TW201135508A - Key management in secure network enclaves - Google Patents

Key management in secure network enclaves Download PDF

Info

Publication number
TW201135508A
TW201135508A TW099114865A TW99114865A TW201135508A TW 201135508 A TW201135508 A TW 201135508A TW 099114865 A TW099114865 A TW 099114865A TW 99114865 A TW99114865 A TW 99114865A TW 201135508 A TW201135508 A TW 201135508A
Authority
TW
Taiwan
Prior art keywords
key
address space
server
specified address
security
Prior art date
Application number
TW099114865A
Other languages
English (en)
Other versions
TWI505123B (zh
Inventor
Daniel R Simon
Brian D Swander
Pascal Menezes
Gabriel E Montenegro
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of TW201135508A publication Critical patent/TW201135508A/zh
Application granted granted Critical
Publication of TWI505123B publication Critical patent/TWI505123B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Small-Scale Networks (AREA)

Description

201135508 六、發明說明: 【發明所屬之技術領域】 本發明係關於女全網路指定位址空間中的金錄管理。 【先前技術】 對於電腦系統來說,安全越來越重要。企業通常會保 存許多種資訊,像是財務資訊、機密商業資訊或有關客 戶與員工的個人資訊。由於許多重要的業務因素,一般 至少某些個人可透過企業電腦系統取得此資訊。不過這 些=貝訊右遭到未獲授權者存取並誤用,可能對企業、員 工或客戶造成嚴重傷害。 為了保護企業電腦系統内的資訊,已經提出許多種安 全技術其中種方式就是稱為ipsec的安全網路通訊 協定。在IPsec内,兩個即將彼此通訊的主機裝置會形 成文全相聯」’此安全相聯係基於主機之間使用金鑰交 換協疋所父換的—或多個金錄’錢兩部主機使用該金 鑰加密或驗證在其間傳遞的訊息,此係依所需要的安全 等級而定。 在,為路環境中使用IPsec的缺點在於用於加密與解 密或簽署與驗證訊息的加密處理,會不被情願地增:主 機裝置中央處理器的負載^為了減少處理器㈣擔,已 201135508 經研發出網路界面晶片組來卸除這些密碼函數。這種曰 片組可替每一主動安全相聯來儲存金鑰,為此内含網路 界面的一部電腦作為主機。當運用特定安全相聯將資訊 傳遞至網路界面進行通訊時,該晶片組可運用適當金鑰 加密或簽署該資訊。同樣,當接收關聯於一安全相聯的 封包時,該晶片組可驗證或解密封包内的資訊,並且將 這種處理之結果傳遞至一網路堆疊,進行進—步處理。 雖然這種處理在某些案例中有用,不過現有晶片組受 到可同時維持的主動安全相聯數量之限制。例如:大型 企業内的储ϋ可以維護1〇,_筆層級的安全相聯但 是晶片組能維持的資訊只能支援丨,_筆層級的安全相 聯。 為了擴充網路界面晶片組所能支援的安全相聯數量, :前已經提議形成網路「指定位址空間」。根據此提議, 每-指定位址Μ都可擁有自己的金錄,其用於以可預 期的方式而為牽渉句Γ少:β仏 巧竿沙該扣疋位址空間内的裝置的「安全相 聯J產生金錄。該指+ 疋+址二間金鑰用來以可預期的方 式產生金餘給該指定位糾* Μ ‘ 疋位址二間内之伺服器,然後伺服器 從這些金鑰當中產生用於它們 鑰。在裝置傳送運用安全相聯 時,該裝置會在該封包内附加識 訊。存取該封包的其他裝置可即 所形成之安全相聯的金 金錄簽署或加密的封包 別該金鑰如何衍生的資 時產生適當金鑰,用碎$】 6 201135508 該封包的加密處理。因為可從該指定位址空間金矯產生 對應任何數量之安全相聯的安全相聯金鑰,所以晶片組 可存取大量安全相聯,並不需要大量儲存空間。作為該 安全相聯之主機的裝置,或用於處理在兩主機之間傳遞 之封包的中間裝置’只要該中間裝置存取適當的指定位 址空間金錄’都可使用此自動金鑰產生方式。 【發明内容】 為了 k供用於安全網路指定位址空間内之適當金錄, 所以用階層方式產生金鑰。在此定義用於建立指定位址 空間的安全相聯跨越配對之配對指定位址空間金鑰,該 配對指定位址空間金鑰可用來產生該配對内指定位址空 間中祠服器的金錄,這些伺服器金錄接著可基於祠服器 與用戶端裝置所在指定位址空間,用於建立與用戶端裝 置相關聯的安全相聯。藉由將識別主機指定位址空間的 資sfl,以及用來基於配對指定位& Λ &议址二間金鑰產生安全相 聯參數的其他資訊’併入封包内, on 則存取封包並且存取 適當金鑰的裝置’可產生用於處 爽里通封包的安全相聯參 數 該金餘的階層性質可用來為裝 提供較高階層等級上的金输, 南賴等級的裝置。相較之下
置裁剪存取等級,利用 可將較高權限賦予具有較 ,其他裝置只能存取用於I U 201135508 在其自身指定位址空間内的通訊 观巩之金鑰,或存取用於在 其自身指定位址空間與特定數詈立 致虿其他指定位置空間之間 的通訊之金鑰。 該階層金鑰產生方式允許受作镅 冰窃 又七賴的中間裝置存取訊息 々丨•·量,而存取限制則可根據 tu展置的角色舆信賴程度 來設定。連接在連接兩指定 址二間或少量指定位址空 間的網路路徑内之受信賴中 匕— Τ間衮置,可具備只存取這些 才S疋位址空間的配對指定位 间金鑰之權限,允許該 中間裝置監控或控制出入這4fc<指 、一知疋位址空間之網路流 量。具備所有網路流量存取權限的其他中間裝置,可被 賦予所有以位址m的金錄,或產㈣等指定位址空 間金鑰的較高等級金鑰,像是組織金鑰。 根據該等金錄與其他資訊,中間裝置可使用該等這此 金錄來產生安全相聯的參數。這種其他資訊可包含於在 安全相聯端點之間通訊的封包.内。在某些具體實施例 内中間裝置可監控形成一安全相聯時所交換的封包, 並採取行動,像是動態獲得產生安全相聯金錄的一金 鑰右中間裝置不支援在此金錄階層下的金錄街生,因 而無法產生安全相聯金鑰,它可向形成該安全相聯的伺 服:發出缺乏能力的信號,然後該飼服器可進行直接金 錄交換來提供安全相聯金錄給t間裝置。 在使用*全相聯傳送的訊息首先繞送通過不支援安舍s ] 201135508 指定位址空間處理的中間裝置(在形成安全相聯之後)之 案例中,該令間裝置可通知端點重新建立安全相聯,讓 中間裝置有機會直接存取用來處理使用安全相聯所傳送 封包之資訊。 上述為本發明非用於限制的總結,本發明由申請專利 範圍所界定。 【實施方式】 本發明者已經清楚並瞭解,透過改良的金鑰管理方法 可改善安全指定位址空間以及卸除密碼函數來支援安全 指定位址空間之硬體。這些金鑰可被產生並分散以允 許簡易網路存取。另外,金鑰管理系統應該可限制每一 裝置接收的存取。階層金鑰管理法可用來支援產生金 鑰,提供不同的存取等級給不同裝置群組之間的通訊。 階層金鑰管理法也可簡化將金鑰散佈至企業電腦系統的 機制,如此安全指定位址空間内的裝置可適當處理網路 流量。 在某些具體實施例内,整體組織金鑰形成金鑰階層的 最頂級。從此組織金鑰中,產生配對指定位址空間金鑰 給組織所操作的網路電腦系統内每對指定位址空間(包 含與自身配對的每一指定位址空間)。每一配對指定位址 空間金鑰可用來產生下一較低階層上的金錄。 、’ ί si 9 201135508 在此處描述的示範具體實施例中,位於安全相聯相對 末端上的主機裝置可稱為「伺服器」和「用戶端」。伺服 器產生安全相聯金鑰給形成為用戶端每一安全相聯。為 了產生安全相聯金鑰,伺服器可具有伺服器金鑰,此金 鑰可從用於其指定位址空間以及用戶端所在指定位址空 間的配對金錄當中取得。 在描述的具體實施例内,不論階層的等級,都將金鑰 看待成安全資訊。而用來從較高階層等級金鑰中產生較 低階層等級金鑰的金鑰衍生資訊,則不需看待成安全資 訊。該金鑰衍生資訊可在傳送通過網路的訊息内,以不 安全或相對不安全的方式來通訊。因此,許多網路裝置 具備金鑰衍生資訊的存取權限。在任何等級上,具有階 層内用來產生一特定安全相聯金鑰之金鑰的存取權限的 裝置,因此可存取金鑰衍生資訊並產生安全相聯金鑰。 為了減少每一裝置必須保有的安全相聯金鑰數量,使 用較高等級金鑰與金鑰衍生資訊來動態產生該階層内較 低階層等級上的金鑰。例如:指定位址空間内的伺服器 可被提供所有配對伺服器金鑰,為此該指定位址空間為 相關配對内一個指定位址空間。在辨別要形成安全相聯 的用戶端之指定位址空間時,可從這些金錄之一產生特 定安全相聯金鑰。 金鑰提供也可動態發生,例如:裝置可從金鑰伺服缉u 10 201135508 下載金鑰。動態提供可即時發生,回應使用金鑰執行封 包上密碼函數之需求。另外,需要時可事先提供某些或 全部金鑰。事先提供時,可偶爾重新提供或重新產生金 錄重新提供彳定期執行,像是每天,《可回應事件而 執行’像是裝置進入或離開指定位址空間。 不論何時提供金鑰,金鑰可從頂端等級組織金鑰開始 散佈到整個組織。不論業界内已知或稍後研發,合適的 安全措施可用來限制該階層内不同等級的金鑰分佈只 給那些獲得授權而能存取資訊的裝置,其中該資訊使用 直接或間接從該金錄衍生的金錄來加密。 可使用任何合適的方式決定授權裝置。在某些具體實 施例内,㈣管理員利用產生存取控制清單來建立授權 的裝置,以證書或其他授權訊標提供給特定裝置。在某 些具體實施例内,可使用企業電腦系統内已經有的安全 系統來建立授權的裝置,例如:許多企業電腦系統運用
Active DirectoryTM網路管理系統來驗證装置。這種系統 可用來控制哪個裝置可存取哪個金鑰,並且提供安全機 制來將金餘通訊給這些裝置。 不論如何限制金鑰的散佈,利用適各 遇田限制不同階層等 級上金鑰的散佈,可設定存取等級謓备 寻双瀑母一裝置只具備需 要的存取等級,例如··某 特定用戶端之間的封包, 些裝置只能存取特定伺服器與 其他裝置可存取特定词服器蜱 11 201135508 任何指定位址空間内任何裝置之間的通訊。還有其他裝 置可存取-個指定位址空間内任何裝置與任何指定位址 空間内任何裝置之間的封包。還有其他裝置可存取送過 電腦系統的任何封包。 不過,吾人應該瞭解,並非所有具體實施例内都需要 呈現所有階層等級,例如:在某些具體實施例内,並非 提供單—頂級組織麵,而是―開始就提供教位址空 間金餘給每-指定位址空間,如此可產生配對的指定位 址空間金鑰。另外’管理員可直接提供配對的指定位址 空間金鑰給裝置。作為另一範例,雖然已經描述飼服器 金鑰,可將配對指定位址空間金㈣存取權限提供給词 服器’此權限可用來直接產生安全相聯金鑰,而不需要 產生健器金錄這個中間步驟。某些具體實施例内同樣 可運用階層金鑰的額外等級。例如電腦系統可分成任何 數量的次指定位址空間等級,其中每一次指定位址空間 都擁有自己的金錄,以及與其他m位址空間的配對 金輸。 階層金鑰管理法的用途之一為允許中間裝置存取即時 產生安全相聯金鑰時所需之指定位置空間金鑰。藉由將 與這些指定位址空間相關聯的配對指定位置空間金鑰提 供給中間裝[位於兩指定位置空間之間網路内的該中 間裝置可獲授權來監控這兩指^位置空間之間的網路^ 12 201135508 量。 針對任何原因,中間裝置可被提供來存取這種訊息, 例如:中間裝置可執行防毒軟體,一旦訊息内容的存取 被提供時,確保訊息未受病毒感染。中間装置可根據訊 息内容執行任何其他合適的監控功能。中間裳置也可執 行其他功能,像是操縱訊息,或採取本文所述的控制動 作0 不論中間裝置的特定功能為何,其可擷取傳送過網路 的訊息内之金鑰衍生資訊。該金鑰衍生資訊結合提供給 中間裝置的金鑰’可用來衍生通過中間裝置的網路流量 之安全相聯金鑰。 階層金鑰也幫助硬體卸除網路封包的加密處理來支援 這些功能。不論是位於安全相聯内的主機内或位於監控 以安全相聯傳送的網路流量的中間裝置内,網路界面硬 體都可動態產生安全相聯金錄作為卸載處理的一部分。 因此’甚至對具有較高等級存取權限的裝置而言,硬體 内必須維持的金鑰數量仍為可管理的。 不過在某些案例中,電腦系統可包含支援或不支援這 種金鑰衍生的令間裝置。該金鑰管理系統可提供一項機 可執行直接金 當成飼服器的主機,告知其不 制給中間裝置,在其無法根據可用資訊產生金錄時,獲 得存取安全相聯金鑰所需的資訊。例如: 鑰交換。t間裝置可通知 s] 13 201135508 支援安全指定位址介 二間,而可觸發伺服器與中間裝置進 仃直接金鑰交換。若 進 安全相_下彳4 , /、女王相聯的主機之一不支援在 女王相聯下傳送的 匕内匕含金鑰衍生資訊,則可執秄 類似的金鑰交換。 』』執仃 如上述,金鑰管 梦署卢甘 係建基於與指定位置空間相關聯的 褒置。在某歧旦辦餘 拿杏6羞…、“列内’指定位置空間為靜態並且 事先疋義。在這種且 八霄粑例内,裝置可根據網路拓撲 或其他因素指派至指 位置工間。裝置然後可獲得其屬 於該指定位置空間的指示。 其他實例中’網路可經重新組態或可支援行動 裝置。在這種具體實施例内,可能無法事先指派特定裝 置至指定位址空間。 另外’在某些實例中,指派所有裝 置至4日疋位址空問可' At 士 I有困難或負擔太大。因此在某些 具體實施例内,金鑰管 理系統可包含一種指定位址空間 發現協定’其允許裝置發 直赞現其指疋位址空間。
可使用任何合適的如今> D 的心疋位址空間發現協定。舉例來 說,可指派網路裝置子隹 h 于第至心疋位址空間,並可將其指 疋位址空間狀態通訊至1 王再他裝置,如此其他裝置可基於 對已經被指派給指定位址办 址工間的裴置之連接,來推論自 己的指定位址空間成員資格。 在某些具體貫施例内,"ST r+> J ^ 了此成為中間裝置並且牽涉到
在其他網路裝置之U h A 廷:封包的裝置,可指派給指定位[s ] 14 201135508 址空間。這種裝置的子Μ夠小,並且這些裝置的位置 變動不會太頻繁’所以只需要相當小的負擔就可將該裝 置所在指定位址空間的指示提供給每_這種^。、 封包通過形成安全相聯的兩部主機時,每一這種中間 裝置都可新增標記至該封包,指卜個指定位址空間。 接收這種封包的主機可使用該標記來決定自己的指定位 址空間。在某些具體實施㈣,該標記可指示兩主機或 之一的指定位址空間。中間裝置可獲得這種資訊,例如 從内含系統内主機的指定位址空間指派的中間裝置可存 取之資料庫。 在其他具體實施例内,該標記可包含允許主機推論其 指定位址空間的資訊,例如:每一中間裝置都可附加識 別所擁有指定位址空間的資訊。該中間裴置可接著新增 標記,建立有順序的標記鍊。接收這種封包的任何主機 都可分析標記鍊,決定標記鍊開頭與結尾上的指定位址 空間’這可指示形成安全相聯的主機之指定位址空間。 主機可從此資訊決定自己的指定位址空間。單一封包 就足夠讓主機決定自己的指定位址空間,雖然在某些實 例中’網路内封包繞送的變化可在相同兩主機之間通訊 的不同封包内產生不同的標記鍊。若有不一致,裝置可 從多個封包獲得資訊,並且基於最常指示的指定位址空 間識別自己的指定位址空間,或使用任何合適的方式來$ ] 15 201135508 解決歧義。 伺服器可類似地使用指定位址空間標記鍊來決定其中 用戶端所在的指定位址空間,例如,此資訊可用於選擇 適當的配對金鑰,來產生伺服器金鑰,接著將用於產生 安全相聯金錄。 任何合適的裝置可都放置標記’識别封包上的指定位 址空間。在某些具體實施例内,像是路由器與閘道器這 類中間裝置可經組態來放置這種標記,雖然任何合適的 裝置都可用來放置指定位址空間標記。 根據本發明具體實施例的金输管理系統可運用在任何 合適的電腦系統内’舉例來說’金錄管理系統可併入企 業電月b系統100 (第1A圖)’像是大公司内可發現的李 統。電腦系統100包含多個電腦裝置,分割至指定位址 空間110A、110B、110C和110D内。網路裝置可用任何 合適方式分組至指定位址空間。在例示的具體實施例 内’ 一般基於網路拓撲形成指定位址空間,以使可透過 一路由器或其他閘道裝置存取的裝置,一般分組在相同 的指定位址空間内。然而,任何用於將裝置分割至指定 位址空間的合適準則皆可使用。 第1A圖為電腦系統的簡單例示。其中顯示三種裝置·· 伺服器、用戶端與多埠裝置。其中例示像是飼服器 120A、120B和120C這些伺服器。伺服器可為具有相當[ 201135508 大量電腦資源(像是處理功率或電腦儲存媒體)的計算裝 置。這些裝置可相對固定’安裝在機架或其他靜止結構 上這種裝置可作為槽案飼服器、列印飼服器資料庫 飼服器、網路伺服器或執行企業内其他功能。不過,飼 服器可為供應資訊給其他裝置的任何計算裝m, 本發明並不t限於飼服器處s㊣力的性質。彳時桌上型 電腦、膝上型電腦#小型t子裝置都可作為飼服器。 第1A圖也例示電腦系統100内多個用戶端裝置。為了 簡化’例示三個用戶端裝置’就是用戶端裝置13〇、132 和134。在此範例t,用戶端裝置例示為桌上型電腦。 不過’用戶端裝置可為接收來自伺服器資訊的任何裝 置。如此除了桌上型電腦以外,用戶端裝置可為膝上型 電腦或其他可攜式計算裝置。依據裝置所執行的特定操 作’具備相當大量處理資源的裝置也可成為用戶端。 除了飼服器和用戶端以外,電腦系统1〇〇可包含一或 多個多埠裝置,像是多埠裝置136。一般來說網路内 的多埠裝置執行繞送、交換或其他流量處理功能,幫助 定址至特定裝置的封包到達所要的目的地。多埠裝置的 範例包含路由器和交換器,以及負載平衡器、wan最佳 化器以及侵入偵測/預防系统。 除了多蟬裝置136,圖中顯示電腦系統⑽包含作為 指定位址空間之間中間裝置的多崞裝置。在第1A圖内,f 17 201135508 顯示中間裝置 140Α、140Β、ί400^_4ϋ^ 間裝置都可作為閘道器,如此至或來自指定位址空間内 裝置的訊息可通過,例如:中間裝置14〇a可作為指定位 址空間mA内裝置的閘道器。中間褒置i彻可作為閉 道器,如此至或來自指定位址空間11〇B内裝置的訊息可 通過。類似地,中間裝置140C可作為指定位址空間me 内裝置的間道器,並且中間裝置14〇D可作為指定位址空 間110D内裝置的閘道器。 不過’並未要求中間裝置須為指定位址空間的閉道 器。中間裝置可用將來自一個指定位址空間的訊息轉送 至另一個之方式,來連接在網路内。例如:中間裝置 可接收任何指定位址空間110a、110b、110(^ 110D内 產生的訊息’並且基於訊息内的目的地位址繞送訊息 至任何其他指定位址空間。 吾人應該瞭解’第1A圖只為其中可運用本發明的一種 企業電腦系統可能實施之簡略圖。為了簡化第丨A圖内 只例示四個指定位址空間。纟實可具有任何合適數量的 指定位址空間,並且大企業的電腦系統内可具有四個以 上的指定位址空間。 不論指定位址空間的數量,指定位址空間可用任何合 適的方式來定義。在某些具體實施例當中,由網路管理 員定義指定位址空間。it些指定位&空間可基於網路拓$ 18 201135508 撲來定義’如此每一指定位址空間由至少一個中間裝置 與其他指定位址空間分隔。此外,指定位址空間可定義 成只有共用管理控制之下的裝置,才會分組至相同的指 定位址空間。在此方式中,適用類似存取控制的裝置可 在相同指定位址空間内,如此該指定位址空間内的裝置 可共享不包含資訊安全的指定位址空間金鑰。 第1A圖例示每一指定位址空間可由不同數量與類型 的裝置所形成。為了支援階層金鑰產生與散佈系統,指 定位址空間内的某些裝置可具有與金鑰產生或散佈相關 聯的特定功能。第1B圖顯示指定位址空間的放大圖。第 1B圖例示指定位址空間可與伺服器相關聯,該等伺服器 執行與階層金鑰產生和散佈相關聯之特定功能。 如第1B圖内所示,指定位址空間15〇包含伺服器像 是伺服器17(^和17〇B。在操作中,伺服器17〇八和17〇b 可形成與用戶端裝置的安全相聯,這兩伺服器都在指定 位址空間15〇内以及指定位址空間15〇可透過網路連結 的其他指定位址空間内。在第1B圖内,用戶端裝置18〇、 182和184例示在指定位址空間15〇内,並且伺服器i7〇a 和170B可形成與這些用戶端奘軎 — 鵡裒置的安全相聯。雖然第 圖内並未明確例示其他指定位从处„咖^ ^ 疋位址空間内的用戶端裝 置’伺服器170A和170B也可锈wm J還過令間裝置192與其他 指定位址空間内的用戶端裝置通訊。 °。 [ S ] 19 201135508 可使用-或多種加密技術確保飼服器與用戶端之間的 通訊女王it種加岔技術可用來加密或提供驗證資訊的 機制。不論包含加密技術的目的為何,使用像是加密金 錄這類安全參數可執行加密技術,如業界㈣熟知。用 於加揹時’根據密碼函數,加密金鑰會與要加密的資訊 結合。具有加密金鑰者可從加密資訊當中復原原始資 訊,但是密碼函數的複雜性使得若沒有金鑰,在實際情 況中不可能從加密的資訊當中確定原始資訊。相較之 下,驗證可能牵涉到其中資訊搭配金鑰結合來產生簽章 的密碼函數。在此情況下’密碼函數相當複雜,使得在 實際情況中無加密金鑰之下無法產生簽章。為了驗證已 經透過網路通訊的資訊,可在接收資訊時於其上再次執 行密碼函數,並且在傳輸時與資訊相關聯的簽章做比 較。若資訊已經改變,則產生的簽章不匹配,如此迅速 識別已經改變的資訊。 在此處所描述的範例中,描述關於加密的密碼函數。 不過,本發明並未要求散佈通過電腦系統的金鑰要用於 加密。金錄可另外或額外用於驗證。在某些具體實施例 内,可提供獨立的金鑰用於加密與驗證。因此,雖然此 處描述的範例討論單一金鑰用於兩裝置之間形成之每— 安全相聯,不過任何數量金鑰都可形成每一安全相聯的 一部分。例如:可產生加密金鑰與驗證金鑰,每一 <々再: 20 201135508 金鑰都可根據此處所討論的技術來產生與散佈。再者, 可為了資料加密或驗證之外的原因而運用加密金鑰作為 密碼函數的一部分。因此,吾人應該瞭解,本發明並不 受限於金鑰的任何數量或種類,或以這些金鑰執行的密 碼函數。 不論加密金鑰的數量與用途,指定位址空間15〇内每 一飼服器都可與一或多個用戶端裝置形成安全相聯。藉 由在每一安全相聯主機裝置之間共享安全參數來建立每 一安全相聯,其中之安全參數包含加密金鑰或金鑰。安 全參數用來在使用安全相聯輸送的資訊上執行密碼函 數,該資訊可作為封包傳遞通過網路。舉例來說,封包 可内含資訊,該資訊使用產生用於安全相聯的安全參數 來加密。 該安全參數可包含避免未授權者存取該資訊的任何資 訊。在此處提供的範例中’使用有時稱為安全相聯金錄 的交談金錄,作為安全參數的範例。安全相聯金錄是用 來將從安全相聯巾的—主機傳送至其他處的資訊加密。 為了簡化’在此處的範例中,使用相同的安全相聯金錄 將在主機之間雙向傳遞的資訊加密。不過吾人應該瞭 解,安全參數可包含在每一主棬 上用來傳送與接收資訊 的多個金錄。 兩主機之間可用任何合適的方式共享安全參數,包會 21 201135508 使用業界内熟知的技術。舉例來說,已經研發出ipsec 通訊協定來進行安全通訊。ipsec支援通過主機之間封包 的加密及/或驗證。除了使用安全資訊定義所保護的封包 之格式’ Ipsec還包含主機之間初始互動的協定,如此主 機可獲得要用來作為安全相聯一部分的安全參數共用集 合。這種協定的範例為網際網路金鑰交換協定(Key exchange protocol,「IKE」)以及 AuthIP 協定。根據這些 協定’伺服器可產生安全協定金鑰並傳送至用戶端。接 著’用戶端與伺服器可使用此金鑰,用於其間傳遞資訊 的加密。 在範例具體實施例内’安全相聯金錄位於金錄階層的 最低等級上。當每一伺服器,像是伺服器17〇A和17〇B, 形成新的安全相聯時’該祠服器產生安全相聯金錄。每 一伺服器都從伺服器金鑰產生安全相聯金錄。在此,每 一飼服器’像是伺服器170A和170B,可包含一組祠服 器金鑰。該伺服器金鑰可為配對金鑰,如此每一飼服器 金鑰都可關聯於不同對指定位址空間。因此,飼服器產 生安全相聯金鑰時,首先決定用戶端所在的指定位址空 間’並且選擇用於指定位址空間配對的適當伺服器金 鑰,此配對包含用戶端指定位址空間與伺服器自有的指 定位址空間。 每一飼服器都可從指定位址空間金鑰伺服器16〇接收[ 22 201135508 其伺服器金鑰。指定位址空間金鑰伺服器丨60可組態成 為指定位址空間1 50内每一伺服器產生伺服器金鑰,其 中各伺服器係被授權接收這種伺服器金鑰。指定位址空 間金鑰伺服器1 60可使用任何合適的機制來識別經授權 的伺服器’並且將金鑰通訊至這些授權的伺服器。例如: 一旦伺服器170A和170B驗證了其本身,則ipsec協定 可用來從指定位址空間金鑰伺服器160安全通訊金餘至 伺服器,像是170A和170B。 在例示的具體實施例内’指定位址空間金鑰伺服器1 6〇 從一組配對的指定位址空間金鑰中產生金鑰給伺服器, 像是伺服器1 70A和170B。在例示的具體實施例内,指 疋位址空間金錄词服器16 0可基於從組織金錄飼服器 148接收的資訊(内含組織金鑰),產生配對的指定位址空 間金鑰。同樣地,組織金鑰伺服器丨48可提供配對的指 定位址空間金鑰給其他指定位址空間内的指定位址空間 金鑰伺服器。 S2 第2A圖例示金鑰階層產生的示意圖。在此範例中,階 層的頂級為組織金鑰210。組織金鑰210可儲存在組織 金輸伺服器148 (第1A圖)内,或可提供在要存取使用第 2B圖内例示金鑰階層之電腦系統内所有資訊等級之任 何裝置内。不論哪個裝置接收該組織金鑰,可用任何合 適的方式提供組織金鑰2 1 0給這些裝置》例如可由網啤 23 201135508 管理員提供,或用任何合適的方式在裝置内產生。 不論如何提供組織金鑰210,都可用來產生多個指定 位址空間配對金錄,如例示的配對金錄224A、224B、224C 和224D。在第2A圖内例示的具體實施例當中,基於組 織金錄210上執行的擬亂函數(pseud〇rand〇in functi〇n) 220 ’結合指定位址空間配對衍生輸入222,來產生每一 才曰定位址空間配對金錄。此函數可在组織金錄词服器14 8 (第1B圖)内執行。如此,組織金鑰21〇可被維持在組織 金鑰伺服器148内的安全環境中,或在將具備最高網路 存取等級的任何其他裝置内,即使用它來(至少間接)產 生所有階層等級上的金鑰。 密碼函數220可為任何合適的擬亂函數。如同業界内 所熟知,在實際情況中,若其計算内所使用的金鑰足夠 長並且亂(或擬亂),則擬亂函數為從輸入至輸出顯現亂 數性的函數。其中一項實施 一項實施特性為金鑰無法從輸入_輸出
組織金鑰210的安全性。
位址空間配對金鑰。舉例來說, 指定位址空間配對金鑰【 24 201135508 衍生輪入222可為扣—A,咖卵 為W位址空間的識別㉟,例如 定位址空間U0A(第則)被識別為指定位址: 且指定位址空間110B被識別為指定位址空間⑺,則可 使用金鑰衍生輸入(1 ' 2)的配 座生在指疋位址空間 110A和110B之間通訊的指定位址空間配對金鑰。 使用指定位址空間的識別碼作為指定位址空間配對金 錄何生輸人222,允許具有組織金錄2iq存取權限的任 何裝置產生相同的指定位址空間配對金输組,例如:若 將電腦系統1 00内所有訊息流量的存取權限給予中間裝 置140C (第1A圖)’則中間裝置14〇(:可存取組織金鑰 2 10。如此,中間裝置i 4〇c可用與組織金鑰伺服器丄W 相同的方式,產生指定位址空間配對金鑰224A 224d。 申間裝置140C内產生的指定位址空間配對金鑰接著可 用來產生較低金鑰階層等級上的金鑰。此後續金鑰產生 可用來產生任何階層等級上的金鑰,包含用來將在兩主 機之間通訊’屬於安全相聯一部分的封包加密之安全相 聯金錄。 在例示的具體實施例内,可產生用於每一唯一指定位 址空間配對的配對指定位址空間金錄EKi,j。在此具體實 施例内,相同配對金鑰用來從第一指定位址空間内的伺 服器通訊至第二指定位址空間内的用戶端,如同從第二 指定位址空間内的伺服器通訊至第一指定位址空間内即ς. 3 25 201135508 用戶端。因此’配對金鑰ΕΚί,』等同於配對金鑰EKy。不 過在某些具體實施例内,產生不同的金鑰給每一階指定 位址空間配對》 第2A圖例示已經產生一整組指定位址空間配對金 錄。在某些具體實施例内,可動態產生配對金鑰,如此 只為正在通訊的指定位址空間對產生配對金鑰。不論何 時以及有多少指定位址空間配對金鑰產生,都可使用配 對金鑰來產生一或多個伺服器金鑰。 如所示,從配對的指定位址空間金錄當中使用擬亂密 碼函數230產生每一伺服器金鑰。在具有擬亂密碼函數 220之下,擬亂雄·碼函數230以一方式從階層内較高等 級上的金鑰產生伺服器金鑰,該方式藉由無法實際計算 出之特性,從隨機產生之函數中區隔出輸入_輸出配對, 尤其疋復原函數内所使用來從該輸入計算伺服器金鑰輸 出之較高等級金鑰。不過,基於伺服器金鑰衍生輸入232 以可預測的方式產生每一伺服器金鑰。因此,假設該裝 置已經存取至伺服器金鑰衍生輸入,具有指定位址空間 配對金鑰EKij存取權限的任何裝置都可產生一金鑰,指 定位址空間i内的伺服器將使用此金鑰與指定位址空間』 内的用戶端通訊,或指定位址空間i内的伺服器將使用 此金鑰與指定位址空間j内的伺服器通訊。在例示的具 體實施例内,伺服器金鑰衍生輸入可僅為產生金鑰的呵q 26 201135508 服器之識別碼。因為這種識別碼可迅速存取其他裝置, 所以具有指定位址空間配對金鑰存取權限的裝置可重新 建立伺服器金餘,例如:在第1A圖的範例中,若要組態 成監控離開指定位址空間11 〇A的網路流量,則中間裝置 140A可具有指定位址空間配對金鑰ΕΚι^ ΕΚι m的存取 權限,這足夠產生指定位址空間i i 〇 A内裝置要使用的任 何伺服器金錄。
第2A圖例示用指定位址空間配對金鑰ΕΚ〗,』來產生用 於在指定位址空間i和j內裝置之間通訊的金鑰。指定位 址空間1内的伺服器k需要金錄用來與指定位址空間』 内用戶端通訊時’則使用伺服器k的識別碼作為伺服器 金鑰衍生輸入,來產生伺服器金鑰Skijk。如此產生多個 伺服器金鑰,如所例示的伺服器金鑰234A、234B、234C 和234D。在此辄例中,這些伺服器金鑰可用於不同伺服 器,不過根據所通訊的用戶端裝置之位置,每一伺服器 也可具有多個飼服器金鑰。在具有其他金錄之下,飼服 器金输可事先產生’或可在裝置間之通訊產生另一祠服 器金鑰的需要時,動態產生。 從伺服器金鑰可產生個別 安全相聯金鑰,像是金鑰 244A、244B、244C 和 244D。在具有其他金鑰之下,可 使用單向密碼函數輸 來產生安全相聯金錄 入下一個較高階層等級上的金鑰, 。如此’擬亂密碼函數24〇使用领 S] 27 201135508 服器金錄,並且基於安全相 全相聯金鑰。指定位址空間 空間j内的用戶端通訊時, 每一用戶端m。因此,每一 相聯金鑰。 聯金鑰衍生輸入242產生安 i内的伺服器k與指定位址 產生不同的安全相聯金鑰給 安全相聯可使用唯一的安全 女全相聯金錄CKi,j,k,m可從伺服II金餘SKq,,以及與 =全相聯m相關聯的安全相聯金餘衍生輪人μ產生。、 安全相聯金輪衍生輸人242可為任何合適值。較佳是, 該值相對於飼服器的現有安全相聯令為唯一冑因此可 作為安全相聯的識料。在某些具體實施㈣,安全相 聯金鑰衍生輸入可為亂數產生之值。不過,該值可取決 於時間戮記,或任何其他合適的資訊來源。 為了允許裝置從較高階層等級上的金鑰產生安全相聯 金输’則k些裝置可取得安全相聯金餘衍生輸人,例如: 右中間裝置140A (第1A圖)要監控從指定位址空間ii〇a (第1A © )傳送的流量’則提供用來為冑涉到指定位址空 間"0A内裝置的所有安全相聯產生安全相聯金鑰之安 全相聯金敍生輸人給中間裝置屬。任何合適的機制 都可用來讓安全相聯金鑰衍生輸入可用。舉例來說安 全相聯金錄衍生輸入可包含在使用這些輸入所產生安全 相聯金鑰來加密之訊息内。 在第2A圖的具體實施例内,從組織金鑰2ι〇直接產 S ] 28 201135508 每一配對指定位址空間金鑰,在此也可用其他方式。在 替代具體實施例内,可從組織金鑰間接產生某些配對指 定位址空間金鑰。第2B圖例示一具體實施例,其中基於 指定位址空間金鑰伺服器之間的互動,從組織金鑰中間 接產生指定位址空間配對金鑰。 第2B圖的程序從方塊250開始。在方塊250上,產生 才曰疋位址空間金錄。在方塊2 5 0上產生的指定位址空間 金鑰可用來產生在相同指定位址空間内裝置之間通訊之 金錄。因此’ i等於j時,方塊250上產生的指定位址空 間金鑰可視為與指定位址空間配對金鑰EKij相等》方塊 250上產生的指定位址空間金鑰可用合適的方式產生。 舉例來說,可從组織金鑰2 10使用擬亂密碼函數產生指 疋位址空間金錄’如第2A圖内所例示。不過在某些具體 實施例内’由網路管理員直接在指定位址空間金鑰伺服 器内提供指定位址空間金輸’或用其他合適的方式取 得,例如其可隨機產生。 一旦已經為每一指定位址空間產生金鑰,該程序前往 迴圈起點252。迴圈起點252為重複用於每一指定位址 空間i的迴圈起點。從迴圈起點252開始,該程序前往 迴圈起點254。迴圈254為重複用於每一其他指定位址 空間j的子迴圈起點。 該程序前往決策方塊2%。在決策方塊256上,處缉 29 201135508 根據指定位址空間配對(i,j )是否需要配對金錄來分支。 若需要配對指定位址空間金鑰,則處理分支前往方槐 258。在方塊258上’產生用於指定位址空間配對(丨,〗)的 配對指定位址空間金鑰。 可使用任何合適的方式產生配對金鑰。舉例來說,可 在指定位置空間i内的指定位置空間金鑰伺服器與指定 位置空間j内的指定位置空間金鑰伺服器之間執行金输 交換協定,此金鑰交換可用來獨力產生並共享配對金餘 EKu。 不過’使用任何合適密碼函數的任何合適機制都可用 來產生配對金鑰。一旦產生配對金鑰後,該程序前往決 策方塊260 ’在此若要處理更多指定位址空間配對,則 該程序回到迴圈起點254。該程序用此方式在子迴圈内 從迴圈起點254、決策方塊254、決策方塊256、處理方 塊258和決策方塊260持續進行,直到已經處理過每一 指定位址空間。對於不需要金鑰配對的指定位址空間配 對,可能是因為在指定位址空間配對内裝置之間並未發 生通訊,處理從決策方塊256分支到決策方塊26〇,繞 過方塊258内的金鑰產生步驟。 一旦牵涉到迴圈起點252上所選指定位址空間{的每 一扣疋位址空間配對已經完成從迴圈起點2 5 4開始的子 迴圈内之處理,則處理將從決策方塊26〇前往決策方塊[ 30 201135508 262。在決策方塊262上,處理將回到迴圈起點252選取 下一個指定位址空間。然後針對下一個指定位址空間重 複子迴圈254内的處理。處理將以此方式巡迴,直到已 經針對發生通訊的每一指定位址空間配對產生配對指定 位址空間金錄。 不論產生配對指定位置空間金鑰的方式,該等配對指 定位置空間金鑰可用來產生較低階層等級上的金鑰最 終形成電腦系統内裝置配對之間的安全相聯。來自配對 金鑰集合的特定配對金鑰用於根據其中用於該安全相聯 的主機所在之指定位址空間,形成特定安全相聯。這種 方式牵涉到擁有可用資訊,此資訊關於其中特定主機可 能所在的指定位址空間。 在某些具體實施例内,每一主機都可被提供其所在指 定位址空間的指示。然後由主機提供指定位址空間識別 給金鑰伺服器,或產生金鑰供主機使用的其他裝置。另 外在某些具體實施例内,提供機制允許主機動態發現其 所在的指定位址空間。在某些具體實施例内,動態指定 位址空間發現程序也允許主機發現其中要作為安全相聯 相對端點的其他主機所在之指定位址空間。
在某些具體實施例内,指定位址空間發現程序可併入 形成安全相聯的協定内。第3圖例示形成安全相聯允許 至少一個主機確定其中一或兩主機所在指定位址空間的U 31 201135508 已知協定之修改。 第3圖例示作為伺服器34〇的第一主機與作為用戶端 350的第二主機間之通訊。在例示的具體實施例内,伺 服益340根S安全相聯產生通訊料錢,然後伺服器 340將金錄分散到用戶$ 35〇。在產生並分散金錄之前, 飼服器340和用戶端35〇錢一或多個控制金錄產生與 散佈處理的控制封包。因此,第3圖例示程序則内用 於交換控制資訊作為產生與分散金鑰一部分之步驟。 程序308彳為形成業界知安全相聯的一種程序或 部分程序,例如:程序308代表根據網際網路金鑰交換 (IKE)協定< AuthIp $定的封包交換。每—這些協定都 牵涉到伺服器340與用戶端35G之間控制封包的交換。 在第3圖的範例中,程序3〇8牽涉到祠服器34〇傳送 至用戶端350的控制封包31〇。用戶端35〇回應而傳送 控制封包320至伺服器34〇。控制封包31〇和32〇可根 據已知的協定或用任何其他合適的方式格式化。在第3 圖的範例中’母一控制封包3丨〇和32 〇都包含多個攔位。 ”亥協疋未扎疋的資訊可插入一或多個這些欄位内,來支 援指定位址空間發現而不背離該協定。 S1
例如.圖中顯不控制封包31〇具有攔位312、314和 316。在此為了簡化所以顯示三個欄位,但是控制封包可 八有比例不還要多的攔位。在此範例巾,伺服器則將L 32 201135508 資訊元件3 1 8插入攔位3 14内。資訊元件3 1 8可用來作 為指定位址空間發現程序的一部分, 同樣地’圖中顯示控制封包320具有欄位322、324和 3 26 »在此範例中,支援指定位址空間發現的資訊元件已 經插入欄位326内。在第3圖的範例中,資訊元件33〇、 332和334已經插入攔位326内。每一這些資訊元件都 由中間裝置插入,該中間裝置處理從用戶端35〇通過網 路繞送至伺服器340的控制封包32〇。伺服器34〇接收 封包320時,擷取資訊元件33〇、332和334來決定其指 定位址空間,以及用戶端35〇所在的指定位址空間(此為 可選擇的)。 在例示的具體實施例内,使用資訊元件3丨8發出信號 給位於伺服器340與用戶端35〇之間網路内的中間裝 置,告知伺服器340正根據指定位址空間發現程序搜尋 資訊。資訊元件318可用任何合適的方式併入控制封包 31〇内。舉例來說,資訊元件可加入控制封包310的 一ID攔㈣,其可為某些已知通訊協定内定義的攔 位。加入控制封包310中vend〇rID攔位之值可為發出指 定位址空間發現程序為所要之任何預定程式碼。 控制封包310通過伺服器340與用戶端35〇之間的網 路時:首先通過中間裝置遍。中間裝置360可為路由 器或以已知方式處理控制封包3 1〇的其他 衣夏,却S】 33 201135508 此控制封& 31G繼續送往用戶@ 35G。除了這種已知的 處理以外,中間裝置36〇可試驗攔位314的内容。在偵 測到貝吼το件318具有—值,指示飼服器34()正在搜尋 介入指定位址空間發現程序後,中間裝置36〇可儲存伺 服器340正在搜哥指定位址空間發現資訊的指示318、 然後中間裝置36G可監控網路流量,來偵測定址至祠服 器340的封包。 控制封包310可從中間裝置36〇傳遞至其他中間裝 置’此處例示為中間裝置362。中間嚴置如用類似方 式處理控制封包310,也儲存伺服器340正在搜尋指定 位址空間發現資訊的指示318,。針對中間裝置M2,控 制封包310可傳遞至要到用戶$ 35〇的路徑上之其他中 間裝置。在此顯示一個額外的中間裝置,即中間裝置 364’再加上中間裝置362和36〇。中間裝置364儲存飼 服器340正在搜尋指定位址空間發現資訊的指示318,。 用戶端350可回應控制封包31〇,如業界内所熟知。 對於控制封包31G的—部分回應可為後續控制封包的產 生,在此例示為控制封包32〇。控制封包32〇通過網路 朝向祠服器34G時,通過處理控制封包⑽的中間裝置 364、362 和 360〇 si /- 因此,母一這些中間裝置檢查導引至 伺服器340的網路封’ 峪封包,其中該中間裝置可將指定位址 空間發現資訊插入該刊ΒΕ 〜λ D刁服态340。因此,争間裴置 34 201135508 識別控制封包320為其中已經插入指定位址空間發現資 訊的控制封包。 在例示的具體實施例内,控制封包320包含欄位322、 324和326〇可利用建立安全相聯時使用的協定來定義攔 位的特疋數量與内容。不過在例示的具體實施例内欄 位326為可伸展攔位,表示協定未定義針對攔位326的 内容需求。因此,中間裝置可將資訊插入攔位326内, 350之間安全相聯所 不用改變形成伺服器340與用戶端 需之資訊。 中間裝置364將資訊插入欄位326,伺服器可用 此作為決定用戶端350及/或伺服器34〇的指定位址空間 之一部分處理。在例示的具體實施例内,中間裝置364
33〇指示已經指派中間裝
元件332,該元件識別中間裝置 于W主伺服器340的封 封包320並且插入資訊 362所在的指定位址空 35 201135508 資訊元件332以反映控制封包320處理順序的方式插 入欄位326内。一種反映處理順序的簡單機制為將資訊 凡件332插入資訊元件330之後的清單内,不過可使用 任何合適的結構來保留順序。 控制封包320通過網路繼續時,接著由中間裝置3⑼ 進行處理。在具有中間裝置362和364之下,中間褒置 360插入資訊元件334,指示中間裝置所在的指定位址空 間。資訊元件334同樣以保留處理順序的方式插入,例 如將其附加至已經在欄位326内的資訊清單。 因此,控制封包320到達伺服器34〇時,伺服器34〇 可刀析攔位326的内容,來判定控制封包32〇從用戶端 350傳遞至伺服器340 中經過的指定位址空間 。路徑兩
而可有其他變型 °有其他變型。例如在某些具體實施例内 36 201135508 通過肩路不同的路徑可導致控制封包通過不同的中間裝 置、’α果’並非所有案例中伺服器340都接收自己指定 1的致指示。在該案例中,祠服器340可維持 不同時間上所接收有關其所指示指定位址空間之資訊。 伺服器340可分析此資訊來判定其指定位址空間位置。 作為一進—步的變型,用戶端350知道其指定位址空間 時可插入資訊到攔位326内作為清單内第一資訊元 件否則發出其指定位址空間位置的信號。在又另一變 型中中間裂置可搭配其被指派的指定位址空間插入額 卜貝Λ,例如·中間裝置可包含識別指定位址空間金鑰 為其所傳遞的其他指定位址空間之資訊,如此該飼服器 可判疋,沿著該路徑的所有中間裝置是否都具有必要的 配對金输’來處理用戶端發現的指定位址空間與飼服器 發現的指定位址空間間之流量。 第3圖例不中間裝置每次將用於發現指定位址空間的 資Λ tl件插入該第一封包内,該封包係由該等中間裝置 偵測到其在資讯兀# 3 i 8接收之後導引至伺服器谓。 中間裝置可在任何合適的時間上,相關於資訊元件川 的接受,將資訊元件插入任何合適數量的封包内。或者, 中間裝置可將資訊元件搞入多個封包内,或用於資訊元 件3 1 8接受之後預定時間量。 作為其他變型缸例,中間裝置可插入資訊元件用於,$ ] 37 201135508 定位址空間發現,而不需要來自需要指定位址空間發現 資訊的伺服器之特定指示。在這種具體實施例内,令間 裝置可將指定位址空間發現資訊插入所有封包内,或只 插入特定類型的封包内。例如:中間裝置可將用於指定 位址空間發現的資訊元件插入形成安全相聯所使用的所 有控制封包内,而不論是否中間裝置之前已經彳貞測到需 要這種指定位址空間發現的資訊元件。 不論提供給伺服器340的指定位址空間發現資訊所指 定為何,一旦伺服器340可識別其指定位址空間以及用 戶端350的指定位址空間,則可產生安全相聯金錄或金 鑰並且使用已知通訊協定或用任何其他合適的方式,完 成與用戶端350形成安全相聯的處理。此後,飼服器“ο 和用戶端350可依照安全相聯來通訊。第3圖例示緊接 著程序308,用戶端350和伺服器34〇可根據安全相聯 交換封包。封包370作為範例來例示。 封包37〇可根據定義用戶端35〇與伺服器气間乌 全相聯的協定來格式化。封& 37"包含多個攔位令 示有攔位372、374和376。每一搁位都可包含不同的, 訊類型。例如:欄位376可包含已經用安全相聯金鑰; 署或加密的資料。封包370内的其他攔位可用來編 包370通過網路,否則用來處理封包37〇。 封包370内-個這種欄位可包含金錄衍生資訊 38 201135508 來產生用戶端350與伺服器340之間安全相聯的安全相 聯金鑰。在封包370内併入金鑰衍生資訊允許具有所使 用金鑰階層内任何等級上金鑰存取權限的任何裝置,衍 生該安全相聯金鑰來再生安全相聯金鑰並處理封包 370。在第2A圖内例示的金錄階層當中,這種金錄衍生 資訊可包含用戶端350與伺服器340所在的指定位址空 間配對、產生安全相聯金錄的伺服器識別以及用來產生 安全相聯金錄的金鑰衍生輸入242。 此資訊可用任何合適的方式併入封包370内。在第3 圖的範例中,此資訊記錄在封包370的攔位374内。在 例示的範例中,攔位374内含一個伺服器id 380,可識 別產生安全相聯金鑰的伺服器。另外,攔位374可包含 女王參數索引(Security parameter index,「SPI」),其可 包含或識別其他金鑰衍生輸入。SPI可識別用來作為金 鑰衍生輸入242 (第2A圖)的亂數,以及/或其中用戶端 350和伺服器340所在的指定位址空間配對。不過,吾 人應該瞭解,第3圖只例示機制的一個範例,其令金鑰 衍生資訊可用於裝置處理封包37〇。 如所示’金鑰衍生資訊攔位374並未加密。儘管如此, 因為攔位3 74内的金鑰衍生輸入只對於内含來自安全相 聯金錄所產生金鑰之裝置有用,所以可維持封包370的 安全。 39 201135508 被授權從產生安全相 再生用於處理封包370 服器3 4 0執行或由任一 360 、 362 和 364 〇 聯金输中獲得金錄的任何裝置可 的女全相聯金鑰,此處理可由伺 個中間裴置執行,像是中間裝置 在某些具體實施例内,產生安全相聯金錄如此可處理 封包37G的處理可被卸載至網路界面卡内之硬體,或電 腦裝置的其他合適組件。該硬體若已經存取適當金錄, 則可在處理封包37G時即時產生安全相聯錢,然後使 用產生的金錄處理封包m内之資訊。第Μ圖例示可在 像是伺服H 340這類伺服器内執行之程序_。不過, 在任何裝置内都可執行可比較的處理,像是任何中間裝 置 360 、 362 或 364 。 程序_從方塊41G開始。在方塊410上,飼服器獲 得飼服器所在的指定位址空間之配對金錄服器所在 的指定位址空間可用上述關於第3圖之指定位址空間發 現程序,或用任何其他合適的方式來識別。 在方塊4 1 0上獲得的配對金鑰可為指定位址空間配對 金錄’像疋第2A圖内例示的配對金餘224A...224D。或 者’在其中從指定位址空間配對金鑰產生伺服器配對金 鑰的具體實施例内,在方塊410上獲得的配對金鑰可為 飼服器配對金鑰,像是第2A圖内的金鑰234A 234D。
不論配對金鑰的特定格式’其可從任何合適的來源獲S 201135508 得,像是内含用來產生安全相聯金鑰的伺服器之指定位 址空間之内或之外的金鑰伺服器。 在方塊412上,配對金鑰儲存在伺服器上。該金鑰可 儲存在與伺服器相關聯的任何合適電腦儲存媒體内。不 過,在其中要執行密碼函數之硬體卸載的具體實施例 内,配對金鑰可儲存在網路界面硬體内,像是網路界面 卡(Network interface card,「NIC」)。 然後該程序前往迴圈起點42〇,即對伺服器將輸入的 母一安全相聯執行之迴圈的起點。在開始於迴圏起點 之迴圈内’伺服器可執行適用於一個安全相聯的處理。 該處理從方塊422開始,在該方塊422中伺服器傳送訊 息給用戶端,也就是安全相聯的第二主機。這種訊息可 為控制封t 3H)的形式(第3圖)’不過任何合適的訊息 格式都可使用’包含'經特別格式化的訊息,其係為了 從用戶端或從訊息路徑上令間裝置引出其所在指定位址 空間的指示。 然後該程序前往方塊424,在此飼服器接收來自用戶 端的回應。這種回應可為控制封包32G的格式(第3圖), 其中中間裝置已經插入指定位址空間發現資訊。不過, 方塊424上接收的回應可為任何合適的格式,包含由用 戶端用於傳輸其指定位址空間所特殊格式化的訊息。 不論方塊422上所傳送訊息的格式以及方塊424上h 41 201135508 接收的回應為何,伺服器可處理方塊426和428上的回 應’來確定用戶端與伺服器的適當指定位址空間配對。 在方塊426上’從回應當中擷取識別伺服器指定位址空 間的資訊,並且在方塊428上,從回應當中擷取識別用 戶端指定位址空間的資訊。方塊426和428上的處理可 牵涉到處理資訊元件,像是33〇、332和334 (第3圖)的 清單。不過’方塊426和428上的處理可用任何合適的 方式執行’以確定用於用戶端與伺服器的適當指定位址 空間配對。 一旦已經識別適當指定位址空間配對,在方塊43〇上 選擇配對金鑰。在某些具體實施例内,選擇配對金鑰必 須存取金鑰伺服器。在其他具體實施例内,選擇配對金 錄必須從一組之前下載至伺服器的配對金鑰當中讀取。 例如’選擇可基於方塊410上獲得的金鑰。 熟習此項技術者將瞭解,第4A圖為簡化圖並且程序 400的步驟不需確實依照範例内的順序來執行。作為可 能變型的一個範例,吾人應該瞭解,在方塊43〇上選擇 配對金鑰可形成在方塊410上獲得配對金鑰所需處理的 一部分。例如若有大量配對金鑰可以使用,則可使用這 種程序。在該案例中,當方塊430上識別與其他指定位 址空間内用戶端一起形成安全相聯所需特定配對金鑰之 處理’可動態並且遞增下載配對金鑰。 42 201135508 不論何時與何處獲得該選取的配對金鑰,該程序都前 往方塊432。在方塊432上,獲得產生安全相聯金鑰的 金錄衍生輸入。在某些具體實施例内,金鑰衍生輸入可 包含一亂數’如此方塊432上的處理可包含該亂數的產 生°或者’或此外’金鑰衍生輸入可包含在方塊426上 偵測到的伺服器指定位址空間之識別碼,以及方塊428 上偵測到的用戶端指定位址空間之識別碼。 不柳特疋衍生輸入與來源獲得之處,處理繼續前往方 塊434在此妨生女全相聯金输。方塊43 4上的處理可 牽涉到使用方塊430上選取的配對金鑰,在方塊432上 獲得的金鑰衍生輸入内執行密碼函數。不過,使用任何 合適的方式可產生安全相聯金錄。 產生安全相聯金鑰必須在伺服器與用戶端之間互動, 如此用戶端與飼服器都具有安全相聯金鑰的副本。安全 相聯金鑰可由伺服器產生,然後用任何合適的方式通訊 至用戶端’包含業界内已知的金鑰交換協定。該金鑰也 可使用词服器與用戶端之間共享的其他資訊來在這兩者 之上產生。適金錄交換協定的範例為化E和AuthIp。 因此’第4B圖顯示金錄交換子程序^。吾人應該瞭解, 第圖不意&不由共享金錄的用戶端和祠服器發生互 動,並且這些互動可在筮+ & 社弟4Β圖内所示以外時間上交換資 訊0 43 201135508 不論安全相聯金鑰如何通訊至用戶端,該程序也可包 含在方塊438上傳遞金鑰衍生資訊至用戶端。雖然用戶 端可能不使用切衍生資訊進行封包上的加密處理不 過用戶端可使用某些或全部金錄衍生資訊來標示通過安 全相聯來傳送的封包。用此方式標示封包允許裝置(尤其 是不直接參與金餘交換#中間裝置)再生安全相聯金 鑰,如此可處理通過安全相聯傳送的封包。 緊接在子程序436内金錄交換之後,方塊448例示包 含在方塊438上提供金錄衍生資訊,在方塊448上,用 戶端與飼服器可使用由某些或全部金鑰衍生資訊標示的 封包透過安全相聯來通訊。 程序彻可用與伺服器相關聯的任何合適硬體來執 行。某些或全部程序彻可由伺服器内一或多個處理器 上執行之軟體來控制^另外程序_的某些或全部 可卸載至飼服器内隨附的其他硬體,例如··在方塊_ 上通訊的處理封包隨附之密碼函數可卸載至词服器網路 界面内的硬體。 如上面所提及,階層散佈系統允許具有金錄存取權限 的中間裝置處理安全相聯内之封包。在某些電腦系統 二並非要處理安全相聯内封包的所有中間裳置都能夠 支援這種階層金錄產生。在這些具體實施例内,飼服器 可支援與授權的中間裝置直接金錄交換。直接金餘交換⑴ 44 201135508 可用任何合適的方式觸發,例如:中間裝置可透過類似 於指定位址空間發現所使用^訊機制,㈣給末端主 機’告知直接金鑰交換的需求。 第4Β圖例示在偵測封包形成安全相聯給不具有安全 相聯金鑰的中間裝置時,中間裝置可在指引至伺服器的 封匕内提供貝訊。該資訊可作為對飼服器之請求,使其 加入與中間裳置的直接金錄交換,例如:第3圖例示當 做建立安全相聯—部分來傳遞的控制封包。中間裝置可 ,在指引至伺服器340的控制封包32〇之攔位内設定 —旗標’這種旗標可作為對龍器340之請求,使其加 入與中間I置的直接金較換協定。 ★ 圖例示伺服器接收這種旗標封包時,處理可從決 ::鬼442分支到方塊44“在方塊“4上伺服器可 間裝置共享安全相聯金錄。伺服器可用業界内已知 =^式共享切’包含使用錢交㈣定。這種程 資^含㈣中Μ置被授權存取通過安全相聯通訊之 旗標於==施例内,可附加方塊—貞測之 在某些案例中,ΓΓ立安全相聯時伴隨之控制封包。 進入或離開用戶:經建立安全相聯之後,中間I置可 變,或是因負# 服器間之通路。網路組態的改 、或其他條件在網路操作其間可能改變而[s] 45 201135508 改變封包路由之多埠I置的條件處理改變,會導致發生 l種、周路路搜内的改變。在其中之被授權處理與安全相 聯相關聯之封包的每—中間裝置從封包中獲得金錄衍生 資訊之具體實施例内,在形成安全相聯之後進入通路的 任何新中Fel货w 、,與形成安全相聯時徑路内的中間裝置 相同’都可存取封包。不過,無法如上述使用階層金鑰 執仃動態金鑰產生的中間裝置,在形成安全相聯之後新 增至通路時’無法發訊給伺服器作為安全相聯形成的一 °P刀來與中間裝置執行直接金鑰交換。因此,根據某 些具體實施例的電腦系統可併人不支援動態金錄產生的 中間裝置以獲得適當安全相聯金鑰之機制。 在第4B圖内例示的範例中,這種中間裝置可標示指引 至飼服ϋ的任何封包。這種旗標可由伺服器解譯為重新 產生安全相聯之要求。作為重新產生金瑜的—部分,中 間裝置可要求從飼服器直接產生金輸,如決策方塊442 和方塊444之結合所描述。因此,第仙圖的程序包含決 策方塊450’其中若伺服器從中間裝置接收具有標示要 求的封包時,則處理分支來執行重新產生金鑰操作。 若接收到這種要求,則該程序從決策方塊450分支到 決策方塊452。在決策方塊452上,根據健器是否判 定插入旗標的中間裝置為有效中間裝置,程序再次分 支。用來決定有效巾間裝置的任何合適方式都可使 46 201135508 舉例來說,接收這種旗標封包時,伺服器可確認封包的 整體性,來確定設定旗標的中間裝置位於一通路内該 通路係由在參與安全相聯的伺服器與用戶端之間流動的 驗證封包所流過。 不論如何判定中間裝置的有效性,若中間裝置無效, 則該程序分支到決策方塊454。相對地,若要求來自有 效的中間裝置,則該程序回到迴圈起點42〇,重複建立 安全相聯的程序。 可對每一作動中的安全相聯執行方塊422、424、426、 428、430、432、434、州、川、44〇、⑷、444、45〇 和452上的處理。因此,第4B圖例示對一個安全相聯完 成處理時,該程序從決策方塊454回到迴圈起點, 在此重複對其他作冑中的安全相聯之處自。吾人應該瞭 解雖然第4A圖和第4B圖例示順序處理,此係為了簡 化所以才依㈣示此處理,因此可时或用任何其他合 適的時間來執行多安全相聯的處理。 第4A圖和第4B圖例示伺服器上執行的處理,該伺服 器屬於安全相聯中-部主機。處理也在用戶端上執行, 該用戶端屬於安全相聯的第二主機。第5圖提供可在用 戶端上執行的處理範例。 第5圖的程序從方塊51〇開始,在此開始與伺服器的 安王連線。該連線可由用戶端上的處理、利用伺服器占” 47 201135508 的處理或回應任何合適的事件開始執行。 安全連線可用任何合適方式形成。形成安全連線就可 從用戶端將-或多個控制訊息傳送至飼服器如同方塊 512上的處理。方塊512上的處理可由用戶端傳送控制 訊息,像是控制訊息320 (第3圖),或傳送及/或接收一 或多個控制訊息。 形成安全連線也可執行與伺服器的金鑰交換協定。在 方塊520上,由於用戶端從伺服器獲得安全相聯金鑰, 所以用戶端可參與這種金鑰交換。 在某些具體實施例内,並未要求修改用戶端,以便如 上述使用階層金鑰。因此,方塊51〇、512和52〇上的處 理可用業界内熟知的技術來執行,不過,可執行任何合 適的處理。 S] 一旦已經形成安全相聯’該程序前往方塊522,在此 用戶端接收金鑰衍生資訊。如上述,使用安全相聯傳送 的訊息可使用金鑰衍生資訊標示,如此接收到這些封包 的任何被授權之裝置都可產生適當的安全相聯金瑜。在 例示的具體實施例内’依照安全相聯通訊的封包(不論由 用戶端或伺服器開始)使用金鑰衍生資訊標示。因此在方 塊522上’用戶端接收並儲存金鑰衍生資訊。在方塊522 上接收衍生資訊可從内含金鑰衍生資訊的伺服器接收封 包。不過’方塊522上可使用提供金錄衍生資訊給用戶〔 48 201135508 端的任何合適機制。 一旦用戶端同時擁有安全相聯金鑰與金鑰衍生資訊, 則開始使用安全相聯傳遞封包。在方塊524 ,使用安 全相聯金錄產生封包。為了產生㈣安全㈣㈣卜 可使用業界内已知的技術執行方塊524上的處理,。 在方塊526 _L,在方塊522上接收的金输衍生資訊附 加至方塊524上產生之封包。在像是第2A圖中例示的具 體實施例内,其中有四個金鑰階層等級,金鑰衍生資訊 可包含來自所有金鑰產生等級的金鑰衍生資訊。因此, 方塊526上新增的資訊可包含指定位址空間配對資訊、 伺服器識別資訊以及伺服器用來產生安全相聯金鑰之 值。不過,方塊526上新增的特定資訊可取決於金鑰階 層内的等級數’以及用來產生每一階層等級上金输之特 定衍生資訊》 一旦封包已經格式化’處理前往方塊528。在方塊528 上,用戶端傳輸封包至伺服器。在方塊53〇上,用戶端 從祠服器接收封包。在方塊532上,用戶端可使用方塊 520内獲得的安全相聯金錄’解密及/或驗證接收的封 包。方塊528、530和532上的處理可用業界内熟知的技 術來執行’不過可使用任何合適的傳輸、接收與解密及/ 或驗證封包之機制。 然後該程序前往決策方塊540,在此根據是否有更多[ς; 49 201135508 資料要使用安全相聯傳送或接收,該程序可進行分支。 有更多資料需要處理時’該程序回到方塊524,在此用 戶k使用女全相聯產生及/或接收其他封包。用戶端與伺 服器之間沒有其他資料要通訊時,第5圖的程序結束。 第6圖例示可由中間裝置執行的程序。如上述,中間 裝置可參與指定位址空間發現程序。此外,中間裝置可 監控與處理依照其他裝置牵涉其中的安全相聯來傳輸之 封包。 第6圖例示中間裝置可在方塊61〇上監控封包。在方 塊㈣上’中g置偵測通過網路的封包此監控可使 用業界内已知的電路及技術來執行,不過可使用任何合 適的方式來偵測通過網路傳輸的封包。 中間裝置偵測到封包時,棍播封 ^根據封包是否標示為發現封 包,處理可在決策方塊612上八* —雄 上刀支。在第3圖的具體實 施例内’利用在攔位内,像 疋襴位3 14,包含資訊元件 318 ’封包可標示為發現 訂I 不過,任何合適的機制都 可用來指定發現封包。 ^論識別發現封包的定方法為何,只要發現—個發現 則處理就從決策方塊612分支到方塊614。在方 塊614上,中間梦署胳甘& *夕加 "一札定位址空間的指示附加至一 或夕個封包。在某些 所附力心 體貫靶例内’指定位址空間資訊 所附加的封包與發現封包 同在該案例中,由與產生 50 201135508 ^現封㈣主餘収主機料輕…上之指定位址 空間發現資訊。或者如第3 資μ可 "斤才日不,指定位址空間 機不:加至後續封包,其㈣至產生發現封包的主 機。不㈣對於發現封包的特定回應為何,— 應’則“圖的處理結束。 一成該回 藉由在方塊610上監控㈣到封包不含發現封 已,則該程序從決策方塊612分支到方塊63〇。在方塊 630上,中間裝置可在封包上執行密碼函數宜可基於 料收封包内㈣衍生資訊,以及可心㈣裝置之較 间階層等級上的金鑰,來產生安全相聯金鑰。中間裝置 所執行的特定密碼函數取決於中間裝置的性質以及封包 内的資訊°不論執行的密碼函數為何’一旦完成第6 圖的程序結束。 如上述,階層金餘散佈系統之一用途,係幫助將能夠 使用安全相聯監控封包傳遞的中間裝置併入電腦系統。 能夠監控it過安全相聯保護的網$流量 < 中間纟置可執 行多個網路管理或保護功能。在某些具體實施例内可 提供金繪給中間裝置,以允許使用網路封包伴隨的金錄 何生資訊產生安全相聯金鑰。這種裝置可用提供支援安 全指定位址空間卸載的網路界面硬體來實施不過在大 型企業内’並非所有中間裝置都可具有這種網路界面硬 體,並且可能不支援使用金鑰衍生資訊來產生安全相職s】 51 201135508 金鑰,或可能沒有提供較高等級金鑰來衍生安全相聯金 錄的金錄伺服器之存取權限。因此在某些具體實施例 内,電腦系統内使用的協定可提供用於一或多安全相聯 或直接提供給中間裝置的較高等級金鑰之機制。第7圖 為飼服器與中間裝置之間互動的範例,其中該中間裝置 可發訊給伺服器,告知需要直接傳輸安全相聯金鑰或較 高等級金鑰’並且伺服器以此金鑰回應。 第7圖的程序從子程序7〇〇開始,在此伺服器建立與 用戶端的安全相聯,同時透過直接金錄交換提供安全相 聯金鑰給中間裝置。子程序7〇〇開始於方塊71〇,在此 伺服器使用指示器標示用於建立安全相聯的控制封包中 至少一者,讓伺服器支援與中間裝置的直接金鑰交換。 方塊710上加入的標記可為任何合適形式。例如:在第 3圖内指示的訊息交換内,類似於資訊元件318但是具 有不同值的資訊元件可放入控制封包3 1〇内。 在方塊712上,伺服器可開始建立與用戶端的安全相 聯之處理。建立安全相聯可包含傳送方塊川上產生的 標記封包。 在伺服器與用戶端之間交換祚盔七 』又換作為建立安全相聯一部分 的封包將傳遞通過中間裝置。在方塊72〇上中間裝置 監控網路流量,並且偵測在伺服器與用戶端之間傳遞並 且與建立安全相聯相關聯的封包”貞測到這種封包時,⑴ 52 201135508 處理前往決策方塊722,在此該程序根據中 aJ裝置是否 可使用安全指定位址空間金鑰產生來產生用於處理該封 包的金鑰來分支。若可使用,子程序7〇〇 J儿成,處理 為中間裝置而前往方塊752 ’以及為伺服器而前往方塊 750 〇 在方塊750上,伺服器可使用與用戶端建立的安全相 聯來產生網路流量。在方塊752上由中間裝置偵測作為 安全相聯一部分來傳送的封包,因為中間裝置支援使用 女全指定位址空間金錄的處理,則中間裝置可產生在方 塊750上產生的網路流量上執行加密處理所需之安全相 聯金鑰。因此在方塊752上,中間裝置可監控並且處理 該網路流量。 相反地,若中間裝置無法產生金錄,則該程序從決策 方塊722分支到決策方塊724。中間裝置可能因為一些 因素無法產生金鑰,例如:中間裝置可能完全無法支援 安全指定位址空間金鑰產生。或者,該裝置可支援金鑰 產生,但是缺乏適當等級上的金鑰來處理接收的封包。 在例不的具體實施例内’不論中間裝置為何無法產生金 鑰’處理均分支至決策方塊714»不過,可能用其他具 體實施例’其中根據無法產生金鑰的因素來執行不同處 理。 在決策方塊724上,該程序再度分支。在方塊724上〖 53 201135508 該程序根據中間裝置是否具有伺服芎 1 Ί J服益所建立之安全相聯 金錄的存取權限來分支。金錄可锈仍苴 玉辩j边過某些外界程序或以 任何其他合適方式,而可用於中門壯 Ϊ·)用於肀間裝置。不論這些金鑰 如何可用於中間裝置,甚曰‘ 右中間裝置具有安全相聯金鑰, 且其中該金料在伺服器與用戶端之間產生的網路流量 上執行加密處理作為安全相聯一部分之所必要,則該程 序從決策方塊724分支到方塊752和75〇,如上述其中 服與用戶端可產·φ银I 、、六旦 ”爪厂嘴』座玍凋路流里,而流量受到中間裝置 的監控。 不過若中間裝置不支援產生安全相聯金錄或不具有 安全相聯金鑰或任何較高等級金鑰的存取權限,該程序 從決策方塊724分支到方塊726。在方塊726上中間 裝置發訊給祠服器,告知需要安全相聯金鑰或較高等級 金鑰用於方塊7丨2上建立的安全相聯。中間裝置可用任 何合適的方式發出此需求給伺服器。舉例來說,中間裝 置標記一控制封包,例如具有需要安全相聯金鑰的指示 之控制封包320 (第3圖)。任何合適的資訊元件都可新 增至封包,發訊給伺服器告知需要安全相聯金鑰或較高 等級金鑰。 在726上伺服器接收中間裝置標示的封包時,在方塊 740上伺服器開始金錄交換程序。在方塊上伺服 益與中間裝置執行金鑰交換。金鑰交換的協定可與用來 54 201135508 提供安全相聯金鑰給用戶端的協定相同,不過,任何合 適的協定都可用於方塊740與742上的金鑰交換。該金 鑰交換訊息也可包含在伺服器與用戶端之間傳遞的控制 封包内,包含指出支援或需要直接金鑰交換的標記。再 者,金鑰父換牵涉到接觸金鑰伺服器來獲得適合用於中 間裝置的較尚層金鑰之伺服器’如此只有中間裝置(並非 祠服器)可進行加密。 一旦完成金鑰交換,該程序繼續前往方塊750和752, 如上述其中飼服器和用戶端可使用安全相聯來產生網路 流置,這在方塊752上由中間裝置使用方塊742上獲得 的安全相聯金鑰來監控。 因為伺服器與中間|罟去R ± μ , 土 — P支援根據第7圖内例示的協 定,所以第7圖内的程序係 t T馮了此。在其中伺服器不支 援直接金錄交換的具體竇 體實施例内,在方塊720上接收的 封包將不會標示方塊71〇上 _ 知供的札不。在此案例中, 令間裝置放棄要求直接金 _ ,鑰父換,如方塊720上所指 不。而疋中間裝置採取一或 方彳媒—^ 一種,、他動作,試圖以其他 方式獲付女全相聯金输,或 ^ ^ ^ θ ^ 碌無法為安全相聯監控 網路流篁的錯誤或其他指示。 另外吾人應該瞭解,第7 當中在储的程序依賴控制封包交換 田中編…間裝置 立盥用戶媸&忠κ貝訊,而伺服器建 ,、用戶鈿的女全相聯。在某此 二案例中,在已經建立安[s . 55 201135508 全相聯時,中間p:罢# τ i 、 不在用戶端與伺服器間之通路 内。儘管如此,中Μ掛里 一 裝置可觸發直接金鑰交換。第8圖 例示可在該案例中執行之處理。 第8圖的處理從方拔 鬼812開始,其中伺服器已經根據 建立的安全相聯與用戶端通訊。 在方塊820上,中間梦罟可 ^ 间褒置可監控在用戶端與伺服器之 間父換的封包,不過因為巾 為τ間裝置缺乏用於該安全相聯 的女全相聯金錄’戶斤以無法在這些封包上執行密碼函 :。例如在轉送已驗證封包時,無法將封包内已加密的 貝訊解狁’或無法用任何方式改變已經指派的封包。不 過如同方塊820上監控的一部分,中間裝置可識別已 經建立安全相聯的伺服器。 在決策方塊822上,程序根據中間裝置是否支援產生 安全相聯金鑰存並且獲得必要較高層金鑰來分支。若是 如此,處理分支到方塊85〇和852 β在方塊852上伺 服器產生網路流量作為與用戶端的安全相聯一部分。在 方塊8 5 2上,中間裝置可監控網路流量,包含使用所產 生的安全相聯金錄來執行密碼函數。 相反地’若中間裝置不支援產生安全協定金鑰,則該 程序分支到決策方塊824。在決策方塊824上,該程序 根據中間裝置是否另外獲得安全相聯金鑰來分支。若獲 得’則該程序分支到方塊850和852,其中用戶端與齊^ 56 201135508 服器產生網路流量作為安全相聯的一部分,該流量受到 使用安全相聯金鑰的中間裝置之監控。 若中間裝置不具有安全相聯金鑰並且無法產生時,則 該程序從決策方塊824分支到方塊826。在方塊826上, 中間裝置提供信號給伺服器’指示不具有安全相聯金 鑰。此信號可用任何合適的方式提供,例如:封包根據 IPsec通訊時,方塊826上的處理可牵涉到在目的地為伺 服器的IPsec封包内設定旗標。在第3圖的範例中此 旗標可設定在封包内,像是封包37〇。方塊826上可運 用任何合適的機制來發訊給伺服器。 飼服器俄測到來自中間裝置的信號時,飼服器上的處 理繼續前往方& 83〇。在方塊㈣i,飼服器禮認在飼 服器與用戶端之間通路内的已授權中間裝置已經標示方 塊826上標示的封包。任何合適的機制都可用來做出此 判定。例如:伺服ϋ可確認封包㈣合度,如此推論其 發自於用戶端,因此必須由具有词服器與用戶端之間通 路上封包存取權限的中間裝置來標示。 方塊83 0上的處理判定巾門酤 爽剩足中間裝置為應該獲得安全相聯 金鑰之已授權中間裝置時,相Η ^ ^服益開始與用戶端的安全 此重新產生金鑰操作,允 °因此’遵照方塊830上 相聯重新產生金鑰操作。重複 許中間裝置要求直接金鑰產生 的確認 可執行上述第 7圖内的子程序700。當然’若[ 57 201135508 無法確認中間裝置,該程序可故 j終止或採取其他動作,避 免讓未授權的裝置觸發重新產生金餘。 執行子程序700之後,中間括堪π n 間裝置可具有安全相聯金 錄,用於伺服器與用戶端之間的企入上 間的女全相聯。因此在方塊 850和852上’伺服器與用 π尸鳊可產生網路流量,其能 夠由中間裝置監控。因為中間货 間裝置具有安全相聯金鑰的 存取權限,所以監控可包含執行密碼函數。 上述處理可在使用任何合適硬 、f體貢源的主機以及中間 裝置内執行。不過階層切散佈系統的—用途為可行使 某些密碼函數的硬體卸載處理。 乐yA圖例不可使用階層 金鑰支援硬體卸載處理的計算裝置架構。 在第9A圖的範例中,農置91〇包含網路界面硬體 ㈣。網路界面硬體92G可為網路界面卡或其他合適的硬 體組件。網路界面硬體920可包含以任何合適方式實施 的電路’例如:可包含—或多個應用積體電路、可程式 邏輯裝置或使用微程式碼寫人程式的微處理器,來執行 與網路(示意例示為網路922)之界面連接相關聯的功能。 網路界面硬體920可包含業界内已知用於執行已知網 路界面功能之硬體組件。此外’網路界面硬體92〇可包 含硬體組件,其可基於來自網路界面卡上所儲存較高金
鑰階層等級的金鑰’產生安全相聯金鑰。因此,第9A 圖例示包含記憶體926的網路界面硬體92〇β儲存於垮^ 58 201135508 憶體926内者可為含有一或多配對金鑰的資料結構 928 ’從此資料結構928可產生安全相聯金鑰。在第9a 圖的範例中,例示資料結構928處於其中保有三個配對 金錄’標示為金鑰KU1、K1>2和K1>3的狀態❶裝置910 位於指定位址空間丨内,並且與指定位址空間丨内其他 裝置和指定位址空間2與3内裝置通訊時,則適用此狀 態。不過吾人應該瞭解,第9Α圖為網路裝置的簡略圖, 並且網路裝置可包含超過三個金鑰。 不論資料結構928内含的金鑰數量,安全相聯金鑰產 生器電路93 G都可存取這些金錄。安全相聯金錄產生器 電路93 0可接收金鑰衍生資訊結合透過網路所接收 的封G在回應上,安全相聯金鑰產生器電路93 0可存 取。己It體926 ’從資料結構928中獲得適當的配對金錄。 運用配對金输,安全相聯金錄產生器930可產生安全相 聯金錄。 產生的女王相聯金錄可提供給網路界面硬體_上其 他組件’用於執行密碼 、 山数在第9A圖内例示的範例 中提供女全相聯金錄給解密/驗證電路924。解密/驗證 電路924使用安全相聯金錄來解密或驗證封包,-旦已 經解密或驗證,則可接 徒供封包給裝置910内較高架構等 級上的組件。 如第 9A圖内所例示, 旦已經在接收的封包上執行衡s 59 201135508 碼函數,則透過驅動器940提供封包給作業系統950内 的網路堆疊952。如此封包可提供給應用程式960。這種 驅動器940、作業系統950和應用程式960内的處理可 使用已知的技術來執行。如業界内所熟知,驅動器94〇、 作業系統950和應用程式960的可能實施為裝置91〇内 中央處理單元所執行的電腦可執行指令。 除了執行與封包接收相關聯的處理以外,網路界面硬 體920可選擇性地被操作來執行與封包傳輸相關聯的處 理。用於傳輸而非透過網路922接收金鑰衍生資訊時, 安全相聯金鑰產生器93〇可從驅動器940或裝置91〇内 某二/、他組件接收金錄衍生資訊。不論金錄衍生資訊的 來源,安全相聯金鑰產生器電路93〇可存取資料表922, ^獲彳于適曰配對金錄並且提供安全相聯金鍮給網路界面 硬體920内其他組件。 第9A圖例示經組態作為安全指定位址空間内伺服器 之裝置。類似架構可用於電腦系統内其他裝置,例如:
副本。 .式960可為執行網路監 他功能之應用程式。此 同的配對金鑰。第9B圖[S1 用來實施中間裝置時,應用程式 控功能或中間裝置可執行之其他 中間裝置可儲存與伺服器不同的 60 201135508 例示資料表958的替代組態,若裝置91〇設置成為中間 裝置時該替代組態可用來取代資料表928。如第9B圖内 所見,經組態用於中間裝置時,資料表958可包含用於 超過一個指定位址空間的配對金錄。 在此情況下,圖中顯示資料表958包含與指定位址空 間1相關聯的配對金鑰。此外,資料表958内含用於指 定位址空間2和3的配對金鑰。此資料表958的組態可 適用於例如十間裝置,其接收來去指定位址空間丨的通 訊以及指定位址空間2和3之間的通訊。吾人應該瞭解, 内含配對金錢資料庫組態可基於f料表所在整體系統 内裝置的位置,以及裝置要存取訊息流量的指定位址空 間。 、垔過至y個本發明具體實施例的各種態樣之探討 後’吾人應該瞭解’熟習此項技術者可輕易瞭解各種改 變、修正和改善。 免些改變、修正與改善都屬於本發明-部分,並且隸 屬於本發明的精神與範_。因此,上面的說明與圖式都 僅只為範例。 上面說明的本發明& 知月具體實施例可有各種實施方式,例 如*可使用硬體、教科七甘 秋體或其組合來實施。在軟體内實施 時,軟體程式碼可左s ; 在早一電腦或分散在許多電腦之間的 S3 任何合適處理器或處理器集合上執行。 61 201135508 再者’吾人應該瞭解’電腦可具體實施在任何形式中, 像是機櫃型電腦、桌上型電腦、膝上型電腦或平板電腦β 此外’電腦可内嵌在一般並非認定為電腦但是具有合適 處理能力的裝置内,包含個人數位助理(PDA)、智慧型電 話或任何其他合適的可攜式或固定式電子裝置。 另外,電腦可具有一或多個輸入與輸出裝置,這些裝 置可用來呈現使用者界面。可用來提供使用者界面的輸 出裝置範例包含:以視覺方式表現輸出的印表機或顯示 螢幕,以聽覺方式表現輸出的揚聲器或其他聲音產生裝 置可用於使用者界面的輸入裝置範例包含:鍵盤與指 標裝置,像疋滑鼠、觸控板以及數位板。作為另一範例, 電腦可透過語音辨識或其他聲音格式接收輸入資訊。 这種電腦可用任何合適格式的一或多個網路互連在一 起,包含區域網路或廣域網路,像是企業網路或網際網 路。這種網路可根據任何合適的技術,並可根據任何合 適的通訊協定來操作,並且包含無線網路、有線網路或 光纖網路。 另外,此處所述的各種方法或處理都可編碼成軟體, 可在運用各種作業系統或平台任H多個處理器上 執行。此外,這種軟體可使用任何數量的合適程式語言 及/或程式或描述工具來撰寫,並且也可編譯為可執行的 機械語言料可在㈣或虛擬制上執料Μ程心】 62 201135508 碼。 在此方面’本發明也可具體實施為使用-或多種程式 編碼的電腦可讀取媒體(或多重電腦可讀取媒體)(例如 :腦記憶體、-或多種軟碟、光碟、磁帶、快閃記憶體、 場可程式閘道陣列或其他半導體裝置㈣電路組態或其 他實體的電腦儲存媒體),其在—或多部電腦或其他處理 器上執行時,執行實施上述本發明各種具體實施例的方 法。電腦可讀取媒體可為可傳送,如此上面儲存的程式 可載入-或多部不同電腦或其他處理器,實施上述本發 明的許多態樣。 此處所用的「程式」或「軟體」等詞一般就是指任何 一種電腦程式碼或電腦可執行指令集,其可用來設計程 式而使電腦《其他處理器實施上述本I明各種態樣。另 外,吾人應該暸解根據此具體實施例的一個態樣,執行 時會執行本發明方法的—或多個電腦程式並不需要常駐 在單一電腦或處^上,可肖模組方式分散在許多不同 電腦或處理器之間,來實施本發明各種態樣。 s] 電腦可執行指令可為一或多部電腦或其他裝置可執行 的任何形4 ’像是程式模組。一般而言程式模組包含 執仃特定工作或實施特定摘要資料類型的常式、程式、 物件、組件、資料結構等^ _般而言,程式模組的功能 性可依各種具體實施例之需要而結合或分散。 【 63 201135508 另外,資料結構可以任何合適形式儲存在電腦可讀取 媒體内。為了簡化例示’資料結構可顯示成與資料結構 内所在位置相關的攔位。這種關係也可利用指派儲存空 間給具有電腦可讀取媒體内位置的攔位(傳達攔位之間 關係)來達成,不過任何合適的機制都可用來建立資料結 構欄位内資訊之間的關係’包含透過使用指標、標籤或 建立資料元件之間關係的其他機制。 本發明的各種態樣可單獨使用、組合使用或以上面說 明具體實施例内未特別討論的各種配置來使用因此並 不將其應用限制於上述所揭示或圖式内所說明組件的細 節與配置。例如:具體實施例内說明的態樣可用任何方 式與其他具體實施例内說明的態樣結合。 另外,本發明可具體實施為一種方法,其中提供一種 範例。屬於方法一部分所執行的動作可用任何合適方式 排列’因此具體實施例可建構成其中用與所說明不同的 順序來執行動作,這可包含同時執行某些動作,即使所 說明具體實施例内顯示成依序動作也—樣。 申請專利範圍内使用「第一 「第二 「 _ 」第三」等順 序詞來修飾專利元件時並非暗示專利元件之間的任何優 先順序、優先權或順序或執行方法的時間 只斤,而只是 用來作為標示,以區隔具備特定名稱的—專利元件與具 有相同名稱(要不是使用該順序詞)的其他專 π D 7〇件,來^ 】 64 201135508 區分各專利元件。 另外’此處所使用的措辭和用語係用來說明而非限 制。此處所使用的「包含」、「包括」或「具有」'「内含 J、 「牵涉到」以及變型都用於涵蓋其後所列項目及其同等 項以及附屬項。 【圖式簡單說明】 附圖並未依照比例繪製。在圖式當中,各圖内所圖示 之一致或近乎一致的組件都用相同編號表示。為了清晰 起見,圖内並非所有組件都會標示編號。圖式中: 第1A圖為内含多個安全指定位址空間的企業計 外糸 統之略圖; 第1B圖為根據本發明某些具體實施例而可形成部八 企業計算系統的安全指定位址空間之展開圖; 第2A圖為根據本發明某些具體實施例的階層金輪產 生之示意圖; 第2B圖為根據本發明某些具體實施例產生配對指定 位址空間金瑜的程序流程圖; 第3圖為根據本發明某些具體實施例的指定位址空間 發現與通訊協定之示意圖; 第4A圖和第4B圖以標示為八和B的點連接時,為操 作安全指定位址空間内伺服器的程序流程圖; E S } 65 201135508 $ 5 ®為根據本發明某些具體實施例操作安全指定位 址空間内用戶端的程序流程圖; 第6圖為根據本發明某些具體實施例操作中間裝置的 程序流程圖; 第7圖為牵涉到中間裝置直接從伺服器接收金鑰期 間中間裝置與伺服器之間互動的處理流程圖; 第8圖為牵涉到中間裝置觸發安全相聯重新產生金鑰 期間,中間裝置與伺服器之間互動的處理流程圖; 第9A圖為根據本發明某些具體實施例的伺服器之簡 化示意圖;以及 第9B圖為根據本發明某些具體實施例可存在於中間 裝置網路界面硬體内的記憶體結構之略圖。 【主要元件符號說明】 1〇〇電腦系統 130用戶端裝置 110 A指定位址空間 132用戶端裝置 110B指定位址空間 134用戶端裝置 110C指定位址空間 1 3 6多埠裝置 110D指定位址空間 140A中間裝置 120A伺服器 140B中間裝置 120B伺服器 140C中間裳置 120C伺服器 140D中間裝置
66 201135508 148組織金鑰伺服器 150指定位址空間 1 60指定位址空間金鑰伺 服器 170A伺服器 170B伺服器 180用戶端裝置 182用戶端裝置 184用戶端裝置 192中間裝置 2 1 0組織金鑰 224A配對金鑰 224B配對金鑰 224C配對金鑰 224D配對金鑰 220擬亂函數 222指定位址空間配對衍 生輸入 230擬亂密碼函數 232伺服器金鑰衍生輸入 234A伺服器金鑰 234B伺服器金鑰 234C伺服器金鑰 234D伺服器金鑰 240擬亂密碼函數 242安全相聯金鑰衍生輸 入 244A金鑰 244B金鑰 244C金鑰 244D金鑰 308程序 3 1 0控制封包 3 1 2搁位 3 1 4攔位 3 1 6欄位 3 1 8資訊元件 3 18'指示 320控制封包 3 22欄位 324欄位 326欄位 3 3 0資訊元件 332資訊元件 334資訊元件 340伺服器 350用戶端 360中間裝置 67 201135508 362 中 間 裝 置 924 解 密 /驗證電路 364 中 間 裝 置 926 記 憶 體 370 封 包 928 資 料 結 構 372 欄 位 928 資 料 表 374 欄 位 930 安 全 相 聯金鑰產生器 376 欄 位 940 驅 動 器 380 伺 服 器 ID 950 作 業 系 統 910 裝 置 952 網 路堆 疊 920 網 路 界 面硬體 958 資 料 表 922 網 路 960 應 用 程 式 68

Claims (1)

  1. 201135508 七、申請專利範圍: 1· 種操作一電腦系統來提供安全通訊之方法,該電腦 系統包含複數個由一網路互連的主機裝置,並且組織 成為指定位址空間,並且該方法包含以下步驟: 在該複數個指定位址空間的每一指定位址空間 内’提供複數個配對指定位址空間金鑰,該複數個配 對指定位址空間金錄對應内含該指定位址空間之複 數個指定位址空間配對中之每一者,而各包含一配對 指定位址空間金錄; 對複數個指定位址空間中之每一者,在至少一處 理器内,為該指定位址空間内複數個伺服器裝置中之 每一者計算複數個伺服器金錄,該複數個伺服器金錄 中之每一者都從一配對指定位址空間金鑰所計算 出,用於包含該伺服器的該指定位址空間之一對指定 位址空間; 在該複數個指定位址空間的一第一指定位址空 間内之一第一主機裝置與該複數個指定位址空間的 一第二指定位址空間内之一第二主機裝置之間建立 一安全相聯,該建立步驟包含以下步驟: 使用該第一主機裝置,產生該安全相聯的安全參 數,該安全參數從被計算出來用於該第一主機裝置的 該複數個伺服器金鑰中之一選取的伺服器金鑰來產[s ] 69 201135508 生’該伺服器金鑰包含從一配對指定位址空間金鑰計 异出的一祠服器金鑰’用於該第一指定位址空間和該 第二指定位址空間。 2·如申請專利範圍第1項所述之方法,其中在該複數個 指定位址空間中之每一者内提供複數個配對指定位 址空間金鑰之步驟,包含以下步驟:從一共用組織金 鑰,產生该複數個配對指定位址空間金鑰給該複數個 指定位址空間中之每一者。 3.如申請專利範圍第2項所述之方法,其中: 該計算系統額外包含一組織金錄伺服器;並且該 方法另包含以下步驟: 驗證該複數個指定位址空間中之每一者内之一 金鑰伺服器給該組織金鑰伺服器;以及 …提供對-指定位址空間所產生的該複數個配對 扣疋位址空間金錄,給該指定位址空間内該金输飼服 器’來回應已經驗證的該金鑰伺服器。 如申請專利範圍第1項所述之方法,其中: 建立該安全相聯之步驟另包合 乃匕3以下步驟:執行該 -主機裝置與該第二主機裝置之間的一金鑰交換 70 4. 201135508 協定 以下 5.如申請專利範圍第4項所述之方法,進一步包含 步驟: 在該第_主 機裝置的網路界面硬體内: 儲存該選取的伺服器金鑰; 使用該安全相聯接收一 聯的該安全參數;以及 使用該產生的安全參數热 執行一进碼函數於該封 封包後’即產生該安全相 包上 6.如申請專利範圍第5項所述之方法,其中: 該第i機裝置與該計算系統内其他主機形成 複數個安全相聯; 該方法另包含以下步驟:儲存複數個伺服器金 鑰,該複數個伺服器金鑰中之每一者都從一配對指定 位址空間金输中衍生’並且每一者都關聯於複數個安 全相聯; 在使用該安全相聯接收一封包後,即產生該安全 相聯的該安全參數之步驟包含以下步驟:基於該封包 内的資訊,選擇該複數個飼服器金錄中的一飼服器金 輪’並且使用該選取的伺服器金錄以及該封包内資 I S 71 201135508 訊,產生該安全參數。 7.如申請專利範圍第1項所述之方法,其中: 該計算系統包含至少一中間裝置,該十間裝置連 接在該底一主機裝置與該第二主機装置之間一網路 路徑内;並且該方法另包含以下步驟: 提供具有複數個配對指定位址空間金鑰的該中 間裝置; 使用該安全相聯偵測到一封包後,即使用該複數 個配對指定位址空間金鑰的一配對指定位址空間金 鑰來產生該安全相聯的該安全參數;以及 使用該產生的安全參數執行—密碼函數於該封 包上。 8*如申請專利範圍第7項所述之方法,其中: 該複數個指定位址空間中之每一者都包含—金 鑰伺服器; 產生一伺服器金鑰給一伺服器。 9·如申請專利範圍第8項所述之方法,其中 提供複數個配對指定位址空間金鑰之步帮包含 以下步驟: ] 72 201135508 對每一指定位址空間提供一指定位址空間金 鑰;以及 使在該複數個指定位址空間中之每一者内的該 等金鑰伺服器在該網路上互動,該互動之步驟包含以 下步驟:對該複數個指定位址空間的複數個指定位址 空間配對中之每一者,產生一配對指定位址空間金 錄0 10 •一種操作一計算裝置來在一計算系統内提供安全通 Λ之方法,δ亥计算系統包含複數個由一網路互連的主 機裴置並且組織成為指定位址空間,每一指定位址空 間包含至少一主播_ 王機裝置,該方法包含以下動作: 在一計算裝置内: 4貞測一第一指令Λν , , ^ β 疋位址上間内一第一主機與一第 二指定位址空間内—笛_ 第一主機之間依照該第—主機 與該第二主機之間— 女全相聯來傳輸的一訊息; 基於該訊息内金鑰衍 ’ 王貝5孔以及用於該第一指 定位址空間和該笫-7 扎疋位址空間的一配對指定位 址空間金繪,產生一 王女全相聯金鑰; 使用該產生的安全相 i錄執仃一岔碼函數於 該訊息上。 [S3 73 201135508 11.如申凊專利範圍第ι〇項所述之方法,其中: 該計算裝置包含網路界面硬體;以及 偵測、產生和執行一密碼函數之該等動作都在該 網路界面硬體内執行。 12.如申請專利範圍第丨丨項所述之方法,其中: 該網路硬體具有電腦儲存媒體,其儲存著複數個 配對指定位址空間金鑰;以及 該方法包含以下動作:基於該金鑰衍生資訊,從 該電腦儲存媒體内該複數個配對指定位址空間金鑰 選擇該配對指定位址空間金鑰。 13·如申請專利範圍第12項所述之方法,其中: 產生該安全相聯金鑰之動作,包含以下動作: 從該選取的配對指定位址空間金鑰以及該金鑰 衍生資訊内一伺服器識別碼來產生—伺服器金鑰·,以 及 識 從該產生的伺服器金鑰以及一安全相聯的 別碼中產生該安全相聯金錄。 14.如申請專利範圍第13項所述之方法,其中. 產生該飼服器金输之動作包含以下動作:執^ 201135508 單向加密操作於該選取的配對指定位址空 及該金鑰衍生資訊内該伺服器識別碼上; 間金鑰 以及 以 產生該安全相聯金錄之動作包含以下動 •執行 一單向加密操作於該產生的伺服器金鑰 久嗓女全 相聯的該識別碼上 15. 16. 如申請專利範圍第14項所述之方法,其中該密喝函 數包含解密該訊息之動作。 一種操作一計算系統來提供安全通訊之方法該計算 系統包含複數個由一網路互連的主機裝置並且組織 成為指定位址空間,並且該方法包含以下動作: 對該複S個指定位& ^❼每一指定位址空 間,提供複數個配對指定位址空間金鑰;以及 在該複數個指定位址空間的—第1定位址空 間内之-第-主機裂置與該複數個指定位址空間的 -第二指定位址空間内之一第二主機裝置之間建立 —安全相聯,該建立之動作包含以下動作: 產生-配對指定位址空間給該第m立址空 竭和該第二指定位址空間;以及 使用該第-主機裝置,產生該安全相聯的安全參 数’該產生動作包含以下動作: S3 75 201135508 從該配對指定位址空間金鑰以及與該第一 主機相關聯的一伺服器識別碼來產生一伺服器 金鑰; 從該伺服器金鑰以及用於該安全相聯的一 金鑰衍生值來產生一安全相聯金鑰; 以及將該安全參數通訊至該第二主機裝置。 17·如申請專利範圍第16項所述之方法,其中: 產生該伺服器金鑰之動作包含以下動作:執行一 單向加密操作於該配對指定位址空間金鑰以及該第 一指定位址空間中一金鑰伺服器内該伺服器識別碼 上;以及 產生該安全相聯金錄之動作包含以下動作:執行 一單向加密操作該伺服器金鑰以及該安全相聯上。 U·如申請專利範圍第16項所述之方法,進一步包含以 下動作: 在與該第一主機裝置相關聯的網路界面硬體内: 使用該安全相聯接收來自該第二主機裝置的一 訊息,該接收的訊息包含金鑰衍生資訊; 使用之前從用於該第一指定位址空間和該第二 才a定位址空間的該配對指定位址空間金鑰產生之一 1 76 201135508 伺服器金鑰,以及該訊息内的金鑰衍生資訊再生該 安全相聯參數;以及 使用該再生的安全相聯參數執行一密碼函數於 該訊息内的資訊上。 19. 如申請專利範圍第is項所述之方法,進—步包含以 下動作: 在與連接在該第一主機裝置與該第二主機裝置 之間該網路内的一中間裝置相關聯之網路界面硬體 内: 使用該安全相聯偵測從該第二主機裝置到該第 一主機的一訊息,該偵測的訊息包含金输衍生資訊; 使用用於該第一指定位址空間和該第二指定位 址空間的該配對指定位址空間金錄以及該訊息内的 金鑰衍生資訊,再生該等安全相聯參數;以及 使用該等再生的安全相聯參數執行一密碼函數 於該訊息内的資訊上。 20. 如申請專利範圍第16項所述之方法,進一步包含以 下動作: S1 在該第一主機上,接收來自該第二主機的一訊 息,該訊息包含一標記,該標記指出—中間裝置缺^ 77 201135508 資訊來使用該安全相聯監控訊息;以及 回應該指示,而重複在該第一主機與該第二主機 之間建立該安全相聯之該動作。 [si 78
TW099114865A 2009-06-11 2010-05-10 在安全網路指定位址空間中的金鑰管理 TWI505123B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US12/483,095 US9742560B2 (en) 2009-06-11 2009-06-11 Key management in secure network enclaves

Publications (2)

Publication Number Publication Date
TW201135508A true TW201135508A (en) 2011-10-16
TWI505123B TWI505123B (zh) 2015-10-21

Family

ID=43307428

Family Applications (1)

Application Number Title Priority Date Filing Date
TW099114865A TWI505123B (zh) 2009-06-11 2010-05-10 在安全網路指定位址空間中的金鑰管理

Country Status (5)

Country Link
US (1) US9742560B2 (zh)
EP (1) EP2441205B1 (zh)
CN (1) CN102461060B (zh)
TW (1) TWI505123B (zh)
WO (1) WO2010144301A2 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI472189B (zh) * 2012-01-05 2015-02-01 Ind Tech Res Inst 網路監控系統及管理金鑰的方法
TWI474725B (zh) * 2012-11-01 2015-02-21 Miiicasa Taiwan Inc 裝置識別碼管理方法與系統

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8352741B2 (en) 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US9210140B2 (en) * 2009-08-19 2015-12-08 Solarflare Communications, Inc. Remote functionality selection
US9087200B2 (en) * 2009-12-22 2015-07-21 Intel Corporation Method and apparatus to provide secure application execution
US8572699B2 (en) 2010-11-18 2013-10-29 Microsoft Corporation Hardware-based credential distribution
US8972746B2 (en) * 2010-12-17 2015-03-03 Intel Corporation Technique for supporting multiple secure enclaves
US8935750B2 (en) * 2011-10-03 2015-01-13 Kaspersky Lab Zao System and method for restricting pathways to harmful hosts in computer networks
GB2500720A (en) * 2012-03-30 2013-10-02 Nec Corp Providing security information to establish secure communications over a device-to-device (D2D) communication link
EP2832033B1 (en) * 2012-03-31 2019-04-24 Nokia Technologies Oy Method and apparatus for secured social networking
AU2013263340B2 (en) * 2012-05-16 2015-05-14 Okta, Inc. Systems and methods for providing and managing distributed enclaves
US9819658B2 (en) * 2012-07-12 2017-11-14 Unisys Corporation Virtual gateways for isolating virtual machines
CN104737494B (zh) 2012-10-17 2018-01-09 诺基亚技术有限公司 用于以分布式方式基于信任评估来提供安全通信的方法和装置
US9853995B2 (en) 2012-11-08 2017-12-26 AO Kaspersky Lab System and method for restricting pathways to harmful hosts in computer networks
DE102013206661A1 (de) * 2013-04-15 2014-10-16 Robert Bosch Gmbh Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem
US20150188710A1 (en) * 2013-12-28 2015-07-02 Simon Johnson Offloading functionality from a secure processing environment
US9710622B2 (en) * 2015-02-23 2017-07-18 Intel Corporation Instructions and logic to fork processes of secure enclaves and establish child enclaves in a secure enclave page cache
US20170034214A1 (en) * 2015-07-30 2017-02-02 Northrop Grumman Systems Corporation Apparatus and method for cross enclave information control
WO2017035725A1 (zh) * 2015-08-31 2017-03-09 林建华 电子通信系统在开放环境中通信的方法
US10419211B1 (en) * 2015-11-30 2019-09-17 Cisco Technology, Inc. Hash-based key distribution
US10291965B2 (en) * 2016-03-11 2019-05-14 DISH Technologies L.L.C. Television receiver authorization over internet protocol network
US10372945B2 (en) * 2017-01-24 2019-08-06 Microsoft Technology Licensing, Llc Cross-platform enclave identity
US11443033B2 (en) * 2017-01-24 2022-09-13 Microsoft Technology Licensing, Llc Abstract enclave identity
US20190095910A1 (en) * 2017-09-25 2019-03-28 Intel Corporation Secure cryptocurrency exchange
US11606190B2 (en) 2017-12-26 2023-03-14 Akamai Technologies, Inc. High performance distributed system of record with cryptographic service support
US11977924B2 (en) 2017-12-26 2024-05-07 Akamai Technologies, Inc. High performance distributed system of record with distributed random oracle
CN108965260B (zh) * 2018-06-22 2021-05-28 新华三信息安全技术有限公司 一种报文处理方法、堡垒机及终端设备
US11240007B1 (en) * 2018-08-14 2022-02-01 Amazon Technologies, Inc. Using secure enclaves for decryption in unsecured locations
CN109274646B (zh) * 2018-08-22 2020-12-22 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于kmip协议的密钥管理客户端服务端方法和系统及介质
GB2578297B (en) * 2018-10-19 2021-07-14 Advanced Risc Mach Ltd Trusted intermediary realm
US11368298B2 (en) 2019-05-16 2022-06-21 Cisco Technology, Inc. Decentralized internet protocol security key negotiation
TWI714168B (zh) * 2019-07-17 2020-12-21 小白投資有限公司 網路之加密方法
CA3169639A1 (en) * 2020-02-05 2021-08-12 Quantum Digital Solutions Corporation Information theory genomics-enabled hyper-scalability
US11562056B2 (en) 2020-02-05 2023-01-24 Quantum Digital Solutions Corporation Systems for establishing a digital ecosystem using digital genomic data sets
US11770389B2 (en) * 2020-07-16 2023-09-26 Vmware, Inc. Dynamic rekeying of IPSec security associations
US11665174B2 (en) 2021-01-29 2023-05-30 Raytheon Company Method and system for multi-tiered, multi-compartmented DevOps
KR20240005674A (ko) 2021-02-04 2024-01-12 퀀텀 디지털 솔루션즈 코포레이션 사이퍼제닉스 기반 생태계 보안 플랫폼들
US20230006981A1 (en) * 2021-07-01 2023-01-05 Mellanox Technologies, Ltd. Systems, methods, and devices for encrypted data transfer
CN114978774B (zh) * 2022-07-28 2022-10-04 四川九洲空管科技有限责任公司 基于嵌套式保护结构的多层级密钥管理方法

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL8501211A (nl) * 1985-04-29 1986-11-17 Philips Nv Systeem voor opslag en distributie van sleutels ten behoeve van cryptografisch beveiligde communicatie.
US4941176A (en) 1988-08-11 1990-07-10 International Business Machines Corporation Secure management of keys using control vectors
US5276735A (en) 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US6272538B1 (en) 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US6628617B1 (en) 1999-03-03 2003-09-30 Lucent Technologies Inc. Technique for internetworking traffic on connectionless and connection-oriented networks
US6898710B1 (en) 2000-06-09 2005-05-24 Northop Grumman Corporation System and method for secure legacy enclaves in a public key infrastructure
US7536715B2 (en) 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US7082200B2 (en) 2001-09-06 2006-07-25 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
US7246232B2 (en) 2002-05-31 2007-07-17 Sri International Methods and apparatus for scalable distributed management of wireless virtual private networks
DE10316063A1 (de) 2003-04-08 2004-10-28 O2 (Germany) Gmbh & Co. Ohg Kommunikationssystem für den Mobilfunk mit wenigstens einem in einem Gesamtgebiet befindlichen Teilnehmergebiet
US8050180B2 (en) 2003-10-31 2011-11-01 Brocade Communications Systems, Inc. Network path tracing method
US7299246B1 (en) 2004-01-16 2007-11-20 Landesk Software Limited Client initiated multicast domain discovery
CN100456762C (zh) 2004-01-17 2009-01-28 华为技术有限公司 一种无线本地网中用户服务区域设置的方法
CN100592678C (zh) 2004-02-11 2010-02-24 艾利森电话股份有限公司 用于网络元件的密钥管理
EP1813049A1 (en) 2004-11-16 2007-08-01 Telefonaktiebolaget LM Ericsson (publ) Improved key distribution in systems for selective access to information
US7822200B2 (en) 2005-03-07 2010-10-26 Microsoft Corporation Method and system for asymmetric key security
TWI307593B (en) 2005-12-14 2009-03-11 Chung Shan Inst Of Science System and method of protecting digital data
CN1859086B (zh) 2005-12-31 2010-06-09 华为技术有限公司 一种内容分级访问控制系统和方法
US7873071B2 (en) 2006-05-15 2011-01-18 The Boeing Company Multiple level security adapter
US8296839B2 (en) 2006-06-06 2012-10-23 The Mitre Corporation VPN discovery server
US8365294B2 (en) 2006-06-30 2013-01-29 Intel Corporation Hardware platform authentication and multi-platform validation
US7881474B2 (en) 2006-07-17 2011-02-01 Nortel Networks Limited System and method for secure wireless multi-hop network formation
US7499547B2 (en) 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US20080065890A1 (en) 2006-09-11 2008-03-13 Motorola, Inc. Secure support for hop-by-hop encrypted messaging
US7712143B2 (en) 2006-09-27 2010-05-04 Blue Ridge Networks, Inc. Trusted enclave for a computer system
US8094817B2 (en) 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
US7720995B2 (en) 2007-06-08 2010-05-18 Cisco Technology, Inc. Conditional BGP advertising for dynamic group VPN (DGVPN) clients
US8422681B2 (en) * 2008-03-06 2013-04-16 International Business Machines Corporation Non-interactive hierarchical identity-based key-agreement
US8155130B2 (en) * 2008-08-05 2012-04-10 Cisco Technology, Inc. Enforcing the principle of least privilege for large tunnel-less VPNs
US8352741B2 (en) 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI472189B (zh) * 2012-01-05 2015-02-01 Ind Tech Res Inst 網路監控系統及管理金鑰的方法
TWI474725B (zh) * 2012-11-01 2015-02-21 Miiicasa Taiwan Inc 裝置識別碼管理方法與系統

Also Published As

Publication number Publication date
WO2010144301A3 (en) 2011-03-10
US20100318800A1 (en) 2010-12-16
CN102461060A (zh) 2012-05-16
EP2441205B1 (en) 2021-02-17
TWI505123B (zh) 2015-10-21
CN102461060B (zh) 2014-08-20
EP2441205A2 (en) 2012-04-18
WO2010144301A2 (en) 2010-12-16
US9742560B2 (en) 2017-08-22
EP2441205A4 (en) 2017-05-17

Similar Documents

Publication Publication Date Title
TW201135508A (en) Key management in secure network enclaves
CN110799941B (zh) 防盗和防篡改的数据保护
RU2756048C2 (ru) Адресация доверенной среды исполнения с использованием ключа шифрования
EP2441206B1 (en) Discovery of secure network enclaves
ES2376143T3 (es) Marco de distribución de clave simétrica para internet.
EP3197121B1 (en) Information security realizing method and system based on digital certificate
WO2018024056A1 (zh) 用户口令管理的方法和服务器
US20100017597A1 (en) Secure network address provisioning
KR102396528B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
Fongen Identity management and integrity protection in the internet of things
WO2014194494A1 (zh) 数据安全的保护方法、服务器、主机及系统
Fotiou et al. Access control for the internet of things
US10237057B2 (en) Method and system for controlling the exchange of privacy-sensitive information
JP2012178010A (ja) 情報処理システム、及び情報処理方法
KR102439881B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US9887967B2 (en) Portable security device, method for securing a data exchange and computer program product
Dey et al. Message digest as authentication entity for mobile cloud computing
EP3292654B1 (en) A security approach for storing credentials for offline use and copy-protected vault content in devices
KR102495369B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
EP3836478A1 (en) Method and system of data encryption using cryptographic keys
KR102472554B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
Hammami et al. Security issues in cloud computing and associated alleviation approaches
JP2022522555A (ja) セミトラステッドな中継者を使用したセキュアなメッセージ受け渡し
JP7433620B1 (ja) 通信方法、通信装置及びコンピュータプログラム
KR102620214B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees