JP2003504714A - セキュアクライアントサーバトランザクションを管理するための方法及びシステム - Google Patents
セキュアクライアントサーバトランザクションを管理するための方法及びシステムInfo
- Publication number
- JP2003504714A JP2003504714A JP2001508673A JP2001508673A JP2003504714A JP 2003504714 A JP2003504714 A JP 2003504714A JP 2001508673 A JP2001508673 A JP 2001508673A JP 2001508673 A JP2001508673 A JP 2001508673A JP 2003504714 A JP2003504714 A JP 2003504714A
- Authority
- JP
- Japan
- Prior art keywords
- server
- packet
- data
- client
- broker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1012—Server selection for load balancing based on compliance of requirements or conditions with available server resources
Abstract
Description
的には、本発明はセキュアクライアントサーバベースのネットワークでのクライ
アントトランザクションの管理に関係する。
くらい一般的になってきている。ネットワーク通信の著しい増加のために、コン
ピュータハッカーなどの未権限の利用者による侵入を受けてきている。このよう
な侵入に対抗するために、現在ほとんどの通信プロトコルは、単純なスクランブ
ル化から非常に高度な暗号化アルゴリズムまで、ある種の通信セキュリティを実
行している。より具体的には、インターネットなどの多くのネットワークで使用
される伝送制御プロトコル(TPC)/インターネットプロトコル(IP)を採用して、セ
キュア・ソケット・レイヤ(SSL)及びIPセキュリティ(IPSec)などのセキュリティ
プロトコルを内蔵した。
開発されたプロトコルである。SSLはクライアントとサーバの間でデータを通信
するためのセキュアな接続を、データを暗号化する秘密鍵を使用して提供する。
秘密鍵/公開鍵の暗号化は十分に理解されており、送信コンピュータから受信コ
ンピュータに送信する情報のプライバシーを確保するために現代のコンピュータ
ネットワークで頻繁に実行されている。ネットスケープナビゲータ及びインター
ネットエクスプローラなどのウェブブラウザがSSLをサポートして、多くのウェ
ブサイトがSSLプロトコルを実行して、クレジットカードの番号などの秘密のユ
ーザ情報を取得している。SSLは認証及び暗号化を実行するためのメカニズムを
提供する。認証は各クライアント及びサーバが本人であることを保証する。実際
的には、認証はユーザIDとパスワードを入力するだけでよい。しかしながら、コ
ンピュータハッカーは、パスワードとユーザの名前の情報を傍受するためにクラ
イアントサーバのリンクで盗聴することができる。暗号化はネットワークでの伝
送前にユーザID及びパスワード情報をスクランブル化することによって、前記被
害を阻止する。ユーザ情報の暗号化に加え、SSLはクライアントとサーバの間で
通信するペイロードなどのほぼあらゆる種類のデータ(つまり、テキスト文書)を
安全にするために暗号化を利用する。要するに、SSLはセッションの暗号化、及
びサーバ、メッセージ、及び任意でクライアントの認証のために設けられる。SS
Lプロトコルの詳細に関しては、参照により組込むSSLプロトコルの仕様書、バー
ジョン2及び3を参照する。
プロトコル(HTTP)などのプロトコルソケットで確立されるレベルプロトコルを保
護するプロトコルである。ネットワーク技術で知られるように、ソケットとはア
プリケーションをネットワークプロトコルに接続するソフトウェアオブジェクト
である。例えば、UNIX(登録商標)では、プログラムは、ソケットを開いてソケ ットからデータを読み込んだり書き込んだりして、TCP/IPメッセージを送受信す る。このため、プログラマーはソケットを操作する心配だけしてればよく、実際 にメッセージをネットワークを介して正確に移動するための操作システムに頼る ことができるため、プログラム開発が簡単になる。SSLが備える機能の多くは、 主要なインターネット標準化機構であるインターネットエンジニアリングタスク フォース(IETF)が考えるIPバージョン6(IPv6)として知られる次世代IPプロトコ ル(IPng)の一部である。
ある。IPSecはトランスポートとトンネルの2つの暗号化モードをサポートする。
IPソケットのソースデバイスでは(つまり、送信ステーション)、トランスポート
モードがIPパケットのデータ部分(つまり、ペイロード)のみを暗号化し、ヘッダ
には影響を与えないまま残す。トンネルモードはIPパケットのヘッダとペイロー
ド両方を暗号化することによって、トランスポートモードよりも安全性を提供す
る。宛先デバイスでは(つまり、受信ステーション)、IPSec適合デバイスが受信
するIPパケットを復号化する。一般的には、セキュアと宛先デバイスが公開鍵を
共有する。これは、インターネットセキュリティ及びキー管理プロトコル/Oakle
y(ISAKMP/Oakley)として知られるプロトコルを実行して得られ、これにより宛先
デバイスが公開鍵を取得でき、デジタル電子署名を定義するための国際電気通信
連合(ITU)規格であるX.509規格を使用するソースデバイスを認証する。
ョンを管理し、データ経路輻輳を緩和するために構成されるブローカサーバを説
明する。TCP/IPネットワークでのブローカオペレーションについての詳細に関し
ては、参照によりこれに全体的に組込まれる参照するアプリケーションを参照す
る。通信ネットワークがセキュアな操作を伴う場合には、クライアントトランザ
クションの管理にはセキュアな操作に適応し、それに適合する必要がある。セキ
ュアなネットワークでクライアントのトランザクションのスピードアップを図る
必要性が特に重要である。これは典型的なウェブ(ワールドワイドウェブ)サーバ
が従来の(つまり、ノンセキュアな)HTTPトラフィックよりも遅い速度でセキュア
なトランザクションを処理するためである。ウェブサーバとセキュアなトランザ
クションをするウェブユーザーは、処理するトランザクションのために長時間待
たなければならず、ウェブサイトの包括的な信頼性と利用可能性に影響を与えて
いる。
、SSL)通信ネットワークでクライアントトランザクションの仲介をサポートする
必要がある。
するよう構成されるサーバコンピュータを提供する。サーバコンピュータは、通
信ネットワークのセキュアなリンクでコンピュータに操作可能に接続されて、コ
ンピュータからデータパケットを受信するデータインターフェースからなる。サ
ーバコンピュータはさらに、データインターフェースに操作可能に接続されてプ
ログラミング化されて、受信するデータパケットにアクセスするデータ処理装置
からなる。処理装置はさらに、データパケットの内容を復号化して、データパケ
ットを他のコンピュータに転送するようプログラミングされる。サーバコンピュ
ータはさらに、処理装置及びデータインターフェースに操作可能に接続されるデ
ータ記憶装置からなる。データ記憶装置は、他のコンピュータがクライアントパ
ケットを受信する準備ができるまで、データパケットを記憶するように構成され
る。
応するよう構成されるシステムを提供する。このシステムは、コンピュータネッ
トワークのセキュアなリンクで、データパケットとインターフェースして、デー
タパケットを受信するよう構成される第1サーバからなる。第1サーバはさらに、
データパケットの内容を復号化してデータパケットを転送するよう構成される。
システムはさらに、第1サーバとデータ通信をして、第1サーバからデータパケッ
トを受入て、それに含まれる指示に従ってデータパケットを実行するように構成
される第2サーバからなる。
理する方法を提供する。この方法は、コンピュータネットワークのセキュアなリ
ンクで、暗号化された情報をもつデータパケットをクライアントのコンピュータ
から受信するためのステップからなる。この方法は、さらに、受信したデータパ
ケットの情報を復号化するためのステップからなる。方法はさらに、データパケ
ットを実行するために利用できるサーバとのリンクを確立するためのステップか
らなる。方法はさらに、データパケットをサーバに送信するためのステップから
なる。
である以下の発明の実施例の詳細な説明を参照することにより、よりよく理解さ
れる。
原理を説明するために行っている。発明の範囲は請求項を参照して判断するべき
である。
る。図1に示すように、システム100は1つ以上の通信ネットワーク150、一般的に
はインターネットなどのパケット交換ネットワークでサーバ130aと通信するよう
に構成される1つ以上のクライアント110からなる。クライアント110はホストサ
ーバ114、例えばインターネットサービスプロバイダー(IPS)で制御されるサーバ
コンピュータを介して、ネットワーク150に接続することができる。つまり、ル
ータ118などのブリッジ形式のデバイスを介してネットワーク150に操作可能に接
続されている。ルータ118は宛先アドレスなどのパケットヘッダー情報に基づい
て、クライアント110から受信するパケットを様々な宛先に送るように構成され
る。インターネットの物理的レイヤはルータを広範囲に使用して、あるサーバ(
例、ホスト114)から別のサーバ(例、サーバ130a)にパケットを送る。 典型的には、システム100は複数のサーバ130a、130b及び130cから構成される。
システム100はさらに、1つ以上のサーバ(130a、130b、130c)とルータ128の間に
操作可能に接続されるブローカ120から構成される。ブローカ120は、参照するア
プリケーションで詳細に説明するように、クライアントトランザクションをサー
バ130a、130b及び130cのうちの1つにハンドオフすることによって、クライアン
トトランザクションを管理し、応答する。典型的には、通信ネットワーク150はT
CP/IPプロトコルなどの1つ以上の標準通信プロトコルに適合する。図1にはクラ
イアント110を1つだけしか図示していないが、システム100は複数のクライアン
トで同時に操作する。同様に、図1にはブローカ120を1つだけしか図示していな
いが、システム100は、複数のブローカがルータ120と複数のセットのサーバ(こ
の図では図示せず)の間にパラレルに接続されるカスケード式構造にあるように
、複数のブローカで同時に操作できる。
は、ブローカ120は1秒あたり600個までのSSLリンク又はトランザクションをサポ
ートできる。ブローカ120と複数のクライアントの間の通信は、典型的には通信
プロトコルの特徴によって提供される。例えば、TCP/IPプロトコルを使用して、
ブローカ120はネットワークを流れるパケットの宛先アドレスを監視するだけで
よい。宛先アドレスが所定のアドレス(例、ブローカ120がサービスしている複数
のサーバのうちの1つのアドレス)と符合する場合、ブローカ120はさらに処理す
るためにパケットを受信する。典型的には、ブローカ120はパケットの発信元ア
ドレス(例、クライアントのID)とは関係なく、この方法を適用する。
なデータの送受信を含むことができる。前述したように、ネットワーク150はTCP
/IPプロトコル(インターネットなどの)を実行して、SSL、IPSecなどの1つ以上の
セキュリティプロトコルを適用することができる。本発明では、発明の実務を図
示するためにSSLプロトコルを説明する。しかしながら、当業者には、発明が1つ
以上のあらゆるセキュリティプロトコルを使用して実行できることは、本開示か
ら理解されるであろう。
)の間の通信が望まれるとき、クライアント110は例えばTCP/IPなどの通信プロト
コルで指定される「ハンドシェイク」を開始する。例えば、クライアント110は
セットシンクロナスビットをもつパケットを、クライアント110からブローカ120
まで伝送する。ブローカ120はセットアックビットをもつパケットを伝送するこ
とによりクライアント110に応答し、クライアント110はセットアックビットをも
つパケットを伝送することによりブローカ120の確認応答を認識する。ネットワ
ークプロトコルに従ってハンドシェイクを確立することに加えて、セキュアなプ
ロトコル(例、SSL)の使用に従ってハンドシェイクを実行する必要がある。
ージョンについての情報を交換して、暗号化アルゴリズムを選択し、互いに認証
して、公開鍵の暗号化技術を利用して、共有のシークレットを作成する。このよ
うなプロセスはSSL接続のハンドシェイクプロトコルで処理し、これは以下のよ
うに要約することができる。図2はSSLプロトコルに従ったハンドシェイク操作を
説明するフローチャートである。SSL接続又はリンクを確立するために、クライ
アント110はClientHelloメッセージをブローカ120(ブロック210)に送信すること
によりハンドシェイクを開始する。
ルゴリズム、及び圧縮方法などの複数のクライアントの属性を通信する。暗号ア
ルゴリズムフィールドでは、クライアント110は最初にリスト化されるクライア
ントの第1優先順位をもつクライアント110がサポートする暗号スーツのリストを
有する。例えば、ClientHelloの構造は以下のコマンドをもつことができる。Cip
hersuite cipher_suites<list>で、ここで「list」とはクライアント110がサ
ポートする1つ以上の暗号プロトコルを表す。セッションIDは一般的には、セッ
ションをブローカ120に識別するためにクライアント110が作成する任意の値であ
る。クライアントの属性はブローカ120にクライアント110がサポートするリンク
の仕様を提供する。ブローカ120は、ブローカ120(ブロック220)に関する類似の
属性情報を含むServerHelloメッセージを送信することによりクライアント110に
応答する。クライアント110がアプリケーションデータを通信する前に、ブロー
カ120の認証を望む場合、ブローカ120はサーバの電子署名をクライアント110に
送る。クライアント110が通信する暗号アルゴリズムの種類(そのClientHelloメ
ッセージで)は、ブローカ120の認証が必要かどうかを示す。サーバの電信署名の
構造は選択した暗号アルゴリズムによって決まり、ある実施例では、一般的には
X.509バージョン3のデジタル電子署名である。
号アルゴリズムには、RSA、DSA、Diffie-Hellman PKls、RC2、RC4、RC5、OES、T
riple DES、IDEA、CAST、CASTS、Blowfish、MD5、MDC2、RMD-160、SHA、及び/又
はSHA-1を含むことができる。しかしながら、使用する暗号アルゴリズムの種類
は発明を実施するために必ずしも重要ではないことに注意されたい。クライアン
ト110とブローカ120は相互に利用できる暗号アルゴリズムを交渉し、合意するこ
とができる。クライアント110がブローカ120で認められる暗号プロトコルをサポ
ートしていない場合、SSLのセッションは確立できない。確立されたSSLのセッシ
ョン中にクライアント110が失敗する場合には、ブローカ120はクライアント110
からの応答なしの所定の持続時間後タイムアウトして、セッションを終了する。
イアント110にサーバ鍵交換メッセージを送ることができる。例えば、鍵交換メ
ッセージは、ブローカ120が電子署名を持っていない場合又はサインオン(つまり
初期接続)のみで使用する電子署名をもつ場合に利用することができる。ブロー
カ120はクライアント110にServerHelloDoneメッセージを送って、ハンドシェイ
クのHello段階が完了したことを示す(ブロック220)。次にブローカ120はクライ
アントの応答を待つ。クライアントはブローカ120にClientKeyExchangeを送る。
ClientKeyExchangeの内容はハンドシェイクのHello段階の間に確立した公開鍵ア
ルゴリズムによって決まる。例えば、Fortezza鍵交換を選択する場合、ClientKe
yExchangeはブローカ120にFORTEZZAキー交換アルゴリズム(KEA)の選択を指定す
る。一般的には、公開鍵アルゴリズムは、公開鍵と秘密鍵の2つのキーを使用す
る。公開鍵で暗号化されたメッセージは関連する秘密鍵でのみ復号化することが
できる。反対に、公開鍵で暗号化されたメッセージは公開鍵でのみ復号化できる
。次に、クライアント110はブローカ120にChangeCipherSpecメッセージを送って
、RSA、Fortezza、又はクライアントDiffie-Hallmanなどの選択した暗号アルゴ
リズムを起動する(ブロック230)。ChangeCipherSpecメッセージは1バイトの値1
からなり、これはその後のデータがちょうど交渉した暗号アルゴリズム及びキー
で保護されることを受信者(例、ブローカ120)に通知するために暗号化、圧縮さ
れてサーブする。最後に、クライアント110はブローカ120にFinishedメッセージ
を送って、鍵交換及び認証プロセスが成功したことを証明する。Finishedメッセ
ージは典型的には、ちょうど交渉した暗号アルゴリズムで暗号化される(ブロッ
ク230)。クライアントのFinishedメッセージを受信した時点で、ブローカ120は
その暗号アルゴリズムをクライアント110が選択したものに更新し、クライアン
ト110にChangeCipherSpecメッセージを送ることによって確認する(ブロック240)
。ブローカ120はまた、ちょうど交渉した暗号アルゴリズムを使用する暗号化し
た形式で、クライアント110にFinishedメッセージを送る。この段階で、ハンド
シェイクは完了し、クライアント110とブローカ120は暗号化した形式でアプリケ
ーションデータの交換を開始することができる(ブロック250及び260)。
とブローカ120がSSL接続を確立して、アプリケーションデータの交換を開始した
後、ブローカ120はブローカ120とサーバ130aの間のデータ交換の2つの実施例の
うちの1つを選択的に実行できる。両実施例では、ブローカ120とサーバ130aの間
のデータ転送接続を確立するためにハンドシェイクが利用できるまで、ブローカ
120にクライアント110から入るアプリケーションデータをバッファに入れること
が望ましい(ブロック310)。データをバッファに入れることにより、ブローカ1
20は、クライアント110からブローカ120に送られるアプリケーションデータが損
失から保護されることを保証する。ブローカ120に、クライアントとサーバのト
ラフィック量に応じて動的にバッファサイズを割当てさせる(例ランダムアクセ
スメモリ、つまりRAM)ことが望ましい。さらに具体的には、ブローカ120はクラ
イアントの要求を処理するためにバッファの利用性を最適化するために現在のバ
ッファサイズを調整する(つまり増減する)ことができる。例えば、ある実施例で
は、ブローカ120は割当てられたバッファ空間の利用率を連続的に監視すること
ができる。利用率はあらかじめ選択した閾値レベル未満である場合(例、40%)、
ブローカ120はそのバッファ空間をあらかじめ選択した係数(例1/2)によりダウン
サイズすることができる。一方、利用率があらかじめ選択した閾値レベルを超え
る場合(例、95%)、ブローカ120はバッファ空間をあらかじめ選択した係数(例、
2)で増加することができる。最終的に、割当てられるバッファ空間は、ブローカ
120がそのハードウェアの仕様により命じられるメモリの限界のために超えるこ
とができない最大メモリ空間に到達することができる。
び記憶するために、少なくとも1つの処理装置と1つの記憶装置を含むことができ
る。さらに具体的には、ブローカ120は、例えばIpivot, INC.が製造するCommerc
e Accelerator 1000又はCommerce Director 8000などの商業的な形態で具現でき
る。
参照するアプリケーションで説明するように、クライアントトランザクションを
履行又は実行するために、ハンドオフリンクをサーバ130aで確立するように構成
される。ハンドオフリンクには、ブローカ120とサーバ130aの間にメッセージの
暗号化/復号化を含まない。他の実施例では、具体的にはより十分なセキュリテ
ィが望まれる場合、ブローカ120は、クライアントトランザクションを履行又は
実行するために、セキュアな(例、SSL)ハンドオフリンクをサーバ130aで確立す
るよう構成される。一般的には、システムオペレータが初期のシステムのインス
トール時点でブローカ120のプログラムにどのような構成の設定(例、基本入出力
システムつまりBIOS設定)にするか決定する。この特性のための典型的なBIOS設
定は<continue secure link:Y/N>で表される。代わりに、ブローカの設定は、操
作中にシステムユーザが選択する、又は様々なサーバの構成を収容するよう自動
的に調整できる。このような設定に基づいて、ブローカ120はセキュアな(例、SS
L)またノンセキュアなリンクを継続するかどうか決定する(ブロック320)。
の操作は(ブロック330)まで進行する。参照するアプリケーションで説明するよ
うに、ブローカ120がクライアントのトランザクションの要求を履行するハンド
オフのために使用することができる多数のサーバがある。従って、これに説明す
るプロセスは、ブローカ120がクライアントトランザクションをハンドオフする
ために、遂行サーバを、例えばサーバ130a、130b及び130cからサーバ130aを選択
したと仮定する。クライアントトランザクションをハンドオフする際、ブローカ
120はクライアント110から受信するパケットを、クライアント110で合意した暗
号アルゴリズムを適用することによって復号化する(ブロック330)。復号化後、
ブローカ120は宛先アドレスなどのパケットヘッダー情報を変更して、クライア
ントのパケットをサーバ130aに戻す(ブロック332)。
たクライアント110とブローカ120の間のハンドシェイクの確立と実質的に類似し
た方法で、サーバ130aでセキュアなSSLのハンドシェイクを開始する(ブロック33
4)。ハンドシェイクがブローカ120とサーバ130aの間で確立されたら、ブローカ1
20とサーバ130aはここで暗号化した形式でアプリケーションデータを交換する準
備段階にある。従って、ブローカ120はクライアントのパケットをそのバッファ
から再生して、サーバ130aに送信するためにクライアントのパケットを暗号化す
る(ブロック336)。暗号化後、ブローカ120は暗号化したクライアントのパケット
を実行するためにサーバ130aに送る。プロセスのこの段階で、ブローカ120から
サーバ130aまでのクライアントトランザクションのハンドオフが完了する(ブロ
ック350)。
ブローカ120の操作は(ブロック340)まで進行する。ノンセキュアなモードでリン
クを継続することによって、ブローカ120は著しい操作上の利点が達成できる。
この利点のために、サーバ130aはSSL操作(つまり、暗号化/復号化)に関わるCPU
主導のタスクから解放される。要するに、ブローカ120はサーバのSSL操作を肩代
わりし、それによって他の待機中のタスクを実行するために、サーバ130aのCPU
を自由にする。いくつかのブローカの操作は、クライアントまでの応答速度が50
倍まで改善されることを証明できる。ブローカ120は典型的には暗号方式のアプ
リケーション専用の1つ以上の処理装置を備えている。対照的に、サーバは一般
的には多数の非暗号方式のアプリケーションを担当する汎用アプリケーションの
中央処理装置を装備する。そのため、サーバ130aからブローカ120の専用処理装
置に暗号化の機能を再配置することによって、クライアントまでの応答速度は著
しく向上する。
した暗号アルゴリズムを適用することによって、クライアントのパケットを復号
化する(ブロック340)。復号化後、ブローカ120は宛先アドレスなどのパケットヘ
ッダー情報を変更して、クライアントのパケットをサーバ130aに戻す(ブロック3
42)。クライアントのパケットをサーバ130aに戻すために、ブローカ120は、参照
するアプリケーションで説明するように、ブローカ120とサーバ130aの間に指定
される通信プロトコル(例、TCP/IP)に従って、サーバ130aで従来の(つまり、ノ
ンセキュアな)ハンドシェイクを開始する(ブロック344)。ブローカ120とサーバ1
30aの間にハンドシェイクが確立されたら、ブローカ120とサーバ130aは従来の形
式でアプリケーションデータの交換の準備状態にある。従って、ブローカ120は
クライアントのパケットを再生して、サーバ130aに送る(ブロック346)。プロセ
スのこの段階で、ブローカ120からサーバ130aまでのクライアントトランザクシ
ョンのハンドオフが完了する(ブロック350)。
ある。図3で前述するように、クライアント110とブローカ120はSSL接続を確立し
て、アプリケーションデータの交換を開始する。サーバ130aはブローカ120とサ
ーバ130の間のデータ交換の1つ又は2つのモードを選択的に実行できる。制御フ
ローがブロック400で開始し、ここでサーバはブローカ120との新たな接続が開く
のを待つ。ブローカ120はサーバ130aでハンドシェイクを開始し、ブロック410で
接続が確立される。前述したように、サーバ130は、ブローカ120との標準リンク
又はセキュアなリンクを介して通信するための以前のモード決定で構成できる。
安全にするためにハンドシェイクが要求される場合、制御フローが決定ブロック
420から続く。セキュアなリンクモードでは、サーバ130がブローカ120からクラ
イアントのパケットを受信する(ブロック430)。ブロック432で、サーバ130が受
信したクライアントのパケットを復号化する。次にサーバ130が、ブロック434で
のクライアントトランザクションを実行することにより、クライアントの要求を
履行する。この要求はウェブページを読み込む、eコマースの購入をする、チャ
ットを介して他のクライアントと通信をすることなどである。サーバ130は次に
クライアント110に送り返すために、応答パケットを暗号化する(ブロック436)。
サーバ130は暗号化したパケットをブローカ120に送り(ブロック438)、ブローカ1
20が応答パケットをクライアント110に送る(ブロック450)。リンクを終了するか
、次のトランザクションがサーバ130によって満たされてから、制御フローが終
了する(ブロック460)。
い場合、パケット伝送の代替経路が発生することがある(ブロック420)。このフ
ローでは、サーバ130がブローカ120からクライアントのパケットを受信する(ブ
ロック440)。サーバ130は、ブロック434のセキュアなパスで示したものと同様に
、クライアントトランザクションを実行する(ブロック442)。サーバ130はブロー
カ120に応答パケットを送り(ブロック444)、これがクライアント110に応答パケ
ットを送る(ブロック450)。
ラー、又は突然の停電に遭遇する場合、サーバ130は典型的にはHTTP 400、500又
は600シリーズのエラーメッセージなどの1つ以上のエラーメッセージを送る。ブ
ローカ120がこのようなエラーメッセージを監視して、エラーメッセージがサー
バ130により生成されるかどうかを判定させることが望ましい。サーバ130がこの
ようなエラーメッセージを生成するとき、ブローカ120は履行するために他のサ
ーバにクライアントのパケットを透過的に(つまり、クライアントが気づかずに)
転送することにより応答する。その場合、クライアントのセッションは、サービ
スをクライアントに提供する企業が遭遇するサービスの難しさが一切生じないで
、回復して完了できる。従って、顧客のサービス企業(例、eコマースのベンダー
)の認知は高いまま維持される。
るために、システム管理者が1つ以上のユーザグループを識別できるようにする
。さらに具体的には、システム管理者はそのための優先レベル(例、1〜5)を設定
するために具体的な発信元アドレスをもつユーザグループを選択することができ
る。ブローカ120は、最も高い優先順位(例、5)をもつユーザグループが発行する
トランザクションを処理するための応答時間を最も少なくするよう割当てる。最
も少ない応答時間を割当てることにより(例、10ミリセコンドの閾値)、ブローカ
120は優先順位の高いトランザクションに対するサーバの応答時間を監視する。1
つ以上の応答時間が閾値の時間よりも大きい場合、ブローカ120はサーバ130への
ノンセキュアなトランザクションのトラフィック(例、プレーンなHTTP)のフロー
を減少することができる。サーバ130へのノンセキュアなトラフィックのフロー
を減少することにより、ブローカ120はサーバ130を自由にして、セキュアなトラ
ンザクション(例、HTTPS)をより効率的に取引する。実際に、セキュアなトラン
ザクションとはノンセキュアなトランザクションよりも財務データ(つまりeコマ
ースのアプリケーション)を含むことが多いと考えられる。このように、ブロー
カ120はeコマース関連のトランザクションを最大限にするために、ノンセキュア
なトラフィックのフローを減少する。また、ブローカ120はクライアントの要求
を最も効率的に履行できる他のサーバにトラフィックを転送できる。
120は監視のための応答時間に最大のもの(例、50ミリセコンドの閾値)を割当て
る。閾値の時間に従って、ブローカ120は、上記優先順位の高いトランザクショ
ンの説明と類似の方法で介入できる。従って、所定の無反応の閾値の時間の経過
後、ブローカ120は、サーバ130へのノンセキュアなトランザクションのフローを
減少する、又はより効率的に履行するために他のサーバへクライアントのパケッ
トを転送できる。いかなる場合も、特定のユーザグループに関して、ブローカ12
0はそのグループの予測又は対象とする関心に見合ったサーバの資源を割当てる
ことを目的とする。
バの間のネットワークトランザクションを管理するブローカの長年にわたるニー
ズを克服していると評価されるであろう。本発明はその精神又は本質的な特徴を
逸脱することなく、他の具体的な形態で具現できる。説明した実施例はあらゆる
点で例示的なものであり、限定的なものではないと考える。そのため、本発明の
範囲は前述の説明よりも添付する請求項により示される。請求項の同等の意味及
び範囲内のすべての変更は、その範囲内に包含される。
ク図である。
ーチャートである。
Claims (40)
- 【請求項1】 通信ネットワークのトランザクションを管理するために構成
されるサーバコンピュータにおいて、 通信ネットワークのセキュアなリンクでコンピュータに操作可能に接続されて
、コンピュータからのデータパケットを受信するよう構成されるデータのインタ
ーフェースと、 データインターフェースと操作可能に接続されて、受信したデータのパケット
にアクセスし、データのパケットの内容を復号化し、さらに他のコンピュータに
データのパケットを転送するようプログラミングされたデータ処理装置と、 処理装置及びデータインターフェースに操作可能に接続されて、他のコンピュ
ータがクライアントのパケットを受信する準備ができるまで、データのパケット
を記憶するよう構成されるデータ記憶装置と、 からなることを特徴とするサーバコンピュータ。 - 【請求項2】 請求項1のサーバにおいて、データインターフェースが、セ
キュアなソケットレイヤ(SSL)リンクで暗号化された情報をもつデータのパケッ
トを受信するよう構成されることを特徴とするサーバ。 - 【請求項3】 請求項1のサーバにおいて、処理装置が、ノンセキュアなリ
ンクで暗号化されていない情報をもつデータのパケットを他のコンピュータに転
送するようプログラミングされることを特徴とするサーバ。 - 【請求項4】 請求項1のサーバにおいて、処理装置が、他のセキュアなリ
ンクで暗号化された情報をもつデータのパケットを他のコンピュータに転送する
ようプログラミングされることを特徴とするサーバ。 - 【請求項5】 請求項1のサーバにおいて、処理装置が他方のコンピュータ
の応答時間を監視して、閾値時間と比較するようプログラミングされることを特
徴とするサーバ。 - 【請求項6】 請求項5のサーバにおいて、処理装置がさらに、応答時間が
閾値時間を超える場合に、他方のコンピュータへのノンセキュアなトラフィック
のフローを減少するようプログラミングされることを特徴とするサーバ。 - 【請求項7】 請求項1のサーバにおいて、データ記憶装置が、受信したデ
ータのパケットの数の変化に対応して、利用できる記憶空間のサイズを調整する
ように構成されることを特徴とするサーバ。 - 【請求項8】 コンピュータネットワークで電子的要求に応答するよう構成
されるシステムにおいて、 コンピュータネットワークのセキュアなリンクでデータのパケットとインター
フェースしてそれを受信するよう構成され、さらにデータのパケットの内容を復
号化して、データのパケットを転送するよう構成される第1サーバと、 第1サーバとデータ通信し、第1サーバからデータのパケットを受け入れて、そ
れに含まれる指示に従ってデータのパケットを実行するよう構成される第2サー
バと、 からなることを特徴とするシステム。 - 【請求項9】 請求項8のシステムにおいて、第1サーバが、コンピュータネ
ットワークのセキュアなソケットレイヤ(SSL)リンクでインターフェースするよ
う構成されることを特徴とするシステム。 - 【請求項10】 請求項8のシステムにおいて、第1サーバがデータのパケッ
トの内容を再暗号化するよう構成されることを特徴とするシステム。 - 【請求項11】 請求項8のシステムにおいて、第1サーバが、その間にデー
タのパケットを送信するために、第2サーバとセキュアなリンクを確立するよう
構成されることを特徴とするシステム。 - 【請求項12】 請求項11のシステムにおいて、第2サーバが、第1サーバか
ら受信するデータのパケットを復号化するよう構成されることを特徴とするシス
テム。 - 【請求項13】 請求項8のシステムにおいて、第2サーバが、応答時間内に
受信したデータのパケットに反応して、少なくとも1つのデータのパケットを送
るよう構成されることを特徴とするシステム。 - 【請求項14】 請求項13のシステムにおいて、第1サーバが第2サーバの応
答時間を監視して、応答時間を閾値時間と比較するよう構成されることを特徴と
するシステム。 - 【請求項15】 請求項14のシステムにおいて、第1サーバが、応答時間が
閾値時間を超える場合に、ノンセキュアなトラフィックのフローの量を減少する
よう構成されることを特徴とするシステム。 - 【請求項16】 請求項8のシステムにおいて、第1サーバが第2サーバの応
答を監視し、第2サーバにエラーがある場合には、履行するために他のサーバに
クライアントのパケットを転送するよう構成されることを特徴とするシステム。 - 【請求項17】 コンピュータネットワークで電子的要求を管理するための
方法において、 コンピュータネットワークのセキュアなリンクで、クライアントのコンピュー
タから暗号化された情報をもつデータのパケットを受信するためのステップと、 受信したデータのパケットの情報を復号化するためのステップと、 データのパケットを実行するために利用できるサーバとリンクを確立するため
のステップと、 データのパケットをサーバに送るためのステップと、 からなることを特徴とする方法。 - 【請求項18】 請求項17の方法において、受信するためのステップが、イ
ンターネットのセキュアなソケットレイヤ(SSL)リンクでデータのパケットを受
信するためのステップからなることを特徴とする方法。 - 【請求項19】 請求項17の方法において、さらに、データのパケットをサ
ーバに送る前に、データのパケットの情報を再暗号化するためのステップからな
ることを特徴とする方法。 - 【請求項20】 請求項17の方法において、さらに、クライアントのコンピ
ュータのデータのパケットに反応して、クライアントのコンピュータにデータの
パケットを送るためのステップからなることを特徴とする方法。 - 【請求項21】 請求項17の方法において、さらに、クライアントのコンピ
ュータ応答時間を監視するためのステップと、応答時間が閾値時間を超える場合
には、サーバへのノンセキュアなトラフィックの量を減少するためのステップと
からなることを特徴とする方法。 - 【請求項22】 請求項17の方法において、さらに、複数のクライアントの
グループのそれぞれに、クライアントグループの応答の優先順位に基づいた閾値
時間を設定するためのステップからなることを特徴とする方法。 - 【請求項23】 請求項17の方法において、リンクを確立するためのステッ
プが、サーバとの他のセキュアなリンクを設定するためのステップからなること
を特徴とする方法。 - 【請求項24】 請求項17の方法において、さらに、サーバによりデータの
パケットを受信するためのステップと、eコマースのトランザクションの過程で
少なくとも1つのデータのパケットを準備するためのステップとからなることを
特徴とする方法。 - 【請求項25】 請求項17の方法において、さらに、サーバによりデータの
パケットの情報を復号化するためのステップからなることを特徴とする方法。 - 【請求項26】 請求項17の方法において、さらに、サーバの応答を監視す
るためのステップと、サーバにエラーがある場合には、他のサーバにデータのパ
ケットを転送するためのステップとからなることを特徴とする方法。 - 【請求項27】 クライアントサーバネットワークでクライアントとサーバ
の間を通信するための方法において、 クライアントと第1サーバの間に通信リンクを確立するためのステップと、 クライアントから、データの要求を表す少なくとも1つのパケットを第1サーバに
より受信するためのステップと、 第1サーバでパケットのヘッダー情報を変更するためのステップと、 変更したパケットを第1サーバから第2サーバまで送るためのステップと、 第1サーバを介してクライアントのデータの要求に応答するためのステップと
、 からなることを特徴とする方法。 - 【請求項28】 請求項27に記載する方法において、通信リンクを確立する
ためのステップが、クライアントとサーバの間に少なくとも1つのハンドシェイ
クを実行するためのステップからなることを特徴とする方法。 - 【請求項29】 請求項28に記載する方法において、少なくとも1つのハン
ドシェイクを実行するためのステップが、伝送制御プロトコル/インターネット
プロトコル(TCP/IP)のセッションを開始するためのステップからなることを特徴
とする方法。 - 【請求項30】 請求項27に記載する方法において、ヘッダー情報を変更す
るためのステップが、パケットを第2サーバに中継するためにパケットの宛先ア
ドレスを変更するためのステップからなることを特徴とする方法。 - 【請求項31】 請求項27に記載する方法において、変更したパケットを第
2サーバに送るためのステップが、安全ではないリンクでパケットを送るための
ステップからなることを特徴とする方法。 - 【請求項32】 請求項27に記載する方法において、クライアントに応答す
るためのステップが、第2サーバにより少なくとも1つの応答パケットを第1サー
バに送るためのステップからなることを特徴とする方法。 - 【請求項33】 請求項32に記載する方法において、クライアントに応答す
るためのステップがさらに、第1サーバにより、クライアントの宛先アドレスを
もつ応答パケットを送るためのステップからなることを特徴とする方法。 - 【請求項34】 クライアントサーバネットワークでクライアントとサーバ
の間を通信するためのシステムにおいて、 クライアントからデータの要求を表す少なくとも1つのパケットを受信するよ
うに構成され、さらにパケットのヘッダー情報を変更して、ネットワークを介し
て変更したパケットを送るように構成される第1サーバと、 変更したパケットを受信して、第1サーバを介してクライアントのデータの要
求に応答するように構成される第2サーバと、 からなることを特徴とするシステム。 - 【請求項35】 請求項34に記載するシステムにおいて、第1サーバがクラ
イアントと少なくとも1つのハンドシェイクを実行するように構成されることを
特徴とするシステム。 - 【請求項36】請求項35に記載されるシステムにおいて、ハンドシェイクが
伝送制御プロトコル/インターネットプロトコル(TCP/IP)のセッションの開始を
表すことを特徴とするシステム。 - 【請求項37】 請求項34に記載するシステムにおいて、第1サーバが、パ
ケットを第2サーバに中継するために、パケットの宛先アドレスを変更するよう
に構成されることを特徴とするシステム。 - 【請求項38】 請求項34に記載するシステムにおいて、第1サーバが、ノ
ンセキュアなリンクでパケットを第2サーバに送るように構成されることを特徴
とするシステム。 - 【請求項39】 請求項34に記載するシステムにおいて、第2サーバが、少
なくとも1つの応答パケットを第1サーバに送るように構成されることを特徴とす
るシステム。 - 【請求項40】 請求項39に記載するシステムにおいて、第1サーバが、ク
ライアントの宛先アドレスとともに応答パケットを送るように構成されることを
特徴とするシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/345,575 US6681327B1 (en) | 1998-04-02 | 1999-06-30 | Method and system for managing secure client-server transactions |
US09/345,575 | 1999-06-30 | ||
PCT/US2000/013047 WO2001002935A2 (en) | 1999-06-30 | 2000-05-11 | Method and system for managing secure client-server transactions |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003504714A true JP2003504714A (ja) | 2003-02-04 |
JP4245838B2 JP4245838B2 (ja) | 2009-04-02 |
Family
ID=23355585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001508673A Expired - Fee Related JP4245838B2 (ja) | 1999-06-30 | 2000-05-11 | セキュアクライアントサーバトランザクションを管理するための方法及びシステム |
Country Status (7)
Country | Link |
---|---|
US (1) | US6681327B1 (ja) |
EP (2) | EP1116367B1 (ja) |
JP (1) | JP4245838B2 (ja) |
AU (1) | AU5440100A (ja) |
CA (1) | CA2341869A1 (ja) |
DE (1) | DE60043879D1 (ja) |
WO (1) | WO2001002935A2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014130479A1 (en) * | 2013-02-19 | 2014-08-28 | Marble Security | Protecting data in a mobile environment |
KR20190024581A (ko) * | 2017-08-29 | 2019-03-08 | 주식회사 수산아이앤티 | 보안을 위한 보안 소켓 계층 복호화 방법 |
Families Citing this family (97)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7035410B1 (en) * | 1999-03-01 | 2006-04-25 | At&T Corp. | Method and apparatus for enhanced security in a broadband telephony network |
DE60043196D1 (de) * | 1999-11-02 | 2009-12-03 | Highway To Health Inc | System zur kurzfristigen Ortung von Anbietern über das Internet |
US8335994B2 (en) * | 2000-02-25 | 2012-12-18 | Salmon Alagnak Llc | Method and apparatus for providing content to a computing device |
US7359507B2 (en) * | 2000-03-10 | 2008-04-15 | Rsa Security Inc. | Server-assisted regeneration of a strong secret from a weak secret |
JP2001338168A (ja) * | 2000-05-25 | 2001-12-07 | Oht Inc | 情報提供システム、情報提供方法、情報提供装置、情報取得装置、及び、記録媒体 |
US7225331B1 (en) * | 2000-06-15 | 2007-05-29 | International Business Machines Corporation | System and method for securing data on private networks |
US7093129B1 (en) * | 2000-06-19 | 2006-08-15 | International Business Machines Corporation | Secured encrypted communications in a voice browser |
US7137143B2 (en) | 2000-08-07 | 2006-11-14 | Ingrian Systems Inc. | Method and system for caching secure web content |
US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
US7032002B1 (en) * | 2000-09-06 | 2006-04-18 | Xanboo, Inc. | Service broker for processing data from a data network |
US7774455B1 (en) * | 2000-09-26 | 2010-08-10 | Juniper Networks, Inc. | Method and system for providing secure access to private networks |
US7150045B2 (en) * | 2000-12-14 | 2006-12-12 | Widevine Technologies, Inc. | Method and apparatus for protection of electronic media |
US7757278B2 (en) * | 2001-01-04 | 2010-07-13 | Safenet, Inc. | Method and apparatus for transparent encryption |
US7127742B2 (en) | 2001-01-24 | 2006-10-24 | Microsoft Corporation | Establishing a secure connection with a private corporate network over a public network |
US7089311B2 (en) * | 2001-01-31 | 2006-08-08 | International Business Machines Corporation | Methods, systems and computer program products for resuming SNA application-client communications after loss of an IP network connection |
US6912591B2 (en) * | 2001-05-02 | 2005-06-28 | Science Application International Corporation | System and method for patch enabled data transmissions |
FR2825212B1 (fr) * | 2001-05-23 | 2003-10-31 | Unlog | Dispositif de communication electronique securise |
US7085923B2 (en) * | 2001-06-05 | 2006-08-01 | International Business Machines Corporation | High volume secure internet server |
US7328336B2 (en) * | 2001-06-26 | 2008-02-05 | Ncipher Corporation Ltd | System and method for small-area system data processing |
US7013387B2 (en) * | 2001-06-27 | 2006-03-14 | Intel Corporation | System for increasing realized secure sockets layer encryption and decryption connections |
US7149892B2 (en) * | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
US7853781B2 (en) * | 2001-07-06 | 2010-12-14 | Juniper Networks, Inc. | Load balancing secure sockets layer accelerator |
US7908472B2 (en) * | 2001-07-06 | 2011-03-15 | Juniper Networks, Inc. | Secure sockets layer cut through architecture |
US7228412B2 (en) * | 2001-07-06 | 2007-06-05 | Juniper Networks, Inc. | Bufferless secure sockets layer architecture |
US20050210243A1 (en) * | 2001-09-28 | 2005-09-22 | Archard Paul L | System and method for improving client response times using an integrated security and packet optimization framework |
JP3895146B2 (ja) * | 2001-10-22 | 2007-03-22 | 富士通株式会社 | サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム |
US7054925B2 (en) * | 2001-11-21 | 2006-05-30 | International Business Machines Corporation | Efficient method for determining record based I/O on top of streaming protocols |
US7043632B2 (en) * | 2001-12-12 | 2006-05-09 | Nortel Networks Limited | End-to-end security in data networks |
US7376967B1 (en) | 2002-01-14 | 2008-05-20 | F5 Networks, Inc. | Method and system for performing asynchronous cryptographic operations |
JP2003242118A (ja) * | 2002-02-19 | 2003-08-29 | Allied Tereshisu Kk | 通信システム、中継機器、及びプログラム |
US7366905B2 (en) * | 2002-02-28 | 2008-04-29 | Nokia Corporation | Method and system for user generated keys and certificates |
FR2840134B1 (fr) * | 2002-05-21 | 2004-08-13 | France Telecom | Procede de controle d'acces a des ressources cryptographiques, plate-forme informatique et module logiciel utilisables dans la mise en oeuvre du procede |
US7124171B1 (en) * | 2002-05-23 | 2006-10-17 | Emc Corporation | In a networked computing cluster storage system and plurality of servers sharing files, in the event of server unavailability, transferring a floating IP network address from first server to second server to access area of data |
AU2003274400A1 (en) | 2002-06-06 | 2003-12-22 | Neoteris, Inc. | Method and system for providing secure access to private networks |
WO2004019182A2 (en) * | 2002-08-24 | 2004-03-04 | Ingrian Networks, Inc. | Selective feature activation |
US7430755B1 (en) | 2002-09-03 | 2008-09-30 | Fs Networks, Inc. | Method and system for providing persistence in a secure network access |
US7177874B2 (en) * | 2003-01-16 | 2007-02-13 | Jardin Cary A | System and method for generating and processing results data in a distributed system |
US7272658B1 (en) | 2003-02-13 | 2007-09-18 | Adobe Systems Incorporated | Real-time priority-based media communication |
US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
US20060149962A1 (en) * | 2003-07-11 | 2006-07-06 | Ingrian Networks, Inc. | Network attached encryption |
US20080130900A1 (en) * | 2003-10-20 | 2008-06-05 | Hsieh Vincent W | Method and apparatus for providing secure communication |
US20050086533A1 (en) * | 2003-10-20 | 2005-04-21 | Hsieh Vincent W. | Method and apparatus for providing secure communication |
US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
US20050120204A1 (en) * | 2003-12-01 | 2005-06-02 | Gary Kiwimagi | Secure network connection |
US20050120223A1 (en) * | 2003-12-01 | 2005-06-02 | Gary Kiwimagi | Secure authenticated network connections |
US7519835B2 (en) * | 2004-05-20 | 2009-04-14 | Safenet, Inc. | Encrypted table indexes and searching encrypted tables |
US20060049234A1 (en) * | 2004-05-21 | 2006-03-09 | Flak Richard A | Friction stirring and its application to drill bits, oil field and mining tools, and components in other industrial applications |
US8024483B1 (en) | 2004-10-01 | 2011-09-20 | F5 Networks, Inc. | Selective compression for network connections |
US8813216B2 (en) * | 2004-12-16 | 2014-08-19 | International Business Machines Corporation | Network security protection |
US7526801B2 (en) * | 2005-01-07 | 2009-04-28 | Microsoft Corporation | Bulk transmission of messages using a single HTTP request |
US20070002736A1 (en) * | 2005-06-16 | 2007-01-04 | Cisco Technology, Inc. | System and method for improving network resource utilization |
US8418233B1 (en) | 2005-07-29 | 2013-04-09 | F5 Networks, Inc. | Rule based extensible authentication |
US8613071B2 (en) * | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
US8438628B2 (en) * | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
US8478986B2 (en) * | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
US8621078B1 (en) | 2005-08-15 | 2013-12-31 | F5 Networks, Inc. | Certificate selection for virtual host servers |
US8065733B2 (en) * | 2005-09-23 | 2011-11-22 | Google, Inc. | Method for evolving detectors to detect malign behavior in an artificial immune system |
WO2007038245A2 (en) | 2005-09-23 | 2007-04-05 | Widevine Technologies, Inc. | Method for evolving detectors to detect malign behavior in an artificial immune system |
US20070079386A1 (en) * | 2005-09-26 | 2007-04-05 | Brian Metzger | Transparent encryption using secure encryption device |
US20070079140A1 (en) * | 2005-09-26 | 2007-04-05 | Brian Metzger | Data migration |
US8565088B1 (en) | 2006-02-01 | 2013-10-22 | F5 Networks, Inc. | Selectively enabling packet concatenation based on a transaction boundary |
US7873065B1 (en) | 2006-02-01 | 2011-01-18 | F5 Networks, Inc. | Selectively enabling network packet concatenation based on metrics |
US8386768B2 (en) * | 2006-02-08 | 2013-02-26 | Safenet, Inc. | High performance data encryption server and method for transparently encrypting/decrypting data |
US7958091B2 (en) | 2006-02-16 | 2011-06-07 | Ingrian Networks, Inc. | Method for fast bulk loading data into a database while bypassing exit routines |
US8572219B1 (en) | 2006-03-02 | 2013-10-29 | F5 Networks, Inc. | Selective tunneling based on a client configuration and request |
US8375421B1 (en) | 2006-03-02 | 2013-02-12 | F5 Networks, Inc. | Enabling a virtual meeting room through a firewall on a network |
US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
US20070266233A1 (en) * | 2006-05-12 | 2007-11-15 | Mahesh Jethanandani | Method and apparatus to minimize latency by avoiding small tcp segments in a ssl offload environment |
US7917947B2 (en) * | 2006-05-26 | 2011-03-29 | O2Micro International Limited | Secured communication channel between IT administrators using network management software as the basis to manage networks |
US8379865B2 (en) * | 2006-10-27 | 2013-02-19 | Safenet, Inc. | Multikey support for multiple office system |
US9106606B1 (en) | 2007-02-05 | 2015-08-11 | F5 Networks, Inc. | Method, intermediate device and computer program code for maintaining persistency |
US8713186B2 (en) * | 2007-03-13 | 2014-04-29 | Oracle International Corporation | Server-side connection resource pooling |
US8060750B2 (en) * | 2007-06-29 | 2011-11-15 | Emc Corporation | Secure seed provisioning |
US8059814B1 (en) | 2007-09-28 | 2011-11-15 | Emc Corporation | Techniques for carrying out seed or key derivation |
US7961878B2 (en) | 2007-10-15 | 2011-06-14 | Adobe Systems Incorporated | Imparting cryptographic information in network communications |
US9043589B2 (en) * | 2007-11-14 | 2015-05-26 | Hewlett-Packard Development Company, L.P. | System and method for safeguarding and processing confidential information |
US20090132804A1 (en) * | 2007-11-21 | 2009-05-21 | Prabir Paul | Secured live software migration |
US8307210B1 (en) | 2008-05-02 | 2012-11-06 | Emc Corporation | Method and apparatus for secure validation of tokens |
US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
WO2010008539A1 (en) * | 2008-07-14 | 2010-01-21 | Riverbed Technology, Inc. | Methods and systems for secure communications using a local certification authority |
US9130846B1 (en) | 2008-08-27 | 2015-09-08 | F5 Networks, Inc. | Exposed control components for customizable load balancing and persistence |
US8051287B2 (en) | 2008-10-15 | 2011-11-01 | Adobe Systems Incorporated | Imparting real-time priority-based network communications in an encrypted communication session |
US20100186070A1 (en) * | 2009-01-22 | 2010-07-22 | Mcalear James A | System, device and method for secure provision of key credential information |
US8707043B2 (en) * | 2009-03-03 | 2014-04-22 | Riverbed Technology, Inc. | Split termination of secure communication sessions with mutual certificate-based authentication |
US8788824B2 (en) * | 2009-08-13 | 2014-07-22 | Verizon Patent And Licensing Inc. | Selective encryption in broker-based messaging systems and methods |
US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
JP5604927B2 (ja) * | 2010-03-24 | 2014-10-15 | 富士通株式会社 | 経路制御プログラム、中継プログラム、及びデータ中継方法 |
IT1399929B1 (it) * | 2010-05-17 | 2013-05-09 | Create Net Ct For Res And Telecomm Experimentation For Networked Communities | Method and system for network virtualization |
US9049025B1 (en) * | 2011-06-20 | 2015-06-02 | Cellco Partnership | Method of decrypting encrypted information for unsecure phone |
US9489488B2 (en) * | 2011-09-23 | 2016-11-08 | Roche Diabetes Care, Inc. | Protocol independent interface supporting general communications interface debugging and testing tool |
GB2497940B (en) * | 2011-12-21 | 2016-02-17 | Eckoh Uk Ltd | Method and apparatus for mediating communications |
US9525707B2 (en) * | 2014-12-23 | 2016-12-20 | Mcafee, Inc. | Incident response tool using a data exchange layer system |
US10599662B2 (en) | 2015-06-26 | 2020-03-24 | Mcafee, Llc | Query engine for remote endpoint information retrieval |
US10439952B1 (en) * | 2016-07-07 | 2019-10-08 | Cisco Technology, Inc. | Providing source fairness on congested queues using random noise |
CN111600855A (zh) * | 2020-04-30 | 2020-08-28 | 福州吉诺网络科技有限公司 | 一种拖车救援订单信息的加密方法及系统 |
US20240037544A1 (en) * | 2022-07-29 | 2024-02-01 | Ncr Corporation | Cloud-based transaction processing |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4823122A (en) | 1984-06-01 | 1989-04-18 | Digital Equipment Corporation | Local area network for digital data processing system |
DE3876617T2 (de) | 1987-09-04 | 1993-04-08 | Digital Equipment Corp | Verbindungssteuerung in einem netzwerk fuer ein digitaldatenverarbeitungssystem, das mehrfache uebertragungsprotokolle unterstuetzt. |
US5341477A (en) | 1989-02-24 | 1994-08-23 | Digital Equipment Corporation | Broker for computer network server selection |
CA2048306A1 (en) | 1990-10-02 | 1992-04-03 | Steven P. Miller | Distributed configuration profile for computing system |
US5446896A (en) | 1990-12-17 | 1995-08-29 | Next, Inc. | Method and apparatus for inter-program communication |
JPH0778776B2 (ja) | 1991-09-24 | 1995-08-23 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 分散資源部分のアクセス方法及びネットワーク |
US5371852A (en) | 1992-10-14 | 1994-12-06 | International Business Machines Corporation | Method and apparatus for making a cluster of computers appear as a single host on a network |
US5329619A (en) | 1992-10-30 | 1994-07-12 | Software Ag | Cooperative processing interface and communication broker for heterogeneous computing environments |
US5544320A (en) | 1993-01-08 | 1996-08-06 | Konrad; Allan M. | Remote information service access system based on a client-server-service model |
US5444782A (en) * | 1993-03-09 | 1995-08-22 | Uunet Technologies, Inc. | Computer network encryption/decryption device |
CA2124379C (en) | 1993-06-25 | 1998-10-27 | Thomas F. La Porta | Distributed processing architecture for control of broadband and narrowband communications networks |
US5506984A (en) | 1993-06-30 | 1996-04-09 | Digital Equipment Corporation | Method and system for data retrieval in a distributed system using linked location references on a plurality of nodes |
US5548726A (en) | 1993-12-17 | 1996-08-20 | Taligeni, Inc. | System for activating new service in client server network by reconfiguring the multilayer network protocol stack dynamically within the server node |
FR2714746B1 (fr) | 1993-12-31 | 1996-02-02 | Bull Sa | Procédé de simulation d'une architecture "serveur" à partir d'une architecture "client". |
US6185619B1 (en) * | 1996-12-09 | 2001-02-06 | Genuity Inc. | Method and apparatus for balancing the process load on network servers according to network and serve based policies |
US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
US5708780A (en) | 1995-06-07 | 1998-01-13 | Open Market, Inc. | Internet server access control and monitoring systems |
US5751971A (en) | 1995-07-12 | 1998-05-12 | Cabletron Systems, Inc. | Internet protocol (IP) work group routing |
JP4160642B2 (ja) * | 1995-09-08 | 2008-10-01 | 株式会社日立製作所 | ネットワークデータ転送方法 |
US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
US5819020A (en) * | 1995-10-16 | 1998-10-06 | Network Specialists, Inc. | Real time backup system |
JP3196618B2 (ja) * | 1995-11-24 | 2001-08-06 | 株式会社日立製作所 | パーソナルコンピュータおよびそれを用いた通信システム |
US5828847A (en) | 1996-04-19 | 1998-10-27 | Storage Technology Corporation | Dynamic server switching for maximum server availability and load balancing |
US5987140A (en) * | 1996-04-26 | 1999-11-16 | Verifone, Inc. | System, method and article of manufacture for secure network electronic payment and credit collection |
US5748897A (en) | 1996-07-02 | 1998-05-05 | Sun Microsystems, Inc. | Apparatus and method for operating an aggregation of server computers using a dual-role proxy server computer |
US5774660A (en) | 1996-08-05 | 1998-06-30 | Resonate, Inc. | World-wide-web server with delayed resource-binding for resource-based load balancing on a distributed resource multi-node network |
US6470389B1 (en) | 1997-03-14 | 2002-10-22 | Lucent Technologies Inc. | Hosting a network service on a cluster of servers using a single-address image |
US20010039615A1 (en) | 1997-04-15 | 2001-11-08 | At &T Corp. | Methods and apparatus for providing a broker application server |
-
1999
- 1999-06-30 US US09/345,575 patent/US6681327B1/en not_active Expired - Lifetime
-
2000
- 2000-05-11 EP EP00939295A patent/EP1116367B1/en not_active Expired - Lifetime
- 2000-05-11 DE DE60043879T patent/DE60043879D1/de not_active Expired - Lifetime
- 2000-05-11 AU AU54401/00A patent/AU5440100A/en not_active Abandoned
- 2000-05-11 EP EP10152523.6A patent/EP2194580B1/en not_active Expired - Lifetime
- 2000-05-11 JP JP2001508673A patent/JP4245838B2/ja not_active Expired - Fee Related
- 2000-05-11 CA CA002341869A patent/CA2341869A1/en not_active Abandoned
- 2000-05-11 WO PCT/US2000/013047 patent/WO2001002935A2/en active Application Filing
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014130479A1 (en) * | 2013-02-19 | 2014-08-28 | Marble Security | Protecting data in a mobile environment |
KR20190024581A (ko) * | 2017-08-29 | 2019-03-08 | 주식회사 수산아이앤티 | 보안을 위한 보안 소켓 계층 복호화 방법 |
KR101971995B1 (ko) | 2017-08-29 | 2019-04-24 | 주식회사 수산아이앤티 | 보안을 위한 보안 소켓 계층 복호화 방법 |
Also Published As
Publication number | Publication date |
---|---|
EP1116367B1 (en) | 2010-02-24 |
EP2194580A3 (en) | 2010-09-01 |
AU5440100A (en) | 2001-01-22 |
WO2001002935A2 (en) | 2001-01-11 |
DE60043879D1 (de) | 2010-04-08 |
EP1116367A2 (en) | 2001-07-18 |
WO2001002935A3 (en) | 2001-05-03 |
JP4245838B2 (ja) | 2009-04-02 |
CA2341869A1 (en) | 2001-01-11 |
US6681327B1 (en) | 2004-01-20 |
EP2194580B1 (en) | 2014-01-22 |
EP2194580A2 (en) | 2010-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4245838B2 (ja) | セキュアクライアントサーバトランザクションを管理するための方法及びシステム | |
US20240098071A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
US9667601B2 (en) | Proxy SSL handoff via mid-stream renegotiation | |
US9794064B2 (en) | Client(s) to cloud or remote server secure data or file object encryption gateway | |
US8407771B1 (en) | Method and system for providing persistence in a secure network access | |
US7853781B2 (en) | Load balancing secure sockets layer accelerator | |
US7908472B2 (en) | Secure sockets layer cut through architecture | |
US7827404B1 (en) | Secure sockets layer proxy architecture | |
US11303614B2 (en) | System and method for providing improved optimization for secure session connections | |
US20050210243A1 (en) | System and method for improving client response times using an integrated security and packet optimization framework | |
EP2992639B1 (en) | Splicing into an active tls session without a certificate or private key | |
US7631182B1 (en) | Secure protocol handshake offload using TNICs | |
JP2003503963A (ja) | トランスコーディング・プロキシでの複数の起点サーバへの動的接続 | |
US20030191932A1 (en) | ISCSI target offload administrator | |
JP2008505568A (ja) | データ通信ネットワークにおいて統合型のキャッシングを実行するための方法およびデバイス | |
CA3066728A1 (en) | Cloud storage using encryption gateway with certificate authority identification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080331 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080630 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080728 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20081024 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20081031 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081128 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081222 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090107 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120116 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |