TW200935848A - Selectively loading security enforcement points with security association information - Google Patents
Selectively loading security enforcement points with security association information Download PDFInfo
- Publication number
- TW200935848A TW200935848A TW097141307A TW97141307A TW200935848A TW 200935848 A TW200935848 A TW 200935848A TW 097141307 A TW097141307 A TW 097141307A TW 97141307 A TW97141307 A TW 97141307A TW 200935848 A TW200935848 A TW 200935848A
- Authority
- TW
- Taiwan
- Prior art keywords
- security
- security association
- information
- encrypted data
- data packet
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
200935848 九、發明說明: 【相關申請案之相互參照】 本申請案係關於美國申請案第11/953,033號,於2〇〇7年 12月8曰提出申請,律師文件第RSW92〇〇7〇375Usi號,枳 題為「多方通訊中資料的動態選擇性混淆」,及美國申讀;案$ 11/738,500號,於2007年4月22曰提出申請律師文 RSW920070058US1號,標題為「於已加密端對端通訊路 Ο ❹ 全Ϊ行點檢視」’其與本中請案皆讓渡^目 rj又讓人且其整體之教示於此引用載入本文。 【發明所屬之技術領域】 本發明係’内容網路安全之領域,特別是 點進行處理錢瓣財已加㈣料。 h執仃 【先前技術】 網際轉安全已也域為參與全__ 關猶狀謂雜騎 止業中許多電腦及小型電腦網路可持 =而持、,高速之存取有其代價。特別是際: ^王風險控官之電腦及電酬路,現今已自 = 毒之頭號標的。 網際網路病 堂ηϋϊΐ職置接觸全球網際網路之軸生,資珊風突 曰私供真貫之端對端安全 ^科子豕 「逋此取得網際網路 200935848 =。網際祕安全通訊齡,其已知財技術領域為, ,表,際祕使狀安全倾職鄉式。麵際網路安全 λ協疋中’可與安全關聯(SA) 一致而管理透過網 細的地節點間之通訊。安全關聯界定= 齡之處理如域用至觀。崎·安全通訊協定 乃界疋於 Request for Comment (RFQ24(n, 之RFC4301所替代》 、他 ❿ 界定於二網際網路安全通訊協以正㈣端點間之安全 =祕㈣常結合-或多個安全執行點(SEp)如防火牆 ^亍點通常位於崎網路安全軌齡之安全性通訊辭 中’且不執行網際網路安全通訊協定安全關聯處理。= n於安紐通瓣㈣技全執行職無法機向網際網 路t全通訊協定安全_檢視已加㈣料。因此,位於安全性 網際網路安全通訊财之安純概,其安 1因//安全魏料躲未加紅败㈣ a a) ; 7 n財遍不提供安全執行雜何加密演算法或 =金^訊(session key infonnati〇n),使安全執行點可 執行其功能。 【發明内容】 6 ❹ ❹ 200935848 包。此方法進-步包含決定解密至少—已加密資料封包之安全 關聯資訊無練安全執行狀本區存在。發賴至少—已 之ίΐΜ資訊畴求至賴金餘飼服 ^夕已加达資料封包相關之安全關聯資訊係接收自通 訊網路金鑰伺服器。 提供另一種方法以選娜地將安全關聯 =)㈣載入安全執行.點(SEP),崎安全的端對端通訊路徑 檢=已加雜料。此方法包含具備安全關聯(SA)之金鋪服器 以提供介於端闕—或多個騎端之安全軌職。此方法進 :步包利用安全關聯提供第二端點之端對端安全通訊路 仅以收與來自第一端點之安全關聯相關之安全關聯資訊。 安全關聯資職存於記_。此方法進—步包含決定至少一安 ί執行贿全獅登錄—絲技。魏安全Μ資訊到 至少一安全執行點。 $另—實施·露在安全的端對端通 料之網紅件。網路元件包含通_合至記憶體之^ 網路元件進-步包含通訊耗合至記憶體及處理 器之貝枓〜置官理器。調整資料流量處理器以接收至少 密資料封包。進—步機資料流量管理ϋ以判定解密至少一已 加密資料封包之安全咖(SA)資訊無法存在於安全執 送與至少—已加密_包㈣之安全關聯資 _s月求至通_路金餘伺服器。與至少-已域資料封包相 7 200935848 關之女全關聯資訊係接收自取得安全關聯之通訊網路金鍮伺 服器。 在另一實施例中’提供電腦儲存程式產品以選擇性地將安 全關聯(SA)資訊載入通訊網路安全執行點(SEp),以於安全的 端對端通訊路徑檢視已加密資料。電腦儲存程式產品包含用於 接收至少一已加密資料封包之指令。電腦程式產品進一步包含 ❹ 指令以決定用於解密至少-已加密資料封包之安全關聯資訊 無法於安全執行點本區存在。發送與至少一已加密資料封包相 關之女全關聯資訊的請求至通訊網路金瑜伺服器。與至少一已 加密資料封包相關之安全關聯資訊係接收自通訊網路金 服器。 本發明各種實施例之一優勢為,安全執行點(SEp)可於安 王的%對端通訊路控檢視橫向已加密資料。換言之,安全執行 •點可解密並檢視通過實施點之流量,致使安全服務如(但不限 於)ip封包過滤、續侧、載好衡魏務品質(⑽)設定可 應用於明文(已解禮)封包負載咖成贫payi〇ad)。例如,棄置於 安全通訊路徑(如界定於網際網路安全通訊協S(lpsec)端點間) 内之安全執行點可與金鑰伺服器建立安全性已加密程序 (session)。 -旦建立安錄已加餘序,可麵提財全執行點(sEp) 斤而之安全關聯(SA)資訊比例’其用以執行網際網路安全通訊 200935848 協疋(IPsec)去封裝(decapsulation)。而後,安全執行點可安裝已 接收之網際網路安全通訊協定安全關聯(IPsec SA),將來自相 對應網際網路安全通訊協定端點之橫向資料解密為明文,以執 行由安全執行點提供之一或多個安全功能,即使安全實施仍屬 建立於網際網路安全通訊協定端點間之安全性通訊路徑。另一 優勢為不需預配(preconfigured)之區域網路拓璞知識,且安全 關聯分布僅限於已於安全關聯或安全關聯家族展現明確意思 Q 表示之安全執行點。 【實施方式】 在此揭露本發明之詳述實施例如要求;然而,需了解揭露 之實施例僅為本侧之制,其可於不同形式實;^因此,在 此揭露之較結構性及功紐敘料欲觸為關,乃僅為申 ^利細之基礎,且為代表性基礎讀示本技觸域之且有 =吊知識者於任何適當詳述之結構及功能廣泛運用本發明。再 0發明糊及詞語不欲加以限制;反之,乃提供可了解本 此處使用之用詞「a」或ran」乃界定為 者一用詞二二 放注n❹者。賴包含及/或具有乃界定為涵括(即開 不:ΐ。用她合乃界定為連接,但不蚊為絲連接,且 詞乃界定為設計,腦系丄軟之=== 200935848 式或軟體應用程式可包含次常式(subroutine)、功能、程序、目 標方法、目標實施、可執行應用程式、小型應用程式(applet)、 伺服小型應用程式(servlet)、來源碼、目標碼、共享程式庫/動 態載量程式庫及/或其他設計以於電腦系統執行之指令序列。 ❹ ❹ 次圖1為方塊圖,繪示網路資料處理系統1〇〇之一範例,網 路貝料處理系統1〇〇供安全執行點(SEp)於安全的端對端通訊 路徑檢視已加密資料使用。用以建立安全的端對端通訊路徑之 通訊協定為上叙網關路安全通訊龄(IPsee)。然而,應注 意本發_可應胳無網路域料如(但不限於)SSH及 SSL/TLS。在網際網路安全通訊協定中,可與安全關聯(sa)一 致而管理透過網際_通瓣徑,介於來源及目的地節點間之 通訊。安全關聯乃界定網際網路安全通訊協定之過程如何應用 f通訊。網_路安全雜協定,其在此储參照加以結合於 整體,乃界定於其他註解請求中由咖備替代之脱讀。 〜網際=路安全通訊協定(IPsec)中,安全政策資料庫(spD) 中女全規範配對封包之屬性乃決定是否由網際網路安全通訊 ,定處,過程拒絕或允許他之傳送。域姐決定,安全政 朿之靜纽範騎紐範雜商為鱗金較鄉项之一邱 照2註解請求2概安全關聯(SA)之此各個規範可隸 ^於舍达及接收封包之最特定乃至最不特定屬性要求下之過 遽搜尋。安全規範t封包屬性之萄可基於賴_(其參與 200935848 安全性通訊)之來源及目的地位址。 網際網路安全通訊協定(IPsec)利用兩階段途徑以建立安 全關聯(SA)。安全關聯係兩端點間同意於兩端應用認證及/或 加岔技術,藉此創造兩端點間之安全性通路。網際網路安全通 訊協定連接之第一階段期間,建立安全關聯以提供安全性通 路,藉此可協商第二階段安全關聯。於第二階段_協商保護 資料流量之安全關聯。 特別是,圖1顯示一或多個客戶電腦裝置1〇2、1〇4、1〇6 經由電腦通訊網路110通訊耦合至伺服器1〇8。各個客戶電腦 裝置102、104、106可為桌上型_、筆記型電腦、行動電話、 手提電腦裝置、舰H或其他類似之細裝置。可配置各個客 戶電腦裝置102、104、106與伺服器108取得端對端之安全性 通訊,例如經由建立一利用網際網路安全通訊(Ip㈣之vpN 通路。因此,安全性伺服器112可耦合至各個客 〇 ⑽、m、,並能代表客戶電腦裝置1〇2、ι〇4、ι〇6 _ 服器108建立VPN通路。 ' -或多個安全執行·點(SEP)116、118可於端對端之安全性 通訊路徑中通訊耦合至伺服器1〇8。可配置安全 =以執行數個安全功能之任—者,魏範圍由封包過爐及入 知偵測乃至載量平衡及服務品質(QgS)管理。值雜意的是, 如圖1所示,各個安全執行點116、118可通訊耗合^餘飼 11 200935848 服器120接著金餘飼服器120可通訊搞合至飼服器i〇8。因 此’在-實施财’金_縣12〇可_對端_之安全性 通訊路徑(其由安全性伺服器112與通訊伺服器1〇8建立)之 安全關聯(SA)122之察覺。應注意並不要求串聯安全執行點 下列為概覽’關於安全執行點(SEP)i 16、U8如何能於安 ❹ 王的端對端通讯路徑檢視橫向之已加密資料。在一實施例中, 可於客戶電腦裝置102、1〇4、106及伺服器108間建立端對端 之安全性通訊路徑。建立端對端之安全性通訊路徑過程中,安 ^性伺服$ 108之瓣金敝財駐財(ΙΚ£ daemQn)可提供 端對端之安全性通訊路徑之網際網路安全通訊協定安全關聯 (IPsec SA)至金鑰伺服器ι2〇β在一實施例中,為伺服器1〇8 載入安全關聯至TCP/IP堆疊(如此則取得端對端之安全性通 訊路徑)之前,可由金錄伺服器120經由持久之安全性連結(如 介於各個安全執行點116、118及金鑰伺服器120間之vp^通 路)¼供戈全關聯至各個安全執行點116、us。以下將更深入 討論此實施例。 最終’金鑰伺服器120可通知伺服器1〇8且伺服器電腦裝 置=8可載入安全關聯(SA)至其Tcp/Ip堆疊。然而,應注意 的是’若立即於端點安裝安全關聯,某些已加密封包於安全執 了,116、118可能無法為可解密,因安全執行點116、118 可能尚未具有已協商之安全關聯。在此條件下,可配置安全執 12 200935848 仃點116 118為捨棄已接收封包或令封包離開而未受到檢視。 ^明文負載124可轉換為已加密負載126並經由端對 可解日軌路轉送至舰器,在此已加密負載128 二文。介於各個安全執行點(SEP) 116、118之間,可 之載128解密,以透過安全關聯122(其用於端對端 性通贿徑)提供之知識,執行關聯安全魏。因此, =到捨棄之安全執行點116、118可於已解密明文執行安 功月b而不需知道客戶電腦裝置102、104、106,且客戶電腦 ,置102、1〇4、1〇6或伺服器⑽不需知道安全執行點ιΐ6、 118 〇 ^列詳述㈣於獅性地將安全m(sa)資訊載入安全 =點(SEP),致使安全執行點於安全的端對端通訊路徑檢視
如圖6所示之安全關耳_資訊可於金鋪 服器120 |錄。女全執行點116與金翻服_ 12〇建立程序, 致,當安全執行點116接收流量(其傳輸乃經由兩端點間特定 之安全關聯如安錄触^ 112及舰_ ω8)時,安全執行 點116可存取安全關聯資訊以解密封包。 特別是,本發明之不同實施例利用持久之已加密程 於女全執行點(SEP)ll6、uS及金錄飼服器⑽間存在)交換介 於安全執行點及金鑰做H 12〇狀訊息組。訊敍換允許^ 200935848 全執行點116、118獲得所需之安全關聯(SA)資訊,以解密透 過此安全關聯進行通訊之流量。訊息交換可發生於不同條件如 (但不限於):1·當安全執行點具有其未辨識之網際網路安全通 訊協定(IPsec,AH或ESP)安全關聯;2.當新的網際網路安全 通訊協定(AH或ESP)安全關聯於安全執行點已察覺之主要交 換安全關聯(IKE SA)下協商;及3.當安全執行點辨識新的網路 金餘交換安全關聯正被使用或被協商。網路金鑰交換係使用網 ❹ 際網路通訊協定以設定安全關聯之網路金錄交換通訊協定。 圖2顯示選擇性地將安全關聯資訊載入一或多個安全執 行點(SEP)以處理經由安全的端對端通訊路徑進行通訊之已加 岔流量之一範例。特別是,圖2顯示嘗試經由安全的端對端通 訊路徑與彼此進行通訊之已知網際網路安全通訊協定(IPsec) 端點212及遠端網際網路安全通訊協定端點2〇8。應注意的 是’圖2中已於端點212及208間建立網際網路安全通訊協定 階段1程序或網路金鑰交換安全關聯(IKE SA),且於已知網際 Ο 網路安全通訊協定端點212及金錄伺服器220間已設定已加密 程序。亦假定已於安全執行點216間,例如經由傳送層保全 (transport layer security, TLS)程序及上述金鑰伺服器220,建立 持續安全程序。因此,圖2中端對端之安全性通訊路徑不僅介 於網際網路安全通訊協定端點212、208間存在,亦分別存在 於安全執行點216及金鑰伺服器220。 在一實施例中’金錄伺服器220包含安全關聯(sa)管理器 200935848 230及-貝料庫232(其包含安全關聯程序相關之資訊記錄234)。 例如,圖6顯示一範例,關於由資料庫232所維護之安全關聯 資訊記錄234形式。-實施例中,一旦成功協商新的安全關聯 時網際網路安全通訊協定(IPsec)端點212、2〇8便發送資訊至 金鑰伺服器22G。接著金綱服器22〇於其資料庫232儲存資 訊以供未來參考。自端點犯、傳送至金綸祠服器22〇之 資訊了包含主要金输(primajy key)636,其包含端點仍、 I-C〇〇kie、R-Cookie及網際網路安全通訊協定安全關聯群組ι〇 資訊。端點ID獨特辨別傳送安全關聯資訊之端點。ic〇〇kie(啟 始器)及rCookie(回應者)乃由各個端點212、208指定至端點位 於階段1安全關聯終點之值。如此則允許階段2安全關聯被協 商並獨特辨別階段1安全關聯。網際網路安全通訊協定安全關 聯群組ID範圍僅存在於階段2安全關聯且辨別與特定端點相 關之現有安全關聯群組。 ” 安全關聯(SA)資訊記錄234亦包含維護以用於所有安全 Φ 關聯之輔助資料638。輔助資料638可包含(但不限於)如安全 關聯產生時間、安全關聯存在時間、安全關聯存在大小、安全 關聯本區安全IP位址、安全關聯遠端安全Ip位址安全關聯 即時ID及安全關聯形式資訊。亦維護階段1安全關聯資訊64〇 以用於各個安全關聯◊階段丨資訊64〇可包含(但不限於)如網 路金錄交換(IKE)通路ID、UDP Encap埠、本區ID形式、本 區ID長度、遠端Π)形式、遠端ip長度、本區辨別器及遠端 辨別器資訊。安全關聯資訊記錄234亦包含於某些範圍加入階 15 200935848 段2安全關聯資訊642。 階段2安全關聯(SA)資訊642可包含(但不限於)網際網路 安全通訊協定(IPsec)通路ID、來源資料ip位址、目的地資料 IP 位址(Source Data IP Address)、低來源埠(Source Port Low)、 南來源淳(Source Port Hi)、低目的地缚(Destination Port Low)、 高目的地燁(Destination Port Hi)、入站(inb〇und)認證表頭(AH) 安全參數指數(security parameter index,SPI)、出站(outbound) 認證表頭安全參數指數、入站封裝安全負載(ESp)安全參數指 數、出站封裝安全負載(ESP)安全參數指數、認證演算法、加 岔演算法、認證金錄長度、加密金鑰長度、認證對稱金錄、加 畨對話金鍮及為意思表示(interested)之安全執行點(§Ερ)清 單。包含於資料庫232中上述資訊之子集,包含(但不限於)辨 別器、已加密參數及金鑰’且發送認證參數及金錄至為意思表 示之安全執行點。如此則允許安全執行點解密通過之流量。此 過程將詳述於下。 ^回到圖2,安全執行點(SEP)216包含流量管理器244,其 =理並監視接收自雜之資料流量。在—實_巾,流量管理 包含安全關聯(SA)管理H m时析與資料流量相關之 女王關聯資料並與金錄伺服器220進行通訊。圖2之範例中 全,行點2Ϊ6自網際網路安全通訊協定(Ipsec)端點(如時間τι 網際網路安全通訊财端點細)接收資料流量。流量 S為244分析資料流量以決定其是否為網際網路安全通訊 16 200935848 協定流量。修,翁婦晴好通鳩料點可發 具認證認證_(AH)或城安全貞姉sp)之梅網路安全通 訊協定安全關聯至安全執行點216。圖2之範例中,流量管理 器244決定接收自遠端網際網路安全通訊協定端點2〇8之流量 乃為網際網路安全通訊協定流量。流量管理器2私 f安全通娜定流量中之資訊,如安全姻旨數(spi)|= 疋/—目的地IP位址資訊並決定其未察覺與此魏相關之網際網 ❹ 路安全通訊協定安全關聯。換言之,安全關聯管理器246不具 有必要資訊以解密特定的安全關聯之資料流量。 一旦安全執行點(SEP)216偵測其未察覺之安全關聯 (SA),便可允許流量(如資料封包)通過且未受檢視或捨棄封 包。安全執行點216可預配置以執行前述動作之一。圖2之範 例顯示安全執行點216於時間T2捨棄資料封包,如此則強迫 起始端點(如遠端網義料全舰龄(IPsee)端點2〇8)最後 將重新傳送封包。一旦流量管理器244捨棄資料封包或允許封 包通過且未嗳到檢視,安全關聯管理器246乃於時間T3詢問 金錄伺服器220 ’以決定金鑰伺服器22〇具有此特定的安全關 聯之安全關聯資訊。例如,在一實施例中,安全關聯管理器 246經由存在於安全執行點216及金鑰伺服器22〇間之已加密 程序發送「發現安全關聯」訊息(其包含安全參數指數(spi)/ 通訊協定/目的地IP位址資訊)至金鑰伺服器22〇。換言之,安 全執行點216於金鑰伺服器220登錄意思表示(imerest)或向金 鑰伺服器220訂閱以接收特定安全關聯之安全關聯資訊。如此 200935848 則允許安全執行點216動態地獲取解密網際網路安全通訊協 定資料封包所需之資訊。 若金鑰伺服器220包含此特定的安全關聯之資料庫232 中之安全關聯(SA)資訊,於金鑰伺服器220之安全關聯管理器 230自資料庫232解壓縮安全關聯資訊並於時間T4回送網際 網路安全通訊協定安全關聯(IPsec SA)内容至安全執行點 (SEP)216。金鑰伺服器220亦可根據其已配置之政策執行其他 功能。例如,金输伺服器220可回送網路金餘交換(ike)安全 關聯(於此協商網際網路安全通訊協定安全關聯)之 ICookie/rCookie。此有益於安全執行點216,因其他與網路金 餘父換女全關聯相關之流量未來可能通過安全執行點216。此 必然構成隱含之「安全關聯意思表示(interest)登錄」,其來自 與相關網路金鑰交換安全關聯相關之安全執行點216。 一旦金鑰伺服器220發生登錄,於相關網路金鑰交換(IKE) ® 安全關聯(SA)了協商之任何新的網際網路安全通訊協定(IPsec) 安全關聯乃自動傳送至安全執行點(SEp)216。在—實施例中, 位於金賴服器220之安全關聯管理器23〇管理麟護安全執 行點訂閱(subscript^)/登錄之安全關聯及任何相關安全關聯 意思表示(intereSt)。金輪飼服器220亦可回送網路金錄交換安 全,聯侧之财其他已知網_路安全軌龄安全關聯 之安王同時預期此等安全關所保護之資料亦將通 過安全歛杆點716。 ' 18 200935848 自金鑰伺服器220接收「發現安全關聯(3入)」回應訊息 時女王執行點(SEP)216於其本區資料庫248儲存安全關聯 内容249。自此時起,安全執行點216可利用安全關聯之金錄 以去封裝(de-capsulate)經由認證表頭(AH)或封裝安全負載 (ESP)安全關聯通過安全執行點216之任何資料流量。同樣 地,於其他安全關聯資訊之安全執行點本區資料庫248產生類 似輸入’其他安全關聯資訊係根據金鑰伺服器220已配置之政 策回送。 圖3顯示另一範例’關於選擇性地將安全關聯(SA)資訊載 入一或多個安全執行點(SEP)以處理經由安全的端掛踹诵 徑進行通訊之已加密流量。特別是,圖3顯示嘗試透過安^的 端對端通訊路徑(類似圖3)彼此進行通訊之已知網際網路安全 通訊協定(IPsec)端點312及遠端網際網路安全通訊協定端點 308。如圖3中,已於端點312、3〇8間建立網際網路安全通訊 協定階段1程序或網路金鑰交換(IKE)安全關聯,且於已知網 〇 際網路安全通訊協定端點312及金錄伺服器32〇間已設定已加 密程序。上述安全執行點316及金输伺服器32〇間之持續安全 程序亦存在於圖3令。 於時間T卜圖3巾之遠端網際網路安全通訊協定(Ip㈣ 端點308及已知網際網路安全通訊協定端點312,跨越已建立 之網路金鍮交換(IKE)安全關聯(如VPN觀)協商新的網際網 路安全通訊協定安全關聯(SA)。當協商完成,已知網際網路安 19 200935848 全通訊協定端點312於時間ή經由已加密程序發送「儲存安 全關聯」訊息(其包含新的安全參數指數(SPIy通訊協定/目的地 ip位址資訊、新的安全關聯内容及相關之icookie/rCookie資 訊)至金錄祠服器320。當接收此訊息,金鑰伺服器320之安 全關聯管理器330以上述格式(參見圖5)於金输飼服器32〇之 本區資料庫332儲存安全關聯。 0 金鑰伺服器之安全關聯(SA)管理器330亦分析其已登 錄意思表示(interest)/訂閱資訊以辨別將被選擇性地載入新安 全關聯資訊之任何安全執行點316。若安全關聯管理器33〇辨 別任何為意思表示之安全執行點316,安全關聯管理器wo於 時間T3發送「新的安全關聯」訊息至已登錄/用戶安全執行點 316、318。一實施例中,「新的安全關聯」訊息包含(但不限 於)新的安全參數指數(SPI)/通訊協定/目的地Ip位址資訊、新 的安全關聯内容及相關之ic〇〇kie、rC〇〇kie資訊。透過存在於 金餘伺服器320及安全執行點316間之已加密程序傳送資訊至 © 安全執行點316。 當接收訊息,安全執行點(SEP)316於其本區資料庫3佔 ,存安全關聯(SA)内容349。如此則允許安全執行點316利用 安全關聯之金鑰以去封裝(de_capsulate)經由特定網際網路安 訊協定(IPsec)安全關聯通過安全執行點316之任何資料 流1。換言之,圖3之範例中,於特定網際網路 安全關聯之安全執行點316接收資料流量之前,自金細= 20 200935848 320發送女全關聯資訊至為意思表示(interested)安全執行點 316 〇 圖4顯示又另一範例,關於選擇性地將安全關聯(SA)資訊 載入一或多個安全執行點(SEP)。特別是,圖4顯示當安全執 行點416偵測網路金鑰交換(IKE)訊息(其包含未辨識之
Initiator Cookie (iCookie)及未辨識之 Responder c〇〇kie (rCookie))時,選擇性地將安全關聯資訊載入安全執行點4i6 之方法。安全執行點416可偵測此等未辨識之c〇〇kie於新的 網路金鑰交換安全關聯協商期間或未辨識之網路金鑰交換安 全關聯下協商新的網際網路安全通訊協定安全關聯期間。當安 全執行點416偵測此等未辨識之c〇〇kie,其乃發送訊息至金餘 =服器420 ’指出其之安全關聯(由其ic〇〇kie/rC〇〇kie辨別)為 意思表示(interest)。接著金鑰伺服器42〇於其新的網路金瑜交 換安全關聯之本區資料庫432產生新的輸入,並將安全執行點 416加入對此安全關聯為意思表示之安全執行點清單中。自此 ❹ 開心建錄峨金敎換安全_下之任何新_際網路安 全通訊協定安全_乃自紐轉發至為意思麵之安全執行 例如’圖4顯示遠端網際網路安全11訊協定(ιρ㈣端點 爾或已知網際網路安全通訊協定端點412)於時間了〗盘已知 網際網路安全通訊協定端點發動階段丨贿。另 為,二網際網路安全通訊協定端點412、利用網路金餘= 200935848 換安全關聯(其未受到安全執行點416辨識,如未辨識之 iCookie/rCookie)交換網路金鑰交換(IKE)快速模式訊息作為階 段2協商之部分。安全執行點416之安全關聯管理器446偵 測新的網路金鑰交換安全關聯辨別器並自ISAKMp表頭解壓 縮iCookie及rCookie值。安全執行點416之安全關聯管理器 446於時間T2發送iCookie及rCookie值,於已加密程序以「安 全關聯意思表示(interest)登錄」訊息形式到達金鑰伺服器 420。接著安全執行點416轉發已接收之資料封包至目標網際 網路安全通訊協定端點。 當金錄飼服器420自安全執行點(SEp)416接收已登錄於 求’金餘飼服器於其新的無I政如给办她十人ΗΗττΜ ^_
448移除安全關聯 特別是,圖5顯示 圖5顯示上述過程(參見圖2)之變化。 22 200935848 圖2範例之特例’其由改變網路中之ip路由(r〇ming)而導致。 圖5中’經由網路之封包路由因任何理由而改變,致使新的安 全執行點(SEP)518動態地獲得正通過之安全關聯知識。如圖2 所示,安全執行點、安全執行點518 (於時間T1)突然遭遇未知 認證表頭(ΑΗ)或封裝安全負載(ESP)安全關聯之安全參數指數 (SPI)/通訊協定/目的地ip位址。如上述,必須選擇捨辛或允許 封包(於時間T2)’接著安全執行點518詢問金瑜伺服器是否^ 知未辨識之安全關聯(T3)。若安全關聯為金錄伺服器52〇所察 知飼服器520接者發送資§凡以取得安全關聯並亦可能發送關 於相關網路金鑰交換安全關聯及其他相關網際網路安全通訊 協定安全關聯之資訊。 ° 應注意除上述範例外’金鑰伺服器12〇亦可將網路金鑰交 換(IKE)再傳輸(其發生於網際網路安全通訊協定⑽的端點間) 之數量最小化。特別是,金餘伺服器12〇可有效地終止介於網 路金錄父換群組間之最後快速模式訊息交換,以確保安全執行 ❹.點(㈣⑽於資料流量通過安全關聯之前即具有網際網路安 全通訊協定安全關聯(SA)。在-實施例中,金鑰飼服器12〇於 回應來自網際網路安全通訊協定端點1〇8、U2之「儲存安全 關聯」訊息前,藉發送「新的安全關聯」訊息至安全執行二 116而完成此過程。注意金鑰飼服器12〇僅需等候發送至安全 執行點116之過程完成;而不需等候來自安全執行點116之回 應。當已知、網際網路安全通訊協定端點112為啟始器,此過程 於已知網際鱗安全通訊财端點發送快賴式訊息3至群 23 200935848 組前發生。當已知網際網路安全通訊協定端點Π2為回應者, 此過程於已知網際網路安全通訊協定端點U2發送快速模式 訊息j(利用確定位元支援時)或訊息、2(無確定位元支援時)至 群組前發生。 「本發明之下列實施例所示之優勢係為,安全執行點(卿) 可選擇性地載入安全關聯(SA)資訊以解密透過安全的端對端 ❹通訊路徑崎軌之資料封包。如此社許為意思表示 (masted)之安全執行轉得安全關聯資訊贿料料封包並 執订所需操作。另—優勢係為,僅為意思表示之安全執行點可 選擇性地載入安全關聯資訊。此可防止安全關聯資訊非必要地 ,放至不冑崎歡安全執行點,目此齡安全襲資訊之脆 處理節點之f各备丨 ^ 7乃根據本發明—實施例之方塊圖,其緣述更詳細資訊 f郎點700 ’如安全執行點(SEP)116或金鑰伺服器120。應 安全執行點116 ’亦適用於金_服器 120,但其個別元件則屬例外。 資訊處理節點包含電腦搬。電腦观具有處理器 7in、連接至主要§己憶體7〇6、大量儲存介面708、終端介面 及,路配接器硬體712。系統匯流排Μ互聯此等系統元 。大里儲存介© 7〇8肖於賴大量儲存裝置,如資料儲存裝 24 200935848 =靖訊處理系統700。資料儲存裝置之-特殊形式係
剛鶴狀斷_、_咖、非揮 發f D己隐體、光碟’其可用於儲存由⑶瓜或D ==之資料。資料儲存裝置之另-範例係配置以支援: ' ’如NTFS形式播案系統操作之資湘[存裝置。
在一實施例中,主要記憶體7〇6包含流量管理$ 2料 王關聯(SA)管理器246及安全關聯内容資料庫其包含安 =聯内容249)。雖然繪示為同時存在於主要記憶體、7〇6,且 =顯可見主要記憶體7G6之個別元件不需隨時或甚至同時間 %nm706十完全存在。在一實施例中,資訊處理節點 利用傳統虛擬定址機制以允許程式運作為可取得大量、單 一儲存體(此述乃電腦系統記憶體),而非取得多重 主要記紐7G6及資·存裝置716)。注意賴「電腦 ^統雜體」歧贱娜資喊理節點之所有虛擬記憶 體0
雖然緣示唯-CPU 7〇4於電腦7〇2,亦可有效地使用具有 八重CPU之電腦系統。本發明之不同實施例進一步結合各個 介面’其包含分離、完全程式化微處理器(其用於〇1^04之 ^載處理)。終端介面7則於接連接—或多個終端72〇至 電腦702以提供使用者介面至電腦7〇2。此等終 智慧或完辣式彳tx·作站,乃驗允許纟統;I;理者及使用者以 資訊處理節點700進行通訊。終端720亦可包含連接至電腦 25 200935848 面、ίιΓ裝硬體(其包含於具有視訊配接器及鍵盤介 介面及曰週^裝置Γ他打/介面之終齡面71G)控制之使用者 操作要記憶體之操作系統(未圖示)係最適多重任務 ❹ 备、心μ 先本發明之不同實施例可使用任何其他 之牟槿a 5。本發明之某些實施例利用如目標導向架構機制 許操作系統(未圖示)树指令執行於任何未位於 :處理節點700中之處理器。網路配接器硬體712乃用於提 供^至鱗㈣。本發明之砰實補可賴與任何資料通 ^連結(包含現今幾何及/或數位科技或透過未來網路機制)工 雖然本發社實施麟述於完全魏化細祕之脈絡 J ’本技術領域之具有通常知識者可察知,不同實施例可透過 D或DVD如CD 718、CD ROM或其他形式之可讀媒介或透 過任何形式之電子傳送機制而散佈。通常’電腦儲存程式產品 係指稱記憶體裝置及/或儲存裝置及/或電腦可讀媒介中提供之 —程式,其包含可為程式一部分之變數及資料結構。 點檢視已加密資料之撫作湳稆 圖8乃操作流程圖’繪述安全執行點(SEp)於安全的端對 端通訊路徑檢視已加密資料之過程。圖8之操作流程圖開始於 26 200935848 步驟802並直接進入步驟804。步驟8〇4之網際網路安全通訊 協定安全獅(IPsee SA)可於另—崎鱗安全軌協定端點 108之VPNit路設定_ ’自崎轉安全舰财端點ιΐ2 於金個服器120接收。於步驟8〇6,可於端對端之安全性通 訊路控辨別第-立特紅安全執行點。—旦&觸安全執行 點116 ’女全執行,點118於步驟_可與金錄飼服$ 12〇建立 (若未被建立)持續安全程序,如透過傳送層保全(transp〇rt咖 ❹ security,TLS)程序’致使端對端之安全性通訊路徑不僅存在於 網際網路安全通訊協定端點108、112間,亦分別存在於安全 執行點116及金鑰伺服器12〇。 於步驟810,網際網路安全訊協定端點1〇8、112間端對 端安全性通訊路徑之網際網路安全通訊協定安全關聯呀咖 SA)可跨越介於金餘飼服器12〇及安全執行點ιΐ6間分離之 端對端安錄軌路錄做安純行邮卵16。接著於步 驟812 ’若中介於網際網路安全通訊協定端點108、112之額 外女全執行點仍被處理,於步驟814可存取次一安全執行點且 f複於步驟808起始之過程。當中介於網際網路安全通訊協定 端點108、112仍無安全執行點被處理,於步驟816可指定網 全通訊協定端點112至完成安全_之安裝於端對 :王性軌路徑’且安全執行點116可於已加密資料(其因 2於網際網路安全通訊協定端點安全_之對話金鑰知識 a送於網際網路安全通訊協定端點1〇8、112間)執行安全 能0 27 200935848 另一種途徑為,鑑於提供至安全執行點(SEP)l 16之安全 關聯(SA)可包含解密金瑜致使安全執行點ία存取於橫向安 全執行點116之已加密資料中明文,可保留程序認證金输。此 觀點中’藉由保留程序認證金錄’本質上自已加密資料(其提 供至安全執行點116)解密之明文有效地不需程序認證金鑰而 「僅進行讀取」,安全執行點116缺乏認證以轉換明文内容。 相反地,程序認證金鑰可提供至安全執行點116以允許轉換明 文,包含刪除或封鎖明文之已選擇部份。接著控制流程於步驟 818離開。 邊擇性地將安免腿里資訊載入安全教矸黜之撫作湳鞀 ▲圖9至11乃操作流程圖,繪述選擇性地將安全關聯(sa) 資喊入安全執行‘點(SEP)之不同過程。圖9之操作流糊起 於步驟902並直接進入步驟9〇4。於步驟9⑽端點節點⑴ f送資料至安全執行點116。於步驟9G6,安全執行點116分 聽。於步驟_,安全執行點116決定已接收之封包 Ϊ際轉安全通訊協定(ΙΡ_封包。若決定之結果為 乃於步驟91G糊。若決定之結果為是,安全執 安丁全_資訊== 接獲:際網路安全通訊協定封包之 乂 女王執行.點116執行其不同操作如侵入伯測。接著 28 200935848 控制流程於步驟918離開。若決定之結果為否,安全執行點 =步!920捨棄封包或允許封包通過而未受到檢視。:步 Γ全執行點116發送請求至一或多個金输飼服器120 二且彔/、已接收封包相關安全關聯内容之意思表示 。於步驟似,錢錬器12G分㈣資料庫232。 驟926,金_服器12G決定其本區是否具有網際網 路女全通訊協定封包之安全關聯内容。
若決疋之結果為否’金鑰伺服器12〇於步驟928通知安全 執行點卿>)116 ’其不具有取得纟崎娜安全軌協定(ιρ㈣ 封包之安全關聯(SA)内容。接著控制流程於步驟93〇離開。若 決定之結果為是,金綱服器12〇於步驟932發送安全關聯資 =安全執行點m。在步驟934,安全執行點116於本區儲 子貝況°如_鱗安全執行點解密任何後續封包(其與最初 接收到網際_安全通罐定聽之安全關聯糊)。接著控 制流程於步驟936離開。
圖1〇乃另一操作流程圖’繪述選擇性地將安全關聯(SA) 資訊載入安全執行點(SEP)之另—過程。圖1G之猶流程圖起 始於步驟1002並直接進入步驟1004。於步驟1〇〇4,端點 112、108經由現有之已建立網路金鑰交換(職)安全關聯協商 新的網際網路安全通訊協桃Psee)安全關聯。當協商完成,步 驟1006端點之一者於發送安全關聯資訊至金錄飼服器⑽以 供儲存。於步驟麵,金錄伺服器12〇接收安全關聯資訊。 29 200935848 於步驟1010 ’金鑰伺服器120於資料庫儲存安全關聯資訊。 於步驟1012,金鑰伺服器120分析其資料庫232以辨別新儲 存之安全關聯中’具有已登錄意思表示(interest)之任何安全執 行點 116、118。 於步驟1014 ’金餘伺服器12〇發送安全關聯(SA)資訊至 已辨別安全執行點(SEP)116、118。於步驟1〇16,安全執行點 ❹ U6、118利用安全關聯資訊以解密已加密網際網路安全通訊 協定(IPsec)封包及於已解密封包執行内部操作。接著控制流程 於步驟1020離開。 ” 圖11乃另一操作流程圖,繪述選擇性地將安全關聯(SA) 載有安全執行點(SEP)之再另一過程。圖u之操作流程圖起始 於步驟1102 ϋ直接it入步驟1104。於步驟1104網際網路安 全通訊協定(IPsec)端點108、112利用安全執行點116未辨識 之安全關聯’透過安全執行點116傳送資料。於步驟安 ❹ 全執行點m自贿網路安全祕蚊封包 ic〇〇kie及rCookie值。於步驟謂安全執行點ιΐ6產生包J ,少Cookie及rC〇〇kie值之安全關聯登錄請求。於步驟111〇 安全執行點116發送安全關聯登錄請纽—衫個金錄祠服 ,12〇。安全執行·點116於步驟1112轉發已接收之網際網路 女全通訊協定封包至其目的地端點。於步驟1U4金输伺服器 12〇在其資料庫232中產生安全關聯輸入以取得安全執行點 ⑽所辨別之安全關聯。於步驟1116金鑰伺服器12〇登錄意 30 200935848 思表示(interest) ’以取得位於任何安全關聯(其與安全執行點 116所辨別之網路金鑰交換(IKE)安全關聯相關)之安全執行 點。接著控制流程於步驟1118離開。 非限制範例 本發明可於硬體、軟體或硬軟體結合之層面實現。根據本 發明一實施例,可於電腦系統之集中化方式或不同元件分布於 ❹ 數個互聯電腦系統之分散方式實現一系統。任何種類之電腦系 統-或調整其他裝置以適於執行此述之方法_係合適的。典型硬 體及軟體結合可為具有電腦程式之一般目的電腦系統,當電腦 程式被載入及執行時,控制電腦系統致使系統執行此述之方 法。 一般地’執行以實施本發明具體實施例之路由(r〇utine), 無淪以操作系統之一部分或特定應用程式、元件、程式、模組、 目標或指令序列而實施,在此可指稱為一「程式」。電腦程式 〇 通常包含多重(multitude)指令,其將由本區(native)電腦轉譯為 可由機器讀取之格式且因此可執行之指令。程式亦包含變數及 資料結構’其於程式之本區或於記憶體或儲存裝置中存在。此 外’可基於其於本發明特定實施例中實施之應用,辨別此述之 不同程式。然而,應察知任何特定程式專有名詞(nomenclature) 僅出於便利而使用,因此本發明不應限制為僅使用於由此類專 有名詞辨別及/或隱含之任何特定應用程式。 31 200935848 雖然已揭鉻本發明之特定實施例,本技術領域之具有通常 知識者將察知,改變可實施於特定實施躺不偏縣發明之精 神與範圍。本發明之範圍不欲加以限制至特定實施例,且附隨 之申請專利於本發明之關巾涵純缺所有此類應 用、修正與實施例。 ❹ 32 200935848 【圖式簡單說明】 - 附圖^目似之參考數據触貫穿侧觀點之相同或功能 上相似兀件,且與下列詳述制結合並形 -步,不關並_穌發_呼應之進 及優勢 ❹
圖;圖i為根據本發明之一實施例’繪述網路環境範例之方塊 圖2至5為根據本發明之一實施例,緣述 = =f"SEP),崎f 物_ 全關聯帽金物_存安 方塊^ 7為根據本發明之一實施例’詳細緣述資訊處理系統之 圖8為根據本發明一實施例之操作流程圖緣述 點(SEP)於安全的端對端通訊路徑檢視已加密資料之整體處理 過程; 圖9至11為根據本發明一實施例之操作流程圖繪 擇性地將安全關聯(SA)資訊載入安全執行點(SEp),以 、 加密網際網路安全通訊協定(IPsec)封包之不同處理過程。匕 200935848 ❹ Ο 【主要元件符號說明】 100 網路資料處理系統 102、 104、106 客戶電腦裝置 108 伺服器 110 電腦通訊網路 112 安全性伺服器 116、 118 安全執行點 120 金鑰伺服器 122 安全關聯 124 明文負載 126、 128 已加密負載 208 遠端網際網路安全通訊協定端點 212 已知網際網路安全通訊協定端點 216 安全執行點 220 金鑰伺服器 230 安全關聯管理器 232 資料庫 234 資訊記錄 244 流量管理器 246 安全關聯管理器 248 本區資料庫 249 安全關聯内容 308 遠端網際網路安全通訊協定端點 312 已知網際網路安全通訊協定端點 34 200935848
316 、 318 安全執行點 320 金鑰伺服器 330 安全關聯管理器 332 本區資料庫 348 安全關聯内容 349 本區資料庫 408 遠端網際網路安全通訊協定端點 412 已知網際網路安全通訊協定端點 416 安全執行點 420 金鑰伺服器 432 本區資料庫 446 安全關聯管理器 448 本區儲存 518 安全執行點 520 金鑰伺服器 636 主要金鑰 638 辅助資料 640 階段1安全關聯資訊 642 階段2安全關聯資訊 700 資訊處理節點 702 電腦 704 中央處理器 706 主要記憶體 708 大量儲存介面 35 200935848
710 終端介面 712 網路配接器硬體 714 系統匯流排 716 資料儲存裝置 718 CD
Claims (1)
- 200935848 十、申請專利範固: 種選擇/ 生地將文全關聯資訊載入一通訊網路安全執行點 方法以於女全的端對端通訊路徑檢視已加密資談且 有安全執行點之方法包含: M/、 接收至少一已加密資料封包; $解密該至少-已加密資料封包之安全關聯資訊無法 於女全執行點本區存在; ❹ …發送與至少-已加密資料封包相關之安全關聯資訊的一 請求至一通訊網路金鑰伺服器;以及 自該通訊網路金錄飼服器接收與該至少一已加密資料封 包相關之該安全關聯資訊。 2.如申請專利範圍第1項所述之方法,進一步包含下列之至少 回應該安全關聯資訊無法於本區存在,捨棄該至少一已加 密資料封包;以及 回應該安全關聯資訊無法於本區存在,自該安全執行點轉 發該至少一已加密資料封包至其目的地而不解密該至少一已 加密資料封包。 3.如申請專利範圍第丨項所述之方法,其進一步包含: 以該安全執行點解密後續已加密資料封包,該等已加密資 料封包與接收自該通訊網路金錄伺服器之該安全關聯資訊相 關。 、 37 200935848 4. 如申請專利範圍第3項所述之方法,其進—步包含: 回應該解密’執行-安全功能於與該等安全關聯資訊相關 及已解密之後續已加密資料封包。 5. 如申請專利範圍第i項所述之方法,其中接收自該金賴 服器之該安全Μ資訊包含至少與—安全__關之對話金 嬌資料。 6.如申請專利範圍第!項所述之方法,其進一步包含: 建立具該金錄伺服器之一持續安全程序。 7. ^申請專利範圍第丨項所述之方法,其中發送至該金餘飼 服器之該請求包含與一安全關聯相關之至少一心他值及一 rCoolae值’該安全__該至少—已加密資料封包相關。 8. ❹ 、-種,擇性地將安全_資訊載人—安全執行點之 全ί端對端通訊路徑檢視已加密資料,而用於具備安 王,聯之-金_服器以提供介於端點間—或: 全通訊路徑之該方法包含: 麵對知女 利用安全_提供—第二端點之—端對端安 徑’接收與—第一端點之安全關聯相關之安全關聯資訊 儲存該安全關聯資訊於記憶體; 、° ’ 决疋至少一安全執行點已於該安全關聯登立田 示;以及 ’、思心表 38 200935848 發送該安全關聯資訊至該至少一安全執行點。 9·如申請專利範圍第8項所述之方法,其中接收自該第—端 點之該安全關聯資訊包含與該安全關聯相關之對話金輪資料。 如申請專利範圍第8項所述之方法,其中發送至該至少一 安全執行點之該安全關聯資訊包含與該安全關聯相關之對話 金餘資料。 ” 11. 如申請專利範圍第8項所述之方法,其進一步包含: 建立具該至少一安全執行點之一持續安全程序。 12. 如申請專利範圍第8項所述之方法其進一步包含: _自該至少-安純行點接狀該安全_登錄-意思表 示之一請求;以及 相關聯該至少-安全執行點與安全關聯記憶體所儲存之 該安全關聯資訊。 13二—種能於-安全的端對端通訊路徑檢視已加密資料之網 路元件,該網路元件包含: 一記憶體: 處理器,係通訊耗合至該記憶體;以及 -資料流量管理器,係通訊耦合至該記憶體及該處理器, 其中調整該資料流量管理加實施下列步驟: 39 200935848 接收至少一已加密資料封包; 資訊無法密該至少—已加密資料封包之安全關聯 訊的-妹==至少—已加密資料封包相關之安全關聯資 吞的咕求至一通讯網路金餘伺服器;以及 自該通訊網路金錄飼服器接收與該至少— 料封包相關之該安全關聯資訊。14·如申請專利細第n項所述之網路元件,其中進 整該資料流量管理器以實施下列步驟: 解密接收自該通訊網路金输伺服器之與該安全關聯資訊 相關之後續已加密資料封包;以及 ° 回應該解密,執行-安全功能於與該安全關聯資訊相關及 已解密之後續已加密資料封包。 15.如申請專利範圍第13項所述之網路元件,其中發送至該 ❹ 通酬路錢伺服ϋ之姆求包含與-安全關聯_之至^ 一 iCookie值及一 rCookie值’該安全關聯與該至少一 資料封包相關。 4 16·如申請專利範圍第13項所述之網路元件,其中進—步調 整該資料流量管理器以實施下列步驟: ," 回應該安全關聯資訊無法於本區存在之決定,捨棄該至少 一已加密資料封包;以及 資料 ❹ ❹ 200935848 封了 ϋ一種細儲存程式產品,私含齡使-娜元件選擇性 喊人—觀網路安純行點,以於-安全的 令以==視已加娜,魏_崎品包含指 接收至少一已加密資料封包; 於本3跑少—㈣編㈣全卿資訊無法 一至少一已加密資料封包相關之安全關聯資訊的 «»月求至通訊網路金鑰飼服器;以及 自該通訊網路金_服器接收與該 包相關之該安全關聯資訊。 6加在貝冊 18.如申請專利範圍第17項所述之電 -步包含指令以實施下列步驟: 料式產其進 解密自該通訊網路金錄伺服器接收之與該安 相關之後續已加密資料封包:以及 # ° 已解已安全功能於與該安全關聯資訊相關及 已解在之該後續已加欲資料封包。 19·如申請專利範圍第η項所述之電腦儲存程式產品, 其中 41 200935848 發送至該金錄飼服器之該請求包含與一安全關聯相關之至少 二iCookie值及- rCookie值,該安全關聯與該至少 資料封包相關。 @ 20. =申明專利範圍第17項所述之電腦儲存程式產品 一步包含指切實施下列步驟: 〇 密資資訊無法於本區存在,捨棄該至少-已加 加密全圓資訊之無法於本區存在,轉發該至少-已 …匕至其目的地而不解密該至少—已加密資料封包。42
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/964,503 US8199916B2 (en) | 2007-12-26 | 2007-12-26 | Selectively loading security enforcement points with security association information |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW200935848A true TW200935848A (en) | 2009-08-16 |
Family
ID=40794595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW097141307A TW200935848A (en) | 2007-12-26 | 2008-10-28 | Selectively loading security enforcement points with security association information |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8199916B2 (zh) |
| EP (1) | EP2235908B1 (zh) |
| JP (1) | JP5270692B2 (zh) |
| KR (1) | KR20100087032A (zh) |
| TW (1) | TW200935848A (zh) |
| WO (1) | WO2009080462A2 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8543667B2 (en) | 2008-01-14 | 2013-09-24 | Akamai Technologies, Inc. | Policy-based content insertion |
| US20120209942A1 (en) * | 2008-10-28 | 2012-08-16 | Cotendo, Inc. | System combining a cdn reverse proxy and an edge forward proxy with secure connections |
| KR101837004B1 (ko) | 2010-06-18 | 2018-03-09 | 아카마이 테크놀로지스, 인크. | 모바일 또는 유선 네트워크로의 콘텐츠 전송 네트워크(cdn)의 확장 |
| DE102010041804A1 (de) * | 2010-09-30 | 2012-04-05 | Siemens Aktiengesellschaft | Verfahren zur sicheren Datenübertragung mit einer VPN-Box |
| WO2012059137A1 (en) * | 2010-11-05 | 2012-05-10 | Nokia Siemens Networks Oy | Session establishment with policy control |
| JP5812282B2 (ja) * | 2011-12-16 | 2015-11-11 | 公立大学法人大阪市立大学 | トラヒック監視装置 |
| JP2016063234A (ja) * | 2014-09-12 | 2016-04-25 | 富士通株式会社 | 通信装置の通信制御方法,通信装置,通信制御システム |
| CN108768649A (zh) * | 2018-06-26 | 2018-11-06 | 苏州蜗牛数字科技股份有限公司 | 一种动态加密网络数据的方法及存储介质 |
| US11196726B2 (en) | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
| CN114301632B (zh) * | 2021-12-02 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种IPsec数据处理方法、终端及存储介质 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6233686B1 (en) * | 1997-01-17 | 2001-05-15 | At & T Corp. | System and method for providing peer level access control on a network |
| US6209101B1 (en) * | 1998-07-17 | 2001-03-27 | Secure Computing Corporation | Adaptive security system having a hierarchy of security servers |
| US6760444B1 (en) * | 1999-01-08 | 2004-07-06 | Cisco Technology, Inc. | Mobile IP authentication |
| US7055027B1 (en) | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| US6546486B1 (en) * | 2000-02-23 | 2003-04-08 | Sun Microsystems, Inc. | Content screening with end-to-end encryption within a firewall |
| JP3730480B2 (ja) * | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
| US7536715B2 (en) * | 2001-05-25 | 2009-05-19 | Secure Computing Corporation | Distributed firewall system and method |
| EP1452000A2 (en) | 2001-12-07 | 2004-09-01 | Telefonaktiebolaget LM Ericsson (publ) | Lawful interception of end-to-end encrypted data traffic |
| US7191331B2 (en) * | 2002-06-13 | 2007-03-13 | Nvidia Corporation | Detection of support for security protocol and address translation integration |
| US7849495B1 (en) * | 2002-08-22 | 2010-12-07 | Cisco Technology, Inc. | Method and apparatus for passing security configuration information between a client and a security policy server |
| US7477626B2 (en) * | 2004-09-24 | 2009-01-13 | Zyxel Communications Corporation | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same |
| KR100918440B1 (ko) * | 2004-11-12 | 2009-09-24 | 삼성전자주식회사 | 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치 |
| US7783880B2 (en) | 2004-11-12 | 2010-08-24 | Microsoft Corporation | Method and apparatus for secure internet protocol (IPSEC) offloading with integrated host protocol stack management |
| JP4616732B2 (ja) * | 2005-09-02 | 2011-01-19 | 株式会社日立製作所 | パケット転送装置 |
| US7609162B2 (en) * | 2005-10-10 | 2009-10-27 | Electronics And Telecommunications Research Institute | Mobile RFID service providing apparatus and method thereof |
| US20100119069A1 (en) * | 2007-05-31 | 2010-05-13 | Panasonic Corporation | Network relay device, communication terminal, and encrypted communication method |
-
2007
- 2007-12-26 US US11/964,503 patent/US8199916B2/en not_active Expired - Fee Related
-
2008
- 2008-10-28 TW TW097141307A patent/TW200935848A/zh unknown
- 2008-12-04 JP JP2010540092A patent/JP5270692B2/ja not_active Expired - Fee Related
- 2008-12-04 KR KR1020107012387A patent/KR20100087032A/ko active IP Right Grant
- 2008-12-04 EP EP08865720.0A patent/EP2235908B1/en active Active
- 2008-12-04 WO PCT/EP2008/066824 patent/WO2009080462A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US8199916B2 (en) | 2012-06-12 |
| JP2011508550A (ja) | 2011-03-10 |
| EP2235908A2 (en) | 2010-10-06 |
| WO2009080462A2 (en) | 2009-07-02 |
| KR20100087032A (ko) | 2010-08-02 |
| JP5270692B2 (ja) | 2013-08-21 |
| EP2235908B1 (en) | 2015-10-07 |
| US20090169005A1 (en) | 2009-07-02 |
| WO2009080462A3 (en) | 2009-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11848961B2 (en) | HTTPS request enrichment | |
| US9749292B2 (en) | Selectively performing man in the middle decryption | |
| TW200935848A (en) | Selectively loading security enforcement points with security association information | |
| EP2989769B1 (en) | Selectively performing man in the middle decryption | |
| JP5744172B2 (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| US8595818B2 (en) | Systems and methods for decoy routing and covert channel bonding | |
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| US9648006B2 (en) | System and method for communicating with a client application | |
| US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
| JP2007516625A (ja) | パーソナルリモートファイヤウォール | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| EP1960895A2 (en) | Tls encryption in a managed e-mail service environment | |
| US10389538B2 (en) | Processing a security policy for certificate validation error | |
| US20230108261A1 (en) | Management, diagnostics, and security for network communications | |
| CN113259436B (zh) | 网络请求的处理方法和装置 | |
| US20240097903A1 (en) | Ipcon mcdata session establishment method |