DE60026838T2 - Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy - Google Patents

Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy Download PDF

Info

Publication number
DE60026838T2
DE60026838T2 DE60026838T DE60026838T DE60026838T2 DE 60026838 T2 DE60026838 T2 DE 60026838T2 DE 60026838 T DE60026838 T DE 60026838T DE 60026838 T DE60026838 T DE 60026838T DE 60026838 T2 DE60026838 T2 DE 60026838T2
Authority
DE
Germany
Prior art keywords
client
server
proxy server
session
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60026838T
Other languages
English (en)
Other versions
DE60026838D1 (de
Inventor
Alexander Thomas Austin BELLWOOD
Christian Austin LITA
Francis Matthew Pflugerville RUTKOWSKI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE60026838D1 publication Critical patent/DE60026838D1/de
Application granted granted Critical
Publication of DE60026838T2 publication Critical patent/DE60026838T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Systems (AREA)
  • Multi Processors (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Solid-Sorbent Or Filter-Aiding Compositions (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

  • DER ERFINDUNG ZUGRUNDE LIEGENDER ALLGEMEINER STAND DER TECHNIK
  • Bereich der Technik
  • Die vorliegende Erfindung betrifft allgemein Netzwerksicherheitsprotokolle und insbesondere ein Verfahren, das dazu dient, die Vertraulichkeit einer sicheren Sitzung zwischen einem Client und einem oder mehreren Ursprungs-Servern auf einen zwischengeschalteten Dritten (z.B. einen Transcodierungs-Proxyserver) auszuweiten.
  • Der Erfindung zugrunde liegender allgemeiner Stand der Technik
  • Netzwerksicherheitsprotokolle wie zum Beispiel das Secure-Sockets-Layer-Protokoll (SSL) von Netscape und das Transport-Layer-Security-(TLS-)Protokoll der Internet Engineering Task Force (IETP) bieten Vertraulichkeit und Datensicherheit zwischen Anwendungen, die Daten austauschen. Beispielsweise werden diese Protokolle im Allgemeinen verwendet, um die Sicherheit von elektronischen Handelstransaktionen über das Internet zu gewährleisten.
  • In "Internet security: difficulties and solutions", International Journal of Medical Informatics, März 1998, Seiten 67 bis 74, legt M. Norifusa auf den Seiten 71 bis 73 eine Beschreibung des Protokolls "SOCKS-5" offen.
  • In letzter Zeit hat die Rechnerindustrie versucht, auch andere Einheiten als solche, die normalerweise als ein herkömmlicher Rechner betrachtet werden, um Datenverarbeitungs- und Datenübertragungsfähigkeiten zu erweitern. Diese Einheiten sind recht unterschiedlich, und zu ihnen zählen unter anderem beispielsweise persönliche digitale Assistenten (PDAs), Business Organizer (z.B. der WorkPad® von IBM® und der Palmpilot® von 3Com®), Smartphones, Mobiltelefone, andere tragbare Einheiten und dergleichen. Der Einfachheit halber werden diese Einheiten als Klasse manchmal als "Pervasive-Computing"-Clients (Clients für zeitnahe und standortunabhängige Anwendungen) bezeichnet, da es sich hierbei um Einheiten handelt, die zur Verbindung mit Servern in einem Rechnernetzwerk vorgesehen sind und ungeachtet ihres Standorts zu Datenverarbeitungszwecken genutzt werden sollen.
  • Üblicherweise unterstützen Pervasive-Computing-Clients jedoch nicht die gesamte Funktionalität eines auf Windows beruhenden HTML-Client. Folglich sind gewöhnlich Transcodierungsdienste notwendig, um Daten, die auf dem standortunabhängigen, ins weltweite Netz integrierten (pervasiven) Client dargestellt werden sollen, aus einer Quellen-Auszeichnungs-(Markup)Sprache (z.B. HTML) in einer andere Sprache (z.B. Handheld Device Markup Language (HDML)) zu übersetzen. Die Bereitstellung von Transcodierungsdiensten über eine sichere Netzwerkverbindung ist jedoch problematisch. Insbesondere besteht ein grundlegender Konflikt zwischen der Sicherheit und Transcodierungsdiensten, da herkömmliche Sicherheitsprotokolle wie SSL und TLS speziell entwickelt wurden, um zu verhindern, dass ein Dritter in die Übertragung zwischen dem Client und dem Server eingreift.
  • Die Beschränkung des Eingriffs eines Dritten in eine sichere Sitzung ist auch bei anderen Anwendungen problematisch. Wenn sich ein Client zum Beispiel hinter einer Firewall befindet, können SSL/TLS-Übertragungen an Server im externen Netzwerk nicht ohne weiteres geprüft oder in anderer Weise überwacht werden. Folglich können Datensätze oder andere kritische Informationen, möglicherweise ohne Genehmigung des Administrators, von dem Client übertragen werden. Als ein weiteres Beispiel kann ein Client, der mit einem Server über eine sichere Verbindung Daten austauscht, nicht von einem Zwischenspeicherungsmechanismus oder einem Vorababruf-Mechanismus eines Dritten profitieren, die andernfalls bei der Verringerung des Bedarfs an Netzwerkressourcen und der Verbesserung des Datenaustauschs zwischen den Einheiten nützlich wären.
  • Es wäre wünschenswert, einen Mechanismus bereitzustellen, mittels dessen ein Client ausreichend Sicherheitsinformationen an einen Proxy-Server übertragen könnte, um den Proxy-Server in die Lage zu versetzen, eine bestimmte Funktion auszuführen (z.B. im Namen des Client zu transcodieren, zu prüfen, zu überwachen, zwischenzuspeichern, vorab abzurufen, zu verschlüsseln/entschlüsseln usw.), ohne die Sicherheit des Netzwerkprotokolls zu mindern. Auch wäre es darüber hinaus wünschenswert, einem solchen Proxy-Server zu ermöglichen, während des Vorgangs der Bedienung einer Anforderung im Namen des Client Daten von einem anderen Ursprungs-Server zu sichern.
  • OFFENLEGUNG DER ERFINDUNG
  • Ein Client, der ein Netzwerksicherheitsprotokoll (z.B. SSL oder TLS) verwendet, um mit einem Ursprungs-Server Daten auszutauschen, ermöglicht einem Proxy-Server die Teilnahme an der Sitzung, ohne die Sicherheitsattribute der Sitzung zu ändern. Erfindungsgemäß wird ein Protokoll bereitgestellt, um dem Client zu ermöglichen, ein mit einem Ursprungs-Server ausgehandeltes, von Client und Server geteiltes Sitzungsgeheimnis (session master secret) entgegenzunehmen und dieses Geheimnis sicher an den Proxy-Server zu übermitteln. Der Proxy-Server verwendet dieses gemeinsame Geheimnis (master secret) zur Verschlüsselung/Entschlüsselung von Daten, die zwischen dem Client und dem Server übertragen werden. Wenn der Proxy-Server zusätzliche sichere Daten von einem zweiten Ursprungs-Server benötigt, während er eine bestimmte Anforderung des Client bedient, bittet der Proxy-Server den Client, das Protokoll zu wiederholen, um ein weiteres gemeinsames Sitzungsgeheimnis (das mit dem zweiten Ursprungs-Server ausgehandelt wird) zu erhalten, welches dann an den Proxy-Server übermittelt wird, um es beim Abruf von Daten von dem zweiten Ursprungs-Server zu verwenden.
  • Die vorliegende Erfindung ermöglicht einem bestimmten zwischengeschalteten Dritten oder einem Proxy-Server die Teilnahme an einer sicheren Sitzung zwischen einem Client und einem oder mehreren Ursprungs-Servern. Vorzugsweise nimmt der Dritte ohne ausdrückliche Kenntnis eines bestimmten Ursprungs-Servers teil. Folglich macht das Verfahren keine Änderungen am Ursprungs-Server oder an dem Quittungsprotokoll erforderlich, das bei der Aushandlung des Sitzungsgeheimnisses verwendet wird.
  • Die vorliegende Erfindung ermöglicht das gleichzeitige Vorhandensein von Sicherheits- und anderen Diensten (z.B. die Transcodierung, Zwischenspeicherung, Überwachung, Verschlüsselung/Entschlüsselung im Namen des Client und dergleichen), während Nachrichten entsprechend einem Netzwerksicherheitsprotokoll übertragen werden.
  • Die vorliegende Erfindung stellt ein Verfahren bereit, das es einem Proxy-Server ermöglicht, an einer sicheren Übertragung zwischen einem Client und einem ersten Ursprungs-Server teilzunehmen, wobei das Verfahren die folgenden Schritte umfasst: (a) Aufbauen einer ersten sicheren Sitzung zwischen dem Client und dem Proxy-Server; (b) nach der Überprüfung der ersten sicheren Sitzung Aufbauen einer zweiten sicheren Sitzung zwischen dem Client und dem Proxy-Server, wobei die zweite sichere Sitzung den Proxy-Server ersucht, die Funktion eines Kanals (conduit) zum ersten Ursprungs-Server zu übernehmen; (c) Veranlassen des Client und des ersten Ursprungs-Servers, ein gemeinsames Sitzungsgeheimnis auszuhandeln; (d) Veranlassen des Client, das gemeinsame Sitzungsgeheimnis unter Nutzung der ersten sicheren Sitzung an den Proxy-Server zu übermitteln, damit der Proxy-Server an der sicheren Übertragung teilnehmen kann; (e) als Reaktion auf eine vom Client an den ersten Ursprungs-Server gerichtete Anforderung Aufbauen einer dritten sicheren Sitzung zwischen dem Client und dem Proxy-Server, wobei die dritte sichere Sitzung den Proxy-Server ersucht, die Funktion eines Kanals zum zweiten Ursprungs-Server zu übernehmen; (f) Veranlassen des Client und des zweiten Ursprungs-Servers, ein neues gemeinsames Sitzungsgeheimnis auszuhandeln; und (g) Veranlassen des Client, das neue gemeinsame Sitzungsgeheimnis unter Nutzung der im Schritt (a) aufgebauten ersten sicheren Sitzung an den Proxy-Server zu übermitteln.
  • Die vorliegende Erfindung stellt auch ein kryptografisches System bereit, das Folgendes umfasst: einen Client; eine Gruppe von Servern; einen Proxy-Server; einen Netzwerkprotokolldienst, um dem Client und jedem Server den Datenaustausch über eine sichere Verbindung zu ermöglichen; ein Rechnerprogramm (i), um den Client so zu steuern, dass er eine erste sichere Verbindung zu dem Proxy-Server anfordert, (ii) um den Client als Reaktion auf die Bestätigung der Gültigkeit eines Zertifikats von dem Proxy-Server so zu steuern, dass er eine zweite sichere Verbindung zu dem Proxy-Server anfordert, wobei die zweite sichere Verbindung den Proxy-Server ersucht, die Funktion eines Kanals zu einem bestimmten Server zu übernehmen, (iii) um den Client so zu steuern, dass er mit dem bestimmten Server über den Kanal verhandelt, um ein gemeinsames Sitzungsgeheimnis zu erhalten; und (iv) um den Client nach dem erfolgreichen Abschluss der Verhandlung so zu steuern, dass er das gemeinsame Sitzungsgeheimnis unter Verwendung der ersten sicheren Verbindung an den Proxy-Server übermittelt; und ein Rechnerprogramm (i), um den Proxy-Server so zu steuern, dass er das gemeinsame Sitzungsgeheimnis zur Erzeugung von bestimmten kryptografischen Informationen nutzt, (ii) um den Proxy-Server so zu steuern, dass er die Anforderung stellt, dass der Client selektiv eine getrennte sichere Verbindung mit einem anderen Server herstellt, und (iii) um den Proxy-Server in einen aktiven Betriebszustand zu schalten, während dessen er an Übertragungen zwischen dem Client und dem bestimmten Server teilnehmen kann.
  • Die vorliegende Erfindung stellt des Weiteren ein Rechnerprogramm bereit, das direkt in den internen Speicher eines digitalen Rechners geladen werden kann und Teile von Software-Code umfasst, um die Schritte des vorstehend beschriebenen Verfahrens durchzuführen, wenn das Programm auf einem Rechner ausgeführt wird.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Erfindung wird nun lediglich anhand eines Beispiels und mit Bezug auf die Zeichnungen beschrieben, in denen:
  • 1 eine vereinfachte Darstellung einer bekannten Client-Server-Netzwerkumgebung ist, die ein Netzwerksicherheitsprotokoll verwendet;
  • 2 eine vereinfachte Darstellung einer Client-Server-Netzwerkumgebung ist, bei der ein zwischengeschalteter Dritter oder ein Proxy-Server an einer sicheren Sitzung teilnimmt;
  • 3 ein ausführliches Flussdiagramm des grundlegenden Tunnelverfahrens ist;
  • 4 ein vereinfachtes Blockschaltbild der vorliegenden Erfindung ist, in dem der Proxy-Server den Client ersucht, nachdem dieser anfangs die Sicherheit auf den Proxy-Server übertragen hat, eine oder mehrere zusätzliche sichere Verbindungen herzustellen, indem er über den Proxy-Server zu "n" zusätzlichen Ursprungs-Servern eine Tunnelverbindung herstellt; und
  • 5 ein Blockschaltbild einer für das Pervasive Computing ausgelegten Client-Server-Architektur ist, in der die vorliegende Erfindung eingesetzt werden kann.
  • AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • 1 stellt eine herkömmliche Client-Server-Netzwerkarchitektur nach dem Stand der Technik dar. In dieser Darstellung tauscht der Client 10 mit dem Server 12 über ein Netzwerk 14, bei dem es sich um das Internet, ein Intranet, ein Weitverkehrsnetz, ein lokales Netz oder dergleichen handeln kann, Daten aus. Der Client 10 und der Server 12 tauschen Daten unter Verwendung eines Netzwerksicherheitsprotokolls wie zum Beispiel des Secure-Socket-Layer-(SSL-)Protokolls von Netscape oder des Transport-Layer-Security-(TLS-)Protokolls der IETF aus. Allgemein gesagt, ein Client ist eine beliebige Anwendungsinstanz, die eine TLS- oder eine SSL-Übertragung zu einem Server einleitet. Ein Server ist eine beliebige Anwendungsinstanz oder ein Anwendungsprogramm, die/das Verbindungen zur Bedienung von Anforderungen annimmt, indem er/es Antworten zurücksendet. Jedes Programm kann sowohl ein Client als auch ein Server sein. Der hauptsächliche Unterschied im Betrieb zwischen dem Server und dem Client besteht darin, dass die Identität des Servers generell überprüft wird, während die Identität des Client nur optional überprüft wird. Der Server, auf dem sich eine bestimmte Ressource befindet oder erzeugt werden soll, wird in diesem Schriftstück zuweilen als Ursprungs-Server bezeichnet.
  • Der Client 10 und der Server 12 nehmen an einer sicheren Sitzung teil. Eine SSL- oder TLS-Sitzung ist eine Beziehung zwischen einem Client und einem Server, die mittels einem Quittungsprotokoll hergestellt wird. Sitzungen legen einen Satz von kryptografischen Sicherheitsparametern fest, die von mehreren Verbindungen gemeinsam benutzt werden können. Sie werden verwendet, um zu vermeiden, dass für jede Verbindung neue Sicherheitsparameter ausgehandelt werden müssen, was aufwändig ist. Bei SSL oder TLS ist eine Sitzungskennung ein von einem Server erzeugter Wert, der eine bestimmte Sitzung kennzeichnet. Um eine SSL- oder eine TLS-Sitzung aufzubauen, nehmen der Client und der Server einen Quittungsaustausch vor, der eine eingangs vorgenommene Aushandlung darstellt, bei der die Parameter einer Transaktion zwischen den Instanzen festgelegt werden. Sobald eine Sitzung aufgebaut ist, finden Übertragungen zwischen dem Client und dem Server über eine Verbindung statt, bei der es sich um eine Transportverbindung (gemäß der Definition nach dem OSI-Schichtenmodell) handelt, die eine geeignete Diensteart bereitstellt. Bei SSL und TLS sind diese Verbindungen Beziehungen unter Gleichgestellten. Die Verbindung ist vorübergehend, und jede Verbindung wird einer Sitzung zugeordnet. Datenübertragungen über die Verbindung werden üblicherweise mittels einer Verschlüsselung mit öffentlichem Schlüssel (Public-Key-Verschlüsselung) gesichert, bei der es sich um eine Klasse von Verschlüsselungsverfahren handelt, bei denen eine Verschlüsselung mit zwei Schlüsseln zur Anwendung kommt. Mit einem öffentlichen Schlüssel verschlüsselte Nachrichten können nur mit einem zugehörigen privaten Schlüssel entschlüsselt werden. Umgekehrt kann die Echtheit von Nachrichten, die mit dem privaten Schlüssel signiert wurden, mit dem öffentlichen Schlüssel geprüft werden.
  • Sobald die Sitzung aufgebaut ist, verfügt der Client über ein Zertifikat, das vom Ursprungs-Server ausgestellt wurde, um die Identität des Client gegenüber dem Ursprungs-Server nachzuweisen. Der Client ersucht den Ursprungs-Server ebenfalls zur Vorlage eines Zertifikats, so dass er die Echtheit des Ursprungs-Servers nachweisen kann. Authentifizierung bezeichnet die Fähigkeit einer Instanz, die Identität einer anderen Instanz festzustellen. Als Teil des X.509-Protokolls (auch als ISO Authentication Framework bekannt) werden Zertifikate üblicherweise von einer vertrauenswürdigen Zertifizierungsstelle zugewiesen und sehen eine starke Bindung zwischen der Identität (oder einem anderen Attribut) eines Teilnehmers und dessen öffentlichem Schlüssel vor.
  • Die vorstehend beschriebene Funktionalität ist in der Technik bekannt. Die Funktionalität ist zum Beispiel in Protokollen realisiert, die der TLS-Version 1.0 und der SSL-Version 2.0/3.0 der IETF entsprechen. Diese einander sehr ähnlichen Protokolle bestehen aus zwei Schichten: dem Datensatz-Protokoll (record protocol), das ausschließlich die Ver- und Entschlüsselung der übertragenen Daten durchführt, und dem Quittungs-(Handshake-)Protokoll. Wie ersichtlich sein wird, nutzt die vorliegende Erfindung vorteilhaft ein Verfahren, das dazu dient, diese Arten von Sicherheitsprotokollen zu erweitern, um die Vertraulichkeit einer Sitzung auf einen zwischengeschalteten Dritten oder einen Proxy-Server auszuweiten. Vorzugsweise wird die Erfindung zusammen mit einem Quittungsprotokoll zwischen einem Client und einem Proxy-Server realisiert, das auf einer sicheren Sitzung aufsetzt, wie zu sehen sein wird. Diese Erweiterung ändert nicht die grundlegenden Eigenschaften der sicheren Verbindung auf der Schicht des Datensatz-Protokolls. Obgleich das Verfahren im Zusammenhang mit TLS und SSL beschrieben wird, stellt dies keine Einschränkung der vorliegenden Erfindung dar.
  • Nun Bezug nehmend auf 2 ermöglicht das grundlegende Verfahren einem Client 10', der SSL oder TLS als Sicherheitsprotokoll verwendet, Daten mit einem oder mehreren Ursprungs-Servern 12' a bis n auszutauschen, um einem Proxy-Server 15 die Teilnahme an der Sitzung zu gestatten, ohne die Sicherheitsattribute der Sitzung zu ändern. Wie vorstehend erwähnt wurde, ist dieses Verfahren von der Verschlüsselungsstärke oder den Schritten, die vom Client 10' und einem bestimmten Ursprungs-Server 12' zur gegenseitigen Identitätsprüfung durchgeführt werden, unabhängig. Die vorliegende Erfindung weist dieselben Vorteile wie TLS/SSL auf, da sie das Protokoll erweitert, gleichzeitig aber dennoch die Möglichkeit bietet, Protokolle einer höheren Ebene darauf aufzusetzen. Zu solchen Protokollen einer höheren Ebene gehören zum Beispiel Anwendungsprotokolle (z.B. HTTP, TELNET, FTP und SMTP), die normalerweise direkt auf der Transportschicht (z.B. der TCP/IP-Schicht) aufsetzen.
  • 3 ist ein Flussdiagramm, das den Betrieb eines Sicherheitsübertragungsprotokolls zeigt, das bei der vorliegenden Erfindung von Nutzen ist. Gemäß diesem Protokoll baut der Client 10' jedes Mal, wenn er eine Verbindung mit einem bestimmten Ursprungs-Server herstellen möchte, zwei (2) getrennte Sitzungen auf. Eine erste sichere Sitzung wird zwischen dem Client 10' und dem Proxy-Server 15 aufgebaut, und diese Sitzung dient als Leitung oder als Kanal zur Übertragung von geheimen Daten zwischen dem Client und dem Proxy-Server.
  • Die erste sichere Sitzung ist durch die ersten beiden Spalten des Flussdiagramms dargestellt. Darüber hinaus baut der Client 10 auch eine zweite sichere Sitzung mit dem Proxy-Server auf, wie durch die letzten drei Spalten des Flussdiagramms gezeigt ist, doch wird der Proxy-Server 15 in dieser Sitzung verwendet, um eine Tunnelverbindung zum Ursprungs-Server 12' herzustellen. Ein Tunnel ist ein zwischengeschaltetes Programm, das als ein Blindrelais zwischen zwei Verbindungen dient. Sobald er aktiv ist, wird ein Tunnel nicht als ein Teilnehmer an einer bestimmten Übertragung (z.B. einer HTTP-Anfrage oder -Antwort) betrachtet, obgleich der Tunnel möglicherweise von dieser Übertragung gestartet worden ist.
  • In diesem der Veranschaulichung dienenden Beispiel wird davon ausgegangen, dass der Client auf einen Ursprungs-Server (der manchmal auch als ein erster Server bezeichnet wird) zugreifen möchte, um einen bestimmten Inhalt abzurufen, den Proxy-Server aber zur korrekten Anzeige dieses Inhalts verwenden will. Die Bedienung der Anforderung kann auch den Abruf von bestimmten Objekten von einem oder mehreren zusätzlichen Ursprungs-Servern erforderlich machen. Wie vorstehend erwähnt wurde, verfügt der Client gemäß dem SSL/TLS-Protokoll über ein Zertifikat, das von einem Ursprungs-Server ausgestellt wurde, um die Identität des Client gegenüber dem Ursprungs-Server nachzuweisen, und der Client fordert vom Ursprungs-Server ebenfalls die Vorlage eines Zertifikats, damit er die Echtheit des Ursprungs-Servers nachweisen kann. Wie ersichtlich sein wird, verlangt der Client auch vom Proxy-Server ein Zertifikat, dessen Echtheit vom Client bestätigt werden muss, bevor dieser (gegenüber dem Proxy-Server) ein gemeinsames Sitzungsgeheimnis preisgibt.
  • Die Routine beginnt im Schritt 20 damit, dass der Client eine sichere Sitzung mit dem Proxy-Server anfordert. Dies ist die erste sichere Sitzung, die vorstehend beschrieben wurde. Wie in dem Flussdiagramm zu sehen ist, muss der Client ein Zertifikat vom Proxy-Server anfordern, da er gleich seine Sicherheitsattribute übertragen wird. Dies ist die erste Sitzung, in welcher der Client (dem Proxy-Server) ein mit einem Ursprungs-Server ausgehandeltes Geheimnis zusammen mit einer internen Sitzungskennung sendet. Üblicherweise entspricht diese Kennung nicht der Kennung der SSL/TLS-Sitzung. Sie wird in einem späteren Schritt ausführlicher beschrieben.
  • Im Schritt 22 bestätigt der Client die Gültigkeit des vom Proxy-Server empfangenen Zertifikats und ist folglich zufrieden, dass er eine sichere Sitzung mit dem Proxy-Server hat, Die Routine schaltet dann zum Schritt 24, in dem der Client eine zweite Verbindung zum Proxy-Server öffnet. Dies ist die zweite sichere Sitzung, die vorstehend beschrieben wurde. Wie erwähnt wurde, stellt der Client die Anforderung, eine Tunnelübertragung zu einem bestimmten Ursprungs-Server durchzuführen (zum Beispiel, indem er das HTTP-CONNECT-Verfahren für eine Anforderung verwendet). Als Teil der Tunnelanforderung über den Proxy-Server fügt der Client einen Kopfbereich zu der HTTP-Anforderung hinzu und teilt dem Proxy-Server damit mit, dass eine interne Sitzungskennung erzeugt werden soll. Dieser Kopfbereich bedeutet, dass der Client beabsichtigt, dem Proxy-Server das gemeinsame Geheimnis zu einem späteren Zeitpunkt zu senden.
  • Im Schritt 26 erzeugt der Proxy-Server eine eindeutige interne Sitzungskennung und sendet diese Information an den Client zurück. Der Wert der internen Sitzungskennung wird an die sichere HTTP-Antwort angefügt. Dies ist der Wert, den der Client verwenden wird, wenn er das gemeinsame Sitzungsgeheimnis an den Proxy-Server sendet. Im Schritt 28 stellt der Proxy-Server eine Verbindung mit dem Ursprungs-Server her und ermöglicht den Datenfluss zwischen dem Client und dem Ursprungs-Server. An diesem Punkt verhält sich der Proxy-Server wie ein Tunnel. Er wird erst ein "aktiver Proxy-Server", wenn der Client das gemeinsame Sitzungsgeheimnis sendet, wie zu sehen sein wird. Im Schritt 30 führt der Client einen Quittungsaustausch mit dem Ursprungs-Server durch, um ein gemeinsames Sitzungsgeheimnis auszuhandeln.
  • Die Routine schaltet dann zum Schritt 32 weiter. An diesem Punkt sendet der Client die interne Sitzungskennung zusammen mit dem gemeinsamen Sitzungsgeheimnis (an den Proxy-Server). Diese Informationen werden in der ersten Sitzung gesendet, wie gezeigt ist. Im Schritt 34 empfängt der Proxy-Server die interne Sitzungskennung und das gemeinsame Sitzungsgeheimnis. Er verwendet diese Informationen, um die notwendige kryptografische Information zu erzeugen, die zur Entschlüsselung von Antworten des Ursprungs-Servers, zur Änderung des übermittelten Inhalts und/oder zur Verschlüsselung von Daten, bevor diese an den Client gesendet werden, verwendet werden soll. Für die Dauer der aktuellen Verbindung mit dem Ursprungs-Server übernimmt der Proxy-Server dann die Funktion eines "aktiven Proxy-Server".
  • Im Schritt 36 sendet der Client eine sichere HTTP-Anforderung für eine Ressource an den Ursprungs-Server. Optional kann der Proxy-Server im Schritt 38 die Anforderung entschlüsseln, nach Bedarf ändern und die neue Anforderung dann verschlüsseln und an den Ursprungs-Server senden. Im Schritt 40 erfüllt der Ursprungs-Server die Anforderung und sendet Antwortdaten an den Proxy-Server zurück. Es sei angemerkt, dass der Ursprungs-Server die aktive Teilnahme des Proxy-Server vorzugsweise noch nicht einmal bemerkt. Im Schritt 42 empfängt der Proxy-Server den Inhalt, und er entschlüsselt und ändert die Daten, um die Transcodierungserfordernisse des Client zu erfüllen. Optional kann der Proxy-Server im Schritt 44 weitere Verbindungen mit dem Ursprungs-Server herstellen (wenn der Ursprungs-Server die Wiederaufnahme einer Sitzung unterstützt), um zusätzliche Daten abzurufen und/oder die Leistung zu verbessern. Wenn mehrere Verbindungen hergestellt werden, wird der Schlüssel mittels Verkettung von Verschlüsselungsblöcken (cipher block chaining, CBC) angepasst. Wenn der Proxy-Server keine weitere Verbindung als Teil dieser Sitzung herstellt, muss er den Client über die Änderungen an den Schlüssel-Angaben informieren, indem er in der Hauptsitzung eine Benachrichtigung zusammen mit der Sitzungskennung sendet. Dieser Vorgang ist im Schritt 46 dargestellt, und er ist notwendig, damit der Client diese Sitzung mit dem Ursprungs-Server zu einem späteren Zeitpunkt wieder aufnehmen kann.
  • Gemäß der vorliegenden Erfindung benötigt der Proxy-Server während der Verarbeitung einer bestimmten vom Client an den ersten Ursprungs-Server gerichteten Anforderung möglicherweise weitere sichere Sitzungen mit anderen Ursprungs-Servern. Wenn der Proxy-Server also beispielsweise weitere sichere Sitzungen mit anderen Ursprungs-Servern benötigt, zum Beispiel, um die aktuelle Anforderung zu transcodieren, sendet er eine Mitteilung an den Client, in der er den Client ersucht, mit jedem zusätzlichen Ursprungs-Server, der benötigt wird, eine neue Sitzung aufzubauen. Dies ist allgemein im Schritt 48 gezeigt. Schließlich verschlüsselt der Proxy-Server den endgültigen transcodierten Inhalt und sendet ihn an den Client. Dies ist im Schritt 50 dargestellt.
  • 4 zeigt ausführlicher, wie der Proxy-Server eine oder mehrere zusätzliche sichere Sitzungen mit anderen Ursprungs-Servern einleitet. In diesem Beispiel arbeitet der Client 10'' mit dem Transcodierungs-Proxy-Server 15'' und dem ersten Ursprungs-Server 12'' in der zuvor beschriebenen Weise zusammen. Wie in der Figur gezeigt ist, stellt die Sitzung 1 die erste Sitzung dar, die der Client mit dem Proxy-Server aufbaut, und die Sitzung 2 ist diejenige Sitzung, in der der Client die sichere Sitzung mit dem ersten Ursprungs-Server aufbaut. Die in der Figur dargestellten Schritte (1) bis (12) entsprechen den vorstehend in dem Flussdiagramm von 3 beschriebenen Schritten. Wenn der Proxy-Server 15'' während der beispielhaft veranschaulichten Transcodierungsoperation feststellt, dass er sichere Daten von einem zweiten Ursprungs-Server 17'' benötigt, bittet der Proxy-Server den Client 10'', eine zweite Verbindung mit dem Server 17'' herzustellen, und zwar indem er wieder eine Tunnelverbindung über den Proxy-Server herstellt. Dadurch kann der Client ein gemeinsames Geheimnis mit dem zweiten Server 17'' festlegen. Das letztere gemeinsame Geheimnis wird zuweilen als das zweite gemeinsame Geheimnis bezeichnet, um es von dem gemeinsamen Sitzungsgeheimnis zu unterscheiden, das dadurch erzeugt wurde, dass der Client über den Proxy-Server eine Tunnelverbindung zum ersten Ursprungs-Server hergestellt hat. Im Einzelnen stellt der Schritt (13) in 4 dar, wie der Proxy-Server 15'' die Anforderung an den Client 10'' stellt. Die Schritte (3) bis (7) werden dann mit dem zweiten Ursprungs-Server 17'' in der zuvor beschriebenen Weise wiederholt.
  • Der Proxy-Server 15'' ist in der Lage, getrennte gemeinsame Geheimnisse nach Bedarf zu verwalten, um Übertragungen zwischen dem Client einerseits und den jeweiligen Ursprungs-Servern andererseits zu sichern. Folglich verwalten der Client und der Proxy-Server getrennte gemeinsame Geheimnisse, eines für jede Sitzung mit einem Ursprungs-Server im Zusammenhang mit der ursprünglichen Anforderung des Client. Dadurch kann der Proxy-Server im Namen des Client auf Daten zugreifen und diese Daten mit mehreren Ursprungs-Servern verwenden. Auf Wunsch kann der Client das/die gemeinsame(n) Sitzungsgeheimnis(se) dem Proxy-Server über dieselbe sichere Sitzung (z.B. die Sitzung 1, wie in 1 gezeigt ist) oder über verschiedene sichere Sitzungen zukommen lassen.
  • Wie zu sehen ist, teilen der Client, ein bestimmter Ursprungs-Server und der Proxy-Server alle ein gemeinsames Sitzungsgeheimnis. Im Einzelnen wird, sobald sich der Client und der bestimmte Ursprungs-Server auf ein gemeinsames Sitzungsgeheimnis verständigt haben, dieses Geheimnis über eine sichere Sitzung, die zuvor zwischen dem Client und dem Proxy-Server aufgebaut worden ist, dem Proxy-Server übermittelt. Anders ausgedrückt, der Client übergibt (dem Proxy-Server) diesen Hauptsitzungsschlüssel, nachdem er die Hauptsitzung (d.h. die erste Sitzung) (zwischen dem Client und dem Proxy-Server) aufgebaut hat. Der Ursprungs-Server braucht jedoch nicht zu merken (und gewöhnlich merkt er es auch nicht), dass der Proxy-Server gerade eine Arbeit verrichtet oder in anderer Weise an der sicheren Verbindung teilnimmt.
  • Wie zu sehen ist, sind nur geringfügige Änderungen notwendig, um diese Sicherheitsübertragung zu unterstützen, und sie wirken sich nur auf den Client und den Proxy-Server, nicht aber auf den oder die bestimmten Ursprungs-Server aus, der/die gegebenenfalls zur Verarbeitung einer bestimmten Anforderung des Client notwendig ist/sind. Auch braucht der Client bei diesem Verfahren keine Informationen in Bezug auf seinen privaten Schlüssel oder in Bezug auf das Verfahren, mit dem die Identität des Client gegenüber dem Ursprungs-Server nachgewiesen wird, offen zu legen. Da der Client weitere Verbindungen zu einem Ursprungs-Server herstellen kann, kann er außerdem die Verschlüsselungs-Angabe ändern oder die Sitzung beenden und auf diese Weise die Möglichkeit des Proxy-Server, im Namen des Client andere Verbindungen zum Ursprungs-Server herzustellen, einschränken.
  • Die notwendigen Änderungen lassen sich zusammenfassend wie folgt beschreiben. Der Client muss in der Lage sein, ein oder mehrere gemeinsame Sitzungsgeheimnisse, die er mit einem oder mit mehreren einzelnen Ursprungs-Servern ausgehandelt hat, entgegenzunehmen und diese sicher an den Proxy-Server zu übermitteln. Der Proxy-Server muss die notwendige Verschlüsselungsinformation aus dem/den mit dem Server geteilten gemeinsamen Geheimnissen) des Client erstellen können, damit er mit seiner Teilnahme an der Sitzung des Client beginnen kann. Das vorstehend beschriebene Verfahren erfordert keine Änderungen an dem Quittungsprotokoll, das bei der Aushandlung des Sitzungsgeheimnisses verwendet wird. Der gesamte Netzwerkverkehr erfährt nur in geringfügigem Maße eine zusätzliche Belastung, da nur eine zusätzliche Sitzung zwischen dem Client und dem Proxy-Server stattfindet, während der der Client Dienste des Proxy-Server in Anspruch nehmen muss. An dem/den Ursprungs-Server(n) müssen keine Änderungen vorgenommen werden.
  • Die Hauptsitzung zwischen dem Client und dem Proxy-Server kann als eine asynchrone Sitzung betrachtet werden, da es für jeden ankommenden Datensatz eine Sitzungskennung gibt. Vom Client auf dem Proxy-Server vorgenommene Schreiboperationen können unabhängig von Schreiboperationen des Proxy-Server auf dem Client stattfinden, da keine Bestätigungen erforderlich sind. Es wird selbstverständlich davon ausgegangen, dass die darunter liegende Transportschicht ein zuverlässiges Zustellungsverfahren durchführt. Bei Anforderungen des Proxy-Server an den Client für die Herstellung neuer Verbindungen (zu weiteren Ursprungs-Servern) wird vorzugsweise eine Sitzungskennung "null*" verwendet, da "eins" zu einem späteren Zeitpunkt vom Proxy-Server zugewiesen wird, wenn der Client eine Tunnelübertragung anfordert. Unter der Voraussetzung, dass der Client gezwungen ist, den vollständigen Quittungsaustausch zur Identitätsprüfung durchzuführen, da er mit dem bestimmten Ursprungs-Server nicht synchron läuft, braucht der Proxy-Server den Client aus Gründen der Leistungsfähigkeit nicht über Änderungen an der Verschlüsselungs-Angabe zu benachrichtigen. Dies bedeutet für den Client eine größere Nutzlast während des Aufbaus der ersten Sitzung mit einem Ursprungs-Server, verringert aber das Dialogaufkommen, wenn der Proxy-Server neue Verbindungen herstellt oder zusätzliche Anforderungen an den bestimmten Ursprungs-Server oder an einen anderen Ursprungs-Server sendet.
  • Es gibt zahlreiche Anwendungen für den Proxy-Server. Das Folgende sind mehrere repräsentative Beispiele.
  • Eine solche Verwendungsmöglichkeit des Proxy-Server besteht in der Verringerung der notwendigen Rechenleistung, die ein Client benötigt, um eine Verschlüsselung/Entschlüsselung durchzuführen. Wenn sich der Client beispielsweise hinter einer Firewall befindet, kann der Client bei Verwendung des Proxy-Server die Schritte der Identitätsprüfung nur einmal durchführen, aber dann Daten tatsächlich unverschlüsselt zwischen ihm und dem Proxy-Server senden und empfangen und auf diese Weise die Verschlüsselungslast auf den Proxy-Server verlagern. Alternativ dazu wird der Proxy-Server verwendet, um einer Firewall-Konfiguration Prüfmöglichkeiten bereitzustellen, indem er dem Client ermöglicht (oder vom Client verlangt), das Sitzungsgeheimnis zu übergeben, bevor die eigentlichen Datensätze mit dem Ursprungs-Server ausgetauscht werden können. In diesem Fall braucht der Proxy-Server den Client nicht zur Übermittlung von privaten/vertraulichen Informationen über sich selbst oder den Ursprungs-Server auffordern. In noch einem weiteren Beispiel kann der Proxy-Server zur Verbesserung der Leistungsfähigkeit des Client verwendet werden, indem er einem zwischenspeichernden Proxy-Server die Teilnahme an der Sitzung gestattet, ohne die Sicherheitsmerkmale der Sitzung zwischen dem Client und dem Ursprungs-Server zu ändern. Alternativ dazu kann der Proxy-Server zum Vorab-Abruf von Inhalten im Namen des Client verwendet werden (indem er Sitzungen zu einem späteren Zeitpunkt wieder aufnimmt), ohne dass der Proxy-Server den privaten Schlüssel des Client ausdrücklich kennt. In diesem Fall könnte der Proxy-Server zum Beispiel außerhalb der Spitzenzeiten regelmäßige Aktualisierungen der Subskriptionen des Client abrufen. Diese Beispiele dienen lediglich der Veranschaulichung und sind nicht als Einschränkung des Umfangs dieser Erfindung zu verstehen.
  • Wie vorstehend erwähnt wurde, besteht eine weitere Anwendung der vorliegenden Erfindung folglich darin, einem Dritten die Teilnahme an einer sicheren Sitzung unter Einbeziehung einer für das Pervasive Computing ausgelegten Client-Einheit zu ermöglichen. Zu repräsentativen Einheiten gehören ein Pervasive-Client, der auf einem X86-, PowerPCTM- oder einem RISC-Rechner beruht, welcher ein Echtzeit-Betriebssystem wie zum Beispiel WindRiver, VXWorksTM, QSSL QNXNeutrinoTM oder Microsoft Windows CE enthält und einen Web-Browser enthalten kann. Diese Anwendung wird nun nachstehend ausführlicher erläutert.
  • Bezug nehmend auf 5 umfasst eine repräsentative, für das Pervasive Computing ausgelegte Einheit das Client-Schichtenmodell (client stack) 140, das mehrere Komponenten wie zum Beispiel eine Client-Anwendungsstruktur 142, eine virtuelle Maschine 144, eine Sprachmaschine 146 und ein im Handel erhältliches Echtzeit-Betriebssystem (RTOS) 148 enthält. Die Client-Anwendungsstruktur 142 enthält gewöhnlich einen Browser 150, eine Benutzerschnittstelle 152, eine Anwendungsklassen-Bibliothek 154 für den Pervasive-Computing-Client, eine standardmäßige Java-Klassenbibliothek 156 und ein Kommunikationsschichtenmodell (communication stack) 158. Der Pervasive-Computing-Client ist über einen Verbindungsdienst 162 mit einer Server-Plattform 160 verbunden.
  • Auf seiner unteren Ebene enthält der Verbindungsdienst 162 eine Netzbrücke (Gateway) 164, die Datenverdichtungs- und Verschlüsselungsfunktionen bereitstellt. Die Netzbrücke führt ein Netzwerksicherheitsprotokoll aus, das entsprechend dem Verfahren der vorliegenden Erfindung erweitert worden ist. Die obere Ebene des Verbindungsdiensts 162 ist der Proxy-Server 166, der eine oder mehrere verschiedene Funktionen wie zum Beispiel Transcodierung, Filterung, Prioritätsvergabe und Verbindungsdienste zur Verwaltung der Einheiten bereitstellt.
  • Die Server-Plattform 160, nämlich ein bestimmter Ursprungs-Server, kann unterschiedlichen Typs sein. Die Plattform 160 kann ein Web-/Anwendungsserver 170 (ein Server von dem Typ mit synchronem Anforderung-Antwort-Verhalten) oder ein Datensynchronisationsserver 172 (ein Server vom asynchronen Übertragungstyp mit Warteschlangen) sein. Die grundlegenden Funktionen eines jeden solchen Servertyps sind veranschaulicht. Alternativ dazu kann die Plattform 160 ein Mehrwert-Server 174 sein, der zusätzliche Dienste wie LDAP-Verzeichnis-/-Ablage-(Repository-)Dienste, Beobachtungs- und Benachrichtigungsdienste, Netzwerkverwaltungsdienste, Gerätelebensdauer-Verwaltungsdienste, Benutzer- und Einheitenregistrierungsdienste oder Abrechnungsdienste bereitstellt.
  • Das Sicherheitsübertragungsprotokoll bietet zahlreiche Vorteile gegenüber dem Stand der Technik. Wie vorstehend erörtert wurde, ändert die Protokollerweiterung nicht die grundlegenden Eigenschaften einer sicheren Verbindung auf der Ebene des Datensatz-Protokolls. Überdies ist die Verbindung zum Proxy-Server nichtöffentlich, und zur Datenverschlüsselung kann ein symmetrisches Verschlüsselungsverfahren (z.B. DES, RC4 usw.) eingesetzt werden.
  • Die Schlüssel für diese symmetrische Verschlüsselung werden vorzugsweise für jede Verbindung einzeln erzeugt und beruhen auf einem Geheimnis, das von einem anderen Protokoll (wie zum Beispiel das TLS- oder SSL-Quittungsprotokol) ausgehandelt wird. Außerdem ist die Verbindung zum Proxy-Server zuverlässig. Der Nachrichtentransport beinhaltet üblicherweise eine Nachrichtenintegritätsprüfung unter Verwendung eines verschlüsselten MAC. Vorzugsweise werden sichere Hash-Funktionen (z.B. SHA, MD5 usw.) für MAC-Berechnungen verwendet.
  • Das Quittungsprotokoll bietet eine Verbindungssicherheit mit mehreren grundlegenden Eigenschaften. Die Identität des Gleichgestellten kann mit Hilfe eines asymmetrischen kryptografischen Verfahrens, d.h. durch Verschlüsselung mit einem öffentlichen Schlüssel (z.B. RSA, DSS usw.), geprüft und nachgewiesen werden. Diese Identitätsprüfung kann optional erfolgen, wird aber zumindest für einen der Gleichgestellten allgemein vorausgesetzt. Darüber hinaus ist die Aushandlung eines geteilten Geheimnisses sicher. Das ausgehandelte Geheimnis ist für Durchführer von Lauschangriffen nicht zugänglich, und bei einer nach Identitätsprüfung freigegebenen Verbindung kann auch ein Angreifer, der sich zwischen Absender und Empfänger der Übertragung stellen kann, nicht in den Besitz des Geheimnisses kommen. Überdies ist die Aushandlung mit dem Proxy-Server zuverlässig. Kein Angreifer kann die ausgehandelte Übertragung verändern, ohne dass er von den Teilnehmern an der Übertragung erkannt wird.
  • Wie vorstehend des Weiteren erörtert wurde, ermöglicht das Sicherheitsprotokoll einem Proxy-Server die Teilnahme an einer sicheren Sitzung zwischen einem Client und einer Gruppe von Ursprungs-Servern, ohne dass die Attribute der Sitzung geändert werden müssen. Das Verfahren ist auch von der Verschlüsselungsstärke oder den eingesetzten Verfahren zur Identitätsprüfung unabhängig.
  • Die Erfindung kann in Software realisiert werden, die in einem Rechner ausgeführt werden kann, nämlich in Form von einem Satz von Befehlen (Programmcode) in einem Code-Modul, das sich im Direktzugriffspeicher des Rechners befindet. Bis er vom Rechner benötigt wird, kann der Befehlssatz in einem anderen Rechnerspeicher, zum Beispiel auf einem Festplattenlaufwerk oder in einem auswechselbaren Speicher, gespeichert werden, oder er kann über das Internet oder ein anderes Rechnernetzwerk heruntergeladen werden.
  • Obgleich sich die verschiedenen Verfahren, die beschrieben wurden, problemlos in einem Universalrechner ausführen lassen, der mittels Software selektiv aktiviert oder neu konfiguriert werden kann, erkennt der Fachmann auch, dass diese Verfahren ferner in Hardware, in Firmware oder in einer spezielleren Vorrichtung durchgeführt werden können, welche so aufgebaut ist, dass sie die erforderlichen Verfahrensschritte ausführt.

Claims (17)

  1. Verfahren, um einem Proxy-Server (15) die Teilnahme an einer sicheren Übertragung zwischen einem Client (10') und einem ersten Ursprungsserver (12a') zu ermöglichen, wobei das Verfahren die folgenden Schritte umfasst: (a) Aufbauen (20, 22) einer ersten sicheren Sitzung zwischen dem Client und dem Proxy-Server; (b) nach der Überprüfung der ersten sicheren Sitzung Aufbauen (24, 26) einer zweiten sicheren Sitzung zwischen dem Client und dem Proxy-Server, wobei die zweite sichere Sitzung den Proxy-Server ersucht, die Funktion eines Kanals zum ersten Ursprungsserver zu übernehmen; (c) Veranlassen des Client und des ersten Ursprungs-Server, ein gemeinsames Sitzungsgeheimnis (session master secret) auszuhandeln (30); (d) veranlassen des Client, das gemeinsame Sitzungsgeheimnis unter Nutzung der ersten sicheren Sitzung an den Proxy-Server zu übermitteln (32), damit der Proxy-Server an der sicheren Übertragung teilnehmen kann; (e) als Reaktion auf eine vom Client an den ersten Ursprungs-Server gerichtete Anforderung Aufbauen einer dritten sicheren Sitzung zwischen dem Client und dem Proxy-Server, wobei die dritte sichere Sitzung den Proxy-Server ersucht, die Funktion eines Kanals zum zweiten Ursprungs-Server zu übernehmen; (f) Veranlassen des Client und des zweiten Ursprungs-Server, ein neues gemeinsames Sitzungsgeheimnis auszuhandeln; und (g) Veranlassen des Client, das neue gemeinsame Sitzungsgeheimnis unter Nutzung der im Schritt (a) aufgebauten ersten sicheren Sitzung an den Proxy-Server zu übermitteln.
  2. Verfahren nach Anspruch 1, das des Weiteren den Schritt der Veranlassung des Proxy-Server (15) beinhaltet, das gemeinsame Sitzungsgeheimnis und das neue gemeinsame Sitzungsgeheimnis zur Erzeugung von bestimmten kryptografischen Informationen zu verwenden.
  3. Verfahren nach Anspruch 2, das des Weiteren den Schritt der Veranlassung des Proxy-Server (15) beinhaltet, im Anschluss an den Empfang des gemeinsamen Sitzungsgeheimnisses im Schritt (d) in einen aktiven Betriebszustand einzutreten.
  4. Verfahren nach Anspruch 3, wobei der Proxy-Server (15) im aktiven Betriebszustand einen bestimmten Dienst im Namen des Client (10') ausführt.
  5. Verfahren nach Anspruch 4, wobei der bestimmte Dienst eine Transcodierung ist.
  6. Verfahren nach Anspruch 1, wobei die erste sichere Sitzung und die zweite sichere Sitzung einem Netzwerksicherheitsprotokoll entsprechen.
  7. Verfahren nach Anspruch 1, wobei der Server (12a') ein Web-Server ist und der Client (10') ein für zeitnahe und standortunabhängige Anwendungen (Pervasive Computing) ausgelegter Client ist.
  8. Kryptografisches System, das Folgendes umfasst: einen Client (10'); eine Gruppe von Servern (12a', 12b'); einen Proxy-Server (15); ein Mittel, um dem Client und jedem Server den Austausch von Daten über eine sichere Verbindung zu ermöglichen; ein Mittel (i), um den Client so zu steuern, dass er eine erste sichere Verbindung zu dem Proxy-Server anfordert, (ii) um den Client als Reaktion auf die Bestätigung der Gültigkeit eines Zertifikats von dem Proxy-Server so zu steuern, dass er eine zweite sichere Verbindung zu dem Proxy-Server anfordert, wobei die zweite sichere Verbindung den Proxy-Server ersucht, die Funktion eines Kanals zu einem bestimmten Server zu übernehmen, (iii) um den Client so zu steuern, dass er mit dem bestimmten Server über den Kanal verhandelt, um ein gemeinsames Sitzungsgeheimnis zu erhalten; und (iv) um den Client nach dem erfolgreichen Abschluss der Verhandlung so zu steuern, dass er das gemeinsame Sitzungsgeheimnis unter Verwendung der ersten sicheren Verbindung an den Proxy-Server übermittelt; und ein Mittel (i), um den Proxy-Server so zu steuern, dass er das gemeinsame Sitzungsgeheimnis zur Erzeugung von bestimmten kryptografischen Informationen nutzt, (ii) um den Proxy-Server so zu steuern, dass er die Anforderung stellt, dass der Client selektiv eine getrennte sichere Verbindung mit einem anderen Server herstellt, und (iii) um den Proxy-Server in einen aktiven Betriebszustand zu schalten, während dessen er an Übertragungen zwischen dem Client und dem bestimmten Server teilnehmen kann.
  9. Kryptografisches System nach Anspruch 8, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') Transcodierungsdienste bereitzustellen.
  10. Kryptografisches System nach Anspruch 9, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') Verschlüsselungs-/Entschlüsselungsdienste bereitzustellen.
  11. Kryptografisches System nach Anspruch 8, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') zwischenspeicherungsdienste bereitzustellen.
  12. Kryptografisches System nach Anspruch 8, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') Überwachungsdienste bereitzustellen.
  13. Kryptografisches System nach Anspruch 8, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') Transcodierungsdienste bereitzustellen.
  14. Kryptografisches System nach Anspruch 9, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') Verschlüsselungs-/Entschlüsselungsdienste bereitzustellen.
  15. Kryptografisches System nach Anspruch 8, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') Zwischenspeicherungsdienste bereitzustellen.
  16. Kryptografisches System nach Anspruch 8, wobei der Proxy-Server (15) ein Mittel enthält, um im Namen des Client (10') Überwachungsdienste bereitzustellen.
  17. Rechnerprogramm, das direkt in den internen Speicher eines digitalen Rechners geladen werden kann und Teile von Software-Code umfasst, um die Schritte nach einem der Ansprüche 1 bis 7 durchzuführen, wenn das Programm auf einem Rechner ausgeführt wird.
DE60026838T 1999-06-30 2000-06-28 Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy Expired - Lifetime DE60026838T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/343,454 US6584567B1 (en) 1999-06-30 1999-06-30 Dynamic connection to multiple origin servers in a transcoding proxy
US343454 1999-06-30
PCT/GB2000/002469 WO2001003398A2 (en) 1999-06-30 2000-06-28 Dynamic connection to multiple origin servers in a transcoding proxy

Publications (2)

Publication Number Publication Date
DE60026838D1 DE60026838D1 (de) 2006-05-11
DE60026838T2 true DE60026838T2 (de) 2006-09-07

Family

ID=23346192

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60026838T Expired - Lifetime DE60026838T2 (de) 1999-06-30 2000-06-28 Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy

Country Status (16)

Country Link
US (1) US6584567B1 (de)
EP (1) EP1197052B1 (de)
JP (2) JP4405124B2 (de)
KR (1) KR100431567B1 (de)
CN (1) CN1148926C (de)
AT (1) ATE321405T1 (de)
AU (1) AU5554100A (de)
CA (1) CA2377257C (de)
CZ (1) CZ20014650A3 (de)
DE (1) DE60026838T2 (de)
HK (1) HK1045419B (de)
HU (1) HUP0201706A2 (de)
IL (2) IL147118A0 (de)
PL (1) PL352195A1 (de)
TW (1) TW480862B (de)
WO (1) WO2001003398A2 (de)

Families Citing this family (151)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8060926B1 (en) * 1999-03-16 2011-11-15 Novell, Inc. Techniques for securely managing and accelerating data delivery
US7904951B1 (en) 1999-03-16 2011-03-08 Novell, Inc. Techniques for securely accelerating external domains locally
US7249377B1 (en) * 1999-03-31 2007-07-24 International Business Machines Corporation Method for client delegation of security to a proxy
US6584567B1 (en) 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
FR2804564B1 (fr) * 2000-01-27 2002-03-22 Bull Sa Relais de securite multiapplicatif
US6785705B1 (en) * 2000-02-08 2004-08-31 Lucent Technologies Inc. Method and apparatus for proxy chaining
US7493655B2 (en) * 2000-03-22 2009-02-17 Comscore Networks, Inc. Systems for and methods of placing user identification in the header of data packets usable in user demographic reporting and collecting usage data
US7930285B2 (en) 2000-03-22 2011-04-19 Comscore, Inc. Systems for and methods of user demographic reporting usable for identifying users and collecting usage data
WO2001076136A1 (fr) * 2000-03-30 2001-10-11 Sanyo Electric Co., Ltd. Stockage de donnees de contenu
DE10025626A1 (de) * 2000-05-24 2001-11-29 Deutsche Telekom Ag Verschlüsseln von abzuspeichernden Daten in einem IV-System
DE10037500A1 (de) * 2000-08-01 2002-02-28 Deutsche Telekom Ag Verfahren zur Schlüsselvereinbarung für eine kryptographisch gesicherte Punkt-zu-Multipunktverbindung
US20040015725A1 (en) * 2000-08-07 2004-01-22 Dan Boneh Client-side inspection and processing of secure content
US7137143B2 (en) * 2000-08-07 2006-11-14 Ingrian Systems Inc. Method and system for caching secure web content
US7003481B2 (en) * 2000-08-25 2006-02-21 Flatrock Ii, Inc. Method and apparatus for providing network dependent application services
US7178169B1 (en) * 2000-09-01 2007-02-13 Zoran Corporation Method and apparatus for securing transfer of and access to digital content
US6965947B1 (en) * 2000-10-06 2005-11-15 International Business Machines Corporation Method and apparatus for automated transcoder selection
TW532040B (en) * 2000-10-20 2003-05-11 Koninkl Philips Electronics Nv Method and system for transferring a communication session
US7574486B1 (en) * 2000-11-06 2009-08-11 Telecommunication Systems, Inc. Web page content translator
US7150045B2 (en) * 2000-12-14 2006-12-12 Widevine Technologies, Inc. Method and apparatus for protection of electronic media
US7757278B2 (en) * 2001-01-04 2010-07-13 Safenet, Inc. Method and apparatus for transparent encryption
FR2819967B1 (fr) 2001-01-24 2003-03-14 Bull Sa Procede et systeme de communication d'un certificat entre un module de securisation et un serveur
US8812666B2 (en) 2001-01-29 2014-08-19 Da Capital Fund Limited Liability Company Remote proxy server agent
US6871279B2 (en) * 2001-03-20 2005-03-22 Networks Associates Technology, Inc. Method and apparatus for securely and dynamically managing user roles in a distributed system
US6996841B2 (en) * 2001-04-19 2006-02-07 Microsoft Corporation Negotiating secure connections through a proxy server
US20020169984A1 (en) * 2001-05-09 2002-11-14 Kumar Gopikrishna T. Session management for wireless E-commerce
US7117267B2 (en) * 2001-06-28 2006-10-03 Sun Microsystems, Inc. System and method for providing tunnel connections between entities in a messaging system
US7908472B2 (en) * 2001-07-06 2011-03-15 Juniper Networks, Inc. Secure sockets layer cut through architecture
US7149892B2 (en) 2001-07-06 2006-12-12 Juniper Networks, Inc. Secure sockets layer proxy architecture
US7228412B2 (en) * 2001-07-06 2007-06-05 Juniper Networks, Inc. Bufferless secure sockets layer architecture
US7853781B2 (en) * 2001-07-06 2010-12-14 Juniper Networks, Inc. Load balancing secure sockets layer accelerator
ATE358298T1 (de) * 2001-07-12 2007-04-15 Research In Motion Ltd System und verfahren zum schieben von daten von einer informationsquelle zu einem mobilen endgerät beinhalten die transcodierung der daten
US7240203B2 (en) * 2001-07-24 2007-07-03 Cavium Networks, Inc. Method and apparatus for establishing secure sessions
GB2378009B (en) * 2001-07-27 2005-08-31 Hewlett Packard Co Method of establishing a secure data connection
GB2378360A (en) * 2001-07-31 2003-02-05 Hewlett Packard Co Using SSL protocol to establish a secure connection between a client and a host, via a number of secure relays, the number being unknown to the client
US7363376B2 (en) * 2001-07-31 2008-04-22 Arraycomm Llc Method and apparatus for generating an identifier to facilitate delivery of enhanced data services in a mobile computing environment
US6892224B2 (en) * 2001-08-31 2005-05-10 Intel Corporation Network interface device capable of independent provision of web content
US7111162B1 (en) * 2001-09-10 2006-09-19 Cisco Technology, Inc. Load balancing approach for scaling secure sockets layer performance
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
US7093121B2 (en) * 2002-01-10 2006-08-15 Mcafee, Inc. Transferring data via a secure network connection
US7376967B1 (en) 2002-01-14 2008-05-20 F5 Networks, Inc. Method and system for performing asynchronous cryptographic operations
US7305567B1 (en) 2002-03-01 2007-12-04 Cavium Networks, In. Decoupled architecture for data ciphering operations
US6978316B2 (en) * 2002-03-27 2005-12-20 International Business Machines Corporation Messaging system and method with transcoder filtering of baseline message representations
US7290280B2 (en) * 2002-04-08 2007-10-30 Sun Microsystems, Inc. Method and apparatus to facilitate virtual transport layer security on a virtual network
AU2003262857A1 (en) * 2002-08-24 2004-03-11 Ingrian Networks, Inc. Selective feature activation
US7430755B1 (en) 2002-09-03 2008-09-30 Fs Networks, Inc. Method and system for providing persistence in a secure network access
US20040093419A1 (en) * 2002-10-23 2004-05-13 Weihl William E. Method and system for secure content delivery
AU2003303884A1 (en) * 2003-02-03 2004-08-30 Mvp, Inc. Synchronization program
US7506368B1 (en) 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy
US7634805B2 (en) * 2003-03-05 2009-12-15 Microsoft Corporation Use of network address translation for implementation of stateful routing
US8473620B2 (en) * 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
US7506370B2 (en) * 2003-05-02 2009-03-17 Alcatel-Lucent Usa Inc. Mobile security architecture
WO2005006674A1 (ja) * 2003-07-09 2005-01-20 Hitachi Communication Technologies, Ltd. 端末及び通信システム
US20060149962A1 (en) * 2003-07-11 2006-07-06 Ingrian Networks, Inc. Network attached encryption
US7395424B2 (en) * 2003-07-17 2008-07-01 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
JP4712326B2 (ja) * 2003-07-25 2011-06-29 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
JP5348148B2 (ja) * 2003-07-25 2013-11-20 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
DE602004002044T2 (de) * 2003-07-25 2007-04-12 Ricoh Co., Ltd. Authentifizierungs-System- und Verfahren unter Verwendung von individualisierten und nicht-individualisierten Zertifikaten
JP4611676B2 (ja) * 2003-07-25 2011-01-12 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
JP4611680B2 (ja) * 2003-07-25 2011-01-12 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
JP4712325B2 (ja) 2003-09-12 2011-06-29 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
JP5418507B2 (ja) * 2003-09-12 2014-02-19 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
US8015399B2 (en) 2003-09-30 2011-09-06 Ricoh Company, Ltd. Communication apparatus, communication system, certificate transmission method and program
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
US20050086533A1 (en) * 2003-10-20 2005-04-21 Hsieh Vincent W. Method and apparatus for providing secure communication
US7584500B2 (en) 2003-11-19 2009-09-01 Hughes Network Systems, Llc Pre-fetching secure content using proxy architecture
US7890751B1 (en) * 2003-12-03 2011-02-15 Comtech Ef Data Corp Method and system for increasing data access in a secure socket layer network environment
JP2005167870A (ja) * 2003-12-05 2005-06-23 Sony Corp データ処理方法およびデータ処理装置
US20050160161A1 (en) * 2003-12-29 2005-07-21 Nokia, Inc. System and method for managing a proxy request over a secure network using inherited security attributes
US20050160160A1 (en) * 2003-12-29 2005-07-21 Nokia, Inc. Method and system for unified session control of multiple management servers on network appliances
US7535905B2 (en) * 2004-03-31 2009-05-19 Microsoft Corporation Signing and validating session initiation protocol routing headers
US7539858B2 (en) * 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
US8261070B2 (en) * 2004-04-23 2012-09-04 The Boeing Company Authentication of untrusted gateway without disclosure of private information
US7437754B2 (en) 2004-04-30 2008-10-14 Oracle International Corporation Web object access authorization protocol based on an HTTP validation model
US7519835B2 (en) * 2004-05-20 2009-04-14 Safenet, Inc. Encrypted table indexes and searching encrypted tables
US8024476B2 (en) * 2004-05-21 2011-09-20 Microsoft Corporation Efficient message routing when using server pools
US20060049234A1 (en) * 2004-05-21 2006-03-09 Flak Richard A Friction stirring and its application to drill bits, oil field and mining tools, and components in other industrial applications
US8090837B2 (en) 2004-05-27 2012-01-03 Hewlett-Packard Development Company, L.P. Communication in multiprocessor using proxy sockets
US8024483B1 (en) 2004-10-01 2011-09-20 F5 Networks, Inc. Selective compression for network connections
JP4223058B2 (ja) 2004-11-29 2009-02-12 インターナショナル・ビジネス・マシーンズ・コーポレーション 中継装置、中継方法、及びプログラム
JP4520840B2 (ja) * 2004-12-02 2010-08-11 株式会社日立製作所 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体
US7565526B1 (en) * 2005-02-03 2009-07-21 Sun Microsystems, Inc. Three component secure tunnel
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
FI120072B (fi) * 2005-07-19 2009-06-15 Ssh Comm Security Corp Pakettidatan lähettäminen verkon yli tietoturvaprotokollaa käyttäen
US8418233B1 (en) 2005-07-29 2013-04-09 F5 Networks, Inc. Rule based extensible authentication
US8438628B2 (en) * 2005-08-10 2013-05-07 Riverbed Technology, Inc. Method and apparatus for split-terminating a secure network connection, with client authentication
US8613071B2 (en) * 2005-08-10 2013-12-17 Riverbed Technology, Inc. Split termination for secure communication protocols
US8478986B2 (en) * 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US8533308B1 (en) 2005-08-12 2013-09-10 F5 Networks, Inc. Network traffic management through protocol-configurable transaction processing
US8621078B1 (en) 2005-08-15 2013-12-31 F5 Networks, Inc. Certificate selection for virtual host servers
WO2007038245A2 (en) 2005-09-23 2007-04-05 Widevine Technologies, Inc. Method for evolving detectors to detect malign behavior in an artificial immune system
US8065733B2 (en) * 2005-09-23 2011-11-22 Google, Inc. Method for evolving detectors to detect malign behavior in an artificial immune system
US20070079140A1 (en) * 2005-09-26 2007-04-05 Brian Metzger Data migration
US20070079386A1 (en) * 2005-09-26 2007-04-05 Brian Metzger Transparent encryption using secure encryption device
US8565088B1 (en) 2006-02-01 2013-10-22 F5 Networks, Inc. Selectively enabling packet concatenation based on a transaction boundary
US7873065B1 (en) 2006-02-01 2011-01-18 F5 Networks, Inc. Selectively enabling network packet concatenation based on metrics
US8386768B2 (en) * 2006-02-08 2013-02-26 Safenet, Inc. High performance data encryption server and method for transparently encrypting/decrypting data
US7958091B2 (en) 2006-02-16 2011-06-07 Ingrian Networks, Inc. Method for fast bulk loading data into a database while bypassing exit routines
US8375421B1 (en) 2006-03-02 2013-02-12 F5 Networks, Inc. Enabling a virtual meeting room through a firewall on a network
US8572219B1 (en) 2006-03-02 2013-10-29 F5 Networks, Inc. Selective tunneling based on a client configuration and request
US8171538B2 (en) * 2006-03-17 2012-05-01 Microsoft Corporation Authentication and authorization of extranet clients to a secure intranet business application in a perimeter network topology
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
WO2007126272A1 (en) * 2006-04-28 2007-11-08 Samsung Electronics Co., Ltd. System and method for performing a delegation operation
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8561155B2 (en) 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8379865B2 (en) * 2006-10-27 2013-02-19 Safenet, Inc. Multikey support for multiple office system
US9055107B2 (en) 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
US9106606B1 (en) 2007-02-05 2015-08-11 F5 Networks, Inc. Method, intermediate device and computer program code for maintaining persistency
US8843913B2 (en) 2007-06-05 2014-09-23 Intel Corporation Dynamic linking and loading of post-processing kernels
US20090016222A1 (en) * 2007-07-12 2009-01-15 Viasat, Inc. Methods and systems for implementing time-slice flow control
US8966053B2 (en) * 2007-07-12 2015-02-24 Viasat, Inc. Methods and systems for performing a prefetch abort operation for network acceleration
US8171135B2 (en) 2007-07-12 2012-05-01 Viasat, Inc. Accumulator for prefetch abort
US8549099B2 (en) * 2007-07-12 2013-10-01 Viasat, Inc. Methods and systems for javascript parsing
US7782794B2 (en) * 2007-07-12 2010-08-24 Viasat, Inc. Methods and systems for bandwidth measurement techniques
US8667151B2 (en) 2007-08-09 2014-03-04 Alcatel Lucent Bootstrapping method for setting up a security association
US8782772B2 (en) * 2007-09-28 2014-07-15 Microsoft Corporation Multi-session secure tunnel
WO2009045963A1 (en) * 2007-10-01 2009-04-09 Viasat, Inc. Methods and systems for secure data transmission between a client and a server via a proxy
US9654328B2 (en) 2007-10-15 2017-05-16 Viasat, Inc. Methods and systems for implementing a cache model in a prefetching system
US20090132715A1 (en) * 2007-11-19 2009-05-21 Utstarcom, Inc. System and method for conducting secure ip transaction sessions with persistence
US20090132804A1 (en) * 2007-11-21 2009-05-21 Prabir Paul Secured live software migration
US8769660B2 (en) 2008-01-26 2014-07-01 Citrix Systems, Inc. Systems and methods for proxying cookies for SSL VPN clientless sessions
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
US8307203B2 (en) * 2008-07-14 2012-11-06 Riverbed Technology, Inc. Methods and systems for secure communications using a local certification authority
US9130846B1 (en) 2008-08-27 2015-09-08 F5 Networks, Inc. Exposed control components for customizable load balancing and persistence
US20100180082A1 (en) * 2009-01-12 2010-07-15 Viasat, Inc. Methods and systems for implementing url masking
US8707043B2 (en) * 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
US9015487B2 (en) * 2009-03-31 2015-04-21 Qualcomm Incorporated Apparatus and method for virtual pairing using an existing wireless connection key
US8331568B2 (en) * 2009-05-28 2012-12-11 Microsoft Corporation Efficient distribution of computation in key agreement
KR101027725B1 (ko) * 2009-12-29 2011-04-12 주식회사 피앤피시큐어 가용성 보장을 위한 프록시 기반의 보안시스템
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US9270663B2 (en) 2010-04-30 2016-02-23 T-Central, Inc. System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added
US9356916B2 (en) 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content
US20120284506A1 (en) * 2010-04-30 2012-11-08 T-Central, Inc. Methods and apparatus for preventing crimeware attacks
JP5545141B2 (ja) * 2010-09-09 2014-07-09 富士ゼロックス株式会社 データ中継システム、中継装置、およびプログラム
WO2012048347A1 (en) * 2010-10-08 2012-04-12 Brian Lee Moffat Private data sharing system
WO2012092261A2 (en) 2010-12-29 2012-07-05 Citrix Systems, Inc. Systems and methods for multi-level tagging of encrypted items for additional security and efficient encrypted item determination
CN102857341A (zh) * 2011-06-28 2013-01-02 联芯科技有限公司 加密电话通信方法
US8788819B2 (en) * 2012-04-27 2014-07-22 Yahoo! Inc. System and method for a cloud-based electronic communication vault
US9203832B2 (en) 2013-03-12 2015-12-01 Cable Television Laboratories, Inc. DTCP certificate authentication over TLS protocol
US9137218B2 (en) * 2013-05-03 2015-09-15 Akamai Technologies, Inc. Splicing into an active TLS session without a certificate or private key
US11038922B2 (en) 2013-12-06 2021-06-15 Fastly, Inc. Secure traffic optimization in an edge network
KR101491694B1 (ko) * 2013-12-30 2015-02-11 주식회사 시큐아이 보안 프락시 및 그것의 애플리케이션 프로토콜 처리 방법
EP3201783B1 (de) * 2014-09-29 2020-11-11 Akamai Technologies, Inc. Https-anfrageanreicherung
US10439908B2 (en) 2014-12-23 2019-10-08 Talari Networks Incorporated Methods and apparatus for providing adaptive private network centralized management system time correlated playback of network traffic
US10015208B2 (en) 2015-06-09 2018-07-03 Cisco Technology, Inc. Single proxies in secure communication using service function chaining
US10721622B2 (en) 2015-12-31 2020-07-21 Koninklijke Philips N.V. Wireless communication system with multiple security levels
CN106503585B (zh) * 2016-11-09 2019-01-29 济南浪潮高新科技投资发展有限公司 一种erp敏感数据安全隔离的方法
US11314532B2 (en) * 2018-10-11 2022-04-26 Citrix Systems, Inc. Systems and methods for traffic optimization via system on chip of intermediary device
CN110324397B (zh) * 2019-03-21 2021-09-21 国网山东省电力公司 基于动态连接的智能变电站站控层应用服务接口访问方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3263878B2 (ja) * 1993-10-06 2002-03-11 日本電信電話株式会社 暗号通信システム
US5550906A (en) * 1994-08-05 1996-08-27 Lucent Technologies Inc. Telecommunications feature server
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5706434A (en) 1995-07-06 1998-01-06 Electric Classifieds, Inc. Integrated request-response system and method generating responses to request objects formatted according to various communication protocols
JPH09139735A (ja) * 1995-11-15 1997-05-27 Hitachi Software Eng Co Ltd 暗号化データ通信システム
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5918013A (en) * 1996-06-03 1999-06-29 Webtv Networks, Inc. Method of transcoding documents in a network environment using a proxy server
US6421733B1 (en) 1997-03-25 2002-07-16 Intel Corporation System for dynamically transcoding data transmitted between computers
JPH1168730A (ja) * 1997-08-15 1999-03-09 Nec Commun Syst Ltd 暗号ゲートウェイ装置
JP3877388B2 (ja) * 1997-09-16 2007-02-07 三菱電機株式会社 情報提供システム
US6263437B1 (en) * 1998-02-19 2001-07-17 Openware Systems Inc Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks
US6317831B1 (en) * 1998-09-21 2001-11-13 Openwave Systems Inc. Method and apparatus for establishing a secure connection over a one-way data path
JP2000155717A (ja) * 1998-11-19 2000-06-06 Kenwood Corp データベース協同利用システム
US6584567B1 (en) 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy

Also Published As

Publication number Publication date
DE60026838D1 (de) 2006-05-11
JP2009239919A (ja) 2009-10-15
WO2001003398A2 (en) 2001-01-11
KR20020015056A (ko) 2002-02-27
HK1045419B (zh) 2004-10-21
CA2377257C (en) 2008-05-13
KR100431567B1 (ko) 2004-05-17
CN1358386A (zh) 2002-07-10
PL352195A1 (en) 2003-08-11
CN1148926C (zh) 2004-05-05
US6584567B1 (en) 2003-06-24
JP2003503963A (ja) 2003-01-28
IL147118A (en) 2007-06-03
CZ20014650A3 (cs) 2002-05-15
IL147118A0 (en) 2002-08-14
JP4959750B2 (ja) 2012-06-27
CA2377257A1 (en) 2001-01-11
ATE321405T1 (de) 2006-04-15
AU5554100A (en) 2001-01-22
HK1045419A1 (en) 2002-11-22
TW480862B (en) 2002-03-21
EP1197052A2 (de) 2002-04-17
HUP0201706A2 (en) 2002-09-28
EP1197052B1 (de) 2006-03-22
JP4405124B2 (ja) 2010-01-27
WO2001003398A3 (en) 2001-06-07

Similar Documents

Publication Publication Date Title
DE60026838T2 (de) Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy
DE60114220T2 (de) System und verfahren zur implementierung des verbesserten transportschicht-sicherheitsprotokolls
DE60122825T2 (de) Verfahren zum Verarbeiten von Positionsinformationen eines Endgerätes welches über ein zellulares Netzwerk an ein Paketdatennetzwerk angeschlossen ist
DE69924573T2 (de) Verfahren und Anordnung zur Herstellung sicherer Verbindungen über Einwegskanäle
DE60315914T2 (de) Ad hoc Sicherheitszugriff auf Dokumente und Dienste
DE60209475T2 (de) Datensicherungs-kommunikationsvorrichtung und -verfahren
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
DE60200451T2 (de) Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz
AT513016B1 (de) Verfahren und Vorrichtung zur Steuerung eines Schließmechanismus mit einem mobilen Endgerät
DE602005001613T2 (de) Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen
DE69830726T2 (de) Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system
EP2494759B1 (de) Verfahren und vorrichtung zum sicheren übertragen von daten
DE602004010703T2 (de) Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft
DE10392208T5 (de) Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung
DE10297362T5 (de) Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen
EP1308017B1 (de) Verfahren zur schlüsselvereinbarung für eine kryptographisch gesicherte punkt-zu-multipunkt verbindung
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
EP1289227B1 (de) Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
EP3078177B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
EP1128615A2 (de) Verfahren und Kommunikationseinrichtung zur Verschlüsselung von E-Mail
DE102017210721A1 (de) Verfahren und Kommunikationssystem zum effizienten Aufbau einer sicheren Datenverbindung zwischen einem Client-Rechner und einem Server-Rechner
EP1468520B1 (de) Verfahren zur datenverkehrssicherung in einer mobilen netzumgebung
DE602004009932T2 (de) Netzwerkgerät, System und Verfahren zur Authentifizierung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)