JP5346107B2 - インターネットのための対称鍵配信フレームワーク - Google Patents
インターネットのための対称鍵配信フレームワーク Download PDFInfo
- Publication number
- JP5346107B2 JP5346107B2 JP2012096711A JP2012096711A JP5346107B2 JP 5346107 B2 JP5346107 B2 JP 5346107B2 JP 2012096711 A JP2012096711 A JP 2012096711A JP 2012096711 A JP2012096711 A JP 2012096711A JP 5346107 B2 JP5346107 B2 JP 5346107B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- client device
- application server
- key
- health
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネット上の各クライアントへの専用鍵配信サーバからの対称鍵の持続的及び動的な配信に関する。
ワールド・ワイド・ウェブは、基本的にインターネット上で実行されるクライアント/サーバアプリケーションである。インターネットにおけるセキュリティ脅威は、数年間で指数的に増大してきた。様々なセキュリティ脅威を分類する1つの方法は、脅威の場所、すなわち、ウェブサーバ、クライアントウェブブラウザ及びクライアントウェブブラウザとサーバとの間のトラフィックに関するものである。クライアントとサーバとの間のトラフィックを考えると、コストのかかる非対称鍵暗号化(Diffie−Hellmanなど)を利用したクライアントとサーバとの間のセッション鍵のやりとりに依存するIETF(Internet Engineering Task Force)IPSec(Internet Protocol Security)及びTLS(Transport Layer Security)ベースのネットワークセキュリティプロトコルを配設することが容易である。サーバは、セッション単位でやりとりされる数万の一時的な対称鍵を記録する必要がある。その結果、ハードウェアによりこれらのプロトコルのための暗号化処理を実行するためのセキュリティ関連付けのためのメモリフェッチは、維持される必要がある状態数によりかなりコストがかかるものとなる(鍵のやりとりのコストは述べない)。
本発明の課題は、上記問題点に鑑み、インターネット上の各クライアントへの専用鍵配信サーバからの対称鍵の持続的及び動的な配信を可能にする方法、装置及びシステムを提供することである。
上記課題を解決するため、本発明の一特徴は、鍵配信サーバが、クライアントから測定された健全性情報を受け付けるステップと、前記サーバが、前記測定された健全性情報を検証するステップと、前記サーバが、前記測定された健全性情報が検証されると、前記クライアントにセッション鍵を送信するステップと、前記クライアントは、前記セッション鍵を受け付けると、前記セッション鍵を用いてドメイン内のアプリケーションサーバとの暗号化及び認証された接続を開始するステップとを有する方法に関する。
本発明の他の特徴は、クライアントから測定された健全性情報を受け付け、前記測定された健全性情報を検証し、前記測定された健全性情報が検証されると、前記クライアントにセッション鍵を送信する鍵配信サーバロジックを有する装置に関する。
本発明のさらなる他の特徴は、クライアントと、クライアントから測定された健全性情報を受け付け、前記測定された健全性情報を検証し、前記測定された健全性情報が検証されると、前記クライアントにセッション鍵を送信する鍵配信サーバロジックと、前記クライアントから前記セッション鍵を用いて暗号化されたパケットを受け付け、前記セッション鍵を用いて前記パケットを解読し、前記解読されたパケットにサービスを提供するアプリケーションサーバロジックとを有するシステムに関する。
本発明によると、インターネット上の各クライアントへの専用鍵配信サーバからの対称鍵の持続的及び動的な配信が可能になる。
対称鍵をインターネットを介しサーバからクライアントに配信するための方法、装置及びシステムの実施例が説明される。以下の説明では、多数の具体的詳細が与えられる。しかしながら、各実施例はこれら具体的詳細なしに実現可能であることが理解される。他の例では、本発明を不明りょうにすることを避けるため、周知の要素、詳細及びプロトコルは詳細には説明されていない。
図1は、インターネットを介した対称鍵配信装置及びシステムを示す。多数の実施例において、クライアント100はインターネット104を介しドメイン102に接続される。インターネットは、標準的なインターネットプロトコル(IP)などのプロトコルを用いてデータを送信する世界的に公衆に利用可能な相互接続されたコンピュータネットワーク群である。より詳細には、インターネットは、各種情報及びサービスを一緒になって伝送する数百万の小型の家庭用、学術用、企業用及び政府機関ネットワークから構成される“ネットワークのネットワーク”である。物理的には、インターネットは、情報を伝送する媒体からなる有線、光及び無線ネットワークバックボーンを含む。
異なる実施例では、クライアントは、デスクトップコンピュータ、ラップトップコンピュータ、モバイル無線装置、携帯電話、テレビ用セットトップボックス、又はインターネットに接続可能な他の何れかのタイプの計算装置であるかもしれない。インターネットへのクライアントの接続は、個別の装置をインターネットに接続する他の装置のうち、ルータ、スイッチ、アクセスポイントなどの機構を介したものであるかもしれない。
異なる実施例では、ドメインは、特に企業、科学機関、大学、政府オフィス、個人のネットワークなどのためのドメインであるかもしれない。ドメインは、当該ドメイン及びインターネット内のユーザとコンピュータとの間で情報がやりとりされるのを可能にするいくつかの機能を実行する1以上のコンピュータシステムサーバから構成される。各ドメインは、特定のIPアドレスにマップされるドメイン名を有する。
図1は、ドメイン内の不可欠な機能を実行するいくつかのサーバの一例を示す。異なる実施例では、これらのサーバは物理的に分離したマシーンであるかもしれず、又は1つのマシーン上で実行されるアプリケーション(マシーン上の各パーティションなどにおいて)であるかもしれない。
クライアントは、サービス用のドメイン102へのアクセスをリクエストするかもしれない。多くの実施例では、ドメイン内にあるアプリケーションサーバ106は、クライアント100が所望するこれらのサービス(情報記憶サービス、ニュース抽出サービス、電子メールサービスなど)の1以上を提供する。
多くの実施例では、ドメイン102はファイアウォール108を有する。ファイアウォール108は、悪意のあるユーザ及びプログラムがインターネット104から当該ドメインに侵入することを防ぐためのセキュリティの一形態である。ファイアウォール108は、独立したサーバ(図示される)であってもよく、又は図1のその他のサーバの1つの一部であってもよい(図示せず)。
ドメインはまた、DHCP(Dynamic Host Configuration Protocol)サーバ110を含む。クライアント100がDHCP設定されていることが前提とされているため、クライアント100がドメイン102に接続すると、クライアント100のDHCPクライアントプログラムは、DHCPサーバ110から必要な情報をリクエストするブロードキャストクエリを送信する。DHCPサーバ110は、IPアドレスと、ドメイン名やデフォルトゲートウェイなどのクライアント設定パラメータに関する情報とのプールを管理する。さらに、DHCPサーバ110は、ドメイン102にあるDNS(Domain Name System)サーバ112の有無及びアドレスに関する情報を有する。クライアント100から有効なリクエストを受信すると、DHCPサーバ110は、クライアント100にIPアドレスと他のパラメータとを割り当てる。
この時点でDHCPサーバ110から受信したIPアドレスとDNSサーバ112のアドレスとによって設定されたクライアント100は、DNSサーバ112とやりとりすることができる。DNSサーバ112は、ドメイン102内のサーバ及び他の装置のIPアドレスを提供する。
アプリケーションサーバ106に戻って、1以上のプロセッサ114がアプリケーションサーバ106上に存在する。異なる実施例では、これらのプロセッサのそれぞれはシングル又はマルチコアであるかもしれない。いくつかの実施例では、アプリケーションサーバは、マルチプロセッサマルチコアサーバであり、他の実施例では、アプリケーションサーバは、シングルプロセッサシングルコアサーバであり、さらなる他の実施例では、アプリケーションサーバは、上述したシングル/マルチプロセッサシングル/マルチコアシステムの組み合わせの派生である。さらなる実施例では、追加的なサービスについて複数のアプリケーションサーバが存在してもよく、又は同一のサービスが、クライアントの不可をバランスさせるため、複数のアプリケーションサーバに分散されてもよい。図1では、上述したプロセッサ及びサーバコンフィギュレーションの多くは示されていない。これは、単一のサーバ上の単一のプロセッサが、クライアント/サーバ状況を説明するため適切な実施例を提供するためである。
さらに、アプリケーションサーバ106はまた、オペレーティングシステム(OS)118などの1以上のオペレーティングシステムの現在のインスタンスを格納するためのシステムメモリ116を有する。通常処理では、アプリケーションサーバ106のプロセッサ114は、クライアント100などのインターネット104上のクライアントから複数のリクエストについてサービスを提供するかもしれない。DHCPサーバ110とDNSサーバ112によるルーティング手順の実行後、クライアントは通常、アプリケーションサーバのサービスにアクセスするため、アプリケーションサーバ106とやりとりする。
多くの実施例では、アプリケーションサーバ106は、それがやりとりするクライアントについて要求する1以上の健全性ポリシーを有するかもしれない。例えば、クライアントがアプリケーションサーバ106とやりとりするためのアクセスが与えられる前に、クライアントが超える必要がある最小限に要求される健全性レベルが存在するかもしれない。これらの健全性レベルは、予め決定されてもよく、又は環境に応じて動的に決定されてもよい。健全性レベルがクライアントに満たされていない場合、ネットワークインタフェースコントローラ(NIC)120は、当該クライアントからのパケットを破棄する。NIC120は、アプリケーションサーバ106がドメイン内の内部コンピュータネットワークにアクセスすることを許可及び処理するハードウェアインタフェースである。
クライアント健全性を安全に決定するため、多くの実施例では、インテル(登録商標)のAMT(Active Management Technology)装置122又はAMTと同様に実行される他の独立したセキュリティ測定装置がクライアント100内に存在する。いくつかの実施例では、AMT122はクライアントシステムの健全性を測定するかもしれない。この測定は、クライアントにインストールされたソフトウェア、クライアントにインストールされたオペレーティングシステム、クライアントにインストールされたアンチウイルスソフトウェアのバージョン、どの程度最近いくつの攻撃がクライアントシステムが処理したかなどの情報を含むかもしれない。AMT122内のロジックがこの情報を取得するか、又はクライアント100内の何れかのロジックが健全性情報を取得し、AMT122が健全性情報を真正性を検証するかもしれない。この健全性情報が取得されると、AMT122はセキュアなデジタル証明書により健全性情報を署名するかもしれない。クライアント100は、セキュアな健全性情報をインターネット104を介しドメイン102に送信するかもしれない。
多くの実施例では、クライアント100は、何れの要求がアプリケーションサーバ106とやりとりするのに必要であるか確認するため、アプリケーションサーバ106から健全性ポリシー要求をリクエストする。多くの実施例では、クライアント100上で実行されるリゾルバプログラム(resolver program)が、アプリケーションサーバ106に関する要求されるクライアント健全性ポリシーを調べる。このリクエストは、NIC120により直接処理されるかもしれない。NIC120は、それが常駐するアプリケーションサーバ106に係る健全性ポリシー情報を格納し、何れかのクライアントからの健全性ポリシーリクエストについてサービスを提供することが可能であり、このため、何れの初期的なリクエストロードもプロセッサ114、メモリ116又はOS118との直接的なやりとりを要求しない。
クライアントに対する健全性ポリシー要求に加えて、リゾルバプログラムは、アプリケーションサーバに対するクライアント健全性ポリシールックアップの実行後、要求元のクライアントにドメイン102が1以上の鍵配信サーバ(KDS)124を含むことを通知するかもしれない。この情報は、検索中にリゾルバプログラムにより取得される。KDS124は、クライアントから受信した健全性情報を検証することができる。検証されると、KDS124は、アプリケーションサーバ106とのセキュアなやりとりのため、クライアントに固有のセッション鍵をクライアントに提供することができる。ドメイン102のKDS124がアプリケーションサーバ106により信頼されていることが前提とされる。
アプリケーションサーバのNIC120には、セッション鍵を生成するためのマスタ鍵がKDS124により与えられるかもしれない。例えば、KDS124がクライアントの健全性を認証すると、KDSは、クライアント100とアプリケーションサーバ106との間のセッションのためのマスタ鍵を生成することができる。KDS124は、クライアントID情報とマスタ鍵とから生成されたセッション鍵をクライアント100に送信する。
いくつかの実施例では、セッション鍵は、SSL(Secure Sockets Layer)プロトコルを用いてクライアントに送信される。他の実施例では、セッション鍵は、TLS(Transport Layer Security)プロトコルを用いてクライアントに送信される。TLS及びSSLプロトコルは、盗聴、改ざん及びメッセージ偽造を防ぐよう設計された方法によるネットワーク上のプライベート通信を可能にする。これらのプロトコルは、暗号化を利用してインターネット上のエンドポイント認証及び通信プライバシを提供する。
KDS124はまた、アプリケーションサーバ106のNIC120にマスタ鍵を送信する。KDS124から受信したセッション鍵を利用して、クライアントは、アプリケーションサーバとの暗号化及び認証された接続を確立することができる。その後、クライアントは、IPSec(Internet Protocol Security)パケットフォーマットを用いて、暗号化されたパケットをアプリケーションサーバ106に送信可能である。IPSecパケットヘッダフォーマットは、クライアントのID情報を有するSPI(Security Parameter Index)フィールドを含む。
NIC120がクライアント100からIPSecパケットを受信すると、NIC120内のロジックがSPI内でクライアントIDを検証し、KDS124から受信したマスタ鍵を用いて、対称鍵のサーバサイドを、
セッション鍵=f(マスタ鍵,クライアントSPI)
などの鍵関数を利用して生成する。
セッション鍵=f(マスタ鍵,クライアントSPI)
などの鍵関数を利用して生成する。
NIC120のバージョンのセッション鍵が生成されると、NIC120は、クライアント100からのパケットを解読し、解読されたパケットをアプリケーションサーバ106内のネットワークソフトウェアスタックに送信し、これにより、プロセッサ114とOS118はパケットをサービスすることが可能となる。
いくつかの実施例では、パケットの解読が不成功であった場合、NIC120はパケットを破棄することができる。これは、プロセッサ114が当該パケットを確認することがないため、プロセッサ114により実行されるオーバヘッドを解消することとなる。
上述したようなシステム及びKDS装置を利用して、KDSは、暗号鍵配信処理のすべてではないが大部分を実行し、これにより、アプリケーションサーバ106からかなりの負担を取り除くこととなる。さらに、NIC120が独立に入力パケットを解読し、アプリケーションサーバ106のソフトウェアに常駐するネットワークスタックに解読されたパケットを送信することが可能であるため、アプリケーションサーバ106上に常駐するプロセッサ114とOS118がさらに解読処理から取り除かれる。
多くの実施例では、ドメイン102に複数の分散されたKDSが存在する。複数のKDSが、多数のクライアントへの鍵配信のロードをバランスさせるなどと共に、KDSの機能を分散化することによってセキュリティを追加するなどの利益を提供し、何れかのサーバへの攻撃が鍵配信システムを回避することを不可能にする。複数のKDSの間のロードをバランス指せるため、何れか一般的な分散化されたサーバのロードバランシングアルゴリズムが利用されてもよい。例えば、クライアント100内のリゾルバプログラムは、DNSサーバ112とやりとりすることによりKDSに対するDNS検索を実行した後、KDSの返されたIPアドレスをロードバランシングアルゴリズムに適用することができる。これは、クライアント鍵リクエストをドメインに存在する多数のKDSの何れか1つに送信するかもしれない。
さらに、多数の実施例では、NIC120は、入力されるクライアントパケットによって1以上の異常な状況が発生するとKDS124に通知するかもしれない。KDS124は、KDS124は、この異常行動がNIC120から通知されると、1以上のクライアントに関する適切なアクションをとるかもしれない。例えば、KDS124は、鍵及び/又はクライアントについて取消リストを保存しているかもしれない。このため、NIC120が、同一のクライアントIDであるが異なるIPアドレスを含むパケットを確認したことをKDS124に通知した場合、KDS124は、クライアントIDに係る鍵を取消リストに加え、当該クライアントに新たな鍵を配信する。NIC120がKDS124にこの新たな鍵が再び複数のクライアントにより使用されていることを通知した場合、鍵をリクエストしたクライアントは、取消リストに加えられ、ネットワーク上の任意のサーバとの当該クライアントのさらなる通信を永久に拒絶するかもしれない。
多数の実施例では、KDS124がクライアントから受信する健全性情報はまた、クライアントの能力と潜在的な役割(すなわち、ポスチャ情報(posture information))を含む他のクライアント情報によりピギーバック(piggyback)されるかもしれない。KDS124は、この付加情報を利用して、クライアントが通信することが許可されるドメイン102内のサーバを決定するかもしれない。これにより、KDS124は、この決定されたサーバ群と通信するのに利用される鍵を送信するかもしれない。
図2は、鍵配信サーバを用いて鍵情報を配信するプロセスの一実施例のフロー図である。当該プロセスは、ハードウェア、ソフトウェア又はこれらの組み合わせにより実行されるかもしれない。当該プロセスは、ドメインのDHCPサーバにドメインのDNSサーバのIPアドレスとクライアントのIPアドレスとを提供するようリクエストするクライアントマシーンの処理ロジックにより開始される(処理ブロック200)。その後、DHCPサーバ内の処理ロジックは、DNSサーバとクライアントのIPアドレスにより応答する(処理ブロック202)。
当該処理は、クライアント内の処理ロジックがDNSサーバがドメインのアプリケーションサーバのIPアドレスを検索するようリクエストすることにより継続される(処理ブロック204)。その後、DNSサーバ内の処理ロジックは、アプリケーションサーバのIPアドレスにより応答する(処理ブロック206)。クライアントリゾルバプログラム内の処理ロジックは、アプリケーションサーバのIPアドレスを用いて、アプリケーションサーバの健全性検証と認証ポリシーを検索するため、アプリケーションサーバをポーリングする(処理ブロック208)。
その後、アプリケーションサーバにおけるクライアントリゾルバポリシー検索の結果が、処理ロジックにより決定される(処理ブロック210)。アプリケーションサーバがポリシーを有していない場合、クライアント内の処理ロジックは、アプリケーションサーバに対する通常のHTTPリクエストに移行する(処理ブロック212)。
他方、健全性検証/認証ポリシーが存在する場合、処理ロジックは、KDSサーバがドメインに存在することを知る。クライアントの処理ロジックは、DNSサーバからのKDSサーバのIPアドレスをリクエストする(処理ブロック214)。次に、DNSサーバは、KDSサーバのIPアドレスによりクライアントに応答する(処理ブロック216)。その後、クライアント内の処理ロジックは、クライアント健全性を測定する(処理ブロック218)。健全性の測定は、AMT装置、又はクライアントマシーンが健全であり、危険でないことを検証するのに利用される他の装置を用いて実行されるかもしれない。その後、クライアント内の処理ロジックは、健全性情報と潜在的な他のポスチャ情報とをKDSサーバに提供する(処理ブロック220)。
その後、KDSサーバ内の処理ロジックは、クライアントにより測定された健全性情報に対する検証手順を実行する(処理ブロック222)。この検証手順は、いくつかの健全性ポリシーの何れか1つとすることができる。これは、ドメインにおけるアプリケーションサーバへのクライアントアクセスに要求されるセキュリティレベルに基づき、サーバ毎に決定される。
この時点において、処理ロジックはクライアントの健全性を決定している(処理ブロック224)。クライアントがKDSサーバにより健全でないとみなされた場合、KDSサーバは、クライアントにセッション鍵を送信しない(処理ブロック226)。他方、クライアントがKDSサーバにより健全であるとみなされた場合、KDSサーバは、クライアントに一意的なセッション鍵(すなわち、派生鍵)を送信する(処理ブロック228)。クライアントがこの鍵を受信すると、クライアント内の処理ロジックは、この一意的なセッション鍵を用いてアプリケーションサーバへのセキュアなリクエストに移行する(処理ブロック230)。最後に、アプリケーションサーバのNIC内の処理ロジックは、クライアントからセキュアなリクエストを受信し、クライアントIDから導出されたセッション鍵とKDSから提供されたマスタ鍵とを用いてパケットを解読する(処理ブロック232)。パケットが解読されると、パケットはアプリケーションサーバ内のさらなる処理のためネットワークソフトウェアスタックに送信可能であり、当該処理は終了する。
異常、サーバからクライアントにインターネットを介し対称鍵を配信する方法、装置及びシステムが説明された。これらの実施例は、具体的な実施例を参照して説明された。この開示の利益を有する者にとって、ここに記載された実施例の広範な趣旨及び範囲から逸脱することなくこれらの実施例に各種改良及び変更が可能であることは明らかであろう。明細書及び図面は、限定的なものでなく例示的なものとしてみなされるべきである。
100 クライアント
102 ドメイン
104 インターネット
106 アプリケーションサーバ
108 ファイアウォール
110 DHCPサーバ
112 DNSサーバ
114 プロセッサ
120 NIC
122 AMT装置
102 ドメイン
104 インターネット
106 アプリケーションサーバ
108 ファイアウォール
110 DHCPサーバ
112 DNSサーバ
114 プロセッサ
120 NIC
122 AMT装置
Claims (20)
- アプリケーションサーバとのセキュア通信に対するセッションキーを生成する鍵配信サーバであって、
アプリケーションサーバへのアクセスを要求したクライアント装置により生成される健全性情報であって、前記アプリケーションサーバにアクセスするため要求されるクライアント健全性ポリシーに応じて測定される前記クライアント装置のクライアント健全性レベルを示す前記健全性情報を受信し、
前記クライアント装置から受信した前記健全性情報を検証し、
前記クライアント装置のクライアント健全性レベルが前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足するか判断し、
前記クライアント装置のクライアント健全性レベルが前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足していることに応答して、前記クライアント装置と前記アプリケーションサーバとの間の通信セッションのためのマスタキーを生成し、
前記マスタキーと前記クライアント装置のクライアント識別子とに応じてクライアント
に固有のセッションキーを生成し、
前記マスタキーと前記クライアント装置のクライアント識別子とに応じて対応するセッションキーを生成するため、前記マスタキーを前記アプリケーションサーバに送信し、
前記アプリケーションサーバとの通信を暗号化及び解読するため、前記クライアントに固有のセッションキーを前記クライアント装置に送信する鍵配信サーバロジックを有する鍵配信サーバ。 - 前記鍵配信サーバロジックはさらに、
前記クライアント装置による異常な通信を示す情報を受信し、
前記クライアント装置に対応するクライアントに固有のセッションキーを鍵取消リストに追加し、
新たなクライアントに固有のセッションキーを生成し、
前記アプリケーションサーバとの通信を暗号化及び解読するため、前記新たなクライアントに固有のセッションキーを前記クライアント装置に送信する、請求項1記載の鍵配信サーバ。 - 前記鍵配信サーバロジックはさらに、
前記クライアント装置による異常な通信を示す情報を受信し、
前記クライアント装置を取消リストに追加し、
前記クライアント装置が前記アプリケーションサーバとさらに通信することを阻止する、請求項1記載の鍵配信サーバ。 - 前記クライアント装置による異常な通信を示す情報の受信は、前記アプリケーションサーバから前記クライアント装置による異常な通信を示す情報を受信することを有する、請求項2又は3記載の鍵配信サーバ。
- 前記クライアント装置により生成される健全性情報はさらに、前記クライアント装置の1以上の能力を示す情報を有し、
前記鍵配信サーバロジックはさらに、
複数のアプリケーションサーバの第1アプリケーションサーバグループが前記クライアント装置にアクセス可能であると判断し、
前記クライアント装置のクライアント健全性レベルが前記第1アプリケーションサーバグループの各アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足しているか判断し、
前記クライアント装置のクライアント健全性レベルが前記第1アプリケーションサーバグループの各アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足していることに応答して、前記第1アプリケーションサーバグループについて、各マスタキーが異なるアプリケーションサーバに対応する複数のマスタキーを生成し、
各クライアントに固有のセッションキーが前記クライアント装置のクライアント識別子と前記複数のマスタキーの異なるマスタキーとに対応する複数のクライアントに固有のセッションキーを生成し、
前記複数のマスタキーの第1マスタキーと前記クライアント装置のクライアント識別子とに応じて一致するセッションキーを生成するため、前記第1マスタキーを第1アプリケーションサーバに送信し、
前記第1アプリケーションサーバとの通信を暗号化及び解読するため、対応する前記クライアントに固有のセッションキーを前記クライアント装置に送信する、請求項1記載の鍵配信サーバ。 - アプリケーションサーバとのセキュア通信に対するセッションキーを配信するシステムであって、
アプリケーションサーバへのアクセスを要求したクライアント装置により生成される健全性情報であって、前記アプリケーションサーバにアクセスするため要求されるクライアント健全性ポリシーに応じて測定される前記クライアント装置のクライアント健全性レベルを示す前記健全性情報を受信し、
前記クライアント装置から受信した前記健全性情報を検証し、
前記クライアント装置のクライアント健全性レベルが前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足するか判断し、
前記クライアント装置のクライアント健全性レベルが前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足していることに応答して、前記クライアント装置と前記アプリケーションサーバとの間の通信セッションのためのマスタキーを生成し、
前記マスタキーと前記クライアント装置のクライアント識別子とに応じてクライアント
に固有のセッションキーを生成し、
前記マスタキーと前記クライアント装置のクライアント識別子とに応じて対応するセッションキーを生成するため、前記マスタキーを前記アプリケーションサーバに送信し、
前記アプリケーションサーバとの通信を暗号化及び解読するため、前記クライアントに固有のセッションキーを前記クライアント装置に送信する鍵配信サーバを有するシステム。 - 前記鍵配信サーバはさらに、
前記クライアント装置による異常な通信を示す情報を受信し、
前記クライアント装置に対応するクライアントに固有のセッションキーを鍵取消リストに追加し、
新たなクライアントに固有のセッションキーを生成し、
前記アプリケーションサーバとの通信を暗号化及び解読するため、前記新たなクライアントに固有のセッションキーを前記クライアント装置に送信する、請求項6記載のシステム。 - 前記鍵配信サーバはさらに、
前記クライアント装置による異常な通信を示す情報を受信し、
前記クライアント装置を取消リストに追加し、
前記クライアント装置が前記アプリケーションサーバとさらに通信することを阻止する、請求項6記載のシステム。 - 前記クライアント装置により生成される健全性情報はさらに、前記クライアント装置の1以上の能力を示す情報を有し、
前記鍵配信サーバはさらに、
複数のアプリケーションサーバの第1アプリケーションサーバグループが前記クライアント装置にアクセス可能であると判断し、
前記クライアント装置のクライアント健全性レベルが前記第1アプリケーションサーバグループの各アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足しているか判断し、
前記クライアント装置のクライアント健全性レベルが前記第1アプリケーションサーバグループの各アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足していることに応答して、前記第1アプリケーションサーバグループについて、各マスタキーが異なるアプリケーションサーバに対応する複数のマスタキーを生成し、
各クライアントに固有のセッションキーが前記クライアント装置のクライアント識別子と前記複数のマスタキーの異なるマスタキーとに対応する複数のクライアントに固有のセッションキーを生成し、
前記複数のマスタキーの第1マスタキーと前記クライアント装置のクライアント識別子とに応じて一致するセッションキーを生成するため、前記第1マスタキーを第1アプリケーションサーバに送信し、
前記第1アプリケーションサーバとの通信を暗号化及び解読するため、対応する前記クライアントに固有のセッションキーを前記クライアント装置に送信する、請求項6記載のシステム。 - 前記クライアント装置は、
前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーに応じて前記クライアント装置の前記クライアント健全性レベルを測定し、
前記測定に基づき前記健全性情報を生成し、
前記生成された健全性情報をセキュアなデジタル証明書により署名し、
前記健全性情報をネットワークを介し前記鍵配信サーバに送信する、
セキュリティ管理コンポーネントを有する、請求項6記載のシステム。 - 前記クライアント装置はさらに、
前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを前記アプリケーションサーバから要求し、
前記アプリケーションサーバから前記クライアント健全性ポリシーを受信し、
前記鍵配信サーバから前記クライアントに固有のセッションキーを受信し、
前記クライアントに固有のセッションキーを用いてパケットを暗号化し、
前記暗号化されたパケットと前記クライアント装置のクライアント識別子とを有するIPSec(Internet Protocol Security)パケットを用いて、前記暗号化されたパケットを前記アプリケーションサーバに送信する、請求項6乃至10何れか一項記載のシステム。 - 前記アプリケーションサーバは、
オペレーティングシステムを格納するメモリと、
前記オペレーティングシステムからの命令を実行するプロセッサと、
前記クライアント装置から前記暗号化されたパケットと前記クライアント装置のクライアント識別子とを有するIPSecパケットを受信し、前記受信したIPSecパケットからの前記クライアント装置のクライアント識別子を検証し、前記受信したIPSecパケットからの前記クライアント識別子と前記鍵配信サーバから受信したマスタキーとを用いて、対応する前記セッションキーを生成し、前記受信したIPSecパケットから前記対応するセッションキーにより前記暗号化されたパケットを解読し、前記プロセッサによりサービス提供のため、前記解読されたパケットを前記オペレーティングシステムに送信するネットワークインタフェースコントローラと、
を有する、請求項11記載のシステム。 - 前記アプリケーションサーバはさらに、前記解読が不成功であった場合、前記パケットを破棄する、請求項12記載のシステム。
- 前記鍵配信サーバのアドレスを前記クライアント装置に提供するドメインネームサーバをさらに有する、請求項6記載のシステム。
- アプリケーションサーバとのセキュア通信に対するセッションキーを配信する方法であって、
鍵配信サーバが、アプリケーションサーバへのアクセスを要求したクライアント装置により生成される健全性情報であって、前記アプリケーションサーバにアクセスするため要求されるクライアント健全性ポリシーに応じて測定される前記クライアント装置のクライアント健全性レベルを示す前記健全性情報を受信するステップと、
前記鍵配信サーバが、前記クライアント装置から受信した前記健全性情報を検証するステップと、
前記鍵配信サーバが、前記クライアント装置のクライアント健全性レベルが前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足するか判断するステップと、
前記鍵配信サーバが、前記クライアント装置のクライアント健全性レベルが前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足していることに応答して、前記クライアント装置と前記アプリケーションサーバとの間の通信セッションのためのマスタキーを生成するステップと、
前記鍵配信サーバが、前記マスタキーと前記クライアント装置のクライアント識別子とに応じてクライアントに固有のセッションキーを生成するステップと、
前記鍵配信サーバが、前記マスタキーと前記クライアント装置のクライアント識別子とに応じて対応するセッションキーを生成するため、前記マスタキーを前記アプリケーションサーバに送信するステップと、
前記鍵配信サーバが、前記アプリケーションサーバとの通信を暗号化及び解読するため、前記クライアントに固有のセッションキーを前記クライアント装置に送信するステップと、
を有する方法。 - 前記鍵配信サーバが、前記クライアント装置による異常な通信を示す情報を受信するステップと、
前記鍵配信サーバが、前記クライアント装置に対応するクライアントに固有のセッションキーを鍵取消リストに追加するステップと、
前記鍵配信サーバが、新たなクライアントに固有のセッションキーを生成するステップと、
前記鍵配信サーバが、前記アプリケーションサーバとの通信を暗号化及び解読するため、前記新たなクライアントに固有のセッションキーを前記クライアント装置に送信するステップと、
をさらに有する、請求項15記載の方法。 - 前記鍵配信サーバが、前記クライアント装置による異常な通信を示す情報を受信するステップと、
前記鍵配信サーバが、前記クライアント装置を取消リストに追加するステップと、
前記鍵配信サーバが、前記クライアント装置が前記アプリケーションサーバとさらに通信することを阻止するステップと、
をさらに有する、請求項15記載の方法。 - 前記クライアント装置により生成される健全性情報はさらに、前記クライアント装置の1以上の能力を示す情報を有し、
当該方法はさらに、
前記鍵配信サーバが、複数のアプリケーションサーバの第1アプリケーションサーバグループが前記クライアント装置にアクセス可能であると判断するステップと、
前記鍵配信サーバが、前記クライアント装置のクライアント健全性レベルが前記第1アプリケーションサーバグループの各アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足しているか判断するステップと、
前記鍵配信サーバが、前記クライアント装置のクライアント健全性レベルが前記第1アプリケーションサーバグループの各アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを充足していることに応答して、前記第1アプリケーションサーバグループについて、各マスタキーが異なるアプリケーションサーバに対応する複数のマスタキーを生成するステップと、
前記鍵配信サーバが、各クライアントに固有のセッションキーが前記クライアント装置のクライアント識別子と前記複数のマスタキーの異なるマスタキーとに対応する複数のクライアントに固有のセッションキーを生成するステップと、
前記鍵配信サーバが、前記複数のマスタキーの第1マスタキーと前記クライアント装置のクライアント識別子とに応じて一致するセッションキーを生成するため、前記第1マスタキーを第1アプリケーションサーバに送信するステップと、
前記鍵配信サーバが、前記第1アプリケーションサーバとの通信を暗号化及び解読するため、対応する前記クライアントに固有のセッションキーを前記クライアント装置に送信するステップと、
を有する、請求項15記載の方法。 - 前記クライアント装置が、前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーを要求するステップと、
前記クライアント装置が、前記アプリケーションサーバから前記クライアント健全性ポリシーを受信するステップと、
前記クライアント装置が、前記アプリケーションサーバにアクセスするため要求される前記クライアント健全性ポリシーに応じて前記クライアント装置のクライアント健全性レベルを測定するステップと、
前記クライアント装置が、前記測定に基づき前記健全性情報を生成するステップと、
前記クライアント装置が、前記生成された健全性情報をセキュアなデジタル証明書により署名するステップと、
前記クライアント装置が、前記健全性情報を前記鍵配信サーバに送信するステップと、
前記クライアント装置が、前記鍵配信サーバから前記クライアントに固有のセッションキーを受信するステップと、
前記クライアント装置が、前記クライアントに固有のセッションキーを用いてパケットを暗号化するステップと、
前記クライアント装置が、前記暗号化されたパケットと前記クライアント装置のクライアント識別子とを有するIPSec(Internet Protocol Security)パケットを用いて、前記暗号化されたパケットを前記アプリケーションサーバに送信するステップと、
をさらに有する、請求項15記載の方法。 - 前記アプリケーションサーバが、前記クライアント装置により送信された前記クライアント識別子と前記暗号化されたパケットとを有するIPSecパケットを受信するステップと、
前記アプリケーションサーバが、前記受信したIPSecパケットからの前記クライアント装置のクライアント識別子を検証するステップと、
前記アプリケーションサーバが、前記受信したIPSecパケットからの前記クライアント識別子と前記鍵配信サーバから受信した前記マスタキーとを用いて、前記対応するセッションキーを生成するステップと、
前記アプリケーションサーバが、前記受信したIPSecパケットからの前記暗号化されたパケットを前記対応するセッションキーにより解読するステップと、
前記アプリケーションサーバが、前記解読が成功であった場合、前記アプリケーションサーバのプロセッサによるサービス提供のため、前記解読されたパケットを前記アプリケーションサーバのオペレーティングシステムに送信するステップと、
前記アプリケーションサーバが、前記解読が不成功であった場合、前記暗号化されたパケットを破棄するステップと、
をさらに有する、請求項19記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/957,184 US8532303B2 (en) | 2007-12-14 | 2007-12-14 | Symmetric key distribution framework for the internet |
| US11/957,184 | 2007-12-14 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008307458A Division JP4981782B2 (ja) | 2007-12-14 | 2008-12-02 | インターネットのための対称鍵配信フレームワーク |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012182812A JP2012182812A (ja) | 2012-09-20 |
| JP5346107B2 true JP5346107B2 (ja) | 2013-11-20 |
Family
ID=40601194
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008307458A Expired - Fee Related JP4981782B2 (ja) | 2007-12-14 | 2008-12-02 | インターネットのための対称鍵配信フレームワーク |
| JP2012096711A Expired - Fee Related JP5346107B2 (ja) | 2007-12-14 | 2012-04-20 | インターネットのための対称鍵配信フレームワーク |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008307458A Expired - Fee Related JP4981782B2 (ja) | 2007-12-14 | 2008-12-02 | インターネットのための対称鍵配信フレームワーク |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US8532303B2 (ja) |
| EP (1) | EP2073496B1 (ja) |
| JP (2) | JP4981782B2 (ja) |
| CN (1) | CN101488950B (ja) |
| AT (1) | ATE531177T1 (ja) |
| ES (1) | ES2376143T3 (ja) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2434947B (en) * | 2006-02-02 | 2011-01-26 | Identum Ltd | Electronic data communication system |
| US8532303B2 (en) | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
| US9443084B2 (en) | 2008-11-03 | 2016-09-13 | Microsoft Technology Licensing, Llc | Authentication in a network using client health enforcement framework |
| US10348693B2 (en) | 2009-12-15 | 2019-07-09 | Microsoft Technology Licensing, Llc | Trustworthy extensible markup language for trustworthy computing and data services |
| US9537650B2 (en) | 2009-12-15 | 2017-01-03 | Microsoft Technology Licensing, Llc | Verifiable trust for data through wrapper composition |
| US8856518B2 (en) * | 2011-09-07 | 2014-10-07 | Microsoft Corporation | Secure and efficient offloading of network policies to network interface cards |
| CN103856321A (zh) * | 2012-12-07 | 2014-06-11 | 观致汽车有限公司 | 一种数据加密解密方法及其系统 |
| US8955075B2 (en) | 2012-12-23 | 2015-02-10 | Mcafee Inc | Hardware-based device authentication |
| US8850543B2 (en) | 2012-12-23 | 2014-09-30 | Mcafee, Inc. | Hardware-based device authentication |
| US9419953B2 (en) | 2012-12-23 | 2016-08-16 | Mcafee, Inc. | Trusted container |
| US10346388B2 (en) | 2013-05-03 | 2019-07-09 | Sap Se | Performance and quality optimized architecture for cloud applications |
| US11601620B2 (en) | 2013-07-22 | 2023-03-07 | Intellivision Technologies Corp. | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
| US10979674B2 (en) | 2013-07-22 | 2021-04-13 | Intellivision | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
| US9692759B1 (en) | 2014-04-14 | 2017-06-27 | Trend Micro Incorporated | Control of cloud application access for enterprise customers |
| US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
| US20220360573A1 (en) * | 2015-01-07 | 2022-11-10 | Cyph Inc. | Encrypted group communication method |
| US20180099846A1 (en) | 2015-03-06 | 2018-04-12 | Wal-Mart Stores, Inc. | Method and apparatus for transporting a plurality of stacked motorized transport units |
| US12084824B2 (en) | 2015-03-06 | 2024-09-10 | Walmart Apollo, Llc | Shopping facility assistance systems, devices and methods |
| US10239740B2 (en) | 2015-03-06 | 2019-03-26 | Walmart Apollo, Llc | Shopping facility assistance system and method having a motorized transport unit that selectively leads or follows a user within a shopping facility |
| WO2016142794A1 (en) | 2015-03-06 | 2016-09-15 | Wal-Mart Stores, Inc | Item monitoring system and method |
| US20170063853A1 (en) * | 2015-07-10 | 2017-03-02 | Infineon Technologies Ag | Data cipher and decipher based on device and data authentication |
| CA2961938A1 (en) | 2016-04-01 | 2017-10-01 | Wal-Mart Stores, Inc. | Systems and methods for moving pallets via unmanned motorized unit-guided forklifts |
| CN106685906B (zh) * | 2016-06-29 | 2018-10-30 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
| US10630659B2 (en) * | 2016-09-30 | 2020-04-21 | Nicira, Inc. | Scalable security key architecture for network encryption |
| US10333930B2 (en) * | 2016-11-14 | 2019-06-25 | General Electric Company | System and method for transparent multi-factor authentication and security posture checking |
| CN113630773B (zh) * | 2017-01-24 | 2023-02-14 | 华为技术有限公司 | 安全实现方法、设备以及系统 |
| CN108418679B (zh) * | 2017-02-10 | 2021-06-29 | 阿里巴巴集团控股有限公司 | 一种多数据中心下处理密钥的方法、装置及电子设备 |
| CN107133285B (zh) * | 2017-04-18 | 2019-08-30 | 北京北信源软件股份有限公司 | 一种分布式主键生成方法与装置 |
| US10757105B2 (en) * | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
| US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
| KR101932505B1 (ko) | 2017-07-21 | 2018-12-26 | 동서대학교 산학협력단 | Sdn에서 보안성 강화를 위한 rest 액세스 파라미터 충돌회피 방법 |
| US10701046B1 (en) * | 2017-10-24 | 2020-06-30 | Verisign, Inc. | Symmetric-key infrastructure |
| US10680806B1 (en) | 2017-10-24 | 2020-06-09 | Verisign, Inc. | DNS-based symmetric-key infrastructure |
| EP3685299A4 (en) * | 2018-01-02 | 2021-04-14 | Hewlett-Packard Development Company, L.P. | REGULATION OF THE MODIFICATION |
| US11610012B1 (en) * | 2019-11-26 | 2023-03-21 | Gobeep, Inc. | Systems and processes for providing secure client controlled and managed exchange of data between parties |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6061796A (en) * | 1997-08-26 | 2000-05-09 | V-One Corporation | Multi-access virtual private network |
| US7146505B1 (en) * | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
| ATE360937T1 (de) | 1999-06-10 | 2007-05-15 | Alcatel Internetworking Inc | System und verfahren zur selektiven ldap- datenbank synchronisierung |
| US7162649B1 (en) * | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
| US7165175B1 (en) | 2000-09-06 | 2007-01-16 | Widevine Technologies, Inc. | Apparatus, system and method for selectively encrypting different portions of data sent over a network |
| US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US6834301B1 (en) * | 2000-11-08 | 2004-12-21 | Networks Associates Technology, Inc. | System and method for configuration, management, and monitoring of a computer network using inheritance |
| DE10056841A1 (de) | 2000-11-16 | 2002-05-23 | Basf Ag | Verfahren und Vorrichtung zur destillativen Gewinnung von 1,3-Reinbutadien aus 1,3-Rohbutadien |
| US6965928B1 (en) * | 2001-03-09 | 2005-11-15 | Networks Associates Technology, Inc. | System and method for remote maintenance of handheld computers |
| US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
| US20030140257A1 (en) | 2002-01-22 | 2003-07-24 | Petr Peterka | Encryption, authentication, and key management for multimedia content pre-encryption |
| US7234063B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US7533407B2 (en) * | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US7673326B2 (en) * | 2004-02-04 | 2010-03-02 | Microsoft Corporation | System and method utilizing clean groups for security management |
| US20050273853A1 (en) * | 2004-05-24 | 2005-12-08 | Toshiba America Research, Inc. | Quarantine networking |
| US20060010485A1 (en) * | 2004-07-12 | 2006-01-12 | Jim Gorman | Network security method |
| US20060047944A1 (en) | 2004-09-01 | 2006-03-02 | Roger Kilian-Kehr | Secure booting of a computing device |
| WO2006034201A2 (en) * | 2004-09-17 | 2006-03-30 | Hobnob, Inc. | Quarantine network |
| US20060085850A1 (en) | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| US7477740B2 (en) * | 2005-01-19 | 2009-01-13 | International Business Machines Corporation | Access-controlled encrypted recording system for site, interaction and process monitoring |
| JP2006253888A (ja) | 2005-03-09 | 2006-09-21 | Mitsubishi Electric Corp | 位置情報管理装置及び位置情報管理方法 |
| JP2006338587A (ja) | 2005-06-06 | 2006-12-14 | Hitachi Ltd | アクセス制御サーバ、利用者端末及び情報アクセス制御方法 |
| CN1731726B (zh) * | 2005-08-09 | 2011-04-20 | 刘津立 | 一种手机关联服务器组建的安全基础设施及增值方案 |
| US20080037775A1 (en) * | 2006-03-31 | 2008-02-14 | Avaya Technology Llc | Verifiable generation of weak symmetric keys for strong algorithms |
| EP1873668A1 (en) | 2006-06-28 | 2008-01-02 | Nokia Siemens Networks Gmbh & Co. Kg | Integration of device integrity attestation into user authentication |
| US8661249B2 (en) * | 2007-09-24 | 2014-02-25 | Microsoft Corporation | Health keyset management |
| US8532303B2 (en) | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
-
2007
- 2007-12-14 US US11/957,184 patent/US8532303B2/en not_active Expired - Fee Related
-
2008
- 2008-11-28 ES ES08253837T patent/ES2376143T3/es active Active
- 2008-11-28 EP EP20080253837 patent/EP2073496B1/en not_active Not-in-force
- 2008-11-28 AT AT08253837T patent/ATE531177T1/de not_active IP Right Cessation
- 2008-12-02 JP JP2008307458A patent/JP4981782B2/ja not_active Expired - Fee Related
- 2008-12-15 CN CN2008101909872A patent/CN101488950B/zh not_active Expired - Fee Related
-
2012
- 2012-04-20 JP JP2012096711A patent/JP5346107B2/ja not_active Expired - Fee Related
-
2013
- 2013-07-29 US US13/953,594 patent/US9015484B2/en not_active Expired - Fee Related
-
2015
- 2015-04-20 US US14/691,203 patent/US9654453B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| ES2376143T3 (es) | 2012-03-09 |
| US9015484B2 (en) | 2015-04-21 |
| US9654453B2 (en) | 2017-05-16 |
| US20130311777A1 (en) | 2013-11-21 |
| EP2073496B1 (en) | 2011-10-26 |
| US20150304286A1 (en) | 2015-10-22 |
| EP2073496A1 (en) | 2009-06-24 |
| US8532303B2 (en) | 2013-09-10 |
| ATE531177T1 (de) | 2011-11-15 |
| US20090154708A1 (en) | 2009-06-18 |
| JP2012182812A (ja) | 2012-09-20 |
| CN101488950B (zh) | 2013-11-13 |
| CN101488950A (zh) | 2009-07-22 |
| JP2009147927A (ja) | 2009-07-02 |
| JP4981782B2 (ja) | 2012-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5346107B2 (ja) | インターネットのための対称鍵配信フレームワーク | |
| US11477037B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange | |
| US11038854B2 (en) | Terminating SSL connections without locally-accessible private keys | |
| JP2023514736A (ja) | 安全な通信のための方法及びシステム | |
| US11652637B2 (en) | Enforcing a segmentation policy using cryptographic proof of identity | |
| Chien et al. | A MQTT-API-compatible IoT security-enhanced platform | |
| US10389538B2 (en) | Processing a security policy for certificate validation error | |
| Younes | Securing ARP and DHCP for mitigating link layer attacks | |
| EP3216163B1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
| Li et al. | Securing distributed adaptation | |
| JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
| WO2016124302A1 (en) | User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs | |
| Krähenbühl et al. | Ubiquitous Secure Communication in a Future Internet Architecture | |
| Khurana et al. | Data security during cloud storage in public cloud using “Kerberos: An authentication protocol” |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130716 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130815 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5346107 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |