NL1021300C2 - Beveiliging van computernetwerk. - Google Patents

Beveiliging van computernetwerk. Download PDF

Info

Publication number
NL1021300C2
NL1021300C2 NL1021300A NL1021300A NL1021300C2 NL 1021300 C2 NL1021300 C2 NL 1021300C2 NL 1021300 A NL1021300 A NL 1021300A NL 1021300 A NL1021300 A NL 1021300A NL 1021300 C2 NL1021300 C2 NL 1021300C2
Authority
NL
Netherlands
Prior art keywords
file
security tag
files
connection
port device
Prior art date
Application number
NL1021300A
Other languages
English (en)
Inventor
Albert Louis Caesar Christ Bik
Alexander Johannes Gerar Degen
Coenraad Leo Siman Visser
Rajesh Lachman
Franciscus Hendrikus Nielen
Original Assignee
Tno
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tno filed Critical Tno
Priority to NL1021300A priority Critical patent/NL1021300C2/nl
Priority to EP03788180.2A priority patent/EP1530862B1/en
Priority to AU2003257736A priority patent/AU2003257736A1/en
Priority to US10/524,725 priority patent/US7788481B2/en
Priority to PCT/NL2003/000585 priority patent/WO2004017599A1/en
Application granted granted Critical
Publication of NL1021300C2 publication Critical patent/NL1021300C2/nl

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

Titel: Beveiliging van computernetwerk.
De uitvinding heeft betrekking op beveiliging tegen ongeautoriseerde toegang (tot kopieën) van files die in een computer netwerk zijn opgeslagen.
Het is bekend in de huidige situatie dat om de vertrouwelijkheid 5 van elektronische documenten (verder ook aangeduid als "files") te garanderen door in een filesysteem codes op te slaan die aan geven welke gebruikers het document mogen openen. Zo kan deze code bijvoorbeeld aangeven of alleen de auteur van het file, een toegangsrecht heeft of ook een groep waartoe deze auteur behoort, of dat eenieder een toegangsrecht heeft. 10 Als een gebruiker een dergelijk file probeert te lezen dan controleert het beheerssysteem of de betreffende gebruiker volgens de codes voor het I gevraagde file een toegangsrecht heeft. Alleen als dat het geval is staat het i beheerssysteem toegang toe.
Deze vorm van toegangsbeheer heeft het nadeel dat ze gebonden is 15 aan het filesysteem. Deze vorm van toegangsbeheer vereist dat gebruikers i vooraf in verschillende soorten worden ingedeeld.
Een andere vorm van toegangsbeheer is het versleutelen (Engels: encrypten) van vertrouwelijke files. Alleen diegenen die beschikken over de sleutel die benodigd is voor het ontsleutelen van het file kunnen zodoende 20 toegang krijgen. Het voordeel ten opzichte van toegangscodes is dat nu ook alle inhoudelijke kopieën van het file beschermd zijn, waar ze ook staan. Nadeel is echter dat telkens een sleutel en ontsleuteling nodig zijn voordat toegang tot het file mogelijk is.
Ter bescherming tegen computer virussen is het daarnaast bekend 25 om gebruik te maken van een zogenaamde firewall voor het transport van files naar een computersysteem toe. Een firewall blokkeert het ontvangen van files door een computersysteem wanneer het file aan vooraf bepaalde karakteristieken voldoet. Een firewall dient echter niet voor het in?i3 πn
’ V.' i V> U U
2 vertrouwelijk houden van geselecteerde vertrouwelijke files tussen files die door het computersysteem verzonden worden.
Het is onder meer een doel van de uitvinding om te voorzien in een computer systeem dat het mogelijk maakt om dë toegang tot files selectief te 5 beperken zonder dat extra maatregelen nodig zijn als er kopieën gemaakt worden binnen het computersysteem en zonder dat versleuteling nodig is.
Het computersysteem volgens de uitvinding wordt gedefinieerd in conclusie 1. De uitvinding maakt gebruik van een poortinrichting in een communicatiekanaal tussen een netwerkdomein en een externe verbinding 10 zoals een verbinding naar het Internet. De poortinrichting is ingericht om alle files die via het communicatiekanaal naar de externe verbinding verstuurd worden te controleren op de aanwezigheid van een security-tag . Afhankelijk van de aan- of afwezigheid van deze security-tag beperkt de poortinrichting de vrije verzending van het file naar de externe verbinding. 15 Zodoende wordt een file-selectieve controle uitgeoefend op de toegangsmogelijkheden tot het file buiten het netwerkdomein. Binnen het netwerkdomein heeft iedere gebruiker in principe toegang tot het file. Maar daarbuiten is de toegang beperkt. Zodoende wordt voorzien in een domeinspecifieke beveiliging. In de meest extreme vorm blokkeert de 20 poortinrichting de verzending afhankelijk van de aan- of afwezigheid van deze security-tag . In principe kan de uitvinding op allerlei vormen van file verzending worden toegepast, bijvoorbeeld bij verzending als onderdeel van e-mail protocollen (SMTP), als onderdeel van file transfer protocollen (FTP) als onderdeel van hyperlink protocollen (HTTP) of elke andere soort 25 protocol.
Bijvoorkeur worden alle communicatiekanalen van het netwerkdomein naar externe verbindingen voorzien van een dergelijke poortinrichting. In een uitvoeringsvorm beperkt de poortinrichting vrije verzending van files die voorzien zijn van een dergelijke security-tag .
1 0213 00'"' 3
Zodoende blijven bestaande of van extern ontvangen files vrij toegankelijk en kunnen gebruikers zelf bescherming vragen.
De uitvinding is echter niet beperkt tot volledig tegenhouden. In een andere uitvoeringsvorm versleutelt de poortinrichting bijvoorbeeld 5 automatisch alle files die van een security-tag zijn voorzien als deze files via het communicatiekanaal verzonden worden. Zodoende wordt buiten het netwerkdomein bescherming geboden door middel van encryptie. In weer een ander uitvoeringsvorm wordt de security-tag gecombineerd met een anti-tamper code die het verwijderen van tag de vrijwel onmogelijk maakt.
10
Deze en andere doelstellingen en voordelige aspecten van het computersysteem volgens de uitvinding zullen nader worden beschreven aan de hand van de volgende figuren.
15 Figuur 1 toont een computer systeem
Figuur 2 toont een poortinrichting
Figuur 1 toont een computer systeem met externe aansluitingen 14a, 16a. Het computersysteem bevat een domein 10 met daarin een aantal 20 computers 100, 102, 104, 106, 108 die via verbindingen met elkaar verbonden zijn. Een deel van de computers 100, 102,104,106, 108 is verbonden met communicatiekanalen 14a,b, 16a,b die via de externe aansluitingen lopen naar verdere computers (niet getoond). In de communicatiekanalen 14a,b, 16a,b bevinden zich poortinrichtingen 11,12. 25 De poortinrichtingen maken elk bijvoorkeur deel uit van een inrichting die ook andere veiligheidstaken heeft, zoals het effectueren van een firewall e.d. In gebruik worden in één of meer van de computers in domein 10 files opgeslagen. Die via de verbindingen vanuit alle computers in het domein gelezen kunnen worden. Deze files kunnen voorzien worden van "security-30 tags". In een HTML file zou de security-tag bijvoorbeeld kunnen worden i u c I ,1 i/ i.i 4 geïmplementeerd door toevoeging van een stuk tekst in de vorm van <SECURITY> </SECURITY>, eventueel aangevuld met parameters. Uiteraard kan de security-tag op allerlei andere wijzen uitgevoerd worden, bijvoorbeeld door toevoeging van andere soorten codes, of door het 5 aanbrengen van een watermerk in het file. Bij voorkeur is de computer ingericht om het file of het belangrijkste deel daarvan bij het aanbrengen van het security-tag ook automatisch te encrypten. Zodoende wordt een extra beveiliging gerealiseerd.
Wanneer een file vanuit een computer in het domein via één van de 10 communicatiekanalen naar één van de externe aansluitingen 14a, 16a verstuurd wordt gebeurt dit via poortinrichting 11 of 12. De desbetreffende poortinrichting 11,12 controleert het file op de aanwezigheid van de security-tag alvorens het file door te sturen naar de externe aansluiting 14a, 16a. Poortinrichting 11, 12 stuurt het file alleen door als het de security-tag 15 niet aantreft. Bijvoorkeur slaat poortinrichting 11, 12 daarnaast gegevens over de verzending van het file op in een log file, tenminste als de verzending is tegengehouden. Dit stelt de systeembeheerder in staat later op overtredingen te controleren.
Figuur 2 toont een uitvoeringsvorm van een poortinrichting 11 in meer 20 detail. De poortinrichting 11 bevat een eerste transceiver 20 voor het lokale deel van het communicatiekanaal 14b, een tweede transceiver 22 voor de externe aansluiting 14a, een geheugen 24 en een tag detector 26. Transceivers 20, 22 zijn aan geheugen 24 gekoppeld. Detector 26 heeft een ingang gekoppeld aan eerste transceiver 20 voor het lokale deel van het 25 communicatiekanaal 14b en een uitgang gekoppeld aan tweede transceiver 22 voor de externe aansluiting 14a.
In bedrijf ontvangt eerste transceiver 20 boodschappen van het lokale deel van het communicatiekanaal 14b en slaat deze boodschappen tijdelijk op in geheugen 24. Detector 26 onderzoekt de inhoud van de boodschap op 30 aanwezigheid van een file met daarin een security-tag en stuurt, afhankelijk 1U2 *300 5 van een resultaat van dat onderzoek, een commando naar tweede transceiver 22. Wanneer het commando ertoe strekt om de boodschap door te laten leest tweede transceiver 22 de boodschap uit geheugen 24 en verstuurt de boodschap naar externe aansluiting 14a. Wanneer de 5 boodschap niet doorgestuurd wordt, wordt de boodschap uit geheugen 24 verwijderd bijvoorbeeld door deze met een latere boodschap te overschrijden zonder dat de boodschap is doorgestuurd.
De computers in domein 10 zijn ingericht om de betrokken files zonder controle op de security-tag op alle computers in domein te lezen of te 10 kopiëren. Zodoende is het mogelijk in domein 10 op willekeurige plaatsen files op te slaan en te kopiëren, maar wordt ongewenst of per ongeluk versturen naar externe aansluitingen 14a,b buiten het domein onmogelijk j gemaakt.
j Zonder van het principe van de uitvinding af te wijken zijn uiteraard allerlei 15 andere uitvoeringsvormen mogelijk. Zo kan poortinrichting 11,12 bijvoorbeeld het file juist niet doorsturen als géén security-tag aanwezig is. j Daardoor kan een gebruiker er bewust voor kiezen een file tegen versturen te beschermen.
Als onderdeel van de beveiliging kan een tamper beveiliging opgenomen 20 worden, zoals bijvoorbeeld een met een private key versleutelde code, die met een public key ontsleuteld kan worden en die een getal bevat dat een functie is van de inhoud van het file inclusief security-tag. Alvorens het file te verzenden kan de poortinrichting dan de code opnieuw berekenen aan de hand van het file en vergelijken met de code die door public key 25 ontsleuteling uit het file volgt. Zodoende wordt voorkomen dat de security-tag kan worden gewijzigd. Ook kan het tag als een watermerk in bepaalde soorten files worden opgenomen.
Verder kan poortinrichting 11, 12, in plaats van het file niet te versturen, het file versleutelen alvorens het te versturen, wanneer de security-tag 30 aangeeft dat vrij versturen niet is toegestaan. Desgewenst kan zelfs met 6 parameters in het security-tag worden aangegeven welke behandeling (bijvoorbeeld niet versturen of versleuteld versturen) het file bij het passeren van poortinrichting 11, 12 moet ondergaan.
J 021 3OÖ

Claims (5)

1. Een computer systeem, voorzien van - een lokaal netwerkdomein van communicerende computers; - een aansluiting voor communicatie met een extern netwerk; - een poortinrichting gekoppeld tussen het lokale netwerk en de aansluiting, 5 welke poortinrichting is ingericht om files die vanuit het lokale netwerk verzonden worden naar de aansluiting erop te controleren dat zij een security-tag bevatten, en om al dan niet doorzenden van elk file naar de aansluiting te besturen afhankelijk van detectie van de aan- of afwezigheid van de security-tag in het file.
2. Een computer systeem volgens conclusie 1, waarin de poortinrichting is ingericht om doorzenden van het file te blokkeren als de security-tag in het file aanwezig is.
3. Een computer systeem volgens conclusie 1 of 2, waarin de communicerende computers zijn ingericht om bij het aanbrengen van de 15 security-tag een substantieel deel van het file te encrypten.
4. Een poortinrichting met een koppeling voor aansluiting van een lokaal netwerk en een aansluiting voor een extern netwerk, welke poortininrichting is ingericht om files die vanuit het lokale netwerk verzonden worden naar de aansluiting erop te controleren of zij een 20 security-tag bevatten, en om al dan niet doorzenden van elk file naar de aansluiting te besturen afhankelijk van detectie van de aan- of afwezigheid van de security-tag in het file.
5. Een werkwijze voor het beveiligen van informatietransport van een lokaal netwerk naar een extern netwerk, welke werkwijze de stappen omvat 25 van - aanbrengen van een security-tag in geselecteerde files; *-r : *· ' * y . r - onderzoeken van files die door een poortinrichting van het lokale netwerk naar het externe netwerk verzonden worden op aanwezigheid van de security-tags; - het blokkeren of doorzenden van die files waarin een security-tag aanwezig 5 is. ! 1021300
NL1021300A 2002-08-19 2002-08-19 Beveiliging van computernetwerk. NL1021300C2 (nl)

Priority Applications (5)

Application Number Priority Date Filing Date Title
NL1021300A NL1021300C2 (nl) 2002-08-19 2002-08-19 Beveiliging van computernetwerk.
EP03788180.2A EP1530862B1 (en) 2002-08-19 2003-08-15 Computer network protection
AU2003257736A AU2003257736A1 (en) 2002-08-19 2003-08-15 Computer network protection
US10/524,725 US7788481B2 (en) 2002-08-19 2003-08-15 Computer network protection
PCT/NL2003/000585 WO2004017599A1 (en) 2002-08-19 2003-08-15 Computer network protection

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1021300A NL1021300C2 (nl) 2002-08-19 2002-08-19 Beveiliging van computernetwerk.
NL1021300 2002-08-19

Publications (1)

Publication Number Publication Date
NL1021300C2 true NL1021300C2 (nl) 2004-03-01

Family

ID=31885134

Family Applications (1)

Application Number Title Priority Date Filing Date
NL1021300A NL1021300C2 (nl) 2002-08-19 2002-08-19 Beveiliging van computernetwerk.

Country Status (5)

Country Link
US (1) US7788481B2 (nl)
EP (1) EP1530862B1 (nl)
AU (1) AU2003257736A1 (nl)
NL (1) NL1021300C2 (nl)
WO (1) WO2004017599A1 (nl)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US20090137322A1 (en) * 2007-11-28 2009-05-28 International Business Machines Corporation Method for storing data associated with a video game
US10552701B2 (en) * 2008-02-01 2020-02-04 Oath Inc. System and method for detecting the source of media content with application to business rules
US20090307140A1 (en) * 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
US8862767B2 (en) 2011-09-02 2014-10-14 Ebay Inc. Secure elements broker (SEB) for application communication channel selector optimization

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020016922A1 (en) * 2000-02-22 2002-02-07 Richards Kenneth W. Secure distributing services network system and method thereof
US20020112015A1 (en) * 1999-03-02 2002-08-15 International Business Machines Corporation Selective security encryption of electronic communication for selected recipients

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5594796A (en) * 1994-10-05 1997-01-14 Motorola, Inc. Method and apparatus for detecting unauthorized distribution of data
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US7130831B2 (en) * 1999-02-08 2006-10-31 Copyright Clearance Center, Inc. Limited-use browser and security system
US6271756B1 (en) * 1999-12-27 2001-08-07 Checkpoint Systems, Inc. Security tag detection and localization system
US20030079158A1 (en) * 2001-10-23 2003-04-24 Tower James Brian Secured digital systems and a method and software for operating the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020112015A1 (en) * 1999-03-02 2002-08-15 International Business Machines Corporation Selective security encryption of electronic communication for selected recipients
US20020016922A1 (en) * 2000-02-22 2002-02-07 Richards Kenneth W. Secure distributing services network system and method thereof

Also Published As

Publication number Publication date
EP1530862B1 (en) 2018-02-21
US7788481B2 (en) 2010-08-31
AU2003257736A1 (en) 2004-03-03
EP1530862A1 (en) 2005-05-18
US20060253774A1 (en) 2006-11-09
WO2004017599A1 (en) 2004-02-26

Similar Documents

Publication Publication Date Title
US7788235B1 (en) Extrusion detection using taint analysis
US8127366B2 (en) Method and apparatus for transitioning between states of security policies used to secure electronic documents
CN1756147B (zh) 通过边缘电子邮件服务器实施权限管理
US7010681B1 (en) Method, system and apparatus for selecting encryption levels based on policy profiling
US8327138B2 (en) Method and system for securing digital assets using process-driven security policies
JP4622811B2 (ja) 電子文書の真正性保証システム
US6721424B1 (en) Hostage system and method for intercepting encryted hostile data
US20100268959A1 (en) Verifying Captured Objects Before Presentation
US20070101124A1 (en) Secure provisioning of digital content
US20050223414A1 (en) Method and system for providing cryptographic document retention with off-line access
GB2398712A (en) Privacy Management of Personal Data using Identifier Based Encryption (IBE)
JPH11237969A (ja) ファイル印刷方法、ネットワーク・システム、コンピュータ・システム、ファイル・サーバ及びプリント・サーバ
JPH07509086A (ja) ワークステーション用の信用化されたパスサブシステム
WO2014085218A1 (en) System for protecting and authorizing access to data
US20050025291A1 (en) Method and system for information distribution management
US6847719B1 (en) Limiting receiver access to secure read-only communications over a network by preventing access to source-formatted plaintext
NL1021300C2 (nl) Beveiliging van computernetwerk.
CN1655502B (zh) 一种保证电子文件安全的方法
Nguyen et al. Leveraging blockchain to enhance data privacy in IoT-based applications
Garad et al. SECURING FILE STORAGE IN CLOUD USING HYBRID CRYPTOGRAPHY
US20020108061A1 (en) Methods of communication
Gupta et al. DWSA: a secure data warehouse architecture for encrypting data using AES and OTP encryption technique
Islam et al. An approach to security for unstructured big data
Dauch et al. Information assurance using a defense in-depth strategy
Jagtap et al. Hybrid Cryptography Algorithm Based Secured Storage Android App

Legal Events

Date Code Title Description
PD2B A search report has been drawn up
MM Lapsed because of non-payment of the annual fee

Effective date: 20180901