KR101430851B1 - 노드들 사이에서 적어도 부분적으로 수행되는 암호화된 통신의 적어도 일부의 검사를 허용하기 위한 노드들 사이에서의 보안 통신 채널의 적어도 부분적인 설정 - Google Patents

노드들 사이에서 적어도 부분적으로 수행되는 암호화된 통신의 적어도 일부의 검사를 허용하기 위한 노드들 사이에서의 보안 통신 채널의 적어도 부분적인 설정 Download PDF

Info

Publication number
KR101430851B1
KR101430851B1 KR1020127022407A KR20127022407A KR101430851B1 KR 101430851 B1 KR101430851 B1 KR 101430851B1 KR 1020127022407 A KR1020127022407 A KR 1020127022407A KR 20127022407 A KR20127022407 A KR 20127022407A KR 101430851 B1 KR101430851 B1 KR 101430851B1
Authority
KR
South Korea
Prior art keywords
domain
partially
session
key
sessions
Prior art date
Application number
KR1020127022407A
Other languages
English (en)
Other versions
KR20120127625A (ko
Inventor
맨 롱
카란비르 에스. 그루얼
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20120127625A publication Critical patent/KR20120127625A/ko
Application granted granted Critical
Publication of KR101430851B1 publication Critical patent/KR101430851B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

실시예는 적어도 부분적으로 제1 도메인 내의 클라이언트와 제2 도메인 내의 서버 사이에서 보안 통신 채널을 적어도 부분적으로 설정하기 위한 회로를 포함할 수 있다. 채널은 제1 및 제2 도메인들에서 제1 및 제2 도메인 세션들을 포함할 수 있다. 회로는 제1 및 제2 도메인 세션들을 적어도 부분적으로 각각 암호화할 수 있는 제1 및 제2 도메인 세션 키들을 생성할 수 있다. 제1 도메인 세션 키는 제1 도메인에 할당된 제1 도메인 키 및 제1 도메인 세션과 관련된 제1 데이터 세트에 기초하여 생성될 수 있다. 제2 도메인 세션 키는 제2 도메인에 할당된 제2 도메인 키 및 제2 도메인 세션과 관련된 제2 데이터 세트에 기초하여 생성될 수 있다.

Description

노드들 사이에서 적어도 부분적으로 수행되는 암호화된 통신의 적어도 일부의 검사를 허용하기 위한 노드들 사이에서의 보안 통신 채널의 적어도 부분적인 설정{ESTABLISHING, AT LEAST IN PART, SECURE COMMUNICATION CHANNEL BETWEEN NODES SO AS TO PERMIT INSPECTION, AT LEAST IN PART, OF ENCRYPTED COMMUNICATION CARRIED OUT, AT LEAST IN PART, BETWEEN THE NODES}
본 명세서는 노드들 사이에서 적어도 부분적으로 수행되는 암호화된 통신의 적어도 일부의 검사를 허용하기 위한 노드들 사이에서의 보안 통신 채널의 적어도 부분적인 설정에 관한 것이다.
하나의 종래의 방식에서, 기업 네트워크는 제2 네트워크 노드에 연결되는 제1 네트워크 노드를 포함할 수 있다. 제2 네트워크 노드는 제3 네트워크 노드를 포함하는 외부 네트워크에 기업 네트워크를 연결할 수 있다. 제2 네트워크 노드는 기업 네트워크로부터 외부 네트워크로, 그리고 반대로 통과되는 패킷들의 검사 및/또는 분석을 수반하는 기업 네트워크를 위한 보안 특징들을 제공할 수 있다.
이러한 종래의 네트워크 방식에서, 제1 네트워크 노드 및 제3 네트워크 노드는 서로 암호화된 통신들을 교환할 수 있다. 이 통신들은 제1 네트워크 노드 및 제3 네트워크 노드에 의해 교환되는 암호화 키들에 기초하여 수행될 수 있지만, 제2 네트워크 노드에 노출되지 않는다. 이것은 제2 네트워크 노드가 제1 네트워크 노드와 제3 네트워크 노드 사이에서 암호화된 통신들의 컨텐츠의 중요한 검사 및/또는 분석을 수행가능하게 하는 것을 방지할 수 있다. 불리하게도, 이것은 기업 네트워크의 보안을 위태롭게 할 수 있으며, 기업 네트워크에(예를 들어, 기업 네트워크에 바이러스 등의 도입을 허용함으로써) 다르게 해로운 영향을 미칠 수 있다.
더욱이, 비교적 다수의 보안 접속들은 제2 네트워크 노드를 가로지를 수 있다. 이러한 종래의 방식에서, 이러한 중요한 검사 및/또는 다른 분석을 수행하기 위해, 제2 네트워크 노드는 그 개별적인 암호화 키들 및/또는 다른 정보와 이 접속들 각각을 관련시킨다. 이것은 처리될 수 있는 접속의 수 및 그러한 처리가 종래의 방식에서 수행될 수 있는 속도 둘 다를 상당히 감소시킬 수 있는 이러한 종래의 방식에서 상당한 접속 확장성 문제를 지닐 수 있다. 게다가, 이러한 종래의 방식에서, 이 보안 접속들의 수 및 특성들은 시간에 따라 고정될 수 없으며, 실제로 비교적 짧은 시간 간격들에 걸쳐 대폭 변경될 수 있다. 이렇게 동적으로 변경되는 접속들이 제공되면, 그렇게 중요한 검사 및/또는 다른 분석을 수행할 수 있도록, 상당한 양의 접속 동기화 처리 오버헤드가 제2 네트워크 노드에 부과될 수 있다.
또한, 이러한 종래의 방식에서, 제1 및 제3 노드들 사이의 각각 개별적인 보안 접속은 제2 및 제3 노드들 사이의 개별적인 보안 접속을 수반할 수 있다. 제2 및 제3 네트워크 노드들 사이의 각각 개별적인 보안 접속에 대해서는, 제2 네트워크 노드는 개별적인 보안 접속을 설정하는데 이용될 수 있는 제3 네트워크 노드와 개별적인 암호화 키를 협상할 수 있다. 이러한 종래의 방식에 존재할 수 있는 비교적 다수의 접속들이 제공되면, 바람직하지 못한 다수의 키 협상들 및 관련된 핸드쉐이크들이 발생할 수 있으며, 바람직하지 못한 다수의 키들이 제2 및 제3 노드들 사이에서 협상될 수 있다. 게다가, 바람직하지 못한 대량의 키 저장 및 처리가 이러한 종래의 방식에 수반될 수 있다.
실시예들의 특징들 및 장점들은 이하의 상세한 설명이 진행됨에 따라, 그리고 동일한 숫자들이 동일한 부분들을 나타내는 도면들의 참조에 따라 명백해질 것이다.
도 1은 시스템 실시예를 예시한다.
도 2는 실시예에서의 특징들을 예시한다.
도 3은 실시예에서의 특징들을 예시한다.
도 4는 실시예에서의 특징들을 예시한다.
도 5는 실시예에서의 동작들을 예시한다.
이하의 상세한 설명이 예시적 실시예들을 참조하여 진행될지라도, 그 다수의 대안들, 변형들, 및 변화들은 당업자에게 명백해질 것이다. 따라서, 청구된 발명 대상이 광범위하게 검토되는 것이 의도된다.
도 1은 시스템(100) 실시예를 예시한다. 시스템(100)은 다른 도메인(70)에 통신 연결될 수 있는 기업 도메인(51)을 포함할 수 있다. 도메인(70)은 적어도 부분적으로 기업 도메인(51)의 외부에 있을 수 있고, 적어도 부분적으로 인터넷 도메인이며, 이를 포함하며, 그리고/또는 이를 이용할 수 있다. 기업 네트워크(51)는 하나 이상의 게이트웨이 및/또는 네트워크 기기 노드들(120)에 통신 연결될 수 있는 하나 이상의 클라이언트 네트워크 노드들(10)을 포함할 수 있다. 하나 이상의 노드들(120)은 도메인(70)에 포함될 수 있는 도메인(70) 및/또는 하나 이상의 서버 노드들(30)에 통신 연결될 수 있다.
이 실시예에 있어서, "노드"는 예를 들어 종단국, 기기, 대용량 스토리지, 중간국, 네트워크 인터페이스, 클라이언트, 서버, 스마트 폰, 다른 통신 장치, 및/또는 그 일부와 같은 네트워크 내에 및/또는 이에 통신 연결되는 엔티티를 의미할 수 있다. 이 실시예에 있어서, "클라이언트" 및/또는 "클라이언트 노드"는 종단국을 포함할 수 있는 노드를 의미하는데 교환가능하게 이용될 수 있지만, 종단국을 포함하는데 필요하지 않다. 이 실시예에 있어서, 종단국은 스마트 폰 또는 다른 통신 장치이거나 이를 포함할 수 있다. 또한 이 실시예에 있어서, "중간 노드," "게이트웨이," "게이트웨이 노드," "네트워크 기기," 및/또는 "네트워크 기기 노드"는 복수의 다른 노드들에 통신 연결될 수 있는 노드를 의미하는데 교환가능하게 이용될 수 있으며, 예를 들어, 방화벽, 스위칭, 포워딩, 게이트웨이, 침입 검출, 로드 밸런싱, 및/또는 라우팅 서비스들 및/또는 기능들과 같은 하나 이상의 서비스들 및/또는 기능들을 제공하고, 용이하게 하며, 그리고/또는 구현할 수 있다(그러나 필요하지 않음). 이 실시예에 있어서, "서버" 및/또는 "서버 노드"는 하나 이상의 클라이언트들에 예를 들어 데이터 저장, 검색, 및/또는 처리 기능들과 같은 하나 이상의 서비스들 및/또는 기능들을 제공하고, 용이하게 하며, 그리고/또는 구현할 수 있는 노드를 의미하는데 교환가능하게 이용될 수 있다. 이 실시예에 있어서, "네트워크"는 서로 통신 연결되는 2개 이상의 노드들이거나 이들을 포함할 수 있다. 또한 이 실시예에 있어서, 노드는 한쪽 노드가 예를 들어 하나 이상의 유선 및/또는 무선 통신 링크들을 통해서와 같이 하나 이상의 명령들 및/또는 데이터를 다른 쪽 노드에 송신하며 그리고/또는 이로부터 수신할 수 있다면 다른 노드에 "통신 연결"될 수 있다. 이 실시예에 있어서, "무선 통신 링크"는 적어도 부분적으로 적어도 2개의 노드들이 적어도 부분적으로 무선 통신 연결되게 하는 임의의 양식, 및/또는 그 일부를 의미할 수 있다. 이 실시예에 있어서, "유선 통신 링크"는 적어도 부분적으로 적어도 2개의 노드들이 적어도 부분적으로 비무선 수단을 통해 적어도 부분적으로 통신 연결되게 하는 임의의 양식 및/또는 그 일부를 의미할 수 있다. 또한 이 실시예에 이용된 바와 같이, 데이터는 하나 이상의 명령들이거나 이들을 포함할 수 있으며, 그리고/또는 하나 이상의 명령들은 데이터이거나 이를 포함할 수 있다.
하나 이상의 노드들(120)은 CB(circuit board)(14)를 포함할 수 있다. CB(14)는 하나 이상의 호스트 프로세서 및/또는 칩셋 집적 회로들(12) 및 컴퓨터 판독가능/기록가능 메모리(21)를 포함할 수 있는 시스템 마더보드이거나 이를 포함할 수 있다. CB(14)는 CB(14)(예를 들어, 하나 이상의 집적 회로들(12) 및/또는 메모리(21)) 및 CC(22)(예를 들어, CC(22)에 포함되는 동작 회로(118)) 내의 구성요소가 서로 통신 연결될 수 있도록 CC(circuit card)(22)가 CB(14)와 전기적으로 그리고 기계적으로 짝을 이루게 할 수 있는 하나 이상의(도시되지 않음) 커넥터들을 포함할 수 있다.
대안으로 또는 추가적으로, 이 실시예로부터 벗어나지 않고, 하나 이상의 집적 회로들(12) 및/또는 메모리(21)에 포함되는 회로의 일부 또는 모두는 회로(118)에 포함될 수 있으며, 그리고/또는 회로(118)의 일부 또는 모두는 하나 이상의 집적 회로들(12) 및/또는 메모리(21)에 포함될 수 있다.
이 실시예에 있어서, "회로"는 예를 들어 단독으로 또는 임의의 조합으로, 아날로그 회로, 디지털 회로, 하드와이어드 회로, 프로그램가능 회로, 상태 머신 회로, 및/또는 프로그램가능 회로에 의해 실행될 수 있는 프로그램 명령어들을 포함할 수 있는 메모리를 포함할 수 있다. 또한 이 실시예에 있어서, "집적 회로"는 예를 들어 반도체 집적 회로 칩과 같은 반도체 장치 및/또는 마이크로전자 장치를 의미할 수 있다. 게다가, 이 실시예에 있어서, 용어들 "호스트 프로세서", "프로세서", "프로세서 코어", "코어", 및/또는 "컨트롤러"는 적어도 부분적으로 하나 이상의 산술 및/또는 논리 동작들을 수행할 수 있는 회로를 의미하는데 교환가능하게 이용될 수 있다. 또한 이 실시예에 있어서, "칩셋"은 적어도 부분적으로 하나 이상의 프로세서들, 메모리, 및/또는 다른 회로를 통신 연결할 수 있는 회로를 포함할 수 있다.
노드들(10, 120, 및/또는 30) 각각은, 예를 들어, 인간 사용자가 명령들을 각각 개별적인 노드 및/또는 시스템(100)에 입력하고, 이의 동작을 감시하게 하는 키보드, 포인팅 장치, 및 디스플레이 시스템을 포함할 수 있는 개별적으로 도시되지 않은 사용자 인터페이스 시스템을 포함할 수 있다. 동작 회로(118)는 하나 이상의 클라이언트들(10) 및/또는 하나 이상의 서버들(30)에 통신 연결될 수 있다.
회로(118)는 하나 이상의 집적 회로들(15)을 포함할 수 있다. 하나 이상의 집적 회로들(15)은 하나 이상의 프로세서 코어들(124) 및/또는 암호화 회로(126)를 포함할 수 있다. 이 실시예에 있어서, 회로(118), 하나 이상의 집적 회로들(15), 하나 이상의 코어들(124), 및/또는 회로(126)는 회로(118)에 의해 수행되는 바와 같이 여기에 설명된 암호화 및/또는 관련 동작들을 적어도 부분적으로 수행할 수 있다.
하나 이상의 머신 판독가능 프로그램 명령어들은 컴퓨터 판독가능/기록가능 메모리(21)에 저장될 수 있다. 하나 이상의 노드들(120)의 동작에서, 이 명령어들은 하나 이상의 집적 회로들(12), 회로(118), 하나 이상의 집적 회로들(15), 하나 이상의 프로세서 코어들(124), 및/또는 회로(126)에 의해 액세스 및 실행될 수 있다. 이와 같이 실행될 때, 이 하나 이상의 명령어들은 하나 이상의 집적 회로들(12), 회로(118), 하나 이상의 집적 회로들(15), 하나 이상의 프로세서 코어들(124), 및/또는 회로(126)에 의해 수행되는 바와 같이 여기에 설명된 동작들을 수행하는 하나 이상의 집적 회로들(12), 회로(118), 하나 이상의 집적 회로들(15), 하나 이상의 프로세서 코어들(124), 및/또는 회로(126)에서 발생될 수 있다. 메모리(21)는 이하의 종류의 메모리들 중 하나 이상을 포함할 수 있다: 반도체 펌웨어 메모리, 프로그램가능 메모리, 비휘발성 메모리, 읽기 전용 메모리, 전기적 프로그램가능 메모리, 랜덤 액세스 메모리, 플래시 메모리, 자기 디스크 메모리, 광 디스크 메모리, 및/또는 다른 또는 최근에 개발된 컴퓨터 판독가능 및/또는 기록가능 메모리.
이 실시예에 있어서, "도메인"은 하나 이상의 노드들 및 (도시되지 않은) 도메인 기관을 포함할 수 있다. 이 실시예에 있어서, "도메인 기관"은 인증, 식별, 및/또는 보안에 전체적으로 또는 부분적으로 관련 및/또는 수반되는 하나 이상의 기능들, 특징들, 프로토콜들, 및/또는 동작들을 적어도 부분적으로 제공, 구현, 및/또는 용이하게 할 수 있는 하나 이상의 엔티티들을 포함할 수 있다. 예를 들어, 도메인들(51 및/또는 70)은 하나 이상의 노드들(10, 120, 및/또는 30)에 통신 연결될 수 있는 하나 이상의 개별적인(도시되지 않음) 도메인 기관들을 각각 포함할 수 있다. 대안으로 또는 추가적으로, 시스템(100)에서 하나 이상의 도메인 기관들의 기능들 및/또는 동작들의 일부 또는 모두는 하나 이상의 노드들(120 및/또는 30)에 의해 적어도 부분적으로 수행될 수 있다.
회로(118)는 하나 이상의 통신 프로토콜들에 따라 하나 이상의 클라이언트들(10) 및/또는 하나 이상의 서버들(30)과 데이터 및/또는 명령들을 교환할 수 있다. 예를 들어, 이 실시예에 있어서, 이 하나 이상의 프로토콜들은 예를 들어, 이더넷 프로토콜, TCP/IP(Transmission Control Protocol/Internet Protocol) 프로토콜, IPsec(Security Architecture for IP), 및/또는 TLS(Transport Layer Security) 프로토콜과 호환될 수 있다.
시스템(100)에 이용될 수 있는 이더넷 프로토콜은 2000년 10월 20일자로 발행된 IEEE(Institute of Electrical and Electronics Engineers, Inc.) 표준 802.3, 2000년 판에 기재된 프로토콜을 따르거나 이와 호환될 수 있다. 시스템(100)에 이용될 수 있는 TCP/IP 프로토콜은 1981년 9월에 발행된 IETF(Internet Engineering Task Force) RFC(Request For Comments) 791 및 793에 기재된 프로토콜들을 따르거나 이와 호환될 수 있다. 시스템(100)에 이용될 수 있는 IPsec 프로토콜은 2005년 12월에 발행된 IETF RFC 4301에 기재된 프로토콜을 따르거나 이와 호환될 수 있다. 시스템(100)에 이용될 수 있는 TLS 프로토콜은 2006년 4월 발행된 IETF RFC 4346, "TLS(The Transport Layer Security) 프로토콜 버전 1.1"에 기재된 프로토콜을 따르거나 이와 호환될 수 있다. 물론, 다수의 상이한, 추가적인, 및/또는 다른 프로토콜들(예를 들어, 보안 관련 및/또는 구현 프로토콜들)은 예를 들어 전술한 및/또는 다른 프로토콜들의 최근에 개발된 버전을 포함해서 이 실시예로부터 벗어나지 않고 그러한 데이터 및/또는 명령 교환에 이용될 수 있다.
도 5를 참조하면, 시스템(100)은 적어도 부분적으로 동작들(500)을 수행할 수 있다. 예를 들어, 시스템(100)의 동작에서, 회로(118)는 회로(118) 및/또는 하나 이상의 도시되지 않은 비중개 노드들을 통해 적어도 부분적으로 하나 이상의 클라이언트들(10)과 하나 이상의 서버들(30) 사이에서 적어도 부분적으로 하나 이상의 보안 통신 채널들(54)을 설정할 수 있는 하나 이상의 클라이언트들(10) 및/또는 하나 이상의 서버들(30)과 데이터 및/또는 명령들을 교환할 수 있다(동작 502 참조). 이 실시예에 있어서, 하나 이상의 채널들(54)은 도메인(51) 내의 하나 이상의 세션들(90) 및 도메인(70) 내의 하나 이상의 세션들(92)을 포함할 수 있다. 하나 이상의 세션들(90)은 적어도 부분적으로 하나 이상의 클라이언트들(10)과 하나 이상의 노드들(120)(즉, 하나 이상의 노드들(120) 내의 회로(118)) 사이에 있을 수 있고, 이들을 통신 연결할 수 있는 도메인(51) 내의 하나 이상의 보안 세션들이거나 이들을 포함할 수 있다. 하나 이상의 세션들(92)은 적어도 부분적으로 회로(118)와 하나 이상의 서버들(30) 사이에 있을 수 있고, 이들을 통신 연결할 수 있는 도메인(70) 내의 하나 이상의 보안 세션들이거나 이들을 포함할 수 있다. 이하에 논의되는 바와 같이, 하나 이상의 세션들(90) 및 하나 이상의 세션들(92)은 통합될 때 하나 이상의 채널들(54)을 제공하는 방법으로 동작한다.
이 실시예에 있어서, 용어들 "세션" 및 "채널"은 교환가능하게 이용될 수 있으며, 적어도 2개의 엔티티들 사이에서 또는 이들 중 하나로 데이터 및/또는 명령들의 교환을 포함할 수 있다. 또한 이 실시예에 있어서, "보안 세션"은 데이터 및/또는 명령들의 적어도 일부가 적어도 부분적으로 암호화되는 세션을 포함할 수 있다. 이 실시예에 있어서, "암호화" 및/또는 "암호화되는"은 적어도 부분적으로 평문으로부터 암호문의 생성에 포함되고, 이를 용이하게 하며, 그리고/또는 이를 발생시키는 하나 이상의 동작들을 포함할 수 있다. 또한 이 실시예에 있어서, "복호화" 및/또는 "복호화되는"은 적어도 부분적으로 암호문으로부터 평문의 생성에 포함되고, 이를 용이하게 하며, 그리고/또는 이를 발생시키는 하나 이상의 동작들을 포함할 수 있다. 게다가, 이 실시예에 있어서, "평문"은 적어도 부분적으로 암호화되며 그리고/또는 이미 수행되었으며 그리고/또는 암호화 및/또는 복호화를 현재 수행하고 있는 데이터를 포함할 수 있다. 이 실시예에 있어서, "키"는 암호화 및/또는 복호화에 이용될 수 있는 하나 이상의 심볼들 및/또는 값들을 포함할 수 있다.
예를 들어, 이 실시예에 있어서, 하나 이상의 클라이언트들(10)은 하나 이상의 클라이언트들(10)과 하나 이상의 서버들(30) 사이에서 하나 이상의 보안 채널들(54)의 설정을 개시하도록 의도되는 하나 이상의 패킷들을 회로(118)에 송신할 수 있다. 이 하나 이상의 패킷들에 적어도 부분적으로 응답하여, 회로(118)는 하나 이상의 세션들(90)을 설정할 수 있는 하나 이상의 클라이언트들(10)과 데이터 및/또는 명령들을 교환할 수 있다. 동시에, 이 실시예에 있어서, 회로(118)는 하나 이상의 세션들(92)을 설정할 수 있는 하나 이상의 서버들(30)과 데이터 및/또는 명령들을 교환할 수 있다.
회로(118)와 하나 이상의 클라이언트들(10) 사이의 데이터 및/또는 명령의 일부로서, 회로(118)는 하나 이상의 SK(session key)(80)를 하나 이상의 클라이언트 노드들(10)에 보안 방식으로(예를 들어, TLS 제어 채널 핸드쉐이크, TCP 및/또는 IP 옵션들을 수반하는 대역외 기술, 및/또는 IPsec 인터넷 키 교환의 일부로서) 송신할 수 있다. 하나 이상의 클라이언트들(10)에 하나 이상의 키들(80)을 송신하기 전에, 하나 이상의 노드들(120)은 적어도 부분적으로 입력 피연산자들, 하나 이상의 DK(domain key)(76) 및 하나 이상의 DS(data set)(78)로서 수반되는 하나 이상의 암호화 동작들(예를 들어, 하나 이상의 일방향 해싱 기능들을 포함함)에 적어도 부분적으로 기초하여 하나 이상의 키들(80)을 적어도 부분적으로 생성할 수 있다. 따라서, 하나 이상의 키들(80)은 도메인(51) 내의 하나 이상의 노드들(120)과 하나 이상의 클라이언트들(10) 사이에서 적어도 부분적으로 협상의 결과로서 적어도 부분적으로 생성될 수 있다.
하나 이상의 키들(76)은 도메인(51) 내의 하나 이상의 도시되지 않은 도메인 기관들에 의해 도메인(51)에 할당될 수 있다. 이 하나 이상의 도메인 기관들은 하나 이상의 노드들(120)에 하나 이상의 키들(76)을 적어도 부분적으로 생성 및 분배할 수 있다. 그러나, 하나 이상의 도메인 기관들 및 하나 이상의 노드들(120)은 하나 이상의 클라이언트 노드들(10) 및 다른 엔티티들(예를 들어, 도메인(51) 내부 및 외부의 엔티티들)로부터 하나 이상의 키들(76)을 비밀로 유지할 수 있다. 하나 이상의 데이터 세트들(78)은 하나 이상의 클라이언트들(10)로부터 하나 이상의 노드들(120)로 송신된 하나 이상의 패킷들(204)(도 2 참조)로부터 회로(118)에 의해 적어도 부분적으로 추출(또는 다르게 획득)될 수 있다. 하나 이상의 데이터 세트들(78)은 하나 이상의 세션들(90)과 적어도 부분적으로 관련될 수 있다. 예를 들어, 하나 이상의 데이터 세트들(78)은 하나 이상의 세션들(90)을 적어도 부분적으로 식별할 수 있는 하나 이상의 값들(202)을 포함할 수 있다. 이 하나 이상의 값들(202)은 적어도 부분적으로 하나 이상의 클라이언트들(10) 및/또는 하나 이상의 노드들(120)의 하나 이상의 개별적인 고유 식별자들의 개별적인 연결들이거나 이들을 포함할 수 있다. 대안으로(적어도 부분적으로) 또는 추가적으로, 하나 이상의 값들(202)은 하나 이상의 서버들(30)의 하나 이상의 개별적인 식별자들을 적어도 부분적으로 포함할 수 있다. 이 고유 식별자들은 예를 들어 하나 이상의 개별적인 어드레스들, IPsec 보안 파라미터 색인들, 및/또는 다른 값들(예를 들어, 세션 컨텍스트 정보)이거나 이들을 포함할 수 있다.
이 실시예에 있어서, 도메인(51)의 하나 이상의 도시되지 않은 도메인 기관들은 (1) 하나 이상의 키들(76)이 도메인(51)과 유일하게 관련될 수 있으며, (2) 하나 이상의 키들(76)이 하나 이상의 키들(80)로부터(예를 들어, 실제적인 암호화 관점으로부터) 본래 획득불가능하도록 하나 이상의 키들(76)을 생성할 수 있다. 실시예에 있어서, 하나 이상의 키들(76)은 하나 이상의 암호화에 강한 난수들이거나 이들을 포함할 수 있다.
하나 이상의 키들(80)을 이용하면, 개별적인 클라이언트들(10) 각각은 하나 이상의 세션들(90)을 통해 하나 이상의 노드들(120)에 송신된 그 개별적인 트래픽을 적어도 부분적으로 암호화할 수 있으며, 하나 이상의 세션들(90)을 통해 하나 이상의 노드들(120)로부터 수신되는 개별적인 트래픽을 적어도 부분적으로 복호화할 수 있다. 이 실시예에 있어서, 하나 이상의 노드들(120)의 이러한 트래픽은 하나 이상의 값들(202) 및/또는 데이터 세트들(78)이 평문으로서 송신되는 하나 이상의 패킷들(예를 들어, 하나 이상의 패킷들(204)에서)을 포함할 수 있다. 하나 이상의 값들(202) 및/또는 하나 이상의 데이터 세트들(78)은 하나 이상의 키들(80)을 생성하기 위한 하나 이상의 암호화 동작들에서 하나 이상의 키들(76)과 함께 상술한 방법에 이용될 때, 하나 이상의 키들(80) 각각이 하나 이상의 게이트웨이들(120)과 하나 이상의 클라이언트들(10) 사이에서 개별적인 독립 보안 세션을 제공하는데 이용될 수 있는 개별적인 독립 세션 키이거나 이를 포함하게 하도록 선택될 수 있다.
회로(118)와 하나 이상의 서버들(30) 사이의 데이터 및/또는 명령 교환의 일부로서, 회로(118)는 하나 이상의 세션 키들(82)을 하나 이상의 서버들(30)에 보안 방식으로(예를 들어, TLS 제어 채널 핸드쉐이크, TCP 및/또는 IP 옵션들을 수반하는 대역회 기술, 및/또는 IPsec 인터넷 키 교환의 일부로서) 송신할 수 있다. 하나 이상의 서버들(30)에 하나 이상의 키들(82)을 송신하기 전에, 하나 이상의 노드들(120)은 적어도 부분적으로 입력 피연산자들, 하나 이상의 도메인 키들(72) 및 하나 이상의 데이터 세트들(74)로서 수반되는 하나 이상의 암호화 동작들(예를 들어, 하나 이상의 일방향 해싱 기능들을 포함함)에 적어도 부분적으로 기초하여 하나 이상의 키들(82)을 적어도 부분적으로 생성할 수 있다. 따라서, 하나 이상의 키들(82)은 도메인(51) 내의 하나 이상의 노드들(120)과 도메인(70) 내의 하나 이상의 서버들(30) 사이에서 적어도 부분적으로 협상의 결과로서 적어도 부분적으로 생성될 수 있다.
하나 이상의 키들(72)은 도메인(70) 내의 하나 이상의 도시되지 않은 도메인 기관들에 의해 도메인(70)에 할당될 수 있다. 이 하나 이상의 도메인 기관들은 하나 이상의 노드들(120)에 하나 이상의 키들(72)을 적어도 부분적으로 생성 및 분배할 수 있다. 그러나, 하나 이상의 도메인 기관들 및 하나 이상의 노드들(120)은 하나 이상의 서버 노드들(30) 및 다른 엔티티들(예를 들어, 도메인(70) 내부 및 외부의 다른 엔티티들)로부터 하나 이상의 키들(72)을 비밀로 유지할 수 있다. 하나 이상의 데이터 세트들(74)은 하나 이상의 서버들(30)로부터 하나 이상의 노드들(120)로 송신된 하나 이상의 패킷들(208)로부터 회로(118)에 의해 적어도 부분적으로 추출(또는 다르게 획득)될 수 있다(도 2 참조). 하나 이상의 데이터 세트들(74)은 하나 이상의 세션들(92)과 적어도 부분적으로 관련될 수 있다. 예를 들어, 하나 이상의 데이터 세트들(74)은 하나 이상의 세션들(92)을 적어도 부분적으로 식별할 수 있는 하나 이상의 값들(206)을 포함할 수 있다. 이 하나 이상의 값들(206)은 적어도 부분적으로 하나 이상의 서버들(30) 및/또는 하나 이상의 노드들(120)의 하나 이상의 개별적인 고유 식별자들의 개별적인 연결들이거나 이들을 포함할 수 있다. 대안으로(적어도 부분적으로) 또는 추가적으로, 하나 이상의 값들(206)은 하나 이상의 클라이언트들(10)의 하나 이상의 개별적인 식별자들을 적어도 부분적으로 포함할 수 있다. 이 고유 식별자들은 예를 들어 하나 이상의 개별적인 어드레스들, IPsec 보안 파라미터 색인들, 및/또는 다른 값들(예를 들어, 세션 컨텍스트 정보)이거나 이들을 포함할 수 있다.
따라서, 이 실시예에 있어서, 예를 들어 조작 도메인에 따라, 하나 이상의 값들(206) 및/또는 하나 이상의 데이터 세트들(74)은 하나 이상의 값들(202) 및/또는 하나 이상의 데이터 세트들(78) 각각과 적어도 부분적으로 동일할 수 있다. 대안으로, 이 실시예로부터 벗어나지 않고, 예를 들어 조작 도메인에 따라, 하나 이상의 값들(206) 및/또는 하나 이상의 데이터 세트들(74)은 하나 이상의 값들(202) 및/또는 하나 이상의 데이터 세트들(78) 각각과 적어도 부분적으로 상이할 수 있다.
이 실시예에 있어서, 도메인(70)의 하나 이상의 도시되지 않은 도메인 기관당국 (1) 하나 이상의 키들(72)이 도메인(70)과 유일하게 관련될 수 있으며, (2) 하나 이상의 키들(72)이 하나 이상의 키들(82)로부터(예를 들어, 실제적인 암호화 관점으로부터) 본래 획득불가능하도록 하나 이상의 키들(72)을 생성할 수 있다. 실시예에 있어서, 하나 이상의 키들(72)은 하나 이상의 암호화에 강한 난수들이거나 이들을 포함할 수 있다.
하나 이상의 키들(82)을 이용하면, 개별적인 서버들(30) 각각은 하나 이상의 세션들(92)을 통해 하나 이상의 노드들(120)에 송신된 그 개별적인 트래픽을 적어도 부분적으로 암호화할 수 있으며, 하나 이상의 세션들(92)을 통해 하나 이상의 노드들(120)로부터 수신되는 개별적인 트래픽을 적어도 부분적으로 복호화할 수 있다. 이 실시예에 있어서, 하나 이상의 노드들(120)의 이러한 트래픽은 하나 이상의 값들(206) 및/또는 데이터 세트들(74)이 평문으로서 송신되는 하나 이상의 패킷들(예를 들어, 하나 이상의 패킷들(208)에 포함됨)을 포함할 수 있다. 하나 이상의 값들(206) 및/또는 하나 이상의 데이터 세트들(74)은 하나 이상의 키들(82)을 생성하기 위한 하나 이상의 암호화 동작들에서 하나 이상의 키들(72)과 함께 상술한 방법에 이용될 때, 하나 이상의 키들(82) 각각이 하나 이상의 게이트웨이들(120)과 하나 이상의 서버들(30) 사이에서 개별적인 독립 보안 세션을 제공하는데 이용될 수 있는 개별적인 독립 세션 키이거나 이를 포함하게 하도록 선택될 수 있다. 이 실시예에 있어서, 하나 이상의 도메인 키들(76)은 하나 이상의 도메인 키들(72)과 적어도 부분적으로 상이할 수 있다.
도 2에 도시된 바와 같이, 이 실시예에 있어서, 도메인(51)에서, 하나 이상의 클라이언트들(10)은 복수의 클라이언트들(220A ... 220N)을 포함할 수 있으며, 하나 이상의 세션들(90)은 클라이언트들(220A ...220N)과 하나 이상의 게이트웨이 노드들(120) 사이에 복수의 보안 세션들(23OA ... 23ON)을 포함할 수 있다. 세션들(230A ... 230N)은 하나 이상의 노드들(120)에 클라이언트들(220A ... 220N)을 개별적으로 통신 연결할 수 있다. 이전에 제시된 바와 같이, 이 보안 세션들(23OA ... 23ON) 각각은 하나 이상의 세션 키들(80) 중 개별적인 키에 적어도 부분적으로 기초하여 생성될 수 있다.
이제 도 3을 참조하면, 하나 이상의 세션들(92)은 하나 이상의 서버들(30)에 하나 이상의 게이트웨이들(120)을 통신 연결할 수 있는 단일 보안 세션(302)을 포함할 수 있다. 이러한 방식에서, 세션(302)은 세션들(23OA ... 23ON)을 적어도 부분적으로 인캡슐화할 수 있다(도 2 참조). 이 실시예에 있어서, 인캡슐화는 예를 들어 하나 이상의 프레임들로 하나 이상의 패킷들을 인캡슐화하는 것과 같이, 제2 엔티티의 적어도 일부로 제1 엔티티를 적어도 부분적으로 통합하는 것, 및/또는 제2 엔티티의 적어도 일부로 제1 엔티티 정보의 적어도 일부를 통합하는 것을 포함할 수 있다.
예를 들어, 네트워크 트래픽(304)은 세션들(23OA ... 23ON)을 통해 클라이언트들(220A ... 220N)로부터 하나 이상의 게이트웨이들(120) 내의 회로(118)로 송신될 수 있다. 세션들(230A ... 230N)을 통해 회로(118)로 송신되므로, 트래픽(304)은 하나 이상의 세션 키들(80)에 적어도 부분적으로 기초하여 적어도 부분적으로 암호화될 수 있다. 그러나, 트래픽(304)에서, 하나 이상의 데이터 세트들(78) 및/또는 하나 이상의 값들(202)은 평문으로서 송신될 수 있다. 회로(118)는 트래픽(304)으로부터 하나 이상의 데이터 세트들(78) 및/또는 하나 이상의 값들(202)을 적어도 부분적으로 추출할 수 있다. 이렇게 추출된 하나 이상의 데이터 세트들(78) 및/또는 하나 이상의 값들(202), 및 하나 이상의 도메인 키들(76)에 적어도 부분적으로 기초하여, 회로(118)는 트래픽(304)을 적어도 부분적으로 암호화하는데 이용되는 개별적인 하나 이상의 세션 키들(80)을 세션들(230A ... 230N) 각각에 대해 동적으로 재구성할 수 있다(예를 들어, 패킷마다 기초하여). 회로(118)는 이렇게 동적으로 재구성된 하나 이상의 세션 키들(80)에 적어도 부분적으로 기초하여 트래픽(304)을 적어도 부분적으로 복호화할 수 있다. 회로(118)는 적어도 부분적으로 이렇게 복호화된 트래픽(304)을 적어도 부분적으로 검사할 수 있다. 그러한 검사는 트래픽(304)에서 비인증된 및/또는 원하지 않는 데이터 및/또는 명령어들의 존재를 검출 및/또는 적절히 다루기 위해 예를 들어 패턴 매칭, 서명, 체크섬, 유효성 검사, 및/또는 다른 분석 기술들을 수반할 수 있다.
회로(118)는 하나 이상의 세션 키들(82)에 적어도 부분적으로 기초하여 비암호화된 트래픽(304)을 적어도 부분적으로 암호화할 수 있으며, 단일 세션(302)을 통해 하나 이상의 서버들(30)에 암호화된 트래픽을 송신할 수 있다. 이것 전에, 회로(118)는 하나 이상의 값들(206) 및/또는 하나 이상의 데이터 세트들(74), 및 하나 이상의 도메인 키들(72)에 적어도 부분적으로 기초하여 하나 이상의 세션 키들(82)을(하나 이상의 키들(80)과 관련하여 상술한 것과 유사한 방법으로) 동적으로 재구성할 수 있다.
하나 이상의 서버들(30)은 세션(302)을 통해 하나 이상의 게이트웨이들(120) 내의 회로(118)에 트래픽(306)을 송신할 수 있다. 단일 세션(302)을 통해 회로(118)에 송신되므로, 트래픽(306)은 하나 이상의 세션 키들(82)에 적어도 부분적으로 기초하여 적어도 부분적으로 암호화될 수 있다. 그러나, 트래픽(306)에서, 하나 이상의 데이터 세트들(74) 및/또는 하나 이상의 값들(206)은 평문으로서 송신될 수 있다. 회로(118)는 트래픽(306)으로부터 하나 이상의 데이터 세트들(74) 및/또는 하나 이상의 값들(206)을 추출할 수 있다. 이렇게 추출된 하나 이상의 데이터 세트들(74) 및/또는 하나 이상의 값들(206), 및 하나 이상의 도메인 키들(72)에 적어도 부분적으로 기초하여, 회로(118)는 트래픽(306)을 적어도 부분적으로 암호화하는데 이용되는 하나 이상의 세션 키들(82)을 동적으로 재구성할 수 있다. 회로(118)는 이렇게 동적으로 재구성된 하나 이상의 세션 키들(82)에 적어도 부분적으로 기초하여 트래픽(306)을 적어도 부분적으로 복호화할 수 있다. 회로(118)는 적어도 부분적으로 이렇게 복호화된 트래픽(306)을 적어도 부분적으로 검사할 수 있다. 그러한 검사는 트래픽(306)에서 비인증된 및/또는 원하지 않는 데이터 및/또는 명령어들의 존재를 검출 및/또는 적절히 다루기 위해 예를 들어 패턴 매칭, 서명, 체크섬, 유효성 검사, 및/또는 다른 분석 기술들을 수반할 수 있다.
회로(118)는 하나 이상의 세션 키들(80)에 적어도 부분적으로 기초하여 비암호화된 트래픽(306)을 적어도 부분적으로 암호화할 수 있으며, 세션들(230A ... 230N)을 통해 클라이언트들(220A ... 220N)에 암호화된 트래픽을 송신할 수 있다. 이것 전에, 회로(118)는 하나 이상의 값들(202) 및/또는 하나 이상의 데이터 세트들(78), 및 하나 이상의 도메인 키들(76)에 적어도 부분적으로 기초하여 하나 이상의 세션 키들(80)을 동적으로 재구성할 수 있다.
대안으로, 하나 이상의 세션들(92)은 하나 이상의 게이트웨이들(120) 및 하나 이상의 서버들(30)을 통신 연결할 수 있는 도메인(70)에서 복수의 보안 세션들(402A ... 402N)을 포함할 수 있다(도 4 참조). 보안 세션들(402A ... 402N)은 보안 세션들(230A ... 230N)에 각각 대응할 수 있다. 이 실시예에 있어서, 하나 이상의 데이터 세트들(78)은 세션들(230A ... 230N)과 관련될 수 있는 개별적인 데이터 세트들(404A ... 404N)을 포함할 수 있다. 예를 들어, 세션들(230A ... 230N)이 적어도 부분적으로 암호화될 수 있는 것에 기초한 하나 이상의 개별적인 세션들 키들(80)은 데이터 세트들(404A ... 404N) 각각, 및 하나 이상의 도메인 키들(76)에 적어도 부분적으로 기초하여 생성될 수 있다. 회로(118)는 세션들(230A ... 230N) 각각을 통해 클라이언트들(220A ... 220N)로부터 회로(118)로 송신된 트래픽(304)으로부터 데이터 세트들(404A ... 404N)을 적어도 부분적으로 추출할 수 있다(도 5의 동작 504 참조). 이렇게 추출된 데이터 세트들(404A ... 404A) 및 하나 이상의 도메인 키들(76)에 적어도 부분적으로 기초하여, 회로(118)는 개별적인 세션들(23OA ... 230N)을 통해 송신된 트래픽(304)을 적어도 부분적으로 암호화하는데 이용되는 개별적인 하나 이상의 세션 키들(80)을 세션들(230A ... 230N) 각각에 대해 동적으로 재구성할 수 있다(예를 들어, 패킷마다 기초하여). 회로(118)는 이렇게 동적으로 재구성된 하나 이상의 세션 키들(80)에 적어도 부분적으로 기초하여 이 트래픽(304)을 적어도 부분적으로 복호화할 수 있다(도 5의 동작 506 참조). 회로(118)는 이전에 설명된 방법으로 적어도 부분적으로 이렇게 복호화된 트래픽을 적어도 부분적으로 검사할 수 있다.
회로(118)는 하나 이상의 세션 키들(82)에 적어도 부분적으로 기초하여 비암호화된 트래픽(304)을 적어도 부분적으로 암호화할 수 있으며, 세션들(402A ... 402N)을 통해 하나 이상의 서버들(30)에 암호화된 트래픽(406)을 송신할 수 있다(도 5의 동작 508 참조). 이것 전에, 회로(118)는 하나 이상의 값들(206) 및/또는 하나 이상의 데이터 세트들(74), 및 하나 이상의 도메인 키들(72)에 적어도 부분적으로 기초하여 하나 이상의 세션 키들(82)을 동적으로 재구성할 수 있다(이전에 설명된 것과 유사한 방법으로).
대안으로, 하나 이상의 도메인 키들(76)은 하나 이상의 키들(72)과 적어도 부분적으로 동일할 수 있다. 게다가 대안으로 또는 추가적으로, 하나 이상의 게이트웨이들(120)은 하나 이상의 보안 핸드쉐이크 및/또는 협상 동작들을 통해 하나 이상의 서버들(30)에 하나 이상의 키들(76) 및/또는 하나 이상의 키들(72)을 제공할 수 있다. 이것은 회로(118)와 관련하여 상술한 방법으로 하나 이상의 서버들(30)이 하나 이상의 세션 키들(82)을 동적으로 재구성하며, 그리고/또는 복호화 및/또는 암호화 동작들을 수행가능하게 할 수 있다.
유리하게도, 이 실시예에 있어서, 하나 이상의 세션들(90)에 포함된 개별적인 세션들의 수에 관계없이, 회로(118)는 하나 이상의 세션들(92) 모두가 설정되게 할 수 있는(예를 들어, 단일 세션 키(82) 및/또는 단일 도메인 키(72)에 적어도 부분적으로 기초함) 하나 이상의 서버들(30)과 단일 키 협상 트랜잭션(예를 들어, 단일 세션 키(82) 및/또는 단일 도메인 키(72)의 교환 및/또는 협상을 발생시킴)을 수행할 수 있다. 그 결과, 이 실시예에 있어서, 단지 단일 핸드쉐이크 동작은 그러한 트랜잭션에 포함될 수 있다. 유리하게도, 이 실시예에 있어서, 이것은 키 협상들의 수, 협상된 키들, 및 하나 이상의 세션들(92)을 설정할 시에 수반되는 회로(118)와 하나 이상의 서버들(30) 사이의 핸드쉐이크들을 상당히 감소시킬 수 있다. 더 유리하게도, 이것은 이 실시예에 이용되는 키 저장의 양을 상당히 감소시킬 수 있다.
이 실시예에 있어서, 키들(80 및/또는 82)의 생성은 통상 예를 들어 (1) 2007년 3월 30일자로 출원된 미국 특허 출원 일련 번호 제11/731,562호와, 2008년 10월 28일자로 공개된 Durham 등의 미국 특허 공개 제2008/0244268호, 및/또는 (2) 2009년 3월 2일자로 출원된 미국 특허 출원 일련 번호 제12/396,125호에 개시된 원리에 따라 적어도 부분적으로 수행될 수 있다. 물론, 다수의 다른, 추가적인, 및/또는 대안의 기술들은 하나 이상의 키들(80) 및/또는 하나 이상의 키들(82)을 적어도 부분적으로 생성하는데 이용될 수 있다.
따라서, 실시예는 적어도 부분적으로 제1 도메인 내의 클라이언트와 제2 도메인 내의 서버 사이에 보안 통신 채널을 적어도 부분적으로 설정하기 위한 회로를 포함할 수 있다. 채널은 제1 및 제2 도메인들에서 제1 및 제2 도메인 세션들을 포함할 수 있다. 회로는 제1 및 제2 도메인 세션들을 적어도 부분적으로 각각 암호화할 수 있는 제1 및 제2 도메인 세션 키들을 생성할 수 있다. 제1 도메인 세션 키는 제1 도메인에 할당된 제1 도메인 키 및 제1 도메인 세션과 관련된 제1 데이터 세트에 기초하여 생성될 수 있다. 제2 도메인 세션 키는 제2 도메인에 할당된 제2 도메인 키 및 제2 도메인 세션에 관련된 제2 데이터 세트에 기초하여 생성될 수 있다.
이 실시예에 있어서, 회로(118)는 하나 이상의 패킷들(204 및/또는 208)로부터 적어도 부분적으로 추출된 하나 이상의 데이터 세트들(78 및/또는 74)에 적어도 부분적으로 기초하여 하나 이상의 세션 키들(80 및/또는 82)을 동적으로 생성할 수 있다. 유리하게도, 이것은 (1) 그러한 세션 키들에 적어도 부분적으로 기초하여 생성된 세션들과 그 자신의 세션 키들 사이의 메모리에서 영속적인 결합을 유지해야 하는 것, 및/또는 (2) 전송 계층 및 암호화 상태 정보의 실질적인 양을 영속적으로 저장하는 것, 및 개별적인 세션들을 버퍼링하는 것을 회로(118)가 회피가능하게 할 수 있다. 유리하게도, 이것은 이 실시예에서 접속 확장성 및 처리 속도를 상당히 개선할 수 있다.
또한 이 실시예에 있어서, 상술한 방법으로 하나 이상의 키들(80 및/또는 82)을 적어도 부분적으로 동적으로 생성할 수 있는 결과로서, 회로(118)는 회로(118)로 및/또는 이로부터 각각 송신된 트래픽을 동적으로 복호화 및/또는 암호화할 수 있다. 유리하게도, 이것은 회로(118) 및/또는 하나 이상의 노드들(120)이 하나 이상의 클라이언트들(10)과 하나 이상의 서버들(30) 사이에서(예를 들어, 하나 이상의 보안 채널들(54)을 통해) 암호화된 통신들의 컨텐츠의 중요한 검사 및/또는 분석을 수행가능하게 할 수 있다. 유리하게도, 이것은 기업 도메인(51) 및/또는 시스템(100)의 보안의 위태롭게 하는 것을 방지할 수 있으며, 기업 도메인(51) 및/또는 시스템(100)의 성능을(예를 들어, 도메인(51) 및/또는 시스템(100)에 바이러스의 도입을 방지하며 그리고/또는 이로부터 바이러스를 제거함으로써) 다르게 개선할 수 있다.
따라서, 유리하게도, 이 실시예의 특징들은 그러한 처리가 실행될 수 있는 속도도 개선하면서 보안, 통신, 및/또는 암호화 처리에 의해 소비되는 처리 대역폭의 양을 감소시킬 수 있다. 또한, 유리하게도, 이 실시예의 특징들은 그러한 처리가 특수 전송 계층 및/또는 암호화 오프로드 및/또는 가속 하드웨어에 의해 더 용이하게 구현되게 할 수 있다.

Claims (20)

  1. 적어도 부분적으로 제1 도메인 내의 적어도 하나의 클라이언트와 제2 도메인 내의 적어도 하나의 서버 사이에서 적어도 하나의 보안 통신 채널을 적어도 부분적으로 설정하는 회로 - 상기 적어도 하나의 채널은 상기 제1 도메인 내의 적어도 하나의 제1 도메인 세션 및 상기 제2 도메인 내의 적어도 하나의 제2 도메인 세션을 포함하고, 상기 회로는 적어도 하나의 제1 도메인 세션 키 및 적어도 하나의 제2 도메인 세션 키를 적어도 부분적으로 생성하고, 상기 적어도 하나의 제1 도메인 세션 키 및 상기 적어도 하나의 제2 도메인 세션 키는 각각 상기 적어도 하나의 제1 도메인 세션 및 상기 적어도 하나의 제2 도메인 세션을 적어도 부분적으로 암호화하고, 상기 적어도 하나의 제1 도메인 세션 키는 상기 제1 도메인에 할당된 제1 도메인 키 및 상기 적어도 하나의 제1 도메인 세션과 적어도 부분적으로 관련된 적어도 하나의 제1 데이터 세트에 적어도 부분적으로 기초하여 생성되고, 상기 적어도 하나의 제2 도메인 세션 키는 상기 제2 도메인에 할당된 제2 도메인 키 및 상기 적어도 하나의 제2 도메인 세션과 적어도 부분적으로 관련된 적어도 하나의 제2 데이터 세트에 적어도 부분적으로 기초하여 생성됨 -
    를 포함하고,
    상기 제1 도메인은 상기 제2 도메인과 적어도 부분적으로 구별되고,
    상기 제1 도메인에 할당된 상기 제1 도메인 키는 상기 제2 도메인 키와 적어도 부분적으로 상이하고,
    상기 적어도 하나의 제1 데이터 세트는 상기 적어도 하나의 제1 도메인 세션을 적어도 부분적으로 식별하고 상기 적어도 하나의 제1 도메인 세션을 통해 전달되는 하나 이상의 패킷들로부터 적어도 부분적으로 획득가능한 하나 이상의 값들을 포함하고,
    상기 제1 도메인 키는 상기 제1 도메인의 상이한 클라이언트들을 위한 상이한 제1 도메인 세션 키들을 생성하는 키를 포함하는 장치.
  2. 제1항에 있어서,
    상기 적어도 하나의 제2 데이터 세트는 상기 적어도 하나의 제2 도메인 세션을 적어도 부분적으로 식별하고 상기 적어도 하나의 제2 도메인 세션을 통해 전달되는 하나 이상의 다른 패킷들로부터 적어도 부분적으로 획득가능한 하나 이상의 값들을 포함하는 장치.
  3. 제1항에 있어서,
    상기 적어도 하나의 클라이언트는 상기 제1 도메인 내의 복수의 클라이언트들을 포함하고,
    상기 적어도 하나의 제1 도메인 세션은 적어도 하나의 게이트웨이와 상기 복수의 클라이언트들 사이에서 상기 제1 도메인 내의 제1 복수의 세션들을 포함하고,
    상기 적어도 하나의 제2 도메인 세션은 상기 적어도 하나의 게이트웨이와 상기 적어도 하나의 서버 사이에 있고,
    상기 제1 도메인은 기업 도메인을 포함하며,
    상기 제2 도메인 키는 상기 기업 도메인과 상기 적어도 하나의 서버 사이에서 적어도 부분적으로 협상되는 장치.
  4. 제3항에 있어서,
    상기 적어도 하나의 제2 도메인 세션은 상기 제1 복수의 세션들을 적어도 부분적으로 인캡슐화(encapsulate)하는 단일 세션을 포함하고,
    상기 회로는 상기 제1 복수의 세션들을 통해 전달되는 제1 트래픽을 적어도 부분적으로 복호화하고 적어도 부분적으로 검사하는 것이며,
    상기 회로는 상기 단일 세션을 통해 전달되는 제2 트래픽을 적어도 부분적으로 복호화하고 적어도 부분적으로 검사하는 것인 장치.
  5. 제3항에 있어서,
    상기 적어도 하나의 제2 도메인 세션은 상기 제2 도메인 내의 제2 복수의 세션들을 포함하고,
    상기 적어도 하나의 제1 데이터 세트는 상기 제1 복수의 세션들과 관련된 각자의 데이터 세트들을 포함하고,
    상기 회로는 상기 제1 복수의 세션들을 통해 전달되는 제1 트래픽으로부터 상기 각자의 데이터 세트들을 적어도 부분적으로 추출하는 것이고,
    상기 회로는 상기 각자의 데이터 세트들에 적어도 부분적으로 기초하여 상기 제1 트래픽을 적어도 부분적으로 복호화하는 것이며,
    상기 회로는 상기 제2 복수의 세션들을 통해 전달되는 제2 트래픽을 상기 각자의 데이터 세트들에 적어도 부분적으로 기초하여 적어도 부분적으로 암호화하는 것인 장치.
  6. 제1항에 있어서,
    상기 회로는, 적어도 부분적으로,
    회로 기판에 연결될 회로 카드,
    네트워크 기기, 및
    하나 이상의 암호화 동작들을 수행하기 위해 하나 이상의 프로세서들 및 회로를 포함하는 하나 이상의 집적 회로들
    중 하나 이상으로 구성되는 장치.
  7. 회로에 의해 적어도 부분적으로 수행되는 방법으로서,
    적어도 부분적으로 제1 도메인 내의 적어도 하나의 클라이언트와 제2 도메인 내의 적어도 하나의 서버 사이에서 적어도 하나의 보안 통신 채널을 상기 회로에 의해 적어도 부분적으로 설정하는 단계 - 상기 적어도 하나의 채널은 상기 제1 도메인 내의 적어도 하나의 제1 도메인 세션 및 상기 제2 도메인 내의 적어도 하나의 제2 도메인 세션을 포함하고, 상기 회로는 적어도 하나의 제1 도메인 세션 키 및 적어도 하나의 제2 도메인 세션 키를 적어도 부분적으로 생성하고, 상기 적어도 하나의 제1 도메인 세션 키 및 상기 적어도 하나의 제2 도메인 세션 키는 각각 상기 적어도 하나의 제1 도메인 세션 및 상기 적어도 하나의 제2 도메인 세션을 적어도 부분적으로 암호화하고, 상기 적어도 하나의 제1 도메인 세션 키는 상기 제1 도메인에 할당된 제1 도메인 키 및 상기 적어도 하나의 제1 도메인 세션과 적어도 부분적으로 관련된 적어도 하나의 제1 데이터 세트에 적어도 부분적으로 기초하여 생성되고, 상기 적어도 하나의 제2 도메인 세션 키는 상기 제2 도메인에 할당된 제2 도메인 키 및 상기 적어도 하나의 제2 도메인 세션과 적어도 부분적으로 관련된 적어도 하나의 제2 데이터 세트에 적어도 부분적으로 기초하여 생성됨 -
    를 포함하고,
    상기 제1 도메인은 상기 제2 도메인과 적어도 부분적으로 구별되고,
    상기 제1 도메인에 할당된 상기 제1 도메인 키는 상기 제2 도메인 키와 적어도 부분적으로 상이하고,
    상기 적어도 하나의 제1 데이터 세트는 상기 적어도 하나의 제1 도메인 세션을 적어도 부분적으로 식별하고 상기 적어도 하나의 제1 도메인 세션을 통해 전달되는 하나 이상의 패킷들로부터 적어도 부분적으로 획득가능한 하나 이상의 값들을 포함하고,
    상기 제1 도메인 키는 상기 제1 도메인의 상이한 클라이언트들을 위한 상이한 제1 도메인 세션 키들을 생성하는 키를 포함하는 방법.
  8. 제7항에 있어서,
    상기 적어도 하나의 제2 데이터 세트는 상기 적어도 하나의 제2 도메인 세션을 적어도 부분적으로 식별하고 상기 적어도 하나의 제2 도메인 세션을 통해 전달되는 하나 이상의 다른 패킷들로부터 적어도 부분적으로 획득가능한 하나 이상의 값들을 포함하는 방법.
  9. 제7항에 있어서,
    상기 적어도 하나의 클라이언트는 상기 제1 도메인 내의 복수의 클라이언트들을 포함하고,
    상기 적어도 하나의 제1 도메인 세션은 적어도 하나의 게이트웨이와 상기 복수의 클라이언트들 사이에서 상기 제1 도메인 내의 제1 복수의 세션들을 포함하고,
    상기 적어도 하나의 제2 도메인 세션은 상기 적어도 하나의 게이트웨이와 상기 적어도 하나의 서버 사이에 있고,
    상기 제1 도메인은 기업 도메인을 포함하며,
    상기 제2 도메인 키는 상기 기업 도메인과 상기 적어도 하나의 서버 사이에서 적어도 부분적으로 협상되는 방법.
  10. 제9항에 있어서,
    상기 적어도 하나의 제2 도메인 세션은 상기 제1 복수의 세션들을 적어도 부분적으로 인캡슐화하는 단일 세션을 포함하고,
    상기 회로는 상기 제1 복수의 세션들을 통해 전달되는 제1 트래픽을 적어도 부분적으로 복호화하고 적어도 부분적으로 검사하는 것이며,
    상기 회로는 상기 단일 세션을 통해 전달되는 제2 트래픽을 적어도 부분적으로 복호화하고 적어도 부분적으로 검사하는 것인 방법.
  11. 제9항에 있어서,
    상기 적어도 하나의 제2 도메인 세션은 상기 제2 도메인 내의 제2 복수의 세션들을 포함하고,
    상기 적어도 하나의 제1 데이터 세트는 상기 제1 복수의 세션들과 관련된 각자의 데이터 세트들을 포함하고,
    상기 방법은,
    상기 제1 복수의 세션들을 통해 전달되는 제1 트래픽으로부터 상기 각자의 데이터 세트들을 상기 회로에 의해 적어도 부분적으로 추출하는 단계,
    상기 각자의 데이터 세트들에 적어도 부분적으로 기초하여 상기 제1 트래픽을 상기 회로에 의해 적어도 부분적으로 복호화하는 단계, 및
    상기 제2 복수의 세션들을 통해 전달되는 제2 트래픽을 상기 각자의 데이터 세트들에 적어도 부분적으로 기초하여 상기 회로에 의해 적어도 부분적으로 암호화하는 단계를 포함하는 방법.
  12. 제7항에 있어서,
    상기 회로는, 적어도 부분적으로,
    회로 기판에 연결될 회로 카드,
    네트워크 기기, 및
    하나 이상의 암호화 동작들을 수행하기 위해 하나 이상의 프로세서들 및 회로를 포함하는 하나 이상의 집적 회로들
    중 하나 이상으로 구성되는 방법.
  13. 머신에 의해 실행될 때 동작들이 실행되게 하는 하나 이상의 명령어들을 저장하는 컴퓨터 판독가능 메모리로서,
    상기 동작들은,
    적어도 부분적으로 제1 도메인 내의 적어도 하나의 클라이언트와 제2 도메인 내의 적어도 하나의 서버 사이에서 적어도 하나의 보안 통신 채널을 회로에 의해 적어도 부분적으로 설정하는 동작 - 상기 적어도 하나의 채널은 상기 제1 도메인 내의 적어도 하나의 제1 도메인 세션 및 상기 제2 도메인 내의 적어도 하나의 제2 도메인 세션을 포함하고, 상기 회로는 적어도 하나의 제1 도메인 세션 키 및 적어도 하나의 제2 도메인 세션 키를 적어도 부분적으로 생성하고, 상기 적어도 하나의 제1 도메인 세션 키 및 상기 적어도 하나의 제2 도메인 세션 키는 각각 상기 적어도 하나의 제1 도메인 세션 및 상기 적어도 하나의 제2 도메인 세션을 적어도 부분적으로 암호화하고, 상기 적어도 하나의 제1 도메인 세션 키는 상기 제1 도메인에 할당된 제1 도메인 키 및 상기 적어도 하나의 제1 도메인 세션과 적어도 부분적으로 관련된 적어도 하나의 제1 데이터 세트에 적어도 부분적으로 기초하여 생성되고, 상기 적어도 하나의 제2 도메인 세션 키는 상기 제2 도메인에 할당된 제2 도메인 키 및 상기 적어도 하나의 제2 도메인 세션과 적어도 부분적으로 관련된 적어도 하나의 제2 데이터 세트에 적어도 부분적으로 기초하여 생성됨 -
    을 포함하고,
    상기 제1 도메인은 상기 제2 도메인과 적어도 부분적으로 구별되고,
    상기 제1 도메인에 할당된 상기 제1 도메인 키는 상기 제2 도메인 키와 적어도 부분적으로 상이하고,
    상기 적어도 하나의 제1 데이터 세트는 상기 적어도 하나의 제1 도메인 세션을 적어도 부분적으로 식별하고 상기 적어도 하나의 제1 도메인 세션을 통해 전달되는 하나 이상의 패킷들로부터 적어도 부분적으로 획득가능한 하나 이상의 값들을 포함하고,
    상기 제1 도메인 키는 상기 제1 도메인의 상이한 클라이언트들을 위한 상이한 제1 도메인 세션 키들을 생성하는 키를 포함하는 컴퓨터 판독가능 메모리.
  14. 제13항에 있어서,
    상기 적어도 하나의 제2 데이터 세트는 상기 적어도 하나의 제2 도메인 세션을 적어도 부분적으로 식별하고 상기 적어도 하나의 제2 도메인 세션을 통해 전달되는 하나 이상의 다른 패킷들로부터 적어도 부분적으로 획득가능한 하나 이상의 값들을 포함하는 컴퓨터 판독가능 메모리.
  15. 제13항에 있어서,
    상기 적어도 하나의 클라이언트는 상기 제1 도메인 내의 복수의 클라이언트들을 포함하고,
    상기 적어도 하나의 제1 도메인 세션은 적어도 하나의 게이트웨이와 상기 복수의 클라이언트들 사이에서 상기 제1 도메인 내의 제1 복수의 세션들을 포함하고,
    상기 적어도 하나의 제2 도메인 세션은 상기 적어도 하나의 게이트웨이와 상기 적어도 하나의 서버 사이에 있고,
    상기 제1 도메인은 기업 도메인을 포함하며,
    상기 제2 도메인 키는 상기 기업 도메인과 상기 적어도 하나의 서버 사이에서 적어도 부분적으로 협상되는 컴퓨터 판독가능 메모리.
  16. 제15항에 있어서,
    상기 적어도 하나의 제2 도메인 세션은 상기 제1 복수의 세션들을 적어도 부분적으로 인캡슐화하는 단일 세션을 포함하고,
    상기 회로는 상기 제1 복수의 세션들을 통해 전달되는 제1 트래픽을 적어도 부분적으로 복호화하고 적어도 부분적으로 검사하는 것이며,
    상기 회로는 상기 단일 세션을 통해 전달되는 제2 트래픽을 적어도 부분적으로 복호화하고 적어도 부분적으로 검사하는 것인 컴퓨터 판독가능 메모리.
  17. 제15항에 있어서,
    상기 적어도 하나의 제2 도메인 세션은 상기 제2 도메인 내의 제2 복수의 세션들을 포함하고,
    상기 적어도 하나의 제1 데이터 세트는 상기 제1 복수의 세션들과 관련된 각자의 데이터 세트들을 포함하고,
    상기 동작들은,
    상기 제1 복수의 세션들을 통해 전달되는 제1 트래픽으로부터 상기 각자의 데이터 세트들을 상기 회로에 의해 적어도 부분적으로 추출하는 동작,
    상기 각자의 데이터 세트들에 적어도 부분적으로 기초하여 상기 제1 트래픽을 상기 회로에 의해 적어도 부분적으로 복호화하는 동작, 및
    상기 제2 복수의 세션들을 통해 전달되는 제2 트래픽을 상기 각자의 데이터 세트들에 적어도 부분적으로 기초하여 상기 회로에 의해 적어도 부분적으로 암호화하는 동작을 포함하는 컴퓨터 판독가능 메모리.
  18. 제13항에 있어서,
    상기 회로는, 적어도 부분적으로,
    회로 기판에 연결될 회로 카드,
    네트워크 기기, 및
    하나 이상의 암호화 동작들을 수행하기 위해 하나 이상의 프로세서들 및 회로를 포함하는 하나 이상의 집적 회로들
    중 하나 이상으로 구성되는 컴퓨터 판독가능 메모리.
  19. 제1항에 있어서,
    상기 적어도 하나의 제1 도메인 세션은 복수의 세션들을 포함하고,
    상기 회로는 상기 적어도 하나의 제2 도메인 세션을 설정할 시에 수반되는 단일 키를 협상하기 위해 상기 적어도 하나의 서버와 단일 키 협상 트랜잭션을 수행하는 것이며, 상기 트랜잭션은 상기 회로와 상기 적어도 하나의 서버 사이의 단일 핸드쉐이크를 포함하는 장치.
  20. 제1항에 있어서,
    상기 제1 데이터 세트는 상기 제1 도메인 세션의 클라이언트 ID 및 서버 ID를 포함하는 장치.
KR1020127022407A 2010-01-28 2011-01-19 노드들 사이에서 적어도 부분적으로 수행되는 암호화된 통신의 적어도 일부의 검사를 허용하기 위한 노드들 사이에서의 보안 통신 채널의 적어도 부분적인 설정 KR101430851B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/695,853 US8873746B2 (en) 2010-01-28 2010-01-28 Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
US12/695,853 2010-01-28
PCT/US2011/021627 WO2011094096A2 (en) 2010-01-28 2011-01-19 Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes

Publications (2)

Publication Number Publication Date
KR20120127625A KR20120127625A (ko) 2012-11-22
KR101430851B1 true KR101430851B1 (ko) 2014-08-18

Family

ID=44308939

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127022407A KR101430851B1 (ko) 2010-01-28 2011-01-19 노드들 사이에서 적어도 부분적으로 수행되는 암호화된 통신의 적어도 일부의 검사를 허용하기 위한 노드들 사이에서의 보안 통신 채널의 적어도 부분적인 설정

Country Status (6)

Country Link
US (1) US8873746B2 (ko)
EP (1) EP2529505B1 (ko)
JP (1) JP5640226B2 (ko)
KR (1) KR101430851B1 (ko)
CN (2) CN102725995B (ko)
WO (1) WO2011094096A2 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101252549B1 (ko) * 2008-11-21 2013-04-08 한국전자통신연구원 보안 도메인 환경에서의 암/복호화 프로그램 및 대칭키의 안전 배포 방법 및 이를 위한 데이터 분할 및 주입 장치
US8873746B2 (en) 2010-01-28 2014-10-28 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
GB2519741A (en) * 2013-09-15 2015-05-06 Wedge It Com Ltd Internet repeater apparatus
US10244000B2 (en) 2014-02-24 2019-03-26 Honeywell International Inc. Apparatus and method for establishing seamless secure communications between components in an industrial control and automation system
US10726162B2 (en) * 2014-12-19 2020-07-28 Intel Corporation Security plugin for a system-on-a-chip platform
US9923715B2 (en) * 2015-06-09 2018-03-20 Intel Corporation System, apparatus and method for group key distribution for a network
US9674090B2 (en) * 2015-06-26 2017-06-06 Microsoft Technology Licensing, Llc In-line network accelerator
US10038552B2 (en) 2015-11-30 2018-07-31 Honeywell International Inc. Embedded security architecture for process control systems
US10855462B2 (en) 2016-06-14 2020-12-01 Honeywell International Inc. Secure in-band upgrade using key revocation lists and certificate-less asymmetric tertiary key pairs
CN106330968B (zh) * 2016-10-31 2021-02-26 杭州迪普科技股份有限公司 一种访问设备的身份认证方法及装置
US10389722B2 (en) 2016-12-30 2019-08-20 Ssh Communications Security Oyj Access relationships in a computer system
US11700258B2 (en) * 2016-12-30 2023-07-11 Ssh Communications Security Oyj Access relationships in a computer system
US10587421B2 (en) 2017-01-12 2020-03-10 Honeywell International Inc. Techniques for genuine device assurance by establishing identity and trust using certificates
US10749692B2 (en) 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
EP3483772A1 (en) * 2017-11-14 2019-05-15 Nagravision S.A. Integrated circuit personalisation with data encrypted with the output of a physically unclonable function

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US20070036353A1 (en) * 2005-05-31 2007-02-15 Interdigital Technology Corporation Authentication and encryption methods using shared secret randomness in a joint channel

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774484B1 (en) * 2002-12-19 2010-08-10 F5 Networks, Inc. Method and system for managing network traffic
JP2007523401A (ja) * 2003-12-31 2007-08-16 アプライド アイデンティティー コンピュータトランザクションの発信者が本人であることを立証する方法と装置
EP1784016A1 (fr) 2005-11-03 2007-05-09 Nagravision S.A. Méthode de sécurisation de données échangées entre un dispositif de traitement multimédia et un module de sécurité
KR20070115574A (ko) 2006-06-01 2007-12-06 엘지전자 주식회사 데이터 통신 방법
US20080244268A1 (en) 2007-03-30 2008-10-02 David Durham End-to-end network security with traffic visibility
US20090119510A1 (en) 2007-11-06 2009-05-07 Men Long End-to-end network security with traffic visibility
JP4892404B2 (ja) 2007-05-16 2012-03-07 日本電信電話株式会社 暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム
CN101325486B (zh) 2007-06-11 2012-04-25 华为技术有限公司 域许可密钥的转移方法及设备
US20090199287A1 (en) * 2007-06-26 2009-08-06 Luc Vantalon Systems and methods for conditional access and digital rights management
KR101393012B1 (ko) 2007-07-03 2014-05-12 삼성전자주식회사 라이센스 관리 시스템 및 방법
NZ585054A (en) * 2007-11-30 2013-08-30 Ericsson Telefon Ab L M Key management for secure communication
KR100981419B1 (ko) * 2008-01-31 2010-09-10 주식회사 팬택 디지털 권한 관리를 위한 사용자 도메인 가입방법 및 그정보 교환 방법
US9467431B2 (en) * 2008-02-15 2016-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Application specific master key selection in evolved networks
US8788805B2 (en) * 2008-02-29 2014-07-22 Cisco Technology, Inc. Application-level service access to encrypted data streams
US8873746B2 (en) 2010-01-28 2014-10-28 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US20070036353A1 (en) * 2005-05-31 2007-02-15 Interdigital Technology Corporation Authentication and encryption methods using shared secret randomness in a joint channel

Also Published As

Publication number Publication date
US8873746B2 (en) 2014-10-28
CN104734844B (zh) 2018-04-06
KR20120127625A (ko) 2012-11-22
WO2011094096A2 (en) 2011-08-04
EP2529505B1 (en) 2018-10-24
EP2529505A4 (en) 2015-06-03
CN102725995A (zh) 2012-10-10
EP2529505A2 (en) 2012-12-05
US20110182427A1 (en) 2011-07-28
CN102725995B (zh) 2015-02-25
CN104734844A (zh) 2015-06-24
JP5640226B2 (ja) 2014-12-17
JP2013518522A (ja) 2013-05-20
WO2011094096A3 (en) 2011-12-01

Similar Documents

Publication Publication Date Title
KR101430851B1 (ko) 노드들 사이에서 적어도 부분적으로 수행되는 암호화된 통신의 적어도 일부의 검사를 허용하기 위한 노드들 사이에서의 보안 통신 채널의 적어도 부분적인 설정
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
US11848961B2 (en) HTTPS request enrichment
US10757138B2 (en) Systems and methods for storing a security parameter index in an options field of an encapsulation header
Hummen et al. Delegation-based authentication and authorization for the IP-based Internet of Things
US8504822B2 (en) Transparent proxy of encrypted sessions
US9398026B1 (en) Method for authenticated communications incorporating intermediary appliances
US10389524B2 (en) Introducing middleboxes into secure communications between a client and a server
US7539858B2 (en) Packet encryption substituting device, method thereof, and program recording medium
Zamfir et al. A security analysis on standard IoT protocols
US8281122B2 (en) Generation and/or reception, at least in part, of packet including encrypted payload
US11924248B2 (en) Secure communications using secure sessions
CA3066728A1 (en) Cloud storage using encryption gateway with certificate authority identification
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN117254976B (zh) 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备
CN115118503A (zh) 用于端到端的透明传输加密方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170804

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180730

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190729

Year of fee payment: 6