FI105739B - Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten - Google Patents

Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten Download PDF

Info

Publication number
FI105739B
FI105739B FI981324A FI981324A FI105739B FI 105739 B FI105739 B FI 105739B FI 981324 A FI981324 A FI 981324A FI 981324 A FI981324 A FI 981324A FI 105739 B FI105739 B FI 105739B
Authority
FI
Finland
Prior art keywords
network
network device
configuration
identifier
packet
Prior art date
Application number
FI981324A
Other languages
English (en)
Swedish (sv)
Other versions
FI981324A (fi
FI981324A0 (fi
Inventor
Tatu Yloenen
Original Assignee
Ssh Comm Security Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ssh Comm Security Oy filed Critical Ssh Comm Security Oy
Priority to FI981324A priority Critical patent/FI105739B/fi
Publication of FI981324A0 publication Critical patent/FI981324A0/fi
Priority to US09/326,003 priority patent/US6782474B1/en
Publication of FI981324A publication Critical patent/FI981324A/fi
Application granted granted Critical
Publication of FI105739B publication Critical patent/FI105739B/fi
Priority to US10/846,614 priority patent/US20040250072A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Description

105739
Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten - Nätanslutbar anordning samt förfarande för dess installation och konfigu-rering 0
Esillä oleva keksintö koskee verkkoon kytkettävää laitetta ja erityisesti sen asennus-5 ta ja konfigurointia. Asennus on yleinen käsite, joka kattaa kaikki laitteistoa koskevat toimenpiteet, joita tarvitaan laitteen kytkemiseksi verkkoon. Samalla tavalla ymmärretään, että konfigurointi kattaa kaikki ohjehnistotoimenpiteet, jotka mahdollistavat hallitun datasiirron verkossa kyseisen laitteen ja verkkoon kytkettyjen muiden laitteiden välillä. Keksintö ei rajoita kyseessä olevan verkon tyyppiä, se voi olla 10 Internet, omaverkko, lähiverkko (LAN, local area network), laaja verkko (WAN, wide area network), tai jokin muu verkko, joka on tarkoitettu datan välittämiseksi elektronisten päätteiden välillä. Verkon fyysinen muoto voi olla Ethernet™, Token Ring™, solukkoverkko tai jokin muu vastaava, sinänsä tunnettu verkko.
Älykkäät verkkolaitteet, kuten reitittimet, virtuaalisen yksityisverkon (VPN, virtual 15 private network) laitteet, tulostinpalvelimet, verkkotulostimet, verkkokamerat ja tie-toliikennesovittimet, vaativat ykrityiskohtaista konfigurointidataa ennenkuin ne voivat lähettää ja vastaanottaa tietoa hallitulla tavalla verkon kautta. Esimerkiksi IP-verkossa (Internet Protocol) laitteen on tiedettävä oma IP-osoitteensa ja oletusyh-dysväylän osoite, ja mahdollisesti runsaasti muuta konfigurointidataa.
20 Tieto kulkee verkoissa yleensä pakettien muodossa. Keksinnön taustatietona selitetään kahta tunnettua IP-pakettien osoitteistustapaa, nimittäin IPv4 (IP versio 4) ja IPv6 (IP versio 6) pakettiotslkot. IPv4-pakettiotsikon rakennetta havainnollistetaan kuvassa 1, ja IPv6-pakettiotsikon rakennetta havainnollistetaan kuvassa 2. Kuvissa 1 ja 2 sarakenumerot vastaavat bittejä.
25 Kuvassa 1 tunnetun IPv4-ötsikon kentät ovat seuraavat: versionumero (Version Number) 101, IHL 102, palvelun tyyppi (Type of Service) 103, kokonaispituus (Total Length) 104, tunniste (Identification) 105, liput (Flags) 106, sirpalepoikkea-·: ma (Fragment Offset) 107, kestoaika, (Time to Live) 108, protokolla (Protocol) 109, otsikon tarkistussumma (Header Checksum) 110, lähteen osoite (Source Address) 30 111, vastaanottajan osoite (Destination Address) 112, optiot (Options) 113, ja täyte (Padding) 114. Kuvassa 2 ehdotetun, tunnetun IPv6-otsikon kentät ovat seuraavat: versionumero (Version Number) 201, liikenneluokka (Traffic Class) 202, vuon tunnus (Flow Label) 203, hyötydatan pituus (Payload Length) 204, seuraava otsikko (Next Header) 205, hyppyraja (Hop Limit) 206, lähteen osoite (Source Address) 2 lUb/ö^ 207, ja vastaanottajan osoite (Destination Address) 208. Alan ammattilaiselle kenttien käyttö otsikoissa on tunnettua. IP-paketti käsittää kuvan 1 tai 2 tapaisen otsikon, jota seuraa dataosasto. IPv6-osoitustavassa voi olla joukko niin sanottuja laajen-nusotsikoita kuvassa 2 esitetyn pääotsikon ja dataosaston välissä.
5 Verkossa, jossa suojausominaisuudet ovat tärkeitä, voidaan oikeuksien tarkistaminen tehdä laskemalla viestin oikeutuskoodi (MAC, message authentication code) käyttämällä paketin sisältöä ja jaettua salaista avainta, ja lähettämällä laskettu MAC osana pakettia AH-otsikossa (Authentication Header) tai ESP-otsikossa (Encapsulating Security Payload). Yksityisyyttä sovelletaan tyypillisesti käyttämällä 10 salausta, jolloin käytetään ESP-otsikkoa. Kuvassa 3 havainnollistetaan AH-otsikkoa, jossa sarakenumerot vastaavat bittejä. Tunnetun AH-otsikon kentät ovat: seuraava otsikko (Next Header) 301, pituus (Length) 302, varattu (Reserved) 303, suojauspa-rametrit (Security Parameters) 304, ja oikeutusdata (Authentication Data) 305. Viimeisen kentän 305 pituus on vaihtuva määrä 32-bittisiä sanoja.
15 ESP-otsikko (Encapsulating Security Payload) voi esiintyä missä tahansa IP-paketin puitteissa IP-otsikon jälkeen ja ennen viimeistä kuljetuskerroksen protokollaa. Internet Assigned Numbers Authority on osoittanut protokollanumeron 50 ESP-otsikolle. Välittömästi ESP-otsikkoa edeltävä otsikko sisältää aina arvon 50 seuraavan otsikon kentässä (Next Header, IPv6) tai protokollakentässä (Protocol, IPv4). ESP-otsikko 20 käsittää salaamattoman otsikon, jota seuraa salattu data. Salattu data sisältää sekä suojatut ESP-otsikkokentät että suojatun käyttäjädatan, joka on joko kokonainen IP-datagrammi tai ylemmän kerroksen protokollakehys (esimerkiksi TCP ta UDP). Kuvassa 4a havainnollistetaan suojatun IP-datagrammin ylemmän tason kaaviota, jossa kentät ovat IP-otsikko (IP Header) 401, valinnainen toinen IP-otsikko 402, ESP-ot-25 sikko 403, ja salattu data 404. Kuva 4b havainnollistaa ESP-otsikon kahta osaa, jotka ovat 32-bittinen SPI-tunnistin 405 ja OT-datakenttä (Opaque Transform) 406, jonka pituus vaihtelee.
Uusien asennettujen verkkolaitteiden konfiguroimiseksi käytetään useampia olemas-.·: sa olevia ratkaisuja. Eräissä laitteissa on näyttö ja näppäimistö konfigurointidatan 30 syöttämistä varten. Muissa laitteissa voi olla sarjaportti, niin että konfigurointia varten laite voidaan liittää erilliseen konfigurointipäätteeseen. On myös olemassa ratkaisuja, joissa laitteen konfiguroimiseksi käytetään yleislähetettyä verkkopakettia tai ping-pakettia.
Näyttöön ja näppäimistöön perustuvat ratkaisut ovat usein liian kalliita ja käyttäjän 35 kannalta hankalia. Konfigurointipäätteen liittäminen laitteeseen aiheuttaa myös i 105739 3 käyttäjälle lisätyötä. Yleislähetyspaketteihin perustuvat menetelmät toimivat ainoastaan paikallisverkossa, eikä niitä voi käyttää laitteen kaukokonfigurointiin. Kaukon-figurointi käy yhä toivottavammaksi, kun asennettujen verkkolaitteiden lukumäärä kasvaa paljon nopeammin kuin niiden henkilöiden lukumäärä, jotka ovat riittävän 5 taitavia konfiguroimaan niitä. Lopuksi ping-paketteihin perustuvia menetelmiä voidaan käyttää laitteiden kaukokonfigurointia varten, mutta niissä konfigurointidatan määrä on rajoitettu. Sellaiset menetelmät eivät myöskään toimi, jos konfiguroitava laite on sellaisen laitteen takana, joka myös tarkkailee monia muita konfigurointipa-ketteja, tai jos samassa verkossa on samanlaisia, identtisiä laitteita.
10 Verkkojen kasvava käyttö, erityisesti Internetin lisääntyvä käyttö elektronista kaupankäyntiä varten ja yritysten tietoliikennettä varten tekee suojauksen yhä tärkeämmäksi. Verkon infrastruktuuriin kohdistuvat hyökkäykset käyvät tavallisemmiksi. Eräs mahdollisuus sellaisten hyökkäysten tekemiseksi on se hetki, jolloin verkkolaitetta konfiguroidaan. Tällä hetkellä useimmat laitteet eivät tarjoa mitään suojausta, 15 ja hyökkääjä pystyy lataamaan laitteeseen oman konfiguroinnin ja ohjelmiston. Vaa rassa oleva laite voi sen jälkeen näytellä tärkeää osaa hyökkäyksen jatkamisessa.
Olemassa olevilta konfigurointimenetelmiltä verkkolaitteiden konfiguroimiseksi puuttuvat helppokäyttöisyys, selkeys ja suojaus. Laitteen konfiguroinnin aikaiset ongelmat ovat käyttäjille usein hyvin vaikeasti ymmärrettäviä ja ratkaistavia. Tämän 20 vuoksi toivotaan menetelmän aikaansaamista konfigurointidatan lataamiseksi verkkolaitteeseen luotettavalla, helppokäyttöisellä ja suojatulla tavalla. Tämän keksinnön tavoitteena on sellaisen menetelmän aikaansaaminen, sekä verkkolaitteen aikaan-. saaminen, jossa menetelmää voidaan soveltaa.
Keksinnön tavoite saavutetaan asentamalla verkkolaite tyhjässä tilassa, ja yleislähet-25 tämällä verkkoon konfigurointipaketti, jolla on laitekohtainen tunniste, tarvittavan konfiguroinnin lataamiseksi asennettuun laitteeseen.
Keksinnön mukaiselle menetelmälle on tunnusomaista, että se käsittää vaiheet, jois-' : sa - lähetetään hallinta-asemalta konfigurointipaketti verkkolaitteelle, ’ 30 - tarkistetaan verkkolaitteella, että hallinta-asema on konfigurointipaketin aito lähet täjä, ja - dekoodataan mainittuun konfigurointipakettiin sisältyvät konfigurointiparametrit ja tallennetaan ne verkkolaitteen konfigurointiparametreiksi.
4 105739
Keksintö koskee myös verkkolaitetta, jolle on tunnusomaista, että se käsittää lasken-talohkon, joka on jäljestetty - laskemaan laitteentunnisteet tunnistetuista paketeista johdettujen salausavainten avulla, ja 5 - vertaamaan laskettuja laitetunnisteita tietoon, jota käytetään tunnettujen laitetun- nisteiden todentamiseksi lähettävien osapuolten oikeuksien tarkistamista varten.
Keksinnön mukaan jokaisella konfiguroitavalla verkkolaitteella on laitetunniste, jota käytetään laitteen oikeuksien tarkistamiseen. Käsillä on myös hallinta-asema, joka on kytketty verkkoon ja jota käytetään äskettäin asennettujen verkkolaitteiden konfi-10 guroimista varten. Keksintö ei rajoita laitetunnisteen luonnetta; päinvastoin se on ymmärrettävä varsin yleisesti joksikin, jota voidaan käyttää verkkolaitteen tunnistamiseksi. Keksinnön ensimmäisen suoritusmuodon mukaan hallinta-asema tietää laitetunnisteen, IP-osoitteen, oletusyhdysväylän, ja muuta tietoa jota tarvitaan jokaisen uuden verkkolaitteen konfiguroimista varten. Kun uusi verkkolaite on asennettu 15 verkkoon, se toimii aluksi tyhjässä tilassa, jossa se ainoastaan lukee vastaanottami-sensa pakettien laitetunnisteita, mutta muutoin se ei käsittele mitään verkossa välitettyä dataa (tai käsittelee dataa tehtaalla konfiguroidulla tavalla). Hallinta-asema lähettää erityisellä tavalla formatoidun paketin verkon yleislähetysosoitteeseen, jossa uusi verkkolaite sijaitsee. Erityispaketti sisältää tunnistavan koodin, joka on joh-20 dettu uuden verkkolaitteen laitetunnisteesta, ja mahdollisesti muuta dataa. Aina kun uusi verkkolaite vastaanottaa paketin se tarkistaa onko paketti erityispaketti, jonka tunnistekoodi vastaa sen omaa laitetunnisteita. Jos koodit ovat yhteensopivat, laite dekoodaa erityispaketin, hakee siitä konfigurointitiedon ja alkaa käyttää uutta konfi-j gurointiaan. Se voi myös käydä muuta tietojenvaihtoa hallinta-aseman kanssa saa- 25 dakseen muuta konfigurointidataa sekä antaakseen palautetta hallinta-aseman käyttäjälle. Hallinta-aseman lähettämästä paketista johdetun tunnistekoodin sijasta voisi myös olla tehtaalla konfiguroitu (tai yleensä edeltä käsin konfiguroitu) osoite, joka on muu kuin IP-osoite, esimerkiksi ethemetosoite, tai jonkin muun lainen laitetunniste, jonka verkko tuntee.
• I
·’ : · 30 Keksinnön toisen suoritusmuodon mukaan laitteen IP-osoite on ennalta konfiguroitu käsin, ennenkuin laite asennetaan verkkoon. Sen jälkeen hallinta-asema voi lähettää konfigurointipaketin suoraan tähän osoitteeseen; verkkolaite voi jopa ensin lähettää paketin ennalta konfiguroituun hallinta-asema-osoitteeseen antaakseen tiedon olemassaolostaan ja halustaan tulla konfiguroiduksi.
105739 5
Keksinnön kolmannen suoritusmuodon mukaan verkkolaite voi saada IP-osoitteensa automaattisesti verkosta, esimerkiksi DHCP-protokollaa (Dynamic Host Configuration Protocol, dynaaminen konfigurointiprotokolla) käyttäen. Keksinnön neljännen suoritusmuodon mukaan verkkolaite voi reagoida ARP-pakettiin (Address Resoluti-5 on Protocol, osoitteen erittelyprotokolla) jossakin muodossa olevien IP-osoitteiden osalta, esimerkiksi lyhyen viiveen jälkeen, jotta osoitteen mahdollinen oikea omistaja voisi reagoida.
Menetelmällä voidaan taijota suojaus mahdollisia verkkotason hyökkäyksiä vastaan. Laitetunniste johdetaan edullisimmin julkisesta salausavaimesta. Laitetunniste voi 10 myös olla itsessään salausavain, tai salausavainta seuraava sertifikaatti. Sekä uusi verkkolaite että hallinta-asema voivat tietää toisen laitteen laitetunnisteen edeltäkäsin, niin että ne voivat tunnistaa, että saapuva paketti tulee oikealta lähettäjältä. Vaihtoehtoisesti jokainen laite voi esittää käyttäjälle tunnisteen, joka on laskettu toiselta osapuolelta vastaanotetusta datasta, ja antaa käyttäjän vahvistaa, että tunniste 15 on oikein. Tätä sanotaan laitetunnisteen (manuaaliseksi) todentamiseksi. Sekä uusi verkkolaite että hallinta-asema todentavat, että toiselta osapuolelta vastaanotettu julkinen salausavain vastaa (manuaalisesti) todennettua laitetunnistetta. Tämän jälkeen ne muodostavat salauksen tavoin yhteisen salaisuuden käyttäen oikeuksien tarkistuksen jälkeen julkista salausavaimia. Eräänä tämän sovellutuksena on se, että 20 jokainen julkinen salausavain on julkinen Diffie-Hellman -arvo. Oikeuksien tarkistuksen ja todentamisen vaiheiden jälkeen konfigurointi voi jatkua turvallisesti.
Esillä olevalla keksinnöllä aikaansaadaan menetelmä, jolla verkkolaitteen kauko-. . konfigurointi voidaan tehdä luotettavasti ja helppokäyttöisellä tavalla erillisestä hal linta-asemasta (joka voi olla toinen verkkolaite). Vaihtoehtoisesti menetelmä voi 25 tarjota suojauksen.
Menetelmä mahdollistaa laitteiden asentamisen suhteellisen kouluttamattoman tukihenkilöstön toimesta, ja teknisesti vaativamman konfiguroinnin voi tehdä asiantunti-. , ja hallinta-asemalta, tarvitsematta matkustaa asennuspaikalle.
Uudet piirteet, joita pidetään keksinnölle ominaisina, on esitetty yksityiskohtai-30 semmin oheisissa patenttivaatimuksissa. Varsinainen keksintö, sekä rakenteensa että toimintatapansa puolesta, ja sen muut tavoitteet ja edut ymmärretään parhaiten seu-raavasta määrättyjen suoritusmuotojen selityksestä, kun se luetaan oheisten piirustusten yhteydessä.
105739 6
Sinänsä tunnettuja ominaisuuksia ei ole selitetty yksityiskohtaisesti jotta keksintö pysyisi selkeämpänä.
Kuva 1 havainnollistaa tunnettua IPv4-pakettiotsikkoa; kuva 2 havainnollistaa tunnettua IPv6-pakettiotsikkoa; 5 kuvat 3, 4a ja 4b havainnollistavat muita tunnettuja pakettiotsikkoja; kuva 5 havainnollistaa verkon ja verkkolaitteen eräitä piirteitä; kuva 6 havainnollistaa keksinnön mukaista menetelmää; ja kuva 7 havainnollistaa keksinnön mukaista verkkolaitetta.
Keksintöä selitetään tässä IP-verkkoon (Internet Protocol) liitetyn verkkolaitteen 10 osalta. Esillä olevaa keksintöä voidaan kuitenkin yhtä hyvin soveltaa muihin verkkoprotokolliin.
Verkkolaite 500 kuvassa 5 on laite, jossa on yksi tai useampia verkkoliitäntöjä 501. Verkkoliitäntä on kytkentä fyysiseen verkkoon 502, kuten Ethemet™-verkkoon, matkapuhelinverkkoon, tai johonkin muuhun verkkoon. Useimmissa verkoissa jo-15 kaisella verkkoliitännällä on yksi tai useampia verkko-osoitteita 503, joilla verkkoliitäntä tunnistetaan pakettien lähettäjäksi ja/tai vastaanottajaksi. Verkko-osoitteet ovat merkkijonoja; kuvassa 5 merkit osoitetaan yleisesti X:llä. IP-verkossa verkko-osoite 503 on IP-osoite. Verkko tietää miten se reitittää paketit lähettävästä verkko-osoitteesta vastaanottavaan verkko-osoitteeseen mistä tahansa kohtaa verkossa. Sellainen « 20 reititys voi sisältää kulun useamman verkkolaitteen läpi, jolloin jokainen laite lähettää paketin sellaista yhteyttä pitkin, jonka se uskoo vievän paketin lähemmäksi lopullista määränpäätään.
Kun verkkolaite tulee valmistajalta, siinä ei normaalisti ole mitään tietoja verkko-. osoitteesta tai muita konfiguroitavia tietoja, jotka sillä on oltava kun se asennetaan .· 25 verkkoon. Sellainen konfigurointidata on syötettävä laitteeseen joko ennen tai sen jälkeen, kun laite on fyysisesti kytketty verkkoon kyseeseen tulevassa paikassa.
Konfigurointidata on tietoa, joka on oltava laitteen tiedossa ennenkuin se voi aloittaa normaalin toiminnan. Tyypillisesti sellainen data sisältää IP-osoitteen 503, verk-komaskin 504, oletusyhdysväylän osoitteen 505, ja toimintaparametrit 506 verkko-30 laitetta 500 varten. Konfigurointidata voi myös sisältää uutta ohjelmistoa, joka on ladattava laitteeseen.
105739 7
Hallinta-asema 507 on verkkolaite, joka tarjoaa konfigurointidatan juuri asennetulle laitteelle. Se voi, mutta sen ei tarvitse ylläpitää yhteyttä uuteen verkkolaitteeseen myös asennuksen jälkeen. Hallinta-asemalla on tavallisesti käyttöliittymä (näppäimistö ja näyttö).
5 Osa esillä olevasta keksinnöstä on se, että jokaisessa verkkolaitteessa 500 (ja hallinta-asemassa) voi olla laitetunniste 508, joka on julkinen merkkijono, joka voitaisiin esimerkiksi painaa etiketille ja kiinnittää laitteen pohjaan. Laitetunnisteella 508 on kaksi tarkoitusta. Ensinnäkin sillä tunnistetaan konfiguroitava laite, niin että jos samaan verkkoon on kytketty useampia laitteita, jotka käyttävät samaa konfigurointi-10 menetelmää, tai jos sillä reitillä, jonka konfigurointipakettien on kuljettava saavuttaakseen määränpäänsä, esiintyy muita verkkolaitteita, niin kyseeseen tuleva verkkolaite voidaan tunnistaa ja muut laitteet voivat jättää huomioimatta sellaisen konfigurointidatan, joka ei ole niille tarkoitettu. Laitetunnisteen toinen ja tärkeämpi tarkoitus on se, että jos se johdetaan sopivasta salausavaimesta, konfiguroitava laite ja 15 hallinta-asema voivat käyttää sitä toistensa oikeuksien tarkistamiseen ja vaihtaakseen suojatulla tavalla salausavaimia toistensa kanssa. Laitetunniste on valinnainen lisä, mutta ilman laitetunnisteita laitteita ei pystytä erottamaan toisistaan, kun samassa verkossa on useampia konfiguroitavia laitteita, eikä suojausta voida taata.
Voidaan järjestää niin, että laite itse muodostaa oman laitetunnisteensa (esimerkiksi 20 kun siihen kytketään virta) jollakin sinänsä tunnetulla menetelmällä, ja esimerkiksi esittää laitetunnisteensa ruudulla, jos laitteessa sellainen on. Tämä voi olla toivottavaa joissakin tapauksissa, kun kaikki laitteet tehdään identtisiksi niiden jättäessä tehtaan.
Laitetunnisteita käytetään tunnistettaessa määrätty konfiguroitava verkkolaite, kun 25 sille aluksi lähetetty paketti ^paketit) sisältää joko suoraan laitetunnisteen tai laite-tunnisteesta johdettua jotain tietoa (kuten sen tiiviste ja jotain muuta dataa). Tämän jälkeen kaikki vastaanottavat laitteet voivat jättää huomiotta sellaiset paketit, joita ei . - ole osoitettu niille, tarkistamalla laitetunnisteen (tai siitä johdetun tiedon) jokaisesta :\ . vastaanotetusta paketista. Vianhaun tekemiseksi käyttäjien kannalta helpommaksi 30 verkkolaite voi näyttää varoituksen, jos se näkee konfigurointipaketin, joka ei ole osoitettu sille. Laitetunnisteet voivat myös sisältää pariteettibittejä tai muuta dataa, jota voidaan käyttää todentama, että käyttäjä on kirjoittanut ne oikein.
Laitetunnisteen käyttämiseksi suojausta varten sen arvo johdetaan julkisesta salausavaimesta. Julkinen avain voi olla julkinen Diffie-Hellman -arvo, RSA-avain 35 (Rivest-Shamir-Adelman), DSÄ-avain (Digital Signature Algorithm; US Go- 8 105739 vemment Digital Signature Standard, Yhdysvaltain hallituksen digitaalinen nimikir-joitusstandardi), tai jokin muu julkinen avain. Julkisten Diffie-Hellman -arvojen käyttäminen tunnetaan patenteista US 4 218 582 ja US 4 200 770, ja RSA-avainten käyttäminen tunnetaan patentista US 4 405 829. Suojauksen takia laitetunniste tulisi 5 johtaa julkisesta avaimesta sellaisella tavalla, että sitä on hyvin vaikea saada esiintymään toisella julkisella avaimella, jolla olisi sama tunniste. Eräänä mahdollisena menetelmänä on käyttää salaavaa tiivistefunktiota (esimerkiksi SHA1, Secure Hash Algorithm 1) avaimen tiivistämiseksi, jonka jälkeen palautetusta tiivistearvosta käytetään sopiva määrä bittejä. SHA1-algoritmin käyttäminen on tunnettua julkai-10 susta “NIST, FIPS PUM 180-1, Secure Hash Standard, April 1995”. Jotta laitetunniste voitaisiin tehdä niin, että käyttäjät helpommin voivat välittää sen, on myös mahdollista että sitä edelleen käsitellään luettavuusmielessä, muuntamalla se esimerkiksi lyhyiksi englannin kielen sanoiksi, samaan tapaan kuin tehdään joissakin kertakäyttöisissä salasana-menetelmissä.
15 Keksinnön mukaisen menetelmän edullista suoritusmuotoa selitetään alla kuvaan 6 viitaten, johon sisältyy lukuisa määrä mahdollisia ominaisuuksia oikeuksien tarkistamiseksi (authentication). Myöhemmin mainitaan mitkä menetelmävaiheet ovat valinnaisia, eivätkä välttämättä keksinnön edellyttämiä.
Verkkoon asennetun uuden verkkolaitteen konfiguroimiseksi hallinta-asema lähettää 20 vaiheessa 601 erityisesti formatoidun konfigurointipaketin uudelle verkkolaitteelle. Paketti varustetaan sellaisella osoitteella, että uusi verkkolaite pystyy näkemään sen. Menetelmä, jolla tämä tehdään, riippuu käytetystä verkkoprotokollasta ja sovelletusta keksinnön mukaisesta suoritusmuodosta. IP-verkossa konfigurointipaketti voidaan osoittaa sellaisen verkon yleislähetysosoitteeseen, joka sisältää uuden laitteen. Tämä 25 aikaansaa sen, että kaikki siinä fyysisessä verkossa olevat laitteet näkevät paketin, myös uusi laite. Keksinnön tässä suoritusmuodossa ei suora osoittaminen uuden verkkolaitteen IP-osoitteeseen toimi, ei myöskään suora osoittaminen johonkin osoitteeseen sen takana (reitittimien kannalta), koska uutta verkkolaitetta ei vielä ole ·. konfiguroitu, ja näin ollen ARP-osoitteen erittelytoiminta epäonnistuisi. ARP
: - 30 (Address Resolution Protocol) on tunnettu protokolla, jolla tulkitaan IP-osoitteet Et- hemet™-osoitteiksi. Edellä keksinnön yleisessä kuvauksessa on selitetty muita vaihtoehtoja yleislähetysosoitteen käyttämisen sijasta.
Konfigurointipaketti sisältää tyypillisesti uuden laitteen laitetunnisteen (tai sen johdannaisen), laitteen IP-osoitteen, verkkomaskin, oletusyhdysväylän, ja hallinta-ase-35 man IP-osoitteen ja laitetunnisteen ja/tai julkisen avaimen. Se voi myös sisältää tie- i 105739 9 toa yhteisen salaisuuden muodostamiseksi, kuten hallinta-aseman julkisen Diffie-Hellman -arvon, ja/tai sertifikaatin muodostamiseksi, jota käytetään todentamaan että paketti tuli oikealta hallinta-asemalta.
Molempien osapuolten (uuden verkkolaitteen ja hallinta-aseman) on oltava varmoja 5 siitä, että ne ovat suoraan yhteydessä toiseen laitteeseen, eikä johonkin välikäteen, joka voisi muunnella konfigurointidataa sitä välittäessään. Jos käytetään yhtä ainoata konfigurointipakettia ilman muuta pakettien vaihtoa, saattaa riittää että suoritetaan yksipuolinen oikeuksien tarkistaminen, joka tarkoittaa sitä että uusi verkkolaite varmistuu siitä, että se vastaanottaa konfigurointipaketin suoraan hallinta-asemalta 10 ilman välikäsiä, jotka väärentäisivät konfigurointipaketin sisällön.
Kaksipuolisen oikeuksien tarkistamisen suorittamiseksi ja suojauksen muodostamiseksi kuvan 6 mukaan molemmat osapuolet lähettävät julkisen avaimensa toiselle osapuolelle. Vaiheessa 601 hallinta-asema lähettää julkisen avaimensa uudelle verkkolaitteelle konfigurointipaketin mukana. Kun uusi verkkolaite vastaanottaa konfi-15 gurointipaketin, joka on merkitty sen omalla laitetunnisteella, se laskee vaiheessa 602 lähettävän osapuolen laitetunnisteen julkisen avaimen avulla (ja mahdollisen muun datan avulla, jota saatetaan käyttää määrätyn sovellutuksen laskennassa), joka sisältyy konfigurointipakettiin. Se todentaa, että sen laskennan perusteella saama laitetunniste on yhteensopiva-oikean hallinta-aseman tunnetun laitetunnisteen kans-20 sa. Keksintö ei rajoita tapaa, jolla tämä tarkistus suoritetaan. Tähän on monia mahdollisia keinoja, kuten seuraavat: - verkkolaite näyttää lasketun laitetunnisteen käyttäjälle, ja käyttäjä todentaa sen , käyttäen jotain ulkoista keinoa (esimerkiksi puhelinsoitto, tai tarkistus kirjoitettujen muistiinpanojen avulla), ja joko hyväksyy tai hylkää tunnisteen (esimerkiksi paina-25 maila kyseeseen tulevaa näppäintä), - oikean hallinta-aseman laitetunniste on syötetty edeltä käsin verkkolaitteeseen, tai käyttäjä näppäilee sen paikan päällä käyttäen näppäimistöä, ja uusi verkkolaite vertaa elektronisesti näppäiltyä tunnistetta laskettuun tunnisteeseen, tai „ ·. - laitetunniste todennetaan käyttäen jotain muuta keinoa, kuten tarkistamalla sertifi- *' 30 kaatti tai käyttämällä arvoa, joka on tallennettu varmuusmuistivälineeseen, jotta varmistettaisiin että tunniste on hyväksyttävissä: jos käytetään pakettiin sisältyvää sertifikaattia, verkkolaitteella on todennäköisimmin muistissaan julkinen avain tai CA-sertifikaatti (Certification Authority).
Kun hallinta-aseman tunniste on tarkistettu vaiheessa 602, uusi verkkolaite voi las-35 kea yhteisen salaisuuden vaiheessa 603 käyttäen jotain sinänsä tunnettua menetel- 105739 10 mää, joista muutamia on lueteltu alla, jonka jälkeen se voi määrätä mitä menetelmää se tulee jatkossa käyttämään liikennöidessään hallinta-aseman kanssa. Esimerkiksi IPSEC:n avulla se voisi esimerkiksi muodostaa AH- tai ESP-suojatun yhteyden hallinta-asemaan. Vaiheessa 604 verkkolaite lähettää hallinta-asemalle takaisin vasta-5 uspaketin, joka sisältää tyypillisesti sen oman laitetunnisteen, sen julkisen Diffie-Hellman -arvon tai muun julkisen avaimen, ja muuta tietoa, kulloisestakin sovellutuksesta riippuen.
Kun hallinta-asema on vastaanottanut vastauspaketin se todentaa vaiheessa 605, että vastaanotettu julkinen avain tai vastaava arvo on yhteensopiva oikean laitetunnisteen 10 kanssa. Samoja menetelmiä voidaan soveltaa kuin toisen suunnan yhteydellä vaiheessa 602. Hallinta-asema voi laskea yhteisen salaisuuden vaiheessa 606 ennenkuin se määrää, mitä menetelmää jatkossa käytetään liikennöitäessä hallinta-aseman kanssa.
Yhteisen salaisuuden laskenta vaiheissa 603 ja 606 vastaa kyptografista oikeuksien 15 tarkistamista. Tässä voidaan käyttää lähes mitä tahansa oikeuksien tarkistamismene-telmää, joka kirjallisuudesta löytyy. Esimerkkejä ovat seuraavat: - Jokainen julkinen avain on julkinen Diffie-Hellman -arvo, ja laitetunnisteet johdetaan julkisesta arvosta (käyttäen esim. SHA1-tiivistettä); näin ollen molemmat osapuolet tarkistavat toistensa julkisen arvon oikeuden, ja laskevat yhteisen Diffie- 20 Hellman -salaisuuden. Koska tässä tarkistettiin molempien julkisten arvojen oikeudet, tarkistettiin myös tuloksena oleva yhteinen salaisuus.
- Jokainen julkinen avain on digitaalinen allekirjoitusavain (esim. RSA tai DSS), ja laitetunnisteet johdetaan julkisesta avaimesta (käyttäen esim. SHA1-tiivistettä). Osapuolet saavat ensin yhteisen salaisuuden (esimerkiksi Diffie-Hellman -vuoropuhe- 25 lulla, julkisen avaimen salauksella, tai jollain vastaavalla menetelmällä), ja sitten ne digitaalisesti allekirjoittavat käytetyn datan, jotta ne voisivat osoittaa toiselle osapuolelle, ettei välissä ollut mitään välikäsiä.
Jos avaimen hyväksymismenetelmässä käytetään implisiittistä oikeuksien tarkista- « mistä, saattaa käydä välttämättömäksi todella käyttää yhteistä salaisuutta, jotta 30 osoitettaisiin sen hallussa olo toiselle osapuolelle.
Kun yhteinen salaisuus on muodostettu jotain menetelmää käyttäen, sitä voidaan käyttää kyptografiseen oikeuksien tarkistamiseen ja/tai muiden viestien salaamista varten. Konfigurointiprosessi voi jatkua jollain pakettien vaihdolla 607, jotka suojataan yhteisellä salaisuudella. Tämän tekemiseksi on olemassa joukko vakiintuneita 105759 11 menetelmiä, kun yhteinen salaisuus on käytettävissä. Eräs mahdollisuus on käyttää IPSEC:n AH-ja ESP-otsikoita konfiguroinnin muun tietojenvaihdon suojaamiseksi.
On myös ajateltavissa, että käytetään symmetrisiä salausavaimia väärennyksen estävän laitteiston yhteydessä. Tässä tapauksessa laitteessa tyypillisesti jo on yhteinen 5 salainen avain. Mitään erityistä oikeuksien tarkistamista ei tarvita. Osapuolet voivat välittömästi käyttää salaista avaintaan lähettämiensä viestien salaamista tai oikeuksien tarkistamista varten, ja toinen osapuoli tarvitsee oikean avaimen viestien salauksen purkamiseksi tai oikeuksien tarkistamiskoodien muodostamiseen/todentamiseen. Ellei kyptografisia oikeuksien tarkistamista tarvita, se voidaan kokonaan jättää pois 10 vaiheista 603 ja 606.
Verkkoon hukkuvista paketeista selviämiseksi on käytettävä sopivia aikakatkaisuja ja toipumismekanismeja. Verkkolaite voi esimerkiksi haluta kytkeä pois konfigu-rointipakettien kuuntelun, kun se kerran on konfiguroitu. Näin se ei kuitenkaan voi tehdä ennenkuin se tietää että hallinta-asema on vastaanottanut vastauspaketin. 15 Vaihtoehtoisesti verkkolaite voi milloin tahansa hyväksyä uuden konfigurointipake-tin, joka oikealla tavalla osoittaa, että hallinta-asema on lähettävä osapuoli, jonka oikeudet on tarkistettu. Tällä tavalla verkon käyttöä voidaan helposti muuttaa online -tilassa konfiguroimalla tarvittaessa uudelleen kulloisetkin verkkolaitteet.
Käyttäjän näkemä konfigurointiprosessi riippuu menetelmästä, jota käytetään toisen 20 laitteen laitetunnisteen todentamiseksi vaiheissa 602 ja 605. Seuraavat vaihtoehtoiset asennusprosessit antavat kuvan mahdollisista muunnelmista: - Tunnettu vertaisyksikön laitetunniste kirjoitetaan erikseen sisään sekä hallinta-asemalla että uudella verkkolaitteella.
- Tunnettu verkkolaitteen laitetunniste kirjoitetaan erikseen sisään hallinta-asemalla, 25 mutta ei uudella verkkolaitteella. Kun hallinta-asema on lähettänyt konfigurointipa- ketin uudelle verkkolaitteelle, uusi verkkolaite näyttää hallinta-aseman lasketun laitetunnisteen ja odottaa käyttäjän vahvistusta. Käyttäjän on todennettava laitetunniste ulkoista keinoa käyttäen keinoa (esimerkiksi puhelinsoitto, tai edeltä käsin kirjoitetut muistiinpanot paperilla).
30 - Mitään laitetunnistetta ei kirjoiteta sisään kummallakaan puolella; kummatkin osa puolet esittävät sen näytöllä todentamista varten.
Kuva 7 on pelkistetty lohkokaavio verkkolaitteen tai hallinta-aseman 700 niistä osista, jotka osallistuvat keksinnön mukaiseen toimintaan. Lohkokaavion alla oleva selitys tarkoittaa konfiguroitavaa verkkolaitetta, mutta vastaavat toiminnat ovat sa-35 manlaiset hallinta-asemalla, vaikka äskettäin lisätyn verkkolaitteen kaukokonfigu- 105739 12 roimiin aikana ne tapahtuvat hallinta-asemalla toisessa järjestyksessä kuin konfigu-roitavassa verkkolaitteessa.
Fyysinen verkkoliitäntä 701 voi olla mikä tahansa tekniikan tason mukainen sinänsä tunnettu liitäntä, joka on sovitettu vastaanottamaan ja lähettämään paketteja verkon 5 kautta. Laitetunnisteen tarkkailulohko 702 lukee laitetunnisteet vastaanotetuista paketeista havaitakseen ne paketit, jotka on tarkoitettu tälle määrätylle verkkolaitteelle.
Varma tunnistus tapahtuu, kun vastaanotetun paketin laitetunniste on sama kuin edeltä käsin tallennettu verkkolaitteen oma laitetunniste, joka luetaan sopivasta häviämättömästä laitetunnistemuistista 703. Tunnistettu paketti kirjoitetaan työmuistiin 10 704, niin että laskentalohko 705 voi laskea lähettävän laitteen laitetunnisteen julki sen avaimen avulla, joka sisältyi vastaanotettuun ja tallennettuun pakettiin. Lähettävän laitteen oikeuksien tarkistamiseksi laskentalohko 705 vertaa laskemaansa laite-tunnistetta tunnettuun oikeaan laitetunnisteeseen, jonka käyttäjä on syöttänyt painikkeiden 707 avulla. Vaihtoehtoisesti verkkolaite 700 voi esittää lasketun laitetun-15 nisteen näytössä 708, ja odottaa käyttäjältä positiivista tai negatiivista kuittausta painikkeiden 707 kautta. On myös mahdollista, että oikeuksien tarkistamisessa käytetyt tiedot luetaan väärennystä estävästä muistista 706. Positiivinen vertailu tai positiivinen kuittaus saa aikaan sen, että vastaanotettuun ja tallennettuun konfigu-rointiviestiin sisältyvät konfigurointiparametrit välitetään työmuistista 704 häviämät-20 tömään konfigurointimuistiin 709. Jos vertailun tai oikeuksien tarkistuksen tulos on negatiivinen, niin väliaikaisesti tallennettu konfigurointiviesti poistetaan työmuistista 704 ja verkkolaite 700 palaa alkuperäiseen tyhjään tilaan, jossa se ainoastaan lukee laitetunnisteita vastaanotetuista paketeista ja odottaa omaa konfigurointiviesti-ään käsittelemättä mitään muuta verkosta vastaanotettua dataa. Kun lähettävän hal-25 linta-aseman oikeudet on onnistuneesti tarkistettu, lähetinlohko 710 kokoaa vastaus-paketin, joka sisältää ainakin verkkolaitteen oman julkisen avaimen, joka luetaan laitetunnistemuistista 703, ja vastaanottajan osoitteena hallinta-aseman verkko-osoitteen, joka luetaan konfigurointimuistista 709. Vastauspaketti lähetetään verk-koliitännän 701 ja verkon kautta hallinta-asemalle.
• * % 30 Muistilohkot 703, 704, 706 ja 709 voivat olla mitä tahansa sopivia sinänsä tunnettuja muistipiirejä. Painikkeet 707 voivat olla mitä tahansa tunnettuja painikkeita tai näppäimistö, ja näyttö 708 voi olla valodiodinäyttö, nestekideruutu, katodisädeputki, tai jokin muu sopiva sinänsä tunnettu näyttö. Älykkäät lohkot 702, 705 ja 710 toteutetaan edullisimmin mikroprosessorilla ohjelmoimalla se suorittamaan tarpeelliset 35 toiminnot, jolloin ohjelmointi sinänsä on alan ammattilaisen normaalitaitojen puitteissa. Verkkolaite ja hallinta-asema voivat luonnollisesti sisältää monia muitakin 13 1U573y osia kuin ne, jotka on esitetty kuvassa 7. Samaten kuvan 7 rakenne on esimerkinomainen siinä mielessä, että yhtä hyvin voidaan käyttää muitakin järjestelyjä keksinnön käytäntöönpanemiseksi.
'i J
w

Claims (11)

105739
1. Menetelmä verkkolaitteen (500, 700) konfiguroimiseksi, kun verkkolaite on kytketty verkkoon (502), johon myös on kytketty hallinta-asema (507), tunnettu siitä, että se käsittää vaiheet, joissa 5. lähetetään hallinta-asemalta konfigurointipaketti verkkolaitteelle (601), - tarkistetaan verkkolaitteella, että hallinta-asema on konfigurointipaketin aito lähettäjä (602), ja - dekoodataan mainittuun konfigurointipakettiin sisältyvät konfigurointiparametrit ja tallennetaan ne verkkolaitteen konfigurointiparametreiksi (603).
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että sekä hallinta- asemalla että verkkolaitteella on yksilöllinen laitetunniste (508) oikeuksien tarkistamista varten, ja että jokainen laitetunniste on johdettu määrätystä salausavaimesta.
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että jokainen laite-tunniste on johdettu määrätystä julkisesta Diffie-Hellman -arvosta.
4. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että se käsittää vaiheet, joissa - hallinta-asemalla konfigurointipakettiin lisätään salausavain, josta hallinta-aseman laitetunniste on muodostettu, - verkkolaitteessa lasketaan laitetunniste vastaanotetusta konfigurointipaketista ero-20 tetun salausavaimen perusteella, ja - todennetaan, että mainittu laskettu laitetunniste on pätevä laitetunniste hallinta-asemaa varten.
5. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, että se käsittää vaiheen, jossa verkkolaitteella käytetään muistista luettua tietoa vastaanotetun, hal- 25 linta-asemalta tullen paketin todentamiseksi.
6. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, että se käsittää • · vaiheen, jossa käyttäjän vuorovaikutuksella todennetaan, että laskettu laitetunniste vastaa hallinta-aseman tunnettua laitetunnistetta.
7. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, että se käsittää 30 vaiheen, jossa salausavaimesta johdetaan yhteinen salaisuus seuraavien pakettien oikeuksien tarkistamiseksi, ja valinnaisesti salaamiseksi. 105739
8. Verkkolaite (500, 700) kytkettäväksi verkkoon, joka vaatii määrättyjen konfi-gurointiparametrien tallentamista jokaiseen siihen kytkettyyn verkkolaitteeseen, jolloin verkkolaite käsittää - fyysisen verkkoliitännän (501, 701), ja 5. laitetunnisteen tarkkailulohkon (702) laitetunnisteen lukemiseksi vastaanotetuista paketeista, sekä pakettien tunnistamiseksi kulloistakin verkkolaitetta varten, tunnettu siitä, että se käsittää laskentalohkon (705), joka on jäljestetty - laskemaan laitetunnisteet tunnistetuista paketeista johdettujen salausavainten avulla, ja 10. vertaamaan laskettuja laitetunnisteita tietoon, jota käytetään tunnettujen laitetun- nisteiden todentamiseksi lähettävien osapuolten oikeuksien tarkistamista varten.
9. Patenttivaatimuksen 8 mukainen verkkolaite, tunnettu siitä, että se käsittää väärennyksen estävän muistin (706) mainittujen paikallisesti järjestettyjen, tunnettujen laitetunnisteiden tallentamista varten.
10. Patenttivaatimuksen 8 mukainen verkkolaite, tunnettu siitä, että se käsittää välineet (707, 708) lähettävien osapuolten käyttäjäavusteista oikeuksien tarkistamista varten laskettujen laitetunnisteiden perusteella.
11. Patenttivaatimuksen 8 mukainen verkkolaite, tunnettu siitä, että se käsittää välineet (707, 708) yhteisen salaisuuden johtamiseksi salausavaimista seuraavien 20 pakettien oikeuksien tarkistamiseksi, ja valinnaisesti salaamiseksi.
FI981324A 1998-06-10 1998-06-10 Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten FI105739B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI981324A FI105739B (fi) 1998-06-10 1998-06-10 Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten
US09/326,003 US6782474B1 (en) 1998-06-10 1999-06-04 Network connectable device and method for its installation and configuration
US10/846,614 US20040250072A1 (en) 1998-06-10 2004-05-14 Network connectable device and method for its installation and configuration

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI981324 1998-06-10
FI981324A FI105739B (fi) 1998-06-10 1998-06-10 Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten

Publications (3)

Publication Number Publication Date
FI981324A0 FI981324A0 (fi) 1998-06-10
FI981324A FI981324A (fi) 1999-12-11
FI105739B true FI105739B (fi) 2000-09-29

Family

ID=8551948

Family Applications (1)

Application Number Title Priority Date Filing Date
FI981324A FI105739B (fi) 1998-06-10 1998-06-10 Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten

Country Status (2)

Country Link
US (2) US6782474B1 (fi)
FI (1) FI105739B (fi)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100481763C (zh) * 2002-05-09 2009-04-22 佳能株式会社 匿名公钥生成装置及方法以及公钥证明书发行方法

Families Citing this family (79)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2402389A1 (en) * 2000-03-08 2002-09-19 Shuffle Master, Inc. Computerized gaming system, method and apparatus
US20010037314A1 (en) * 2000-03-30 2001-11-01 Ishikawa Mark M. System, method and apparatus for authenticating the distribution of data
US6996238B2 (en) * 2000-10-02 2006-02-07 Sony Corporation Method for generating and looking-up transaction keys in communication networks
JP3879388B2 (ja) * 2000-11-17 2007-02-14 富士ゼロックス株式会社 ネットワーク機器管理方法、そのシステム及び管理装置
JP4609683B2 (ja) * 2000-11-30 2011-01-12 ソニー株式会社 情報処理装置および方法、並びにプログラム格納媒体
US8219662B2 (en) 2000-12-06 2012-07-10 International Business Machines Corporation Redirecting data generated by network devices
US6978301B2 (en) 2000-12-06 2005-12-20 Intelliden System and method for configuring a network device
US7054946B2 (en) * 2000-12-06 2006-05-30 Intelliden Dynamic configuration of network devices to enable data transfers
DE50111425D1 (de) * 2000-12-23 2006-12-21 Hirschmann Electronics Gmbh Automatische konfiguration von komponenten eines netzwerkes
US7349957B1 (en) * 2001-03-01 2008-03-25 Smith Micro Software, Inc. Network management method and tool
US7150037B2 (en) * 2001-03-21 2006-12-12 Intelliden, Inc. Network configuration manager
US20020178241A1 (en) * 2001-04-03 2002-11-28 Par Eriksson Framework for a dynamic management system
US7203837B2 (en) * 2001-04-12 2007-04-10 Microsoft Corporation Methods and systems for unilateral authentication of messages
US7089297B1 (en) * 2001-05-25 2006-08-08 Oracle International Corporation Mechanism for automatically configuring a network resource
CN1146270C (zh) * 2001-06-27 2004-04-14 华为技术有限公司 一种装置自动获取ip地址的方法
US20030018758A1 (en) * 2001-07-13 2003-01-23 Changguan Fan Generically provisioning an appliance
US7240102B1 (en) * 2001-08-03 2007-07-03 Mcafee, Inc. System and method for providing web browser-based secure remote network appliance configuration in a distributed computing environment
US8296400B2 (en) 2001-08-29 2012-10-23 International Business Machines Corporation System and method for generating a configuration schema
US7155497B2 (en) * 2001-09-27 2006-12-26 Hewlett-Packard Development Company, L.P. Configuring a network parameter to a device
US20030069949A1 (en) * 2001-10-04 2003-04-10 Chan Michele W. Managing distributed network infrastructure services
US20030074428A1 (en) * 2001-10-11 2003-04-17 Haines Robert E. Device configuration method and apparatus
US20030074268A1 (en) 2001-10-11 2003-04-17 Haines Robert E. User and device interactions for web consolidation
US20030072027A1 (en) * 2001-10-11 2003-04-17 Haines Robert E. Unique identifier for customer account and method
US20030074547A1 (en) * 2001-10-11 2003-04-17 Haines Robert E. Hardcopy output engine consumable supply management and method
US7065562B2 (en) * 2001-11-26 2006-06-20 Intelliden, Inc. System and method for generating a representation of a configuration schema
US20030163570A1 (en) * 2002-02-26 2003-08-28 Sun Microsystems, Inc. Command line interface session tool
US20030212889A1 (en) * 2002-05-13 2003-11-13 Khieu Andrew K. Method and system for exchanging data over networks using public key encryption
US7853983B2 (en) * 2002-07-29 2010-12-14 Bea Systems, Inc. Communicating data from a data producer to a data receiver
US7783043B1 (en) * 2002-08-05 2010-08-24 Nortel Networks Limited Secure group communications
US20040030771A1 (en) * 2002-08-07 2004-02-12 John Strassner System and method for enabling directory-enabled networking
US20040028069A1 (en) * 2002-08-07 2004-02-12 Tindal Glen D. Event bus with passive queuing and active routing
US7366893B2 (en) * 2002-08-07 2008-04-29 Intelliden, Inc. Method and apparatus for protecting a network from attack
US20040054747A1 (en) * 2002-09-12 2004-03-18 International Business Machines Corporation Pervasive home network appliance
JP4185346B2 (ja) * 2002-10-18 2008-11-26 株式会社日立製作所 ストレージ装置及びその構成設定方法
US20040078457A1 (en) * 2002-10-21 2004-04-22 Tindal Glen D. System and method for managing network-device configurations
US7284126B2 (en) * 2002-11-12 2007-10-16 Agilent Technologies, Inc. Device authentication using pre-configured security keys
US20040230681A1 (en) * 2002-12-06 2004-11-18 John Strassner Apparatus and method for implementing network resources to provision a service using an information model
US7865577B1 (en) 2003-02-11 2011-01-04 At&T Intellectual Property Ii, L.P. Enhanced network elements and a method for configuring the enhanced network element via a trusted configuration device
US7188161B1 (en) 2003-02-11 2007-03-06 At&T Corp. Method for configuring a network element at a customer premise via a mobile data terminal
US8245032B2 (en) * 2003-03-27 2012-08-14 Avaya Inc. Method to authenticate packet payloads
US20050096795A1 (en) * 2003-11-04 2005-05-05 Krieter Kenneth J. Wireless fluid inventory management system
US20050213768A1 (en) * 2004-03-24 2005-09-29 Durham David M Shared cryptographic key in networks with an embedded agent
US7653727B2 (en) * 2004-03-24 2010-01-26 Intel Corporation Cooperative embedded agents
US8082444B1 (en) * 2004-03-25 2011-12-20 Verizon Corporate Services Group Inc. System and method for adding new network devices to an existing network
US7472177B2 (en) * 2004-06-23 2008-12-30 Nokia Inc. System and method for selecting of versions for SNMP communication
DE102004037801B4 (de) * 2004-08-03 2007-07-26 Siemens Ag Verfahren zur sicheren Datenübertragung
JP2006050267A (ja) * 2004-08-04 2006-02-16 Matsushita Electric Ind Co Ltd IPsec通信方法及び通信制御装置並びにネットワークカメラ
US7664109B2 (en) * 2004-09-03 2010-02-16 Microsoft Corporation System and method for distributed streaming of scalable media
US7509324B2 (en) * 2004-09-07 2009-03-24 General Electric Company Apparatus and method for sharing configuration data among a plurality of devices
US8156207B2 (en) * 2004-10-08 2012-04-10 Hewlett-Packard Development Company, L.P. Method and apparatus for remotely configuring network devices
WO2006071741A2 (en) 2004-12-23 2006-07-06 Conexant Systems, Inc. Systems and methods for the connection and remote configuration of wireless clients
US20060150240A1 (en) * 2005-01-03 2006-07-06 Jason Robinson Application-specific network access management system
US8291063B2 (en) * 2005-03-04 2012-10-16 Netapp, Inc. Method and apparatus for communicating between an agent and a remote management module in a processing system
US8090810B1 (en) * 2005-03-04 2012-01-03 Netapp, Inc. Configuring a remote management module in a processing system
US7853703B1 (en) * 2005-03-24 2010-12-14 Google, Inc. Methods and apparatuses for identification of device presence
US20070033404A1 (en) * 2005-08-04 2007-02-08 Toshiba Corporation System and method for the secure recognition of a network device
US20070039039A1 (en) * 2005-08-10 2007-02-15 Microsoft Corporation Authorization of device access to network services
US7958346B2 (en) * 2005-08-18 2011-06-07 Oracle International Corp. Multilayered security for systems interacting with configuration items
US7747566B2 (en) * 2005-11-23 2010-06-29 Research In Motion Limited Method and apparatus for synchronizing databases connected by wireless interface
JP4655951B2 (ja) * 2006-02-06 2011-03-23 ソニー株式会社 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
KR100963196B1 (ko) * 2006-03-14 2010-06-14 한국과학기술연구원 다중 사용자의 컴퓨팅 환경 자동 인지 및 최적의 정보 교환설정을 위한 지능적인 컴퓨팅 장치 에이전트 시스템
US20070234050A1 (en) * 2006-04-04 2007-10-04 Tomasz Hillar Communications system and method
US8964952B2 (en) * 2006-09-01 2015-02-24 Interactive Intelligence Group, Inc. System and method for self-configuring sip-capable device
US8396222B2 (en) * 2008-03-10 2013-03-12 Nds Limited Key distribution system
US8711771B2 (en) * 2009-03-03 2014-04-29 Qualcomm Incorporated Scalable header extension
US8838586B2 (en) * 2010-03-05 2014-09-16 Apple Inc. Relevancy ranking for map-related search
JP5311236B2 (ja) 2011-03-29 2013-10-09 横河電機株式会社 接続設定情報管理システム
US8799989B1 (en) * 2011-12-16 2014-08-05 Google Inc. Network settings browser synchronization
US9130837B2 (en) 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US9154308B2 (en) * 2013-09-27 2015-10-06 Google Inc. Revocable platform identifiers
EP2950285B1 (en) 2014-05-26 2016-10-05 Axis AB Automatic configuration of a replacement camera
US10361859B2 (en) * 2017-10-06 2019-07-23 Stealthpath, Inc. Methods for internet communication security
US10630642B2 (en) 2017-10-06 2020-04-21 Stealthpath, Inc. Methods for internet communication security
US10367811B2 (en) 2017-10-06 2019-07-30 Stealthpath, Inc. Methods for internet communication security
US10397186B2 (en) 2017-10-06 2019-08-27 Stealthpath, Inc. Methods for internet communication security
US10374803B2 (en) 2017-10-06 2019-08-06 Stealthpath, Inc. Methods for internet communication security
US10375019B2 (en) 2017-10-06 2019-08-06 Stealthpath, Inc. Methods for internet communication security
CN110276191A (zh) * 2019-05-06 2019-09-24 阿里巴巴集团控股有限公司 一种设备配置方法、装置及电子设备
US11558423B2 (en) 2019-09-27 2023-01-17 Stealthpath, Inc. Methods for zero trust security with high quality of service

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6424717B1 (en) * 1995-04-03 2002-07-23 Scientific-Atlanta, Inc. Encryption devices for use in a conditional access system
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
US5757922A (en) * 1995-12-08 1998-05-26 Nippon Telegraph & Telephone Corp. Method and system for packet scrambling communication with reduced processing overhead
US6240513B1 (en) * 1997-01-03 2001-05-29 Fortress Technologies, Inc. Network security device
US6101255A (en) * 1997-04-30 2000-08-08 Motorola, Inc. Programmable cryptographic processing system and method
US6154839A (en) * 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100481763C (zh) * 2002-05-09 2009-04-22 佳能株式会社 匿名公钥生成装置及方法以及公钥证明书发行方法

Also Published As

Publication number Publication date
FI981324A (fi) 1999-12-11
FI981324A0 (fi) 1998-06-10
US6782474B1 (en) 2004-08-24
US20040250072A1 (en) 2004-12-09

Similar Documents

Publication Publication Date Title
FI105739B (fi) Verkkoon kytkettävä laite ja menetelmä sen asennusta ja konfigurointia varten
Tschofenig et al. Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things
EP1036460B1 (en) A method for packet authentication in the presence of network address translations and protocol conversions
CN103975552B (zh) 经由经认证的路由器的数据交换
US7171685B2 (en) Standard format specification for automatically configuring IP security tunnels
US8379638B2 (en) Security encapsulation of ethernet frames
US8098823B2 (en) Multi-key cryptographically generated address
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与系统
EP2043296A1 (en) Relay device
JP2004295891A (ja) パケットペイロードを認証する方法
JPH09214556A (ja) パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法
EP1639780B1 (en) Security for protocol traversal
US7243368B2 (en) Access control system and method for a networked computer system
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
Fossati RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things
US20080104693A1 (en) Transporting keys between security protocols
CN113810173A (zh) 一种校验应用信息的方法、报文处理方法及装置
CN101115055B (zh) 通信网络中报告隧道数据包中各级错误的装置及方法
Cisco Introduction to Cisco IPsec Technology
Cisco Introduction to Cisco IPsec Technology
AU2010245117A1 (en) Method and apparatus for secure packet transmission
RU2517405C2 (ru) Способ обеспечения сопоставлений безопасности для зашифрованных пакетных данных
KR100450774B1 (ko) NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법
CN116074038B (zh) 一种用于IPv6数据安全传输的网关系统及方法

Legal Events

Date Code Title Description
MM Patent lapsed