JP2005025739A - セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法 - Google Patents

セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法 Download PDF

Info

Publication number
JP2005025739A
JP2005025739A JP2004187041A JP2004187041A JP2005025739A JP 2005025739 A JP2005025739 A JP 2005025739A JP 2004187041 A JP2004187041 A JP 2004187041A JP 2004187041 A JP2004187041 A JP 2004187041A JP 2005025739 A JP2005025739 A JP 2005025739A
Authority
JP
Japan
Prior art keywords
security
protocol
node
internal node
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004187041A
Other languages
English (en)
Other versions
JP4819328B2 (ja
JP2005025739A5 (ja
Inventor
Dario Bazan Bejarano
バザン ベジャラノ ダリオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005025739A publication Critical patent/JP2005025739A/ja
Publication of JP2005025739A5 publication Critical patent/JP2005025739A5/ja
Application granted granted Critical
Publication of JP4819328B2 publication Critical patent/JP4819328B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Abstract

【課題】 セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法を提供すること。
【解決手段】 外部エージェントまたは内部エージェントのどちらかは、一組のサポートされたプロトコルを含む要求を受信側マシンに送信して、ドメインの境界を横断する安全なセッションを確立するための試みを開始することができる。次いでネゴシエーションエンジンは、セッションの両端にあるエージェント、ノード、またはマシンの両方の使用可能なプロトコルを比較し、互換性のあるプロトコルが見つかった場合はそのプロトコルを選択することができる。内部エージェントと外部エージェントは同様に、キー、証明書、または他の機構を使用して相互に確認することができる。
【選択図】 図1

Description

本発明は、ネットワーク接続されたコンピューティングの分野に関し、より詳細には、セキュリティ使用可能ドメインと1つまたは複数の外部ノードとの間のセキュリティプロトコルの自動ネゴシエーションに関する。
ネットワーク接続技術の発達により、ネットワーク管理者およびその他の者が彼らのネットワークおよび他のインストールに対するより優秀かつより高度なセキュリティ制御を維持することが可能になった。Microsoft Windows(登録商標)NT、2000および関連製品により、例えば管理者は、Active Directory(登録商標)(AD)構成を使用したセキュリティ使用可能(security−enabled)ネットワークドメインを配置することが可能になる。公知のKeberosネットワーク規格も同様に、ネットワーク内のノードがキー/認証プラットフォームを使用して相互に認証することを可能にする。これらの動作技術により、ネットワーク管理者は、例えばネットワークサーバから個々のワークステーションまたは他のクライアントに均一にインストールするためにルール、アプリケーション、パッチ、ドライブ、および他の資源を安全にプッシュすることができる場合がある。セキュリティ使用可能ドメイン内のすべてのマシンは、これらおよび他のタイプのデータの伝送を透過的に識別し、認証することができる場合がある。
しかし、セキュリティ使用可能ドメイン外にノードがある場合、ルール、アプリケーション、または他の資源をワークステーションとやり取りする機能はより困難になる。例えば、企業は、ローカルエリアネットワーク(LAN)上に配置されたコンピュータの集合を有する場合があるが、Active Directory(登録商標)または他のセキュリティ使用可能ドメインの一部ではない遠隔位置にあるコンピュータとも対話する。安全なドメインの境界を越えた通信は、一部には当該ドメイン内のマシンと当該ドメイン外のマシンとの間に接続を確立することが相互にサポートされたセキュリティプロトコルに関して合意することを要求するので、より複雑化する。
システム管理者および他の者は、したがって、セッションが行われる前に内部マシンと外部マシンの間の互換性のあるプロトコルを特定することにより、セキュリティ使用可能ドメインに外部エージェントまたはノードが入るための構成を試みなければならない。例えば、外部ノードは、トランスポート層セキュリティ(TLS)プロトコル、Kerberosベースのプロトコル、セキュアソケットレイヤ(SSL)または他のプロトコルを介してセキュリティ使用可能ドメイン内の管理サーバと通信するよう構成することができる。このマシンは、そのプロトコル、すなわちそのデフォルトプロトコルで、プロトコルの障害を指摘し、そのプロトコルを切り替えるよう要求し、または外部ノードまたはエージェントに対して他の応答を行う。したがって、セキュリティ、トランスポート、または他のプロトコルの手動設定または調整が要求される場合があるが、これは時間が掛かりエラーが頻発する可能性のあるプロセスである。問題は他にもある。
当技術分野のこれらおよび他の問題を克服する本発明は、ある点で、管理者の介入を必要とせずに自動で外部エージェントまたはノードとの安全な通信を確立し身元を確認することのできるセキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法に関する。本発明によれば、ある点で、セキュリティ使用可能ドメイン内のネットワークマネージャもしくは他のエージェントまたはノードは、外部エージェントまたはノードとの安全な接続を確立するための試みを開始することができる。この要求は、マネージャが使用するために使用可能な一組のセキュリティプロトコルを示すデータフィールドを含んでいる。外部エージェントは、その要求を受信することができ、内部エージェントまたはマネージャに使用可能なプロトコルを外部エージェントがサポートする一組のプロトコルと比較することができる。使用可能なプロトコルの間の一致が見つかった場合、通信はその選択されたプロトコルに基づいて進めることができる。実施形態では、外部エージェントと内部エージェントのそれぞれはキー、証明書、または他の認証機構を介して相互に確認することができる。
図1は、本発明の一実施形態による、プロトコルネゴシエーションプラットフォームおよび方法が動作することのできるアーキテクチャを示す図である。図から分かるように、この実施形態では、一組のクライアント、サーバ、エージェントまたは他のノード、もしくはマシンは、セキュリティ使用可能ドメイン102で動作することができる。セキュリティ使用可能ドメインは、実施形態では、例えばMicrosoft Windows(登録商標)Active Directory(登録商標)、Kerberosまたは他の証明書ベースまたはキーベースのドメイン、もしくは他の閉じた、すなわち安全な分散型ディレクトリまたは他の環境であるか、またはこれらを含むことができる。セキュリティ使用可能ドメイン内には、実施形態ではサーバまたは他のノードであるかまたはこれらを含むことのできる内部マネージャ104と、一組の内部エージェント106(Nを任意の数としてA1、A2...ANで示す)を説明のために示している。
実施形態では、当該一組の内部エージェント106は、追加サーバ、ワークステーションまたは他のクライアント、もしくはセキュリティ使用可能ドメイン102内で動作し、内部マネージャ104と通信する他の内部エージェントまたはノードから構成されるか、もしくはこれらを含むことができる。実施形態では、内部マネージャ104は、記憶に関する動作ガイドライン(例えば、RAIDポリシー、フェイルオーバー基準、メモリ制限)、帯域幅使用率もしくは他のルールまたはデータなど、ネットワークルールまたは他のデータを当該一組の内部エージェント106に送信または「プッシュ」するようなネットワーク管理機能をスケジュール設定し、または実行することができる。これらまたは他のタイプのデータを伝達する際、当該内部マネージャ104および当該一組の内部エージェント106は、ルールおよび他のデータのネットワークおよび分散の保全性を保証するためにセキュリティ使用可能ドメインのセキュリティ資源を利用することができる。
図に示すように、実施形態では、セキュリティ使用可能ドメイン102は、例えば実施形態ではX.509または他の規格またはフォーマットに従って構成された証明書であるか、またはこれを含むことのできる証明書108のような証明書を使用して認証サービスを提供することができる。実施形態では、キーまたは他の機構も同様に使用することができる。図に示すように、証明書108を内部マネージャ104に対する認証データと関連付け、これを提供することができる。当該一組の内部エージェント106のどの1つでも、検証のために証明書108を認証局(certificate authority)110に伝達することにより、内部マネージャ104から受け取ったルール、命令、または他のデータを認証することができる。認証局110自体を、セキュリティ使用可能ドメイン102内に配置してもよく、または図のようにセキュリティ使用可能ドメイン102外に配置してもよい。
実施形態では、認証局110は、証明書108または他の認証機構を読み取り、復号し、結果を当該一組の内部エージェント106または他のノードに戻すよう構成されたサーバまたは他のノードであるか、またはこれを含むことができる。当該一組の内部エージェント106のノードのそれぞれは、同様にそれらに証明書、キー、またはセキュリティ使用可能ドメイン102に適合する他の認証データを関連付けることができる。当該一組の内部エージェント106のノードは、同様に証明書または他の機構を使用して通信し、相互に互いを認証することができる。
図1に示した実施形態では、外部エージェント114は、同様に通信ネットワーク112を介して内部マネージャ104と通信するよう構成されている。外部エージェント114もまた、サーバ、ワークステーション、もしくは他のノードまたは資源であるか、またはこれを含むことができる。外部エージェント114は同様に、認証のために外部エージェント114を特定する証明書116をそれ自体に関連付けることができる。実施形態では外部エージェント114がそれを介して内部マネージャ104または他の内部ノードと通信することのできる通信ネットワーク112は、例えばインターネット、イントラネット、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、メトロポリタンエリアネットワーク(MAN)、ストレージエリアネットワーク(SAN)、フレームリレー接続、Advanced Intelligent Network(AIN)接続、同期光伝送網(SONET)接続、デジタルT1、T3、E1、またはE3回線、Digital Data Service(DDS)接続、ATM(非同期転送モード)接続、FDDI(ファイバー分散データインターフェース)、Copper Distributed Data Interface(CDDI)、または他の有線、無線、または光接続のどれか1つまたは複数であるか、またはこれを含むことができるか、もしくはこれとインターフェースすることができる。外部エージェント114は、実施形態では、ワークステーション、サーバ、無線ネットワーク使用可能デバイス、またはネットワーク接続された通信用に構成された他のノード、エージェントまたはプラットフォームであるか、もしくはこれを含むことができる。
ドメイン横断通信(cross−domain communication)の従来の実施態様とは異なり、本発明の実施形態によれば、外部エージェント114は、自動的かつ透過的な方法で互換性のあるプロトコルを相互に選択して相互に互換性のあるプロトコルに基づいて安全な接続を確立するために、内部マネージャ104との連絡を開始することができる。例えば図2に示すように、外部エージェント114で実行中の外部アプリケーション130は、外部ネゴシエーションエンジン126を介して内部マネージャ104との連絡を開始することができる。外部アプリケーション130は、例えばデータバックアップスケジューラ、ファイアーウォール、ウイルス保護または他のアプリケーションのようなシステムユーティリティ、プロダクティビティ、または他のアプリケーションであるか、またはこれを含むことができる。外部アプリケーション130は、様々なタスクを実行するために、例えばユーザプロファイル、更新、または他のデータを要求し、したがって内部マネージャ104とのそのような通信を開始することができる。
外部ネゴシエーションエンジン126は、セキュリティ使用可能ドメイン102で内部マネージャ104と相互に互換性のある通信リンクを確立するために外部アプリケーション130が要求した通信を処理し管理することができる。図に示すように、実施形態では、外部ネゴシエーションエンジン126は、公知のSimple and Protected GSS−APIネゴシエーション(SPNEGO)プロトコルの実施態様として示されているネゴシエーションモジュール118を開始し管理することができる。他のプロトコルを使用することもできる。実施形態では、ネゴシエーションモジュール118は、例えばアプリケーションプログラミングインターフェース(API)または他の機構を介して外部エージェント114のオペレーティングシステムによりアクセスし、開始し、または生成することができる。
外部ネゴシエーションエンジン126は同様に、外部エージェント114がプロトコルネゴシエーションプロセスを実行するために利用することのできるメッセージベースの、または他のチャネルを示す外部トランスポート指定子120を含むか、または生成することができる。例えば、実施形態では、外部アプリケーション130もしくは他のソフトウェアまたはモジュールが、例えば動的リンクライブラリ(dll)または標準の暗号化または他の符号化方式をサポートする他の資源にアクセスすることを可能にして、外部トランスポート指定子120はSecurity Support Provider Interface(SSPI)プロトコルをMicrosoft.NETアーキテクチャの一部として指定することができる。他のプロトコルを外部トランスポート指定子120内に使用または指定することができる。外部ネゴシエーションエンジン126はしたがって、そのデータまたは他のデータを示すデータグラムを、図2に示すように内部マネージャ104に関連付けられた内部ネゴシエーションエンジン128に伝達することができる。
内部ネゴシエーションエンジン128は同様に、ネゴシエーションモジュール122と内部トランスポート指定子124を含むか、またはこれとインターフェースすることができる。内部ネゴシエーションエンジン128は、内部マネージャ104によって実行され、またはアクセスされる内部アプリケーション132と通信することができる。内部アプリケーション132は、例えば、システム管理、プロダクティビティ、または他のアプリケーションであるか、またはこれを含むことができる。内部マネージャ104との通信の確立を求める要求を受信した際、内部ネゴシエーションエンジン128は、内部トランスポート指定子124による外部エージェント114とのメッセージベースの、または他のチャネルを、例えばSSPIプロトコルを使用してチャネル通信を確認して、確立することができる。
外部エージェント114と内部マネージャ104との間に確立された予備チャネルにより、外部ネゴシエーションエンジン126と外部ネゴシエーションエンジン128はプロトコルネゴシエーションと低減(reduction)を開始することができる。実施形態では、外部エージェント114は、図3に示すような外部プロトコルテーブル134を内部マネージャ104に送信することができる。外部プロトコルテーブル134は、どのプロトコルを使用して外部エージェント114を構成できるかを指定することができる。内部マネージャ104が受信した際、外部プロトコルテーブル134を、内部マネージャ104が使用するために使用可能な一組のセキュリティプロトコルを示す内部プロトコルテーブル136と比較することができる。外部プロトコルテーブル134と内部プロトコルテーブル136のどちらか一方は、例えばトランスポート層セキュリティ(TLS)、セキュアソケットレイヤ(SSL)、Kerberos、セキュアIP(IPSec)、または他の使用可能なプロトコルまたは規格を示すフィールドを含むことができる。内部マネージャ104に関連付けられた内部ネゴシエーションエンジン128は、図3に示すように外部エージェント114と内部マネージャ104によって相互にサポートされた1つまたは複数のプロトコルを示すことができる。
内部ネゴシエーションエンジン128は、実施形態では、同様に、類似のプロトコル比較のために内部プロトコルテーブル136を外部エージェント114に関連付けられた外部ネゴシエーションエンジン126に伝達することができる。この結果、ネゴシエーションエンジン126およびネゴシエーションエンジン128は、セキュリティ使用可能ドメインを横断して安全な通信を確立するために相互に使用可能なプロトコルの選択をネゴシエートすることができる。例えば、外部エージェント114と内部マネージャ104との両方に対して共通プロトコルが1つしか使用可能でない場合、外部エージェント114と内部マネージャ104は、TLSまたは他のプロトコルなどのプロトコルを使用してセッションをセットアップすることに同意することができる。外部ネゴシエーションエンジン126と内部ネゴシエーションエンジン128とが共通のプロトコルを見つけられないということで一致した場合、ドメイン横断通信を確立するための試みを終了することができる。反対に、外部ネゴシエーションエンジン126と内部ネゴシエーションエンジン128とが共通した複数のプロトコルを特定した場合、転送速度、キーのビット深度または他のセキュリティ機構のようなネットワーク基準、もしくは他の要因に基づいて1つのプロトコルを選択することができる。
相互に互換性のあるプロトコルが整備されている場合、外部エージェント114と内部マネージャ104の間に安全なセッションを確立することができる。実施形態では、追加されたセキュリティのために、外部エージェント114と内部マネージャ104のそれぞれが同様に、相手ノードの識別、特権レベル、または他のセキュリティ詳細を検証するために認証ステップを実行することができる。図1に示すように、これは証明書または他のセキュリティ機構を使用して実行することができる。外部エージェント114は、証明書108を認証局110に伝達することによって内部マネージャ104を認証することができる。内部マネージャ104は、反対に、証明書116を認証局110に伝達することによって外部エージェント114を認証することができる。他のセキュリティ機構を使用することもできる。
外部エージェント114と内部マネージャ104との間で交換されるデータのタイプまたはコンテンツは、実施形態では、これら2つのノード間の相互認証に基づくことができる。例えば、ネットワーク管理ルールまたはパラメータに対するアクセスを、所与のレベルのアクセス特権だけを示す内部または外部ノードに対して確保することができる。他の認証ルールまたは基準も使用することができる。操作セキュリティプロトコルを確立しており、認証処理が1つでも完了した後では、外部エージェント114と内部マネージャ104とは、データ、アプリケーション、ルール、または他の情報を交換することができる。トラフィックが完了した場合、外部ネゴシエーションエンジン126と内部ネゴシエーションエンジン128とは通信リンクを解放または終了することができる。
本発明の一実施形態によるネットワークネゴシエーション処理全体を図4に示す。ステップ402で、処理を開始することができる。ステップ404で、セキュリティ使用可能ドメイン102を横断して安全な接続を確立することを求める要求は、外部エージェント114、内部マネージャ104、もしくは他のクライアント、エージェント、またはノードのどれかで生成することができる。ステップ406で、安全な接続を確立することを求める、送信側ノードと互換性のある第1のプロトコルセットを組み込んだ要求を、内部マネージャ104、外部エージェント114、もしくは他のクライアント、エージェントまたはノードのどれかである受信側ノードに送信することができる。ステップ408で、この要求は受信側ノードによって受信することができる。ステップ410で、内部マネージャ104、外部エージェント114、もしくは他のクライアント、エージェントまたはノードのどれかである受信側ノードは、使用可能なプロトコル間で一致を見つけることができるか否かを判定するために第1のプロトコルセットを受信側ノードの第2のプロトコルセットと比較する。
第1のプロトコルセットと第2のプロトコルセットの間に一致が見つかった場合、処理はステップ412に進むことができ、そこで複数の一致するプロトコルが見つかったか否かに関して判定することができる。複数の一致するプロトコルセットが見つかった場合、処理はステップ414に進むことができ、そこで一致する複数のプロトコルの1つを、転送速度、キーのビット深度、または他のセキュリティ機構のようなプロトコル基準、もしくは他の要因に基づいて使用するために選択することができる。次いで処理はステップ416に進むことができ、そこで安全な接続またはセッションを、選択されたプロトコルに基づいて外部エージェント114と内部マネージャ104との間で開始することができる。同様に、ステップ412で一致するプロトコルが1つしか見つからなかった場合、処理はステップ416に進むことができ、そこで安全な接続またはセッションを開始することができる。例えば、実施形態では、指定されたポートをTCP/IPまたは他の通信または他のプロトコルの下で開くことができる。
ステップ418で、利用される一致するプロトコルに従ってハンドシェーキングおよび他のステップを進めて、プロトコル特定交換を外部エージェント114と内部マネージャ104との間で開始することができる。ステップ420で、外部エージェント114と内部マネージャ104のどちらかまたは両方を、適宜、対応する(外部エージェント114の)証明書116または(内部マネージャの)証明書108を認証局108に送ることによって、対応する他のノードを認証することができる。実施形態では、証明書116または証明書108もしくは他のセキュリティデータは、X.509規格または他の規格またはフォーマットに準拠する証明オブジェクトであるか、またはこれを含むことができる。適切な認証が完了すると、処理はステップ422に進むことができ、そこで外部エージェント114と内部マネージャ104との間で安全な接続またはセッションを実行することができる。例えば、ネットワークまたは他のルールを、システム管理または他の目的のためにこれら2つのノード間で伝達することができる。
安全なセッションが完了すると、処理はステップ424に進み、そこで外部エージェント114と内部マネージャ104との間の安全な接続を終了するかまたは解放することができる。ステップ426では、処理を終了するか、反復するか、前の処理点に戻るか、または他の行動を取ることができる。同様に、ステップ410の判定で一致するプロトコルが特定されなかった場合、処理は、終了するか、反復するか、前の処理点に戻るか、または他の行動を取るためにステップ426に進むことができる。
本発明の上記の記述は説明を目的としたものであり、当業者には構成および実施態様に対する修正が想起されよう。例えば、本発明は全般に単一の外部エージェント114に関して説明したが、実施形態では、セキュリティ使用可能ドメイン102内の内部マネージャ104もしくは他のクライアントまたはノードと一致するプロトコルを自動的にネゴシエートするよう複数の外部エージェントまたはノードを構成することができる。同様に、認証機構を全般にX.509または他の規格を使用して単一の認証エンティティである認証局110がサポートしているように記載したが、実施形態では、複数の認証エンティティもしくは他の認証または認可プラットフォームを使用することもできる。他のハードウェア、ソフトウェア、または1つのものとして記載した他の資源を実施形態では分散させることができ、同様に実施形態では分散されたものとして記載された資源を結合することができる。
さらに、セキュリティ使用可能ドメイン102外部のノードまたはエージェントと当該ドメイン内部のノードまたはエージェントの一方または他方の例を、安全なプロトコルのネゴシエーションを開始するように度々記載したが、本発明に従い構成された、ドメイン外部または内部のいかなるノードまたはエージェントでもプロトコル処理を開始することができるということが理解されよう。同様に、内部および外部エージェントのどちらか一方または両方は他方のエージェントまたはノードの認証を開始することができる。したがって、本発明の範囲は添付の特許請求の範囲によってのみ限定されるものである。
本発明の一実施形態が動作することのできるネットワークアーキテクチャを示す図である。 本発明の一実施形態による内部ノードと外部ノードの間のネゴシエーションプロセスを示す図である。 本発明の一実施形態によるプロトコルテーブル間の比較を示す図である。 本発明の一実施形態によるプロトコルネゴシエーション処理全体を示す図である。

Claims (62)

  1. セキュリティプロトコルを自動的にネゴシエートする方法において、
    セキュリティ使用可能ドメイン内部の内部ノードとセキュリティ使用可能ドメイン外部の外部ノードとの間に安全な接続を確立するためのセキュリティ認証要求を受信すること、
    前記内部ノードに関連付けられた第1のプロトコルセットと前記外部ノードに関連付けられた第2のプロトコルセットとを比較すること、および
    前記第1のプロトコルセットと前記第2のプロトコルセットとの間の一致するプロトコルが見つけられた場合に前記外部ノードと前記内部ノードとの間に安全な接続を確立すること
    を含むことを特徴とする方法。
  2. 前記外部ノードは、少なくとも1つのコンピュータとネットワーク使用可能無線デバイスとを含むことを特徴とする請求項1に記載の方法。
  3. 前記内部ノードは、少なくとも1つのクライアントコンピュータとサーバとを含むことを特徴とする請求項1に記載の方法。
  4. 前記セキュリティ使用可能ドメインは、分散型ディレクトリドメインを含むことを特徴とする請求項1に記載の方法。
  5. 前記セキュリティ使用可能ドメインは、証明書ベースのドメインを含むことを特徴とする請求項1に記載の方法。
  6. 前記証明書ベースのドメインは、Kerberos使用可能ドメインを含むことを特徴とする請求項5に記載の方法。
  7. 前記一致するプロトコルはX.509証明書を含むことを特徴とする請求項6に記載の方法。
  8. 前記セキュリティ認証要求が前記外部ノードによって生成されることを特徴とする請求項1に記載の方法。
  9. 前記セキュリティ認証要求を受信することが前記内部ノードによって実行されることを特徴とする請求項8に記載の方法。
  10. 前記セキュリティ認証要求が前記内部ノードによって生成されることを特徴とする請求項1に記載の方法。
  11. 前記セキュリティ認証要求を受信することが前記外部ノードによって実行されることを特徴とする請求項10に記載の方法。
  12. 前記外部ノードと前記内部ノードとの間のセッションが完了した場合に前記安全な接続を終了することをさらに含むことを特徴とする請求項1に記載の方法。
  13. 前記第1のプロトコルセットと前記第2のプロトコルセットとの間に一致が見つからない場合に接続処理を終了することをさらに含むことを特徴とする請求項1に記載の方法。
  14. 複数の一致するプロトコルが見つかった場合に前記安全な接続を確立する際に使用するためにプロトコルを選択することをさらに含むことを特徴とする請求項1に記載の方法。
  15. 前記内部ノードと前記外部ノードとの少なくとも1つを認証することをさらに含むことを特徴とする請求項1に記載の方法。
  16. 前記認証することは証明書を認証局に伝達することを含むことを特徴とする請求項15に記載の方法。
  17. セキュリティプロトコルを自動的にネゴシエートするシステムにおいて、
    セキュリティ使用可能ドメイン内部の、関連付けられた第1のプロトコルセットを有する内部ノードに対する第1のインターフェースと、
    前記セキュリティ使用可能ドメイン外部の、関連付けられた第2のプロトコルセットを有する外部ノードに対する第2のインターフェースと、
    前記内部ノードと前記外部ノードとの間に安全な接続を確立するためのセキュリティ認証要求を受信し、前記内部ノードに関連付けられた前記第1のプロトコルセットと前記外部ノードに関連付けられた前記第2のプロトコルセットとを比較し、前記第1のプロトコルセットと前記第2のプロトコルセットとの間に一致するプロトコルが見つけられた場合に前記外部ノードと前記内部ノードとの間に安全な接続を確立するネゴシエーションエンジンと
    を含むことを特徴とするシステム。
  18. 前記外部ノードは、少なくとも1つのコンピュータとネットワーク使用可能無線デバイスとを含むことを特徴とする請求項17に記載のシステム。
  19. 前記内部ノードは、少なくとも1つのクライアントコンピュータとサーバとを含むことを特徴とする請求項17に記載のシステム。
  20. 前記セキュリティ使用可能ドメインは、分散型ディレクトリドメインを含むことを特徴とする請求項17に記載のシステム。
  21. 前記セキュリティ使用可能ドメインは、証明書ベースのドメインを含むことを特徴とする請求項17に記載のシステム。
  22. 前記証明書ベースのドメインは、Kerberos使用可能ドメインを含むことを特徴とする請求項21に記載のシステム。
  23. 前記一致するプロトコルはX.509証明書を含むことを特徴とする請求項22に記載のシステム。
  24. 前記セキュリティ認証要求が前記外部ノードによって生成されることを特徴とする請求項17に記載のシステム。
  25. 前記セキュリティ認証要求が前記内部ノードによって受信されることを特徴とする請求項24に記載のシステム。
  26. 前記セキュリティ認証要求は前記内部ノードによって生成されることを特徴とする請求項17に記載のシステム。
  27. 前記セキュリティ認証要求が前記外部ノードによって受信されることを特徴とする請求項26に記載のシステム。
  28. 前記外部ノードと前記内部ノードとの間のセッションが完了した場合に前記ネゴシエーションエンジンが前記安全な接続を終了することを特徴とする請求項17に記載のシステム。
  29. 前記第1のプロトコルセットと前記第2のプロトコルセットとの間に一致が見つからない場合に前記ネゴシエーションエンジンが接続処理を終了することを特徴とする請求項17に記載のシステム。
  30. 複数の一致するプロトコルが見つかった場合に前記ネゴシエーションエンジンが前記安全な接続を確立する際に使用するためにプロトコルを選択することを特徴とする請求項17に記載のシステム。
  31. 前記内部ノードと前記外部ノードとの少なくとも1つが他方を認証することを特徴とする請求項17に記載のシステム。
  32. 前記認証することは証明書を認証局に伝達することを特徴とする請求項31に記載のシステム。
  33. セキュリティプロトコルを自動的にネゴシエートするシステムにおいて、
    セキュリティ使用可能ドメイン内部の、関連付けられた第1のプロトコルセットを有する内部ノードにインターフェースするための第1のインターフェース手段と、
    前記セキュリティ使用可能ドメイン外部の、関連付けられた第2のプロトコルセットを有する外部ノードにインターフェースするための第2のインターフェース手段と、
    前記内部ノードと前記外部ノードとの間に安全な接続を確立するためのセキュリティ認証要求を受信し、前記内部ノードに関連付けられた前記第1のプロトコルセットと前記外部ノードに関連付けられた前記第2のプロトコルセットとを比較し、前記第1のプロトコルセットと前記第2のプロトコルセットとの間に一致するプロトコルが見つけられた場合に前記外部ノードと前記内部ノードとの間に安全な接続を確立するためのネゴシエーション手段と
    を含むことを特徴とするシステム。
  34. 前記外部ノードは、少なくとも1つのコンピュータとネットワーク使用可能無線デバイスとを含むことを特徴とする請求項33に記載のシステム。
  35. 前記内部ノードは、少なくとも1つのクライアントコンピュータとサーバとを含むことを特徴とする請求項33に記載のシステム。
  36. 前記セキュリティ使用可能ドメインは、分散型ディレクトリドメインを含むことを特徴とする請求項33に記載のシステム。
  37. 前記セキュリティ使用可能ドメインは、証明書ベースのドメインを含むことを特徴とする請求項36に記載のシステム。
  38. 前記証明書ベースのドメインは、Kerberos使用可能ドメインを含むことを特徴とする請求項37に記載のシステム。
  39. 前記一致するプロトコルはX.509証明書を含むことを特徴とする請求項38に記載のシステム。
  40. 前記セキュリティ認証要求が前記外部ノードによって生成されることを特徴とする請求項33に記載のシステム。
  41. 前記セキュリティ認証要求が前記内部ノードによって受信されることを特徴とする請求項40に記載のシステム。
  42. 前記セキュリティ認証要求が前記内部ノードによって生成されることを特徴とする請求項33に記載のシステム。
  43. 前記セキュリティ認証要求が前記外部ノードによって受信されることを特徴とする請求項42に記載のシステム。
  44. 前記外部ノードと前記内部ノードとの間のセッションが完了した場合に前記ネゴシエーション手段が前記安全な接続を終了することを特徴とする請求項33に記載のシステム。
  45. 前記第1のプロトコルセットと前記第2のプロトコルセットとの間に一致が見つからない場合に前記ネゴシエーション手段が接続処理を終了することを特徴とする請求項33に記載のシステム。
  46. 複数の一致するプロトコルが見つかった場合に前記ネゴシエーション手段が前記安全な接続を確立する際に使用するためにプロトコルを選択することを特徴とする請求項33に記載のシステム。
  47. 前記内部ノードと前記外部ノードとの少なくとも1つが他方を認証することを特徴とする請求項33に記載のシステム。
  48. 前記認証することが証明書を認証局に伝達することを特徴とする請求項47に記載のシステム。
  49. セキュリティプロトコルを自動的にネゴシエートする方法を実行するための可読のコンピュータ可読媒体において、前記方法が、
    セキュリティ使用可能ドメイン内部の内部ノードとセキュリティ使用可能ドメイン外部の外部ノードとの間に安全な接続を確立するためのセキュリティ認証要求を受信すること、
    前記内部ノードに関連付けられた第1のプロトコルセットと前記外部ノードに関連付けられた第2のプロトコルセットとを比較すること、および
    前記第1のプロトコルセットと前記第2のプロトコルセットとの間の一致するプロトコルが見つけられた場合に前記外部ノードと前記内部ノードとの間に安全な接続を確立すること
    を含むことを特徴とするコンピュータ可読媒体。
  50. 前記外部ノードは、少なくとも1つのコンピュータとネットワーク使用可能無線デバイスとを含むことを特徴とする請求項49に記載のコンピュータ可読媒体。
  51. 前記内部ノードは、少なくとも1つのクライアントコンピュータとサーバとを含むことを特徴とする請求項49に記載のコンピュータ可読媒体。
  52. 前記セキュリティ使用可能ドメインは、分散型ディレクトリドメインを含むことを特徴とする請求項49に記載のコンピュータ可読媒体。
  53. 前記セキュリティ使用可能ドメインは、証明書ベースのドメインを含むことを特徴とする請求項49に記載のコンピュータ可読媒体。
  54. 前記証明書ベースのドメインは、Kerberos使用可能ドメインを含むことを特徴とする請求項53に記載のコンピュータ可読媒体。
  55. 前記一致するプロトコルはX.509証明書を含むことを特徴とする請求項54に記載のコンピュータ可読媒体。
  56. 前記セキュリティ認証要求が前記外部ノードによって生成されることを特徴とする請求項49に記載のコンピュータ可読媒体。
  57. 前記セキュリティ認証要求を受信することは前記内部ノードによって実行されることを特徴とする請求項56に記載のコンピュータ可読媒体。
  58. 前記セキュリティ認証要求が前記内部ノードによって生成されることを特徴とする請求項49に記載のコンピュータ可読媒体。
  59. 前記セキュリティ認証要求を受信することが前記外部ノードによって実行されることを特徴とする請求項58に記載のコンピュータ可読媒体。
  60. 前記方法は、前記外部ノードと前記内部ノードとの間のセッションが完了した場合に前記安全な接続を終了することをさらに含むことを特徴とする請求項49に記載のコンピュータ可読媒体。
  61. 前記方法は、前記第1のプロトコルセットと前記第2のプロトコルセットとの間に一致が見つからない場合に接続処理を終了することをさらに含むことを特徴とする請求項49に記載のコンピュータ可読媒体。
  62. 前記方法は、複数の一致するプロトコルが見つかった場合に前記安全な接続を確立する際に使用するためにプロトコルを選択することをさらに含むことを特徴とする請求項49に記載のコンピュータ可読媒体。
JP2004187041A 2003-06-30 2004-06-24 セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法 Expired - Fee Related JP4819328B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/608,334 US7526640B2 (en) 2003-06-30 2003-06-30 System and method for automatic negotiation of a security protocol
US10/608,334 2003-06-30

Publications (3)

Publication Number Publication Date
JP2005025739A true JP2005025739A (ja) 2005-01-27
JP2005025739A5 JP2005025739A5 (ja) 2007-08-09
JP4819328B2 JP4819328B2 (ja) 2011-11-24

Family

ID=33490832

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004187041A Expired - Fee Related JP4819328B2 (ja) 2003-06-30 2004-06-24 セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法

Country Status (5)

Country Link
US (1) US7526640B2 (ja)
EP (1) EP1501256B1 (ja)
JP (1) JP4819328B2 (ja)
KR (1) KR101086576B1 (ja)
CN (1) CN1578215B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007207067A (ja) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム
JP2009508261A (ja) * 2005-09-12 2009-02-26 マイクロソフト コーポレーション リモートリソースとの安全な対話型接続の生成
JP2009524369A (ja) * 2006-01-24 2009-06-25 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332464B2 (en) * 2002-12-13 2012-12-11 Anxebusiness Corp. System and method for remote network access
US8244875B2 (en) * 2002-12-13 2012-08-14 ANXeBusiness Corporation Secure network computing
JP3783142B2 (ja) * 2003-08-08 2006-06-07 ティー・ティー・ティー株式会社 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム
CN100389584C (zh) * 2004-12-31 2008-05-21 北京邮电大学 一种用于应用服务器的安全能力的协商方法
US8316129B2 (en) 2005-05-25 2012-11-20 Microsoft Corporation Data communication coordination with sequence numbers
CN1980125B (zh) * 2005-12-07 2010-08-11 华为技术有限公司 一种身份认证方法
US20110087792A2 (en) * 2006-02-07 2011-04-14 Dot Hill Systems Corporation Data replication method and apparatus
US9419955B2 (en) * 2006-03-28 2016-08-16 Inventergy Inc. System and method for carrying trusted network provided access network information in session initiation protocol
US7783850B2 (en) * 2006-03-28 2010-08-24 Dot Hill Systems Corporation Method and apparatus for master volume access during volume copy
US20070255958A1 (en) * 2006-05-01 2007-11-01 Microsoft Corporation Claim transformations for trust relationships
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
US8369212B2 (en) * 2006-08-29 2013-02-05 Hewlett-Packard Development Company, L.P. Network path validation based on user-specified criteria
US20080095178A1 (en) * 2006-10-12 2008-04-24 Raydon Corporation Metaprotocol for Network Communications
GB0623101D0 (en) * 2006-11-20 2006-12-27 British Telecomm Secure network architecture
US8751467B2 (en) * 2007-01-18 2014-06-10 Dot Hill Systems Corporation Method and apparatus for quickly accessing backing store metadata
US7831565B2 (en) * 2007-01-18 2010-11-09 Dot Hill Systems Corporation Deletion of rollback snapshot partition
US7827405B2 (en) * 2007-01-19 2010-11-02 Microsoft Corporation Mechanism for utilizing kerberos features by an NTLM compliant entity
US7975115B2 (en) * 2007-04-11 2011-07-05 Dot Hill Systems Corporation Method and apparatus for separating snapshot preserved and write data
US7716183B2 (en) * 2007-04-11 2010-05-11 Dot Hill Systems Corporation Snapshot preserved data cloning
EP1990969A1 (en) * 2007-05-09 2008-11-12 Nokia Siemens Networks Oy Method for data communication and device as well as communication system comprising such device
US7783603B2 (en) * 2007-05-10 2010-08-24 Dot Hill Systems Corporation Backing store re-initialization method and apparatus
US8001345B2 (en) * 2007-05-10 2011-08-16 Dot Hill Systems Corporation Automatic triggering of backing store re-initialization
US8204858B2 (en) 2007-06-25 2012-06-19 Dot Hill Systems Corporation Snapshot reset method and apparatus
GB0813298D0 (en) * 2008-07-19 2008-08-27 Univ St Andrews Multipad encryption
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8631277B2 (en) 2010-12-10 2014-01-14 Microsoft Corporation Providing transparent failover in a file system
US8516158B1 (en) * 2011-06-07 2013-08-20 Riverbed Technology, Inc. Integrating WAN optimization devices with content delivery networks
US9331955B2 (en) 2011-06-29 2016-05-03 Microsoft Technology Licensing, Llc Transporting operations of arbitrary size over remote direct memory access
US8856582B2 (en) 2011-06-30 2014-10-07 Microsoft Corporation Transparent failover
DE102011079399A1 (de) * 2011-07-19 2013-01-24 Bayerische Motoren Werke Aktiengesellschaft Steuervorrichtung für ein Kraftfahrzeug, Programmiervorrichtung und Programmiersystem
US8788579B2 (en) 2011-09-09 2014-07-22 Microsoft Corporation Clustered client failover
US20130067095A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Smb2 scaleout
US8782395B1 (en) 2011-09-29 2014-07-15 Riverbed Technology, Inc. Monitoring usage of WAN optimization devices integrated with content delivery networks
US9538561B2 (en) * 2013-05-22 2017-01-03 Intel IP Corporation Systems and methods for enabling service interoperability functionality for WiFi Direct devices connected to a network via a wireless access point
US9961125B2 (en) 2013-07-31 2018-05-01 Microsoft Technology Licensing, Llc Messaging API over HTTP protocol to establish context for data exchange
US9396338B2 (en) 2013-10-15 2016-07-19 Intuit Inc. Method and system for providing a secure secrets proxy
US9444818B2 (en) * 2013-11-01 2016-09-13 Intuit Inc. Method and system for automatically managing secure communications in multiple communications jurisdiction zones
US9467477B2 (en) 2013-11-06 2016-10-11 Intuit Inc. Method and system for automatically managing secrets in multiple data security jurisdiction zones
US9894069B2 (en) 2013-11-01 2018-02-13 Intuit Inc. Method and system for automatically managing secret application and maintenance
US10440066B2 (en) * 2013-11-15 2019-10-08 Microsoft Technology Licensing, Llc Switching of connection protocol
CN103826225B (zh) * 2014-02-19 2017-10-10 西安电子科技大学 一种无线网络中身份认证协议选择方法
US10121015B2 (en) * 2014-02-21 2018-11-06 Lens Ventures, Llc Management of data privacy and security in a pervasive computing environment
KR20160046114A (ko) * 2014-10-20 2016-04-28 삼성전자주식회사 데이터 통신 방법 및 이를 구현하는 전자 장치
CN106161224B (zh) 2015-04-02 2019-09-17 阿里巴巴集团控股有限公司 数据交换方法、装置及设备
US10936711B2 (en) 2017-04-18 2021-03-02 Intuit Inc. Systems and mechanism to control the lifetime of an access token dynamically based on access token use
ES2806799T3 (es) * 2017-08-09 2021-02-18 Siemens Mobility GmbH Procedimiento para establecer un canal de comunicaciones seguro entre un primer y un segundo dispositivo de red
US10587611B2 (en) * 2017-08-29 2020-03-10 Microsoft Technology Licensing, Llc. Detection of the network logon protocol used in pass-through authentication
US10635829B1 (en) 2017-11-28 2020-04-28 Intuit Inc. Method and system for granting permissions to parties within an organization
CN116634459A (zh) * 2019-10-15 2023-08-22 华为技术有限公司 随流信息遥测能力的确认方法和设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5010572A (en) * 1990-04-27 1991-04-23 Hughes Aircraft Company Distributed information system having automatic invocation of key management negotiations protocol and method
US5828893A (en) * 1992-12-24 1998-10-27 Motorola, Inc. System and method of communicating between trusted and untrusted computer systems
WO1999038081A1 (en) * 1998-01-26 1999-07-29 Ascend Communications, Inc. Virtual private network system and method
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
US20020078371A1 (en) * 2000-08-17 2002-06-20 Sun Microsystems, Inc. User Access system using proxies for accessing a network
US20020157019A1 (en) * 2001-04-19 2002-10-24 Kadyk Donald J. Negotiating secure connections through a proxy server

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5008879B1 (en) * 1988-11-14 2000-05-30 Datapoint Corp Lan with interoperative multiple operational capabilities
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
US5471461A (en) * 1993-04-28 1995-11-28 Allen-Bradley Company, Inc. Digital communication network with a moderator station election process
US5530758A (en) * 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
US5530703A (en) * 1994-09-23 1996-06-25 3Com Corporation Remote communication server with automatic filtering
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US6205148B1 (en) * 1996-11-26 2001-03-20 Fujitsu Limited Apparatus and a method for selecting an access router's protocol of a plurality of the protocols for transferring a packet in a communication system
US6125122A (en) 1997-01-21 2000-09-26 At&T Wireless Svcs. Inc. Dynamic protocol negotiation system
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6871284B2 (en) * 2000-01-07 2005-03-22 Securify, Inc. Credential/condition assertion verification optimization
DE10028715B4 (de) * 2000-06-08 2005-08-11 Siemens Ag Verfahren zur Kommunikation zwischen Kommunikationsnetzen
US6934702B2 (en) * 2001-05-04 2005-08-23 Sun Microsystems, Inc. Method and system of routing messages in a distributed search network
CN1268088C (zh) * 2001-11-29 2006-08-02 东南大学 基于pki的vpn密钥交换的实现方法
US6845452B1 (en) * 2002-03-12 2005-01-18 Reactivity, Inc. Providing security for external access to a protected computer network
CN1173529C (zh) * 2002-06-05 2004-10-27 华为技术有限公司 基于边界网关协议报文的控制报文安全保护方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5010572A (en) * 1990-04-27 1991-04-23 Hughes Aircraft Company Distributed information system having automatic invocation of key management negotiations protocol and method
US5828893A (en) * 1992-12-24 1998-10-27 Motorola, Inc. System and method of communicating between trusted and untrusted computer systems
WO1999038081A1 (en) * 1998-01-26 1999-07-29 Ascend Communications, Inc. Virtual private network system and method
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
US20020078371A1 (en) * 2000-08-17 2002-06-20 Sun Microsystems, Inc. User Access system using proxies for accessing a network
US20020157019A1 (en) * 2001-04-19 2002-10-24 Kadyk Donald J. Negotiating secure connections through a proxy server

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009508261A (ja) * 2005-09-12 2009-02-26 マイクロソフト コーポレーション リモートリソースとの安全な対話型接続の生成
US8220042B2 (en) 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
US9038162B2 (en) 2005-09-12 2015-05-19 Microsoft Technology Licensing, Llc Creating secure interactive connections with remote resources
JP2009524369A (ja) * 2006-01-24 2009-06-25 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
JP2012253817A (ja) * 2006-01-24 2012-12-20 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
US8468353B2 (en) 2006-01-24 2013-06-18 Huawei Technologies Co., Ltd. Method, system and authentication centre for authenticating in end-to-end communications based on a mobile network
JP2007207067A (ja) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム

Also Published As

Publication number Publication date
CN1578215A (zh) 2005-02-09
CN1578215B (zh) 2010-05-12
EP1501256B1 (en) 2013-07-24
JP4819328B2 (ja) 2011-11-24
KR20050002628A (ko) 2005-01-07
EP1501256A3 (en) 2007-02-21
US7526640B2 (en) 2009-04-28
US20040268118A1 (en) 2004-12-30
EP1501256A2 (en) 2005-01-26
KR101086576B1 (ko) 2011-11-23

Similar Documents

Publication Publication Date Title
JP4819328B2 (ja) セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法
US10666638B2 (en) Certificate-based dual authentication for openflow enabled switches
US7356601B1 (en) Method and apparatus for authorizing network device operations that are requested by applications
JP4304055B2 (ja) クライアントセッションフェイルオーバーを提供する方法および構造
RU2439692C2 (ru) Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам
JP6656157B2 (ja) ネットワーク接続自動化
US8621567B2 (en) Network security and applications to the fabric environment
US7873984B2 (en) Network security through configuration servers in the fabric environment
US7802099B2 (en) Method and apparatus for establishing a secure connection
US7036013B2 (en) Secure distributed time service in the fabric environment
US20040158735A1 (en) System and method for IEEE 802.1X user authentication in a network entry device
CA2622321A1 (en) Providing consistent application aware firewall traversal
US20030120915A1 (en) Node and port authentication in a fibre channel network
US20090271852A1 (en) System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
US7243367B2 (en) Method and apparatus for starting up a network or fabric
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
BRPI0615752A2 (pt) provisão de aplicação consistente ciente de travessia de parede corta-fogo
JP7145308B2 (ja) コンピューティング環境でオンプレミスの秘密を複製する安全な方法
WO2023024540A1 (zh) 处理报文、获取sa信息的方法、装置、系统及介质
CN117640087A (zh) 一种融合量子密钥分发网络技术的IPSec VPN安全网关系统
KR20050078834A (ko) 메신저 프로그램을 이용한 vpn 기술

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070621

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100922

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110407

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20110408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110408

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110616

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110901

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140909

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees