JP5640226B2 - 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム - Google Patents

第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム Download PDF

Info

Publication number
JP5640226B2
JP5640226B2 JP2012551197A JP2012551197A JP5640226B2 JP 5640226 B2 JP5640226 B2 JP 5640226B2 JP 2012551197 A JP2012551197 A JP 2012551197A JP 2012551197 A JP2012551197 A JP 2012551197A JP 5640226 B2 JP5640226 B2 JP 5640226B2
Authority
JP
Japan
Prior art keywords
domain
session
partially
circuit
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012551197A
Other languages
English (en)
Other versions
JP2013518522A (ja
Inventor
ロング、メン
エス. グレウォール、カランヴィア
エス. グレウォール、カランヴィア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2013518522A publication Critical patent/JP2013518522A/ja
Application granted granted Critical
Publication of JP5640226B2 publication Critical patent/JP5640226B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本開示は、少なくとも一部ノード間で実行される暗号化通信を少なくとも一部試験することを可能とするノード間のセキュアな通信チャネルを少なくとも一部確立する方法に関する。
従来の構成において、企業のネットワークが、第2ネットワークノードに接続される第1ネットワークノードを含む場合を考える。第2ネットワークノードは、企業ネットワークを、第3ネットワークノードを含む外部ネットワークに接続してもよい。第2ネットワークノードは、企業ネットワークから外部ネットワークへと渡されるパケット及び外部ネットワークから企業ネットワークへと渡されるパケットの試験及び/又は解析を伴う、企業ネットワークのためのセキュリティ機能を提供してもよい。
従来のネットワーク配置では、第1ネットワークノード及び第3ネットワークノードは、互いに暗号化された通信を交換してもよい。第1ネットワークノードと第3ネットワークノードとの間では交換されるが第2ネットワークへは開示されない暗号化キーに基づいて、この通信が実行されてもよい。これにより、第2ネットワークノードが、第1ネットワークノードと第3ネットワークノードとの間で暗号化された通信の内容を試験及び/又は分析することを不可能にしている。しかしながら、この構成は、企業のセキュリティを危険に晒す可能性があり、企業ネットワークに悪影響を与える可能性がある(例えば、企業ネットワークにウイルスの侵入を許す等)。
更に、相対的に多数のセキュアな接続が、第2ネットワークノードを横断している場合がある。この従来の配置では、意味のある試験及び/又はその他の分析を実行するために、第2ネットワークノードは、多数の接続のそれぞれを、それぞれの暗号キー及び/又はその他の情報と関連付ける。処理可能な接続の数が大幅に限られ、このような関連付け処理のスピードが制限される従来の配置では、接続の拡張性の問題が生じる。
また、従来の配置では、これらセキュアな接続の数及び特徴は、時間軸上で一定ではなく、相対的に短期間で大きく変化する場合が多い。接続が大幅に変化することを考慮して、意味のある試験及び/又はその他の分析を実行するためには、接続同期処理の大きなオーバーヘッドを第2ネットワークノードに課すことになる。
また、従来の配置では、第1ノードと第3ノードとの間のセキュアな接続はそれぞれ、第2ノードと第3ノードとの間の対応する接続と関係している場合がある。第2ネットワークノードと第3ネットワークノードとの間のセキュアな接続それぞれについて、第2ネットワークは、それぞれのセキュアな接続を確立するのに使用されてもよい第3ネットワークとの暗号化キーをそれぞれ交渉してもよい。従来の配置では相対的に多数の接続が存在することから、暗号化キーの交渉及びそれに関連して多数のハンドシェイクが望ましくないほど多数発生し、第2ノードと第3ノードとの間で多数のキーについての交渉が行われることになる。また、この従来の配置では、多量のキーを記憶及び処理しなくてはならない。
実施形態の特徴及び利点が、以下の詳細な説明及び図面を参照することにより明らかとなるであろう。図面間において、同様な構成要素には同様な参照番号が付与されている。
システムの実施形態を示した図である。 一実施形態における特徴を示した図である。 一実施形態における特徴を示した図である。 一実施形態における特徴を示した図である。 一実施形態におけるオペレーションを示した図である。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1には、システムの実施形態100が示されている。システム100は、別のドメイン70と通信可能に接続されてもよい企業ドメイン51を含んでもよい。ドメイン70は、少なくとも一部、企業ドメイン51の外側であってもよく、少なくとも一部インターネットドメインを含む及び/又は利用してもよい。企業ネットワーク51は、1以上のゲートウェイ及び/又はネットワークアプライアンスノード120に通信可能に接続されてもよい1以上のクライアントネットワークノード10を含んでもよい。1以上のノード120は、ドメイン70に含まれていてもよい1以上のサーバノード30及び/又はドメイン70に通信可能に接続されていてもよい。
本実施形態において、"ノード"という言葉は、例えば、終端局、家電、マスストレージ、中間局、ネットワークインターフェース、クライアント、サーバ、スマートフォン、その他の通信デバイス及び/又はその部分のような、ネットワークに通信可能に接続されるエンティティを指す。本実施形態において、"クライアント"及び/又は"クライントノード"という言葉は、必ずしもこれが必要というわけではないが終端局を含むノードという意味に交換可能に使用される場合がある。本実施形態において、終端局は、スマートフォン又はその他の通信デバイスであってもよい。また、本実施形態において、"中間ノード"、"ゲートウェイ"、"ゲートウェイノード"、"ネットワークアプライアンス"、及び/又は、"ネットワークアプライアンスノード"という言葉は、複数のその他のノードに通信可能に接続されてもよいノードを意味するように交換可能に使用される場合があり、例えば、ファイヤーウォール、スイッチング、フォワーディング、ゲートウェイ、侵入検出、負荷バランシング、及び/又は、ルーティングサービス及び/又は機能のような1以上のサービス及び/又は機能を提供、促進及び/又は実装してもよい(必ずしも、提供することが必要であるわけではないが)。本実施形態において、"サーバ"及び/又は"サーバノード"という言葉は、例えば、データ格納、読み出し及び/又は処理機能のような1以上のサービス及び/又は機能を1以上のクライアントに提供、促進及び/又は実装するノードを意味する言葉として交換可能に使用される場合がある。本実施形態において、"ネットワーク"は、互いに通信可能に接続される2つ以上のノードであってもよい、又は、この2つ以上のノードを含んでもよい。また、本実施形態において、一方のノードが、例えば、1以上の有線及び/又は無線通信リンクを介して、1以上のコマンド及び/又はデータを他方のノードから送信及び受信可能である場合、一のノードは他のノードに"通信可能に接続"されてもよい。本実施形態において、"無線通信リンク"は、少なくとも2つのノードが少なくとも部分的に無線通信接続されることを可能にする様式及び/又は部分を意味してもよい。本実施形態において、"有線通信リンク"とは、少なくとも2つのノードが少なくとも部分的に非無線手段を介して少なくとも部分的に通信接続されることを可能にする様式及び/又は部分を意味してもよい。また、本実施形態で使用されている、データという言葉は、1以上のコマンドである又は1以上のコマンドを含んでもよく、1以上のコマンドはデーアであってもよい又はデータを含んでもよい。
1以上のノード120は、回路基板(CB)14を含んでもよい。CB14は、1以上のホストプロセッサ、及び/又は、チップセット集積回路12及びコンピュータ読み出し/書き込み可能メモリ21を備えるシステムマザーボードであってもよい、又は、そのようなシステムマザーボードを含んでもよい。CB14は、CB14の構成要素(例えば、1以上の集積回路12及び/又はメモリ21)及びCC22の構成要素(例えば、C22に含まれる演算可能回路118)が、互いに通信可能に接続されるような態様で、回路カード(CC)22がCB14と電気的及び機械的に結合することを可能とする1以上のコネクタ(図示せず)を備えてもよい。
これに替えて又は加えて、本実施形態の範囲において、1以上の集積回路12及び/又はメモリ21に含まれる回路の一部又は全てが、回路118に含まれていてもよく、及び/又は、回路118の一部又は/全てが、1以上の集積回路12及び/又はメモリ21に含まれていてもよい。
また、本実施形態において"回路"は、例えば、アナログ回路、デジタル回路、有線接続された回路、ブログラム可能回路、状態機械回路、及び/又は、プログラマブル回路によって実行されてもよいプログラム命令を含むメモリを単体で、又は、これらの組み合わせを含んでもよい。本実施形態では、"集積回路"とは、例えば、半導体集積回路チップのような、半導体デバイス及び/又はマイクロ電子デバイスを意味してもよい。更に、本実施形態では、"ホストプロセッサ"、"プロセッサ"、"プロセッサコア"、"コア"及び/又は"コントローラ"という言葉は、少なくとも部分的に1以上の算術及び/又は論理演算を実行する能力を有する回路を意味するべく交換可能に使用される場合がある。また、本実施形態では、"チップセット"とは、少なくとも部分的に、1以上のプロセッサ、メモリ及び/又はその他の回路に通信可能に接続できる回路を含んでもよい。
ノード10、120及び/又は30はそれぞれ、図示しないユーザインターフェースを備えてもよく、ユーザインターフェースは、例えば、キーボードポインティングデバイス及び人間がコマンドを入力可能な表示システムを備え、各ノード及び/又はシステム100のオペレーションを監視する。演算可能回路118は、1以上のクライアント10及び/又は1以上のサーバ30と通信可能に接続されていてもよい。
回路118は、1以上の集積回路15を含んでもよい。1以上の集積回路15は、1以上のプロセッサコア124及び/又は暗号化回路126を含んでもよい。この実施形態において、回路118、1以上の集積回路15、1以上のコア124及び/又は回路126は、少なくとも部分的に、本明細書に記載される回路118によって実行される暗号化及び/又は関連オペレーションを実行可能であってもよい。
1以上の機械可読プログラム命令は、コンピュータ可読/書き込み可能メモリ21に格納されてもよい。1以上のノード120のオペレーションにおいて、これら命令は、1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126によって実行及び/又はアクセスされてもよい。1以上の命令が実行されると、1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126は、本明細書に記載されるように1以上の集積回路12、回路118、1以上の集積回路15、1以上のプロセッサコア124及び/又は回路126によって実行されるオペレーションを実行する。メモリ21は、半導体ファームウェアメモリ、プログラマブルメモリ、不揮発性メモリ、リードオンリーメモリ、電気的プログラマブルメモリ、ランダムアクセスメモリ、フラッシュメモリ、磁気ディスクメモリ、光ディスクメモリ、及び/又は、その他の又は後に開発されるコンピュータ可読及び/又は書き込み可能メモリのうちの1以上の種類のメモリを含んでもよい。
本実施形態において、"ドメイン"は、1以上のノード及び(図示しない)ドメインオーソリティを含む。本実施形態において、"ドメインオーソリティ"は、一部又は全部が、認証、特定及び/又はセキュリティを伴う及び/又は関係する1以上の機能、特徴、プロトコル及び/又はオペレーションを少なくとも部分的に、提供、実装及び/又は促進可能な1以上のエンティティを含んでもよい。例えば、ドメイン51及び/又は70はそれぞれ、1以上のノード10、120及び/又は30に通信可能に接続されてもよい1以上の対応するドメインオーソリティ(図示せず)を含んでもよい。これに替えて又は加えて、システム100における1以上のドメインオーソリティの機能及び/又はオペレーションの全て又は一部は、少なくとも部分的に、1以上のノード120及び/又は30によって実行されてもよい。
回路118は、データ及びコマンドを1以上の通信プロトコルに従って、1以上のクライアント10と及び/又は1以上のサーバ30と交換してもよい。例えば、本実施形態では、これら1以上のプロトコルは、例えば、イーサーネットプロトコル、伝送制御プロトコル/インターネットプロトコル(TCP/IP)プロトコル、セキュリティアーキテクチャforIP(IPsec)及び/又はトランスポートレイヤセキュリティ(TLS)プロトコルに準拠してもよい。
システム100で利用可能なイーサーネットプロトコルは、2000年10月20日発行の電気電子技術者協会(IEEE)規格、802.3、2000年エディションに記載されたプロトコルに準拠してもよい。システム100で利用可能なTCP/IPプロトコルは、1981年発行のインターネット・エンジニアリング・タスクフォース(IETF)のリクエストフォーコメンツ(RFC)791及び793に記載されているプロトコルに準拠してもよい。システム100で利用可能なIPsecプロトコルは、2005年12月に発行されたIETF RFC4301に記載されているプロトコルに準拠してもよい。システム100で利用可能なTLSプロトコルは、2006年4月に発行されたIETF RFC4346"トランスポートレイヤセキュリティ(TLS)プロトコルバージョン1.1"に記載されたプロトコルに準拠してもよい。無論、上記のプロトコル及び/又はその他のプロトコルの後に開発されるバージョンを含む、数多くの異なる、更なる及び/又はその他のプロトコル(例えば、セキュリティに関する及び/又は実装プロトコル)を、本実施形態の範囲内で、データ及び/又はコマンドの交換に使用してもよい。
図5に示すように、システム100は、少なくとも部分的に、オペレーション500を実行してもよい。例えば、システム100のオペレーションでは、回路118は、データ及び/又はコマンドを、1以上のクライアント10及び/又は1以上のサーバ30とやりとりしてもよく、少なくとも部分的に、1以上のクライアント10及び/又は1以上のサーバ30との間の1以上のセキュアな通信チャネル54を、回路118及び/又は1以上の図示しない非中間ノードを介して確立してもよい(オペレーション502参照)。本実施形態において、1以上のチャネル54は、ドメイン51における1以上のセッション90及びドメイン70における1以上のセッション92を含んでもよい。1以上のセッション90は、少なくとも部分的に、1以上のクライアント10及び1以上のノード120(すなわち、1以上のノード120における回路118)を通信可能に接続してもよい、又は、これらの間に存在してもよいドメイン51における、1以上のセキュアなセッションである、又は、1以上のセキュアなセッションを含む。1以上のセッション92は、少なくとも部分的に、回路118及び1以上のサーバ30を通信可能に接続してもよい、又は、これらの間に存在するドメイン70における、1以上のセキュアなセッションである、又は、1以上のセキュアなセッションを含む。以下に説明するように、1以上のセッション90及び1以上のセッション92は、まとめて、1以上のチャネル54を提供するように動作する。
本実施形態において、"セッション"及び"チャネル"という言葉は交換可能に使用される場合があり、少なくとも2つのエンティティの間でコマンド及び/又はデータを交換することを含む。また、本実施形態において、"セキュアなセッション"とは、少なくとも部分的に、データ及び/又はコマンドの少なくとも一部が暗号化されているセッションを含んでもよい。本実施形態において、"暗号化"及び/又は"暗号化する"とは、少なくとも部分的に、プレーンテキストから暗号文を生成すること及び/又はその生成を簡易にすることを含む1以上のオペレーションを含んでもよい。また、本実施形態において、"復号化(暗号解読)"及び/又は"復号化する"とは、少なくとも部分的に、暗号文からプレーンテキストを生成すること及び/又はその生成を簡易にすることを含む1以上のオペレーションを含んでもよい。また、本実施形態において、"プレーンテキスト"は、少なくとも部分的に暗号化されたデータ、及び/又は、暗号化及び/又は復号化がすでに行われた及び/又は暗号化及び/又は復号化の最中であるデータを含んでもよい。本実施形態において、"キー(鍵)"は、暗号化及び復号化で使用されてもよい1以上の符号及び/又は値を含んでもよい。
例えば、本実施形態において、1以上のクライアント10は、1以上のクライアント10と1以上のサーバ30との間の1以上のセキュアなチャネル54の確立を開始することを意図した1以上のパケットを、回路118に送信してもよい。これら1以上のパケットに応答して、少なくとも部分的に、回路118は、1以上のクライアント10とデータ及び/又はコマンドをやりとりしてもよく、それにより1以上のセッション90が確立されてもよい。本実施形態では、これと同時に、回路118は、1以上のサーバ30とデータ及び/又はコマンドをやりとりしてもよく、それにより1以上のセッション92が確立されてもよい。
回路118と1以上のクライアント10との間のデータ及び/又はコマンドのやりとりの一部として、回路118は、セキュアな態様で(例えば、TLS制御チャネルハンドシェイク、TCP及び/又はIPオプションを伴うアウトバウンド技術、及び/又は、IPsecインターネット鍵交換の一部として)、1以上のクライアントノード10に、1以上のセッションキー(SK)80を送信してもよい。1以上のキー80を1以上のクライアント10に送信する前に、1以上のノード120は、少なくとも部分的に1以上の暗号化オペレーションに基づいて(例えば、1以上の一方向ハッシング関数を含む)、少なくとも部分的に入力オペランドとして1以上のドメインキー(DK)76及び1以上のデータセット(DS)78を伴う1以上のキー80を少なくとも部分的に生成してもよい。このように、少なくとも部分的に、1以上のノード120とドメイン51内の1以上のクライアント10との間の交渉の結果として、少なくとも部分的に、1以上のキー80が生成されてもよい。
1以上のキー76が、ドメイン51内の図示しない1以上のドメインオーソリティによってドメイン51に割り当てられてもよい。これら1以上のドメインオーソリティは、少なくとも部分的に、1以上のキー76を生成して、これらを1以上のノード120に分配してもよい。しかしながら、1以上のドメインオーソリティ及び1以上のノード120は、1以上のクライアントノード10及びその他のエンティティ(例えば、ドメイン51内外のエンティティ)に対して、1以上のキー76を秘密にしてもよい。1以上のデータセット78は、少なくとも部分的に、回路118によって、1以上のクライアント10から1以上のノード120へと送信された1以上のパケット204(図2参照)から抽出されてもよい(又は、取得されてもよい)。1以上のデータセット78は、少なくとも部分的に、1以上のセッション90と関連付けられていてもよい。例えば、1以上のデータセット78は、少なくとも部分的に、1以上のセッション90を特定できる1以上の値202を含んでもよい。この1以上の値202は、少なくとも部分的に、1以上のクライアント10及び/又は1以上のノード120を特定する固有のIDを1以上連結したものであってもよい、又は、このようなものを含んでもよい。(少なくとも部分的に)これに替えて又はこれに加えて、1以上の値202は、少なくとも部分的に、1以上のサーバ30のそれぞれのIDを1以上含んでもよい。これら固有のIDは、例えば、1以上のそれぞれのアドレス、IPsecセキュリティパラメータインデックス、及び/又は、その他の値(例えば、セッションコンテキスト情報)であってもよい、又は、これらを含んでもよい。
本実施形態において、ドメイン51の1以上の図示しないドメインオーソリティは、(1)1以上のキー76がドメイン51と一意的に関連付けられる、及び、(2)1以上のキー76が1以上のキー80から基本的に取得できない(例えば、現実的な暗号化の観点で)ような態様で、1以上のキー76を生成してもよい。一実施形態において、1以上のキー76は、暗号化法的に高度にランダムな1以上の番号であってもよい、又は、そのような番号を含んでもよい。
1以上のキー80を使用して、クライアント10の各々は、少なくとも部分的に、1以上のセッション90を介して1以上のノード120に送信されるトラフィックのそれぞれを暗号化してもよく、また、少なくとも部分的に、1以上のセッション90を介して1以上のノード120から受信されるトラフィックをそれぞれ復号化してもよい。本実施形態において、1以上のノード120へのトラフィックは、1以上の値202及び/又はデータセット78がプレーンテキストとして送信される1以上のパケット(例えば、1以上のパケット204)を含んでもよい。1以上の値202及び/又は1以上のデータセット78は、上記のような態様で1以上のキー76と共に、1以上のキー80を生成する1以上の暗号化オペレーションにおいて使用される場合に、1以上のキー80の各々が、1以上のゲートウェイ120と1以上のクライアント10との間の独立したそれぞれのセキュアなセッションを提供するのに使用可能な独立したセッションキーとなるように又はそのようなセッションキーを含むように、1以上の値202及び/又は1以上のデータセット78が選択されてもよい。
回路118及び/又は1以上のサーバ30との間でやりとりされるデータ及び/又はコマンドの一部として、回路118は、セキュアな態様で(例えば、TLS制御チャネルハンドシェイク、TCP及び/又はIPオプションを伴うアウトバウンド技術、及び/又は、IPsecインターネット鍵交換の一部として)、1以上のサーバ30に、1以上のセッションキー82を送信してもよい。1以上のキー82を1以上のサーバ30に送信する前に、1以上のノード120は、少なくとも部分的に、1以上の暗号化オペレーションに基づいて(例えば、1以上の一方向ハッシング関数を含む)、少なくとも部分的に入力オペランドとして1以上のドメインキー72及び1以上のデータセット74を伴う1以上のキー82を少なくとも部分的に生成してもよい。このように、少なくとも部分的に、ドメイン51内の1以上のノード120とドメイン70内の1以上のサーバ30との間の交渉の結果として、少なくとも部分的に、1以上のキー82が生成されてもよい。
1以上のキー72が、ドメイン70内の図示しない1以上のドメインオーソリティによってドメイン70に割り当てられてもよい。これら1以上のドメインオーソリティは、少なくとも部分的に、1以上のキー72を生成して、これらを1以上のノード120に分配してもよい。しかしながら、1以上のドメインオーソリティ及び1以上のノード120は、1以上のサーバ30及びその他のエンティティ(例えば、ドメイン70内外のエンティティ)に対して、1以上のキー72を秘密にしてもよい。1以上のデータセット74は、少なくとも部分的に、回路118によって、1以上のサーバ30から1以上のノード120へと送信された1以上のパケット208(図2参照)から抽出されてもよい(又は、取得されてもよい)。1以上のデータセット74は、少なくとも部分的に、1以上のセッション92と関連付けられていてもよい。例えば、1以上のデータセット74は、少なくとも部分的に、1以上のセッション92を特定できる1以上の値206を含んでもよい。この1以上の値206は、少なくとも部分的に、1以上のサーバ30及び/又は1以上のノード120を特定する固有のIDを1以上連結したものであってもよい、又は、このようなものを含んでもよい。(少なくとも部分的に)これに替えて又はこれに加えて、1以上の値206は、少なくとも部分的に、1以上のクライアント10のそれぞれのIDを1以上含んでもよい。これら固有のIDは、例えば、1以上のそれぞれのアドレス、IPsecセキュリティパラメータインデックス、及び/又は、その他の値(例えば、セッションコンテキスト情報)であってもよい、又は、これらを含んでもよい。
このように、本実施形態では、例えば、オペレーションのドメインに応じて、1以上の値206及び/又は1以上のデータセット74は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78とそれぞれ同一であってもよい。これに替えて、本実施形態の範囲内において、例えば、オペレーションのドメインに応じて、1以上の値206及び/又は1以上のデータセット74は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78とそれぞれ異なっていてもよい。
本実施形態において、ドメイン70の1以上の図示しないドメインオーソリティは、(1)1以上のキー72がドメイン70と一意的に関連付けられる、及び、(2)1以上のキー72が1以上のキー82から基本的に取得できない(例えば、現実的な暗号化の観点で)ような態様で、1以上のキー72を生成してもよい。一実施形態において、1以上のキー72は、暗号化法的に高度にランダムな1以上の番号であってもよい、又は、そのような番号を含んでもよい。
1以上のキー82を使用して、サーバ30の各々は、少なくとも部分的に、1以上のセッション92を介して1以上のノード120に送信されるトラフィックのそれぞれを暗号化してもよく、また、少なくとも部分的に、1以上のセッション92を介して1以上のノード120から受信されるトラフィックをそれぞれ復号化してもよい。本実施形態において、1以上のノード120へのトラフィックは、1以上の値206及び/又はデータセット74がプレーンテキストとして送信される1以上のパケット(例えば、1以上のパケット208)を含んでもよい。1以上の値206及び/又は1以上のデータセット74は、上記のような態様で1以上のキー72と共に、1以上のキー82を生成する1以上の暗号化オペレーションにおいて使用される場合に、1以上のキー82の各々が、1以上のゲートウェイ120と1以上のサーバ30との間の独立したそれぞれのセキュアなセッションを提供するのに使用可能な独立したセッションキーとなるように又はそのようなセッションキーを含むように、1以上の値206及び/又は1以上のデータセット74が選択されてもよい。本実施形態において、1以上のドメインキー76は、少なくとも部分的に、1以上のドメインキー72とは異なっていてもよい。
図2に示すように、本実施形態では、ドメイン51において、1以上のクライアント10は、複数のクライアント220A…220Nを含んでもよく、1以上のセッション90は、クライアント220A…220Nと1以上のゲートウェイノード120との間の複数のセッション230A…230Nを含んでもよい。セッション230A…230Nはそれぞれ、クライアント220A…220Nと1以上のノード120とを通信可能に接続してもよい。上記したように、これらセキュアなセッション230A…230Nは、少なくとも部分的に、1以上のセッションキー80のうちの対応する1つに基づいて生成されてもよい。
図3に示すように、1以上のセッション92は、1以上のゲートウェイ120を1以上のサーバ30に通信可能に接続可能である1つのセキュアなセッション302を含んでもよい。この配置では、セッション302は、少なくとも部分的に、セッション230A…230Nをカプセル化してもよい(図2参照)。本実施形態において、カプセル化は、少なくとも部分的に、第1エンティティを少なくとも部分的に第2エンティティに組み込むこと、及び/又は、第1エンティティの情報の少なくとも一部を少なくとも部分的に第2エンティティに組み込むことを含んでもよく、例えば、1以上のパケットを1以上のフレームにカプセル化することを含む。
例えば、ネットワークトラフィック304は、セッション230A…230Nを介して、クライアント220A…220Nから、1以上のゲートウェイ120における回路118へと送信されてもよい。セッション230A…230Nを介して回路118に送信される場合に、トラフィック304は、少なくとも部分的に1以上のセッションキー80に基づいて、少なくとも部分的に、暗号化されてもよい。しかしながら、トラフィック304において、1以上のデータセット78及び/又は1以上の値202が、プレーンテキストとして送信されてもよい。
回路118は、少なくとも部分的に、トラフィック304から、1以上のデータセット78及び/又は1以上の値202を抽出してもよい。抽出された1以上のデータセット78及び/又は1以上の値202及び1以上のドメインキー76に少なくとも部分的に基づいて、回路118は、セッション230A…230Nのそれぞれについて、それぞれの1以上のセッションキー80を動的に(例えば、パケット毎に)再構築して、少なくとも部分的に、トラフィック304を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー80に基づいて、トラフィック304を復号化してもよい。回路118は、少なくとも部分的に、復号化したトラフィック304を試験してもよい。試験としては、例えば、パターンマッチング、署名、チェックサム、妥当性の確認、及び/又は、トラフィック304において、許可されていない及び/又は望ましくないデータ及び/又は命令が存在することを検出する及び/又はそれに適切に対処するためのその他の分析技術が含まれてもよい。
回路118は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されていないトラフィック304を暗号化して、暗号化したトラフィックを1つのセッション302を介して1以上のサーバ30に送信してもよい。その前に、回路118は、少なくとも部分的に、1以上の値206及び/又は1以上のデータセット74及び1以上のドメインキー72に基づいて、動的に1以上のセッションキー82を(上記の1以上のキー80で説明したのと同様な態様で)再構築してもよい。
1以上のサーバ30は、セッション302を介して、1以上のゲートウェイ120における回路118にトラフィック306を送信してもよい。1つのセッション302を介して回路118に送信される場合に、トラフィック306は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されてもよい。しかしながら、トラフィック306では、1以上のデータセット74及び/又は1以上の値206が、プレーンテキストとして送信されてもよい。回路118は、1以上のデータセット74及び/又は1以上の値206をトラフィック306から抽出してもよい。抽出された1以上のデータセット74及び/又は1以上の値206及び1以上のドメインキー72に少なくとも部分的に基づいて、回路118は、1以上のセッションキー82を動的に再構築して、少なくとも部分的に、トラフィック306を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー82に基づいて、トラフィック306を復号化してもよい。回路118は、少なくとも部分的に、復号化したトラフィック306を試験してもよい。試験としては、例えば、パターンマッチング、パターンマッチング、署名、チェックサム、妥当性の確認、及び/又は、トラフィック306において、許可されていない及び/又は望ましくないデータ及び/又は命令が存在することを検出する及び/又はそれに適切に対処するためのその他の分析技術が含まれてもよい。
回路118は、少なくとも部分的に1以上のセッションキー80に基づいて、少なくとも部分的に、暗号化されていないトラフィック306を暗号化して、暗号化したトラフィックをセッション230A…230Nを介してクライアント220A…220Nに送信してもよい。その前に、回路118は、少なくとも部分的に、1以上の値202及び/又は1以上のデータセット78及び1以上のドメインキー76に基づいて、動的に1以上のセッションキー80を再構築してもよい。
これに替えて、1以上のセッション92は、ドメイン70内の複数のセキュアなセッション402A…402N(図4参照)を含んでもよく、これらは、1以上のゲートウェイ120と1以上のサーバ30とを通信可能に接続してもよい。セキュアなセッション402A…402Nはそれぞれ、セキュアなセッション230A…230Nに対応していてもよい。本実施形態において、1以上のデータセット78は、セッション230A…230Nのそれぞれと関連付けられたデータセット404A…404Nをそれぞれ含んでもよい。例えば、セッション230A…230Nを暗号化するのに基本となる1以上のセッションキー80のそれぞれは、少なくとも部分的に、データセット404A…404N及び1以上のドメインキー76に基づいて生成されてもよい。回路118は、少なくとも部分的に、セッション230A…230Nを介してクライアント220Aから回路へと送信されたトラフィック304からそれぞれ、データセット404A…404Nを抽出してもよい(図5のオペレーション504を参照)。抽出されたデータセット404A…404N及び1以上のドメインキー76に少なくとも部分的に基づいて、回路118は、セッション230A…230Nのそれぞれについて、それぞれの1以上のセッションキー80を動的に(例えば、パケット毎に)再構築して、少なくとも部分的に、それぞれセッション230A…230Nを介して送信されたトラフィック304を暗号化するのに使用してもよい。回路118は、少なくとも部分的に動的に再構築された1以上のセッションキー80に基づいて、トラフィック304を復号化してもよい(図5のオペレーション506参照)。回路118は、少なくとも部分的に、復号化したトラフィックを上記のような態様で試験してもよい。
回路118は、少なくとも部分的に1以上のセッションキー82に基づいて、少なくとも部分的に、暗号化されていないトラフィック304を暗号化して、暗号化したトラフィック406をセッション402A…402Nを介して1以上のサーバ30に送信してもよい(図5のオペレーション508参照)。その前に、回路118は、少なくとも部分的に、1以上の値206及び/又は1以上のデータセット74及び1以上のドメインキー72に基づいて、動的に1以上のセッションキー82を(上記で説明したのと同様な態様で)再構築してもよい。
これに替えて、1以上のドメインキー76は、1以上のキー72と、少なくとも部分的に、同一であってもよい。更に、これに替えて又はこれに加えて、1以上のゲートウェイ120は、1以上のキー76及び/又は1以上のキー72を、1以上のセキュアなハンドシェイク及び/又はネゴシエーションオペレーションを介して、1以上のサーバ30に提供してもよい。これにより、1以上のサーバ30が1以上のセッションキー82を動的に再構築することが可能になる、及び/又は、回路118に関して上記した態様で、復号化及び/又は暗号化オペレーションを実行することが可能となる。
本実施形態では、1以上のセッション90に含まれる個々のセッションの数に関係なく、回路118は、1以上のサーバ30と1つのキー(鍵)の交渉のトランザクションを実行してもよく(例えば、1つのセッションキー82及び/又は1つのドメインキー72の交換及び/又は交渉を行う)、1以上のサーバ30は、(例えば、1つのセッションキー82及び/又は1つのドメインキー72に少なくとも部分的に基づいて)1以上のセッション92の全てを確立することを許可してもよい。その結果、本実施形態では、1つのハンドシェイクオペレーションのみが、このようなトランザクションに含まれる。本実施形態では、上記のような構成により、キー交渉の数、交渉を行うキーの数、及び、1以上のセッション92を確立するのに必要な回路118と1以上のサーバ30との間のハンドシェイクの数を大幅に低減させることができる。更に、上記のような構成により、本実施形態で使用されるキーの格納量を大幅に低減させることができる。
本実施形態において、キー80及び/又はキー82の生成は、(1)2007年3月30日出願の米国特許出願第11/731,562号、及び、2008年10月28日公開の米国特許出願公開第2008/0244268号公報、発明者Durham等、(2)2009年3月2日出願の米国特許出願第12/396,125号に開示された原理に少なくとも部分的に基づいて実行されてもよい。無論、その他の、更なる及び/又は代替の技術を少なくとも部分的に使用して、1以上のキー80及び/又は1以上のキー82を生成してもよい。
一実施形態は、少なくとも部分的に、第1ドメインのクライアントと第2ドメインのサーバとの間の少なくとも部分的にセキュアな通信を確立する回路を含んでもよい。チャネルは、第1及び第2ドメインにおける第1ドメインセッション及び第2ドメインセッションを含んでもよい。回路は、少なくとも部分的に、第1ドメインセッション及び第2ドメインセッションをそれぞれ暗号化してもよい第1ドメインセッションキー及び第2ドメインセッションキーを生成してもよい。第1ドメインセッションキーは、第1ドメインに割り当てられる第1ドメインキー及び第1ドメインセッションに関連付けられる第1データセットに基づいて生成されてもよい。第2ドメインセッションキーは、第2ドメインに割り当てられる第2ドメインキー及び第2ドメインセッションに関連付けられる第2データセットに基づいて生成されてもよい。
本実施形態において、回路118は、少なくとも部分的に、1以上のパケット204及び/又は208から抽出される1以上のデータセット78及び/又は74に少なくとも部分的に基づいて、1以上のセッションキー80及び/又は82を動的に生成可能であってもよい。このような構成により、回路118が(1)このようなセッションキーに少なくとも部分的に基づいて生成されるセッションとセッションキー自体との間のメモリにおける関連付けを維持する必要がなくなる、(2)トランスポート層及び暗号化状態情報の大部分を常に格納する必要がなくなる及び対応するセッションをバッファする必要がなくなる、という利点を有する。また、このような構成により、本実施形態における、接続拡張性及び処理速度を大幅に改善させることができる。
また、少なくとも部分的に、上記のような態様で1以上のキー80及び/又は82を動的に生成することができることにより、回路118は、回路118から及び/又は回路118へと送信されるトラフィックを動的に復号化及び/又は暗号化することができる。このような構成により、回路118及び/又は1以上のノード120は、1以上のクライアント10と1以上のサーバ30(例えば、1以上のセキュアなチャネル54を介して)との間の暗号化通信のコンテンツの試験及び/又は分析を実行することが可能となる。その結果、企業ドメイン51及び/又はシステム100のセキュリティを犠牲にすることなく、(例えば、ドメイン51及び/又はシステム100からのウイルスの侵入を防ぐ、又は、ウイルスを取り除くことにより)企業ドメイン51及び/又はシステム100の性能を改善させることができる。
このように、本実施形態の特徴により、セキュリティ、通信及び/又は暗号化処理によって消費される処理帯域の量を低減させることができると同時に、このような処理を実行する際の速度を改善させることができる。また、本実施形態の特徴により、特別なトランスポート層及び/又は暗号化オフロード及び/又は加速ハードウェアにより、このような処理をより容易に実装可能とする。

Claims (19)

  1. 第1ドメインの複数のクライアントと第2ドメインの複数のサーバとの間の複数のセキュアな通信チャネルを少なくとも部分的に確立させる回路を備える装置であって、
    前記複数のセキュアな通信チャネルのそれぞれは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
    前記回路は、複数の第1ドメインセッションキー及び単一の第2ドメインセッションキーを少なくとも部分的に生成し、
    前記複数の第1ドメインセッションキー及び前記単一の第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
    前記第1ドメインに割り当てられた第1ドメインキー、及び、前記複数の第1ドメインセッションと少なくとも部分的に関連付けられた複数の第1データセットに少なくとも部分的に基づいて、前記複数の第1ドメインセッションキーがそれぞれ生成され、
    前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記単一の第2ドメインセッションキーが生成され、
    前記回路は、前記単一の第2ドメインセッションキーを用いて前記複数のサーバに対して単一のキー交渉トランザクションを実行することにより全ての前記第2ドメインセッションを確立
    前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
    前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
    前記複数の第1データセットのそれぞれは、前記複数の第1ドメインセッションの対応するそれぞれを少なくとも部分的に特定し、対応するそれぞれの前記第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
    前記第1ドメインキーは、前記第1ドメインにおける前記複数のクライアントに対する前記複数の第1のドメインセッションキーを生成するためのキーである、装置。
  2. 前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項1に記載の装置。
  3. 前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
    前記少なくとも1つの第2ドメインセッションは、前記少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
    前記第1ドメインは、企業ドメインを含み、
    前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項1または2に記載の装置。
  4. 前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
    前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
    前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項3に記載の装置。
  5. 前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
    前記複数の第1データセットのうちの少なくとも1つ、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
    前記回路は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットをそれぞれ少なくとも部分的に抽出し、
    前記回路は、前記データセットにそれぞれ少なくとも部分的に基づいて前記第1トラフィックを少なくとも部分的に復号化し、
    前記回路は、前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを少なくとも部分的に暗号化する請求項3に記載の装置。
  6. 前記回路は、
    回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項1から5のいずれか1項に記載の装置。
  7. 少なくとも部分的に回路によって実行される方法であって、
    前記回路によって、第1ドメインの複数のクライアントと第2ドメインの複数のサーバとの間の複数のセキュアな通信チャネルを少なくとも部分的に確立する段階を備え、
    前記複数のセキュアな通信チャネルのそれぞれは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
    前記回路は、複数の第1ドメインセッションキー及び単一の第2ドメインセッションキーを少なくとも部分的に生成し、
    前記複数の第1ドメインセッションキー及び前記単一の第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
    前記第1ドメインに割り当てられた第1ドメインキー、及び、前記複数の第1ドメインセッションと少なくとも部分的に関連付けられた複数の第1データセットに少なくとも部分的に基づいて、前記複数の第1ドメインセッションキーがそれぞれ生成され、
    前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記単一の第2ドメインセッションキーが生成され、
    前記回路は、前記単一の第2ドメインセッションキーを用いて前記複数のサーバに対して単一のキー交渉トランザクションを実行することによって、全ての前記第2ドメインセッションを確立
    前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
    前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
    前記複数の第1データセットのそれぞれは、前記複数の第1ドメインセッションの対応するそれぞれを少なくとも部分的に特定し、対応するそれぞれの前記第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
    前記第1ドメインキーは、前記第1ドメインにおける前記複数のクライアントに対する前記複数の第1のドメインセッションキーを生成するためのキーである、方法。
  8. 前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項7に記載の方法。
  9. 前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
    前記少なくとも1つの第2ドメインセッションは、前記少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
    前記第1ドメインは、企業ドメインを含み、
    前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項7または8に記載の方法。
  10. 前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
    前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
    前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項9に記載の方法。
  11. 前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
    前記複数の第1データセットのうちの少なくとも1つ、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
    前記方法は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットを、前記回路によりそれぞれ少なくとも部分的に抽出する段階と、
    前記データセットにそれぞれ少なくとも部分的に基づいて前記回路により前記第1トラフィックを少なくとも部分的に復号化する段階と、
    前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを前記回路により少なくとも部分的に暗号化する段階とを備える請求項9に記載の方法。
  12. 前記回路は、
    回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項7から11のいずれか1項に記載の方法。
  13. 機械に、
    第1ドメインの複数のクライアントと第2ドメインの複数のサーバとの間の複数のセキュアな通信チャネルを少なくとも部分的に回路によって確立させるプログラムであって、
    前記複数のセキュアな通信チャネルのそれぞれは、前記第1ドメインの少なくとも1つの第1ドメインセッション及び前記第2ドメインの少なくとも1つの第2ドメインセッションを含み、
    前記回路は、複数の第1ドメインセッションキー及び単一の第2ドメインセッションキーを少なくとも部分的に生成し、
    前記複数の第1ドメインセッションキー及び前記単一の第2ドメインセッションキーはそれぞれ、前記少なくとも1つの第1ドメインセッション及び前記少なくとも1つの第2ドメインセッションを少なくとも部分的に暗号化するためのキーであり、
    前記第1ドメインに割り当てられた第1ドメインキー、及び、前記複数の第1ドメインセッションと少なくとも部分的に関連付けられた複数の第1データセットに少なくとも部分的に基づいて、前記複数の第1ドメインセッションキーがそれぞれ生成され、
    前記第2ドメインに割り当てられた第2ドメインキー、及び、前記少なくとも1つの第2ドメインセッションと少なくとも部分的に関連付けられた少なくとも1つの第2データセットに少なくとも部分的に基づいて、前記単一の第2ドメインセッションキーが生成され、
    前記回路は、前記単一の第2ドメインセッションキーを用いて前記複数のサーバに対して単一のキー交渉トランザクションを実行することにより全ての前記第2ドメインセッションを確立
    前記第1ドメインは、前記第2ドメインとは少なくとも部分的に区別され、
    前記第1ドメインに割り当てられる前記第1ドメインキーは、前記第2ドメインキーとは少なくとも部分的に異なり、
    前記複数の第1データセットのそれぞれは、前記複数の第1ドメインセッションの対応するそれぞれを少なくとも部分的に特定し、対応するそれぞれの前記第1ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含み、
    前記第1ドメインキーは、前記第1ドメインにおける前記複数のクライアントに対する前記複数の第1のドメインセッションキーを生成するためのキーである、
    プログラム。
  14. 前記少なくとも1つの第2データセットは、前記少なくとも1つの第2ドメインセッションを少なくとも部分的に特定し、前記少なくとも1つの第2ドメインセッションを介して通信される1以上のパケットから少なくとも部分的に取得可能な1以上の値を含む請求項13に記載のプログラム。
  15. 前記少なくとも1つの第1ドメインセッションは、少なくとも1つのゲートウェイと前記複数のクライアントとの間の前記第1ドメインの複数の第1セッションを含み、
    前記少なくとも1つの第2ドメインセッションは、前記少なくとも1つのゲートウェイと前記少なくとも1つのサーバとの間のセッションであり、
    前記第1ドメインは、企業ドメインを含み、
    前記第2ドメインキーは、前記企業ドメインと前記少なくとも1つのサーバとの間で少なくとも部分的に交渉される請求項13または14に記載のプログラム。
  16. 前記少なくとも1つの第2ドメインセッションは、前記複数の第1セッションを少なくとも部分的にカプセル化する1つのセッションを含み、
    前記回路は、前記複数の第1セッションを介して通信される第1トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験し、
    前記回路は、前記1つのセッションを介して通信される第2トラフィックを少なくとも部分的に復号化し、少なくとも部分的に試験する請求項15に記載のプログラム。
  17. 前記少なくとも1つの第2ドメインセッションは、前記第2ドメインの複数の第2セッションを含み、
    前記複数の第1データセットのうちの少なくとも1つは、前記複数の第1セッションとそれぞれ関連付けられたデータセットを含み、
    前記回路は、前記複数の第1セッションを介して通信される第1トラフィックから前記データセットをそれぞれ少なくとも部分的に抽出し、
    前記回路は、前記データセットにそれぞれ少なくとも部分的に基づいて前記第1トラフィックを少なくとも部分的に復号化し、
    前記回路は、前記データセットのそれぞれに少なくとも部分的に基づいて、前記複数の第2セッションを介して通信される第2トラフィックを少なくとも部分的に暗号化する請求項15に記載のプログラム。
  18. 前記回路は、
    回路基板に接続された回路カード、ネットワークアプライアンス、及び、1以上の暗号化オペレーションを実行する1以上のプロセッサ及び回路を含む1以上の集積回路のうちの1以上を少なくとも部分的に含む請求項13から17のいずれか1項に記載のプログラム。
  19. 前記トランザクションは、前記回路と前記複数のサーバとの間の単一のハンドシェイクを含む請求項1から6のいずれか1項に記載の装置。
JP2012551197A 2010-01-28 2011-01-19 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム Expired - Fee Related JP5640226B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/695,853 2010-01-28
US12/695,853 US8873746B2 (en) 2010-01-28 2010-01-28 Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
PCT/US2011/021627 WO2011094096A2 (en) 2010-01-28 2011-01-19 Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes

Publications (2)

Publication Number Publication Date
JP2013518522A JP2013518522A (ja) 2013-05-20
JP5640226B2 true JP5640226B2 (ja) 2014-12-17

Family

ID=44308939

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012551197A Expired - Fee Related JP5640226B2 (ja) 2010-01-28 2011-01-19 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム

Country Status (6)

Country Link
US (1) US8873746B2 (ja)
EP (1) EP2529505B1 (ja)
JP (1) JP5640226B2 (ja)
KR (1) KR101430851B1 (ja)
CN (2) CN104734844B (ja)
WO (1) WO2011094096A2 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101252549B1 (ko) * 2008-11-21 2013-04-08 한국전자통신연구원 보안 도메인 환경에서의 암/복호화 프로그램 및 대칭키의 안전 배포 방법 및 이를 위한 데이터 분할 및 주입 장치
US8873746B2 (en) * 2010-01-28 2014-10-28 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
GB2519741A (en) * 2013-09-15 2015-05-06 Wedge It Com Ltd Internet repeater apparatus
US10244000B2 (en) * 2014-02-24 2019-03-26 Honeywell International Inc. Apparatus and method for establishing seamless secure communications between components in an industrial control and automation system
US10726162B2 (en) * 2014-12-19 2020-07-28 Intel Corporation Security plugin for a system-on-a-chip platform
US9923715B2 (en) 2015-06-09 2018-03-20 Intel Corporation System, apparatus and method for group key distribution for a network
US9674090B2 (en) * 2015-06-26 2017-06-06 Microsoft Technology Licensing, Llc In-line network accelerator
US10038552B2 (en) 2015-11-30 2018-07-31 Honeywell International Inc. Embedded security architecture for process control systems
US10855462B2 (en) 2016-06-14 2020-12-01 Honeywell International Inc. Secure in-band upgrade using key revocation lists and certificate-less asymmetric tertiary key pairs
CN106330968B (zh) * 2016-10-31 2021-02-26 杭州迪普科技股份有限公司 一种访问设备的身份认证方法及装置
US11700258B2 (en) * 2016-12-30 2023-07-11 Ssh Communications Security Oyj Access relationships in a computer system
US10389722B2 (en) 2016-12-30 2019-08-20 Ssh Communications Security Oyj Access relationships in a computer system
US10587421B2 (en) * 2017-01-12 2020-03-10 Honeywell International Inc. Techniques for genuine device assurance by establishing identity and trust using certificates
US10749692B2 (en) 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
EP3483772A1 (en) * 2017-11-14 2019-05-15 Nagravision S.A. Integrated circuit personalisation with data encrypted with the output of a physically unclonable function

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US7774484B1 (en) * 2002-12-19 2010-08-10 F5 Networks, Inc. Method and system for managing network traffic
US8234699B2 (en) * 2003-12-31 2012-07-31 Citrix Systems, Inc. Method and system for establishing the identity of an originator of computer transactions
WO2006130725A2 (en) * 2005-05-31 2006-12-07 Interdigital Technology Corporation Authentication and encryption methods using shared secret randomness in a joint channel
EP1784016A1 (fr) 2005-11-03 2007-05-09 Nagravision S.A. Méthode de sécurisation de données échangées entre un dispositif de traitement multimédia et un module de sécurité
KR20070115574A (ko) 2006-06-01 2007-12-06 엘지전자 주식회사 데이터 통신 방법
US20090119510A1 (en) 2007-11-06 2009-05-07 Men Long End-to-end network security with traffic visibility
US20080244268A1 (en) 2007-03-30 2008-10-02 David Durham End-to-end network security with traffic visibility
JP4892404B2 (ja) 2007-05-16 2012-03-07 日本電信電話株式会社 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム
CN101325486B (zh) 2007-06-11 2012-04-25 华为技术有限公司 域许可密钥的转移方法及设备
US20090199287A1 (en) * 2007-06-26 2009-08-06 Luc Vantalon Systems and methods for conditional access and digital rights management
KR101393012B1 (ko) 2007-07-03 2014-05-12 삼성전자주식회사 라이센스 관리 시스템 및 방법
NZ585054A (en) * 2007-11-30 2013-08-30 Ericsson Telefon Ab L M Key management for secure communication
KR100981419B1 (ko) * 2008-01-31 2010-09-10 주식회사 팬택 디지털 권한 관리를 위한 사용자 도메인 가입방법 및 그정보 교환 방법
CN101946536B (zh) * 2008-02-15 2015-07-15 艾利森电话股份有限公司 演进网络中的应用特定的主密钥选择
US8788805B2 (en) * 2008-02-29 2014-07-22 Cisco Technology, Inc. Application-level service access to encrypted data streams
US8873746B2 (en) 2010-01-28 2014-10-28 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes

Also Published As

Publication number Publication date
KR20120127625A (ko) 2012-11-22
JP2013518522A (ja) 2013-05-20
KR101430851B1 (ko) 2014-08-18
CN104734844B (zh) 2018-04-06
WO2011094096A3 (en) 2011-12-01
US20110182427A1 (en) 2011-07-28
WO2011094096A2 (en) 2011-08-04
CN102725995B (zh) 2015-02-25
EP2529505A4 (en) 2015-06-03
EP2529505A2 (en) 2012-12-05
US8873746B2 (en) 2014-10-28
EP2529505B1 (en) 2018-10-24
CN104734844A (zh) 2015-06-24
CN102725995A (zh) 2012-10-10

Similar Documents

Publication Publication Date Title
JP5640226B2 (ja) 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
CN110999248B (zh) 使用片上系统(SoC)体系结构的安全通信加速
EP3646553B1 (en) Introducing middleboxes into secure communications between a client and a server
EP3286896B1 (en) Scalable intermediate network device leveraging ssl session ticket extension
US9398026B1 (en) Method for authenticated communications incorporating intermediary appliances
US7539858B2 (en) Packet encryption substituting device, method thereof, and program recording medium
Zamfir et al. A security analysis on standard IoT protocols
JP2018534884A (ja) クライアント−クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ
EP3613195B1 (en) Cloud storage using encryption gateway with certificate authority identification
US8281122B2 (en) Generation and/or reception, at least in part, of packet including encrypted payload
KR101611944B1 (ko) 데이터 암호화 기능 선택적 적용 방법
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN118432894A (zh) 一种基于TCP的iOS系统远程服务受信的方法和装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131224

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140304

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140707

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20140729

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140930

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141001

R150 Certificate of patent or registration of utility model

Ref document number: 5640226

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees