JP2022500889A - データ通信ネットワークのセキュリティ方法 - Google Patents

データ通信ネットワークのセキュリティ方法 Download PDF

Info

Publication number
JP2022500889A
JP2022500889A JP2021505783A JP2021505783A JP2022500889A JP 2022500889 A JP2022500889 A JP 2022500889A JP 2021505783 A JP2021505783 A JP 2021505783A JP 2021505783 A JP2021505783 A JP 2021505783A JP 2022500889 A JP2022500889 A JP 2022500889A
Authority
JP
Japan
Prior art keywords
key
application
architecture
secure
data communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021505783A
Other languages
English (en)
Inventor
マシュー,フランシスコ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nouvenn Corp
Original Assignee
Nouvenn Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nouvenn Corp filed Critical Nouvenn Corp
Publication of JP2022500889A publication Critical patent/JP2022500889A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本特許出願はコンピュータの分野に関し、より具体的にはデジタルデータ通信の保護に関し、オペレーティングシステムの最下層に、またはハードウェアやファームウェアにさえ実装できるアーキテクチャを開示し、2つのホスト間の機密性と安全な相互認証を具えた透過性のあるサービスを提供する。【選択図】なし

Description

本発明特許の対象は、IT文書の分野に属し、データ通信保護でより正確に使用される実用的で革新的な「データ通信ネットワークのセキュリティ方法」である。
より具体的には、本発明は、接続されたソリューションのセキュアな実装を可能にする新規なアーキテクチャに言及している。このアーキテクチャは、通常は人間が管理する公開鍵インフラストラクチャ(PKI)に依存せずに、分散手段による鍵交換を使用して、透過的かつ自動的な方法で、ネットワーク通信の機密性に加えて、接続されたデバイス間の相互認証サービスを提供する。
このため、本特許出願では、非常に実用的であり、その使用において大きな利点を提供するために特別に設計および開発された通信アーキテクチャを提供する。
したがって、これはデータ通信のセキュリティ方法を提供するために完全かつ効率的に開発された製品であり、機能特性と製品の信頼性の両方について、それ自体が提供するものに大きな信頼性を提供する。
「Method and apparatus for end-to-end secure data communication」と題された特許文献US20020042875A1は、アプリケーションに変更を加えることなく、すべてのネットワークアプリケーションにセキュリティを提供できる方法を開示する。この方法は、ネットワークアドレス変換(NAT)、インターネット制御メッセージプロトコル(ICMP)、およびセキュアトランスポート層まで動作するすべてのクオリティオブサービス(QoS)プロトコルなどの他のネットワークプロトコルと互換性を有する。IPSecなどの他のプロトコルに基づく通信システムは、エンドツーエンドのセキュリティを実現できず、NATやICMPなどのネットワークプロトコルとの互換性を有するに過ぎない。
「Automated operation and security system for virtual private networks」と題された特許文献US6751729B1は、インターネットまたは、ノードデバイスと他のいくつかのノードデバイスを介して連結された複数のコンピュータのための他のパブリックまたはプライベートのパケット交換ネットワークなどのデータネットワークを介してセキュアな通信サービスを提供するためのノードデバイスを開示している。ノードデバイスは、当該ノードデバイスをデータネットワークに結合するためのネットワーク通信インターフェースを具える。ノードデバイスは、当該ノードデバイスに固有の暗号化情報を含むデータストレージメディアを具える。ノードデバイスはまた、暗号化を使用して他のいくつかのノードデバイスのそれぞれと暗号化通信トンネルを維持するように構成されたネットワークインターフェースに結合されたトンネル通信サービスを具える。例えば、暗号化通信トンネルは「IPsec」または「PPTP」プロトコルを使用して実装される。ノードデバイスは、ルーティングデータを格納するためのルーティングデータベースと、トンネル通信サービスおよびルーティングデータベースと結合されたルータを具える。ルータは、ある通信トンネルから別の通信トンネルに通信を渡すことができる。中央サーバを使用してノードデバイスを集中管理し、ノードデバイスのオンサイト管理を削減または排除することができる。
「Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information」と題された特許文献US6839759B2は、コンピュータネットワーク内の第1のコンピュータと第2のコンピュータとの間にセキュアな通信リンクを確立するための技術を開示している。最初に、ユーザが暗号化を入力しなくても、第1のコンピュータでセキュアな通信モードが有効になる。これは、通信のセキュアな通信モードを確立するためである。次に、有効なセキュアな通信モードに基づいて、コンピュータネットワークを介して第1のコンピュータと第2のコンピュータとの間にセキュアな通信リンクが確立される。セキュアな通信リンクは、コンピュータネットワークを介したネットワーク通信用の仮想プライベートリンクであり、疑似ランダムシーケンスに従って変化する1つまたは複数のデータ値が各データパケットに挿入される。
「Internet Protocol security policy-based configuration for a virtual private network」と題された特許文献US20130298182A1は、仮想プライベートネットワーク(VPN)のインターネットセキュリティプロトコル(IPSec)ポリシーベースの構成を実行する方法を開示する。一実施形態によれば、ネットワークデバイスのブラウザベースのインターフェースは、VPN接続のために様々な設定を構成することができるポリシーページを表示する。この設定には、ネットワークデバイスと「ピア」の間に確立される「IPSec」トンネルが含まれる。1つまたは複数の構成に対応する1つまたは複数のパラメータ値が受信され、「VPN」接続に対応して作成または変更されたポリシーファイルに応答する。このポリシーファイルは、設定に対応するいくつかのパラメータ値を含む。ネットワークデバイスと「ピア」間の「VPN」接続の確立は、ポリシーファイルを含む通知要求をネットワークデバイスから「ピア」に送信することにより、ポリシーファイルに含まれるパラメータ値に基づいて要求される。
「Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks」と題された特許文献US8705513B2は、分散ネットワークのコンピューティング内の仮想マシンに仮想プライベートネットワークを通信接続するための方法およびデバイスを開示している。開示された方法の例は、仮想プライベートネットワークから仮想マシンをプロビジョニングする要求を受信するステップと、分散コンピューティングネットワーク内の仮想マシンのホストを決定するステップと、ホスト内に仮想マシンを作成するステップと、分散コンピューティングネットワーク内のローカルエリアネットワークの仮想スイッチに通信可能なように仮想マシンを結合するステップと、ローカル仮想ネットワークを介して仮想マシンに通信可能に結合されるようにルータの一部を構成するステップと、仮想マシンの少なくとも1つまたはルータに通信可能に結合された仮想プライベートネットワークに関連付けられたルータ内のアドレススペースを指定するステップと、ルータの一部を仮想プライベートネットワークに通信可能に結合するステップとを含む。
「Method of transparent encryption and decryption for an electronic document management system」と題された特許文献US6185681B1は、暗号化システムおよび方法を開示する。この暗号化方式は、電子ドキュメント管理システムでドキュメントの透過的な暗号化と復号化を提供する。暗号化システムは、ファイルI/Oイベントをキャプチャし、関連するドキュメントに対して暗号化機能を実行してから、制御を電子ドキュメント管理システムに戻すソフトウェアモジュールを電子ドキュメント管理システムに追加する。
「Method for establishing secure communication link between computers of a private virtual network」と題された特許文献US7188180B2は、コンピュータネットワーク内の第1のコンピュータと第2のコンピュータとの間にセキュアな通信リンクを確立するための技術を開示している。最初に、ユーザが暗号化を入力しなくても、第1のコンピュータでセキュアな通信モードが有効になる。次に、有効なセキュアな通信モードに基づいて、コンピュータネットワークを介して第1のコンピュータと第2のコンピュータとの間にセキュアな通信リンクが確立される。セキュアな通信リンクは、コンピュータネットワークを介したネットワーク通信用の仮想プライベートリンクであり、疑似ランダムシーケンスに従って変化する1つまたは複数のデータ値が各データパケットに挿入される。
「Method and system for transparent encryption and authentication of file data protocols by the Internet protocol」と題された特許文献US20050033988A1は、セキュリティアプリケーションを使用して1つまたは複数のファイルを処理する方法を開示している。この方法は、クライアントを、1つまたは複数の「NAS」サーバに結合された「プロキシ」サーバに接続することを含む。この方法には、クライアントから「プロキシ」サーバへファイルを要求するステップと、クライアントから要求ユーザを認証するステップが含まれる。この方法は、要求されたファイルに対する要求しているユーザを承認するステップと、認証と承認の後に、1つ以上の「NAS」サーバからファイルを要求するステップと、1つまたは複数のストレージ要素のファイルを要求するステップとを含む。ファイルは、「NAS」サーバを介して1つ以上のストレージ要素から「プロキシ」サーバに転送される。この方法は、「プロキシ」サーバ上のファイル内のヘッダー情報を判別し、「プロキシ」サーバ上のヘッダー情報に基づいてポリシーを識別する。この方法はまた、ポリシーに従って処理するステップ(例えば、ファイルの解凍、ファイルの復号化、ファイルの検証)を含む。この方法は、処理されたファイルをクライアントのユーザに転送するステップが含まれる。
「Method and device for transparent encryption」と題されたUS20020112167A1は、サーバまたは他のコンピューティング環境上の機密情報を保護するための方法およびデバイスを開示する。サーバシステム宛ての複数の電子要求が、ネットワークカップリングを介して受信され、評価される。この評価では、クレジットカード情報や個人ユーザ情報などの機密情報が検索される。機密データを検出すると、暗号化操作が機密データに適用される。機密データがサーバシステムへと転送される場合、暗号化操作は、サーバシステムのコンポーネント間で転送される前に機密データを暗号化する。機密データがサーバシステムから転送される場合、暗号化操作はネットワーク結合間で転送する前に機密データを復号化する。暗号化操作には、ハッシュおよびキーハッシュ操作も含まれる。
「System and methods for transparent encryption」と題された特許文献US20060064750A1は、従来の「SSL」終端デバイスが所定の宛先アドレスへの安全な接続のみをサポートするシステムおよび方法を含む。「SSL」終端デバイスは、プレーンテキスト接続を受け入れ、それを任意のエンドポイントへの安全な接続に関連付け、ローカルサブネットからの接続要求を傍受して接続の目的の宛先を識別し、宛先接続との安全な接続と「ゲートウェイ」デバイスを介した接続を提供するための安全な接続を提供する。「SSL」終端デバイスは、クライアントからの安全なアウトバウンド接続要求を識別し、接続要求を傍受して受信者の宛先を識別する。「SSL」終端デバイスは、識別された宛先を使用して安全な接続を確立し、傍受した接続を受信者にマッピングすることによって接続を関連付ける。識別された受信者は、宛先への安全な接続を許可し、マッピングにより、ローカル接続を介してクライアントから受信したメッセージのトラフィックを宛先にマッピング可能となる。
特許文献CN101710380A「Electronic document security protection method」は、情報セキュリティおよびコンピュータソフトウェアの技術分野に属する電子文書セキュリティ保護方法を開示している。この方法は、a)秘密要求によって、プレーンテキストを暗号化して暗号化文書を得るステップであって、この暗号化文書は暗号化文書は、プレーンテキストを秘密鍵Iで対称的に暗号化した暗号文と、秘密鍵Iを秘密鍵IIで非対称的に暗号化した暗号とを含むステップと、b)暗号化文書を秘密要求部分を使用して分類された管理部分に送信し、秘密鍵IIに対応する秘密鍵を使用して分類された管理部分によってそれを復号化して元のテキストを得るステップと、c)分類された管理部分を使用してプレーンテキストを暗号化して機密文書を得るステップであって、この機密文書は、秘密鍵IIIを使用してプレーンテキストを対称的に暗号化することによって得られる暗号文と、秘密鍵IVを使用して秘密鍵IIIを非対称的に暗号化して得られる暗号文を含むステップと、d)管理の秘密の部分を使用して、機密文書を機密文書の聴衆に送信するステップとを含む。この発明は、電子文書のセキュアな保護のために使用することができる。
「File encryption method」と題された特許文献CN101819618Aは、コンピュータソフトウェアおよび情報セキュリティの技術分野に関連するファイル暗号化および方法を開示している。ファイルシステムカタログシステムに基づいて、この発明は、カタログ(フォルダ)を配置し、保護領域を定義し、暗号化デバイスをリンクし、作業領域と秘密領域を分割し;暗号化デバイスのアクセスに対応し;保護領域は、閉状態から開状態に変換され、カタログとファイル名が復号化されて表示され、作業チャンバのファイルの暗号文の内容がプレーンテキストに復号化され、「シークレットカメラ」ファイルの暗号文の内容は、通常の暗号化状態が維持され;暗号化デバイスの除去に対応して、保護領域が開状態から閉状態に変換され、カタログ名とファイル名が暗号化されて非表示になり、ファイルのプレーンテキストが暗号文で暗号化され;カタログは開状態でリアルタイムに監視され、作業チャンバに格納されているファイルの暗号文は自動的に復号化され、「秘密チャンバ」に保存されているプレーンテキストファイルは自動的に暗号化され;比較的複数の暗号化デバイスをリンクするために複数の保護領域を調整することができ、複数のユーザがいる秘密環境の視覚的に透過的な保護を構築するための異なる制御戦略を採用することによって共有保護またはインターロック保護の効果が得られる。
「Secure end-to-end communication in mobile ad hoc networks」と題された特許文献CN104200176Aは、情報セキュリティにおけるモバイルインターネットアプリケーションのセキュリティのアーカイブに関し、スマートモバイル端末上のファイルの暗号化と復号化を透過的に実行するシステムと方法を開示する。これにより、セキュリティが高くなく、操作が複雑になるという従来の暗号化および復号化スキームの問題が解決される。この方法によれば、ユーザが移動端末のプライバシーファイルへのアクセスを要求すると、まず移動端末とスマートブレスレットとの間で相互識別認証が行われ、次にコンサルテーションにより秘密の会話鍵が生成され、認証に成功した後、スマートブレスレットから送信された秘密保護キーが取得され、秘密保護キーは、仮想保護磁気ディスクが装着された後、仮想保護磁気ディスクに対する読み書き可能なフィルタリングドライブとして定義され、ユーザの特定の要求タイプに応じて仮想磁気ディスクに対応する操作が行われ、これによりスマートブレスレットの認証に基づいてスマートモバイル端末上のファイルに暗号化と復号化が行われる透過的な方式が実現されることを特徴とする。このスマートモバイル端末上のファイルに透過的な暗号化・復号化を行うシステムおよび方法は、モバイル端末上のファイルに対するアクセス制御にも適用可能である。
「Secure end-to-end communication in mobile ad hoc networks」と題された特許文献US20040025018A1は、アドホックネットワークの安全なルーティングプロトコルが最終的な通信ノードがセキュリティアソシエーションを有することのみを必要とするシステムを開示する。このプロトコルは、セキュアルートディスカバリプロトコルとセキュアメッセージ送信プロトコル(SMT)を組み合わせて、包括的なセキュリティを提供する。ルーティングプロトコルは、ルーティング操作をアクティブに中断する邪魔が存在する中で1以上のルートを検出することにより、接続情報を提供する。ルート検出要求が、送信元ノードから宛先ノードに送信される。宛先ノードは、要求によって取得されたのと同じルートを介して応答を送信することによって応答する。送信元ノードと宛先ノードは、共有秘密鍵を使用して、要求、応答、および決定されたルートの信頼性を検証する。「SMT」プロトコルは、発見された複数のルートを使用して、送信されるメッセージを複数のセグメントに分離し、これらのセグメントを一連のルートを通して同時にルーティングする。宛先ノードは、受信されたセグメントを識別するフィードバックを送信元に送信する。送信元はこの情報を使用して、受信されていないセグメントを再送信し、失敗したルートを識別する。
上記の文献に加えて、以下に参考特許文献のリストを記載するが、本件特許との関連性は低くなる。
特許文献US20050033988A1「Method and system for transparent encryption and authentication of file data protocols by the Internet protocol」。
特許文献US20020112167A1「Method and apparatus for transparent encryption」。
特許文献US20060064750A1「System and methods for transparent encryption」。
特許文献CN101710380A「Electronic document safety protection method」。
特許文献CN101819618A「File encryption method」。
特許文献CN104200176A「System and method for performing transparent encryption and decryption on file in a smart mobile terminal」。
特許文献US7266842B2「Control function that implements selective authentication of transparent data in an integrated system」。
特許文献US6885660B2「End-to-end network communication」。
特許文献US7152160B2「Method and arrangement for ensuring access to a communications network」。
特許文献US8239531B1「Method and apparatus to connect to virtual private networks for secure transactions」。
特許文献US7360083B1「Method and system to provide end-to-end security solutions to assist in accelerating the protocol on networks using selective layer encryption」。
特許文献US7506368B1「Methods and apparatus for network communications via a transparent security proxy」。
特許文献US7478427B2「Method and apparatus for providing adaptive VPN to enable different levels of security in virtual private networks (VPNs)」。
理解されるように、最新技術で知られているこれらの特許文献はいずれも、本特許出願の目的の特徴を有さない。
特にこのテーマの当業者によって知られているように、今日、アプリケーションでは、セキュリティはエンドツーエンドで実装される。つまり、相互認証と機密性を可能にするセキュリティ実装は、通常ユーザが通信パラメータを制御できると仮定して、アプリケーションに近い層に実装される。このようなアプローチの例は、「TLS」(トランスポート層セキュリティ)プロトコルである。これは、アプリケーションのトランスポート層にセキュリティを追加し、「PKI」ネットワークインフラストラクチャに応じて、新しいセキュリティメカニズムをサポートするようにアプリケーションを更新する必要がある。
一方、通常は「IPSec」プロトコルを使用する「VPN」(仮想プライベートネットワーク)アプリケーションがあり、これは2つのノード間に安全なエンドツーエンドチャネルを提供する。ただし、「IPSec」の実装は、すべてのISPルータで有効になっているわけではない。このため、通常「VPN」ネットワークは仮想ネットワーク(オーバーレイ)として実装され、暗号化されたトラフィックが一般的なアプリケーションであるかのようにルータを通過できるようにする。「IPSec」でも「オーバーレイ」でも、「VPN」の設定には複雑な手動の設定が必要となる。このため、特に「ピアツーピア」通信(P2P)のコンテキストでは、通常はインターネット上で広く使用されていない。
さらに、これらの実装は通常、「PKI」(公開鍵インフラストラクチャ)と呼ばれる信頼ネットワークに依存する。これは、信頼のチェーンを作成する方法を提供し、第三者によって手動で発行された証明書を使用して行われることもある。
一般に、インターネット上の伝統的なトラフィック(IP/TCP/UDP)は依然として非常に普及している。多くのデバイスはまだ「telnet」、「ftp」、「http」などを実行しており、「man-in-the-middle」(MITM)攻撃が定期的に発生している。
これらの不便さを念頭に置いて、多くの調査と研究の結果、この分野に関係する発明者がこの特許の主題を作成および開発し、「データ通信ネットワークのセキュリティ方法」を発明した。主な解決手段は、2つのデバイス間の安全なエンドツーエンドの透過的な通信を可能にするアーキテクチャとメカニズムである。
この特許出願は、実用的かつ革新的な「データ通信ネットワークのセキュリティ方法」を提供し、最も近代的な技術に従って設計および開発され、インターネット、「GSM」ネットワーク(4G、5G)、またはその他のタイプのパケット交換コンピュータネットワークにおける様々なデジタルデータ交換における適用可能性を有する。
任意で、このアーキテクチャはこれらのメカニズムを提供し、任意のネットワーク層に実装でき、「IP」、「イーサネット」、「Wifi」、「UDP」、「TCP」などの通信メカニズムにサポートされる。
このアーキテクチャを提供するメカニズムは、「FPGA」または「ASIC」のプログラマブルロジックとして「ハードウェア」に実装することができる。また、オペレーティングシステムモジュールとして、ネットワークインターフェースの「ドライバ」または「ファームウェア」として、さらにはアプリケーションで直接的に、ソフトウェアで実装することもできる。
このアーキテクチャののいくつかの商用アプリケーションには、
−安全な「M2M」、「IoT」、「P2P」ネットワーク;
−「SIMカード」/「スマートカード」アプリケーションの追加のセキュリティ;
−「GSM」、「LTE」、「4G」、「5G」セルラー通話の追加セキュリティ;
−インターネット上の追加の「TCP」および「UDP」接続セキュリティ;
−デバイス間の相互認証メカニズム;
−高速接続復元メカニズム;
−特に「ホームバンキング」アプリケーションのセキュリティモジュールメカニズム;
が含まれる。
問題となるデータ通信ネットワークのセキュリティ方法は、概念が非常に単純であるため簡単に実施することができるが、優れた実用的および機能的な結果が得られ、既知のセキュリティプロトコルに革新的なソリューションを提供する。
本説明を補足し、本発明の特徴のより良い理解を得るために、その好ましい実施形態に従って、限定的ではないが、例示的な方法で、以下の説明は一連の図を参照する。
図1は、「TLS」セキュリティメカニズム−(トランスポート層セキュリティ)(1)の図であり、アプリケーション(7);TLS(8);TCP(9);IP(10)およびイーサネット(11)を示す。 図2は、「IPSec」セキュリティメカニズム(2)の図であり、アプリケーション(7);TCP(9);TCP(12);IP(10);イーサネット(11)を示す。 図3は、「IP」ネットワークの透過的なセキュリティメカニズム(3)と、データ通信ネットワークのセキュリティ方法(13)の実装の図であり、アプリケーション(7);TCP(9);データ通信ネットワークにおけるセキュリティ方法(13);IP(10)およびイーサネット(11)を示す。 図4は、すでに「TLS」を使用しているアプリケーションがあり、データ通信ネットワークセキュリティ方式(13)を実装した「IP」ネットワークの透過的なセキュリティメカニズム(4)の図であり、アプリケーション(7);TLS(8);TCP(9);IP(10);手元のデータ通信ネットワーク(13)とイーサネット(11)のセキュリティ方法を示す。 図5は、データ通信ネットワークのセキュリティ方法(13)を実装した、イーサネットネットワークの透過的なセキュリティメカニズム(5)の図であり、アプリケーション(7);TCP(9);IP(10);手元のデータ通信ネットワーク(13)とイーサネット(11)のセキュリティ方法を示す。 図6は、データ通信ネットワークセキュリティ方法(13)を実装したイーサネットネットワークの透過的なセキュリティメカニズム(6)の図であり、アプリケーション(7);UDP(14);6L0WPAN(15);IPv6(16);ネットワークデータ通信セキュリティ方式(13)およびIEEE802.15.4(17)を示す。
上述した図面に示されるように、本特許の主題「データ通信ネットワークのセキュリティ方法」は、オペレーティングシステムの下位層、あるいは「ハードウェア」または「ファームウェア」にさえ実装できるメカニズムまたはアーキテクチャを意味する。これは2つの「ホスト」間の機密性と安全な相互認証のための透過的なサービスを提供するものである。
これらのサービスは透過的な態様(transparent manner)で提供され、アプリケーションは正しく安全に動作するために変更を加える必要はない。
データ通信ネットワークのセキュリティ方法(13)は、接続を確立するときに交換される明示的なキーを使用するとともに、「ホスト」が他の「ホスト」についての情報を交換できるようにする情報プロトコルを備えた分散データベースを使用する。
実装例は、通信した「ホスト」を記憶し、セキュアな通信チャネルを再確立するために、任意で不揮発性メモリを使用することもできる。
各「ホスト」は、当該「ホスト」の電源投入時や、不揮発性メモリからのロード時に生成され得るキーペア(公開鍵と秘密鍵)を有する。この「ホスト」がネットワーク上の他の「ホスト」と通信しようとすると、最初にキーの交換が行われ、したがってこれらの「ホスト」はパートナーの公開鍵を認識する。両方のホストがパートナーの公開鍵を認識するとすぐに、「ディフィー・ヘルマン(Diffie Hellman)」と呼ばれるプロセスが実行され、「AES」または同様の暗号化を使用する一時セッション鍵が確立される。これら2つの「ホスト」間の以降の接続では、このプロセスによって確立された対称的な暗号化キーが使用される。「ホスト」は、セッション鍵を変更するために、いつでもこのプロセスの復帰を要求することができる。セッションが終了すると、これらの「ホスト」は対称鍵を破棄するが、認証および将来のセッション再確立のために、キーペア(公開鍵と秘密鍵)を保持することができる。
このアーキテクチャの大きな利点は、システムの下位層に実装できることである。例えば、オペレーティングシステムのネットワークスタックのモジュールとして、ネットワークインターフェースドライバの一部として実装したり、プログラマブルロジック、「FPGA」または「ASIC」として「ハードウェア」に実装することもできる。これらの実装例の一部では、システムが再起動(フォーマット、更新)してもコンポーネントを保持することができる。
さらに、不揮発性メモリの使用は任意である。すなわち「ホスト」は別の未知の「ホスト」に遭遇するたびに公開鍵を再ネゴシエートできるため、必須ではないが、以前のセッションをすばやく再確立して「再認証」するために不揮発性メモリを使用してもよい。
確かに、本発明を実施する際に、クレームのフレームワークで明確に実証されている基本原理から逸脱することなく、構造および形状の特定の詳細に関して修正を加えることができる。したがって、使用されている用語は説明を目的としたものであり、限定的なものではないことを理解されたい。

Claims (6)

  1. 「データ通信ネットワークのセキュリティ方法」であって、この特許の目的は、正しく安全に機能するためにアプリケーションに変更を加える必要なしに、2つのデバイス間に安全で透過的なエンドツーエンド通信を可能にし、接続を確立するときに明示的な鍵交換を使用するメカニズム/アーキテクチャを開示し、
    オペレーティングシステムの下位層に、ネットワークスタック、ネットワークインターフェースドライバーの一部として、「ハードウェア」または「ファームウェア」に、ロジックで実装されており、プログラム可能かどうかに拘わらず、2つの「ホスト」間の機密性や安全な相互認証などのサービスを提供し、任意のアプリケーションまたはプロトコルでサポートされ、システムコンポーネントとして展開されることを特徴とする方法。
  2. 「データ通信ネットワークのセキュリティ方法」であって、この特許の目的は、正しく安全に機能するためにアプリケーションに変更を加える必要なしに、2つのデバイス間に安全で透過的なエンドツーエンド通信を可能にし、接続を確立するときに明示的な鍵交換を使用するメカニズム/アーキテクチャを開示し、
    「ホスト」が他の「ホスト」に関する情報を交換し、一元化された認証エンティティに依存しないことを可能にする情報プロトコルを有する分散データベースを使用することを徴とする方法。
  3. 「データ通信ネットワークのセキュリティ方法」であって、この特許の目的は、正しく安全に機能するためにアプリケーションに変更を加える必要なしに、2つのデバイス間に安全で透過的なエンドツーエンド通信を可能にし、接続を確立するときに明示的な鍵交換を使用するメカニズム/アーキテクチャを開示し、
    アプリケーションに対して透過的であり、通信した「ホスト」に通知して、セキュアな通信チャネルを再確立するために不揮発性メモリを使用することを特徴とする方法。
  4. 「データ通信ネットワークのセキュリティ方法」であって、この特許の目的は、正しく安全に機能するためにアプリケーションに変更を加える必要なしに、2つのデバイス間に安全で透過的なエンドツーエンド通信を可能にし、接続を確立するときに明示的な鍵交換を使用するメカニズム/アーキテクチャを開示し、
    2つの「ホスト」の認識のために公開鍵を交換し、DHプロセスを実行して一時的なセッション鍵を確立し、そのプロセスで確立された対称暗号鍵を介して通信を行うという差別化されたシステムを構築し、この手順が再確立されたときにはいつでも「ホスト」のいずれかがその鍵を変更し、セッションが終了したときには「ホスト」は対称鍵を破棄し、認証と将来のセッションの再確立のためにキーペア(公開鍵と秘密鍵)を保持することで、認証機関に依存せずに機能することを特徴とする方法。
  5. 「データ通信ネットワークのセキュリティ方法」であって、この特許の目的は、正しく安全に機能するためにアプリケーションに変更を加える必要なしに、2つのデバイス間に安全で透過的なエンドツーエンド通信を可能にし、接続を確立するときに明示的な鍵交換を使用するメカニズム/アーキテクチャを開示し、
    アーキテクチャは、オペレーティングシステムのネットワークスタックのモジュールとして、ネットワークインターフェースドライバの一部として、またはプログラマブルロジックハードウェア内で、システムの下位層に実装することができ、コンポーネントはフォーマットまたは更新で保持され、任意の通信メカニズムでサポートされることを特徴とする方法。
  6. 「データ通信ネットワークのセキュリティ方法」であって、この特許の目的は、正しく安全に機能するためにアプリケーションに変更を加える必要なしに、2つのデバイス間に安全で透過的なエンドツーエンド通信を可能にし、接続を確立するときに明示的な鍵交換を使用するメカニズム/アーキテクチャを開示し、
    不揮発性メモリを使用し、「ホスト」は別の未知のホストに遭遇するたびに公開鍵を再ネゴシエートするため、前記メモリを使用して以前のセッションの再確立と再認証をすばやく行うことを特徴とする方法。
JP2021505783A 2018-07-29 2018-07-29 データ通信ネットワークのセキュリティ方法 Pending JP2022500889A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/BR2018/050263 WO2020024021A1 (pt) 2018-07-29 2018-07-29 Método de segurança para rede de comunicação de dados

Publications (1)

Publication Number Publication Date
JP2022500889A true JP2022500889A (ja) 2022-01-04

Family

ID=69230433

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021505783A Pending JP2022500889A (ja) 2018-07-29 2018-07-29 データ通信ネットワークのセキュリティ方法

Country Status (8)

Country Link
US (1) US20210297391A1 (ja)
EP (1) EP3832949A4 (ja)
JP (1) JP2022500889A (ja)
KR (1) KR20210065087A (ja)
CN (1) CN112997449A (ja)
BR (1) BR112021001715A2 (ja)
IL (1) IL280501A (ja)
WO (1) WO2020024021A1 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5070528A (en) * 1990-06-29 1991-12-03 Digital Equipment Corporation Generic encryption technique for communication networks
JPH10178450A (ja) * 1996-10-25 1998-06-30 Digital Equip Corp <Dec> フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ
JPH10190649A (ja) * 1996-10-16 1998-07-21 Hewlett Packard Co <Hp> 双方向データストリーム伝送装置
JP2004537786A (ja) * 2001-06-08 2004-12-16 ヒューレット・パッカード・カンパニー オペレーティングシステムおよびカスタマイズされた制御プログラムとインタフェースする安全なマシンプラットフォーム
US20090327695A1 (en) * 2008-04-23 2009-12-31 Dell Products L.P. Systems and methods for applying encryption to network traffic on the basis of policy

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
US6185681B1 (en) 1998-05-07 2001-02-06 Stephen Zizzi Method of transparent encryption and decryption for an electronic document management system
US6751729B1 (en) 1998-07-24 2004-06-15 Spatial Adventures, Inc. Automated operation and security system for virtual private networks
US6839759B2 (en) 1998-10-30 2005-01-04 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information
IL135554A0 (en) 2000-04-09 2001-05-20 Lea D Corp Ltd Method and system for end-to-end communication through the internet transmission infrastructure
SE518604C2 (sv) 2000-06-29 2002-10-29 Wireless Login Ab Metod och anordning för säker anslutning till ett kommunikationsnätverk
US20020042875A1 (en) 2000-10-11 2002-04-11 Jayant Shukla Method and apparatus for end-to-end secure data communication
US7757278B2 (en) 2001-01-04 2010-07-13 Safenet, Inc. Method and apparatus for transparent encryption
US8239531B1 (en) 2001-07-23 2012-08-07 At&T Intellectual Property Ii, L.P. Method and apparatus for connection to virtual private networks for secure transactions
US20040025018A1 (en) 2002-01-23 2004-02-05 Haas Zygmunt J. Secure end-to-end communication in mobile ad hoc networks
US7266842B2 (en) 2002-04-18 2007-09-04 International Business Machines Corporation Control function implementing selective transparent data authentication within an integrated system
US20050033988A1 (en) 2002-10-18 2005-02-10 Neoscale Systems, Inc. Method and system for transparent encryption and authentication of file data protocols over internet protocol
US7506368B1 (en) 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy
US7478427B2 (en) 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
US7360083B1 (en) 2004-02-26 2008-04-15 Krishna Ragireddy Method and system for providing end-to-end security solutions to aid protocol acceleration over networks using selective layer encryption
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
US7480794B2 (en) 2004-09-22 2009-01-20 Cisco Technology, Inc. System and methods for transparent encryption
US7730309B2 (en) * 2005-07-27 2010-06-01 Zimmermann Philip R Method and system for key management in voice over internet protocol
US8588746B2 (en) * 2009-10-31 2013-11-19 SAIFE Technologies Incorporated Technique for bypassing an IP PBX
DK2320621T3 (en) * 2009-11-06 2016-12-19 Hoffmann La Roche A method of establishing a cryptographic communication between a remote device and a medical device and system for carrying out this method
US8705513B2 (en) 2009-12-15 2014-04-22 At&T Intellectual Property I, L.P. Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks
CN101710380B (zh) 2009-12-22 2012-04-25 中国软件与技术服务股份有限公司 电子文件安全防护方法
CN101819618A (zh) 2010-03-19 2010-09-01 杨筑平 文件保密方法
US9065802B2 (en) 2012-05-01 2015-06-23 Fortinet, Inc. Policy-based configuration of internet protocol security for a virtual private network
CN104200176A (zh) 2014-08-28 2014-12-10 电子科技大学 对智能移动终端中文件进行透明加解密的系统及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5070528A (en) * 1990-06-29 1991-12-03 Digital Equipment Corporation Generic encryption technique for communication networks
JPH10190649A (ja) * 1996-10-16 1998-07-21 Hewlett Packard Co <Hp> 双方向データストリーム伝送装置
JPH10178450A (ja) * 1996-10-25 1998-06-30 Digital Equip Corp <Dec> フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ
JP2004537786A (ja) * 2001-06-08 2004-12-16 ヒューレット・パッカード・カンパニー オペレーティングシステムおよびカスタマイズされた制御プログラムとインタフェースする安全なマシンプラットフォーム
US20090327695A1 (en) * 2008-04-23 2009-12-31 Dell Products L.P. Systems and methods for applying encryption to network traffic on the basis of policy

Also Published As

Publication number Publication date
KR20210065087A (ko) 2021-06-03
US20210297391A1 (en) 2021-09-23
CN112997449A (zh) 2021-06-18
IL280501A (en) 2021-03-25
EP3832949A4 (en) 2022-03-30
EP3832949A1 (en) 2021-06-09
BR112021001715A2 (pt) 2021-06-01
WO2020024021A1 (pt) 2020-02-06

Similar Documents

Publication Publication Date Title
US9838362B2 (en) Method and system for sending a message through a secure connection
US9647988B2 (en) Policy-based configuration of internet protocol security for a virtual private network
US8504822B2 (en) Transparent proxy of encrypted sessions
US9350708B2 (en) System and method for providing secured access to services
JP5744172B2 (ja) 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ
US20070006296A1 (en) System and method for establishing a shared key between network peers
EP1374533B1 (en) Facilitating legal interception of ip connections
WO2021068777A1 (en) Methods and systems for internet key exchange re-authentication optimization
Cisco Configuring IPSec Network Security
WO2002043427A1 (en) Ipsec connections for mobile wireless terminals
Cisco Introduction to Cisco IPsec Technology
CN113746861A (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
US20210297391A1 (en) Method for Securing a Data Communication Network
Khandkar et al. Masking host identity on internet: Encrypted TLS/SSL handshake
EP3131269B1 (en) Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal
US20240022402A1 (en) A Method for Tunneling an Internet Protocol Connection Between Two Endpoints
Rajamohan An overview of remote access VPNs: Architecture and efficient installation
EP2579537A1 (en) Method for securing data communication
Rehman Design and implementation of mobility for virtual private network users
Tiruchendur An Efficient Approach to Secure VPN based on Firewall using IPSec & IPtables

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210716

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220623

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220705

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20221005

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20221205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230509

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230809

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20231205