JP2014502435A - 自律型ネットワークを介するセキュアデータのストリームの転送の最適化手法 - Google Patents

自律型ネットワークを介するセキュアデータのストリームの転送の最適化手法 Download PDF

Info

Publication number
JP2014502435A
JP2014502435A JP2013534295A JP2013534295A JP2014502435A JP 2014502435 A JP2014502435 A JP 2014502435A JP 2013534295 A JP2013534295 A JP 2013534295A JP 2013534295 A JP2013534295 A JP 2013534295A JP 2014502435 A JP2014502435 A JP 2014502435A
Authority
JP
Japan
Prior art keywords
client
server
exchange
user
optimization module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013534295A
Other languages
English (en)
Other versions
JP5804480B2 (ja
Inventor
ミシェル ドラットル
ジャック プロヴォスト
Original Assignee
イパネマ テクノロジー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イパネマ テクノロジー filed Critical イパネマ テクノロジー
Publication of JP2014502435A publication Critical patent/JP2014502435A/ja
Application granted granted Critical
Publication of JP5804480B2 publication Critical patent/JP5804480B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

複数の情報生成ユーザーPiと複数の情報利用ユーザーCjとの間での、自律型ネットワークを介したセキュアデータのストリームの転送の最適化手法に関し、情報生成ユーザーPiと情報利用ユーザーCjとの間の各セキュアセッションに対して、非永続型のセキュリティ設定が、セキュアコントロールチャネルを介して、最適化モジュールと自律型エージェントとの間で交換されて、自律型エージェントと最適化モジュールとの間で、予め交換ネゴシエーションされるセキュリティ手続きが適用され、情報生成ユーザーPiと情報利用ユーザーCjとの間でのストリームの交換の間に、非永続型のセキュリティ設定を入手できる最適化モジュールが、該セッション中に、サーバーに対してクライアントとして見える。
【選択図】図4

Description

本発明は、通信分野のものであり、より具体的には、複数の情報生成ユーザーPiと複数の情報利用ユーザーCjとの間での、自律型ネットワークを介したセキュアデータのストリームの転送の最適化手法に関し、各ユーザーが少なくとも一つのクライアント及び/または少なくとも一つのサーバーを含み、該自律型ネットワークが、データストリームの転送を最適化する命令を発令する少なくとも一つの中央エレメントと、転送されるストリームの特性を計測する少なくとも一つの観察モジュールと、少なくとも一つの最適化モジュールであって、観察モジュールにより得られる測定値を考慮しつつ、中央エレメントにより発令される、転送を最適化する命令を適用し、クライアント及びサーバーが、情報生成ユーザーPiと情報利用ユーザーCjとの間で交換されるストリームの相互の認証設定及びセキュリティ設定を交換するように構成され、また、交換の完全性をチェックし、該セキュリティ設定及び該認証設定に従い機密性の保護を実行する、最適化モジュールと、を含む。
また、本発明は、本発明による手法を実行する装置に関する。
また、本発明は、コンピュータで実行された場合に、本発明による手法を実行する命令を含む、記録媒体に記録されたコンピュータプログラムに関する。
通信ネットワークの最新の研究開発で、サーバーは、もはや会社やユーザーグループの十分に認識された周辺に置く必要はなく、拡張されたWAN(広域ネットワーク)の周囲に分散される。その結果、データストリームの交換に参加する機能と、これらのストリームの完全性と、これらのストリームの機密性とを認証するセキュリティシステムは、もはや周辺の保護原理にのみ基づく必要はない。分散が増加する過程の主な脅威の一つである、IDの不正利用は、関連する不正動作、または、権利に対して不適切に得られるアクセスを可能とする。IDの不正利用に対する最も一般的な技術の一つは、フィッシング詐欺であり、情報利用者または情報生産者に、彼らが信頼できる第三者に接触していると信じさせることにある。
その結果、交換されるデータストリームの完全性及びこの交換の参加者の信頼性を保障することが、不可欠である。
WANネットワークに特有の他の技術的問題は、ネットワークの特性が、ストリームを著しく歪め、ネットワーク化されたアプリケーションのエクスペリエンスの品質を大きく損なう、という事実に起因する。
その結果、ストリームを最適化するシステムが、不正利用の脅威に曝され得ることなく、トラストチェーンに導入される必要がある。
IETFにより定義されるIPsec(インターネットプロトコルセキュリティ)は、IPネットワーク上でのセキュアデータの伝送を可能とするアルゴリズムを用いる、プロトコルのセットである。このプロトコルにより、IPsec伝送を行い得る前に、セキュアトンネルの両端で、認証メカニズムが実行される必要がある。このメカニズムは、高い機密性レベルでストリームのマスキングを遂行するための基盤インフラストラクチャーに適した、非常に静的なセキュリティアーキテクチャの一部を形成する。これは、セキュリティの関連性が計画されること、及び、パケットモードにおけるオープンネットワーク上に論理的結線が存在することを必要とする。そして、最適化システムは、この論理的結線から上流に配置され、アプリケーションが展開されるトラストゾーンの不可欠な部分を形成する。このシステムは、ルールにより、または、自律メカニズムにより、さらにエリア内で調整されてもよい。この調整は、最適化の能力、例えば冗長な情報辞書の共有を可能とする。この共有は、実質的には、このシステムの有効性を増す。
しかしながら、停電または有事の際における、サービスの柔軟性、ローミング、及び継続性は、ネットワーク上での論理的な結線の分離につながる。同時に、セキュアネットワーク内での損傷エレメントの脅威の増加で、より正確なアクセス制御が必要となる。これは、通常アプリケーションストリームを低減するセキュアトンネルを動的に作るクライアントサーバーモードプロトコルの、より広い利用につながる。従って、以前はSSL(Secure Socket Layer)と呼ばれた、TLS(Transport Layer Security)インターネット交換セキュリティプロトコル、及び、UDPデータグラム専用のDTLS等のその拡張は、サーバーの認証を可能とするディジタル証明書と、クライアントの強力な認証にさえも依存する。そして、最適化システムは、アプリケーションに一体化された単なる機能であり、WANネットワークで相互に交流する複数のアプリケーションおよび複数のユーザーの調整が困難になる。そして、WANネットワークで拡散される最適化システムで、またはそれらのアクセスで達成される有効性が、失われる。
TLSプロトコルは、データセンターの周辺内部に組み込まれるアプリケーション最適化システムにおいて、広く採用されてきた。この成功は、暗号処理を加速するソリューションの発見を必要とした(SSLオフロード)。サーバーから分離されたシステムが、SSL処理に導入され、専用化された。その集中化と、アプリケーションサーバーとのコロケーションは、認証の基盤として用いられるディジタル証明書を簡単に複製可能とした。この証明書は、公開鍵とサーバーIDとの間の関連性が有効であると公表する認証局により署名されている。RSA研究所により設計された手続き(PKCS公開鍵暗号標準)等の手続きが、広く採用されている。通常、認証局に対して証明書の要求が発行される前に、公開鍵−秘密鍵のペアが発行され、秘密鍵が保護される。サーバー及び最適化システムの共同管理は、所与の署名済み証明書に対して、関連する公開鍵が組み込まれる複数の施設が存在する可能性を意味する。アプリケーション最適化システムの第一世代は、特に単一点で最適化の原則を用いたため、これらの原則を継承している。
しかしながら、最適化の最大の効果は、セキュアトンネルの両端でのシステムの展開によってのみ、達成可能である。
特許文献1は、SSL認証マネージャーをデータセンターに残しつつ、クライアントにできる限り近く配置される第一の最適化システムにおいてSSLセッションを終了する方法を記述している。この最適化システムは、最適化されたストリームが流出の恐れなしに交換可能なセキュアインフラストラクチャーの一部を形成する。
しかしながら、この方法は、最適化システムが企業の論理的結線の一部を形成するアーキテクチャの一部を形成し、柔軟性、ローミング、サービスの持続性、WANネットワークから上流の増加する破損エレメントの脅威、及び、通信オペレーター、サービスプロバイダー、及び企業組織の責任が併合される複数パーティのダイアグラムの新たな要求に対してはもはや適切ではない。
図1は、先行技術のセキュリティ手続きを実行するクライアント−サーバーアーキテクチャの図を示す。
このアーキテクチャは、複数のアプリケーションサーバー4と、第一の処理加速モジュール6と、交換セキュリティモジュール8とをホストする、データセンター2を含む。データセンター2は、WANネットワーク9を介して、複数のクライアント12と第二の処理加速モジュール14とを含むリモートロケーション10に接続される。
第一の処理加速モジュール6及び交換セキュリティモジュール8は、共通のアドミニストレーション内で、協働する。交換セキュリティモジュール8は、サーバー4の認証に必要な秘密鍵を保持する。交換セキュリティモジュールは、第一の処理加速モジュール6に対して、ストリームを解読可能とする、現在のクライアント−サーバーセッションに関する暗号要素を送信する。その返信において、第一の処理加速モジュール6は、一セッションのストリームを解読し、それらを再度暗号化する前に最適化するために、この暗号要素を、データセンター2に送信する。
このアーキテクチャにおいて、モジュール4、6、及び8はデータセンター2の安全な周辺にあり、集中的に管理される。
まとめると、先行技術は、
−最適化サーバー及び装置がサービスプロバイダーの信頼できる周辺内に関連付けられ、互換性のある最適化システムがクライアントにできる限り近く配置され、
−または、企業のデータセンターの周辺の最適化システムが、企業のクライアントに対して、“クラウドコンピューティング”サービスとして振る舞うように認証される、ことを必要とする。
しかしながら、複数のサービスプロバイダーがある場合、それらのサービスプロバイダーに適合する最適化システムのクライアントサイト上への導入は、モバイルプラットフォーム(携帯電話及びスマートフォン)内でのセキュアサービスの実行時に見られるものと同種類の実施困難性に直面する。これに関連して提案される一解決策は、単一のハードウェアプラットフォームにおいて、異なるサービスプロバイダーの環境を区切ることで構成される。この解決策は、携帯電話会社に大きく関与する、これらのプラットフォーム及びセキュリティアーキテクチャの標準化の強化を必要とする。このアークテクチャのキーとなるエレメントは、SIMカードであり、全てに認証される信頼性のあるエレメントである。また、クライアントサイトのシステムが不理にならないように、最適化システム間での交換のある程度の標準化も必要となる。
また、データセンターのシステムに“クラウドコンピューティング”サービスとしての振る舞いを可能とすることは、交換が、最適な経路にある必要のない所望のゲートウェイの通過を強いられないため、実質的に、ローミングクライアントに対して、“クラウドコンピューティング”の利点を低減する。
クライアントサイト及びデータセンターサイト双方のシステムの最適化を行い、複数のサービスプロバイダーとの合意をも有するデータセンターを、通信事業者の周辺内に存在させることが、一選択肢である。
双方の場合において、信頼性のある認証手続きの組み込みに関する作業は、複数のエージェントが存在するという事実に因り、実質的により複雑になる。
本発明の目的は、上述した先行技術の不完全さを補償することである。
本発明の他の目的は、クライアントとサーバー間での認証手続きを変えずに、“クラウドコンピューティング”タイプのセキュアサービスの展開を可能とすることである。
従って、本発明は、複数の情報生成ユーザーPiと複数の情報利用ユーザーCjとの間での、自律型ネットワークを介したセキュアデータのストリームの転送の最適化手法であって、各ユーザーが少なくとも一つのクライアント及び/または少なくとも一つのサーバーを含み、前記自律型ネットワークが、前記転送を最適化する命令を発令する少なくとも一つの中央エレメントと、転送される前記ストリームの特性を計測する少なくとも一つの観察モジュールと、少なくとも一つの最適化モジュールであって、前記観察モジュールにより得られる測定値を考慮しつつ前記最適化する命令を適用し、この最適化においては、前記クライアント及び前記サーバーが、前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間で交換される前記ストリームの相互の認証設定及びセキュリティ設定を交換するように構成され、この交換ネゴシエーションの後に、転送された前記ストリームの完全性をチェックし、交換ネゴシエーションされた前記セキュリティ設定に従い機密性の保護を実行する、最適化モジュールと、を含む方法を提案する。
本発明による方法は、以下のステップを含む。
情報生成ユーザーPiと情報利用ユーザーCjとの間での各セキュアセッションに対して、
a)サーバー対し地理的にできる限り近く配置される最適化モジュールにより、クライアントとサーバーとの間でのセキュアセッションの開始を検出するステップ、
b)前記最適化モジュール内において、前記クライアントと前記サーバーとの間の前記交換ネゴシエーションの期間中に、待機期間を導入するステップ、
c)前記待機期間中に、前記最適化モジュールと前記クライアントに関連する自律型エージェントとの間にセキュアコントロールチャネルを確立するステップ、
d)前記セキュアコントロールチャネルを介して、前記最適化モジュールと前記自律型エージェントとの間で、非永続型のセキュリティ設定を交換するステップ、
e)前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間でのストリームの交換中に、非永続型のセキュリティ設定を有する前記最適化モジュールが、前記セッション中に、前記サーバーに対して、クライアントとして見えるように、前記自律型エージェントと前記最適化モジュールとの間で、前記非永続型のセキュリティ設定を用いて、セキュリティ手続きを適用するステップ。
本発明の一特性によれば、前記クライアントは、一連のクライアントを代理するプロキシであってもよい。
前記クライアントは、専用のコントロールチャネルを介して、前記自律型ネットワークのコアと直接通信することが好ましい。
本発明による方法の特有の実施形態では、前記クライアントと前記サーバーとの間の相互の認証は、前記ストリームがIPsecプロトコルにより秘匿される場合、インターネット鍵交換(IKE)法により遂行され、または、前記ストリームが、セキュアソケットレイヤー(SSL)またはトランスポートレイヤーセキュリティ(TLS)型のプロトコルにより秘匿される場合、ディジタル証明書の交換法により遂行される。
本発明による方法は、複数の情報生成ユーザーPiと複数の情報利用ユーザーCjとの間での、自律型ネットワークを介して交換されるセキュアデータのストリームの転送の最適化システムであって、前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間で交換される前記ストリームの相互の認証設定及びセキュリティ設定を交換ネゴシエーションし、この交換ネゴシエーションの後に、前記交換の完全性をチェックし、前記ストリームの前記相互の認証設定及び前記セキュリティ設定により機密性の保護を実行するように構成された、少なくとも一つのクライアント及び/または少なくとも一つのサーバーを各ユーザーが含み、前記自律型ネットワークが、前記転送を最適化する命令を発令する少なくとも一つの中央エレメントと、最適化される前記ストリームの特性を測定する少なくとも一つの観察モジュールと、前記観察モジュールにより得られる測定値を考慮しつつ前記最適化の命令を適用する少なくとも一つの最適化モジュールと、を含むシステムにより実行される。
本発明によれば、前記最適化モジュールは、前記クライアントと前記サーバーとの間でのセキュアセッションの開始を検出する手段と、前記クライアントと前記サーバーとの間の前記交換ネゴシエーションの期間中に、待機期間を導入する手段と、前記待機期間中に、前記クライアントに一体化された自律型エージェントとセキュアコントロールチャネルを確立して、前記最適化モジュールと前記自律型エージェントとの間で非永続型セキュリティ設定を交換する手段と、前記自律型エージェントと前記最適化モジュールとの間に、前記非永続型のセキュリティ設定を用いて、セキュリティ手続きを適用する手段と、
を含み、前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間でのストリームの交換中に、前記非永続型のセキュリティ設定を有する前記最適化モジュールが、前記セッション中に、前記サーバーに対して、クライアントとして見える。
本発明の他の特性及び利点は、添付図面を参照して、非限定的な例として与えられる以下の記述から明確になるであろう。
先行技術のセキュリティ手続きを実施するクライアント−サーバーアーキテクチャの図を示す。 自律型ネットワークにおいて本発明によるセキュリティ手続きを実施するクライアント−サーバーアーキテクチャの図を示す。 本発明のセキュリティ手続きを実施する自律型エージェントを統合するクライアントの図の一例を示す。 本発明による方法の第一の実施形態における、クライアント、最適化モジュール、及びサーバー間の交換を示す。 本発明による方法の第二の実施形態における、クライアント、最適化モジュール、及びサーバー間の交換を示す。
本発明は、図2〜図5を参照して記述され、それらの図において、同一の符号は、同一の機能を実行する構成要素を指す。
図2は、アプリケーションサーバー4と、処理加速モジュール6とをホストする、第一のセキュアゾーン20を含む、クライアント−サーバーアーキテクチャの図を示す。第一のセキュアゾーン20は、自律型ネットワーク30を介して、例えば、それぞれが自律型エージェント42を統合するクライアント40を含む企業または部署等の、第二のセキュアゾーン22に接続されている。
自律型ネットワーク30は、第一のセキュアゾーン20と第二のセキュアゾーン22との間で、データ転送を最適化する命令を発令する中央エレメント44と、転送されるストリームの特性を測定する観察モジュール46と、観察モジュール46により得られる測定値を考慮しつつ、該最適化する命令を適用する最適化モジュール48と、クライアント40とアプリケーションサーバー4との間で事前に交換ネゴシエーションされるセキュリティ設定及び認証設定の転送を許可し、または禁止するために、中央エレメント44により課せられる命令を適用するように構成される、調整モジュール50と、を含む。
作動中、セキュアセッションが自律型エージェント42の一つとサーバー4の一つとの間で開始される際に、このセッションの開始が、最適化モジュール48の一つにより自動的に検出される。最適化モジュールは、ネットワーク30に対して自身を知らせるために調整モジュール50と認証データを交換済みの自律型エージェント42に対して、そのサービスを提供する。例えば、この検出は、自律型ネットワークの中心部において、クライアントによりサーバーに向けて発行されるSSLプロトコルのHELLO SERVERメッセージと、自律型エージェント42により事前に供給される認証データの一部を形成するクライアントのIPアドレスとを認知した場合に生じ、このことは、最適化モジュール48に知られる。最適化モジュール48は、クライアント40とサーバー4との間の交換ネゴシエーションを待ち、この待機期間中に、自律型エージェント42とセキュアコミュニケーションチャネルを確立する。このセキュアコミュニケーションチャネルを利用しながら、最適化モジュール48は、自律型エージェント42に対して、セキュリティストリームの転送の最適化と、様々な方法を用いたトラストチェーンへの自身の挿入とを提案する。
第一の方法は、クライアント40とサーバー4との間でのセキュアストリームが、サーバー4に対して透過的な方法で処理可能であるように、クライアント40に、アプリケーションサーバー4とのセキュリティ設定の交換ネゴシエーションを継続させ、セキュアコミュニケーションチャネルを用いて、交換ネゴシエーションされたセキュリティ設定の受取りを継続させることで構成される。
他の方法は、最適化モジュール48からの、クライアント40とサーバー4との間の交換ネゴシエーションの修正と、クライアント40に対する認証設定の動的な発生とで構成される。セキュアセッションの期間中、最適化モジュール48は、クライアント40に対してサーバー4として振る舞い、またはサーバー4に対してクライアント40として振る舞う。
続いて、クライアント40とサーバー4との間でのストリームの交換の間に、最適化モジュール48が、そのセッションの間、サーバー4に対するクライアント40として見えるように、交換ネゴシエーションされたセキュリティ手続きが、自律型エージェント42と最適化モジュール48との間で適用される。
例えば、セキュリティ手続きは、以下のようなSSLプロセスの適用で構成される。
−クライアント40から伝送され、自律型エージェントによる最適化される、各データパケットの、番号割り当て及び署名、
−交換ネゴシエーションされたアルゴリズムと、このアルゴリズムの構築のための交換ネゴシエーションされた設定を用いての、クライアント40から伝送されるデータパケットの中身の暗号化、
−交換ネゴシエーションされたアルゴリズムでの、最適化モジュール48により傍受されるデータパケットの中身の解読、
−クライアント40により用いられたものと同じ方法を用いた、最適化モジュール48からサーバー4へ伝送される各データパケットの再番号割り当て及び署名、
−同一の交換ネゴシエーションされたアルゴリズムと、このアルゴリズムの構築のための同一の交換ネゴシエーションされた設定を用いての、最適化モジュール48からサーバー4へ向けて再伝送されるデータパケットの中身の暗号化、
−クライアント40から直接来たかのような、サーバー4で受信されるデータパケットの処理。
本発明による好ましい一実施形態では、クライアント40とサーバー4との間で交換ネゴシエーションされたセキュリティ設定の自律型エージェント42から最適化モジュール48への転送は、中央エレメント44により課せられる命令を適用するように設けられる調整モジュール50により、認証を受けることに留意されたい。
本発明による方法の第二の実施形態では、該転送は、クライアント40のアドミニストレーターにより規定されるルールを受け、そのルールは、ある特定のストリームを最適化しないこと、または、最適化されたセッションをログに記録すること、または、クライアント40のユーザーに、ユーザーが使っているセキュアセッションが最適化されたことを知らせる警告を発することで構成される。クライアント40のアドミニストレーターは、例えば、企業のデータマネージャーである。この企業は、ユーザー間の、及び、ユーザーとサービスプロバイダーのサーバーとの間のストリームの最適な転送を、通信事業者のサービスに頼ることができる。企業に対するサービスプロバイダーの公知例は、GOOGLE APPS(登録商標)及びMICROSOFT BPOS(登録商標)(Business Productivity On Line Suite)がある。企業とサービスプロバイダーとを信頼関係が繋ぎ、この関係は、サービスプロバイダーのサーバー及び企業のユーザーの相互認証に基づいている。また、企業と通信事業者とを信頼関係が繋ぎ、これは、サービス契約に基づいている。セキュアストリームの転送の最適化は、通信事業者により管理されるエレメントが、企業のユーザーとサービスプロバイダーとの間のチェーントラスト内に、ストリーム毎に挿入されることを必要とする。従って、この転送は、高い信頼性の保証を可能とし、検証手段の提供を可能とするルールに支配される。
また、調整モジュール50は、セキュアストリームが経路を変更する際に、二つの独立した最適化モジュール48間において、最適化の作用の転送を調整するように構築されている。
図3は、アプリケーション70と、オペレーティングシステム72とを含む、クライアント40の一例を示し、このクライアントは、ネットワークインターフェース74を介して、ネットワークに接続される。このクライアント40は、最適化モジュール48と暗号化モジュール84とを含む、自律型エージェント80を含む。
暗号化モジュール84は、例えば、オペレーティングシステム72に対して、スマートカードまたはSSL加速カードとして振る舞う。その結果、暗号化モジュールは、ディジタル証明書の秘密鍵及び認証機関の証明書を有することなく、セッションの暗号化エレメントにアクセスする。
図4は、本発明による方法の第一の実施形態を示し、最適化モジュール48からサーバー4へ再伝送される各データパケットが、クライアント40により用いられる同じ方法を用いて、再番号割り当て及び署名される。
図4を参照すると、ステップ100において、クライアント40は、SSLプロトコルのメッセージHELLO SERVERを、サーバー4に送る。このメッセージは、サーバーにできる限り近い最適化モジュール48により傍受される。このメッセージは、最適化モジュール48で処理される一方、セキュアチャネルを介して、クライアント40と最適化モジュール48との間で、自動制御ハンドシェイク手続きが開始される(ステップ102)。
ステップ104において、最適化モジュール48は、傍受したメッセージHELLO SERVERを、サーバー4へ送信する。
ステップ106において、サーバー4は、サーバー4の認証証明を含むメッセージHELLO SERVERを、クライアント40に返す。
ステップ108において、セキュリティ設定を交換ネゴシエーションする手続きが、クライアント40とサーバー4との間で開始される。
ステップ110において、クライアント40は、ステップ108においてサーバー4と交換ネゴシエーションしたセキュリティ設定を、最適化モジュール48に送る。
ステップ112において、クライアント40及びサーバー4は、交換ネゴシエーション手続き終了のSSL信号を交換する。
ステップ114において、クライアント40及びサーバー4は、ステップ110において受信されたセッションのセキュリティ設定を有する最適化モジュール48により直ちに処理されるデータを交換する。
全てのデータが交換されると、ステップ116において、クライアント40とサーバー4は、通信終了信号を交換する。
図5は、本発明による方法の第二の実施形態を示し、最適化モジュール48からサーバー4へ再伝送されるデータパケットの内容が、アルゴリズム、及び、クライアント40として振る舞う最適化モジュール48とサーバー4との間で交換ネゴシエーションされるこのアルゴリズムの構造設定を用いることにより、暗号化される。
本実施形態では、ステップ100、102及び104は、図4のステップと同一である。
ステップ120において、サーバー4は、サーバー4の認証証明を含むメッセージHELLO SERVERを、最適化モジュール48に返す。
ステップ122において、最適化モジュール48は、サーバーの認証証明のデータと、ステップ102のハンドシェイクの間に得られる開始データとを用いて、メッセージHELLO SERVERを、クライアント40に送る。
ステップ124において、セキュリティ設定を交換ネゴシエーションする手続きが、クライアント40として振る舞う最適化モジュール48とサーバー4との間で開始される。
ステップ126において、セキュリティ設定を交換ネゴシエーションする手続きが、クライアント40と、ステップ102のハンドシェイクに従ってサーバー4として振る舞う最適化モジュール48との間で開始される。
ステップ128において、クライアント40と最適化モジュール48は、ハンドシェイク手続き終了信号を交換する。
ステップ130において、サーバー4と最適化モジュール48は、ハンドシェイク手続き終了信号を交換する。
ステップ132において、クライアント40と最適化モジュール48は、データを交換する。
ステップ134において、最適化モジュール48とサーバー4は、該データを交換する。
全てのデータが交換されると、ステップ140において、クライアント40と最適化モジュール48は、通信終了信号を交換する。
同様に、ステップ142において、最適化モジュール48は、サーバー4と通信終了信号を交換する。
例えば、最適化モジュール48は、クライアント40のセキュリティアーキテクチャに侵入し、その活動がクライアント40のアドミニストレーターにより厳格に規定される、暗号化サービスプロバイダーであってもよい。
本発明による方法は、電話通信、ビデオ通信、ビデオ会議等の、マルチメディア通信アプリケーション、または、ビデオオンデマンド、放送、コンテンツ放送等のマルチメディア分散アプリケーション、または、番号案内、双方向サービス等の相談アプリケーション、または、ピアツーピア交換、分散データベース等の情報共有アプリケーション、または、エレメントがリモートマシンで実行され、互いに同期して自律型ネットワーク上でデータを交換するコンピュータアプリケーションにより生じるセキュアデータのストリームを、最適化するために適用される。
US 2007/0074282

Claims (11)

  1. 複数の情報生成ユーザーPiと複数の情報利用ユーザーCjとの間での、自律型ネットワーク(30)を介したセキュアデータのストリームの転送の最適化手法であって、
    各ユーザーが少なくとも一つのクライアント(40)及び/または少なくとも一つのサーバー(4)を含み、
    前記自律型ネットワークが、
    前記転送を最適化する命令を発令する少なくとも一つの中央エレメント(44)と、
    転送される前記ストリームの特性を計測する少なくとも一つの観察モジュール(46)と、
    少なくとも一つの最適化モジュール(48)であって、前記観察モジュール(46)により得られる測定値を考慮しつつ前記最適化する命令を適用し、この最適化においては、前記クライアント(40)及び前記サーバー(4)が、前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間で交換される前記ストリームの相互の認証設定及びセキュリティ設定を交換するように構成され、この交換ネゴシエーションの後に、転送された前記ストリームの完全性をチェックし、前記セキュリティ設定及び前記認証設定に従い機密性の保護を実行する、最適化モジュールと、
    を含み、
    以下のステップを含むことを特徴とする方法。
    情報生成ユーザーPiと情報利用ユーザーCjとの間での各セキュアセッションに対して、
    a)サーバー(4)に対し地理的にできる限り近く配置される最適化モジュール(48)により、クライアント(40)とサーバー(4)との間でのセキュアセッションの開始を検出するステップ、
    b)前記最適化モジュール(48)内において、前記クライアント(40)と前記サーバー(4)との間の前記交換ネゴシエーションの期間中に、待機期間を導入するステップ、
    c)前記待機期間中に、前記最適化モジュール(48)と前記クライアント(40)に関連する自律型エージェント(42)との間にセキュアコントロールチャネルを確立するステップ、
    d)前記セキュアコントロールチャネルを介して、前記最適化モジュール(48)と前記自律型エージェント(42)との間で、非永続型のセキュリティ設定を交換するステップ、
    e)前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間でのストリームの交換中に、非永続型のセキュリティ設定を有する前記最適化モジュールが、前記セキュアセッション中に、前記サーバーに対して、クライアントとして見えるように、前記自律型エージェント(42)と前記最適化モジュール(48)との間で、前記非永続型のセキュリティ設定により開始されるセキュリティ手続きを適用するステップ。
  2. 前記クライアント(40)と前記サーバー(4)との間で交換ネゴシエーションされる前記セキュリティ設定及び前記認証設定の、前記自律型エージェント(42)から前記最適化モジュール(48)への前記転送が、前記転送の許可または禁止のために前記中央エレメント(44)により課される命令を適用する調整モジュール(50)の認証を受ける、
    請求項1に記載の方法。
  3. 前記クライアント(40)と前記サーバー(4)との間で交換ネゴシエーションされる前記セキュリティ設定及び前記認証設定の、前記自律型エージェント(42)から前記最適化モジュール(48)への前記転送が、前記クライアント(40)のアドミニストレーターにより事前に定義される少なくとも一つのルールを受ける、
    請求項1に記載の方法。
  4. 前記ルールが、ある特定のストリームを最適化しないこと、または、最適化される前記セキュアセッションをログに記録すること、または、前記クライアント(40)のユーザーに、ユーザーが使っている前記セキュアセッションが最適化されたことを知らせる警告を発すること、で構成される、
    請求項3に記載の方法。
  5. 前記調整モジュール(50)は、セキュアストリームが経路を変更する際に、二つの独立した最適化モジュール(48)間において、最適化の作用の転送を調整する、
    請求項2に記載の方法。
  6. 前記クライアント(4)が、専用のコントロールチャネルを介して、前記自律型ネットワークのコアと直接通信する、
    請求項1に記載の方法。
  7. 情報生成ユーザーPiと情報利用ユーザーCjとの間で交換される前記セキュアデータのストリームが、電話通信、ビデオ通信、ビデオ会議等の、マルチメディア通信アプリケーション、または、ビデオオンデマンド、放送、コンテンツ放送等のマルチメディア分散アプリケーション、または、番号案内、双方向サービス等の相談アプリケーション、または、ピアツーピア交換、分散データベース等の情報共有アプリケーション、または、エレメントがリモートマシンで実行され、互いに同期して前記自律型ネットワークを越えてデータを交換するコンピュータアプリケーション、により生じる、
    請求項1に記載の方法。
  8. 前記クライアント(40)と前記サーバー(4)との間の相互の認証が、前記ストリームがIPsecプロトコルにより秘匿される場合、インターネット鍵交換(IKE)法に基づき、または、前記ストリームが、セキュアソケットレイヤー(SSL)またはトランスポートレイヤーセキュリティ(TLS)型のプロトコルにより秘匿される場合、ディジタル証明書の交換法に基づく、
    請求項1に記載の方法。
  9. 前記クライアント(40)が、一連のクライアントを代理するプロキシである、
    請求項8に記載の方法。
  10. 複数の情報生成ユーザーPiと複数の情報利用ユーザーCjとの間での、自律型ネットワーク(30)を介して交換されるセキュアデータのストリームの転送の最適化システムであって、
    前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間で交換される前記ストリームの相互の認証設定及びセキュリティ設定を交換ネゴシエーションし、この交換ネゴシエーションの後に、交換の完全性をチェックし、前記ストリームの前記セキュリティ設定に従い機密性の保護を実行するように構成される、少なくとも一つのクライアント(40)及び/または少なくとも一つのサーバー(4)を各ユーザーが含み、
    前記自律型ネットワーク(30)が、
    前記転送を最適化する命令を発令する少なくとも一つの中央エレメント(44)と、
    最適化される前記ストリームの特性を測定する少なくとも一つの観察モジュール(46)と、
    前記観察モジュール(46)により得られる測定値を考慮しつつ前記最適化の命令を適用する少なくとも一つの最適化モジュール(48)と
    を含み、
    前記最適化モジュール(48)が、
    前記クライアント(40)と前記サーバー(4)との間でのセキュアセッションの開始を検出する手段と、
    前記クライアント(40)と前記サーバー(4)との間の前記交換ネゴシエーションの期間中に、待機期間を導入する手段と、
    前記待機期間中に、前記クライアント(40)に一体化された自律型エージェント(42)とセキュアコントロールチャネルを確立して、前記最適化モジュール(48)と前記自律型エージェント(42)との間で非永続型のセキュリティ設定を交換する手段と、
    前記自律型エージェント(42)と前記最適化モジュール(48)との間で、前記非永続型のセキュリティ設定を用いて、セキュリティ手続きを適用する手段と、
    を含み、
    前記情報生成ユーザーPiと前記情報利用ユーザーCjとの間でのストリームの交換中に、前記非永続型のセキュリティ設定を有する前記最適化モジュール(48)が、前記セキュアセッション中に、前記サーバーに対して、クライアントとして見えること、
    を特徴とするシステム。
  11. 記録媒体に記録されるコンピュータプログラムであって、コンピュータにより実行される場合に、請求項1に記載の方法を実行する命令を含む、コンピュータプログラム。
JP2013534295A 2010-10-21 2011-10-18 自律型ネットワークを介するセキュアデータのストリームの転送の最適化手法 Expired - Fee Related JP5804480B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1058621A FR2966669B1 (fr) 2010-10-21 2010-10-21 Procede d'optimisation du transfert de flux de donnees securises via un reseau autonomique
FR1058621 2010-10-21
PCT/EP2011/068185 WO2012052434A1 (fr) 2010-10-21 2011-10-18 Procede d'optimisation du transfert de flux de donnees securises via un reseau autonomique

Publications (2)

Publication Number Publication Date
JP2014502435A true JP2014502435A (ja) 2014-01-30
JP5804480B2 JP5804480B2 (ja) 2015-11-04

Family

ID=43587113

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013534295A Expired - Fee Related JP5804480B2 (ja) 2010-10-21 2011-10-18 自律型ネットワークを介するセキュアデータのストリームの転送の最適化手法

Country Status (9)

Country Link
US (1) US9137264B2 (ja)
EP (1) EP2630765B1 (ja)
JP (1) JP5804480B2 (ja)
AU (1) AU2011317598B2 (ja)
BR (1) BR112013009581A2 (ja)
CA (1) CA2814787A1 (ja)
ES (1) ES2544047T3 (ja)
FR (1) FR2966669B1 (ja)
WO (1) WO2012052434A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3661159A1 (en) * 2013-07-08 2020-06-03 SSH Communications Security Oyj Trust relationships in a computerized system
FR3010600B1 (fr) 2013-09-09 2017-01-06 Ipanema Tech Procede de transmission de flux de donnees a travers un reseau de telecommunication

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US7289632B2 (en) * 2003-06-03 2007-10-30 Broadcom Corporation System and method for distributed security
US20070074282A1 (en) 2005-08-19 2007-03-29 Black Jeffrey T Distributed SSL processing
US8214635B2 (en) * 2006-11-28 2012-07-03 Cisco Technology, Inc. Transparent proxy of encrypted sessions
US20090178131A1 (en) * 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management
US8707043B2 (en) * 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
US8700892B2 (en) * 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion

Also Published As

Publication number Publication date
FR2966669B1 (fr) 2013-07-05
JP5804480B2 (ja) 2015-11-04
FR2966669A1 (fr) 2012-04-27
AU2011317598B2 (en) 2014-11-06
WO2012052434A1 (fr) 2012-04-26
US20130268995A1 (en) 2013-10-10
ES2544047T3 (es) 2015-08-27
EP2630765B1 (fr) 2015-04-29
US9137264B2 (en) 2015-09-15
AU2011317598A1 (en) 2013-05-02
EP2630765A1 (fr) 2013-08-28
BR112013009581A2 (pt) 2016-07-12
CA2814787A1 (fr) 2012-04-26

Similar Documents

Publication Publication Date Title
US11303616B2 (en) System and method for a multi system trust chain
US8788805B2 (en) Application-level service access to encrypted data streams
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
US10389524B2 (en) Introducing middleboxes into secure communications between a client and a server
US9369491B2 (en) Inspection of data channels and recording of media streams
US6792534B2 (en) End-to end protection of media stream encryption keys for voice-over-IP systems
US8214635B2 (en) Transparent proxy of encrypted sessions
WO2017181894A1 (zh) 终端连接虚拟专用网的方法、系统及相关设备
JP2016067054A (ja) ワイヤレス・ネットワークにおいてデジタル証明書を管理するためのフレキシブルなシステムおよび方法
EP3633949A1 (en) Method and system for performing ssl handshake
US20170111269A1 (en) Secure, anonymous networking
US20100095361A1 (en) Signaling security for IP multimedia services
JP5804480B2 (ja) 自律型ネットワークを介するセキュアデータのストリームの転送の最適化手法
US20080104693A1 (en) Transporting keys between security protocols
US20230108261A1 (en) Management, diagnostics, and security for network communications
CN107277044B (zh) 发布与接入网络加密锁服务的方法以及装置
US20240097903A1 (en) Ipcon mcdata session establishment method
JP2008160497A (ja) 通信システムおよび通信方法
Penaflor Rey et al. Designing Secure and Scalable end-to-end Private Network Connections between sites via Overlay Tunnels
Zheng et al. Research and implementation of wireless security acess system
TIB Virtual Private Networks and Their Use in Support of National Security and Emergency Preparedness (NS/EP)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150804

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150825

R150 Certificate of patent or registration of utility model

Ref document number: 5804480

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees