DE112018004266T5 - Ändern von verschlüsselung und schlüssel innerhalb einer bestehenden sitzung - Google Patents

Ändern von verschlüsselung und schlüssel innerhalb einer bestehenden sitzung Download PDF

Info

Publication number
DE112018004266T5
DE112018004266T5 DE112018004266.9T DE112018004266T DE112018004266T5 DE 112018004266 T5 DE112018004266 T5 DE 112018004266T5 DE 112018004266 T DE112018004266 T DE 112018004266T DE 112018004266 T5 DE112018004266 T5 DE 112018004266T5
Authority
DE
Germany
Prior art keywords
server
client
selection
cipher
cipher suite
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018004266.9T
Other languages
English (en)
Inventor
Sachin Chandrakant Punadikar
Pushkaraj Balasaheb Thorat
Sasikanth Eda
Sandeep Ramesh Patil
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112018004266T5 publication Critical patent/DE112018004266T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Eine verschlüsselte Verbindung wird mit mehreren Verschlüsselungen hergestellt. Während eines Handshake-Protokolls beim Einrichten einer sicheren Sitzung werden zumindest zwei Sätze von Cipher-Suites durch einen Client an einen Server übertragen. Eine Auswahl-Cipher-Suite für jeden Satz der zumindest zwei Sätze von Cipher-Suites wird durch den Client von dem Server empfangen. Der Client wählt eine erste Auswahl-Cipher-Suite aus den von dem Server empfangenen Auswahl-Cipher-Suites aus. Der Client stellt eine Verbindung mit dem Server mithilfe der ersten Auswahl-Cipher-Suite zum Verschlüsseln der Verbindung her.

Description

  • HINTERGRUND
  • Die vorliegende Erfindung bezieht sich auf sichere Datenübertragungen und im Besonderen auf sichere Datenübertragungen in einem Netzwerk.
  • Eine Secure-Sockets-Layer(SSL)-Verbindung weist zwei Phasen auf, einen Handshake und eine Datenübertragung. Während des Handshakes wird ein asymmetrischer Schlüsselverschlüsselungsalgorithmus dazu verwendet, eine Verschlüsselungsalgorithmusvereinbarung und einen symmetrischen Verschlüsselungsschlüsselaustausch einzurichten. Während der Datenübertragungsphase wird eine Verbindung mit einem bestimmten Verschlüsselungsalgorithmus mit einem vereinbarten Schlüssel hergestellt, und anschließend können verschlüsselte Daten zwischen Einheiten ausgetauscht werden, die die Verbindung gemeinsam nutzen.
  • KURZDARSTELLUNG
  • Gemäß Ausführungsformen der vorliegenden Erfindung wird hierin ein Verfahren zum Herstellen einer verschlüsselten Verbindung mit mehreren Verschlüsselungen beschrieben. Während eines Handshake-Protokolls beim Einrichten einer sicheren Sitzung werden zumindest zwei Sätze von Cipher-Suites durch einen Client an einen Server zurück übertragen. Eine Auswahl-Cipher-Suite für jeden Satz der zumindest zwei Sätze von Cipher-Suites kann anschließend durch den Client von dem Server empfangen werden. Der Client wählt eine erste Auswahl-Cipher-Suite aus den von dem Server empfangenen Auswahl-Cipher-Suites aus. Der Client stellt eine Verbindung mit dem Server mithilfe der ersten Auswahl-Cipher-Suite zum Verschlüsseln der Verbindung her.
  • Gemäß Ausführungsformen der vorliegenden Erfindung wird hierin ein Verfahren zum Herstellen einer verschlüsselten Verbindung mit mehreren Verschlüsselungen beschrieben. Ein Server empfängt während eines Handshakes zumindest zwei Sätze von Cipher-Suites von einem Client. Eine Auswahl-Cipher-Suite wird für jeden Satz der zumindest zwei Sätze von Cipher-Suites ausgewählt. Die Auswahl-Cipher-Suites werden an den Client übertragen. Eine Verbindung wird mithilfe einer ersten Auswahl-Cipher-Suite zum Verschlüsseln der Verbindung hergestellt.
  • Ein Datenverarbeitungssystem und ein Computerprogrammprodukt können das Verfahren und die Strukturen der Offenbarung verkörpern. Das Datenverarbeitungssystem kann ein Netzwerk, einen Speicher, der dazu ausgebildet ist, Cipher-Suites zu speichern, und einen Prozessor aufweisen, der Daten mit dem Speicher austauscht. Das Datenverarbeitungssystem kann dazu ausgebildet sein, das Verfahren durchzuführen.
  • Die obige Kurzdarstellung soll nicht jede veranschaulichte Ausführungsform oder jede Implementierung der vorliegenden Erfindung beschreiben.
  • Figurenliste
  • Die Zeichnungen hierin sind in der Beschreibung eingeschlossen und bilden einen Teil davon. Sie veranschaulichen Ausführungsformen der vorliegenden Erfindung und dienen zusammen mit der Beschreibung dazu, die Grundgedanken der Erfindung zu erläutern. Die Zeichnungen dienen lediglich der Veranschaulichung bestimmter Ausführungsformen der vorliegenden Erfindung und nicht zur Beschränkung der Offenbarung.
    • 1 stellt ein Blockschaubild eines beispielhaften Systems zum Herstellen einer sicheren Verbindung mit mehreren Verschlüsselungen gemäß Ausführungsformen der vorliegenden Erfindung dar.
    • 2 stellt ein Beispiel für eine SSL-Verbindungsdauer gemäß Ausführungsformen der vorliegenden Erfindung dar.
    • 3 stellt ein Beispiel für ein SSL-Handshake-Protokoll gemäß Ausführungsformen der vorliegenden Erfindung dar.
    • 4A stellt einen Ablaufplan eines beispielhaften Prozesses für eine Client-seitige Einheit zum Initiieren einer verschlüsselten Verbindung gemäß Ausführungsformen der vorliegenden Erfindung dar.
    • 4B stellt einen Ablaufplan eines beispielhaften Prozesses für eine Server-seitige Einheit zum Initiieren einer verschlüsselten Verbindung gemäß Ausführungsformen der vorliegenden Erfindung dar.
    • 5 stellt ein Übersichts-Blockschaubild eines beispielhaften Computersystems, das beim Implementieren eines oder mehrerer der Verfahren oder Module und jeglicher damit in Zusammenhang stehender Funktionen oder Vorgänge verwendet wird, die hierin beschrieben werden, gemäß Ausführungsformen der vorliegenden Erfindung dar.
  • Wenngleich die Erfindung für verschiedene Modifizierungen und alternative Formen geeignet ist, sind deren Besonderheiten in den Zeichnungen beispielhaft dargestellt worden und werden ausführlich beschrieben. Es versteht sich jedoch, dass die Erfindung nicht auf die bestimmten, beschriebenen Ausführungsformen beschränkt sein soll. Es besteht im Gegenteil die Absicht, sämtliche Modifizierungen, Entsprechungen und Alternativen abzudecken, die in den Umfang der Erfindung fallen.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Aspekte der vorliegenden Erfindung beziehen sich auf sichere Datenübertragungen und im Besonderen beziehen sich Aspekte auf sichere Datenübertragungen in einem Netzwerk. Wenngleich die vorliegende Erfindung nicht zwingend auf solche Anwendungen beschränkt ist, werden verschiedene Aspekte der Erfindung durch eine Erörterung verschiedener Beispiele mithilfe dieses Kontextes ersichtlich.
  • Secure-Sockets-Layer(SSL)-Protokolle und sonstige ähnliche Protokolle zur Sicherheit von Datenübertragungen wie zum Beispiel Transport Layer Security (TLS) verwenden eine Kombination aus symmetrischen und asymmetrischen Schlüsselalgorithmen zum Sichern von Datenübertragungen in einem Netzwerk. Ein asymmetrischer Schlüsselverschlüsselungsalgorithmus kann zum Einrichten einer Sitzung und zum Prüfen der Teilnehmer (z.B. eines Clients und eines Servers) auf Berechtigung verwendet werden. Des Weiteren verwendet eine verschlüsselte Datenübertragung einen Verschlüsselungsalgorithmus und einen damit in Zusammenhang stehenden symmetrischen Verschlüsselungsschlüssel, der durch die Teilnehmer vereinbart wird. Jede Sitzung wird mithilfe einer einzelnen vereinbarten Cipher-Suite (eines Verschlüsselungsalgorithmus und einer zugehörigen Kombination aus Verschlüsselung und Schlüssel) eingerichtet. Wenn es wünschenswert wird, eine neue Kombination aus Verschlüsselung und Schlüssel auszuwählen, muss die bestehende Sitzung geschlossen und eine neue Sitzung mit einem neuen Handshake mit modifizierten Konfigurationsdaten initiiert werden, um das Auswählen der neuen Verschlüsselung und des neuen Schlüssels zu unterstützen.
  • Ein Grund, die verwendete Kombination aus Verschlüsselung und Schlüssel zu ändern ist, Batterielebensdauer bei mobilen Einheiten einzusparen. Wenngleich eine sichere Datenübertragung zum Schutz von Daten im Allgemeinen vorzuziehen sein kann, können diese Protokolle die Stromversorgung stark belasten. Eine Einheit kann wählen, eine sichere Sitzung zu schließen und eine neue Sitzung mit einer/einem weniger sicheren Verschlüsselung und Schlüssel zu beginnen, um die Batterie zu schonen. Da ein Einrichten jeder Sitzung jedoch die Verschlüsselung/Entschlüsselung eines asymmetrischen Schlüssels erfordert, ist ein Einrichten mehrerer Sitzungen für einen jeweiligen Vorgang aufwändig im Hinblick auf die Prozessorauslastung und die Gesamtzeit, die für den Prozess erforderlich sind.
  • Ein Aufrechterhalten einer einzelnen Sitzung mit einer festen Verschlüsselung (einer Kombination aus Verschlüsselung und Schlüssel) hat seinen eigenen Preis. Wenn eine „starke“ Verschlüsselung verwendet wird, sind die erforderliche Prozessorauslastung und Zeit erheblich. Wenn eine mittlere oder schwache Verschlüsselung verwendet wird, können Daten Sicherheitsbedrohungen ausgesetzt sein.
  • Hierin werden Systeme, Verfahren und Computerprogrammprodukte zum Bereitstellen einer verschlüsselten Verbindung mit mehreren Cipher-Suites und zugehörigen Verschlüsselungsschlüsseln bereitgestellt. Indem zugelassen wird, dass eine Einheit eine Sitzung mit mehreren Verschlüsselungen und Schlüsseln einrichtet, kann die Verschlüsselungsstärke der Sitzung durch Ändern der verwendeten Verschlüsselung geändert werden, um den Stromverbrauch zu optimieren, ohne eine neue Sitzung zu initialisieren.
  • Hierin wird ein System beschrieben, das einen Speicher und einen Prozessor enthält. Der Speicher enthält zwei oder mehr Sätze von Cipher-Suites. Der Prozessor tauscht Daten mit dem Speicher aus und kann dazu ausgebildet sein, sichere Datenübertragungen zum Beispiel durch Einrichten einer sicheren Sitzung durchzuführen. Das durch den Prozessor verwendete Verfahren zum Schützen von Datenübertragungen kann wie unten beschrieben gestaltet sein.
  • Das Verfahren zum Herstellen einer sicheren Datenübertragungsverbindung, wie es hierin beschrieben wird, kann im Allgemeinen zwischen einem Client und einem Server ausgeführt werden. Bei Ausführungsformen der vorliegenden Erfindung kann ein Client ein Herstellen der sicheren Verbindung über einen Handshake durch Senden einer „Hello“-Nachricht an den Server initiieren. Der Client überträgt während des Handshakes zwei oder mehr verschiedene Sätze von Cipher-Suites an den Server. Jeder Satz von Cipher-Suites kann eine andere Sicherheitsstufe darstellen. Beispielsweise kann ein Client zwei Cipher-Suites an den Server übertragen, einen Satz von Durchsatz-Suites und einen Satz von sicheren Suites. Bei Ausführungsformen der vorliegenden Erfindung kann der Client darüber hinaus einen dritten Satz von Suites, z.B. einen mittleren Satz von Suites, usw. übertragen.
  • Anschließend empfängt der Client von dem Server in Reaktion auf die übertragenen Sätze von Cipher-Suites eine Auswahl-Cipher-Suite für jeden Satz der zumindest zwei Sätze von Cipher-Suites. Bei der Auswahl-Cipher-Suite kann es sich im Allgemeinen um die Suite in jedem Satz handeln, die der Server für seine eigene Konfiguration für am besten geeignet hält. Wenn der Server zum Beispiel, wie oben beschrieben, zwei Sätze von Cipher-Suites, einen Durchsatz-Satz und einen sicheren Satz, von dem Client empfängt, würde der Server zwei Auswahl-Suites, eine Durchsatz-Auswahl-Cipher-Suite und eine sichere Auswahl-Cipher-Suite, auswählen und an den Client zurückgeben. Der Server wählt entsprechend einem Satz von vorgegebenen Parametern, z.B. der eigenen Konfigurationsdatei des Servers, die Durchsatz-Auswahl-Cipher-Suite sowie die sichere Auswahl-Cipher-Suite aus. Bei Ausführungsformen kann der Server einen Server-Schlüsselaustausch beim Übertragen der Auswahl-Cipher-Suites enthalten und/oder kann eine Anforderung nach einem Client-Zertifikat senden.
  • Nach dem Empfangen der Auswahl-Suite des Servers für jeden Satz kann der Client dazu übergehen, eine erste Cipher-Suite aus den zwei oder mehr durch den Server benannten Auswahl-Cipher-Suites auszuwählen. Die erste Cipher-Suite kann im Allgemeinen entsprechend der geeigneten Sicherheitsstufe für einen ersten Abschnitt von Client-Daten ausgewählt werden, die an den Server zu übertragen sind. Wenn es sich zum Beispiel bei dem ersten Abschnitt von Daten, die der Client übertragen möchte, um sensible Daten handelt, kann der Client die sicherste Cipher-Suite aus den zwei oder mehr durch den Server benannten Auswahl-Cipher-Suites als erste Cipher-Suite auswählen. Nachdem die erste Cipher-Suite ausgewählt worden ist, kann der Client den Server mithilfe eines Ändere-Verschlüsselung-Protokolls darüber informieren, die erste Cipher-Suite zum Verschlüsseln/Entschlüsseln der verschlüsselten Verbindung zu verwenden. Der Client kann das Herstellen der sicheren Verbindung mit dem Server mithilfe einer ersten Cipher-Suite zum Verschlüsseln der Verbindung beenden. Vor dem Ändere-Verschlüsselung-Protokoll kann der Client darüber hinaus an einem Schlüsselaustausch mit dem Server teilnehmen. Der Client kann in Reaktion auf eine Server-Anforderung des Zertifikats des Clients ein Client-Zertifikat an den Server absenden und kann darüber hinaus eine Zertifikatsüberprüfung durchführen. Bei Ausführungsformen kann der Client, der Server oder eine beliebige Übertragungseinheit eine der Auswahl-Cipher-Suites auswählen, die zum Verschlüsseln der verschlüsselten Verbindung zu verwenden ist, und die aktuell verwendete Verschlüsselung mithilfe des Ändere-Verschlüsselung-Protokolls ändern.
  • Bei Ausführungsformen der vorliegenden Erfindung kann eine zweite Auswahl-Cipher-Suite ausgewählt werden. Bei der zweiten Auswahl-Cipher-Suite kann es sich um eine beliebige Auswahl-Cipher-Suite handeln, die nicht als erste Auswahl-Cipher-Suite ausgewählt worden ist. Wenn der Client zum Beispiel zwei Sätze von Cipher-Suites, einen sicheren Satz und einen Durchsatz-Satz, überträgt, empfängt der Client von dem Server zwei Auswahl-Suites, eine sichere Auswahl-Suite und eine Durchsatz-Auswahl-Suite. Wenn der Client die sichere Auswahl-Suite als erste Auswahl-Suite als für den ersten Abschnitt von zu übertragenden Client-Daten geeignet auswählt, jedoch später weniger sichere Daten überträgt, kann der Client dann die Durchsatz-Auswahl-Suite auswählen und das Ändere-Verschlüsselung-Protokoll verwenden, um die Verschlüsselung, die zum Verschlüsseln der Verbindung verwendet wird, von der sicheren Auswahl-Suite in die Durchsatz-Auswahl-Suite zu ändern.
  • Nachdem die zweite Auswahl-Cipher-Suite ausgewählt worden ist, kann der Client ein Ändere-Verschlüsselung-Protokoll mit dem Server mithilfe der zweiten Auswahl-Cipher-Suite initiieren. In Reaktion empfängt der Client von dem Server einen Hinweis, dass das Ändere-Verschlüsselung-Protokoll abgeschlossen ist. Nachdem der Client diesen Hinweis empfangen hat, kann er eine Übertragung mit der zweiten Auswahl-Cipher-Suite zur Verschlüsselung beginnen.
  • Bei Ausführungsformen der vorliegenden Erfindung empfängt ein Server oder eine sonstige Empfangseinheit während eines Handshakes zumindest zwei Sätze von Cipher-Suites von einem Client. Der Server wählt eine Auswahl-Cipher-Suite für jeden Satz der zumindest zwei Sätze von Cipher-Suites aus. Der Server kann eine Auswahl-Cipher-Suite entsprechend der eigenen Konfiguration des Servers auswählen und die Suite in jedem Satz auswählen, die am besten zu dieser Konfiguration passt. Der Server kann sich auf eine Konfigurationsdatei beziehen, die eine oder mehrere Cipher-Suites enthält, die am besten zu der eigenen Konfiguration des Servers passen. Der Server überträgt die Auswahl-Cipher-Suites an den Client. Anschließend beteiligt sich der Server mit dem Client daran, eine sichere Verbindung mit dem Client mithilfe einer ersten Auswahl-Cipher-Suite, die durch den Client oder eine sonstige Übertragungseinheit ausgewählt wird, herzustellen, um die Verbindung zu verschlüsseln. Bei Ausführungsformen der vorliegenden Erfindung kann der Server beim Herstellen der sicheren Verbindung mit dem Server einen Client-Schlüsselaustausch empfangen. Die erste Auswahl-Cipher-Suite kann mithilfe eines Ändere-Verschlüsselung-Protokolls eingerichtet werden.
  • Bei Ausführungsformen der vorliegenden Erfindung kann der Server von dem Client oder einer sonstigen Übertragungseinheit ein Ändere-Verschlüsselung-Protokoll empfangen, das eine zweite Auswahl-Cipher-Suite einrichtet. In Reaktion kann der Server oder eine Empfangseinheit die zweite Auswahl-Cipher-Suite mithilfe des Ändere-Verschlüsselung-Protokolls initialisieren. Der Server kann einen Hinweis an den Client senden, dass das Ändere-Verschlüsselung-Protokoll abgeschlossen ist. Anschließend kann der Server Daten senden und empfangen, die mithilfe der zweiten Auswahl-Cipher-Suite verschlüsselt worden sind. Bei Ausführungsformen kann der Server darüber hinaus ein Ändere-Verschlüsselung-Protokoll zum Ändern der Sitzungsverschlüsselung durch Absenden einer der vereinbarten Verschlüsselungen verwenden.
  • Unter Bezugnahme auf 1 wird ein Blockschaubild eines beispielhaften Systems 100 zum Herstellen einer sicheren Verbindung mit mehreren Verschlüsselungen gemäß Ausführungsformen der vorliegenden Erfindung dargestellt. Es versteht sich, dass die dargestellte Gestaltung des Systems 100 als zwei Computer 112A, 112B wie in 1 nichtbeschränkend sein soll, da sonstige mögliche Gestaltungen/Konfigurationen möglich sind, darunter ein System mit drei oder mehr Einheiten, die über eine Netzwerkverbindung verbunden sind, ohne darauf beschränkt zu sein.
  • Das System 100 stellt zwei Computer 112A und 112B dar, die Daten über eine Netzwerkverbindung 114 austauschen. Jeder der Computer 112A, 112B enthält eine Vermittlungsschicht 110A, 110B, die Netzwerkprotokolle enthält, um die Netzwerkverbindung 114 zu ermöglichen und zu unterstützen. Netzwerkprotokolle können Adressierung, Weiterleitung und Verkehrssteuerung enthalten.
  • Jeder der Computer 112A, 112B enthält eine Internet-Schicht 108A, 108B, deren Aufgabe in erster Linie das Internet-Protocol (IP) und eine angemessene Verarbeitung von Datenpaketen im Hinblick auf IP-Adressen ist.
  • Jeder der Computer 112A, 112B enthält eine Transportschicht 106A, 106B. Die Transportschicht 106A, 106B kann allgemein für eine Übertragung von Datensegmenten zwischen Punkten in einem Netzwerk zuständig sein. Diese Rolle kann Segmentierung, Bestätigung und Multiplexing enthalten.
  • Jeder der Computer 112A, 112B enthält eine Sicherheitsschicht 104A, 104B, deren Aufgabe in erster Linie Berechtigungsprüfungsmechanismen sein können. Bei Ausführungsformen können die hierin beschriebenen Verfahren durch die Sicherheitsschichten 104A, 104B ausgeführt werden.
  • Jeder der Computer 112A, 112B enthält eine Anwendungsschicht 102A, 102B. Die Anwendungsschicht kann hochentwickelte Anwendungsprogrammierschnittstellen wie zum Beispiel zur gemeinsamen Nutzung von Ressourcen und zum Zugriff auf Dateien aus der Ferne enthalten.
  • Unter Bezugnahme auf 2 wird ein Beispiel für eine SSL-Verbindungsdauer 200 gemäß Ausführungsformen der vorliegenden Erfindung dargestellt. Die Verbindungsdauer 200 wird in diesem Beispiel von einem Host A 212 zu einem Host B 214 verlaufend dargestellt. Es versteht sich, dass der Host B 214 nach dem anfänglichen Handshake und der Verschlüsselungsaushandlung unabhängig Daten und Verschlüsselungsänderungen auf denselben Datenübertragungskanälen von dem Host B 214 an den Host A 212 senden kann. In ähnlicher Weise kann der Host B 214 bei Ausführungsformen der vorliegenden Erfindung den Handshake und die Verschlüsselungsaushandlung initiieren.
  • Der Host A 212 initiiert die Verbindung in 202 durch Initiieren eines Handshakes und einer Aushandlung von mehreren Verschlüsselungen. Der Host A 212, in diesem Beispiel die initiierende Einheit, kann den Handshake in 202 durch Übertragen eines Datenpakets an den Host B 214, in diesem Beispiel die Empfangseinheit, initiieren. Bei Ausführungsformen der vorliegenden Erfindung kann es sich bei dem Host A 212 um einen Browser und bei dem Host B 214 um einen Http-Server handeln. Der Host A 212 kann des Weiteren eine Aushandlung von mehreren Verschlüsselungen durch Absenden zweier oder mehr Sätze von Cipher-Suites an den Host B 214 während des Handshakes initiieren. Die Sätze von Cipher-Suites können entsprechend dem bereitgestellten Sicherheitsgrad organisiert sein oder können bei Ausführungsformen der vorliegenden Erfindung willkürlich zu Sätzen geordnet sein. Beispielsweise kann der Host A 212 zwei Sätze von Cipher-Suites absenden, die jeweils Hochsicherheitsverschlüsselungen enthalten. Der Host A 212 kann sechs Hochsicherheits-Cipher-Suites aufweisen und kann die sechs Hochsicherheits-Suites willkürlich in zwei Sätze von drei Suites organisieren. Durch Absenden der Cipher-Suites an den Host B 214 in zwei Sätzen informiert der Host A 212 den Host B 214 darüber, dass der Host A 212 zwei während der Sitzung zu verwendende Hochsicherheitsverschlüsselungen aushandeln möchte. Bei Ausführungsformen kann der Host A 212 die Cipher-Suites in einem Satz in bevorzugter Reihenfolge absenden. Der Host B 214 kann den Einstellungen des Hosts A 212 Gewicht verleihen, indem er die erste Suite in jedem Satz auswählt, die der Server als unterstützbar ermittelt.
  • Der Host A 212 legt in 204 eine erste Verschlüsselung mithilfe eines Ändere-Verschlüsselung-Protokolls fest. Der Host A 212 überträgt in 206 Daten mithilfe der ersten Verschlüsselung an den Host B 214.
  • Der Host A 212 ändert in 208 die Verschlüsselung mithilfe eines Ändere-Verschlüsselung-Protokolls, um eine zweite Verschlüsselung festzulegen. Der Host A 212 kann in 208 die Verschlüsselung in Reaktion auf ein Erkennen eines Sicherheitsrisikos in der aktuellen Verschlüsselung ändern, oder die Verschlüsselung kann in regelmäßigen oder willkürlichen Zeitabständen geändert werden. Wenn, wie in dem obigen Beispiel, während des Handshakes mehrere Hochsicherheits-Suites vereinbart werden, kann die verwendete Verschlüsselung turnusmäßig gewechselt werden, um die Sicherheit der Sitzung zu erhöhen.
  • In 210 kann der Host A 212 Daten mithilfe der zweiten Verschlüsselung an den Host B 214 übertragen.
  • Nachdem der Host B 214 das Ändere-Verschlüsselung-Protokollpaket, das eine zweite Verschlüsselung enthält, von dem Host A 212 empfangen hat, kann der Host B 214 feststellen, dass nachfolgende empfangene Daten mit der zweiten Verschlüsselung verschlüsselt werden. Der Host B 214 kann zuerst alle Daten in seinem Puffer anstehender Lesevorgänge mithilfe der ersten Verschlüsselung zur Entschlüsselung lesen, bevor er die zweite Verschlüsselung initialisiert. Bei Ausführungsformen kann der Host B 214 mit der ersten sowie der zweiten Verschlüsselung versuchen, Daten in dem Puffer anstehender Lesevorgänge zu entschlüsseln.
  • Unter Bezugnahme auf 3 wird ein Beispiel für ein SSL-Handshake-Protokoll zwischen einem Client 302 und einem Server 304 gemäß Ausführungsformen der vorliegenden Erfindung dargestellt. Es versteht sich, dass die dargestellte Gestaltung des Protokolls, die von dem Client 302 zu dem Server 304 gerichtet ist, nichtbeschränkend sein soll, da sonstige mögliche Gestaltungen/Konfigurationen möglich sind, darunter so, dass der Server 304 das Protokoll oder einen Teil des Protokolls, z.B. ein Ändere-Verschlüsselung-Protokoll initiiert, ohne darauf beschränkt zu sein.
  • Ein Client 302 oder eine sonstige Übertragungseinheit verwendet eine „Hello“-Nachricht 306 des Clients, um den Handshake und die Aushandlung mehrerer Verschlüsselungen zu initiieren. Die „Hello“-Nachricht des Clients kann zwei oder mehr Verschlüsselungssätze enthalten, in denen Cipher-Suites entsprechend den verschiedenen bereitgestellten Sicherheitsstufen zu Sätzen geordnet sein können. Die Suites können je Satz in einer bevorzugten Reihenfolge aufgeführt werden.
  • Der Server 304 oder eine sonstige Empfangseinheit antwortet mit einer „Hello“-Nachricht 308 des Servers. Die „Hello“-Nachricht 308 des Servers kann die Auswahl-Cipher-Suite enthalten, die aus jedem Satz, der durch den Client in der „Hello“-Nachricht 306 des Clients abgesendet worden ist, durch den Server zur Verwendung während der initiierten Sitzung mit verschlüsselter Verbindung ausgewählt worden ist. Bei Ausführungsformen der vorliegenden Erfindung kann die „Hello“-Nachricht 308 des Servers optional eine Anforderung des Client-Zertifikats enthalten. Die „Hello“-Nachricht 308 des Servers kann den Server-Schlüsselaustausch für jede der ausgewählten Cipher-Suites enthalten.
  • Zusammen können die „Hello“-Nachricht 306 des Clients und die „Hello“-Nachricht 308 des Servers eine erste Phase des Handshake-Protokolls aufweisen. Während dieser Phase können sowohl der Client 302 als auch der Server 304 Daten über Pakete miteinander austauschen, die in ihren jeweiligen „Hello“-Nachrichten enthalten sind. Sie können Pakete austauschen, die sich auf das Einrichten von Sicherheitsfunktionen (einschließlich der Protokollversion), eine Sitzungs-ID, Cipher-Suites, Komprimierungsverfahren und anfängliche Zufallszahlen beziehen.
  • Bei Ausführungsformen der vorliegenden Erfindung kann der Server 304 auch eine „Hellodone“-Nachricht 310 des Servers bereitstellen.
  • Die „Hello-done“-Nachricht 310 des Servers kann eine zweite Phase des Handshake-Protokolls aufweisen. Bei Ausführungsformen kann die zweite Phase des Weiteren eine Server-Zertifikatsnachricht, einen Server-Schlüsselaustausch und eine Server-Anforderung des Client-Zertifikats aufweisen.
  • Bei Ausführungsformen der vorliegenden Erfindung kann der Client 302 optional eine Client-Zertifikatsnachricht 312 zum Beispiel dann bereitstellen, wenn sie durch den Server angefordert wird.
  • Der Client 302 und der Server 304 nehmen an einer Reihe von Schlüsselaustauschvorgängen, einem Schlüsselaustausch für jede durch den Server ausgewählte Cipher-Suite, teil. In dem in dem Protokoll dargestellten Beispiel befinden sich drei Schlüsselaustauschvorgänge, ein Durchsatz-Schlüsselaustausch 314, ein Sicherheitsschlüsselaustausch 316 und ein mittlerer Schlüsselaustausch 318. Die Anzahl von Schlüsselaustauschvorgängen wird entsprechend der Anzahl von Sätzen von Cipher-Suites ermittelt, die während der Phase eins des Protokolls durch den Client 302 abgesendet wird. Die ausgetauschten Schlüssel stimmen für den Server und den Client überein.
  • Bei Ausführungsformen der vorliegenden Erfindung kann der Client 302 optional eine Client-Zertifikatsüberprüfungsnachricht 320 bereitstellen.
  • Die Client-Zertifikatsnachricht 312, die Schlüsselaustauschvorgänge 314, 316, 318 und die Client-Zertifikatsüberprüfungsnachricht 320 können eine dritte Phase des Protokolls aufweisen.
  • Der Client 302 kann eine anfängliche Auswahl-Cipher-Suite zur Verschlüsselung mithilfe einer Ändere-Verschlüsselung-Protokollnachricht 322 auswählen. Die anfängliche Auswahl-Cipher-Suite kann durch den Client 302 entsprechend der Sicherheitsstufe eines ersten Abschnitts von Daten ausgewählt werden, der an den Server 304 zu übertragen ist.
  • Der Server 304 initialisiert die ausgewählte Cipher-Suite und mithilfe einer Ändere-Verschlüsselung-Protokollnachricht 324, um den Client 302 zu benachrichtigen, dass der Server 304 bereit ist, Daten zu empfangen, die mit der anfänglichen Auswahl-Cipher-Suite verschlüsselt sind.
  • Bei Ausführungsformen der vorliegenden Erfindung kann es sich bei den Ändere-Verschlüsselung-Protokollnachrichten 322 und 324 um eine vierte Phase des Protokolls handeln. Sowohl der Client 302 als auch der Server 304 können darüber hinaus nach Abschluss ihres eigenen Abschnitts des Ändere-Verschlüsselung-Protokolls eine „Finished“-Nachricht bereitstellen. Während dieser vierten Phase kann das Handshake-Protokoll abgeschlossen werden.
  • Anschließend können der Client 302 und der Server 304 die verschlüsselte Verbindung für eine Datenübertragung 326 mithilfe der ausgewählten Cipher-Suite verwenden. Bei Ausführungsformen können sowohl der Client 302 als auch der Server 304 die Verschlüsselung der Sitzung durch Absenden eines Ändere-Verschlüsselung-Protokolls und einer der während des Handshakes vereinbarten Auswahl-Cipher-Suites ändern.
  • Bei Ausführungsformen der vorliegenden Erfindung kann die Sitzungsverbindung, nachdem sie hergestellt ist, bidirektional sein. Sowohl der Server 304 als auch der Client 302 können Daten aneinander senden, und beide können Daten gleichzeitig senden und empfangen. Wenn sie als Sender fungieren, können beide unabhängig ein Ändere-Verschlüsselung-Protokoll ausführen und eine der vereinbarten Verschlüsselungen für die zu übertragenden Daten auswählen. Auf diese Weise können in einem Kanal zwei verschiedene Verschlüsselungen vorhanden sein, eine in der Server-Client-Verbindung und eine in der Client-Server-Verbindung.
  • Im Anschluss an die Datenübertragung 326 können der Client 302 und der Server 304 an einem weiteren Ändere-Verschlüsselung-Protokoll 328 teilnehmen und weitere Datenübertragungen wie zum Beispiel eine Datenübertragung 330 mit einem weiteren der Auswahl-Verschlüsselungsprotokolle verschlüsseln. Beispielsweise kann der Client 302 zwei Sätze von Verschlüsselungsprotokollen mit der „Hello“-Nachricht 306 des Clients an den Server absenden. Der Client 302 kann einen Satz mit Cipher-Suites Q, R und S und einen weiteren Satz mit Suites X, Y und Z absenden. Der Server 304 kann die Suites Q und X als Auswahl-Cipher-Suites entsprechend den Einstellungen des Clients 302 und der eigenen Konfiguration des Servers 304 auswählen. Mithilfe der Ändere-Verschlüsselung-Protokollnachricht 322 kann der Client 302 die Suite Q als aktuellen Verschlüsselungsalgorithmus für die Sitzung einrichten. Anschließend können Daten in den Datenübertragungen 326 mithilfe der Cipher-Suite Q verschlüsselt und entschlüsselt werden. Mithilfe des Verschlüsselungsänderungsprotokolls 328 kann entweder der Client 302 oder der Server 304 anschließend den aktuellen Verschlüsselungsalgorithmus in eine weitere der vereinbarten Auswahl-Cipher-Suites, in diesem Beispiel die Suite X, ändern. Anschließend können Daten in der Datenübertragung 330 mithilfe der Cipher-Suite X verschlüsselt und entschlüsselt werden. Bei Ausführungsformen kann der Server 304 oder eine Empfangseinheit Daten aus der Übertragung 326 in einem Puffer von anstehenden Lesevorgängen aufweisen, wenn die Ändere-Verschlüsselung-Protokollnachricht 328 empfangen wird. Der Server 304 kann das Lesen der Daten aus der Datenübertragung 326 mithilfe der Suite Q abschließen, bevor die Initialisierung der Suite X in Reaktion auf die Ändere-Verschlüsselung-Protokollnachricht 328 abgeschlossen ist.
  • Unter Bezugnahme auf 4A wird ein Ablaufplan eines beispielhaften Prozesses 400 für eine Client-seitige Einheit zum Initiieren einer verschlüsselten Verbindung gemäß Ausführungsformen der vorliegenden Erfindung dargestellt.
  • In Vorgang 404 initiiert der Client oder eine sonstige Übertragungseinheit den Handshake durch Senden eines anfänglichen Datenpakets. Das anfängliche Datenpaket kann eine „Hello“-Nachricht des Clients und zwei oder mehr Sätze von Cipher-Suites enthalten, die der Client zur Verwendung während der Sitzung vorschlägt.
  • In Vorgang 412 empfängt der Client ein Server-Datenpaket von dem Server oder einer sonstigen Empfangseinheit. Das Server-Datenpaket kann die Auswahl-Cipher-Suites des Servers aus jedem Satz von Cipher-Suites enthalten, die in Vorgang 404 durch den Client vorgeschlagen worden sind.
  • In Vorgang 414 kann der Client ein Zertifikat an den Server senden, zum Beispiel, wenn der Server das Client-Zertifikat anfordert. In Vorgang 416 überträgt der Client einen Client-Schlüsselaustausch für jede Auswahl-Cipher-Suite. In Vorgang 418 kann der Client eine Client-Zertifikatsüberprüfung übertragen, zum Beispiel, wenn der Server das Client-Zertifikat angefordert hat. In Vorgang 420 überträgt der Client eine anfängliche Cipher-Suite zum Verschlüsseln der Verbindung und ein Ändere-Verschlüsselung-Protokoll zum Festlegen der anfänglichen Cipher-Suite. In Vorgang 426 empfängt der Client eine Bestätigung, dass der Server die Server-Seite des Verschlüsselungsänderungsprotokolls abgeschlossen und die anfängliche Cipher-Suite festgelegt hat.
  • Unter Bezugnahme auf 4B wird ein Ablaufplan eines beispielhaften Prozesses 401 für eine Server-seitige Einheit zum Initiieren einer verschlüsselten Verbindung gemäß Ausführungsformen der vorliegenden Erfindung dargestellt. Es versteht sich, dass die dargestellte Gestaltung der Prozesse 400 und 401, die von einem Client zu einem Server gerichtet sind, nichtbeschränkend sein soll, da sonstige mögliche Gestaltungen/Konfigurationen möglich sind, darunter so, dass der Prozess 400 durch einen Server initiiert wird und der Prozess 401 durch einen Client ausgeführt wird, ohne darauf beschränkt zu sein.
  • In Vorgang 406 empfängt der Server das anfängliche Datenpaket des Clients. Das anfängliche Datenpaket kann zahlreiche Cipher-Suites enthalten, die zum Beispiel entsprechend variierenden Sicherheitgraden, die durch jede Suite bereitgestellt werden, in Sätze unterteilt sind.
  • In Vorgang 408 wählt der Server aus den in jedem Satz bereitgestellten Cipher-Suites eine Cipher-Suite aus jedem Satz aus, die der Server unterstützen kann. Bei Ausführungsformen kann sich der Server auf eine Konfigurationsdatei, z.B. die eigene Konfigurationsdatei des Servers, im Hinblick auf Parameter beziehen, um zu ermitteln, welche der Cipher-Suites aus einem bestimmten Satz der Server unterstützen kann. Bei Ausführungsformen der vorliegenden Erfindung können in den empfangenen Sätzen die enthaltenen Cipher-Suites in der Reihenfolge der Einstellungen des Clients enthalten sein, und der Server kann die erste Suite in jedem Satz auswählen, die er als kompatibel erkennt.
  • Bei Ausführungsformen der vorliegenden Erfindung kann der Server weniger Auswahl-Cipher-Suites auswählen, als Sätze durch den Client abgesendet werden. Beispielsweise kann ein Client zwei Sätze von Cipher-Suites absenden, aber der Server findet möglicherweise in einem der Sätze keine kompatible Suite. Unter solchen Umständen kann der Server nur eine Auswahl-Cipher-Suite zurückgeben.
  • In Vorgang 410 überträgt der Server die Auswahl-Cipher-Suites, die Cipher-Suite aus jedem Satz, die der Server zur Verwendung während der Sitzung, die initiiert wird, ausgewählt hat, an den Client oder an eine sonstige Übertragungseinheit. Bei Ausführungsformen kann der Server darüber hinaus eine Client-Zertifikatsanforderung und/oder den Server-Schlüsselaustausch für die Auswahl-Cipher-Suites übertragen.
  • In Vorgang 422 empfängt der Server ein Verschlüsselungsänderungsprotokoll von dem Client zusammen mit einer ersten Verschlüsselung. Die erste Verschlüsselung kann durch den Client oder eine sonstige Übertragungseinheit entsprechend einem gewünschten Sicherheitsgrad für Daten ausgewählt werden, die an den Server zu übertragen sind. Der Server initialisiert die erste Cipher-Suite in Reaktion auf das Verschlüsselungsänderungsprotokoll. Der Server kann darüber hinaus das Client-Zertifikat empfangen, zum Beispiel wenn der Server es angefordert hat, mit oder ohne die Client-Zertifikatsüberprüfung und den Client-seitigen Schlüsselaustausch.
  • In Vorgang 424 überträgt der Server eine Verschlüsselungsänderungs-Protokollnachricht an den Client, um anzugeben, dass der Server seinen Abschnitt des Protokolls abgeschlossen hat und die erste Cipher-Suite initialisiert hat. Bei Ausführungsformen der vorliegenden Erfindung kann entweder der Client oder der Server während der gesamten Sitzung weitere Verschlüsselungsänderungsprotokolle initiieren, um die Sicherheit der Verschlüsselung entsprechend einem notwendigen oder gewünschten Sicherheitsgrad der zu übertragenden Daten und des Weiteren entsprechend einer Berücksichtigung einer Energieeinsparung, z.B. der Batterielebensdauer, anzupassen.
  • Unter Bezugnahme auf 5 wird ein Übersichts-Blockschaubild eines beispielhaften Computersystems (d.h., eines Computers) 500, das beim Implementieren eines oder mehrerer der Verfahren oder Module und jeglicher damit in Zusammenhang stehender Funktionen oder Vorgänge verwendet werden kann, die hierin beschrieben werden, (z.B. mithilfe einer oder mehrerer Prozessorschaltungen oder Computerprozessoren des Computers) gemäß Ausführungsformen der vorliegenden Erfindung dargestellt. Bei einigen Ausführungsformen der vorliegenden Erfindung können die Hauptkomponenten des Computersystems 500 einen oder mehrere Prozessoren oder CPUs 502, ein Speicherteilsystem 504, eine Anschlussschnittstelle 512, eine E/A(Eingabe-/Ausgabe)-Einheitenschnittstelle 514, eine Speicherschnittstelle 516 und eine Netzwerkschnittstelle 518 aufweisen, die sämtlich zur Datenübertragung direkt oder indirekt für eine Datenübertragung zwischen Komponenten über einen Speicherbus 503, einen E/A-Bus 508 und eine E/A-Busschnittstelleneinheit 510 verbunden sein können.
  • Das Computersystem 500 kann eine oder mehrere programmierbare Universal-Zentraleinheiten (central processing units, CPUs) 502A, 502B, 502C und 502D enthalten, die hierin allgemein als CPU 502 bezeichnet werden. Bei einigen Ausführungsformen der vorliegenden Erfindung kann das Computersystem 500 mehrere Prozessoren enthalten, die für ein relativ großes System typisch sind; bei sonstigen Ausführungsformen der vorliegenden Erfindung kann es sich bei dem Computersystem 500 jedoch alternativ um ein Einzel-CPU-System handeln. Jede CPU 502 kann in dem Speicherteilsystem 504 gespeicherte Anweisungen ausführen und kann eine oder mehrere integrierte Cache-Ebenen aufweisen.
  • Bei einigen Ausführungsformen der vorliegenden Erfindung kann das Speicherteilsystem 504 einen Halbleiter-Direktzugriffsspeicher, eine Speichereinheit oder ein Speichermedium (entweder volatil oder nichtvolatil) zum Speichern von Daten und Programmen aufweisen. Bei einigen Ausführungsformen der vorliegenden Erfindung kann das Speicherteilsystem 504 den gesamten virtuellen Speicher des Computersystems 500 darstellen und kann darüber hinaus den virtuellen Speicher sonstiger Computersysteme enthalten, die mit dem Computersystem 500 verbunden oder über ein Netzwerk verbunden sind. Bei dem Speicherteilsystem 504 kann es sich konzeptionell um eine einzelne monolithische Entität handeln, bei einigen Ausführungsformen der vorliegenden Erfindung kann das Speicherteilsystem 504 jedoch eine komplexere Anordnung wie zum Beispiel eine Hierarchie von Caches und sonstigen Speichereinheiten sein. Beispielsweise kann der Speicher auf mehreren Cache-Ebenen vorhanden sein, und diese Caches können nach Funktion weiter unterteilt sein, so dass ein Cache Anweisungen speichert, wohingegen ein weiterer andere Daten als Anweisungen speichert, die durch den Prozessor oder die Prozessoren verwendet werden. Der Speicher kann des Weiteren verteilt und verschiedenen CPUs oder Sätzen von CPUs zugehörig sein, wie es von verschiedenen sogenannten Computerarchitekturen mit nicht einheitlichem Speicherzugriff (non-uniform memory access, NUMA) bekannt ist. Bei einigen Ausführungsformen der vorliegenden Erfindung kann der Hauptspeicher oder das Speicherteilsystem 504 Elemente für die Steuerung und den Fluss eines Speichers enthalten, die durch die CPU 502 verwendet werden. Dazu kann eine Speichersteuereinheit 505 zählen. Der Speicher 504 kann mehrere Sätze von Cipher-Suites enthalten. In diesem beispielhaften System werden ein Satz von Durchsatz-Cipher-Suites 520A und ein Satz von sicheren Cipher-Suites 520B dargestellt. Bei Ausführungsformen können sonstige Sätze von Cipher-Suites gespeichert werden, z.B. ein Satz von Cipher-Suites mittlerer Sicherheit oder von Cipher-Suites, die neben der Sicherheit entsprechend sonstigen Kriterien organisiert sind.
  • Wenngleich der Speicherbus 503 in 5 als einzelne Busstruktur dargestellt wird, die einen direkten Datenübertragungsweg zwischen den CPUs 502, dem Speicherteilsystem 504 und der E/A-Busschnittstelle 510 bereitstellt, kann der Speicherbus 503 bei einigen Ausführungsformen der vorliegenden Erfindung mehrere verschiedene Busse oder Datenübertragungswege aufweisen, die in einer beliebigen von verschiedenen Formen angeordnet sein können, zum Beispiel als Punkt-zu-Punkt-Verbindungen in hierarchischen, Stern- oder Netzkonfigurationen, als mehrere hierarchische Busse, parallele und redundante Wege oder als beliebiger sonstiger geeigneter Konfigurationstyp. Wenngleich des Weiteren die E/A-Busschnittstelle 510 und der E/A-Bus 508 jeweils als einzelne Einheiten dargestellt werden, kann das Computersystem 500 bei einigen Ausführungsformen der vorliegenden Erfindung mehrere E/A-Busschnittstellen-Einheiten 510, mehrere E/A-Busse 508 oder beides enthalten. Wenngleich des Weiteren mehrere E/A-Schnittstelleneinheiten dargestellt werden, die den E/A-Bus 508 von verschiedenen Datenübertragungswegen trennen, die zu den verschiedenen E/A-Einheiten führen, können bei sonstigen Ausführungsformen der vorliegenden Erfindung einige oder sämtliche der E/A-Einheiten direkt mit einem oder mehreren System-E/A-Bussen verbunden sein.
  • Bei einigen Ausführungsformen der vorliegenden Erfindung kann es sich bei dem Computersystem 500 um ein Mehrbenutzer-Großrechner-Computersystem, ein Einzelbenutzersystem oder einen Server-Computer oder eine ähnliche Einheit handeln, die wenige oder keine direkten Benutzerschnittstellen aufweist, sondern Anforderungen von sonstigen Computersystemen (Clients) empfängt. Bei einigen Ausführungsformen der vorliegenden Erfindung kann das Computersystem 500 des Weiteren als Desktop-Computer, tragbarer Computer, Laptop- oder Notebook-Computer, Tablet-Computer, Pocket-Computer, Telefon, Smartphone, mobile Einheit oder als beliebiger sonstiger geeigneter Typ einer elektronischen Einheit implementiert sein.
  • Es ist zu beachten, dass 5 die repräsentativen Hauptkomponenten eines beispielhaften Computersystems 500 darstellen soll. Bei einigen Ausführungsformen der vorliegenden Erfindung können die einzelnen Komponenten jedoch eine größere oder geringere Komplexität aufweisen, als in 5 dargestellt, können andere Komponenten als die in 5 dargestellten oder zusätzliche zu diesen vorhanden sein und können die Anzahl, der Typ und die Konfiguration solcher Komponenten variieren.
  • Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt mit einem beliebigen Integrationsgrad technischer Details handeln. Das Computerprogrammprodukt kann (ein) durch einen Computer lesbare(s) Speichermedium (oder -medien) umfassen, auf dem/denen durch einen Computer lesbare Programmanweisungen gespeichert ist/sind, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.
  • Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch ein System zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein tragbarer Kompaktspeicherplatte-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch kodierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. durch ein Glasfaserkabel geleitete Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
  • Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten, Konfigurationsdaten für integrierte Schaltungen oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, im Feld programmierbare Gatter-Anordnungen (FPGA, field programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
  • Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaltbilder bzw. Schaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaltbildern bzw. Schaubildern mittels durch einen Computer lesbare Programmanweisungen ausgeführt werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt aufweist, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaltbilder bzw. Schaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und die Blockschaltbilder bzw. Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Ablaufplänen oder Blockschaltbildern bzw. Schaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) aufweisen. In einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner anzumerken, dass jeder Block der Blockschaltbilder bzw. Schaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaltbildern bzw. Schaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.
  • Die Beschreibungen der verschiedenen Ausführungsformen der vorliegenden Erfindung erfolgten zur Veranschaulichung, sind jedoch nicht erschöpfend oder auf die offenbarten Ausführungsformen der vorliegenden Erfindung beschränkt gemeint. Zahlreiche Modifizierungen und Varianten sind für Fachleute ersichtlich, ohne vom Umfang der beschriebenen Ausführungsformen der vorliegenden Erfindung abzuweichen. Die hierin verwendete Terminologie wurde gewählt, um die Grundgedanken der Erfindung, die praktische Anwendung oder die technische Verbesserung gegenüber auf dem Markt erhältlichen Technologien zu erläutern oder um anderen Fachleuten zu ermöglichen, die hierin offenbarten Ausführungsformen der vorliegenden Erfindung zu verstehen.

Claims (20)

  1. System zum Bereitstellen einer verschlüsselten Verbindung, das aufweist: einen Speicher, der zwei oder mehr Sätze von Cipher-Suites enthält; und einen Prozessor, der Daten mit dem Speicher austauscht, wobei das Computersystem dazu ausgebildet ist, ein Verfahren durchzuführen, wobei das Verfahren aufweist: Senden zumindest zweier Sätze von Cipher-Suites während eines Handshakes an einen Server; Empfangen einer Auswahl-Cipher-Suite für jeden Satz der zumindest zwei Sätze von Cipher-Suites von dem Server; Auswählen einer ersten Auswahl-Cipher-Suite; und Herstellen einer Verbindung mit dem Server mithilfe der ersten Auswahl-Cipher-Suite zum Verschlüsseln der Verbindung.
  2. System nach Anspruch 1, wobei jede der zumindest zwei Cipher-Suites einen anderen Grad an Datensicherheit bereitstellt.
  3. System nach Anspruch 2, wobei es sich bei zumindest einer der zumindest zwei Cipher-Suites um eine sichere Verschlüsselung handelt.
  4. System nach Anspruch 1, wobei das Verfahren des Weiteren ein Durchführen eines Client-Schlüsselaustauschs aufweist.
  5. System nach Anspruch 1, wobei das Empfangen einer Auswahl-Cipher-Suite von dem Server einen Server-Schlüsselaustausch enthält.
  6. Verfahren zum Herstellen einer verschlüsselten Verbindung, das aufweist: Senden zumindest zweier Sätze von Cipher-Suites während eines Handshakes an einen Server; Empfangen einer Auswahl-Cipher-Suite für jeden Satz der zumindest zwei Sätze von Cipher-Suites von dem Server; Auswählen einer ersten Auswahl-Cipher-Suite; und Herstellen einer Verbindung mit dem Server mithilfe der ersten Auswahl-Cipher-Suite zum Verschlüsseln der Verbindung.
  7. Verfahren nach Anspruch 6, wobei das Herstellen einer Verbindung mit dem Server einen Schlüsselaustausch und ein Ändere-Verschlüsselung-Protokoll mithilfe der ersten Auswahl-Cipher-Suite aufweist.
  8. Verfahren nach Anspruch 6, das des Weiteren aufweist: Auswählen einer zweiten Auswahl-Cipher-Suite; Initiieren eines Ändere-Verschlüsselung-Protokolls mit dem Server mit der zweiten Auswahl-Cipher-Suite; Empfangen eines Hinweises von dem Server, dass das Ändere-Verschlüsselung-Protokoll abgeschlossen ist; und Übertragen von Daten, die mithilfe der zweiten Auswahl-Cipher-Suite verschlüsselt worden sind, in Reaktion auf das Empfangen des Hinweises, dass das Ändere-Verschlüsselung-Protokoll abgeschlossen ist.
  9. Verfahren nach Anspruch 6, das des Weiteren aufweist: Empfangen eines Ändere-Verschlüsselung-Protokolls und einer zweiten Auswahl-Cipher-Suite von dem Server; Übertragen eines Hinweises an den Server, dass das Ändere-Verschlüsselung-Protokoll abgeschlossen ist; Empfangen von Daten, die mit der zweiten Auswahl-Cipher-Suite verschlüsselt worden sind, von dem Server; und Entschlüsseln der empfangenen Daten mithilfe der zweiten Auswahl-Cipher-Suite.
  10. Verfahren nach Anspruch 6, wobei jeder der zumindest zwei Sätze von Cipher-Suites einen anderen Grad an Datensicherheit bereitstellt.
  11. Verfahren nach Anspruch 10, das des Weiteren ein Übertragen von Daten mithilfe der ersten Auswahl-Cipher-Suite an den Server aufweist, wobei die erste Auswahl-Cipher-Suite entsprechend einem Sicherheitsgrad ausgewählt wird, der den übertragenen Daten zugehörig ist.
  12. Verfahren nach Anspruch 6, das des Weiteren ein Senden eines Client-Zertifikats aufweist.
  13. Verfahren zum Herstellen einer verschlüsselten Verbindung, das aufweist: Empfangen zumindest zweier Sätze von Cipher-Suites während eines Handshakes von einem Client; Auswählen einer Auswahl-Cipher-Suite für jeden Satz der zumindest zwei Sätze von Cipher-Suites; Übertragen der Auswahl-Cipher-Suites an den Client; und Herstellen einer Verbindung mit dem Client mithilfe einer ersten Auswahl-Cipher-Suite zum Verschlüsseln der Verbindung.
  14. Verfahren nach Anspruch 13, wobei das Herstellen einer Verbindung mit dem Client eine Schlüsseländerung und ein Ändere-Verschlüsselung-Protokoll mithilfe der ersten Auswahl-Cipher-Suite aufweist.
  15. Verfahren nach Anspruch 13, das des Weiteren aufweist: Empfangen einer zweiten Cipher-Suite mithilfe eines Ändere-Verschlüsselung-Protokolls von dem Client; Initialisieren der zweiten Cipher-Suite; Senden eines Hinweises an den Client, dass das Ändere-Verschlüsselung-Protokoll abgeschlossen ist; und Verschlüsseln der Verbindung mithilfe der zweiten Auswahl-Cipher-Suite.
  16. Verfahren nach Anspruch 13, das des Weiteren aufweist: Übertragen eines Ändere-Verschlüsselung-Protokolls und einer zweiten Cipher-Suite an den Client; Empfangen eines Hinweises von dem Client, dass das Ändere-Verschlüsselung-Protokoll abgeschlossen ist; Verschlüsseln eines Datensatzes mithilfe der zweiten Auswahl-Cipher-Suite; Übertragen des mit der zweiten Auswahl-Cipher-Suite verschlüsselten Datensatzes an den Client.
  17. Verfahren nach Anspruch 13, wobei jede der Auswahl-Cipher-Suites entsprechend einer Konfigurationsdatei ausgewählt wird.
  18. Verfahren nach Anspruch 17, wobei die Konfigurationsdatei kompatible Cipher-Suites angibt.
  19. Verfahren nach Anspruch 13, wobei jeder der zumindest zwei Sätze von Cipher-Suites einen anderen Grad an Datensicherheit bereitstellt.
  20. Verfahren nach Anspruch 19, das des Weiteren ein Übertragen von Daten mithilfe der ersten Auswahl-Cipher-Suite an den Server aufweist, wobei die erste Auswahl-Cipher-Suite entsprechend einem Sicherheitsgrad ausgewählt wird, der den übertragenen Daten zugehörig ist.
DE112018004266.9T 2017-11-03 2018-09-26 Ändern von verschlüsselung und schlüssel innerhalb einer bestehenden sitzung Pending DE112018004266T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/802,632 US10764328B2 (en) 2017-11-03 2017-11-03 Altering cipher and key within an established session
US15/802,632 2017-11-03
PCT/IB2018/057436 WO2019086973A1 (en) 2017-11-03 2018-09-26 Altering cipher and key within an established session

Publications (1)

Publication Number Publication Date
DE112018004266T5 true DE112018004266T5 (de) 2020-05-07

Family

ID=66328985

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018004266.9T Pending DE112018004266T5 (de) 2017-11-03 2018-09-26 Ändern von verschlüsselung und schlüssel innerhalb einer bestehenden sitzung

Country Status (6)

Country Link
US (1) US10764328B2 (de)
JP (1) JP7232827B2 (de)
CN (1) CN111264052B (de)
DE (1) DE112018004266T5 (de)
GB (1) GB2581096B (de)
WO (1) WO2019086973A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020011356A1 (en) * 2018-07-12 2020-01-16 Telefonaktiebolaget Lm Ericsson (Publ) Security information exchange between a client and a server
DE102020001199A1 (de) * 2020-02-25 2021-08-26 Daimler Ag Kommunikationsvorrichtung und Verfahren zur kryptografischen Absicherung der Kommunikation
CN112217833B (zh) * 2020-10-21 2022-03-25 新华三信息安全技术有限公司 一种安全套接字协议卸载方法、装置、存储介质及电子设备
US11757840B2 (en) * 2021-09-12 2023-09-12 Netflow, UAB Configuring a protocol in a virtual private network

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7853781B2 (en) * 2001-07-06 2010-12-14 Juniper Networks, Inc. Load balancing secure sockets layer accelerator
JP2003179595A (ja) * 2001-12-13 2003-06-27 Celestar Lexico-Sciences Inc 暗号化通信方法、暗号化通信システム、暗号化通信を行うコンピュータ、記憶媒体及びプログラム
JP2006191207A (ja) * 2004-12-28 2006-07-20 Matsushita Electric Works Ltd 通信装置
CN101567784B (zh) * 2008-04-21 2016-03-30 华为数字技术(成都)有限公司 一种获取密钥的方法、系统和设备
US20100042841A1 (en) 2008-08-15 2010-02-18 Neal King Updating and Distributing Encryption Keys
US8769257B2 (en) 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
JP5267169B2 (ja) * 2009-02-02 2013-08-21 富士通株式会社 ゲートウェイ、情報処理方法、プログラム及びデータ暗号化端末
US8914631B2 (en) 2009-07-01 2014-12-16 Oracle International Corporation Performing secure and non-secure communication over the same socket
CN102510387B (zh) * 2011-12-29 2014-06-04 西安西电捷通无线网络通信股份有限公司 一种安全传输层协议tls握手方法和装置及ttp
US9176838B2 (en) * 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US9992017B2 (en) 2013-06-28 2018-06-05 Telefonaktiebolaget L M Ericsson (Publ) Encrypting and storing data
EP2846509B1 (de) * 2013-09-09 2019-08-28 Alcatel Lucent Tls-protokollerweiterung
JP2015130549A (ja) * 2014-01-06 2015-07-16 株式会社日立製作所 消費エネルギーを計測するメータと、消費エネルギーを管理する管理システムと、を含むシステム。
JP2016029787A (ja) * 2014-07-16 2016-03-03 キヤノン株式会社 情報処理装置、暗号化通信方法、およびプログラム
US9749305B1 (en) 2014-08-28 2017-08-29 Amazon Technologies, Inc. Malicious client detection based on usage of negotiable protocols
CN104735058B (zh) 2015-03-04 2018-03-16 深信服网络科技(深圳)有限公司 一种基于安全协议ssl的加密方法及系统
CN105610783B (zh) 2015-11-05 2018-11-30 珠海格力电器股份有限公司 一种数据传输方法及物联网系统
US10630654B2 (en) * 2017-03-22 2020-04-21 Microsoft Technology Licensing, Llc Hardware-accelerated secure communication management
CN107302428B (zh) 2017-05-26 2020-06-30 北京中电普华信息技术有限公司 一种配电网中数据传送业务的密码算法的协商方法

Also Published As

Publication number Publication date
GB202006226D0 (en) 2020-06-10
JP2021502014A (ja) 2021-01-21
GB2581096B (en) 2022-06-22
CN111264052B (zh) 2022-08-16
JP7232827B2 (ja) 2023-03-03
GB2581096A (en) 2020-08-05
CN111264052A (zh) 2020-06-09
US20190141078A1 (en) 2019-05-09
US10764328B2 (en) 2020-09-01
WO2019086973A1 (en) 2019-05-09

Similar Documents

Publication Publication Date Title
DE112018004266T5 (de) Ändern von verschlüsselung und schlüssel innerhalb einer bestehenden sitzung
EP3125492B1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
DE112020004289T5 (de) Einrichten einer sicherheitszuordnung und einer berechtigungsprüfung zum sichern einer datenübertragung zwischen einem initiator und einem antwortenden
DE60024696T2 (de) System und Verfahren zur Manipulation eines Rechnersbestandes und/oder eines Programms
DE112020004286T5 (de) Einrichten einer sicherheitszuordnung und einer berechtigungsprüfung zum sichern einer datenübertragung zwischen einem initiator und einem antwortenden
EP1308017B1 (de) Verfahren zur schlüsselvereinbarung für eine kryptographisch gesicherte punkt-zu-multipunkt verbindung
DE60201854T2 (de) Verhandlung von sicheren Verbindungen durch einen Proxy-Server
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE112012003056T5 (de) Virtueller Computer und virtueller Dienst
DE112020005620T5 (de) Sichere föderation verteilter stochastischer gradientenabstiege
DE102021109950A1 (de) Systeme und verfahren zur berechnung von validierungsverlusten für modelle im dezentralen maschinenlernen
DE102015003235A1 (de) Verfahren und System zum Bereitstellen von Kommunikationskanälen, welche verschiedene sichere Kommunikationsprotokolle verwenden
DE112021006229T5 (de) Hybride schlüsselableitung zum sichern von daten
DE112021004770T5 (de) Ultraschallübertragung von aufgeteilten schlüsseln für verbesserte sicherheit
DE112021006008T5 (de) Sichere übertragung grosser datenmengen
DE112022000280T5 (de) Identitätsautorität
DE102017210721A1 (de) Verfahren und Kommunikationssystem zum effizienten Aufbau einer sicheren Datenverbindung zwischen einem Client-Rechner und einem Server-Rechner
DE112016000163T5 (de) Sicherer Stream-Puffer an einem Netzwerkspeicher (NAS - Network Attached Storage)
DE102020213017A1 (de) Verfahren zum Bereitstellen eines Zustandskanals
EP3785416B1 (de) Verfahren zur anbindung eines endgerätes in eine vernetzbare rechner-infrastruktur
DE202020005751U1 (de) Verwalten von Benutzeridentitäten in einem verwalteten Multi-Tenant-Dienst
DE112022000963T5 (de) Verbindungsbeständige mehrfaktorauthentifizierung
US11610005B2 (en) Cryptographic object management across multiple remote sites
WO2015185507A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029060000

Ipc: H04L0009140000

R083 Amendment of/additions to inventor(s)
R016 Response to examination communication