JP2010157998A - トラフィック可視性を備えたエンドツーエンド・ネットワークのセキュリティのための効率的な鍵の導出 - Google Patents

トラフィック可視性を備えたエンドツーエンド・ネットワークのセキュリティのための効率的な鍵の導出 Download PDF

Info

Publication number
JP2010157998A
JP2010157998A JP2009271249A JP2009271249A JP2010157998A JP 2010157998 A JP2010157998 A JP 2010157998A JP 2009271249 A JP2009271249 A JP 2009271249A JP 2009271249 A JP2009271249 A JP 2009271249A JP 2010157998 A JP2010157998 A JP 2010157998A
Authority
JP
Japan
Prior art keywords
client
key
aes128
security
base
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009271249A
Other languages
English (en)
Other versions
JP5116752B2 (ja
Inventor
Men Long
ロング,メン
Jesse Walker
ウオーカー,ジェシー
Karanvir Grewal
グリワル,カランビル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2010157998A publication Critical patent/JP2010157998A/ja
Application granted granted Critical
Publication of JP5116752B2 publication Critical patent/JP5116752B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/125Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations

Abstract

【課題】エンドツーエンド・セキュリティおよびトラフィック可視性の両方を実現するシステムを構築する。
【解決手段】導出鍵および各データ・パケットで伝送されるクライアント識別子に基づいて各クライアントに対して異なる暗号鍵を導出する制御装置を使用するシステムにより達成する。制御装置は、トラフィック可視性を提供するために情報技術モニタ装置に導出鍵およびサーバに配分する。さらに、エンドツーエンド・セキュリティが達成されるように、クライアント鍵およびクライアント識別子が使用されてもよい。
【選択図】図1

Description

本発明は、トラフィック可視性を備えたエンドツーエンド・ネットワークのセキュリティのための効率的な鍵の導出に関する。
多くのネットワーク・セキュリティ・プロトコルは、費用のかかる非対称な暗号を使用して、クライアントとサーバとの間のセッション鍵の交渉に基づき、さらに、各クライアント・セッションのために極めて多くの対称な鍵を追跡(トラッキング)することを要求する。エンドツーエンド・セキュリティは、ネットワークにおける通信の一方端から全ての方向への他方端、つまり、クライアントからサーバ、および、サーバからクライアントにデータ認証および/またはデータの機密性があることを意味する。トラフィックの可視性は、装置をモニタするサーバおよび情報技術(IT)がセキュアなトラフィックを見ることができることを意味する。これら2つのゴールは、ある程度、互いに相反するものではあるが、両方ともネットワーク・セキュリティにとって重要である。
エンドツーエンド・セキュリティは、クライアントとサーバとの間のトラフィックを改ざんする第三者を除外するために、クライアントとサーバの双方にとって重要であるが、クライアントは、直接的な操りあるいは改ざんに最も危険に晒される。このように、クライアントの秘密の一意性は、一方のクライアントの妥協が他方のクライアントのトラフィックへのアクセス増加を防止するために重要である。トラフィックの可視性は、IT管理に不可欠で、異常現象を検出するためにIT管理にトラフィック観察を要求する。現在の多くの主要なセキュリティ・プロトコルは、トラフィックの可視性に対する懸念なしにエンドツーエンド・セキュリティを単に提供している。
近年、産業界は、効率性のために、パケット暗号化および認証の両方のために単一鍵の結合モード暗号(single−key combined mode ciper)に進展している。米国NISTによって指定されたAdvanced Encryption Standard(AES)は、ほとんどのネットワーク・セキュリティ・プロトコルにとってデファクト方法となっている。例えば、AES−GCM(ガロア域カウンタ・モード)がIPsecプロトコルのスキームに推奨されている。米国NISTおよびNSAは、鍵サイズの選択に対するガイダンスを提供している。今日の大多数の適用では、AES128を備える128ビット鍵のオペレーションが使用される。しかしながら、今後、より高いセキュリティ・レベルの適用のために、AES256を備える256ビット鍵のオペレーションが必要となるかもしれない。今日の方法では、AES256を備える256ビット鍵のオペレーションに対する鍵導出のレイテンシは、AES128を備える128ビット鍵のオペレーションに対する鍵導出よりはるかに長い。鍵導出の伝統的な方法は、一方向のハッシュ関数の反復によるシリアルな動作であるが、それはハードウェアにおいてもより遅い。
本発明の実施例は、添付図面に示された代表的な実施例によって記述されているが、制限的なものではなく、類似の参照番号は類似の要素を表示する。
本発明の様々な実施例に従う企業ネットワークのセキュリティ図である。 様々な実施例に従うクライアント・プラットフォーム上のシーケンス図である。 様々な実施例に従う別のクライアント・プラットフォーム・シーケンスである。 様々な実施例に従うサーバ・シーケンスである。 様々な実施例に従う別のシーケンスである。 様々な実施例に従うハードウェア図である。 NISTの仕様に基づいたAES128とAES256オペレーションを表す。
本発明の実施例は、認可されたIT装置によるトラフィックの可視性を具備するエンドツーエンド・ネットワーク・セキュリティのための効率的な鍵導出を提供する。ハードウェアに基づいた、ワイヤ速度のエンドツーエンド暗号化および認証は、異なるセキュリティ組織に対処するためにスモールおよびラージ鍵サイズ双方のための効率的な鍵導出メカニズムを使用して、フレームベースで達成される。以下詳細に記述されるように、スモール鍵(例えば、128ビットの鍵)に対して、本発明の実施例は、鍵を導出するためにAES128オペレーションを使用し、それは、AES128ではわずか10ラウンド(回)のオペレーションによるより短いレイテンシを有するという長所を具備する。よりラージな鍵に対して、本発明の実施例は、AES128オペレーションを使用して並行実行による鍵導出を可能にする導出式を提案し、それはラージ鍵(例えば、256ビットの鍵)の鍵導出を著しくスピードアップさせる。
クライアントとサーバは、導出鍵およびその関連する導出情報を認証されたクライアントに、また導出鍵を認証されたサーバに与えるドメイン・コントローラと通信する。特定のクライアントからフレームを受け取ると、サーバ・ハードウェアは、そのフレームから鍵の導出情報を抽出し、その導出鍵をこの情報に適用し、このようにして、セッション鍵を照合しかつ交渉する必要性なしにフレームに使用された暗号鍵を引き出す。あるクライアントに与えられた導出鍵は、他のクライアントに知られることはないであろうし、演算による推測が行われることもないであろう。サーバだけがその関連するクライアント鍵を引き出すことができる。トラフィックの可視性問題を解決するために、ドメイン・コントローラは、さらに、導出鍵を、例えばITモニタ装置/ホストのように、権限の付与されたITネットワーク機器へ送ってもよい。権限の付与されたITネットワーク機器がサーバと同じ導出鍵メカニズムを有するので、権限の付与されたITネットワーク機器は、十分なワイヤ速度で暗号化された通過トラフィックを解読し、その権限の付与されたITネットワーク機器によってトラフィックの可視性を可能にすることができる。
研究開発の成果を他の当業者へ伝えるために、実証された実施例の様々な側面が当業者によって普通に使用される用語を用いて記述されるであろう。しかしながら、代替の実施例が記述された側面のうちのいくつかにのみ実施されてもよいことは、当業者には明白であろう。特定の数、材料、および配置は、実証された実施例についての完全な理解を提供するために、説明をする目的のために述べられる。代替の実施例が特定の詳細な事項がなくても実施できることを当業者には明らかであろう。他の例では、周知の特徴は、実証された実施例を不明瞭にしないために、省略されるか単純化される。
さらに、実証された実施例を理解する際に最も有効な方法で、様々な動作を複数の個別の動作として記述するが、その記述の順序は、これらの動作が必ずその順序に依存するものであることを暗示するものとして解釈されるべきでない。特に、これらの動作が提示された順序で実行する必要はない。本出願の目的のために、その内容が明らかに他のことを示していない限り、用語「フレーム」および「パケット」は交換可能であると考えられる。
図1は、本発明の様々な実施例に従って、エンタープライズ(企業)ネットワーク・セキュリティ図10を示す。図1を参照して、企業ネットワーク14は、多くのクライアント12を1またはそれ以上のサーバ16と通信するために導入される。企業ドメイン・コントローラ20は、全企業に対するエンドツーエンド・セキュリティを維持するため、およびサーバ16およびITモニタ装置18に対するトラフィックの可視性を維持のための両方に責任を有している。ドメイン・コントローラ20は、少しの例を挙げれば、例えば、認証、認可、および監査(AAA)サーバ、鍵配分サーバ、あるいはポリシー・サーバである。
企業ドメイン・コントローラ20は、導出鍵(矢印22によって示される)をクライアント12に配分するとともに、それらの導出鍵をサーバ16およびITネットワーク・モニタリング・ホスト18へ送る。上述のように、本発明の実施例は、異なるセキュリティ組織に対処するためにスモールおよびラージ鍵サイズ双方のための効率的な鍵導出メカニズムを提供する。クライアント鍵あるいは導出鍵は、鍵サイズに基づいて引き出される。
実施例において、ネットワーク・セキュリティ・プロトコルがパケット上でAES128オペレーションを使用する場合、本発明の実施例は、次の導出式を使用する、すなわち、client_key=AES128(base_key,client_ID)、ここで、base_keyは、128ビットのサイズであり、client_IDは、128ビットのサイズであり、また、client_keyは、128ビットのサイズである。ここで、パケット・ペイロードは、client_keyによって128ビットのAESオペレーション(つまり10ラウンドのAESオペレーション)を受けるであろう。実施例では、client_IDは、クライアントのインターネット・プロトコル・アドレス、あるいは企業ドメイン・コントローラ20によって指定された他の識別子、あるいはパケット中の異なる属性の結合のようなクライアントの識別子である。このユニークな(唯一の)client_IDは、個々のセキュア(安全)なパケットで通信され、安全なセッション識別子として使用される。したがって、各クライアント12は、異なりかつ独立した鍵および識別子を有する。実施例では、base_keyは、ハードウェアに格納される。
実施例において、ネットワーク・セキュリティ・プロトコルがパケット上でAES256オペレーションを使用する場合、本発明の実施例は、次の選択的な導出式を使用する。
オプション1:
client_key_MSB=AES128(base_key_1,client_ID) (1)
client_key_LSB=AES128(base_key_2,client_ID) (2)
client_key=client_key_MSB‖client_key_LSB、
ここで、base_key_1は、128ビットのサイズであり、base_key_2は、128ビットのサイズであり、client_IDは、128ビットのサイズである。また、「‖」は、連結オペレーションを示し、そしてclient_keyは、長さが256ビットのサイズである。ここで、256ビットのclient_keyは、パケット・ペイロード上の暗号処理を行なうために使用されるであろう。
オプション2:
client_key_MSB=AES128(base_key_1,client_ID) (1)
client_key_LSB=AES128(base_key_2,client_ID+pad) (2)
client_key=client_key_MSB‖client_key_LSB、
ここで、base_key_1は、128ビットのサイズであり、base_key_2は、128ビットのサイズであり、client_IDは、128ビットのサイズであり、padは、固定値(つまり、カウンタあるいは特定のストリング)である。また、「‖」は、連結オペレーションを示し、そしてclient_keyは、長さが256ビットのサイズである。ここで、オプション1でのように、256ビットのclient_keyは、パケット・ペイロード上の暗号処理を行なうために使用されるであろう。オプション2のpad値は、入力でカウンタを使用する鍵導出機能のよく確立した実施での考えを借用する方法である。
よりスモールな鍵に関して上述されるように、ネットワーク・セキュリティ・プロトコルがパケット上でAES128オペレーションを使用する場合、オプション1および2を備えたclient_IDは、クライアントのインターネット・プロトコル・アドレス、あるいは企業ドメイン・コントローラ20によって指定された他の識別子、あるいはパケット中の異なる属性の結合のようなクライアント識別子である。このユニークなclient_IDは、個々の安全なパケットで通信され、安全なセッション識別子として使用される。したがって、各クライアント12は、異なりかつ独立した鍵および識別子を有する。実施例では、base_key_1およびbase_key_2は、ハードウェアに格納される。
上述のように、本発明の実施例は、異なるセキュリティ組織に対処するためにスモールおよびラージ鍵サイズ双方のための効率的な鍵導出メカニズムを提供する(例えば、セッションがセッションのための鍵を導出するためにシードを含んでいる伝統的な鍵導出モデルの使用に対立するものとして)。スモール鍵(例えば、128ビットの鍵)に対して、本発明の実施例は、鍵を導出するためにAES128オペレーションを使用し、それは、AES128中で10ラウンドの動作だけで済むより短いレイテンシをもたらすという効果を具備する。ラージ鍵について、本発明の実施例は、AES128オペレーションを使用する並行実行を可能にする導出式を提案し、それはラージ鍵(例えば、256ビットの鍵)の鍵導出を著しくスピードアップさせることができる。
実施例では、256ビットの強力な暗号鍵を有することを仮定する。理論的には、その鍵は2つの半分へ分割され、その後、同じ値に戻すためにともに結合される。従って、256ビットのエントロピーのセキュリティは、保存されている。上記オプション1および2は、この同じ推論に基づく。ここで、実施例では、256ビットの鍵は2つの半分へ分割され、その後、適切な擬似ランダム機能(例えば、AES128)が2つの適切な導出鍵を得るために適用される。例えば、base_key_1とbase_key_2は、128ビットのエントロピーをそれぞれ有する。その後、その2つは、256ビットの強力な鍵を得るためにともに結合される。
実施例では、上記オプション1と2は、オプション1と2中のステップ(1)と(2)がハードウェア・シリコン上で並行して実行することができるので、ラージ鍵サイズでさえ効率的である。このように、鍵導出のレイテンシは10ラウンドのAES128オペレーションですむ。例えば、1ラウンドのオペレーションがハードウェア実行で1クロック・サイクルを消費するとすると、レイテンシは10サイクルになるだろう。これは、最もよく知られている方法である。このように、実施例では、スモール・サイズあるいはラージ・サイズの鍵のいずれであっても、その導出のための時間消費は、同じである。加えて、本発明の実施例が単に2ラウンドのAESオペレーションの回路を必要とするだけなので、シリコンのエリアを増加させることは、ラージ・サイズの鍵導出に適している。
ラージ・サイズの鍵のために、より長いレイテンシをもたらすハッシュ関数や暗号化の基本を使用することにまさる少なくとも4サイクルの削減がある。これは、図7に示されている。図7を参照して、図7は、NISTの仕様に基づいたAES128とAES256オペレーションのためのブロック図を示す。ここで、AES256は、オペレーションのためのより多くのラウンドと同様にラージ鍵のサイズも要求する。図中のW[・・・]は、128ビットの各ラウンド鍵を指定する。このように、本発明の実施例は、AES256オペレーションと比較して、鍵導出で4サイクルをセーブするAES128オペレーションを使用する。
図2を参照して、ドメイン・コントローラ20(図1)によって配分された1以上のclient_keysを格納するおよび適用するシーケンスが実施例に従って示される。企業サーバへの出力フレームのすべては、client_keyによって暗号化されかつ認証される。最初に、ブロック24で示されるようにアプリケーション・データが送信制御プロトコル(TCP)/ユーザ・データ・プロトコル(UDP)/インターネット・プロトコル(IP)スタックに入る。インターネット・プロトコルのパケットは、スタックによってサーバに配布される。その後、ブロック26で示されるように、リンク層ドライバは、層2のフレームを形成する。判断ブロック28での判断は、宛先インターネット・プロトコルのアドレスが企業サーバに属しているかどうかを決める。もしNOである場合、そのフレームは、ブロック34で示されるように、ネットワーク・インターフェイス・カードを通して送信される。もしYESである場合、ブロック30で示されるように、ハードウェアに格納された適切なclient_keyを使用して、そのフレームは、暗号化され認証される。その後、暗号化されたフレームは、ブロック32で示されるように、ネットワーク・インターフェイス・カードを通して送信される。
図3に、本発明の実施例がさらに示される。クライアントのプラットフォームがフレームを受け取ると、パケットがネットワーク・インターフェイス・カードに到着していると示されて、図3の判断ブロック302で、そのフレームがここに記述されたプロトコルによって処理されるかどうかの判断が決められる。もしNOである場合、ブロック304に示されるように、そのフレームは、上位のプロトコル層へ送られる。そのフレームが判断ブロック302でそのプロトコルによって処理される場合、ブロック306で示されるように、そのパケットは認証され、またそのパケットは、ハードウェアに格納された適切なclient_keyを使用して解読される。正しい鍵の選択は、セッションID、および/または、他のユニークな識別子あるいはパケット内のアドレスによって行なうことができる。その後、そのフレームは、ブロック308で示されるように、上位のプロトコル層へ送られる。
図4に本発明の実施例がさらに示される。図4を参照して、サーバ16(図1)がフレームを受け取ると、パケットがネットワーク・インターフェイス・カードに到着したことを示し、判断ブロック402で、そのフレームがここに記述されたプロトコルによって処理されるかどうかの判断が決められる。もしNOである場合、ブロック404で示されるように、そのフレームは、上位のプロトコル層へ送られる。もしYESである場合、ブロック406において、client_IDがフレームから抽出され、1を越える導出鍵が存在する場合、適切な導出鍵を選択するために使用される。
パケットにAES128オペレーションが施されている場合、ブロック408で、client_key=AES128(base_key,client_ID)とする。ブロック410で、そのclient_keyは、そのフレームを認証し解読するために、そのパケット・ペイロードにAES128の暗号解読処理を行なうために使用される。最後に、ブロック418で、そのフレームは、上位のプロトコル層へ送られる。本実施例では、client_IDは、与えられたセッションにおいて安全な組織に対する識別子である。
パケットにAES256オペレーションが施されている場合、ブロック412で、client_key_MSB=AES128(base_key_1,client_ID)、および、client_key_LSB=AES128(base_key_2,client_ID+pad)とする。上述のとおり、これらの2つの導出オペレーションは、AES128オペレーションを使用して並行して実行され、ラージ鍵(例えば、256ビットの鍵)の鍵導出を著しくスピードアップさせる。上述のように、ブロック412はオプション1およびオプション2の両方を表わしていることに注意すること。例えば、client_key_LSBを計算するための「pad」値は、ヌル(オプション1)、単純な整数カウンタ(オプション2)、あるいは規定されたストリング(オプション2)である。
414で、client_key=client_key_MSB‖client_key_LSBとする。ブロック416で、そのclient_keyは、フレームを認証し解読するために、そのパケット・ペイロードにAES256の暗号解読処理を行なうために使用される。最後に、ブロック418で、そのフレームは、上位のプロトコル層へ送られる。実施例では、client_IDは、与えられたセッションにおいて安全な組織に対する識別子である。
実施例に従って、サーバ16(図1)は、図5に示されるシーケンスを使用してフレームを送信してもよい。図5を参照して、ブロック502で、アプリケーション・データがインターネット・プロトコル・スタックで受け取られる。ブロック504で、そのパケットは様々なクライアントに配布され、また、client_IDは各フレームに添付される。その後、ブロック505で、リンク層ドライバは、フレームを受け取る。ブロック506で、client_IDは、そのフレームから抽出される。
図4に関する上述のように、パケットにAES128オペレーションが施される場合、508で、client_key=AES128(base_key,client_ID)とする。ブロック510で、そのclient_keyは、そのフレームを認証し暗号化するために、そのパケット・ペイロードにAES128の暗号化処理を行なうために使用される。最後に、ブロック518で、そのフレームは、ネットワークへ送られる。実施例では、client_IDは、与えられたセッションにおいて安全な組織に対する識別子である。
パケットにAES256オペレーションが施される場合、ブロック512で、client_key_MSB=AES128(base_key_1,client_ID)、および、client_key_LSB=AES128(base_key_2,client_ID+pad)とする。上述のとおり、これらの2つの導出オペレーションは、AES128オペレーションを使用して並行して実行され、ラージ鍵(例えば、256ビットの鍵)の鍵導出を著しくスピードアップさせる。上述のように、ブロック512はオプション1およびオプション2の両方を表わしていることに注意すること。例えば、client_key_LSBを計算するための「pad」値は、ヌル(オプション1)、単純な整数カウンタ(オプション2)、あるいは規定されたストリング(オプション2)である。
ブロック514で、client_key=client_key_MSB‖client_key_LSBとする。ブロック516で、そのclient_keyは、フレームを認証し暗号化するために、そのパケット・ペイロードにAES256の暗号処理を行なうために使用される。最後に、ブロック518で、そのフレームは、ネットワークへ送られる。実施例では、client_IDは、与えられたセッションにおいて安全な組織に対する識別子である。
ITネットワーク・モニタ装置18(図1)は、サーバ16に類似して動作する。サーバ16およびモニタリング・ホスト18は、クライアントからの様々なセキュリティ組織を扱うための少数の鍵を単に維持する必要がある。別個のクライアント/セッション用の鍵は異なり独立しているので、1人のクライアント・ホストを危険にさらす敵対者は別のクライアントに扮することができない。ドメイン・コントローラ20、サーバ16、およびモニタ装置18のための鍵の数は比較的少ないが、改ざん妨害に対し依然として適切な保護を提供する。
一実施例では、フレームのフォーマットは、インターネット・プロトコル・セキュリティ(IPSEC)フレームに便乗してもよい。client_IDは、IPSECヘッダのセキュリティ・パラメータ・インデックス(SPI)の領域に便乗する。シーケンス番号もIPSECヘッダ中に便乗してもよい。そうでない場合、フレームは、標準IPSECフレームと同じであってもよい。
client_IDは、ドメイン・コントローラによって割り当てられ、メディア・アクセス制御(MAC)あるいはIPアドレスから独立している。あるいは、client_IDのすべてあるいは一部分もクライアントによって提供されてもよい。例えば、client_IDは、ホストおよびユーザ情報を収容しており、それは、関連するアクセス・コントロール・ポリシーにマップされ得る。したがって、client_IDによって、IT管理者は、パケットがどこで発したかをよりよく知ることができる。
実施例では、企業ネットワークのためのエンドツーエンド・セキュリティおよびトラフィック可視性の両方が提供される。そのメカニズムは、いくつかの実施例では、完全にハードウェア中に実装できるが、それはある場合にはより低コストで十分なワイヤ速度を達成する。
別の実施例では、client_IDとclient_keyの生成は、直接あるいは間接的に役割と呼ばれる所定の管理ポリシーに準拠した装置の先行評価へ関連付けられる。この評価は、様々な形式を採ってもよいし、一般に装置の既知の構成/状態に言及するものである。これによって、データの受取人は、装置の最新の既知/現在の状態に基づいて、きめの細かいネットワーク・アクセス・コントロール決定をすることを可能にする。例えば、client_IDは、クライアントの役割を定義し、またクライアントが何にアクセスする権限を有するかを示すセキュリティ・レベルにリンクされてもよい。一度、鍵と識別子とが関連付けられると、追加のアクセス・コントロールおよびセキュリティ機能が可能になるように、client_IDをクライアントの役割にリンクする。
図6を参照して、実施例に従って、ハードウェア・ソリューション100は、ブリッジ72に結合された暗号エンジン70を含む。ブリッジ72は、メモリ・アクセスモジュール74に直接結合され、次に、MAC処理ユニット76に結合される。処理装置76は、バッファ78を通って入来および送出パケット80と通信する。パケット80は、client_ID(CID)82を含んでいてもよい。導出鍵を用いると、セッション鍵格納のためのオンチップRAMの必要を除去する。
一実施例では、ハードウェア・ソリューション100は、ネットワーク・インターフェイス・カードの一部あるいはプロセッサ/チップセット内の統合MACの一部であってもよい。このように、エンドツーエンド・セキュリティの負担は、サーバ16から取り除かれ、いくつかの実施例におけるネットワーク14の規模を可能な限り拡大させることができる。これによって、ある場合には、上位層のプロトコル/アプリケーションに影響せずに、ソリューションのシームレスな利用を許可する。
実施例は、ハードウェア、ソフトウェア、ファームウェア、マイクロコードあるいはそれらの任意の組み合わせによって実装することができる。ソフトウェア、ファームウェアあるいはマイクロコード中で実装された場合、実施例の要素は、必要なタスクを実行するプログラム・コードであり、あるいはコード・セグメントである。そのコードは、オペレーションを実行する実際のコード、あるいはオペレーションをエミュレートするかシミュレートするコードであってもよい。コード・セグメントは、手続き、機能、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェア・パッケージ、クラス、または、命令、データ構造あるいはプログラム文の任意の組み合わせを表わす。コード・セグメントは、情報、データ、引き数、パラメータ、またはメモリ内容を通過および/または受け取ることにより、別のコード・セグメントあるいはハードウェア回路に結合される。情報、引き数、パラメータ、データなどは、任意の適切な手段を含むメモリ共有、メッセージ・パス、トークン・パス、ネットワーク送信などを含む適切な手段を介して渡され、転送され、送信される。プログラムまたはコード・セグメントは、プロセッサ読取り可能な媒体に格納されるか、あるいは搬送波に重畳されたコンピュータ・データ信号、あるいは搬送波によって変調された信号を送信媒体を通して送信される。「プロセッサ読取り可能なあるいはアクセス可能な媒体」あるいは「機械読取り可能なあるいはアクセス可能な媒体」は、情報を格納し、送信し、または転送することができるすべての媒体を含む。プロセッサあるいは機械読取り可能なあるいはアクセス可能な媒体の例は、電子回路、半導体記憶装置、リード・オンリ・メモリ(ROM)、フラッシュ・メモリ、消去可能ROM(EROM)、フレキシブル・ディスク、コンパクト・ディスク(CD−ROM)、光ディスク、ハードディスク、光ファイバ媒体、無線周波数(RF)リンクなどを含む。コンピュータ・データ信号は、電子ネットワーク・チャンネル、光ファイバ、空間電磁気、RFリンクなどのような伝送媒体上で伝搬することのできるあらゆる信号を含む。コード・セグメントは、インターネット、イントラネットなどのコンピュータ・ネットワークによってダウンロードされてもよい。機械アクセス可能な媒体は、製造物中に搭載されていてもよい。機械アクセス可能な媒体は、機械によってアクセスされたとき、機械に次の動作を実行させるデータを含む。用語「データ」は、機械読取り可能な目的のために符号化されたあらゆるタイプの情報を指す。したがって、それはプログラム、コード、データ、ファイルなどを含む。
本明細書の全体に亘る「一実施例」あるいは「実施例」へ参照は、実施例に関して記述された特定の特徴、構造あるいは特性が本発明を射程範囲とする少なくとも1つの実施内に包含されることを意味する。このように、語句「一実施例」あるいは「実施例中」は、必ずしも同じ実施例を参照するものではない。さらに、特定の特徴、構造あるいは特性は、例示された特定の実施例以外の他の適切な形式で形成されてもよく、また、そのような形式はすべて本願の請求項の射程範囲内に包含される。
本発明は、限られた数の実施例に関して記述されているが、当業者は、本発明から多くの修正および変更を認識するであろう。
添付された請求項は、本発明の思想および範囲内に置かれるものとして、このような修正および変更を全て包含すると意図される。
12 クライアント
14 企業ネットワーク
16 サーバ
18 ITモニタ装置
20 企業ドメイン・コントローラ
70 暗号エンジン
72 ブリッジ
74 メモリ・アクセスモジュール
76 MAC処理ユニット
78 バッファ
80 パケット

Claims (20)

  1. 導出式を用いて、複数のクライアントの各々に対して暗号鍵を導出する暗号エンジンであって、前記導出式は、
    client_key_MSB=AES128(base_key_1,client_ID) (1)、
    client_key_LSB=AES128(base_key_2,client_ID+pad) (2)、および
    client_key=client_key_MSB‖client_key_LSB、であり、
    ここで、式(1)および式(2)は、並行して実行される、暗号エンジンと、
    前記暗号エンジンに結合されたMAC処理ユニットと、
    を含むことを特徴とするシステム。
  2. 前記padは、ヌル値、整数カウンタ、および規定されたストリングのうちの1つであることを特徴とする請求項1記載のシステム。
  3. 前記client_IDは、クライアントから受け取られたフレームから抽出されることを特徴とする請求項1記載のシステム。
  4. 暗号化されたトラフィックを解読することのできる情報技術モニタ装置へ前記client_keyを送り、エンドツーエンド・セキュリティを維持する間、トラフィックの可視性を提供することができるドメイン・コントローラを含むことを特徴とする請求項1記載のシステム。
  5. 前記システムは、ネットワーク・インターフェイス・カードの一部であることを特徴とする請求項1記載のシステム。
  6. 導出式を用いて、複数のクライアントの各々に対して暗号鍵を導出する暗号エンジンであって、前記導出式は、
    client_key=AES128(base_key,client_ID)である、暗号エンジンと、
    前記暗号エンジンに結合されたMAC処理ユニットと、
    を含むことを特徴とするシステム。
  7. 前記client_IDは、クライアントから受け取られたフレームから抽出されることを特徴とする請求項6記載のシステム。
  8. 暗号化されたトラフィックを解読することのできる情報技術モニタ装置へ前記client_keyを送り、エンドツーエンド・セキュリティを維持する間、トラフィックの可視性を提供するドメイン・コントローラを含むことを特徴とする請求項6記載のシステム。
  9. 前記システムは、ネットワーク・インターフェイス・カードの一部であることを特徴とする請求項6記載のシステム。
  10. 導出式を用いて、各クライアントに対して1またはそれ以上の暗号セッション鍵を導出するためのドメイン・コントローラを使用し、クライアントとサーバとの間のネットワーク・セキュリティを提供する段階であって、前記導出式は、
    client_key_MSB=AES128(base_key_1,client_ID) (1)、
    client_key_LSB=AES128(base_key_2,client_ID+pad) (2)、
    client_key=client_key_MSB‖client_key_LSB、であり、
    ここで、式(1)および式(2)は、並行して実行される、段階と、
    情報技術モニタ装置および前記サーバの少なくとも1つへ導出鍵を配分している間、前記ドメイン・コントローラが前記クライアント・セッション鍵をクライアントに配分することができる、段階と、
    を含むことを特徴とする方法。
  11. 前記padは、ヌル値、整数カウンタ、および規定されたストリングのうちの1つであることを特徴とする請求項10記載の方法。
  12. クライアントから受け取られたフレームから前記client_IDを抽出する段階をさらに含むことを特徴とする請求項11記載の方法。
  13. エンドツーエンド・セキュリティを維持する間トラフィックの可視性を提供するために、暗号化されたトラフィックを解読することのできる情報技術モニタ装置へ前記client_keyを送る段階をさらに含むことを特徴とする請求項12記載の方法。
  14. ネットワーク・アクセスを制御するために、与えられたセッション鍵の前記client_IDを使用する段階をさらに含むことを特徴とする請求項13記載の方法。
  15. ネットワーク・アクセス制御のために、前記client_IDをセキュリティ測定に関連付ける段階をさらに含むことを特徴とする請求項10記載の方法。
  16. 命令を収容する機械読取り可能な媒体において、前記命令が処理システムによって実行されるとき、前記処理システムは、
    導出式を用いて、各クライアントに対して1またはそれ以上の暗号セッション鍵を導出するためのドメイン・コントローラを使用し、クライアントとサーバとの間のネットワーク・セキュリティを提供する段階であって、前記導出式は、
    client_key_MSB=AES128(base_key_1,client_ID) (1)、
    client_key_LSB=AES128(base_key_2,client_ID+pad) (2)、
    client_key=client_key_MSB‖client_key_LSB、であり、
    ここで、式(1)および式(2)は、並行して実行される、段階と、
    情報技術モニタ装置および前記サーバの少なくとも1つへ導出鍵を配分している間、前記ドメイン・コントローラが前記クライアント・セッション鍵をクライアントに配分することができる、段階と、
    を実行することを特徴とする機械読取り可能な媒体。
  17. 前記padは、ヌル値、整数カウンタ、および規定されたストリングのうちの1つであることを特徴とする請求項16記載の機械可読媒体。
  18. クライアントから受け取られたフレームから前記client_IDを抽出するための命令を格納する段階をさらに含むことを特徴とする請求項17記載の機械読取り可能な媒体。
  19. エンドツーエンド・セキュリティを維持する間トラフィックの可視性を提供するために、暗号化されたトラフィックを解読することのできる情報技術モニタ装置へ前記client_keyを送る命令を格納する段階をさらに含むことを特徴とする請求項18記載の機械読取り可能な媒体。
  20. ネットワーク・アクセスを制御するために、与えられたセッション鍵の前記client_IDを使用する命令を格納する段階をさらに含むことを特徴とする請求項16記載の機械読取り可能な媒体。
JP2009271249A 2008-12-03 2009-11-30 トラフィック可視性を備えたエンドツーエンド・ネットワークのセキュリティのための効率的な鍵の導出 Expired - Fee Related JP5116752B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/327,137 2008-12-03
US12/327,137 US8467527B2 (en) 2008-12-03 2008-12-03 Efficient key derivation for end-to-end network security with traffic visibility

Publications (2)

Publication Number Publication Date
JP2010157998A true JP2010157998A (ja) 2010-07-15
JP5116752B2 JP5116752B2 (ja) 2013-01-09

Family

ID=42106003

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009271249A Expired - Fee Related JP5116752B2 (ja) 2008-12-03 2009-11-30 トラフィック可視性を備えたエンドツーエンド・ネットワークのセキュリティのための効率的な鍵の導出

Country Status (4)

Country Link
US (3) US8467527B2 (ja)
EP (1) EP2194671B1 (ja)
JP (1) JP5116752B2 (ja)
CN (1) CN101834840B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011172000A (ja) * 2010-02-18 2011-09-01 Tokai Rika Co Ltd 認証システム及び認証方法

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8467527B2 (en) 2008-12-03 2013-06-18 Intel Corporation Efficient key derivation for end-to-end network security with traffic visibility
US10748146B2 (en) * 2009-06-16 2020-08-18 Heartland Payment Systems, Llc Tamper-resistant secure methods, systems and apparatuses for credit and debit transactions
US10482254B2 (en) * 2010-07-14 2019-11-19 Intel Corporation Domain-authenticated control of platform resources
US9137214B2 (en) 2010-12-15 2015-09-15 Microsoft Technology Licensing, Llc Encrypted content streaming
JP5435513B2 (ja) * 2012-01-27 2014-03-05 トヨタ自動車株式会社 暗号通信システム、鍵配布装置、暗号通信方法
DE102012209408A1 (de) * 2012-06-04 2013-12-05 Siemens Aktiengesellschaft Sichere Übertragung einer Nachricht
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
WO2015002581A1 (en) 2013-07-02 2015-01-08 Telefonaktiebolaget L M Ericsson (Publ) Key establishment for constrained resource devices
US9485091B2 (en) 2014-05-01 2016-11-01 International Business Machines Corporation Dual-party session key derivation
US9460567B2 (en) * 2014-07-29 2016-10-04 GM Global Technology Operations LLC Establishing secure communication for vehicle diagnostic data
US10726162B2 (en) * 2014-12-19 2020-07-28 Intel Corporation Security plugin for a system-on-a-chip platform
WO2016149355A1 (en) 2015-03-16 2016-09-22 Convida Wireless, Llc End-to-end authentication at the service layer using public keying mechanisms
US9338147B1 (en) 2015-04-24 2016-05-10 Extrahop Networks, Inc. Secure communication secret sharing
JP6178390B2 (ja) * 2015-08-05 2017-08-09 Kddi株式会社 管理装置、管理システム、車両、管理方法、及びコンピュータプログラム
US11201736B2 (en) 2015-08-05 2021-12-14 Kddi Corporation Management device, management system, key generation device, key generation system, key management system, vehicle, management method, key generation method, and computer program
JP6238939B2 (ja) * 2015-08-24 2017-11-29 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
US10469260B2 (en) 2016-07-08 2019-11-05 Microsoft Technology Licensing, Llc Multiple cryptographic key generation for two-way communication
US10411888B2 (en) * 2016-07-08 2019-09-10 Microsoft Technology Licensing, Llc Cryptography method
US10433166B2 (en) * 2016-07-08 2019-10-01 Microsoft Technology Licensing, Llc Cryptography using RF power measurement
US10419215B2 (en) * 2016-11-04 2019-09-17 Microsoft Technology Licensing, Llc Use of error information to generate encryption keys
US10560264B2 (en) 2016-11-08 2020-02-11 Microsoft Technology Licensing, Llc Cryptographic key creation using optical parameters
CN113630773B (zh) * 2017-01-24 2023-02-14 华为技术有限公司 安全实现方法、设备以及系统
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US10965702B2 (en) * 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US20230071287A1 (en) * 2020-02-13 2023-03-09 Idac Holdings, Inc. Methods, apparatus and systems using vehicle-to-everything (v2x) enhancements to support vehicle-to-pedestrian (v2p) communication
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
EP4218212A1 (en) 2020-09-23 2023-08-02 ExtraHop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08204702A (ja) * 1995-01-30 1996-08-09 Nec Corp 暗号鍵管理装置
JP2007526718A (ja) * 2004-03-02 2007-09-13 アドバンスト・マイクロ・ディバイシズ・インコーポレイテッド 高速送信IPsec処理のための2つの並列エンジン
JP2008219454A (ja) * 2007-03-05 2008-09-18 Hitachi Ltd 通信内容監査支援システム

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167136A (en) 1997-05-16 2000-12-26 Software Security, Inc. Method for preventing copying of digital video disks
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
US7055027B1 (en) 1999-03-22 2006-05-30 Microsoft Corporation System and method for trusted inspection of a data stream
US20080192928A1 (en) * 2000-01-06 2008-08-14 Super Talent Electronics, Inc. Portable Electronic Storage Devices with Hardware Security Based on Advanced Encryption Standard
US6983366B1 (en) 2000-02-14 2006-01-03 Safenet, Inc. Packet Processor
US7231517B1 (en) 2000-03-03 2007-06-12 Novell, Inc. Apparatus and method for automatically authenticating a network client
JP3864675B2 (ja) 2000-03-09 2007-01-10 株式会社日立製作所 共通鍵暗号装置
US7093126B1 (en) 2000-04-14 2006-08-15 International Business Machines Corporation Encryption schemes with almost free integrity awareness
US6963976B1 (en) 2000-11-03 2005-11-08 International Business Machines Corporation Symmetric key authenticated encryption schemes
US7266703B2 (en) 2001-06-13 2007-09-04 Itt Manufacturing Enterprises, Inc. Single-pass cryptographic processor and method
US7900042B2 (en) * 2001-06-26 2011-03-01 Ncipher Corporation Limited Encrypted packet inspection
US20030097409A1 (en) 2001-10-05 2003-05-22 Hungchou Tsai Systems and methods for securing computers
US7281128B2 (en) 2001-10-22 2007-10-09 Extended Systems, Inc. One pass security
DE60213650T2 (de) * 2001-12-10 2007-08-09 International Business Machines Corp. Zugriff auf verschlüsselten rundsendeinhalt
AU2003201231A1 (en) 2002-01-04 2003-07-30 Lab 7 Networks, Inc. Communication security system
US7188365B2 (en) 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7487365B2 (en) 2002-04-17 2009-02-03 Microsoft Corporation Saving and retrieving data based on symmetric key encryption
US20030200463A1 (en) 2002-04-23 2003-10-23 Mccabe Alan Jason Inter-autonomous system weighstation
US7007163B2 (en) * 2002-05-31 2006-02-28 Broadcom Corporation Methods and apparatus for accelerating secure session processing
US7475241B2 (en) 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US20040202317A1 (en) * 2002-12-20 2004-10-14 Victor Demjanenko Advanced encryption standard (AES) implementation as an instruction set extension
US6954450B2 (en) * 2003-11-26 2005-10-11 Cisco Technology, Inc. Method and apparatus to provide data streaming over a network connection in a wireless MAC processor
US7543142B2 (en) 2003-12-19 2009-06-02 Intel Corporation Method and apparatus for performing an authentication after cipher operation in a network processor
US7346773B2 (en) 2004-01-12 2008-03-18 Cisco Technology, Inc. Enabling stateless server-based pre-shared secrets
US7490350B1 (en) 2004-03-12 2009-02-10 Sca Technica, Inc. Achieving high assurance connectivity on computing devices and defeating blended hacking attacks
US8015211B2 (en) 2004-04-21 2011-09-06 Architecture Technology Corporation Secure peer-to-peer object storage system
EP1746791A1 (en) 2004-05-12 2007-01-24 Nippon Telegraph and Telephone Corporation Network attack combating method, network attack combating device and network attack combating program
US7797745B2 (en) 2004-12-22 2010-09-14 Electronics And Telecommunications Research Institute MAC security entity for link security entity and transmitting and receiving method therefor
US20070180227A1 (en) 2005-03-01 2007-08-02 Matsushita Electric Works, Ltd. Decryption apparatus for use in encrypted communications
CN100550725C (zh) 2005-06-17 2009-10-14 中兴通讯股份有限公司 一种用户与应用服务器协商共享密钥的方法
US7725719B2 (en) 2005-11-08 2010-05-25 International Business Machines Corporation Method and system for generating ciphertext and message authentication codes utilizing shared hardware
DE102006008752B4 (de) 2006-02-24 2012-11-29 Smiths Medical Deutschland Gmbh Verfahren zum Herstellen einer Komponente einer Fluiddruckmesseinheit, Verfahren zum Herstellen einer Fluiddruckmesseinheit, Komponente zum Einsatz in einer Fluiddruckmesseinheit sowie Fluiddruckmesseinheit
US8832449B2 (en) 2006-03-22 2014-09-09 Lg Electronics Inc. Security considerations for the LTE of UMTS
JP4810289B2 (ja) 2006-04-17 2011-11-09 ルネサスエレクトロニクス株式会社 メッセージ認証子生成装置、メッセージ認証子検証装置、及びメッセージ認証システム
US7913084B2 (en) 2006-05-26 2011-03-22 Microsoft Corporation Policy driven, credential delegation for single sign on and secure access to network resources
US8107397B1 (en) 2006-06-05 2012-01-31 Purdue Research Foundation Protocol for secure and energy-efficient reprogramming of wireless multi-hop sensor networks
JP4863777B2 (ja) 2006-06-07 2012-01-25 富士通株式会社 通信処理方法及びコンピュータ・システム
JP4994741B2 (ja) 2006-08-08 2012-08-08 キヤノン株式会社 通信暗号化処理装置
CN101043335A (zh) 2007-03-12 2007-09-26 中国建设银行股份有限公司 一种信息安全控制系统
US9209967B2 (en) 2007-03-12 2015-12-08 Exelis, Inc. Precalculated encryption key
US20090119510A1 (en) 2007-11-06 2009-05-07 Men Long End-to-end network security with traffic visibility
US20080244268A1 (en) * 2007-03-30 2008-10-02 David Durham End-to-end network security with traffic visibility
US9319220B2 (en) * 2007-03-30 2016-04-19 Intel Corporation Method and apparatus for secure network enclaves
US8467527B2 (en) 2008-12-03 2013-06-18 Intel Corporation Efficient key derivation for end-to-end network security with traffic visibility
CN101335621B (zh) 2007-06-26 2011-03-16 中国科学院声学研究所 一种802.11i密钥管理方法
US8194854B2 (en) * 2008-02-27 2012-06-05 Intel Corporation Method and apparatus for optimizing advanced encryption standard (AES) encryption and decryption in parallel modes of operation
WO2010010430A2 (en) * 2008-07-25 2010-01-28 Lee Kok-Wah Methods and systems to create big memorizable secrets and their applications in information engineering
US8051287B2 (en) 2008-10-15 2011-11-01 Adobe Systems Incorporated Imparting real-time priority-based network communications in an encrypted communication session
CN101807998A (zh) 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
US8914878B2 (en) 2009-04-29 2014-12-16 Juniper Networks, Inc. Detecting malicious network software agents
US8856317B2 (en) 2010-07-15 2014-10-07 Cisco Technology, Inc. Secure data transfer in a virtual environment
US8688982B2 (en) 2010-08-13 2014-04-01 Bmc Software, Inc. Monitoring based on client perspective
US8649275B2 (en) 2011-01-19 2014-02-11 Ixia Fast SSL testing using precalculated cryptographyc data
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08204702A (ja) * 1995-01-30 1996-08-09 Nec Corp 暗号鍵管理装置
JP2007526718A (ja) * 2004-03-02 2007-09-13 アドバンスト・マイクロ・ディバイシズ・インコーポレイテッド 高速送信IPsec処理のための2つの並列エンジン
JP2008219454A (ja) * 2007-03-05 2008-09-18 Hitachi Ltd 通信内容監査支援システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011172000A (ja) * 2010-02-18 2011-09-01 Tokai Rika Co Ltd 認証システム及び認証方法

Also Published As

Publication number Publication date
EP2194671A3 (en) 2011-06-01
US8467527B2 (en) 2013-06-18
EP2194671A2 (en) 2010-06-09
US20100135498A1 (en) 2010-06-03
US8903084B2 (en) 2014-12-02
CN101834840B (zh) 2016-02-17
CN101834840A (zh) 2010-09-15
JP5116752B2 (ja) 2013-01-09
EP2194671B1 (en) 2014-10-22
US20150188702A1 (en) 2015-07-02
US20140032905A1 (en) 2014-01-30
US9832015B2 (en) 2017-11-28

Similar Documents

Publication Publication Date Title
JP5116752B2 (ja) トラフィック可視性を備えたエンドツーエンド・ネットワークのセキュリティのための効率的な鍵の導出
EP2068526B1 (en) End-to-end network security with traffic visibility
US7879111B2 (en) System and method for RFID transfer of MAC, keys
Viega et al. The use of Galois/counter mode (GCM) in IPsec encapsulating security payload (ESP)
US7900042B2 (en) Encrypted packet inspection
JP4707992B2 (ja) 暗号化通信システム
US7873166B2 (en) Method for undetectably impeding key strength of encryption usage for products exported outside the U.S
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
US8873746B2 (en) Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
US20090060184A1 (en) Systems and Methods for Providing Autonomous Security
Petullo et al. MinimaLT: minimal-latency networking through better security
US8281122B2 (en) Generation and/or reception, at least in part, of packet including encrypted payload
Bagci et al. Fusion: coalesced confidential storage and communication framework for the IoT
US20080244268A1 (en) End-to-end network security with traffic visibility
EP3541007B1 (en) Cryptographic communication apparatus, cryptographic communication system, cryptographic communication method and computer-readable medium
CN107454116A (zh) 单隧道模式下IPsec ESP协议的优化方法及装置
WO2014029951A1 (en) A cryptography system
Nir et al. Algorithm implementation requirements and usage guidance for the internet key exchange protocol version 2 (Ikev2)
Nassar et al. Enhanced mobile security using sim encryption
Venugopal The design, implementation, and evaluation of cryptographic distributed applications: Secure PVM
Zhao et al. Data encryption and transmission technology for cotton of IoT security
EP3871363A2 (en) Computing key rotation period for block cipher-based encryption schemes system and method
Cornett et al. NETWORK SECURITY: CHALLENGES AND SOLUTIONS.
Anithadevi et al. QOS Affluent Web Services Message Communication Using Secured Simple Object Access Protocol (SOAP) Technique
Viega et al. RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP)

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120507

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120807

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120904

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120924

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121016

R150 Certificate of patent or registration of utility model

Ref document number: 5116752

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151026

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151026

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees