ES2376143T3 - Marco de distribución de clave simétrica para internet. - Google Patents
Marco de distribución de clave simétrica para internet. Download PDFInfo
- Publication number
- ES2376143T3 ES2376143T3 ES08253837T ES08253837T ES2376143T3 ES 2376143 T3 ES2376143 T3 ES 2376143T3 ES 08253837 T ES08253837 T ES 08253837T ES 08253837 T ES08253837 T ES 08253837T ES 2376143 T3 ES2376143 T3 ES 2376143T3
- Authority
- ES
- Spain
- Prior art keywords
- client
- server
- health information
- application server
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Procedimiento, que comprende: un servidor de distribución de claves que recibe información de la salud medida de un cliente; el servidor validando la información de salud medida; el servidor enviando una clave de sesión al cliente cuando la información de salud medida se valida, y al recibir la clave de sesión, el cliente inicia una conexión cifrada y autentificada con un servidor de aplicaciones en el dominio; caracterizado porque: un controlador de interfaz de red en el servidor de aplicaciones recibe uno o más paquetes cifrados desde el cliente a través de la conexión autentificada; el controlador de la interfaz de red descifra el uno o más paquetes cifrados con la clave de sesión; el controlador de interfaz de red descarta el uno o más paquetes si el descifrado no tiene éxito; y si la desencriptación tiene éxito, el servidor de aplicaciones proporciona uno o más paquetes descifrados
Description
Marco de distribución de clave simétrica para Internet
Campo de la invención
La invención se refiere a la distribución constante y dinámica de claves simétricas desde un servidor de distribución de claves dedicado a clientes a través de Internet.
Antecedentes de la invención
El World Wide Web es fundamentalmente una aplicación cliente/servidor que se ejecuta a través de Internet. Las amenazas a la seguridad en Internet han aumentado exponencialmente en los últimos años. Una forma de clasificar las amenazas de seguridad diferentes en cuanto a la ubicación de la amenaza: servidor web, navegador web del cliente, y el tráfico entre el navegador web del cliente y el servidor. Teniendo en cuenta el tráfico entre el cliente y el servidor, que es fácil de implementar “Fuerza de tarea de ingeniería de Internet” (IETF), “Seguridad de protocolo de Internet” (IPSec) y TLS (“Seguridad de capa de transporte”), protocolos de seguridad basados en red, que dependen de la negociación de las claves de la sesión entre clientes y servidores utilizando criptografía de clave asimétrica cara (por ejemplo, Diffie-Hellman). Los servidores tienen que seguir la pista de decenas de miles de claves simétricas transitorias negociadas en función de cada sesión. El resultado es que las memorias que se vende por las asociaciones de seguridad para realizar las operaciones criptográficas para estos protocolos en hardware se convierten en prohibitivamente caras debido a la cantidad de estado que debe ser mantenido (por no hablar de los costes de la negociación de claves).
Tecnología relacionada se divulga en la publicación de la solicitud de patente US 2006/0047944 A1 de Roger Kilian-Kehr, indicándose las características de la misma en el preámbulo de cada reivindicación independiente. Este documento divulga técnicas que permiten un acceso al sistema informático de destino a los datos del usuario sólo después de la verificación de la fiabilidad del sistema informático de destino. El acceso se concede por una tercera parte de confianza que proporciona al sistema de destino una clave de descifrado en el establecimiento exitoso de la confiabilidad. Un módulo de plataforma segura (TPM) en el sistema de destino puede proporcionar el TTP con indicadores que reflejan la fiabilidad del sistema de destino. Protocolos conocidos "Alianza de plataforma informática segura" (TCPA) se utilizan para comunicarse entre el destino y el TPM.
Breve descripción de los dibujos
La presente invención se ilustra a modo de ejemplo y no está limitada por los dibujos, en los que referencias similares indican elementos similares, y en los que:
La figura 1 describe un dispositivo y un sistema para la distribución de clave simétrica a través de Internet.
La figura 2 es un diagrama de flujo de una realización de un proceso para distribuir información de las claves usando un servidor de distribución de claves.
Descripción detallada de la invención
Se describen realizaciones de un procedimiento, dispositivo y sistema de distribución de claves simétricas desde un servidor a los clientes a través de Internet. En la siguiente descripción, se indican numerosos detalles específicos. Sin embargo, se entiende que las realizaciones se pueden practicar sin estos detalles específicos. En otros casos, elementos, especificaciones y protocolos bien conocidos no han sido descritos en detalle con el fin de evitar el oscurecimiento de la presente invención.
La figura 1 describe un dispositivo y un sistema de distribución de claves simétricas a través de Internet. En muchas realizaciones, un cliente 100 está conectado a un dominio 102 a través de Internet 104. Internet es una serie en todo el mundo de las redes de ordenadores de acceso público interconectados que transmiten datos a través de protocolos tal como el protocolo de Internet (IP) estándar. Más específicamente, Internet es una "red de redes" que consiste en millones de pequeñas redes domésticas, académicas, empresariales y gubernamentales que, en conjunto, llevan información y servicios diversos. Físicamente, Internet incluye redes troncales por cable, ópticas e inalámbricas que comprenden el medio sobre el cual se transmite la información.
En diferentes formas de realización, el cliente puede ser un ordenador de sobremesa, un ordenador portátil, un dispositivo móvil inalámbrico, un teléfono celular, un decodificador para un televisor o cualquier otro tipo de dispositivo informático que tiene la capacidad de conectarse a Internet. La conexión del cliente a Internet puede ser a través de mecanismos tales como enrutadores, conmutadores, puntos de acceso, entre otros dispositivos que se conectan dispositivos individuales a Internet.
En diferentes realizaciones, el dominio puede ser un dominio para una red de una empresa, una institución científica, una universidad, una oficina del gobierno, una persona individual, entre otros. El dominio consiste en uno o más
servidores de sistemas informáticos que llevan a cabo una serie de funciones que permiten que la información pase entre los ordenadores y los usuarios en el dominio e Internet. Cada dominio tiene un nombre de dominio que se asigna a una dirección IP específica.
La figura 1 ilustra un ejemplo de una serie de servidores que realizan funciones vitales dentro del dominio. En diferentes realizaciones, estos servidores pueden ser máquinas separadas físicamente o pueden ser aplicaciones que se ejecutan en una sola máquina (por ejemplo, en distintas particiones de la máquina).
El cliente puede solicitar el acceso al dominio 102 para servicios. En muchas realizaciones, un servidor de aplicaciones 106 situado dentro del dominio proporciona uno o más de estos servicios que el cliente 100 desea (por ejemplo, servicio de almacenamiento de información, servicio de recuperación de noticias, servicio de correo electrónico, etc.).
En muchas realizaciones, el dominio 102 tiene un cortafuegos 108. El cortafuegos 108 es una forma de seguridad que trata de evitar que los usuarios y los programas malintencionados entren en el dominio de Internet 104. El cortafuegos 108 puede ser un servidor independiente (mostrado) o puede ser parte de uno de los otros servidores en la figura 1 (no mostrado).
El dominio también incluye un servidor DHCP (protocolo de configuración de huésped dinámico) 110. Suponiendo que el cliente 100 está configurado con DHCP, cuando el cliente 100 se conecta al dominio 102, el programa del cliente DHCP en el cliente 100 envía una consulta de difusión solicitando la información necesaria desde el servidor DHCP
110. El servidor DHCP 110 gestiona un conjunto de direcciones IP e información sobre los parámetros de configuración del cliente, tales como el nombre de dominio, la puerta de enlace predeterminada, entre otros. Además, el servidor DHCP 110 tiene información sobre la presencia y la dirección de un servidor DNS (sistema de nombres de dominio) 112 ubicado en el dominio 102. Tras la recepción de una solicitud válida desde el cliente 100, el servidor DHCP 110 asignará al cliente 100 una dirección IP y otros parámetros.
El cliente 100, ahora configurado con una dirección IP recibida desde el servidor DHCP 110 y la dirección del servidor DNS 112, puede ahora interactuar con el servidor DNS 112. El servidor DNS 112 proporciona direcciones IP de servidores y otros dispositivos dentro en el dominio 102.
Volviendo al servidor de aplicaciones 106, uno o más procesadores 114 están presentes en el servidor de aplicaciones
106. En realizaciones diferentes, cada uno de estos procesadores puede ser de uno o múltiples núcleos. Por lo tanto, en algunas realizaciones, el servidor de aplicaciones es un multiprocesador, servidor de múltiples núcleos y en otras realizaciones, el servidor de aplicaciones es de un solo procesador, servidor de un solo núcleo, y en otras realizaciones, el servidor de aplicaciones es un derivado de una combinación de los sistemas descritos anteriormente de procesador simple/múltiple, núcleo simple/múltiple. En otras realizaciones, puede haber más de un servidor de aplicaciones presente para servicios adicionales o el mismo servicio puede ser distribuido entre varios servidores de aplicaciones para equilibrar la carga del cliente. Muchas de las configuraciones descritas anteriormente de procesador y servidor no se muestran en la figura 1, ya que un solo procesador en un solo servidor proporciona una realización adecuada para describir la situación cliente/servidor.
Además, el servidor de aplicaciones 106 también incluye una memoria del sistema 116 para almacenar instancias actuales de uno o más sistemas operativos, tal como el sistema operativo (OS) 118. En operaciones normales, el procesador 114 en el servidor de aplicaciones 106 puede atender una serie de peticiones de los clientes a través de Internet 104, tal como un cliente 100. Después de pasar por los procedimientos de encaminamiento con el servidor DHCP 110 y el servidor DNS 112, el cliente normalmente interactúa con el servidor de aplicaciones 106 para tener acceso a los servicios del servidor de aplicaciones.
Aunque, en muchas realizaciones, el servidor de aplicaciones 106 puede tener una o más políticas de salud que requieren que cualquier cliente interactúe. Por ejemplo, puede haber un mínimo nivel requerido de salud que un cliente debe superar antes de que se conceda el acceso a interactuar con el servidor de aplicaciones 106. Estos niveles de salud pueden ser predeterminados o determinarse de forma dinámica en función del entorno. Si el nivel de salud no se cumple por un cliente, un controlador de interfaz de red (NIC) 120 puede rechazar paquetes de ese cliente. El NIC 120 es una interfaz de hardware que gestiona y permite que el servidor de aplicaciones 106 acceda a la red informática interna dentro del dominio.
Para determinar con seguridad la salud del cliente, en muchas realizaciones, un dispositivo de tecnología de gestión activa (AMT) de Intel® 122 u otro dispositivo de medición de seguridad independiente que funciona de forma similar a la AMT está presente en el cliente 100. En algunas realizaciones, la AMT 122 puede medir la salud del sistema del cliente. Esta medida puede incluir información tal como el software instalado en el cliente, el sistema operativo instalado en el cliente, la versión de software antivirus instalado en el cliente, y cuan reciente y la cantidad de ataques se ha gestionado el sistema del cliente, entre otros elementos de información . Lógica dentro de la AMT 122 puede obtener esta información, o la lógica de cualquier otra parte del cliente 100 puede recopilar la información de la salud y la AMT 122 puede verificar la autenticidad de la información de salud. Una vez que esta información de salud se reúne,
la AMT 122 puede firmar la información de salud con un certificado digital de seguridad. El cliente 100 entonces puede enviar la información de salud segura a través de Internet 104 al dominio 102.
En muchas realizaciones, una vez que el cliente 100 ha recibido inicialmente la dirección IP del servidor de aplicaciones 106, el cliente 100 solicita los requisitos de la política de salud del servidor de aplicaciones 106 para ver qué requisitos son necesarios para interactuar con el servidor de aplicaciones 106. En muchas realizaciones, un programa de resolución que se ejecuta en el cliente 100 busca la política de salud del cliente que se requiere en el servidor de aplicaciones 106. Esta solicitud podrá ser gestionada directamente por el NIC 120. El NIC 120 puede almacenar información de la política de salud asociada con el servidor de aplicaciones 106 que reside dentro y puede dar servicio a las peticiones de política de salud de cualquier cliente, de manera que ninguna carga de solicitud inicial requiere la interacción directa con el procesador 114, la memoria 116, o el sistema operativo 118.
Además de los requisitos de la política de salud para los clientes, el programa de resolución, después de realizar una política de salud del cliente busca en el servidor de aplicaciones, también puede notificar al cliente de solicitudes que el dominio 102 incluye un servidor de distribución de claves (KDS) 124 o múltiples KDS. Esta información se obtendría mediante el programa de resolución durante la búsqueda. El KDS 124 es capaz de validar la información de salud recibida de los clientes. Una vez validado, el KDS 124 puede proporcionar al cliente una clave de sesión específica del cliente para una interacción segura con el servidor de aplicaciones 106. Se presume que el KDS 124 en el dominio 102 es de confianza para el servidor de aplicaciones 106.
El NIC 120 en el servidor de aplicaciones puede ser proporcionado por el KDS 124 con la clave maestra para la generación de claves de sesión. Por ejemplo, una vez que el KDS 124 ha autenticado la salud del cliente, el KDS puede generar una clave maestra para una sesión entre el cliente 100 y el servidor de aplicaciones 106. El KDS 124 envía una clave de sesión, que se genera a partir de la información de identificación del cliente y la clave maestra para el cliente 100.
En algunas realizaciones, la clave de sesión se envía al cliente usando el protocolo SSL (capa de ranuras segura). En otras realizaciones, la clave de sesión se envía al cliente usando el protocolo TLS (seguridad de capa de transporte). Los protocolos TLS y SSL permiten las comunicaciones privadas a través de una red de una forma diseñada para prevenir el espionaje, la manipulación y la falsificación de mensajes. Estos protocolos proporcionan autenticación de punto final y la privacidad de las comunicaciones a través de Internet utilizando criptografía.
El KDS 124 también envía la clave maestra al NIC 120 en el servidor de aplicaciones 106. Utilizando la clave de sesión recibida del KDS 124, el cliente puede establecer ahora una conexión cifrada y autentificada con el servidor de aplicaciones. El cliente puede enviar paquetes cifrados al servidor de aplicaciones 106 usando un formato de paquete IPSec (seguridad de protocolo de Internet). El paquete de formato del encabezado del paquete IPSec incluye un campo de índice de parámetros de seguridad (SPI) que tiene la información de identificación del cliente.
Una vez que el NIC 120 recibe un paquete IPSec desde el cliente 100, la lógica en el NIC 120 verifica la identidad del cliente dentro del SPI, y, utilizando la clave maestra recibida del KDS 124, genera el lado del servidor de la clave simétrica usando una función clave tal como:
Clave de sesión = f (clave maesta, SPI del cliente)
Una vez que versión del NIC 120 de la clave de la sesión se genera, el NIC 120 puede descifrar el paquete del cliente 100 y envía los paquetes desencriptados a la pila de software de red en el servidor de aplicaciones 106 de manera que el procesador 114 y OS 118 puedan usar el paquete.
Si el descifrado de los paquetes no tiene éxito, el NIC 120 puede descartar el paquete. Esto eliminará cualquier sobrecarga realizada por el procesador 114, ya que el procesador 114 nunca vería el paquete.
Por lo tanto, mediante la utilización del sistema y de un dispositivo KDS descrito anteriormente, KDS puede realizar la mayoría, si no todas, las operaciones de distribución de claves criptográficas, por lo tanto, eliminando este importante volumen de trabajo del servidor de aplicaciones 106. Además, el procesador 114 y el OS 118 que residen en el servidor de aplicaciones 106 también se eliminan del trabajo de descifrado porque el NIC 120 es independientemente capaz de descifrar los paquetes entrantes y enviar los paquetes descifrados junto a la pila de red que reside en el software del servidor de aplicaciones 106.
En muchas realizaciones, hay múltiples KDSs distribuidos en el dominio 102. Los múltiples KDSs pueden proporcionar beneficios tales como el equilibrio de la carga de la distribución de claves a muchos clientes, así como proporcionar una mayor seguridad mediante la distribución de la funcionalidad del KDS, de manera que un ataque a cualquier servidor no sería capaz de burlar el sistema de distribución de claves. Cualquier algoritmo de equilibrio general de carga de servidores distribuidos puede ser utilizado para equilibrar la carga entre los múltiples KDSs. Por ejemplo, el programa de resolución en el cliente 100, después de realizar una búsqueda de DNS para el KDS mediante la interacción con el servidor DNS 112, puede aplicar un algoritmo de equilibrio de carga a la dirección IP devuelta del
KDS. Esto puede enviar la solicitud de clave del cliente a cualquiera de los muchos KDSs presentes en el dominio.
Además, en muchas realizaciones, el NIC 120 podrá informar al KDS 124, cuando se producen una o más situaciones anormales con los paquetes entrantes de los clientes. El KDS 124 puede tomar las medidas adecuadas respecto a uno
o más clientes cuando haya sido informado de este comportamiento anormal del NIC 120. Por ejemplo, el KDS 124 puede guardar una lista de revocación de claves y/o clientes. Por lo tanto, si el NIC 120 informa al KDS 124 cuando ve los paquetes que contienen el mismo ID de cliente, pero en diferentes direcciones IP, entonces el KDS 124 puede poner la clave asociada con el ID de cliente en la lista de revocación y distribuir una nueva clave para el cliente. Si el NIC 120 informa al KDS 124 que esta nueva clave vuelve a ser utilizada por varios clientes, el cliente que solicitó la clave puede ser puesto en la lista de revocación para denegar de forma permanente a ese cliente más comunicación con cualquier servidor de la red.
En muchas realizaciones, la información sobre la salud del KDS 124 que se recibe desde un cliente también podría estar superpuesta con otra información del cliente, incluyendo las capacidades del cliente y los roles potenciales (es decir, información de postura). El KDS 124 puede utilizar esta información adicional para decidir qué servidores dentro del dominio del cliente 102 se le permitirá comunicarse con ellos. Por lo tanto, el KDS 124 puede enviar un conjunto de claves utilizadas para comunicarse con este conjunto determinado de servidores.
La figura 2 es un diagrama de flujo de una realización de un proceso para distribuir información de la clave mediante un servidor de distribución de claves. El proceso se puede realizar por hardware, software, o una combinación de ambos. El proceso comienza mediante el procesamiento lógico en una máquina del cliente que solicita un servidor DHCP en un dominio para proporcionar la dirección IP del servidor DNS en el dominio y también una dirección IP para el cliente (bloque de procesamiento 200). Entonces la lógica de procesamiento en el servidor DHCP contesta con la dirección IP del servidor DNS y el cliente (bloque de procesamiento 202).
El proceso continúa con la lógica de procesamiento en el cliente que solicita al servidor DNS buscar la dirección IP de un servidor de aplicaciones en el dominio (bloque de procesamiento 204). Entonces la lógica de procesamiento responde al servidor DNS con la dirección IP del servidor de aplicaciones (bloque de procesamiento 206). El procesamiento lógico dentro de un programa de resolución de clientes entonces, utilizando la dirección IP del servidor de aplicaciones, pregunta al servidor de aplicaciones para buscar la validación de la salud y la política de autentificación del servidor de aplicaciones (bloque de procesamiento 208).
Los resultados de la búsqueda de la política de resolución de clientes en el servidor de aplicaciones se determinan entonces mediante la lógica de procesamiento (bloque de procesamiento 210). Si el servidor de aplicaciones no tiene una política presente, entonces la lógica de procesamiento en el cliente procede con una petición HTTP regular al servidor de aplicaciones (bloque de procesamiento 212).
De lo contrario, si la política de validación/acreditación de la salud está presente, entonces la lógica de procesamiento sabe que un servidor KDS está presente en el dominio. Por lo tanto, la lógica de procesamiento en el cliente solicita la dirección IP del servidor KDS del servidor DNS (bloque de procesamiento 214). A continuación, el servidor DNS responde al cliente con la dirección IP del servidor KDS (bloque de procesamiento 216). La lógica de procesamiento en el cliente luego mide la salud del cliente (bloque de procesamiento 218). La medición de la salud se puede hacer utilizando un dispositivo AMT u otro dispositivo utilizado para verificar que la máquina del cliente es saludable y no está comprometida. La lógica de procesamiento en el cliente a continuación proporciona la información de la salud y potencialmente otra información de la postura al servidor KDS (bloque de procesamiento 220).
La lógica de procesamiento en el servidor KDS a continuación realiza un procedimiento de validación de la información de la salud del cliente medida (bloque de procesamiento 222). Este procedimiento de validación puede ser cualquiera de una serie de políticas de requisitos de salud. Esto debe decidirse en una base servidor a servidor basada en el nivel de seguridad requerido para el acceso del cliente al servidor de aplicaciones en el dominio.
En este punto, la lógica de procesamiento ha determinado la salud del cliente (bloque de procesamiento 224). Si el cliente no se considera saludable por el servidor KDS, el servidor KDS no envía una clave de sesión al cliente (bloque de procesamiento 226). De lo contrario, si el cliente es considerado saludable por el servidor KDS, el servidor KDS envía una clave de sesión única (es decir, la clave de derivación) al cliente (bloque de procesamiento 228). Cuando el cliente recibe la clave, la lógica de procesamiento en el cliente continúa con una solicitud segura al servidor de aplicaciones utilizando la clave de sesión única (bloque de procesamiento 230). Finalmente, la lógica de procesamiento en el NIC del servidor de aplicaciones recibe la solicitud segura por parte del cliente y descifra el paquete con una clave de sesión derivada de la identificación del cliente y una llave maestra proporcionada desde el KDS (bloque de procesamiento 232). Una vez que el paquete se descifra, el paquete puede ser enviado a la pila de software de red para su posterior procesamiento en el servidor de aplicaciones y el proceso ha terminado.
De este modo, se describen realizaciones de un procedimiento, dispositivo y sistema de distribución de claves simétricas desde un servidor a clientes a través de Internet. Estas realizaciones se han descrito con referencia a determinados ejemplos de realización de las mismas. Es evidente que las personas que tengan el beneficio de esta exposición que varias modificaciones y cambios se pueden hacer a estas realizaciones, sin apartarse del alcance de las realizaciones descritas en este documento. La memoria y los dibujos, en consecuencia, deben considerarse de forma ilustrativa y no un sentido restrictivo.
Claims (10)
- REIVINDICACIONES1. Procedimiento, que comprende: un servidor de distribución de claves que recibe información de la salud medida de un cliente; el servidor validando la información de salud medida; el servidor enviando una clave de sesión al cliente cuando la información de salud medida se valida, y al recibir la clave de sesión, el cliente inicia una conexión cifrada y autentificada con un servidor de aplicaciones en eldominio;caracterizado porque:un controlador de interfaz de red en el servidor de aplicaciones recibe uno o más paquetes cifrados desde el cliente a través de la conexión autentificada; el controlador de la interfaz de red descifra el uno o más paquetes cifrados con la clave de sesión; el controlador de interfaz de red descarta el uno o más paquetes si el descifrado no tiene éxito; y si la desencriptación tiene éxito, el servidor de aplicaciones proporciona uno o más paquetes descifrados.
-
- 2.
- Procedimiento según la reivindicación 1, en el que el servidor de distribución de claves es direccionable en un dominio de Internet.
-
- 3.
- Procedimiento según la reivindicación 2, que también comprende: el cliente busca una política de cliente en el servidor de distribución de claves; sobre la base de la política de distribución de claves del cliente del servidor, el cliente mide la información sobre la
salud del cliente; y el cliente firma la información de salud medida del cliente. -
- 4.
- Procedimiento según la reivindicación 1, en el que uno o más paquetes cifrados son paquetes de seguridad de protocolo Internet (IPSec).
-
- 5.
- Dispositivo, que comprende: una lógica del servidor de distribución de claves operable para recibir información de la salud medida desde un cliente, validar la información de salud medida, y enviar una clave de sesión al cliente cuando la información de salud medida se valida; caracterizado porque: la lógica del servidor de aplicaciones incluye un controlador de interfaz de red, el controlador es operable para:
recibir un paquete desde el cliente, en el que el paquete se cifra usando la clave de sesión; descifrar el paquete utilizando la clave de sesión; y descartar el paquete si el descifrado no es exitoso;y la lógica del servidor de aplicaciones es operable para proporcionar el paquete descifrado si la desencriptación tiene éxito. -
- 6.
- Dispositivo según la reivindicación 5, en el que el dispositivo es direccionable en un dominio de Internet.
-
- 7.
- Dispositivo según la reivindicación 5, en el que el dispositivo es también operable para almacenar una política del cliente para indicar al cliente uno o más requisitos necesarios para interactuar con el dispositivo.
-
- 8.
- Sistema, que comprende: un cliente; un servidor de distribución de claves operable para recibir información de salud medida del cliente,
5 validar la información de salud medida, y enviar una clave de sesión al cliente cuando la información de salud medida se valida; y un servidor de aplicaciones que comprende:una memoria para almacenar un sistema operativo; un procesador operable para ejecutar instrucciones del sistema operativo;10 caracterizado porque el servidor de aplicaciones también comprende: un controlador de interfaz de red operable para recibir un paquete desde el cliente, en el que el paquete se cifra usando la clave de sesión, descifrar el paquete utilizando la clave de sesión, descartar el paquete cuando el descifrado no es correcto;15 enviar el paquete desencriptado al sistema operativo para su uso por el procesador cuando la descripción esexitosa, y en el que el procesador no realiza ninguna operación en el paquete cuando el controlador de interfaz de red descarta el paquete. - 9. Sistema según la reivindicación 13, que también comprende un servidor de nombres de dominio operable para 20 proporcionar la dirección del servidor de distribución de claves al cliente.
- 10. Sistema según la reivindicación 13, en el que el cliente comprende un componente de gestión de seguridad operable para medir la salud del dispositivo del cliente, generar información de salud del cliente basada en la medición, yfirmar la información de salud medida del cliente. 25
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US957184 | 1992-10-07 | ||
US11/957,184 US8532303B2 (en) | 2007-12-14 | 2007-12-14 | Symmetric key distribution framework for the internet |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2376143T3 true ES2376143T3 (es) | 2012-03-09 |
Family
ID=40601194
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES08253837T Active ES2376143T3 (es) | 2007-12-14 | 2008-11-28 | Marco de distribución de clave simétrica para internet. |
Country Status (6)
Country | Link |
---|---|
US (3) | US8532303B2 (es) |
EP (1) | EP2073496B1 (es) |
JP (2) | JP4981782B2 (es) |
CN (1) | CN101488950B (es) |
AT (1) | ATE531177T1 (es) |
ES (1) | ES2376143T3 (es) |
Families Citing this family (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2434947B (en) * | 2006-02-02 | 2011-01-26 | Identum Ltd | Electronic data communication system |
US8532303B2 (en) | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
US9443084B2 (en) * | 2008-11-03 | 2016-09-13 | Microsoft Technology Licensing, Llc | Authentication in a network using client health enforcement framework |
US9537650B2 (en) | 2009-12-15 | 2017-01-03 | Microsoft Technology Licensing, Llc | Verifiable trust for data through wrapper composition |
US10348693B2 (en) | 2009-12-15 | 2019-07-09 | Microsoft Technology Licensing, Llc | Trustworthy extensible markup language for trustworthy computing and data services |
US8856518B2 (en) * | 2011-09-07 | 2014-10-07 | Microsoft Corporation | Secure and efficient offloading of network policies to network interface cards |
CN103856321A (zh) * | 2012-12-07 | 2014-06-11 | 观致汽车有限公司 | 一种数据加密解密方法及其系统 |
US9419953B2 (en) | 2012-12-23 | 2016-08-16 | Mcafee, Inc. | Trusted container |
US8850543B2 (en) | 2012-12-23 | 2014-09-30 | Mcafee, Inc. | Hardware-based device authentication |
US8955075B2 (en) | 2012-12-23 | 2015-02-10 | Mcafee Inc | Hardware-based device authentication |
US10346388B2 (en) * | 2013-05-03 | 2019-07-09 | Sap Se | Performance and quality optimized architecture for cloud applications |
US11601620B2 (en) | 2013-07-22 | 2023-03-07 | Intellivision Technologies Corp. | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
US10979674B2 (en) | 2013-07-22 | 2021-04-13 | Intellivision | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
US9692759B1 (en) | 2014-04-14 | 2017-06-27 | Trend Micro Incorporated | Control of cloud application access for enterprise customers |
US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
US20220360573A1 (en) * | 2015-01-07 | 2022-11-10 | Cyph Inc. | Encrypted group communication method |
US20180099846A1 (en) | 2015-03-06 | 2018-04-12 | Wal-Mart Stores, Inc. | Method and apparatus for transporting a plurality of stacked motorized transport units |
US10239740B2 (en) | 2015-03-06 | 2019-03-26 | Walmart Apollo, Llc | Shopping facility assistance system and method having a motorized transport unit that selectively leads or follows a user within a shopping facility |
WO2016142794A1 (en) | 2015-03-06 | 2016-09-15 | Wal-Mart Stores, Inc | Item monitoring system and method |
US20170063853A1 (en) * | 2015-07-10 | 2017-03-02 | Infineon Technologies Ag | Data cipher and decipher based on device and data authentication |
CA2961938A1 (en) | 2016-04-01 | 2017-10-01 | Wal-Mart Stores, Inc. | Systems and methods for moving pallets via unmanned motorized unit-guided forklifts |
CN106685906B (zh) * | 2016-06-29 | 2018-10-30 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
US10630659B2 (en) * | 2016-09-30 | 2020-04-21 | Nicira, Inc. | Scalable security key architecture for network encryption |
US10333930B2 (en) * | 2016-11-14 | 2019-06-25 | General Electric Company | System and method for transparent multi-factor authentication and security posture checking |
CN113630773B (zh) * | 2017-01-24 | 2023-02-14 | 华为技术有限公司 | 安全实现方法、设备以及系统 |
CN108418679B (zh) * | 2017-02-10 | 2021-06-29 | 阿里巴巴集团控股有限公司 | 一种多数据中心下处理密钥的方法、装置及电子设备 |
CN107133285B (zh) * | 2017-04-18 | 2019-08-30 | 北京北信源软件股份有限公司 | 一种分布式主键生成方法与装置 |
US10757105B2 (en) * | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
KR101932505B1 (ko) | 2017-07-21 | 2018-12-26 | 동서대학교 산학협력단 | Sdn에서 보안성 강화를 위한 rest 액세스 파라미터 충돌회피 방법 |
US10701046B1 (en) * | 2017-10-24 | 2020-06-30 | Verisign, Inc. | Symmetric-key infrastructure |
US10680806B1 (en) | 2017-10-24 | 2020-06-09 | Verisign, Inc. | DNS-based symmetric-key infrastructure |
EP3685299A4 (en) * | 2018-01-02 | 2021-04-14 | Hewlett-Packard Development Company, L.P. | REGULATION OF THE MODIFICATION |
US11640475B1 (en) * | 2019-11-26 | 2023-05-02 | Gobeep, Inc. | Systems and processes for providing secure client controlled and managed exchange of data between parties |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6061796A (en) * | 1997-08-26 | 2000-05-09 | V-One Corporation | Multi-access virtual private network |
US7146505B1 (en) * | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
ATE350829T1 (de) | 1999-06-10 | 2007-01-15 | Alcatel Internetworking Inc | System und verfahren zur einheitlichen regelverwaltung mit integriertem regelumsetzer |
US7162649B1 (en) * | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
US7165175B1 (en) | 2000-09-06 | 2007-01-16 | Widevine Technologies, Inc. | Apparatus, system and method for selectively encrypting different portions of data sent over a network |
US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
US6834301B1 (en) * | 2000-11-08 | 2004-12-21 | Networks Associates Technology, Inc. | System and method for configuration, management, and monitoring of a computer network using inheritance |
DE10056841A1 (de) | 2000-11-16 | 2002-05-23 | Basf Ag | Verfahren und Vorrichtung zur destillativen Gewinnung von 1,3-Reinbutadien aus 1,3-Rohbutadien |
US6965928B1 (en) * | 2001-03-09 | 2005-11-15 | Networks Associates Technology, Inc. | System and method for remote maintenance of handheld computers |
US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
US20030140257A1 (en) | 2002-01-22 | 2003-07-24 | Petr Peterka | Encryption, authentication, and key management for multimedia content pre-encryption |
US7234063B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
US7533407B2 (en) * | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
US7673326B2 (en) * | 2004-02-04 | 2010-03-02 | Microsoft Corporation | System and method utilizing clean groups for security management |
US20050273853A1 (en) * | 2004-05-24 | 2005-12-08 | Toshiba America Research, Inc. | Quarantine networking |
US20060010485A1 (en) * | 2004-07-12 | 2006-01-12 | Jim Gorman | Network security method |
US20060047944A1 (en) | 2004-09-01 | 2006-03-02 | Roger Kilian-Kehr | Secure booting of a computing device |
WO2006034201A2 (en) * | 2004-09-17 | 2006-03-30 | Hobnob, Inc. | Quarantine network |
US20060085850A1 (en) | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
US7477740B2 (en) * | 2005-01-19 | 2009-01-13 | International Business Machines Corporation | Access-controlled encrypted recording system for site, interaction and process monitoring |
JP2006253888A (ja) | 2005-03-09 | 2006-09-21 | Mitsubishi Electric Corp | 位置情報管理装置及び位置情報管理方法 |
JP2006338587A (ja) | 2005-06-06 | 2006-12-14 | Hitachi Ltd | アクセス制御サーバ、利用者端末及び情報アクセス制御方法 |
CN1731726B (zh) * | 2005-08-09 | 2011-04-20 | 刘津立 | 一种手机关联服务器组建的安全基础设施及增值方案 |
US20080037775A1 (en) * | 2006-03-31 | 2008-02-14 | Avaya Technology Llc | Verifiable generation of weak symmetric keys for strong algorithms |
EP1873668A1 (en) | 2006-06-28 | 2008-01-02 | Nokia Siemens Networks Gmbh & Co. Kg | Integration of device integrity attestation into user authentication |
US8661249B2 (en) * | 2007-09-24 | 2014-02-25 | Microsoft Corporation | Health keyset management |
US8532303B2 (en) | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
-
2007
- 2007-12-14 US US11/957,184 patent/US8532303B2/en not_active Expired - Fee Related
-
2008
- 2008-11-28 AT AT08253837T patent/ATE531177T1/de not_active IP Right Cessation
- 2008-11-28 EP EP20080253837 patent/EP2073496B1/en not_active Not-in-force
- 2008-11-28 ES ES08253837T patent/ES2376143T3/es active Active
- 2008-12-02 JP JP2008307458A patent/JP4981782B2/ja not_active Expired - Fee Related
- 2008-12-15 CN CN2008101909872A patent/CN101488950B/zh not_active Expired - Fee Related
-
2012
- 2012-04-20 JP JP2012096711A patent/JP5346107B2/ja not_active Expired - Fee Related
-
2013
- 2013-07-29 US US13/953,594 patent/US9015484B2/en not_active Expired - Fee Related
-
2015
- 2015-04-20 US US14/691,203 patent/US9654453B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
ATE531177T1 (de) | 2011-11-15 |
US20090154708A1 (en) | 2009-06-18 |
JP2012182812A (ja) | 2012-09-20 |
JP2009147927A (ja) | 2009-07-02 |
CN101488950A (zh) | 2009-07-22 |
CN101488950B (zh) | 2013-11-13 |
US20150304286A1 (en) | 2015-10-22 |
US9015484B2 (en) | 2015-04-21 |
EP2073496B1 (en) | 2011-10-26 |
US9654453B2 (en) | 2017-05-16 |
JP4981782B2 (ja) | 2012-07-25 |
US8532303B2 (en) | 2013-09-10 |
JP5346107B2 (ja) | 2013-11-20 |
US20130311777A1 (en) | 2013-11-21 |
EP2073496A1 (en) | 2009-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2376143T3 (es) | Marco de distribución de clave simétrica para internet. | |
US11811740B2 (en) | Content security at service layer | |
US8661252B2 (en) | Secure network address provisioning | |
ES2595105T3 (es) | Autenticación eficaz y segura de sistemas informáticos | |
JP2023514736A (ja) | 安全な通信のための方法及びシステム | |
US9876773B1 (en) | Packet authentication and encryption in virtual networks | |
US20120072717A1 (en) | Dynamic identity authentication system | |
Fotiou et al. | Access control for the internet of things | |
EP2311218B1 (en) | Http authentication and authorization management | |
US10158610B2 (en) | Secure application communication system | |
JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
Fongen et al. | The integration of trusted platform modules into a tactical identity management system | |
Razali et al. | The authentication techniques for enhancing the RPL security mode: A survey | |
US20150039881A1 (en) | Triggering an Internet Packet Protocol Against Malware | |
US20140189805A1 (en) | Reverse authorized syn cookie | |
Guenane et al. | A strong authentication for virtual networks using eap-tls smart cards | |
Bajpai et al. | Authentication and authorization interface using security service level agreements for accessing cloud services | |
Zúquete et al. | A security architecture for protecting LAN interactions | |
answers Verizon | 1.2 Securing Device Connectivity in the IoT | |
Khurana et al. | Data security during cloud storage in public cloud using “Kerberos: An authentication protocol” | |
Zúquete | Protection of LAN-wide, P2P interactions: a holistic approach | |
Ramadass | Active Networks: Safety Issue |