JP2009506617A - セキュア伝送情報を処理するシステムおよび方法 - Google Patents
セキュア伝送情報を処理するシステムおよび方法 Download PDFInfo
- Publication number
- JP2009506617A JP2009506617A JP2008527575A JP2008527575A JP2009506617A JP 2009506617 A JP2009506617 A JP 2009506617A JP 2008527575 A JP2008527575 A JP 2008527575A JP 2008527575 A JP2008527575 A JP 2008527575A JP 2009506617 A JP2009506617 A JP 2009506617A
- Authority
- JP
- Japan
- Prior art keywords
- transmission information
- content
- decrypted
- decryption
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 153
- 238000000034 method Methods 0.000 title claims description 48
- 238000012545 processing Methods 0.000 title claims description 11
- 239000000463 material Substances 0.000 claims abstract description 36
- 238000012986 modification Methods 0.000 claims abstract description 7
- 230000004048 modification Effects 0.000 claims abstract description 7
- 238000012546 transfer Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 3
- 238000012937 correction Methods 0.000 claims description 2
- 238000001514 detection method Methods 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Harvester Elements (AREA)
- Hardware Redundancy (AREA)
- Small-Scale Networks (AREA)
Abstract
クライアントとサーバー間の保証付き伝送情報が検出され、暗号化素材を解読する必要があるかどうかポリシーが策定され、また内容が解読される場合には、その内容は、クライアントおよびサーバーから得られた情報の解読を利用している。次に、その結果得られたプレーンテキストは、プロセッサ、記憶装置、またはインターフェースなどのエンティティに配備される。このプレーンテキストは、チェックされるか、あるいは、修正されることもある。クライアントとサーバー間の上記伝送情報は、阻止され、解読されずに受け渡され、解読され、次に、修正して、または修正せずに再暗号化されることもある。それぞれの伝送情報には、IDとポリシータグが与えられる。
【選択図】図1
【選択図】図1
Description
本発明は、セキュア・デジタル電子伝送情報(secure digital electronic transmission)を処理するシステムおよび方法に関する。
本発明により、第1の装置から第2の装置へのセキュア・デジタル電子伝送情報を処理するシステムが提供され、このシステムは、
・この伝送情報を解読する必要があるかどうか判定する判定手段と、
・暗号化内容(encrypted content)の解読を必要とする場合に、この暗号化内容を解読するのに必要な情報を、上記第1の装置または上記第2の装置、あるいはその両方の装置から得る解読情報入手手段と、
・この伝送情報の暗号化内容を解読する解読手段と、
・この解読内容(decrypted content)の少なくとも一部をエンティティ(実体)に配備する(deploy)配備手段と、
を含む。
・この伝送情報を解読する必要があるかどうか判定する判定手段と、
・暗号化内容(encrypted content)の解読を必要とする場合に、この暗号化内容を解読するのに必要な情報を、上記第1の装置または上記第2の装置、あるいはその両方の装置から得る解読情報入手手段と、
・この伝送情報の暗号化内容を解読する解読手段と、
・この解読内容(decrypted content)の少なくとも一部をエンティティ(実体)に配備する(deploy)配備手段と、
を含む。
このシステムは、伝送を開始させるときに、第1の装置からのそれぞれの伝送情報に対してIDを提供し、後で、伝送情報のIDを識別する伝送情報ID提供・識別手段(transmission ID supplying and identifying means)を含むことがある。
上記判定手段は、その伝送情報のIDに関連するポリシータグであって、どんな内容でも解読されるべきかどうか指示するポリシータグを、それぞれの伝送情報に対して提供することがある。
このシステムはさらに、第2の装置に送られる素材(material)を再暗号化する再暗号化手段(re-encrypting means)を含むことがある。上記判定手段はまた、伝送情報に関連する素材が再暗号化されるべきかどうか判定し、また、この素材を再暗号化すべきことを指示するポリシータグを提供する。
さらに、このシステムは、伝送情報のオリジナル暗号化内容の少なくとも一部を、第2の装置に送るバイパス手段を含むことがある。次に、上記判定手段はまた、そのオリジナル暗号化内容、またはオリジナル暗号化内容の一部が、このバイパス手段を介して第2の装置に提供されるべきかどうか判定し、また、その伝送情報をバイパスできることを指示するポリシータグを提供することもある。
使用中、このシステムはまた、保証無しトラフィック(unsecured traffic)も受け取るものと理解されよう。したがって、このシステムはまた、セキュア伝送情報を検出する検出手段も持つこともあり、次に、上記判定手段は、検出されているセキュア伝送情報が解読されるべきかどうか判定する。どんな保証無し伝送情報も、上記バイパス手段を介してバイパスされてもよい。
上記判定手段は、伝送を開始させるときに、その伝送情報を解読する必要があるかどうか判定することがある。別法として、この判定手段は、この伝送の開始に続いて、伝送情報を解読する必要があるかどうか判定することがある。さらに、この判定手段により、伝送情報を解読すべきと判定されても、この判定は、後で、その伝送情報を解読する必要がなく、解読をやめるという判定に変更されることもある。次に、この判定手段はまた、解読を必要とすることを指示するポリシータグも当初、提供し、次に、解読を必要としないという修正タグを提供する。次に、上記オリジナル暗号化内容を、第2の装置に提供することがある。
この解読内容が配備されるエンティティは、この解読内容を処理するか、記憶させるか、あるいは、転送することがある。この解読内容が配備される適切なエンティティは、上記判定手段により決定され、また、この判定手段は、この解読内容が配備されるべきエンティティを選択して、その選択されたエンティティを識別するためのポリシータグを提供することがある。
上記再暗号化手段は、上記選択されたエンティティからの信号に応答して、素材を再暗号化して、それを第2の装置に転送することがある。
上記配備手段は、その解読内容を、読取り専用形式で、または修正可能な形式で上記選択されたエンティティに配備することがある。この解読内容が、修正可能な形式で、上記選択されたエンティティに送られる場合には、その選択されたエンティティは、その解読内容を修正して、それを戻す。次に、この配備手段は、その選択されたエンティティから、その修正内容を受け取る受取り手段を含む。次に、その選択されたエンティティから受け取った修正内容は、上記再暗号化手段より再暗号化されて、第2の装置に転送される。
このシステムは、さらに、その伝送情報の少なくとも一部を第2の装置に転送するのを阻止する転送阻止手段を含むことがある。
さらに、本発明により、第1の装置から第2の装置へのセキュア・デジタル電子伝送情報を処理する方法が提供され、この方法は、
・その伝送情報を解読する必要があるかどうか判定することと、
・暗号化内容の解読を必要とする場合に、その暗号化内容を解読するのに必要な情報を、上記第1の装置または上記第2の装置、あるいはその両方の装置から得ることと、
・この伝送情報の暗号化内容を解読することと、
・この解読内容をエンティティに配備することと、
を含む。
・その伝送情報を解読する必要があるかどうか判定することと、
・暗号化内容の解読を必要とする場合に、その暗号化内容を解読するのに必要な情報を、上記第1の装置または上記第2の装置、あるいはその両方の装置から得ることと、
・この伝送情報の暗号化内容を解読することと、
・この解読内容をエンティティに配備することと、
を含む。
この方法は、伝送を開始させるときに、第1の装置からのそれぞれの伝送情報に対してIDを提供し、後で、伝送情報の当該IDを識別することを含む場合がある。
この方法はまた、その伝送情報のIDに関連するポリシータグであって、どんな内容でも解読されるべきかどうか指示するポリシータグを、それぞれの伝送情報に対して提供することを含む場合がある。
さらに、この方法は、第2の装置に送られるべき素材を再暗号化することを含む場合がある。再暗号化を実行すべきである場合には、この素材が再暗号化されることを指示する適切なポリシータグが提供される。
上に示されるように、上記内容を解読する必要がない場合には、伝送情報のオリジナル暗号化内容の少なくとも一部が、バイパス経路を介して第2の装置に送られることがある。したがって、この方法は、このオリジナル暗号化内容、またはオリジナル暗号化内容の一部が、このバイパス経路を介して第2の装置に送られるべきかどうか判定し、また、その伝送情報をバイパスすべきことを指示するポリシータグを提供することを含む。
伝送情報を解読する必要があるかどうか判定することが、この伝送を開始させるときに、あるいは、この伝送の開始に続いて行われることがある。暗号化を必要とする最初の判定が行われ、後で、その最初の判定が、解読を必要としないという判定に変更されることがある。
この解読内容は、上記エンティティにより処理されるか、記憶されるか、あるいは、転送されることがある。この解読内容は、複数のエンティティに配備される。この解読内容の少なくとも一部が配備されるべき所望のエンティティを選択する。次に、この解読内容の少なくとも一部が、その選択されたエンティティに配備されるべきことを指示するポリシータグを提供する。
この解読内容は、読取り専用形式で、または修正可能な形式で上記選択されたエンティティに配備されることがある。次に、上記選択されたエンティティからの信号に応答して、この解読内容の再暗号化されたものを、第2の装置に送る。
上記選択されたエンティティが、受け取った素材を修正する場合には、この修正された素材は、戻されることがある。次に、この修正された素材は、再暗号化されて、第2の装置に送られる。
この伝送情報の少なくとも一部が阻止されて、第2の装置に送られないことがある。
保証無しトラフィックを引き受けるために、この方法は、伝送情報が保証付き伝送情報(secured transmission)であるのを見出すことを含む場合がある。
上の説明から、保証付き伝送情報は、修正されないか、または修正され、解読され、変更されないが、ただし再暗号化されて、あるいは、修正され、次に再暗号化された形式で、第2の装置に転送される場合があると理解されよう。
さらに上の説明から、これらのエンティティは、単に、その解読素材を調べるか、あるいは、その解読素材を処理するだけである可能性があると理解されよう。したがって、その解読素材を調べて、どんな注目すべき内容(例えば、不正の活動)でも見つけることができる。その解読素材はまた、フィルタリングされて、侵入を防止することがある。その解読素材はさらに、用途に応じて、さらに他のアプリケーションに適したフォーマットでパッケージされて、そのアプリケーションには、このトラフィックが、そのようにパッケージする前に暗号化されなかったように思われるようにする。
このエンティティは、ソフトウェア・モジュールまたはプログラム、情報処理装置、情報を転送するか、または処理するネットワーク・ノード(例えば、ルータまたはサーバー)、あるいは、それらの任意の組合せであることもある。上に示されるように、さらに他のエンティティは、その解読素材を修正しないという意味でパッシブであるか、あるいはアクティブであるかもしれない。アクティブである場合には、そのエンティティは、この解読素材を修正できる。
この解読素材は、「アプリケーション・プログラム・インターフェース」を介して、またはストリームとして、そのエンティティに送られ、したがって、このシステムは、ストリーム・ジェネレータ・コンポーネントを持つことがある。こうして、ストリーム・ジェネレータ・コンポーネントを提供すれば、暗号化されていないプレーンテキストを処理するように設計されている標準の修正されていないアプリケーションが、この解読素材を処理することができる。
この伝送情報は、データグラムまたはパケットの形式で送られることがある。
上記解読情報入手手段は、その伝送情報を解読し、再暗号化するのに必要な情報を提供する鍵共有コンポーネント(key agreement component)を持つことがある。この鍵共有コンポーネントは、ネゴシエートされる暗号化アルゴリズム(1つまたは複数)、セッションキー(1つまたは複数)、および、任意のランダムな「オブファスケータ」情報または「シード」情報を得る。
このシステムにより、伝送情報を解読する必要がないと判定される場合、あるいは、このシステムにより、解読を必要とすると判定されるが、ただし、それ以上、エンティティが、その解読情報を修正する必要はないと判定される場合には、このシステムは、暗号セッションが組み込まれているコネクション、例えば、SSL/TLSトラフィックが組み込まれている「伝送制御プロトコル(TCP)」コネクションを終了させないことがある。
このシステムにより、その伝送情報を解読しなければならないと判定される場合には、このシステムは、暗号セッションが組み込まれているコネクションを終了させ、また、このシステムは、第2の装置への新たなコネクションおよび伝送をもたらすことがある。この第2の装置は、このような「ハイジャック(乗っ取り)」が発生したことを知らないかもしれない。したがって、このシステムでの各レイヤーでのアドレス(1つまたは複数)または他のコネクション識別子(例えば、TCPポート)は、使用される第1の装置および第2の装置と同一のアドレス(1つまたは複数)および識別子にセットされる。使用されているプロトコルにより、アドレスまたは他の特定コネクション向け識別子を代用できない場合には、代用は、行われないであろう。
上記解読素材が配備されるべきエンティティが、データを修正することだけであって、データを挿入したり除去することもなく、また、このデータをデータまたはパケットに分けるやり方を変更することもない場合には、この伝送情報のペイロード(実データ部分)だけが、このシステムにより変更されることがある。このモードでは、ストリーム・ジェネレータが使用される場合に、このストリーム・ジェネレータ・コンポーネントは、データをさらに他のエンティティに送って、そのエンティティにより修正されるデータを受け取る。この場合、さらに他のエンティティとはたぶん、多数の物理的なネットワークまたは通信リンクを、エンティティ、または、エンティティがホストされるプラットフォームに接続することができるような物理的エンティティ(たとえば、機器、あるいはサーバー上で作動する機器)であるか、エンティティが、「仮想ネットワーク・インターフェース・カード(VNIC)」を介してトラフィックを処理した後で、そのトラフィックをエンティティに提供できるか、または入手できるような仮想エンティティ(例えば、このシステムか、あるいは他の場所で作動している仮想マシン)であるか、あるいは、情報を処理した後で、アプリケーションが受け取った情報をストリーム・ジェネレータに送り戻すことで、このストリーム・ジェネレータと対話するように設計されているか、または構成されているアプリケーションであろう。
このシステムは、ネットワークの一部であるゲートウェイを含むことがある。このゲートウェイは、ネットワーク・トラフィックまたは他の伝達情報が強制的にこのゲートウェイを通過させられるように、ネットワーク上で接続される。したがって、このゲートウェイは、ルータ、スイッチ、または、「bump in the wire」ブリッジである。さらに、このゲートウェイは、1つまたは複数のプロセッサまたはコプロセッサを含む。このゲートウェイが複数のプロセッサを持っている場合には、これらのプロセッサは、共用メモリなどの信頼される実リンク(real trusted link)、PCI Expressのような従来のサーバー・バックプレーン・バス、あるいは、Gigabit Ethernet(登録商標)のようなネットワーク・リンクを用いて接続されるか、あるいは、暗号化されているという理由でセキュアであるチャネルを用いてリンクされる。
第1の装置はクライアントであり、また第2の装置はサーバーであることがある。このクライアントは、セキュリティ・レイヤーとして、SSL(Secure Sockets Layer)プロトコルまたはTLS(Transport Layer Security)プロトコルを使用して、このサーバーとのセキュア通信セッションを確立する。このトランスポート層はTCPである。
上記判定手段は、その伝送情報を解読する必要があるかどうか判定する際に、様々な基準を使用することがある。これらの基準は、このクライアントが接続されているこのシステムのポートまたはインターフェース、このサーバーが接続されているポートまたはインターフェース、このクライアントとサーバーの送信元アドレスと送信先アドレス、装置内(intra-device)またはアプリケーションの他の送信元識別子と送信先識別子、サーバー公開鍵証明書またはクライアント公開鍵証明書中のフィールド、ネゴシエートされる暗号化アルゴリズムに関しての情報、この伝送情報の内容を含む。
使用される基準が送信元アドレスまたは送信先アドレスである場合には、それらのアドレスが属しているグループを考慮に入れることがある。例えば、これらのアドレスは、信頼される送信元または信頼されない送信元、パブリックな送信元またはプライベートな送信元、あるいは、自分自身または他の組織体からのものである。
同様に、公開鍵証明書のフィールド、または上記暗号化アルゴリズムに関しての情報を考慮に入れる場合には、それらは、定数または範囲と比較されるか、あるいは、正規表現などの任意パターンと比較されることがある。
伝送内容を考慮に入れる場合には、アプリケーション・プロトコル識別子、あるいは、開始エンティティまたは目標エンティティの識別などの情報を参照することがある。開始エンティティまたは目標エンティティの識別に関しては、アクセスされようとするユーザ名またはリソースが関係ある。さらに、考慮される情報は、この伝送情報のうち、暗号化されてないか、あるいは暗号化された部分にある。暗号化されていない部分が、暗号化された部分の前にあるプロトコルの例は、クライアントがSTARTTLSコマンドを発行して、TLS暗号化の開始を要求するようなSTARTTLSオプションを用いるSMTP、POP3、またはIMAPである。
第1の装置と第2の装置は、ピア・ツー・ピア通信セッションを確立するネットワーク上のノードである場合もあると理解されよう。それでも、使用される暗号化プロトコルに応じて、通信関係者間の差が存在することもある。例えば、一方の関係者はイニシエータとして働き、また、他方の関係者は、ターゲットである。
このシステムのコンポーネントは、リアルタイム・オペレーティングシステムまたは仮想マシン・ハイパーバイザ・レイヤーにおけるタスク(task)またはモジュールとして、オペレーティングシステム・カーネルにおけるコンポーネントとして、ユーザレベルのライブラリ、コンポーネント、またはアプリケーションとして、介在するオペレーティングシステムなしに、直接にハードウェア上で実行するソフトウェアとして、あるいは、固定装置または再構成可能な装置に導入されたハードウェア・コプロセッサとして実現できるであろう。
このシステムおよび方法はまた、圧縮されるか、符号化されるか、あるいはカプセル化されるトラフィックなど、暗号化されていない装置間のトンネル伝送情報(tunnel)または他の伝送情報にも応用できる。このような場合、どの伝送情報が関係するのか識別し、かつ、これらの伝送情報を、適切な形式でパッケージするか、または中継で送って、さらに他のエンティティで調べるか、または処理することができるというこのシステムの恩恵が残されている。
さらに、データ(例えば、ネットワーク・パケットまたは他の1つの情報)がこのシステムを通過するごとに、このシステムは、そのデータが属している伝送情報を識別するものと理解されよう。したがって、同一のネットワーク、あるいは、他の通信チャネルまたは通信媒体を横切って送られようとする並行伝送情報が区別される。
さらに、伝送情報を識別した後で、このシステムは、その伝送情報に関連するポリシーを決定するものと理解されよう。このポリシーは、以下の要素を含むことがある。
・この伝送情報が解読されるべきかどうか、あるいは、この伝送情報が、変更されずにこのシステムを通過できるかどうか。
・どの送信先に、また、どの機構、どのプロトコル、または、どのカプセル化を介して、その解読情報を転送する必要があるか。
・どのモードで、このシステムが、その伝送情報に対して動作すべきか、例えば、この解読素材への読取り専用アクセスだけを可能にすべきか、あるいは、読み書きアクセスを可能にすべきか。
・この伝送情報が解読されるべきかどうか、あるいは、この伝送情報が、変更されずにこのシステムを通過できるかどうか。
・どの送信先に、また、どの機構、どのプロトコル、または、どのカプセル化を介して、その解読情報を転送する必要があるか。
・どのモードで、このシステムが、その伝送情報に対して動作すべきか、例えば、この解読素材への読取り専用アクセスだけを可能にすべきか、あるいは、読み書きアクセスを可能にすべきか。
伝送情報に関連するポリシーがわかっている場合には、そのポリシーを単に適用するだけでよい。このポリシーが策定されてない場合には、このデータ中の情報を解析して、所要のポリシーを決定する。
それ以上、エンティティが、その解読素材を受け取る必要がないと判定される場合には、このシステムのうち、その解読素材をやり取りするコンポーネントを無効にするか、あるいはアイドル状態にすることがある。このシステムは、その暗号化プロトコルによりサポートされている場合には、新たなセッションキー・ネゴシケーション・プロセスを開始できるようにして、この伝送情報を解読し、再暗号化する必要のないようにすることもある。さらに、オリジナル暗号化伝送情報が、上記解読され、再暗号化される伝送情報と同一である場合には、解読を必要としないと判定されると、あるいは、解読後に(ただし、再暗号化せずに)、この伝送情報は、単に転送されるだけでよい。上記ネゴシエートされる暗号化プロトコル、アルゴリズム、パラメータが、この方式に適合する場合には、このような最適化が可能となろう。SSL/TLSの場合には、同一のセッションキーは、このコネクションのクライアントからシステムへのレッグ(足、leg)と、システムからサーバーへのレッグにて、ネゴシエートされるべきである。これは、鍵共有プロセス(key agreement process)の間に交換されたランダム・データを、それぞれの関係者が、他の関係者に修正せずに転送することと、この暗号化アルゴリズムが、「Cypher Block Chaining(暗号ブロック連鎖)」を使用すべきでないことを要求している。適切なアルゴリズムの一例として、RC4/ARCFOURのようなストリーム暗号がある。このアドバタイジングされたアルゴリズム(advertised algorithm)を、そのセッションキー共有段階の間に変更すれば、このことを保証できるであろう。
上記伝送情報がこのシステムにより修正されて、第1の装置または第2の装置から提供されたオリジナル証明書を、このサーバーのアドレス/ホスト名に交付され、かつ第1の装置と第2の装置により信頼されている認証局により署名された証明書に代え、しかも、このシステムが、後者の証明書を修正しない場合には、この証明書中の名称が、送信先のホスト名またはIPアドレスと一致しないことから、おそらく、警告メッセージまたはエラーメッセージがもたらされるであろう。したがって、証明書に再署名することが好ましい。
再署名された証明書を、警告を表示せずに装置に受け入れさせるために、このシステムに属する認証局(CA)証明書を、このような装置に組み込む必要がある。このCA証明書は、
・この装置に、このシステム上の情報に一時的にアクセスさせるか、あるいは、このシステム上の情報にアクセスさせると同時に、当初要求された情報をロードさせるプロトコルおよび内容に適するものとして、HTML/XMLタグまたは他の情報を入れることで、ストリームを修正して(この場合、そのストリームにより提供される情報は、CA証明書を組み込むという副次的効果を及ぼす。例えば、それは、CA証明書自体であるか、あるいは、実行されるとCA証明書を組み込むActiveX、Java(登録商標)、または他のプラグインを呼び出させる)、あるいは、
・リモート自動ソフトウェア・インストール、リモート・デスクトップ環境設定、または、他の中央管理機構を介して、このCA証明書を配布して、
組み込まれることがある。
・この装置に、このシステム上の情報に一時的にアクセスさせるか、あるいは、このシステム上の情報にアクセスさせると同時に、当初要求された情報をロードさせるプロトコルおよび内容に適するものとして、HTML/XMLタグまたは他の情報を入れることで、ストリームを修正して(この場合、そのストリームにより提供される情報は、CA証明書を組み込むという副次的効果を及ぼす。例えば、それは、CA証明書自体であるか、あるいは、実行されるとCA証明書を組み込むActiveX、Java(登録商標)、または他のプラグインを呼び出させる)、あるいは、
・リモート自動ソフトウェア・インストール、リモート・デスクトップ環境設定、または、他の中央管理機構を介して、このCA証明書を配布して、
組み込まれることがある。
上記ストリーム・ジェネレータ・コンポーネントは、別のプロセッサ上で作動しているさらに他のエンティティ、このシステムの一部を形成するプロセッサ上で作動しているさらに他のエンティティ、または、このシステムと同一のネットワークに接続されているさらに他のエンティティ、あるいは、それらのエンティティの組合せに、この解読素材を、ストリームとして提供することがある。このストリーム・ジェネレータは、TCP、SDP(Sockets Direct Protocol)、もしくはそれに類するものを含め、様々なストリーム・タイプを提供する。このストリーム・ジェネレータは、TCPの送信先アドレスまたは送信元アドレス、あるいは、送信先ポートまたは送信元ポートなど、オリジナル・パケットまたはストリーム・ヘッダー情報を含む。その代わり、このストリーム・ジェネレータは、この情報を修正して、付加アプリケーションの要件を受け入れる。同様に、例えば、ストリーム内容を修正して、データが当初暗号化されなかったことを反映することで、あるいは、ストリーム内容を追加して、データが暗号化されたことを反映するか、または、証明書フィールド、オリジナルのアドレスおよびポートなどのオリジナル・ストリーム・パラメータの一部を、その付加アプリケーションに伝えることで、ストリーム内容も修正される。これにより、さらに他のエンティティは、そのエンティティのハードウェアまたはソフトウェアの修正を必要とすることなく、解読素材を利用できることになる。
ストリーム、このストリームを求められる通りに修正したもの、および、他のストリーム関連パラメータを受け取るエンティティは、形成された一組のポリシーに左右されるものとする。守られるべきポリシーが、伝送情報の分類および識別のコンポーネントにより決定されるので、様々な種類の伝送情報に対して、異なるポリシーが定められることがある。本発明は、このようなポリシーの定義に及ぶ。
パッシブなエンティティに関しては、このストリーム・ジェネレータは、このストリームを確立し、かつ処理して、肯定応答(確認通知)を送るハンドシェイク工程を実行することなど、このストリームのやり取りを確実に維持するのに必要なあらゆる処理を実行しながら、そのようなエンティティにより提供されるデータパケットまたは他のデータのペイロードを無視することがある。このような場合、このストリーム・ジェネレータは、「ICMP Port unreachable」メッセージまたは「TCP RESET」メッセージなど、パッシブなさらに他のエンティティにより提供される様々なストリーム関連の制御メッセージまたはパケットを検出して、処理する。このシステム構成および伝送情報処理ポリシーにより定められる適切な処置が取られる。例えば、上記さらに他のエンティティへの解読ストリームを確立できないか、あるいは、その解読ストリームが切断される場合には、このシステムは、第1の装置または第2の装置への暗号化ストリームを切断することができる。
次に、本発明は、クライアントとサーバーとの間に接続された本発明によるシステムを図式的に示す線図式の添付図面を参照して、例示として述べられる。
図1を参照すると、本発明によるセキュア・デジタル電子伝送情報を処理するシステムは、その全体が参照番号6で表されている。システム6は、クライアント10とサーバー12との間に接続されたゲートウェイ8を含む。ゲートウェイ8は、ネットワークの一部であって、クライアント10とサーバー12との間のネットワーク・トラフィックが強制的にゲートウェイ8を通過させられるように、接続されている。
クライアント10は、ネットワーク・インターフェース14.1を介してゲートウェイ8に接続され、また、サーバー12は、ネットワーク・インターフェース14.2を介してゲートウェイ8に接続される。ネットワーク・インターフェース14.1は、第1の伝送情報ID・ポリシータグ・モジュール16.1に接続される。次に、ネットワーク・インターフェース14.2は、第2の伝送情報ID・ポリシータグ・モジュール16.2に接続される。第1の伝送情報ID・ポリシータグ・モジュール16.1と第2の伝送情報ID・ポリシータグ・モジュール16.2は、最初に伝送情報が受け取られるときに、それぞれの伝送情報に対してIDを提供し、また、その伝送情報の内容が解読されるべきかどうか指示するタグも、それぞれの伝送情報に対して付ける。後で、この伝送情報のさらに他のトラフィックを受け取るときには、第1の伝送情報ID・ポリシータグ・モジュール16.1と第2の伝送情報ID・ポリシータグ・モジュール16.2は、この伝送情報を認識し、その伝送情報のIDを識別し、次に、その関連タグによるポリシーを適用する。伝送情報ID・ポリシータグ・モジュール16.1は、クライアント10からやって来る伝送情報を処理し、また、伝送情報ID・ポリシータグ・モジュール16.2は、サーバー12からやって来る伝送情報を処理するものと理解されよう。
ゲートウェイ8は、伝送情報が安全であるかどうか検出し、もしそうであれば、その伝送情報の内容を解読する必要があるかどうか検出するユニット20を持っている。次に、ゲートウェイ8は、第1の伝送情報ID・ポリシータグ・モジュール16.1と第2の伝送情報ID・ポリシータグ・モジュール16.2に、その関連タグに適したポリシーを提供する。
バイパス・コンポーネント18は、伝送情報を、以下に示される他のコンポーネントを経て送る必要なく、ネットワーク・インターフェース14.1とネットワーク・インターフェース14.2との間で直接に渡すために、設けられる。
この暗号化内容を解読し、また内容を再暗号化するのに必要な情報を得る解読情報入手手段が、鍵共有コンポーネント22の形式で提供される。鍵共有コンポーネント22は、以下で説明されるように、クライアント10とサーバー12から受け取った伝送情報を解読し再暗号化できるようにするのに必要な情報を、確実にゲートウェイ8に持たせる。
ゲートウェイ8はまた、「クリプティング(crypting)」コンポーネント24と「クリプティング」コンポーネント26も持っている。それぞれのクリプティング・コンポーネント(24、26)は、素材を解読して、再暗号化することができる。ゲートウェイ8はさらに、配備・受取りモジュール28、プロセッサ30、記憶装置32、転送モジュール34も持っている。転送モジュール34は、さらに他のインターフェース14.3に接続されており、それによって、ゲートウェイ8が外部アプリケーション36とやり取りする。
使用中に、クライアント10は、TCPトランスポート層を持つセキュリティ・レイヤーとして、SSLプロトコルまたはTLSプロトコルを使用して、サーバー12と、セキュア通信セッションを確立する。最初のフローに属するパケットは、ネットワーク・インターフェース14.1を介して、ゲートウェイ8に入り込む。ユニット20は、暗号化されたセキュア伝送情報が受け取られていることを検出する。次に、ユニット20は、解読ポリシー、すなわち、解読を必要とするかどうか、また、上に説明された基準およびポリシーを使用して、その解読から得られたプレーンテキストを、さらに他の、どのエンティティに送る必要があるのか決定する。次に、この解読ポリシーには、第1の伝送情報ID・ポリシータグ・モジュール16.1により、この伝送情報のIDとともに、タグが付けられる。この伝送情報の内容を解読すべきである場合には、その適切な解読情報が、クライアント10およびサーバー12から得られる。次に、この関連内容が、クリプティング・コンポーネント24で解読される。
上に示される通り、鍵共有コンポーネント22は、この伝送情報を解読するのに必要な情報を得て、この情報を、クリプティング・コンポーネント24に提供する。先に説明された通り、この情報は、クライアント10とサーバー12との間でネゴシエートされる暗号化アルゴリズム、セッションキー、並びに、ランダムなオブファスケータおよび/またはシード情報を含むことがある。鍵共有コンポーネント22は、クライアント10の視点からサーバーとして働き、また、サーバー12に対してクライアントとして働く。
この鍵共有プロセスが終了すると、この伝送情報に属するパケットが、クリプティング・コンポーネント24に送られる。次に、第1のクライアント10からサーバー12への伝送情報が、クリプティング・コンポーネント24により解読されて、その伝送情報のプレーンテキストにしたものを提供する。次に、その結果得られたプレーンテキストが、配備・受取りモジュール28を介して送られて、プロセッサ30、記憶装置32、または外部アプリケーション36のいずれかに配備される。さらに上に説明される通り、このプレーンテキストが記憶装置32などのパッシブなエンティティに送られる場合には、このプレーンテキストは読取り専用形式で送られるが、しかるに、このプレーンテキストがプロセッサ30または外部アプリケーション36などのアクティブなエンティティに送られる場合には、このプレーンテキストは、読み書き形式で送られる。このプレーンテキストにしたものは、ストリームとして送られることがある。上で説明される通り、このプレーンテキストをパッケージして、新たなストリームを形成すれば、プレーンテキストを処理するように設計されている標準の修正されていないアプリケーションを利用することができる。
プロセッサ30は、このプレーンテキストを調べて、どんな不正の素材も見つける。不正の素材がまったく見つからない場合には、ユニット20で提供される情報を使用して、最初のフローからのプレーンテキストを再暗号化して、それを、ネットワーク・インターフェース14.2を介してサーバー12に受け渡す命令が、クリプティング・コンポーネント26に送られる。
同様に、外部アプリケーション36は、クリプティング・コンポーネント24で提供されるプレーンテキストを処理して、修正されたプレーンテキストをクリプティング・コンポーネント26に戻し、それを再暗号化して、サーバー12に転送する。
ユニット20により、伝送情報を解読する必要がないと判定される場合には、この伝送情報をバイパス18に送って、直接にターゲットに受け渡す。
上で説明されるように、プロセッサ30や外部アプリケーション36などのアクティブなエンティティでは、システム6は、読み書きの解読・再暗号化モードで動作する。このモードでは、たいていの場合に、クライアント10とサーバー12との間のフローは、ゲートウェイ8にて終了し、また、ゲートウェイ8は、サーバー12への新たなフローをもたらす。
サーバー12からクライアント10へのトラフィックが同様に処理されて、適宜、クリプティング・コンポーネント26で解読され、またクリプティング・コンポーネント24で再暗号化されることが当業者には理解されよう。
6 システム
8 ゲートウェイ
10 クライアント
12 サーバー
14.1 ネットワーク・インターフェース
14.2 ネットワーク・インターフェース
16.1 第1の伝送情報ID・ポリシータグ・モジュール
16.2 第2の伝送情報ID・ポリシータグ・モジュール
8 ゲートウェイ
10 クライアント
12 サーバー
14.1 ネットワーク・インターフェース
14.2 ネットワーク・インターフェース
16.1 第1の伝送情報ID・ポリシータグ・モジュール
16.2 第2の伝送情報ID・ポリシータグ・モジュール
Claims (40)
- 第1の装置から第2の装置へのセキュア・デジタル電子伝送情報を処理するシステムであって、
前記伝送情報を解読する必要があるかどうか判定する判定手段と、
暗号化内容の解読を必要とする場合に、前記暗号化内容を解読するのに必要な情報を、前記第1の装置または前記第2の装置、あるいはその両方の装置から得る解読情報入手手段と、
前記伝送情報の前記暗号化内容を解読する解読手段と、
前記解読内容の少なくとも一部をエンティティに配備する配備手段と、
を含むシステム。 - 伝送を開始させるときに、前記第1の装置からのそれぞれの伝送情報に対してIDを提供し、後で、伝送情報の前記IDを識別する伝送情報ID提供・識別手段を含む請求項1に記載のシステム。
- 前記伝送情報のIDに関連するポリシータグであって、どんな内容でも解読されるべきかどうか指示するポリシータグを、前記判定手段がそれぞれの伝送情報に対して提供する請求項2に記載のシステム。
- 前記第2の装置に送られる素材を再暗号化する再暗号化手段を含む請求項3に記載のシステム。
- 前記判定手段はまた、伝送情報に関連する素材が再暗号化されるべきかどうか判定し、また、前記素材を再暗号化すべきことを指示するポリシータグを提供する請求項4に記載のシステム。
- 伝送情報のオリジナル暗号化内容の少なくとも一部を、前記第2の装置に送るバイパス手段を含む請求項3に記載のシステム。
- 前記判定手段はまた、前記オリジナル暗号化内容、または前記オリジナル暗号化内容の一部が前記バイパス手段を介して前記第2の装置に提供されるべきかどうか判定し、また、前記伝送情報をバイパスできることを指示するポリシータグを提供する請求項6に記載のシステム。
- 伝送を開始させるときに前記伝送情報を解読する必要があるかどうか、前記判定手段が判定する請求項1に記載のシステム。
- 前記判定手段が、伝送の開始に続いて、前記伝送情報を解読する必要があるかどうか判定する請求項1に記載のシステム。
- 解読が行われるべきと判定した後で、前記判定手段により、その後、前記伝送情報を解読する必要がないと判定されて、解読を終わらせる請求項8または9に記載のシステム。
- 前記エンティティが、処理手段、記憶手段、転送手段を含むグループから選択される請求項3に記載のシステム。
- 前記判定手段はまた、前記解読内容が配備されるべき前記選択されたエンティティを決定し、また、前記選択されたエンティティを識別するためのポリシータグを提供する請求項11に記載のシステム。
- 前記配備手段が、前記解読内容を、読取り専用形式で前記選択されたエンティティに配備する請求項11に記載のシステム。
- 素材を再暗号化する再暗号化手段を含むシステムであって、前記選択されたエンティティからの信号に応答して、前記解読内容を再暗号化して、それを、前記第2の装置に転送する請求項13に記載のシステム。
- 前記配備手段が、前記解読内容を、修正可能な形式で前記選択されたエンティティに配備する請求項11に記載のシステム。
- 前記配備手段が、前記選択されたエンティティから内容を受け取る受取り手段を含む請求項15に記載のシステム。
- 素材を再暗号化する再暗号化手段を含むシステムであって、前記選択されたエンティティから受け取った前記内容を再暗号化して、それを、前記第2の装置に転送する請求項16に記載のシステム。
- 前記伝送情報の少なくとも一部を前記第2の装置に転送するのを阻止する伝送阻止手段を含む請求項1に記載のシステム。
- 前記判定手段により、伝送情報を解読する必要があると一時的に判定され、次に、後で前記伝送情報を解読する必要がないと判定され、次に、前記判定手段が、解読を必要とすることを指示するポリシータグも当初、提供し、次に、解読を必要としないという修正タグを提供する請求項3に記載のシステム。
- セキュア伝送情報を検出する検出手段を含む請求項1に記載のシステム。
- 第1の装置から第2の装置へのセキュア・デジタル電子伝送情報を処理する方法であって、
前記伝送情報を解読する必要があるかどうか判定するステップと、
前記暗号化内容の解読を必要とする場合に、前記暗号化内容を解読するのに必要な情報を、前記第1の装置または前記第2の装置、あるいはその両方の装置から得るステップと、
前記伝送情報の前記暗号化内容を解読するステップと、
前記解読内容をエンティティに配備するステップと、
を含む方法。 - 伝送を開始させるときに、前記第1の装置からのそれぞれの伝送情報に対してIDを提供し、後で、伝送情報の前記IDを識別するステップを含む請求項21に記載の方法。
- 前記伝送情報のIDに関連するポリシータグであって、どんな内容でも解読されるべきかどうか指示するポリシータグを、それぞれの伝送情報に対して提供するステップを含む請求項22に記載の方法。
- 前記第2の装置に送られるべき素材を再暗号化するステップを含む請求項23に記載の方法。
- 伝送情報に関連する素材が再暗号化されるべきかどうか判定して、前記素材が再暗号化されるべきことを指示するポリシータグを提供するステップを含む請求項24に記載の方法。
- 伝送情報の前記オリジナル暗号化内容の少なくとも一部を、バイパス経路を介して前記第2の装置に送るステップを含む請求項23に記載の方法。
- 前記オリジナル暗号化内容、または前記オリジナル暗号化内容の一部が前記バイパス経路を介して前記第2の装置に送られるべきかどうか判定し、また、前記伝送情報をバイパスすべきことを指示するポリシータグを提供するステップを含む請求項26に記載の方法。
- 伝送を開始させるときに、前記伝送情報を解読する必要があるかどうか判定するステップが行われる請求項21に記載の方法。
- 伝送の開始に続いて、前記伝送情報を解読する必要があるかどうか判定するステップが行われる請求項21に記載の方法。
- 当初、解読が行われるべきと判定した後で、その後、前記伝送情報を解読する必要がないと判定して、解読を終わらせるステップを含む請求項28または29に記載の方法。
- 前記エンティティにより、前記解読内容を処理するか、記憶させるか、あるいは転送するステップを含む請求項23に記載の方法。
- 前記解読内容が複数のエンティティに配備されることがある方法であって、前記解読内容の少なくとも一部が配備されるべき選択されたエンティティを決定し、また、前記解読内容の少なくとも一部が前記選択されたエンティティに配備されるべきことを指示するポリシータグを提供するステップを含む請求項23に記載の方法。
- 前記解読内容が、読取り専用形式で、前記選択されたエンティティに配備される請求項32に記載の方法。
- 前記選択されたエンティティからの信号に応答して、前記解読内容を再暗号化して、前記再暗号化内容を前記第2の装置に転送するステップを含む請求項33に記載の方法。
- 前記解読内容を、修正可能な形式で前記選択されたエンティティに配備する請求項32に記載の方法。
- 前記選択されたエンティティから内容を受け取るステップを含む請求項35に記載の方法。
- 前記選択されたエンティティから受け取った前記内容を再暗号化して、それを、前記第2の装置に転送するステップを含む請求項36に記載の方法。
- 前記伝送情報の少なくとも一部を前記第2の装置に転送するのを阻止するステップを含む請求項21に記載の方法。
- 伝送情報を解読する必要があると一時的に判定し、次に、後で前記伝送情報を解読する必要がないと判定し、さらに、解読を必要とすることを指示するポリシータグも当初、提供し、次に、解読を必要としないという修正タグを提供するステップを含む請求項23に記載の方法。
- 伝送情報がセキュア伝送情報であることを検出するステップを含む請求項21に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB0517303.4A GB0517303D0 (en) | 2005-08-23 | 2005-08-23 | System and method for processing secure transmissions |
| PCT/IB2006/052926 WO2007023465A1 (en) | 2005-08-23 | 2006-08-23 | System and method for processing secure transmissions |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009506617A true JP2009506617A (ja) | 2009-02-12 |
Family
ID=35198315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008527575A Pending JP2009506617A (ja) | 2005-08-23 | 2006-08-23 | セキュア伝送情報を処理するシステムおよび方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (2) | US20090201978A1 (ja) |
| EP (1) | EP1917780B8 (ja) |
| JP (1) | JP2009506617A (ja) |
| CN (1) | CN101300806B (ja) |
| AT (1) | ATE484144T1 (ja) |
| CA (1) | CA2620001A1 (ja) |
| DE (1) | DE602006017387D1 (ja) |
| GB (1) | GB0517303D0 (ja) |
| WO (1) | WO2007023465A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016500207A (ja) * | 2012-10-19 | 2016-01-07 | インテル・コーポレーション | ネットワーク環境における暗号化データ検査 |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8363536B2 (en) * | 2006-08-28 | 2013-01-29 | Qualcomm Incorporated | OFDM channel estimation |
| US8395986B2 (en) * | 2007-12-20 | 2013-03-12 | Intel Mobile Communications GmbH | Transmitter and receiver |
| US8566580B2 (en) | 2008-07-23 | 2013-10-22 | Finjan, Inc. | Splitting an SSL connection between gateways |
| US9769149B1 (en) * | 2009-07-02 | 2017-09-19 | Sonicwall Inc. | Proxy-less secure sockets layer (SSL) data inspection |
| US9185054B2 (en) | 2010-09-15 | 2015-11-10 | Oracle International Corporation | System and method for providing zero buffer copying in a middleware machine environment |
| US8756329B2 (en) | 2010-09-15 | 2014-06-17 | Oracle International Corporation | System and method for parallel multiplexing between servers in a cluster |
| US8675586B2 (en) * | 2010-11-19 | 2014-03-18 | Aurora Wireless, Inc. | Systems and methods for channel tracking in OFDMA |
| IL212344A (en) | 2011-04-14 | 2015-03-31 | Verint Systems Ltd | A system and method for selectively controlling encrypted traffic |
| US10469533B2 (en) | 2012-01-24 | 2019-11-05 | Ssh Communications Security Oyj | Controlling and auditing SFTP file transfers |
| US9026784B2 (en) * | 2012-01-26 | 2015-05-05 | Mcafee, Inc. | System and method for innovative management of transport layer security session tickets in a network environment |
| US9467828B2 (en) | 2013-11-08 | 2016-10-11 | Gogo Llc | Systems and methods for configuring an electronic device for cellular-based communications |
| US9716542B2 (en) | 2014-05-30 | 2017-07-25 | Gogo Llc | Systems and methods for facilitating communications destined for a non-terrestrial network |
| US9576147B1 (en) * | 2015-01-05 | 2017-02-21 | Amazon Technologies, Inc. | Security policy application through data tagging |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9338147B1 (en) | 2015-04-24 | 2016-05-10 | Extrahop Networks, Inc. | Secure communication secret sharing |
| CN104954386B (zh) * | 2015-06-30 | 2018-10-02 | 百度在线网络技术(北京)有限公司 | 一种网络反劫持方法及装置 |
| US10904219B2 (en) | 2016-03-02 | 2021-01-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Transport relay in communications network |
| IL248306B (en) | 2016-10-10 | 2019-12-31 | Verint Systems Ltd | System and method for creating data sets for learning to recognize user actions |
| US10686831B2 (en) | 2016-11-16 | 2020-06-16 | Cisco Technology, Inc. | Malware classification and attribution through server fingerprinting using server certificate data |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US10320842B1 (en) * | 2017-03-24 | 2019-06-11 | Symantec Corporation | Securely sharing a transport layer security session with one or more trusted devices |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10038611B1 (en) | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
| EP3942740A1 (en) | 2019-03-20 | 2022-01-26 | Verint Systems Ltd. | System and method for de-anonymizing actions and messages on networks |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001063879A1 (en) * | 2000-02-23 | 2001-08-30 | Sun Microsystems, Inc. | Content screening with end-to-end encryption |
| JP2001313663A (ja) * | 2000-05-01 | 2001-11-09 | Nippon Telegr & Teleph Corp <Ntt> | 排他的論理ネットワークアクセス制御方法及び装置 |
| JP2004252852A (ja) * | 2003-02-21 | 2004-09-09 | Matsushita Electric Ind Co Ltd | 情報処理装置及び情報処理方法 |
| WO2004114045A2 (en) * | 2003-06-25 | 2004-12-29 | Nokia Inc. | Two-phase hash value matching technique in message protection systems |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5161193A (en) * | 1990-06-29 | 1992-11-03 | Digital Equipment Corporation | Pipelined cryptography processor and method for its use in communication networks |
| US5479514A (en) * | 1994-02-23 | 1995-12-26 | International Business Machines Corporation | Method and apparatus for encrypted communication in data networks |
| US6393568B1 (en) | 1997-10-23 | 2002-05-21 | Entrust Technologies Limited | Encryption and decryption system and method with content analysis provision |
| US6732269B1 (en) * | 1999-10-01 | 2004-05-04 | International Business Machines Corporation | Methods, systems and computer program products for enhanced security identity utilizing an SSL proxy |
| SG118081A1 (en) * | 2000-07-24 | 2006-01-27 | Sony Corp | Information processing method inter-task communication method and computer-excutable program for thesame |
| US20030014624A1 (en) * | 2000-07-31 | 2003-01-16 | Andes Networks, Inc. | Non-proxy internet communication |
| DE60121176T2 (de) | 2000-08-04 | 2007-06-06 | Avaya Technology Corp. | Verfahren und System zur anforderungsorientierten Wiedererkennung von verbindungsorientierten Transaktionen |
| US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
| FI20001837A (fi) * | 2000-08-18 | 2002-02-19 | Nokia Corp | Autentikointi |
| US7127740B2 (en) * | 2001-10-29 | 2006-10-24 | Pitney Bowes Inc. | Monitoring system for a corporate network |
| US7761703B2 (en) * | 2002-03-20 | 2010-07-20 | Research In Motion Limited | System and method for checking digital certificate status |
| JP4129783B2 (ja) * | 2002-07-10 | 2008-08-06 | ソニー株式会社 | リモートアクセスシステム及びリモートアクセス方法 |
| US7587587B2 (en) * | 2002-12-05 | 2009-09-08 | Broadcom Corporation | Data path security processing |
| US20050055463A1 (en) * | 2003-05-16 | 2005-03-10 | Verilegal, Inc. | Secure internet functionality |
| US7769994B2 (en) * | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
| US7853782B1 (en) * | 2004-04-14 | 2010-12-14 | Sprint Spectrum L.P. | Secure intermediation system and method |
| US20070180227A1 (en) | 2005-03-01 | 2007-08-02 | Matsushita Electric Works, Ltd. | Decryption apparatus for use in encrypted communications |
| US20060248575A1 (en) * | 2005-05-02 | 2006-11-02 | Zachary Levow | Divided encryption connections to provide network traffic security |
-
2005
- 2005-08-23 GB GBGB0517303.4A patent/GB0517303D0/en not_active Ceased
-
2006
- 2006-08-23 WO PCT/IB2006/052926 patent/WO2007023465A1/en active Application Filing
- 2006-08-23 EP EP06795753A patent/EP1917780B8/en not_active Not-in-force
- 2006-08-23 CA CA002620001A patent/CA2620001A1/en not_active Abandoned
- 2006-08-23 JP JP2008527575A patent/JP2009506617A/ja active Pending
- 2006-08-23 AT AT06795753T patent/ATE484144T1/de not_active IP Right Cessation
- 2006-08-23 CN CN2006800309273A patent/CN101300806B/zh not_active Expired - Fee Related
- 2006-08-23 DE DE602006017387T patent/DE602006017387D1/de active Active
- 2006-08-23 US US12/064,560 patent/US20090201978A1/en not_active Abandoned
-
2012
- 2012-01-30 US US13/361,559 patent/US20120131330A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001063879A1 (en) * | 2000-02-23 | 2001-08-30 | Sun Microsystems, Inc. | Content screening with end-to-end encryption |
| JP2001313663A (ja) * | 2000-05-01 | 2001-11-09 | Nippon Telegr & Teleph Corp <Ntt> | 排他的論理ネットワークアクセス制御方法及び装置 |
| JP2004252852A (ja) * | 2003-02-21 | 2004-09-09 | Matsushita Electric Ind Co Ltd | 情報処理装置及び情報処理方法 |
| WO2004114045A2 (en) * | 2003-06-25 | 2004-12-29 | Nokia Inc. | Two-phase hash value matching technique in message protection systems |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016500207A (ja) * | 2012-10-19 | 2016-01-07 | インテル・コーポレーション | ネットワーク環境における暗号化データ検査 |
| US9893897B2 (en) | 2012-10-19 | 2018-02-13 | Intel Corporation | Encrypted data inspection in a network environment |
Also Published As
| Publication number | Publication date |
|---|---|
| GB0517303D0 (en) | 2005-10-05 |
| CN101300806B (zh) | 2011-07-13 |
| EP1917780A1 (en) | 2008-05-07 |
| ATE484144T1 (de) | 2010-10-15 |
| EP1917780B8 (en) | 2011-02-16 |
| EP1917780B1 (en) | 2010-10-06 |
| CA2620001A1 (en) | 2007-03-01 |
| US20090201978A1 (en) | 2009-08-13 |
| US20120131330A1 (en) | 2012-05-24 |
| WO2007023465A1 (en) | 2007-03-01 |
| CN101300806A (zh) | 2008-11-05 |
| DE602006017387D1 (de) | 2010-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1917780B8 (en) | System and method for processing secure transmissions | |
| US7353380B2 (en) | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols | |
| US8635441B2 (en) | Encryption-based control of network traffic | |
| US8379638B2 (en) | Security encapsulation of ethernet frames | |
| US6996842B2 (en) | Processing internet protocol security traffic | |
| US9294506B2 (en) | Method and apparatus for security encapsulating IP datagrams | |
| US20110113236A1 (en) | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism | |
| US8104082B2 (en) | Virtual security interface | |
| US20080162922A1 (en) | Fragmenting security encapsulated ethernet frames | |
| WO2010124014A2 (en) | Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway | |
| US8386783B2 (en) | Communication apparatus and communication method | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| CN117254976B (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| US7333612B2 (en) | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
| JP4783665B2 (ja) | メールサーバ装置 | |
| Rani | Enhancing Security of Network Applications | |
| JP2007019633A (ja) | 中継コネクタ装置及び半導体回路装置 | |
| TW200841672A (en) | Relaying apparatus | |
| KR20090032072A (ko) | 중계장치 | |
| JP2007019632A (ja) | 通信ボード装置及び通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A529 | Written submission of copy of amendment under article 34 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A529 Effective date: 20080225 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090714 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120406 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120914 |