JP2013523050A - 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ - Google Patents
中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ Download PDFInfo
- Publication number
- JP2013523050A JP2013523050A JP2013501341A JP2013501341A JP2013523050A JP 2013523050 A JP2013523050 A JP 2013523050A JP 2013501341 A JP2013501341 A JP 2013501341A JP 2013501341 A JP2013501341 A JP 2013501341A JP 2013523050 A JP2013523050 A JP 2013523050A
- Authority
- JP
- Japan
- Prior art keywords
- server
- client
- server device
- encrypted
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003860 storage Methods 0.000 claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 12
- 230000009471 action Effects 0.000 claims description 6
- 230000003190 augmentative effect Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 description 55
- 230000008569 process Effects 0.000 description 50
- 238000012545 processing Methods 0.000 description 23
- 238000004891 communication Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 15
- 238000007726 management method Methods 0.000 description 12
- 238000012546 transfer Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000005641 tunneling Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- WVMLRRRARMANTD-FHLIZLRMSA-N ram-316 Chemical compound C1=CCC[C@@]2(O)[C@H]3CC4=CC=C(OC)C(O)=C4[C@]21CCN3C WVMLRRRARMANTD-FHLIZLRMSA-N 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
暗号化セッションの暗号化接続を再設定することを目的とするトラフィック管理装置(TMD)、システム、及びプロセッサ可読記憶媒体であって、暗号化接続は、最初にクライアント装置と第1サーバ装置との間に設定されており、暗号化接続を第2サーバ装置で終了させるようにする。記載されるように、トラフィック管理装置(TMD)は、クライアント装置と第1サーバ装置との間に配置される。幾つかの実施形態では、TMDは、クライアント装置が暗号接続を再ネゴシエーションすることを要求することができる。TMDは、第2サーバ装置に向けて再ネゴシエーション要求に対する応答をリダイレクトすることができ、これによって、再ネゴシエーションされた暗号化接続が、クライアント装置と第2サーバ装置の間に設定されるようになる。このようにして、単一の既存の終端間暗号化接続を用いて、1つよりも多いサーバ装置からのコンテンツを提供することができる。
【選択図】図1
【選択図】図1
Description
(関連出願の相互参照)
本出願は、その利益が本明細書に請求項に記載され且つ引用により本明細書に組み入れられる、2010年3月19日に出願された名称「中間ストリーム再ネゴシエーションを介したプロキシSSLハンドオフ」の米国仮出願シリアル番号第61/315,857号の利益を主張する。
本出願は、その利益が本明細書に請求項に記載され且つ引用により本明細書に組み入れられる、2010年3月19日に出願された名称「中間ストリーム再ネゴシエーションを介したプロキシSSLハンドオフ」の米国仮出願シリアル番号第61/315,857号の利益を主張する。
本発明は、一般に、ネットワーク通信に関し、より詳細には、限定ではないが、クライアント/サーバ終端間暗号化接続内での再ネゴシエーションの管理に関する。
ハイパーテキスト転送プロトコル(HTTP)を通じて提供される企業内のアプリケーションの数が益々増えている。これらのアプリケーションの多くは、クライアント装置とホストされるウェブサイトとの間でセキュアな通信を提供する。これらのアプリケーションは、イントラネットポータル、ウェブメール、フロント−オフィス(顧客窓口部門)アプリケーション、バック−オフィス(事務管理部門)アプリケーション、及び同様のものを含む。これらのアプリケーションの多くはまた、仮想プライベートネットワーク(VPN)トンネルを介して、又はパブリックネットワークを通じて直接、或いは同様のものの何れかによって、支店からアクセスすることができる。これらのアプリケーションは、例えば本部内部のサーバ装置上で利用することができる。本部及び支店は、ファイアウォールの後方又は同様のものなどのセキュリティ境界の後方で保護されたコンピュータ装置のネットワークを含む。
クライアント装置とサーバ装置との間のセキュア通信を提供する従来の方法は、暗号化セッションを設定するためにウェブブラウザ及びウェブサイトを利用する。暗号化セッションは、セキュアソケットレイヤ(SSL)プロトコル、トランスポート・レイヤ・セキュリティ(TLS)プロトコル、又は同様のものを含む多種多様なセキュア通信プロトコルを使用して実施することができる。このような暗号化セッションの管理は、特に、サーバ装置がクライアント装置によって必要とされる情報を持っていない場合、サーバ装置が故障した場合、或いはサーバ装置を異なるサーバ装置に置き換える必要がある場合に困難な場合がある。従って、本発明が実施することは、これらの考慮事項及びその他に関するものである。
以下の図面を参照しながら非限定的かつ非包括的な実施形態について説明する。図面では、特に指定しない限り様々な図を通じて同じ参照番号が同じ部分を示す。
ここで、本明細書で記載される実施形態をより良く理解するために、添付図面と関連して以下の詳細な説明を説明する。
以下の例示的な実施形態の詳細な説明では、本明細書の一部を形成し、説明する実施形態を実施できる実施例を例証として示す添付図面を参照する。説明する実施形態を当業者が実施できるように十分な詳細を提供しているが、本発明の技術的思想又は範囲から逸脱することなく他の実施形態を利用し、他の変更を行うことができる点は理解されたい。更に、「1つの実施形態」への言及は、可能性はあるものの、同じ又は単一の実施形態に関連付ける必要はない。従って、以下の詳細な説明を限定的な意味で捉えるべきではなく、説明する実施形態の範囲は添付の特許請求の範囲によってのみ定義される。
本明細書及び特許請求の範囲を通じて、以下の用語は、文脈上特に指定しない限り、本明細書で明確に関連付ける意味になる。本明細書で使用される用語「or(又は)」とは、包括的な論理和演算子であり、文脈上別途明確に指示されない限り、用語「and/or(及び/又は)」に相当する。用語「based on(に基づいて)」とは、包括的ではなく、文脈上別途明確に指示されない限り、説明されていない付加的な要因に基づくことを可能にする。加えて、本明細書全体を通して、「a」、「an」、及び「the」の意味は、複数形の照応を含む。「in」の意味は、「in」及び「on」を含む。
本明細書で使用されるアプリケーションレイヤは、ISO−OSI(国際標準化機構−開放型システム間相互接続)フレームワークによって定義される7レイヤプロトコルスタックのレイヤ5から7を示す。
用語「ネットワーク接続」とは、ネットワークを通じてコンピュータ装置が別のコンピュータ装置と通信できるようにするリンク及び/又はソフトウェア要素の集合を示す。1つのこのようなネットワーク接続は、TCP接続とすることができる。TCP接続は、2つのネットワークノード間の仮想接続であり、典型的にはTCPハンドシェークプロトコルを介して確立される。TCPプロトコルは、インターネット・エンジニアリング・タスク・フォース(IETF)から入手可能なリクエスト・フォー・コメント(RFC)793においてより詳細に説明されており、その全体が引用により本明細書に組み入れられる。特定の経路又はリンクを「通じた」ネットワーク接続は、通信を確立及び/又は維持するために指定の経路又はリンクを利用するネットワーク接続を示す。「ノード」という用語は、典型的には1つ又はそれ以上の装置を相互接続するネットワーク要素、或いは複数のネットワークを示す。
特許請求の範囲を含む本明細書で使用される用語「SSL」とは、SSL、TLS、DTLS、及びこれらから得られる全てのセキュア通信プロトコルを示す。SSLプロトコルは、Netscape Communications社のセキュアソケットレイヤ(SSL)バージョン3(1996年11月)において説明されており、TLSプロトコルは、SSLから得られ、IETFから入手可能なDierks T.及びAllen C.による「TLSプロトコルバージョン1.0」RFC2246(1999年1月)において説明されている。データグラム・トランスポート・レイヤ・セキュリティ(DTLS)プロトコルは、TLSプロトコルに基づき、IETFから入手可能なRescorla,E.及びModadugu,N.による「データグラムトランスポートレイヤセキュリティ」RFC4347(2006年4月)で説明されている。これらの文書の各々は、その全体が引用により組み入れられる。SSL接続は、SSLプロトコルから得られる暗号情報によって保護されるネットワーク接続である。SSLプロトコルは、アプリケーションレイヤ(OSIレイヤ5−7の1つ又はそれ以上など)とトランスポートレイヤ(OSIレイヤ4など)との間で機能する。SSLプロトコルは、ハイパーテキスト転送プロトコル(HTTP)、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)、インターネット・メッセージング・アクセス・プロトコル(IMAP)、又は同様のものなどのアプリケーションレイヤプロトコルのためのセキュリティを提供することができる。例えば、SSLを通じたHTTP(HTTPS)は、HTTPデータを保護するためにSSLプロトコルを利用する。SSLプロトコルは、セキュアデータを転送するために、アプリケーションレイヤプロトコルの代わりにTCP/IPを利用することができる。SSLプロトコルはまた、証明書を利用することができる。1つの実施形態では、証明書は、IETFから入手可能なRFC2549で説明されたようなX.509証明書である。
特許請求の範囲を含む本明細書で使用される用語「サーバ装置」とは、物理的サーバ装置、或いは物理的サーバ装置上で実行される仮想サーバを示す。
SSLセッションは、2つのエンドポイント間のネットワークを通じたセキュア接続を設定する。SSLセッションは、ゼロ又はそれ以上のSSL接続に関連付けることができる。SSLプロトコルは、SSLセッション及び/又はSSL接続を開始するためにSSLハンドシェークプロトコルを使用する。SSLセッションは、マスター鍵に関連付けられ、マスター鍵は、SSLハンドシェークプロトコルの1つの結果である。SSLハンドシェークプロトコルはまた、SSL接続を再ネゴシエーションするためのSSL再ハンドシェークプロトコルを含む。再ネゴシエーションされたSSL接続は、現在のSSLセッション又は別のSSLセッションに関連付けることができる。
要約すると、SSLは、少なくとも4つのコンテンツのタイプ、すなわち、application_data(アプリケーション_データ)、alert(警報)、handshake(ハンドシェーク)、及びchange cipher spec(変更_暗号_仕様)をサポートする。alert、handshake、及びchange cipher specのコンテンツタイプは、SSLプロトコルを管理するためのメッセージに関連付けられる。例えば、SSL警報は、警報コンテンツタイプであり、とりわけ、エラー条件を信号送信するのに使用される。SSLは、他のコンテンツタイプの規定を有するが、これらの機能は通常は使用されない。
SSLハンドシェークプロトコルは、警報、ハンドシェーク、及び/又はchange cipher specのコンテンツタイプの1つとすることができる一連のメッセージの交換及び処理を含む。1つ又はそれ以上のSSLハンドシェークメッセージは、ハンドシェークコンテンツタイプの1つ又はそれ以上のネットワーク記録内にカプセル化される。SSLハンドシェークメッセージはまた、関連するSSLハンドシェークタイプ、及び1つ又はそれ以上のデータフィールドを含む。
SSLハンドシェークプロトコルは、通常、クライアント装置が、とりわけCLIENT−HELLO(クライアント−ハロー)メッセージ(例えば、「CLIENT−HELLO(クライアント−ハロー)」の関連するSSLハンドシェークタイプを備えたSSLハンドシェークメッセージ)内でランダムに生成されたデータをサーバ装置に送信することから始まる。サーバ装置は、とりわけSERVER−HELLO(サーバ−ハロー)メッセージ内でランダムに生成されたデータでCLIENT−HELLO(クライアント−ハロー)メッセージに応答する。加えて、サーバは、クライアントがサーバを認証するのに使用することができるサーバ証明書を提供することができる。更に、サーバは、サーバがクライアントを認証するのに使用することができるクライアント証明書を要求又は必要とすることができる。
クライアント装置は、CLIENT−HELLO(クライアント−ハロー)及びSERVER−HELLO(サーバ−ハロー)メッセージにおいて交換されるランダムに生成されたデータを使用して、SSLセッションのためのプレマスターシークレット(pre−master secret)を生成する。1つの実施形態では、クライアント装置はまた、プレマスターシークレットに別の乱数を含むことができ、これは典型的にはパブリックネットワークを通じて平文では送信されない。次に、クライアント装置は、プレマスターシークレットをSSLハンドシェークメッセージでサーバ装置に送信する。1つの実施形態では、プレマスターシークレットは、サーバに関連付けられる公開鍵(サーバのSERVER−HELLO(サーバ−ハロー)メッセージから取得される)を使用して暗号化することができる。典型的には、プレマスターシークレットを含むSSLハンドシェークメッセージは、CLIENT−KEY−EXCHANGE(クライアント−鍵−交換)ハンドシェークメッセージである。クライアント装置及びサーバ装置の各々は、別々に、プレマスターシークレットを使用してマスターシークレットを生成する一連のステップを実行する。このマスターシークレットは、SSLセッションに関連付けられる。次に、クライアント装置及びサーバ装置の各々は別々に、マスターシークレットを使用して接続鍵を生成し、該接続鍵には、限定ではないが、関連するSSL接続を通じて伝送されるデータを暗号化及び解読するのに使用される暗号鍵及び/又は関連するSSL接続を通じて受信されたメッセージを検証するのに使用される認証鍵を含むことができる。次にクライアント装置及びサーバ装置は、接続鍵のそれぞれのインスタンスを使用して、互いに対して暗号化されたペイロードを含むメッセージを生成及び送信することができる。
特許請求の範囲を含む本明細書で使用される用語「暗号化セッション」とは、2つのエンドポイント装置間のゼロ又はそれ以上の暗号化接続を示す。例示的な暗号化セッションは、SSL、TLS、及びDTLSセッションを含む。本明細書で使用される用語「暗号化接続」とは、SSL、TLS、及びDTLS接続などの暗号情報によって保護された何らかのネットワーク接続も示すが、他の暗号化接続も同様に企図される。暗号化接続は、暗号化接続を通じて伝送されたデータを暗号化及び解読するのに使用される暗号鍵、並びにTCPインターフェイスなどの下位レイヤにあるトランスポートプロトコルインターフェイスの参照を含む。
本明細書で使用される語句「暗号化セッション/接続」とは、暗号化セッション又は暗号化接続の何れかを示す。
本明細書で使用される語句「終端間暗号化セッション/接続」とは、両方のエンドポイント装置が暗号化セッション/接続を設定したときに他方のエンドポイント装置のアイデンティティを知っている場合の2つのエンドポイント装置間のセッション/接続を示す。
本明細書で使用される語句「暗号化セッションを終了する」とは、暗号化セッションの2つのエンドポイントの1つであることを示す。同様に、語句「暗号化接続を終了する」とは、暗号化接続の2つのエンドポイントの1つであることを示す。暗号化セッション/接続のエンドポイントは、通常は暗号化データをその間で送信することができるクライアント装置及びサーバ装置と呼ばれる装置である。クライアント装置及びサーバ装置の実施例は、SSLクライアント及びSSLサーバである。本明細書で使用される語句「暗号化セッション/接続クライアント」とは、クライアント装置を示し、語句「暗号化セッション/接続サーバ」とは、サーバ装置を示す。
本明細書で使用される語句「暗号化セッションを設定する」とは、暗号化セッションハンドシェークプロトコルに参加することを示す。語句「暗号化接続を設定する」とは、暗号化セッションのセッション鍵(暗号化セッションのマスター鍵としても知られる)に基づいて暗号化セッション内で暗号化接続を生成することを示す。1つの実施形態では、2つの装置が暗号化セッション/接続を設定し、暗号化セッション/接続のエンドポイントになる。付加的な装置はまた、任意選択的に、エンドポイントの一方又は両方と共に、或いは一方又は両方のエンドポイントの知識なしで、暗号化セッション/接続の設定に参加することができる。暗号化セッションハンドシェークプロトコルの1つの実施例はSSLハンドシェークプロトコルである。
本明細書で使用される語句「帯域外」とは、クライアント装置とサーバ装置との間に設定された終端間暗号化セッション/接続とは別個の接続を通じてデータを送信するなどの現在の暗号化セッション/接続の外側でデータを送信することを示す。
本明細書で使用される語句「秘密データ」とは、2つの装置間の暗号化セッションハンドシェークを可能にするデータを示す。秘密データは、例えば、上記に引用されたRFC2246で説明されるマスターシークレット及びプレマスターシークレットを含む。
本明細書で使用される用語「ペイロード」とは、パケット内に含まれ且つパケットのパケットヘッダとは別個のデータを示す。
この開示内容全体を通して、「CLIENT−HELLO(クライアント−ハロー)」などの特定のメッセージタイプが記載される場合、これらは、メッセージのタイプを例証するのに使用される実施例である点を理解されたい。これらの特定のメッセージは、1つの実施形態であるが、暗号化セッション/接続を設定及び/又は維持するのに使用される他の類似のメッセージも同様に考えられる。
クライアント装置及び第1サーバ装置で終了された暗号化接続をクライアント装置及び第2サーバ装置で終了させる、暗号化接続を再設定するための機構を簡潔に説明する。当業者であれば、SSLセッションなどの暗号化セッション、及び暗号化セッション内に含まれるいずれの暗号化接続は、セッション/接続の持続時間において各エンドポイントのアイデンティティを保護するよう設計されていることは理解されるであろう。従って、設定された暗号化接続のエンドポイントを置き換えることができる開示された実施形態はこれまでのところ予期されていない。
説明されるように、トラフィック管理装置(TMD)がクライアント装置と第1サーバ装置の間に配置される。クライアント装置と第1サーバ装置との間の終端間暗号化セッション/接続の設定の間、間に配置されたTMDが、暗号化セッション/接続に関する秘密情報にアクセスする。このような情報は、例えば、終端端暗号化セッション内の暗号化接続両端に亘って送信されるデータを暗号化及び解読するための接続鍵を決定するのに使用可能なプレマスターシークレットを含む。終端間暗号化セッション/接続のための秘密情報にアクセスすることによって、TMDは、暗号化接続を通じて送信されたデータの読み取り、傍受、増補、削除、遅延、切り取り、圧縮、拡張、加速、置き換え、或いは修正を行うことができる。
幾つかの実施形態では、TMDは、終端間暗号化接続を再ネゴシエーションするための要求をクライアント装置に送信することができる。再ネゴシエーション要求は、例えばSSL HELLO REQUEST(SSLハロー要求)メッセージを含むことができる。クライアント装置の観点から、第1サーバ装置が既存の暗号化接続を再ネゴシエーションするようクライアント装置に要求しても、クライアント装置は通常、TMDが再ネゴシエーションを開始したことに気付いていないように見える。再ネゴシエーション要求に応答して、クライアント装置は、暗号化接続を通じて第1サーバ装置にアドレス指定されたCLIENT HELLO(クライアント ハロー)メッセージを送信することができる。1つの実施形態では、TMDは、CLIENT HELLO(クライアント ハロー)メッセージを傍受し、これを解読し、第2サーバ装置に向けてリダイレクトすることができる。同様に、クライアント装置によって送信された次のメッセージも第2サーバ装置に向けてリダイレクトすることができる。この結果、クライアント装置の観点からは、オリジナルの暗号化接続が第2サーバ装置と再設定されている。第1サーバ装置の観点からは、クライアント装置とのその暗号化接続は終了している。TMDの観点からは、クライアント装置と第1サーバ装置との間の既存の暗号化接続は、クライアント装置と第2サーバ装置との間の新しい暗号化接続に置き換えられている。1つの実施形態では、クライアント装置は、異なるサーバと暗号化接続を共有していることに気付いていない。これに加えて、或いは代替として、1つ又はそれ以上のクライアント証明書又はサーバ証明書が暗号化セッションハンドシェークメッセージ内に含まれるか、或いはこれが備えられている場合、これらの証明書は、互いのアイデンティティを認証するためにクライアント及びサーバによって使用することができ、従って、TMDがクライアントとサーバとの間に挿入されていない場合に存在するはずの信頼関係を維持する。
1つの実施形態では、上述のTMDは、サーバ側TMDであり、サーバ側TMDは、クライアント側TMDと共に使用して、1つ又はそれ以上のクライアント装置と1つ又はそれ以上のサーバ装置との間で送信されたデータを拡張又は他の方法で修正することができる。1つの実施形態では、クライアント側TMDは、クライアント装置とサーバ装置との間に直接配置されず、最適化が困難になる可能性がある。この実施形態では、クライアント側TMDは、ボーダー・ゲートウェイ・プロトコル(BGP)を利用して、インターネットルータにクライアント側TMDを介してサーバ装置にアドレス指定されたトラフィックをルーティングさせることができる。このようにして、クライアント側TMDは、クライアント装置とサーバ装置との間に挿入することが可能になり、これによってクライアント装置とサーバ装置との間で転送されたデータを拡張又は他の方法で修正することができる。
1つの実施形態では、TMDは、HTTP要求のタイプ、時刻、アクセスポリシー情報、又は他の基準に基づいて、複数のサーバ装置間の暗号化接続のサーバ側エンドポイントを切り換えることによって、クライアント装置と複数のサーバ装置との間の1つ又はそれ以上の暗号化接続をプロキシすることができる。1つの実施形態では、TMDは、クライアント装置に地理的に近接して位置付けることができ、別の実施形態では、TMDをサーバ装置に地理的に近接して位置付けることができる。これに加えて、或いは代替として、TMDは、同様に、HTTP要求のタイプ、時刻、アクセスポリシー情報、又は他の基準に基づいて、サーバ装置と複数のクライアント装置との間の接続をプロキシすることができる。
例示的な動作環境
図1は、記載の実施形態を実施できる例示的な環境100の構成要素を示す。記載の実施形態を実施するために必ずしも構成要素の全てが必要である訳ではなく、記載の実施形態の技術的思想又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。図1は、クライアント装置102〜104、クライアント側トラフィック管理装置(TMD)106、支店107、ネットワーク108、サーバ側トラフィック管理装置110、終端間暗号化セッション(A)、ネットワーク108を介したセキュアトンネル(B)、秘密鍵111(l)〜111(n)、サーバ装置112〜114、認証サーバ装置115、秘密データ116、サードパーティコンテンツプロバイダ118、及び本部120を示す。サーバ装置112〜114(サーバ装置113は図示せず)及び認証サーバ装置115は、本明細書では総称してサーバ装置112〜115と呼ばれる。
図1は、記載の実施形態を実施できる例示的な環境100の構成要素を示す。記載の実施形態を実施するために必ずしも構成要素の全てが必要である訳ではなく、記載の実施形態の技術的思想又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。図1は、クライアント装置102〜104、クライアント側トラフィック管理装置(TMD)106、支店107、ネットワーク108、サーバ側トラフィック管理装置110、終端間暗号化セッション(A)、ネットワーク108を介したセキュアトンネル(B)、秘密鍵111(l)〜111(n)、サーバ装置112〜114、認証サーバ装置115、秘密データ116、サードパーティコンテンツプロバイダ118、及び本部120を示す。サーバ装置112〜114(サーバ装置113は図示せず)及び認証サーバ装置115は、本明細書では総称してサーバ装置112〜115と呼ばれる。
一般に、クライアント装置102〜104は、別のコンピュータ装置に接続し情報を受信することができる何らかのコンピュータ装置を事実上含むことができる。クライアント装置102〜104は支店107内に位置付けることができるが、クライアント装置102〜104は、代替として、支店107の外部に位置付けてもよい。このような装置は、パーソナルコンピュータ、マルチプロセッサシステム、マイクロプロセッサベース又はプログラム可能な民生用電子機器、ネットワーク装置、及び同様のものを含むことができる。クライアント装置102〜104はまた、セルラー電話、スマートフォン、ディスプレイページャ、無線周波数(RF)装置、赤外線(IR)装置、携帯情報端末(PDA)、ハンドヘルドコンピュータ、ウェアラブルコンピュータ、タブレットコンピュータ、前述の装置の1つ又はそれ以上を組み合わせた統合装置、及び同様のものを含むことができる。従って、クライアント装置102〜104は、機能及び特徴の観点で広範囲に及ぶことができる。
クライアント装置102〜104は、種々の動作を管理するよう構成された1つ又はそれ以上のクライアントアプリケーションを更に含むことができる。その上、クライアント装置102〜104はまた、ネットワーク108を通じてエンドユーザが他の装置及びアプリケーションと対話できるようにするよう構成されたウェブブラウザアプリケーションを含むことができる。
ネットワーク108は、クライアント装置102〜104、TMD106及び110、サーバ装置112〜114、認証サーバ装置115、及びサードパーティコンテンツプロバイダ118などのネットワーク対応装置を他のネットワーク対応装置に結合するよう構成されている。1つの実施形態では、クライアント装置102は、クライアント側TMD106、ネットワーク108、及びサーバ側TMD110を介して、サーバ装置112と通信することができる。これに加えて、或いは代替として、クライアント装置102、クライアント側TMD106、サーバ側TMD110、及びサーバ装置112は全てネットワーク108に直接接続することができる。1つの実施形態では、ネットワーク108は、クライアント装置102〜104とサーバ装置112〜115との間の終端間暗号化セッション(A)などの暗号化セッションを可能にすることができる。
ネットワーク108は、1つの電子装置から別の電子装置に情報を伝送するためのコンピュータ可読媒体の何らかの形式を利用することができる。1つの実施形態では、ネットワーク108は、インターネットを含むことができ、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、ユニバーサルシリアルバス(USB)ポートなどを介した直接接続、コンピュータ可読媒体の他の形式、或いはこれらの何らかの組合せを含むことができる。種々のアーキテクチャ及びプロトコルに基づくものを含む、LANの相互接続されたセットにおいては、ルータが、一方から他方にメッセージを送信することを可能にするために、LAN間のリンクとして動作することができる。また、LAN内の通信リンクは、通常、光ファイバ、ツイストペア線、又は同軸ケーブルを含み、ネットワーク間の通信リンクは、アナログ電話回線、T1、T2、T3、及びT4を含む全又は部分専用デジタル回線、総合デジタル通信網(ISDN)、デジタル加入者回線(DSL)、衛星リンクを含む無線リンク、或いは当業者に公知の他の通信リンクを利用することができる。
ネットワーク108は更に、限定ではないが、セルラーシステム用の第2世代(2G)、第3世代(3G)、第4世代(4G)無線アクセス、無線LAN、無線ルータ(WR)メッシュ、及び同様のものを含む、複数の無線アクセス技術を利用することができる。2G、3G、4G、及び将来のアクセスネットワークなどのアクセス技術は、様々な程度の移動性を備えたクライアント装置102〜104などのネットワーク装置、或いは同様のものに対する広範囲のサービスエリアを可能にすることができる。例えば、ネットワーク108は、移動体通信用グローバルシステム(GSM)、汎用パケット無線サービス(GPRS)、拡張データGSM環境(EDGE)、広帯域符号分割多元接続(WCDMA)、及び同様のものなどの無線ネットワークアクセスを介した無線接続を可能にすることができる。
更に、リモートコンピュータ及び他の関連の電子装置は、モデム及び一時電話リンク、DSLモデム、ケーブルモデム、光ファイバモデム、802.11(Wi−Fi)受信機、及び同様のものを介してLAN又はWANの何れかに遠隔で接続することができる。本質的に、ネットワーク108は、1つのネットワーク装置と別のネットワーク装置との間で情報を移動させることができる何らかの通信方法を含む。
ネットワーク108を介したセキュアトンネル(B)は、ネットワーク装置間で情報を伝送するための何らかのトンネルを含む。典型的には、セキュアトンネル(B)は暗号化されている。本明細書で使用される「トンネル」又は「トンネル化接続」は、開放型システム間相互接続(OSI)ネットワークスタックの同じレイヤ又は下位レイヤのプロトコルでネットワークパケット又はフレームのカプセル化を提供するネットワーク機構である。1つのネットワークシステムからパケット又はフレームを取り出して、これを別のネットワークシステムからのフレームの内部に入れる(例えば、カプセル化する)ためにトンネリングを利用することができる。トンネリングプロトコルの実施例は、限定ではないが、IPトンネリング、レイヤ2トンネリングプロトコル(L2TP)、レイヤ2転送(L2F)、VPN、IPセキュリティ(IPSec)、ポイント・ツー・ポイントトンネリングプロトコル(PPTP)、GRE、MBone、及びSSL/TLSを含む。図示のように、セキュアトンネル(B)は、ネットワーク108を介したクライアント側TMD106とサーバ側TMD110との間のセキュア接続のために作成される。
クライアント側TMD106又はサーバ側TMD110として使用できるネットワーク装置の1つの実施形態を図2を参照して以下で更に詳細に説明する。しかしながら、簡潔にすれば、クライアント側TMD106及びサーバ側TMD110は各々、ネットワークトラフィックを管理する何らかのネットワーク装置を事実上含む。このような装置は、例えば、ルータ、プロキシ、ファイアウォール、ロードバランサ、キャッシュ装置、アプリケーション加速器、ネットワークアドレス変換を実行する装置、前述の装置の何らかの組合せ、又は同様のものを含む。このような装置は、ハードウェア単独で、或いはハードウェア及びソフトウェアで実施することができる。例えば、このような装置は、1つ又はそれ以上のマイクロプロセッサに結合された幾つかの特定用途向け集積回路(ASIC)を含むことができる。ASICは、高速スイッチファブリックを提供するのに使用することができ、マイクロプロセッサは、パケットのより高いレイヤの処理を実行することができる。
1つの実施形態では、サーバ側TMD110は通常、本部120内に位置付けられ、このため、物理的に保護され中央アドミニストレータの直接管理の下にあると考えられる。従って、サーバ側TMD110はまた、信頼されるTMDとしても認識することができる。サーバ側TMD110は、例えば、サーバ装置112〜115などのサーバ装置のアレイに配信され又はそこから転送されるデータパケットの流れを制御することができる。1つの実施形態では、サーバ側TMD110とサーバ装置112〜115との間で送信されたメッセージは、クライアント装置102〜104の1つとサーバ装置112〜115の1つとの間に形成された終端間暗号化セッション(A)などのセキュアチャネルの一部とすることができる。別の実施形態では、サーバ側TMD110が、サーバ装置の代わりに暗号化接続を終了することができ、IPSecなどの暗号化の別のタイプを利用して、サーバ装置にパケットを配信し、又はサーバ装置からパケットを転送することができる。代替として、サーバ側TMD110がサーバ装置の代わりに暗号化接続を終了すると、サーバ装置へのパケットの配信又はサーバ装置からのパケットの転送は、暗号化なしで(或いは「平文で」)実行することができる。
1つの実施形態では、クライアント側TMD106は通常、支店107に常駐し、物理的に中央アドミニストレータの制御の外側にあり、従って、物理的改竄の影響を受けやすい可能性がある。従って、クライアント側TMD106は、信頼されないTMDとして認識することができる。1つの実施形態では、クライアント側TMD106は、発信元から宛先にデータを転送することができる。例えば、クライアント側TMD106は、クライアント装置102〜104の1つとサーバ装置112〜115の1つとの間で1つ又はそれ以上の暗号化セッションハンドシェークメッセージを転送することができる。代替として、クライアント側TMDは、本部120に常駐することができる。代替として、クライアント側TMDは、単一の装置内にサーバ側TMDと共に含めることができ、単一の装置が、TMDを介してデータを送信する装置のタイプ及び位置に基づいて、クライアント側TMDとサーバ側TMDの両方のサービスを提供できるようにする。これに加えて、或いは代替として、TMDは、単一の接続に対してクライアント側TMDとサーバ側TMDの両方として動作することができる。例えば、TMDは、別のオフィスにあるサーバ側TMDに要求をルーティングすることによって、クライアント側TMDとして動作することができる。しかしながら、サーバ側TMDは、「クライアント側」TMDに地理的に近接して位置付けられたサーバ装置に要求を再ルーティングすることができる。この場合、「クライアント側」TMDは、クライアント装置をローカルサーバ装置に接続することになる。クライアント装置をローカルサーバ装置に接続すると、「クライアント側」TMDとして開始したTMDは、「サーバ側」TMDの役割を実行することができる。
以下に更に詳細に説明されるように、クライアント側TMD106は、通常はサーバ側TMD110から秘密データ116を受信することができ、これによりクライアント装置102〜104の1つとサーバ装置112〜115の1つの間で送信された暗号化接続メッセージに対して種々の付加的な動作を実行できるようになる。例えば、クライアント側TMD106は、暗号化接続メッセージ内のデータの読み取り、傍受、増補、削除、切り取り、圧縮、遅延、拡張、置き換え、或いは修正を行うことができる。
1つの実施形態では、サーバ装置の秘密鍵111は、本部120、連邦情報処理規格(FIPS)境界、又は同様のものの内部で一元管理することができる。サーバ側TMD110は、様々な機構を介して秘密鍵111又は同様のものへのアクセスを可能にすることができる。
サーバ装置112〜115は、別のネットワーク装置にパケットを伝送することができる何らかのコンピュータ装置を含むことができる。各パケットは、1つの情報を運ぶことができる。パケットは、例えば、接続を設定するため、或いはデータの受け入れに確認応答するためのハンドシェーキングのために送信することができる。パケットは、要求、応答、又は同様のものなどの情報を含むことができる。一般的に、サーバ装置112〜115によって受信されたパケットは、TCP/IPに従ってフォーマット化されるが、これらはまた、SCTP、X.25、NetBEUI、IPX/SPX、トークンリング、同様のIPv4/6プロトコル、及び同様のものなどの別のプロトコルを使用してフォーマット化することもできる。更に、パケットは、HTTP、HTTPS、及び同様のものを利用して、サーバ装置112〜115、サーバ側TMD110、及びクライアント装置102〜104の1つの間で伝送することができる。
1つの実施形態では、サーバ装置112〜115は、ウェブサイトサーバとして動作するよう構成されている。しかしながら、サーバ装置112〜115は、ウェブサーバ装置に限定されず、メッセージングサーバ、ファイル転送プロトコル(FTP)サーバ、データベースサーバ、コンテンツサーバ、及び同様のものを動作させることができる。更に、サーバ装置112〜115の各々は、異なる動作を実行するよう構成することができる。従って、例えば、サーバ装置112をメッセージングサーバとして構成することができ、サーバ装置114は、データベースサーバとして構成される。その上、サーバ装置112〜115は、ウェブサイト以外のものとして動作することができ、HTTP通信を受信できるようにもすることができる。
サーバ装置112〜115として動作することができる装置は、パーソナルコンピュータ、デスクトップコンピュータ、マルチプロセッサシステム、マイクロプロセッサベース又はプログラム可能民生用電子機器、ネットワークPC、サーバ装置、及び同様のものを含む。
上述のように、秘密データ116は通常、プレマスターシークレット及び/又はマスターシークレットを含む。1つの実施形態では、クライアント装置及びサーバ装置は、セッション鍵(マスター鍵としても知られる)を生成するのに使用されるそれぞれのHELLO(ハロー)メッセージにおけるノンス(一度だけ使用される数字)を交換することができる。これに加えて、或いは代替として、秘密データ116は、クライアント装置によって生成されてサーバ装置の公開鍵を使用してクライアント装置によってデジタルで暗号化された別のノンス(HELLO(ハロー)メッセージに含まれるノンスとは別個のもの)を含むことができる。1つの実施形態では、秘密データ116は、セッション鍵を生成するために、クライアント装置、サーバ側TMD110、及びサーバ装置の1つ又はそれ以上によって利用される。
サードパーティコンテンツプロバイダ118を用いて、サーバ側TMD110又はクライアント側TMD106によって暗号化接続に挿入されるコンテンツ(例えば、広告)を提供するために任意選択的に使用することができる。しかしながら、サードパーティコンテンツは、これに限定されず、アフィリエイトされたビジネスパートナー、企業IT部門、及び同様のものによって提供されるコンテンツを付加的に含むことができる。
クライアント及びサーバなどの用語は、装置内の機能を示すことができる点に更に留意されたい。このようにして、事実上、いずれの装置もクライアント又はサーバとして動作するか、或いはクライアント及びサーバ機能の両方を含むように構成することができる。更に、2つ又はそれ以上のピアが利用される場合、これらの何れか1つは、クライアント又はサーバとして指定することができ、本発明の教示に適合するよう構成することができる。
(例示的なネットワーク装置環境)
図2は、本発明の1つの実施形態による、ネットワーク装置の1つの実施形態を示す。ネットワーク装置200は、図示されるものよりも多い又は少ない構成要素を含むことができる。しかしながら、図示される構成要素は、本発明を実施するための例示的な実施形態を開示するのに十分である。ネットワーク装置200は、例えば、図1のサーバ側TMD110及び/又はクライアント側TMD106を表すことができる。
図2は、本発明の1つの実施形態による、ネットワーク装置の1つの実施形態を示す。ネットワーク装置200は、図示されるものよりも多い又は少ない構成要素を含むことができる。しかしながら、図示される構成要素は、本発明を実施するための例示的な実施形態を開示するのに十分である。ネットワーク装置200は、例えば、図1のサーバ側TMD110及び/又はクライアント側TMD106を表すことができる。
ネットワーク装置200は、全てがバス222を介して互いに通信する、処理ユニット212、ビデオディスプレイアダプタ214、及び大容量メモリを含む。大容量メモリは、一般に、RAM216、ROM232、並びにハードディスクドライブ228、テープドライブ、CD−ROM/DVD−ROMドライブ226、及び/又はフロッピーディスクドライブなどの1つ又はそれ以上の永続大容量記憶装置を含む。大容量メモリは、ネットワーク装置200の動作を制御するためのオペレーティングシステム220を記憶する。ネットワーク装置200はまた、暗号化セッションマネージャ252、ボーダー・ゲートウェイ・プロトコル(BGP)モジュール256、及び他のアプリケーション258を含む。
図2に示されるように、ネットワーク装置200はまた、TCP/IPプロトコルを含む種々の通信プロトコルと共に使用するよう構成されているネットワークインターフェイスユニット210を介してインターネット又は他の何らかの通信ネットワークと通信することができる。ネットワークインターフェイスユニット210は、場合によっては、送受信機、送受信装置、或いはネットワークインターフェイスカード(NIC)として知られている。
上述の大容量メモリは、コンピュータ可読媒体の別のタイプ、すなわちコンピュータ記憶媒体を示す。コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、又は他のデータなどの情報の記憶のための何らかの方法又は技術で実装された、揮発性媒体、不揮発性媒体、取り外し可能媒体、及び取り外し不能媒体を含むことができる。コンピュータ記憶媒体の実施例は、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、デジタル多機能ディスク(DVD)又は他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置又は他の磁気記憶装置、或いは所望の情報を記憶するのに使用でき且つコンピュータ装置によってアクセス可能な何らかの他の媒体を含む。
大容量メモリはまた、プログラムコード及びデータを記憶する。1つ又はそれ以上のアプリケーション258が大容量メモリにロードされ、オペレーティングシステム200上で実行される。アプリケーションプログラムの実施例は、電子メールプログラム、ルーティングプログラム、スケジューラ、カレンダー、データベースプログラム、文書処理プログラム、HTTPプログラム、トラフィック管理プログラム、セキュリティプログラムなどを含むことができる。
ネットワーク装置200は、TLS、TTLS、EAP、SSL、IPSec、及び同様のものを含む、事実上あらゆるセキュア接続をサポートするアプリケーションを更に含むことができる。このようなアプリケーションは、例えば、暗号化セッションマネージャ252及びBGPプロトコルモジュール256を含むことができる。
1つの実施形態では、暗号化セッションマネージャ252は、暗号化セッションハンドシェークの管理、鍵、証明書、認証、許可、又は同様のものの管理を含む、暗号化セッション処理を実行することができる。その上、暗号化セッションマネージャ252は、1つの実施形態では、暗号化セッション及び/又は接続を設定する、暗号化セッション及び/又は接続を終了する、暗号化セッション及び/又は接続の介入者としてそれ自体を設定する、或いは同様のことを行うことができる。更に、暗号化セッションマネージャ252は、1つの実施形態では、暗号化セッションのサーバエンドポイントを別のサーバエンドポイントに置き換える目的のために、暗号化接続再ネゴシエーションを開始することができる。
加えて、ネットワーク装置200は、VPN、PPP、L2TPなどの多種多様なトンネリング機構をサポートするアプリケーションを含むことができる。
ネットワーク装置200はまた、図2に示されていないマウス、キーボード、スキャナ、又は他の入力装置などの外部装置と通信するための入力/出力インターフェイス224を含むことができる。同様に、ネットワーク装置200は、CD−ROM/DVD−ROMドライブ226及びハードディスクドライブ228などの付加的な大容量記憶機器を更に含むことができる。ハードディスクドライブ228は、とりわけ、アプリケーションプログラム、データベース、証明書、公開及び秘密鍵、秘密データ、及び同様のものを記憶するのに利用することができる。
1つの実施形態では、ネットワーク装置200は、バス222に結合された少なくとも1つの特定用途向け集積回路(ASIC)チップ(図示せず)を含む。ASICチップは、ネットワーク装置200の動作の一部を実行する論理回路を含むことができる。例えば、1つの実施形態では、ASICチップは、着信及び/又は発信パケットのための幾つかのパケット処理機能を実行することができる。1つの実施形態では、ASICチップは、暗号化セッションマネージャ252及び/又はBGPモジュール256の動作を可能にするための論理回路の少なくとも一部分を実行することができる。
1つの実施形態では、ネットワーク装置200は更に、ASICチップの代わりに、或いはこれに加えて、1つ又はそれ以上のフィールドプログラマブルゲートアレイ(FPGA)(図示せず)を含むことができる。ネットワーク装置の幾つかの機能は、ASICチップ、FPGAによって、メモリ内に記憶された命令を備えたCPU212によって、或いはASICチップ、FPGA、及びCPUの何らかの組合せによって実行することができる。
1つの実施形態では、クライアント装置102などの一部のクライアント装置は、LAN又は他の直接接続を介してクライアント側TMD106に接続することはできない。例えば、クライアント装置102は、クライアント側TMDを有する支店に位置付けられない可能性がある。これに加えて、或いは代替として、クライアント装置102は移動デバイスであってもよい。クライアント装置がクライアント側TMDに直接接続されないときには、クライアント装置は、暗号化セッションを設定するか、或いはデータを傍受及び処理するためにクライアント側TMDなしでサーバ112〜115の1つにデータを送信することができる。しかしながら、多くの場合、クライアント側TMDがこのような通信を傍受及び拡張することが有利である。
このような目的で、ボーダー・ゲートウェイ・プロトコル(BGP)モジュール256は、1つの実施形態では、1つ又はそれ以上のクライアント装置から発信されたネットワークトラフィックをクライアント側TMD106を介してルーティング可能にすることができる。1つの実施形態では、BGPモジュール256は、クライアント側TMD106がサーバ装置112〜115にアドレス指定されたデータに対する最適ルートを知っていることを示すBGPプロトコルメッセージをインターネット上のルータに一斉送信することによってこのルーティングを保証する。この結果、BGPプロトコルメッセージを受信したルータは通常、クライアント側TMD106を介してサーバ装置112〜115の1つにアドレス指定されたネットワークトラフィックをルーティングすることになる。この結果、クライアント側TMDに直接接続されていないクライアント装置は、クライアント側TMD106を介してルーティングされる暗号化セッションを含むサーバ装置112〜115への接続を有することができる。このようにして、クライアント側TMD106は、例えば、データを圧縮する、加速する、或いは修正するなどの、ネットワークの効率を向上させる種々の動作を実行することができる。
(例示的なサーバ装置環境)
図3は、本発明の1つの実施形態による、サーバ装置の1つの実施形態を示す。サーバ装置300は、図示されるものよりも多い構成要素を含むことができる。しかしながら、図示される構成要素は、本発明を実施するための例示的な実施形態を開示するのに十分である。サーバ装置300は、例えば、図1のサーバ112〜114及び認証サーバ115を表すことができる。
図3は、本発明の1つの実施形態による、サーバ装置の1つの実施形態を示す。サーバ装置300は、図示されるものよりも多い構成要素を含むことができる。しかしながら、図示される構成要素は、本発明を実施するための例示的な実施形態を開示するのに十分である。サーバ装置300は、例えば、図1のサーバ112〜114及び認証サーバ115を表すことができる。
サーバ装置300は、全てがバス322を介して互いに通信する、処理ユニット312、ビデオディスプレイアダプタ314、及び大容量メモリを含む。大容量メモリは、一般に、RAM316、ROM332、及びハードディスクドライブ328、テープドライブ、CD−ROM/DVD−ROMドライブ326、及び/又はフロッピーディスクドライブなどの1つ又はそれ以上の永続大容量記憶装置を含む。大容量メモリは、サーバ装置300の動作を制御するためのオペレーティングシステム320を記憶する。あらゆる汎用オペレーティングシステムも利用することができる。また、サーバ装置300の低レベル動作を制御するために基本入力/出力システム(「BIOS」)318も提供される。図3に示されるように、サーバ装置300はまた、TCP/IPプロトコルを含む種々の通信プロトコルと共に使用するよう構成されているネットワークインターフェイスユニット310を介して、インターネット又は他の何らかの通信ネットワークと通信することができる。ネットワークインターフェイスユニット310は、場合によっては、送受信機、送受信装置、或いはネットワークインターフェイスカード(NIC)として知られている。
上述の大容量メモリは、コンピュータ可読媒体の別のタイプ、すなわちコンピュータ記憶媒体を示す。コンピュータ可読記憶媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、或いは他のデータなどの情報の記憶のための何らかの方法又は技術で実装された、揮発性媒体、不揮発性媒体、取り外し可能媒体、及び取り外し不可媒体を含むことができる。コンピュータ可読記憶媒体の実施例は、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、デジタル多機能ディスク(DVD)又は他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置又は他の磁気記憶装置、或いは所望の情報を記憶するのに使用でき且つコンピュータ装置によってアクセス可能な何らかの他の物理媒体を含む。
1つ又はそれ以上のアプリケーション350が大容量メモリにロードされ、オペレーティングシステム320上で実行することができる。アプリケーションプログラムの実施例は、トランスコーダ、スケジューラ、カレンダー、データベースプログラム、文書処理プログラム、HTTPプログラム、カスタマイズ可能なユーザインターフェイスプログラム、IPSecアプリケーション、暗号化プログラム、セキュリティプログラム、VPNプログラム、ウェブサーバ、アカウント管理などを含むことができる。アプリケーション350は、暗号化セッションモジュール360を含むことができる。暗号化セッションモジュール360は、上述のネットワーク装置の何れかを含む他のネットワーク装置との暗号化セッション及び/又は接続を設定することができる。1つの実施形態では、暗号化セッションモジュール360は、図1のTMD110又はTMD106と協働して機能することができる。これに加えて、或いは代替として、暗号化セッションモジュール360は、いずれのTMDにも関係なく他のネットワーク装置と通信することができる。
アプリケーション350はまた、メッセージを含むコンテンツを別のコンピュータ装置にネットワークを通じて提供するよう構成されている多種多様なウェブサービスを含むことができる。これらのウェブサービスは、例えば、ウェブサーバ、メッセージングサーバ、ファイル転送プロトコル(FTP)サーバ、データベースサーバ、コンテンツサーバ、又は同様のものを含む。これらのウェブサービスは、限定ではないが、WAP、HDML、WML、SMGL、HTML、XML、cHTML、xHTML、又は同様のものを含む多種多様なフォーマットの何れかを使用して、ネットワークを通じてメッセージを含むコンテンツを提供することができる。
(一般化動作)
特定の態様の動作を、図4−8に関して説明する。図4−7は、特定の態様を例示する論理フロー図を示し、図8は、信号フロー図を示す。図4は、終端間暗号化接続におけるエンドポイントを置き換える処理の1つの実施形態を全体的に図示した論理フロー図を示す。1つの実施形態では、処理400はサーバ側TMD110によって実行することができる。
特定の態様の動作を、図4−8に関して説明する。図4−7は、特定の態様を例示する論理フロー図を示し、図8は、信号フロー図を示す。図4は、終端間暗号化接続におけるエンドポイントを置き換える処理の1つの実施形態を全体的に図示した論理フロー図を示す。1つの実施形態では、処理400はサーバ側TMD110によって実行することができる。
処理400は、クライアント装置と第1サーバ装置との間に配置されたサーバ側TMDによって開始ブロックの後のブロック402で始まる。1つの実施形態では、サーバ側TMDが、クライアント装置と第1サーバ装置との間の終端間暗号化セッションに関連付けられるセッション鍵を決定する。セッション鍵の決定は、図5に関して以下で更に詳細に説明する。
ブロック404において、サーバ側TMDが、終端間暗号化セッションに関連付けられた終端間接続におけるエンドポイントとして第1サーバ装置を置き換える基準を検出する。1つの実施形態では、この検出基準は、クライアント装置によって要求されるデータのタイプを検出する段階を含むことができる。これに加えて、或いは代替として、基準は、定期的なスケジュール、サーバ装置のシステムアップグレード、アドミニストレータによる要求、又は同様のものを含むことができる。
ブロック406において、サーバ側TMDは、暗号化接続におけるエンドポイントして第1サーバ装置を第2サーバ装置に置き換える。1つの実施形態では、サーバ側TMDは、暗号化接続の再ネゴシエーションを利用して、エンドポイントとして第2サーバ装置を設定する。サーバ装置と第2サーバ装置の置き換えは、図6に関して以下で更に詳細に説明する。
ブロック408において、サーバ側TMDは、暗号化接続を通じて送信されたデータの読み取り、傍受、遅延、増補、削除、切り取り、圧縮、拡張、加速、置き換え、或いは修正を行うことができる。1つの実施形態では、サーバ側TMDは、暗号化接続を通じて送信されたデータを更に拡張するために、クライアント側TMDと連動して動作することができる。暗号化接続を通じて送信されたデータの拡張は、図7に関して以下で更に詳細に説明する。次に処理は復帰ブロックで終了する。
図5は、終端間暗号化セッションに関連付けられるセッション鍵を生成するための処理の1つの実施形態を全体的に図示した論理フロー図を示す。1つの実施形態では、処理500は、サーバ側TMD110によって実行することができる。
処理500は、開始ブロックの後、第1サーバ装置に関連付けられる秘密鍵を受信することによってブロック502で始まる。1つの実施形態では、第1サーバ装置は、図1に示されるサーバ装置112〜115の1つを含むことができる。1つの実施形態では、第1サーバ装置の秘密鍵は、システムアドミニストレータによって提供することができる。これに加えて、或いは代替として、秘密鍵は、ローカルドメインコントローラ、LDAPサーバ、又は第2ネットワーク装置自体によって提供することができる。
ブロック504において、暗号化セッションに関連付けられるハンドシェークメッセージの第1セットが傍受される。1つの実施形態では、暗号化セッションの作成は、クライアント装置102〜104の1つなどのクライアント装置によって開始することができる。1つの実施形態では、ハンドシェークメッセージの第1セットは、第1サーバ装置に向けてクライアント装置によって送信された「CLIENT HELLO(クライアント ハロー)」メッセージを含む。傍受及び記憶された後、「CLIENT HELLO(クライアント ハロー)」メッセージは、第1サーバに転送することができる。1つの実施形態では、「CLIENT HELLO(クライアント ハロー)」メッセージなどの傍受されたハンドシェークメッセージを記憶することによって、サーバ側TMDは、対応する暗号化セッションの寿命全体を通じて常に本明細書で説明される動作を実行することができる。
「CLIENT HELLO(クライアント ハロー)」に応答して、第1サーバ装置は、「SEVER HELLO(サーバ ハロー)」メッセージ、クライアント装置が第1サーバ装置を識別できるようにする「SERVER CERTIFICATE(サーバ 証明書)」メッセージ、第1サーバ装置の公開鍵を含む「SERVER KEY EXCHANGE(サーバ 鍵 交換)」メッセージ、サーバ装置がクライアント装置を識別できるようにする証明書をクライアントに送信するよう要求する「CERTIFICATE REQUEST(証明書 要求)」メッセージ、及び「SERVER HELLO DONE(サーバ ハロー 実行)」メッセージを送信することができ、これらのメッセージの全ては、傍受されてハンドシェークメッセージの第1セットに記憶され、クライアント装置に転送することができる。
「SERVER HELLO DONE(サーバ ハロー 実行)」メッセージに応答して、クライアント装置は、1つの実施形態において、クライアント装置によって生成され且つ第1サーバ装置の公開鍵で暗号化された乱数(例えば、ノンス)を含む、「CLIENT KEY EXCHANGE(クライアント 鍵 交換)」メッセージを送信することができる。1つの実施形態では、「CLIENT KEY EXCHANGE(クライアント 鍵 交換)」メッセージは、傍受され、ハンドシェークメッセージの第1セットに記憶され、第1サーバ装置に転送することができる。これに加えて、或いは代替として、ハンドシェークメッセージの第1セットは、暗号化セッションを設定したままクライアント装置と第1サーバ装置との間で交換されるあらゆる付加的なメッセージを含むことができ、例えばサーバ装置がクライアント装置を識別できるようにするクライアント装置の証明書を含む「CERTIFICATE(証明書)」メッセージを含む。1つの実施形態では、ハンドシェークメッセージのこの交換の完了時に、クライアント装置及び第1サーバ装置は、終端間暗号化セッションを設定している。
次に、処理はブロック506に進み、ここで、秘密データがハンドシェークメッセージの傍受された第1セットから抽出される。1つの実施形態では、第1サーバ装置の受信された秘密鍵を用いて、クライアント装置によって生成され第1サーバ装置の公開鍵で暗号化された乱数を含む「CLIENT KEY EXCHANGE(クライアント 鍵 交換)」のペイロードを解読することによって秘密データを抽出することができる。これに加えて、或いは代替として、サーバ側TMDが「プレマスターシークレット」を抽出する。
次に、処理はブロック508に進み、ここで1つの実施形態において、解読された乱数がクライアント装置と第1サーバ装置との間で交換された1つ又はそれ以上の他の乱数と組み合わせて使用され、セッション鍵を生成する。1つの実施形態では、セッション鍵は「マスターシークレット」であってもよい。1つの実施形態では、セッション鍵は、暗号化セッションハンドシェークの間に交換された1つ又はそれ以上の他の乱数と組み合わされ、接続鍵を生成する。接続鍵を使用して、暗号化接続を通じて送信されたデータを暗号化及び解読することができる。
1つの実施形態において、クライアント装置及び第1サーバ装置はまた、交換されたハンドシェークメッセージに基づいてセッション鍵を別々に計算する。1つの実施形態では、クライアント装置及び第1サーバ装置はまた、接続鍵を別々に計算する。幾つかの実施形態では、サーバ側TMDは、傍受されたハンドシェークメッセージにおける情報に基づいてセッション鍵を計算することができる。或いは、セッション鍵を別々に計算する代わりに、サーバ側TMDが、第1サーバ、クライアント、別のネットワーク装置、或いはシステムアドミニストレータの1つからセッション鍵及び/又は接続鍵を受信することができる。
接続鍵が生成又は取得される方法に関わらず、接続鍵は、クライアント装置と第1サーバ装置との間に送信された暗号化データを解読できるようにする。1つの実施形態では、サーバ側TMDは、接続鍵を使用してデータを解読することができ、次いで、解読されたデータを増補、削除、拡張、或いは修正することができる。1つの実施形態では、サーバ側TMDは、接続鍵を使用して修正されたデータを再暗号化し、修正されたデータをクライアント装置及び第1サーバ装置の一方に送信することができる。次に処理は、復帰ブロックで終了する。
図6は、終端間暗号化接続におけるエンドポイントを第2サーバ装置に置き換えるための処理の1つの実施形態を全体的に図示する論理フロー図を示す。1つの実施形態では、処理600は、サーバ側TMD110によって実施することができる。
処理600は、開始ブロックの後、ブロック602で開始し、ここで1つの実施形態では、サーバ側TMDが再ネゴシエーション要求を終端間暗号化接続を通じてクライアント装置に送信する。1つの実施形態では、サーバ側TMDが、クライアント装置又は第1サーバ装置の何れかによって送信されたHTTPヘッダを抽出したこと、及びHTTPヘッダが第2サーバ装置に位置付けられたコンテンツに対する要求を含むことを判定したことに応答して、再ネゴシエーション要求メッセージを送信する。サーバ側TMD110は、ネットワークトラフィック、ネットワークトポロジー、サーバ装置の容量、要求されるコンテンツ、及び他のトラフィック配信機構のホストに基づいて、特定のサーバ装置に資源に対する要求を送ることができる。また、サーバ側TMD110は、同じ通信、フロー、及び/又はストリームの一部であるパケットを認識することができ、同じサーバ装置にこれらを送るなど、このようなパケットに対する特別な処理を実行することができる。
1つの実施形態では、サーバ側TMDが、「SSL HELLO REQUEST(SSL ハロー 要求)」を発信して終端間暗号化接続を通じてクライアント装置に送信することによって、再ネゴシエーションを要求又は開始する。1つの実施形態では、サーバ側TMDは、終端間暗号化接続のエンドポイントとして第1サーバ装置を1つ又はそれ以上の第2サーバ装置に置き換えるために、暗号化接続再ネゴシエーションを利用する。上述のように、クライアント(又はサーバ)装置は、1つの実施形態では、異なるサーバ(又はクライアント)装置がエンドポイントになったことを認識していない可能性がある。このように、サーバ側TMDの機能は、クライアント(又はサーバ)装置に対して透明であるようにすることができる。
次に、処理はブロック604に進み、ここでサーバ側TMDが、「SSL HELLO REQUEST(SSL ハロー 要求)」に応答して送信されたハンドシェークメッセージの第2セットを傍受する。1つの実施形態では、ハンドシェークメッセージの第2セットは、接続鍵を使用して暗号化され、終端間暗号化接続を通じてクライアント装置によって送信される。1つの実施形態では、ハンドシェークメッセージの第2セットが第1サーバ装置にアドレス指定される。
次に処理はブロック606に進み、ここでサーバ側TMDが接続鍵を使用してハンドシェークメッセージの第2セットを解読する。
次に処理はブロック608に進み、ここでサーバ側TMDが、解読されたハンドシェークメッセージの第2セットを第2サーバ装置にリダイレクトし、これによって第2サーバ装置を終端間暗号化接続におけるエンドポイントにすることができる。1つの実施形態では、ハンドシェークメッセージの第2セットを第2サーバ装置に送ることによって、終端間暗号化接続を通じてクライアント装置によって行われた要求は、サーバ側TMDによって1つよりも多いサーバ装置に再配信することができる。1つの実施形態では、サーバ側TMDと第1サーバ装置との間で設定されていた既存の接続が、サーバ側TMDによって正常に終了される。代替として、サーバ側TMDと第1サーバ装置との間の既存の接続は、将来の使用のためにキャッシュ、プール、又はその他の方法で維持することができる。
これに加えて、或いは代替として、エンドポイントとして第2サーバ装置を設定する代わりに、サーバ側TMDは、暗号化接続のエンドポイントになるために暗号化接続再ネゴシエーションを利用することができる。この実施形態では、サーバ側TMDが、暗号化接続加速器として動作することができ、すなわち、クライアント装置から暗号化コンテンツを受信し、受信されたコンテンツを解読し、解読されたコンテンツを処理のためにサーバ装置に転送し、更にサーバ装置の応答を暗号化する。このような事例では、TMDは、平文で第1サーバ装置と通信するか、或いは第1サーバ装置と別の接続を設定することができる。別の実施形態では、サーバ側TMDは、キャッシュされたデータ又は生成されたデータなどの別のサーバからのコンテンツを転送するのではなく、暗号化コンテンツ自体を生成することができる。別の実施形態では、クライアント側TMDは、同様に暗号化接続再ネゴシエーションを利用して、暗号化接続のエンドポイントになり、暗号化接続加速器として動作し、キャッシュされたデータなどのコンテンツを生成することができる。これに加えて、或いは代替として、サーバ側TMDは、クライアント装置と第1サーバ装置との間の次の再ネゴシエーションを無視することができ、これによって、サーバ側TMDは、終端間暗号化接続を通じて送信されたコンテンツの解読及び修正を中止する。代わりに、サーバ側TMDは、何らかの他のネットワーク接続のように再ネゴシエーションされた暗号化接続を通じて送信されたデータを第1サーバ装置にルーティングすることができる。同様に、他の実施形態では、クライアント側TMDはまた、暗号化接続再ネゴシエーションを利用して、暗号化接続から「外れた」次の再ネゴシエーションを無視することができる。
これに加えて、或いは代替として、サーバ側TMDは、クライアント装置への暗号化接続及びサーバ装置への別の暗号化接続を終了することができる。サーバ側TMDは、この暗号化接続のペアをクライアント装置とサーバ装置との間の単一の終端間暗号化接続に変換することができる。1つの実施形態では、サーバ側TMDは、暗号化接続再ネゴシエーションと、クライアント装置とサーバ装置との間で転送されるハンドシェークメッセージとを利用することによってこのような変換を実行することができる。このような実施形態では、次にTMDは、終端間暗号化接続を通じて送信されたデータに対して本明細書で説明される動作の何れかを実行することができる。
次に、処理はブロック610に進み、ここで第2サーバ装置の秘密鍵がサーバ側TMDによって受信される。これに加えて、或いは代替として、サーバ側TMDは、再ネゴシエーション要求を送信する前に第2サーバ装置の秘密鍵を受信することができる。1つの実施形態では、サーバ側TMDが、第1サーバ装置の秘密鍵の受信に関して上述の方式の何れかで第2サーバ装置の秘密鍵を受信する。
次に、処理はブロック612に進み、ここで第2サーバ装置の秘密鍵を用いて、ハンドシェークメッセージの第2セットから秘密データを抽出する。1つの実施形態では、サーバ側TMDが、ブロック506に関して上述したように、ハンドシェークメッセージの第1セットからの秘密データの抽出に類似した方式でハンドシェークメッセージの第2セットから秘密データを抽出する。
次に、処理はブロック614に進み、ここでサーバ側TMDが、ハンドシェークメッセージの第2セットから抽出された秘密データに少なくとも基づいて、第2セッション鍵を生成する。1つの実施形態では、第2セッション鍵は、ブロック508に関して上述したように、第1セッション鍵の生成に類似した方式で生成される。1つの実施形態では、生成された第2セッション鍵は、接続鍵の第2セットを作成するのに利用され、クライアント装置と第2サーバ装置との間の終端間暗号化接続を定義する。
次に、処理はブロック616に進み、ここで再ネゴシエーションされた終端間暗号化セッションの終端間暗号化接続を通じて送信されたメッセージが傍受され、サーバ側TMDによって処理される。1つの実施形態では、第2ネットワーク装置が現在は再ネゴシエーションされた終端間暗号化セッションの他のエンドポイントであることにクライアント装置が気付いていない可能性があるので、傍受されたメッセージは、クライアント装置によって送信され、第1サーバ装置にアドレス指定される。これに加えて、或いは代替として、第2サーバ装置は、サーバ側TMDによって傍受及び処理されたメッセージを送信することができる。いずれの場合においても、サーバ側TMDは、任意選択的にクライアント側TMD及び/又はサードパーティコンテンツプロバイダ118と共に付加的な処理を実行し、傍受されたメッセージの増補、削除、切り取り、拡張、遅延、加速、又は修正を行うことができる。例えば、第2サーバ装置とクライアント装置との間で送信されるデータに埋め込むことができる広告又は他のコンテンツをサードパーティコンテンツプロバイダ118によって提供することができる。
次に、処理はブロック618に進み、ここで、サーバ側TMDが、クライアント装置によって送信され且つ第1サーバ装置にアドレス指定されたメッセージを傍受する実施形態では、サーバ側TMDが、傍受されたメッセージを第2サーバ装置にリダイレクトする。次いで、処理は復帰ブロックで終了する。
1つの実施形態では、図6に示された処理によって、既存の終端間暗号化接続が新しいサーバ装置にハンドオフできるようになり、クライアント装置の観点からサーバのアイデンティティは変化しない。1つの実施形態では、再ネゴシエーションは、既存の暗号化セッショントンネル内で発生する。
図7は、暗号化接続を通じてクライアント側TMDとサーバ側TMDとの間で送信されたデータを拡張するための処理の1つの実施形態を全体的に図示する論理フロー図を示す。1つの実施形態では、処理700は、サーバ側TMD110によって実行することができる。
処理700は、開始ブロックの後のブロック702で始まり、ここでサーバ側TMD110が、接続鍵の第2セットをクライアント側TMD106に送信する。1つの実施形態では、接続鍵の第2セットは、終端間暗号化セッションを通じて送信することができる。代替として、接続鍵の第2セットは、セキュアトンネル(B)などの別々の暗号化セッション/接続を通じて送信することができる。
次に、処理はブロック704に進み、ここで、クライアント側TMD106は、1つの実施形態では、終端間暗号化接続を通じてクライアント装置から送信された暗号化データを傍受する。1つの実施形態では、第2サーバ装置が現在は終端間暗号化接続のエンドポイントであることにクライアント装置が気付いていないときには、通常は、クライアント装置によって送信された暗号化データを第1サーバ装置にアドレス指定することができる。これに加えて、或いは代替として、第2サーバ装置701が現在は終端間暗号化接続のエンドポイントであることにクライアント装置が気付いているときには、クライアント装置によって送信された暗号化データは、第2サーバ装置701にアドレス指定することができる。
次に、処理はブロック706に進み、ここで、クライアント側TMD106は、1つの実施形態において、接続鍵の受信された第2セットを使用して傍受されたデータを解読する。
次に、処理はブロック708に進み、ここで、クライアント側TMD106は、1つの実施形態において、解読されたデータを処理する。1つの実施形態では、解読されたデータは、増補、削除、圧縮、加速、又は修正を行うことができる。
次に、処理はブロック710に進み、ここで、クライアント側TMD106は、1つの実施形態において、接続鍵の第2セットを使用して処理されたデータを再暗号化し、再暗号化された処理済みデータを第2サーバ装置701に向けて送信する。この実施形態では、処理はブロック712に進む。
これに加えて、或いは代替として、クライアント側TMD106は、クライアント装置と第2サーバ装置701との間でデータを送信するために、サーバ側TMD110と連動して明示的に動作することができる。この場合、クライアント側TMD106は、ネットワーク108を介したセキュアトンネル(B)などの別々のトンネルを使用して、処理されたデータをサーバ側TMD110に送信することができる。この実施形態では、セキュアトンネル(B)は、終端間暗号化接続とは別に及びこれから離れて暗号化接続を利用することができる。換言すると、クライアント側TMD106は、接続鍵の別のセットを使用してサーバ側TMD110と通信し、処理されたデータを暗号化するか、或いは全く別のタイプの暗号化を実行することができる。セキュアトンネル(B)を介して送信されたデータを受信すると、サーバ側TMD110は通常、解読を行って解読されたデータに更なる処理を実行する。例えば、クライアント側TMD106が送信時間を短縮するために処理されたデータを圧縮する場合、サーバ側TMD110は通常、データを解凍し、本開示全体を通して説明されるように任意選択的に付加的な処理を実行する。次に、処理はブロック714に進む。
1つの実施形態では、クライアント側TMD106及びサーバ側TMD110は、暗号化の2つのレベル、すなわちクライアント装置と第2サーバ装置701との間に設定された終端間暗号化接続に使用される暗号化と、付加的にセキュアトンネル(B)によって使用される暗号化とを利用することができる。この実施形態は、インターネットなどのパブリックネットワークを通じて送信されるデータに対する2つのセキュリティのレイヤを提供し、送信されたデータのセキュリティを拡張する。
次に、処理はブロック712に進み、ここで、サーバ側TMD110はクライアント側TMD106によって送信された処理済みデータを傍受する。1つの実施形態では、サーバ側TMD110は、接続鍵の第2セットを使用して傍受されたデータを解読する。
1つの実施形態では、サーバ側TMD110は、傍受され解読されたデータに対して更なる処理を実行する。1つの実施形態では、サーバ側TMD110は、傍受されて解読されたデータを増補、削除、解凍、又は修正を行う。
次に、処理はブロック714に進み、ここで、サーバ側TMD110は、接続鍵の第2セットを使用して更なる処理済みデータを暗号化し、再暗号化されたデータを第2サーバ装置701に送信する。1つの実施形態では、データが傍受、解読、修正、再暗号化、転送、又は同様のことが行われたかどうかに関わらず、終端間暗号化接続(例えば、図1に示されるセキュアセッション(A)に含まれる接続)は、クライアント装置及び第2サーバ装置701の観点から損なわれないままである。
次に、処理はブロック716に進み、ここで、第2サーバ装置701は、サーバ側TMD110によって送信されたデータを受信し、解読し、更に処理する。次に、処理は復帰ブロックで終了する。
図8は、図4〜6の処理の1つの実施形態を全体的に図示する信号フロー図を示す。
処理800は、ブロック504に関して上述したように、「CLIENT HELLO(クライアント ハロー)」ハンドシェークメッセージを送信するクライアント装置によって802で始まる。処理は804に進み、ここで、サーバ側TMD110が、ブロック504に関して上述したように、ハンドシェークメッセージを傍受し転送する。処理は806に進み、ここで、第1サーバが、ブロック504に関して上述したように、とりわけ「CLIENT HELLO(クライアント ハロー)」ハンドシェークメッセージを受信する。
処理は808及び812に進み、ここで、ブロック504に関して上述したように、他のハンドシェークメッセージがクライアント装置と第1サーバ装置との間で交換される。
処理は810に進み、ここで、クライアント装置によって生成され且つ第1サーバ装置の公開鍵でクライアント装置によって暗号化された乱数などの秘密データが、ブロック508に関して上述したように、第1サーバ装置の秘密鍵を使用してサーバ側TMD110によって他のハンドシェークメッセージから抽出される。
処理は、任意選択的に813に進み、ここで、810で生成された秘密データなどの秘密データが、クライアント側TMD106によって受信される。1つの実施形態では、この秘密データを用いて、接続鍵を生成することができる。これに加えて、或いは代替として、接続鍵は、クライアント側TMD106によって受信することができる。1つの実施形態では、秘密データ又は接続鍵の何れかをサーバ側TMD110によってクライアント側TMD106に送信することができる。クライアント側TMD106が接続鍵を受信又は生成すると、クライアント側TMD106は、接続を通じて送信されたときに暗号化データを傍受及び拡張することができる。
処理は814に進み、ここで、ブロック602に関して上述したように、再ネゴシエーション要求がサーバ側TMD110によってクライアント装置に送信される。
処理は816及び820に進み、ここで、再ネゴシエーション要求の受信に応答して、ブロック412に関して上述したように、クライアント装置がハンドシェークメッセージの第2セットの交換を開始する。
処理は618に進み、ここで、ブロック604及び606に関して上述したように、サーバ側TMD110が、ハンドシェークメッセージの第2セットを傍受し、解読し、第2サーバに向けてリダイレクトする。
処理は822に進み、ここで、図7に関して上述したように、サーバ側TMD110が接続鍵の第2セットをクライアント側TMD106に送信する。
処理は824及び826に進み、ここで、要求された再ネゴシエーションの結果としてクライアント装置と第1サーバ装置との間に最初に設定されていた終端間接続が変更されることにより、暗号化接続が、クライアント装置と第2サーバ装置との間に再設定される。
(ボーダー・ゲートウェイ・プロトコル(BGP)一斉送信に基づくルーティングのための例示的な動作環境)
図9は、ボーダー・ゲートウェイ・プロトコル(BGP)を利用して、クライアント側トラフィック管理装置910を介してクライアント装置902、904、及び906からトラフィックを送ることができる例示的な環境900の構成要素を示す。1つの実施形態では、クライアント装置902、904、及び906は、遠隔領域901に地理的に位置付けられ、クライアント装置902、904、及び906は通常、クライアント側TMDを介してインターネットに接続されていない。その結果、クライアント装置902、904、及び906は通常、ネットワーク920を介して本部903と直接通信するルータ912、914、及び916をそれぞれ介してデータを送信する。この接続は、ルータ912とネットワーク920間の破線で示されている。
図9は、ボーダー・ゲートウェイ・プロトコル(BGP)を利用して、クライアント側トラフィック管理装置910を介してクライアント装置902、904、及び906からトラフィックを送ることができる例示的な環境900の構成要素を示す。1つの実施形態では、クライアント装置902、904、及び906は、遠隔領域901に地理的に位置付けられ、クライアント装置902、904、及び906は通常、クライアント側TMDを介してインターネットに接続されていない。その結果、クライアント装置902、904、及び906は通常、ネットワーク920を介して本部903と直接通信するルータ912、914、及び916をそれぞれ介してデータを送信する。この接続は、ルータ912とネットワーク920間の破線で示されている。
しかしながら、クライアント側TMD910などの単一のクライアント側トラフィック管理装置を介して、クライアント装置902、904、及び906の1つ又は全てからのトラフィックを送ることが望ましい場合が多い。例えば、遠隔領域901における全ての支店に対してクライアント側TMDを配備することは費用効率が高くないが、遠隔領域901において一部の又は全ての支店に対して単一のクライアント側TMDを配備することは費用効率が高いとすることができる。幾つかの実施形態では、クライアント側TMD910は、本部903から遠隔にある図9に示されるような遠隔TMDと考えることができる。
1つの実施形態では、クライアント側TMD910は、BGPプロトコルを使用してメッセージを一斉送信するよう構成することができる。1つの実施形態では、クライアント側TMD910は、本部903への最適ルートを知っていることを示すBGPプロトコルメッセージを一斉送信することができる。このため、このBGPメッセージがルータ912、914、及び916に伝播した後、これらのルータは、クライアント装置902、904、及び906による要求をネットワーク908を介してクライアント側TMD910にルーティングする。クライアント側TMD910によって受信されると、クライアント装置とサーバ装置との間の通信を図7に関して上述したように最適化することができる。
図面及びフローチャート様式の例図におけるステップの組合せは、コンピュータプログラム命令によって実施できることは理解されるであろう。これらのプログラム命令は、機械を製造するためにプロセッサに提供することができ、これによって、プロセッサで実行される命令が、フローチャートの1つ又は複数のブロックで指定された動作を実施するための手段を作成するようになる。コンピュータプログラム命令は、プロセッサによって実行されて、プロセッサによって実行される一連の動作ステップがコンピュータ実行処理を作成するようにし、これによってプロセッサ上で実行される命令が、フローチャートの1つ又は複数のブロックで指定される動作を実行するステップを提供するようにすることができる。これらのプログラム命令は、コンピュータ可読記憶媒体などのコンピュータ可読媒体又は機械可読媒体に記憶することができる。
従って、本例示は、指定の動作を実行する手段の組み合わせ、指定動作を実行するステップの組み合わせ、及び指定動作を実行するためのプログラム命令手段をサポートする。フローチャートによる例示の個々のブロック、及びフローチャートによる例示内のブロックの組み合わせは、指定動作又はステップを実行する特殊用途向けハードウェアベースのシステム、又は特殊用途向けハードウェア及びコンピュータ命令の組み合わせなどのモジュールにより実施できる点も理解されるであろう。
上記の明細書、実施例、及びデータは、製造物を完全に説明し、記載の実施形態の構成の使用を提供するものである。本説明の思想及び範囲から逸脱することなく多くの実施形態が可能であるので、これらの実施形態は以下に添付する特許請求の範囲に属する。
100 記載の実施形態を実施することができる例示的な環境の構成要素
102 クライアント装置
103 クライアント装置
104 クライアント装置
106 クライアント側トラフィック管理装置
107 支店
108 ネットワーク
110 サーバ側トラフィック管理装置
111 サーバ装置秘密鍵
112 サーバ装置
114 サーバ装置
115 認証サーバ装置
116 秘密データ
118 サードパーティコンテンツプロバイダ
120 本部
102 クライアント装置
103 クライアント装置
104 クライアント装置
106 クライアント側トラフィック管理装置
107 支店
108 ネットワーク
110 サーバ側トラフィック管理装置
111 サーバ装置秘密鍵
112 サーバ装置
114 サーバ装置
115 認証サーバ装置
116 秘密データ
118 サードパーティコンテンツプロバイダ
120 本部
Claims (20)
- クライアント装置と複数のサーバ装置との間に配置されるトラフィック管理装置であって、
ネットワークを通じてデータを送信及び受信する送受信機と、
以下の動作を実行するよう作動するプロセッサと、
を備え、前記動作が、
前記クライアント装置と前記複数のサーバ装置の第1サーバ装置との間に設定された終端間暗号化セッションに関連付けられるセッション鍵を取得する段階と、
前記終端間暗号化セッションの終端間暗号化接続を通じて前記クライアント装置に再ネゴシエーション要求を送信して、前記終端間暗号化接続の再ネゴシエーションを要求する段階と、
前記終端間暗号化接続を通じて前記クライアント装置によって送信されたハンドシェークメッセージの第2セットを傍受する段階と、
を含み、前記ハンドシェークメッセージの第2セットは、前記第1サーバ装置にアドレス指定されており、前記ハンドシェークメッセージの第2セットは、前記再ネゴシエーション要求に応答して送信され、
前記動作が更に、
前記セッション鍵に基づいて生成された1つ又はそれ以上の接続鍵を使用して、前記ハンドシェークメッセージの傍受された第2セットを解読する段階と、
前記ハンドシェークメッセージの解読された第2セットを前記複数のサーバ装置の選択された第2サーバ装置にリダイレクトし、これによって前記選択された第2サーバ装置が、前記終端間暗号化接続におけるエンドポイントとして前記第1サーバ装置に置き換えられるようにする段階と、
を含む、トラフィック管理装置。 - 前記セッション鍵を取得する段階が、
前記選択された第2サーバ装置に関連付けられる秘密鍵を受信する段階と、
前記選択された第2サーバ装置に関連付けられる前記秘密鍵を使用して前記ハンドシェークメッセージの第2セットから前記暗号化セッションに関連付けられる秘密データを抽出する段階と、
前記ハンドシェークメッセージの第2セットから抽出された前記秘密データに部分的に基づいて、前記暗号化セッションに関連付けられる第2セッション鍵を生成する段階と、
を更に含む、請求項1に記載のトラフィック管理装置。 - 前記動作が、
前記クライアント装置によって前記終端間暗号化接続を通じて送信され且つ前記第1サーバ装置にアドレス指定されているメッセージを傍受する段階と、
前記傍受されたメッセージを前記選択された第2サーバ装置にリダイレクトする段階と、
を更に含む、請求項1に記載のトラフィック管理装置。 - 前記動作が、
前記クライアント装置によって前記終端間暗号化接続を通じて送信され且つ前記第1サーバ装置にアドレス指定されているメッセージを傍受する段階と、
前記第2セッション鍵に基づいて生成された1つ又はそれ以上の接続鍵を使用して、前記傍受されたメッセージ内のペイロードを解読する段階と、
前記解読されたペイロードを修正する段階と、
前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵を使用して前記修正されたペイロードを暗号化する段階と、
前記暗号化修正済みペイロードを前記終端間暗号化接続を通じて前記選択された第2サーバ装置に提供する段階と、
を更に含む、請求項1に記載のトラフィック管理装置。 - 前記第2サーバが、
前記セッション鍵から生成された前記1つ又はそれ以上の接続鍵を使用して、傍受されたアプリケーションプロトコルレイヤメッセージからヘッダを抽出する段階と、
前記ヘッダにおいて要求された前記コンテンツが前記第2サーバ装置に位置付けられることを決定する段階と、
によって決定された基準に基づいて選択される、請求項1に記載のトラフィック管理装置。 - 前記トラフィック管理装置が前記選択された第2サーバ装置に近接させてローカルに設置されたサーバ側トラフィック管理装置を含み、前記選択された第2サーバ装置から遠隔にクライアント側トラフィック管理装置が設置され且つ前記クライアント装置と前記サーバ側トラフィック管理装置との間に配置され、これによって前記終端間暗号化接続が、前記クライアント側トラフィック管理装置を介して通るようになり、
前記クライアント側トラフィック管理装置が、
前記サーバ側トラフィック管理装置から前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵を受信する段階と、
前記終端間暗号化接続を通じて前記クライアント装置から前記第1サーバ装置に送信された暗号化データを傍受する段階と、
前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵によって前記暗号化データを解読する段階と、
前記解読されたデータを修正する段階と、
前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵によって前記修正されたデータを再暗号化する段階と、
前記再暗号化された修正済みデータを前記第1サーバ装置に向けて送信する段階と、
を含む動作を実行し、前記サーバ側トラフィック管理装置は、前記修正済みデータを傍受し解読し、前記修正済みデータを前記選択された第2サーバ装置にリダイレクトする、請求項1に記載のトラフィック管理装置。 - 前記終端間暗号化セッションが設定されたときに、前記クライアント側トラフィック管理装置が、ボーダー・ゲートウェイ・プロトコル(BGP)を使用して前記クライアント装置と前記第1サーバ装置の間に前記クライアント側トラフィック管理装置自体を挿入する、請求項6に記載のトラフィック管理装置。
- 複数のサーバ装置と、
前記複数のサーバ装置に近接させてローカルに設置され、前記複数のサーバ装置と通信するトラフィック管理装置と、
を備えるシステムであって、前記トラフィック管理装置が、ネットワークを通じてクライアント装置と通信し、前記トラフィック管理装置が、
前記クライアント装置と前記複数のサーバ装置の第1サーバ装置との間に設定された終端間暗号化セッションに関連付けられるセッション鍵を取得する段階と、
前記終端間暗号化セッションの終端間暗号化接続を通じて前記クライアント装置に再ネゴシエーション要求を送信して、前記終端間暗号化接続の再ネゴシエーションを要求する段階と、
前記終端間暗号化接続を通じて前記クライアント装置によって送信されたハンドシェークメッセージの第2セットを傍受する段階と、
を含み、前記ハンドシェークメッセージの第2セットは、前記第1サーバ装置にアドレス指定されており、前記ハンドシェークメッセージの第2セットは、前記再ネゴシエーション要求に応答して送信され、
前記動作が更に、
前記セッション鍵に基づいて生成された1つ又はそれ以上の接続鍵を使用して、前記ハンドシェークメッセージの傍受された第2セットを解読する段階と、
前記ハンドシェークメッセージの解読された第2セットを前記複数のサーバ装置の選択された第2サーバ装置にリダイレクトし、これによって前記選択された第2サーバ装置が、前記終端間暗号化接続におけるエンドポイントとして前記第1サーバ装置に置き換えられるようにする段階と、
を含む動作を実行するよう構成されている、システム。 - 前記動作が、
前記選択された第2サーバ装置に関連付けられる秘密鍵を受信する段階と、
前記選択された第2サーバ装置に関連付けられる前記秘密鍵を使用して前記ハンドシェークメッセージの第2セットから前記暗号化セッションに関連付けられる秘密データを抽出する段階と、
前記ハンドシェークメッセージの第2セットから抽出された前記秘密データに部分的に基づいて、前記暗号化セッションに関連付けられる第2セッション鍵を生成する段階と、
を更に含む、請求項8に記載のシステム。 - セッション鍵を取得する段階が、
前記クライアント装置によって前記終端間暗号化接続を通じて送信され且つ前記第1サーバ装置にアドレス指定されているメッセージを傍受する段階と、
前記傍受されたメッセージを前記選択された第2サーバ装置にリダイレクトする段階と、
を更に含む、請求項9に記載のシステム。 - 前記動作が、
前記クライアント装置によって前記終端間暗号化接続を通じて送信され且つ前記第1サーバ装置にアドレス指定されているメッセージを傍受する段階と、
前記第2セッション鍵に基づいて生成された1つ又はそれ以上の接続鍵を使用して、前記傍受されたメッセージ内のペイロードを解読する段階と、
前記解読されたペイロードを修正する段階と、
前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵を使用して前記修正されたペイロードを暗号化する段階と、
前記暗号化修正済みペイロードを前記終端間暗号化接続を通じて前記選択された第2サーバ装置に提供する段階と、
を更に含む、請求項9に記載のシステム。 - 前記第2サーバが、
前記セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵を使用して、傍受されたアプリケーションレイヤプロトコルメッセージからヘッダを抽出する段階と、
前記ヘッダにおいて要求された前記コンテンツが前記第2サーバ装置に位置付けられることを決定する段階と、
によって決定された基準に基づいて選択される、請求項8に記載のシステム。 - 前記トラフィック管理装置が前記選択された第2サーバ装置に近接させてローカルに設置され、前記選択された第2サーバ装置から遠隔にクライアント側トラフィック管理装置が設置され且つ前記クライアント装置と前記トラフィック管理装置との間に配置され、これによって前記終端間暗号化接続が、前記クライアント側トラフィック管理装置を介して通るようになり、前記クライアント側トラフィック管理装置が、
前記トラフィック管理装置から前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵を受信する段階と、
前記終端間暗号化接続を通じて前記クライアント装置から前記選択された第2サーバ装置に送信された暗号化データを傍受する段階と、
前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵によって前記暗号化データを解読する段階と、
前記解読されたデータを増補する段階と、
前記第2セッション鍵によって前記修正されたデータを再暗号化する段階と、
前記再暗号化された修正済みデータを前記第1サーバ装置に向けて送信する段階と、
含む動作を実行し、前記トラフィック管理装置は、前記修正済みデータを傍受し解読し、前記修正済みデータを前記選択された第2サーバ装置にリダイレクトする、請求項8に記載のシステム。 - 前記終端間暗号化セッションが設定されたときに、前記クライアント側トラフィック管理装置が、ボーダー・ゲートウェイ・プロトコル(BGP)を使用して前記クライアント装置と前記第1サーバ装置の間に前記クライアント側トラフィック管理装置自体を挿入する、請求項13に記載のシステム。
- 前記ハンドシェークメッセージが、前記サーバ装置に関連付けられる公開鍵によって暗号化された前記クライアント装置によって生成される乱数を少なくとも含む、請求項8に記載のシステム。
- 前記トラフィック管理装置は、
前記クライアント装置から前記選択された第2サーバ装置にアドレス指定されているコンテンツ要求を受信する段階と、
前記コンテンツ要求を前記選択された第2サーバ装置に送信することなく前記コンテンツ要求に応答する段階と、
を含む動作を更に実行する、請求項8に記載のシステム。 - プロセッサ可読命令を記憶するプロセッサ可読記憶媒体であって、前記プロセッサ可読命令は、プロセッサによって実行されたときに、
前記クライアント装置と前記複数のサーバ装置の第1サーバ装置との間に設定された終端間暗号化セッションに関連付けられるセッション鍵を取得する段階と、
前記終端間暗号化セッションの終端間暗号化接続を通じて前記クライアント装置に再ネゴシエーション要求を送信して、前記終端間暗号化接続の再ネゴシエーションを要求する段階と、
前記終端間暗号化接続を通じて前記クライアント装置によって送信されたハンドシェークメッセージの第2セットを傍受する段階と、
を含み、前記ハンドシェークメッセージの第2セットは、前記第1サーバ装置にアドレス指定されており、前記ハンドシェークメッセージの第2セットは、前記再ネゴシエーション要求に応答して送信され、
前記動作が更に、
前記セッション鍵に基づいて生成された1つ又はそれ以上の接続鍵を使用して、前記ハンドシェークメッセージの傍受された第2セットを解読する段階と、
前記ハンドシェークメッセージの解読された第2セットを前記複数のサーバ装置の選択された第2サーバ装置にリダイレクトし、これによって前記選択された第2サーバ装置が、前記終端間暗号化接続におけるエンドポイントとして前記第1サーバ装置に置き換えられるようにする段階と、
を含む動作を実行する、プロセッサ可読記憶媒体。 - 前記セッション鍵を取得する段階が、
前記選択された第2サーバ装置に関連付けられる秘密鍵を受信する段階と、
前記選択された第2サーバ装置に関連付けられる前記秘密鍵を使用して前記ハンドシェークメッセージの第2セットから前記暗号化セッションに関連付けられる秘密データを抽出する段階と、
前記ハンドシェークメッセージの第2セットから抽出された前記秘密データに部分的に基づいて、前記暗号化セッションに関連付けられる第2セッション鍵を生成する段階と、
を更に含む、請求項17に記載のプロセッサ可読記憶媒体。 - 前記プロセッサが前記選択された第2サーバ装置に近接させてローカルに設置され、前記選択された第2サーバ装置から遠隔にクライアント側トラフィック管理装置が設置され且つ前記クライアント装置と前記プロセッサとの間に配置され、これによって前記終端間暗号化接続が、前記クライアント側トラフィック管理装置を介して通るようになり、前記クライアント側トラフィック管理装置が、
前記プロセッサから前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵を受信する段階と、
前記終端間暗号化接続を通じて前記クライアント装置から前記第1サーバ装置に送信された暗号化データを傍受する段階と、
前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵によって前記暗号化データを解読する段階と、
前記解読されたデータを修正する段階と、
前記修正されたデータを前記第2セッション鍵に基づいて生成された前記1つ又はそれ以上の接続鍵によって再暗号化する段階と、
前記再暗号化された修正済みデータを前記第1サーバ装置に向けて送信する段階と、
を含む動作を実行し、前記プロセッサは、前記修正されたデータを傍受し解読し、前記修正されたデータを前記選択された第2サーバ装置にリダイレクトする、請求項17に記載のプロセッサ可読記憶媒体。 - 前記終端間暗号化セッションが設定されたときに、前記クライアント側トラフィック管理装置が、ボーダー・ゲートウェイ・プロトコル(BGP)を使用して前記クライアント装置と前記第1サーバ装置の間に前記クライアント側トラフィック管理装置自体を挿入する、請求項17に記載のプロセッサ可読記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US31585710P | 2010-03-19 | 2010-03-19 | |
| US61/315,857 | 2010-03-19 | ||
| PCT/US2011/029079 WO2011116342A2 (en) | 2010-03-19 | 2011-03-18 | Proxy ssl handoff via mid-stream renegotiation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013523050A true JP2013523050A (ja) | 2013-06-13 |
| JP5744172B2 JP5744172B2 (ja) | 2015-07-01 |
Family
ID=44603286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013501341A Expired - Fee Related JP5744172B2 (ja) | 2010-03-19 | 2011-03-18 | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ |
Country Status (6)
| Country | Link |
|---|---|
| US (10) | US8700892B2 (ja) |
| EP (1) | EP2548332A4 (ja) |
| JP (1) | JP5744172B2 (ja) |
| CN (2) | CN202206418U (ja) |
| HK (1) | HK1161787A1 (ja) |
| WO (1) | WO2011116342A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015056601A1 (ja) * | 2013-10-16 | 2015-04-23 | 日本電信電話株式会社 | 鍵装置、鍵クラウドシステム、復号方法、およびプログラム |
Families Citing this family (231)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8166547B2 (en) | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
| US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| US8510560B1 (en) | 2008-08-20 | 2013-08-13 | Marvell International Ltd. | Efficient key establishment for wireless networks |
| WO2010033497A1 (en) | 2008-09-18 | 2010-03-25 | Marvell World Trade Ltd. | Preloading applications onto memory at least partially during boot up |
| US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US20120030475A1 (en) * | 2010-08-02 | 2012-02-02 | Ma Felix Kuo-We | Machine-machine authentication method and human-machine authentication method for cloud computing |
| FR2966669B1 (fr) * | 2010-10-21 | 2013-07-05 | Ipanema Technologies | Procede d'optimisation du transfert de flux de donnees securises via un reseau autonomique |
| US9544770B2 (en) * | 2010-12-01 | 2017-01-10 | Microsoft Technology Licensing, Llc | User authentication in a mobile environment |
| US9998545B2 (en) * | 2011-04-02 | 2018-06-12 | Open Invention Network, Llc | System and method for improved handshake protocol |
| US8743885B2 (en) | 2011-05-03 | 2014-06-03 | Cisco Technology, Inc. | Mobile service routing in a network environment |
| US8694782B2 (en) | 2011-05-04 | 2014-04-08 | Marvell World Trade Ltd. | Wireless authentication using beacon messages |
| EP2716011A1 (en) * | 2011-06-01 | 2014-04-09 | Interdigital Patent Holdings, Inc. | Content delivery network interconnection (cdni) mechanism |
| US9049025B1 (en) * | 2011-06-20 | 2015-06-02 | Cellco Partnership | Method of decrypting encrypted information for unsecure phone |
| CN102868665B (zh) * | 2011-07-05 | 2016-07-27 | 华为软件技术有限公司 | 数据传输的方法及装置 |
| US8914635B2 (en) * | 2011-07-25 | 2014-12-16 | Grey Heron Technologies, Llc | Method and system for establishing secure communications using composite key cryptography |
| US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| US11444936B2 (en) | 2011-07-29 | 2022-09-13 | Amazon Technologies, Inc. | Managing security credentials |
| US10362019B2 (en) | 2011-07-29 | 2019-07-23 | Amazon Technologies, Inc. | Managing security credentials |
| US8856910B1 (en) * | 2011-08-31 | 2014-10-07 | Palo Alto Networks, Inc. | Detecting encrypted tunneling traffic |
| US9264432B1 (en) | 2011-09-22 | 2016-02-16 | F5 Networks, Inc. | Automatic proxy device configuration |
| US9294452B1 (en) * | 2011-12-09 | 2016-03-22 | Rightquestion, Llc | Authentication translation |
| US11475105B2 (en) | 2011-12-09 | 2022-10-18 | Rightquestion, Llc | Authentication translation |
| CN104170312B (zh) * | 2011-12-15 | 2018-05-22 | 英特尔公司 | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 |
| US9497171B2 (en) | 2011-12-15 | 2016-11-15 | Intel Corporation | Method, device, and system for securely sharing media content from a source device |
| US9531691B2 (en) * | 2011-12-16 | 2016-12-27 | Akamai Technologies, Inc. | Providing forward secrecy in a terminating TLS connection proxy |
| US9647835B2 (en) * | 2011-12-16 | 2017-05-09 | Akamai Technologies, Inc. | Terminating SSL connections without locally-accessible private keys |
| WO2013103897A1 (en) * | 2012-01-05 | 2013-07-11 | Adept Cloud, Inc. | System and method for decentralized online data transfer and synchronization |
| US8914629B2 (en) | 2012-01-30 | 2014-12-16 | The Nielsen Company (Us), Llc | Intercepting encrypted network traffic for internet usage monitoring |
| US8863250B2 (en) | 2012-02-01 | 2014-10-14 | Amazon Technologies, Inc. | Logout from multiple network sites |
| GB2512807B (en) * | 2012-02-21 | 2014-11-19 | Ibm | Network node with network-attached stateless security offload device |
| US9167006B1 (en) | 2012-02-21 | 2015-10-20 | F5 Networks, Inc. | Connection bucketing in mirroring asymmetric clustered multiprocessor systems |
| US9059853B1 (en) * | 2012-02-22 | 2015-06-16 | Rockwell Collins, Inc. | System and method for preventing a computing device from obtaining unauthorized access to a secure network or trusted computing environment |
| US9537899B2 (en) * | 2012-02-29 | 2017-01-03 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
| US8898314B2 (en) * | 2012-03-21 | 2014-11-25 | Verizon Patent And Licensing Inc. | Direct communication between applications in a cloud computing environment |
| WO2013147911A1 (en) | 2012-03-31 | 2013-10-03 | Intel Corporation | Secure communication using physical proximity |
| US9348927B2 (en) | 2012-05-07 | 2016-05-24 | Smart Security Systems Llc | Systems and methods for detecting, identifying and categorizing intermediate nodes |
| JP5295408B1 (ja) * | 2012-05-13 | 2013-09-18 | 淳也 榎本 | セキュア通信方法、被操作装置及び操作プログラム |
| US8843738B2 (en) * | 2012-05-14 | 2014-09-23 | Sierra Wireless, Inc. | TLS abbreviated session identifier protocol |
| US10778659B2 (en) | 2012-05-24 | 2020-09-15 | Smart Security Systems Llc | System and method for protecting communications |
| US9325676B2 (en) | 2012-05-24 | 2016-04-26 | Ip Ghoster, Inc. | Systems and methods for protecting communications between nodes |
| US9344405B1 (en) * | 2012-06-15 | 2016-05-17 | Massachusetts Institute Of Technology | Optimized transport layer security |
| US8862882B2 (en) * | 2012-06-29 | 2014-10-14 | Intel Corporation | Systems and methods for authenticating devices by adding secure features to Wi-Fi tags |
| ES2628613T3 (es) * | 2012-09-17 | 2017-08-03 | Huawei Technologies Co., Ltd. | Método y dispositivo de protección contra ataques |
| US20150304292A1 (en) | 2012-10-24 | 2015-10-22 | Cyber-Ark Software Ltd. | A system and method for secure proxy-based authentication |
| US9680813B2 (en) * | 2012-10-24 | 2017-06-13 | Cyber-Ark Software Ltd. | User provisioning |
| KR20140052703A (ko) * | 2012-10-25 | 2014-05-07 | 삼성전자주식회사 | 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치 |
| US9277017B2 (en) | 2012-10-30 | 2016-03-01 | Netiq Corporation | Techniques for device independent session migration |
| US9219762B2 (en) * | 2012-10-30 | 2015-12-22 | Netiq Corporation | Techniques for desktop migration |
| WO2014071564A1 (en) * | 2012-11-07 | 2014-05-15 | Nokia Corporation | Proxy connection method and apparatus |
| US8856515B2 (en) | 2012-11-08 | 2014-10-07 | Intel Corporation | Implementation of robust and secure content protection in a system-on-a-chip apparatus |
| CN103250382B (zh) * | 2012-12-28 | 2017-04-26 | 华为技术有限公司 | 分流方法、设备和系统 |
| US9575768B1 (en) | 2013-01-08 | 2017-02-21 | Marvell International Ltd. | Loading boot code from multiple memories |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US9026783B2 (en) * | 2013-03-07 | 2015-05-05 | Google Inc. | Low latency server-side redirection of UDP-based transport protocols traversing a client-side NAT firewall |
| US8782774B1 (en) | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9516102B2 (en) | 2013-03-07 | 2016-12-06 | F5 Networks, Inc. | Server to client reverse persistence |
| US9043593B2 (en) * | 2013-03-11 | 2015-05-26 | International Business Machines Corporation | Session attribute propagation through secure database server tiers |
| US9794379B2 (en) | 2013-04-26 | 2017-10-17 | Cisco Technology, Inc. | High-efficiency service chaining with agentless service nodes |
| US9137218B2 (en) * | 2013-05-03 | 2015-09-15 | Akamai Technologies, Inc. | Splicing into an active TLS session without a certificate or private key |
| US9736801B1 (en) | 2013-05-20 | 2017-08-15 | Marvell International Ltd. | Methods and apparatus for synchronizing devices in a wireless data communication system |
| US9521635B1 (en) | 2013-05-21 | 2016-12-13 | Marvell International Ltd. | Methods and apparatus for selecting a device to perform shared functionality in a deterministic and fair manner in a wireless data communication system |
| US9300629B1 (en) * | 2013-05-31 | 2016-03-29 | Palo Alto Networks, Inc. | Password constraint enforcement used in external site authentication |
| EP3008942B1 (en) * | 2013-06-11 | 2018-10-10 | Seven Networks, LLC | Application and/or server stability in signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US9225704B1 (en) | 2013-06-13 | 2015-12-29 | Amazon Technologies, Inc. | Unified management of third-party accounts |
| US9602540B1 (en) | 2013-06-13 | 2017-03-21 | Amazon Technologies, Inc. | Enforcing restrictions on third-party accounts |
| US9531704B2 (en) * | 2013-06-25 | 2016-12-27 | Google Inc. | Efficient network layer for IPv6 protocol |
| US10200353B2 (en) | 2013-07-25 | 2019-02-05 | Convida Wireless, Llc | End-to-end M2M service layer sessions |
| EP3028145A1 (en) | 2013-07-31 | 2016-06-08 | Marvell World Trade Ltd. | Parallelizing boot operations |
| US9491157B1 (en) | 2013-09-27 | 2016-11-08 | F5 Networks, Inc. | SSL secured NTLM acceleration |
| US9225516B1 (en) * | 2013-10-03 | 2015-12-29 | Whatsapp Inc. | Combined authentication and encryption |
| WO2015055246A1 (en) * | 2013-10-17 | 2015-04-23 | Telefonaktiebolaget L M Ericsson (Publ) | Authentication of wireless device entity |
| US10069811B2 (en) * | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US9307405B2 (en) | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US20150120943A1 (en) * | 2013-10-29 | 2015-04-30 | Homersoft Sp. Zo.O. | Secure mobile access to resources within a private network |
| US10475018B1 (en) | 2013-11-29 | 2019-11-12 | Amazon Technologies, Inc. | Updating account data for multiple account providers |
| CN103618726A (zh) * | 2013-12-04 | 2014-03-05 | 北京中创信测科技股份有限公司 | 一种基于https协议实现移动数据业务识别的方法 |
| US10037514B2 (en) * | 2013-12-19 | 2018-07-31 | Centurylink Intellectual Property Llc | Ubiquitous in-cloud microsite generator for high speed data customer intake and activation |
| US10382595B2 (en) | 2014-01-29 | 2019-08-13 | Smart Security Systems Llc | Systems and methods for protecting communications |
| US10116731B2 (en) * | 2014-03-13 | 2018-10-30 | Oncam Global, Inc. | Method and systems for providing data to a remote site |
| US9344337B2 (en) | 2014-03-13 | 2016-05-17 | Cisco Technology, Inc. | Service node originated service chains in a network environment |
| US9426176B2 (en) | 2014-03-21 | 2016-08-23 | Cisco Technology, Inc. | Method, system, and logic for in-band exchange of meta-information |
| US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9184911B2 (en) * | 2014-04-08 | 2015-11-10 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9479443B2 (en) | 2014-05-16 | 2016-10-25 | Cisco Technology, Inc. | System and method for transporting information to services in a network environment |
| US9379931B2 (en) | 2014-05-16 | 2016-06-28 | Cisco Technology, Inc. | System and method for transporting information to services in a network environment |
| CN105207972B (zh) * | 2014-06-17 | 2018-03-30 | 腾讯科技(深圳)有限公司 | 信道的数据处理方法和装置 |
| US9712563B2 (en) | 2014-07-07 | 2017-07-18 | Cyber-Ark Software Ltd. | Connection-specific communication management |
| KR101670496B1 (ko) * | 2014-08-27 | 2016-10-28 | 주식회사 파수닷컴 | 데이터 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체, 데이터 관리 방법을 실행하는 사용자 클라이언트 |
| GB2530028B8 (en) | 2014-09-08 | 2021-08-04 | Advanced Risc Mach Ltd | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| CN104301333A (zh) * | 2014-11-05 | 2015-01-21 | 中国科学技术大学 | 非阻塞式握手实现方法及系统 |
| US10417025B2 (en) | 2014-11-18 | 2019-09-17 | Cisco Technology, Inc. | System and method to chain distributed applications in a network environment |
| USRE48131E1 (en) | 2014-12-11 | 2020-07-28 | Cisco Technology, Inc. | Metadata augmentation in a service function chain |
| US9660909B2 (en) | 2014-12-11 | 2017-05-23 | Cisco Technology, Inc. | Network service header metadata for load balancing |
| CN104580190B (zh) * | 2014-12-30 | 2018-09-04 | 北京奇虎科技有限公司 | 安全浏览器的实现方法和安全浏览器装置 |
| DE112015005968T5 (de) * | 2015-01-16 | 2017-10-12 | Autonetworks Technologies, Ltd. | Kommunikationssystem und Vergleichsverfahren |
| US20160241667A1 (en) * | 2015-02-18 | 2016-08-18 | Actmobile Networks, Inc. | Extended http object cache system and method |
| US9871772B1 (en) | 2015-03-17 | 2018-01-16 | The Charles Stark Draper Laboratory, Inc. | Cryptographic system for secure command and control of remotely controlled devices |
| US9614816B2 (en) * | 2015-03-23 | 2017-04-04 | Oracle International Corporation | Dynamic encryption for tunneled real-time communications |
| US10834065B1 (en) * | 2015-03-31 | 2020-11-10 | F5 Networks, Inc. | Methods for SSL protected NTLM re-authentication and devices thereof |
| US9660969B2 (en) | 2015-03-31 | 2017-05-23 | Here Global B.V. | Method and apparatus for providing key management for data encryption for cloud-based big data environments |
| US11032379B2 (en) * | 2015-04-24 | 2021-06-08 | Citrix Systems, Inc. | Secure in-band service detection |
| EP3291483B1 (en) * | 2015-04-30 | 2020-01-01 | Nippon Telegraph and Telephone Corporation | Data transmission and reception method and system |
| US10205598B2 (en) | 2015-05-03 | 2019-02-12 | Ronald Francis Sulpizio, JR. | Temporal key generation and PKI gateway |
| US20170026414A1 (en) * | 2015-05-07 | 2017-01-26 | Saguna Networks Ltd. | Methods Circuits Devices Systems and Functionally Associated Computer Executable Code for Managing a Data Access Network |
| US9774572B2 (en) * | 2015-05-11 | 2017-09-26 | Salesforce.Com, Inc. | Obfuscation of references to network resources |
| US9762402B2 (en) | 2015-05-20 | 2017-09-12 | Cisco Technology, Inc. | System and method to facilitate the assignment of service functions for service chains in a network environment |
| US10701037B2 (en) * | 2015-05-27 | 2020-06-30 | Ping Identity Corporation | Scalable proxy clusters |
| US10051001B1 (en) | 2015-07-31 | 2018-08-14 | Palo Alto Networks, Inc. | Efficient and secure user credential store for credentials enforcement using a firewall |
| US9967236B1 (en) | 2015-07-31 | 2018-05-08 | Palo Alto Networks, Inc. | Credentials enforcement using a firewall |
| US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US9450944B1 (en) * | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US9992238B2 (en) * | 2015-11-11 | 2018-06-05 | International Business Machines Corporation | Proxy based data transfer utilizing direct memory access |
| US20170163607A1 (en) * | 2015-12-03 | 2017-06-08 | Microsoft Technology Licensing, Llc | Establishing a Communication Event Using Secure Signalling |
| US10469594B2 (en) * | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
| US10505984B2 (en) * | 2015-12-08 | 2019-12-10 | A10 Networks, Inc. | Exchange of control information between secure socket layer gateways |
| US10305871B2 (en) | 2015-12-09 | 2019-05-28 | Cloudflare, Inc. | Dynamically serving digital certificates based on secure session properties |
| US10187475B2 (en) * | 2015-12-31 | 2019-01-22 | Hughes Network Systems, Llc | Method and system for automatically bypassing network proxies in the presence of interdependent traffic flows |
| US10277562B1 (en) * | 2016-01-12 | 2019-04-30 | Symantec Corporation | Controlling encrypted traffic flows using out-of-path analysis devices |
| GB2546340A (en) * | 2016-01-18 | 2017-07-19 | Isis Innovation | Improving security protocols |
| US11044203B2 (en) | 2016-01-19 | 2021-06-22 | Cisco Technology, Inc. | System and method for hosting mobile packet core and value-added services using a software defined network and service chains |
| US10250637B2 (en) * | 2016-01-29 | 2019-04-02 | Citrix Systems, Inc. | System and method of pre-establishing SSL session connections for faster SSL connection establishment |
| EP3427435A1 (en) | 2016-03-08 | 2019-01-16 | Marvell World Trade Ltd. | Methods and apparatus for secure device authentication |
| KR101847636B1 (ko) * | 2016-03-14 | 2018-04-10 | 주식회사 수산아이앤티 | 암호화 트래픽을 감시하기 위한 방법 및 장치 |
| US10187306B2 (en) | 2016-03-24 | 2019-01-22 | Cisco Technology, Inc. | System and method for improved service chaining |
| EP3438860B1 (en) * | 2016-03-29 | 2020-06-03 | Ricoh Company, Ltd. | Service provision system, service exchange system, service provision method, and program |
| WO2017170235A1 (ja) | 2016-03-29 | 2017-10-05 | 株式会社リコー | サービス提供システム、サービス授受システム、サービス提供方法、及びプログラム |
| CN109074327B (zh) * | 2016-03-29 | 2022-02-15 | 株式会社理光 | 服务提供系统、服务递送系统、服务提供方法和程序 |
| US10931793B2 (en) | 2016-04-26 | 2021-02-23 | Cisco Technology, Inc. | System and method for automated rendering of service chaining |
| US10264079B2 (en) | 2016-05-18 | 2019-04-16 | Cisco Technology, Inc. | Fastpath web sessions with HTTP header modification by redirecting clients |
| CN109644089B (zh) | 2016-06-15 | 2022-04-26 | 康维达无线有限责任公司 | 用于新无线电的无许可上行链路传输 |
| GB2551580A (en) * | 2016-06-24 | 2017-12-27 | Sony Corp | Data communications |
| US10116634B2 (en) * | 2016-06-28 | 2018-10-30 | A10 Networks, Inc. | Intercepting secure session upon receipt of untrusted certificate |
| US10250596B2 (en) * | 2016-06-29 | 2019-04-02 | International Business Machines Corporation | Monitoring encrypted communication sessions |
| US10419550B2 (en) | 2016-07-06 | 2019-09-17 | Cisco Technology, Inc. | Automatic service function validation in a virtual network environment |
| US11503314B2 (en) | 2016-07-08 | 2022-11-15 | Interdigital Madison Patent Holdings, Sas | Systems and methods for region-of-interest tone remapping |
| US10291405B2 (en) * | 2016-07-15 | 2019-05-14 | International Business Machines Corporation | Seamless abort and reinstatement of TLS sessions |
| US10320664B2 (en) | 2016-07-21 | 2019-06-11 | Cisco Technology, Inc. | Cloud overlay for operations administration and management |
| US10218616B2 (en) | 2016-07-21 | 2019-02-26 | Cisco Technology, Inc. | Link selection for communication with a service function cluster |
| US10225270B2 (en) | 2016-08-02 | 2019-03-05 | Cisco Technology, Inc. | Steering of cloned traffic in a service function chain |
| US10218593B2 (en) | 2016-08-23 | 2019-02-26 | Cisco Technology, Inc. | Identifying sources of packet drops in a service function chain environment |
| US10361969B2 (en) | 2016-08-30 | 2019-07-23 | Cisco Technology, Inc. | System and method for managing chained services in a network environment |
| CN106302507A (zh) * | 2016-08-31 | 2017-01-04 | 北京盛世光明软件股份有限公司 | 一种基于ssl网络数据解析技术的方法 |
| CN106453259A (zh) * | 2016-09-13 | 2017-02-22 | 广州善融信息科技有限公司 | 一种基于块链接加密技术的互联网金融安全链路实现方法 |
| US10587580B2 (en) | 2016-10-26 | 2020-03-10 | Ping Identity Corporation | Methods and systems for API deception environment and API traffic control and security |
| CN109891772B (zh) | 2016-11-03 | 2022-10-04 | 康维达无线有限责任公司 | Nr中的帧结构 |
| US10382562B2 (en) * | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| CN110301136B (zh) | 2017-02-17 | 2023-03-24 | 交互数字麦迪逊专利控股公司 | 在流传输视频中进行选择性感兴趣对象缩放的系统和方法 |
| US10225187B2 (en) | 2017-03-22 | 2019-03-05 | Cisco Technology, Inc. | System and method for providing a bit indexed service chain |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US10554684B2 (en) | 2017-03-29 | 2020-02-04 | Juniper Networks, Inc. | Content-based optimization and pre-fetching mechanism for security analysis on a network device |
| US10511582B2 (en) * | 2017-04-07 | 2019-12-17 | Fujitsu Limited | Simplified encryption key generation in optical networks |
| US10511629B2 (en) | 2017-04-07 | 2019-12-17 | Fujitsu Limited | Encryption control in optical networks without data loss |
| US10469459B2 (en) | 2017-04-07 | 2019-11-05 | Fujitsu Limited | Use of optical transport network overhead data for encryption |
| US10257033B2 (en) | 2017-04-12 | 2019-04-09 | Cisco Technology, Inc. | Virtualized network functions and service chaining in serverless computing infrastructure |
| US10884807B2 (en) | 2017-04-12 | 2021-01-05 | Cisco Technology, Inc. | Serverless computing and task scheduling |
| US10333855B2 (en) | 2017-04-19 | 2019-06-25 | Cisco Technology, Inc. | Latency reduction in service function paths |
| US10554689B2 (en) | 2017-04-28 | 2020-02-04 | Cisco Technology, Inc. | Secure communication session resumption in a service function chain |
| US11418364B2 (en) | 2017-06-07 | 2022-08-16 | Combined Conditional Access Development And Support, Llc | Determining a session key using session data |
| US10735275B2 (en) | 2017-06-16 | 2020-08-04 | Cisco Technology, Inc. | Releasing and retaining resources for use in a NFV environment |
| US10798187B2 (en) | 2017-06-19 | 2020-10-06 | Cisco Technology, Inc. | Secure service chaining |
| US10645183B2 (en) * | 2017-06-26 | 2020-05-05 | Microsoft Technology Licensing, Llc | Redirection of client requests to multiple endpoints |
| US10397271B2 (en) | 2017-07-11 | 2019-08-27 | Cisco Technology, Inc. | Distributed denial of service mitigation for web conferencing |
| US10673698B2 (en) | 2017-07-21 | 2020-06-02 | Cisco Technology, Inc. | Service function chain optimization using live testing |
| US11063856B2 (en) | 2017-08-24 | 2021-07-13 | Cisco Technology, Inc. | Virtual network function monitoring in a network function virtualization deployment |
| JP6644037B2 (ja) * | 2017-09-08 | 2020-02-12 | 株式会社東芝 | 通信制御システム |
| US10791065B2 (en) | 2017-09-19 | 2020-09-29 | Cisco Technology, Inc. | Systems and methods for providing container attributes as part of OAM techniques |
| US10666430B2 (en) * | 2017-09-29 | 2020-05-26 | Intel Corporation | System and techniques for encrypting chip-to-chip communication links |
| US10841096B2 (en) * | 2017-10-03 | 2020-11-17 | Salesforce.Com, Inc. | Encrypted self-identification using a proxy server |
| US11018981B2 (en) | 2017-10-13 | 2021-05-25 | Cisco Technology, Inc. | System and method for replication container performance and policy validation using real time network traffic |
| EP4020282A1 (en) | 2017-10-13 | 2022-06-29 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
| US10681085B2 (en) | 2017-10-16 | 2020-06-09 | International Business Machines Corporation | Quick transport layer security/secure sockets layer connection for internet of things devices |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10541893B2 (en) | 2017-10-25 | 2020-01-21 | Cisco Technology, Inc. | System and method for obtaining micro-service telemetry data |
| US10652224B2 (en) | 2017-12-05 | 2020-05-12 | International Business Machines Corporation | Stateless session synchronization between secure communication interceptors |
| US10778642B2 (en) * | 2017-12-23 | 2020-09-15 | Mcafee, Llc | Decrypting transport layer security traffic without man-in-the-middle proxy |
| US11082212B2 (en) * | 2017-12-26 | 2021-08-03 | Industrial Technology Research Institute | System and method for communication service verification, and verification server thereof |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US11240858B2 (en) * | 2018-04-27 | 2022-02-01 | Nokia Solutions And Networks Oy | Traffic steering for stateless packets over multipath networks |
| US11194930B2 (en) | 2018-04-27 | 2021-12-07 | Datatrendz, Llc | Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network |
| CA3095060A1 (en) * | 2018-05-04 | 2019-11-07 | Citrix Systems, Inc. | Systems and methods for an embedded browser |
| US10666612B2 (en) | 2018-06-06 | 2020-05-26 | Cisco Technology, Inc. | Service chains for inter-cloud traffic |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10887289B2 (en) | 2018-08-21 | 2021-01-05 | Fujitsu Limited | Encryption in optical transport networks using multiple randomly selected keys |
| KR20210066856A (ko) | 2018-09-27 | 2021-06-07 | 콘비다 와이어리스, 엘엘씨 | 새로운 라디오의 비허가 스펙트럼들에서의 부대역 동작들 |
| US11483295B2 (en) * | 2018-12-05 | 2022-10-25 | Citrix Systems, Inc. | Method for securely negotiating end-to-end cryptographic context using inline messages through multiple proxies in cloud and customer environment |
| US11411924B2 (en) * | 2018-12-20 | 2022-08-09 | Check Point Software Technologies Ltd. | Method for performing TLS/SSL inspection based on verified subject name |
| US11178218B2 (en) * | 2019-01-02 | 2021-11-16 | Citrix Systems, Inc. | Bidirectional communication clusters |
| US11616651B2 (en) * | 2019-01-04 | 2023-03-28 | Baidu Usa Llc | Method for establishing a secure information exchange channel between a host system and a data processing accelerator |
| US11496475B2 (en) | 2019-01-04 | 2022-11-08 | Ping Identity Corporation | Methods and systems for data traffic based adaptive security |
| WO2020151809A1 (en) * | 2019-01-22 | 2020-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for distributed networking |
| US11245685B2 (en) | 2019-01-23 | 2022-02-08 | Mcafee, Llc | Methods and apparatus to verify encrypted handshakes |
| JP7191727B2 (ja) * | 2019-03-04 | 2022-12-19 | 株式会社東芝 | 通信制御装置および通信システム |
| JP7191726B2 (ja) * | 2019-03-04 | 2022-12-19 | 株式会社東芝 | 通信制御装置および通信システム |
| JP7278806B2 (ja) * | 2019-03-04 | 2023-05-22 | 株式会社東芝 | 通信制御装置および通信システム |
| JP7204534B2 (ja) * | 2019-03-04 | 2023-01-16 | 株式会社東芝 | 通信システム |
| JP7278807B2 (ja) * | 2019-03-04 | 2023-05-22 | 株式会社東芝 | 通信制御装置および通信システム |
| US11019044B2 (en) * | 2019-03-08 | 2021-05-25 | Gigamon Inc. | Correlating network flows through a proxy device |
| US11516286B2 (en) | 2019-03-28 | 2022-11-29 | Comcast Cable Communications, Llc | Managing service capacity |
| US11070566B2 (en) * | 2019-03-29 | 2021-07-20 | Dell Products L.P. | System and method to secure renegotiation of connections between a baseboard management controller and a hosted agent |
| US10693872B1 (en) | 2019-05-17 | 2020-06-23 | Q5ID, Inc. | Identity verification system |
| CN110166561B (zh) * | 2019-05-24 | 2022-04-15 | 北京旷视科技有限公司 | 可穿戴设备的数据处理方法、装置、系统、设备及介质 |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| EP3767909A1 (de) * | 2019-07-17 | 2021-01-20 | Siemens Mobility GmbH | Verfahren und kommunikationseinheit zur kryptographisch geschützten unidirektionalen datenübertragung von nutzdaten zwischen zwei netzwerken |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US20210075777A1 (en) | 2019-09-06 | 2021-03-11 | Winston Privacy | Method and system for asynchronous side channel cipher renegotiation |
| CN110572418B (zh) * | 2019-10-25 | 2022-08-19 | 国机智骏汽车有限公司 | 车辆身份认证的方法、装置、计算机设备及存储介质 |
| US11283630B2 (en) | 2019-11-05 | 2022-03-22 | International Business Machines Corporation | Server/server certificates exchange flow |
| CN111064791B (zh) * | 2019-12-19 | 2022-08-23 | 中国移动通信集团江苏有限公司 | Jms消息的标识符字段的处理方法、装置、设备和介质 |
| CN111355713B (zh) * | 2020-02-20 | 2022-09-30 | 深信服科技股份有限公司 | 一种代理访问方法、装置、代理网关及可读存储介质 |
| US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
| US11800539B2 (en) | 2020-05-18 | 2023-10-24 | Lynk Global, Inc. | Messaging from an orbital base station to cellular user equipment applications with message processing via a card operating system |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
| US11658820B2 (en) * | 2020-10-05 | 2023-05-23 | Vmware, Inc. | Workflow for enabling data-in-transit in a distributed system |
| CN112511552B (zh) * | 2020-12-08 | 2022-12-09 | 山石网科通信技术股份有限公司 | Ssl代理过程中的信息提示方法和装置 |
| US11539755B1 (en) * | 2021-03-22 | 2022-12-27 | Trend Micro Incorporated | Decryption of encrypted network traffic using an inline network traffic monitor |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| DE102021206755A1 (de) | 2021-06-29 | 2022-12-29 | Siemens Mobility GmbH | Verwalten von Schlüsseln für eine sichere Kommunikation zwischen Kommunikationsteilnehmern über einen getrennten Kommunikationskanal |
| CN113810396A (zh) * | 2021-09-07 | 2021-12-17 | 北京明朝万达科技股份有限公司 | 一种数据管控方法、装置、电子设备及存储介质 |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11941266B2 (en) | 2021-10-20 | 2024-03-26 | Samsung Electronics Co., Ltd. | Resource isolation in computational storage devices |
| US11824845B2 (en) * | 2021-10-28 | 2023-11-21 | Cisco Technology, Inc. | Automatic encryption for cloud-native workloads |
| CN114124334B (zh) * | 2021-11-16 | 2024-04-23 | 紫光展锐(重庆)科技有限公司 | 一种空口数据包的处理方法、客户端、设备及介质 |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| CN114553939B (zh) * | 2022-04-25 | 2022-07-19 | 北京广通优云科技股份有限公司 | 一种it智能运维系统中基于加密流量的资源稳定切换方法 |
| CN115296847B (zh) * | 2022-07-06 | 2024-02-13 | 杭州涂鸦信息技术有限公司 | 流量控制方法、装置、计算机设备和存储介质 |
| CN115514583B (zh) * | 2022-11-21 | 2023-03-24 | 北京长亭未来科技有限公司 | 一种流量采集及阻断方法、系统、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070255784A1 (en) * | 2004-06-07 | 2007-11-01 | Hideaki Takechi | Communication System for Use in Communication Between Communication Equipment by Using Ip Protocol |
| US20080046727A1 (en) * | 2006-08-21 | 2008-02-21 | Citrix Systems, Inc. | Systems and methods for optimizing ssl handshake processing |
| JP2008109404A (ja) * | 2006-10-25 | 2008-05-08 | Ricoh Co Ltd | 情報処理装置、通信方法およびプログラム |
| JP2009505493A (ja) * | 2005-08-10 | 2009-02-05 | リバーベッド テクノロジー インコーポレイティッド | セキュア接続プロトコルのための分割された終了方法 |
| WO2009081502A1 (ja) * | 2007-12-26 | 2009-07-02 | Fujitsu Limited | 通信端末 |
Family Cites Families (211)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5412730A (en) | 1989-10-06 | 1995-05-02 | Telequip Corporation | Encrypted data transmission system employing means for randomly altering the encryption keys |
| US5319638A (en) * | 1991-09-12 | 1994-06-07 | Bell Communications Research, Inc. | Link-by-link congestion control for packet transmission systems |
| JP2966198B2 (ja) * | 1992-06-04 | 1999-10-25 | 信越化学工業株式会社 | 重合体スケール付着防止剤、重合体スケールの付着を防止する重合器及びそれを使用する重合体製造方法 |
| US5267314A (en) | 1992-11-17 | 1993-11-30 | Leon Stambler | Secure transaction system and method utilized therein |
| US5657390A (en) | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
| US6703757B2 (en) | 1995-09-13 | 2004-03-09 | Delta Electronics Inc. | Motor structure having low profile |
| US6724893B1 (en) * | 1996-10-11 | 2004-04-20 | The United States Of America As Represented By The National Security Agency | Method of passing a cryptographic key that allows third party access to the key |
| US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
| US6104716A (en) | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
| US6212636B1 (en) * | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
| US6061454A (en) * | 1997-06-27 | 2000-05-09 | International Business Machines Corp. | System, method, and computer program for communicating a key recovery block to enable third party monitoring without modification to the intended receiver |
| US7117358B2 (en) | 1997-07-24 | 2006-10-03 | Tumbleweed Communications Corp. | Method and system for filtering communication |
| US6094485A (en) | 1997-09-18 | 2000-07-25 | Netscape Communications Corporation | SSL step-up |
| US5974143A (en) | 1997-09-30 | 1999-10-26 | Intel Corporation | Virus-resistent mechanism for transaction verification to confirming user |
| US6134584A (en) | 1997-11-21 | 2000-10-17 | International Business Machines Corporation | Method for accessing and retrieving information from a source maintained by a network server |
| US6052785A (en) * | 1997-11-21 | 2000-04-18 | International Business Machines Corporation | Multiple remote data access security mechanism for multitiered internet computer networks |
| US6084969A (en) | 1997-12-31 | 2000-07-04 | V-One Corporation | Key encryption system and method, pager unit, and pager proxy for a two-way alphanumeric pager network |
| US6681327B1 (en) * | 1998-04-02 | 2004-01-20 | Intel Corporation | Method and system for managing secure client-server transactions |
| US6175869B1 (en) * | 1998-04-08 | 2001-01-16 | Lucent Technologies Inc. | Client-side techniques for web server allocation |
| US6105067A (en) | 1998-06-05 | 2000-08-15 | International Business Machines Corp. | Connection pool management for backend servers using common interface |
| US6223287B1 (en) * | 1998-07-24 | 2001-04-24 | International Business Machines Corporation | Method for establishing a secured communication channel over the internet |
| CA2287813C (en) | 1998-10-22 | 2005-03-29 | At&T Corp. | System and method for network load balancing |
| US6799270B1 (en) | 1998-10-30 | 2004-09-28 | Citrix Systems, Inc. | System and method for secure distribution of digital information to a chain of computer system nodes in a network |
| US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US7430757B1 (en) | 1999-01-08 | 2008-09-30 | International Business Machines Corporation | Oblivious proxying using a secure coprocessor |
| US7904951B1 (en) * | 1999-03-16 | 2011-03-08 | Novell, Inc. | Techniques for securely accelerating external domains locally |
| US7249377B1 (en) | 1999-03-31 | 2007-07-24 | International Business Machines Corporation | Method for client delegation of security to a proxy |
| US6526131B1 (en) * | 1999-04-30 | 2003-02-25 | Hewlett-Packard Company | Initiation of communication between network service system and customer-premises equipment |
| US6718388B1 (en) * | 1999-05-18 | 2004-04-06 | Jp Morgan Chase Bank | Secured session sequencing proxy system and method therefor |
| TW425821B (en) | 1999-05-31 | 2001-03-11 | Ind Tech Res Inst | Key management method |
| US7146505B1 (en) * | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
| US7142676B1 (en) * | 1999-06-08 | 2006-11-28 | Entrust Limited | Method and apparatus for secure communications using third-party key provider |
| US6584567B1 (en) | 1999-06-30 | 2003-06-24 | International Business Machines Corporation | Dynamic connection to multiple origin servers in a transcoding proxy |
| US6374300B2 (en) * | 1999-07-15 | 2002-04-16 | F5 Networks, Inc. | Method and system for storing load balancing information with an HTTP cookie |
| US6567857B1 (en) | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
| US6751677B1 (en) * | 1999-08-24 | 2004-06-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for allowing a secure and transparent communication between a user device and servers of a data access network system via a firewall and a gateway |
| US6772333B1 (en) * | 1999-09-01 | 2004-08-03 | Dickens Coal Llc | Atomic session-start operation combining clear-text and encrypted sessions to provide id visibility to middleware such as load-balancers |
| US6728884B1 (en) * | 1999-10-01 | 2004-04-27 | Entrust, Inc. | Integrating heterogeneous authentication and authorization mechanisms into an application access control system |
| US6732269B1 (en) * | 1999-10-01 | 2004-05-04 | International Business Machines Corporation | Methods, systems and computer program products for enhanced security identity utilizing an SSL proxy |
| US6643701B1 (en) | 1999-11-17 | 2003-11-04 | Sun Microsystems, Inc. | Method and apparatus for providing secure communication with a relay in a network |
| US6704798B1 (en) * | 2000-02-08 | 2004-03-09 | Hewlett-Packard Development Company, L.P. | Explicit server control of transcoding representation conversion at a proxy or client location |
| US8291007B2 (en) * | 2000-02-22 | 2012-10-16 | Flash Networks Ltd | System and method to accelerate client/server interactions using predictive requests |
| US6918041B1 (en) | 2000-02-23 | 2005-07-12 | Microsoft Corporation | System and method of network communication with client-forced authentication |
| US7343413B2 (en) | 2000-03-21 | 2008-03-11 | F5 Networks, Inc. | Method and system for optimizing a network by independently scaling control segments and data flow |
| US6674717B1 (en) * | 2000-03-30 | 2004-01-06 | Network Physics, Inc. | Method for reducing packet loss and increasing internet flow by feedback control |
| US6742044B1 (en) | 2000-05-10 | 2004-05-25 | Cisco Technology, Inc. | Distributed network traffic load balancing technique implemented without gateway router |
| JP3730480B2 (ja) | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
| US20020035681A1 (en) * | 2000-07-31 | 2002-03-21 | Guillermo Maturana | Strategy for handling long SSL messages |
| DE10037500A1 (de) * | 2000-08-01 | 2002-02-28 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine kryptographisch gesicherte Punkt-zu-Multipunktverbindung |
| US7177945B2 (en) | 2000-08-04 | 2007-02-13 | Avaya Technology Corp. | Non-intrusive multiplexed transaction persistency in secure commerce environments |
| US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
| US7137143B2 (en) * | 2000-08-07 | 2006-11-14 | Ingrian Systems Inc. | Method and system for caching secure web content |
| US7266613B1 (en) * | 2000-08-09 | 2007-09-04 | Microsoft Corporation | Fast dynamic measurement of bandwidth in a TCP network environment |
| US7370015B2 (en) * | 2000-10-12 | 2008-05-06 | Sap Portals Israel Ltd. | User impersonation by a proxy server |
| US20020069241A1 (en) * | 2000-12-06 | 2002-06-06 | Girija Narlikar | Method and apparatus for client-side proxy selection |
| US7254237B1 (en) | 2001-01-12 | 2007-08-07 | Slt Logic, Llc | System and method for establishing a secure connection |
| US7360075B2 (en) | 2001-02-12 | 2008-04-15 | Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| US7383329B2 (en) | 2001-02-13 | 2008-06-03 | Aventail, Llc | Distributed cache for state transfer operations |
| US20020116732A1 (en) * | 2001-02-13 | 2002-08-22 | Leandro Christmann | Microinjection assembly and methods for microinjecting and reimplanting avian eggs |
| US7370351B1 (en) * | 2001-03-22 | 2008-05-06 | Novell, Inc. | Cross domain authentication and security services using proxies for HTTP access |
| US7322040B1 (en) * | 2001-03-27 | 2008-01-22 | Microsoft Corporation | Authentication architecture |
| GB2374497B (en) | 2001-04-03 | 2003-03-12 | Ericsson Telefon Ab L M | Facilitating legal interception of IP connections |
| US7017049B2 (en) * | 2001-04-12 | 2006-03-21 | International Business Machines Corporation | Method and system providing secure socket layer session sharing between network based servers and a client |
| US7200679B2 (en) | 2001-04-13 | 2007-04-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating distributed proxy configurations |
| US6996841B2 (en) * | 2001-04-19 | 2006-02-07 | Microsoft Corporation | Negotiating secure connections through a proxy server |
| US6839761B2 (en) | 2001-04-19 | 2005-01-04 | Microsoft Corporation | Methods and systems for authentication through multiple proxy servers that require different authentication data |
| US6914886B2 (en) | 2001-05-03 | 2005-07-05 | Radware Ltd. | Controlling traffic on links between autonomous systems |
| US7516485B1 (en) | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
| US20020199098A1 (en) | 2001-06-08 | 2002-12-26 | Davis John M. | Non-invasive SSL payload processing for IP packet using streaming SSL parsing |
| US20050198379A1 (en) * | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
| US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
| US7853781B2 (en) * | 2001-07-06 | 2010-12-14 | Juniper Networks, Inc. | Load balancing secure sockets layer accelerator |
| US7149892B2 (en) * | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
| US7073066B1 (en) | 2001-08-28 | 2006-07-04 | 3Com Corporation | Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution |
| JP2003110576A (ja) | 2001-09-26 | 2003-04-11 | Toshiba Corp | 無線ネットワークシステム、無線ネットワークの管理方法、及び、コンピュータで実行可能な無線ネットワークの管理プログラム |
| US7010608B2 (en) * | 2001-09-28 | 2006-03-07 | Intel Corporation | System and method for remotely accessing a home server while preserving end-to-end security |
| US7584505B2 (en) * | 2001-10-16 | 2009-09-01 | Microsoft Corporation | Inspected secure communication protocol |
| US8020201B2 (en) | 2001-10-23 | 2011-09-13 | Intel Corporation | Selecting a security format conversion for wired and wireless devices |
| US8601566B2 (en) | 2001-10-23 | 2013-12-03 | Intel Corporation | Mechanism supporting wired and wireless methods for client and server side authentication |
| CA2465321C (en) * | 2001-11-06 | 2010-05-11 | International Business Machines Corporation | Method and system for the supply of data, transactions and electronic voting |
| US7574496B2 (en) * | 2001-11-30 | 2009-08-11 | Surgient, Inc. | Virtual server cloud interfacing |
| US7043632B2 (en) * | 2001-12-12 | 2006-05-09 | Nortel Networks Limited | End-to-end security in data networks |
| US7093121B2 (en) | 2002-01-10 | 2006-08-15 | Mcafee, Inc. | Transferring data via a secure network connection |
| NO318842B1 (no) * | 2002-03-18 | 2005-05-09 | Telenor Asa | Autentisering og tilgangskontroll |
| EP1488594B1 (en) * | 2002-03-20 | 2008-01-23 | Research In Motion Limited | System and method for supporting multiple certificate status providers on a mobile communication device |
| WO2003088571A1 (en) | 2002-04-12 | 2003-10-23 | Karbon Systems, Llc | System and method for secure wireless communications using pki |
| US7082535B1 (en) | 2002-04-17 | 2006-07-25 | Cisco Technology, Inc. | System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol |
| US7240366B2 (en) | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
| US7007163B2 (en) * | 2002-05-31 | 2006-02-28 | Broadcom Corporation | Methods and apparatus for accelerating secure session processing |
| US7219120B2 (en) * | 2002-07-09 | 2007-05-15 | Savvis Communications Corporation | Systems, methods and protocols for securing data in transit over networks |
| US7516491B1 (en) | 2002-10-17 | 2009-04-07 | Roger Schlafly | License tracking system |
| US7430755B1 (en) | 2002-09-03 | 2008-09-30 | Fs Networks, Inc. | Method and system for providing persistence in a secure network access |
| US7343398B1 (en) * | 2002-09-04 | 2008-03-11 | Packeteer, Inc. | Methods, apparatuses and systems for transparently intermediating network traffic over connection-based authentication protocols |
| AU2003284204A1 (en) | 2002-10-15 | 2004-05-04 | Ingrian Networks, Inc. | Client-side ssl connection completion through secure proxy server |
| US7630305B2 (en) * | 2003-07-29 | 2009-12-08 | Orbital Data Corporation | TCP selective acknowledgements for communicating delivered and missed data packets |
| US8069225B2 (en) | 2003-04-14 | 2011-11-29 | Riverbed Technology, Inc. | Transparent client-server transaction accelerator |
| US8233392B2 (en) * | 2003-07-29 | 2012-07-31 | Citrix Systems, Inc. | Transaction boundary detection for reduction in timeout penalties |
| US8176186B2 (en) * | 2002-10-30 | 2012-05-08 | Riverbed Technology, Inc. | Transaction accelerator for client-server communications systems |
| US7650416B2 (en) * | 2003-08-12 | 2010-01-19 | Riverbed Technology | Content delivery for client-server protocols with user affinities using connection end-point proxies |
| US8364815B2 (en) | 2005-03-18 | 2013-01-29 | Riverbed Technology, Inc. | Reliability and availability of distributed servers |
| US7318100B2 (en) * | 2003-04-14 | 2008-01-08 | Riverbed Technology, Inc. | Cooperative proxy auto-discovery and connection interception |
| US7120666B2 (en) | 2002-10-30 | 2006-10-10 | Riverbed Technology, Inc. | Transaction accelerator for client-server communication systems |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US7454785B2 (en) | 2002-12-19 | 2008-11-18 | Avocent Huntsville Corporation | Proxy method and system for secure wireless administration of managed entities |
| US7506368B1 (en) | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| US7430557B1 (en) | 2003-03-19 | 2008-09-30 | Unisys Corporation | System and method for improving database reorganization time |
| US7644275B2 (en) | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
| US7206846B1 (en) | 2003-04-29 | 2007-04-17 | Cisco Technology, Inc. | Method and apparatus for adaptively coupling processing components in a distributed system |
| US7472285B2 (en) * | 2003-06-25 | 2008-12-30 | Intel Corporation | Apparatus and method for memory encryption with reduced decryption latency |
| US8615795B2 (en) * | 2003-06-25 | 2013-12-24 | Ntrepid Corporation | Secure network privacy system |
| US20050001660A1 (en) * | 2003-06-26 | 2005-01-06 | Amit Roy | Power-on reset circuit |
| US7496755B2 (en) * | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
| CN100456739C (zh) | 2003-07-04 | 2009-01-28 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| KR100523357B1 (ko) * | 2003-07-09 | 2005-10-25 | 한국전자통신연구원 | 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법 |
| US7698453B2 (en) * | 2003-07-29 | 2010-04-13 | Oribital Data Corporation | Early generation of acknowledgements for flow control |
| US7472413B1 (en) * | 2003-08-11 | 2008-12-30 | F5 Networks, Inc. | Security for WAP servers |
| US7853699B2 (en) | 2005-03-15 | 2010-12-14 | Riverbed Technology, Inc. | Rules-based transaction prefetching using connection end-point proxies |
| US7769994B2 (en) * | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
| US20050076201A1 (en) * | 2003-08-15 | 2005-04-07 | Imcentric, Inc. | System for discovering SSL-enabled network devices and certificates |
| US8321512B2 (en) | 2003-08-22 | 2012-11-27 | Geobytes, Inc. | Method and software product for identifying unsolicited emails |
| US7117333B2 (en) * | 2003-08-25 | 2006-10-03 | International Business Machines Corporation | Apparatus, system, and method to estimate memory for recovering data |
| US20050050316A1 (en) * | 2003-08-25 | 2005-03-03 | Amir Peles | Passive SSL decryption |
| US20050080428A1 (en) * | 2003-09-03 | 2005-04-14 | White Ralph Richard | Extracapsular surgical procedure for repair of anterior cruciate ligament rupture and surgical referencing instrument therefor |
| US20050086342A1 (en) | 2003-09-19 | 2005-04-21 | Andrew Burt | Techniques for client-transparent TCP migration |
| US7328686B2 (en) * | 2003-09-23 | 2008-02-12 | Ford Global Technologies Llc | System and method to control cylinder activation and deactivation |
| US7590840B2 (en) | 2003-09-26 | 2009-09-15 | Randy Langer | Method and system for authorizing client devices to receive secured data streams |
| US20050203849A1 (en) * | 2003-10-09 | 2005-09-15 | Bruce Benson | Multimedia distribution system and method |
| US7584500B2 (en) * | 2003-11-19 | 2009-09-01 | Hughes Network Systems, Llc | Pre-fetching secure content using proxy architecture |
| US7890751B1 (en) | 2003-12-03 | 2011-02-15 | Comtech Ef Data Corp | Method and system for increasing data access in a secure socket layer network environment |
| WO2005060202A1 (en) | 2003-12-10 | 2005-06-30 | International Business Machines Corporation | Method and system for analysing and filtering https traffic in corporate networks |
| US7665126B2 (en) * | 2003-12-17 | 2010-02-16 | Microsoft Corporation | Mesh networks with exclusion capability |
| US7523314B2 (en) * | 2003-12-22 | 2009-04-21 | Voltage Security, Inc. | Identity-based-encryption message management system |
| US20050160161A1 (en) | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| CA2552481C (en) | 2004-01-09 | 2016-08-02 | Npx Technologies Ltd. | Detecting relayed communications |
| US20050187979A1 (en) | 2004-02-09 | 2005-08-25 | Microsoft Corporation | System and method for message-level connection management |
| US7293034B2 (en) | 2004-02-23 | 2007-11-06 | Microsoft Coporation | Dynamically customizing a user interface for the aggregation of content |
| US8116776B1 (en) * | 2004-03-23 | 2012-02-14 | Cisco Technology, Inc. | Mobile communication handoff between heterogeneous networks |
| US7380129B2 (en) | 2004-04-22 | 2008-05-27 | International Business Machines Corporation | Method and apparatus for detecting grid intrusions |
| US20060036755A1 (en) | 2004-05-07 | 2006-02-16 | Abdullah Ibrahim S | Meta-protocol |
| US7506369B2 (en) * | 2004-05-27 | 2009-03-17 | Microsoft Corporation | Secure federation of data communications networks |
| US20050265235A1 (en) | 2004-05-27 | 2005-12-01 | International Business Machines Corporation | Method, computer program product, and data processing system for improving transaction-oriented client-server application performance |
| US20050273650A1 (en) | 2004-06-07 | 2005-12-08 | Tsou Henry H | Systems and methods for backing up computer data to disk medium |
| US8136149B2 (en) | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
| US7543146B1 (en) | 2004-06-18 | 2009-06-02 | Blue Coat Systems, Inc. | Using digital certificates to request client consent prior to decrypting SSL communications |
| US7506164B2 (en) * | 2004-08-09 | 2009-03-17 | Research In Motion Limited | Automated key management system and method |
| KR100588211B1 (ko) * | 2004-09-07 | 2006-06-08 | 엘지이노텍 주식회사 | 광디스크 턴테이블 구조 |
| US20060075114A1 (en) | 2004-09-30 | 2006-04-06 | Citrix Systems, Inc. | In-line modification of protocol handshake by protocol aware proxy |
| KR20060062356A (ko) | 2004-12-03 | 2006-06-12 | 엘지노텔 주식회사 | 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법 |
| US7742406B1 (en) * | 2004-12-20 | 2010-06-22 | Packeteer, Inc. | Coordinated environment for classification and control of network traffic |
| US7627896B2 (en) * | 2004-12-24 | 2009-12-01 | Check Point Software Technologies, Inc. | Security system providing methodology for cooperative enforcement of security policies during SSL sessions |
| US8943310B2 (en) | 2005-01-25 | 2015-01-27 | Cisco Technology, Inc. | System and method for obtaining a digital certificate for an endpoint |
| US7661131B1 (en) * | 2005-02-03 | 2010-02-09 | Sun Microsystems, Inc. | Authentication of tunneled connections |
| US7958347B1 (en) | 2005-02-04 | 2011-06-07 | F5 Networks, Inc. | Methods and apparatus for implementing authentication |
| US9118717B2 (en) | 2005-02-18 | 2015-08-25 | Cisco Technology, Inc. | Delayed network protocol proxy for packet inspection in a network |
| US20100115581A1 (en) | 2008-11-06 | 2010-05-06 | Trust Digital | System method and device for mediating connections between policy source servers, corporate respositories, and mobile devices |
| US20070180227A1 (en) * | 2005-03-01 | 2007-08-02 | Matsushita Electric Works, Ltd. | Decryption apparatus for use in encrypted communications |
| US8533473B2 (en) | 2005-03-04 | 2013-09-10 | Oracle America, Inc. | Method and apparatus for reducing bandwidth usage in secure transactions |
| US20060248194A1 (en) | 2005-03-18 | 2006-11-02 | Riverbed Technology, Inc. | Connection forwarding |
| US7975140B2 (en) | 2005-04-08 | 2011-07-05 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
| WO2006110021A1 (en) | 2005-04-15 | 2006-10-19 | Samsung Electronics Co., Ltd. | Apparatus and method for triggering session re-negotiation between access network and access terminal in a high rate packet data system |
| US9436804B2 (en) * | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
| FI20050491A0 (fi) | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| US8266452B2 (en) | 2005-06-01 | 2012-09-11 | Cisco Technology, Inc. | System and method for communicating confidential messages |
| US20090083537A1 (en) * | 2005-08-10 | 2009-03-26 | Riverbed Technology, Inc. | Server configuration selection for ssl interception |
| US8438628B2 (en) | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
| US20090119504A1 (en) * | 2005-08-10 | 2009-05-07 | Riverbed Technology, Inc. | Intercepting and split-terminating authenticated communication connections |
| US8478986B2 (en) * | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
| US20070074282A1 (en) * | 2005-08-19 | 2007-03-29 | Black Jeffrey T | Distributed SSL processing |
| US20070078986A1 (en) | 2005-09-13 | 2007-04-05 | Cisco Technology, Inc. | Techniques for reducing session set-up for real-time communications over a network |
| EP1932272B1 (en) | 2005-10-05 | 2013-12-11 | Byres Security Inc. | Network security appliance |
| US7725927B2 (en) | 2005-10-28 | 2010-05-25 | Yahoo! Inc. | Low code-footprint security solution |
| JP4670598B2 (ja) | 2005-11-04 | 2011-04-13 | 日本電気株式会社 | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム |
| US7650389B2 (en) * | 2006-02-01 | 2010-01-19 | Subhashis Mohanty | Wireless system and method for managing logical documents |
| US7904949B2 (en) * | 2005-12-19 | 2011-03-08 | Quest Software, Inc. | Apparatus, systems and methods to provide authentication services to a legacy application |
| US8316429B2 (en) | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
| US20070192845A1 (en) | 2006-02-07 | 2007-08-16 | Xoom Corporation | System and method for passively detecting a proxy |
| US20070266233A1 (en) | 2006-05-12 | 2007-11-15 | Mahesh Jethanandani | Method and apparatus to minimize latency by avoiding small tcp segments in a ssl offload environment |
| GB0612775D0 (en) * | 2006-06-28 | 2006-08-09 | Ibm | An apparatus for securing a communications exchange between computers |
| US8352728B2 (en) * | 2006-08-21 | 2013-01-08 | Citrix Systems, Inc. | Systems and methods for bulk encryption and decryption of transmitted data |
| US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
| US20080101445A1 (en) | 2006-08-31 | 2008-05-01 | Stoke,Inc. | DSL wake-up |
| US7886352B2 (en) * | 2006-09-22 | 2011-02-08 | Oracle International Corporation | Interstitial pages |
| GB0623101D0 (en) * | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
| US8214635B2 (en) * | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| KR20080048764A (ko) * | 2006-11-29 | 2008-06-03 | 삼성전자주식회사 | 권리객체에 대리 서명하는 방법 및 장치와 대리인증서 발급방법 및 장치 |
| US7493383B1 (en) * | 2006-12-29 | 2009-02-17 | F5 Networks, Inc. | TCP-over-TCP using multiple TCP streams |
| US7827405B2 (en) | 2007-01-19 | 2010-11-02 | Microsoft Corporation | Mechanism for utilizing kerberos features by an NTLM compliant entity |
| US7647404B2 (en) * | 2007-01-31 | 2010-01-12 | Edge Technologies, Inc. | Method of authentication processing during a single sign on transaction via a content transform proxy service |
| US7979555B2 (en) | 2007-02-27 | 2011-07-12 | ExtraHop Networks,Inc. | Capture and resumption of network application sessions |
| US8190875B2 (en) * | 2007-03-22 | 2012-05-29 | Cisco Technology, Inc. | Reducing processing load in proxies for secure communications |
| US20100031337A1 (en) * | 2007-04-09 | 2010-02-04 | Certeon, Inc. | Methods and systems for distributed security processing |
| US8549157B2 (en) | 2007-04-23 | 2013-10-01 | Mcafee, Inc. | Transparent secure socket layer |
| US8225085B2 (en) | 2007-06-05 | 2012-07-17 | Blue Coat Systems, Inc. | System and method for distributed SSL processing between co-operating nodes |
| US20090073943A1 (en) * | 2007-08-17 | 2009-03-19 | Qualcomm Incorporated | Heterogeneous wireless ad hoc network |
| WO2009036391A2 (en) | 2007-09-12 | 2009-03-19 | Proximetry, Inc. | Systems and methods for delivery of wireless data and multimedia content to aircraft |
| EP2582092A3 (en) | 2007-09-26 | 2013-06-12 | Nicira, Inc. | Network operating system for managing and securing networks |
| US8650615B2 (en) * | 2007-09-28 | 2014-02-11 | Emc Corporation | Cross domain delegation by a storage virtualization system |
| US8650389B1 (en) | 2007-09-28 | 2014-02-11 | F5 Networks, Inc. | Secure sockets layer protocol handshake mirroring |
| US9094206B2 (en) * | 2007-10-26 | 2015-07-28 | Telcordia Technologies, Inc. | Method and system for secure session establishment using identity-based encryption (VDTLS) |
| US20090113537A1 (en) * | 2007-10-30 | 2009-04-30 | James Woo | Proxy authentication server |
| US8190876B2 (en) * | 2007-11-19 | 2012-05-29 | Red Hat, Inc. | Renegotiating SSL/TLS connections with client certificates on post requests |
| US8788805B2 (en) | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
| US8307203B2 (en) * | 2008-07-14 | 2012-11-06 | Riverbed Technology, Inc. | Methods and systems for secure communications using a local certification authority |
| US8850553B2 (en) * | 2008-09-12 | 2014-09-30 | Microsoft Corporation | Service binding |
| US20100071046A1 (en) | 2008-09-17 | 2010-03-18 | Yahoo! Inc. | Method and System for Enabling Access to a Web Service Provider Through Login Based Badges Embedded in a Third Party Site |
| US7984160B2 (en) | 2009-03-05 | 2011-07-19 | Riverbed Technology, Inc. | Establishing a split-terminated communication connection through a stateful firewall, with network transparency |
| US20100242097A1 (en) | 2009-03-20 | 2010-09-23 | Wavemarket, Inc. | System and method for managing application program access to a protected resource residing on a mobile device |
| US8844040B2 (en) * | 2009-03-20 | 2014-09-23 | Citrix Systems, Inc. | Systems and methods for using end point auditing in connection with traffic management |
| US9654505B2 (en) | 2009-06-22 | 2017-05-16 | Citrix Systems, Inc. | Systems and methods for encoding the core identifier in the session identifier |
| US8700892B2 (en) | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US9338147B1 (en) | 2015-04-24 | 2016-05-10 | Extrahop Networks, Inc. | Secure communication secret sharing |
-
2010
- 2010-07-29 US US12/846,778 patent/US8700892B2/en active Active
- 2010-07-30 US US12/848,096 patent/US9210131B2/en not_active Expired - Fee Related
- 2010-12-13 US US12/967,006 patent/US9509663B2/en active Active
-
2011
- 2011-03-18 US US13/052,005 patent/US9100370B2/en not_active Expired - Fee Related
- 2011-03-18 WO PCT/US2011/029079 patent/WO2011116342A2/en active Application Filing
- 2011-03-18 US US13/051,994 patent/US9172682B2/en active Active
- 2011-03-18 EP EP11757098.6A patent/EP2548332A4/en not_active Withdrawn
- 2011-03-18 JP JP2013501341A patent/JP5744172B2/ja not_active Expired - Fee Related
- 2011-03-18 US US13/051,963 patent/US9166955B2/en not_active Expired - Fee Related
- 2011-03-21 CN CN2011200775469U patent/CN202206418U/zh not_active Expired - Fee Related
- 2011-03-21 CN CN201110070354.XA patent/CN102195878B/zh not_active Expired - Fee Related
-
2012
- 2012-03-06 HK HK12102232.0A patent/HK1161787A1/zh not_active IP Right Cessation
-
2013
- 2013-02-27 US US13/779,530 patent/US9178706B1/en active Active
-
2015
- 2015-09-11 US US14/851,783 patent/US9667601B2/en active Active
- 2015-09-16 US US14/856,127 patent/US9705852B2/en not_active Expired - Fee Related
-
2016
- 2016-11-18 US US15/356,471 patent/US20170142100A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070255784A1 (en) * | 2004-06-07 | 2007-11-01 | Hideaki Takechi | Communication System for Use in Communication Between Communication Equipment by Using Ip Protocol |
| JP2009505493A (ja) * | 2005-08-10 | 2009-02-05 | リバーベッド テクノロジー インコーポレイティッド | セキュア接続プロトコルのための分割された終了方法 |
| US20080046727A1 (en) * | 2006-08-21 | 2008-02-21 | Citrix Systems, Inc. | Systems and methods for optimizing ssl handshake processing |
| JP2008109404A (ja) * | 2006-10-25 | 2008-05-08 | Ricoh Co Ltd | 情報処理装置、通信方法およびプログラム |
| WO2009081502A1 (ja) * | 2007-12-26 | 2009-07-02 | Fujitsu Limited | 通信端末 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015056601A1 (ja) * | 2013-10-16 | 2015-04-23 | 日本電信電話株式会社 | 鍵装置、鍵クラウドシステム、復号方法、およびプログラム |
| JPWO2015056601A1 (ja) * | 2013-10-16 | 2017-03-09 | 日本電信電話株式会社 | 鍵装置、鍵クラウドシステム、復号方法、およびプログラム |
| US10686604B2 (en) | 2013-10-16 | 2020-06-16 | Nippon Telegraph And Telephone Corporation | Key device, key cloud system, decryption method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5744172B2 (ja) | 2015-07-01 |
| US9705852B2 (en) | 2017-07-11 |
| US9100370B2 (en) | 2015-08-04 |
| EP2548332A2 (en) | 2013-01-23 |
| US9667601B2 (en) | 2017-05-30 |
| EP2548332A4 (en) | 2015-07-15 |
| US20110231651A1 (en) | 2011-09-22 |
| CN202206418U (zh) | 2012-04-25 |
| US20110231649A1 (en) | 2011-09-22 |
| US9210131B2 (en) | 2015-12-08 |
| US9172682B2 (en) | 2015-10-27 |
| HK1161787A1 (zh) | 2012-08-03 |
| CN102195878B (zh) | 2015-07-22 |
| US20170142100A1 (en) | 2017-05-18 |
| WO2011116342A3 (en) | 2011-12-22 |
| US20110231923A1 (en) | 2011-09-22 |
| WO2011116342A2 (en) | 2011-09-22 |
| US20110231655A1 (en) | 2011-09-22 |
| CN102195878A (zh) | 2011-09-21 |
| US20160080328A1 (en) | 2016-03-17 |
| US8700892B2 (en) | 2014-04-15 |
| US9178706B1 (en) | 2015-11-03 |
| US20110231652A1 (en) | 2011-09-22 |
| US20160072811A1 (en) | 2016-03-10 |
| US9166955B2 (en) | 2015-10-20 |
| US20110231653A1 (en) | 2011-09-22 |
| US9509663B2 (en) | 2016-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5744172B2 (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
| US9742806B1 (en) | Accessing SSL connection data by a third-party | |
| JP2023116573A (ja) | クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ | |
| JP4245838B2 (ja) | セキュアクライアントサーバトランザクションを管理するための方法及びシステム | |
| JP4959750B2 (ja) | トランスコーディング・プロキシでの複数の起点サーバへの動的接続 | |
| EP1774438B1 (en) | System and method for establishing a virtual private network | |
| US20180176194A1 (en) | Service processing method and apparatus | |
| JP2007520797A (ja) | 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 | |
| JP2007514337A (ja) | 信頼性および持続性のある通信セッションを介したクライアントの自動的な再接続 | |
| Park et al. | Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake | |
| JP2006121510A (ja) | 暗号化通信システム | |
| JP2007515852A (ja) | カプセル化通信プロトコルを使用してネットワークコンポーネントをセキュアに横断する持続性および信頼性のあるセッション | |
| CA3149880A1 (en) | Systems and methods for network privacy | |
| Cisco | Introduction to Cisco IPsec Technology | |
| KR101594897B1 (ko) | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 | |
| EP3832949A1 (en) | Method for securing a data communication network | |
| Huang et al. | SSL Remote Access VPNs (Network Security) | |
| Rani | Enhancing Security of Network Applications | |
| Rao et al. | Virtual Private Networks | |
| Tiruchendur | An Efficient Approach to Secure VPN based on Firewall using IPSec & IPtables | |
| Gin | Building a Secure Short Duration Transaction Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140318 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141215 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150316 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150406 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150428 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5744172 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |