer Umleitungs-URL, falls so konfiguriert. - Die Logik
840 bestätigt eine Sicherheitsformatkonvertierungsauswahl870 , welche eine Sicherheitsformatkonvertierung angibt, die anzeigt, eine Sicherheitsformatkonvertierung auf gesicherten Daten auszuführen, die konsistent mit der Port-Information812 und der814 ist. Die Auswahl870 kann S1 oder S2 für eine drahtlose Einrichtung und S3 oder S4 für eine drahtgebundene Einrichtung umfassen. Die Auswahl870 kann zu einem Konvertierungssystem oder Modul übermittelt werden. -
9 zeigt ein Datenzentrum900 gemäß einer Ausführungsform. Das Datenzentrum900 kann mit einem öffentlichen Netzwerk, wie dem Internet, gekoppelt sein, um Angaben und gesicherte Daten von dem öffentlichen Netzwerk zu empfangen. Das Datenzentrum900 umfaßt ein Sicherheitssystem920 , das funktionell mit zwischen einem Schalter/Router910 und einem Schalter/Router930 und ausreichend nahe zu einem oder mehreren Servern940 bis960 des Datenzentrums900 angeordnet ist. Das Sicherheitssystem920 empfängt potentiell heterogen verschlüsselte Daten von dem Schalter/Router910 und liefert geeignet sicherheitsformatierte konvertierte Daten zu dem Schalter/Router930 . Der Schalter/Router930 liefert die konvertierten Daten, die in einem Klartextdatenformat sein können, zu dem einen oder den mehreren Servern940 bis960 . Gemäß einer ersten Ausführungsform umfaßt der eine oder die mehreren Server940 bis960 einen WML-Inhalt-Server940 , der über die Adresse 10.1.1.30 erreichbar ist, um drahtlose Daten zu empfangen und zu liefern, und um einen HTTP-Inhalt-Server950 , der über eine Adresse 10.1.1.31 erreichbar ist, um drahtgebundene Daten zu empfangen und zu liefern. Entsprechend einer zweiten Ausführungsform kann ein Approach-Server960 , der über eine Adresse 10.1.1.32 erreichbar ist, sowohl drahtlose wie auch drahtgebundene Daten empfangen und liefern. -
10 zeigt ein Sicherheitssystem1000 gemäß einer Ausführungsform. Das Sicherheitssystem1000 umfaßt ein Front-Panel-Interface. Das Front-Panel-Interface kann verschiedene Informationen (z. B.1011 –1018 ), Datenlinks (z. B.1019 –1022 ) und Benutzersteuerungen (z. B.1023 –1024 ) zur Verfügung stellen, die für die speziellen Implementationen gewünscht sind. Insbesondere können die Datenanschlüsse einen Anschluß1019 zu einer Konsole aufweisen, die eine Anzeigeeinrichtung (z. B. einen Monitor) eine Dateneingabeeinrichtung (z. B. eine Tastatur) eine Curser-Steuereinrichtung (z. B. eine Maus) und andere Komponenten umfassen, die dem Benutzer ermöglichen, das System1000 zu konfigurieren und zu überwachen. Die Datenübertragungsanschlüsse können auch einen Netzwerkanschluß1021 zu einem öffentlichen Netzwerk oder ein Public-Network-Interface und einen Serveranschluß1022 zu einem Bestimmungsort von Sicherheitsformatkonvertierungsdaten aufweisen. Diese Anschlüsse können Gigabit Ethernet oder RJ45-Anschlüsse umfassen. - Das Sicherheitssystem
1000 umfaßt einen Bus und andere Kommunikationseinrichtungen1050 , die mit dem Front-Panel-Interface1010 zur Übermittlung von Informationen gekoppelt sind, eine Bearbeitungseinrichtung, wie einen Prozessor1060 , der mit dem Bus1050 zur Datenbearbeitung gekoppelt ist, einen Hauptspeicher1070 (z. B. ein RAM-Speicher) der mit dem Bus1050 zum Speichern von Daten und von dem Prozessor1060 auszuführenden Befehlen gekoppelt ist, einen nur lesbaren Speicher1080 , der mit dem Bus1050 zum Speichern statischer Informationen und Befehle für den Prozessor1060 gekoppelt ist (z. B. einem BIOS), und eine Sicherheitshardware1090 . - Der Hauptspeicher
1070 kann Auswahlbefehle1072 und Konvertierungsbefehle1074 speichern. Die Befehle1072 ,1074 können als Anwendungen, Module, Datenstrukturen oder andere Logiken enthalten sein. - Gemäß einer Ausführungsform kann die Sicherheitsformatkonvertierungsauswahl oder die Sicherheitsformatkonvertierung teilweise in der Hardware ausgeführt werden. Z. B. kann die Hardware
1090 eine Schaltung umfassen, um modulare Exponentation, Pseudo-Zufallszahlenerzeugung, Pseudo-Zufallsschlüsselerzeugung, DES/3DES-Verschlüsselung und -Entschlüsselung und andere gewünschte Sicherheitsoptionen durchzuführen. Gemäß einer Ausführungsform umfaßt die Hardware1090 eine Verschlüsselungskarte, Field-Programmable-Gate-Array (FPGA) oder einen Application-Specific-Integrated-Circuit (ASIC), um solche Sicherheitsvorgänge auszuführen. - Alternative Ausführungsformen
- Die Erfindung ist nicht beschränkt auf die besonderen Ausführungsformen, die vorhergehend diskutiert wurden, und Personen mit durchschnittlichem Fachwissen und dem Vorteil der vorliegenden Offenbarungen werden erkennen, daß viele andere Ausführungsformen mit einbezogen sind.
- Verschiedene Sicherheitsformate
- Entsprechend einer ersten alternativen Ausführungsform kann die Erfindung mit anderen Sicherheitsformaten, als die vorhergehend beschriebenen, verwendet werden. Das Sicherheitsformat kann ein von der Internet-Engineering-Task-Force (IETF) akzeptiertes Format sein, ein Format, das auf Transport-Layer-Security (TLS) beruht, ein Format, das eine zukünftige Weiterentwicklung von TLF, SSL oder WTLS ist, oder ein Format, wie Secure-HTTP (S-HTTP), IP-security (IPSec), Private-Communications-Technology oder andere sein.
- Verteilte Sicherheitssysteme
- Gemäß einer zweiten alternativen Ausführungsform kann das hierin beschriebene Sicherheitssystem über mehrere Computersysteme verteilt sein. Z. B. kann ein erstes Computersystem oder eine Einrichtung ein Auswahlsystem aufweisen, ein zweites System oder eine Einrichtung kann ein WTLS-Konvertierungssystem aufweisen und ein drittes System oder eine Einrichtung kann ein SSL-Konvertierungssystem aufweisen.
- Server mit einem Sicherheitssystem
- Gemäß einer dritten alternativen Ausführungsform kann ein Sicherheitssystem, ein Auswahlsystem oder ein Konvertierungssystem in einem Server eingebaut sein.
- Web-Schalter
- Gemäß einer vierten alternativen Ausführungsform kann ein Sicherheitssystem, ein Auswahlsystem oder ein Konvertierungssystem in einem Web-Schalter mit mehr Netzwerkverbindungsmöglichkeiten für eine erhöhte Verbindungsstabilität aufweisen.
- Push-Mode
- Gemäß einer fünften alternativen Ausführungsform kann ein Sicherheitssystem, ein Auswahlsystem oder ein Konvertierungssystem in einem Push-Mode betrieben werden. Ein Server in einem Datenzentrum kann z. B. Klartextdaten zu einem Sicherheitssystem liefern, das ein Sicherheitsformatkonvertierungsauswahlsystem aufweist, um eine Konvertierung zu einem SSL-Format für eine drahtgebundene Einrichtung und eine Konvertierung zum WTLS-Format für eine drahtlose Einrichtung auszuwählen.
- Authentifizierung
- Authentifizierung ist eine Sicherheitsfunktion oder ein Prozeß, bei dem ein System Benutzer und Computer validiert, die mit dem System interagieren. Es ist eine Sicherung, die zusätzlich zur Verschlüsselung implementiert werden kann. Eine Vorrichtung kann unter Verwendung einer Authentifikationsinformation authentifiziert werden. Dies kann ein digitales Zertifikat, digitale Signaturen oder beides umfassen.
- In der Beschreibung soll sich Authentifizierung einer Quelle auf die Authentifizierung eines Benutzers und/oder einer Einrichtung beziehen. Authentifizierung soll auch bedeuten, die Identität eines Clients zu verifizieren, und Validieren soll sich auf Verfahren beziehen, die typischerweise in Verbindung mit einem digitalen Zertifizierungsprozeß ausgeführt werden, einschließlich, jedoch nicht ausschließlich, einem Verifizieren von CA-Signaturen, einem Verifizieren der Gültigkeitsdauer der Zertifikate und einem Sicherstellen, daß die Zertifikate nicht auf Certificat-Revocation-List (CRL) existieren.
- Weiterhin sollen WAP (Wireless Application Protocol) -Standards benutzt werden, um Beispiele für den Aspekt der drahtlosen Einrichtungen der Erfindung zu liefern. WAP ist ein glo baler Standart zur Darstellung und Lieferung von drahtlosen Informationen und Telefondiensten auf Mobiltelefonen und auf anderen drahtlosen Einrichtungen. Aus der Sicherheitsperspektive wird hierin insbesondere WTLS (Wireless Transport Layer Security) beschrieben, welche in enger Verwandtschaft zu SSL (Secure Socket Layer) steht, einem Protokoll, das zur Sicherung des drahtgebundenen Internets verwendet wird.
- Digitale Zertifikate
- Ein Verfahren zur Authentisierung einer Einrichtung geht über die Verwendung von digitalen Zertifikaten. Ein digitales Zertifikat ist eine Sicherung dafür, daß Daten, die vom Internet heruntergeladen werden, aus einer vertrauenswürdigen Quelle stammen. Digitale Zertifikate sichern den legitimierten Online-Transfer von vertraulichen Informationen, Geld und anderen sensiblen Inhalten durch eine öffentliche Verschlüsselungstechnologie. Ein digitales Zertifikat wird durch eine CA (Certificate Authority) ausgegeben und stellt Informationen zur Verfügung, wie die Zeit, zu der das digitale Zertifikat ausgestellt wurde, und seine Gültigkeitsdauer.
- Ein Zertifikat kann auch kompromittiert werden, bevor es abläuft. Zum Beispiel kann es in falsche Hände fallen, oder die CA kann entscheiden, daß die Quelle, für die es ausgestellt wurde, nicht mehr vertrauenswürdig ist. Um Zertifikate zurückzuweisen, die vor dem Ablauf als kompromittiert bekannt sind, gibt die CA zurückgewiesene Zertifikate in einer Certificate-Revocation-List (CRL) bekannt. Eine CRL ist eine Liste von Zertifikaten, die von der CA vor ihrem Ablauf zurückgerufen wurden, und ist von einer Public-Domain erhältlich.
- Digitale Signaturen
- Digitale Signaturen stellen ein anderes Verfahren zur Authentifizierung von Einrichtungen zur Verfügung. Eine digitale Signatur dient sowohl zur Authentifizierung der Identität des Unterzeichners (d. h. der Quelle) und der Integrität der übertragenen Informationen durch die Benutzung eines öffentlichen und eines privaten Schlüssels. Eine Voraussetzung digitaler Signaturen ist, daß der Unterzeichner der Daten einen privaten Schlüssel besitzt, und andere, die Daten mit dem Unterzeichner austauschen, einen öffentlichen Schlüssel des Unterzeichners erhalten können. Die anderen können den öffentlichen Schlüssel benutzen, um Daten zu verschlüsseln oder zu entschlüsseln und der Unterzeichner kann den privaten Schlüssel benutzen, um Daten zu verschlüsseln oder zu entschlüsseln.
- Z. B. kann ein Unterzeichner ein Dokument signieren, indem er die Daten zerhackt, um ein Message-Digest zu erzeugen, und anschließend das Message-Digest mit dem privaten Schlüssel des Unterzeichners verschlüsselt. Das verschlüsselte Message-Digest wird dann an das Dokument angehängt. Wenn ein Empfänger das verschlüsselte Message-Digest und das Dokument empfängt, benutzt der Empfänger den öffentlichen Schlüssel des Unterzeichners, um das Message-Digest zu entschlüsseln, wodurch das Message-Digest erzeugt wird. Das Dokument wird dann validiert, indem die Daten in dem Dokument zerhackt werden und mit dem erzeugten Message-Digest verglichen werden. Wenn sie zueinander passen, wurde das Dokument bestätigt. Wenn sie nicht zueinander passen, weiß der Empfänger, daß die Daten in dem Dokument verfälscht wurden, da sie nicht das gleiche Message-Digest, wie das gesendete, erzeugen.
- PKI/WPKI-Infrastrukturen
- In den beschriebenen Ausführungsformen der Erfindung wird Bezug genommen auf PKI (Public Key Infrastructure) und WKPI (Wireless Public Key Infrastructure) -Systeme der digitalen Zertifikate, Zertifizierungsstellen und anderen Registrierungsstellen, welche die Richtigkeit jeder Partei, die in einer Internettransaktion involviert ist, verifizieren und authentifizieren. Wenn eine Einrichtung ein digitales Zertifikat (nachfolgend "Zertifikat") anfordert, wird es unter der PKI/WPKI-Infrastruktur allgemein von einer Registrierungsstelle freigegeben und dann zu einer Zertifikatstelle weitergeleitet. Die Zertifikatstelle kann das Zertifikat dann herausgeben. Typischerweise umfassen die Registrierungsstelle und die Zertifikatstelle die gleiche Einheit. In einigen Fällen können diese jedoch auch unterschiedlich sein.
- Überblick
-
11 ist ein Flußdiagramm, das ein Verfahren zum Aufbau einer sicheren Verbindung gemäß Ausführungsformen der Erfindung darstellt. Das Verfahren startet bei dem Block1100 und fährt mit dem Block1102 fort, bei dem ein Client einer Client-Hello-Nachricht sendet, um bei einem Server nach einer sicheren Verbindung anzufragen. Bei dem Block1104 antwortet ein Sicherheitssystem mit einer Server-Hello-Nachricht für den Servers und bestätigt die Anfrage des Clients. Das Sicherheitssystem startet dann einen Zertifikataustauschprozeß im Block1106 , bei dem ermittelt wird, ob der Client nach einer Authentifizierung angefragt hat (d. h. Anfordern einer sicheren Verbindung). Wenn der Client eine Authentifikation angefordert hat, sendet das Sicherheitssystem im Block1108 Authentifizierungsinformationen. - Wenn der Client keine Authentifizierung angefordert hat, springt das Verfahren zum Block
1110 , bei dem der Server ebenfalls eine Authentifizierung anfordern kann (d. h. fordert den Client auf, sich selbst zu identifizieren). Wenn der Server eine Authentifizierung anfordert, sendet der Client im Block1112 Authentifizierungsinformationen zu dem Sicherheitssystem und fährt mit Block1114 fort. Wenn der Server keine Authentifizierung anfordert, springt das Verfahren vom Block1114 , bei dem das Sicherheitssystem eine Server-Hello-Done-Nachricht zu dem Clienten sendet, welche anzeigt, daß die Hello-Nachrichten-Phase des Handshakes abgeschlossen ist. Wenn der Client die Server-Hello-Done-Nachricht empfängt, sendet er eine Finished-Nachricht zu dem Sicherheitssystem im Block1116 , und im Block1118 antwortet das Sicherheitssystem mit einer Finished-Nachricht. Das Verfahren endet beim Block1120 . - Der Handshake ist nun abgeschlossen und der Client und der Server können verschlüsselte Daten zueinander schicken und/oder, wenn Daten bereits gesendet wurden, kann eine Entschlüsselung unter Verwendung eines Entschlüsselungsverfahrens stattfinden, das für das Verfahren geeignet ist, mit dem die Daten verschlüsselt wurden.
-
12 ist ein Pseudocode, der die wesentlichen Funktionen, wie vorhergehend diskutiert, darstellt. Der Pseudocode beginnt bei der Zeile1 , und bei der Zeile3 wird ein Verfahren zum Verschlüsseln ermittelt. Wenn die Daten in WTLS verschlüsselt sind (Zeile5 ) wird ein WTLS-Handshake in der Zeile6 gestartet. In der Zeile7 wird die WTLS-Authentifizierung abgeschlossen und in der Zeile8 werden die WTLS-Daten entschlüsselt. - Wenn die Daten in SSL verschlüsselt sind (Zeile
9 ) wird ein SSL-Handshake in der Zeile10 gestartet. In der Zeile11 wird die SSL-Authentifizierung abgeschlossen und in der Zeile12 werden die SSL-Daten entschlüsselt. Wenn die Daten nicht verschlüsselt sind (Zeile13 ) wird mit den Daten in der Zeile14 nichts gemacht. -
13 stellt eine Systemarchitektur1300 für eine drahtgebundene und eine drahtlose Authentifikation gemäß den allgemeinen Ausführungsformen der Erfindung dar. Sie kann eine drahtlose Zugriffseinrichtung1302 (wie ein Handy oder einen Personal-Digital-Assistent) oder eine drahtgebundene Zugriffseinrichtung1308 (wie ein Personalcomputer mit Browser) sein. In dem Fall einer drahtlosen Zugriffseinrichtung1302 werden WTLS-Daten durch ein drahtloses Netzwerk1304 z. B. unter Verwendung eines UDP (User Datagram Protocol) oder WDP (Wireless Datagram Protocol)-Übertragungsprotokoll gesendet. Das drahtlose Netzwerk1304 empfängt die Nachricht und befördert sie zu dem WAP-Gateway1306 , bei dem das Übertragungsprotokoll von WDP/UDP zu TCP/IP konvertiert wird und bei dem ein Verschlüsseln und Entschlüsseln stattfindet. - Zusätzlich werden bei dem herkömmlichen Ansatz WTLS-verschlüsselte Daten zu SSLverschlüsselte Daten bei dem WAP-Gateway konvertiert, und die Zertifikate des drahtlosen Clients werden bei der WAP-Gateway authentifiziert. Dies ist jedoch keine End-to-End-Lösung für die Authentifizierung. In Ausführungsformen der Erfindung findet jedoch die Entschlüsselung nicht in der WAP-Gateway statt. Statt dessen werden die WTLS-Daten zu dem Datenzentrum
1316 über ein öffentliches Netzwerk1310 , wie das Internet, übermittelt. In dem Fall einer drahtgebundenen Zugriffseinrichtung1308 werden SSL-Daten zu dem Datenzentrum1316 direkt über das öffentliche Netzwerk1310 gesendet. - Bei dem Datenzentrum
1316 wird der Sender der Daten (d. h. der Client) authentifiziert, die WTLS/SSL-verschlüsselten Daten werden zu Klartext entschlüsselt und die Klartextdaten werden zu einem von vielen möglichen Servern1314 (gezeigt ist nur einer) in dem Datenzentrum gesendet. Das Datenzentrum1316 kann ein Sicherheitssystem1312 umfassen, wie in das Sicherheitssystem345 der3 . - Die Architektur
1300 , die in13 dargestellt ist, bildet die Architektur300 , die in3 dargestellt ist, in vielen Aspekten nach, außer daß das Sicherheitssystem der13 zusätzlich ein Authentifizierungssystem gegenüber dem Sicherheitssystem345 der3 besitzt. - In einer alternativen Ausführungsform, wie sie in
14 dargestellt ist, umfaßt die Systemarchitektur1400 ein Sicherheitssystem1312 , das vor dem WAP-Servers1306 untergebracht ist, der die Funktionen eines WAP-Gateways und eines Web-Server ausführt. Alternativ kann das Sicherheitssystem1312 vor einem WAP-Gateway untergebracht sein, dem ein Web-Server (nicht gezeigt) folgt. Diese Ausführungsform kann eine Firewall1402 aufweisen. Z. B. können einige Unternehmen ihr eigenen Gateway in ihrem Datenzentrum für ihre Anwendungen betreiben und diese beruhen nicht auf mobilen Service-Providern für den mobilen Gateway-Service. - In dieser Ausführungsform werden WTLS-Daten von der drahtlosen Einrichtung
1302 zu einem drahtlosen Netzwerk1304 unter Verwendung z. B. eines UDP (User Datagram Protocol) oder WDP (Wireless Datagram Protocol)-Übertragungsprotokolls gesendet. Das drahtlose Netzwerk1304 empfängt die Nachricht und leitet die Daten durch das öffentliche Netzwerk1310 weiter und anschließend durch die Firewall1302 . - Wenn die Daten in dem Sicherheitssystem
1312 empfangen sind, authentifiziert das Sicherheitssystem1312 WTLS-verschlüsselten Daten und, falls zutreffend, konvertiert die WTLSverschlüsselten Daten in Klartext. Das Sicherheitssystem1312 nimmt dann Rücksicht auf die Authentifizierung und die Entschlüsselung. Im Fall einer drahtlosen Zugriffseinrichtung1308 werden SSL-Daten zu dem Datenzentrum1316 über das öffentliche Netzwerk1310 gesendet, bei dem das Sicherheitssystem1312 die SSL-verschlüsselten Daten authentifiziert und, falls zutreffend, die SSL-verschlüsselten Daten in Klartext konvertiert. Die Klartextdaten können dann zu einem von vielen möglichen Servern1314 (nur einer ist gezeigt) in dem Datenzentrum gesendet werden. - Das Sicherheitssystem
1312 führt eine CRL, die in definierten Abständen von einer öffentlich zugänglichen CRL aktualisiert wird, die von der CA aktualisiert wird. Das Sicherheitssystem aktualisiert seine CRL aus der öffentlich zugänglichen CRL und umfaßt ein Authentifizierungssystem, um zu ermitteln, ob die clientseitigen Zertifikate, die es von den Clienteneinrichtungen erhält, gültig sind, indem es sie mit seinem CRL vergleicht. - Das Sicherheitssystem
1312 fordert auch serverseitige Zertifizierungen an, um sie zu den Clients zu schicken, wenn Clients nach einer Authentifizierung anfragen. Das System1312 erhält reguläre Zertifikate zum Versenden an drahtgebundene Einrichtungen, sowie langlebige und kurzlebige Zertifikate zum Versenden an drahtlose Clients. Drahtgebundene Clients können die Identität eines Servers durch Prüfen der Serverzertifikate gegen eine CRL, die in der drahtlosen Einrichtung geführt wird, authentifizieren. - Im Fall von drahtlosen Clients werden, da drahtlose Einrichtungen nicht über die lokalen Ressourcen oder die Kommunikationsbandbreite verfügen, um Rückrufverfahren , wie eine CRL, zu implementieren, Server einmal in einer Langzeitperiode authentifiziert (d. h. ein langlebiges Zertifikat wird ausgestellt), und Servern werden Kurzzeitzertifikate während der Langzeitperiode ausgestellt, die an Clients ausgestellt werden können. Die Server senden umgekehrt sowohl ein langlebiges Zertifikat als auch ein kurzlebiges Zertifikat zu dem Client, die beide für den Clienten zur Authentifizierung des Servers bestätigt werden müssen.
- Wenn die CA einen Server zurückrufen möchte, beendet sie einfach das Ausstellen weiterer kurzlebiger Zertifikate an den Server. Wenn das kurzlebige Zertifikat nicht bestätigt wird, wird der Client dementsprechend nicht weiter mit einem aktuell gültigen Zertifikat präsentiert und wird so aufhören, den Server als authentifiziert zu betrachten. Dies verringert die Notwendigkeit für den Client, eine CRL zu führen, um serverseitige Zertifikate damit zu vergleichen.
- Unterstützung serverseitiger Zertifikate
- Eine Serverauthentifizierung ermöglicht Clients, Serverzertifikate zur Authentisierung von Servern zu nutzen, und ermöglicht nur Servern mit gültigen Serverzertifikaten sich mit einem Client zu verbinden. Serverzertifikate werden von einer CA erteilt (wie VeriSign von Montain View, Californien), die prüft, ob ein Serverzertifikatanmelder den CA-Kriterien für die Vertrauenswürdigkeit entspricht, bevor das Serverzertifikat erteilt wird. Das Serverzertifikat ermöglicht einem Server, sich mit einem Clienten bis zum Ablaufen der Gültigkeit des Serverzertifikats zu verbinden. Nach dem Ablauf wird der Server blockiert. Um den Zugang zu erneuern, muß die Vertrauenswürdigkeit des Servers von der CA wieder bestätigt werden.
- Ein Serverzertifikat kann jedoch kompromittiert werden, bevor es abläuft. Drahtgebundene Einrichtungen können eine CRL zum Authentifizieren von Servern führen, während drahtlosen Einrichtungen kurzlebige Zertifikate ausgestellt werden (siehe oben).
-
15 ist ein Diagramm, das einen Arbeitsablauf1500 für serverseitige Zertifizierungen für sowohl drahtgebundene als auch drahtlose Clients darstellt. Ein Sicherheitssystem1312 fordert Serverzertifikate von einer Zertifizierungsstelle1502 an, und die Zertifizierungsstelle leitet diese zu einer Zertifikataufbewahrungsstelle1504 , bei der Zertifikatinformationen (einschließlich Zertifikatnummern und auf wen sie ausgestellt wurden) geführt werden. - Ein Client
1302 ,1308 kann mit einen Server1312 in dem Datenzentrum1316 über das Sicherheitssystem1312 Verbindung aufnehmen. Eine drahtlose Zugriffseinrichtung1302 versucht eine sichere Verbindung (die eine implizite Authentifizierungsanfrage ist, und manchmal als "Authentifizierungsanfrage" bezeichnet wird) mit dem Server durch Übertragen einer WTLS-Nachricht zu dem drahtlosen Netzwerk1304 aufzubauen. Das drahtlose Netzwerk1304 überträgt die Meldung zu einem WAP-Gateway1306 , während eine drahtlose Zugriffseinrichtung1308 direkt eine Verbindung durch das öffentliche Netzwerk1310 aufnehmen kann. Der WAP-Gateway1306 überträgt dann die verschlüsselte Client-Nachricht an das Sicherheitssystem1312 über ein öffentliches Netzwerk1310 . In Reaktion auf die Authentifizierungsanfrage des Clients sendet das Sicherheitssystem1312 ein Serverzertifikat zu dem Client1302 ,1308 . Der Client1302 ,1308 kann das Serverzertifikat anschließend authentifizieren. -
16 zeigt ein Flußdiagramm, das ein Verfahren für serverseitige Zertifizierungen gemäß den allgemeinen Ausführungsformen der Erfindung darstellt. Das Verfahren startet beim Block1600 und führt mit dem Block1602 fort, bei dem das Sicherheitssystem nach Serverzertifikaten von einem CA anfragt, und das CA sendet die Zertifikate an das Sicherheitssystem beim Block1604 . Im Block1606 sendet das Sicherheitssystem ein Serverzertifikat zu einem Client, wie in Reaktion auf eine Clientauthentifizierungsanfrage. Im Block1608 wird ermittelt, ob das Serverzertifikat gültig ist. Im Block1610 wird eine sichere Verbindung aufgebaut, wenn das Serverzertifikat gültig ist. Andernfalls beendet der Client die Verbindung im Block1612 . Das Verfahren endet im Block1614 . - Das Sicherheitssystem kann die Zertifikataufbewahrungsstelle in vom Benutzer definierten Intervallen abfragen, um die Zertifikate zu erhalten, kurzlebige und langlebige Zertifikate zu aktualisieren und/oder seine CRL zu aktualisieren.
- Drahtloser Client
- In dem drahtlosen Internet ist ein WTLS-Server-Zertifikat ein Zertifikat, das die Identität eines Servers gegenüber einer drahtlosen Einrichtung authentifiziert. Wenn ein Benutzer einer drahtlosen Einrichtung vertrauliche Informationen zu einem Server senden möchte, fragt die WAP-Einrichtung nach einem digitalen Zertifikat des Servers an. Das Zertifikat, das den öffentlichen Schlüssel des WAP-Servers enthält, wird von der drahtlosen Einrichtung benutzt, um:
- – die Identität des Servers zu authentifizieren und
- – Informationen für den Server unter Verwendung des WTLS-Protokolls zu verschlüsseln.
- Die WPKI-Architektur benutzt jedoch eine andere Implementierung, da es für eine WAP-Einrichtung schwierig ist, kontinuierlich die CRL-Liste zu aktualisieren, um nach Widerrufen serverseitiger Zertifikate zu prüfen. In der WPKI-Architektur führt das Sicherheitssystem kurzlebige Zertifikate und langlebige Zertifikate. Die Nachfrageintervalle können benutzerdefiniert sein.
-
17 zeigt ein Flußdiagramm eines Verfahrens für serverseitige Zertifizierungen für drahtlose Clients gemäß Ausführungsformen der Erfindung. Das Verfahren beginnt beim Block1700 und führt mit dem Block1702 fort, bei dem ein Sicherheitssystem nach Serverzertifikaten (einschließlich dem Herunterladen und Aktualisieren von kurzlebigen und langlebigen Zertifikaten) von einer CA für den Servers anfragt. Da Serverzertifikate in benutzerdefinierten Intervallen abgefragt werden können, muß dieser Schritt nicht notwendigerweise jedesmal stattfinden. - Bei dem Block
1704 sendet die CA Serverzertifikate zu dem Sicherheitssystem. Bei dem Block1706 werden sowohl langlebige als auch kurzlebige Zertifikate zu dem Client gesendet. Z. B. kann das Serverzertifikat zu dem Client in Reaktion auf eine Authentifizierungsanfrage eines Clients gesendet werden. - Beim Block
1708 wird durch verifizieren der CA-Signatur und der Gültigkeitsdauer des Zertifikats ermittelt, ob die Serverzertifikate gültig sind. Wenn sowohl das langlebige als auch das kurzlebige Zertifikat noch gültig sind, wird eine gesicherte Verbindung beim Block3710 auf gebaut. Andernfalls kann der Client die Verbindung beim Block1712 schließen. Das Verfahren endet beim Block1714 . - Drahtgebundener Client
- In dem drahtgebundenen Internet ist gleichfalls ein SSL-Zertifikat ein Zertifikat, das die Identität des Servers gegenüber einer drahtgebundenen Einrichtung (d. h. einem Personalcomputer) authentifiziert.
- Um Serverzertifikate zurückzuweisen, die als vor dem Ablauf kompromittiert bekannt sind, konsultiert ein Client eine Certificate-Revocation-List (CRL), welche in einer Public-Domain geführt wird, die aber von dem Client heruntergeladen werden kann. Typischerweise wird der Client die Verbindung schließen, wenn das Serverzertifikat in der CRL gefunden wird.
-
18 ist ein Flußdiagramm, das ein Verfahren für serverseitige Zertifizierungen für drahtgebundenen Clients gemäß Ausführungsformen der Erfindung darstellt. Das Verfahren beginnt beim Block1800 und fährt mit dem Block1802 fort, bei dem ein Sicherheitssystem Serverzertifikate von einer CA für den Server anfordert. Die CA sendet Serverzertifikate zu dem Sicherheitssystem im Block1804 . Beim Block1806 wird ein Serverzertifikat zu dem Client geschickt. Das Serverzertifikat kann z. B. zu dem Clienten in Reaktion auf eine Authentifizierungsanfrage eines Clients gesendet werden. - Bei dem Block
1808 verifiziert der Client das Serverzertifikat, indem er ermittelt, ob das Serverzertifikat auf der CRL ist. Wenn das Serverzertifikat nicht auf der CRL ist, wird beim Block1810 eine gesicherte Verbindung zwischen dem Client und dem Server aufgebaut. Andernfalls schließt beim Block1812 der Client die Verbindung. Das Verfahren endet beim Block1814 . - Clientseitige Zertifikatunterstüztung
- Eine Clientenauthentifizierung kann Clientzertifikate benutzen, die in Web-Browsern der Benutzer oder anderen Anwendungen des Client installiert sind, um Benutzer zu authentifizieren, und gestattet nur Clients mit gültigen Clientzertifikaten in einem autorisierten Bereich (d. h. beispielsweise in einem beschränkten Bereich auf einer Website). Ein Clientzertifikat wird von einer Certificate Authority (CA) ausgegeben. Eine CA prüft, ob ein Clientzertifikatanmelder den Kriterien der CA zur Vertrauenswürdigkeit entspricht, bevor ein Clientzertifikat ausgegeben wird. Das Clientzertifikat dient dem Zugang zu dem autorisierten Bereich bis seine Gültigkeit abläuft. Nach dem Ablauf wird der Benutzer blockiert. Um den Zugriff zu erneuern, muß die Vertrauenswürdigkeit des Benutzers von der CA vor dem Erneuern des Clientzertifikats wieder bestätigt werden. Das Abprüfen, wann Clientzertifikate ausgestellt und erneuert wurden, hilft dabei sicherzustellen, daß gültige Clientzertifikate nur in Händen von Benutzern sind, die vertrauenswürdig sind, um in einen autorisierten Bereich zu gelangen.
- Ein Clientzertifikat kann jedoch auch bevor es abläuft kompromittiert werden. Z. B. kann es in falsche Hände fallen oder die CA kann entscheiden, daß der Benutzer, für den es ausgestellt wurde, nicht mehr vertrauenswürdig ist. Wenn ein Clientzertifikat kompromittiert wird, bevor es abläuft, kann die CA es zurückrufen durch Zufügen des zurückgerufenen Zertifikats zu einer Certificate-Revocation-List (CRL). Die CRL wird bei der CA geführt, kann jedoch vom Servern zur Authentifizierung von Clientidentitäten heruntergeladen werden.
- Um Clientzertifikate zurückzuweisen, die als vor ihrem Ablauf kompromittiert bekannt sind, befragt ein Server eine Certificate-Revocation-List (CRL), die in einer Public-Domain geführt wird, die jedoch von den Servern heruntergeladen werden kann. Clients mit widerrufenen Clientzertifikaten wird der Zugriff zu einem autorisierten Bereich verweigert, wenn die widerrufenen Clientzertifikate in der CRL sind.
- In Ausführungsformen der Erfindung unterstützt das Sicherheitssystem
1312 eine CRL. Das Sicherheitssystem1312 lädt die CRL aus der Public-Domain herunter. Wenn ein Clientzertifikat in Antwort auf eine Authentifizierungsanfrage eines Servers empfangen wird, wird das Zertifikat gegen die CRL des Servers geprüft, um zu ermitteln, ob es widerrufen wurde. - In erfindungsgemäßen Ausführungsformen kann eine Authentifizierung über clientseitige Zertifikate durch das Sicherheitssystem für den Server ermöglicht oder verhindert werden. Eine Authentifizierung kann z. B. für Transaktionen, wie zum Plazieren von Aktienordern, ermöglicht werden, aber für Transaktionen, wie dem Bedienen von Klartextwebseiten verhindert werden.
-
19 ist ein Diagramm, das ein Arbeitsablauf1900 für clientseitige Zertifikate für sowohl drahtgebundenen wie auch drahtlosen Clients darstellt. Ein drahtloser Client1302 beantragt ein Zertifikat durch eine Verbindung zu einer CA1504 über ein drahtloses Netzwerk1902 . Die CA1502 stellt das Zertifikat aus und leitet es zu der Zertifikat-Aufbewahrungsstelle1504 weiter. Die CA1502 sendet anschließend ein Clientzertifikat oder eine Zertifikat-URL zu dem Client und der Client1302 kann versuchen, eine Verbindung mit dem Server1314 aufzubauen unter Verwendung einer WTLS-Nachricht und dem Clientzertifikat oder einem Link zu dem Clientzertifikat. - Das Sicherheitssystem
1312 aktualisiert seine CRL in benutzerdefinierten Intervallen. Es entschlüsselt die WTLS-Nachricht und prüft die Gültigkeit des Clientzertifikats, indem sie es mit der CRL vergleicht. Wenn des Clientzertifikat gültig ist, wird eine sichere Verbindung aufgebaut. Andernfalls kann der Server wählen, entweder die Verbindung zu schließen oder die Verbindung zu ermöglichen, dabei jedoch z. B. den Clientzugriff auf einen autorisierten Bereich zu verweigern. - Für einen drahtgebundenen Client
1308 wird ein Clientzertifikat von der Zertifizierungsstelle1502 über ein öffentliches Netzwerk1310 (d. h. das Internet) angefordert. Ein drahtgebundener Client1308 kann den Versuch unternehmen, eine Verbindung mit dem Server1314 aufzunehmen, indem er eine SSL-Nachricht und ein Clientzertifikat sendet. Wenn das Clientzertifikat gültig ist, wird die sichere Verbindung aufgebaut. Andernfalls kann der Server wählen, entweder die Verbindung zu schließen oder beispielsweise eine Verbindung zu ermöglichen, dabei jedoch z. B. den Clientzugriff auf einen autorisierten Bereich zu verweigern. -
20 ist ein Flußdiagramm, das ein Verfahren für drahtgebundene Clientzertifikate gemäß allgemeinen Ausführungsformen der Erfindung darstellt. Es startet beim Block2000 und fährt mit dem Block2002 fort, bei dem ein Client nach drahtgebundenen Clientzertifikaten anfragt. Beim Block2004 gibt die Zertifizierungsstelle drahtgebundene Clientzertifikate an den Client aus. Beim Block2006 kann der Client ohne das drahtgebundene Clientzertifikat nach einer gesicherten Verbindung anfragen, und das drahtgebundene Clientzertifikat wird zu dem Server in Reaktion auf die Anfrage des Servers nach einer Clientauthentifizierung beim Block2008 gesendet. - Ein Sicherheitssystem validiert das drahtgebundene Clientzertifikat für den Server beim Block
2010 . Wenn es gültig ist, wird eine gesicherte Verbindung beim Block2012 aufgebaut. Andernfalls wird keine gesicherte Verbindung beim Block2014 aufgebaut und der Server kann wählen, entweder die Verbindung zu schließen, oder eine Verbindung ermöglichen, jedoch beispielsweise den Zugriff auf einen autorisierten Bereich dem Client zu verweigern. Das Verfahren endet beim Block2016 . - Drahtlose Clients
- In dem drahtlosen Internet wird ein WTLS-Clientzertifikat benutzt, um eine drahtlose Einrichtung gegenüber einem Server zu authentifizieren. Als ein Beispiel werden WTLS-Clientzertifikate als ein Teil von WAP
1.2 definiert und entweder z. B. als X.509-Zertifikate oder als Minizertifikate formatiert. -
21 ist ein Flußdiagramm, das ein Verfahren für drahtlose clientseitige Zertifikate gemäß Ausführungsformen der Erfindung darstellt. Das Verfahren beginnt beim Block2100 und fährt mit dem Block2102 fort, bei dem ein Client nach einem drahtlosen Clientzertifikat anfragt. Beim Block2104A erzeugt eine CA ein URL (Uniform Resource Locator) zu den drahtlosen Clientzertifikat und sendet die Zertifikat-URL zu dem Client. Alternativ kann ein drahtloses Clientzertifikat, das von der CA ausgestellt wird, zu dem Clienten gesendet werden und in einem Wireless-Identity-Module (WIM) in der WAP-Einrichtung2104B gespeichert werden. WIM wird benutzt, um WTLS und Anwendungslevel-Sicherheitsfunktionen auszuführen und um Informationen zu speichern und zu bearbeiten, die für Benutzeridentifikationen und Authentifizierungen benötigt werden. - Der Client kann nach einer gesicherten Verbindung bei 2106 anfragen und danach das Clientzertifikat (oder ein Link zu ihm) in Antwort auf die Anforderung des Servers zur Authentifizierung bei
2108 senden. Das Sicherheitssystem entschlüsselt die WTLS-Nachricht und vergleicht das Clientzertifikat mit einer CRL beim Block2110 , um zu ermitteln, ob das Clientzertifikat authentisch ist. Wenn das Clientzertifikat gültig ist, wird beim Block2112 eine gesicherte Verbindung zwischen dem Client und dem Server aufgebaut. Andernfalls wird keine gesicherte Verbindung beim Block2114 aufgebaut und der Server kann wählen, entweder die Verbindung zu schließen, oder die Verbindung zu ermöglichen, ohne dem Client den autorisierten Bereich zu ermöglichen. Das Verfahren endet beim Block2116 . - Drahtgebundene Clients
- In dem drahtgebundenen Internet ist ein SSL-Clientzertifikat ein Clientzertifikat, das die Identität einer drahtgebundenen Einrichtung gegenüber dem Server authentifiziert.
22 ist ein Flußdiagramm, das ein Verfahren für drahtgebundene clientseitige Zertifikate gemäß Ausführungsformen der Erfindung darstellt. - Das Verfahren beginnt beim Block
2200 und führt bei dem Block2202 fort, bei dem ein Client ein drahtgebundenes Clientzertifikat anfordert. Beim Block2204 gibt die CA das Zertifikat aus und sendet es zu dem Client. Beim Block2206 versucht der Client eine sichere Verbindung zu dem Server aufzubauen und sendet danach ein drahtgebundenes Clientzertifikat in Antwort auf die Authentifizierungsanfrage des Servers beim Block2208 . - Beim Block
2208 entschlüsselt das Sicherheitssystem die SSL-Nachricht und vergleicht das Clientzertifikat mit einer CRL, um festzustellen, ob das Clientzertifikat authentisch ist. Wenn das Clientzertifikat gültig ist, wird eine gesicherte Verbindung zwischen dem Client und dem Server beim Block2212 aufgebaut. Andernfalls wird beim Block2214 keine gesicherte Verbindung aufgebaut, und der Server kann entscheiden, entweder die Verbindung zu schließen oder die Verbindung zu ermöglichen, ohne dem Client den autorisierten Bereich zu ermöglichen. Das Verfahren endet beim Block2216 . - Digitale Signaturen
- Zusätzlich zum Senden eines Clientzertifikats kann der Client eine digitale Signatur senden. Wenn ein Client eine digitale Signatur sendet, wird sie von dem Server verifiziert. Wenn die digitale Signatur gültig ist, wird eine gesicherte Verbindung aufgebaut. Andernfalls wird dem Clienten der Zugriff zu dem autorisierten Bereich verwehrt.
- Für einen drahtlosen Client können digitale Signaturen beispielsweise unter Verwendung verfügbarer WAP-Funktionen implementiert werden. WAP 1.2 definiert auch eine auf WPKIbasierende Funktion, die nicht ein Teil von WTLS ist. Diese Funktion, welche einem WAP-Client ermöglicht, eine Übertragung digital zu signieren, ist als die Wireless-Markup- Language (WML) Script-Sign-Text-Function bekannt und ist für Anwendungen gedacht, die Unbedenklichkeitssignaturen von Clients benötigen.
- Sicherheitssystem
-
23 stellt die Architektur des Sicherheitssystems dar. Das Sicherheitssystem2300 umfaßt ein Anwendungsmodul2302 , ein SSL-Modu12304 , ein PKI-Modul2308 , ein WTLS-Modul2306 und ein WPKI-Modul2310 . Der Eingang des Sicherheitssystems umfaßt eingehende Daten2314 , welche SSL-verschlüsselte Daten, WTLS-verschlüsselte Daten oder Klartextdaten sein können. Die Ausgabe des Sicherheitssystems sind Klartextdaten2316 , die anschließend von einem Server bearbeitet werden können. - Das Anwendungsmodul
2302 ermittelt, ob die eingehenden Daten2314 SSL-verschlüsselt, WTLS-verschlüsselt oder Klartext sind. Es anschließend den WTLS/SSL-Handshake für den Servers hinter ihm durch und arbeitet mit PKI/WPKI-Modulen für die server- und clientseitige Authentifizierung zusammen. - Wenn die eingehenden Daten
2314 SSL-verschlüsselt sind und die Authentifizierung aufgebaut wurde, ruft das Anwendungsmodul das SSL-Modu12304 auf. Das SSL-Modul2304 liest die Daten und entschlüsselt es zu Klartext2316 . Wenn es den Vorgang abgeschlossen hat, informiert es das Anwendungsmodul2302 . Das SSL-Modul2304 kann die Hardware-Verschlüsselungskarte für SSL-Funktionen benutzen und um für eine SSL-Beschleunigung zu sorgen. Das SSL-Modul kann ein SSL-Konvertionssystem374 der1 umfassen. In allgemeinen Ausführungsformen der Erfindung kann das SSL-Modul2304 ein Entschlüsselungsmodul für drahtgebundene Einrichtungen sein, das Daten akzeptiert, die unter Verwendung eines drahtgebundenen Sicherheitsprotokolls verschlüsselt sind (d. h. Daten, die SSLverschlüsselt sind) und das solche Daten zu Klartext entschlüsselt. - Das WTLS-Modul
2306 wird aufgerufen, wenn das Anwendungsmodul2302 WTLSverschlüsselte Daten erkennt und die Authentifizierung aufgebaut wurde. Das WTLS-Modul2306 liest die eingehenden Daten2314 und entschlüsselt sie zu Klartext2316 . Es informiert das Anwendungsmodul2302 , wenn es fertig ist. Das WTLS-Modul2306 kann entweder reine Software oder eine Kombination von Software und Hardware sein. Die WTLS-Verschlüsselung und -Entschlüsselung kann durch Ausführen der prozessorintensiven Funk tionen in der Hardware beschleunigt werden. Das WTLS-Modul kann das WTLS-Konvertierungsmodul1372 der3 umfassen. In allgemeinen Ausführungsformen der Erfindung kann das WTLS-Modul2306 ein Entschlüsselungsmodul für drahtlose Einrichtungen sein, das Daten akzeptiert, die unter Verwendung eines drahtlosen Sicherheitsprotokolls verschlüsselt sind (d. h. Daten, die WTLS-verschlüsselt sind) und das solche Daten in Klartext entschlüsselt. - Das PKI-Modul
2308 besitzt die Funktionen zum Verifizieren von digitalen Signaturen und/oder zur Authentifizierung von drahtgebundenen Clientzertifikaten durch Überprüfen ihrer CRL für beliebige Clientzertifikate, die von der CA widerrufen wurden. Die CRL-Liste wird in benutzerdefinierten Intervallen unter Verwendung eines LDAP/FTP/HTTP-Aufrufs zu dem LDAP-Server aktualisiert. Das PKI-Modul2308 unterstützt auch eine Authentifizierung des Servers durch Herunterladen von serverseitigen Zertifikaten von einer CA und durch Ausgeben von ihnen an Clients. In erfindungsgemäßen allgemeinen Ausführungsformen kann das PKI-Modul2308 ein Authentifizierungsmodul für drahtgebundene Einrichtungen sein, das drahtgebundene Authentifizierungsinformationen aufnimmt und das die drahtgebundenen Einrichtungen unter Verwendung der drahtgebundenen Authentifizierungsinformationen authentifiziert. - Das WPKI-Modul
2310 besitzt die Funktionen zum Verifizieren drahtloser digitaler Signaturen und/oder zum Authentifizieren drahtloser Clientzertifikate durch Überprüfen seiner CRL für beliebige Clientzertifikate, die von der CA widerrufen wurden. Die CRL-Liste wird in benutzerdefinierten Intervallen unter Verwendung eines LDAP (Lightweight Directory Access Protocol)/FTP (File Transfer Protocol)/HTTP (Hyper Text Transfer Protocol) -Aufrufs an dem LDAP-Server aktualisiert. In allgemeinen Ausführungsformen der Erfindung kann das WPKI-Modul2310 ein Authentifizierungsmodul für drahtlose Einrichtungen sein, das drahtlose Authentifizierungsinformationen aufnimmt und unter Verwendung der Authentifizierungsinformationen die drahtlose Einrichtung authentifiziert. - Das WPKI-Modul
2310 unterstützt auch eine Authentifikation des Servers unter Verwendung serverseitiger Zertifikate. Es gibt zwei Arten von serverseitigen Zertifikaten, die von dem Modul gehandhabt werden. Kurzlebige Zertifikate können so gesetzt werden, daß sie alle 24 Stunden ablaufen, und langlebige Zertifikate können so gesetzt werden, daß sie in einem Jahr ablaufen. Sie werden in benutzerdefinierten Intervallen aktualisiert, d. h. von einer CA heruntergeladen. - Andere Module
- Wenn eine Anwendung einen Klartext
2314 von dem SSL-Modul2304 oder dem WTLS-Modul2306 erhält, kann sie andere Module2312 aufrufen, wie ein XML-Bearbeitungsmodul, ein Lastausgleichsmodul oder ein XML-Übertragungsmodul, um zum Beispiel andere Funktionen auf der Netzwerkeinrichtung zur Verfügung zu stellen. Es kann mit Merkmalen kombiniert werden, wie inhaltsbezogene Schalten, XML-bezogenes Weiterleiten und das Erkennen von Einrichtungen. - Konfigurationen
-
24 ist ein Beispiel, wie ein Sicherheitssystem konfiguriert werden kann. Felddefinitionen sind Folgende: - – das Map-ID-Feld liefert eine arbiträre Kennung für eine Verbindung;
- – das Verbindungstypfeld liefert einen Verbindungstyp, beispielsweise entweder gesichert oder ungesichert, sowie den Verschlüsselungstyp (d. h. SSL oder WTLS);
- – das Schlüssel-ID-Feld liefert Schlüsselidentifikationen zum Gebrauch für die gesicherte Verbindung;
- – das Server-IP-Feld liefert eine Internetprotokolladresse, um mit Servern in dem Datenzentrum zu kommunizieren;
- – das Netzwerk-Port-Feld liefert vorbestimmte bekannte Port-Nummern, um gesicherte oder ungesicherte Daten aus dem öffentlichen Netzwerk zu empfangen;
- – das Server-Port-Feld liefert einen bekannten vorbestimmten Port, um Klartextdaten mit den Servern in dem Datenzentrum zu übermitteln;
- – das Chiffrier-Suites-Feld enthält eine Angabe des Sicherheitsmaßstabs, der für die gesicherten und ungesicherten Verbindungen benutzt wird;
- – das Umleitungs-Feld liefert eine Option, um eine Zugriffseinrichtung auf Sicherheitsupgrade-Resourcen in dem Fall umzuleiten, daß an die Einrichtungen die verwendeten Sicherheitsmerkmale nicht unterstützt;
- – das Client-Authentifizierungs-Feld bestimmt, ob eine Clientauthentifizierung, welche digitale Zertifikate verwendet, angefordert wird oder nicht;
- – das Digital-Signatur-Feld bestimmt, ob eine Clientauthentifizierung, welche digitale Signaturen verwendet, aufgerufen wird oder nicht.
- Die Konfiguration des Sicherheitssystems kann entweder über GUI (Graphical User Interface) oder CLI (Common Language Interface) durchgeführt werden. Beispielsweise können Clientzertifikate und Serverzertifikate von einer CLI von Sicherheitsanbietern erhalten werden. Die Erneuerungszeiten für eine CRL kann über ein CLI eingestellt werden. Die CRL-Liste kann von einem LDAP-Server über HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol) oder LDAP-Anfragen aktualisiert werden. Die kurzlebigen Server-Zertifikate können auch automatisch von der CA-Aufbewahrungsstelle abhängig von benutzerdefinierten Intervallen aktualisiert werden. Der Umleitungsparameter wird zur Umleitung des Client zu einer URL mit den benötigten sicherheitsbezogenen Informationen benutzt, wenn der Client die benötigten Sicherheitsfunktionen clientseitig nicht unterstützt.
- Fazit
- In der vorhergehenden Beschreibung wurde die Erfindung in Bezug auf spezielle Ausführungsformen davon beschrieben. Es ist jedoch deutlich, daß verschiedene Modifikationen und Änderungen daran vorgenommen werden könne, ohne von dem breiteren Grundge danken und Umfang der Erfindung abzuweichen. Die Beschreibung und die Zeichnungen sind daher als eine Darstellung und nicht im beschränkenden Sinne zu betrachten.
- Obgleich die PKI/WPKI und SSL/WTLS-Protokolle hierin beschrieben wurden, wird ein Durchschnittsfachmann verstehen, daß beispielsweise diese Protokolle nur zur Darstellung beschrieben sind und nicht zur Beschränkungen der Erfindung bestimmt sind. So können auch andere Protokolle benutzt werden.
- Zusammenfassung der Erfindung
- Authentifizierungsfunktionen werden in einem Sicherheitssystem zentral zusammengefaßt, um Server von diesen Funktionen zu befreien und um eine End-to-End-Lösung für gesicherte Internettransaktionen zur Verfügung zu stellen. Das Sicherheitssystem unterstützt Authentifizierungsfunktionen zum Authentifizieren eines Servers durch Anfragen nach Serverzertifikaten von einer Zertifizierungssstelle und durch Senden von Serverzertifikaten zu Clients, die nach einer Authentifizierung anfragen. Das Sicherheitssystem authentifiziert außerdem Clients durch Prüfen digitaler Signaturen, Überprüfen der Clientzertifikate, das ein Prüfen der CA-Signaturen umfaßt, durch Prüfen der Gültigkeitsdauer der Signaturen, durch Führen einer Certificate-Revocation-List (CRL) und durch Prüfen der Clientzertifikate mit der CRL.
Claims (33)
- Verfahren, das folgende Schritte umfaßt: Senden einer Nachricht von einem Client zu einem Server, wobei die Nachricht dazu bestimmt ist, eine gesicherte Verbindung aufzubauen; Abfangen der Daten an einem Sicherheitssystem, das dem Server zugeordnet ist, um Authentifizierungsfunktionen durchzuführen; und Ausbauen einer gesicherten Verbindung, wenn richtige Authentifizierungen durchgeführt werden.
- Verfahren nach Anspruch 1, bei dem die richtigen Authentifizierungen ein Ermitteln umfassen, ob der Server authentisch ist, wenn der Client nach einer Authentifizierung angefragt hat.
- Verfahren nach Anspruch 2, bei dem die richtigen Authentifizierungen zusätzlich ein Ermitteln umfassen, ob der Client authentisch ist, wenn der Server nach einer Authentifizierung angefragt hat.
- Verfahren nach Anspruch 1, bei dem die richtigen Authentifizierungen ein Überprüfen digitaler Zertifikate umfassen.
- Verfahren nach Anspruch 1, das zusätzlich ein Entschlüsseln der Nachricht umfaßt, wenn die Nachricht verschlüsselt ist.
- Verfahren nach Anspruch 1, bei dem die Authentifizierungsfunktionen folgende Schritte umfassen: Authentisierungsanfrage des Servers bei dem Client; Empfangen eines Clientzertifikats von dem Client; und Ermitteln, ob der Client authentisch ist, wobei das Ermitteln bei dem Sicherheitssystem für den Server stattfindet.
- Verfahren nach Anspruch 6, bei dem die Nachricht eine digitale Signatur zum Validieren der Identität des Clients umfaßt und das Ausführen der richtigen Authentifizierungen ein Validieren der digitalen Signatur umfaßt.
- Verfahren, das folgende Schritte umfaßt: Empfangen einer Client-Hello-Nachricht von einem Client an einer Einrichtung, die einem Server zugeordnet ist, wobei die Client-Hello-Nachricht eine Anforderung zum Aufbau einer gesicherten Verbindung mit dem Server anzeigt; Senden einer Server-Hello-Nachricht von der Einrichtung für den Server in Antwort auf die Client-Hello-Nachricht, um die Client-Hello-Meldung zu bestätigen; falls eine Authentifizierung von wenigstens dem Client oder dem Server angefragt wird, Austauschen von Authentifizierungsinformation; Senden einer Server-Hello-Done-Nachricht von der Einrichtung zu dem Client, wobei das Senden für den Server erfolgt; Empfangen einer Finished-Nachricht von dem Client und Senden einer Finished-Nachricht von der Einrichtung an den Client, wobei das Senden für den Server erfolgt.
- Verfahren nach Anspruch 8, bei dem der Austausch der Authentifizierungsinformation folgende Schritte umfaßt: falls die Client-Hello-Nachricht eine Authentifizierungsanfrage von dem Server umfaßt, Senden von Authentifizierungsinformationen von der Einrichtung zu dem Client für den Server und, falls der Server nach einer Authentifizierung bei dem Client anfragt, Empfangen von Authentifizierungsinformationen von dem Client.
- Verfahren nach Anspruch 8, bei dem das Senden der Finished-Nachricht von der Einrichtung zu dem Client für den Server folgende Schritte umfaßt: Ermitteln, ob der Client authentisch ist, und, falls der Client authentisiert wurde, Aufbauen einer gesicherten Verbindung zwischen dem Client und dem Server.
- Verfahren nach Anspruch 10, bei dem die Authentifizierungsinformationen ein Clientzertifikat umfassen und das Ermitteln, ob der Client authentisch ist, ein Validieren des Clientzertifikats umfaßt.
- Verfahren nach Anspruch 11, bei dem das Validieren des Clientzertifikats die Feststellung umfaßt, daß das Clientzertifikat nicht auf einer Certificate-Revocation-Liste steht.
- Verfahren nach Anspruch 11, bei dem die Authentifizierungsinformationen zusätzlich eine digitale Signatur umfassen und das Ermitteln, ob der Client authentisch ist, zusätzlich ein Verifizieren der digitalen Signatur umfaßt.
- Verfahren nach Anspruch 8, das zusätzlich ein Entschlüsseln der Nachricht umfaßt, falls die Nachricht verschlüsselt ist.
- Vorrichtung, die Folgendes umfaßt: ein Anwendungsmodul zum: Empfangen eingehender Daten, die von einem Client gesendet werden und für einen gegebenen Server von mehreren Servern in einem Datenzentrum bestimmt sind, und Weiterleiten der Daten zu einem Authentifizierungsmodul, um die Identität des Clients zu validieren; ein Authentifizierungsmodul für drahtgebundene Einrichtungen, das den mehreren Servern zugeordnet ist, zum: Empfangen der eingehenden Daten von dem Anwendungsmodul, wenn die eingehenden Daten unter Verwendung drahtgebundener Authentifizierungsinformationen gesendet werden, und Authentifizieren der drahtgebundenen Einrichtung; ein Authentifizierungsmodul für drahtlose Einrichtungen, das den mehreren Servern zugeordnet ist, zum: Empfangen der eingegebenen Daten von dem Anwendungsmodul, wenn die eingegebenen Daten unter Verwendung drahtloser Authentifizierungsinformationen gesendet werden, und Authentifizieren der drahtlosen Einrichtung; ein Entschlüsselungsmodul für drahtgebundene Einrichtungen, das den mehreren Servern zugeordnet ist, zum: Empfangen der eingehenden Daten von dem Anwendungsmodul, wenn die eingehenden Daten unter Verwendung eines drahtgebundenen Sicherheitsprotokolls verschlüsselt sind, und Entschlüsseln der Daten zu Klartext und ein Entschlüsselungsmodul für drahtlose Einrichtungen, das den mehreren Servern zugeordnet ist, zum: Empfangen der eingehenden Daten von dem Anwendungsmodul, wenn die eingehenden Daten unter Verwendung eines drahtlosen Sicherheitsprotokolls verschlüsselt sind; und Entschlüsseln der Daten zu Klartext.
- Vorrichtung nach Anspruch 15, bei der das Authentifizierungsmodul für drahtgebundene Einrichtungen und das Authentifizierungsmodul für drahtlose Einrichtungen zusätzlich Authentifizierungsfunktionen zum Authentifizieren des gegebenen Servers unterstützen durch:
- Anfordern von Serverzertifikaten von einer Zertifizierungsstelle; Speichern der Serverzertifikate und Senden wenigstens eines der Serverzertifikate an einen Client in Antwort auf die Authentifizierungsanfrage des Clients.
- Vorrichtung nach Anspruch 16, bei welcher der Client ein drahtloser Client ist und das Senden ein Senden eines langlebigen Zertifikates und eines kurzlebigen Zertifikates zu dem drahtlosen Client umfaßt.
- Vorrichtung nach Anspruch 16, bei der das Anfragen nach Serverzertifikaten von der Zertifizierungsstelle ein Anfragen der Serverzertifikate in benutzerdefinierten Intervallen umfaßt.
- System, das Folgendes umfaßt: einen oder mehrere Server, um Daten mit Clients auszutauschen, und ein Sicherheitssystem, das einem oder mehreren Servern zugeordnet ist, zum: Unterstützen von Authentifizierungsfunktionen zum Authentifizieren der Identität des einen oder der mehreren Server und Authentifizieren der Identität von Clients, die nach einer gesicherten Verbindung mit dem einen oder den mehreren Servern anfragen.
- System nach Anspruch 19, bei dem die Authentifizierungsfunktionen zum Authentifizieren der Identität des einen oder der mehreren Server Folgendes umfassen: Anfragen nach Serverzertifikaten von einer Zertifizierungsstelle; und Senden eines Serverzertifikats zu dem Client in Antwort auf eine Client-Authentifizierungsanfrage von einem der Server.
- System nach Anspruch 19, bei dem die Authentifizierung der Identität der Clients, die nach einer gesicherten Verbindung mit einem oder mehreren Servern anfragen, Folgendes umfaßt: Aktualisieren einer Certificate-Revocation-Liste (CRL); Empfangen eines Clientzertifikats von einem Client, der nach einer gesicherten Verbindung mit einem bestimmten Server von den Servern anfragt, die dem Sicherheitssystem zugeordnet sind; Ermitteln, ob das Clientzertifikat in der CRL steht; und falls das Clientzertifikat in der CRL steht, Verweigern des Clientzugriffs zu dem bestimmten Server.
- Vorrichtung, die Folgendes umfaßt: eine erste Einrichtung zum: Empfangen eingehender Daten, die von einem Client gesendet werden und für einen bestimmten Server von einer Mehrzahl von Servern in einem Datenzentrum bestimmt sind; und Weiterleiten der Daten zu einer Einrichtung zum Überprüfen der Identität des Clients durch Authentifizieren einer Einrichtung, die dem Client zugeordnet ist; eine zweite Einrichtung zum: Empfangen eingehender Daten von der ersten Einrichtung, wenn die eingehenden Daten unter Verwendung drahtgebundener Authentifizierungsinformationen gesendet wurden; und Authentifizieren der drahtgebundenen Einrichtung; eine dritte Einrichtung zum: Empfangen der eingehenden Daten von der ersten Einrichtung, falls die eingehenden Daten unter Verwendung drahtloser Authentifizierungsinformationen gesendet wurden; und Authentifizieren der drahtlosen Einrichtung; eine vierte Einrichtung zum: Empfangen der eingehenden Daten von der ersten Einrichtung, falls die eingehenden Daten unter Verwendung eines drahtgebundenen Sicherheitsprotokolls verschlüsselt wurden und Entschlüsseln der Daten zu Klartext und eine fünfte Einrichtung zum: Empfangen der eingehenden Daten von der ersten Einrichtung, falls die eingehenden Daten unter Verwendung eines drahtlosen Sicherheitsprotokolls verschlüsselt wurden; und Entschlüsseln der Daten zu Klartext.
- Vorrichtung nach Anspruch 22, bei der die zweite und dritte Einrichtung zusätzlich Authentifizierungsinformationen zum Authentifizieren des bestimmten Servers unterstützen durch: Anfragen nach Serverzertifikaten von einer Zertifizierungsstelle; Speichern der Serverzertifikate und Senden wenigstens eines der Serverzertifikate zu einem Client in Antwort auf die Authentifizierungsanfrage des Clients.
- Vorrichtung nach Anspruch 23, bei der der Client ein drahtloser Client ist und das Senden ein Senden eines langlebigen Zertifikats und eines kurzlebigen Zertifikats zu dem drahtlosen Client umfaßt.
- Maschinenlesbares Medium nach Anspruch 23, bei dem das Anfragen nach Serverzertifikaten von einer Zertifizierungsstelle ein Anfragen nach Serverzertifikate in benutzerdefinierten Intervallen umfaßt.
- Maschinenlesbares Medium, auf dem Daten gespeichert sind, die Befehlsabfolgen darstellen, wobei die Befehlsabfolgen, wenn sie auf einem Prozessor ausgeführt werden, den Prozessor veranlassen, folgende Schritte auszuführen: Empfangen einer Nachricht von einem Client an einen Server, wobei die Nachricht dazu bestimmt ist, eine gesicherte Verbindung aufzubauen; Abfangen der Daten an einem Sicherheitssystem, das dem Server zugeordnet ist, um Authentifizierungsfunktionen aufzuführen, und Aufbauen einer gesicherten Verbindung, wenn richtige Authentifizierungen durchgeführt werden.
- Maschinenlesbares Medium nach Anspruch 26, bei dem die korrekten Authentifizierungen ein Ermitteln umfassen, ob der Server authentisch ist, wenn der Client nach einer Authentifizierung angefragt hat.
- Maschinenlesbares Medium nach Anspruch 26, bei dem die Nachricht ein Clientzertifikat zum Validieren der Identität des Clients umfaßt und das Ausführen der korrekten Authentifizierungen ein Validieren des Clientzertifikats umfaßt.
- Maschinenlesbares Medium nach Anspruch 26, bei dem die Authentifizierungsfunktionen folgende Schritte umfassen: Anfragen nach einer Authentifizierung des Sicherheitssystems von dem Client für den Server; Empfangen eines Clientzertifikats von dem Client und Ermitteln, ob der Client authentifiziert ist, wobei das Ermitteln bei dem Sicherheitssystem im Auftrag des Servers stattfindet.
- Vorrichtung, die Folgendes umfaßt: wenigstens einen Prozessor und ein maschinenlesbares Medium mit darauf codierten Befehlen, welche, wenn sie von dem Prozessor ausgeführt werden, in der Lage sind, den Prozessor zu folgenden Schritten anzuweisen: Empfangen einer Nachricht von einem Client an einen Server, wobei die Nachricht dazu bestimmt ist, eine gesicherte Verbindung aufzubauen; Abfangen der Daten an einem Sicherheitssystem, das dem Server zugeordnet ist, um Authentifizierungsfunktionen auszuführen, und Aufbauen einer gesicherten Verbindung, wenn richtige Authentifizierungen ausgeführt werden.
- Verfahren nach Anspruch 30, bei dem die korrekten Authentifizierungen ein Ermitteln umfassen, ob der Server authentifiziert ist, wenn der Client nach einer Authentifizierung angefragt hat.
- Vorrichtung nach Anspruch 30, bei der die Nachricht ein Clientzertifikat umfaßt, um die Identität des Clients zu validieren, und das Ausführen der korrekten Authentifizierungen ein Validieren des Clientzertifikats umfaßt.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/045,893 US8601566B2 (en) | 2001-10-23 | 2002-01-12 | Mechanism supporting wired and wireless methods for client and server side authentication |
US10/045,893 | 2002-01-12 | ||
PCT/US2003/000893 WO2003061246A1 (en) | 2002-01-12 | 2003-01-10 | Mechanism for supporting wired and wireless methods for client and server side authentication |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10392208T5 true DE10392208T5 (de) | 2004-12-23 |
Family
ID=21940415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10392208T Withdrawn DE10392208T5 (de) | 2002-01-12 | 2003-01-10 | Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung |
Country Status (8)
Country | Link |
---|---|
US (1) | US8601566B2 (de) |
CN (2) | CN102143160B (de) |
AU (1) | AU2003214827A1 (de) |
DE (1) | DE10392208T5 (de) |
GB (1) | GB2399480B (de) |
HK (1) | HK1065196A1 (de) |
TW (1) | TW200307439A (de) |
WO (1) | WO2003061246A1 (de) |
Families Citing this family (102)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8020201B2 (en) | 2001-10-23 | 2011-09-13 | Intel Corporation | Selecting a security format conversion for wired and wireless devices |
US8601566B2 (en) | 2001-10-23 | 2013-12-03 | Intel Corporation | Mechanism supporting wired and wireless methods for client and server side authentication |
US7376967B1 (en) | 2002-01-14 | 2008-05-20 | F5 Networks, Inc. | Method and system for performing asynchronous cryptographic operations |
WO2003077581A1 (en) * | 2002-03-08 | 2003-09-18 | Sony Ericsson Mobile Communications Ab | Security protection for data communication |
US7430755B1 (en) | 2002-09-03 | 2008-09-30 | Fs Networks, Inc. | Method and system for providing persistence in a secure network access |
US20040064691A1 (en) * | 2002-09-26 | 2004-04-01 | International Business Machines Corporation | Method and system for processing certificate revocation lists in an authorization system |
US7774831B2 (en) * | 2002-12-24 | 2010-08-10 | International Business Machines Corporation | Methods and apparatus for processing markup language messages in a network |
US7685631B1 (en) | 2003-02-05 | 2010-03-23 | Microsoft Corporation | Authentication of a server by a client to prevent fraudulent user interfaces |
EP1482701B1 (de) * | 2003-05-27 | 2005-09-14 | Siemens Aktiengesellschaft | Verfahren zum paketorientierten Übertragen von Daten in Telekommunikationsnetzen mittels Umsetzung in einem Zwischenknoten von einem verbindungslosen zu einem verbindungsorientierten Übertragungsprotokoll und umgekehrt |
ATE459146T1 (de) * | 2003-06-24 | 2010-03-15 | Ibm | Verfahren und system zur authentifizierung der server in einer verteilten anwendungsumgebung |
US8422672B2 (en) * | 2003-12-26 | 2013-04-16 | Mitsubishi Electric Corporation | Authenticated device, authenticating device and authenticating method |
WO2005083982A1 (en) * | 2004-02-23 | 2005-09-09 | Sinett Corporation | Unified architecture for wired and wireless networks |
US7437551B2 (en) * | 2004-04-02 | 2008-10-14 | Microsoft Corporation | Public key infrastructure scalability certificate revocation status validation |
US20050250472A1 (en) * | 2004-05-04 | 2005-11-10 | Silvester Kelan C | User authentication using a wireless device |
US8127136B2 (en) * | 2004-08-25 | 2012-02-28 | Samsung Electronics Co., Ltd | Method for security association negotiation with extensible authentication protocol in wireless portable internet system |
US20060095767A1 (en) * | 2004-11-04 | 2006-05-04 | Nokia Corporation | Method for negotiating multiple security associations in advance for usage in future secure communication |
KR100619960B1 (ko) * | 2004-11-22 | 2006-09-08 | 엘지전자 주식회사 | 인터넷을 통한 디버깅 장치의 원격 제어 장치 및 방법 |
US8087069B2 (en) | 2005-06-13 | 2011-12-27 | Nokia Corporation | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) |
US8353011B2 (en) | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
US7836306B2 (en) * | 2005-06-29 | 2010-11-16 | Microsoft Corporation | Establishing secure mutual trust using an insecure password |
WO2007012583A1 (fr) * | 2005-07-26 | 2007-02-01 | France Telecom | Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants |
WO2007012584A1 (fr) * | 2005-07-26 | 2007-02-01 | France Telecom | Procédé de contrôle de transactions sécurisées mettant en oeuvre un dispositif physique unique à bi-clés multiples, dispositif physique, système et programme d'ordinateur correspondants |
US8613071B2 (en) | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
US7984479B2 (en) * | 2006-04-17 | 2011-07-19 | International Business Machines Corporation | Policy-based security certificate filtering |
US10681151B2 (en) | 2006-05-15 | 2020-06-09 | Microsoft Technology Licensing, Llc | Notification framework for wireless networks |
US8683045B2 (en) * | 2006-07-17 | 2014-03-25 | Qualcomm Incorporated | Intermediate network device for host-client communication |
US8352728B2 (en) | 2006-08-21 | 2013-01-08 | Citrix Systems, Inc. | Systems and methods for bulk encryption and decryption of transmitted data |
US8095787B2 (en) * | 2006-08-21 | 2012-01-10 | Citrix Systems, Inc. | Systems and methods for optimizing SSL handshake processing |
US8230214B2 (en) | 2006-08-21 | 2012-07-24 | Citrix Systems, Inc. | Systems and methods for optimizing SSL handshake processing |
US8549588B2 (en) * | 2006-09-06 | 2013-10-01 | Devicescape Software, Inc. | Systems and methods for obtaining network access |
US8194589B2 (en) * | 2006-09-06 | 2012-06-05 | Devicescape Software, Inc. | Systems and methods for wireless network selection based on attributes stored in a network database |
US8191124B2 (en) * | 2006-09-06 | 2012-05-29 | Devicescape Software, Inc. | Systems and methods for acquiring network credentials |
US8554830B2 (en) * | 2006-09-06 | 2013-10-08 | Devicescape Software, Inc. | Systems and methods for wireless network selection |
US8196188B2 (en) * | 2006-09-06 | 2012-06-05 | Devicescape Software, Inc. | Systems and methods for providing network credentials |
US8743778B2 (en) * | 2006-09-06 | 2014-06-03 | Devicescape Software, Inc. | Systems and methods for obtaining network credentials |
US9326138B2 (en) * | 2006-09-06 | 2016-04-26 | Devicescape Software, Inc. | Systems and methods for determining location over a network |
US7873200B1 (en) | 2006-10-31 | 2011-01-18 | United Services Automobile Association (Usaa) | Systems and methods for remote deposit of checks |
US8708227B1 (en) | 2006-10-31 | 2014-04-29 | United Services Automobile Association (Usaa) | Systems and methods for remote deposit of checks |
CN101212293B (zh) * | 2006-12-31 | 2010-04-14 | 普天信息技术研究院 | 一种身份认证方法及系统 |
US7835723B2 (en) * | 2007-02-04 | 2010-11-16 | Bank Of America Corporation | Mobile banking |
US8799648B1 (en) * | 2007-08-15 | 2014-08-05 | Meru Networks | Wireless network controller certification authority |
US8266630B2 (en) * | 2007-09-03 | 2012-09-11 | International Business Machines Corporation | High-performance XML processing in a common event infrastructure |
US9058512B1 (en) | 2007-09-28 | 2015-06-16 | United Services Automobile Association (Usaa) | Systems and methods for digital signature detection |
US9159101B1 (en) | 2007-10-23 | 2015-10-13 | United Services Automobile Association (Usaa) | Image processing |
US20090113543A1 (en) * | 2007-10-25 | 2009-04-30 | Research In Motion Limited | Authentication certificate management for access to a wireless communication device |
US20090154701A1 (en) * | 2007-12-17 | 2009-06-18 | Kosaraju Ravi K | On device number lock driven key generation for a wireless router in wireless network security systems |
US10380562B1 (en) | 2008-02-07 | 2019-08-13 | United Services Automobile Association (Usaa) | Systems and methods for mobile deposit of negotiable instruments |
US8307203B2 (en) | 2008-07-14 | 2012-11-06 | Riverbed Technology, Inc. | Methods and systems for secure communications using a local certification authority |
US10504185B1 (en) | 2008-09-08 | 2019-12-10 | United Services Automobile Association (Usaa) | Systems and methods for live video financial deposit |
US20100263022A1 (en) * | 2008-10-13 | 2010-10-14 | Devicescape Software, Inc. | Systems and Methods for Enhanced Smartclient Support |
US8353007B2 (en) * | 2008-10-13 | 2013-01-08 | Devicescape Software, Inc. | Systems and methods for identifying a network |
CN101420341B (zh) * | 2008-12-08 | 2011-01-05 | 福建星网锐捷网络有限公司 | 嵌入式系统的处理器性能测试方法和装置 |
US9100222B2 (en) * | 2008-12-31 | 2015-08-04 | Sybase, Inc. | System and method for mobile user authentication |
US8452689B1 (en) | 2009-02-18 | 2013-05-28 | United Services Automobile Association (Usaa) | Systems and methods of check detection |
US10956728B1 (en) | 2009-03-04 | 2021-03-23 | United Services Automobile Association (Usaa) | Systems and methods of check processing with background removal |
US20100235625A1 (en) * | 2009-03-13 | 2010-09-16 | Ravi Kant Pandey | Techniques and architectures for preventing sybil attacks |
GB2469287B (en) * | 2009-04-07 | 2013-08-21 | F Secure Oyj | Authenticating a node in a communication network |
US9602499B2 (en) | 2009-04-07 | 2017-03-21 | F-Secure Corporation | Authenticating a node in a communication network |
US9779392B1 (en) | 2009-08-19 | 2017-10-03 | United Services Automobile Association (Usaa) | Apparatuses, methods and systems for a publishing and subscribing platform of depositing negotiable instruments |
US8977571B1 (en) | 2009-08-21 | 2015-03-10 | United Services Automobile Association (Usaa) | Systems and methods for image monitoring of check during mobile deposit |
CN101714982B (zh) * | 2009-10-23 | 2017-03-29 | 中兴通讯股份有限公司 | 一种压缩版权的传输方法和系统 |
US9794248B2 (en) * | 2009-12-23 | 2017-10-17 | Symantec Corporation | Alternative approach to deployment and payment for digital certificates |
US8700892B2 (en) | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
US9129340B1 (en) | 2010-06-08 | 2015-09-08 | United Services Automobile Association (Usaa) | Apparatuses, methods and systems for remote deposit capture with enhanced image detection |
CN102035838B (zh) * | 2010-12-07 | 2014-02-19 | 中国科学院软件研究所 | 一种基于平台身份的信任服务连接方法与信任服务系统 |
WO2012112607A1 (en) | 2011-02-14 | 2012-08-23 | Devicescape Software, Inc. | Systems and methods for network curation |
US9998545B2 (en) * | 2011-04-02 | 2018-06-12 | Open Invention Network, Llc | System and method for improved handshake protocol |
RU2623197C2 (ru) * | 2011-07-25 | 2017-06-27 | Филипс Лайтинг Холдинг Б.В. | Способы, устройства и системы для создания сквозных безопасных соединений и для безопасной передачи пакетов данных |
JP5673952B2 (ja) * | 2011-08-29 | 2015-02-18 | セイコーインスツル株式会社 | データ証明システム、クライアント装置、公開サーバおよびデータ証明方法 |
US9330188B1 (en) | 2011-12-22 | 2016-05-03 | Amazon Technologies, Inc. | Shared browsing sessions |
CN102420692A (zh) * | 2011-12-28 | 2012-04-18 | 广州杰赛科技股份有限公司 | 一种基于云计算的客户终端USBKey安全认证方法及其系统 |
US10380565B1 (en) | 2012-01-05 | 2019-08-13 | United Services Automobile Association (Usaa) | System and method for storefront bank deposits |
US9374244B1 (en) * | 2012-02-27 | 2016-06-21 | Amazon Technologies, Inc. | Remote browsing session management |
US9152800B2 (en) * | 2012-05-03 | 2015-10-06 | Dell Products L.P. | Pluggable cryptography |
CN103546421B (zh) * | 2012-07-10 | 2016-08-24 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密系统及其实现方法 |
US9009465B2 (en) * | 2013-03-13 | 2015-04-14 | Futurewei Technologies, Inc. | Augmenting name/prefix based routing protocols with trust anchor in information-centric networks |
US9602537B2 (en) * | 2013-03-15 | 2017-03-21 | Vmware, Inc. | Systems and methods for providing secure communication |
CN104348846A (zh) * | 2013-07-24 | 2015-02-11 | 航天信息股份有限公司 | 基于wpki实现云存储系统数据通信安全的方法和系统 |
CN104348870A (zh) * | 2013-08-02 | 2015-02-11 | 航天信息股份有限公司 | 基于可信时间戳的云存储系统的数据管理方法和系统 |
US9286514B1 (en) | 2013-10-17 | 2016-03-15 | United Services Automobile Association (Usaa) | Character count determination for a digital image |
CN104579662B (zh) * | 2013-10-21 | 2018-11-13 | 航天信息股份有限公司 | 基于wpki和时间戳的移动终端身份认证方法和系统 |
CN103646201A (zh) * | 2013-12-09 | 2014-03-19 | 东南大学 | 一种人脸组合身份验证方法 |
CN104811421A (zh) * | 2014-01-24 | 2015-07-29 | 中辉世纪传媒发展有限公司 | 基于数字版权管理的安全通信方法及装置 |
US10454919B2 (en) * | 2014-02-26 | 2019-10-22 | International Business Machines Corporation | Secure component certificate provisioning |
US9419799B1 (en) * | 2014-08-22 | 2016-08-16 | Emc Corporation | System and method to provide secure credential |
US9875344B1 (en) | 2014-09-05 | 2018-01-23 | Silver Peak Systems, Inc. | Dynamic monitoring and authorization of an optimization device |
CN105592051A (zh) * | 2015-09-08 | 2016-05-18 | 杭州华三通信技术有限公司 | 安全套接字层ssl会话建立方法和装置 |
US10506281B1 (en) | 2015-12-22 | 2019-12-10 | United Services Automobile Association (Usaa) | System and method for capturing audio or video data |
CN106921481A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 一种基于pki的租户划分及权限认证的系统和方法 |
KR101772553B1 (ko) * | 2015-12-29 | 2017-08-30 | 주식회사 코인플러그 | 파일에 대한 공증 및 검증을 수행하는 방법 및 서버 |
CA3010645A1 (en) * | 2016-01-07 | 2017-07-13 | Genetec Inc. | Network sanitization for dedicated communication function and edge enforcement |
CN105931327A (zh) * | 2016-04-15 | 2016-09-07 | 广东京奥信息科技有限公司 | 一种门禁监控方法及系统 |
EP3485663B1 (de) * | 2016-07-18 | 2021-01-13 | Telefonaktiebolaget LM Ericsson (PUBL) | Fernbereitstellung einer teilnehmereinheit |
US9667619B1 (en) * | 2016-10-14 | 2017-05-30 | Akamai Technologies, Inc. | Systems and methods for utilizing client side authentication to select services available at a given port number |
GB2561822B (en) * | 2017-04-13 | 2020-02-19 | Arm Ip Ltd | Reduced bandwidth handshake communication |
US11030752B1 (en) | 2018-04-27 | 2021-06-08 | United Services Automobile Association (Usaa) | System, computing device, and method for document detection |
US10868677B2 (en) * | 2018-06-06 | 2020-12-15 | Blackberry Limited | Method and system for reduced V2X receiver processing load using certificates |
CN110135149A (zh) * | 2019-05-13 | 2019-08-16 | 深圳大趋智能科技有限公司 | 一种应用安装的方法及相关装置 |
US11968293B2 (en) * | 2020-11-18 | 2024-04-23 | International Business Machines Corporation | Private key management |
US11900755B1 (en) | 2020-11-30 | 2024-02-13 | United Services Automobile Association (Usaa) | System, computing device, and method for document detection and deposit processing |
US11669639B2 (en) * | 2021-02-25 | 2023-06-06 | Dell Products L.P. | System and method for multi-user state change |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5699431A (en) * | 1995-11-13 | 1997-12-16 | Northern Telecom Limited | Method for efficient management of certificate revocation lists and update information |
US6216231B1 (en) * | 1996-04-30 | 2001-04-10 | At & T Corp. | Specifying security protocols and policy constraints in distributed systems |
US6751221B1 (en) * | 1996-10-04 | 2004-06-15 | Kabushiki Kaisha Toshiba | Data transmitting node and network inter-connection node suitable for home network environment |
US6035402A (en) * | 1996-12-20 | 2000-03-07 | Gte Cybertrust Solutions Incorporated | Virtual certificate authority |
US5982898A (en) * | 1997-03-07 | 1999-11-09 | At&T Corp. | Certification process |
US6473406B1 (en) * | 1997-07-31 | 2002-10-29 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
US6125349A (en) * | 1997-10-01 | 2000-09-26 | At&T Corp. | Method and apparatus using digital credentials and other electronic certificates for electronic transactions |
US6243010B1 (en) * | 1998-01-08 | 2001-06-05 | Pittway Corp. | Adaptive console for augmenting wireless capability in security systems |
US6230269B1 (en) * | 1998-03-04 | 2001-05-08 | Microsoft Corporation | Distributed authentication system and method |
US6092202A (en) * | 1998-05-22 | 2000-07-18 | N*Able Technologies, Inc. | Method and system for secure transactions in a computer system |
US6931526B1 (en) * | 1998-06-04 | 2005-08-16 | International Business Machines Corporation | Vault controller supervisor and method of operation for managing multiple independent vault processes and browser sessions for users in an electronic business system |
US6684332B1 (en) * | 1998-06-10 | 2004-01-27 | International Business Machines Corporation | Method and system for the exchange of digitally signed objects over an insecure network |
US6539237B1 (en) | 1998-11-09 | 2003-03-25 | Cisco Technology, Inc. | Method and apparatus for integrated wireless communications in private and public network environments |
US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
PL342519A1 (en) | 1998-12-28 | 2001-06-18 | Ntt Docomo Inc | Method of monitoring communication, communication method, terminal equipment, relay apparatus and communication system |
DE50010813D1 (de) | 1999-09-07 | 2005-09-01 | Swisscom Ag Bern | Verfahren und Gateway, die einen End-zu-End gesicherten Zugriff auf WAP-Dienste erlauben |
US7237261B1 (en) * | 1999-09-07 | 2007-06-26 | Swisscom Ag | Method, system and gateway allowing secured end-to-end access to WAP services |
US6289460B1 (en) * | 1999-09-13 | 2001-09-11 | Astus Corporation | Document management system |
US6571221B1 (en) * | 1999-11-03 | 2003-05-27 | Wayport, Inc. | Network communication service with an improved subscriber model using digital certificates |
EP1172985B1 (de) * | 2000-02-17 | 2004-12-08 | Mitsubishi Denki Kabushiki Kaisha | Verfahren und vorrichtung zur protokollkonvertierung |
US7055171B1 (en) * | 2000-05-31 | 2006-05-30 | Hewlett-Packard Development Company, L.P. | Highly secure computer system architecture for a heterogeneous client environment |
FI112150B (fi) * | 2000-07-24 | 2003-10-31 | Stonesoft Oyj | Tietoliikenteen ohjausmenetelmä |
TW513883B (en) * | 2000-08-03 | 2002-12-11 | Telepaq Technology Inc | A secure transaction mechanism system and method integrating wireless communication and wired communication |
US20020146129A1 (en) * | 2000-11-09 | 2002-10-10 | Kaplan Ari D. | Method and system for secure wireless database management |
US7127742B2 (en) * | 2001-01-24 | 2006-10-24 | Microsoft Corporation | Establishing a secure connection with a private corporate network over a public network |
US20020133598A1 (en) * | 2001-03-16 | 2002-09-19 | Strahm Frederick William | Network communication |
US20020178365A1 (en) * | 2001-05-24 | 2002-11-28 | Shingo Yamaguchi | Method and system for controlling access to network resources based on connection security |
US20030046532A1 (en) * | 2001-08-31 | 2003-03-06 | Matthew Gast | System and method for accelerating cryptographically secured transactions |
US7840494B2 (en) * | 2001-09-12 | 2010-11-23 | Verizon Business Global Llc | Systems and methods for monetary transactions between wired and wireless devices |
US8020201B2 (en) | 2001-10-23 | 2011-09-13 | Intel Corporation | Selecting a security format conversion for wired and wireless devices |
US8601566B2 (en) | 2001-10-23 | 2013-12-03 | Intel Corporation | Mechanism supporting wired and wireless methods for client and server side authentication |
-
2002
- 2002-01-12 US US10/045,893 patent/US8601566B2/en not_active Expired - Fee Related
-
2003
- 2003-01-10 DE DE10392208T patent/DE10392208T5/de not_active Withdrawn
- 2003-01-10 GB GB0415250A patent/GB2399480B/en not_active Expired - Fee Related
- 2003-01-10 TW TW092100518A patent/TW200307439A/zh unknown
- 2003-01-10 AU AU2003214827A patent/AU2003214827A1/en not_active Abandoned
- 2003-01-10 CN CN201110009932.9A patent/CN102143160B/zh not_active Expired - Fee Related
- 2003-01-10 CN CN038021641A patent/CN1615632B/zh not_active Expired - Fee Related
- 2003-01-10 WO PCT/US2003/000893 patent/WO2003061246A1/en not_active Application Discontinuation
-
2004
- 2004-09-25 HK HK04107440A patent/HK1065196A1/xx not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
CN1615632B (zh) | 2011-03-23 |
TW200307439A (en) | 2003-12-01 |
CN102143160A (zh) | 2011-08-03 |
US20030097592A1 (en) | 2003-05-22 |
US8601566B2 (en) | 2013-12-03 |
GB2399480B (en) | 2005-12-21 |
GB0415250D0 (en) | 2004-08-11 |
WO2003061246A1 (en) | 2003-07-24 |
AU2003214827A1 (en) | 2003-07-30 |
GB2399480A (en) | 2004-09-15 |
HK1065196A1 (en) | 2005-02-08 |
CN102143160B (zh) | 2014-01-15 |
CN1615632A (zh) | 2005-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10392208T5 (de) | Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung | |
DE60315914T2 (de) | Ad hoc Sicherheitszugriff auf Dokumente und Dienste | |
DE60214632T2 (de) | Multidomäne Berechtigung und Authentifizierung | |
DE60200093T2 (de) | Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk | |
DE60314871T2 (de) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters | |
DE60026838T2 (de) | Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy | |
DE69830726T2 (de) | Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system | |
DE60308692T2 (de) | Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung | |
DE602004004325T2 (de) | Verfahren und Vorrichtung zur Bereitstellung eines sicheren VPN-Zugriffs mittels veränderter Zertifikat-Zeichenketten | |
DE60200081T2 (de) | Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk | |
DE60029217T2 (de) | Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen | |
DE60312911T2 (de) | System für mobile Authentifizierung mit reduzierten Authentifizierungsverzögerung | |
DE602004012870T2 (de) | Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung | |
DE69433771T2 (de) | Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz | |
DE69826609T2 (de) | Verfahren und Vorrichtung zum Aufbau einer authentifizierten und sicheren Kommunikationssession über ein drahtloses Datennetzwerk | |
EP1777907B1 (de) | Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem | |
DE60221113T3 (de) | Verfahren und system für die fernaktivierung und -verwaltung von personal security devices | |
US20020147927A1 (en) | Method and system to provide and manage secure access to internal computer systems from an external client | |
DE10297362T5 (de) | Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen | |
EP2289222B1 (de) | Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client | |
EP2561461A1 (de) | Verfahren zum lesen eines attributs aus einem id-token | |
DE10392283T5 (de) | System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen | |
DE102004045147A1 (de) | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm | |
CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
EP3909221B1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law |
Ref document number: 10392208 Country of ref document: DE Date of ref document: 20041223 Kind code of ref document: P |
|
8125 | Change of the main classification |
Ipc: H04W 12/06 AFI20051017BHDE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |